Metode i softverski proizvodi za procjenu rizika Riscis Watch. Program za procjenu rizika Softver za upravljanje rizicima

Opisali smo i proučili sustavni pristup procesu upravljanja rizicima. Složenost razmatranja ovog pitanja posljedica je činjenice da smo odlučili da nema smisla razmatrati pojedine aktivnosti u ovoj domeni radi stvaranja visokokvalitetnog sustava analize i upravljanja rizicima. Tek ako se u potpunosti primijene sve faze upravljanja rizicima, možemo govoriti o sustavu koji može osigurati postizanje postavljenih ciljeva.

Složeni program o kojem smo si postavili cilj da danas počnemo raspravljati temelji se na artefaktima (procesima i objektima) koje smo ranije opisali.

U njegovom središtu su:

• Postupci planiranja za složene aktivnosti upravljanja rizicima;
• Metode i alati za upravljanje rizicima koji su međusobno povezani na način da se međusobno nadopunjuju i „obogaćuju“ tijekom provedbe razmatranog programa.

Tako ćemo danas imati dodatno "uranjanje" u aktivnost analize i upravljanja rizicima, pa zadržimo dah ...

Uvod

Do sada smo već opisali aktivnosti identifikacije, procjene, analize vrsta rizika (kvalitativnih i kvantitativnih), organizacije i, na uvodni način, upravljanja rizicima. Relevantnost i nužnost organiziranja procesa analize i upravljanja rizicima u jedinstveni sveobuhvatni program, koji će moći obuhvatiti i uskladiti njegove pojedine dijelove u jedinstveni administrativni i softverski kompleks, naveli smo i potvrdili u prethodno prezentiranom materijalu.

Danas ćemo razmotriti dio discipline upravljanja rizicima - "Sveobuhvatni program upravljanja rizicima", koji rješava problem povećanja učinkovitosti već organiziranih postupaka, uvođenja novih, inovativnih i istovremeno učinkovite metode i tehničara, smanjujući očite i potencijalne gubitke te maksimizirajući učinak glavnih aktivnosti tvrtke.

Ovdje je vrijedno napomenuti da je opsežan program upravljanja rizicima jedna od mogućnosti za proces upravljanja rizicima. Provedba ovog opsežnog programa može se smatrati alternativom provedbi upravljanja rizicima. Svaka od prethodno razmatranih faza procesa analize i upravljanja rizikom predstavlja cjelovite faze procesa provedbe upravljanja rizicima, a može se koristiti pri planiranju ove aktivnosti u određenoj organizaciji, podložno prilagodbi određenim uvjetima u poduzeću.

Prema mnogim stručnjacima, ciljevi programa upravljanja rizicima trebali bi biti postizanje sljedećih rezultata:

• Optimalna upotreba raspoloživi kapital;
• Dobivanje maksimalnog prihoda;
• Povećanje održivosti razvoja tvrtke;
• Smanjenje vjerojatnosti gubitka dijela ili cijele vrijednosti proizvoda ili usluge proizašle iz procesa domene informacijske tehnologije, određena organizacija.

Stoga se sveobuhvatni program upravljanja rizicima ne bi trebao promatrati samo kao IT proces, već, u prevladavajućem značenju ove aktivnosti, kao poslovnu komponentu predmeta upravljanja rizicima, čija je ispravna organizacija konačni rezultat i daljnji položaj organizacije na tržištu ovisit će.

Program upravljanja rizicima

Suvremeni, uspješni sveobuhvatni program upravljanja rizicima mora uzeti u obzir i riješiti probleme povezane s trenutnim potrebama tvrtke u području upravljanja rizicima, koja je odlučila implementirati procese analize i upravljanja rizicima.

Organizacije za upravljanje rizicima obično imaju sljedeće ciljeve za ovu domenu:

• Uspješan rad, u uvjetima izloženosti rizicima;
• Zaštita od negativnih, rizičnih čimbenika koji ometaju provedbu strategije i taktike tvrtke;
• Razumno donošenje upravljačkih odluka, uzimajući u obzir dostupne informacije o očitim i potencijalnim rizicima;
• Očuvanje i razvoj dostupnih informacijskih alata i tehnologija;
• Smanjenje osjetljivosti tvrtke na rizike i povećanje stabilnosti područja informacijske tehnologije, u rizičnom okruženju.

Sveobuhvatni program upravljanja rizicima trebao bi uspostaviti jedinstvenu strukturu za suočavanje s rizicima, koja se može razlikovati u mogućnostima provedbe pojedinih faza, ali istodobno i redoslijedu (danom na tečaju u obliku slijeda prezentacije materijala) i rezultati (dokumenti) svake od faza moraju točno odgovarati onima koje smo dali na tečaju:

• Prikupljanje informacija i zahtjevi za rizik:
  • Popisi očitih i mogućih uzroka koji mogu dovesti do rizika;
• Identifikacija rizika:
  • Registar rizika;
• Preliminarna procjena rizika:
  • Registar prioritetnih rizika;
  • Strategija upravljanja rizicima;
• Kvalitativna analiza rizika:
  • Dokument koji sadrži visokokvalitetne informacije o rizicima i načinima njihovog rješavanja (taktike);
  • Informacije o riziku koje se mogu koristiti u aktivnostima kvantitativne analize;
  • Baza znanja / baza podataka o prethodno identificiranim rizicima s njihovim opisom;
• Kvantitativna analiza rizika:
  • Dokument koji sadrži kvantitativne podatke o rizicima i načinima njihovog rješavanja (taktike);
  • Statističke informacije koje se mogu koristiti za daljnje računovodstvo rizika i planiranje načina za njihovo rješavanje;
• Sustav analize rizika:
  • Razvijeni postupci i propisi koji bi trebali objedinjavati i koristiti prethodno primljene dokumente radi postizanja pokazatelja uspješnosti upravljanja rizicima;
• Sveobuhvatni program upravljanja rizicima:
  • Dokument koji sadrži informacije o opsežnom programu upravljanja rizicima;
  • Plan postupaka upravljanja rizicima;
• Daljnje aktivnosti:
  • Plan praćenja rizika;
  • Plan poboljšanja za analizu i upravljanje rizicima;

Istodobno, svaki od opisanih dokumenata mora se pravodobno ažurirati i pratiti u budućnosti, prilikom obavljanja poslova upravljanja rizicima u određenom poduzeću. S ciljem izgradnje učinkovitog sveobuhvatnog programa upravljanja rizicima i pravilne provedbe komponenti ovaj cilj zadatke, bit će moguće kontrolirati rizike na svim organizacijskim razinama bilo koje organizacije.

Upravljači rizicima trebali bi biti sposobni procijeniti okolnu situaciju i pridonijeti razvoju i provedbi gore navedenih dokumenata, postupaka i propisa, koji bi se trebali temeljiti na sljedećim načelima iz područja analize rizika i procesa upravljanja, koje je zacrtao nama ranije:

• Integrirani, procesni pristup analizi rizika i procesima upravljanja;
• Razmatranje najznačajnijih rizika:
  • Stvaranje registra rizika. Ažuriranje registra tijekom aktivnosti analize i procesa upravljanja rizicima;
• Identifikacija rizika;
• Određivanje "vlasnika" rizika;
• Korištenje strukture uloga za proces upravljanja rizicima;
• Korištenje određenih metoda / skupina metoda za upravljanje određenim rizicima;
• Definicija prihvatljive razine rizici:
  • Kontrola stanja rizika;

Nešto ranije, kada smo govorili o osiguranju aktivnosti upravljanja rizicima, dotakli smo se teme dokumentarne potpore za ovo područje rada, ali je nismo detaljnije otkrili. U odjeljku posvećenom razvoju postupaka upravljanja rizicima ovoj ćemo temi posvetiti posebnu pozornost.

