コンピューター ウィンドウズ インターネット
拡大

リスク評価のための方法とソフトウェア製品RiscisWatch。 リスク評価プログラムリスク管理ソフトウェア

リスク管理プロセスへの体系的なアプローチについて説明し、研究しました。 この問題の検討が複雑なのは、高品質のリスク分析および管理システムを作成するために、このドメインの個々の活動を検討することは意味がないと判断したためです。 リスク管理のすべての段階が完全に適用された場合にのみ、設定された目標の達成を確実にすることができるシステムについて話すことができます。

今日議論を開始するという目標を設定した複雑なプログラムは、前に説明したアーティファクト(プロセスとオブジェクト)に基づいています。

その中心にあるのは:

  • 複雑なリスク管理活動の計画手順。
  • 検討中のプログラムの実施中に相互に補完および「強化」するように相互接続されたリスク管理方法およびツール。

したがって、今日、分析とリスク管理の活動に追加の「没頭」があるので、息を止めましょう...

序章

これまでに、リスクの種類(定性的および定量的)の特定、評価、分析、組織化、および導入的な方法でのリスク管理の活動について説明してきました。 分析とリスク管理のプロセスを単一の包括的なプログラムに編成することの関連性と必要性​​。これにより、個々の部分をカバーし、単一の管理およびソフトウェアの複合体に調和させることができます。

今日は、リスク管理の分野のセクションである「包括的なリスク管理プログラム」について検討します。これは、すでに組織化された手順の効率を高めるという問題を解決し、同時に新しい革新的なものを導入します。 効果的な方法技術者は、明らかで潜在的な損失を減らし、会社の主な活動の効果を最大化します。

ここで注目に値するのは、包括的なリスク管理プログラムがリスク管理プロセスのオプションの1つであるということです。 この包括的なプログラムの実施は、リスク管理の実施に代わるものと見なすことができます。 リスク分析および管理プロセスの前述の各段階は、リスク管理実装プロセスの完全な段階を表しており、会社の特定の条件に適応することを条件として、特定の組織でこの活動を計画するときに使用できます。

多くの専門家によると、リスク管理プログラムの目的は、次の結果を達成することです。

  • 最適な使用利用可能な資本;
  • 最大の収入を得る;
  • 会社の発展の持続可能性を高める。
  • ドメインプロセスから派生した製品またはサービスの価値の一部またはすべてを失う可能性を減らす 情報技術、特定の組織。

したがって、包括的なリスク管理プログラムは、ITプロセスとしてだけでなく、このアクティビティの一般的な意味で、リスク管理の対象のビジネスコンポーネントとして、最終結果と市場における組織のさらなる位置は異なります。

リスク管理プログラム

最新の成功した包括的なリスク管理プログラムは、分析とリスク管理のプロセスを実装することを決定したリスク管理の分野における企業の現在のニーズに関連する問題を考慮に入れて解決する必要があります。

リスク管理組織は通常、このドメインに対して次の目的を持っています。

  • リスクにさらされている状況での運用の成功。
  • 会社の戦略と戦術の実施を妨げる負のリスク要因からの保護。
  • 明白で潜在的なリスクに関する入手可能な情報を考慮に入れた、経営判断の合理的な採用。
  • 利用可能な情報ツールとテクノロジーの保存と開発。
  • リスクに対する企業の感度を低下させ、リスクの高い環境における情報技術分野の安定性を高めます。

包括的なリスク管理プログラムは、リスクを処理するための統一された構造を確立する必要があります。これは、個々の段階を実装するためのオプションが異なる場合がありますが、同時に、シーケンス(コースで与えられた、資料)および各段階の結果(ドキュメント)は、コースで引用したものと正確に一致している必要があります。

  • 情報の収集とリスク要件:
    • リスクにつながる可能性のある明白で潜在的な原因のリスト。
  • リスクの特定:
    • リスク登録;
  • 予備的なリスク評価:
    • 優先リスク登録;
    • リスク管理戦略;
  • 定性的リスク分析:
    • リスクとそれらに対処する方法(戦術)に関する高品質の情報を含む文書。
    • 定量分析活動に使用できるリスク情報。
    • 以前に特定されたリスクとその説明に関する知識/データベース。
  • 定量的リスク分析:
    • リスクとそれらに対処する方法(戦術)に関する定量的情報を含む文書。
    • さらなるリスク会計およびそれらに対処する方法の計画に使用できる統計情報。
  • リスク分析システム:
    • リスク管理のパフォーマンス指標を達成するために、以前に受け取った文書を集約して使用する必要がある手順と規制を開発しました。
  • 包括的なリスク管理プログラム:
    • 包括的なリスク管理プログラムに関する情報を含む文書。
    • リスク管理手順計画;
  • さらなる活動:
    • リスク監視計画;
    • リスク分析と管理のための改善計画。

同時に、特定の企業でリスク管理活動を行う場合、説明されている各ドキュメントは、将来、タイムリーに更新および追跡する必要があります。 効果的な包括的なリスク管理プログラムの構築とコンポーネントの適切な実装を目標に この目標タスクを実行すると、組織のすべての組織レベルでリスクを制御できるようになります。

リスク管理者は、周囲の状況を評価し、上記の必要な文書、手順、規制の開発と実施に貢献できる必要があります。これらは、リスク分析および管理プロセスの分野からの以下の原則に基づいている必要があります。以前の私たち:

  • リスク分析および管理プロセスへの統合されたプロセスベースのアプローチ。
  • 最も重要なリスクの考慮:
    • リスクの記録の作成。 分析およびリスク管理のプロセスの活動中に登録簿を更新する。
  • リスクの特定;
  • リスクの「所有者」の決定。
  • リスク管理プロセスに役割構造を使用する。
  • 特定のリスクを管理するための特定の方法/方法のグループの使用。
  • 意味 許容レベルリスク:
    • リスクの状態の管理。

少し前に、リスク管理の活動を確実にすることについて話したとき、私たちはこの分野の仕事に対するドキュメンタリーサポートのトピックに触れましたが、同時にそれをより詳細に開示しませんでした。 リスク管理手順の開発に関するセクションでは、この点に特に注意を払います。

ここで、ドキュメンテーションとその実装は、包括的なプログラムの開発において非常に重要な「マイルストーン」であり、開発されたプログラムが「ワンステップイベント」になるという事実につながる可能性があることを無視します。 このような実装の「リスク」は、特定の「頭」に残ります。 複雑なプログラムは、主要な専門家のグループが去ることで「完了」します。これは、開発されたドメインへの体系的なアプローチに疑問を投げかけ、そのような実装では効果がないことを示しています。

