Računalniki Windows Internet
Razširi
doma

Metode in programski izdelki za oceno tveganja Riscis Watch. Program za oceno tveganja Programska oprema za upravljanje tveganj

Opisali in preučili smo sistematičen pristop k procesu obvladovanja tveganj. Kompleksnost obravnave tega vprašanja je posledica dejstva, da smo se odločili, da ni smiselno obravnavati posameznih dejavnosti na tem področju, da bi ustvarili visokokakovosten sistem analize in upravljanja tveganj. Šele če so v celoti uporabljene vse stopnje obvladovanja tveganj, lahko govorimo o sistemu, ki lahko zagotovi doseganje zastavljenih ciljev.

Kompleksni program, o katerem želimo začeti razpravljati danes, temelji na artefaktih (procesih in objektih), ki smo jih opisali prej.

V njegovem središču so:

  • Načrtovanje postopkov za kompleksne dejavnosti obvladovanja tveganj;
  • Metode in orodja za obvladovanje tveganj, ki so med seboj povezani tako, da se med izvajanjem obravnavanega programa medsebojno dopolnjujejo in »bogatijo«.

Tako bomo danes imeli dodatno "potopitev" v dejavnost analize in obvladovanja tveganj, zato zadržimo sapo ...

Uvod

Doslej smo že opisali dejavnosti identifikacije, ocenjevanja, analize vrst tveganj (kvalitativnih in kvantitativnih), organizacije in na uvoden način obvladovanja tveganj. Ustreznost in nujnost organiziranja procesov analize in obvladovanja tveganj v en sam celovit program, ki bo lahko zajemal in usklajeval njegove posamezne dele v enoten administrativno -programski kompleks, smo navedli in potrdili v prej predstavljenem gradivu.

Danes bomo obravnavali del discipline obvladovanja tveganj - "Celovit program obvladovanja tveganj", ki rešuje problem povečanja učinkovitosti že organiziranih postopkov, uvedbo novih, inovativnih in hkrati učinkovite metode in tehnik, zmanjšanje očitnih in potencialnih izgub ter maksimiziranje učinka glavnih dejavnosti podjetja.

Pri tem velja omeniti, da je celovit program obvladovanja tveganj ena od možnosti za proces obvladovanja tveganj. Izvajanje tega obsežnega programa se lahko obravnava kot alternativa izvajanju obvladovanja tveganj. Vsaka od prej obravnavanih stopenj procesa analize in obvladovanja tveganj predstavlja popolne stopnje procesov izvajanja obvladovanja tveganj in se lahko uporablja pri načrtovanju te dejavnosti v določeni organizaciji, odvisno od prilagajanja določenim pogojem družbe.

Po mnenju mnogih strokovnjakov bi morali biti cilji programov obvladovanja tveganj doseči naslednje rezultate:

  • Optimalna uporaba razpoložljivi kapital;
  • Pridobivanje največjega dohodka;
  • Povečanje trajnosti razvoja podjetja;
  • Zmanjšanje verjetnosti izgube dela ali celotne vrednosti izdelka ali storitve, ki izhaja iz procesov domene informacijske tehnologije, posebno organizacijo.

Tako je treba celovit program obvladovanja tveganj obravnavati ne le kot proces IT, temveč v prevladujočem pomenu te dejavnosti kot poslovno komponento predmeta upravljanja s tveganji, pri pravilni organizaciji katerega končni rezultat in nadaljnji položaj organizacije na trgu bo odvisen.

Program za obvladovanje tveganj

Sodoben, uspešen celovit program obvladovanja tveganj mora upoštevati in reševati težave, povezane s trenutnimi potrebami podjetja na področju obvladovanja tveganj, ki se je odločilo za izvajanje procesov analize in obvladovanja tveganj.

Organizacije za upravljanje tveganj imajo običajno za to področje naslednje cilje:

  • Uspešno delovanje v pogojih izpostavljenosti tveganjem;
  • Zaščita pred negativnimi dejavniki tveganja, ki motijo ​​izvajanje strategije in taktike podjetja;
  • Razumno sprejemanje odločitev vodstva ob upoštevanju razpoložljivih informacij o očitnih in možnih tveganjih;
  • Ohranjanje in razvoj razpoložljivih informacijskih orodij in tehnologij;
  • Zmanjšanje občutljivosti podjetja na tveganja in povečanje stabilnosti področja informacijske tehnologije v tveganem okolju.

Celovit program obvladovanja tveganj bi moral vzpostaviti enotno strukturo za delo s tveganji, ki se lahko razlikujejo po možnostih izvajanja posameznih stopenj, hkrati pa po zaporedju (podanem na tečaju v obliki zaporedja predstavitve gradiva) in rezultati (dokumenti) vsake stopnje morajo natančno ustrezati tistim, ki smo jih navedli v našem tečaju:

  • Zbiranje informacij in zahteve glede tveganja:
    • Seznami očitnih in možnih vzrokov, ki lahko vodijo v tveganja;
  • Identifikacija tveganja:
    • Register tveganj;
  • Predhodna ocena tveganja:
    • Register prednostnih tveganj;
    • Strategija obvladovanja tveganj;
  • Kvalitativna analiza tveganja:
    • Dokument, ki vsebuje kakovostne informacije o tveganjih in načinih za njihovo odpravljanje (taktike);
    • Informacije o tveganjih, ki jih je mogoče uporabiti pri dejavnostih kvantitativne analize;
    • Zbirka znanja / podatkov o predhodno ugotovljenih tveganjih z njihovim opisom;
  • Količinska analiza tveganja:
    • Dokument, ki vsebuje količinske podatke o tveganjih in načinih za njihovo odpravljanje (taktike);
    • Statistične informacije, ki jih je mogoče uporabiti za nadaljnje računovodstvo tveganj in načrtovanje načinov za njihovo reševanje;
  • Sistem za analizo tveganja:
    • Razviti postopke in predpise, ki bi morali združevati in uporabljati predhodno prejete dokumente za doseganje kazalnikov uspešnosti obvladovanja tveganj;
  • Celovit program obvladovanja tveganj:
    • Dokument, ki vsebuje informacije o celovitem programu obvladovanja tveganj;
    • Načrt postopkov za obvladovanje tveganj;
  • Nadaljnje dejavnosti:
    • Načrt spremljanja tveganja;
    • Načrt izboljšav za analizo in upravljanje tveganj;

Hkrati je treba vsak od opisanih dokumentov pravočasno posodobiti in mu v prihodnje slediti, ko opravljamo dejavnosti upravljanja s tveganji v določenem podjetju. S ciljem izgradnje učinkovitega celovitega programa obvladovanja tveganj in ustrezne izvedbe komponent ta cilj naloge, bo mogoče obvladovati tveganja na vseh organizacijskih ravneh katere koli organizacije.

Upravljavci tveganj bi morali biti sposobni oceniti okoliščine in prispevati k razvoju in izvajanju zgoraj opisanih dokumentov, postopkov in predpisov, ki bi morali temeljiti na naslednjih načelih s področja analiz in procesov upravljanja tveganj, ki jih je orisal nas prej:

  • Celovit, procesno zasnovan pristop k procesom analize in obvladovanja tveganj;
  • Upoštevanje najpomembnejših tveganj:
    • Oblikovanje registra tveganj. Posodabljanje registra med aktivnostmi procesov analize in obvladovanja tveganj;
  • Identifikacija tveganja;
  • Določitev "lastnika" tveganja;
  • Uporaba strukture vlog za proces obvladovanja tveganj;
  • Uporaba določenih metod / skupin metod za obvladovanje določenih tveganj;
  • Opredelitev sprejemljive ravni tveganja:
    • Nadzor nad stanjem tveganj;

Nekoliko prej, ko smo govorili o zagotavljanju dejavnosti obvladovanja tveganj, smo se dotaknili teme dokumentarne podpore za to področje dela, vendar je podrobneje nismo razkrili. V razdelku, ki je namenjen razvoju postopkov obvladovanja tveganj, bomo tej točki namenili posebno pozornost.