Ovdje bih želio reći da su dokumentacija i njezina provedba vrlo važna "prekretnica" u razvoju sveobuhvatnog programa, zanemarivanje koje može dovesti do činjenice da će razvijeni program biti "događaj u jednom koraku". Takva provedba "riskira" da ostane u određenim "glavama". Složeni program bit će "dovršen" odlaskom skupine ključnih stručnjaka, što dovodi u sumnju sustavni pristup razvijenoj domeni i takvom provedbom dokazuje njegovu neučinkovitost.

Mora se reći da bi se sveobuhvatni program upravljanja rizicima trebao sastojati od procesa, postupaka, aktivnosti itd. Rezultati pojedinih faza uključenih u ovu "prekomjernu" aktivnost trebali bi se međusobno uskladiti na takav način da se jasno vide veze između pojedinih aktivnosti. Konačni rezultat područja rizika i aktivnosti organizacije u cjelini ovisi o tome koliko će uspješno, promišljeno, u kombinaciji s općim ciljevima upravljanja rizicima, biti organizirana integracija pojedinih dijelova u zajedničku cjelinu.

Razvoj postupaka upravljanja rizicima. Poslovna pravila

Postupci koji čine proces upravljanja rizicima su "predloška" rješenja čija je svrha ponuditi opcije za odabir u određenoj situaciji, opcije za specifična rješenja koja su primjerena za uporabu u rizičnoj situaciji s određenim (poznatim i nepoznatim) parametri.

Izbor u korist određenog slučaja uporabe ovisit će o tome koliko je određeni razvijeni postupak upravljanja određenim rizikom / rizičnom skupinom prilagođen potrebama određenog okruženja (vanjski i unutarnji parametri situacije), odgovara specifičnim procesima u koja je moguća manifestacija rizika, a bit će učinkovita u ovom slučaju.

Pri izradi postupaka poželjno je voditi se načelima koja su postavljena u osnovi aktivnosti tvrtke. Ta se načela obično nazivaju poslovnim pravilima. Većina njih nastaje u procesu „ostvarivanja“ onih postulata koji su pokretačke „poluge“ poslovanja. One nisu uvijek očite (u pravilu, jer su u "glavama" ograničenog broja dionika), ali počinju postojati s početkom poslovnih aktivnosti. Dana stabilnost razvoja ovog ili onog područja poslovanja u kojem se primjenjuju ovisi o mjeri u kojoj se promatraju.

Poslovna pravila i dinamika njihove promjene određuju trend razvoja informacijskih sustava i upravo oni utječu na stabilnost poduzeća, u ovom slučaju njegove komponente rizika.

U skladu s tim, iz prethodnog je uputno zaključiti da su poslovna pravila jedna od komponenti koje određuju iznos “rizičnosti” koji je dostupan za upravljanje i proučavanje.

No, u suvremenoj poslovnoj zajednici poslovna se pravila vrlo često zanemaruju i "zamjenjuju" za posebne razvojne scenarije, koji "leže u osnovi" razvoja postupaka upravljanja rizicima. Ovdje vrijedi pojasniti činjenicu da su slučajevi uporabe specifične mogućnosti za provedbu rizika, a „poslovna pravila“ su univerzalna / „pseudo-univerzalna“ načela koja određuju slučajeve uporabe, pa je vrlo važno uzeti u obzir da bi poslovna pravila trebala biti koristi se pri razvijanju postupaka upravljanja rizicima ... U ovom slučaju možemo govoriti o prilično pouzdanoj zaštiti poslovanja od rizika.

Sastav razvijenih postupaka upravljanja rizicima određen je mnogim čimbenicima, ali se temelji na 2 glavne komponente koje određuju postupke za upravljanje i analizu upravljanja rizicima:

• Trenutno "rizično" stanje organizacije;
• Potrebe / i dionika.

Potrebe dionika određuju kako, s kakvom „dokumentarnom“ i drugom vrstom potpore treba razviti određeni postupak. U nekim slučajevima, razvojni postupci mogu uključivati ​​sljedeće aktivnosti:

• Razvoj prijedloga u vezi s rizičnim područjem za strategiju / politiku poduzeća;
• Dokumentiranje glavnih postupaka upravljanja rizicima;
• Razvoj metodologije za procjenu određenih vrsta rizika i ukupnog rizika;
• Itd.

Optimalno osmišljeni i primijenjeni postupci upravljanja rizicima smanjit će (ili potpuno eliminirati) moguće štete, pridonijet će stabilizaciji i razvoju tvrtke.

Još jednom navodimo skup regulatornih i metodoloških dokumenata koji bi trebali pružiti postupke upravljanja rizicima s potrebnom instrumentalnom i pravnom osnovom:

• Politika upravljanja rizicima
• Propisi o upravljanju rizicima
• Postupak upravljanja rizicima
• Metodičke upute o opisu i procjeni rizika
• Metodološke smjernice za procjenu utjecaja rizika na rad rasporeda
• Metodološke smjernice za formiranje pokazatelja rizika
• Priručnik o postupcima upravljanja rizicima
• Tipični priručnik o rizicima

Zbog toga se mora reći da ne postoje postupci upravljanja rizicima koji bi se mogli razviti na takav način da zahtijevaju univerzalnost i sveobuhvatnu primjenjivost. Svaki postupak trebao bi uzeti u obzir specifičnosti određene situacije i određene rizike, kojima se planira upravljati postupcima upravljanja rizicima.

Metode upravljanja rizicima

U prethodnom smo članku ukratko pogledali različite metode upravljanja rizicima, kategorizirajući ih u sljedeće četiri kategorije:

• Metode izbjegavanja rizika;
• Metode lokalizacije rizika;
• Metode diverzifikacije rizika;
• Metode kompenzacije rizika.

Svaka od opisanih metoda nudi specifične, specijalizirane i učinkovita rješenja za “rizične” situacije klasificirane na određeni način (vidi članke o kvantitativnoj i kvalitativnoj metodi analize rizika) iz općeg skupa prema čimbenicima koji bi u budućnosti mogli nanijeti štetu.

"Umijeće" obrade početnih informacija, od kojih je moguće izdvojiti potrebna "zrnca" korisnih podataka, vidi članak o sustavnom pristupu procesu upravljanja rizicima, ali o potrebi optimalnog razmatranja čimbenika kritičnih za klasifikaciju čimbenika rizika uvjet je uspješne primjene jedne ili druge metode upravljanja rizikom i, sukladno tome, djelotvornost sustava upravljanja rizicima u cjelini.

Kao što je ranije opravdano, uzimajući u obzir varijabilnost "rizične" komponente i moguću migraciju grupe / rizične skupine, čiji će smjer biti prilično teško predvidjeti, ovisi o velikom broju varijabli:

• "Interno" u odnosu na rizično okruženje;
• “Vanjski” u odnosu na rizično okruženje;
• Ostali rizici, različiti stupanj interakcije s originalom;
• Učinci manifestacije, "povezanosti", "prekidanja veze" itd. rizici;

Stoga je važnost prikupljanja statistike sustava o određenom riziku također nužna sastavnica uspješnog izbora definitivno metode za rješavanje rizika, koja će osigurati sustavno smanjenje razine rizika. Istodobno, statistika bi trebala odražavati sveobuhvatnu i primjerenu "sliku" razvoja rizika.

U slučaju da je poduzeće u kojemu se provodi upravljanje rizicima dovoljno veliko i uvjetno stabilno u svom razvoju, postoji mogućnost da se potrebni brzi odgovori na promjene odbiju. U pravilu je to posljedica "lažno-inercijalne" ideje o dovoljnoj zaštiti od "dinamički nastajućih" rizika, što dalje može dovesti do prijetećih posljedica iz "bliske" i "udaljene" manifestacije nastale štete.