包括的なリスク管理プログラムは、プロセス、手順、活動などで構成されている必要があると言わなければなりません。 この「オーバー」アクティビティに含まれる個々のステージの結果は、個々のアクティビティ間の接続が明確に追跡されるように、互いに調和させる必要があります。 リスクドメインと組織全体の活動の最終結果は、リスク管理の一般的な目標とどの程度うまく、思慮深く組み合わせて、個々の部分を共通の全体に統合するかによって異なります。

リスク管理手順の開発。 ビジネスルール

リスク管理プロセスを構成する手順は「テンプレート」ソリューションであり、その目的は、特定の状況で選択するためのオプション、特定の(既知および未知の)リスク状況での使用に適した特定のソリューションのオプションを提供することです。パラメーター。

特定のユースケースを支持する選択は、特定のリスク/リスクグループを管理するための特定の開発された手順が特定の環境のニーズ(状況の外部および内部パラメータ)にどのように適応するかに依存し、特定のプロセスに対応します。リスクの発現は可能であり、この場合に効果的です。

手順を策定する際には、会社の活動に基づいて定められた原則に基づいて指導することをお勧めします。 これらの原則は、一般にビジネスルールと呼ばれます。 それらのほとんどは、ビジネスの推進力となる「レバー」であるこれらの仮定を「実現」する過程で形成されます。 それらは必ずしも明白ではありませんが(原則として、限られた数の利害関係者の「頭」にいるため)、事業活動の開始とともに存在し始めます。 それらが適用される1つまたは別の事業分野の開発の所与の安定性は、それらが観察される程度に依存します。

情報システムの開発動向を決定するのはビジネスルールとその変化のダイナミクスであり、企業の安定性、この場合はリスク要素に影響を与えるのはそれらです。

したがって、これまでの説明から、ビジネスルールは管理と調査に利用できる「リスク」の量を決定する要素の1つであると結論付けることをお勧めします。

しかし、現代のビジネスコミュニティでは、ビジネスルールが無視され、リスク管理手順の開発の「根底にある」特定の開発シナリオに「置き換え」られることがよくあります。 ここで、ユースケースはリスクを実装するための特定のオプションであり、「ビジネスルール」はユースケースを決定する普遍的/「疑似普遍的」原則であるという事実を明確にする価値があります。したがって、ビジネスルールは次のようにすべきであることを考慮することが非常に重要です。リスク管理手順を開発するときに使用されます..。 この場合、リスクからのビジネスのかなり信頼できる保護について話すことができます。

開発されたリスク管理手順の構成は多くの要因によって決定されますが、リスク管理の管理と分析の手順を決定する2つの主要なコンポーネントに基づいています。

  • 組織の現在の「危険な」状態。
  • 利害関係者の必要性。

特定の手順をどのように「ドキュメンタリー」やその他の種類のサポートで作成するかを決定するのは、利害関係者のニーズです。 場合によっては、手順の開発に次のアクティビティが含まれることがあります。

  • 企業の戦略/方針のリスクのある領域に関する提案の作成。
  • 主なリスク管理手順を文書化する。
  • 特定の種類のリスクと総リスクを評価するための方法論の開発。
  • NS。

最適に設計および適用されたリスク管理手順は、起こりうる損害を軽減(または完全に排除)し、会社の安定化と発展に貢献します。

繰り返しになりますが、リスク管理手順に必要な手段的および法的根拠を提供する必要のある一連の規制および方法論の文書をリストします。

  • リスク管理方針
  • リスク管理規制
  • リスク管理手順
  • 系統的な指示リスクの説明と評価について
  • スケジュールの作業に対するリスクの影響を評価するための方法論的ガイドライン
  • リスク指標の形成のための方法論的ガイドライン
  • リスク管理手順ハンドブック
  • 典型的なリスクハンドブック

結果として、普遍性と包括的な適用性を主張するような方法で開発できるリスク管理手順はないと言わなければなりません。 各手順では、リスク管理手順を使用して管理するように計画されている特定の状況と特定のリスクの詳細を考慮に入れる必要があります。

リスク管理手法

前回の記事では、さまざまなリスク管理方法について簡単に説明し、次の4つのカテゴリに分類しました。

  • リスク回避方法;
  • リスクローカリゼーション手法;
  • リスク分散手法;
  • リスク補償方法。

説明されている各方法は、特定の、専門的な、 効果的なソリューション後で損傷を引き起こす可能性のある要因に応じて、一般的なセットから特定の方法で分類された「危険な」状況(リスク分析の定量的および定性的方法に関する記事を参照)。

有用なデータの必要な「粒子」を分離することができる初期情報を処理する「技術」については、リスク管理プロセスへの体系的なアプローチに関する記事を参照してください。ただし、分類に重要な要素を最適に考慮する必要があります。リスク要因の評価は、いずれかのリスク管理手法の適用を成功させるための条件であり、したがって、リスク管理システム全体の有効性です。

以前に正当化されたように、「リスク」コンポーネントの変動性と、方向を予測するのがかなり難しいリスク/リスクグループの移行の可能性を考慮すると、多数の変数に依存します。

  • 危険な環境に関連する「内部」。
  • 危険な環境に関連する「外部」。
  • その他のリスク、オリジナルとの相互作用の程度の違い。
  • 発現、「接続」、「切断」などの影響。 リスク;

したがって、特定のリスクに関するシステム統計を蓄積することの重要性は、リスクを確実に処理する方法を選択するために必要な要素でもあり、リスクのレベルを体系的に削減することができます。 同時に、統計はリスク開発の包括的かつ適切な「全体像」を反映する必要があります。

リスク管理を行っている企業が十分に規模が大きく、条件付きで安定している場合、必要な変更への迅速な対応が拒否される可能性があります。 原則として、これは「動的に出現する」リスクに対する十分な保護という「誤った慣性」の考えによるものであり、結果として生じる損傷の「近い」および「遠い」症状からの脅威的な結果にさらにつながる可能性があります。

ほとんどの場合、注意する必要があります

(ほとんどの場合、予測はより困難ですが、追加の未定義パラメーターのために通常はより危険です)

このような状況では、中小企業は、許容できるレベルの安定性に甘んじることなく、許容できないリスクに正確かつ柔軟に対応し、必要に応じて活動の優先順位を変更するよう努めます。大規模な組織。

さまざまなリスク要因を特徴とする実際の状況では、それらにとって重要な要因を考慮し、それに応じて、最適なリスク管理方法を選択する必要があります。

リスク管理方法の選択に制限を課す追加の条件は、マネージャーの人であり、その決定は、最終的にどの方法が選択されるかによって異なります。

特定の意思決定者が十分に包括的な方法で作業状況を確認し、特定の条件に対して最善の決定を下すことができることが重要です。

結論

したがって、検討中のトピックの2番目の部分となる次の記事では、詳細な、具体的な実際の例から始め、リスク管理方法の分類を検討し、保守プロセスの「分解」を行います。リスク管理ドメインの改善に伴い、このツールボックスに必要なものを詳細に強調します。

