Методи и софтуерни продукти за оценка на риска Riscis Watch. Програма за оценка на риска Софтуер за управление на риска

Описахме и проучихме систематичен подход към процеса на управление на риска. Сложността на разглеждането на този въпрос се дължи на факта, че решихме, че няма смисъл да разглеждаме отделни дейности в тази област, за да създадем висококачествена система за анализ и управление на риска. Само при условие на пълно прилагане на всички етапи на управление на риска можем да говорим за система, която може да осигури постигането на поставените цели.

Сложната програма, която си поставихме за цел да започнем да обсъждаме днес, се основава на артефактите (процеси и обекти), които описахме по -рано.

В центъра му са:

• Процедури за планиране на сложни дейности по управление на риска;
• Методи и инструменти за управление на риска, които са взаимосвързани по такъв начин, че се допълват и „обогатяват“ взаимно по време на изпълнението на разглежданата програма.

Така днес ще имаме допълнително „потапяне“ в дейността по анализ и управление на риска, така че нека задържим дъха си ...

Въведение

Към днешна дата вече описахме дейностите по идентифициране, оценка, анализ на видове рискове (качествени и количествени), организация и, по въвеждащ начин, управление на риска. Уместността и необходимостта от организиране на процесите на анализ и управление на риска в единна цялостна програма, която ще може да обхване и хармонизира отделните й части в единен административен и софтуерен комплекс, посочихме и потвърдихме в представените по -рано материали.

Днес ще разгледаме раздела от дисциплината управление на риска - „Цялостна програма за управление на риска“, която решава проблема за повишаване на ефективността на вече организираните процедури, въвеждането на нови, иновативни и същевременно ефективни методии техник, намалявайки очевидните и потенциалните загуби и максимизирайки ефекта от основните дейности на компанията.

Тук си струва да се отбележи, че цялостната програма за управление на риска е една от възможностите за процеса на управление на риска. Изпълнението на тази цялостна програма може да се разглежда като алтернатива на прилагането на управлението на риска. Всеки от разглежданите по -рано етапи от процеса на анализ и управление на риска представлява пълните етапи от процесите на изпълнение на управлението на риска и може да се използва при планиране на тази дейност в конкретна организация, при условие че се адаптира към определени условия на компанията.

Според много експерти целите на програмите за управление на риска трябва да бъдат постигане на следните резултати:

• Оптимално използваненаличен капитал;
• Получаване на максимален доход;
• Повишаване устойчивостта на развитието на компанията;
• Намаляване на вероятността от загуба на част или на цялата стойност на продукт или услуга, получена от процесите в домейна информационни технологии, конкретна организация.

По този начин една цялостна програма за управление на риска трябва да се разглежда не само като ИТ процес, а по -скоро, в преобладаващия смисъл на тази дейност, като бизнес компонент на темата за управление на риска, при правилната организация на която крайният резултат и по -нататъшната позиция на организацията на пазара ще зависи.

Програма за управление на риска

Съвременната, успешна цялостна програма за управление на риска трябва да отчита и решава проблемите, свързани с текущите нужди на компанията в областта на управлението на риска, която е решила да внедри процесите на анализ и управление на риска.

Организациите за управление на риска обикновено поставят следните цели за тази област:

• Успешна експлоатация, в условия на излагане на рискове;
• Защита от негативни, рискови фактори, които пречат на прилагането на стратегията и тактиката на компанията;
• Разумно приемане на управленски решения, като се вземе предвид наличната информация за очевидни и потенциални рискове;
• Запазване и развитие на наличните информационни инструменти и технологии;
• Намаляване на чувствителността на компанията към рискове и повишаване стабилността на информационните технологии в рискова среда.

Цялостна програма за управление на риска трябва да установи единна структура за работа с рискове, която може да се различава във възможностите за изпълнение на отделни етапи, но в същото време и последователността (дадена в курса, под формата на последователност от представяния на материали) и резултатите (документите) на всеки от етапите трябва да съответстват точно на тези, които цитирахме в нашия курс:

• Събиране на информация и изисквания за риск:
  • Списъци с очевидни и потенциални причини, които могат да доведат до рискове;
• Идентификация на риска:
  • Регистър на риска;
• Предварителна оценка на риска:
  • Регистър на приоритетния риск;
  • Стратегия за управление на риска;
• Качествен анализ на риска:
  • Документ, съдържащ висококачествена информация за рисковете и начини за справяне с тях (тактики);
  • Информация за риска, която може да се използва в дейности за количествен анализ;
  • База знания / данни за предварително идентифицирани рискове с тяхното описание;
• Количествен анализ на риска:
  • Документ, съдържащ количествена информация за рисковете и начини за справяне с тях (тактики);
  • Статистическа информация, която може да се използва за по -нататъшно отчитане на риска и за планиране на начини за тяхното справяне;
• Система за анализ на риска:
  • Разработени процедури и разпоредби, които трябва да обобщават и използват по -рано получени документи с цел постигане на показатели за ефективност на управлението на риска;
• Цялостна програма за управление на риска:
  • Документ, съдържащ информация за цялостна програма за управление на риска;
  • План за процедури за управление на риска;
• Допълнителни дейности:
  • План за мониторинг на риска;
  • План за подобряване на анализ и управление на риска;

В същото време всеки от описаните документи трябва да бъде своевременно актуализиран и проследяван в бъдеще, при извършване на дейности по управление на риска в определена компания. С цел изграждане на ефективна цялостна програма за управление на риска и правилно прилагане на компонентите тази целзадачи, ще бъде възможно да се контролират рисковете на всички организационни нива на всяка организация.

Риск мениджърите трябва да могат да оценят заобикалящата ситуация и да допринесат за разработването и прилагането на необходимите документи, процедури, регламенти, описани по -горе, които трябва да се основават на следните принципи от областта на анализа на риска и процесите на управление, които бяха очертани от при нас по -рано:

• Интегриран, базиран на процеси подход за анализ и процеси на управление на риска;
• Разглеждане на най -значимите рискове:
  • Създаване на регистър на рисковете. Актуализиране на регистъра по време на дейностите по процесите на анализ и управление на риска;
• Идентифициране на риска;
• Определяне на "собственика" на риска;
• Използване на ролева структура за процеса на управление на риска;
• Използване на определени методи / групи методи за управление на определени рискове;
• Определение приемливи ниварискове:
  • Контрол върху състоянието на рисковете;

Малко по -рано, когато говорихме за осигуряване на дейностите по управление на риска, засегнахме темата за документалното подпомагане на тази област на работа, но не я разкрихме по -подробно. В раздела, посветен на разработването на процедури за управление на риска, ще обърнем специално внимание на този момент.