Valja napomenuti da u većini slučajeva

(što je u većini slučajeva teže predvidjeti, ali je obično opasnije zbog dodatnih nedefiniranih parametara)

U takvoj situaciji mala poduzeća, koja nisu razmažena prihvatljivom razinom stabilnosti, nastoje točnije i fleksibilnije odgovoriti na rizike koji su za njih neprihvatljivi i, ako je potrebno, promijeniti prioritete svojih aktivnosti, što je praktički nemoguće za srednje i velike organizacije.

Realne situacije, koje karakteriziraju različiti čimbenici rizika, trebale bi uzeti u obzir čimbenike koji su za njih kritični i, ovisno o tome, odabrati optimalnu metodu upravljanja rizicima.

Dodatni uvjet koji nameće ograničenje u izboru metode upravljanja rizikom je osoba menadžera čija odluka ovisi o tome koja će metoda na kraju biti odabrana.

Važno je da određeni donositelj odluka može sagledati radnu sliku na dovoljno opsežan način i donijeti najbolju odluku za određene uvjete.

zaključci

Dakle, u sljedećem članku, koji će biti drugi dio teme koja se razmatra, počet ćemo s detaljnim, sa konkretnim primjerima iz prakse, razmotriti klasifikaciju metoda upravljanja rizicima, podvrgnuti "razgradnji" procesa održavanja i poboljšanje domene upravljanja rizicima, pokušat ćemo detaljno istaknuti potrebne alate.

Na ovoj "intrigantnoj" noti danas se opraštamo od vas.

Sve najbolje i vidimo se uskoro, drage kolege!

Nastavak teme procjene i upravljanja rizicima sigurnost informacija u ovom postu želim govoriti o softveru koji se može koristiti za procjenu rizika. Zašto vam ovo uopće treba softver? Činjenica je da će, čim duboko zaronite u ovaj proces, odmah postati jasno da je provođenje procjene povezano s prilično složenom kombinatorikom. Kombinacija različitih sredstava, ranjivosti, prijetnji, zaštitnih mjera dovodi do stotina, tisuća mogućih kombinacija koje opisuju rizike, a ovdje ne možete bez improviziranih sredstava. Ono što se sada može pronaći na Internetu:

vsRisk... Softver britanske tvrtke Vigilant Software. Proizvod se prvenstveno stavlja na tržište kao softver za procjenu rizika u skladu sa zahtjevima ISO 27001 i BS7799-3 (sada ISO27005). Na web mjestu možete preuzeti probnu verziju za 15 dana (veličina - 390 MB). Sustav mi se učinio prilično primitivnim i nimalo prijateljskim prema nepripremljenom korisniku. Program, na primjer, ima prilično opsežne popise mogućih prijetnji, ranjivosti i protumjera, ali sam sustav ne utvrđuje nikakve međusobne odnose, to ručno radi sam korisnik. Općenito, program bih ocijenio za 3-ku. Zašto tamo traže 1700 eura?! osam-).

PTA. Razvio PTA Technologies . Po mom mišljenju izuzetno zanimljiv proizvod. Nije vezan ni za jedan standard i implementira mehanizam za kvantitativnu procjenu rizika (!). Usput, prije bih to istaknuo kao nedostatak ovog softvera, tk. poanta je u tome da se ne može sve procijeniti s točnošću dolara, a mogućnost kvalitativne procjene nije predviđena. Sustav također pruža zanimljiv mehanizam za procjenu učinkovitosti predloženih protumjera, na temelju kojih je, primjerice, moguće identificirati kako se mijenja karta rizika dodavanjem ili uklanjanjem određenih protumjera.

Na web stranici razvojnog programera navedeno je da se proizvod plaća i samo 30-dnevno probno razdoblje je dostupno za preuzimanje. Koliko košta sam proizvod i kako se može kupiti - nema informacija (očito je pristup individualan :)).

RSA strijelac... Razvio Archer, nedavno u vlasništvu diva RSA. Općenito govoreći, Archer je tako veliki GRC kombajn koji uključuje mnogo različitih modula, od kojih jedan pruža upravljanje rizicima. Ne postoji probna verzija za preuzimanje, na web stranici postoje prezentacijski videozapisi. Cijena ovog proizvoda također nije označeno, ali mislim da će biti skupo, kao i sve za RSA :)

Modulo menadžer rizika... Razvio Modulo. Na web stranici je dostupan samo prilično loš opis funkcionalnosti. Nema probne verzije, nema detaljnih video isječaka. Ipak, proizvod je dobio nagradu SC Magazine, što znači da ipak nešto vrijedi. Nažalost, još se nisam uspio upoznati s tim.

Studio RM. Proizvod istoimene organizacije (web stranica). D 30-dnevno probno razdoblje dostupno je za preuzimanje. Osim toga, na web mjestu možete gledati videozapise koji pokazuju slučajeve upotrebe proizvoda. Po mom mišljenju, ovaj softver je previše primitivan u smislu procjene rizika i prikladan je samo za one koji procjenu rizika izrađuju "za show".

Sup... Razvio Digital Security. Ovaj softverski proizvod donio sam radi općenite slike. Programer već godinama ne podržava sam proizvod. Stoga možemo reći da zapravo više ne postoji. Do sada je ovo jedini domaći razvoj na ovom području koji mi je poznat.

Iskreno rečeno, ne puno. Razumijem da moj pregled ne može tvrditi da je 100% dovršen, ali ipak ....

Ako netko drugi zna neki drugi softver ili druge načine za automatizaciju procjene rizika - napišite u komentarima, razgovarat ćemo.

Važno ažuriranje! ISM SYSTEMS najavio je razvoj alata za automatizaciju procjene rizika - ISM Revision: Risk Manager. Preliminarne informacije dostupne su ovdje - http://www.ismsys.ru/?page_id=73. Proizvod izgleda obećavajuće. Više detaljan pregled Učinit ću to kasnije.

Pošaljite svoj dobar rad u bazu znanja je jednostavno. Koristite donji obrazac

Studenti, diplomirani studenti, mladi znanstvenici koji koriste bazu znanja u studiju i radu bit će vam zahvalni.

Objavljeno na http://www.allbest.ru/

Državna proračunska stručna obrazovna ustanova Rostovske regije "Visoka škola za komunikacije i informatiku u Rostovu na Donu"

GBPOU RO "RKSI"

Izvještaj o temi:

"Metode i softverski proizvodi za procjenu rizika Riscis Watch"

Popunio student: Zheleznichenko Artem

Grupa broj IB-22

Učitelj, nastavnik, profesor:

Dmitrij Timčenko

Rostov na Donu

Uvod

Danas nema sumnje u potrebu ulaganja u informacijsku sigurnost modernog velikog poslovanja. Glavno pitanje suvremenog poslovanja je kako procijeniti dovoljnu razinu ulaganja u informacijsku sigurnost kako bi se osigurala maksimalna učinkovitost ulaganja u ovo područje. Za rješavanje ovog problema postoji samo jedan način - korištenje sustava za analizu rizika koji omogućuju procjenu rizika koji postoje u sustavu i odabir najučinkovitije opcije zaštite (prema omjeru postojećih rizika u sustavu i troškovima informacija) sigurnost).

Prema statistikama, najveća prepreka poduzimanju bilo kakvih mjera za osiguranje informacijske sigurnosti u poduzeću su dva razloga: proračunska ograničenja i nedostatak podrške menadžmenta.