この「興味をそそる」メモで、今日はあなたに別れを告げます。

親愛なる同僚の皆さん、よろしくお願いします。

リスク評価と管理のトピックを継続する 情報セキュリティーこの投稿では、リスク評価を実行するために使用できるソフトウェアについて説明したいと思います。 なぜこれが必要なのですか ソフトウェア? 実際、このプロセスを深く掘り下げるとすぐに、評価の実施がかなり複雑な組み合わせ論に関連していることがすぐに明らかになります。 さまざまな資産、脆弱性、脅威、保護対策の組み合わせにより、リスクを説明する数百、数千の可能な組み合わせが発生します。ここでは、即興の手段なしでは実行できません。 現在インターネット上で見つけることができるもの:


vsRisk..。 英国の会社VigilantSoftwareのソフトウェア。 この製品は、主にISO 27001およびBS7799-3(現在はISO27005)の要件に準拠したリスク評価ソフトウェアとして販売されています。 このサイトでは、15日間の試用版をダウンロードできます(サイズ-390MB)。 このシステムは私にはかなり原始的であり、準備の整っていないユーザーにはまったく友好的ではないように見えました。 たとえば、プログラムには、考えられる脅威、脆弱性、および対策の非常に広範なリストがありますが、システム自体はそれらの間の相互関係を決定しません。これはユーザー自身が手動で行います。 一般的に、私は3区のプログラムを評価します。 なぜ彼らはそこに1700ユーロを求めているのですか?! 8-)。

PTA。 PTAテクノロジーによって開発されました . 私の意見では非常に興味深い製品です。 これはどの標準にも結び付けられておらず、定量的リスク評価(!)のメカニズムを実装しています。 ちなみに、このソフトウェアの欠点として指摘したいのですが、tk。 重要なのは、すべてがドルの正確さで見積もることができるわけではなく、定性的評価の可能性が提供されていないということです。 このシステムは、提案された対策の有効性を評価するための興味深いメカニズムも提供します。これに基づいて、たとえば、特定の対策を追加または削除したときにリスクマップがどのように変化するかを特定できます。

開発者のWebサイトには、製品は有料であり、ダウンロードできるのは30日間の試用版のみであると記載されています。 製品自体のコストと購入方法-情報はありません(明らかにアプローチは個別です:))。

RSAアーチャー..。 Archerによって開発され、最近巨大なRSAによって所有されました。 一般的に言って、Archerは非常に巨大なGRCハーベスターであり、多くの異なるモジュールが含まれており、そのうちの1つがリスク管理を提供します。 ダウンロード用の試用版はありません。サイトにはプレゼンテーションビデオがあります。 価格 この製品のまた、マークされていませんが、RSAのすべてと同様に、高価になると思います:)

Modulo Risk Manager..。 Moduloによって開発されました。 このサイトでは、機能の説明がかなり不十分です。 試用版も詳細なビデオクリップもありません。 それにもかかわらず、この製品はSC Magazine賞を受賞しました。これは、それでも価値があることを意味します。 残念ながら、私はまだそれを知ることができませんでした。


RMスタジオ。同名の組織の製品(ウェブサイト)。 NS 30日間の試用版をダウンロードできます。これに加えて、サイトで製品の使用例を示すビデオを見ることができます。 私の意見では、このソフトウェアはリスク評価の点で原始的すぎて、「ショーのために」リスク評価を行う人にのみ適しています。


ハゲタカ..。 デジタルセキュリティによって開発されました。 私はこのソフトウェア製品を全体像のためだけに持ってきました。 製品自体は、長年にわたって開発者によってサポートされていません。 したがって、実際にはもう存在しないと言えます。 これまでのところ、これは私が知っているこの分野での唯一の国内開発です。

率直に言って、それほど多くはありません。 私のレビューが100%完全であると主張することはできないことを理解していますが、それでも...。

他の誰かがリスク評価を自動化する他のソフトウェアまたは他の方法を知っている場合-コメントに書いてください、私たちは議論します。

重要な更新! ISM SYSTEMSは、リスク評価を自動化するためのツールの開発を発表しました-ISM改訂:リスクマネージャー。 予備情報はこちらから入手できます-http://www.ismsys.ru/?page_id = 73。 製品は有望に見えます。 もっと 詳細なレビュー後でやります。

ナレッジベースであなたの良い仕事を送るのは簡単です。 以下のフォームを使用してください

知識ベースを研究や仕事に利用している学生、大学院生、若手研究者はあなたにとても感謝しています。

ポストする http://www.allbest.ru/

ロストフ地域の州予算専門教育機関「ロストフオンドン通信情報学部」

GBPOU RO「RKSI」

トピックに関するレポート:

「リスク評価のための方法とソフトウェア製品RiscisWatch」

学生による完成:Zheleznichenko Artem

グループ番号IB-22

教師:

ドミトリー・ティムチェンコ

ロストフオンドン

序章

今日、現代の大企業の情報セキュリティに投資する必要性に疑いの余地はありません。 現代のビジネスの主な問題は、この分野への投資の最大効率を確保するために、情報セキュリティへの投資の十分なレベルをどのように評価するかです。 この問題を解決するには、唯一の方法があります。システムに存在するリスクを評価し、効率の観点から最適な保護オプションを選択できるリスク分析システムを使用することです(システムに存在するリスクと情報セキュリティのコスト)。

統計によると、企業の情報セキュリティを確保するための対策を講じる上での最大の障害は、予算の制約と経営陣からのサポートの欠如の2つの理由です。

どちらの理由も、経営陣が問題の深刻さを誤解していることと、IT管理者が情報セキュリティに投資する必要がある理由を正当化することが難しいことから生じています。 多くの人は、主な問題はITマネージャーや経営幹部が 異なる言語-技術的および財務的ですが、結局のところ、ITスペシャリスト自身が、これらのコストが無駄になったり、無駄になったりしないように、会社のシステムのセキュリティを強化するために何にお金を費やす必要があるかを評価するのが難しいと感じることがよくあります。過度。

IT管​​理者が、脅威が発生した場合に会社が失う可能性のある金額、システム内のどの場所が最も脆弱であるか、セキュリティのレベルを高め、同時に余分なお金を使わないためにどのような対策を講じることができるかを明確に理解している場合。これらすべてが文書化されれば、問題の解決策は、経営陣が注意を払い、情報セキュリティに資金を割り当てることを確信させることです。

この問題を解決するために、情報リスクの分析と制御のためのソフトウェアシステムが開発されました。 これらのソフトウェアシステムの1つは、American RiskWatch(RiskWatch会社)です。