Tu bi rad povedal, da sta dokumentacija in njena izvedba zelo pomemben "mejnik" pri razvoju celovitega programa, katerega zanemarjanje lahko vodi v dejstvo, da bo razvit program "dogodek v enem koraku". Takšna izvedba "tvega", da ostane v posebnih "glavah". Kompleksni program bo "zaključen" z odhodom skupine ključnih strokovnjakov, kar postavlja pod vprašaj sistematičen pristop k razvitemu področju in s takšno izvedbo dokazuje njegovo neučinkovitost.

Povedati je treba, da mora celovit program obvladovanja tveganj vsebovati procese, postopke, dejavnosti itd. Rezultate posameznih stopenj, vključenih v to "over" dejavnost, je treba med seboj uskladiti tako, da so jasno vidne povezave med posameznimi dejavnostmi. Končni rezultat s področja tveganja in dejavnosti organizacije kot celote je odvisen od tega, kako uspešno, premišljeno, v povezavi s splošnimi cilji obvladovanja tveganj bo organizirano povezovanje posameznih delov v skupno celoto.

Razvoj postopkov obvladovanja tveganj. Poslovna pravila

Postopki, ki sestavljajo proces obvladovanja tveganj, so rešitve »predloge«, katerih namen je ponuditi možnosti izbire v določeni situaciji, možnosti za posebne rešitve, ki so primerne za uporabo v tveganem položaju z določenimi (znanimi in neznanimi). parametri.

Izbira v korist posameznega primera uporabe bo odvisna od tega, v kolikšni meri je poseben razvit postopek za upravljanje določenega tveganja / skupine tveganj prilagojen potrebam določenega okolja (zunanji in notranji parametri situacije), ustreza posebnim procesi, v katerih je možen pojav tveganja, in bodo v tem primeru učinkoviti.

Pri razvoju postopkov je priporočljivo, da se ravnajo po načelih, ki so določena v osnovi dejavnosti podjetja. Ta načela se običajno imenujejo poslovna pravila. Večina jih nastane v procesu "uresničevanja" tistih postulatov, ki so gonilni "vzvodi" poslovanja. Niso vedno očitne (praviloma zato, ker so v "glavah" omejenega števila deležnikov), vendar začnejo obstajati z začetkom poslovnih dejavnosti. Dana stabilnost razvoja ene ali druge dejavnosti, v kateri se uporabljajo, je odvisna od tega, v kolikšni meri se upoštevajo.

Prav poslovna pravila in dinamika njihove spremembe določajo razvojni trend informacijskih sistemov in prav oni vplivajo na stabilnost podjetja, v tem primeru na njegovo sestavino tveganja.

V skladu s tem je priporočljivo sklepati, da so poslovna pravila ena od sestavin, ki določajo znesek »tveganosti«, ki je na voljo za upravljanje in študij.

Toda v sodobni poslovni skupnosti se poslovna pravila pogosto zanemarjajo in "nadomeščajo" s posebnimi razvojnimi scenariji, ki "temeljijo" na razvoju postopkov obvladovanja tveganj. Tu je treba pojasniti dejstvo, da so primeri uporabe posebne možnosti za izvajanje tveganj, "poslovna pravila" pa univerzalna / "psevdo-univerzalna" načela, ki določajo primere uporabe, zato je zelo pomembno upoštevati, da morajo biti pravila poslovanja uporablja pri razvoju postopkov obvladovanja tveganj ... V tem primeru lahko govorimo o dokaj zanesljivi zaščiti podjetja pred tveganji.

Sestavo razvitih postopkov obvladovanja tveganj določa veliko dejavnikov, vendar temelji na dveh glavnih sestavinah, ki določajo postopke za upravljanje in analizo obvladovanja tveganj:

  • Trenutno "tvegano" stanje organizacije;
  • Potrebe zainteresiranih strani.

Potrebe zainteresiranih strani so tiste, ki določajo, kako, s kakšno "dokumentarno" in drugimi vrstami podpore je treba razviti določen postopek. V nekaterih primerih lahko razvojni postopki vključujejo naslednje dejavnosti:

  • Razvoj predlogov v zvezi s tveganim področjem za strategijo / politiko podjetja;
  • Dokumentiranje glavnih postopkov obvladovanja tveganj;
  • Razvoj metodologije za ocenjevanje določenih vrst tveganj in skupnega tveganja;
  • Itd.

Optimalno zasnovani in uporabljeni postopki obvladovanja tveganj bodo zmanjšali (ali popolnoma odpravili) morebitne škode, prispevali k stabilizaciji in razvoju podjetja.

Še enkrat navajamo niz regulativnih in metodoloških dokumentov, ki bi morali postopke obvladovanja tveganj opremiti s potrebno instrumentalno in pravno podlago:

  • Politika obvladovanja tveganj
  • Predpisi o obvladovanju tveganj
  • Postopek obvladovanja tveganj
  • Metodna navodila o opisu in oceni tveganj
  • Metodološke smernice za ocenjevanje vpliva tveganj na delo urnika
  • Metodološke smernice za oblikovanje kazalnikov tveganja
  • Priročnik o postopkih za obvladovanje tveganj
  • Tipični priročnik o tveganjih

Zato je treba povedati, da ni postopkov za obvladovanje tveganja, ki bi jih bilo mogoče razviti tako, da bi zahtevali univerzalnost in celovito uporabnost. Vsak postopek bi moral upoštevati posebnosti posebne situacije in določena tveganja, ki jih je načrtovano obvladovati s postopki obvladovanja tveganj.

Metode obvladovanja tveganj

V prejšnjem članku smo na kratko pogledali različne metode obvladovanja tveganj in jih razvrstili v naslednje štiri kategorije:

  • Metode izogibanja tveganju;
  • Metode lokalizacije tveganja;
  • Metode diverzifikacije tveganj;
  • Metode kompenzacije tveganja.

Vsaka od opisanih metod ponuja posebne, specializirane in učinkovite rešitve za »tvegane« situacije, ki so na določen način razvrščene (glej članke o količinski in kvalitativni metodi analize tveganja) iz splošnega sklopa glede na dejavnike, ki bi lahko v prihodnosti povzročili škodo.

"Umetnost" obdelave začetnih informacij, iz katere je mogoče izolirati potrebna "zrna" uporabnih podatkov, glej članek o sistematičnem pristopu k procesu obvladovanja tveganj, vendar o potrebi po optimalnem upoštevanju dejavnikov, ki so ključni za razvrstitev dejavnikov tveganja je pogoj za uspešno uporabo ene ali druge metode obvladovanja tveganja in s tem tudi učinkovitost sistema za obvladovanje tveganj kot celote.

Kot je bilo upravičeno že prej, je upoštevanje variabilnosti komponente "tveganja" in možne migracije skupine tveganja / skupine tveganj, katere smer bo precej težko napovedati, odvisno od velikega števila spremenljivk:

  • "Notranji" glede na tvegano okolje;
  • »Zunanji« v zvezi s tveganim okoljem;
  • Druga tveganja, različne stopnje interakcije z izvirnikom;
  • Učinki manifestacije, "povezave", "odklopa" itd. tveganja;

Zato je pomen zbiranja sistemske statistike o določenem tveganju tudi nujen sestavni del uspešne izbire vsekakor metode za obvladovanje tveganj, ki bo zagotovila sistematično zmanjšanje stopnje tveganja. Hkrati bi morala statistika odražati celovito in ustrezno "sliko" razvoja tveganj.

V primeru, da je podjetje, v katerem se obvladuje tveganje, dovolj veliko in pogojno stabilno v svojem razvoju, obstaja možnost, da se potrebni nujni odzivi na spremembe zavrnejo. Praviloma je to posledica "lažno-inercialne" ideje o zadostni zaščiti pred "dinamično nastajajočimi" tveganji, ki lahko dodatno vodijo do grozečih posledic zaradi "bližnje" in "oddaljene" manifestacije nastale škode.

