Методики и программные продукты для оценки рисков Riscis Watch. Программа оценки риска Программные продукты по управлению рисками

Нами был описан и изучен системный подход к процессу управления рисками. Комплексность рассмотрения этого вопроса связана с тем, что мы определились, что для создания качественной системы анализа и управления рисками рассмотрение отдельных активностей данного домена не имеет смысла. Только при условии полного применения всех стадий риск-менеджмента можно говорить о системе, которая может обеспечить достижение поставленных целей.

Комплексная программа, которую мы ставим себе целью начать обсуждать сегодня, базируется на артефактах (процессах и объектах), которые мы описывали ранее.

В ее центре находятся:

Процедуры планирования комплексной деятельности управления рисками;
Методы управления рисками и инструментарий, которые взаимосвязаны между собой таким образом, что дополняют и «обогащают» друг друга по ходу реализации рассматриваемой программы.

Таким образом, сегодня нам предстоит дополнительное «погружение» в активность по анализу и управлению рисками, так что задерживаем дыхание…

Введение

На сегодняшний момент нами уже были описаны активности идентификации, оценки, анализа видов рисков (качественные и количественные), организации и, вводным образом, управления рисками. Актуальность и необходимость организации процессов анализа и управления рисками в единую комплексную программу, которая будет способна охватить и гармонизировать отдельные её части в единый административно-программный комплекс мы изложили и подтвердили в ранее изложенном материале.

Сегодня мы рассмотрим раздел дисциплины риск-менеджмента – «Комплексная программа управления рисками», который решает задачи повышения эффективности уже организованных процедур, внедрение новых, инновационных и при этом эффективных методов и техник, снижение явных и потенциальных потерь и максимизация эффекта основной/ых деятельностей компании.

Тут стоит отметить, что комплексная программа управления рисками представляет собой один из вариантов процесса риск-менеджмента. Реализация данной комплексной программы может быть рассмотрена как альтернатива внедрению риск-менеджмента. Каждый из рассмотренных нами ранее этапов процесса анализа и управления рисками представляет собой законченные стадии процессов внедрения риск-менеджмента, и могут быть использованы при планировании данной деятельности в конкретной организации, с условием адаптации под определенные условии компании.

По мнению многих экспертов, задачи программ управления рисками должны заключаться в достижении следующих результатов:

Оптимальное использование имеющегося капитала;
Получение максимального дохода;
Повышение устойчивости развития компании;
Снижение вероятности потери части или всей стоимости продукта или сервиса, получаемого от процессов домена информационных технологий, конкретной организации.

Таким образом, комплексную программу по управления рисками стоит рассматривать не только в качестве ИТ процесса, а скорее, в преобладающем значении данной активности, как бизнес составляющую предмета риск-менеджмента, от правильной организации которой будет зависеть конечный результат и дальнейшее положении организации на рынке.

Программа управления рисками

Современная, успешная комплексная программа управления рисками должна учитывать и решать задачи, связанные с актуальными потребностями компании, в области риск-менеджмента, которая приняла решение о внедрении процессов анализа и управления рисками.

Организации, применяющие риск-менеджмент, как правило, ставит перед этим доменом следующие задачи:

Успешное функционирование, в условиях воздействия рисков;
Защита от негативных, рисковых факторов, мешающих выполнению стратегии и тактик компании;
Обоснованное принятие управленческих решений, с учетом имеющейся информации о явных и потенциальных рисках;
Сохранение и развитие имеющихся информационных средств и технологий;
Снижение чувствительности компании к рискам и повышение стабильности области информационных технологий, в условиях рискового окружения.

Комплексная программа управления рисками должна устанавливать единую структуру при работе с рисками, которая может отличаться вариантами реализации отдельных стадий, но, при этом последовательность (приведена по курсу, в виде последовательности изложения материалов) и результаты (документы) каждой из стадий должны соответствовать именно тем, которую мы привели в своем курсе:

Сбор информации и требованиям по рискам:
- Списки явных и потенциальных причин, которые могут привести к возникновению рисков;
Идентификация рисков:
- Реестр рисков;
Предварительная оценка рисков:
- Приоритезированный реестр рисков;
- Стратегия по работе с рисками;
Качественный анализ рисков:
- Документ, содержащий качественную информацию о рисках и пути их решения (тактики);
- Информация по рискам, которая может быть использована в активности количественного анализа;
- База знаний/данных по ранее выявленным рискам с их описанием;
Количественный анализ рисков:
- Документ, содержащий количественную информацию о рисках и пути их решения (тактики);
- Статистическая информация, которая может быть использована для дальнейшего учета рисков и планирования путей их решения;
Система по анализу рисков:
- Выработанные порядки и регламенты, которые должны агрегировать и использовать ранее полученные документы, с целью достижения показателей деятельности риск-менеджмента;
Комплексная программа управления рисками:
- Документ, содержащий информацию о комплексной программе управления рисками;
- План процедур управления рисками;
Дальнейшие активности:
- План мониторинга рисков;
- План совершенствования деятельности по анализу и управлению рисками;

При этом, каждый из описанных документов должен быть своевременно актуализирован и отслеживаться в дальнейшем, при выполнении деятельности риск-менеджмента в конкретной компании. При цели построения эффективной комплексной программы управления рисками и надлежащем выполнении составляющих данную цель задач, можно будет контролировать риски на всех организационных уровнях любой организации.