Тук бих искал да кажа, че документацията и нейното изпълнение са много важен „крайъгълен камък“ при разработването на цялостна програма, игнорирането на което може да доведе до факта, че разработената програма ще бъде „събитие в една стъпка“. Такова изпълнение "рискува" да остане в конкретни "глави". Сложната програма ще бъде „завършена“ с напускането на група ключови специалисти, което поставя под съмнение системния подход към разработената област и демонстрира нейната неефективност с такова изпълнение.

Трябва да се каже, че една цялостна програма за управление на риска трябва да се състои от процеси, процедури, дейности и т.н. Резултатите от отделните етапи, включени в тази "свръх" дейност, трябва да бъдат хармонизирани помежду си по такъв начин, че да се проследят ясно връзките между отделните дейности. Крайният резултат от рисковата област и дейностите на организацията като цяло зависи от това колко успешно, обмислено, съчетано с общите цели на управлението на риска, ще бъде организирано интегрирането на отделни части в едно цяло.

Разработване на процедури за управление на риска. Бизнес правила

Процедурите, които съставляват процеса на управление на риска, са "шаблонни" решения, чиято цел е да предложат възможности за избор в определена ситуация, опции за конкретни решения, които са подходящи за използване в рискова ситуация с определени (известни и неизвестни) параметри.

Изборът в полза на определен случай на употреба ще зависи от това как определена разработена процедура за управление на определен риск / рискова група е адаптирана към нуждите на определена среда (външни и вътрешни параметри на ситуацията), съответства на специфични процеси, в които проявата на риск е възможна и ще бъде ефективна за този случай.

При разработването на процедури е препоръчително да се ръководите от принципите, заложени в основата на дейността на компанията. Тези принципи обикновено се наричат ​​бизнес правила. Повечето от тях се формират в процеса на „реализиране“ на онези постулати, които са движещите „лостове“ на бизнеса. Те не винаги са очевидни (като правило, тъй като са в „главите“ на ограничен брой заинтересовани страни), но започват да съществуват с началото на стопанската дейност. Дадената стабилност на развитие на една или друга сфера на дейност, в която те се прилагат, зависи от степента, в която те се спазват.

Именно бизнес правилата и динамиката на тяхната промяна определят тенденцията на развитие на информационните системи и именно те влияят върху стабилността на компанията, в този случай нейния рисков компонент.

Съответно от казаното е препоръчително да се заключи, че бизнес правилата са един от компонентите, които определят размера на „риск“, който е на разположение за управление и проучване.

Но в съвременната бизнес общност бизнес правилата много често се пренебрегват и „заместват“ със специфични сценарии за развитие, които „стоят в основата“ на разработването на процедури за управление на риска. Тук си струва да се изясни фактът, че случаите на използване са специфични възможности за прилагане на рискове, а „бизнес правилата“ са универсални / „псевдо-универсални“ принципи, които определят случаите на използване, така че е много важно да се вземе предвид, че бизнес правилата трябва да бъдат използвани при разработване на процедури за управление на риска ... В този случай можем да говорим за доста надеждна защита на бизнеса от рискове.

Съставът на разработените процедури за управление на риска се определя от много фактори, но се основава на 2 основни компонента, които определят процедурите за управление и анализ на управлението на риска:

• Настоящото „рисково“ състояние на организацията;
• Нужди / и заинтересовани страни.

Нуждите на заинтересованите страни определят как, с каква „документална“ и други видове подкрепа трябва да се разработи определена процедура. В някои случаи разработването на процедури може да включва следните дейности:

• Разработване на предложения относно рисковата област за стратегията / политиката на предприятието;
• Документиране на основните процедури за управление на риска;
• Разработване на методология за оценка на определени видове рискове и общ риск;
• И т.н.

Оптимално проектираните и прилагани процедури за управление на риска ще намалят (или премахнат напълно) възможните щети, ще допринесат за стабилизирането и развитието на компанията.

Още веднъж изброяваме набор от регулаторни и методологични документи, които трябва да предоставят процедурите за управление на риска с необходимата инструментална и правна база:

• Политика за управление на риска
• Правила за управление на риска
• Процедура за управление на риска
• Методически указанияотносно описанието и оценката на рисковете
• Методологически указания за оценка на въздействието на рисковете върху работата по графика
• Методологически указания за формиране на индикатори за риск
• Наръчник за процедури за управление на риска
• Типичен наръчник за риска

В резултат на това трябва да се каже, че няма процедури за управление на риска, които биха могли да бъдат разработени по такъв начин, че да претендират за универсалност и всеобхватна приложимост. Всяка процедура трябва да отчита спецификата на конкретна ситуация и определени рискове, които се планират да бъдат управлявани чрез процедури за управление на риска.

Методи за управление на риска

В предишната статия разгледахме накратко разнообразието от методи за управление на риска, като ги класифицирахме в следните четири категории:

• Методи за избягване на риска;
• Методи за локализиране на риска;
• Методи за диверсификация на риска;
• Методи за компенсиране на риска.

Всеки от описаните методи предлага специфични, специализирани и ефективни решенияза „рискови“ ситуации, класифицирани по определен начин (вижте статии за количествения и качествения метод за анализ на риска) от общия набор според фактори, които могат да причинят щети в бъдеще.

"Изкуството" на обработката на първоначалната информация, от която е възможно да се изолират необходимите "зрънца" полезни данни, вижте статията за системен подход към процеса на управление на риска, но необходимостта от оптимално отчитане на факторите, критични за класификацията на рисковите фактори е условие за успешното прилагане на един или друг метод за управление на риска и съответно ефективността на системата за управление на риска като цяло.

Както беше оправдано по -рано, като се вземе предвид променливостта на компонента „риск“ и евентуалната миграция на риск / рискова група, чиято посока ще бъде доста трудно да се предвиди, зависи от голям брой променливи:

• "Вътрешно" по отношение на рисковата среда;
• „Външно“ по отношение на рисковата среда;
• Други рискове, различна степен на взаимодействие с оригинала;
• Ефектите от проявление, "връзка", "прекъсване" и т.н. рискове;

Следователно, значението на натрупването на системна статистика за определен риск също е необходим компонент от успешния избор на категорично метод за справяне с рисковете, който ще осигури системно намаляване на нивото на риска. В същото време статистиката трябва да отразява цялостна и адекватна „картина“ на развитието на риска.

В случай, че предприятието, в което се осъществява управление на риска, е достатъчно голямо и условно стабилно в развитието си, съществува възможност необходимите бързи отговори на промените да бъдат отхвърлени. По правило това се дължи на „фалшиво-инерционна“ идея за достатъчна защита срещу „динамично възникващи“ рискове, които могат допълнително да доведат до заплашителни последици от „близки“ и „далечни“ прояви на произтичащата вреда.

Трябва да се отбележи, че в повечето случаи

(което в повечето случаи е по -трудно да се предвиди, но обикновено е по -опасно поради допълнителни неопределени параметри)

В такава ситуация малките предприятия, които не са разглезени от приемливо ниво на стабилност, се стремят по -точно и гъвкаво да реагират на неприемливи за тях рискове и при необходимост да променят приоритетите на своята дейност, което е практически невъзможно за средните и големите организации .

