2020-09-24
647
GRAMM. Cудя по числу ссылок в Internet, – самое распространенное средство анализа рисков и управления ими. Последние версии продукта соответствуют стандарту ISO/IEC 27005. Анализ рисков включает идентификацию и вычисление уровней рисков на основе оценок, присвоенных активам, угрозам и уязвимостям активов. Контроль рисков состоит в идентификации и выборе контрмер, благодаря которым удается снизить риски до приемлемого уровня. Формальный метод, основанный на концепции GRAMM, позволяет убедиться, что защита охватывает всю систему и существует уверенность в том, что: все возможные риски идентифицированы; уязвимости активов идентифицированы и их уровни оценены; угрозы идентифицированы и их уровни оценены; контрмеры эффективны; расходы, связанные с ИБ, оправданы.
Средства компании MethodWare. Компания MethodWare выпускает ряд продуктов, которые могут быть полезными для аналитиков в области информационной безопасности при проведении анализа рисков, управлении рисками, аудите информационной безопасности. Речь идет о:
|
|
|
• ПО анализа и управления рисками Operational Risk Builder и Risk Advisor. Методология отвечает австралийскому стандарту Australian/New Zealand Risk Management Standard. Последние версии соответствуют ISO/IEC 27005;
• ПО управления жизненным циклом информационной технологии в соответствии с открытым стандартом в области информационных технологий CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками;
• ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder.
Рассмотрим ПО Risk Advisor. Оно позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов. Основные этапы работы: описание контекста; описание рисков; описание угроз; оценка потерь; анализ управляющих воздействий; предложение контрмер и плана действий.
Описание контекста. На этом этапе рассматривается несколько аспектов модели взаимодействия организации с внешним миром: стратегический, организационный, бизнес-цели, управление рисками, а также критерии оценивания рисков. В стратегическом аспекте анализируются сильные и слабые стороны организации с внешних позиций, варианты развития, классы угроз и отношения с партнерами. Организационный контекст отражает отношения внутри организации: стратегию, цели на организационном уровне, внутреннюю политику. Контекст управления рисками представляет собой концепцию информационной безопасности. Контекст бизнес-целей – основные бизнес-цели. Критерии оценивания рисков – имеются в виду критерии, принятые при управлении рисками.
|
|
|
Описание рисков. Задается матрица рисков, поэтому риски описываются в соответствии с определенным шаблоном и устанавливаются связи этих рисков с другими элементами модели. Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые на основе простейшей модели. Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Стоимость и эффективность также оцениваются в качественных шкалах.
Описание угроз. Прежде всего, формируется список угроз. Угрозы определенным образом классифицируются, затем рассматривается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать эти взаимосвязи.
Описание потерь. Перечисляются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.
Анализ результатов. В результате построения модели можно сформировать подробный отчет (около 100 разделов), посмотреть на экране агрегированные описания в виде графика рисков.
Оценка возможностей метода Risk Advisor показывает, что данный инструмент позволяет документировать всевозможные аспекты, связанные с управлением риском на верхних уровнях – административном и организационном. Сильной стороной данного метода является возможность представления разноплановых взаимосвязей, адекватного учета многих факторов риска.
Экспертная система «АванГард». Продукт разработан Институтом системного анализа РАН. «АванГард» позиционируется как экспертная система управления информационной безопасностью. Типовой пакет программных средств «АванГард» включает два программных комплекса – «АванГард-Анализ» и «АванГард-Контроль». Каждый из этих комплексов базируется на своей методике оценки рисков.
RiskWatch. Компания RiskWatch предлагает два продукта: один относится к информационной, второй – к физической безопасности. ПО предназначено для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в области компьютерной и физической безопасности предприятия. В продукте, предназначенном для управления рисками в информационных системах, учитываются требования стандартов США (можно выбирать требуемый уровень защищенности). Кроме того, выпущена версия продукта RiskWatch, соответствующая стандарту ISO/IEC 27005. RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика состоит из четырех этапов. Первый этап – определение предмета исследования. На данном этапе описываются параметры организации: ее тип, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно отметить для подробной детализации или пропустить. Далее каждый из указанных пунктов описывается подробно. Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно отобрать те, которые реально присутствуют в организации. Допускается модификация названий и описаний, а также добавление новых категорий, что позволяет достаточно просто русифицировать данный метод. Второй этап – внесение данных, касающихся конкретных характеристик системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе:
• подробно описываются ресурсы (активы), потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов;
|
|
|
• с помощью опросника, база которого содержит более 600 вопросов, выявляются возможные уязвимости. Вопросы связаны с категориями ресурсов. Допускается корректировка и исключение вопросов или добавление новых;
• задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это служит в дальнейшем для расчета эффективности внедрения средств защиты.
