Komputery Okna Internet
Zwiększać
Dom

Metody i oprogramowanie do oceny ryzyka Riscis Watch. Program oceny ryzyka Oprogramowanie do zarządzania ryzykiem

Opisaliśmy i przestudiowaliśmy systematyczne podejście do procesu zarządzania ryzykiem. Złożoność rozpatrywania tego zagadnienia wynika z faktu, że uznaliśmy, iż nie ma sensu uwzględniać poszczególnych działań z tej dziedziny w celu stworzenia wysokiej jakości systemu analizy i zarządzania ryzykiem. Dopiero przy pełnym zastosowaniu wszystkich etapów zarządzania ryzykiem można mówić o systemie, który zapewni osiągnięcie założonych celów.

Złożony program, o którym zamierzamy dzisiaj zacząć dyskutować, opiera się na artefaktach (procesach i obiektach), które opisaliśmy wcześniej.

W jego centrum znajdują się:

  • Procedury planowania dla złożonych działań zarządzania ryzykiem;
  • Metody i narzędzia zarządzania ryzykiem, które są ze sobą powiązane w taki sposób, że wzajemnie się uzupełniają i „wzbogacają” w trakcie realizacji rozważanego programu.

Tym samym dzisiaj będziemy mieli dodatkowe „zanurzenie” w czynności analizy i zarządzania ryzykiem, więc wstrzymajmy oddech…

Wstęp

Do tej pory opisaliśmy już czynności związane z identyfikacją, oceną, analizą rodzajów ryzyk (jakościową i ilościową), organizacją oraz, w sposób wstępny, zarządzaniem ryzykiem. Trafność i konieczność zorganizowania procesów analizy i zarządzania ryzykiem w jeden kompleksowy program, który będzie w stanie objąć i zharmonizować poszczególne jego części w jeden kompleks administracyjno-programowy, stwierdziliśmy i potwierdziliśmy w przedstawionym wcześniej materiale.

Dzisiaj rozważymy rozdział dyscypliny zarządzania ryzykiem – „Kompleksowy program zarządzania ryzykiem”, który rozwiązuje problem zwiększenia efektywności już zorganizowanych procedur, wprowadzenia nowych, innowacyjnych i jednocześnie skuteczne metody i technika, redukując oczywiste i potencjalne straty oraz maksymalizując efekt głównych działań firmy.

Warto w tym miejscu zauważyć, że kompleksowy program zarządzania ryzykiem jest jedną z opcji procesu zarządzania ryzykiem. Wdrożenie tego kompleksowego programu można uznać za alternatywę dla wdrożenia zarządzania ryzykiem. Każdy z wcześniej rozważanych etapów procesu analizy i zarządzania ryzykiem reprezentuje pełne etapy procesów wdrażania zarządzania ryzykiem i może być wykorzystany przy planowaniu tej działalności w konkretnej organizacji, z zastrzeżeniem dostosowania do określonych warunków firmy.

Według wielu ekspertów celem programów zarządzania ryzykiem powinno być osiągnięcie następujących rezultatów:

  • Optymalne wykorzystanie dostępny kapitał;
  • Uzyskanie maksymalnego dochodu;
  • Zwiększenie trwałości rozwoju firmy;
  • Zmniejszenie prawdopodobieństwa utraty części lub całości wartości produktu lub usługi pochodzącej z procesów domenowych Technologie informacyjne, konkretna organizacja.

Tak więc kompleksowy program zarządzania ryzykiem należy traktować nie tylko jako proces informatyczny, ale raczej, w dominującym znaczeniu tej działalności, jako element biznesowy przedmiotu zarządzania ryzykiem, na którego prawidłowej organizacji końcowy efekt i zależeć będzie dalsza pozycja organizacji na rynku.

Program zarządzania ryzykiem

Nowoczesny, skuteczny kompleksowy program zarządzania ryzykiem musi uwzględniać i rozwiązywać problemy związane z aktualnymi potrzebami firmy w zakresie zarządzania ryzykiem, która zdecydowała się na wdrożenie procesów analizy i zarządzania ryzykiem.

Organizacje zarządzające ryzykiem zazwyczaj mają następujące cele w tej dziedzinie:

  • Pomyślne działanie w warunkach narażenia na ryzyko;
  • Ochrona przed negatywnymi czynnikami ryzyka, które zakłócają realizację strategii i taktyki firmy;
  • Rozsądne podejmowanie decyzji zarządczych, biorąc pod uwagę dostępne informacje o oczywistych i potencjalnych zagrożeniach;
  • Zachowanie i rozwój dostępnych narzędzi i technologii informacyjnych;
  • Zmniejszenie wrażliwości firmy na ryzyko i zwiększenie stabilności obszaru technologii informacyjnej w ryzykownym środowisku.

Kompleksowy program zarządzania ryzykiem powinien ustanowić jednolitą strukturę pracy z ryzykami, która może różnić się opcjami realizacji poszczególnych etapów, ale jednocześnie kolejnością (podaną w toku, w postaci sekwencji prezentacji materiały) a wyniki (dokumenty) każdego z etapów muszą dokładnie odpowiadać tym, które podaliśmy w naszym kursie:

  • Gromadzenie informacji i wymogów dotyczących ryzyka:
    • Listy oczywistych i potencjalnych przyczyn, które mogą prowadzić do ryzyka;
  • Identyfikacja ryzyka:
    • Rejestr ryzyka;
  • Wstępna ocena ryzyka:
    • Rejestr ryzyk według priorytetów;
    • Strategia zarządzania ryzykiem;
  • Jakościowa analiza ryzyka:
    • Dokument zawierający wysokiej jakości informacje o zagrożeniach i sposobach ich radzenia sobie (taktyka);
    • Informacje o ryzyku, które można wykorzystać w czynnościach związanych z analizą ilościową;
    • Wiedza/baza danych o wcześniej zidentyfikowanych zagrożeniach wraz z ich opisem;
  • Ilościowa analiza ryzyka:
    • Dokument zawierający informacje ilościowe o zagrożeniach i sposobach ich radzenia sobie (taktyka);
    • Informacje statystyczne, które można wykorzystać do dalszego rozliczania ryzyka i planowania sposobów ich rozwiązania;
  • System analizy ryzyka:
    • Opracowane procedury i regulacje, które powinny agregować i wykorzystywać wcześniej otrzymane dokumenty w celu osiągnięcia wskaźników efektywności zarządzania ryzykiem;
  • Kompleksowy program zarządzania ryzykiem:
    • Dokument zawierający informacje o kompleksowym programie zarządzania ryzykiem;
    • Plan procedur zarządzania ryzykiem;
  • Dalsze działania:
    • Plan monitorowania ryzyka;
    • Plan doskonalenia analizy i zarządzania ryzykiem;

Jednocześnie każdy z opisanych dokumentów musi być terminowo aktualizowany i śledzony w przyszłości podczas wykonywania czynności zarządzania ryzykiem w konkretnej firmie. W celu zbudowania skutecznego kompleksowego programu zarządzania ryzykiem i prawidłowego wdrożenia komponentów ten cel zadań, możliwe będzie kontrolowanie ryzyka na wszystkich poziomach organizacyjnych dowolnej organizacji.

Osoby zarządzające ryzykiem powinny umieć ocenić otaczającą sytuację i przyczynić się do opracowania i wdrożenia niezbędnych dokumentów, procedur, regulacji opisanych powyżej, które powinny być oparte na następujących zasadach z zakresu analizy i procesów zarządzania ryzykiem, które zostały nakreślone przez nas wcześniej:

  • Zintegrowane, procesowe podejście do analizy ryzyka i procesów zarządzania;
  • Rozważenie najistotniejszych zagrożeń:
    • Stworzenie rejestru ryzyk. Aktualizacja rejestru w trakcie czynności procesów analizy i zarządzania ryzykiem;
  • Identyfikacja ryzyka;
  • Ustalenie „właściciela” ryzyka;
  • Wykorzystanie struktury ról w procesie zarządzania ryzykiem;
  • Stosowanie określonych metod/grup metod do zarządzania pewnym ryzykiem;
  • Definicja dopuszczalne poziomy ryzyko:
    • Kontrola stanu zagrożeń;

Nieco wcześniej, kiedy rozmawialiśmy o zapewnieniu działań z zakresu zarządzania ryzykiem, poruszyliśmy temat wsparcia dokumentacyjnego dla tego obszaru pracy, ale nie ujawniliśmy go bardziej szczegółowo. W części poświęconej opracowaniu procedur zarządzania ryzykiem zwrócimy szczególną uwagę na ten punkt.