Treba je opozoriti, da v večini primerov

(kar je v večini primerov težje napovedati, običajno pa je nevarno zaradi dodatnih nedoločenih parametrov)

V takšnih razmerah si mala podjetja, ki jih ne razvaja sprejemljiva raven stabilnosti, prizadevajo natančneje in prožneje odgovoriti na tveganja, ki so zanje nesprejemljiva, in po potrebi spremeniti prednostne naloge svojih dejavnosti, kar je za srednje in velike organizacije.

Resnične situacije, za katere so značilni različni dejavniki tveganja, bi morali upoštevati dejavnike, ki so zanje kritični, in glede na to izbrati optimalno metodo obvladovanja tveganja.

Dodaten pogoj, ki omejuje izbiro metode obvladovanja tveganja, je oseba menedžerja, katere odločitev je odvisna od tega, katera metoda bo na koncu izbrana.

Pomembno je, da lahko ta odločevalec na delovno sliko pogleda dovolj celovito in sprejme najboljšo odločitev za posebne pogoje.

sklepe

Tako bomo v naslednjem članku, ki bo drugi del obravnavane teme, začeli s podrobnimi, s posebnimi primeri iz prakse, obravnavali klasifikacijo metod obvladovanja tveganj, podvrgli "razgradnji" procesov vzdrževanja in izboljšanje področja obvladovanja tveganj, bomo poskušali podrobno izpostaviti potrebno orodje.

Ob tej »zanimivi« noti se danes od vas poslavljamo.

Vse najboljše in se vidimo kmalu, dragi kolegi!

Nadaljevanje teme ocenjevanja in upravljanja tveganj varnost informacij v tem prispevku bi rad govoril o programski opremi, ki jo je mogoče uporabiti za oceno tveganja. Zakaj to sploh potrebujete programsko opremo? Dejstvo je, da bo takoj, ko se globoko potopite v ta proces, takoj postalo jasno, da je izvajanje ocenjevanja povezano s precej zapleteno kombinatoriko. Kombinacija različnih sredstev, ranljivosti, groženj, zaščitnih ukrepov povzroči na stotine, tisoče možnih kombinacij, ki opisujejo tveganja, in tukaj ne morete brez improviziranih sredstev. Kaj je zdaj mogoče najti na internetu:


vsRisk... Programska oprema britanskega podjetja Vigilant Software. Izdelek se trži predvsem kot programska oprema za oceno tveganja v skladu z zahtevami ISO 27001 in BS7799-3 (zdaj ISO27005). Na spletnem mestu lahko 15 dni prenesete preskusno različico (velikost - 390 MB). Sistem se mi je zdel precej primitiven in za nepripravljenega uporabnika sploh ni prijazen. Program ima na primer precej obsežne sezname možnih groženj, ranljivosti in protiukrepov, sam sistem pa ne opredeljuje nobenih medsebojnih odnosov med njimi, to ročno opravi uporabnik sam. Na splošno bi program ocenil za 3-ku. Zakaj tam zahtevajo 1700 evrov?! osem-).

PTA. Razvil PTA Technologies . Po mojem mnenju izredno zanimiv izdelek. Ni vezan na noben standard in izvaja mehanizem za količinsko oceno tveganja (!). Mimogrede, to bi prej izpostavil kot pomanjkljivost te programske opreme, tk. bistvo je, da vsega ni mogoče oceniti z natančnostjo dolarja, možnost kakovostne ocene pa ni zagotovljena. Sistem ponuja tudi zanimiv mehanizem za oceno učinkovitosti predlaganih protiukrepov, na podlagi katerega je mogoče na primer ugotoviti, kako se spremeni zemljevid tveganja, ko dodamo ali odstranimo določene protiukrepe.

Na spletnem mestu razvijalca je navedeno, da je izdelek plačljiv in na voljo samo 30-dnevno preskusno različico. Koliko stane sam izdelek in kako ga je mogoče kupiti - ni podatkov (očitno je pristop individualen :)).

RSA Archer... Razvil ga je Archer, pred kratkim v lasti velikana RSA. Na splošno je Archer tako velik kombajn GRC, ki vključuje veliko različnih modulov, od katerih eden zagotavlja obvladovanje tveganj. Poskusne različice za prenos ni, na spletnem mestu so predstavitveni videoposnetki. Cena tega izdelka tudi ni označeno, ampak mislim, da bo drago, pa tudi vse za RSA :)

Modulo Upravljavec tveganj... Razvil Modulo. Na spletnem mestu je na voljo le precej slab opis funkcionalnosti. Brez poskusne različice, brez podrobnih video posnetkov. Kljub temu je izdelek prejel nagrado revije SC Magazine, kar pomeni, da je še vedno nekaj vreden. Žal se mi še ni uspelo seznaniti z njim.


Studio RM. Izdelek istoimenske organizacije (spletna stran). D Za prenos je na voljo 30-dnevno preskusno obdobje, poleg tega pa si lahko na spletnem mestu ogledate videoposnetke, ki prikazujejo primere uporabe izdelkov. Po mojem mnenju je ta programska oprema preveč primitivna v smislu ocene tveganja in je primerna samo za tiste, ki oceno tveganja naredijo "za ogled".


Jastreb... Razvil Digital Security. Ta programski izdelek sem prinesel zgolj za splošno sliko. Razvijalec samega izdelka že vrsto let ne podpira. Zato lahko rečemo, da dejansko ne obstaja več. Doslej je to edini domači razvoj na tem področju, ki mi je znan.

Iskreno povedano, ne veliko. Razumem, da moj pregled ne more trditi, da je 100% dokončan, a vseeno ....

Če kdo drug pozna kakšno drugo programsko opremo ali druge načine avtomatizacije ocene tveganja - v komentarje napišite, o tem se bomo pogovarjali.

Pomembna posodobitev! ISM SYSTEMS je napovedal razvoj orodja za avtomatizacijo ocene tveganja - ISM Revision: Risk Manager. Predhodne informacije so na voljo tukaj - http://www.ismsys.ru/?page_id=73. Izdelek je videti obetaven. Več podroben pregled To bom naredil kasneje.

Pošljite svoje dobro delo v bazo znanja je preprosto. Uporabite spodnji obrazec

Študenti, podiplomski študenti, mladi znanstveniki, ki pri svojem študiju in delu uporabljajo bazo znanja, vam bodo zelo hvaležni.

Objavljeno na http://www.allbest.ru/

Državna proračunska strokovna izobraževalna ustanova v regiji Rostov "Rostov na Donu College of Communication and Informatics"

GBPOU RO "RKSI"

Poročilo o temi:

"Metode in programski izdelki za oceno tveganja Riscis Watch"

Izpolnil študent: Zheleznichenko Artem

Skupina št. IB-22

Učitelj:

Dmitrij Timčenko

Rostov na Donu

Uvod

Danes ni nobenega dvoma o potrebi po vlaganju v informacijsko varnost sodobnega velikega podjetja. Glavno vprašanje sodobnega poslovanja je, kako oceniti zadostno raven naložb v informacijsko varnost, da se zagotovi največja učinkovitost naložb na tem področju. Za rešitev tega problema obstaja le en način - uporaba sistemov za analizo tveganja, ki omogočajo oceno obstoječih tveganj v sistemu in izbiro najučinkovitejše možnosti zaščite (glede na razmerje med tveganji, ki obstajajo v sistemu, in stroški informacij varnost).

Po statističnih podatkih sta največja ovira pri sprejemanju kakršnih koli ukrepov za zagotovitev informacijske varnosti v podjetju dva razloga: proračunske omejitve in pomanjkanje podpore vodstva.

