Počítače Okna Internet
Rozšířit
Domov

Metody a softwarové produkty pro hodnocení rizik Riscis Watch. Program hodnocení rizik Software pro řízení rizik

Popsali jsme a studovali systematický přístup k procesu řízení rizik. Složitost zvažování tohoto problému je dána skutečností, že jsme se rozhodli, že nemá smysl zvažovat jednotlivé činnosti v této oblasti za účelem vytvoření vysoce kvalitní analýzy rizik a systému řízení. Pouze pokud jsou plně aplikovány všechny fáze řízení rizik, můžeme hovořit o systému, který může zajistit dosažení stanovených cílů.

Složitý program, o kterém chceme dnes začít diskutovat, je založen na artefaktech (procesech a objektech), které jsme popsali dříve.

V jeho středu jsou:

  • Plánovací postupy pro komplexní činnosti řízení rizik;
  • Metody a nástroje řízení rizik, které jsou vzájemně propojeny tak, aby se navzájem doplňovaly a „obohacovaly“ v průběhu implementace uvažovaného programu.

Dnes tedy budeme mít další „ponoření“ do činnosti analýzy a řízení rizik, takže zadržme dech ...

Úvod

K dnešnímu dni jsme již popsali činnosti identifikace, hodnocení, analýzy typů rizik (kvalitativních a kvantitativních), organizace a úvodním způsobem řízení rizik. Relevanci a nutnost organizace procesů analýzy a řízení rizik do jednoho komplexního programu, který bude schopen pokrýt a harmonizovat jeho jednotlivé části do jednoho administrativního a softwarového komplexu, jsme uvedli a potvrdili v dříve prezentovaném materiálu.

Dnes se budeme zabývat sekcí disciplíny řízení rizik - „Komplexní program řízení rizik“, která řeší problém zvyšování efektivity již organizovaných postupů, zavádění nových, inovativních a zároveň efektivní metody a technik, snížení zjevných a potenciálních ztrát a maximalizace účinku hlavních činností společnosti.

Zde stojí za zmínku, že komplexní program řízení rizik je jednou z možností procesu řízení rizik. Implementaci tohoto komplexního programu lze považovat za alternativu k implementaci řízení rizik. Každá z dříve uvažovaných fází procesu analýzy rizik a procesu řízení představuje kompletní fáze procesů implementace řízení rizik a lze je použít při plánování této činnosti v konkrétní organizaci, s výhradou přizpůsobení určitým podmínkám společnosti.

Podle mnoha odborníků by cílem programů řízení rizik mělo být dosažení následujících výsledků:

  • Optimální využití disponibilní kapitál;
  • Získání maximálního příjmu;
  • Zvýšení udržitelnosti rozvoje společnosti;
  • Snížení pravděpodobnosti ztráty části nebo celé hodnoty produktu nebo služby odvozené z procesů domény informační technologie, konkrétní organizace.

Komplexní program řízení rizik by tedy měl být považován nejen za proces IT, ale v převládajícím smyslu této činnosti za obchodní součást předmětu řízení rizik, na jehož správné organizaci je konečný výsledek a další pozice organizace na trhu bude záviset.

Program řízení rizik

Moderní, úspěšný komplexní program řízení rizik musí brát v úvahu a řešit problémy spojené s aktuálními potřebami společnosti v oblasti řízení rizik, která se rozhodla implementovat analýzu rizik a procesy řízení.

Organizace pro řízení rizik mají pro tuto doménu obvykle následující cíle:

  • Úspěšná operace v podmínkách vystavení rizikům;
  • Ochrana před negativními, rizikovými faktory, které zasahují do implementace strategie a taktiky společnosti;
  • Rozumné přijetí rozhodnutí vedení s přihlédnutím k dostupným informacím o zjevných a potenciálních rizicích;
  • Zachování a rozvoj dostupných informačních nástrojů a technologií;
  • Snížení citlivosti společnosti na rizika a zvýšení stability oboru informačních technologií v rizikovém prostředí.

Komplexní program řízení rizik by měl vytvořit jednotnou strukturu pro práci s riziky, která se může lišit v možnostech implementace jednotlivých fází, ale zároveň i posloupnost (daná v průběhu, formou posloupnosti prezentace materiály) a výsledky (dokumenty) každé z fází musí přesně odpovídat těm, které jsme dali v našem kurzu:

  • Shromažďování informací a požadavky na rizika:
    • Seznamy zjevných a potenciálních příčin, které mohou vést k rizikům;
  • Identifikace rizika:
    • Registr rizik;
  • Předběžné posouzení rizik:
    • Registr prioritních rizik;
    • Strategie řízení rizik;
  • Kvalitativní analýza rizik:
    • Dokument obsahující vysoce kvalitní informace o rizicích a způsobech jejich řešení (taktika);
    • Informace o rizicích, které lze použít při činnostech kvantitativní analýzy;
    • Znalost / databáze o dříve identifikovaných rizicích s jejich popisem;
  • Kvantitativní analýza rizik:
    • Dokument obsahující kvantitativní informace o rizicích a způsobech jejich řešení (taktika);
    • Statistické informace, které lze použít pro další účtování rizik a způsoby plánování jejich řešení;
  • Systém analýzy rizik:
    • Vyvinuté postupy a předpisy, které by měly agregovat a používat dříve obdržené dokumenty za účelem dosažení výkonnostních ukazatelů řízení rizik;
  • Komplexní program řízení rizik:
    • Dokument obsahující informace o komplexním programu řízení rizik;
    • Plán postupů řízení rizik;
  • Další aktivity:
    • Plán monitorování rizik;
    • Plán vylepšení pro analýzu a řízení rizik;

Současně musí být každý z popsaných dokumentů včas aktualizován a sledován v budoucnosti při provádění činností v oblasti řízení rizik v konkrétní společnosti. S cílem vybudovat efektivní komplexní program řízení rizik a správnou implementaci komponent tento cílúkoly, bude možné kontrolovat rizika na všech organizačních úrovních jakékoli organizace.

Manažeři rizik by měli být schopni posoudit okolní situaci a přispět k vývoji a implementaci výše popsaných nezbytných dokumentů, postupů a předpisů, které by měly vycházet z následujících zásad z oblasti analýzy rizik a procesů řízení, které byly nastíněny my dříve:

  • Integrovaný, procesně založený přístup k analýze rizik a procesům řízení;
  • Zvážení nejvýznamnějších rizik:
    • Vytvoření registru rizik. Aktualizace registru během činností analýzy a procesů řízení rizik;
  • Identifikace rizik;
  • Určení „vlastníka“ rizika;
  • Použití struktury rolí pro proces řízení rizik;
  • Používání určitých metod / skupin metod pro řízení určitých rizik;
  • Definice přijatelné úrovně rizika:
    • Kontrola stavu rizik;

O něco dříve, když jsme hovořili o zajišťování činností řízení rizik, jsme se dotkli tématu dokumentární podpory pro tuto oblast práce, ale blíže jsme ji nezveřejnili. V části věnované vývoji postupů řízení rizik budeme tomuto bodu věnovat zvláštní pozornost.

Zde bych rád řekl, že dokumentace a její implementace jsou velmi důležitým „milníkem“ ve vývoji komplexního programu, jehož ignorování může vést k tomu, že vyvinutý program bude „jednokrokovou událostí“. Taková implementace „riskuje“ setrvání v konkrétních „hlavách“. Složitý program bude „dokončen“ odchodem skupiny klíčových specialistů, což zpochybňuje systematický přístup k rozvinuté oblasti a ukazuje takovou neúčinnost s takovou implementací.