Oba razloga proizlaze iz pogrešnog razumijevanja menadžmenta ozbiljnosti problema i poteškoća za IT menadžera da opravda zašto je potrebno ulagati u informacijsku sigurnost. Često mnogi misle da je glavni problem to što IT menadžeri i rukovoditelji govore različiti jezici- tehnički i financijski, no uostalom i sami IT stručnjaci često teško procjenjuju na što će potrošiti novac i koliko je potrebno kako bi se osigurala veća sigurnost sustava tvrtke kako se ti troškovi ne bi pokazali uzaludnim ili pretjerano.

Ako IT menadžer jasno razumije koliko tvrtka može izgubiti novac u slučaju prijetnji, koja su mjesta u sustavu najugroženija, koje se mjere mogu poduzeti kako bi se povećala razina sigurnosti, a da se pritom ne troši dodatni novac, i sve je to dokumentirano, tada je rješenje problema uvjereno da uprava obrati pažnju i dodijeli sredstva za informacijsku sigurnost postaje mnogo stvarnija.

Za rješavanje ovog problema razvijeni su softverski sustavi za analizu i kontrolu informacijskih rizika. Jedan od tih softverskih sustava je američki RiskWatch (tvrtka RiskWatch).

1. Karakteristike RiskWatch -a

Metoda RiskWath, razvijena uz sudjelovanje američkog Nacionalnog instituta za standarde i tehnologiju (US NIST), američkog Ministarstva obrane (US DoD) Kanadskog odjela nacionalne kanadske obrane, 1998. godine, zapravo je standard za SAD vladine organizacije ne samo u SAD -u, već i diljem svijeta.

Softver RiskWatch, koji je razvila američka tvrtka RiskWatch, snažan je alat za analizu i upravljanje rizicima.

RiskWatch u osnovi nudi dva proizvoda: jedan u području informacijske sigurnosti _ IT sigurnost, drugi u području fizičke sigurnosti _ Fizička sigurnost. Softver je dizajniran za identifikaciju i procjenu zaštićenih resursa, prijetnji, ranjivosti i zaštitnih mjera u području računalne i "fizičke" sigurnosti poduzeća. Štoviše, za različite vrste organizacija predlaže se različite verzije softver.

Linija proizvoda namijenjenih upravljanju rizicima u različitim sustavima uzima u obzir zahtjeve takvih standarda (dokumenata): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 itd.

Obitelj RiskWatch uključuje softverske proizvode za različite vrste sigurnosnih revizija. Uključuje sljedeće alate za reviziju i analizu rizika:

1. RiskWatch za fizičku sigurnost - za fizičke metode zaštite IP -a;

2. RiskWatch za informacijske sustave - za informacijske rizike;

3. HIPAA -WATCH za zdravstvenu industriju - za procjenu usklađenosti sa zahtjevima standarda HIPAA;

4. RiskWatch RW17799 za ISO17799 - za procjenu zahtjeva standarda ISO17799.

2. Prednosti i nedostaci RiskWatch -a

Značajna prednost RiskWatch -a sa stajališta potrošača je njegova usporedna jednostavnost, nizak radni intenzitet rusifikacije i velika fleksibilnost metode, koju pruža mogućnost uvođenja novih kategorija, opisa, pitanja itd. Na temelju ove metode domaći programeri mogu stvoriti vlastite profile, uzimajući u obzir domaće zahtjeve u području sigurnosti, razviti odjelne metode analize i upravljanja rizicima.

Unatoč zaslugama, RiskWatch ima svoje nedostatke.

Ova je metoda prikladna ako trebate provesti analizu rizika na softverskoj i hardverskoj razini zaštite, ne uzimajući u obzir organizacijske i administrativne čimbenike. Dobivene procjene rizika (matematičko očekivanje gubitaka) daleko su od iscrpljivanja razumijevanja rizika sa sistemskog stajališta - metoda ne uzima u obzir integrirani pristup informacijskoj sigurnosti.

1. Softver RiskWatch dostupan je samo na engleskom jeziku.

2. Visoki troškovi licence - od 15.000 USD po sjedištu za malu tvrtku i od 125.000 USD za korporativnu licencu.

3. Metodologija analize rizika koja je u osnovi RiskWatch -a

RiskWatch vam pomaže provesti analizu rizika i donijeti informirane odluke o mjerama i pravnim lijekovima. Tehnika korištena u programu uključuje 4 faze:

Potrebno je detaljnije razmotriti svaku od faza metodologije analize rizika.

1. U prvoj fazi opisuju se opći parametri organizacije - vrsta organizacije, sastav sustava koji se proučava, osnovni sigurnosni zahtjevi. Opis je formaliziran u nizu potklauzula koje se mogu odabrati za više Detaljan opis ili preskočite.

2. Druga faza je unos podataka koji opisuju specifične karakteristike sustava. Podaci se mogu ručno unijeti ili uvesti iz izvješća generiranih pomoću alata za istraživanje ranjivosti računalne mreže. U ovoj fazi se detaljno opisuju resursi, gubici i klase incidenata.

3. Treća faza je procjena rizika. Prvo, uspostavljaju se veze između resursa, gubitaka, prijetnji i ranjivosti identificiranih u prethodnim fazama. Za rizike, matematička očekivanja gubitaka za godinu izračunavaju se prema formuli:

gdje je p učestalost pojavljivanja prijetnje tijekom godine, v je trošak resursa koji je pod prijetnjom.

4. Četvrta faza je generiranje izvješća. Vrste izvješća: kratki sažeci; potpuna i sažeta izvješća o elementima opisanim u fazama 1 i 2; izvješće o cijeni zaštićenih resursa i očekivanim gubicima od provedbe prijetnji; izvješće o prijetnjama i protumjerama; izvješće o sigurnosnoj reviziji.

Zaključak

softver za zaštitu informacija

RiskWatch je softver koji je razvila američka tvrtka RiskWatch.

RiskWatch vam pomaže da provedete analizu rizika i donosite informirane odluke o mjerama i pravnim lijekovima. Unatoč tome, RiskWatch ima neke nedostatke: licenca je visoka; Softver RiskWatch dostupan je samo na engleskom jeziku.

Proizvod RiskWatch temelji se na metodologiji analize rizika koja se sastoji od četiri faze.

Prva faza je definiranje predmeta istraživanja.

Druga faza je unos podataka koji opisuju specifične karakteristike sustava.

Treći i najvažniji korak je kvantifikacija.

Četvrta faza je generiranje izvješća.

Objavljeno na Allbest.ru

Slični dokumenti

Metode procjene informacijskih rizika, njihovih karakteristika i karakteristika, procjena prednosti i nedostataka. Razvoj metodologije procjene rizika na primjeru Microsoftove metodologije, modela procjene rizika za sigurnost korporativnih informacija.

diplomski rad, dodan 08.02.2012


Bit i metode procjene informacijske sigurnosti. Ciljevi njegove provedbe. Metode za analizu rizika informacijske tehnologije. Pokazatelji i algoritam za izračunavanje rizika za prijetnju IS -om. Proračun informacijskih rizika na primjeru web poslužitelja trgovačkog društva.

seminarski rad, dodan 25.11.2013


Bit informacija, njihova klasifikacija. Glavni problemi osiguravanja i prijetnje informacijskoj sigurnosti poduzeća. Analiza rizika i načela informacijske sigurnosti poduzeća. Razvoj niza mjera za osiguranje informacijske sigurnosti.

seminarski rad dodan 17.05.2016


Razvoj inteligentnog informacijskog sustava za samoučenje za analizu kreditne sposobnosti zajmoprimca i procjenu kreditnih rizika na temelju pristupa imunoračunanja. Primjena postupaka grupisanja, klasifikacija i formiranje procjena rizika.

seminarski rad, dodan 09.09.2012


Metodologija istraživanja i analize revizijskih alata Windows sustavi radi otkrivanja neovlaštenog softverskog pristupa resursima računala. Analiza prijetnji sigurnosti informacija. Algoritam softverskog alata.