Oba razloga izhajata iz tega, da vodstvo ne razume resnosti problema in da vodja informacijske tehnologije ne more utemeljiti, zakaj je treba vlagati v varnost informacij. Pogosto mnogi mislijo, da je glavni problem v tem, da govorijo vodje in vodje IT različne jezike- tehnično in finančno, a navsezadnje tudi sami strokovnjaki za IT pogosto težko ocenijo, za kaj porabiti denar in koliko je potrebno za zagotovitev večje varnosti sistema podjetja, da se ti stroški ne izkažejo zaman oz. pretirano.

Če vodja IT jasno razume, koliko denarja lahko podjetje izgubi v primeru groženj, katera mesta v sistemu so najbolj ranljiva, katere ukrepe je mogoče sprejeti za povečanje ravni varnosti in hkrati ne porabiti dodatnega denarja, in vse to je dokumentirano, potem je rešitev problema prepričana, da bo uprava pozorna in namenila sredstva za informacijsko varnost, veliko bolj resnična.

Za rešitev tega problema so bili razviti programski sistemi za analizo in nadzor informacijskih tveganj. Eden od teh sistemov programske opreme je ameriški RiskWatch (podjetje RiskWatch).

1. Značilnosti programa RiskWatch

Metoda RiskWath, razvita s sodelovanjem ameriškega Nacionalnega inštituta za standarde in tehnologijo (US NIST), Ministrstva za obrambo ZDA (US DoD) Kanadskega oddelka za nacionalno obrambo Kanade, je leta 1998 dejansko standard za ZDA. vladne organizacije ne samo v ZDA, ampak tudi po vsem svetu.

Programska oprema RiskWatch, ki jo je razvilo ameriško podjetje RiskWatch, je močno orodje za analizo in upravljanje tveganj.

RiskWatch v osnovi ponuja dva izdelka: enega na področju informacijske varnosti _ varnost IT, drugega na področju fizične varnosti _ fizične varnosti. Programska oprema je zasnovana za prepoznavanje in oceno zaščitenih virov, groženj, ranljivosti in zaščitnih ukrepov na področju računalniške in "fizične" varnosti podjetja. Poleg tega se predlaga za različne vrste organizacij različne različice programsko opremo.

Linija izdelkov, namenjenih obvladovanju tveganj v različnih sistemih, upošteva zahteve takih standardov (dokumentov): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 itd.

Družina RiskWatch vključuje programske izdelke za različne vrste varnostnih pregledov. Vključuje naslednja orodja za revizijo in analizo tveganja:

1. RiskWatch za fizično varnost - za fizične metode zaščite IP;

2. RiskWatch za informacijske sisteme - za informacijska tveganja;

3. HIPAA -WATCH za zdravstveno industrijo - za oceno skladnosti z zahtevami standarda HIPAA;

4. RiskWatch RW17799 za ISO17799 - za ocenjevanje zahtev standarda ISO17799.

2. Prednosti in slabosti programa RiskWatch

Pomembna prednost RiskWatch -a z vidika potrošnika je njegova primerjalna preprostost, nizka delovna intenzivnost rusifikacije in velika prilagodljivost metode, ki jo omogoča možnost uvedbe novih kategorij, opisov, vprašanj itd. Na podlagi te metode lahko domači razvijalci ob upoštevanju domačih zahtev na področju varnosti ustvarijo lastne profile, razvijejo oddelčne metode analize in obvladovanja tveganj.

Kljub svojim zaslugam ima RiskWatch svoje pomanjkljivosti.

Ta metoda je primerna, če je potrebna analiza tveganja na ravni programske in strojne zaščite, ne da bi pri tem upoštevali organizacijske in upravne dejavnike. Posledične ocene tveganja (matematično pričakovanje izgub) še zdaleč ne izčrpajo razumevanja tveganja s sistemskega stališča - metoda ne upošteva celostnega pristopa k varnosti informacij.

1. Programska oprema RiskWatch je na voljo samo v angleščini.

2. Visoki stroški licence - od 15.000 USD na sedež za majhno podjetje in od 125.000 USD za licenco podjetja.

3. Metodologija analize tveganja, na kateri temelji RiskWatch

RiskWatch vam pomaga izvesti analizo tveganja in se informirano odločiti o ukrepih in pravnih sredstvih. Tehnika, uporabljena v programu, vključuje 4 stopnje:

Podrobneje je treba preučiti vsako stopnjo metodologije analize tveganja.

1. Na prvi stopnji so opisani splošni parametri organizacije - vrsta organizacije, sestava obravnavanega sistema, osnovne zahteve na področju varnosti. Opis je formaliziran v številnih podčlenih, ki jih je mogoče izbrati za več natančen opis ali preskočite.

2. Druga stopnja je vnos podatkov, ki opisujejo posebne značilnosti sistema. Podatke je mogoče vnesti ročno ali uvoziti iz poročil, ki jih ustvarijo orodja za raziskovanje ranljivosti računalniškega omrežja. Na tej stopnji so podrobno opisani viri, izgube in razredi incidentov.

3. Tretja stopnja je ocena tveganja. Najprej se vzpostavijo povezave med viri, izgubami, grožnjami in ranljivostmi, ugotovljenimi v prejšnjih fazah. Za tveganja se matematična pričakovanja izgub za leto izračunajo po formuli:

kjer je p pogostost pojavljanja grožnje med letom, v je cena vira, ki je ogrožen.

4. Četrta faza je priprava poročil. Vrste poročil: kratki povzetki; celovita in povzeta poročila o elementih, opisanih v stopnjah 1 in 2; poročilo o stroških zaščitenih virov in pričakovanih izgubah pri izvajanju groženj; poročilo o grožnjah in protiukrepih; poročilo o varnostni reviziji.

Zaključek

programska oprema za zaščito informacij

RiskWatch je programska oprema, ki jo je razvilo ameriško podjetje RiskWatch.

RiskWatch vam pomaga izvesti analizo tveganja in se informirano odločiti o ukrepih in pravnih sredstvih. Kljub temu ima RiskWatch nekaj pomanjkljivosti: licenca je visoka; Programska oprema RiskWatch je na voljo samo v angleščini.

Izdelek RiskWatch temelji na metodologiji analize tveganja, ki je sestavljena iz štirih stopenj.

Prva faza je opredelitev predmeta raziskovanja.

Druga stopnja je vnos podatkov, ki opisujejo posebne značilnosti sistema.

Tretji in najpomembnejši korak je kvantifikacija.

Četrta faza je priprava poročil.

Objavljeno na Allbest.ru

Podobni dokumenti

    Metode ocenjevanja informacijskih tveganj, njihovih značilnosti in značilnosti, ocena prednosti in slabosti. Razvoj metodologije ocenjevanja tveganja na primeru Microsoftove metodologije, modela ocene tveganja za varnost korporacijskih informacij.

    diplomsko delo, dodano 08.02.2012

    Bistvo in metode ocenjevanja informacijske varnosti. Cilji njegovega izvajanja. Metode za analizo tveganj informacijske tehnologije. Kazalniki in algoritem za izračun tveganja za grožnjo IS. Izračun informacijskih tveganj na primeru spletnega strežnika trgovske družbe.

    seminarska naloga, dodana 25.11.2013

    Bistvo informacij, njihova razvrstitev. Glavni problemi zagotavljanja in grožnje informacijski varnosti podjetja. Analiza tveganja in načela informacijske varnosti podjetja. Razvoj niza ukrepov za zagotovitev informacijske varnosti.

    seminarska naloga dodana 17.05.2016

    Razvoj samoučnega inteligentnega informacijskega sistema za analizo kreditne sposobnosti posojilojemalca in oceno kreditnih tveganj, ki temelji na pristopu imunskega računalništva. Uporaba postopkov združevanja v skupine, razvrstitev in oblikovanje ocen tveganja.

    seminarska naloga, dodano 06.09.2012

    Metodologija raziskovanja in analize revizijskih orodij Windows sistemi za odkrivanje nepooblaščenega dostopa programske opreme do virov računalnikov. Analiza groženj informacijske varnosti. Algoritem programskega orodja.