Третий этап – оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год по формуле: m = р * v, где р – частота возникновения угрозы в течение года, v – стоимость ресурса, который подвергается угрозе. Например, если стоимость сервера составляет 150 000 долл., а вероятность его уничтожения пожаром в течение года – 0,01, то ожидаемые потери будут равны 1500 долл. Дополнительно рассматриваются сценарии «что если...», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при наличии защитных мер и без них, можно оценить эффект от таких мероприятий.
Четвертый этап – генерация отчетов. Типы отчетов:
• краткие итоги;
• полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;
• отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз;
• отчет об угрозах и мерах противодействия;
• отчет о результатах аудита безопасности.
Обобщая сказанное, можно утверждать, что в RiskWatch используется упрощенный подход как к описанию модели информационной системы, так и к оценке рисков. Данный метод удобен, если требуется провести анализ рисков на программно-техническом уровне защиты без учета организационных и административных факторов. Существенным достоинством RiskWatch с точки зрения отечественного потребителя является его сравнительная простота, малая трудоемкость русификации и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д. На основе этого метода отечественные разработчики могут создавать свои профили, отражающие отечественные требования в области безопасности, разрабатывать ведомственные методики анализа и управления рисками.
|
|
|
Digilal Security Office. Digital Security Office разработан и поставляется компанией Digital Security. Digital Security Office – комплексное решение для управления информационной безопасностью, позволяющее построить систему управления информационной безопасностью в соответствии со стандартами ISO/IEC 27001 и ISO/IEC 27005, а также самостоятельно проводить регулярный анализ рисков и управлять полученными результатами. Digital Security Office – законченное решение для комплексного управления информационной безопасностью, которое включает в себя систему анализа и управления информационными рисками ГРИФ и систему разработки и управления политикой безопасности информационной системы КОНДОР. Раньше ГРИФ и КОНДОР были отдельными продуктами. Все данные, которые заносятся для анализа политики безопасности, используются и при анализе рисков и наоборот. Отметим, что ГРИФ – комплексная система анализа и управления рисками информационной системы компании. ГРИФ дает полную картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты информации.
RA2 art of risk. Разработанный фирмами AEXIS Security Consultants и XiSEC Consultants Ltd инструментарий RA2 art of risk предоставляет программные средства для проектирования и внедрения системы управления информационной безопасностью (СУИБ, СМИБ) в соответствии с требованиями стандартов ISO/IEC 27001 и ISO/IEC 27005, включающие в себя:
определение области действия и бизнес требований, политики и целей СУИБ;
разработку реестра ресурсов СУИБ; оценка рисков СУИБ;
принятие решения по обработке рисков путем рассмотрения подходящих контрмер; процесс выбора системы механизмов контроля;
средства оценки безопасности предприятия;
средства документирования для разработки, например, Декларации о применимости и других документов СУИБ.
В RA2 art of risk реализован простой для понимания процессный подход. Процесс управления рисками может настраиваться под потребности конкретной организации.
vsRisk. Программное обеспечение для оценки рисков информационной безопасности в соответствии с требованиями стандартов ISO/IEC 27001 и ISO/IEC 27005. vsRisk (Risk Assessment Tool) – это совершенно новый и уникальный в своем роде инструмент для оценки рисков:
• Позволяет оценивать риски нарушения конфиденциальности, целостности и доступности информации для бизнеса, а также с точки зрения соблюдения законодательства и контрактных обязательств.
• Содержит интегрированную, регулярно обновляемую базу данных угроз и уязвимостей;
• Интергируется с инструментальным комплектом: ISMS Documentation Toolkit.
Callio Secura. Callio Secura является web-приложением, которое включает все необходимое для менеджера при разработке, внедрении, управлении и сертификации Information Security Management System (ISMS – Системы Управления Информационной Безопасностью), основанной на стандарте ISO/IEC 27001. С помощью Callio Secura вы примените практический метод разработки, внедрения, управления и сертификации Information Security Management System.
Можно отметить также такие продукты, как Decisioneering Crystal Ball и Microsoft Risk Modeling Tool.