diplomski rad, dodan 28.06.2011


Softver i Tehničke specifikacije informacijski sustavi poduzeća. Zahtjevi za informacije i kompatibilnost softvera. Dizajn softvera pomoću specijaliziranih programskih paketa. Razvoj baze podataka.

izvješće o praksi, dodano 11.04.2019


Klasifikacija glavnih rizika, njihova identifikacija. Planiranje i procjena rizika informacijskog sustava u organizaciji, poduzimanje mjera za uklanjanje rizika. Određivanje točke rentabilnosti projekta. Izračun troškova gubitaka i vjerojatnost nastanka rizika.

laboratorijski rad, dodano 20.01.2016


Koncept i ključna razlika razvoja distribuiranog softvera, njegove prednosti i nedostaci. Idejno rješenje i izbor vrste razvoja. Značajke softvera otvorenog koda izvorni kod... Ideja i razvoj otvorenog koda.

seminarski rad, dodan 14.12.2012


Automatizacija aktivnosti za analizu poslovnih aktivnosti poduzeća. Implementacija predložene metodologije u obliku softvera, osnovni zahtjevi za nju. Struktura i sastav kompleksa softverski moduli, korisnički vodič.

seminarski rad dodan 28.05.2013


Analiza rizika informacijske sigurnosti. Procjena postojećih i planiranih pravnih lijekova. Skup organizacijskih mjera za osiguranje informacijske sigurnosti i zaštitu podataka poduzeća. Testni primjer provedbe projekta i njegov opis.

Nastavljajući s temom procjene i upravljanja rizicima sigurnosti informacija u ovom članku, želio bih govoriti o softveru koji se može koristiti za procjenu rizika. Zašto vam uopće treba ovaj softver? Činjenica je da će, čim duboko zaronite u ovaj proces, odmah postati jasno da je provođenje procjene povezano s prilično složenom kombinatorikom. Kombinacija različitih sredstava, ranjivosti, prijetnji, zaštitnih mjera dovodi do stotina, tisuća mogućih kombinacija koje opisuju rizike, a ovdje ne možete bez improviziranih sredstava. Ono što se sada može pronaći na Internetu:

vsRisk... Softver britanske tvrtke Vigilant Software. Proizvod se prvenstveno stavlja na tržište kao softver za procjenu rizika u skladu sa zahtjevima ISO 27001 i BS7799-3 (sada ISO27005). Na web mjestu možete preuzeti probnu verziju za 15 dana (veličina - 390 MB). Sustav mi se učinio prilično primitivnim i nimalo prijateljskim prema nepripremljenom korisniku. Program, na primjer, ima prilično opsežne popise mogućih prijetnji, ranjivosti i protumjera, ali sam sustav ne utvrđuje nikakve međusobne odnose, to ručno radi sam korisnik. Općenito, program bih ocijenio za 3-ku. Zašto tamo traže 1700 eura?! osam-).

PTA. Razvio PTA Technologies . Po mom mišljenju izuzetno zanimljiv proizvod. Nije vezan ni za jedan standard i implementira mehanizam za kvantitativnu procjenu rizika (!). Usput, prije bih to istaknuo kao nedostatak ovog softvera, tk. poanta je u tome da se ne može sve procijeniti s točnošću dolara, a mogućnost kvalitativne procjene nije predviđena. Sustav također pruža zanimljiv mehanizam za procjenu učinkovitosti predloženih protumjera, na temelju kojih je, primjerice, moguće identificirati kako se mijenja karta rizika dodavanjem ili uklanjanjem određenih protumjera.

Na web stranici razvojnog programera navedeno je da se proizvod plaća i samo 30-dnevno probno razdoblje je dostupno za preuzimanje. Koliko košta sam proizvod i kako se može kupiti - nema informacija (očito je pristup individualan :)).

RSA strijelac... Razvio Archer, nedavno u vlasništvu diva RSA. Općenito govoreći, Archer je tako veliki GRC kombajn koji uključuje mnogo različitih modula, od kojih jedan pruža upravljanje rizicima. Ne postoji probna verzija za preuzimanje, na web stranici postoje prezentacijski videozapisi. Cijena ovog proizvoda također nije naznačena, ali mislim da će biti skupo, kao i sve za RSA :)

Modulo menadžer rizika... Razvio Modulo. Na web stranici je dostupan samo prilično loš opis funkcionalnosti. Nema probne verzije, nema detaljnih video isječaka. Ipak, proizvod je dobio nagradu SC Magazine, što znači da ipak nešto vrijedi. Nažalost, još se nisam uspio upoznati s tim.

Studio RM. Proizvod istoimene organizacije (web stranica). D 30-dnevno probno razdoblje dostupno je za preuzimanje. Osim toga, na web mjestu možete gledati videozapise koji pokazuju slučajeve upotrebe proizvoda. Po mom mišljenju, ovaj softver je previše primitivan u smislu procjene rizika i prikladan je samo za one koji procjenu rizika izrađuju "za show".

Sup... Razvio Digital Security. Ovaj softverski proizvod donio sam radi općenite slike. Programer već godinama ne podržava sam proizvod. Stoga možemo reći da zapravo više ne postoji. Do sada je ovo jedini domaći razvoj na ovom području koji mi je poznat.

Iskreno rečeno, ne puno. Razumijem da moj pregled ne može tvrditi da je 100% dovršen, ali ipak ....

Ako netko drugi zna neki drugi softver ili druge načine za automatizaciju procjene rizika - napišite u komentarima, razgovarat ćemo.

Važno ažuriranje! ISM SYSTEMS najavio je razvoj alata za automatizaciju procjene rizika - ISM Revision: Risk Manager. Preliminarne informacije dostupne su ovdje - http://www.ismsys.ru/?page_id=73. Proizvod izgleda obećavajuće. Kasnije ću napraviti detaljniji pregled.

Potreba za ulaganjem u informacijsku sigurnost (IS) poslovanja nesumnjiva je. Kako bismo potvrdili važnost zadatka osiguravanja poslovne sigurnosti, upotrijebit ćemo izvješće FBI -a objavljeno na temelju istraživanja američkih tvrtki (srednjih i velikih poduzeća). Statistika incidenata na području IT sigurnosti je neoprostiva. Prema FBI -u, 56% anketiranih tvrtki napadnuto je ove godine (slika 1).

No, kako procijeniti razinu ulaganja u informacijsku sigurnost koja će osigurati maksimalnu učinkovitost uloženih sredstava? Za rješavanje ovog problema postoji samo jedan način - koristiti sustave za analizu rizika koji omogućuju procjenu postojećih rizika u sustavu i odabir optimalne mogućnosti zaštite u smislu učinkovitosti (prema omjeru rizika koji postoje u sustavu i troškova) informacijske sigurnosti).

Opravdanje ulaganja

Prema statistikama, najozbiljnije prepreke poduzimanju bilo kakvih mjera za osiguranje informacijske sigurnosti u poduzeću povezane su s dva razloga: proračunskim ograničenjima i nedostatkom potpore uprave.

Oba ova razloga proizlaze iz pogrešnog razumijevanja menadžmenta ozbiljnosti problema i nemogućnosti IT menadžera da opravda zašto ulagati u informacijsku sigurnost. Često se vjeruje da glavni problem leži u činjenici da IT menadžeri i rukovoditelji govore različitim jezicima- tehničkim i financijskim, no na kraju krajeva i samim IT stručnjacima često je teško procijeniti na što će potrošiti novac i koliko je to potrebne za poboljšanje sigurnosti sustava tvrtke. kako ti troškovi ne bi bili uzalud potrošeni ili pretjerani.