Реалните ситуации, които се характеризират с различни рискови фактори, трябва да вземат предвид факторите, които са критични за тях и в зависимост от това да изберат оптималния метод за управление на риска.

Допълнително условие, което налага ограничение при избора на метод за управление на риска, е лицето на мениджъра, чието решение зависи от това кой метод ще бъде избран в крайна сметка.

Важно е даден вземащ решение да може да разгледа работната картина по достатъчно изчерпателен начин и да вземе най-доброто решение за конкретни условия.

изводи

И така, в следващата статия, която ще бъде втората част от разглежданата тема, ще започнем с подробните, с конкретни практически примери, ще разгледаме класификацията на методите за управление на риска, ще подложим „разлагането“ на процесите на поддръжка и подобряване на областта на управление на риска, ще се опитаме да подчертаем подробно необходимия този инструментариум.

По тази „интригуваща“ бележка днес се сбогуваме с вас.

Всичко най -добро и до скоро, скъпи колеги!

Продължаване на темата за оценка и управление на риска информационна сигурноств този пост бих искал да говоря за софтуер, който може да се използва за извършване на оценка на риска. Защо изобщо имате нужда от това? софтуер? Факт е, че веднага щом се потопите дълбоко в този процес, веднага ще стане ясно, че провеждането на оценка е свързано с доста сложна комбинаторика. Комбинацията от различни активи, уязвимости, заплахи, защитни мерки поражда стотици, хиляди възможни комбинации, описващи рискове, и тук не можете без импровизирани средства. Какво сега може да се намери в интернет:

vsRisk... Софтуер от британската компания Vigilant Software. Продуктът се продава предимно като софтуер за оценка на риска в съответствие с изискванията на ISO 27001 и BS7799-3 (сега ISO27005). На сайта можете да изтеглите пробна версия за 15 дни (размер - 390 MB). Системата ми се стори доста примитивна и изобщо не приятелска за неподготвен потребител. Програмата например има доста обширни списъци с възможни заплахи, уязвимости и контрамерки, но самата система не дефинира никакви взаимоотношения между тях, това се прави ръчно от самия потребител. Като цяло бих оценил програмата за 3-ку. За какво искат 1700 евро ?! осем-).

PTA.Разработен от PTA Technologies . Изключително интересен продукт според мен. Той не е обвързан с никакъв стандарт и прилага механизъм за количествена оценка на риска (!). Между другото, бих го посочил по -скоро като недостатък на този софтуер, т.к. въпросът е, че не всичко може да бъде оценено с точност на долара и не е предвидена възможност за качествена оценка. Системата предоставя и интересен механизъм за оценка на ефективността на предложените контрамерки, въз основа на който е възможно например да се идентифицира как се променя картата на риска, когато добавим или премахнем определени контрамерки.

Уебсайтът на разработчика посочва, че продуктът е платен и е наличен само 30-дневен пробен период за изтегляне. Колко струва самият продукт и как може да бъде закупен - няма информация (очевидно подходът е индивидуален :)).

RSA Archer... Разработен от Archer, наскоро собственост на гиганта RSA. Най -общо казано, Archer е толкова огромен комбайн за GRC, който включва много различни модули, един от които осигурява управление на риска. Няма пробна версия за изтегляне, на сайта има презентационни видеоклипове. Цена на този продуктсъщо не е маркирано, но мисля, че ще е скъпо, както и всичко за RSA :)

Modulo Risk Manager... Разработен от Modulo. Само доста лошо описание на функционалността е достъпно на сайта. Без пробна версия, без подробни видеоклипове. Въпреки това продуктът получи награда на SC Magazine, което означава, че все още си струва нещо. За съжаление все още не успях да се запозная с него.

Студио RM.Продукт на едноименната организация (уебсайт). дНаличен е 30-дневен пробен период за изтегляне, в допълнение към това можете да гледате видеоклипове, демонстриращи случаи на използване на продукти на сайта. Според мен този софтуер е твърде примитивен по отношение на оценката на риска и е подходящ само за тези, които правят оценка на риска „за шоу”.

Лешояд... Разработен от Digital Security. Донесох този софтуерен продукт по -скоро само за общата картина. Самият продукт не се поддържа от разработчика в продължение на много години. Следователно можем да кажем, че той всъщност вече не съществува. Досега това е единственото познато ми местно развитие в тази област.

Честно казано, не много. Разбирам, че моят преглед не може да претендира, че е 100% завършен, но все пак ....

Ако някой друг знае друг софтуер или други начини за автоматизиране на оценката на риска - моля, напишете в коментарите, ние ще обсъдим.

Важна актуализация! ISM SYSTEMS обяви разработването на инструмент за автоматизиране на оценката на риска - ISM Revision: Risk Manager. Предварителната информация е достъпна тук - http://www.ismsys.ru/?page_id=73. Продуктът изглежда обещаващ. | Повече ▼ подробен прегледЩе го направя по -късно.

Изпратете вашата добра работа в базата знания е проста. Използвайте формата по -долу

Студенти, аспиранти, млади учени, които използват базата знания в обучението и работата си, ще ви бъдат много благодарни.

публикувано на http://www.allbest.ru/

Държавна бюджетна професионална образователна институция на Ростовска област "Ростовски колеж по комуникации и информатика"

GBPOU RO "RKSI"

Доклад по темата:

„Методи и софтуерни продукти за оценка на риска Riscis Watch“

Попълва студент: Железниченко Артем

Група No IB-22

Учител:

Дмитрий Тимченко

Ростов на Дон

Въведение

Днес няма съмнение относно необходимостта от инвестиране в информационна сигурност на съвременния голям бизнес. Основният въпрос на съвременния бизнес е как да се оцени достатъчно ниво на инвестиции в информационната сигурност, за да се осигури максимална ефективност на инвестициите в тази област. За да се реши този проблем, има само един начин - използването на системи за анализ на риска, които позволяват да се оценят съществуващите в системата рискове и да се избере най -ефективната опция за защита (според съотношението на съществуващите рискове в системата към разходите за информация) сигурност).

Според статистиката най -голямата пречка за предприемането на каквито и да е мерки за гарантиране на информационната сигурност в една компания са две причини: бюджетни ограничения и липса на подкрепа от ръководството.

И двете причини произтичат от неразбирането на ръководството от тежестта на проблема и от трудностите за ИТ мениджъра да обоснове защо е необходимо да се инвестира в информационна сигурност. Често много хора смятат, че основният проблем е, че ИТ мениджърите и ръководителите говорят различни езици- технически и финансови, но в крайна сметка самите ИТ специалисти често се затрудняват да преценят за какво да харчат пари и колко е необходимо, за да се гарантира по -голяма сигурност на системата на компанията, така че тези разходи да не се окажат напразни или прекомерно.