Je třeba říci, že komplexní program řízení rizik by měl sestávat z procesů, postupů, činností atd. Výsledky jednotlivých fází zahrnutých v této „over“ aktivitě by měly být navzájem sladěny tak, aby byly jasně vysledovány souvislosti mezi jednotlivými aktivitami. Konečný výsledek rizikové oblasti a aktivit organizace jako celku závisí na tom, jak úspěšně, promyšleně a v kombinaci s obecnými cíli řízení rizik bude organizována integrace jednotlivých částí do společného celku.

Vývoj postupů řízení rizik. Obchodní pravidla

Postupy, které tvoří proces řízení rizik, jsou „šablonová“ řešení, jejichž účelem je nabídnout možnosti výběru v určité situaci, možnosti konkrétních řešení, která jsou vhodná pro použití v rizikové situaci s určitými (známými i neznámými) parametry.

Volba ve prospěch určitého případu použití bude záviset na tom, jak je konkrétní vyvinutý postup pro řízení určité skupiny rizik / rizik přizpůsoben potřebám konkrétního prostředí (vnější a vnitřní parametry situace), odpovídá konkrétním procesům, v nichž projev rizika je možný a bude v tomto případě účinný.

Při vývoji postupů je vhodné se řídit zásadami, které jsou stanoveny na základě činností společnosti. Tyto zásady se běžně označují jako obchodní pravidla. Většina z nich vzniká v procesu „realizace“ těch postulátů, které jsou hybnými „pákami“ podnikání. Nejsou vždy zřejmé (zpravidla proto, že jsou v „hlavách“ omezeného počtu zúčastněných stran), ale začínají existovat se zahájením obchodních aktivit. Daná stabilita rozvoje jednoho nebo jiného oboru podnikání, ve kterém se uplatňují, závisí na rozsahu, v jakém jsou dodržovány.

Jsou to obchodní pravidla a dynamika jejich změn, které určují vývojový trend informačních systémů a právě ty ovlivňují stabilitu společnosti, v tomto případě její rizikovou složku.

Z výše uvedeného je tedy vhodné vyvodit závěr, že obchodní pravidla jsou jednou ze složek, které určují výši „rizika“, které je k dispozici pro řízení a studium.

Ale v moderní obchodní komunitě jsou obchodní pravidla velmi často ignorována a „nahrazována“ konkrétními vývojovými scénáři, které „podporují“ vývoj postupů řízení rizik. Zde stojí za to objasnit skutečnost, že případy použití jsou konkrétní možnosti implementace rizik a „obchodní pravidla“ jsou univerzální / „pseudouniverzální“ principy, které určují případy použití, takže je velmi důležité vzít v úvahu, že obchodní pravidla by měla být používá se při vývoji postupů řízení rizik ... V tomto případě můžeme hovořit o poměrně spolehlivé ochraně podniku před riziky.

Složení vyvinutých postupů řízení rizik je určeno mnoha faktory, ale vychází ze 2 hlavních složek, které určují postupy pro řízení a analýzu řízení rizik:

  • Současný „rizikový“ stav organizace;
  • Potřeba zúčastněných stran.

Jsou to potřeby zúčastněných stran, které určují, jak, s jakou „dokumentací“ a dalšími druhy podpory by měl být konkrétní postup vyvinut. V některých případech mohou vývojové postupy zahrnovat následující činnosti:

  • Vývoj návrhů týkajících se rizikové oblasti strategie / politiky podniku;
  • Dokumentace hlavních postupů řízení rizik;
  • Vývoj metodiky pro posuzování určitých typů rizik a celkového rizika;
  • Atd.

Optimálně navržené a aplikované postupy řízení rizik sníží (nebo úplně odstraní) možná poškození, přispějí ke stabilizaci a rozvoji společnosti.

Opět uvádíme seznam regulačních a metodických dokumentů, které by měly poskytovat postupy řízení rizik s nezbytným instrumentálním a právním základem:

  • Zásady řízení rizik
  • Předpisy pro řízení rizik
  • Postup řízení rizik
  • Metodické pokyny o popisu a hodnocení rizik
  • Metodické pokyny pro posuzování dopadu rizik na práci harmonogramu
  • Metodické pokyny pro tvorbu indikátorů rizika
  • Příručka postupu řízení rizik
  • Typická příručka rizik

V důsledku toho je třeba říci, že neexistují žádné postupy řízení rizik, které by bylo možné vyvinout tak, aby požadovaly univerzálnost a komplexní použitelnost. Každý postup by měl vzít v úvahu specifika konkrétní situace a určitá rizika, jejichž řízení je plánováno pomocí postupů řízení rizik.

Metody řízení rizik

V předchozím článku jsme stručně prozkoumali různé metody řízení rizik a zařadili je do následujících čtyř kategorií:

  • Metody vyhýbání se riziku;
  • Metody lokalizace rizik;
  • Metody diverzifikace rizik;
  • Metody kompenzace rizika.

Každá z popsaných metod nabízí specifické, specializované a efektivní řešení pro „rizikové“ situace klasifikované určitým způsobem (viz články o kvantitativní a kvalitativní metodě analýzy rizik) z obecného souboru podle faktorů, které mohou v budoucnu způsobit škodu.

„Umění“ zpracování počátečních informací, ze kterého je možné izolovat nezbytná „zrnka“ užitečných dat, viz článek o systematickém přístupu k procesu řízení rizik, ale o potřebě optimálního zvážení faktorů kritických pro klasifikaci rizikových faktorů je podmínkou úspěšné aplikace té či oné metody řízení rizik, a tedy i účinnosti systému řízení rizik jako celku.

Jak již bylo odůvodněno dříve, s ohledem na variabilitu „rizikové“ složky a možnou migraci skupiny rizika / rizika, jejíž směr bude poměrně obtížné předvídat, závisí na velkém počtu proměnných:

  • „Interní“ ve vztahu k rizikovému prostředí;
  • „Externí“ ve vztahu k rizikovému prostředí;
  • Další rizika, různý stupeň interakce s originálem;
  • Účinky projevu, „spojení“, „odpojení“ atd. rizika;

Proto je důležitost shromažďování systémových statistik o konkrétním riziku také nezbytnou součástí úspěšné volby definitivní metody řešení rizik, která zajistí systematické snižování úrovně rizika. Statistiky by zároveň měly odrážet komplexní a adekvátní „obraz“ vývoje rizika.

V případě, že podnik, kde se provádí řízení rizik, je dostatečně velký a podmíněně stabilní ve svém rozvoji, existuje možnost, že nezbytné rychlé reakce na změny budou odmítnuty. Zpravidla je to způsobeno „falešně setrvačnou“ myšlenkou dostatečné ochrany před „dynamicky se objevujícími“ riziky, která může dále vést k hrozivým následkům z „blízkých“ a „vzdálených“ projevů výsledné škody.

Je třeba poznamenat, že ve většině případů

(což je ve většině případů obtížněji předvídatelné, ale obvykle nebezpečnější kvůli dalším nedefinovaným parametrům)

V takové situaci se malé podniky, nezkazené přijatelnou úrovní stability, snaží přesněji a pružněji reagovat na rizika, která jsou pro ně nepřijatelná, a v případě potřeby změnit priority svých činností, což je pro střední a střední podniky prakticky nemožné. velké organizace.

Skutečné situace, které jsou charakterizovány řadou rizikových faktorů, by měly vzít v úvahu faktory, které jsou pro ně kritické, a podle toho zvolit optimální metodu řízení rizik.