Ako IT menadžer jasno razumije koliko tvrtka može izgubiti novac u slučaju prijetnji, koja su mjesta u sustavu najugroženija, koje se mjere mogu poduzeti za povećanje razine sigurnosti bez trošenja dodatnog novca, a sve je to dokumentirano, tada njegovi zadaci odlučivanja - uvjeriti upravu da obrati pozornost i dodijeli sredstva za informacijsku sigurnost - postaju mnogo stvarniji.

Za rješavanje ove vrste problema razvijene su posebne metode i softverski sustavi za analizu i kontrolu informacijskih rizika na temelju njih. Razmotrit ćemo CRAMM sustav britanske tvrtke Insight Consulting (http://www.insight.co.uk), istoimene američke tvrtke RiskWatch (http://www.riskwatch.com) i ruski GRIF paket iz Digital Security (http: // www .dsec.ru). Njihove usporedne karakteristike prikazane su u tablici.

Usporedna analiza alata za analizu rizika

Kriteriji usporedbe	CRAMM	RiskWatch	GRIF 2005 Ured za digitalnu sigurnost
Podrška	Pod uvjetom	Pod uvjetom	Pod uvjetom
Jednostavnost rada za korisnika		Zahtijeva posebnu obuku i visoku kvalifikaciju revizora	Sučelje je namijenjeno IT menadžerima i rukovoditeljima; ne zahtijeva posebna znanja iz područja informacijske sigurnosti
Cijena licence po jednom radnom mjestu, USD	2000 do 5000	Od 10 000	Od 1000
Zahtjevi sustava	Windows 98 / Me / NT / 2000 / XP OS Slobodni prostor na disku 50 MB Minimalni zahtjevi: procesorska frekvencija 800 MHz, 64 MB memorije	Windows 2000 / XP Slobodni prostor na disku za instalaciju 30 MB Intelov procesor Pentium ili kompatibilan, 256 MB memorije	Windows 2000 / XP Minimalni zahtjevi: slobodnog prostora na disku (za disk s korisničkim podacima) 300 MB, 256 MB memorije
Funkcionalnost	Ulazni podaci: resursi; vrijednost resursa; prijetnje; ranjivosti sustava; odabir odgovarajućih protumjera. Opcije izvješća: izvješće o analizi rizika; opće izvješće o analizi rizika; detaljno izvješće o analizi rizika.	Ulazni podaci: vrsta informacijskog sustava; osnovni sigurnosni zahtjevi; resursi; gubici; prijetnje; ranjivosti; mjere zaštite; vrijednost resursa; učestalost pojavljivanja prijetnji; odabir protumjera. Opcije izvješća: Kratak sažetak; izvješće o cijeni zaštićenih resursa i očekivanim gubicima od provedbe prijetnji; Izvješće o povratu ulaganja	Ulazni podaci: resursi; mrežni hardver; vrste informacija; grupe korisnika; Lijekovi; prijetnje; ranjivosti; odabir protumjera. Sastav izvješća: popis resursa; rizici prema vrsti informacija; rizike resursa; omjer štete i rizika informacija i izvora; odabrane protumjere; preporuke stručnjaka.
Kvantitativna / kvalitativna metoda	Kvalitativna procjena	Kvantifikacija	Kvalitativna i kvantitativna procjena
Mrežno rješenje	Odsutan	Odsutan	Enterprise Edition Digital Security Office 2005

CRAMM

CRAMM metodu (CCTA Risk Analysis and Management Method) razvila je Središnja agencija za računalo i telekomunikacije Velike Britanije (Central Computer and Telecommunications Agency) prema uputama britanske vlade i usvojena je kao državni standard. Od 1985. godine koriste ga vladine i komercijalne organizacije u Velikoj Britaniji. Tijekom tog vremena CRAMM je stekao popularnost u cijelom svijetu. Insight Consulting razvija i održava softverski proizvod koji implementira CRAMM metodu.

Metodu CRAMM (http://www.cramm.com) nismo slučajno odabrali radi detaljnijeg razmatranja. Trenutno je CRAMM prilično moćan i svestran alat koji osim analize rizika omogućuje rješavanje niza drugih revizijskih zadataka, uključujući:

• Pregled IS -a i objavljivanje popratne dokumentacije u svim fazama njegove provedbe;
• revizija u skladu sa zahtjevima britanske vlade, kao i Kodeksa prakse za upravljanje sigurnošću informacija BS 7799: 1995;
• razvoj sigurnosne politike i plana kontinuiteta poslovanja.

CRAMM metoda temelji se na integriranom pristupu procjeni rizika, kombinirajući kvantitativne i kvalitativne metode analize. Metoda je univerzalna i pogodna je i za velike i za male organizacije u državnom i komercijalnom sektoru. Verzije CRAMM softvera usmjerene na različite vrste organizacija međusobno se razlikuju po bazama znanja (profilima): postoji komercijalni profil za komercijalne organizacije i profil vlade za vladine organizacije. Vladina verzija profila također dopušta reviziju usklađenosti sa zahtjevima američkog standarda ITSEC ("Narančasta knjiga"). Konceptualni dijagram CRAMM istraživanja prikazan je na Sl. 2.

Pravilnom uporabom CRAMM metode moguće je postići vrlo dobre rezultate, od kojih je, možda, najvažnija mogućnost ekonomske opravdanosti troškova organizacije za osiguranje informacijske sigurnosti i kontinuiteta poslovanja. Ekonomski razumna strategija upravljanja rizicima u konačnici štedi novac, a izbjegava nepotrebne troškove.

CRAMM uključuje podjelu cijelog postupka u tri uzastopne faze. Zadatak prve faze je odgovoriti na pitanje: "Je li dovoljno zaštititi sustav pomoću alata osnovne razine koji implementiraju tradicionalne sigurnosne funkcije ili je potrebno provesti detaljniju analizu?" U drugoj fazi se identificiraju rizici i procjenjuje njihova veličina. U trećoj se fazi odlučuje o pitanju odabira odgovarajućih protumjera.

CRAMM metodologija za svaku fazu definira skup početnih podataka, slijed aktivnosti, upitnike za intervjue, popise za provjeru i skup dokumenata za izvještavanje.

U prvoj fazi studije provodi se identifikacija i utvrđivanje vrijednosti zaštićenih resursa. Procjena se provodi na ljestvici od deset bodova, a može postojati nekoliko kriterija procjene - financijski gubici, šteta ugledu itd. CRAMM opisi daju primjer sljedeće skale procjene prema kriteriju "Financijski gubici povezani s obnavljanje resursa ":

• 2 boda - manje od 1000 USD;
• 6 bodova - od 1.000 do 10.000 USD;
• 8 bodova - od 10.000 do 100.000 USD;
• 10 bodova - preko 100.000 dolara

Uz nisku ocjenu za sve korištene kriterije (3 boda i manje), smatra se da je osnovna razina zaštite dovoljna za sustav koji se razmatra (ova razina ne zahtijeva detaljnu procjenu prijetnji sigurnosti informacija), a druga faza studija se preskače.

U drugoj fazi identificiraju se i procjenjuju prijetnje u području informacijske sigurnosti, provodi se pretraživanje i procjena ranjivosti zaštićenog sustava. Razina prijetnje procjenjuje se na sljedećoj skali: vrlo visoka, visoka, srednja, niska, vrlo niska. Ranjivost je ocijenjena kao visoka, srednja ili niska. Na temelju ovih podataka procjena razine rizika izračunava se na skali od sedam točaka (slika 3).

U trećoj fazi, CRAMM stvara mogućnosti za protumjere identificiranim rizicima. Proizvod nudi sljedeće vrste preporuka:

• opće preporuke;
• posebne preporuke;
• primjere kako možete organizirati zaštitu u ovoj situaciji.

