19 октября, пятница 06:29
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Соотношение понятий анализ и оценка рисков

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Соотношение понятий анализ и оценка рисков

    Здравствуйте!
    Не могли бы вы объяснить, какое понятие шире оценка рисков или анализ рисков.
    Последний раз редактировалось sudogda; 18.03.2008, 15:27.

  • #2
    "Рекомендую Вам ориентироваться на линейку 7799.
    ГОСТ Р ИСО МЭК 13335-3-2007 - это, по всей видимости древний ISO 1998 года, думаю что BS 7799-3 для процесса управления рисками более актуален." - этот текст был актуален до редактирования автором первого сообщения.

    Согласно BS7799-3 (и переводу от Глобалтраста):
    оценка (assessment)=анализ(analysis)+оценивание(evaluation)
    Анализ - основа для оценки.
    Исправил для точности.
    Последний раз редактировалось nremezov; 18.03.2008, 16:32.

    Комментарий


    • #3
      Дело в том, что BS 7799-3 не является международным или стандартом, принятым в РФ, в отличие от ГОСТ Р ИСО МЭК 13335-3-2007.
      А согласно переводу GlobalTrust (который у меня имеется):
      Оценка рисков = анализ рисков и оценивание рисков
      И, как вы сказали, анализ рисков является основой для оценки.

      Комментарий


      • #4
        Да, прошу прощения - опечатался
        Тогда точнее будет так - анализ основа для оценивания, и вместе они составляют процесс оценки.
        Sudogda - по поводу международности и стандартности - я ожидаю, что ISO 27005 будет приемником прежде всего BS7799-3.

        Комментарий


        • #5
          А что делать с принятым у нас ГОСТ Р ИСО МЭК 13335-3-2007? :-(
          Я так понимаю, что на данный момент следует ориентироваться именно на него.
          Меня смущает то, что термины определены правильно, а вот в контексте идут разночтения. ГОСТ Р ИСО МЭК 13335-1-2006 терминологически соответсвует BS 7799-3 и ГОСТ Р 51897-2002 "Менеджмент риска. Термины и определения", но в ГОСТ Р ИСО МЭК 13335-3-2007 описаны "основные варианты стратегии анализа риска организации", хотя по тексту идет описание процесса оценки рисков.

          Комментарий


          • #6
            А что Вас обязывает использовать 13335-3?
            И, если для Вас крайне важно использовать стандарт РФ и описывать процесс в рамках терминологии принятой этим стандартом - то используйте его.
            И 13335:3 и 7799:3 разрабатывались в BSI - думаю за почти 10 лет между их публикациями просто произошла эволюция.

            Комментарий


            • #7
              А это так важно, какое понятие шире?

              Комментарий


              • #8
                Сообщение от Алексей Лукацкий Посмотреть сообщение
                А это так важно, какое понятие шире?
                Да, мне это сейчас необходимо для выработки единой терминологии :-(

                Комментарий


                • #9
                  Сообщение от nremezov Посмотреть сообщение
                  А что Вас обязывает использовать 13335-3?
                  И, если для Вас крайне важно использовать стандарт РФ и описывать процесс в рамках терминологии принятой этим стандартом - то используйте его.
                  Проблема в том, что 13335-1 дана, на мой взгляд, правильная терминология, соответствующая и BS 7799-3 и 27001, но в 13335-3 перевод не соответствует этой терминологии. Согласно 13335-1 шире понятие оценка рисков, а вот из 13335-3 получается наоборот :-( Как быть с таким казусом

                  Комментарий


                  • #10
                    Сообщение от sudogda Посмотреть сообщение
                    Проблема в том, что 13335-1 дана, на мой взгляд, правильная терминология, соответствующая и BS 7799-3 и 27001, но в 13335-3 перевод не соответствует этой терминологии. Согласно 13335-1 шире понятие оценка рисков, а вот из 13335-3 получается наоборот :-( Как быть с таким казусом
                    имхо Придется с этим жить дальше ))). Возможно 13335-3 переведен некорректно. Стоит ли заострять на данном факте внимание?
                    Из 13335-3: "В настоящем стандарте применены термины по ИСО/МЭК 13335-1.". Соответственно ориентируемся на 13335-1.

                    Комментарий


                    • #11
                      Так примите для себя нужное себе толкование и все

                      Комментарий


                      • #12
                        Спасибо

                        Комментарий

                        Пользователи, просматривающие эту тему

                        Свернуть

                        Присутствует 1. Участников: 0, гостей: 1.

                        Обработка...
                        X