    diplomsko delo, dodano 28.06.2011

    Programska oprema in Tehnične specifikacije informacijski sistemi podjetja. Zahteve za združljivost informacij in programske opreme. Oblikovanje programske opreme s pomočjo specializiranih programskih paketov. Razvoj baze podatkov.

    poročilo o vadbi, dodano 11.4.2019

    Razvrstitev glavnih tveganj, njihova identifikacija. Načrtovanje in ocenjevanje tveganj informacijskega sistema v organizaciji, sprejemanje ukrepov za odpravo tveganj. Določitev točke rentabilnosti projekta. Izračun stroškov izgube in verjetnost nastanka tveganja.

    laboratorijsko delo, dodano 20.1.2016

    Koncept in ključna razlika distribuiranega razvoja programske opreme, njegove prednosti in slabosti. Idejna rešitev in izbira vrste razvoja. Značilnosti odprtokodne programske opreme izvorna koda... Odprtokodna ideja in razvoj.

    seminarska naloga, dodana 14.12.2012

    Avtomatizacija dejavnosti za analizo poslovne dejavnosti podjetja. Izvajanje predlagane metodologije v obliki programske opreme, osnovne zahteve zanjo. Struktura in sestava kompleksa programski moduli, navodila.

    seminarska naloga dodana 28.05.2013

    Analiza tveganja informacijske varnosti. Ocena obstoječih in načrtovanih pravnih sredstev. Niz organizacijskih ukrepov za zagotovitev informacijske varnosti in zaščite podatkov podjetja. Testni primer izvedbe projekta in njegov opis.

Nadaljujem s temo ocenjevanja in upravljanja tveganj za varnost informacij v tem prispevku, bi rad govoril o programski opremi, ki jo je mogoče uporabiti za oceno tveganja. Zakaj sploh potrebujete to programsko opremo? Dejstvo je, da bo takoj, ko se globoko potopite v ta proces, takoj postalo jasno, da je izvajanje ocenjevanja povezano s precej zapleteno kombinatoriko. Kombinacija različnih sredstev, ranljivosti, groženj, zaščitnih ukrepov povzroči na stotine, tisoče možnih kombinacij, ki opisujejo tveganja, in tukaj ne morete brez improviziranih sredstev. Kaj je zdaj mogoče najti na internetu:


vsRisk... Programska oprema britanskega podjetja Vigilant Software. Izdelek se trži predvsem kot programska oprema za oceno tveganja v skladu z zahtevami ISO 27001 in BS7799-3 (zdaj ISO27005). Na spletnem mestu lahko 15 dni prenesete preskusno različico (velikost - 390 MB). Sistem se mi je zdel precej primitiven in za nepripravljenega uporabnika sploh ni prijazen. Program ima na primer precej obsežne sezname možnih groženj, ranljivosti in protiukrepov, sam sistem pa ne opredeljuje nobenih medsebojnih odnosov med njimi, to ročno opravi uporabnik sam. Na splošno bi program ocenil za 3-ku. Zakaj tam zahtevajo 1700 evrov?! osem-).

PTA. Razvil PTA Technologies . Po mojem mnenju izredno zanimiv izdelek. Ni vezan na noben standard in izvaja mehanizem za količinsko oceno tveganja (!). Mimogrede, to bi prej izpostavil kot pomanjkljivost te programske opreme, tk. bistvo je, da vsega ni mogoče oceniti z natančnostjo dolarja, možnost kakovostne ocene pa ni zagotovljena. Sistem ponuja tudi zanimiv mehanizem za oceno učinkovitosti predlaganih protiukrepov, na podlagi katerega je mogoče na primer ugotoviti, kako se spremeni zemljevid tveganja, ko dodamo ali odstranimo določene protiukrepe.

Na spletnem mestu razvijalca je navedeno, da je izdelek plačljiv in na voljo samo 30-dnevno preskusno različico. Koliko stane sam izdelek in kako ga je mogoče kupiti - ni podatkov (očitno je pristop individualen :)).

RSA Archer... Razvil ga je Archer, pred kratkim v lasti velikana RSA. Na splošno je Archer tako velik kombajn GRC, ki vključuje veliko različnih modulov, od katerih eden zagotavlja obvladovanje tveganj. Poskusne različice za prenos ni, na spletnem mestu so predstavitveni videoposnetki. Stroški tega izdelka prav tako niso navedeni, vendar mislim, da bo drago, pa tudi vse za RSA :)

Modulo Upravljavec tveganj... Razvil Modulo. Na spletnem mestu je na voljo le precej slab opis funkcionalnosti. Brez poskusne različice, brez podrobnih video posnetkov. Kljub temu je izdelek prejel nagrado revije SC Magazine, kar pomeni, da je še vedno nekaj vreden. Žal se mi še ni uspelo seznaniti z njim.


Studio RM. Izdelek istoimenske organizacije (spletna stran). D Za prenos je na voljo 30-dnevno preskusno obdobje, poleg tega pa si lahko na spletnem mestu ogledate videoposnetke, ki prikazujejo primere uporabe izdelkov. Po mojem mnenju je ta programska oprema preveč primitivna v smislu ocene tveganja in je primerna samo za tiste, ki oceno tveganja naredijo "za ogled".


Jastreb... Razvil Digital Security. Ta programski izdelek sem prinesel zgolj za splošno sliko. Razvijalec samega izdelka že vrsto let ne podpira. Zato lahko rečemo, da dejansko ne obstaja več. Doslej je to edini domači razvoj na tem področju, ki mi je znan.

Iskreno povedano, ne veliko. Razumem, da moj pregled ne more trditi, da je 100% dokončan, a vseeno ....

Če kdo drug pozna kakšno drugo programsko opremo ali druge načine avtomatizacije ocene tveganja - v komentarje napišite, o tem se bomo pogovarjali.

Pomembna posodobitev! ISM SYSTEMS je napovedal razvoj orodja za avtomatizacijo ocene tveganja - ISM Revision: Risk Manager. Predhodne informacije so na voljo tukaj - http://www.ismsys.ru/?page_id=73. Izdelek je videti obetaven. Podrobnejši pregled bom opravil kasneje.

Potreba po naložbah v informacijsko varnost (IS) podjetja je nedvomna. Za potrditev ustreznosti naloge zagotavljanja poslovne varnosti bomo uporabili poročilo FBI, objavljeno na podlagi raziskave ameriških podjetij (srednja in velika podjetja). Statistika incidentov na področju varnosti IT je neomajna. Po podatkih FBI je bilo letos napadnjenih 56% anketiranih podjetij (slika 1).

Kako pa oceniti stopnjo naložb v informacijsko varnost, ki bo zagotovila največjo učinkovitost vloženih sredstev? Za rešitev tega problema obstaja le en način - uporaba sistemov za analizo tveganja, ki omogočajo oceno obstoječih tveganj v sistemu in izbiro optimalne možnosti zaščite glede na učinkovitost (glede na razmerje med tveganji, ki obstajajo v sistemu, in stroški informacijske varnosti).

Utemeljitev naložb

Po statističnih podatkih so najresnejše ovire pri sprejemanju kakršnih koli ukrepov za zagotovitev informacijske varnosti v podjetju povezane z dvema razlogoma: proračunskimi omejitvami in pomanjkanjem podpore vodstva.

Oba razloga izhajata iz napačnega razumevanja vodstva resnosti problema in nezmožnosti vodje IT, da utemelji, zakaj vlagati v varnost informacij. Pogosto se domneva, da je glavna težava v tem, da vodje in vodje IT govorijo različne jezike- tehnične in finančne, vendar pa strokovnjaki za IT pogosto težko ocenijo, za kaj porabiti denar in koliko je to za izboljšanje varnosti sistema podjetja, tako da ti stroški niso zapravljeni ali pretirani.

