Metodi e prodotti software per la valutazione del rischio Riscis Watch. Programma di valutazione del rischio Software di gestione del rischio

Abbiamo descritto e studiato un approccio sistematico al processo di gestione del rischio. La complessità della considerazione di questo problema è dovuta al fatto che abbiamo deciso che non ha senso considerare singole attività di questo dominio al fine di creare un sistema di analisi e gestione dei rischi di alta qualità. Solo a condizione della piena applicazione di tutte le fasi della gestione del rischio si può parlare di un sistema in grado di garantire il raggiungimento degli obiettivi prefissati.

Il complesso programma che intendiamo iniziare a discutere oggi si basa sugli artefatti (processi e oggetti) che abbiamo descritto in precedenza.

Al suo centro sono:

Procedure di pianificazione per attività complesse di gestione del rischio;
Metodi e strumenti di gestione del rischio che sono interconnessi in modo tale da integrarsi e "arricchirsi" a vicenda nel corso dell'attuazione del programma in esame.

Così, oggi abbiamo un'ulteriore "immersione" nell'attività di analisi e gestione del rischio, quindi trattiamo il respiro ...

introduzione

Ad oggi abbiamo già descritto le attività di identificazione, valutazione, analisi delle tipologie di rischio (qualitativo e quantitativo), di organizzazione e, in via introduttiva, di risk management. La rilevanza e la necessità di organizzare i processi di analisi e gestione del rischio in un unico programma completo, che sarà in grado di coprire e armonizzare le sue singole parti in un unico complesso amministrativo e software, abbiamo affermato e confermato nel materiale precedentemente presentato.

Oggi considereremo la sezione della disciplina della gestione del rischio - "Programma completo di gestione del rischio", che risolve il problema dell'aumento dell'efficienza delle procedure già organizzate, dell'introduzione di nuove, innovative e allo stesso tempo metodi efficaci e tecnico, riducendo le perdite evidenti e potenziali e massimizzando l'effetto delle principali attività dell'azienda.

Vale la pena notare qui che un programma completo di gestione del rischio è una delle opzioni per il processo di gestione del rischio. L'attuazione di questo programma completo può essere considerata un'alternativa all'attuazione della gestione del rischio. Ciascuna delle fasi precedentemente considerate del processo di analisi e gestione del rischio rappresenta le fasi complete dei processi di implementazione della gestione del rischio e può essere utilizzata quando si pianifica questa attività in una particolare organizzazione, previo adattamento a determinate condizioni dell'azienda.

Secondo molti esperti, gli obiettivi dei programmi di gestione del rischio dovrebbero essere il raggiungimento dei seguenti risultati:

Utilizzo ottimale capitale disponibile;
Ottenere il massimo reddito;
Aumentare la sostenibilità dello sviluppo aziendale;
Ridurre la probabilità di perdere parte o tutto il valore di un prodotto o servizio derivato da processi di dominio Tecnologie informatiche, organizzazione specifica.

Pertanto, un programma completo di gestione del rischio dovrebbe essere considerato non solo come un processo informatico, ma piuttosto, nell'accezione prevalente di tale attività, come una componente aziendale del tema della gestione del rischio, sulla cui corretta organizzazione il risultato finale e il dipenderà l'ulteriore posizione dell'organizzazione nel mercato.

Programma di gestione del rischio

Un programma di gestione del rischio completo moderno e di successo deve tenere conto e risolvere i problemi associati alle attuali esigenze dell'azienda nel campo della gestione del rischio, che ha deciso di implementare processi di analisi e gestione del rischio.

Le organizzazioni di gestione del rischio in genere fissano i seguenti obiettivi per questo dominio:

Operazione di successo, in condizioni di esposizione ai rischi;
Protezione da fattori di rischio negativi che interferiscono con l'attuazione della strategia e delle tattiche dell'azienda;
Processo decisionale ragionevole della direzione, tenendo conto delle informazioni disponibili sui rischi evidenti e potenziali;
Conservazione e sviluppo degli strumenti e delle tecnologie informatiche disponibili;
Ridurre la sensibilità dell'azienda ai rischi e aumentare la stabilità del settore dell'informatica, in un ambiente rischioso.

Un programma completo di gestione del rischio dovrebbe stabilire una struttura unificata per lavorare con i rischi, che può differire nelle opzioni per l'implementazione delle singole fasi, ma, allo stesso tempo, la sequenza (data nel corso, sotto forma di una sequenza di presentazione di materiali) e i risultati (documenti) di ciascuna delle fasi devono corrispondere esattamente a quelli che abbiamo citato nel nostro corso:

Raccolta di informazioni e requisiti di rischio:
- Elenchi di cause evidenti e potenziali che possono portare a rischi;
Identificazione del rischio:
- Registro dei rischi;
Valutazione preliminare del rischio:
- Registro dei rischi prioritari;
- Strategia di gestione del rischio;
Analisi qualitativa del rischio:
- Un documento contenente informazioni di alta qualità sui rischi e sui modi per affrontarli (tattiche);
- Informazioni sui rischi utilizzabili in attività di analisi quantitativa;
- Conoscenza/data base sui rischi precedentemente identificati con la loro descrizione;
Analisi quantitativa del rischio:
- Un documento contenente informazioni quantitative sui rischi e sui modi per affrontarli (tattiche);
- Informazioni statistiche che possono essere utilizzate per un'ulteriore contabilizzazione del rischio e per pianificare modi per affrontarli;
Sistema di analisi dei rischi:
- Procedure e regolamenti sviluppati che dovrebbero aggregare e utilizzare i documenti ricevuti in precedenza al fine di ottenere indicatori di performance della gestione del rischio;
Programma completo di gestione del rischio:
- Un documento contenente informazioni su un programma completo di gestione del rischio;
- Piano delle procedure di gestione del rischio;
Ulteriori attività:
- Piano di monitoraggio dei rischi;
- Piano di miglioramento per l'analisi e la gestione dei rischi;

Allo stesso tempo, ciascuno dei documenti descritti deve essere tempestivamente aggiornato e monitorato in futuro, quando si svolgono attività di gestione del rischio in una determinata azienda. Con l'obiettivo di costruire un efficace programma completo di gestione del rischio e la corretta implementazione dei componenti questo obiettivo compiti, sarà possibile controllare i rischi a tutti i livelli organizzativi di qualsiasi organizzazione.

I gestori del rischio dovrebbero essere in grado di valutare la situazione circostante e contribuire allo sviluppo e all'attuazione dei necessari documenti, procedure, regolamenti sopra descritti, che dovrebbero essere basati sui seguenti principi nel campo dell'analisi del rischio e dei processi di gestione, che sono stati delineati da noi prima:

Approccio integrato e per processi all'analisi dei rischi e ai processi di gestione;
Considerazione dei rischi più significativi:
- Creazione di un registro dei rischi. Aggiornamento del registro durante le attività dei processi di analisi e gestione dei rischi;
Identificazione del rischio;
Determinazione del "titolare" del rischio;
Utilizzo di una struttura di ruoli per il processo di gestione del rischio;
Utilizzo di determinati metodi/gruppi di metodi per gestire determinati rischi;
Definizione livelli accettabili rischi:
- Controllo sullo stato dei rischi;

Poco prima, quando abbiamo parlato di garantire le attività di gestione del rischio, abbiamo toccato il tema del supporto documentale per quest'area di lavoro, ma non l'abbiamo divulgato in modo più dettagliato. Nella sezione dedicata allo sviluppo delle procedure di gestione del rischio, presteremo particolare attenzione a questo punto.