1.RiskWatchの特徴

1998年に米国国立標準技術研究所(US NIST)、カナダ国防総省の米国国防総省(US DoD)の参加を得て開発されたRiskWathメソッドは、実際には米国の標準です。米国だけでなく、世界中の政府機関。

アメリカの会社RiskWatchによって開発されたRiskWatchソフトウェアは、強力なリスク分析および管理ツールです。

RiskWatchは、基本的に2つの製品を提供しています。1つは情報セキュリティ_ ITセキュリティの分野で、もう1つは物理的セキュリティ_物理的セキュリティの分野です。 このソフトウェアは、コンピュータおよび企業の「物理的」セキュリティの分野で保護されているリソース、脅威、脆弱性、および保護対策を特定して評価するように設計されています。 さらに、さまざまなタイプの組織に対して提案されています 異なるバージョンソフトウェア。

さまざまなシステムでのリスク管理用に設計された製品ラインは、ISO 17799、ISO 27001、COBIT 4.0、NIST 800-53、NIST 800-66などの規格(ドキュメント)の要件を考慮に入れています。

RiskWatchファミリには、さまざまなタイプのセキュリティ監査用のソフトウェア製品が含まれています。 これには、次の監査およびリスク分析ツールが含まれています。

1.物理的セキュリティのためのRiskWatch-IP保護の物理的方法のため。

2.情報システムのRiskWatch-情報リスク。

3. HIPAA-WATCH for HealthcareIndustry-HIPAA標準の要件への準拠を評価します。

4.ISO17799用のRiskWatchRW17799-ISO17799規格の要件を評価するため。

2.RiskWatchの長所と短所

消費者の観点から見たRiskWatchの重要な利点は、新しいカテゴリ、説明、質問などを導入できる可能性があるため、比較的単純で、ロシア化の労働強度が低く、メソッドの柔軟性が高いことです。 この方法に基づいて、国内の開発者は、セキュリティの分野における国内の要件を考慮して独自のプロファイルを作成し、分析およびリスク管理の部門別の方法を開発することができます。

その長所にもかかわらず、RiskWatchには短所があります。

この方法は、組織的および管理的要因を考慮せずに、ソフトウェアおよびハードウェアレベルの保護でリスク分析を実行する必要がある場合に適しています。 結果として得られるリスク評価(損失の数学的期待値)は、体系的な観点からリスクの理解を尽くすにはほど遠いです-この方法は、情報セキュリティへの統合されたアプローチを考慮していません。

1.RiskWatchソフトウェアは英語でのみ利用可能です。

2.ライセンスの高コスト-小規模企業の場合は1シートあたり15,000ドルから、企業ライセンスの場合は125,000ドルから。

3.RiskWatchの基礎となるリスク分析の方法論

RiskWatchは、リスク分析を実施し、対策と救済策について情報に基づいた選択を行うのに役立ちます。 プログラムで使用される手法には、次の4つの段階があります。

リスク分析手法の各段階をより詳細に検討する必要があります。

1.最初の段階では、組織の一般的なパラメータ(組織のタイプ、調査中のシステムの構成、基本的なセキュリティ要件)について説明します。 説明は、より多くのために選択できるいくつかの副節で形式化されています 詳細な説明またはスキップします。

2.第2段階は、システムの特定の特性を説明するデータの入力です。 データは手動で入力することも、コンピューターネットワークの脆弱性調査ツールによって生成されたレポートからインポートすることもできます。 この段階で、リソース、損失、およびインシデントクラスの詳細が示されます。

3.第3段階はリスク評価です。 まず、前の段階で特定されたリソース、損失、脅威、および脆弱性の間にリンクが確立されます。 リスクについては、その年の損失の数学的予想は次の式を使用して計算されます。

ここで、pはその年の脅威の発生頻度、vは脅威にさらされているリソースのコストです。

4.第4段階は、レポートの生成です。 レポートの種類:短い要約。 ステージ1および2で説明されている要素の完全な要約レポート。 保護されたリソースのコストと脅威の実装から予想される損失について報告します。 脅威と対策について報告する。 セキュリティ監査レポート。

結論

情報セキュリティソフトウェア

RiskWatchは、アメリカの会社RiskWatchによって開発されたソフトウェアです。

RiskWatchは、リスク分析を実施し、対策と救済策について情報に基づいた選択を行うのに役立ちます。 それにもかかわらず、RiskWatchにはいくつかの欠点があります。ライセンスのコストが高い。 RiskWatchソフトウェアは英語でのみ利用可能です。

RiskWatch製品は、4つの段階で構成されるリスク分析手法に基づいています。

最初の段階は、研究の主題を定義することです。

第2段階は、システムの特定の特性を説明するデータの入力です。

3番目の最も重要なステップは定量化です。

第4段階は、レポートの生成です。

Allbest.ruに投稿

同様の文書

    情報リスクを評価する方法、それらの特徴と特徴、長所と短所の評価。 企業情報のセキュリティのためのリスク評価モデルであるマイクロソフトの方法論の例を使用したリスク評価方法論の開発。

    論文、2012年8月2日追加

    情報セキュリティを評価する本質と方法。 その実装の目的。 情報技術のリスクを分析するための方法。 IS脅威のリスクを計算するための指標とアルゴリズム。 商社のWebサーバーの例での情報リスクの計算。

    タームペーパー、2013年11月25日追加

    情報の本質、その分類。 企業の情報セキュリティの確保と脅威の主な問題。 リスク分析と企業情報セキュリティの原則。 情報セキュリティを確保するための一連の対策の開発。

    タームペーパー追加2016年5月17日

    借り手の信用力を分析し、免疫計算アプローチに基づいて信用リスクを評価するための自己学習型インテリジェント情報システムの開発。 クラスタリング手順の適用、リスク評価の分類と形成。

    タームペーパー、2012年6月9日追加

    監査ツールの調査と分析のための方法論 Windowsシステムコンピュータのリソースへの不正なソフトウェアアクセスを検出するため。 情報セキュリティの脅威分析。 ソフトウェアツールのアルゴリズム。

    論文、2011年6月28日追加

    ソフトウェアと 技術仕様企業の情報システム。 情報とソフトウェアの互換性の要件。 専用のソフトウェアパッケージを使用したソフトウェア設計。 データベース開発。

    練習レポート、2019年4月11日追加

    主なリスクの分類、それらの識別。 組織内の情報システムのリスクを計画および評価し、リスクを排除するための対策を講じます。 プロジェクトの損益分岐点の決定。 損失のコストとリスク発生の確率の計算。

    実験室での作業、2016年1月20日追加

    分散ソフトウェア開発の概念と主な違い、その長所と短所。 概念的な解決策と開発の種類の選択。 オープンソースソフトウェアの特徴 ソースコード..。 オープンソースのアイデアと開発。