Další podmínkou, která ukládá omezení výběru metody řízení rizik, je osoba manažera, jejíž rozhodnutí závisí na tom, která metoda bude nakonec zvolena.

Je důležité, aby se tento rozhodovatel mohl na pracovní obraz podívat dostatečně komplexně a učinit optimální rozhodnutí pro konkrétní podmínky.

závěry

Takže v dalším článku, který bude druhou částí zvažovaného tématu, začneme podrobnými, konkrétními praktickými příklady, zvážíme klasifikaci metod řízení rizik, podrobíme se „rozkladu“ procesů údržby a zlepšení domény řízení rizik, pokusíme se podrobně zdůraznit nezbytnou tuto sadu nástrojů.

Na této „poutavé“ poznámce se s vámi dnes loučíme.

Všechno nejlepší a brzy na viděnou, milí kolegové!

Pokračování v tématu hodnocení a řízení rizik informační bezpečnost v tomto příspěvku bych chtěl mluvit o softwaru, který lze použít k provádění hodnocení rizik. Proč to vůbec potřebujete? software? Faktem je, že jakmile se do tohoto procesu ponoříte hluboko, okamžitě vám bude jasné, že provádění hodnocení je spojeno s poměrně složitou kombinatorikou. Kombinace různých aktiv, zranitelností, hrozeb, ochranných opatření dává vznik stovkám, tisícům možných kombinací popisujících rizika, a zde se neobejdete bez improvizovaných prostředků. Co lze nyní najít na internetu:


vsRisk... Software od britské společnosti Vigilant Software. Produkt je uváděn na trh především jako software pro posuzování rizik v souladu s požadavky ISO 27001 a BS7799-3 (nyní ISO27005). Na webu si můžete stáhnout zkušební verzi na 15 dní (velikost - 390 MB). Systém se mi na nepřipraveného uživatele zdál dost primitivní a vůbec ne přátelský. Program má například poměrně rozsáhlé seznamy možných hrozeb, zranitelností a protiopatření, ale samotný systém mezi nimi nedefinuje žádné vzájemné vztahy, to provádí ručně sám uživatel. Obecně bych program ohodnotil na 3-ku. Proč tam žádají 1700 euro ?! osm-).

PTA. Vyvinuto společností PTA Technologies . Podle mě velmi zajímavý produkt. Není vázán na žádný standard a implementuje mechanismus pro kvantitativní hodnocení rizik (!). Mimochodem, poukázal bych na to spíše jako na nevýhodu tohoto softwaru, tk. jde o to, že ne vše lze posoudit s přesností dolaru a není poskytnuta možnost kvalitativního posouzení. Systém také poskytuje zajímavý mechanismus pro hodnocení účinnosti navrhovaných protiopatření, na jehož základě je například možné identifikovat, jak se mění mapa rizik, když přidáme nebo odstraníme některá protiopatření.

Web vývojáře uvádí, že produkt je placený a ke stažení je k dispozici pouze 30denní zkušební verze. Kolik stojí samotný produkt a jak jej lze zakoupit - neexistují žádné informace (zjevně je přístup individuální :)).

RSA Archer... Vyvinutý Archerem, nedávno ve vlastnictví obří RSA. Obecně řečeno, Archer je tak obrovský GRC kombajn, který obsahuje mnoho různých modulů, z nichž jeden poskytuje řízení rizik. Neexistuje žádná zkušební verze ke stažení, na webu jsou prezentační videa. Cena tohoto produktu také není označeno, ale myslím, že to bude drahé, stejně jako vše pro RSA :)

Modulo Risk Manager... Vyvinuto společností Modulo. Na webu je k dispozici pouze poměrně špatný popis funkcí. Žádná zkušební verze, žádné podrobné videoklipy. Přesto produkt získal ocenění SC Magazine, což znamená, že stále něco stojí. Bohužel jsem se s tím zatím nemohl seznámit.


RM Studio. Produkt stejnojmenné organizace (webové stránky). D Ke stažení je k dispozici 30denní zkušební verze. Kromě toho můžete na webu sledovat videa s ukázkami případů použití produktu. Podle mého názoru je tento software příliš primitivní, pokud jde o hodnocení rizik, a je vhodný pouze pro ty, kteří provádějí hodnocení rizik „pro ukázku“.


Sup... Vyvinuto společností Digital Security. Přinesl jsem tento softwarový produkt spíše jen pro obecný obrázek. Samotný produkt nebyl vývojářem podporován mnoho let. Proto můžeme říci, že ve skutečnosti již neexistuje. Zatím je to jediný tuzemský vývoj v této oblasti, který mi je znám.

Upřímně řečeno, nic moc. Chápu, že moje recenze nemůže tvrdit, že je 100% úplná, ale přesto ....

Pokud někdo jiný zná nějaký jiný software nebo jiné způsoby, jak automatizovat hodnocení rizik - napište prosím do komentářů, budeme diskutovat.

Důležitá aktualizace! ISM SYSTEMS oznámila vývoj nástroje pro automatizaci hodnocení rizik - ISM Revision: Risk Manager. Předběžné informace jsou k dispozici zde - http://www.ismsys.ru/?page_id=73. Výrobek vypadá slibně. Více podrobná recenze Udělám to později.

Odeslání vaší dobré práce do znalostní báze je jednoduché. Použijte níže uvedený formulář

Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu při studiu a práci, vám budou velmi vděční.

Vloženo na http://www.allbest.ru/

Státní rozpočtová odborná vzdělávací instituce regionu Rostov "Vysoká škola komunikací a informatiky Rostov na Donu"

GBPOU RO "RKSI"

Zpráva na téma:

„Metody a softwarové produkty pro hodnocení rizik Riscis Watch“

Vyplnil student: Zheleznichenko Artem

Skupina č. IB-22

Učitel:

Dmitrij Timčenko

Rostov na Donu

Úvod

Dnes již není pochyb o nutnosti investovat do informační bezpečnosti moderního velkého podnikání. Hlavní otázkou moderního podnikání je, jak posoudit dostatečnou úroveň investic do informační bezpečnosti, aby byla zajištěna maximální účinnost investic v této oblasti. K vyřešení tohoto problému existuje pouze jeden způsob - použití systémů pro analýzu rizik, které umožňují posoudit rizika existující v systému a zvolit optimální možnost ochrany z hlediska účinnosti (podle poměru rizik existujících v systému k náklady na informační bezpečnost).

Podle statistik jsou největší překážkou přijetí jakýchkoli opatření k zajištění informační bezpečnosti ve společnosti dva důvody: rozpočtová omezení a nedostatečná podpora vedení.

Oba důvody vyplývají z nepochopení závažnosti problému ze strany vedení a obtížnosti IT manažera zdůvodnit, proč je nutné investovat do informační bezpečnosti. Mnoho lidí si často myslí, že hlavním problémem je, že mluví IT manažeři a vedoucí pracovníci různé jazyky- technický a finanční, ale koneckonců samotní IT specialisté často obtížně odhadují, za co utratit peníze a kolik je to nutné k zajištění větší bezpečnosti systému společnosti, aby se tyto náklady neukázaly jako marné resp. nadměrný.

Pokud manažer IT jasně chápe, kolik peněz může společnost v případě hrozeb ztratit, která místa v systému jsou nejzranitelnější, jaká opatření lze přijmout pro zvýšení úrovně zabezpečení a zároveň neutrácet peníze navíc, a to vše je zdokumentováno, a poté je řešením problému přesvědčené vedení, aby věnovalo pozornost a alokovalo finanční prostředky na zabezpečení informací, a stalo se tak mnohem reálnějším.