Qui vorrei dire che la documentazione e la sua implementazione sono una "pietra miliare" molto importante nello sviluppo di un programma completo, ignorando ciò che può portare al fatto che il programma sviluppato sarà un "evento a una fase". Tale implementazione "rischia" di rimanere in specifici "capi". Il complesso programma sarà "completato" con la partenza di un gruppo di specialisti chiave, che mette in dubbio l'approccio sistematico al dominio sviluppato e dimostra la sua inefficacia con tale implementazione.

Va detto che un programma completo di gestione del rischio dovrebbe consistere in processi, procedure, attività, ecc. I risultati delle singole fasi comprese in questa attività "over" dovrebbero essere armonizzati tra loro in modo tale che le connessioni tra le singole attività siano chiaramente tracciate. Il risultato finale del dominio del rischio e delle attività dell'organizzazione nel suo insieme dipende da come sarà organizzata con successo, ponderatamente, combinata con gli obiettivi generali della gestione del rischio, l'integrazione delle singole parti in un insieme comune.

Sviluppo di procedure di gestione del rischio. Regole di business

Le procedure che compongono il processo di gestione del rischio sono soluzioni "modello", il cui scopo è quello di offrire opzioni per la scelta in una determinata situazione, opzioni per soluzioni specifiche che sono appropriate per l'uso in una situazione di rischio con determinati (conosciuti e sconosciuti) parametri.

La scelta a favore di un particolare caso d'uso dipenderà dalla misura in cui una particolare procedura sviluppata per la gestione di un particolare rischio/gruppo di rischio è adattata alle esigenze di un particolare ambiente (parametri esterni e interni della situazione), corrisponde a specifiche processi in cui la manifestazione del rischio è possibile e sarà efficace per questo caso.

Nello sviluppo delle procedure, è consigliabile essere guidati dai principi che sono stabiliti alla base delle attività dell'azienda. Questi principi sono comunemente indicati come regole aziendali. La maggior parte di essi si forma nel processo di “realizzazione” di quei postulati che sono le “leve” trainanti dell'impresa. Non sono sempre evidenti (di norma, perché sono nelle “teste” di un numero limitato di stakeholders), ma iniziano ad esistere con l'inizio delle attività imprenditoriali. La data stabilità di sviluppo dell'una o dell'altra linea di business in cui vengono applicate dipende dalla misura in cui vengono osservate.

Sono le regole aziendali e le dinamiche del loro cambiamento che determinano il trend di sviluppo dei sistemi informativi e sono esse che incidono sulla stabilità dell'impresa, in questo caso la sua componente di rischio.

Pertanto, da quanto detto, è opportuno concludere che le regole aziendali sono una delle componenti che determinano la quantità di “rischiosità” disponibile per la gestione e lo studio.

Ma, nella moderna business community, le regole aziendali sono molto spesso ignorate e "sostituite" a specifici scenari di sviluppo, che "sottomettono" lo sviluppo delle procedure di gestione del rischio. Qui vale la pena chiarire il fatto che i casi d'uso sono opzioni specifiche per l'implementazione dei rischi e le "regole aziendali" sono principi universali / "pseudo-universali" che determinano i casi d'uso, quindi è molto importante tenere in considerazione che le regole aziendali dovrebbero essere utilizzato quando si sviluppano procedure di gestione del rischio ... In questo caso, possiamo parlare di una protezione abbastanza affidabile dell'azienda dai rischi.

La composizione delle procedure di gestione del rischio sviluppate è determinata da molti fattori, ma si basa su 2 componenti principali che determinano le procedure per la gestione e l'analisi della gestione del rischio:

L'attuale stato "rischioso" dell'organizzazione;
Necessità/i degli stakeholder.

Sono le esigenze degli stakeholder che determinano come, con quali supporti “documentari” e di altro tipo dovrebbe essere sviluppata una particolare procedura. In alcuni casi, lo sviluppo di procedure può includere le seguenti attività:

Sviluppo di proposte riguardanti il dominio rischioso per la strategia/politica dell'impresa;
Documentare le principali procedure di gestione del rischio;
Sviluppo di una metodologia per la valutazione di alcuni tipi di rischi e rischio totale;
Eccetera.

Procedure di gestione del rischio progettate e applicate in modo ottimale ridurranno (o elimineranno del tutto) i possibili danni, contribuiranno alla stabilizzazione e allo sviluppo dell'azienda.

Ancora una volta, elenchiamo una serie di documenti normativi e metodologici che dovrebbero fornire alle procedure di gestione del rischio la necessaria base strumentale e giuridica:

Politica di gestione del rischio
Regolamenti di gestione del rischio
Procedura di gestione del rischio
Istruzioni metodiche sulla descrizione e valutazione dei rischi
Linee guida metodologiche per la valutazione dell'impatto dei rischi sul lavoro del programma
Linee guida metodologiche per la formazione degli indicatori di rischio
Manuale della procedura di gestione del rischio
Manuale di rischio tipico

Di conseguenza, va detto che non esistono procedure di gestione del rischio che potrebbero essere sviluppate in modo tale da rivendicare universalità e applicabilità globale. Ciascuna procedura dovrebbe tenere conto delle specificità di una situazione specifica e di determinati rischi, che si prevede di gestire utilizzando procedure di gestione del rischio.

Metodi di gestione del rischio

Nell'articolo precedente, abbiamo brevemente esaminato la varietà di metodi di gestione del rischio, classificandoli nelle seguenti quattro categorie:

Metodi di prevenzione del rischio;
Metodi di localizzazione del rischio;
Metodi di diversificazione del rischio;
Metodi di compensazione del rischio.

Ciascuno dei metodi descritti offre offerte specifiche, specializzate e soluzioni efficaci per situazioni “rischiose” classificate in un certo modo (vedi articoli sul metodo quantitativo e qualitativo di analisi del rischio) dall'insieme generale secondo fattori che possono causare danni in futuro.

L'"arte" del trattamento delle informazioni iniziali, da cui è possibile isolare i necessari "grani" di dati utili, si veda l'articolo su un approccio sistematico al processo di gestione del rischio, ma la necessità di una considerazione ottimale dei fattori critici per la classificazione dei fattori di rischio è una condizione per la corretta applicazione dell'uno o dell'altro metodo di gestione del rischio e, di conseguenza, per l'efficacia del sistema di gestione del rischio nel suo complesso.

Come è stato precedentemente giustificato, tenendo conto della variabilità della componente “rischio” e della possibile migrazione di rischio/gruppo di rischio, la cui direzione sarà piuttosto difficile da prevedere, dipende da un gran numero di variabili:

"Interno" in relazione all'ambiente rischioso;
“Esterno” in relazione all'ambiente rischioso;
Altri rischi, vari gradi di interazione con l'originale;
Gli effetti della manifestazione, "connessione", "disconnessione", ecc. rischi;

Pertanto, l'importanza di accumulare statistiche di sistema su un particolare rischio è anche una componente necessaria per una scelta vincente di un metodo definitivo per affrontare i rischi, che assicuri una riduzione sistematica del livello di rischio. Allo stesso tempo, le statistiche dovrebbero riflettere un "quadro" completo e adeguato dell'evoluzione del rischio.