W tym miejscu chciałbym powiedzieć, że dokumentacja i jej realizacja to bardzo ważny „kamień milowy” w opracowaniu kompleksowego programu, pomijanie którego może prowadzić do tego, że opracowany program będzie „wydarzeniem jednoetapowym”. Taka implementacja „ryzyka” pozostaje w określonych „głowach”. Kompleksowy program zostanie „dopełniony” wraz z odejściem grupy kluczowych specjalistów, co poddaje w wątpliwość systematyczne podejście do tworzonej dziedziny i świadczy o jej nieskuteczności przy takim wdrożeniu.

Trzeba powiedzieć, że kompleksowy program zarządzania ryzykiem powinien składać się z procesów, procedur, czynności itp. Wyniki poszczególnych etapów wchodzących w skład tego „nad” działania powinny być ze sobą zharmonizowane w taki sposób, aby powiązania między poszczególnymi działaniami były wyraźnie prześledzone. Ostateczny wynik domeny ryzyka i działań organizacji jako całości zależy od tego, jak skutecznie, przemyślanie, w połączeniu z ogólnymi celami zarządzania ryzykiem, zostanie zorganizowana integracja poszczególnych części we wspólną całość.

Opracowanie procedur zarządzania ryzykiem. Zasady biznesowe

Procedury składające się na proces zarządzania ryzykiem to rozwiązania „wzorcowe”, których celem jest oferowanie opcji wyboru w określonej sytuacji, opcji konkretnych rozwiązań, które są odpowiednie do zastosowania w sytuacji ryzyka z pewnymi (znanymi i nieznanymi) parametry.

Wybór na korzyść konkretnego przypadku użycia będzie zależał od tego, w jaki sposób konkretna opracowana procedura zarządzania określonym ryzykiem/grupą ryzyka jest dostosowana do potrzeb konkretnego środowiska (parametry zewnętrzne i wewnętrzne sytuacji), odpowiada konkretnym procesom, w których przejaw ryzyka jest możliwy i będzie skuteczny w tym przypadku.

Przy opracowywaniu procedur warto kierować się zasadami, które są określone u podstaw działalności firmy. Zasady te są powszechnie nazywane regułami biznesowymi. Większość z nich powstaje w procesie „realizacji” tych postulatów, które są „dźwigniami” napędowymi biznesu. Nie zawsze są oczywiste (z reguły, bo znajdują się w „głowach” ograniczonej liczby interesariuszy), ale zaczynają istnieć wraz z rozpoczęciem działalności gospodarczej. Dana stabilność rozwoju tej czy innej branży, w której są stosowane, zależy od stopnia ich zaobserwowania.

To właśnie reguły biznesowe i dynamika ich zmiany wyznaczają kierunek rozwoju systemów informatycznych i to one wpływają na stabilność firmy, w tym przypadku jej komponentu ryzyka.

W związku z powyższym z powyższego warto wnioskować, że reguły biznesowe są jednym z elementów określających wielkość „ryzyka” dostępnego dla zarządzania i badania.

Jednak we współczesnym środowisku biznesowym reguły biznesowe są bardzo często ignorowane i „zastępowane” konkretnymi scenariuszami rozwoju, które „leżą u podstaw” opracowywania procedur zarządzania ryzykiem. W tym miejscu warto doprecyzować fakt, że przypadki użycia są konkretnymi opcjami implementacji ryzyka, a „reguły biznesowe” są uniwersalnymi/„pseudo-uniwersalnymi” zasadami określającymi przypadki użycia, dlatego bardzo ważne jest, aby wziąć pod uwagę, że reguły biznesowe powinny być wykorzystywane przy opracowywaniu procedur zarządzania ryzykiem... W tym przypadku możemy mówić o dość niezawodnej ochronie biznesu przed ryzykiem.

Skład opracowanych procedur zarządzania ryzykiem determinowany jest przez wiele czynników, ale opiera się na 2 głównych elementach, które określają procedury zarządzania i analizy zarządzania ryzykiem:

  • Obecny „ryzykowny” stan organizacji;
  • Potrzeba/y interesariuszy.

To potrzeby interesariuszy określają, w jaki sposób, z jakim wsparciem „dokumentalnym” i innymi rodzajami wsparcia należy opracować daną procedurę. W niektórych przypadkach opracowywanie procedur może obejmować następujące czynności:

  • Opracowanie propozycji dotyczących ryzykownej domeny dla strategii/polityki przedsiębiorstwa;
  • Dokumentowanie głównych procedur zarządzania ryzykiem;
  • Opracowanie metodologii oceny niektórych rodzajów ryzyka i ryzyka całkowitego;
  • Itp.

Optymalnie zaprojektowane i zastosowane procedury zarządzania ryzykiem ograniczą (lub całkowicie wyeliminują) ewentualne szkody, przyczynią się do stabilizacji i rozwoju firmy.

Po raz kolejny podajemy zestaw dokumentów regulacyjnych i metodologicznych, które powinny zapewnić procedurom zarządzania ryzykiem niezbędną podstawę instrumentalną i prawną:

  • Polityka zarządzania ryzykiem
  • Regulamin Zarządzania Ryzykiem
  • Procedura zarządzania ryzykiem
  • Instrukcje metodyczne w sprawie opisu i oceny ryzyka
  • Wytyczne metodyczne do oceny wpływu ryzyk na pracę harmonogramu
  • Wytyczne metodologiczne dotyczące tworzenia wskaźników ryzyka
  • Podręcznik procedury zarządzania ryzykiem
  • Typowy podręcznik ryzyka

W rezultacie należy stwierdzić, że nie istnieją procedury zarządzania ryzykiem, które można by opracować w taki sposób, aby twierdzić, że są one uniwersalne i wszechstronne. Każda procedura powinna uwzględniać specyfikę konkretnej sytuacji i pewne ryzyka, którymi planuje się zarządzać za pomocą procedur zarządzania ryzykiem.

Metody zarządzania ryzykiem

W poprzednim artykule krótko przeanalizowaliśmy różnorodność metod zarządzania ryzykiem, dzieląc je na następujące cztery kategorie:

  • Metody unikania ryzyka;
  • Metody lokalizacji ryzyka;
  • Metody dywersyfikacji ryzyka;
  • Metody kompensacji ryzyka.

Każda z opisanych metod oferuje specyficzne, specjalistyczne i skuteczne rozwiązania dla sytuacji „ryzykownych” sklasyfikowanych w określony sposób (patrz artykuły dotyczące ilościowej i jakościowej metody analizy ryzyka) z ogólnego zbioru według czynników, które mogą spowodować szkody w przyszłości.

„Sztuka” przetwarzania wstępnych informacji, z których można wyodrębnić niezbędne „ziarna” użytecznych danych, patrz artykuł o systematycznym podejściu do procesu zarządzania ryzykiem, ale o potrzebie optymalnego uwzględnienia czynników krytycznych dla klasyfikacji czynników ryzyka jest warunkiem pomyślnego zastosowania tej lub innej metody zarządzania ryzykiem, a tym samym skuteczności systemu zarządzania ryzykiem jako całości.

Jak uzasadniono wcześniej, biorąc pod uwagę zmienność komponentu „ryzyko” i możliwą migrację ryzyka/grupy ryzyka, której kierunek będzie raczej trudny do przewidzenia, zależy od dużej liczby zmiennych:

  • „Wewnętrzne” w stosunku do środowiska ryzykowne;
  • „Zewnętrzny” w stosunku do ryzykownego otoczenia;
  • Inne zagrożenia, różne stopnie interakcji z oryginałem;
  • Skutki manifestacji, „połączenia”, „odcięcia” itp. ryzyko;

Dlatego też znaczenie gromadzenia statystyk systemowych na temat konkretnego ryzyka jest również niezbędnym elementem udanego wyboru zdecydowanej metody radzenia sobie z ryzykiem, która zapewni systematyczne obniżanie poziomu ryzyka. Jednocześnie statystyki powinny odzwierciedlać kompleksowy i adekwatny „obraz” rozwoju ryzyka.

W przypadku, gdy przedsiębiorstwo, w którym prowadzone jest zarządzanie ryzykiem jest wystarczająco duże i warunkowo stabilne w swoim rozwoju, istnieje możliwość odrzucenia niezbędnych szybkich reakcji na zmiany. Z reguły wynika to z „fałszywie inercyjnej” idei wystarczającej ochrony przed „dynamicznie pojawiającymi się” zagrożeniami, co może dalej prowadzić do groźnych konsekwencji z „bliskich” i „odległych” przejawów powstałych szkód.