Риск-менеджеры должны быть в состоянии оценить окружающую ситуацию и способствовать разработке и внедрению необходимых документов, процедур, регламентов, описанных выше, в основу которых должны быть положены следующие принципы из области процессов анализа и управления рисками, которые были изложены нами ранее:

Интегрированный, процессный подход к процессам анализа и управления рисками;
Учет наиболее значимых рисков:
- Создание реестра рисков. Актуализация реестра в течение деятельности процессов анализа и управления рисками;
Идентификация рисков;
Определение «хозяина» риска;
Использование ролевой структуры для процесса риск-менеджмента;
Использование определенных методов/групп методов для управления определенными рисками;
Определение допустимых уровней рисков:
- Контроль за состоянием рисков;

Чуть ранее, когда мы говорили об обеспечении деятельности риск-менеджмента, мы затронули тему документационного обеспечения данного направления работ, но при этом не раскрыли её более подробно. В разделе посвященном разработке процедур управления рисками, мы уделим особое внимание данному пункту.

Здесь же хочется сказать о том, что документация и ее реализация являются очень важной «вехой» работ разработки комплексной программы, игнорирование которых может привести к тому, что разработанная программа будет «одномоментным мероприятием». Такая реализация «рискует» остаться в конкретных «головах». Комплексная программа будет «закончена» с уходом группы ключевых специалистов, что ставит под сомнение системность подхода к разрабатываемому домену и демонстрирует его неэффективность при подобной реализации.

Нужно сказать о том, что комплексная программа управления рисками должна состоять из процессов, процедур, активностей и т.д. Результаты отдельных стадий, включенных в данную «над» активность должны быть гармонизированы друг с другом таким образом, чтобы четко прослеживались связи между отдельными активностями. От того, насколько успешно, продуманно, сочетаясь с общими целями риск-менеджмента, будет организована интеграция отдельных частей в общее целое зависит конечный результат домена рисков и деятельности организации в целом.

Разработка процедур управления рисками. Бизнес правила

Процедуры, составляющие процесс управления рисками представляют собой «шаблонные» пути решения, цель которых состоит в том, чтобы предложить для выбора в определенной ситуации варианты конкретных решений, которые целесообразно применить для использования в рисковой ситуации с определенными (известными и неизвестными) параметрами.

Выбор в пользу определенного варианта использования будет зависеть от того, насколько та или иная разработанная процедура управления определенным риском/группы рисков адаптирована под нужды конкретного окружения (внешние и внутренние параметры ситуации), соответствует конкретным процессам, в которых возможно проявление риска, будет эффективна для данного случая.

При разработке процедур целесообразно руководствоваться принципами, которые заложены в основе деятельности компании. Такие принципы принято называть бизнес-правилами. Большинство из них формируются в процессе «осознания» тех постулатов, которые являются движущими «рычагами» бизнеса. Они не всегда очевидны (как правило потому, что находятся в «головах» ограниченного количества стэйкхолдеров), но начинают существовать вместе с началом бизнес деятельности. От того, насколько они соблюдаются, зависит заданная стабильность развития того или иного направления бизнеса, в которой они применяются.

Именно бизнес правила и динамика их изменения определяют тренд развития информационных систем и, именно они, влияют на стабильность компании, в данном случае её рисковой составляющей.

Соответственно, из сказанного целесообразно сделать вывод о том, что бизнес правила являются одной из составляющих, определяющих величину «рисковости», которая доступна для управления и изучения.

Но, в современном бизнес сообществе бизнес правила очень часто игнорируются и «подменяются» на конкретные сценарии развития, которые «ложатся» в основу разработки процедур управления рисками. Тут стоит уточнить тот факт, что сценарии использования это конкретные варианты реализации рисков, а «бизнес правила» это универсальные/«псевдоуниверсальные» принципы, которые определяют сценарии использования, поэтому очень важно учитывать то, что при разработке процедур управления рисками должны использоваться именно бизнес правила. В таком случае можно говорить о достаточно надежной защите бизнеса от рисков.

Состав разрабатываемых процедур управления рисками определяется многими факторами, но в его основе находятся 2 основные составляющие, определяющие процедуры по управлению и анализу риск-менеджмента:

Текущее «рисковое» состояние организации;
Потребность/и стэйкхолдеров.