Nel caso in cui l'impresa in cui viene svolta la gestione del rischio sia sufficientemente grande e condizionatamente stabile nel suo sviluppo, esiste la possibilità che le necessarie risposte tempestive ai cambiamenti vengano respinte. Di norma, ciò è dovuto all'idea "falsa-inerziale" di una protezione sufficiente contro i rischi "emergenti dinamicamente", che possono ulteriormente portare a conseguenze minacciose dalla manifestazione "vicina" e "lontana" del danno risultante.

Va notato che nella maggior parte dei casi

(che nella maggior parte dei casi è più difficile da prevedere, ma solitamente più pericoloso a causa di parametri aggiuntivi non definiti)

In una situazione del genere, le piccole imprese, non viziate da un livello accettabile di stabilità, si sforzano di rispondere in modo più accurato e flessibile a rischi per loro inaccettabili e, se necessario, modificano le priorità delle loro attività, cosa praticamente impossibile per le organizzazioni di medie e grandi dimensioni .

Situazioni reali, che sono caratterizzate da una varietà di fattori di rischio, dovrebbero tenere conto dei fattori che sono critici per loro e, a seconda di ciò, scegliere il metodo ottimale di gestione del rischio.

Un'ulteriore condizione che impone una restrizione alla scelta di un metodo di gestione del rischio è la persona del gestore, la cui decisione dipende da quale metodo sarà scelto alla fine.

È importante che un determinato decisore possa esaminare il quadro di lavoro in modo sufficientemente completo e prendere la decisione migliore per condizioni specifiche.

conclusioni

Quindi, nel prossimo articolo, che sarà la seconda parte del tema in esame, inizieremo con l'approfondimento, con esempi pratici specifici, considerare la classificazione delle modalità di gestione del rischio, subordinare la "scomposizione" dei processi di manutenzione e miglioramento del dominio di gestione del rischio, cercheremo di evidenziare in dettaglio il necessario questo toolbox.

Con questa nota "intrigante", vi salutiamo oggi.

Tutto il meglio ea presto, cari colleghi!

Continuando il tema della valutazione e gestione del rischio informazioni di sicurezza in questo post vorrei parlare di software che possono essere utilizzati per eseguire la valutazione del rischio. Perché hai bisogno di questo? Software? Il fatto è che non appena ti immergi profondamente in questo processo, diventerà immediatamente chiaro che condurre una valutazione è associata a una combinatoria piuttosto complessa. La combinazione di diversi asset, vulnerabilità, minacce, misure di protezione dà luogo a centinaia, migliaia di possibili combinazioni che descrivono rischi, e qui non si può fare a meno di mezzi improvvisati. Cosa si può trovare ora su Internet:

vsRischio... Software della società britannica Vigilant Software. Il prodotto è commercializzato principalmente come software di valutazione del rischio in conformità con i requisiti di ISO 27001 e BS7799-3 (ora ISO27005). Sul sito è possibile scaricare una versione di prova per 15 giorni (dimensione - 390 MB). Il sistema mi è sembrato piuttosto primitivo e per nulla amichevole per un utente impreparato. Il programma, ad esempio, ha elenchi piuttosto estesi di possibili minacce, vulnerabilità e contromisure, ma il sistema stesso non definisce alcuna interrelazione tra di loro, ciò viene fatto manualmente dall'utente stesso. In generale, valuterei il programma per 3-ku. Perché chiedono 1700 euro lì?! otto-).

PTA. Sviluppato da PTA Technologies . Un prodotto estremamente interessante secondo me. Non è vincolato ad alcuno standard e implementa un meccanismo di valutazione quantitativa del rischio (!). A proposito, lo indicherei piuttosto come uno svantaggio di questo software, tk. il punto è che non tutto può essere stimato con una precisione del dollaro, e non è prevista la possibilità di una valutazione qualitativa. Il sistema fornisce anche un interessante meccanismo di valutazione dell'efficacia delle contromisure proposte, in base al quale è possibile, ad esempio, individuare come cambia la mappa del rischio quando si aggiungono o si rimuovono determinate contromisure.

Il sito Web dello sviluppatore afferma che il prodotto è a pagamento e che è disponibile per il download solo una versione di prova di 30 giorni. Quanto costa il prodotto stesso e come può essere acquistato - non ci sono informazioni (apparentemente l'approccio è individuale :)).

Arciere RSA... Sviluppato da Archer, recentemente di proprietà del colosso RSA. In generale, Archer è un enorme raccoglitore di GRC che include molti moduli diversi, uno dei quali fornisce la gestione del rischio. Non esiste una versione di prova da scaricare, sul sito sono presenti video di presentazione. Prezzo di questo prodotto anche non segnato, ma penso che sarà costoso, così come tutto per RSA :)

Modulo Risk Manager... Sviluppato da Modulo. Sul sito è disponibile solo una descrizione piuttosto scarsa della funzionalità. Nessuna versione di prova, nessun videoclip dettagliato. Tuttavia, il prodotto ha ricevuto il premio SC Magazine, il che significa che vale ancora qualcosa. Purtroppo non ho ancora avuto modo di conoscerlo.

Studio RM. Prodotto dell'omonima organizzazione (sito web). DÈ disponibile per il download una versione di prova di 30 giorni, oltre a ciò, è possibile guardare i video che dimostrano i casi d'uso del prodotto sul sito. Secondo me questo software è troppo primitivo in termini di valutazione del rischio ed è adatto solo a chi fa una valutazione del rischio "per spettacolo".

Avvoltoio... Sviluppato da Sicurezza Digitale. Ho portato questo prodotto software piuttosto solo per il quadro generale. Il prodotto stesso non è stato supportato dallo sviluppatore per molti anni. Pertanto, possiamo dire che in realtà non esiste più. Finora, questo è l'unico sviluppo interno a me noto in quest'area.

Francamente parlando, non molto. Capisco che la mia recensione non può pretendere di essere completa al 100%, ma comunque ....

Se qualcun altro conosce altri software o altri modi per automatizzare la valutazione del rischio, scrivi nei commenti, ne discuteremo.

Aggiornamento importante! ISM SYSTEMS ha annunciato lo sviluppo di uno strumento per automatizzare la valutazione del rischio - ISM Revision: Risk Manager. Le informazioni preliminari sono disponibili qui - http://www.ismsys.ru/?page_id=73. Il prodotto sembra promettente. Di più recensione dettagliata Lo farò più tardi.

Inviare il tuo buon lavoro nella knowledge base è semplice. Usa il modulo sottostante

Studenti, dottorandi, giovani scienziati che utilizzano la base di conoscenza nei loro studi e nel loro lavoro ti saranno molto grati.

postato su http://www.allbest.ru/

Istituto di istruzione professionale di bilancio statale della regione di Rostov "Rostov-on-Don College of Communications and Informatics"

GBPOU RO "RKSI"

Relazione sull'argomento:

"Metodi e prodotti software per la valutazione del rischio Riscis Watch"

Completato dallo studente: Zheleznichenko Artem

Gruppo n. IB-22

Insegnante:

Dmitry Timchenko

Rostov sul Don

introduzione

Oggi non ci sono dubbi sulla necessità di investire nella sicurezza delle informazioni delle moderne grandi imprese. La domanda principale del business moderno è come valutare il livello sufficiente di investimenti nella sicurezza delle informazioni per garantire la massima efficienza degli investimenti in questo settore. Per risolvere questo problema, c'è un solo modo: l'utilizzo di sistemi di analisi dei rischi che consentano di valutare i rischi esistenti nel sistema e di scegliere l'opzione di protezione ottimale in termini di efficienza (secondo il rapporto tra i rischi esistenti nel sistema e il costi per la sicurezza delle informazioni).