Ако ИТ мениджърът ясно разбира колко пари може да загуби една компания в случай на заплахи, кои места в системата са най -уязвими, какви мерки могат да се предприемат, за да се повиши нивото на сигурност и в същото време да не се харчат допълнителни пари, и всичко това е документирано, тогава решението на проблема е убедено ръководството да обърне внимание и да разпредели средства за информационна сигурност става много по -реално.

За решаване на този проблем бяха разработени софтуерни системи за анализ и контрол на информационните рискове. Една от тези софтуерни системи е американската RiskWatch (компания RiskWatch).

1. Характеристики на RiskWatch

Методът RiskWath, разработен с участието на Националния институт по стандарти и технологии на САЩ (NIST на САЩ), Министерството на отбраната на САЩ (Министерството на отбраната на САЩ), Канадското министерство на националната отбрана на Канада (канадското министерство на отбраната на Канада) през 1998 г., всъщност е стандарт за правителствените организации на САЩ не само в САЩ, но и по целия свят.

Софтуерът RiskWatch, разработен от американската компания RiskWatch, е мощен инструмент за анализ и управление на риска.

RiskWatch предлага основно два продукта: един в областта на информационната сигурност _ ИТ сигурност, вторият в областта на физическата сигурност _ Физическа сигурност. Софтуерът е предназначен за идентифициране и оценка на защитени ресурси, заплахи, уязвимости и мерки за защита в областта на компютърната и "физическата" сигурност на предприятието. Освен това за различни видове организации се предлага различни версиисофтуер.

Гамата от продукти, предназначени за управление на риска в различни системи, отчита изискванията на такива стандарти (документи): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 и др.

Семейството RiskWatch включва софтуерни продукти за различни видове одити на сигурността. Той включва следните инструменти за одит и анализ на риска:

1. RiskWatch за физическа сигурност - за физически методи за защита на IP;

2. RiskWatch за информационни системи - за информационни рискове;

3. HIPAA -WATCH за здравната индустрия - за оценка на съответствието с изискванията на стандарта HIPAA;

4. RiskWatch RW17799 за ISO17799 - за оценка на изискванията на стандарта ISO17799.

2. Предимства и недостатъци на RiskWatch

Значително предимство на RiskWatch от гледна точка на потребителя е сравнителната му простота, ниската трудоемкост на русификацията и голямата гъвкавост на метода, осигурена от възможността за въвеждане на нови категории, описания, въпроси и т.н. Въз основа на този метод местните разработчици могат да създадат свои собствени профили, като вземат предвид вътрешните изисквания в областта на сигурността, да разработят ведомствени методи за анализ и управление на риска.

Въпреки своите достойнства, RiskWatch има своите недостатъци.

Този метод е подходящ, ако трябва да извършите анализ на риска на софтуерно и хардуерно ниво на защита, без да отчитате организационни и административни фактори. Получените оценки на риска (математическото очакване на загуби) далеч не изчерпват разбирането за риска от системна гледна точка - методът не взема предвид интегрирания подход към сигурността на информацията.

1. Софтуерът RiskWatch е достъпен само на английски език.

2. Висока цена на лиценз - от $ 15 000 на място за малка компания и от $ 125 000 за корпоративен лиценз.

3. Методологията за анализ на риска, която стои в основата на RiskWatch

RiskWatch ви помага да провеждате анализ на риска и да правите информиран избор относно мерките и средствата за защита. Техниката, използвана в програмата, включва 4 етапа:

Необходимо е да се разгледа по -подробно всеки от етапите на методологията за анализ на риска.

1. На първия етап се описват общите параметри на организацията - видът на организацията, съставът на изследваната система, основните изисквания в областта на сигурността. Описанието е формализирано в редица подточки, които могат да бъдат избрани за повече Подробно описаниеили пропуснете.

2. Вторият етап е въвеждане на данни, описващи специфичните характеристики на системата. Данните могат да бъдат въведени ръчно или импортирани от отчети, генерирани от инструменти за изследване на уязвимостта на компютърната мрежа. На този етап ресурсите, загубите и класовете на инциденти се детайлизират.

3. Третият етап е оценка на риска. Първо, установяват се връзки между ресурси, загуби, заплахи и уязвимости, идентифицирани в предишните етапи. За рисковете математическите очаквания за загуби за годината се изчисляват по формулата:

където p е честотата на възникване на заплахата през годината, v е цената на ресурса, който е под заплаха.

4. Четвъртият етап е генерирането на доклади. Видове отчети: кратки резюмета; пълни и обобщени доклади на елементите, описани в етапи 1 и 2; доклад за цената на защитените ресурси и очакваните загуби от изпълнението на заплахите; доклад за заплахи и противодействия; доклад за одит на сигурността.

Заключение

софтуер за защита на информацията

RiskWatch е софтуер, разработен от американската компания RiskWatch.

RiskWatch ви помага да провеждате анализ на риска и да правите информиран избор относно мерките и средствата за защита. Въпреки това, RiskWatch има някои недостатъци: има висока цена на лиценза; Софтуерът RiskWatch е достъпен само на английски език.

Продуктът RiskWatch се основава на методология за анализ на риска, която се състои от четири етапа.

Първият етап е да се определи предметът на изследване.

Вторият етап е въвеждане на данни, описващи специфичните характеристики на системата.

Третата и най -важна стъпка е количественото определяне.

Четвъртият етап е генерирането на доклади.

Публикувано на Allbest.ru

Подобни документи

Методи за оценка на информационните рискове, техните характеристики и отличителни белези, оценка на предимствата и недостатъците. Разработване на методология за оценка на риска, използвайки примера на методологията на Microsoft, модел за оценка на риска за сигурността на корпоративната информация.

дипломна работа, добавена на 08.02.2012г


Същността и методите за оценка на информационната сигурност. Целите на неговото изпълнение. Методи за анализ на рисковете в информационните технологии. Показатели и алгоритъм за изчисляване на рисковете за заплахата от ИС. Изчисляване на информационни рискове на примера на уеб сървър на търговско дружество.

курсова работа, добавена на 25.11.2013 г.


Същността на информацията, нейната класификация. Основните проблеми на осигуряването и заплахите за информационната сигурност на предприятието. Анализ на риска и принципи на информационната сигурност на предприятието. Разработване на набор от мерки за гарантиране на информационната сигурност.

курсова работа, добавена на 17.05.2016 г.


Разработване на самообучаваща се интелигентна информационна система за анализ на кредитоспособността на кредитополучателя и оценка на кредитните рискове въз основа на имунокомпютърния подход. Прилагане на клъстериращи процедури, класификация и формиране на оценки на риска.

курсова работа, добавена на 06.09.2012 г.


Методология за изследване и анализ на инструментите за одит Windows системис цел откриване на неоторизиран софтуерен достъп до ресурсите на компютрите. Анализ на заплахата за информационната сигурност. Алгоритъм на софтуерния инструмент.

дипломна работа, добавена на 28.06.2011 г.