    タームペーパー、2012年12月14日追加

    企業の事業活動を分析するための活動の自動化。 ソフトウェアの形で提案された方法論の実装、それのための基本的な要件。 複合体の構造と構成 ソフトウェアモジュール、 ユーザーガイド。

    タームペーパー、2013年5月28日追加

    情報セキュリティリスク分析。 既存および計画中の救済策の評価。 情報セキュリティと企業情報の保護を確保するための一連の組織的対策。 プロジェクト実装のテストケースとその説明。

この投稿では、情報セキュリティリスクの評価と管理のトピックを続けて、リスク評価を実行するために使用できるソフトウェアについて説明したいと思います。 なぜこのソフトウェアが必要なのですか? 実際、このプロセスを深く掘り下げるとすぐに、評価の実施がかなり複雑な組み合わせ論に関連していることがすぐに明らかになります。 さまざまな資産、脆弱性、脅威、保護対策の組み合わせにより、リスクを説明する数百、数千の可能な組み合わせが発生します。ここでは、即興の手段なしでは実行できません。 現在インターネット上で見つけることができるもの:


vsRisk..。 英国の会社VigilantSoftwareのソフトウェア。 この製品は、主にISO 27001およびBS7799-3(現在はISO27005)の要件に準拠したリスク評価ソフトウェアとして販売されています。 このサイトでは、15日間の試用版をダウンロードできます(サイズ-390MB)。 このシステムは私にはかなり原始的であり、準備の整っていないユーザーにはまったく友好的ではないように見えました。 たとえば、プログラムには、考えられる脅威、脆弱性、および対策の非常に広範なリストがありますが、システム自体はそれらの間の相互関係を決定しません。これはユーザー自身が手動で行います。 一般的に、私は3区のプログラムを評価します。 なぜ彼らはそこに1700ユーロを求めているのですか?! 8-)。

PTA。 PTAテクノロジーによって開発されました . 私の意見では非常に興味深い製品です。 これはどの標準にも結び付けられておらず、定量的リスク評価(!)のメカニズムを実装しています。 ちなみに、このソフトウェアの欠点として指摘したいのですが、tk。 重要なのは、すべてがドルの正確さで見積もることができるわけではなく、定性的評価の可能性が提供されていないということです。 このシステムは、提案された対策の有効性を評価するための興味深いメカニズムも提供します。これに基づいて、たとえば、特定の対策を追加または削除したときにリスクマップがどのように変化するかを特定できます。

開発者のWebサイトには、製品は有料であり、ダウンロードできるのは30日間の試用版のみであると記載されています。 製品自体のコストと購入方法-情報はありません(明らかにアプローチは個別です:))。

RSAアーチャー..。 Archerによって開発され、最近巨大なRSAによって所有されました。 一般的に言って、Archerは非常に巨大なGRCハーベスターであり、多くの異なるモジュールが含まれており、そのうちの1つがリスク管理を提供します。 ダウンロード用の試用版はありません。サイトにはプレゼンテーションビデオがあります。 この製品のコストも示されていませんが、RSAのすべてと同様に高価になると思います:)

Modulo Risk Manager..。 Moduloによって開発されました。 このサイトでは、機能の説明がかなり不十分です。 試用版も詳細なビデオクリップもありません。 それにもかかわらず、この製品はSC Magazine賞を受賞しました。これは、それでも価値があることを意味します。 残念ながら、私はまだそれを知ることができませんでした。


RMスタジオ。同名の組織の製品(ウェブサイト)。 NS 30日間の試用版をダウンロードできます。これに加えて、サイトで製品の使用例を示すビデオを見ることができます。 私の意見では、このソフトウェアはリスク評価の点で原始的すぎて、「ショーのために」リスク評価を行う人にのみ適しています。


ハゲタカ..。 デジタルセキュリティによって開発されました。 私はこのソフトウェア製品を全体像のためだけに持ってきました。 製品自体は、長年にわたって開発者によってサポートされていません。 したがって、実際にはもう存在しないと言えます。 これまでのところ、これは私が知っているこの分野での唯一の国内開発です。

率直に言って、それほど多くはありません。 私のレビューが100%完全であると主張することはできないことを理解していますが、それでも...。

他の誰かがリスク評価を自動化する他のソフトウェアまたは他の方法を知っている場合-コメントに書いてください、私たちは議論します。

重要な更新! ISM SYSTEMSは、リスク評価を自動化するためのツールの開発を発表しました-ISM改訂:リスクマネージャー。 予備情報はこちらから入手できます-http://www.ismsys.ru/?page_id = 73。 製品は有望に見えます。 より詳細なレビューは後で行います。

ビジネスの情報セキュリティ(IS)への投資の必要性は疑いの余地がありません。 ビジネスのセキュリティを確保するタスクの関連性を確認するために、米国企業(中規模および大規模企業)の調査に基づいてリリースされたFBIレポートを使用します。 ITセキュリティの分野でのインシデントの統計は容赦がありません。 FBIによると、調査対象の企業の56%が今年攻撃を受けています(図1)。

しかし、投資された資金の最大の効率を保証する情報セキュリティへの投資のレベルをどのように評価するのでしょうか? この問題を解決するには、唯一の方法があります。システムに存在するリスクを評価し、最も効果的な保護オプションを選択できるリスク分析システムを使用することです(情報セキュリティのコストに対するシステムに存在するリスクの比率に従って) )。

投資の正当化

統計によると、企業の情報セキュリティを確保するための対策を講じる上で最も深刻な障害は、予算の制約と経営陣からのサポートの欠如という2つの理由に関連しています。

これらの理由は両方とも、問題の重大性についての経営陣の誤解と、ITマネージャーが情報セキュリティに投資する理由を正当化できないことから生じています。 主な問題は、ITマネージャーと経営幹部が異なる言語(技術的および財務的)を話すという事実にあるとよく信じられていますが、結局のところ、ITスペシャリスト自身が、何にお金を費やすか、そしてそれがいくらであるかを評価するのが難しいと感じることがよくありますこれらのコストが無駄になったり過剰になったりしないように、会社のシステムのセキュリティを向上させる必要があります。

IT管​​理者が、脅威が発生した場合に会社が失う可能性のある金額、システム内のどの場所が最も脆弱であるか、余分なお金をかけずにセキュリティのレベルを上げるためにどのような対策を講じることができるかを明確に理解している場合、これらすべてが文書化されます。その後、彼の決定タスク(経営陣に注意を払い、情報セキュリティに資金を割り当てるよう説得する)がはるかに現実的になります。

