Инструментальные средства анализа рисков

Автор работы: Пользователь скрыл имя, 18 Октября 2013 в 09:00, творческая работа

Краткое описание

Актуальность задачи обеспечения информационной безопасности для бизнеса

Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

Вложенные файлы: 1 файл

Инструментальные средства анализа рисков.ppt

— 137.00 Кб (Скачать файл)

 

 

 

 

Инструментальные средства анализа рисков

 

 

 

 

Актуальность задачи обеспечения информационной безопасности для бизнеса 

 

  • Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

 

 

 

 

Обоснование необходимости инвестиций в информационную безопасность компании

 

  • По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:
  • ограничение бюджета;
  • отсутствие поддержки со стороны руководства.

 

 

 

 

Обоснование необходимости инвестиций в информационную безопасность компании

 

  • Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

 

 

 

 

 

Обоснование необходимости инвестиций в информационную безопасность компании

 

  • Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и всё это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.

 

 

 

 

Обоснование необходимости инвестиций в информационную безопасность компании

 

  • Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security). Рассмотрим далее данные методы и построенные на их базе программные системы.

 

 

 

 

CRAMM 

 

  • Метод CRAMM (CCTA Risk Analysis and Managment Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 г ., правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире.

 

 

 

 

CRAMM

 

В настоящее время CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

  • проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
  • проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 «Code of Practice for Information Security Management»;
  • разработка политики безопасности и плана обеспечения непрерывности бизнеса.

 

 

 

 

CRAMM

 

  • В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC (<Оранжевая книга>).

 

 

 

 

CRAMM

 

К недостаткам метода CRAMM можно отнести следующее:

  • Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
  • CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
  • аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
  • программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике; 

 

 

 

 

CRAMM

 

  • CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся; 
  • возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
  • программное обеспечение CRAMM существует только на английском языке;
  • стоимость лицензии от 2000 до 5000 долл.

 

 

 

 

RiskWatch 

 

  • Программное обеспечение RiskWatch является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

 

 

 

 

RiskWatch

 

  • RiskWatch for Physical Security - для физических методов защиты ИС; 
  • RiskWatch for Information Systems - для информационных рисков;
  • HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);
  • RiskWatch RW17799 for ISO 17799 - для оценки требованиям стандарта ISO 17799.
  • В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).

 

 

 

 

RiskWatch

 

  • В отличие от CRAMM, программа RiskWatch более ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Надо также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно.

 

 

 

 

RiskWatch

 

К недостаткам RiskWatch можно отнести:

  • Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов.
  • Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности.
  • Программное обеспечение RiskWatch существует только на английском языке.
  • Высокая стоимость лицензии (от 10 000 долл. за одно рабочее место для небольшой компании).

 

 

 

 

 

ГРИФ 

 

ГРИФ - комплексная система анализа и управления рисками информационной системы компании. ГРИФ из состава Digital Security Office дает полную картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты информации компании.

 

 

 

 

ГРИФ 

 

Система ГРИФ:

  • Анализирует уровень защищенности всех ценных ресурсов компании
  • Оценивает возможный ущерб, который понесет компания в результате реализации угроз информационной безопасности
  • Позволяет эффективно управлять рисками при помощи выбора контрмер, наиболее оптимальных по соотношению цена/качество

 

 

 

 

 

ГРИФ 

 

Как работает система ГРИФ:

  • Система ГРИФ предоставляет возможность проводить анализ рисков информационной системы при помощи анализа модели информационных потоков, а также, анализируя модель угроз и уязвимостей - в зависимости от того, какими исходными данными располагает пользователь, а также от того, какие данные интересуют пользователя на выходе.

 

 

 

 

Сравнительный анализ инструментальных средств анализа рисков

 

 

 


Информация о работе Инструментальные средства анализа рисков