Należy zauważyć, że w większości przypadków

(co w większości przypadków jest trudniejsze do przewidzenia, ale zazwyczaj bardziej niebezpieczne ze względu na dodatkowe niezdefiniowane parametry)

W takiej sytuacji małe firmy, nie zepsute przez akceptowalny poziom stabilności, dążą do dokładniejszego i bardziej elastycznego reagowania na nieakceptowalne dla nich ryzyka i w razie potrzeby zmieniają priorytety swoich działań, co jest praktycznie niemożliwe dla średnich i duże organizacje.

Realne sytuacje, które charakteryzują się różnorodnymi czynnikami ryzyka, powinny uwzględniać czynniki dla nich krytyczne i w zależności od tego dobierać optymalną metodę zarządzania ryzykiem.

Dodatkowym warunkiem nakładającym ograniczenie na wybór metody zarządzania ryzykiem jest osoba zarządzającego, którego decyzja zależy od tego, która metoda zostanie ostatecznie wybrana.

Ważne jest, aby ten decydent mógł spojrzeć na obraz pracy w wystarczająco kompleksowy sposób i podjąć optymalną decyzję w określonych warunkach.

wnioski

Tak więc w kolejnym artykule, który będzie drugą częścią rozważanego tematu, zaczniemy od szczegółowych, z konkretnymi praktycznymi przykładami, rozważymy klasyfikację metod zarządzania ryzykiem, poddamy „dekompozycji” procesów utrzymania i doskonalenie domeny zarządzania ryzykiem, postaramy się szczegółowo uwypuklić niezbędny ten zestaw narzędzi.

W tej „intrygującej” nucie żegnamy się z Wami dzisiaj.

Wszystkiego najlepszego i do zobaczenia wkrótce, drodzy koledzy!

Kontynuując temat oceny i zarządzania ryzykiem bezpieczeństwo informacji w tym poście chciałbym opowiedzieć o oprogramowaniu, które można wykorzystać do oceny ryzyka. Dlaczego w ogóle tego potrzebujesz oprogramowanie? Faktem jest, że gdy tylko zagłębisz się w ten proces, natychmiast stanie się jasne, że przeprowadzenie oceny wiąże się z dość złożoną kombinatoryką. Połączenie różnych aktywów, słabych punktów, zagrożeń, środków ochronnych daje początek setkom, tysiącom możliwych kombinacji opisujących ryzyko, a tutaj nie można obejść się bez improwizowanych środków. Co teraz można znaleźć w Internecie:


vsRyzyko... Oprogramowanie brytyjskiej firmy Vigilant Software. Produkt jest sprzedawany głównie jako oprogramowanie do oceny ryzyka zgodnie z wymaganiami ISO 27001 i BS7799-3 (obecnie ISO27005). Na stronie możesz pobrać wersję próbną na 15 dni (rozmiar - 390 MB). System wydawał mi się dość prymitywny i wcale nieprzyjazny dla nieprzygotowanego użytkownika. Program na przykład posiada dość obszerne listy możliwych zagrożeń, luk i środków zaradczych, ale sam system nie definiuje żadnych wzajemnych powiązań między nimi, robi to ręcznie sam użytkownik. Ogólnie program oceniłbym na 3-ku. Dlaczego proszą tam o 1700 euro?! osiem-).

PTA. Opracowany przez PTA Technologies . Moim zdaniem niezwykle ciekawy produkt. Nie jest powiązany z żadnym standardem i wdraża mechanizm ilościowej oceny ryzyka (!). Swoją drogą wskazałbym to raczej jako wadę tego oprogramowania, tk. chodzi o to, że nie wszystko da się ocenić z dokładnością do dolara, a możliwości oceny jakościowej nie ma. System udostępnia również ciekawy mechanizm oceny skuteczności proponowanych środków zaradczych, na podstawie którego można np. zidentyfikować, jak zmienia się mapa ryzyka, gdy dodamy lub usuniemy określone środki zaradcze.

Na stronie dewelopera podano, że produkt jest płatny i można pobrać tylko 30-dniowy okres próbny. Ile kosztuje sam produkt i jak można go kupić - brak informacji (podobno podejście jest indywidualne :)).

RSA Archer... Opracowany przez firmę Archer, niedawno należącą do giganta RSA. Ogólnie rzecz biorąc, Archer jest tak ogromnym kombajnem GRC, który zawiera wiele różnych modułów, z których jeden zapewnia zarządzanie ryzykiem. Nie ma wersji próbnej do pobrania, na stronie znajdują się filmy prezentacyjne. Cena tego produktu też nie oznaczone, ale myślę, że będzie drogo, tak samo jak wszystko dla RSA :)

Menedżer ds. Ryzyka Modulo... Opracowany przez Modulo. Na stronie dostępny jest tylko dość ubogi opis funkcjonalności. Bez wersji próbnej, bez szczegółowych klipów wideo. Mimo to produkt otrzymał nagrodę SC Magazine, co oznacza, że ​​nadal jest coś wart. Niestety nie udało mi się jeszcze z nim zapoznać.


RM Studio. Produkt organizacji o tej samej nazwie (strona internetowa). D 30-dniowa wersja próbna jest dostępna do pobrania, a ponadto możesz oglądać filmy przedstawiające przypadki użycia produktu w witrynie. Moim zdaniem to oprogramowanie jest zbyt prymitywne pod względem oceny ryzyka i nadaje się tylko dla tych, którzy dokonują oceny ryzyka „na pokaz”.


Sęp... Opracowany przez bezpieczeństwo cyfrowe. Przyniosłem to oprogramowanie raczej tylko dla ogólnego obrazu. Sam produkt od wielu lat nie jest wspierany przez dewelopera. Dlatego możemy powiedzieć, że właściwie już nie istnieje. Jak dotąd jest to jedyna znana mi krajowa inwestycja w tym obszarze.

Szczerze mówiąc niewiele. Rozumiem, że moja recenzja nie może twierdzić, że jest w 100% kompletna, ale nadal ....

Jeśli ktoś zna inne oprogramowanie lub inne sposoby automatyzacji oceny ryzyka - napisz w komentarzach, porozmawiamy.

Ważna aktualizacja! ISM SYSTEMS ogłosiło opracowanie narzędzia do automatyzacji oceny ryzyka - ISM Revision: Risk Manager. Wstępne informacje są dostępne tutaj - http://www.ismsys.ru/?page_id=73. Produkt wygląda obiecująco. Więcej szczegółowa recenzja Zrobię to później.

Wysyłanie dobrej pracy do bazy wiedzy jest proste. Skorzystaj z poniższego formularza

Studenci, doktoranci, młodzi naukowcy, którzy wykorzystują bazę wiedzy w swoich studiach i pracy będą Ci bardzo wdzięczni.

Wysłany dnia http://www.allbest.ru/

Państwowa budżetowa profesjonalna instytucja edukacyjna regionu Rostowa „Rostov-on-Don College of Communications and Informatics”

GBPOU RO "RKSI"

Raport na ten temat:

„Metody i oprogramowanie do oceny ryzyka Riscis Watch”

Ukończone przez ucznia: Zheleznichenko Artem

Grupa nr IB-22

Nauczyciel:

Dmitrij Timczenko

Rostów nad Donem

Wstęp

Dziś nie ma wątpliwości co do konieczności inwestowania w bezpieczeństwo informacji współczesnego dużego biznesu. Głównym pytaniem współczesnego biznesu jest to, jak ocenić wystarczający poziom inwestycji w bezpieczeństwo informacji, aby zapewnić maksymalną efektywność inwestycji w tym obszarze. Aby rozwiązać ten problem, jest tylko jeden sposób - zastosowanie systemów analizy ryzyka, które pozwalają na ocenę zagrożeń występujących w systemie i wybór optymalnej opcji ochrony pod względem skuteczności (zgodnie ze stosunkiem zagrożeń istniejących w systemie do koszty bezpieczeństwa informacji).

Według statystyk największą przeszkodą w podejmowaniu jakichkolwiek działań mających na celu zapewnienie bezpieczeństwa informacji w firmie są dwa powody: ograniczenia budżetowe oraz brak wsparcia ze strony kierownictwa.

