Сергей Авдошин - Информатизация бизнеса. Управление рисками

В качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» (Annual Loss Expectancy – ALE) и оценка «возврата от инвестиций» (Return on Investment – ROI). В части оценки рисков система дает возможность устанавливать связи между ресурсами, потерями, угрозами и уязвимостями, рассчитывать математические ожидания потерь с учетом частоты возникновения угрозы риска и стоимость ресурса, который подвергается риску. Дополнительно рассматриваются сценарии «что, если», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты.

Для выявления возможных уязвимостей используется вопросник, база которого содержит более 600 вопросов, связанных с категориями ресурсов. Также задаются частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Для многих видов угроз в системе есть среднегодовые оценки возникновения, которые используются в дальнейшем для расчета эффекта от внедрения средств защиты.

Risk Watch позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении информационной системы предприятия.

4. CRAMM (CCTA Risk Analysis and Management Method – CCTA UK). Система CRAMM создана на основе методологии управления рисками CRAMM и предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. В модель оценки заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по контрмерам. Для каждой группы ресурсов и каждого из 36 типов угроз/уязвимостей генерируется список вопросов, допускающих однозначный ответ. Уровень угроз и уязвимостей оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Далее CRAMM объединяет угрозы и уязвимости в матрице риска. Система нацелена на детальную оценку рисков и эффективности предполагаемых к использованию комбинаций методов управления рисками. Помимо анализа рисков, CRAMM позволяет решать ряд параллельных задач, включая:

• проведение обследования используемой/внедряемой ИТ и выпуск сопроводительной документации на всех этапах его проведения;

• проведение аудита на основе стандарта безопасности информации BS 7799:1995;

• разработку политики безопасности и плана обеспечения непрерывности бизнеса.

CRAMM является универсальным методом и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles).

5. КОНДОР+ ( Digital Security ). Программный продукт позволяет менеджерам ИТ-проектов проверить политику информационной безопасности компании на соответствие требованиям ISO 17799. КОНДОР+ включает в себя более 200 вопросов, ответив на которые специалист получает подробный отчет о состоянии существующей политики безопасности, а также модуль оценки уровня рисков соответствия требованиям ISO 17799.

В отчете отражаются все положения политики безопасности, которые соответствуют и не соответствуют стандарту, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Элементам, которые не выполняются, даются комментарии и рекомендации экспертов. По желанию специалиста, работающего с программой, могут быть выбраны генерация отчета, например по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству. Все варианты отчетов для большей наглядности сопровождаются диаграммами.

КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта, а также иметь возможность представлять отчеты руководству, свидетельствующие о целесообразности и обоснованности инвестиций в обеспечение безопасности информационной системы компании. К недостаткам системы можно отнести отсутствие возможности установки пользователем веса на каждое требование и внесения пользователем комментариев.