Именно потребности стэйкхолдеров определяют то, каким образом, с какой «документарной» и иными видами поддержки должна быть разработана та или иная процедура. В некоторых случаях разработка процедур может включать в себя следующие активности:

Разработка предложений в части рискового домена для стратегии/политике предприятия;
Документирование основных процедур управления рисками;
Разработка методологии оценки отдельных видов рисков и совокупного риска;
И т.д.

Оптимальноразработанные и примененные процедуры управления рисками позволят уменьшить (или исключить вообще) возможные ущербы, будет способствовать стабилизации и развитию компании.

Еще раз перечислим набор нормативно-методических документов, которые должны обеспечить процедуры управления рисками необходимой инструментально-правовой базой:

Политика управления рисками
Положение об управлении рисками
Процедура управления рисками
Методические указания по описанию и оценке рисков
Методические указания по оценке влияния рисков на работы календарного плана
Методические указания по формированию индикаторов рисков
Справочник по процедуре управления рисками
Справочник по типовым рискам

В итоге нужно сказать о том, что нет процедур управления рисками, которые могли бы быть разработаны таким образом, чтобы претендовать на универсальность и всестороннюю применимость. Каждая процедура должна учитывать специфику конкретной ситуации и определенных рисков, управление которых планируется осуществлять с помощью процедур управления рисками.

Методы управления рисками

В предыдущей статье мы поверхностно рассмотрели многообразие методов управления рисками, классифицировав их по следующим четырем категориям:

Методы уклонения от рисков;
Методы локализации рисков;
Методы диверсификации рисков;
Методы компенсации рисков.

Каждый из описанных методов предлагает конкретные, специализированные и эффективные решения для «рисковых» ситуаций, классифицированных определенным образом (смотри статьи про количественный и качественный метод анализа рисков) из общего множества по факторам, которые в дальнейшем могут явиться причиной возникновения ущерба.

«Искусство» обработки исходной информации, из которой можно вычленить необходимые «зерна» полезных данных смотри в статье про системный подход к процессу управления рискам, но необходимость оптимального учета факторов, критичных для классификации факторов риска является условием успешности применения того или иного метода управления рисками и, соответственно, результативность системы риск-менеджмента в целом.

Как было обосновано ранее, учет изменчивости «рисковой» составляющей и возможная миграция риска/группы рисков, направление которой будет достаточно сложно прогнозируемым, зависит от большого числа переменных:

«Внутренних» по отношению к рисковому окружению;
«Внешних» по отношению к рисковому окружению;
Других рисков, различной степени взаимодействия с исходным;
Эффектов проявления, «соединения», «разъединения» и т.д. рисков;

Поэтому важность накопления системной статистики по тому или иному риску является так же необходимым составляющим успешного выбора определенно метода по работе с рисками, который позволит обеспечить планомерное снижение уровня риска. При этом статистика должна отражать комплексную и адекватную «картину» развития риска.

В том случае, если предприятие, на котором проводится риск-менеджмент является достаточно крупным и условно стабильным в своем развитии, существует вероятность того, что необходимые оперативные реакции на изменения будут отвергнуты. Как правило, это происходит из-за «ложноинерциального» представления о достаточной защищенности от «динамическивозникающих» рисков, что может в дальнейшем привести к угрожающим последствиям от «ближнего» и «дальнего» проявления возникших ущербов.

Надо отметить, что в большинстве случаев

(что в большинстве случаев сложнее прогнозировать, но, как правило, более опасно из-за дополнительных неопределенных параметров)

В подобной ситуации, малые предприятия, неизбалованные приемлемым уровнем стабильности, стремятся более точно и гибко реагировать на неприемлемые для них риски и, при необходимости, сменить приоритеты своих активностей, что практически невыполнимо для средних и крупных организаций.

Реальные ситуации, для которых свойственно разнообразие факторов риска, должны учитывать критичные для них факторы и в зависимости от этого избирать оптимальный метод управления риском.

Дополнительным условием, которое накладывает ограничение на выбор метода управления риском, является персона руководителя, от чьего решения зависит то, какой будет выбран в конечном итоге метод.

Важно, чтобы данное лицо принимающее решение могло взглянуть на рабочую картину достаточно комплексно, и принять оптимальное, для конкретных условий, решение.

Выводы

Итак, в следующей статье, которая будет являться второй частью рассматриваемой темы, мы начнем с того, что подробно, с конкретными практическими примерами, рассмотрим классификацию методов управления рисками, подвергнем «декомпозиции» процессы сопровождения и совершенствования домена управления рисками, постараемся подробно осветить необходимый для этого инструментарий.

На этой «интригующей» ноте мы сегодня прощаемся с Вами.

Всего доброго и до скорых встреч, уважаемые коллеги!