Obie przyczyny wynikają z niezrozumienia przez kierownictwo powagi problemu i trudności kierownika IT z uzasadnieniem, dlaczego konieczne jest inwestowanie w bezpieczeństwo informacji. Często wiele osób myśli, że głównym problemem jest to, że menedżerowie i dyrektorzy IT mówią w swoim języku inne języki- technicznych i finansowych, ale przecież sami informatycy często mają trudności z oszacowaniem, na co wydać pieniądze i ile trzeba, aby zapewnić większe bezpieczeństwo systemu firmy, aby te koszty nie okazały się daremne lub nadmierny.

Jeśli kierownik IT wyraźnie rozumie, ile pieniędzy firma może stracić w przypadku zagrożeń, jakie miejsca w systemie są najbardziej narażone, jakie środki można podjąć, aby zwiększyć poziom bezpieczeństwa i jednocześnie nie wydawać dodatkowych pieniędzy, oraz wszystko to jest udokumentowane, wówczas rozwiązanie problemu przekonanie kierownictwa do zwrócenia uwagi i przeznaczenia środków na bezpieczeństwo informacji staje się dużo bardziej realne.

Aby rozwiązać ten problem, opracowano systemy oprogramowania do analizy i kontroli ryzyka informacyjnego. Jednym z takich systemów oprogramowania jest amerykańska firma RiskWatch (firma RiskWatch).

1. Charakterystyka RiskWatch

Metoda RiskWath, opracowana przy udziale Narodowego Instytutu Standardów i Technologii Stanów Zjednoczonych (US NIST), Departamentu Obrony Stanów Zjednoczonych (US DoD), Kanadyjskiego Departamentu Obrony Narodowej Kanady w 1998 roku, jest w rzeczywistości standardem dla organizacji rządowych USA nie tylko w USA, ale i na całym świecie.

Oprogramowanie RiskWatch, opracowane przez amerykańską firmę RiskWatch, jest potężnym narzędziem do analizy i zarządzania ryzykiem.

RiskWatch oferuje w zasadzie dwa produkty: jeden z zakresu bezpieczeństwa informacji _ Bezpieczeństwo IT, drugi z zakresu bezpieczeństwa fizycznego _ Bezpieczeństwo fizyczne. Oprogramowanie przeznaczone jest do identyfikacji i oceny chronionych zasobów, zagrożeń, podatności oraz środków ochrony w zakresie bezpieczeństwa komputerowego i „fizycznego” przedsiębiorstwa. Ponadto dla różnych typów organizacji proponuje się: różne wersje oprogramowanie.

Linia produktów przeznaczonych do zarządzania ryzykiem w różnych systemach uwzględnia wymagania takich norm (dokumentów): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 itp.

Rodzina RiskWatch obejmuje oprogramowanie do różnego rodzaju audytów bezpieczeństwa. Obejmuje następujące narzędzia audytu i analizy ryzyka:

1. RiskWatch for Physical Security - dla fizycznych metod ochrony IP;

2. RiskWatch for Information Systems - dla ryzyk informacyjnych;

3. HIPAA-WATCH for Healthcare Industry – do oceny zgodności z wymaganiami normy HIPAA;

4. RiskWatch RW17799 dla ISO17799 - do oceny wymagań normy ISO17799.

2. Zalety i wady RiskWatch

Istotną zaletą RiskWatch z punktu widzenia konsumenta jest jego porównawcza prostota, niska pracochłonność rusyfikacji oraz duża elastyczność metody, zapewniona przez możliwość wprowadzania nowych kategorii, opisów, pytań itp. Na podstawie tej metody krajowi deweloperzy mogą tworzyć własne profile, uwzględniające krajowe wymagania w zakresie bezpieczeństwa, opracowywać wydziałowe metody analizy i zarządzania ryzykiem.

Pomimo swoich zalet RiskWatch ma swoje wady.

Ta metoda jest odpowiednia, jeśli musisz przeprowadzić analizę ryzyka na poziomie ochrony oprogramowania i sprzętu, bez uwzględniania czynników organizacyjnych i administracyjnych. Wynikające z tego oceny ryzyka (matematyczne oczekiwanie strat) nie wyczerpują rozumienia ryzyka z systemowego punktu widzenia – metoda nie uwzględnia zintegrowanego podejścia do bezpieczeństwa informacji.

1. Oprogramowanie RiskWatch jest dostępne tylko w języku angielskim.

2. Wysoki koszt licencji - od 15 000 USD za stanowisko dla małej firmy i od 125 000 USD za licencję korporacyjną.

3. Metodologia analizy ryzyka leżąca u podstaw RiskWatch

RiskWatch pomaga przeprowadzać analizę ryzyka i dokonywać świadomych wyborów dotyczących środków i środków naprawczych. Technika zastosowana w programie obejmuje 4 etapy:

Konieczne jest bardziej szczegółowe rozważenie każdego z etapów metodologii analizy ryzyka.

1. W pierwszym etapie opisywane są ogólne parametry organizacji – rodzaj organizacji, skład badanego systemu, podstawowe wymagania w zakresie bezpieczeństwa. Opis jest sformalizowany w kilku podrozdziałach, które można wybrać, aby uzyskać więcej szczegółowy opis lub pomiń.

2. Drugim etapem jest wprowadzenie danych opisujących specyficzne cechy systemu. Dane mogą być wprowadzane ręcznie lub importowane z raportów generowanych przez narzędzia do badania podatności sieci komputerowych. Na tym etapie wyszczególnione są zasoby, straty i klasy incydentów.

3. Trzeci etap to ocena ryzyka. Po pierwsze, tworzone są powiązania między zasobami, stratami, zagrożeniami i podatnościami zidentyfikowanymi na poprzednich etapach. W przypadku ryzyk matematyczne oczekiwania strat na dany rok oblicza się według wzoru:

gdzie p to częstotliwość występowania zagrożenia w ciągu roku, v to koszt zagrożonego zasobu.

4. Czwarty etap to generowanie raportów. Rodzaje raportów: krótkie podsumowania; kompletne i podsumowujące raporty elementów opisanych w etapach 1 i 2; raport o kosztach chronionych zasobów i przewidywanych stratach z tytułu wdrożenia zagrożeń; raport o zagrożeniach i środkach zaradczych; raport z audytu bezpieczeństwa.

Wniosek

oprogramowanie zabezpieczające informacje

RiskWatch to oprogramowanie opracowane przez amerykańską firmę RiskWatch.

RiskWatch pomaga przeprowadzać analizę ryzyka i dokonywać świadomych wyborów dotyczących środków i środków naprawczych. Mimo to RiskWatch ma pewne wady: wysoki koszt licencji; Oprogramowanie RiskWatch jest dostępne tylko w języku angielskim.

Produkt RiskWatch oparty jest na metodologii analizy ryzyka, która składa się z czterech etapów.

Pierwszym etapem jest określenie przedmiotu badań.

Drugim etapem jest wprowadzanie danych opisujących specyficzne cechy systemu.

Trzecim i najważniejszym krokiem jest kwantyfikacja.

Czwarty etap to generowanie raportów.

Opublikowano na Allbest.ru

Podobne dokumenty

    Metody oceny zagrożeń informacyjnych, ich charakterystyk i cech wyróżniających, ocena zalet i wad. Opracowanie metodyki oceny ryzyka na przykładzie metodyki Microsoft, modelu oceny ryzyka dla bezpieczeństwa informacji korporacyjnych.

    praca dyplomowa, dodana 08.02.2012

    Istota i metody oceny bezpieczeństwa informacji. Cele jego realizacji. Metody analizy ryzyk informatycznych. Wskaźniki i algorytm obliczania ryzyka dla zagrożenia SI. Kalkulacja ryzyka informacyjnego na przykładzie serwera WWW firmy handlowej.

    praca semestralna, dodana 25.11.2013

    Istota informacji, jej klasyfikacja. Główne problemy zapewnienia i zagrożenia bezpieczeństwa informacji przedsiębiorstwa. Analiza ryzyka i zasady bezpieczeństwa informacji przedsiębiorstwa. Opracowanie zestawu środków zapewniających bezpieczeństwo informacji.

    praca semestralna dodana 17.05.2016

    Opracowanie samouczącego się inteligentnego systemu informacyjnego do analizy zdolności kredytowej kredytobiorcy i oceny ryzyka kredytowego w oparciu o podejście immunocomputingowe. Zastosowanie procedur grupowania, klasyfikacja i tworzenie ocen ryzyka.

    praca semestralna, dodano 06/09/2012

    Metodologia badań i analizy narzędzi audytowych Systemy Windows w celu wykrywania nieautoryzowanego dostępu oprogramowania do zasobów komputerów. Analiza zagrożeń bezpieczeństwa informacji. Algorytm narzędzia programowego.