Софтуер и технически спецификацииинформационни системи на предприятието. Изисквания за информация и софтуерна съвместимост. Проектиране на софтуер с помощта на специализирани софтуерни пакети. Развитие на база данни.

практически доклад, добавен на 04.11.2019 г.


Класификация на основните рискове, тяхното идентифициране. Планиране и оценка на рисковете на информационната система в организацията, предприемане на мерки за отстраняване на рисковете. Определяне на точката на рентабилност на проекта. Изчисляване на стойността на загубите и вероятността от възникване на риск.

лабораторна работа, добавена на 20.01.2016 г.


Концепцията и ключовата разлика на разпределеното разработване на софтуер, неговите предимства и недостатъци. Идейно решение и избор на типа развитие. Характеристики на софтуера с отворен код програмен код... Идея и развитие с отворен код.

курсова работа, добавена на 14.12.2012 г.


Автоматизиране на дейностите за анализ на стопанската дейност на предприятието. Прилагане на предложената методология под формата на софтуер, основни изисквания към нея. Структурата и съставът на комплекса софтуерни модули, упътване за употреба.

курсова работа, добавена на 28.05.2013 г.


Анализ на риска за сигурността на информацията. Оценка на съществуващи и планирани средства за защита. Набор от организационни мерки за осигуряване на информационна сигурност и защита на корпоративната информация. Тестов случай на изпълнение на проекта и неговото описание.

Продължавайки темата за оценка и управление на рисковете за сигурността на информацията в тази публикация, бих искал да говоря за софтуер, който може да се използва за извършване на оценка на риска. Защо изобщо се нуждаете от този софтуер? Факт е, че веднага щом се потопите дълбоко в този процес, веднага ще стане ясно, че провеждането на оценка е свързано с доста сложна комбинаторика. Комбинацията от различни активи, уязвимости, заплахи, защитни мерки поражда стотици, хиляди възможни комбинации, описващи рискове, и тук не можете без импровизирани средства. Какво сега може да се намери в интернет:

vsRisk... Софтуер от британската компания Vigilant Software. Продуктът се продава предимно като софтуер за оценка на риска в съответствие с изискванията на ISO 27001 и BS7799-3 (сега ISO27005). На сайта можете да изтеглите пробна версия за 15 дни (размер - 390 MB). Системата ми се стори доста примитивна и изобщо не приятелска за неподготвен потребител. Програмата например има доста обширни списъци с възможни заплахи, уязвимости и контрамерки, но самата система не дефинира никакви взаимоотношения между тях, това се прави ръчно от самия потребител. Като цяло бих оценил програмата за 3-ку. За какво искат 1700 евро ?! осем-).

PTA.Разработен от PTA Technologies . Изключително интересен продукт според мен. Той не е обвързан с никакъв стандарт и прилага механизъм за количествена оценка на риска (!). Между другото, бих го посочил по -скоро като недостатък на този софтуер, т.к. въпросът е, че не всичко може да бъде оценено с точност на долара и не е предвидена възможност за качествена оценка. Системата предоставя и интересен механизъм за оценка на ефективността на предложените контрамерки, въз основа на който е възможно например да се идентифицира как се променя картата на риска, когато добавим или премахнем определени контрамерки.

Уебсайтът на разработчика посочва, че продуктът е платен и е наличен само 30-дневен пробен период за изтегляне. Колко струва самият продукт и как може да бъде закупен - няма информация (очевидно подходът е индивидуален :)).

RSA Archer... Разработен от Archer, наскоро собственост на гиганта RSA. Най -общо казано, Archer е толкова огромен комбайн за GRC, който включва много различни модули, един от които осигурява управление на риска. Няма пробна версия за изтегляне, на сайта има презентационни видеоклипове. Цената на този продукт също не е посочена, но мисля, че ще струва скъпо, както и всичко за RSA :)

Modulo Risk Manager... Разработен от Modulo. Само доста лошо описание на функционалността е достъпно на сайта. Без пробна версия, без подробни видеоклипове. Въпреки това продуктът получи награда на SC Magazine, което означава, че все още си струва нещо. За съжаление все още не успях да се запозная с него.

Студио RM.Продукт на едноименната организация (уебсайт). дНаличен е 30-дневен пробен период за изтегляне, в допълнение към това можете да гледате видеоклипове, демонстриращи случаи на използване на продукти на сайта. Според мен този софтуер е твърде примитивен по отношение на оценката на риска и е подходящ само за тези, които правят оценка на риска „за шоу”.

Лешояд... Разработен от Digital Security. Донесох този софтуерен продукт по -скоро само за общата картина. Самият продукт не се поддържа от разработчика в продължение на много години. Следователно можем да кажем, че той всъщност вече не съществува. Досега това е единственото познато ми местно развитие в тази област.

Честно казано, не много. Разбирам, че моят преглед не може да претендира, че е 100% завършен, но все пак ....

Ако някой друг знае друг софтуер или други начини за автоматизиране на оценката на риска - моля, напишете в коментарите, ние ще обсъдим.

Важна актуализация! ISM SYSTEMS обяви разработването на инструмент за автоматизиране на оценката на риска - ISM Revision: Risk Manager. Предварителната информация е достъпна тук - http://www.ismsys.ru/?page_id=73. Продуктът изглежда обещаващ. По -късно ще направя по -подробен преглед.

Необходимостта от инвестиции в информационна сигурност (IS) на бизнеса е извън съмнение. За да потвърдим уместността на задачата за гарантиране на сигурността на бизнеса, ще използваме доклада на ФБР, публикуван въз основа на проучване на американски компании (среден и голям бизнес). Статистическите данни за инциденти в областта на ИТ сигурността са непростими. Според ФБР 56% от изследваните компании са били нападнати тази година (Фигура 1).

Но как да се оцени нивото на инвестициите в информационната сигурност, което ще осигури максимална ефективност на инвестираните средства? За да се реши този проблем, има само един начин - да се използват системи за анализ на риска, които позволяват да се оценят съществуващите в системата рискове и да се избере най -ефективната опция за защита (според съотношението на съществуващите рискове в системата към разходите за информационна сигурност ).

Инвестиционна обосновка

Според статистиката най -сериозните пречки пред предприемането на каквито и да е мерки за гарантиране на информационната сигурност в една компания са свързани с две причини: бюджетни ограничения и липса на подкрепа от ръководството.

И двете причини се дължат на неразбирането на ръководството от тежестта на проблема и неспособността на ИТ мениджъра да обоснове защо да инвестира в информационна сигурност. Често се смята, че основният проблем се крие във факта, че ИТ мениджърите и ръководителите говорят на различни езици- технически и финансови, но в крайна сметка самите ИТ специалисти често се затрудняват да преценят за какво да харчат пари и колко са необходими за подобряване на сигурността на системата на компанията, така че тези разходи да не бъдат пропилени или прекомерни.