K vyřešení tohoto problému byly vyvinuty softwarové systémy pro analýzu a kontrolu informačních rizik. Jedním z těchto softwarových systémů je americký RiskWatch (společnost RiskWatch).

1. Charakteristika RiskWatch

Metoda RiskWath, vyvinutá za účasti amerického Národního institutu pro standardy a technologie (US NIST), amerického ministerstva obrany (US DoD), kanadského ministerstva národní kanadské obrany v roce 1998, je ve skutečnosti standardem pro vládní organizace USA nejen v USA, ale i po celém světě.

Software RiskWatch, vyvinutý americkou společností RiskWatch, je účinný nástroj pro analýzu a správu rizik.

RiskWatch nabízí v zásadě dva produkty: jeden v oblasti informační bezpečnosti _ Zabezpečení IT, druhý v oblasti fyzického zabezpečení _ Fyzické zabezpečení. Software je určen k identifikaci a vyhodnocení chráněných zdrojů, hrozeb, zranitelností a ochranných opatření v oblasti počítačového a „fyzického“ zabezpečení podniku. Navíc se navrhuje pro různé typy organizací různé verze software.

Řada produktů určených pro řízení rizik v různých systémech zohledňuje požadavky takových norem (dokumentů): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 atd.

Řada RiskWatch zahrnuje softwarové produkty pro různé typy bezpečnostních auditů. Obsahuje následující nástroje auditu a analýzy rizik:

1. RiskWatch pro fyzické zabezpečení - pro fyzické metody ochrany IP;

2. RiskWatch pro informační systémy - pro informační rizika;

3. HIPAA -WATCH pro zdravotnický průmysl - k posouzení shody s požadavky standardu HIPAA;

4. RiskWatch RW17799 pro ISO17799 - pro posouzení požadavků normy ISO17799.

2. Výhody a nevýhody RiskWatch

Významnou výhodou RiskWatch z pohledu spotřebitele je jeho komparativní jednoduchost, nízká pracovní náročnost rusifikace a velká flexibilita metody, poskytovaná možností zavedení nových kategorií, popisů, otázek atd. Na základě této metody mohou domácí vývojáři vytvářet vlastní profily s přihlédnutím k domácím požadavkům v oblasti bezpečnosti, vyvíjet oddělení metody analýzy a řízení rizik.

Navzdory svým přednostem má RiskWatch své nevýhody.

Tato metoda je vhodná, pokud potřebujete provést analýzu rizik na softwarové a hardwarové úrovni ochrany, bez zohlednění organizačních a administrativních faktorů. Výsledná hodnocení rizik (matematické očekávání ztrát) zdaleka nevyčerpávají chápání rizika ze systémového hlediska - metoda nezohledňuje integrovaný přístup k informační bezpečnosti.

1. Software RiskWatch je k dispozici pouze v angličtině.

2. Vysoké náklady na licenci - od 15 000 USD za místo pro malou společnost a od 125 000 USD za firemní licenci.

3. Metodika analýzy rizik, která je základem nástroje RiskWatch

RiskWatch vám pomůže provést analýzu rizik a učinit informovaná rozhodnutí o opatřeních a nápravných opatřeních. Technika použitá v programu zahrnuje 4 fáze:

Je nutné podrobněji zvážit každou z fází metodiky analýzy rizik.

1. V první fázi jsou popsány obecné parametry organizace - typ organizace, složení studovaného systému, základní požadavky v oblasti bezpečnosti. Popis je formalizován v řadě dílčích doložek, které lze vybrat pro více Detailní popis nebo přeskočit.

2. Druhou fází je zadávání údajů popisujících specifické vlastnosti systému. Data lze zadávat ručně nebo importovat ze zpráv generovaných nástroji pro výzkum zranitelnosti počítačové sítě. V této fázi jsou podrobně popsány zdroje, ztráty a třídy incidentů.

3. Třetí fází je hodnocení rizik. Nejprve se vytvoří vazby mezi zdroji, ztrátami, hrozbami a zranitelnostmi identifikovanými v předchozích fázích. U rizik se matematická očekávání ztrát za rok vypočítají podle vzorce:

kde p je četnost výskytu hrozby během roku, v je cena zdroje, který je ohrožen.

4. Čtvrtou fází je generování zpráv. Typy zpráv: krátké souhrny; úplné a souhrnné zprávy o prvcích popsaných ve fázích 1 a 2; podávat zprávy o nákladech na chráněné zdroje a očekávaných ztrátách z implementace hrozeb; podávat zprávy o hrozbách a protiopatřeních; zpráva o bezpečnostním auditu.

Závěr

software pro zabezpečení informací

RiskWatch je software vyvinutý americkou společností RiskWatch.

RiskWatch vám pomůže provést analýzu rizik a učinit informovaná rozhodnutí o opatřeních a nápravných opatřeních. Navzdory tomu má RiskWatch určité nevýhody: licenční poplatky jsou vysoké; Software RiskWatch je k dispozici pouze v angličtině.

Produkt RiskWatch je založen na metodice analýzy rizik, která se skládá ze čtyř fází.

První fází je vymezení předmětu výzkumu.

Druhou fází je zadání dat popisujících specifické vlastnosti systému.

Třetím a nejdůležitějším krokem je kvantifikace.

Čtvrtou fází je generování zpráv.

Publikováno na Allbest.ru

Podobné dokumenty

    Metody hodnocení informačních rizik, jejich charakteristik a charakteristických rysů, hodnocení výhod a nevýhod. Vývoj metodiky hodnocení rizik na příkladu metodiky Microsoftu, modelu hodnocení rizik pro zabezpečení podnikových informací.

    práce, přidáno 08/02/2012

    Podstata a metody hodnocení informační bezpečnosti. Cíle jeho implementace. Metody analýzy rizik informačních technologií. Indikátory a algoritmus pro výpočet rizik pro hrozbu IS. Výpočet informačních rizik na příkladu webového serveru obchodní společnosti.

    semestrální práce, přidáno 25.11.2013

    Podstata informace, její klasifikace. Hlavní problémy zajištění a ohrožení informační bezpečnosti podniku. Analýza rizik a principy bezpečnosti podnikových informací. Vývoj souboru opatření k zajištění informační bezpečnosti.

    semestrální práce přidána 17. 5. 2016

    Vývoj inteligentního informačního systému, který se sám učí, pro analýzu úvěruschopnosti dlužníka a vyhodnocování úvěrových rizik na základě imunokomputerního přístupu. Aplikace klastrových postupů, klasifikace a tvorba hodnocení rizik.

    semestrální práce, přidáno 06/09/2012

    Metodika pro výzkum a analýzu nástrojů auditu Windows systémy za účelem zjištění neoprávněného přístupu softwaru k prostředkům počítačů. Analýza hrozeb informační bezpečnosti. Algoritmus softwarového nástroje.

    práce, přidáno 28. 6. 2011

    Software a Technické specifikace informační systémy podniku. Požadavky na informace a kompatibilitu softwaru. Navrhování softwaru pomocí specializovaných softwarových balíků. Vývoj databáze.

    zpráva o praxi, přidáno 04/11/2019

    Klasifikace hlavních rizik, jejich identifikace. Plánování a hodnocení rizik informačního systému v organizaci, přijímání opatření k eliminaci rizik. Stanovení bodu zvratu projektu. Výpočet nákladů na ztráty a pravděpodobnosti výskytu rizika.

    laboratorní práce, přidáno 1. 1. 2016

    Koncept a klíčový rozdíl vývoje distribuovaného softwaru, jeho výhody a nevýhody. Koncepční řešení a volba typu vývoje. Vlastnosti softwaru s otevřeným zdrojovým kódem zdrojový kód... Idea a vývoj open source.

    semestrální práce, přidáno 14.12.2012

    Automatizace činností k analýze obchodní činnosti podniku. Implementace navrhované metodiky formou softwaru, základní požadavky na ni. Struktura a složení komplexu softwarové moduly, uživatelská příručka.

    semestrální práce, přidáno 28.5.2013

    Analýza rizik zabezpečení informací. Posouzení stávajících a plánovaných nápravných opatření. Soubor organizačních opatření k zajištění informační bezpečnosti a ochrany podnikových informací. Testovací případ implementace projektu a jeho popis.