Продолжая тематику оценки и управления рисками информационной безопасности в этом посте мне бы хотелось поговорить о программном обеспечении, которое может быть использовано для выполнения оценки рисков. Зачем вообще нужно это программное обеспечение? Дело в том, что как только вы глубоко погрузитесь в этот процесс, то сразу станет понятно, что проведение оценки сопряжено с довольно сложной комбинаторикой. Сочетание разных активов, уязвимостей, угроз, защитных мер рождает сотни, тысячи возможных комбинаций, описывающих риски и тут уже без подручных средств не обойтись. Что же сейчас можно найти на просторах интернета:

vsRisk . Программное обеспечение от британской компании Vigilant Software . Продукт позиционируется в первую очередь как программное обеспечение для оценки рисков в соответствии с требованиями ISO 27001 и BS7799-3 (ныне ISO27005). На сайте можно скачать триалку на 15 дней (размер - 390 МБ). Система мне показалась довольно примитивной и совсем не дружественной неподготовленному пользователю. В программе, например, есть довольно обширные списки возможных угроз, уязвимостей и контрмер, но при этом сама система не определяет никаких взаимосвящей между ними, это делается вручную самим пользователем. В общем я бы оценил программку на 3-ку. За что там просят 1700 Евро?! 8-).

PTA. Разработка компанииPTA Technologies . Крайне интересный продукт на мой взгляд. Не привязан к какому-либо стандарту и реализует механизм количественной оценки рисков (!). Это я, кстати, отметил бы скорее как недостаток данного программного обеспечения, т.к. все дело в том, что далеко не все можно оценить с точностью до доллара, а возможность качественной оценки не предусмотрена. В системе также предусмотрен интересный механизм оценки эффективности предлагаемых контрмер, на основании чего можно, например, выдеть как меняется карта рисков когда мы добавляем или убираем те или иные контрмеры.

На сайте разработчика укзаано, что продукт платный и для скачивания доступна только триалка на 30 дней. Сколько же стоит сам продукт и как его можно приобрести - информации нет (видимо подход индивидуальный:)).

RSA Archer . Разработка компании Archer , с недавних пор принадлежащей гиганту RSA. Вообще говоря Archer - это такой огромный GRC-комбайн, который включает в себя множество различных модулей, один из которых обеспечивает управление рисками. Триалок для скачивания не предоставляется, на сайте есть презентационные видео. Стоимость данного продукта также не обозначена, но думаю что будет дорого, как и впрочем и все у RSA:)

Modulo Risk Manager . Разработка компании Modulo . На сайте доступно только довольно бедное описание функционала. Никакой триальной версии, никаких подробных видео-роликов. Тем не менее продукт отмечен наградой SC Magazine, а это значит что он все же чего-то стоит. К сожалению мне пока не удалось с ним ознакомиться.

RM Studio. Продукт одноименной организации (сайт). Д ля скачивания доступна 30-дневная триалка, помимо этого на сайте можно посмотреть видео-ролики, демонстрирующие сценарии использования продукта. На мой взгляд данное программное обеспечение слишком примитивное в плане оценки рисков и подходит только тем, кто делает оценку рисков "для галочки".

Гриф . Разработка компании Digital Security. Привел этот программный продукт скорее просто для общей картины. Сам продукт уже много лет никак не поддерживается компанией-разработчиком. Поэтому можно сказать, что его фактически уже нет. Пока это единственная отечественная разработка в этой области известная мне.

Откровенно говоря не густо. Я понимаю что мой обзор не может претендовать на 100% полноту, но все же....

Если кто-то знает еще какое-то программное обеспечение или другие способы автоматизации при проведени оценки рисков - прошу писать в комменты, обсудим.

Важное обновление! Компания ISM SYSTEMS сообщила о разработке инструмента по автоматизации оценки рисков - ISM Revision: Risk Manager. Предварительная информация доступна здесь - http://www.ismsys.ru/?page_id=73 . Продукт выглядит многообещающе. Более подробный обзор сделаю позже.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Государственное бюджетное профессиональное образовательное учреждение Ростовской области «Ростовский-на-Дону колледж связи и информатики»

ГБПОУ РО «РКСИ»

Доклад на тему:

«Методики и программные продукты для оценки рисков Riscis Watch»

Выполнил студент: Железниченко Артем

Группа № ИБ-22

Преподаватель:

Тимченко Дмитрий Анатольевич

Ростов-на-Дону

Введение

Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса -- как оценить достаточный уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ -- применение систем анализа рисков, позволяющих оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины: ограничение бюджета и отсутствие поддержки со стороны руководства.

Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности для ИТ-менеджера задачи обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Зачастую многие склонны думать, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках -- техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков. Одним из таких программных комплексов является американский RiskWatch (компания RiskWatch).

1. Характеристика RiskWatch

Метод RiskWath, разработан при участии Национального Института Стандартов и Технологий США (U.S. NIST), Министерства обороны США (U.S. DoD) Министерства обороны Канады (Canadian Dept. Of National Canadian Defence) в 1998 году, фактически является стандартом для американских государственных организаций не только в США, но и по всему миру.

Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, является мощным средством анализа и управления рисками.