Če vodja IT jasno razume, koliko denarja lahko podjetje izgubi v primeru groženj, katera mesta v sistemu so najbolj ranljiva, katere ukrepe je mogoče sprejeti za povečanje stopnje varnosti brez porabe dodatnega denarja, in vse to je dokumentirano, potem postanejo njegove naloge odločanja - prepričati vodstvo, da bo pozorno in nameni sredstva za varnost informacij - veliko bolj resnične.

Za reševanje tovrstnih težav so bile razvite posebne metode in programski sistemi za analizo in nadzor informacijskih tveganj, ki temeljijo na njih. Upoštevali bomo sistem CRAMM britanskega podjetja Insight Consulting (http://www.insight.co.uk), istoimensko ameriško podjetje RiskWatch (http://www.riskwatch.com) in ruski paket GRIF iz Digital Security (http: // www .dsec.ru). Njihove primerjalne značilnosti so prikazane v tabeli.

Primerjalna analiza orodij za analizo tveganja

Primerjalna merila KRAMBA RiskWatch Urad za digitalno varnost GRIF 2005
Podpora Pod pogojem Pod pogojem Pod pogojem
Enostavnost delovanja za uporabnika Zahteva posebno usposabljanje in visoko usposobljenost revizorja Vmesnik je namenjen vodjem in vodjem IT; ne zahteva posebnega znanja s področja informacijske varnosti
Cena licence na eno delovno mesto, USD 2000 do 5000 Od 10 000 Od 1000
Sistemske zahteve

OS Windows 98 / Me / NT / 2000 / XP
Prosti prostor na disku 50 MB

Minimalne zahteve:
procesorska frekvenca 800 MHz, 64 MB pomnilnika

 Windows 2000 / XP
Prosti prostor na disku za namestitev 30 MB
Intelov procesor Pentium ali združljiv, 256 MB pomnilnika

Windows 2000 / XP

Minimalne zahteve:
prostega prostora na disku (za disk z uporabniškimi podatki) 300 MB, 256 MB pomnilnika

Funkcionalnost

Vhodni podatki:

  • viri;
  • vrednost virov;
  • grožnje;
  • sistemske ranljivosti;
  • izbira ustreznih protiukrepov.

Možnosti poročila:

  • poročilo o analizi tveganja;
  • splošno poročilo o analizi tveganja;
  • podrobno poročilo o analizi tveganja.

Vhodni podatki:

  • vrsta informacijskega sistema;
  • osnovne varnostne zahteve;
  • viri;
  • izgube;
  • grožnje;
  • ranljivosti;
  • zaščitni ukrepi;
  • vrednost virov;
  • pogostost pojavljanja groženj;
  • izbira protiukrepov.

Možnosti poročila:

  • kratek povzetek;
  • poročilo o stroških zaščitenih virov in pričakovanih izgubah pri izvajanju groženj;
  • Poročilo o donosnosti naložb

Vhodni podatki:

  • viri;
  • omrežna strojna oprema;
  • vrste informacij;
  • skupine uporabnikov;
  • Pravna sredstva;
  • grožnje;
  • ranljivosti;
  • izbira protiukrepov.

Sestava poročila:

  • popis virov;
  • tveganja glede na vrsto informacij;
  • tveganja virov;
  • razmerje med škodo in tveganjem informacij in virov;
  • izbrani protiukrepi;
  • priporočila strokovnjakov.
Kvantitativna / kvalitativna metoda Kvalitativna ocena Kvantificiranje Kvalitativna in kvantitativna ocena
Mrežna rešitev Odsoten Odsoten Enterprise Edition Digital Security Office 2005

KRAMBA

Metodo CRAMM (CCTA Risk Analysis and Management Method) je po navodilih britanske vlade razvila Centralna agencija za računalništvo in telekomunikacije Velike Britanije in je bila sprejeta kot državni standard. Od leta 1985 ga uporabljajo vladne in komercialne organizacije v Združenem kraljestvu. V tem času je CRAMM pridobil popularnost po vsem svetu. Insight Consulting razvija in vzdržuje programski izdelek, ki uporablja metodo CRAMM.

Metode CRAMM (http://www.cramm.com) nismo slučajno izbrali za podrobnejšo obravnavo. Trenutno je CRAMM dokaj zmogljivo in vsestransko orodje, ki poleg analize tveganja omogoča reševanje številnih drugih revizijskih nalog, med drugim:

  • Pregled IS in izdaja spremne dokumentacije v vseh fazah njegovega izvajanja;
  • revizija v skladu z zahtevami britanske vlade in BS 7799: 1995 Kodeksa ravnanja pri upravljanju informacijske varnosti;
  • razvoj varnostne politike in načrta neprekinjenega poslovanja.

Metoda CRAMM temelji na celostnem pristopu k oceni tveganja, ki združuje kvantitativne in kvalitativne metode analize. Metoda je univerzalna in je primerna tako za velike kot majhne organizacije v vladnem in komercialnem sektorju. Različice programske opreme CRAMM, namenjene različnim vrstam organizacij, se med seboj razlikujejo po bazah znanja (profilih): obstaja komercialni profil za komercialne organizacije in profil vlade za vladne organizacije. Vladna različica profila omogoča tudi revizijo skladnosti z zahtevami ameriškega standarda ITSEC ("Orange Book"). Konceptualni diagram CRAMM raziskave je prikazan na sl. 2.

S pravilno uporabo metode CRAMM je mogoče doseči zelo dobre rezultate, med katerimi je morda najpomembnejša možnost ekonomske upravičenosti stroškov organizacije za zagotavljanje informacijske varnosti in neprekinjenosti poslovanja. Ekonomsko utemeljena strategija obvladovanja tveganj na koncu prihrani denar, hkrati pa se izogne ​​nepotrebnim stroškom.

CRAMM vključuje razdelitev celotnega postopka na tri zaporedne stopnje. Naloga prve stopnje je odgovoriti na vprašanje: "Ali zadostuje zaščita sistema z orodji na osnovni ravni, ki izvajajo tradicionalne varnostne funkcije, ali je treba opraviti podrobnejšo analizo?" Na drugi stopnji se prepoznajo tveganja in oceni njihova velikost. Na tretji stopnji se odloča o vprašanju izbire ustreznih protiukrepov.

Metodologija CRAMM za vsako stopnjo opredeljuje niz začetnih podatkov, zaporedje dejavnosti, vprašalnike za razgovore, kontrolne sezname in niz dokumentov za poročanje.

Na prvi stopnji študije se izvede identifikacija in določitev vrednosti zaščitenih virov. Ocenjevanje se izvaja na desetstopenjski lestvici, meril za ocenjevanje pa je lahko več - finančne izgube, škoda ugledu itd. Opisi CRAMM dajejo primer takšne bonitetne lestvice v skladu z merilom "Finančne izgube, povezane z obnova virov ":

  • 2 točki - manj kot 1000 USD;
  • 6 točk - od 1.000 do 10.000 USD;
  • 8 točk - od 10.000 do 100.000 USD;
  • 10 točk - več kot 100.000 dolarjev

Z nizko oceno za vsa uporabljena merila (3 točke in manj) se šteje, da osnovna raven zaščite zadošča za obravnavani sistem (ta raven ne zahteva podrobne ocene groženj varnosti informacij), drugi pa stopnja študija je preskočena.

Na drugi stopnji se prepoznajo in ocenijo grožnje na področju varnosti informacij, izvede se iskanje in ocena ranljivosti zaščitenega sistema. Stopnja grožnje je ocenjena na naslednji lestvici: zelo visoka, visoka, srednja, nizka, zelo nizka. Ranljivost je ocenjena kot visoka, srednja ali nizka. Na podlagi teh informacij se ocena stopnje tveganja izračuna na sedemstopenjski lestvici (slika 3).

Na tretji stopnji CRAMM ustvarja možnosti za protiukrepe za ugotovljena tveganja. Izdelek ponuja naslednje vrste priporočil:

  • splošna priporočila;
  • posebna priporočila;
  • primeri, kako lahko v tej situaciji organizirate zaščito.