Pokračováním v tématu hodnocení a správy rizik zabezpečení informací v tomto příspěvku bych rád hovořil o softwaru, který lze použít k provádění hodnocení rizik. Proč vůbec tento software potřebujete? Faktem je, že jakmile se do tohoto procesu ponoříte hluboko, okamžitě vám bude jasné, že provádění hodnocení je spojeno s poměrně složitou kombinatorikou. Kombinace různých aktiv, zranitelností, hrozeb, ochranných opatření dává vznik stovkám, tisícům možných kombinací popisujících rizika, a zde se neobejdete bez improvizovaných prostředků. Co lze nyní najít na internetu:


vsRisk... Software od britské společnosti Vigilant Software. Produkt je uváděn na trh především jako software pro posuzování rizik v souladu s požadavky ISO 27001 a BS7799-3 (nyní ISO27005). Na webu si můžete stáhnout zkušební verzi na 15 dní (velikost - 390 MB). Systém se mi na nepřipraveného uživatele zdál dost primitivní a vůbec ne přátelský. Program má například poměrně rozsáhlé seznamy možných hrozeb, zranitelností a protiopatření, ale samotný systém mezi nimi nedefinuje žádné vzájemné vztahy, to provádí ručně sám uživatel. Obecně bych program ohodnotil na 3-ku. Proč tam žádají 1700 euro ?! osm-).

PTA. Vyvinuto společností PTA Technologies . Podle mě velmi zajímavý produkt. Není vázán na žádný standard a implementuje mechanismus pro kvantitativní hodnocení rizik (!). Mimochodem, poukázal bych na to spíše jako na nevýhodu tohoto softwaru, tk. jde o to, že ne vše lze posoudit s přesností dolaru a není poskytnuta možnost kvalitativního posouzení. Systém také poskytuje zajímavý mechanismus pro hodnocení účinnosti navrhovaných protiopatření, na jehož základě je například možné identifikovat, jak se mění mapa rizik, když přidáme nebo odstraníme některá protiopatření.

Web vývojáře uvádí, že produkt je placený a ke stažení je k dispozici pouze 30denní zkušební verze. Kolik stojí samotný produkt a jak jej lze zakoupit - neexistují žádné informace (zjevně je přístup individuální :)).

RSA Archer... Vyvinutý Archerem, nedávno ve vlastnictví obří RSA. Obecně řečeno, Archer je tak obrovský GRC kombajn, který obsahuje mnoho různých modulů, z nichž jeden poskytuje řízení rizik. Neexistuje žádná zkušební verze ke stažení, na webu jsou prezentační videa. Cena tohoto produktu také není uvedena, ale myslím, že to bude drahé, stejně jako vše pro RSA :)

Modulo Risk Manager... Vyvinuto společností Modulo. Na webu je k dispozici pouze poměrně špatný popis funkcí. Žádná zkušební verze, žádné podrobné videoklipy. Přesto produkt získal ocenění SC Magazine, což znamená, že stále něco stojí. Bohužel jsem se s tím zatím nemohl seznámit.


RM Studio. Produkt stejnojmenné organizace (webové stránky). D Ke stažení je k dispozici 30denní zkušební verze. Kromě toho můžete na webu sledovat videa s ukázkami případů použití produktu. Podle mého názoru je tento software příliš primitivní, pokud jde o hodnocení rizik, a je vhodný pouze pro ty, kteří provádějí hodnocení rizik „pro ukázku“.


Sup... Vyvinuto společností Digital Security. Přinesl jsem tento softwarový produkt spíše jen pro obecný obrázek. Samotný produkt nebyl vývojářem podporován mnoho let. Proto můžeme říci, že ve skutečnosti již neexistuje. Zatím je to jediný tuzemský vývoj v této oblasti, který mi je znám.

Upřímně řečeno, nic moc. Chápu, že moje recenze nemůže tvrdit, že je 100% úplná, ale přesto ....

Pokud někdo jiný zná nějaký jiný software nebo jiné způsoby, jak automatizovat hodnocení rizik - napište prosím do komentářů, budeme diskutovat.

Důležitá aktualizace! ISM SYSTEMS oznámila vývoj nástroje pro automatizaci hodnocení rizik - ISM Revision: Risk Manager. Předběžné informace jsou k dispozici zde - http://www.ismsys.ru/?page_id=73. Výrobek vypadá slibně. Podrobnější recenzi udělám později.

O potřebě investice do informační bezpečnosti (IS) podniku není pochyb. K potvrzení relevance úkolu zajištění bezpečnosti podnikání použijeme zprávu FBI zveřejněnou na základě průzkumu amerických společností (středních a velkých podniků). Statistiky incidentů v oblasti zabezpečení IT jsou nemilosrdné. Podle FBI bylo letos napadeno 56% dotázaných společností (obrázek 1).

Jak ale posoudit úroveň investic do informační bezpečnosti, která zajistí maximální účinnost vložených prostředků? K vyřešení tohoto problému existuje pouze jeden způsob - použít systémy analýzy rizik, které umožňují posoudit rizika existující v systému a zvolit optimální možnost ochrany z hlediska účinnosti (podle poměru rizik existujících v systému k nákladům informační bezpečnosti).

Investiční zdůvodnění

Podle statistik jsou nejzávažnější překážky přijetí jakýchkoli opatření k zajištění informační bezpečnosti ve společnosti spojeny se dvěma důvody: rozpočtová omezení a nedostatečná podpora vedení.

Oba tyto důvody vyplývají z nepochopení závažnosti problému ze strany vedení a neschopnosti IT manažera zdůvodnit, proč investovat do informační bezpečnosti. Často se věří, že hlavní problém spočívá ve skutečnosti, že IT manažeři a manažeři hovoří různými jazyky- technickými a finančními, ale koneckonců samotní IT specialisté často obtížně hodnotí, za co utratit peníze a kolik to je nezbytné ke zlepšení zabezpečení systému společnosti, aby tyto náklady nebyly zbytečné nebo nadměrné.

Pokud manažer IT jasně chápe, kolik peněz může společnost v případě hrozeb ztratit, jaká místa v systému jsou nejzranitelnější, jaká opatření lze přijmout ke zvýšení úrovně zabezpečení bez vynakládání dalších peněz, a to vše je zdokumentováno, pak se jeho rozhodovací úkoly - přesvědčit management, aby věnoval pozornost a přidělovat prostředky na informační bezpečnost - stávají mnohem reálnějšími.