Компания RiskWatch предлагает в основном принципиально два продукта: один в области информационной безопасности _ IT Security, второй в области физической безопасности _ Physical Security. Программное обеспечение предназначено для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и "физической" безопасности предприятия. Причем для разных типов организаций предлагается разные версии программного обеспечения.

В линейке продуктов, предназначенных для управления рисками в различных системах, учитываются требования таких стандартов (документов): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 и др.

В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

1. RiskWatch for Physical Security - для физических методов защиты ИС;

2. RiskWatch for Information Systems - для информационных рисков;

3. HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA;

4. RiskWatch RW17799 for ISO17799 - для оценки требованиям стандарта ISO17799.

2. Достоинства и недостатки RiskWatch

Существенным достоинством RiskWatch с точки зрения потребителя является сравнительная простота, малая трудоемкость русификации и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д. На основе этого метода отечественные разработчики могут создавать свои профили, учитывающие отечественные требования в области безопасности, разработать ведомственные методики анализа и управления рисками.

Несмотря на свои достоинства RiskWatch имеет и свои недостатки.

Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций -- метод не учитывает комплексный подход к информационной безопасности.

1. ПО RiskWatch существует только на английском языке.

2. Высокая стоимость лицензии - от $15 000 за одно рабочее место для небольшой компании и от $125 000 за корпоративную лицензию.

3. Методика анализа рисков, которая лежит в основе RiskWatch

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 этапа:

Необходимо рассмотреть более подробно каждый из этапов методики анализа рисков.

1. На первом этапе описываются общие параметры организации - тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.

2. Второй этап - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе подробно описываются ресурсы, потери и классы инцидентов.

3. Третий этап - оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год по формуле:

где p - частота возникновения угрозы в течение года, v - стоимость ресурса, который подвергается угрозе.

4. Четвертый этап - генерация отчетов. Типы отчетов: краткие итоги; полные и краткие отчеты об элементах, описанных на стадиях 1 и 2; отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз; отчет об угрозах и мерах противодействия; отчет о результатах аудита безопасности.

Заключение

информационный безопасность программный обеспечение

RiskWatch - программное обеспечение, разрабатываемое американской компанией RiskWatch.

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Несмотря на это RiskWatch имеет и некоторые недостатки: существует высокая стоимость лицензии; программное обеспечение RiskWatch существует только на английском языке.

В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов.

Первый этап - определение предмета исследования.

Второй этап - ввод данных, описывающих конкретные характеристики системы.

Третий, самый важный этап - количественная оценка.

Четвертый этап - генерация отчетов.

Размещено на Allbest.ru

Подобные документы

Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.

дипломная работа , добавлен 02.08.2012

Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.

курсовая работа , добавлен 25.11.2013

Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.

курсовая работа , добавлен 17.05.2016

Разработка самообучающейся интеллектуальной информационной системы для анализа кредитоспособности заемщика и оценки кредитных рисков на основе подхода иммунокомпьютинга. Применение процедур кластеризации, классификации и формирования оценок рисков.

курсовая работа , добавлен 09.06.2012

Методика исследования и анализа средств аудита системы Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин. Анализ угрозы информационной безопасности. Алгоритм работы программного средства.

дипломная работа , добавлен 28.06.2011

Программная и техническая характеристика информационных систем предприятия. Требования к информационной и программной совместимости. Проектирование программного обеспечения с использованием специализированных программных пакетов. Разработка базы данных.

отчет по практике , добавлен 11.04.2019

Классификация основных рисков, их идентификация. Планирование и оценка рисков информационной системы в организации, принятие мер для устранения рисков. Определение точки безубыточности проекта. Расчет цены потерь и вероятности наступления риска.

лабораторная работа , добавлен 20.01.2016

Понятие и ключевое отличие распределенной разработки программного обеспечения, его достоинства и недостатки. Концептуальное решение и выбор типа разработки. Особенности программного обеспечения с открытым исходным кодом. Идея и развитие Open Source.

курсовая работа , добавлен 14.12.2012

Автоматизация деятельности по проведению анализа деловой активности предприятия. Реализация предложенной методики в виде программного обеспечения, основные требования к нему. Структура и состав комплекса программных модулей, руководство пользователя.

курсовая работа , добавлен 28.05.2013

Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

Откровенно говоря не густо. Я понимаю что мой обзор не может претендовать на 100% полноту, но все же....

Необходимость инвестиций в информационную безопасность (ИБ) бизнеса не вызывает сомнений. Чтобы подтвердить актуальность задачи обеспечения безопасности бизнеса, воспользуемся отчетом ФБР, выпущенным по материалам опроса американских компаний (средний и крупный бизнес). Статистика инцидентов в области ИТ-секьюрити неумолима. Согласно данным ФБР, в нынешнем году 56% опрошенных компаний подвергались атаке (рис. 1).