CRAMM ima obsežno bazo podatkov, ki vsebuje opise približno 1000 primerov implementacije varnostnih podsistemov za različne računalniške sisteme. Ti opisi se lahko uporabljajo kot predloge.

Odločitev o uvedbi novih varnostnih mehanizmov v sistem in spreminjanju starih sprejema vodstvo organizacije, pri čemer upošteva s tem povezane stroške, njihovo sprejemljivost in končno korist za podjetje. Naloga revizorja je utemeljiti priporočena dejanja za vodenje organizacije.

Če se sprejme odločitev o uvedbi novih protiukrepov in spremembi starih, bo revizor lahko zadolžen za pripravo izvedbenega načrta in oceno učinkovitosti uporabe teh ukrepov. Rešitev teh težav presega področje uporabe metode CRAMM.

Slabosti metode CRAMM vključujejo naslednje:

  • metoda zahteva posebno usposabljanje in visoko usposobljenost revizorja;
  • revizija po metodi CRAMM je precej naporen postopek in lahko zahteva mesece neprekinjenega dela revizorja;
  • CRAMM je veliko bolj primeren za revizijo že obstoječih IS, ki so bili v uporabi, kot za IS, ki so v razvoju;
  • S programskim orodjem CRAMM nastane velika količina papirnate dokumentacije, ki v praksi ni vedno uporabna;
  • CRAMM vam ne dovoljuje ustvarjanja lastnih predlog poročila ali spreminjanja obstoječih;
  • možnost dodajanja baze znanja CRAMM uporabnikom ni na voljo, kar povzroča določene težave pri prilagajanju te metode potrebam določene organizacije;
  • Programska oprema CRAMM ni lokalizirana, obstaja samo v angleščini;
  • visoki stroški licence - od 2.000 do 5.000 USD

RiskWatch

Programska oprema RiskWatch je močno orodje za analizo in upravljanje tveganj. Družina RiskWatch vključuje programske izdelke za različne vrste varnostnih pregledov. Vključuje naslednja orodja za revizijo in analizo tveganja:

  • RiskWatch za fizično varnost - za fizične metode zaščite IP;
  • RiskWatch za informacijske sisteme - za informacijska tveganja;
  • HIPAA -WATCH za zdravstveno industrijo - za oceno skladnosti z zahtevami standarda HIPAA (Zakon o prenosljivosti in odgovornosti zdravstvenega zavarovanja ZDA);
  • RiskWatch RW17799 za ISO 17799 - za ocenjevanje skladnosti z ISO 17799.

Metoda RiskWatch kot merilo za ocenjevanje in obvladovanje tveganja uporablja predvidevanje letnih izgub (ALE) in donosnost naložbe (ROI).

Družina programskih izdelkov RiskWatch ima številne prednosti. RiskWatch vam pomaga izvesti analizo tveganja in se informirano odločiti o ukrepih in pravnih sredstvih. V nasprotju z CRAMM je RiskWatch bolj osredotočen na natančno količinsko opredelitev razmerja izgub med varnostnimi grožnjami in stroškov ustvarjanja zaščitnega sistema. Prav tako je treba opozoriti, da se v tem izdelku tveganja na področju informacij in fizične varnosti računalniškega omrežja podjetja obravnavajo skupaj.

Izdelek RiskWatch temelji na metodologiji analize tveganja, ki jo lahko razdelimo v štiri stopnje.

Prva faza je opredelitev predmeta raziskovanja. Opisuje take parametre, kot so vrsta organizacije, sestava obravnavanega sistema (na splošno), osnovne zahteve na področju varnosti. Za lažje delo analitika predloge, ki ustrezajo vrsti organizacije ("komercialni informacijski sistem", "državni / vojaški informacijski sistem" itd.), Vsebujejo sezname kategorij zaščitenih virov, izgub, groženj, ranljivosti in zaščitnih ukrepov. Od teh morate izbrati tiste, ki so dejansko prisotne v organizaciji.

Na primer, za izgube so predvidene naslednje kategorije:

  • zamude in zavrnitev storitve;
  • razkritje informacij;
  • neposredne izgube (na primer zaradi uničenja opreme v požaru);
  • življenje in zdravje (osebje, stranke itd.);
  • sprememba podatkov;
  • posredne izgube (na primer stroški obnove);
  • ugled.

Druga stopnja je vnos podatkov, ki opisujejo posebne značilnosti sistema. Vnesete jih lahko ročno ali jih uvozite iz poročil, ki jih ustvarijo orodja za raziskovanje ranljivosti računalniškega omrežja.

Na tej stopnji so podrobno opisani viri, izgube in razredi incidentov. Razredi incidentov se pridobijo z ujemanjem kategorije izgube in kategorije virov.

Za ugotavljanje možnih ranljivosti se uporablja vprašalnik, katerega zbirka podatkov vsebuje več kot 600 vprašanj. Vprašanja se nanašajo na kategorije virov. Določena je pogostost pojavljanja vsake od izbranih groženj, stopnja ranljivosti in vrednost virov. Vse to se v prihodnje uporablja za izračun učinka uvedbe zaščitne opreme.

Tretja in verjetno najpomembnejša stopnja je kvantitativna ocena. Na tej stopnji se izračuna profil tveganja in izberejo varnostni ukrepi. Najprej se vzpostavijo povezave med viri, izgubami, grožnjami in ranljivostmi, ugotovljenimi v prejšnjih korakih študije (tveganje je opisano s kombinacijo teh štirih parametrov).

Dejansko je tveganje ocenjeno z uporabo matematičnega pričakovanja izgub za leto. Na primer, če so stroški strežnika 150.000 USD in verjetnost, da ga bo požar uničil v enem letu, je 0,01, potem je pričakovana izguba 1500 USD.

Znana formula m = pxv, kjer je m matematično pričakovanje, p je verjetnost grožnje, v je cena vira, je doživela nekatere spremembe zaradi dejstva, da RiskWatch uporablja ocene, ki jih je določil Ameriški inštitut za Standardi NIST, imenovani LAFE in SAFE. LAFE (Local Annual Frequency Estimate) prikazuje, kolikokrat na leto se v določenem kraju (na primer v mestu) v povprečju izvaja določena grožnja. SAFE (Standard Annual Frequency Estimate) kaže, kolikokrat na leto se v povprečju pojavi določena grožnja v tem "delu sveta" (na primer v Severni Ameriki). Uveden je tudi korekcijski faktor, ki omogoča upoštevanje, da se ob spoznanju grožnje zaščiteni vir morda ne uniči v celoti, ampak le delno.

Poleg tega se upoštevajo scenariji "kaj če ...", ki vam omogočajo, da opišete podobne situacije ob upoštevanju zaščitnih ukrepov. S primerjavo pričakovanih izgub z in brez izvajanja zaščitnih ukrepov je mogoče oceniti učinek takšnih ukrepov.

RiskWatch vključuje zbirke podatkov z ocenami LAFE in SAFE ter splošen opis različni tipi zaščitna sredstva.

Kazalnik donosnosti naložb (ROI), ki prikazuje donosnost naložb v določenem časovnem obdobju, količinsko opredeli vpliv varnostnih posegov. Ta kazalnik se izračuna po formuli:

kjer so Costsi stroški izvajanja in vzdrževanja i-tega zaščitnega ukrepa; Benefitsi - ocena koristi (pričakovano zmanjšanje izgub), ki jih prinaša izvajanje tega zaščitnega ukrepa; NVP (Net Value Present) se prilagaja inflaciji.

Četrta faza je priprava poročil. Na voljo so naslednje vrste poročil:

  • kratek povzetek;
  • popolna in povzeta poročila o elementih, opisanih v stopnjah 1 in 2;
  • poročilo o stroških zaščitenih virov in pričakovanih izgubah pri izvajanju groženj;
  • poročilo o grožnjah in protiukrepih;
  • Poročilo o donosnosti naložb;
  • poročilo o varnostni reviziji.