K vyřešení tohoto druhu problémů byly vyvinuty speciální metody a softwarové systémy pro analýzu a kontrolu informačních rizik na jejich základě. Budeme uvažovat o systému CRAMM britské společnosti Insight Consulting (http://www.insight.co.uk), americké stejnojmenné společnosti RiskWatch (http://www.riskwatch.com) a ruského balíčku GRIF z Digital Security (http: // www .dsec.ru). Jejich srovnávací charakteristiky jsou uvedeny v tabulce.

Srovnávací analýza nástrojů pro analýzu rizik

Srovnávací kritéria CRAMM RiskWatch Kancelář digitálního zabezpečení GRIF 2005
Podpěra, podpora Pokud Pokud Pokud
Snadné ovládání pro uživatele Vyžaduje speciální školení a vysokou kvalifikaci auditora Rozhraní je zaměřeno na manažery a manažery IT; nevyžaduje speciální znalosti v oblasti informační bezpečnosti
Cena licence na jedno pracoviště, USD 2 000 až 5 000 Od 10 000 Od 1000
Požadavky na systém

OS Windows 98 / Me / NT / 2000 / XP
Volné místo na disku 50 MB

Minimální požadavky:
frekvence procesoru 800 MHz, paměť 64 MB

 Windows 2000 / XP
Volné místo na disku pro instalaci 30 MB
Procesor Intel Pentium nebo kompatibilní, paměť 256 MB

Windows 2000 / XP

Minimální požadavky:
volné místo na disku (pro disk s uživatelskými daty) 300 MB, 256 MB paměť

Funkčnost

Vstupní data:

  • zdroje;
  • hodnota zdrojů;
  • hrozby;
  • zranitelnosti systému;
  • výběr adekvátních protiopatření.

Možnosti hlášení:

  • zpráva o analýze rizik;
  • obecná zpráva o analýze rizik;
  • podrobná zpráva o analýze rizik.

Vstupní data:

  • typ informačního systému;
  • základní bezpečnostní požadavky;
  • zdroje;
  • ztráty;
  • hrozby;
  • zranitelnosti;
  • ochranná opatření;
  • hodnota zdrojů;
  • četnost výskytu hrozeb;
  • výběr protiopatření.

Možnosti hlášení:

  • krátké shrnutí;
  • podávat zprávy o nákladech na chráněné zdroje a očekávaných ztrátách z implementace hrozeb;
  • Zpráva o návratnosti investic

Vstupní data:

  • zdroje;
  • síťový hardware;
  • druhy informací;
  • skupiny uživatelů;
  • Opravné prostředky;
  • hrozby;
  • zranitelnosti;
  • výběr protiopatření.

Složení zprávy:

  • inventarizace zdrojů;
  • rizika podle druhu informací;
  • rizika zdrojů;
  • poměr poškození a rizika informací a zdrojů;
  • vybraná protiopatření;
  • doporučení odborníků.
Kvantitativní / kvalitativní metoda Kvalitativní hodnocení Kvantifikace Kvalitativní a kvantitativní hodnocení
Síťové řešení Nepřítomen Nepřítomen Enterprise Edition Digital Security Office 2005

CRAMM

Metoda CRAMM (CCTA Risk Analysis and Management Method) byla vyvinuta Ústřední počítačovou a telekomunikační agenturou Velké Británie na základě pokynů britské vlády a byla přijata jako státní standard. Od roku 1985 je používán vládními a komerčními organizacemi ve Velké Británii. Během této doby si CRAMM získal popularitu po celém světě. Insight Consulting vyvíjí a udržuje softwarový produkt, který implementuje metodu CRAMM.

Metodu CRAMM (http://www.cramm.com) jsme nezvolili náhodou pro podrobnější posouzení. V současné době je CRAMM poměrně silným a všestranným nástrojem, který kromě analýzy rizik umožňuje vyřešit řadu dalších auditních úkolů, včetně:

  • Průzkum IS a vydání průvodní dokumentace ve všech fázích její implementace;
  • audit v souladu s požadavky britské vlády a také BS 7799: 1995 kodexu pro řízení bezpečnosti informací;
  • vývoj bezpečnostní politiky a plánu kontinuity podnikání.

Metoda CRAMM je založena na integrovaném přístupu k hodnocení rizik, který kombinuje kvantitativní a kvalitativní analytické metody. Metoda je univerzální a je vhodná pro velké i malé organizace ve vládním i komerčním sektoru. Verze softwaru CRAMM zaměřené na různé typy organizací se navzájem liší znalostními bázemi (profily): existuje komerční profil pro komerční organizace a vládní profil pro vládní organizace. Vládní verze profilu také umožňuje auditování shody s požadavky americké normy ITSEC („Orange Book“). Koncepční diagram průzkumu CRAMM je uveden na obr. 2.

Při správném použití metody CRAMM je možné dosáhnout velmi dobrých výsledků, z nichž je asi nejdůležitější možnost ekonomického ospravedlnění nákladů organizace na zajištění informační bezpečnosti a kontinuity podnikání. Ekonomicky správná strategie řízení rizik v konečném důsledku šetří peníze a zároveň se vyhýbá zbytečným nákladům.

CRAMM zahrnuje rozdělení celé procedury do tří po sobě jdoucích fází. Úkolem první etapy je odpovědět na otázku: „Stačí chránit systém pomocí nástrojů základní úrovně, které implementují tradiční bezpečnostní funkce, nebo je nutné provést podrobnější analýzu?“ Ve druhé fázi jsou identifikována rizika a je posouzen jejich rozsah. Ve třetí fázi je rozhodnuto o otázce výběru adekvátních protiopatření.

Metodika CRAMM pro každou fázi definuje soubor počátečních dat, posloupnost činností, dotazníky pro pohovory, kontrolní seznamy a sadu reportovacích dokumentů.

V první fázi studie se provádí identifikace a stanovení hodnoty chráněných zdrojů. Hodnocení se provádí na desetibodové stupnici a může existovat několik hodnotících kritérií - finanční ztráty, poškození dobrého jména atd. Popisy CRAMM poskytují příklad takové ratingové stupnice podle kritéria „Finanční ztráty spojené s obnova zdrojů “:

  • 2 body - méně než 1 000 $;
  • 6 bodů - od 1 000 do 10 000 USD;
  • 8 bodů - od 10 000 do 100 000 USD;
  • 10 bodů - přes 100 000 $

Při nízkém skóre pro všechna použitá kritéria (3 body a níže) se má za to, že pro uvažovaný systém postačuje základní úroveň ochrany (tato úroveň nevyžaduje podrobné posouzení hrozeb informační bezpečnosti) a druhá fáze studia je přeskočena.

Ve druhé fázi jsou identifikovány a vyhodnoceny hrozby v oblasti informační bezpečnosti, probíhá vyhledávání a hodnocení zranitelností chráněného systému. Úroveň hrozby je hodnocena v následujícím měřítku: velmi vysoká, vysoká, střední, nízká, velmi nízká. Tato chyba zabezpečení je hodnocena jako vysoká, střední nebo nízká. Na základě těchto informací je na sedmibodové stupnici vypočítáno hodnocení úrovně rizika (obr. 3).

Ve třetí fázi CRAMM generuje možnosti pro protiopatření k identifikovaným rizikům. Produkt nabízí následující typy doporučení:

  • obecná doporučení;
  • konkrétní doporučení;
  • příklady toho, jak v této situaci můžete organizovat ochranu.

CRAMM má rozsáhlou databázi, která obsahuje popisy asi 1000 příkladů implementace bezpečnostních subsystémů pro různé počítačové systémy. Tyto popisy lze použít jako šablony.