Ако ИТ мениджърът ясно разбира колко пари компанията може да загуби в случай на заплахи, кои места в системата са най -уязвими, какви мерки могат да бъдат предприети за повишаване на нивото на сигурност, без да се харчат допълнителни пари, и всичко това е документирано, тогава неговите задачи за вземане на решение - да убеди ръководството да обърне внимание и да отдели средства за информационна сигурност - стават много по -реални.

За решаване на този вид проблеми са разработени специални методи и софтуерни системи за анализ и контрол на информационните рискове въз основа на тях. Ще разгледаме CRAMM системата на британската компания Insight Consulting (http://www.insight.co.uk), едноименната американска компания RiskWatch (http://www.riskwatch.com) и руския пакет GRIF от Digital Security (http: // www .dsec.ru). Техните сравнителни характеристики са показани в таблицата.

Сравнителен анализ на инструментите за анализ на риска

Критерии за сравнение	CRAMM	RiskWatch	Офис за цифрова сигурност GRIF 2005
поддържа	Осигурено	Осигурено	Осигурено
Лесна работа за потребителя		Изисква специално обучение и висока квалификация на одитор	Интерфейсът е насочен към ИТ мениджъри и ръководители; не изисква специални познания в областта на информационната сигурност
Цената на лиценза за едно работно място, USD	2000 до 5000	От 10 000	От 1000
Системни изисквания	Windows 98 / Me / NT / 2000 / XP OS Свободно дисково пространство 50 MB Минимални изисквания: честота на процесора 800 MHz, 64 MB памет	Windows 2000 / XP Свободно дисково пространство за инсталиране 30 MB Intel процесор Pentium или съвместим, 256 MB памет	Windows 2000 / XP Минимални изисквания: свободно дисково пространство (за диск с потребителски данни) 300 MB, 256 MB памет
Функционалност	Входни данни: ресурси; стойността на ресурсите; заплахи; системни уязвимости; избор на адекватни мерки за противодействие. Опции за отчет: доклад за анализ на риска; общ доклад за анализ на риска; подробен доклад за анализ на риска.	Входни данни: тип информационна система; основни изисквания за сигурност; ресурси; загуби; заплахи; уязвимости; защитни мерки; стойността на ресурсите; честота на възникване на заплахи; избор на мерки за противодействие. Опции за отчет: кратко обобщение; доклад за цената на защитените ресурси и очакваните загуби от изпълнението на заплахите; Доклад за възвръщаемостта на инвестициите	Входни данни: ресурси; мрежов хардуер; видове информация; групи потребители; Средства за защита; заплахи; уязвимости; избор на мерки за противодействие. Състав на доклада: инвентаризация на ресурсите; рискове по вид информация; ресурсни рискове; съотношение на щети и риск от информация и ресурс; избрани мерки за противодействие; препоръки на експерти.
Количествен / качествен метод	Качествена оценка	Количествено определяне	Качествена и количествена оценка
Мрежово решение	Отсъстващ	Отсъстващ	Enterprise Edition Digital Security Office 2005

CRAMM

Методът CRAMM (CCTA Risk Analysis and Management Method) е разработен от Централната компютърна и телекомуникационна агенция на Великобритания по инструкции на британското правителство и е приет като държавен стандарт. От 1985 г. се използва от правителствени и търговски организации във Великобритания. През това време CRAMM придоби популярност по целия свят. Insight Consulting разработва и поддържа софтуерен продукт, който внедрява метода CRAMM.

Методът CRAMM (http://www.cramm.com) не е случайно избран от нас за по -подробно разглеждане. Понастоящем CRAMM е доста мощен и универсален инструмент, който позволява, освен анализ на риска, да решава редица други одитни задачи, включително:

• Проучване на ИС и пускане на придружаваща документация на всички етапи от изпълнението му;
• одит в съответствие с изискванията на британското правителство, както и BS 7799: 1995 Кодекс на практика за управление на сигурността на информацията;
• разработване на политика за сигурност и план за непрекъснатост на бизнеса.

CRAMM методът се основава на интегриран подход за оценка на риска, съчетаващ количествени и качествени методи за анализ. Методът е универсален и е подходящ както за големи, така и за малки организации както в държавния, така и в търговския сектор. Версиите на софтуера CRAMM за различни типове организации се различават помежду си по бази от знания (профили): има търговски профил за търговски организации и правителствен профил за правителствени организации. Правителствената версия на профила също позволява одит за съответствие с изискванията на американския стандарт ITSEC ("Orange Book"). Концептуална диаграма на CRAMM проучване е показана на фиг. 2.

С правилното използване на метода CRAMM е възможно да се получат много добри резултати, от които може би най -важната е възможността за икономическа обосновка на разходите на организацията за осигуряване на информационна сигурност и непрекъснатост на бизнеса. Икономически обоснована стратегия за управление на риска в крайна сметка спестява пари, като същевременно избягва ненужните разходи.

CRAMM включва разделяне на цялата процедура на три последователни етапа. Задачата на първия етап е да отговори на въпроса: "Достатъчно ли е да се защити системата с помощта на инструменти на основно ниво, които изпълняват традиционните функции за безопасност, или е необходимо да се извърши по -подробен анализ?" На втория етап се идентифицират рисковете и се оценява техният размер. На третия етап се решава въпросът за избор на адекватни противодействия.

Методологията CRAMM за всеки етап определя набор от първоначални данни, последователност от дейности, въпросници за интервюта, контролни списъци и набор от отчетни документи.

На първия етап от изследването се извършва идентифицирането и определянето на стойността на защитените ресурси. Оценката се извършва по десетобална скала и може да има няколко критерия за оценка - финансови загуби, увреждане на репутацията и др. Описанията на CRAMM дават пример за такава рейтингова скала според критерия „Финансови загуби, свързани с възстановяване на ресурсите ":

• 2 точки - по -малко от $ 1000;
• 6 точки - от 1000 до 10 000 долара;
• 8 точки - от $ 10 000 до $ 100 000;
• 10 точки - над 100 000 долара

С нисък резултат за всички използвани критерии (3 точки и по -ниски) се счита, че основно ниво на защита е достатъчно за разглежданата система (това ниво не изисква подробна оценка на заплахите за информационната сигурност), а второто етапът на изследването се пропуска.

На втория етап се идентифицират и оценяват заплахите в областта на информационната сигурност, извършва се търсене и оценка на уязвимостите на защитената система. Нивото на заплаха се оценява по следната скала: много високо, високо, средно, ниско, много ниско. Уязвимостта е оценена като висока, средна или ниска. Въз основа на тази информация се изчислява оценка на нивото на риска по седембална скала (фиг. 3).

На третия етап CRAMM генерира възможности за противодействие на идентифицираните рискове. Продуктът предлага следните видове препоръки:

• общи препоръки;
• конкретни препоръки;
• примери за това как можете да организирате защита в тази ситуация.