Secondo le statistiche, il più grande ostacolo all'adozione di qualsiasi misura per garantire la sicurezza delle informazioni in un'azienda è per due ragioni: i vincoli di budget e la mancanza di supporto da parte del management.

Entrambe le ragioni derivano dall'incomprensione da parte del management della gravità del problema e dalla difficoltà per il manager IT di giustificare il motivo per cui è necessario investire nella sicurezza delle informazioni. Spesso, molte persone tendono a pensare che il problema principale sia che i manager e i dirigenti IT parlino in lingue differenti- tecnico e finanziario, ma del resto gli stessi informatici spesso hanno difficoltà a stimare quanto spendere e quanto occorre per garantire una maggiore sicurezza del sistema aziendale affinché questi costi non risultino vani o eccessivo.

Se un responsabile IT comprende chiaramente quanti soldi può perdere un'azienda in caso di minacce, quali sono i punti del sistema più vulnerabili, quali misure possono essere adottate per aumentare il livello di sicurezza e allo stesso tempo non spendere denaro extra, e tutto questo è documentato, quindi la soluzione al problema è convincere la direzione a prestare attenzione e stanziare fondi per la sicurezza informatica diventa molto più reale.

Per risolvere questo problema sono stati sviluppati sistemi software per l'analisi e il controllo dei rischi informativi. Uno di questi sistemi software è l'americana RiskWatch (società RiskWatch).

1. Caratteristiche di RiskWatch

Il metodo RiskWath, sviluppato con la partecipazione del National Institute of Standards and Technology (US NIST), del Dipartimento della Difesa degli Stati Uniti (US DoD), del Dipartimento della Difesa Nazionale canadese nel 1998, è attualmente lo standard per le organizzazioni del governo degli Stati Uniti non solo negli Stati Uniti, ma anche in tutto il mondo.

Il software RiskWatch, sviluppato dalla società americana RiskWatch, è un potente strumento di analisi e gestione dei rischi.

RiskWatch offre sostanzialmente due prodotti: uno nel campo della sicurezza informatica _ IT Security, il secondo nel campo della sicurezza fisica _ Physical Security. Il software è progettato per identificare e valutare risorse protette, minacce, vulnerabilità e misure di protezione nel campo della sicurezza informatica e "fisica" dell'impresa. Inoltre, per diversi tipi di organizzazioni si propone diverse versioni Software.

La linea di prodotti progettati per la gestione del rischio in vari sistemi tiene conto dei requisiti di tali standard (documenti): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66, ecc.

La famiglia RiskWatch include prodotti software per vari tipi di controlli di sicurezza. Comprende i seguenti strumenti di audit e di analisi dei rischi:

1. RiskWatch for Physical Security - per i metodi fisici di protezione IP;

2. RiskWatch per i Sistemi Informativi - per i rischi informativi;

3. HIPAA-WATCH for Healthcare Industry - per valutare la conformità ai requisiti dello standard HIPAA;

4. RiskWatch RW17799 per ISO17799 - per valutare i requisiti dello standard ISO17799.

2. Vantaggi e svantaggi di RiskWatch

Un vantaggio significativo di RiskWatch dal punto di vista del consumatore è la sua semplicità comparativa, bassa intensità di lavoro di russificazione e grande flessibilità del metodo, fornita dalla possibilità di introdurre nuove categorie, descrizioni, domande, ecc. Sulla base di questo metodo, gli sviluppatori domestici possono creare i propri profili, tenendo conto dei requisiti nazionali nel campo della sicurezza, sviluppare metodi dipartimentali di analisi e gestione del rischio.

Nonostante i suoi meriti, RiskWatch ha i suoi svantaggi.

Questo metodo è adatto se è necessario condurre un'analisi dei rischi a livello di protezione software e hardware, senza tenere conto di fattori organizzativi e amministrativi. Le conseguenti valutazioni del rischio (l'aspettativa matematica delle perdite) sono lungi dall'esaurire la comprensione del rischio da un punto di vista sistemico - il metodo non tiene conto di un approccio integrato alla sicurezza delle informazioni.

1. Il software RiskWatch è disponibile solo in inglese.

2. Alto costo di una licenza: da $ 15.000 per postazione per una piccola azienda e da $ 125.000 per una licenza aziendale.

3. La metodologia di analisi del rischio che sta alla base di RiskWatch

RiskWatch ti aiuta a condurre l'analisi dei rischi e a fare scelte informate su misure e rimedi. La tecnica utilizzata nel programma prevede 4 fasi:

È necessario considerare più in dettaglio ciascuna delle fasi della metodologia di analisi del rischio.

1. Nella prima fase vengono descritti i parametri generali dell'organizzazione: il tipo di organizzazione, la composizione del sistema oggetto di studio, i requisiti di sicurezza di base. La descrizione è formalizzata in una serie di sotto-clausole che possono essere selezionate per ulteriori informazioni descrizione dettagliata o saltare.

2. La seconda fase è l'inserimento dei dati che descrivono le caratteristiche specifiche del sistema. I dati possono essere inseriti manualmente o importati da report generati da strumenti di ricerca delle vulnerabilità della rete informatica. In questa fase vengono dettagliate le risorse, le perdite e le classi di incidenti.

3. La terza fase è la valutazione del rischio. In primo luogo, vengono stabiliti i collegamenti tra risorse, perdite, minacce e vulnerabilità identificate nelle fasi precedenti. Per i rischi, le aspettative matematiche di perdita dell'esercizio sono calcolate utilizzando la formula:

dove p è la frequenza di occorrenza di una minaccia durante l'anno, v è il costo di una risorsa minacciata.

4. La quarta fase è la generazione dei report. Tipologie di report: brevi riassunti; relazioni complete e sommarie degli elementi descritti nelle fasi 1 e 2; segnalare il costo delle risorse protette e le perdite previste dall'implementazione delle minacce; segnalare minacce e contromisure; rapporto di verifica della sicurezza.

Conclusione

software di sicurezza delle informazioni

RiskWatch è un software sviluppato dalla società americana RiskWatch.

RiskWatch ti aiuta a condurre l'analisi dei rischi e a fare scelte informate su misure e rimedi. Nonostante ciò, RiskWatch presenta alcuni svantaggi: c'è un alto costo della licenza; Il software RiskWatch è disponibile solo in inglese.

Il prodotto RiskWatch si basa su una metodologia di analisi del rischio, che si compone di quattro fasi.

La prima fase consiste nel definire l'oggetto della ricerca.

La seconda fase è l'inserimento dei dati che descrivono le caratteristiche specifiche del sistema.

Il terzo e più importante passo è la quantificazione.

La quarta fase è la generazione dei report.