Rozhodnutí zavést do systému nové bezpečnostní mechanismy a upravit staré, je na vedení organizace s přihlédnutím k souvisejícím nákladům, jejich přijatelnosti a konečnému prospěchu pro podnikání. Úkolem auditora je odůvodnit doporučené akce pro řízení organizace.

Pokud dojde k rozhodnutí zavést nová protiopatření a upravit stará, může být auditor pověřen přípravou plánu implementace a vyhodnocením účinnosti používání těchto opatření. Řešení těchto problémů je nad rámec metody CRAMM.

Nevýhody metody CRAMM zahrnují následující:

  • metoda vyžaduje speciální školení a vysokou kvalifikaci auditora;
  • audit pomocí metody CRAMM je poměrně pracný proces a může vyžadovat měsíce nepřetržité práce auditora;
  • CRAMM je mnohem vhodnější pro audit již existujících IS, které byly uvedeny do provozu, než pro IS, které jsou ve vývoji;
  • Softwarová sada nástrojů CRAMM generuje velké množství papírové dokumentace, což není v praxi vždy užitečné;
  • CRAMM vám neumožňuje vytvářet vlastní šablony sestav ani upravovat stávající;
  • možnost doplňování znalostní báze CRAMM není uživatelům k dispozici, což způsobuje určité potíže s přizpůsobením této metody potřebám konkrétní organizace;
  • Software CRAMM není lokalizován, existuje pouze v angličtině;
  • vysoké licenční náklady - od 2 000 do 5 000 USD

RiskWatch

Software RiskWatch je účinný nástroj pro analýzu a správu rizik. Řada RiskWatch zahrnuje softwarové produkty pro různé typy bezpečnostních auditů. Obsahuje následující nástroje auditu a analýzy rizik:

  • RiskWatch pro fyzické zabezpečení - pro fyzické metody ochrany IP;
  • RiskWatch pro informační systémy - pro informační rizika;
  • HIPAA -WATCH pro zdravotnický průmysl - k posouzení shody s požadavky standardu HIPAA (americký zákon o přenositelnosti a odpovědnosti zdravotního pojištění);
  • RiskWatch RW17799 pro ISO 17799 - pro posuzování shody s ISO 17799.

Metoda RiskWatch používá jako kritéria pro hodnocení a řízení rizika roční predikci ztrát (ALE) a návratnost investic (ROI).

Rodina softwarových produktů RiskWatch má mnoho výhod. RiskWatch vám pomůže provést analýzu rizik a učinit informovaná rozhodnutí o opatřeních a nápravných opatřeních. Na rozdíl od CRAMM se RiskWatch více zaměřuje na přesné kvantifikaci poměru ztrát z bezpečnostních hrozeb k nákladům na vytvoření ochranného systému. Je také třeba poznamenat, že v tomto produktu jsou rizika v oblasti informací a fyzického zabezpečení počítačové počítačové sítě zvažována společně.

Produkt RiskWatch je založen na metodice analýzy rizik, kterou lze rozdělit do čtyř fází.

První fází je vymezení předmětu výzkumu. Popisuje takové parametry, jako je typ organizace, složení studovaného systému (obecně), základní požadavky v oblasti bezpečnosti. Pro usnadnění práce analytika poskytují šablony odpovídající typu organizace („komerční informační systém“, „státní / vojenský informační systém“ atd.) Seznamy kategorií chráněných zdrojů, ztrát, hrozeb, zranitelností a ochranných opatření. Z nich musíte vybrat ty, které jsou v organizaci skutečně přítomny.

Pro ztráty jsou například k dispozici následující kategorie:

  • zpoždění a odmítnutí služby;
  • zpřístupnění informací;
  • přímé ztráty (například zničením zařízení ohněm);
  • život a zdraví (personál, zákazníci atd.);
  • změna dat;
  • nepřímé ztráty (například náklady na obnovu);
  • pověst.

Druhou fází je zadání dat popisujících specifické vlastnosti systému. Lze je zadat ručně nebo importovat ze zpráv generovaných nástroji pro výzkum zranitelnosti počítačové sítě.

V této fázi jsou podrobně popsány zdroje, ztráty a třídy incidentů. Třídy incidentů se získávají porovnáním kategorie ztrát a kategorie zdrojů.

K identifikaci možných zranitelností slouží dotazník, jehož databáze obsahuje více než 600 otázek. Otázky se týkají kategorií zdrojů. Nastavuje se četnost výskytu každé z vybraných hrozeb, stupeň zranitelnosti a hodnota zdrojů. To vše slouží v budoucnosti k výpočtu účinku zavedení ochranných prostředků.

Třetí a pravděpodobně nejdůležitější fází je kvantitativní hodnocení. V této fázi se vypočítá rizikový profil a vyberou se bezpečnostní opatření. Nejprve se vytvoří vazby mezi zdroji, ztrátami, hrozbami a zranitelnostmi identifikovanými v předchozích krocích studie (riziko je popsáno kombinací těchto čtyř parametrů).

Riziko se ve skutečnosti odhaduje pomocí matematického očekávání ztrát na daný rok. Pokud jsou náklady na server například 150 000 USD a pravděpodobnost, že bude během roku zničen požárem, je 0,01, pak je očekávaná ztráta 1 500 USD.

Známý vzorec m = pxv, kde m je matematické očekávání, p je pravděpodobnost ohrožení, v je cena zdroje, prošel některými změnami v důsledku skutečnosti, že RiskWatch používá odhady definované americkým institutem Standardy NIST, nazývané LAFE a SAFE. LAFE (Local Annual Frequency Estimate) ukazuje, kolikrát za rok je daná hrozba v průměru realizována na daném místě (například ve městě). SAFE (Standard Annual Frequency Estimate) ukazuje, kolikrát za rok se v dané „části světa“ (například v Severní Americe) v průměru vyskytne daná hrozba. Zavádí se také korekční faktor, který umožňuje vzít v úvahu, že když je hrozba realizována, chráněný zdroj nemusí být zcela zničen, ale pouze částečně.

Kromě toho jsou zvažovány scénáře „co-kdyby ...“, které vám umožňují popsat podobné situace s výhradou implementace ochranných opatření. Porovnáním očekávaných ztrát s ochrannými opatřeními a bez nich je možné posoudit účinek těchto opatření.

RiskWatch obsahuje databáze s hodnocením LAFE a SAFE a také obecný popis odlišné typy prostředky ochrany.

Ukazatel návratnosti investic (ROI), který ukazuje návratnost investic provedených za určité časové období, kvantifikuje účinek implementace bezpečnostních opatření. Tento indikátor se vypočítá podle vzorce:

kde Costsi jsou náklady na implementaci a údržbu i-tého ochranného opatření; Benefitsi - posouzení přínosů (očekávané snížení ztrát), které implementace tohoto ochranného opatření přináší; NVP (současná čistá hodnota) se upravuje o inflaci.

Čtvrtou fází je generování zpráv. K dispozici jsou následující typy sestav:

  • krátké shrnutí;
  • úplné a souhrnné zprávy o prvcích popsaných ve fázích 1 a 2;
  • podávat zprávy o nákladech na chráněné zdroje a očekávaných ztrátách z implementace hrozeb;
  • podávat zprávy o hrozbách a protiopatřeních;
  • Zpráva o návratnosti investic;
  • zpráva o bezpečnostním auditu.

Příklad výpočtu ROI pro různá ochranná opatření je uveden na obr. 5.