    praca dyplomowa, dodana 28.06.2011

    Oprogramowanie i Specyfikacja techniczna systemy informatyczne przedsiębiorstwa. Wymagania dotyczące zgodności informacji i oprogramowania. Projektowanie oprogramowania z wykorzystaniem specjalistycznych pakietów oprogramowania. Rozwój bazy danych.

    raport z praktyki, dodany 04.11.2019

    Klasyfikacja głównych ryzyk, ich identyfikacja. Planowanie i ocena ryzyk systemu informacyjnego w organizacji, podejmowanie działań w celu wyeliminowania ryzyk. Wyznaczenie progu rentowności projektu. Obliczanie kosztów strat i prawdopodobieństwa wystąpienia ryzyka.

    praca laboratoryjna, dodano 20.01.2016

    Pojęcie i kluczowa różnica tworzenia oprogramowania rozproszonego, jego zalety i wady. Rozwiązanie koncepcyjne i wybór rodzaju zabudowy. Funkcje oprogramowania open source kod źródłowy... Pomysł i rozwój Open Source.

    praca semestralna, dodana 14.12.2012

    Automatyzacja działań do analizy działalności gospodarczej przedsiębiorstwa. Wdrożenie zaproponowanej metodyki w postaci oprogramowania, podstawowe wymagania dla niego. Struktura i skład kompleksu moduły oprogramowania, podręcznik użytkownika.

    praca semestralna, dodana 28.05.2013

    Analiza ryzyka bezpieczeństwa informacji. Ocena istniejących i planowanych środków zaradczych. Zestaw środków organizacyjnych zapewniających bezpieczeństwo informacji i ochronę informacji przedsiębiorstwa. Przypadek testowy realizacji projektu i jego opis.

Kontynuując temat oceny i zarządzania zagrożeniami bezpieczeństwa informacji w tym poście, chciałbym poruszyć temat oprogramowania, które można wykorzystać do oceny ryzyka. Dlaczego w ogóle potrzebujesz tego oprogramowania? Faktem jest, że gdy tylko zagłębisz się w ten proces, natychmiast stanie się jasne, że przeprowadzenie oceny wiąże się z dość złożoną kombinatoryką. Połączenie różnych aktywów, słabych punktów, zagrożeń, środków ochronnych daje początek setkom, tysiącom możliwych kombinacji opisujących ryzyko, a tutaj nie można obejść się bez improwizowanych środków. Co teraz można znaleźć w Internecie:


vsRyzyko... Oprogramowanie brytyjskiej firmy Vigilant Software. Produkt jest sprzedawany głównie jako oprogramowanie do oceny ryzyka zgodnie z wymaganiami ISO 27001 i BS7799-3 (obecnie ISO27005). Na stronie możesz pobrać wersję próbną na 15 dni (rozmiar - 390 MB). System wydawał mi się dość prymitywny i wcale nieprzyjazny dla nieprzygotowanego użytkownika. Program na przykład posiada dość obszerne listy możliwych zagrożeń, luk i środków zaradczych, ale sam system nie definiuje żadnych wzajemnych powiązań między nimi, robi to ręcznie sam użytkownik. Ogólnie program oceniłbym na 3-ku. Dlaczego proszą tam o 1700 euro?! osiem-).

PTA. Opracowany przez PTA Technologies . Moim zdaniem niezwykle ciekawy produkt. Nie jest powiązany z żadnym standardem i wdraża mechanizm ilościowej oceny ryzyka (!). Swoją drogą wskazałbym to raczej jako wadę tego oprogramowania, tk. chodzi o to, że nie wszystko da się ocenić z dokładnością do dolara, a możliwości oceny jakościowej nie ma. System udostępnia również ciekawy mechanizm oceny skuteczności proponowanych środków zaradczych, na podstawie którego można np. zidentyfikować, jak zmienia się mapa ryzyka, gdy dodamy lub usuniemy określone środki zaradcze.

Na stronie dewelopera podano, że produkt jest płatny i można pobrać tylko 30-dniowy okres próbny. Ile kosztuje sam produkt i jak można go kupić - brak informacji (podobno podejście jest indywidualne :)).

RSA Archer... Opracowany przez firmę Archer, niedawno należącą do giganta RSA. Ogólnie rzecz biorąc, Archer jest tak ogromnym kombajnem GRC, który zawiera wiele różnych modułów, z których jeden zapewnia zarządzanie ryzykiem. Nie ma wersji próbnej do pobrania, na stronie znajdują się filmy prezentacyjne. Koszt tego produktu również nie jest wskazany, ale myślę, że będzie drogi, podobnie jak wszystko dla RSA :)

Menedżer ds. Ryzyka Modulo... Opracowany przez Modulo. Na stronie dostępny jest tylko dość ubogi opis funkcjonalności. Bez wersji próbnej, bez szczegółowych klipów wideo. Mimo to produkt otrzymał nagrodę SC Magazine, co oznacza, że ​​nadal jest coś wart. Niestety nie udało mi się jeszcze z nim zapoznać.


RM Studio. Produkt organizacji o tej samej nazwie (strona internetowa). D 30-dniowa wersja próbna jest dostępna do pobrania, a ponadto możesz oglądać filmy przedstawiające przypadki użycia produktu w witrynie. Moim zdaniem to oprogramowanie jest zbyt prymitywne pod względem oceny ryzyka i nadaje się tylko dla tych, którzy dokonują oceny ryzyka „na pokaz”.


Sęp... Opracowany przez bezpieczeństwo cyfrowe. Przyniosłem to oprogramowanie raczej tylko dla ogólnego obrazu. Sam produkt od wielu lat nie jest wspierany przez dewelopera. Dlatego możemy powiedzieć, że właściwie już nie istnieje. Jak dotąd jest to jedyna znana mi krajowa inwestycja w tym obszarze.

Szczerze mówiąc niewiele. Rozumiem, że moja recenzja nie może twierdzić, że jest w 100% kompletna, ale nadal ....

Jeśli ktoś zna inne oprogramowanie lub inne sposoby automatyzacji oceny ryzyka - napisz w komentarzach, porozmawiamy.

Ważna aktualizacja! ISM SYSTEMS ogłosiło opracowanie narzędzia do automatyzacji oceny ryzyka - ISM Revision: Risk Manager. Wstępne informacje są dostępne tutaj - http://www.ismsys.ru/?page_id=73. Produkt wygląda obiecująco. Bardziej szczegółową recenzję zrobię później.

Potrzeba inwestycji w bezpieczeństwo informacji (IS) firmy nie budzi wątpliwości. Aby potwierdzić trafność zadania zapewnienia bezpieczeństwa biznesu, posłużymy się raportem FBI wydanym na podstawie badania amerykańskich firm (średnie i duże przedsiębiorstwa). Statystyki incydentów z zakresu bezpieczeństwa IT są bezlitosne. Według FBI w tym roku zaatakowano 56% ankietowanych firm (wykres 1).

Ale jak ocenić poziom inwestycji w bezpieczeństwo informacji, które zapewnią maksymalną efektywność zainwestowanych środków? Aby rozwiązać ten problem, jest tylko jeden sposób - wykorzystać systemy analizy ryzyka, które pozwalają na ocenę zagrożeń występujących w systemie i wybór optymalnej opcji ochrony pod względem skuteczności (zgodnie ze stosunkiem istniejących w systemie ryzyk do kosztów bezpieczeństwa informacji).

Uzasadnienie inwestycji

Według statystyk najpoważniejsze przeszkody w podejmowaniu jakichkolwiek działań mających na celu zapewnienie bezpieczeństwa informacji w firmie wiążą się z dwoma przyczynami: ograniczeniami budżetowymi oraz brakiem wsparcia ze strony kierownictwa.

Oba te powody wynikają z niezrozumienia przez kierownictwo powagi problemu i niezdolności kierownika IT do uzasadnienia, dlaczego inwestować w bezpieczeństwo informacji. Często uważa się, że główny problem polega na tym, że menedżerowie i dyrektorzy IT mówią różnymi językami - technicznym i finansowym, ale przecież sami informatycy często mają trudności z oceną, na co wydawać pieniądze i ile to kosztuje wymagane do poprawy bezpieczeństwa systemu firmy, tak aby koszty te nie były marnotrawione lub nadmierne.