このような問題を解決するために、それらに基づいて情報リスクを分析および制御するための特別な方法とソフトウェアシステムが開発されました。 英国の企業InsightConsulting(http://www.insight.co.uk)、同名の米国のRiskWatch企業(http://www.riskwatch.com)、およびロシアのGRIFパッケージのCRAMMシステムについて検討します。 Digital Security(http:// www .dsec.ru)から。 それらの比較特性を表に示します。

リスク分析ツールの比較分析

比較基準 CRAMM RiskWatch GRIF2005デジタルセキュリティオフィス
サポート 提供された 提供された 提供された
ユーザーの操作のしやすさ 特別なトレーニングと監査人の高い資格が必要です このインターフェースは、ITマネージャーと経営幹部を対象としています。 情報セキュリティの分野で特別な知識を必要としません
1つの職場あたりのライセンス費用、USD 2000〜5000 10000から 1000から
システム要求

OS Windows 98 / Me / NT / 2000 / XP
ディスクの空き容量50MB

最小要件:
プロセッサ周波数800MHz、64MBメモリ

 Windows 2000 / XP
インストール用の空きディスク容量30MB
Intelプロセッサ Pentiumま​​たは互換性のある256MBメモリ

Windows 2000 / XP

最小要件:
空きディスク容量(ユーザーデータを含むディスク用)300 MB、256MBメモリ

機能性

入力データ:

  • 資力;
  • リソースの価値;
  • 脅威;
  • システムの脆弱性;
  • 適切な対策の選択。

レポートオプション:

  • リスク分析レポート;
  • リスク分析に関する一般的なレポート。
  • リスク分析に関する詳細なレポート。

入力データ:

  • 情報システムの種類。
  • 基本的なセキュリティ要件。
  • 資力;
  • 損失;
  • 脅威;
  • 脆弱性;
  • 保護対策;
  • リソースの価値;
  • 脅威の発生頻度;
  • 対策の選択。

レポートオプション:

  • 短い要約;
  • 保護されたリソースのコストと脅威の実装から予想される損失について報告します。
  • ROIレポート

入力データ:

  • 資力;
  • ネットワークハードウェア;
  • 情報の種類;
  • ユーザーのグループ。
  • 救済;
  • 脅威;
  • 脆弱性;
  • 対策の選択。

レポートの構成:

  • リソースインベントリ;
  • 情報の種類によるリスク。
  • 資源リスク;
  • 情報とリソースの損害とリスクの比率。
  • 選択された対策;
  • 専門家の推奨事項。
定量的/定性的方法 定性的評価 定量化 定性的および定量的評価
ネットワークソリューション 不在 不在 EnterpriseEditionデジタルセキュリティオフィス2005

CRAMM

CRAMM法(CCTAリスク分析および管理法)は、英国政府の指示に基づいて英国中央コンピュータ通信局によって開発され、州の標準として採用されています。 1985年以来、英国の政府および商業組織によって使用されています。 この間、CRAMMは世界中で人気を博しています。 Insight Consultingは、CRAMMメソッドを実装するソフトウェア製品を開発および保守しています。

CRAMMメソッド(http://www.cramm.com)は、より詳細な検討のために誤って選択されたものではありません。 現在、CRAMMは非常に強力で用途の広いツールであり、リスク分析に加えて、次のような他の多くの監査タスクを解決できます。

  • 実装のすべての段階でのIS調査と付随するドキュメントのリリース。
  • 英国政府の要件、およびBS 7799:1995情報セキュリティ管理の実施基準に従った監査。
  • セキュリティポリシーと事業継続計画の策定。

CRAMM法は、リスク評価への統合されたアプローチに基づいており、定量的および定性的な分析方法を組み合わせています。 この方法は普遍的であり、政府部門と商業部門の両方の大小の組織の両方に適しています。 さまざまなタイプの組織を対象とするCRAMMソフトウェアのバージョンは、知識ベース(プロファイル)が互いに異なります。商業組織用の商用プロファイルと政府組織用の政府プロファイルがあります。 政府版のプロファイルでは、米国の標準ITSEC(「オレンジブック」)の要件に準拠しているかどうかを監査することもできます。 CRAMM調査の概念図を図に示します。 2.2。

CRAMM法を正しく使用することで、非常に良い結果を得ることができます。その中で最も重要なのは、情報セキュリティとビジネスの継続性を確保するための組織のコストを経済的に正当化できる可能性です。 経済的に健全なリスク管理戦略は、不必要なコストを回避しながら、最終的にはお金を節約します。

CRAMMでは、手順全体を3つの連続した段階に分割します。 最初の段階のタスクは、「従来の安全機能を実装する基本レベルのツールを使用してシステムを保護するだけで十分ですか、それともより詳細な分析を行う必要がありますか?」という質問に答えることです。 第2段階では、リスクが特定され、その規模が評価されます。 第3段階では、適切な対策を選択する問題が決定されます。

各段階のCRAMM方法論は、一連の初期データ、一連のアクティビティ、インタビュー用のアンケート、チェックリスト、および一連のレポートドキュメントを定義します。

調査の最初の段階では、保護されたリソースの価値の特定と決定が実行されます。 評価は10段階で実行され、財務上の損失、評判の低下など、いくつかの評価基準があります。CRAMMの説明は、「リソースの復元」:

  • 2ポイント-$ 1000未満;
  • 6ポイント-1,000ドルから10,000ドル。
  • 8ポイント-$ 10,000から$ 100,000;
  • 10ポイント-10万ドル以上

使用したすべての基準(3ポイント以下)のスコアが低いため、検討中のシステムには基本レベルの保護で十分であると見なされ(このレベルでは、情報セキュリティの脅威を詳細に評価する必要はありません)、2番目の研究の段階はスキップされます。

第2段階では、情報セキュリティの分野における脅威が特定および評価され、保護されたシステムの脆弱性の検索と評価が実行されます。 脅威レベルは、次のスケールで評価されます:非常に高い、高い、中程度、低い、非常に低い。 脆弱性は、高、中、または低として評価されます。 この情報に基づいて、リスクレベルの評価が7段階で計算されます(図3)。

第3段階では、CRAMMは特定されたリスクへの対策のオプションを生成します。 この製品は、次のタイプの推奨事項を提供します。

  • 一般的な推奨事項;
  • 具体的な推奨事項;
  • この状況で保護を整理する方法の例。

CRAMMには、さまざまなコンピュータシステムのセキュリティサブシステムの実装の約1000の例の説明を含む広範なデータベースがあります。 これらの説明はテンプレートとして使用できます。

システムに新しいセキュリティメカニズムを導入し、古いセキュリティメカニズムを変更するかどうかの決定は、関連するコスト、それらの受容性、およびビジネスへの最終的な利益を考慮して、組織の管理者によって行われます。 監査人の任務は、組織の管理のために推奨される行動を正当化することです。

