Прочитал официальный курс от ISACA под названием CRISC Review Manual 6-th Edition (2015 год). Касаемо года курса подумал, что, беря во внимание санкции, это нормально, да и в оценке рисков ничего не меняется, т.к. методология по оценке рисков весьма консервативна. Поэтому лучше прочитать что есть, чем не прочитать ничего. Еще мне казалось из названия, курс будет исключительно про процесс оценки рисков. А оказалось всё совсем не так. На самом деле ситуация с курсом следующая.
CRISC - полноценный курс для специалиста ИБ, в котором методология оценки рисков занимает совсем небольшую часть. В основном рассказывается, с какими угрозами и с каких сторон может столкнуться организация. Что любую технологию или решение нужно рассматривать всесторонне. Например, что МСЭ это не только ПАК, который нужно разместить в ЦОД, а нужно правильно раздать роли по его администрированию, не забыв об обучении администраторов, регулярно проверять правила и конфиги, создать общий процесс управления изменениями, собирать логи, направлять их в SIEM, устанавливать процесс реагирования на инциденты на основании них. По другим средствам защиты или решениям, нужно поступать аналогичным образом.
Любой процесс нужно
рассматривать в комплексе, потому что векторы для потенциальных атак собираются
из множества гранулированных недоработок. И наоборот, если безопаснику говорят,
что это делать не нужно, так как есть недостатки в других местах, то это тоже
приведёт к тому, что из этих недостатков слепится, как снежный ком, глобальная
уязвимость организации, и рано или поздно произойдет значимое рисковое событие.
Ну а методология количественная, качественная или смешанная конечно же в курсе тоже
есть.
Рекомендую и одновременно разыскиваю 7-ю версию курса.