Pubblicato su Allbest.ru

Documenti simili

Modalità di valutazione dei rischi informativi, loro caratteristiche e caratteristiche distintive, valutazione dei vantaggi e degli svantaggi. Sviluppo di una metodologia di valutazione del rischio utilizzando l'esempio della metodologia Microsoft, un modello di valutazione del rischio per la sicurezza delle informazioni aziendali.

tesi, aggiunta il 08/02/2012

L'essenza e i metodi di valutazione della sicurezza delle informazioni. Gli obiettivi della sua attuazione. Metodi per l'analisi dei rischi informatici. Indicatori e algoritmo per il calcolo dei rischi per la minaccia IS. Calcolo dei rischi informativi sull'esempio di un server Web di una società commerciale.

tesina, aggiunta il 25/11/2013

L'essenza dell'informazione, la sua classificazione. I principali problemi di garanzia e minacce alla sicurezza delle informazioni dell'impresa. Analisi dei rischi e principi di sicurezza delle informazioni aziendali. Sviluppo di una serie di misure per garantire la sicurezza delle informazioni.

tesina aggiunta il 17/05/2016

Sviluppo di un sistema informativo intelligente ad autoapprendimento per l'analisi del merito creditizio di un debitore e la valutazione dei rischi di credito basato su un approccio immunocomputing. Applicazione di procedure di clustering, classificazione e formazione di valutazioni di rischio.

tesina, aggiunta il 06/09/2012

Metodologia per la ricerca e l'analisi degli strumenti di audit Sistemi Windows al fine di rilevare l'accesso di software non autorizzato alle risorse dei computer. Analisi delle minacce alla sicurezza delle informazioni. Algoritmo dello strumento software.

tesi, aggiunta il 28/06/2011

Software e specifiche tecniche sistemi informativi dell'impresa. Requisiti per informazioni e compatibilità software. Progettazione software utilizzando pacchetti software specializzati. Sviluppo banche dati.

rapporto di pratica, aggiunto il 04/11/2019

Classificazione dei principali rischi, loro identificazione. Pianificare e valutare i rischi del sistema informativo nell'organizzazione, adottando misure per eliminare i rischi. Determinazione del punto di pareggio del progetto. Calcolo del costo delle perdite e della probabilità di accadimento del rischio.

lavoro di laboratorio, aggiunto il 20/01/2016

Il concetto e la differenza chiave dello sviluppo di software distribuito, i suoi vantaggi e svantaggi. Soluzione concettuale e scelta del tipo di sviluppo. Caratteristiche del software open source codice sorgente... Idea e sviluppo Open Source.

tesina, aggiunta il 14/12/2012

Automazione delle attività per analizzare l'attività commerciale dell'impresa. Attuazione della metodologia proposta sotto forma di software, requisiti di base per essa. La struttura e la composizione del complesso moduli software, guida utente.

tesina, aggiunta il 28/05/2013

Analisi dei rischi per la sicurezza delle informazioni. Valutazione dei rimedi esistenti e previsti. Un insieme di misure organizzative per garantire la sicurezza delle informazioni e la protezione delle informazioni aziendali. Test case di implementazione del progetto e sua descrizione.

Continuando con l'argomento della valutazione e della gestione dei rischi per la sicurezza delle informazioni in questo post, vorrei parlare del software che può essere utilizzato per eseguire la valutazione del rischio. Perché hai bisogno di questo software? Il fatto è che non appena ti immergi profondamente in questo processo, diventerà immediatamente chiaro che condurre una valutazione è associata a una combinatoria piuttosto complessa. La combinazione di diversi asset, vulnerabilità, minacce, misure di protezione dà luogo a centinaia, migliaia di possibili combinazioni che descrivono rischi, e qui non si può fare a meno di mezzi improvvisati. Cosa si può trovare ora su Internet:

Arciere RSA... Sviluppato da Archer, recentemente di proprietà del colosso RSA. In generale, Archer è un enorme raccoglitore di GRC che include molti moduli diversi, uno dei quali fornisce la gestione del rischio. Non esiste una versione di prova da scaricare, sul sito sono presenti video di presentazione. Anche il costo di questo prodotto non è indicato, ma penso che sarà costoso, così come tutto per RSA :)

Francamente parlando, non molto. Capisco che la mia recensione non può pretendere di essere completa al 100%, ma comunque ....

Se qualcun altro conosce altri software o altri modi per automatizzare la valutazione del rischio, scrivi nei commenti, ne discuteremo.

La necessità di investimenti nella sicurezza delle informazioni (IS) dell'azienda è fuori dubbio. Per confermare la rilevanza del compito di garantire la sicurezza aziendale, utilizzeremo il rapporto dell'FBI diffuso sulla base di un'indagine sulle aziende americane (medie e grandi imprese). Le statistiche degli incidenti nel campo della sicurezza informatica non perdonano. Secondo l'FBI, quest'anno il 56% delle aziende intervistate è stato attaccato (Figura 1).

Ma come valutare il livello degli investimenti in sicurezza informatica, che garantirà la massima efficienza dei fondi investiti? Per risolvere questo problema, c'è un solo modo: utilizzare sistemi di analisi dei rischi che consentano di valutare i rischi esistenti nel sistema e di scegliere l'opzione di protezione più efficace (in base al rapporto tra i rischi esistenti nel sistema e i costi della sicurezza delle informazioni ).

Giustificazione dell'investimento

Secondo le statistiche, gli ostacoli più gravi all'adozione di qualsiasi misura per garantire la sicurezza delle informazioni in un'azienda sono associati a due motivi: vincoli di budget e mancanza di supporto da parte del management.

Entrambe queste ragioni derivano dall'incomprensione da parte del management della gravità del problema e dall'incapacità del responsabile IT di giustificare il motivo per cui investire nella sicurezza delle informazioni. Si ritiene spesso che il problema principale risieda nel fatto che i manager e i dirigenti IT parlano lingue diverse: tecniche e finanziarie, ma dopotutto, gli stessi specialisti IT hanno spesso difficoltà a valutare su cosa spendere soldi e quanto costa necessari per migliorare la sicurezza del sistema aziendale, in modo che questi costi non siano sprecati o eccessivi.

Se il responsabile IT comprende chiaramente quanti soldi può perdere l'azienda in caso di minacce, quali sono i punti del sistema più vulnerabili, quali misure possono essere adottate per aumentare il livello di sicurezza senza spendere denaro extra e tutto questo è documentato, quindi i suoi compiti decisionali - convincere la direzione a prestare attenzione e stanziare fondi per la sicurezza delle informazioni - diventano molto più reali.

Per risolvere questo tipo di problemi, sono stati sviluppati metodi e sistemi software speciali per l'analisi e il controllo dei rischi informativi basati su di essi. Prenderemo in considerazione il sistema CRAMM della società britannica Insight Consulting (http://www.insight.co.uk), l'omonima società americana RiskWatch (http://www.riskwatch.com) e il pacchetto russo GRIF da Digital Security (http: // www .dsec.ru). Le loro caratteristiche comparative sono mostrate nella tabella.