CRAMM ima opsežnu bazu podataka koja sadrži opise oko 1000 primjera implementacije sigurnosnih podsustava za različite računalne sustave. Ovi se opisi mogu koristiti kao predlošci.

Odluku o uvođenju novih sigurnosnih mehanizama u sustav i izmjeni starih donosi uprava organizacije, uzimajući u obzir povezane troškove, njihovu prihvatljivost i krajnju korist za poslovanje. Zadatak revizora je opravdati preporučene radnje za menadžment organizacije.

Ako se donese odluka o uvođenju novih protumjera i izmjeni starih, revizor može imati zadatak pripremiti plan provedbe i ocijeniti učinkovitost tih mjera. Rješenje ovih problema nadilazi opseg CRAMM metode.

Nedostaci CRAMM metode uključuju sljedeće:

• metoda zahtijeva posebnu obuku i visoke kvalifikacije revizora;
• revizija pomoću CRAMM metode prilično je naporan proces i može zahtijevati mjesece kontinuiranog rada revizora;
• CRAMM je mnogo prikladniji za reviziju već postojećih IS -a koji su pušteni u rad nego za IS -a koji su u razvoju;
• CRAMM softverski alati generiraju veliku količinu papirnate dokumentacije, što u praksi nije uvijek korisno;
• CRAMM vam ne dopušta stvaranje vlastitih predložaka izvješća niti izmjenu postojećih;
• mogućnost dodavanja baze znanja o CRAMM -u nije dostupna korisnicima, što uzrokuje određene poteškoće u prilagodbi ove metode potrebama određene organizacije;
• CRAMM softver nije lokaliziran, postoji samo na engleskom jeziku;
• visoki troškovi licence - od 2.000 do 5.000 dolara

RiskWatch

Softver RiskWatch snažan je alat za analizu i upravljanje rizicima. Obitelj RiskWatch uključuje softverske proizvode za različite vrste sigurnosnih revizija. Uključuje sljedeće alate za reviziju i analizu rizika:

• RiskWatch za fizičku sigurnost - za fizičke metode zaštite IP -a;
• RiskWatch za informacijske sustave - za informacijske rizike;
• HIPAA -WATCH za zdravstvenu industriju - za procjenu usklađenosti sa zahtjevima standarda HIPAA (Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja SAD -a);
• RiskWatch RW17799 za ISO 17799 - za ocjenu sukladnosti s ISO 17799.

Metoda RiskWatch koristi Godišnji očekivani gubitak (ALE) i Povrat ulaganja (ROI) kao kriterij za procjenu i upravljanje rizikom.

Obitelj softverskih proizvoda RiskWatch ima mnoge prednosti. RiskWatch vam pomaže provesti analizu rizika i donijeti informirane odluke o mjerama i pravnim lijekovima. Za razliku od CRAMM -a, RiskWatch je više fokusiran na točnu kvantificiranje omjera gubitaka od sigurnosnih prijetnji i cijene stvaranja zaštitnog sustava. Također treba napomenuti da se u ovom proizvodu zajedno razmatraju rizici u području informacija i fizičke sigurnosti računalne mreže poduzeća.

Proizvod RiskWatch temelji se na metodologiji analize rizika koja se može podijeliti u četiri faze.

Prva faza je definiranje predmeta istraživanja. Opisuje takve parametre kao što su vrsta organizacije, sastav sustava koji se proučava (općenito), osnovni zahtjevi u području sigurnosti. Kako bi se analitičaru olakšao rad u predlošcima koji odgovaraju vrsti organizacije ("komercijalni informacijski sustav", "državni / vojni informacijski sustav" itd.), Postoje popisi kategorija zaštićenih resursa, gubici, prijetnje, ranjivosti i mjere zaštite. Od njih morate odabrati one koji su stvarno prisutni u organizaciji.

Na primjer, za gubitke su predviđene sljedeće kategorije:

• kašnjenja i uskraćivanje usluge;
• otkrivanje informacija;
• izravni gubici (na primjer, uništavanjem opreme vatrom);
• život i zdravlje (osoblje, kupci itd.);
• promjena podataka;
• neizravni gubici (na primjer, troškovi obnove);
• ugled.

Druga faza je unos podataka koji opisuju specifične karakteristike sustava. Mogu se unijeti ručno ili uvesti iz izvješća generiranih pomoću alata za istraživanje ranjivosti računalne mreže.

U ovoj fazi se detaljno opisuju resursi, gubici i klase incidenata. Klase incidenata dobivaju se usklađivanjem kategorije gubitka i kategorije resursa.

Za identifikaciju mogućih ranjivosti koristi se upitnik čija baza podataka sadrži više od 600 pitanja. Pitanja se odnose na kategorije resursa. Postavlja se učestalost pojavljivanja svake od odabranih prijetnji, stupanj ranjivosti i vrijednost resursa. Sve se to u budućnosti koristi za izračun učinka uvođenja zaštitne opreme.

Treća i vjerojatno najvažnija faza je kvantitativna procjena. U ovoj fazi izračunava se profil rizika i odabiru sigurnosne mjere. Prvo se uspostavljaju veze između resursa, gubitaka, prijetnji i ranjivosti identificiranih u prethodnim koracima studije (rizik se opisuje kombinacijom ova četiri parametra).

Zapravo, rizik se procjenjuje matematičkim očekivanjem gubitaka za godinu. Na primjer, ako je cijena poslužitelja 150.000 USD, a vjerojatnost da će ga uništiti požar u roku od godinu dana 0,01, tada je očekivani gubitak 1500 USD.

Poznata formula m = pxv, gdje je m matematičko očekivanje, p vjerojatnost prijetnje, v trošak resursa, pretrpjela je neke promjene zbog činjenice da RiskWatch koristi procjene koje je definirao Američki institut Standardi NIST, nazvani LAFE i SAFE. LAFE (Local Annual Frequency Estimate) pokazuje koliko se puta u prosjeku godišnje određena prijetnja realizira na određenom mjestu (na primjer, u gradu). SAFE (Standard Annual Frequency Estimate) pokazuje koliko se puta u prosjeku godišnje određena prijetnja javlja u ovom "dijelu svijeta" (na primjer, u Sjevernoj Americi). Uvodi se i korekcijski faktor koji omogućuje uzeti u obzir da se, kada se prijetnja ostvari, zaštićeni resurs ne može potpuno uništiti, već samo djelomično.

Nadalje, razmatraju se scenariji "što ako ..." koji vam omogućuju da opišete slične situacije, pod uvjetom da su na snazi ​​mjere zaštite. Usporedbom očekivanih gubitaka sa i bez zaštitnih mjera, moguće je procijeniti učinak takvih mjera.

RiskWatch uključuje baze podataka s ocjenama LAFE i SAFE, kao i generalizirani opis različiti tipovi sredstva zaštite.

Povrat ulaganja (ROI), kojim se mjeri povrat ulaganja u određenom vremenskom razdoblju, kvantificira utjecaj sigurnosnih intervencija. Ovaj se pokazatelj izračunava prema formuli:

gdje su Costsi troškovi provedbe i održavanja i-te mjere zaštite; Benefitsi - procjena koristi (očekivano smanjenje gubitaka) koje donosi provedba ove mjere zaštite; NVP (Net Value Present) prilagođava se inflaciji.

Četvrta faza je generiranje izvješća. Dostupne su sljedeće vrste izvješća:

• Kratak sažetak;
• potpuna i sažeta izvješća o elementima opisanim u fazama 1 i 2;
• izvješće o cijeni zaštićenih resursa i očekivanim gubicima od provedbe prijetnji;
• izvješće o prijetnjama i protumjerama;
• ROI izvješće;
• izvješće o sigurnosnoj reviziji.

