Masquerading of User Identity by Outsiders

Identification and Authentication

Logical Access Control

Accounting

Audit

Object Re-use

Security Testing

Software Integrity

Mobile Computing and Teleworking

Software Distribution

System Input/Output Controls

Network Security Management

Network Access Controls

System Administration Controls

Application Input/Output Controls

Back-up of Data

Security Education and Training

Security Policy

Security Infrastructure

Data Protection Legalisation

Incident Handling

Compliance Checks

Подобные классификаторы позволяют автоматически выбирать и предлагать конкретные варианты контрмер, возможных для рассматриваемой информационной системы. Владелец информационных ресурсов может отбирать из них приемлемые. Следующий шаг — оценка эффективности контрмер.

Задача оценки эффективности контрмер является не менее сложной, чем оценка рисков. Причина в том, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические) в конкретной информационной системе — методологически чрезвычайно сложная задача. По этой причине обычно используются упрощенные, качественные оценки эффективности контрмер.

Примером является таблица типичных значений эффективности контрмер, используемых в методе анализа рисков RiskWatch, рассматриваемом в следующем разделе.

Указанные в Таб. 5 значения являются ориентировочными оценками эффективности вложений в различные классы мероприятий в области защиты информации.

В ряде случаев используются более сложные таблицы, в которых эффективность зависит от ряда факторов (аналогично примеру оценки угроз и уязвимостей в 3.2.5).

На основе подобных таблиц делаются качественные оценки эффективности контрмер.

Таблица 5. Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment — возврат вложений)

Инструментальные средства анализа рисков позволяют автоматизировать работу специалистов в области защиты информации, осуществляющих оценку информационных рисков предприятия.

В Украине в настоящее время чаще всего используются разнообразные "бумажные" методики, достоинствами которых является гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании — системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к "Know how" компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.

Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (продается на рынке) либо являться собственностью ведомства или организации и не продаваться. Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками, и позволяют учесть специфику информационных технологий организации.

Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости.

В 2000 году был принят международный стандарт ISO 17799, за основу которого был взят Британский стандарт BS 7799. В результате большинство инструментальных средств (ПО анализа и управления рисками) было в последнее время модифицировано таким образом, чтобы обеспечить соответствие требованиям этого стандарта.

В обзоре ПО условно разделено на 2 группы:

ПО базового уровня;

ПО полного анализа рисков.

Надо учитывать, что это разделение весьма условно, поскольку инструментарий базового уровня зачастую содержит дополнительные возможности, относящиеся к полному анализу рисков.