Analisi comparativa degli strumenti di analisi del rischio

Criteri di confronto	CRAMMA	RischioGuarda	GRIF 2005 Ufficio per la sicurezza digitale
Supporto	Fornito	Fornito	Fornito
Facilità d'uso per l'utente		Richiede una formazione speciale e qualifiche elevate di un revisore dei conti	L'interfaccia è rivolta a manager e dirigenti IT; non richiede conoscenze particolari nel campo della sicurezza delle informazioni
Costo della licenza per posto di lavoro, USD	da 2000 a 5000	Da 10.000	Da 1000
Requisiti di sistema	Sistema operativo Windows 98/Me/NT/2000/XP Spazio libero su disco 50 MB Requisiti minimi: frequenza del processore 800 MHz, 64 MB di memoria	Windows 2000/XP Spazio libero su disco per l'installazione 30 MB Processore Intel Pentium o compatibile, 256 MB di memoria	Windows 2000/XP Requisiti minimi: spazio libero su disco (per disco con dati utente) 300 MB, 256 MB di memoria
Funzionalità	Dati in ingresso: risorse; il valore delle risorse; minacce; vulnerabilità del sistema; selezione di contromisure adeguate. Opzioni di rapporto: rapporto di analisi dei rischi; relazione generale sull'analisi dei rischi; rapporto dettagliato sull'analisi dei rischi.	Dati in ingresso: tipo di sistema informativo; requisiti di sicurezza di base; risorse; perdite; minacce; vulnerabilità; misure di protezione; il valore delle risorse; frequenza di occorrenza delle minacce; scelta delle contromisure. Opzioni di rapporto: breve riassunto; segnalare il costo delle risorse protette e le perdite previste dall'implementazione delle minacce; Rapporto sul ROI	Dati in ingresso: risorse; hardware di rete; tipi di informazioni; gruppi di utenti; Rimedi; minacce; vulnerabilità; scelta delle contromisure. Composizione del rapporto: inventario delle risorse; rischi per tipologia di informazioni; rischi per le risorse; rapporto tra danno e rischio di informazione e risorsa; contromisure selezionate; raccomandazioni di esperti.
Metodo quantitativo/qualitativo	Valutazione qualitativa	Quantificazione	Valutazione qualitativa e quantitativa
Soluzione di rete	Assente	Assente	Edizione Enterprise Digital Security Office 2005

CRAMMA

Il metodo CRAMM (CCTA Risk Analysis and Management Method) è stato sviluppato dalla Central Computer and Telecommunications Agency della Gran Bretagna su istruzioni del governo britannico ed è stato adottato come standard statale. Dal 1985 è stato utilizzato da organizzazioni governative e commerciali nel Regno Unito. Durante questo periodo, CRAMM ha guadagnato popolarità in tutto il mondo. Insight Consulting sviluppa e mantiene un prodotto software che implementa il metodo CRAMM.

Il metodo CRAMM (http://www.cramm.com) non è stato scelto a caso da noi per una considerazione più dettagliata. Attualmente CRAMM è uno strumento abbastanza potente e versatile che consente, oltre all'analisi dei rischi, di risolvere una serie di altre attività di audit, tra cui:

Rilevamento IS e rilascio della documentazione di accompagnamento in tutte le fasi della sua attuazione;
audit in conformità con i requisiti del governo britannico, nonché BS 7799: 1995 Code of Practice for Information Security Management;
sviluppo di una politica di sicurezza e di un piano di continuità operativa.

Il metodo CRAMM si basa su un approccio integrato alla valutazione del rischio, combinando metodi di analisi quantitativi e qualitativi. Il metodo è universale ed è adatto sia a organizzazioni grandi che piccole sia nel settore governativo che in quello commerciale. Le versioni del software CRAMM destinate a diversi tipi di organizzazioni differiscono tra loro nelle basi di conoscenza (profili): esiste un profilo commerciale per le organizzazioni commerciali e un profilo governativo per le organizzazioni governative. La versione governativa del profilo consente inoltre di verificare la conformità ai requisiti dello standard americano ITSEC ("Orange Book"). Un diagramma concettuale di un'indagine CRAMM è mostrato in Fig. 2.

Con il corretto utilizzo del metodo CRAMM è possibile ottenere ottimi risultati, tra i quali forse il più importante è la possibilità di giustificazione economica dei costi dell'organizzazione per garantire la sicurezza delle informazioni e la continuità operativa. Una strategia di gestione del rischio economicamente valida consente di risparmiare denaro evitando costi inutili.

CRAMM consiste nel dividere l'intera procedura in tre fasi sequenziali. Il compito della prima fase è rispondere alla domanda: "È sufficiente proteggere l'impianto utilizzando strumenti di livello base che implementano funzioni di sicurezza tradizionali o è necessario condurre un'analisi più dettagliata?" Nella seconda fase, vengono identificati i rischi e valutata la loro entità. Nella terza fase, viene decisa la questione della scelta di contromisure adeguate.

La metodologia CRAMM per ogni fase definisce un insieme di dati iniziali, una sequenza di attività, questionari per le interviste, liste di controllo e un insieme di documenti di rendicontazione.

Nella prima fase dello studio viene effettuata l'identificazione e la determinazione del valore delle risorse protette. La valutazione viene effettuata su una scala di dieci punti e possono esistere diversi criteri di valutazione: perdite finanziarie, danni alla reputazione, ecc. Le descrizioni CRAMM forniscono un esempio di tale scala di valutazione secondo il criterio "Perdite finanziarie associate al ripristino delle risorse":

2 punti - meno di $ 1000;
6 punti: da $ 1.000 a $ 10.000;
8 punti: da $ 10.000 a $ 100.000;
10 punti - oltre $ 100.000

Con un punteggio basso per tutti i criteri utilizzati (3 punti e meno), si ritiene che un livello di protezione di base sia sufficiente per il sistema in esame (questo livello non richiede una valutazione dettagliata delle minacce alla sicurezza delle informazioni), e il secondo si salta la fase dello studio.

Nella seconda fase, vengono identificate e valutate le minacce nel campo della sicurezza delle informazioni, viene effettuata una ricerca e una valutazione delle vulnerabilità del sistema protetto. Il livello di minaccia viene valutato sulla seguente scala: molto alto, alto, medio, basso, molto basso. La vulnerabilità è classificata come Alta, Media o Bassa. Sulla base di queste informazioni viene calcolata una valutazione del livello di rischio su una scala a sette punti (Fig. 3).

Nella terza fase, CRAMM genera opzioni per contromisure ai rischi identificati. Il prodotto offre i seguenti tipi di raccomandazioni:

raccomandazioni generali;
raccomandazioni specifiche;
esempi di come organizzare la protezione in questa situazione.

CRAMM dispone di un ampio database, che contiene le descrizioni di circa 1000 esempi di implementazione di sottosistemi di sicurezza per vari sistemi informatici. Queste descrizioni possono essere utilizzate come modelli.

La decisione di introdurre nuovi meccanismi di sicurezza nel sistema e modificare quelli vecchi è presa dalla direzione dell'organizzazione, tenendo conto dei costi associati, della loro accettabilità e del beneficio finale per l'azienda. Il compito dell'auditor è di giustificare le azioni raccomandate per la gestione dell'organizzazione.

Se si decide di introdurre nuove contromisure e modificare quelle vecchie, il revisore può essere incaricato di preparare un piano di attuazione e valutare l'efficacia dell'uso di tali misure. La soluzione a questi problemi esula dallo scopo del metodo CRAMM.