Jeśli kierownik IT wyraźnie rozumie, ile pieniędzy firma może stracić w przypadku zagrożeń, jakie miejsca w systemie są najbardziej narażone, jakie środki można podjąć, aby podnieść poziom bezpieczeństwa bez wydawania dodatkowych pieniędzy, a wszystko to jest udokumentowane, wtedy jego zadania decyzyjne – przekonanie kierownictwa do zwrócenia uwagi i przeznaczenia środków na bezpieczeństwo informacji – stają się znacznie bardziej realne.

Aby rozwiązać tego rodzaju problemy, opracowano na ich podstawie specjalne metody i systemy oprogramowania do analizy i kontroli ryzyka informacyjnego. Rozważymy system CRAMM brytyjskiej firmy Insight Consulting (http://www.insight.co.uk), amerykańskiej firmy RiskWatch o tej samej nazwie (http://www.riskwatch.com) oraz rosyjskiego pakietu GRIF z Digital Security (http: // www .dsec.ru). Ich charakterystykę porównawczą przedstawiono w tabeli.

Analiza porównawcza narzędzi analizy ryzyka

Kryteria porównania CRAMM RiskWatch GRIF 2005 Biuro Bezpieczeństwa Cyfrowego
Wsparcie Pod warunkiem, że Pod warunkiem, że Pod warunkiem, że
Łatwość obsługi dla użytkownika Wymaga specjalnego przeszkolenia i wysokich kwalifikacji audytora Interfejs skierowany jest do menedżerów i kadry kierowniczej IT; nie wymaga specjalnej wiedzy z zakresu bezpieczeństwa informacji
Koszt licencji na jedno miejsce pracy, USD 2000 do 5000 Od 10 000 Od 1000
Wymagania systemowe

SO Windows 98/Me/NT/2000/XP
Wolne miejsce na dysku 50 MB

Minimalne wymagania:
częstotliwość procesora 800 MHz, 64 MB pamięci

 Windows 2000/XP
Wolne miejsce na dysku do instalacji 30 MB
Procesor Intel Pentium lub kompatybilny, 256 MB pamięci

Windows 2000/XP

Minimalne wymagania:
wolne miejsce na dysku (dla dysku z danymi użytkownika) 300 MB, 256 MB pamięci

Funkcjonalność

Dane wejściowe:

  • Surowce;
  • wartość zasobów;
  • zagrożenia;
  • luki w systemie;
  • dobór odpowiednich środków zaradczych.

Opcje raportu:

  • raport z analizy ryzyka;
  • raport ogólny z analizy ryzyka;
  • szczegółowy raport z analizy ryzyka.

Dane wejściowe:

  • rodzaj systemu informacyjnego;
  • podstawowe wymagania bezpieczeństwa;
  • Surowce;
  • straty;
  • zagrożenia;
  • podatności;
  • środki ochrony;
  • wartość zasobów;
  • częstotliwość występowania zagrożeń;
  • dobór środków zaradczych.

Opcje raportu:

  • krótkie podsumowanie;
  • raport o kosztach chronionych zasobów i przewidywanych stratach z tytułu wdrożenia zagrożeń;
  • Raport ROI

Dane wejściowe:

  • Surowce;
  • sprzęt sieciowy;
  • rodzaje informacji;
  • grupy użytkowników;
  • Środki zaradcze;
  • zagrożenia;
  • podatności;
  • dobór środków zaradczych.

Skład raportu:

  • inwentaryzacja zasobów;
  • ryzyko według rodzaju informacji;
  • ryzyko zasobów;
  • stosunek szkód i ryzyka informacji i zasobów;
  • wybrane środki zaradcze;
  • zalecenia ekspertów.
Metoda ilościowa / jakościowa Ocena jakościowa Ujęcie ilościowe Ocena jakościowa i ilościowa
Rozwiązanie sieciowe Nieobecny Nieobecny Cyfrowe biuro bezpieczeństwa w wersji Enterprise Edition 2005

CRAMM

Metoda CRAMM (CCTA Risk Analysis and Management Method) została opracowana przez Centralną Agencję Komputerów i Telekomunikacji Wielkiej Brytanii na zlecenie rządu brytyjskiego i została przyjęta jako standard państwowy. Od 1985 roku jest używany przez organizacje rządowe i komercyjne w Wielkiej Brytanii. W tym czasie CRAMM zyskał popularność na całym świecie. Insight Consulting opracowuje i utrzymuje oprogramowanie, które implementuje metodę CRAMM.

Metoda CRAMM (http://www.cramm.com) nie została przez nas przypadkowo wybrana do bardziej szczegółowego rozważenia. Obecnie CRAMM jest dość potężnym i wszechstronnym narzędziem, które poza analizą ryzyka pozwala rozwiązać szereg innych zadań audytowych, w tym:

  • Badanie SI i udostępnianie dokumentacji towarzyszącej na wszystkich etapach jej wdrażania;
  • audyt zgodny z wymogami rządu brytyjskiego, a także BS 7799: 1995 Code of Practice for Information Security Management;
  • opracowanie polityki bezpieczeństwa i planu ciągłości działania.

Metoda CRAMM opiera się na zintegrowanym podejściu do oceny ryzyka, łączącym ilościowe i jakościowe metody analizy. Metoda jest uniwersalna i nadaje się zarówno dla dużych, jak i małych organizacji zarówno w sektorze rządowym, jak i komercyjnym. Wersje oprogramowania CRAMM przeznaczone dla różnych typów organizacji różnią się między sobą bazami wiedzy (profilami): istnieje Profil Handlowy dla organizacji komercyjnych i Profil Rządowy dla organizacji rządowych. Rządowa wersja profilu umożliwia również audyt pod kątem zgodności z wymaganiami amerykańskiego standardu ITSEC („Orange Book”). Schemat koncepcyjny ankiety CRMM pokazano na ryc. 2.

Przy prawidłowym stosowaniu metody CRAMM możliwe jest uzyskanie bardzo dobrych wyników, z których być może najistotniejsze jest możliwość ekonomicznego uzasadnienia kosztów organizacji dla zapewnienia bezpieczeństwa informacji i ciągłości działania. Opłacalna strategia zarządzania ryzykiem w ostatecznym rozrachunku pozwala zaoszczędzić pieniądze i uniknąć niepotrzebnych kosztów.

CRAMM polega na podzieleniu całej procedury na trzy kolejne etapy. Zadaniem pierwszego etapu jest odpowiedź na pytanie: „Czy wystarczy zabezpieczyć system za pomocą narzędzi poziomu podstawowego realizujących tradycyjne funkcje bezpieczeństwa, czy konieczne jest przeprowadzenie bardziej szczegółowej analizy?” Na drugim etapie identyfikowane są zagrożenia i oceniana jest ich wielkość. Na trzecim etapie rozstrzyga się kwestia wyboru odpowiednich środków zaradczych.

Metodologia CRAMM dla każdego etapu określa zestaw danych wyjściowych, sekwencję czynności, kwestionariusze do wywiadów, listy kontrolne oraz zestaw dokumentów sprawozdawczych.

W pierwszym etapie badań dokonywana jest identyfikacja i określenie wartości chronionych zasobów. Ocenę przeprowadza się na dziesięciostopniowej skali, a kryteriów oceny może być kilka – straty finansowe, uszczerbek na reputacji itp. Opisy CRAMM stanowią przykład takiej skali ocen według kryterium „Straty finansowe związane z odbudowa zasobów:

  • 2 punkty - mniej niż 1000 USD;
  • 6 punktów - od 1000 USD do 10 000 USD;
  • 8 punktów - od 10 000 USD do 100 000 USD;
  • 10 punktów - ponad 100 000 $

Przy niskiej punktacji dla wszystkich zastosowanych kryteriów (3 punkty i poniżej) uznaje się, że dla rozważanego systemu wystarczający jest podstawowy poziom ochrony (ten poziom nie wymaga szczegółowej oceny zagrożeń bezpieczeństwa informacji), a drugi etap badania jest pomijany.

W drugim etapie identyfikowane i oceniane są zagrożenia z zakresu bezpieczeństwa informacji, przeprowadzane jest poszukiwanie i ocena podatności chronionego systemu. Poziom zagrożenia oceniany jest w skali: bardzo wysoki, wysoki, średni, niski, bardzo niski. Luka jest oceniana jako Wysoka, Średnia lub Niska. Na podstawie tych informacji wylicza się ocenę poziomu ryzyka w siedmiopunktowej skali (ryc. 3).

W trzecim etapie CRAMM generuje opcje przeciwdziałania zidentyfikowanym zagrożeniom. Produkt oferuje następujące rodzaje rekomendacji:

  • zalecenia ogólne;
  • konkretne zalecenia;
  • przykłady, jak możesz zorganizować ochronę w tej sytuacji.