Но как оценить уровень вложений в ИБ, который обеспечит максимальную эффективность вложенных средств? Для решения этой задачи существует только один способ - применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

Обоснование инвестиций

По статистике, самые серьезные препятствия на пути принятия каких-либо мер для обеспечения информационной безопасности в компании связаны с двумя причинами: ограничение бюджета и отсутствие поддержки со стороны руководства.

Обе эти причины возникают из-за непонимания руководством серьезности вопроса и неспособности ИТ-менеджера обосновать, зачем вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для улучшения защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет себе, сколько денег компания может потерять в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно принять для повышения уровня защищенности, не потратив при этом лишних денег, и все это подтверждено документально, то решение его задачи - убедить руководство обратить внимание и выделить средства на обеспечение ИБ - становится значительно более реальным.

Для решения такого рода задач разработаны специальные методы и построенные на их базе программные комплексы анализа и контроля информационных рисков. Мы рассмотрим систему CRAMM британской компании Insight Consulting (http://www.insight.co.uk), американскую RiskWatch одноименной компании (http://www.riskwatch.com) и российский пакет ГРИФ компании Digital Security (http://www.dsec.ru). Их сравнительные характеристики приведены в таблице.

Сравнительный анализ инструментальных средств анализа рисков

Критерии сравнения	CRAMM	RiskWatch	ГРИФ 2005 Digital Security Office
Поддержка	Обеспечивается	Обеспечивается	Обеспечивается
Легкость работы для пользователя		Требует специальной подготовки и высокой квалификации аудитора	Интерфейс ориентирован на ИТ-менеджеров и руководителей; не требует специальных знаний в области ИБ
Стоимость лицензии за одно рабочее место, долл.	От 2000 до 5000	От 10 000	От 1000
Системные требования	ОС Windows 98/Me/NT/2000/XP Свободное дисковое пространство 50 Мбайт Минимальные требования: частота процессора 800 МГц, 64 Мбайт памяти	ОС Windows 2000/XP Свободное дисковое пространство для инсталляции 30 Мбайт Процессор Intel Pentium или совместимый, 256 Мбайт памяти	ОС Windows 2000/XP Минимальные требования: свободное дисковое пространство (для диска c данными пользователя) 300 Мбайт, 256 Мбайт памяти
Функциональность	Входные данные: ресурсы; ценность ресурсов; угрозы; уязвимости системы; выбор адекватных контрмер. Варианты отчетов: отчет по анализу рисков; общий отчет по анализу рисков; детализированный отчет по анализу рисков.	Входные данные: тип информационной системы; базовые требования в области безопасности; ресурсы; потери; угрозы; уязвимости; меры защиты; ценность ресурсов; частота возникновения угроз; выбор контрмер. Варианты отчетов: краткие итоги; отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз; отчет о ROI	Входные данные: ресурсы; сетевое оборудование; виды информации; группы пользователей; средства защиты; угрозы; уязвимости; выбор контрмер. Состав отчета: инвентаризация ресурсов; риски по видам информации; риски по ресурсам; соотношение ущерба и риска информации и ресурса; выбранные контрмеры; рекомендации экспертов.
Количественный/качественный метод	Качественная оценка	Количественная оценка	Качественная и количественная оценки
Сетевое решение	Отсутствует	Отсутствует	Корпоративная версия Digital Security Office 2005

CRAMM

Метод CRAMM (CCTA Risk Analysis and Management Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию британского правительства и взят на вооружение в качестве государственного стандарта. Начиная с 1985 г. он используется правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting занимается разработкой и сопровождением программного продукта, реализующего метод CRAMM.

Метод CRAMM (http://www.cramm.com) не случайно выбран нами для более детального рассмотрения. В настоящее время CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать ряд других аудиторских задач, включая:

обследование ИС и выпуск сопроводительной документации на всех этапах его проведения;
аудит в соответствии с требованиями британского правительства, а также стандарта BS 7799:1995 Code of Practice for Information Security Management;
разработку политики безопасности и плана обеспечения непрерывности бизнеса.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод универсален и подходит и для больших, и для малых организаций как правительственного, так и коммерческого сектора. Версии ПО CRAMM, ориентированные на разные типы организаций, отличаются друг от друга базами знаний (profiles): для коммерческих организаций имеется Commercial Profile, для правительственных - Government profile. Правительственный вариант профиля также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC ("Оранжевая книга"). Концептуальная схема проведения обследования по методу CRAMM показана на рис. 2.

При грамотном использовании метода CRAMM удается получать очень хорошие результаты, из которых, пожалуй, наиболее важный - возможность экономического обоснования расходов организации на обеспечение ИБ и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет в конечном счете сохранить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задача первого этапа состоит в ответе на вопрос: "Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?" На втором этапе проводится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

На первой стадии исследования выполняется идентификация и определение ценности защищаемых ресурсов. Оценка проводится по десятибалльной шкале, причем критериев оценки может быть несколько - финансовые потери, ущерб репутации и т. д. В описаниях CRAMM в качестве примера приводится такая шкала оценки по критерию "Финансовые потери, связанные с восстановлением ресурсов":

2 балла - менее 1000 долл.;
6 баллов - от 1000 до 10 000 долл.;
8 баллов - от 10 000 до 100 000 долл.;
10 баллов - свыше 100 000 долл.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что для рассматриваемой системы достаточно базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ), и вторая стадия исследования пропускается.

