Инструментарий базового уровня

Вначале рассмотрим инструментарий, соответствующий ISO17799:

Справочные и методические материалы.

ПО анализа рисков и аудита "Cobra".

ПО анализа рисков и аудита "Software Tool".

Справочные и методические материалы

Ряд Британских фирм предлагает следующие продукты:

Information Security Police

SOS — INTERACTIVE 'ONLINE' SECURITY POLICIES AND SUPPORT

Security Professionals Guide

Эти продукты представляют собой справочники, посвященные практическим аспектам реализации политики безопасности в соответствии с ISO17799, вид справочника приводится на Рис. 5. Демонстрационные версии (Evaluation version) можно загрузить с сайта.

Рисунок 5. Справочник 'ONLINE' SECURITY POLICIES AND SUPPORT

Эти методические материалы детализируют требования ISO17799 и выполнены в стиле этого стандарта. Достоинством является гипертекстовая структура, удобная навигация.

Еще один продукт подобного рода — "THE ISO17799 TOOLKIT" — текст стандарта ISO17799 с комплектом методических материалов и презентацией.

COBRA

ПО COBRA [[9]], производитель — C & A Systems Security Ltd., позволяет формализовать и ускорить процесс проверки на соответствие режима информационной безопасности требованиям Британского стандарта BS 7799 (ISO 17799) и провести анализ рисков. Имеется несколько баз знаний: общие требования BS 7799 (ISO 17799) и специализированные базы, ориентированные на различные области применения. Доступна Evaluation version этого ПО.

COBRA позволяет представить требования стандарта в виде тематических "вопросников" по отдельным аспектам деятельности организации, пример приводится на Рис. 6.

Рисунок 6. Анализ рисков с использованием ПО "Cobra"

Анализ рисков, выполняемый данным методом, соответствует базовому уровню безопасности, т.е. уровни рисков не определяются. Достоинством методики является простота. Необходимо ответить на несколько десятков вопросов, затем автоматически формируется отчет.

Этот программный продукт может использоваться при проведении аудита ИБ или для работы специалистов служб, отвечающих за обеспечение информационной безопасности.

Простота, соответствие международному стандарту, сравнительно небольшое число вопросов, позволяют легко адаптировать этот метод для работы в отечественных условиях.

RA Software Tool

Еще один метод, условно относящийся к базовому уровню — RA Software Tool, базируется на британском стандарте BS 7799 часть 1 и 2, методических материалах британского института стандартов (BSI) PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799) , PD 3005 (Руководство по выбору системы защиты), а также стандарт ISO 13335 часть 3 и 4 (Руководство по управлению режимом информационной безопасности, технологии управления безопасностью и выбор средств защиты). Основные модули этого метода показаны на Рис. 7.

Рисунок 7. Основные модули RA Software Tool

Этот инструментарий позволяет выполнять оценку рисков (модули 4 и 5) как в соответствии с требованиями базового уровня, так и в соответствии с более детальными спецификациями PD 3002 Британского института стандартов. Каждый из модулей разбивается, в свою очередь, на ряд шагов (Рис. 8).

Рисунок 8. Детальная оценка рисков в RA Software Tool, основные шаги

Демонстрационная версия данного метода, доступная на сайте, отличается от полной версии небольшими купюрами, и может быть полезна при разработке собственных методик и инструментария для анализа и управления рисками.