新しい対策を導入し、古い対策を変更することが決定された場合、監査人は、実施計画を作成し、これらの対策の使用の有効性を評価する任務を負う場合があります。 これらの問題の解決策は、CRAMMメソッドの範囲を超えています。

CRAMMメソッドの欠点は次のとおりです。

  • この方法では、特別なトレーニングと監査人の高い資格が必要です。
  • CRAMM方式を使用した監査はかなり面倒なプロセスであり、監査人の数か月の継続的な作業が必要になる場合があります。
  • CRAMMは、開発中のISよりも、運用されている既存のISの監査にはるかに適しています。
  • CRAMMソフトウェアツールキットは大量の紙のドキュメントを生成しますが、これは実際には必ずしも役立つとは限りません。
  • CRAMMでは、独自のレポートテンプレートを作成したり、既存のテンプレートを変更したりすることはできません。
  • CRAMMナレッジベースに追加する可能性はユーザーには利用できません。これにより、この方法を特定の組織のニーズに適合させることが困難になります。
  • CRAMMソフトウェアはローカライズされておらず、英語でのみ存在します。
  • 高いライセンスコスト-2,000ドルから5,000ドル

RiskWatch

RiskWatchソフトウェアは、強力なリスク分析および管理ツールです。 RiskWatchファミリには、さまざまなタイプのセキュリティ監査用のソフトウェア製品が含まれています。 これには、次の監査およびリスク分析ツールが含まれています。

  • 物理的セキュリティのためのRiskWatch-IP保護の物理的方法のため。
  • 情報システムのRiskWatch-情報リスクの場合。
  • HIPAA-WATCH for Healthcare Industry-HIPAA標準(米国医療保険の相互運用性と説明責任に関する法律)の要件への準拠を評価します。
  • ISO17799のRiskWatchRW17799-ISO17799への準拠を評価します。

RiskWatchメソッドは、リスクを評価および管理するための基準として、年間損失予測(ALE)と投資収益率(ROI)を使用します。

RiskWatchファミリーのソフトウェア製品には多くの利点があります。 RiskWatchは、リスク分析を実施し、対策と救済策について情報に基づいた選択を行うのに役立ちます。 CRAMMとは異なり、RiskWatchは、セキュリティの脅威による損失と保護システムの作成コストの比率を正確に定量化することに重点を置いています。 この製品では、企業のコンピュータネットワークの情報と物理的セキュリティの分野におけるリスクが一緒に考慮されていることにも注意する必要があります。

RiskWatch製品は、4つの段階に分けることができるリスク分析手法に基づいています。

最初の段階は、研究の主題を定義することです。 組織のタイプ、調査中のシステムの構成(一般的な用語)、セキュリティの分野における基本的な要件などのパラメータについて説明します。 アナリストの作業を容易にするために、組織のタイプ(「商業情報システム」、「州/軍事情報システム」など)に対応するテンプレートは、保護されたリソース、損失、脅威、脆弱性、および保護対策のカテゴリのリストを提供します。 これらのうち、実際に組織に存在するものを選択する必要があります。

たとえば、損失には次のカテゴリが用意されています。

  • サービスの遅延と拒否。
  • 情報開示;
  • 直接的な損失(たとえば、火災による機器の破壊による)。
  • 生命と健康(人員、顧客など);
  • データの変更;
  • 間接的な損失(たとえば、復旧費用)。
  • 評判。

第2段階は、システムの特定の特性を説明するデータの入力です。 これらは手動で入力することも、コンピューターネットワークの脆弱性調査ツールによって生成されたレポートからインポートすることもできます。

この段階で、リソース、損失、およびインシデントクラスの詳細が示されます。 インシデントクラスは、損失カテゴリとリソースカテゴリを照合することによって取得されます。

考えられる脆弱性を特定するために、600を超える質問がデータベースに含まれているアンケートが使用されます。 質問はリソースカテゴリに関連しています。 選択した各脅威の発生頻度、脆弱性の程度、およびリソースの価値が設定されます。 これらはすべて、将来、保護具の導入による影響を計算するために使用されます。

3番目の、おそらく最も重要な段階は、定量的評価です。 この段階で、リスクプロファイルが計算され、セキュリティ対策が選択されます。 最初に、調査の前のステップで特定されたリソース、損失、脅威、および脆弱性の間にリンクが確立されます(リスクはこれらの4つのパラメーターの組み合わせによって記述されます)。

実際、リスクはその年の損失の数学的期待値を使用して推定されます。 たとえば、サーバーのコストが150,000ドルで、1年以内にサーバーが火事で破壊される確率が0.01の場合、予想損失は1,500ドルになります。

よく知られている式m = pxv(mは数学的な期待値、pは脅威の確率、vはリソースのコスト)は、RiskWatchが米国国立標準技術研究所によって定義された推定値を使用するため、いくつかの変更が加えられました。 LAFEおよびSAFEと呼ばれる標準NIST。 LAFE(Local Annual Frequency Estimate)は、特定の場所(たとえば、都市)で特定の脅威が平均して1年に何回実現されるかを示します。 SAFE(Standard Annual Frequency Estimate)は、この「世界の一部」(たとえば、北米)で特定の脅威が平均して1年に何回実現されるかを示します。 修正係数も導入されています。これにより、脅威が認識されたときに、保護されたリソースが完全に破壊されるのではなく、部分的にのみ破壊される可能性があることを考慮に入れることができます。

さらに、「what-if ...」シナリオが考慮されます。これにより、セーフガードの実装を条件として、同様の状況を説明できます。 保護措置がある場合とない場合の予想損失を比較することにより、そのような措置の効果を評価することができます。

RiskWatchには、LAFEおよびSAFEレーティングのデータベースと、一般的な説明が含まれています 他の種類保護の手段。

一定期間の投資収益率を測定する投資収益率(ROI)は、セキュリティ介入の影響を定量化します。 この指標は、次の式を使用して計算されます。

ここで、Costsiは、i番目の保護手段を実装および維持するためのコストです。 メリットi-この保護措置の実施がもたらすメリット(予想される損失の削減)の評価。 NVP(正味現在価値)はインフレを調整します。

第4段階は、レポートの生成です。 次の種類のレポートを使用できます。

  • 短い要約;
  • ステージ1および2で説明されている要素の完全な要約レポート。
  • 保護されたリソースのコストと脅威の実装から予想される損失に関するレポート。
  • 脅威と対策について報告する。
  • ROIレポート;
  • セキュリティ監査レポート。