CRAMM posiada rozbudowaną bazę danych, która zawiera opisy około 1000 przykładów realizacji podsystemów bezpieczeństwa dla różnych systemów komputerowych. Te opisy mogą służyć jako szablony.

Decyzję o wprowadzeniu do systemu nowych mechanizmów bezpieczeństwa i modyfikacji starych podejmuje kierownictwo organizacji, biorąc pod uwagę związane z tym koszty, ich akceptowalność oraz ostateczną korzyść dla biznesu. Zadaniem audytora jest uzasadnienie rekomendowanych działań dla kierownictwa organizacji.

W przypadku podjęcia decyzji o wprowadzeniu nowych środków zaradczych i modyfikacji starych, audytorowi może zostać powierzone przygotowanie planu wdrożenia i ocena skuteczności wykorzystania tych środków. Rozwiązanie tych problemów wykracza poza zakres metody CRAMM.

Wady metody CRAMM obejmują:

  • metoda wymaga specjalnego przeszkolenia i wysokich kwalifikacji audytora;
  • audyt metodą CRAMM jest dość pracochłonnym procesem i może wymagać miesięcy ciągłej pracy audytora;
  • CRAMM jest o wiele bardziej odpowiedni do audytowania już istniejących IS, które zostały wprowadzone do eksploatacji niż do IS, które są w fazie rozwoju;
  • Zestaw narzędzi oprogramowania CRAMM generuje dużą ilość dokumentacji papierowej, co nie zawsze jest przydatne w praktyce;
  • CRAMM nie pozwala na tworzenie własnych szablonów raportów ani modyfikowanie już istniejących;
  • możliwość dokonywania uzupełnień do bazy wiedzy CRAMM nie jest dostępna dla użytkowników, co powoduje pewne trudności w dostosowaniu tej metody do potrzeb konkretnej organizacji;
  • Oprogramowanie CRAMM nie jest zlokalizowane, istnieje tylko w języku angielskim;
  • wysoki koszt licencji - od 2000$ do 5000$

RiskWatch

Oprogramowanie RiskWatch to potężne narzędzie do analizy i zarządzania ryzykiem. Rodzina RiskWatch obejmuje oprogramowanie do różnego rodzaju audytów bezpieczeństwa. Obejmuje następujące narzędzia audytu i analizy ryzyka:

  • RiskWatch for Physical Security - dla fizycznych metod ochrony IP;
  • RiskWatch for Information Systems - do ryzyk informacyjnych;
  • HIPAA-WATCH for Healthcare Industry - w celu oceny zgodności z wymogami standardu HIPAA (US Healthcare Insurance Portability and Accountability Act);
  • RiskWatch RW17799 dla ISO 17799 - do oceny zgodności z ISO 17799.

Metoda RiskWatch wykorzystuje roczną prognozę strat (ALE) i zwrot z inwestycji (ROI) jako kryteria oceny i zarządzania ryzykiem.

Rodzina oprogramowania RiskWatch ma wiele zalet. RiskWatch pomaga przeprowadzać analizę ryzyka i dokonywać świadomych wyborów dotyczących środków i środków naprawczych. W przeciwieństwie do CRAMM, RiskWatch jest bardziej skoncentrowany na dokładnym określeniu stosunku strat spowodowanych zagrożeniami bezpieczeństwa do kosztu stworzenia systemu ochrony. Należy również zauważyć, że w tym produkcie ryzyka z zakresu bezpieczeństwa informacyjnego i fizycznego sieci komputerowej przedsiębiorstwa są rozpatrywane łącznie.

Produkt RiskWatch oparty jest na metodologii analizy ryzyka, którą można podzielić na cztery etapy.

Pierwszym etapem jest określenie przedmiotu badań. Opisuje takie parametry jak rodzaj organizacji, skład badanego systemu (w ujęciu ogólnym), podstawowe wymagania w zakresie bezpieczeństwa. Aby ułatwić pracę analitykowi, szablony odpowiadające rodzajowi organizacji („komercyjny system informacyjny”, „państwowy/wojskowy system informacyjny” itp.) zawierają listy kategorii chronionych zasobów, strat, zagrożeń, podatności i środków ochrony. Spośród nich musisz wybrać te, które są faktycznie obecne w organizacji.

Na przykład dla strat przewidziane są następujące kategorie:

  • opóźnienia i odmowa usługi;
  • ujawnianie informacji;
  • straty bezpośrednie (na przykład ze zniszczenia sprzętu przez ogień);
  • życie i zdrowie (personel, klienci itp.);
  • zmiana danych;
  • straty pośrednie (na przykład koszty odbudowy);
  • reputacja.

Drugim etapem jest wprowadzanie danych opisujących specyficzne cechy systemu. Można je wprowadzać ręcznie lub importować z raportów generowanych przez narzędzia do badania podatności sieci komputerowych.

Na tym etapie wyszczególnione są zasoby, straty i klasy incydentów. Klasy incydentów uzyskuje się poprzez dopasowanie kategorii strat i kategorii zasobów.

Do identyfikacji możliwych podatności wykorzystywany jest kwestionariusz, którego baza danych zawiera ponad 600 pytań. Pytania dotyczą kategorii zasobów. Ustala się częstotliwość występowania każdego z wybranych zagrożeń, stopień podatności oraz wartość zasobów. Wszystko to służy w przyszłości do obliczenia efektu wprowadzenia sprzętu ochronnego.

Trzecim i prawdopodobnie najważniejszym etapem jest ocena ilościowa. Na tym etapie obliczany jest profil ryzyka i dobierane są środki bezpieczeństwa. Po pierwsze, tworzone są powiązania między zasobami, stratami, zagrożeniami i podatnościami zidentyfikowanymi na poprzednich etapach badania (ryzyko jest opisane przez kombinację tych czterech parametrów).

W rzeczywistości ryzyko szacowane jest na podstawie matematycznego przewidywania strat za dany rok. Na przykład, jeśli koszt serwera wynosi 150 000 USD, a prawdopodobieństwo, że zostanie on zniszczony przez pożar w ciągu roku wynosi 0,01, to oczekiwana strata to 1500 USD.

Dobrze znana formuła m = pxv, gdzie m to matematyczne oczekiwanie, p to prawdopodobieństwo zagrożenia, v to koszt zasobu, uległa pewnym zmianom w związku z faktem, że RiskWatch korzysta z szacunków zdefiniowanych przez American Institute of Standardy NIST, zwane LAFE i SAFE. LAFE (Local Annual Frequency Estimate) pokazuje, ile średnio razy w roku dane zagrożenie jest realizowane w danym miejscu (np. w mieście). SAFE (Standard Annual Frequency Estimate) pokazuje, ile średnio razy w roku dane zagrożenie występuje w tej „części świata” (na przykład w Ameryce Północnej). Wprowadzany jest również współczynnik korygujący, który pozwala uwzględnić, że w przypadku zrealizowania zagrożenia chroniony zasób może nie zostać całkowicie zniszczony, a jedynie częściowo.

Dodatkowo brane są pod uwagę scenariusze „co by było, gdyby…”, które pozwalają opisać podobne sytuacje, z zastrzeżeniem wdrożenia zabezpieczeń. Porównując przewidywane straty zi bez środków ochronnych, można ocenić wpływ tych środków.

RiskWatch zawiera bazy danych z ocenami LAFE i SAFE, a także ogólny opis różne rodzajeśrodki ochrony.

Wskaźnik zwrotu z inwestycji (ROI), który pokazuje zwrot z inwestycji dokonany w pewnym okresie czasu, określa ilościowo efekt wdrożenia środków bezpieczeństwa. Wskaźnik ten jest obliczany za pomocą wzoru:

gdzie Costsi to koszt wdrożenia i utrzymania i-tego środka ochrony; Korzyścii – ocena korzyści (spodziewanej redukcji strat), jakie niesie ze sobą wdrożenie tego środka ochrony; NVP (aktualna wartość netto) dostosowuje się do inflacji.

Czwarty etap to generowanie raportów. Dostępne są następujące rodzaje raportów:

  • krótkie podsumowanie;
  • kompletne i podsumowujące raporty elementów opisanych w etapach 1 i 2;
  • raport o kosztach chronionych zasobów i przewidywanych stratach z tytułu wdrożenia zagrożeń;
  • raport o zagrożeniach i środkach zaradczych;
  • raport ROI;
  • raport z audytu bezpieczeństwa.

Przykład obliczenia ROI dla różnych środków ochrony pokazano na rys. 5.