Gli svantaggi del metodo CRAMM includono quanto segue:

il metodo richiede una formazione specifica e qualifiche elevate dell'auditor;
l'audit con il metodo CRAMM è un processo piuttosto laborioso e può richiedere mesi di lavoro continuo dell'auditor;
CRAMM è molto più adatto per l'auditing di SI già esistenti che sono stati messi in funzione rispetto a SI in fase di sviluppo;
Il toolkit software CRAMM genera una grande quantità di documentazione cartacea, non sempre utile nella pratica;
CRAMM non ti consente di creare i tuoi modelli di report o modificare quelli esistenti;
la capacità di apportare integrazioni alla base di conoscenza CRAMM non è disponibile per gli utenti, il che causa alcune difficoltà nell'adattare questo metodo alle esigenze di una particolare organizzazione;
Il software CRAMM non è localizzato, esiste solo in inglese;
alto costo della licenza - da $ 2.000 a $ 5.000

RischioGuarda

Il software RiskWatch è un potente strumento di analisi e gestione dei rischi. La famiglia RiskWatch include prodotti software per vari tipi di controlli di sicurezza. Comprende i seguenti strumenti di audit e di analisi dei rischi:

RiskWatch for Physical Security - per i metodi fisici di protezione IP;
RiskWatch per i Sistemi Informativi - per i rischi informativi;
HIPAA-WATCH for Healthcare Industry - per valutare la conformità ai requisiti dello standard HIPAA (US Healthcare Insurance Portability and Accountability Act);
RiskWatch RW17799 per ISO 17799 - per valutare la conformità con ISO 17799.

Il metodo RiskWatch utilizza la previsione delle perdite annuali (ALE) e il ritorno sull'investimento (ROI) come criteri di valutazione e gestione del rischio.

La famiglia di prodotti software RiskWatch ha molti vantaggi. RiskWatch ti aiuta a condurre l'analisi dei rischi e a fare scelte informate su misure e rimedi. A differenza di CRAMM, RiskWatch è più focalizzato sulla quantificazione accurata del rapporto tra le perdite dovute alle minacce alla sicurezza e il costo della creazione di un sistema di protezione. Va inoltre notato che in questo prodotto vengono considerati insieme i rischi nel campo dell'informazione e della sicurezza fisica della rete informatica aziendale.

Il prodotto RiskWatch si basa su una metodologia di analisi del rischio, che può essere suddivisa in quattro fasi.

La prima fase consiste nel definire l'oggetto della ricerca. Descrive parametri come il tipo di organizzazione, la composizione del sistema in esame (in termini generali), i requisiti di base nel campo della sicurezza. Per facilitare il lavoro dell'analista, modelli corrispondenti al tipo di organizzazione ("sistema informativo commerciale", "sistema informativo statale/militare", ecc.) forniscono elenchi di categorie di risorse protette, perdite, minacce, vulnerabilità e misure di protezione. Di questi, devi scegliere quelli che sono effettivamente presenti nell'organizzazione.

Ad esempio, per le perdite sono previste le seguenti categorie:

ritardi e disservizio;
rivelazione di un 'informazione;
perdite dirette (ad esempio, dalla distruzione di attrezzature da parte di un incendio);
vita e salute (personale, clienti, ecc.);
modifica dei dati;
perdite indirette (ad esempio, costi di ripristino);
reputazione.

La seconda fase è l'inserimento dei dati che descrivono le caratteristiche specifiche del sistema. Possono essere inseriti manualmente o importati da report generati da strumenti di ricerca delle vulnerabilità della rete informatica.

In questa fase vengono dettagliate le risorse, le perdite e le classi di incidenti. Le classi di incidente si ottengono facendo corrispondere la categoria di perdita e la categoria di risorsa.

Per identificare possibili vulnerabilità, viene utilizzato un questionario, il cui database contiene più di 600 domande. Le domande sono relative alle categorie di risorse. Vengono impostati la frequenza di occorrenza di ciascuna delle minacce selezionate, il grado di vulnerabilità e il valore delle risorse. Tutto questo viene utilizzato in futuro per calcolare l'effetto dell'introduzione di dispositivi di protezione.

La terza e probabilmente la fase più importante è la valutazione quantitativa. In questa fase viene calcolato un profilo di rischio e vengono selezionate le misure di sicurezza. Innanzitutto, vengono stabiliti i collegamenti tra risorse, perdite, minacce e vulnerabilità identificate nelle fasi precedenti dello studio (il rischio è descritto dalla combinazione di questi quattro parametri).

Il rischio, infatti, è stimato utilizzando l'aspettativa matematica delle perdite dell'esercizio. Ad esempio, se il costo di un server è di $ 150.000 e la probabilità che venga distrutto da un incendio entro un anno è 0,01, la perdita prevista è di $ 1.500.

La nota formula m = pxv, dove m è l'aspettativa matematica, p è la probabilità di una minaccia, v è il costo della risorsa, ha subito delle modifiche dovute al fatto che RiskWatch utilizza stime definite dall'American Institute of Norme NIST, denominate LAFE e SAFE. LAFE (Local Annual Frequency Estimate) mostra quante volte all'anno, in media, una data minaccia si verifica in un dato luogo (ad esempio, in una città). SAFE (Standard Annual Frequency Estimate) mostra quante volte all'anno, in media, una data minaccia si verifica in questa "parte del mondo" (ad esempio, in Nord America). Viene inoltre introdotto un fattore correttivo, che consente di tenere conto del fatto che quando si realizza una minaccia, la risorsa protetta potrebbe non essere completamente distrutta, ma solo parzialmente.

Inoltre, vengono considerati scenari "what-if...", che consentono di descrivere situazioni simili, previa implementazione di garanzie. Confrontando le perdite attese con e senza misure di protezione, è possibile valutare l'effetto di tali misure.

RiskWatch include database con valutazioni LAFE e SAFE, nonché una descrizione generalizzata tipi diversi mezzi di protezione.

Il ritorno sull'investimento (ROI), che misura il ritorno sull'investimento in un determinato periodo di tempo, quantifica l'impatto degli interventi di sicurezza. Questo indicatore è calcolato utilizzando la formula:

dove Costsi è il costo di attuazione e mantenimento della misura di protezione i-esima; Benefici - una valutazione dei benefici (riduzione attesa delle perdite) che l'attuazione di questa misura di protezione porta; NVP (Net Value Present) si adegua all'inflazione.

La quarta fase è la generazione dei report. Sono disponibili i seguenti tipi di report:

breve riassunto;
relazioni complete e sintetiche degli elementi descritti nelle fasi 1 e 2;
un rapporto sul costo delle risorse protette e sulle perdite previste dall'implementazione delle minacce;
segnalare minacce e contromisure;
rapporto sul ROI;
rapporto di verifica della sicurezza.

Un esempio di calcolo del ROI per varie misure di protezione è mostrato in Fig. 5.

Pertanto, RiskWatch consente di valutare non solo i rischi attualmente esistenti nell'impresa, ma anche i benefici che l'implementazione di mezzi e meccanismi di protezione fisici, tecnici, software e altri può portare. I report e i grafici preparati forniscono materiale sufficiente per prendere decisioni sulla modifica del sistema di sicurezza aziendale.