На второй стадии идентифицируются и оцениваются угрозы в сфере ИБ, проводится поиск и оценка уязвимостей защищаемой системы. Уровень угроз оценивается по следующей шкале: очень высокий, высокий, средний, низкий, очень низкий. Уровень уязвимости оценивается как высокий, средний или низкий. На основе этой информации вычисляется оценка уровня риска по семибалльной шкале (рис. 3).

На третьей стадии CRAMM генерирует варианты мер противодействия выявленным рискам. Продукт предлагает рекомендации следующих типов:

рекомендации общего характера;
конкретные рекомендации;
примеры того, как можно организовать защиту в данной ситуации.

CRAMM имеет обширную базу, в которой содержатся описания около 1000 примеров реализации подсистем защиты различных компьютерных систем. Эти описания можно использовать в качестве шаблонов.

Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задача аудитора состоит в том, чтобы обосновать рекомендуемые меры для руководства организации.

Если принято решение о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения и оценки эффективности использования этих мер. Решение этих задач выходит за рамки метода CRAMM.

К недостаткам метода CRAMM можно отнести следующие:

метод требует специальной подготовки и высокой квалификации аудитора;
аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, запущенных в эксплуатацию, нежели для ИС, находящихся на стадии разработки;
программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
ПО CRAMM не локализовано, существует только на английском языке;
высокая стоимость лицензии - от 2000 до 5000 долл.

RiskWatch

ПО RiskWatch - это мощное средство анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

RiskWatch for Physical Security - для физических методов защиты ИС;
RiskWatch for Information Systems - для информационных рисков;
HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);
RiskWatch RW17799 for ISO 17799 - для оценки соответствия требованиям стандарта ISO 17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).

Семейство программных продуктов RiskWatch имеет массу достоинств. RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. В отличие от CRAMM, программа RiskWatch более ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Следует также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно.

В основе продукта RiskWatch лежит методика анализа рисков, в которой можно выделить четыре этапа.

Первый этап - определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика в шаблонах, соответствующих типу организации ("коммерческая информационная система", "государственная/военная информационная система" и т. д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

Например, для потерь предусмотрены такие категории:

задержки и отказ в обслуживании;
раскрытие информации;
прямые потери (например, от уничтожения оборудования огнем);
жизнь и здоровье (персонала, заказчиков и т. д.);
изменение данных;
косвенные потери (например, затраты на восстановление);
репутация.

Второй этап - ввод данных, описывающих конкретные характеристики системы. Они могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

На этом этапе подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.

Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов. Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.

Третий и, наверное, самый важный этап - количественная оценка. На этом этапе рассчитывается профиль рисков и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования (риск описывается совокупностью этих четырех параметров).

Фактически риск оценивается с помощью математического ожидания потерь за год. Например, если стоимость сервера - 150 тыс. долл., а вероятность того, что он будет уничтожен пожаром в течение года, равна 0,01, то ожидаемые потери составят 1500 долл.

Общеизвестная формула m=p х v, где m - математическое ожидание, p - вероятность возникновения угрозы, v - стоимость ресурса, претерпела некоторые изменения в связи с тем, что RiskWatch использует определенные американским Институтом стандартов NIST оценки, называемые LAFE и SAFE. LAFE (Local Annual Frequency Estimate) показывает, сколько раз в год в среднем данная угроза реализуется в данном месте (например, в городе). SAFE (Standard Annual Frequency Estimate) показывает, сколько раз в год в среднем данная угроза реализуется в этой "части мира" (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что при реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а лишь частично.

Дополнительно рассматриваются сценарии "что, если...", которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них, можно оценить эффект от таких мероприятий.

RiskWatch включает в себя базы с оценками LAFE и SAFE, а также с обобщенным описанием различных типов средств защиты.

Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment - отдача от инвестиций), который показывает отдачу от сделанных инвестиций за определенный период времени. Рассчитывается этот показатель по формуле:

где Costsi - затраты на внедрение и поддержание i-той меры защиты; Benefitsi - оценка той пользы (ожидаемого снижения потерь), которую приносит внедрение данной меры защиты; NVP (Net Value Present) дает поправку на инфляцию.

Четвертый этап - генерация отчетов. Возможны следующие типы отчетов:

краткие итоги;
полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;
отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
отчет об угрозах и мерах противодействия;
отчет о ROI;
отчет о результатах аудита безопасности.

Пример расчета показателя ROI для различных мер защиты приведен на рис. 5.

Таким образом, RiskWatch позволяет оценить не только риски, которые сейчас существуют на предприятии, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия.