Tym samym RiskWatch pozwala ocenić nie tylko zagrożenia, które obecnie istnieją w przedsiębiorstwie, ale także korzyści, jakie może przynieść wdrożenie fizycznych, technicznych, programowych i innych środków i mechanizmów ochrony. Przygotowane raporty i wykresy stanowią materiał wystarczający do podejmowania decyzji o zmianie systemu bezpieczeństwa przedsiębiorstwa.

Dla użytkowników domowych problem polega na tym, że uzyskanie szacunków używanych w RiskWatch (takich jak LAFE i SAFE) dla naszych warunków jest raczej problematyczne. Chociaż sama metodologia może być z powodzeniem stosowana w naszym kraju.

Podsumowując, zwracamy uwagę, że wybierając konkretną metodologię analizy ryzyk w przedsiębiorstwie i wspierające ją narzędzia, należy odpowiedzieć na pytanie: czy konieczna jest dokładna ilościowa ocena skutków wdrożenia zagrożeń, czy też ocena na poziomie jakościowym jest wystarczająca. Należy również wziąć pod uwagę następujące czynniki: obecność ekspertów potrafiących rzetelnie oszacować wielkość strat z tytułu zagrożeń bezpieczeństwa informacji oraz dostępność wiarygodnych statystyk incydentów z zakresu bezpieczeństwa informacji w przedsiębiorstwie .

Wady RiskWatch obejmują:

  • metoda ta jest odpowiednia, jeśli wymagane jest przeprowadzenie analizy ryzyka na poziomie ochrony oprogramowania i sprzętu, bez uwzględnienia czynników organizacyjnych i administracyjnych;
  • uzyskane oceny ryzyka (matematyczne oczekiwanie strat) nie wyczerpują zrozumienia ryzyka z systemowego punktu widzenia – metoda nie uwzględnia zintegrowanego podejścia do bezpieczeństwa informacji;
  • Oprogramowanie RiskWatch jest dostępne tylko w języku angielskim;
  • wysoki koszt licencji - od 10 000 USD za stanowisko dla małej firmy.

Szyja

GRIF to kompleksowy system do analizy i zarządzania ryzykiem systemu informatycznego firmy. GRIF 2005 z Digital Security Office (http://www.dsec.ru/products/grif/) daje obraz bezpieczeństwa zasobów informacyjnych w systemie i pozwala wybrać optymalną strategię ochrony informacji firmowych.

System GRIF analizuje poziom ochrony zasobów, ocenia ewentualne szkody wynikające z wdrożenia zagrożeń SI oraz pomaga zarządzać ryzykiem poprzez dobór środków zaradczych.

Analiza ryzyk SI odbywa się na dwa sposoby: z wykorzystaniem modelu przepływów informacji lub modelu zagrożeń i podatności, w zależności od tego, jakimi danymi wyjściowymi dysponuje użytkownik, a także jakimi danymi jest zainteresowany na wyjściu.

Model przepływu informacji

Pracując z modelem przepływów informacji, system wprowadza: pełna informacja o wszystkich zasobach z cennymi informacjami, użytkownikach, którzy mają dostęp do tych zasobów, typach i prawach dostępu. Rejestrowane są dane dotyczące wszystkich środków ochrony każdego zasobu, połączeń sieciowych zasobów, charakterystyki polityki bezpieczeństwa firmy. Rezultatem jest kompletny model systemu informacyjnego.

W pierwszym etapie pracy z programem użytkownik wprowadza wszystkie obiekty swojego systemu informatycznego: działy, zasoby (konkretne obiekty tego modelu obejmują grupy sieciowe, urządzenia sieciowe, rodzaje informacji, grupy użytkowników, procesy biznesowe).

Następnie użytkownik musi przypisać łącza, czyli określić, do jakich działów i grup sieciowych należą zasoby, jakie informacje są przechowywane w zasobie i które grupy użytkowników mają do niego dostęp. Użytkownik wskazuje również sposoby ochrony zasobu i informacji.

W końcowym etapie użytkownik odpowiada na listę pytań dotyczących polityki bezpieczeństwa wdrożonej w systemie, co pozwala ocenić rzeczywisty poziom bezpieczeństwa systemu i uszczegółowić oceny ryzyka.

Dostępność środków ochrona informacji zauważone na pierwszym etapie, samo w sobie nie zapewnia jeszcze bezpieczeństwa systemu w przypadku ich niewłaściwego użytkowania oraz braku kompleksowej polityki bezpieczeństwa, która uwzględnia wszystkie aspekty ochrony informacji, w tym bezpieczeństwo, bezpieczeństwo fizyczne, bezpieczeństwo personelu, ciągłość itp.

W wyniku wykonania wszystkich działań na tych etapach powstaje kompletny model systemu informatycznego z punktu widzenia bezpieczeństwa informacji, uwzględniający faktyczne spełnienie wymagań kompleksowej polityki bezpieczeństwa, co pozwala przejść do analiza programowa wprowadzonych danych w celu uzyskania kompleksowej oceny ryzyka i opracowania raportu końcowego.

Model zagrożeń i podatności

Praca z modelem analizy zagrożeń i podatności obejmuje identyfikację słabych punktów każdego zasobu za pomocą cennych informacji i odpowiadających im zagrożeń, które można zrealizować za pomocą tych luk. Rezultatem jest pełny obraz słabości systemu informacyjnego i szkód, które można wyrządzić.

Na pierwszym etapie pracy z produktem użytkownik wprowadza do systemu obiekty swojego SI: działy, zasoby (konkretne obiekty dla tego modelu obejmują zagrożenia dla systemu informatycznego oraz podatności, przez które są wdrażane zagrożenia).

GRIF 2005 zawiera obszerne wbudowane katalogi zagrożeń i luk, zawierające około 100 zagrożeń i 200 luk. Dla maksymalnej kompletności i wszechstronności tych katalogów eksperci Digital Security opracowali specjalną klasyfikację zagrożeń DSECCT, w której zaimplementowano wieloletnie praktyczne doświadczenie w dziedzinie bezpieczeństwa informacji. Korzystając z tych katalogów, użytkownik może wybrać zagrożenia i luki związane z jego systemem informatycznym.

Algorytm systemu GRIF 2005 analizuje zbudowany model i generuje raport zawierający wartości ryzyka dla każdego zasobu. Konfiguracja raportu może być prawie dowolna, co pozwala na tworzenie zarówno raportów zbiorczych dla zarządu, jak i raportów szczegółowych dla dalsza praca z wynikami (ryc. 6).
Ryż. 6. Przykładowy raport w systemie GRIF 2005.

System GRIF 2005 zawiera moduł zarządzania ryzykiem, który pozwala przeanalizować wszystkie przyczyny, dla których po przetworzeniu wprowadzonych danych przez algorytm uzyskuje się dokładnie taką wartość ryzyka. Znając powody, możliwe jest więc pozyskanie danych niezbędnych do wdrożenia środków zaradczych i tym samym zmniejszenie poziomu ryzyka. Po obliczeniu skuteczności każdego możliwego środka zaradczego, a także określeniu wartości ryzyka rezydualnego, możesz wybrać środki zaradcze, które zmniejszą ryzyko do wymaganego poziomu.

W wyniku pracy z systemem GRIF budowany jest szczegółowy raport o poziomie ryzyka każdego cennego zasobu systemu informatycznego firmy, wszystkie przyczyny ryzyka są wskazywane szczegółową analizą podatności oraz oceną skuteczność wszystkich możliwych środków zaradczych.

***

Najlepsze światowe praktyki i wiodące międzynarodowe standardy w zakresie bezpieczeństwa informacji, w szczególności ISO 17799, wymagają wdrożenia systemu analizy i zarządzania ryzykiem w celu efektywnego zarządzania bezpieczeństwem systemów informatycznych. W takim przypadku możesz użyć dowolnych wygodnych narzędzi, ale najważniejsze jest, aby zawsze jasno zrozumieć, że system bezpieczeństwa informacji został stworzony na podstawie analizy zagrożeń informacyjnych, zweryfikowanych i uzasadnionych. Analiza i zarządzanie ryzykiem informacyjnym jest kluczowym czynnikiem budowania skutecznej ochrony systemu informacyjnego.



Nie znalazłeś odpowiedzi na swoje pytanie? Spójrz tutaj
Błędy w osobliwości?Błędy w osobliwości?
Just Cause 2 ulega awariiJust Cause 2 ulega awarii
Terraria nie chce się uruchomić, co mam zrobić?Terraria nie chce się uruchomić, co mam zrobić?