Primjer izračuna ROI -a za različite mjere zaštite prikazan je na Sl. 5.

Tako vam RiskWatch omogućuje procjenu ne samo rizika koji trenutno postoje u poduzeću, već i koristi koje može donijeti provedba fizičkih, tehničkih, softverskih i drugih sredstava i mehanizama zaštite. Pripremljeni izvještaji i grafikoni pružaju materijal dovoljan za donošenje odluka o promjeni sigurnosnog sustava poduzeća.

Za domaće korisnike problem je u tome što je prilično problematično dobiti procjene korištene u RiskWatch -u (kao što su LAFE i SAFE) za naše uvjete. Iako se sama metodologija može uspješno primijeniti i kod nas.

Ukratko, napominjemo da pri odabiru određene metodologije za analizu rizika u poduzeću i alata koji je podržavaju treba odgovoriti na pitanje: je li potrebno imati točnu kvantitativnu procjenu posljedica implementacije prijetnji ili je li dovoljna je procjena na kvalitativnoj razini. Također je potrebno uzeti u obzir sljedeće čimbenike: prisutnost stručnjaka koji su u mogućnosti dati pouzdane procjene opsega gubitaka od prijetnji sigurnosti informacija i dostupnost pouzdane statistike incidenata na području informacijske sigurnosti u poduzeću .

Nedostaci RiskWatch -a uključuju sljedeće:

• ova je metoda prikladna ako je potrebno provesti analizu rizika na softverskoj i hardverskoj razini zaštite, ne uzimajući u obzir organizacijske i administrativne čimbenike;
• dobivene procjene rizika (matematičko očekivanje gubitaka) nikako ne iscrpljuju razumijevanje rizika sa sistemskog stajališta - metoda ne uzima u obzir integrirani pristup informacijskoj sigurnosti;
• Softver RiskWatch dostupan je samo na engleskom jeziku;
• visoki troškovi licence - od 10.000 USD po sjedištu za malu tvrtku.

Vrat

GRIF je opsežan sustav za analizu i upravljanje rizicima informacijskog sustava tvrtke. GRIF 2005 iz Ureda za digitalnu sigurnost (http://www.dsec.ru/products/grif/) daje sliku sigurnosti informacijskih izvora u sustavu i omogućuje vam odabir optimalne strategije za zaštitu korporativnih podataka.

GRIF sustav analizira razinu zaštite resursa, procjenjuje moguću štetu od implementacije prijetnji IS -a i pomaže u upravljanju rizicima odabirom protumjera.

Analiza rizika IS -a provodi se na dva načina: pomoću modela protoka informacija ili modela prijetnji i ranjivosti, ovisno o tome koje korisničke početne podatke ima, kao i o tome koji podaci ga zanimaju na izlazu.

Model protoka informacija

Prilikom rada s modelom protoka informacija sustav uvodi potpune informacije o svim resursima s vrijednim podacima, korisnicima koji imaju pristup tim resursima, vrstama i pravima pristupa. Bilježe se podaci o svim sredstvima zaštite svakog resursa, mrežnim povezivanjima resursa, karakteristikama sigurnosne politike tvrtke. Rezultat je cjelovit model informacijskog sustava.

U prvoj fazi rada s programom korisnik unosi sve objekte svog informacijskog sustava: odjele, resurse (specifični objekti ovog modela uključuju mrežne grupe, mrežni uređaji, vrste informacija, korisničke skupine, poslovni procesi).

Zatim korisnik mora postaviti veze, odnosno odrediti kojim odjelima i mrežnim grupama resursi pripadaju, koje su informacije pohranjene u resursu i koje korisničke skupine imaju pristup do njih. Korisnik također ukazuje na sredstva zaštite izvora i informacija.

U posljednjoj fazi korisnik odgovara na popis pitanja o sigurnosnoj politici koja se provodi u sustavu, što omogućuje procjenu stvarne razine sigurnosti sustava i detaljnu procjenu rizika.

Raspoloživost sredstava zaštita informacija primijećeno u prvoj fazi, samo po sebi još ne čini sustav sigurnim u slučaju njihove neadekvatne uporabe i nepostojanja sveobuhvatne sigurnosne politike koja uzima u obzir sve aspekte zaštite podataka, uključujući sigurnost, fizičku sigurnost, sigurnost osoblja, poslovanje kontinuitet itd.

Kao rezultat izvršavanja svih radnji u ovim fazama, na izlazu se formira cjelovit model informacijskog sustava sa stajališta informacijske sigurnosti, uzimajući u obzir stvarno ispunjenje zahtjeva integrirane sigurnosne politike, što vam omogućuje ići analiza programa unesene podatke radi dobivanja sveobuhvatne procjene rizika i formiranja završnog izvješća.

Model prijetnje i ranjivosti

Rad s modelom analize prijetnji i ranjivosti uključuje identificiranje ranjivosti svakog resursa s vrijednim informacijama i odgovarajuće prijetnje koje se mogu realizirati kroz te ranjivosti. Rezultat je cjelovita slika slabosti u informacijskom sustavu i štete koja se može nanijeti.

U prvoj fazi rada s proizvodom korisnik unosi u sustav objekte svoje IS: odjele, resurse (specifični objekti za ovaj model uključuju prijetnje informacijskom sustavu i ranjivosti kroz koje se prijetnje implementiraju).

GRIF 2005 uključuje opsežne ugrađene kataloge prijetnji i ranjivosti, koji sadrže oko 100 prijetnji i 200 ranjivosti. Za maksimalnu potpunost i svestranost ovih kataloga, stručnjaci za digitalnu sigurnost razvili su posebnu klasifikaciju prijetnji, DSECCT, koja implementira dugogodišnje praktično iskustvo na području informacijske sigurnosti. Pomoću ovih direktorija korisnik može odabrati prijetnje i ranjivosti povezane sa svojim informacijskim sustavom.

Algoritam sustava GRIF 2005 analizira konstruirani model i generira izvješće koje sadrži vrijednosti rizika za svaki resurs. Konfiguracija izvješća može biti gotovo bilo koja, što vam omogućuje da kreirate i sažeta izvješća za upravljanje i detaljna izvješća za daljnji rad s rezultatima (slika 6).

Riža. 6. Primjer izvješća u sustavu GRIF 2005.

Sustav GRIF 2005 sadrži modul za upravljanje rizicima koji vam omogućuje analizu svih razloga zbog kojih se nakon obrade unesenih podataka algoritmom dobiva upravo ta vrijednost rizika. Dakle, znajući razloge, moguće je prikupiti podatke potrebne za provedbu protumjera i, sukladno tome, smanjiti razinu rizika. Nakon izračuna učinkovitosti svake moguće protumjere, kao i utvrđivanja vrijednosti preostalog rizika, možete odabrati protumjere koje će smanjiti rizik na potrebnu razinu.

Kao rezultat rada sa GRIF sustavom, izgrađeno je detaljno izvješće o razini rizika svakog vrijednog resursa informacijskog sustava tvrtke, svi razlozi rizika naznačeni su detaljnom analizom ranjivosti i procjenom ekonomske učinkovitost svih mogućih protumjera.

***

Najbolje svjetske prakse i vodeći međunarodni standardi u području sigurnosti informacija, posebice ISO 17799, zahtijevaju implementaciju sustava analize i upravljanja rizikom za učinkovito upravljanje sigurnošću informacijskog sustava. U ovom slučaju možete koristiti bilo koji prikladan alat, ali najvažnije je uvijek jasno razumjeti da je sustav zaštite informacija stvoren na temelju analize informacijskih rizika, provjerene i opravdane. Analiza i upravljanje informacijskim rizicima ključni je faktor za izgradnju učinkovite zaštite informacijskog sustava.