Оценка возможностей метода Risk Advisor

Данный инструмент позволяет документировать всевозможные аспекты, связанные с управлением риском, на верхних уровнях — административном и организационном. Программно-технические аспекты описывать в данной модели не очень удобно. Оценки даются в качественных шкалах, подробного анализа факторов рисков не предусмотрено.

Сильной стороной данного метода является возможность описания разноплановых взаимосвязей, адекватного учета многих факторов риска.

АванГард

В настоящее время на российском рынке продается отечественное ПО "АванГард", разработка института системного анализа РАН.

"АванГард" позиционируется как экспертная система управления информационной безопасностью. Предлагаются две версии метода: "АванГард-Анализ" — для проведения анализа рисков, "АванГард-Контроль" — управление рисками. Структура и функции комплекса приводятся на Рис. 13.

Рисунок 13. Структура и функции "АванГард"

Данный программный комплекс обладает развитыми средствами для построения моделей информационных систем с позиции информационной безопасности. В нем, в отличие от описанного выше Risk Advisor, можно строить модели разных уровней (административного, организационного, программно-технического, физического) и разной степени абстракции.

Авторы метода постарались не вносить "внутрь" конкретные методики расчета составляющих элементов рисков. Риск (в терминах авторов размер риска) определяется как произведение ущерба (в терминах авторов цена риска) на вероятность риска. Исходные данные — ущерб и вероятность должны быть введены в модель. Существует справочная база данных, помогающая ЛПР в выборе этих значений, но процедура намеренно не формализована.

Такой подход имеет свои достоинства и недостатки. Недостатком является то, что методологически сложный этап — выбор значений, которые к тому же должны быть измерены в количественных шкалах, полностью перекладывается на аналитика (пользователя). Какой-либо верификации значений не предполагается.

Другая особенность — базы данных заполняются информацией под конкретный заказ. Универсальной версии, рассчитанной на "среднего" потребителя не поставляется.

Таким образом, "АванГард" подходит для построения ведомственных методик анализа и управления рисками, но вряд ли его можно рассматривать как универсальный инструментарий аналитика.

RiskWatch

Компания RiskWatch предлагает два продукта: один в области информационной безопасности, второй в области физической безопасности. ПО предназначено для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и "физической" безопасности предприятия.

В продукте, предназначенном для управления рисками в информационных системах, учитываются требования стандартов США (можно выбирать требуемый уровень защищенности). Кроме того, выпущена версия продукта RiskWatch RW17799╝, соответствующая стандарту ISO 17799.

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы.

Первая фаза — определение предмета исследования. На данном этапе описываются параметры организации — тип организации, состав исследуемой системы, базовые требования в области безопасности (Рис. 14). Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания (Рис. 15) или пропустить.

Рисунок 14. Описание информационной системы с позиции безопасности в RiskWatch

Далее каждый из выбранных пунктов описывается подробно.

Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

На Рис. 15 приводится пример описания различных категорий ресурсов.

Рисунок 15. Описание ресурсов информационной системы

Допускается модификация названий, описаний, а также добавление новых категорий. Это позволяет достаточно просто русифицировать данный метод.

Вторая фаза — ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

На этом этапе:

Подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов;

Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов. Допускается корректировка вопросов, исключение или добавление новых.

Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффективности внедрения средств защиты.

Рисунок 16. Оценка параметров угроз с использованием статистических данных

Третья фаза — оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах.

Для рисков рассчитываются математические ожидания потерь за год по формуле: m=p * v

где p — частота возникновения угрозы в течении года, v — стоимость ресурса, который подвергается угрозе.

Например, если стоимость сервера $150000, а вероятность того, что он будет уничтожен пожаром в течение года равна 0.01, то ожидаемые потери составят $1500.

Дополнительно рассматриваются сценарии "что если...", которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них можно оценить эффект от таких мероприятий.

Рисунок 17. Содержание третьей стадии в RiskWatch

Четвертая фаза — генерация отчетов (Рис. 18). Типы отчетов:

Краткие итоги.

Полные и краткие отчеты об элементах, описанных на стадиях 1 и 2.

Отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз.

Отчет об угрозах и мерах противодействия.

Отчет о результатах аудита безопасности.

Рисунок 18. Фрагмент отчета