さまざまな保護対策のROIを計算する例を図に示します。 5.5。

したがって、RiskWatchを使用すると、企業に現在存在するリスクだけでなく、物理的、技術的、ソフトウェア、およびその他の保護手段とメカニズムの実装がもたらすメリットも評価できます。 作成されたレポートとグラフは、企業のセキュリティシステムの変更について決定を下すのに十分な資料を提供します。

国内のユーザーにとって、問題は、RiskWatchで使用される推定値(LAFEやSAFEなど)を取得するのがかなり問題になることです。 方法論自体は私たちの国でうまく適用することができますが。

要約すると、企業のリスクを分析するための特定の方法論とそれをサポートするツールを選択するときは、次の質問に答える必要があります。脅威の実装の結果を正確に定量的に評価する必要があるかどうか。定性的なレベルでの評価で十分です。 また、次の要素も考慮する必要があります。情報セキュリティの脅威による損失の量を信頼できる見積もりを提供できる専門家の存在、および企業の情報セキュリティの分野におけるインシデントの信頼できる統計の可用性。 。

RiskWatchの欠点は次のとおりです。

  • この方法は、組織的および管理的要因を考慮せずに、ソフトウェアおよびハードウェアレベルの保護でリスク分析を実行する必要がある場合に適しています。
  • 得られたリスク評価(損失の数学的な期待値)は、体系的な観点からのリスクの理解を尽くしません-この方法は、情報セキュリティへの統合されたアプローチを考慮していません。
  • RiskWatchソフトウェアは英語でのみ利用可能です。
  • 高いライセンスコスト-小さな会社の場合、1シートあたり10,000ドルから。

GRIFは、企業の情報システムのリスクを分析および管理するための包括的なシステムです。 Digital Security Office(http://www.dsec.ru/products/grif/)のGRIF 2005は、システム内の情報リソースのセキュリティの全体像を示し、企業情報を保護するための最適な戦略を選択できるようにします。

GRIFシステムは、リソースの保護レベルを分析し、IS脅威の実装によって発生する可能性のある損害を評価し、対策を選択することでリスクの管理を支援します。

ISリスクの分析は、2つの方法で実行されます。ユーザーが持っている初期データと、出力で関心のあるデータに応じて、情報フローのモデルまたは脅威と脆弱性のモデルを使用します。

情報フローモデル

情報フローのモデルを操作する場合、システムは 完全な情報貴重な情報を持つすべてのリソース、これらのリソースにアクセスできるユーザー、タイプ、およびアクセス権について。 各リソースの保護のすべての手段、リソースのネットワーク相互接続、会社のセキュリティポリシーの特性に関するデータが記録されます。 その結果、情報システムの完全なモデルが作成されます。

プログラムでの作業の最初の段階で、ユーザーは情報システムのすべてのオブジェクトを入力します:部門、リソース(このモデルの特定のオブジェクトにはネットワークグループが含まれます、 ネットワークデバイス、情報の種類、ユーザーグループ、ビジネスプロセス)。

次に、ユーザーはリンクを割り当てる必要があります。つまり、リソースが属する部門とネットワークグループ、リソースに保存されている情報、およびリソースにアクセスできるユーザーグループを決定する必要があります。 ユーザーは、リソースと情報を保護する手段も示します。

最終段階で、ユーザーはシステムに実装されているセキュリティポリシーに関する質問のリストに回答します。これにより、システムセキュリティの実際のレベルを評価し、リスク評価を詳細に行うことができます。

資金の利用可能性 情報保護最初の段階で述べたように、システムの不適切な使用や、セキュリティ、物理的セキュリティ、人的セキュリティ、ビジネスなどの情報保護のすべての側面を考慮した包括的なセキュリティポリシーがない場合、システム自体はまだ安全ではありません。連続性など

これらの段階ですべてのアクションを実行した結果、情報セキュリティの観点から、情報システムの完全なモデルが出力で形成されます。これにより、包括的なセキュリティポリシーの要件が実際に満たされ、次のことが可能になります。に行く プログラム分析包括的なリスク評価と最終報告書の作成を取得するためにデータを入力しました。

脅威と脆弱性モデル

脅威と脆弱性の分析モデルを使用するには、貴重な情報を使用して各リソースの脆弱性を特定し、これらの脆弱性を通じて実装できる対応する脅威を特定する必要があります。 その結果、情報システムの弱点と起こりうる被害の全体像がわかります。

製品の操作の最初の段階で、ユーザーは自分のISのオブジェクトである部門、リソースをシステムに入力します(このモデルの特定のオブジェクトには、情報システムへの脅威と、脅威が実装される脆弱性が含まれます)。

GRIF 2005には、約100の脅威と200の脆弱性を含む、広範な組み込みの脅威と脆弱性のカタログが含まれています。 これらのカタログの完全性と多様性を最大限に高めるために、デジタルセキュリティの専門家は脅威の特別な分類であるDSECCTを開発しました。この分類では、情報セキュリティの分野で長年の実務経験があります。 これらのディレクトリを使用して、ユーザーは自分の情報システムに関連する脅威と脆弱性を選択できます。

GRIF 2005システムのアルゴリズムは、構築されたモデルを分析し、各リソースのリスク値を含むレポートを生成します。 レポートの構成はほぼすべてであり、管理用の要約レポートとの詳細レポートの両方を作成できます。 今後の作業結果とともに(図6)。
米。 6. GRIF2005システムのレポートの例。

GRIF 2005システムには、入力されたデータをアルゴリズムで処理した後、このリスク値が正確に取得されるすべての理由を分析できるリスク管理モジュールが含まれています。 このように、理由がわかれば、対策を実施するために必要なデータを取得し、リスクを低減することができます。 考えられる各対策の有効性を計算し、残存リスクの値を決定した後、リスクを必要なレベルまで低減する対策を選択できます。

GRIFシステムを使用した結果、企業の情報システムの各貴重なリソースのリスクのレベルに基づいて詳細なレポートが作成され、脆弱性の詳細な分析と経済性の評価によってリスクのすべての理由が示されます。考えられるすべての対策の効率。

***

情報セキュリティの分野における世界のベストプラクティスと主要な国際標準、特にISO 17799は、情報システムの効果的なセキュリティ管理のためのリスク分析および管理システムの実装を必要としています。 この場合、便利なツールを使用できますが、重要なことは、情報セキュリティシステムが情報リスクの分析に基づいて作成され、検証および正当化されていることを常に明確に理解することです。 情報リスクの分析と管理は、情報システムの効果的な保護を構築するための重要な要素です。



あなたの質問に対する答えが見つかりませんでしたか? ここを見てください
ライン入力を有効にするにはどうすればよいですか?ライン入力を有効にするにはどうすればよいですか?
USBフラッシュドライブから削除されたファイルを回復するUSBフラッシュドライブから削除されたファイルを回復する
Windows 864ビットのインストールWindows 864ビットのインストール