Per le utenze domestiche, il problema è che è piuttosto problematico ottenere stime utilizzate in RiskWatch (come LAFE e SAFE) per le nostre condizioni. Sebbene la metodologia stessa possa essere applicata con successo nel nostro paese.

Riassumendo, notiamo che quando si sceglie una metodologia specifica per analizzare i rischi in azienda e gli strumenti che la supportano, si dovrebbe rispondere alla domanda: è necessario avere un'accurata valutazione quantitativa delle conseguenze dell'implementazione delle minacce o se un è sufficiente una valutazione a livello qualitativo. È inoltre necessario tenere conto dei seguenti fattori: la presenza di esperti in grado di fornire stime affidabili del volume delle perdite derivanti dalle minacce alla sicurezza delle informazioni e la disponibilità di statistiche affidabili sugli incidenti nel campo della sicurezza delle informazioni in azienda .

Gli svantaggi di RiskWatch includono quanto segue:

questo metodo è adatto se è necessario condurre un'analisi dei rischi a livello di protezione software e hardware, senza tenere conto di fattori organizzativi e amministrativi;
le valutazioni del rischio ottenute (l'aspettativa matematica delle perdite) non esauriscono affatto la comprensione del rischio da un punto di vista sistemico - il metodo non tiene conto di un approccio integrato alla sicurezza delle informazioni;
Il software RiskWatch è disponibile solo in inglese;
alto costo della licenza - da $ 10.000 per postazione per una piccola azienda.

Collo

GRIF è un sistema completo per l'analisi e la gestione dei rischi del sistema informativo aziendale. GRIF 2005 del Digital Security Office (http://www.dsec.ru/products/grif/) fornisce un quadro della sicurezza delle risorse informative nel sistema e consente di scegliere la strategia ottimale per la protezione delle informazioni aziendali.

Il sistema GRIF analizza il livello di protezione delle risorse, valuta i possibili danni derivanti dall'implementazione di minacce alla sicurezza delle informazioni e aiuta a gestire i rischi scegliendo contromisure.

L'analisi dei rischi IS viene effettuata in due modi: utilizzando un modello di flussi di informazioni o un modello di minacce e vulnerabilità, a seconda di quali dati iniziali ha l'utente, nonché di quali dati è interessato all'output.

Modello di flusso di informazioni

Quando si lavora con un modello di flussi di informazioni, informazioni complete su tutte le risorse con informazioni preziose, utenti che hanno accesso a queste risorse, tipi e diritti di accesso. Vengono registrati i dati su tutti i mezzi di protezione di ciascuna risorsa, le interconnessioni di rete delle risorse, le caratteristiche della politica di sicurezza aziendale. Il risultato è un modello completo del sistema informativo.

Nella prima fase di lavoro con il programma, l'utente inserisce tutti gli oggetti del suo sistema informativo: reparti, risorse (gli oggetti specifici di questo modello includono gruppi di rete, dispositivi di rete, tipi di informazioni, gruppi di utenti, processi aziendali).

Successivamente, l'utente deve assegnare i collegamenti, ovvero determinare a quali reparti e gruppi di rete appartengono le risorse, quali informazioni sono memorizzate sulla risorsa e quali gruppi di utenti vi hanno accesso. L'utente indica anche i mezzi per proteggere la risorsa e le informazioni.

Nella fase finale, l'utente risponde a un elenco di domande sulla politica di sicurezza implementata nel sistema, che consente di valutare il reale livello di sicurezza del sistema e di dettagliare le valutazioni dei rischi.

Disponibilità di fondi protezione delle informazioni rilevato nella prima fase, di per sé non rende ancora sicuro il sistema in caso di loro uso inadeguato e l'assenza di una politica di sicurezza globale che tenga conto di tutti gli aspetti della protezione delle informazioni, compresa la sicurezza, la sicurezza fisica, la sicurezza del personale, continuità, ecc.

Come risultato dell'esecuzione di tutte le azioni in queste fasi, l'output costituisce un modello completo del sistema informativo dal punto di vista della sicurezza delle informazioni, tenendo conto dell'effettivo adempimento dei requisiti della politica di sicurezza globale, che consente di andare a analisi programmatica i dati inseriti per ottenere una valutazione completa del rischio e la formazione del rapporto finale.

Modello di minaccia e vulnerabilità

Lavorare con il modello di analisi delle minacce e delle vulnerabilità implica l'identificazione delle vulnerabilità di ogni risorsa con informazioni preziose e le minacce corrispondenti che possono essere realizzate attraverso queste vulnerabilità. Il risultato è un quadro completo delle debolezze del sistema informativo e dei danni che possono essere arrecati.

Nella prima fase di lavoro con il prodotto, l'utente inserisce nel sistema gli oggetti del suo IS: reparti, risorse (gli oggetti specifici per questo modello includono le minacce al sistema informativo e le vulnerabilità attraverso le quali vengono implementate le minacce).

GRIF 2005 include un ampio catalogo integrato di minacce e vulnerabilità, contenente circa 100 minacce e 200 vulnerabilità. Per la massima completezza e versatilità di questi cataloghi, gli esperti di Digital Security hanno sviluppato una speciale classificazione delle minacce, DSECCT, in cui sono implementati molti anni di esperienza pratica nel campo della sicurezza delle informazioni. Utilizzando queste directory, l'utente può selezionare minacce e vulnerabilità relative al suo sistema informativo.

L'algoritmo del sistema GRIF 2005 analizza il modello costruito e genera un report che contiene i valori di rischio per ciascuna risorsa. La configurazione del report può essere pressoché qualsiasi, il che consente di creare sia report riepilogativi per la gestione che report dettagliati per ulteriori lavori con i risultati (Fig. 6).

Riso. 6. Un esempio di report nel sistema GRIF 2005.

Il sistema GRIF 2005 contiene un modulo di gestione del rischio che consente di analizzare tutte le ragioni per cui, dopo aver elaborato i dati inseriti dall'algoritmo, si ottiene esattamente un tale valore di rischio. Pertanto, conoscendone le ragioni, è possibile ottenere i dati necessari per attuare le contromisure e, di conseguenza, ridurre il livello di rischio. Dopo aver calcolato l'efficacia di ogni possibile contromisura, oltre a determinare il valore del rischio residuo, è possibile selezionare le contromisure che ridurranno il rischio al livello richiesto.

A seguito del lavoro con il sistema GRIF, viene costruito un report dettagliato sul livello di rischio di ogni risorsa preziosa del sistema informativo aziendale, tutte le ragioni del rischio sono indicate con un'analisi dettagliata delle vulnerabilità e una valutazione della situazione economica efficacia di tutte le possibili contromisure.

***

Le migliori pratiche mondiali e i principali standard internazionali nel campo della sicurezza delle informazioni, in particolare la ISO 17799, richiedono l'implementazione di un sistema di analisi e gestione dei rischi per una gestione efficace della sicurezza dei sistemi informativi. In questo caso, puoi utilizzare qualsiasi strumento conveniente, ma la cosa principale è capire sempre chiaramente che il sistema di sicurezza delle informazioni è stato creato sulla base di un'analisi dei rischi delle informazioni, verificata e giustificata. L'analisi e la gestione dei rischi informativi è un fattore chiave per costruire una protezione efficace di un sistema informativo.