CRAMM има обширна база данни, която съдържа описания на около 1000 примера за внедряване на подсистеми за сигурност за различни компютърни системи. Тези описания могат да се използват като шаблони.

Решението за въвеждане на нови механизми за сигурност в системата и модифициране на стари се взема от ръководството на организацията, като се вземат предвид свързаните разходи, тяхната приемливост и крайната полза за бизнеса. Задачата на одитора е да обоснове препоръчаните действия за ръководството на организацията.

Ако се вземе решение за въвеждане на нови противодействия и промяна на стари, одиторът може да бъде натоварен с изготвяне на план за изпълнение и оценка на ефективността от използването на тези мерки. Решението на тези проблеми е извън обхвата на CRAMM метода.

Недостатъците на метода CRAMM включват следното:

• методът изисква специално обучение и висока квалификация на одитора;
• одитът по метода CRAMM е доста трудоемък процес и може да изисква месеци непрекъсната работа на одитора;
• CRAMM е много по -подходящ за одит на вече съществуващи ИС, които са пуснати в експлоатация, отколкото за ИС, които са в процес на разработка;
• Софтуерният инструментариум CRAMM генерира голямо количество хартиена документация, което не винаги е полезно на практика;
• CRAMM не ви позволява да създавате свои собствени шаблони за отчети или да променяте съществуващи;
• възможността за допълване на базата знания CRAMM не е достъпна за потребителите, което причинява определени трудности при адаптирането на този метод към нуждите на конкретна организация;
• Софтуерът CRAMM не е локализиран, съществува само на английски език;
• висока цена на лиценза - от 2000 до 5000 долара

RiskWatch

Софтуерът RiskWatch е мощен инструмент за анализ и управление на риска. Семейството RiskWatch включва софтуерни продукти за различни видове одити на сигурността. Той включва следните инструменти за одит и анализ на риска:

• RiskWatch за физическа сигурност - за физически методи за защита на IP;
• RiskWatch за информационни системи - за информационни рискове;
• HIPAA -WATCH за индустрията на здравеопазването - за оценка на съответствието с изискванията на стандарта HIPAA (Закон за преносимост и отчетност на здравните осигуровки на САЩ);
• RiskWatch RW17799 за ISO 17799 - за оценка на съответствието с ISO 17799.

Методът RiskWatch използва прогнози за годишни загуби (ALE) и възвръщаемост на инвестициите (ROI) като критерии за оценка и управление на риска.

Семейството софтуерни продукти RiskWatch има много предимства. RiskWatch ви помага да провеждате анализ на риска и да правите информиран избор относно мерките и средствата за защита. За разлика от CRAMM, RiskWatch е по -фокусиран върху точното количествено определяне на съотношението на загубите от заплахи за сигурността към разходите за създаване на система за защита. Трябва също така да се отбележи, че в този продукт рисковете в областта на информацията и физическата сигурност на компютърната мрежа на предприятието се разглеждат заедно.

Продуктът RiskWatch се основава на методология за анализ на риска, която може да бъде разделена на четири етапа.

Първият етап е да се определи предметът на изследване. Той описва такива параметри като типа организация, състава на изследваната система (в общи линии), основните изисквания в областта на сигурността. За да се улесни работата на анализатора, шаблоните, съответстващи на типа организация („търговска информационна система“, „държавна / военна информационна система“ и др.), Предоставят списъци с категории защитени ресурси, загуби, заплахи, уязвимости и мерки за защита. От тях трябва да изберете тези, които действително присъстват в организацията.

Например, за загуби са предвидени следните категории:

• забавяне и отказ на обслужване;
• разкриване на информация;
• преки загуби (например от унищожаване на оборудване от пожар);
• живот и здраве (персонал, клиенти и др.);
• промяна на данните;
• непреки загуби (например разходи за възстановяване);
• репутация.

Вторият етап е въвеждане на данни, описващи специфичните характеристики на системата. Те могат да бъдат въведени ръчно или импортирани от отчети, генерирани от инструменти за изследване на уязвимостта на компютърната мрежа.

На този етап ресурсите, загубите и класовете на инциденти се детайлизират. Класовете на инциденти се получават чрез съвпадение на категорията на загубата и категорията ресурс.

За идентифициране на възможни уязвимости се използва въпросник, чиято база данни съдържа повече от 600 въпроса. Въпросите са свързани с категории ресурси. Задава се честотата на възникване на всяка от избраните заплахи, степента на уязвимост и стойността на ресурсите. Всичко това се използва в бъдеще за изчисляване на ефекта от въвеждането на защитни средства.

Третият и вероятно най -важният етап е количествената оценка. На този етап се изчислява рисков профил и се избират мерки за сигурност. Първо се установяват връзки между ресурси, загуби, заплахи и уязвимости, идентифицирани в предишните стъпки на изследването (рискът се описва чрез комбинацията от тези четири параметъра).

Всъщност рискът се оценява, като се използва математическото очакване на загуби за годината. Например, ако цената на сървър е 150 000 долара и вероятността той да бъде унищожен от пожар в рамките на една година е 0,01, тогава очакваната загуба е 1 500 долара.

Добре известната формула m = pxv, където m е математическото очакване, p е вероятността от заплаха, v е цената на ресурса, е претърпяла някои промени поради факта, че RiskWatch използва оценки, определени от Американския институт на Стандарти NIST, наречени LAFE и SAFE. LAFE (Local Annual Frequency Estimate) показва колко пъти годишно средно дадена заплаха се реализира на дадено място (например в град). SAFE (Standard Annual Frequency Estimate) показва колко пъти годишно средно дадена заплаха възниква в тази „част на света“ (например в Северна Америка). Въвежда се и корекционен фактор, който дава възможност да се вземе предвид, че когато се осъществи заплаха, защитеният ресурс може да не бъде напълно унищожен, а само частично.

Освен това се разглеждат сценарии „какво-ако ...“, които ви позволяват да опишете подобни ситуации, при спазване на предпазните мерки. Чрез сравняване на очакваните загуби с и без прилагането на защитни мерки е възможно да се оцени ефектът от тези мерки.

RiskWatch включва бази данни с оценки LAFE и SAFE, както и обобщено описание различни видовесредства за защита.

Възвръщаемостта на инвестициите (ROI), която измерва възвръщаемостта на инвестициите за определен период от време, определя количествено въздействието на интервенциите за сигурност. Този показател се изчислява по формулата:

където Costsi са разходите за прилагане и поддържане на i-та мярка за защита; Benefitsi - оценка на ползите (очаквано намаляване на загубите), които изпълнението на тази мярка за защита носи; NVP (Net Value Present Present) коригира инфлацията.

Четвъртият етап е генерирането на доклади. Налични са следните видове отчети:

• кратко обобщение;
• пълни и обобщени доклади на елементите, описани в етапи 1 и 2;
• доклад за цената на защитените ресурси и очакваните загуби от изпълнението на заплахите;
• доклад за заплахи и противодействия;
• Отчет за възвръщаемост на инвестициите;
• доклад за одит на сигурността.