RiskWatch vám tedy umožňuje posoudit nejen rizika, která v současné době v podniku existují, ale také výhody, které implementace fyzických, technických, softwarových a dalších prostředků a mechanismů ochrany může přinést. Připravené zprávy a grafy poskytují materiál dostatečný pro rozhodování o změně systému zabezpečení podniku.

Pro domácí uživatele je problém v tom, že je poměrně problematické získat odhady používané v RiskWatch (jako LAFE a SAFE) pro naše podmínky. I když samotnou metodiku lze u nás úspěšně aplikovat.

Shrneme -li to, poznamenáváme, že při výběru konkrétní metodiky pro analýzu rizik v podniku a nástrojů, které jej podporují, bychom si měli odpovědět na otázku: je nutné mít přesné kvantitativní posouzení důsledků implementace hrozeb nebo zda postačuje posouzení na kvalitativní úrovni. Je také nutné vzít v úvahu následující faktory: přítomnost odborníků, kteří jsou schopni spolehlivě odhadnout objem ztrát z hrozeb informační bezpečnosti, a dostupnost spolehlivé statistiky incidentů v oblasti informační bezpečnosti v podniku .

Nevýhody RiskWatch zahrnují následující:

  • tato metoda je vhodná, pokud je požadováno provedení analýzy rizik na softwarové a hardwarové úrovni ochrany, bez zohlednění organizačních a administrativních faktorů;
  • získané hodnocení rizik (matematické očekávání ztrát) nevyčerpává chápání rizika ze systémového hlediska - metoda nezohledňuje integrovaný přístup k informační bezpečnosti;
  • Software RiskWatch je k dispozici pouze v angličtině;
  • vysoké licenční náklady - od 10 000 $ za místo pro malou společnost.

Krk

GRIF je komplexní systém pro analýzu a řízení rizik informačního systému společnosti. GRIF 2005 od Digital Security Office (http://www.dsec.ru/products/grif/) poskytuje obraz o zabezpečení informačních zdrojů v systému a umožňuje zvolit optimální strategii ochrany podnikových informací.

Systém GRIF analyzuje úroveň ochrany zdrojů, vyhodnocuje možné škody způsobené implementací hrozeb IS a pomáhá řídit rizika výběrem protiopatření.

Analýza rizik IS se provádí dvěma způsoby: pomocí modelu informačních toků nebo modelu hrozeb a zranitelností v závislosti na tom, jaká počáteční data uživatel má, a na tom, o jaká data má na výstupu zájem.

Informační tokový model

Při práci s modelem informačních toků systém zavádí úplné informace o všech zdrojích s cennými informacemi, o uživatelích, kteří mají k těmto zdrojům přístup, typy a přístupová práva. Zaznamenávají se data o všech způsobech ochrany každého zdroje, síťová propojení zdrojů, charakteristiky bezpečnostní politiky společnosti. Výsledkem je kompletní model informačního systému.

V první fázi práce s programem uživatel zadá všechny objekty svého informačního systému: oddělení, zdroje (konkrétní objekty tohoto modelu zahrnují skupiny sítí, síťová zařízení typy informací, skupiny uživatelů, obchodní procesy).

Dále musí uživatel přiřadit odkazy, tj. Určit, do kterých oddělení a skupin sítí prostředky patří, jaké informace jsou uloženy v prostředku a které skupiny uživatelů k němu mají přístup. Uživatel také uvádí způsob ochrany zdroje a informací.

V konečné fázi uživatel odpoví na seznam otázek týkajících se bezpečnostní politiky implementované v systému, což umožňuje posoudit skutečnou úroveň zabezpečení systému a podrobně posoudit rizika.

Dostupnost finančních prostředků ochrana informací uvedeno v první fázi, samo o sobě ještě nezajišťuje zabezpečení systému v případě jejich neadekvátního používání a neexistence komplexní bezpečnostní politiky, která by zohledňovala všechny aspekty ochrany informací, včetně zabezpečení, fyzické bezpečnosti, personální bezpečnosti, podnikání kontinuita atd.

V důsledku provádění všech akcí v těchto fázích tvoří výstup ucelený model informačního systému z pohledu informační bezpečnosti s přihlédnutím ke skutečnému plnění požadavků komplexní bezpečnostní politiky, která vám umožňuje jít na programová analýza zadané údaje za účelem získání komplexního posouzení rizik a vytvoření závěrečné zprávy.

Model ohrožení a zranitelnosti

Práce s modelem analýzy hrozeb a zranitelností zahrnuje identifikaci zranitelností každého zdroje pomocí cenných informací a odpovídajících hrozeb, které lze prostřednictvím těchto zranitelností realizovat. Výsledkem je ucelený obraz slabých stránek informačního systému a škod, které lze napáchat.

V první fázi práce s produktem uživatel zadá do systému objekty svého IS: oddělení, zdroje (konkrétní objekty pro tento model zahrnují ohrožení informačního systému a zranitelnosti, jejichž prostřednictvím jsou hrozby implementovány).

GRIF 2005 obsahuje rozsáhlé integrované katalogy hrozeb a zranitelností, které obsahují asi 100 hrozeb a 200 zranitelností. Pro maximální úplnost a univerzálnost těchto katalogů vyvinuli odborníci Digital Security speciální klasifikaci hrozeb DSECCT, ve které jsou implementovány dlouholeté praktické zkušenosti v oblasti informační bezpečnosti. Pomocí těchto adresářů si uživatel může vybrat hrozby a chyby zabezpečení související s jeho informačním systémem.

Algoritmus systému GRIF 2005 analyzuje sestrojený model a generuje zprávu, která obsahuje hodnoty rizika pro každý zdroj. Konfigurace sestavy může být téměř jakákoli, což vám umožňuje vytvářet souhrnné zprávy pro správu i podrobné zprávy pro další práce s výsledky (obr. 6).
Rýže. 6. Příklad zprávy v systému GRIF 2005.

Systém GRIF 2005 obsahuje modul řízení rizik, který vám umožní analyzovat všechny důvody, proč po zpracování zadaných dat algoritmem je získána přesně taková hodnota rizika. S vědomím důvodů je tedy možné získat data nezbytná k implementaci protiopatření a podle toho snížit úroveň rizika. Po výpočtu účinnosti každého možného protiopatření a stanovení hodnoty zbytkového rizika můžete vybrat protiopatření, která sníží riziko na požadovanou úroveň.

V důsledku práce se systémem GRIF je podrobná zpráva postavena na úrovni rizika každého cenného zdroje informačního systému společnosti, všechny důvody rizika jsou uvedeny s podrobnou analýzou zranitelností a posouzením ekonomického účinnost všech možných protiopatření.

***

Světové osvědčené postupy a přední mezinárodní standardy v oblasti informační bezpečnosti, zejména ISO 17799, vyžadují implementaci systému analýzy rizik a systému řízení pro efektivní správu bezpečnosti informačního systému. V tomto případě můžete použít jakékoli praktické nástroje, ale hlavní věcí je vždy jasně pochopit, že systém zabezpečení informací byl vytvořen na základě analýzy informačních rizik, ověřené a odůvodněné. Analýza a řízení informačních rizik je klíčovým faktorem pro vybudování účinné ochrany informačního systému.



Nenašli jste odpověď na vaši otázku? Podívejte se sem
Chyby v singularitě?Chyby v singularitě?
Just Cause 2 havarujeJust Cause 2 havaruje
Terraria nezačne, co mám dělat?Terraria nezačne, co mám dělat?