Primer izračuna donosnosti naložb za različne zaščitne ukrepe je prikazan na sl. 5.

Tako vam RiskWatch omogoča oceno ne le tveganj, ki trenutno obstajajo v podjetju, temveč tudi koristi, ki jih lahko prinese izvajanje fizičnih, tehničnih, programskih in drugih sredstev in mehanizmov zaščite. Pripravljena poročila in grafi so dovolj materiali za odločanje o spremembi varnostnega sistema podjetja.

Za domače uporabnike je težava v tem, da je za naše razmere precej težko dobiti ocene, uporabljene v sistemu RiskWatch (kot sta LAFE in SAFE). Čeprav se lahko sama metodologija pri nas uspešno uporablja.

Če povzamemo, ugotavljamo, da je treba pri izbiri posebne metodologije za analizo tveganj v podjetju in orodij, ki jo podpirajo, odgovoriti na vprašanje: ali je treba imeti natančno količinsko oceno posledic uresničevanja groženj ali zadostuje ocena na kakovostni ravni. Upoštevati je treba tudi naslednje dejavnike: prisotnost strokovnjakov, ki so sposobni dati zanesljive ocene obsega izgub zaradi groženj informacijske varnosti, in razpoložljivost zanesljive statistike incidentov na področju informacijske varnosti v podjetju .

Slabosti programa RiskWatch so naslednje:

  • ta metoda je primerna, če je potrebna analiza tveganja na ravni programske in strojne zaščite, ne da bi pri tem upoštevali organizacijske in upravne dejavnike;
  • pridobljene ocene tveganja (matematično pričakovanje izgub) s sistemskega vidika ne izčrpajo razumevanja tveganja - metoda ne upošteva celostnega pristopa k varnosti informacij;
  • Programska oprema RiskWatch je na voljo samo v angleščini;
  • visoki stroški licence - od 10.000 USD na sedež za majhno podjetje.

Vrat

GRIF je celovit sistem za analizo in upravljanje tveganj informacijskega sistema podjetja. GRIF 2005 iz urada za digitalno varnost (http://www.dsec.ru/products/grif/) daje sliko varnosti informacijskih virov v sistemu in vam omogoča, da izberete optimalno strategijo za zaščito korporativnih informacij.

Sistem GRIF analizira raven zaščite virov, oceni morebitno škodo zaradi izvajanja groženj IS in pomaga pri obvladovanju tveganj z izbiro protiukrepov.

Analiza tveganj IS se izvaja na dva načina: z uporabo modela tokov informacij ali modela groženj in ranljivosti, odvisno od tega, kakšne začetne podatke ima uporabnik, pa tudi od tega, kateri podatki ga pri izhodu zanimajo.

Model pretoka informacij

Pri delu z modelom tokov informacij sistem uvaja popolne informacije o vseh virih z dragocenimi informacijami, uporabnikih, ki imajo dostop do teh virov, vrstah in pravicah dostopa. Zabeležijo se podatki o vseh sredstvih zaščite vsakega vira, omrežni povezanosti virov, značilnosti varnostne politike podjetja. Rezultat je popoln model informacijskega sistema.

Na prvi stopnji dela s programom uporabnik vnese vse predmete svojega informacijskega sistema: oddelke, vire (posebni predmeti tega modela vključujejo skupine omrežij, omrežne naprave, vrste informacij, skupine uporabnikov, poslovni procesi).

Nato mora uporabnik dodeliti povezave, to je, da določi, katerim oddelkom in omrežnim skupinam pripadajo viri, katere informacije so shranjene v viru in katere skupine uporabnikov imajo dostop do njih. Uporabnik navede tudi sredstva za zaščito vira in informacij.

Na zadnji stopnji uporabnik odgovori na seznam vprašanj o varnostni politiki, ki se izvaja v sistemu, kar omogoča oceno dejanske ravni varnosti sistema in podrobno oceno tveganja.

Razpoložljivost sredstev varovanje informacij opaženo na prvi stopnji, samo po sebi še ne zagotavlja varnosti sistema v primeru njihove neustrezne uporabe in odsotnosti celovite varnostne politike, ki upošteva vse vidike varstva podatkov, vključno z vprašanji zaščite, fizične varnosti, varnosti osebja , neprekinjeno poslovanje itd.

Kot rezultat izvajanja vseh dejanj na teh stopnjah rezultat tvori celoten model informacijskega sistema z vidika informacijske varnosti, ob upoštevanju dejanskega izpolnjevanja zahtev celovite varnostne politike, ki vam omogoča, da do programska analiza vnesene podatke za pridobitev celovite ocene tveganja in oblikovanja končnega poročila.

Model groženj in ranljivosti

Delo z modelom analize groženj in ranljivosti vključuje prepoznavanje ranljivosti vsakega vira z dragocenimi informacijami in ustreznimi grožnjami, ki jih je mogoče izvesti s temi ranljivostmi. Rezultat je popolna slika slabosti v informacijskem sistemu in škode, ki jo je mogoče narediti.

Na prvi stopnji dela z izdelkom uporabnik v sistem vnese predmete svojega IS: oddelke, vire (posebni predmeti za ta model vključujejo grožnje informacijskemu sistemu in ranljivosti, skozi katere se grožnje izvajajo).

GRIF 2005 vključuje obsežne vgrajene kataloge groženj in ranljivosti, ki vsebujejo približno 100 groženj in 200 ranljivosti. Za največjo popolnost in vsestranskost teh katalogov so strokovnjaki za digitalno varnost razvili posebno klasifikacijo groženj, DSECCT, ki izvaja dolgoletne praktične izkušnje na področju informacijske varnosti. Z uporabo teh imenikov lahko uporabnik izbere grožnje in ranljivosti, povezane z njegovim informacijskim sistemom.

Algoritem sistema GRIF 2005 analizira izdelani model in ustvari poročilo, ki vsebuje vrednosti tveganja za vsak vir. Konfiguracija poročila je lahko skoraj vsaka, kar vam omogoča, da ustvarite zbirna poročila za upravljanje in podrobna poročila za nadaljnje delo z rezultati (slika 6).
Riž. 6. Primer poročila v sistemu GRIF 2005.

Sistem GRIF 2005 vsebuje modul za obvladovanje tveganj, ki vam omogoča analizo vseh razlogov, da po obdelavi vnesenih podatkov po algoritmu dobimo ravno to vrednost tveganja. Tako je ob poznavanju razlogov mogoče pridobiti podatke, potrebne za izvajanje protiukrepov, in s tem zmanjšati stopnjo tveganja. Po izračunu učinkovitosti vsakega možnega protiukrepa in določitvi vrednosti preostalega tveganja lahko izberete protiukrepe, ki bodo zmanjšali tveganje na zahtevano raven.

Kot rezultat dela s sistemom GRIF je izdelano podrobno poročilo o stopnji tveganja vsakega dragocenega vira informacijskega sistema podjetja, vsi razlogi za tveganje so navedeni s podrobno analizo ranljivosti in oceno ekonomskega učinkovitost vseh možnih protiukrepov.

***

Najboljše svetovne prakse in vodilni mednarodni standardi na področju informacijske varnosti, zlasti ISO 17799, zahtevajo izvajanje sistema analize in upravljanja tveganj za učinkovito upravljanje varnosti informacijskega sistema. V tem primeru lahko uporabite katero koli priročno orodje, glavna stvar pa je, da vedno jasno razumete, da je sistem za zaščito informacij nastal na podlagi analize informacijskih tveganj, preverjenih in utemeljenih. Analiza in upravljanje informacijskih tveganj je ključni dejavnik za izgradnjo učinkovite zaščite informacijskega sistema.



Niste našli odgovora na svoje vprašanje? Poglej tukaj
Napake v singularnosti?Napake v singularnosti?
Just Cause 2 se zrušiJust Cause 2 se zruši
Terraria se ne zažene, kaj naj storim?Terraria se ne zažene, kaj naj storim?