Пример за изчисляване на възвръщаемостта на инвестициите за различни мерки за защита е показан на фиг. 5.

По този начин RiskWatch ви позволява да оценявате не само рисковете, които в момента съществуват в предприятието, но и ползите, които може да донесе внедряването на физически, технически, софтуерни и други средства и механизми за защита. Изготвените доклади и графики предоставят достатъчно материали за вземане на решения за промяна на системата за сигурност на предприятието.

За битовите потребители проблемът е, че е доста проблематично да се получат оценки, използвани в RiskWatch (като LAFE и SAFE) за нашите условия. Въпреки че самата методология може успешно да се приложи у нас.

Обобщавайки, ние отбелязваме, че при избора на конкретна методология за анализ на рисковете в предприятието и инструментите, които го подкрепят, трябва да се отговори на въпроса: необходимо ли е да има точна количествена оценка на последиците от прилагането на заплахите, или дали оценка на качествено ниво е достатъчна. Необходимо е също така да се вземат предвид следните фактори: присъствието на експерти, които са в състояние да дадат надеждни оценки за обема на загубите от заплахи за информационната сигурност и наличието на надеждна статистика на инциденти в областта на информационната сигурност в предприятието .

Недостатъците на RiskWatch включват следното:

• този метод е подходящ, ако е необходимо да се извърши анализ на риска на софтуерно и хардуерно ниво на защита, без да се вземат предвид организационните и административните фактори;
• получените оценки на риска (математическо очакване на загуби) не изчерпват разбирането за риска от системна гледна точка - методът не отчита интегрирания подход към сигурността на информацията;
• Софтуерът RiskWatch е достъпен само на английски език;
• висока цена на лиценза - от 10 000 долара на място за малка компания.

Врат

GRIF е цялостна система за анализ и управление на рисковете на информационната система на компанията. GRIF 2005 от Службата за цифрова сигурност (http://www.dsec.ru/products/grif/) дава представа за сигурността на информационните ресурси в системата и ви позволява да изберете оптималната стратегия за защита на корпоративната информация.

Системата GRIF анализира нивото на защита на ресурсите, оценява възможните щети от внедряването на заплахите от ИС и помага за управление на рисковете, като избира контрамерки.

Анализът на рисковете от ИС се извършва по два начина: чрез използване на модел на информационни потоци или модел на заплахи и уязвимости, в зависимост от това какви първоначални данни има потребителят, както и от това какви данни го интересуват на изхода.

Модел на информационния поток

При работа с модел на информационни потоци системата въвежда пълна информацияза всички ресурси с ценна информация, потребители, които имат достъп до тези ресурси, видове и права за достъп. Записват се данни за всички средства за защита на всеки ресурс, мрежови връзки на ресурси, характеристики на политиката за сигурност на компанията. Резултатът е цялостен модел на информационната система.

На първия етап от работата с програмата потребителят въвежда всички обекти на своята информационна система: отдели, ресурси (специфичните обекти на този модел включват мрежови групи, мрежови устройства, видове информация, потребителски групи, бизнес процеси).

След това потребителят трябва да постави връзки, тоест да определи към кои отдели и мрежови групи принадлежат ресурсите, каква информация се съхранява в ресурса и кои потребителски групи имат достъп до него. Потребителят посочва и средствата за защита на ресурса и информацията.

На последния етап потребителят отговаря на списък с въпроси относно политиката за сигурност, внедрена в системата, което позволява да се оцени реалното ниво на сигурност на системата и да се детайлизират оценките на риска.

Наличие на средства защита на информациятаотбелязано на първия етап, само по себе си все още не прави системата сигурна в случай на тяхното неадекватно използване и липсата на цялостна политика за сигурност, която взема предвид всички аспекти на защитата на информацията, включително сигурността, физическата сигурност, сигурността на персонала, бизнеса приемственост и др.

В резултат на извършването на всички действия на тези етапи на изхода се формира цялостен модел на информационната система от гледна точка на информационната сигурност, като се отчита действителното изпълнение на изискванията на цялостната политика за сигурност, което ви позволява да отидеш до анализ на програматавъведените данни за получаване на цялостна оценка на риска и формиране на окончателния доклад.

Модел на заплаха и уязвимост

Работата с модела за анализ на заплахи и уязвимости включва идентифициране на уязвимостите на всеки ресурс с ценна информация и съответните заплахи, които могат да бъдат приложени чрез тези уязвимости. Резултатът е пълна картина на слабостите в информационната система и щетите, които могат да бъдат нанесени.

На първия етап от работата с продукта потребителят въвежда в системата обектите на своята ИС: отдели, ресурси (специфичните обекти за този модел включват заплахи за информационната система и уязвимости, чрез които се реализират заплахите).

GRIF 2005 включва обширни вградени каталози за заплахи и уязвимости, съдържащи около 100 заплахи и 200 уязвимости. За максимална пълнота и гъвкавост на тези каталози, експертите по Digital Security са разработили специална класификация на заплахите, DSECCT, в която се прилага дългогодишен практически опит в областта на информационната сигурност. Използвайки тези директории, потребителят може да избира заплахи и уязвимости, свързани с неговата информационна система.

Алгоритъмът на системата GRIF 2005 анализира конструирания модел и генерира отчет, който съдържа стойностите на риска за всеки ресурс. Конфигурацията на отчета може да бъде почти всяка, което ви позволява да създавате както обобщени отчети за управление, така и подробни отчети за по-нататъшна работас резултатите (фиг. 6).

Ориз. 6. Пример за доклад в системата GRIF 2005.

Системата GRIF 2005 съдържа модул за управление на риска, който ви позволява да анализирате всички причини, че след обработката на въведените данни по алгоритъма се получава точно тази стойност на риска. По този начин, знаейки причините, е възможно да се получат данните, необходими за прилагане на контрамерки и съответно да се намали нивото на риск. След като изчислите ефективността на всяка възможна противодействие, както и определите стойността на остатъчния риск, можете да изберете контрамерки, които ще намалят риска до необходимото ниво.

В резултат на работата със системата GRIF се изгражда подробен доклад за нивото на риск на всеки ценен ресурс от информационната система на компанията, всички причини за риска са посочени с подробен анализ на уязвимостите и оценка на икономическата ефективност на всички възможни противодействия.

***

Най -добрите световни практики и водещи международни стандарти в областта на сигурността на информацията, по -специално ISO 17799, изискват внедряване на система за анализ и управление на риска за ефективно управление на сигурността на информационна система. В този случай можете да използвате всякакви удобни инструменти, но най -важното е винаги ясно да разбирате, че системата за информационна сигурност е създадена въз основа на анализ на информационните рискове, проверен и обоснован. Анализът и управлението на информационните рискове е ключов фактор за изграждане на ефективна защита на информационна система.