Для отечественных пользователей проблема заключается в том, что получить используемые в RiskWatch оценки (такие, как LAFE и SAFE) для наших условий достаточно проблематично. Хотя сама методология может с успехом применяться и у нас.

Подводя итог, отметим, что, выбирая конкретную методику анализа рисков на предприятии и поддерживающие ее инструментальные средства, следует ответить на вопрос: нужна ли точная количественная оценка последствий реализации угроз или достаточно оценки на качественном уровне. Необходимо также учитывать следующие факторы: наличие экспертов, способных дать достоверные оценки объема потерь от угроз информационной безопасности, и наличие на предприятии достоверной статистики инцидентов в сфере информационной безопасности.

К недостаткам RiskWatch можно отнести следующее:

данный метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;
полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности;
ПО RiskWatch существует только на английском языке;
высокая стоимость лицензии - от 10 000 долл. за одно рабочее место для небольшой компании.

ГРИФ

ГРИФ - это комплексная система анализа и управления рисками информационной системы компании. ГРИФ 2005 из состава Digital Security Office (http://www.dsec.ru/products/grif/) дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты корпоративной информации.

Система ГРИФ анализирует уровень защищенности ресурсов, оценивает возможный ущерб от реализации угроз ИБ и помогает управлять рисками, выбирая контрмеры.

Анализ рисков ИС проводится двумя способами: при помощи модели информационных потоков или модели угроз и уязвимостей, в зависимости от того, какими исходными данными располагает пользователь, а также от того, какие данные его интересуют на выходе.

Модель информационных потоков

При работе с моделью информационных потоков в систему вносится полная информация обо всех ресурсах с ценной информацией, пользователях, имеющих доступ к этим ресурсам, видах и правах доступа. Заносятся данные обо всех средствах защиты каждого ресурса, сетевые взаимосвязи ресурсов, характеристики политики безопасности компании. В результате получается полная модель информационной системы.

На первом этапе работы с программой пользователь вносит все объекты своей информационной системы: отделы, ресурсы (к специфичным объектам данной модели относятся сетевые группы, сетевые устройства, виды информации, группы пользователей, бизнес-процессы).

Далее пользователю необходимо проставить связи, т. е. определить, к каким отделам и сетевым группам относятся ресурсы, какая информация хранится на ресурсе и какие группы пользователей имеют к ней доступ. Пользователь также указывает средства защиты ресурса и информации.

На завершающем этапе пользователь отвечает на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков.

Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т. д.

В результате выполнения всех действий на данных этапах на выходе формируется полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.

Модель угроз и уязвимостей

Работа с моделью анализа угроз и уязвимостей подразумевает определение уязвимостей каждого ресурса с ценной информацией и соответствующих угроз, которые могут быть реализованы через данные уязвимости. В результате получается полная картина слабых мест в информационной системе и того ущерба, который может быть нанесен.

На первом этапе работы с продуктом пользователь вносит в систему объекты своей ИС: отделы, ресурсы (к специфичным объектам для данной модели относятся угрозы информационной системе и уязвимости, через которые реализуются угрозы).

Система ГРИФ 2005 включает обширные встроенные каталоги угроз и уязвимостей, в которых содержится около 100 угроз и 200 уязвимостей. Для максимальной полноты и универсальности данных каталогов эксперты Digital Security разработали специальную классификацию угроз DSECCT, в которой реализован многолетний практический опыт в области информационной безопасности. Используя эти каталоги, пользователь может выбрать угрозы и уязвимости, относящиеся к его информационной системе.

Алгоритм системы ГРИФ 2005 анализирует построенную модель и генерирует отчет, который содержит значения риска для каждого ресурса. Конфигурация отчета может быть практически любой, что позволяет создавать как краткие отчеты для руководства, так и детальные отчеты для дальнейшей работы с результатами (рис. 6).

Рис. 6. Пример отчета в системе ГРИФ 2005.

Система ГРИФ 2005 содержит модуль управления рисками, который позволяет проанализировать все причины того, что после обработки алгоритмом занесенных данных получается именно такое значение риска. Таким образом, зная причины, можно получить данные, необходимые для реализации контрмер и, соответственно, снижения уровня риска. Рассчитав эффективность каждой возможной контрмеры, а также определив значение остаточного риска, можно выбрать контрмеры, которые позволят снизить риск до необходимого уровня.

В результате работы с системой ГРИФ строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании, указываются все причины риска с подробным анализом уязвимостей и оценкой экономической эффективности всех возможных контрмер.

***

Лучшие мировые практики и ведущие международные стандарты в области ИБ, в частности ISO 17799, требуют для эффективного управления безопасностью информационной системы внедрения системы анализа и управления рисками. При этом можно использовать любые удобные инструментальные средства, но главное - всегда четко понимать, что система информационной безопасности создана на основе анализа информационных рисков, проверена и обоснована. Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.