Инструментарий для обеспечения повышенного уровня безопасности
Рассмотрим несколько методов, которые можно отнести к инструментарию для нужд организаций четвертого и пятого уровней зрелости. Четко провести границу между методами базового и полного анализа рисков сложно, примером является рассмотренный выше RA Software Tool, имеющий ряд простейших средств, которые позволяют формально отнести его к средствам полного анализа рисков. Ниже рассматривается инструментарий с более развитыми средствами анализа и управления рисками.
ПО компании MethodWare
Компания MethodWare выпускает ряд продуктов, которые могут использоваться аналитиками в области информационной безопасности при проведении анализа рисков, управлении рисками, аудите информационной безопасности. Это:
ПО анализа и управления рисками Operational Risk Builder и Risk Advisor. Методология соответствует австралийскому стандарту Australian/New Zealand Risk Management Standard (AS/NZS 4360:1999). Имеется и версия, соответствующая ISO17799.
ПО управления жизненным циклом информационной технологии: CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor. В руководствах CobiT существенное место уделяется анализу и управлению рисками.
ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder
Демо-версии этого ПО можно загрузить с сайта компании MethodWare.
Risk Advisor
Это ПО позиционируется как инструментарий аналитика или менеджера в области информационной безопасности. Реализована методика, позволяющая задать модель информационной системы с позиции информационной безопасности, идентифицировать риски, угрозы, потери в результате инцидентов.
Рисунок 9. Основные этапы в методе Risk Advisor
Основные этапы работы:
Описание контекста
Риски
Угрозы
Потери
Управляющие воздействия
Контрмеры и план действий
Описание контекста
На этапе описания контекста описывается модель взаимодействия организации с внешним миром в нескольких аспектах: стратегическом, организационном, бизнес-цели, управление рисками, критерии.
Стратегический аспект описывает сильные и слабые стороны организации с внешних позиций, варианты развития, классы угроз и отношения с партнерами.
Организационный контекст описывает отношения внутри организации: стратегию, цели на организационном уровне, внутреннюю политику.
Контекст управления рисками описывает концепцию информационной безопасности.
Контекст бизнес-целей — основные бизнес-цели.
Критерии оценки — критерии оценки, используемые при управлении рисками.
Описание рисков
Задается матрица рисков (Рис. 10), в результате риски будут описаны в соответствии с определенным шаблоном и заданы связи этих рисков с другими элементами модели.
Рисунок 10. Идентификация и определение рисков в Risk Advisor
Риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые (Рис. 11) на основе простейшей модели.
Рисунок 11. Разделение рисков на приемлемые и неприемлемые в Risk Advisor.
Затем выбираются управляющие воздействия (контрмеры) с учетом зафиксированной ранее системы критериев, эффективности контрмер и их стоимости. Стоимость и эффективность также оцениваются в качественных шкалах.
Описание угроз
В начале формируется список угроз. Угрозы определенным образом классифицируются, затем описывается связь между рисками и угрозами. Описание также делается на качественном уровне и позволяет зафиксировать их взаимосвязи.
Описание потерь
Описываются события (последствия), связанные с нарушением режима информационной безопасности. Потери оцениваются в выбранной системе критериев.
Анализ результатов
В результате построения модели можно сформировать подробный отчет (около100 разделов), посмотреть на экране агрегированные описания в виде графа рисков (Рис. 12).
Рисунок 12. Анализ результатов в Risk Advisor
Дата добавления: 2015-12-29; просмотров: 1101;