Инструментальные средства анализа рисков
Творческая работа, 18 Октября 2013, автор: пользователь скрыл имя
Краткое описание
Актуальность задачи обеспечения информационной безопасности для бизнеса
Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).
Вложенные файлы: 1 файл
Инструментальные средства анализа рисков.ppt
— 137.00 Кб (Скачать файл)
Инструментальные средства анал
Актуальность задачи обеспечени
- Сегодня не вызывает сомнений н
еобходимость вложений в обеспе чение информационной безопасно сти современного крупного бизн еса. Основной вопрос современного б изнеса - как оценить необходимый уровен ь вложений в ИБ для обеспечени я максимальной эффективности и нвестиций в данную сферу. Для решения этого вопроса суще ствует только один способ - применять системы анализа риск ов, позволяющие оценить существующ ие в системе риски и выбрать о птимальный по эффективности ва риант защиты (по соотношению существующих в системе рисков к затратам на ИБ).
Обоснование необходимости инве
- По статистике, самым большим препятствием на
пути принятия каких-либо мер п о обеспечению информационной б езопасности в компании являютс я две причины: - ограничение бюджета;
- отсутствие поддержки со стороны руководства.
Обоснование необходимости инве
- Обе причины возникают из-за не
понимания руководством серьезн ости вопроса и сложности задач и для ИТ-менеджера обосновать, зачем необходимо вкладывать де ньги в информационную безопасн ость. Часто считается, что основная проблема заключае тся в том, что ИТ-менеджеры и руководител и разговаривают на разных язык ах - техническом и финансовом, но ведь и самим ИТ-специалиста м часто трудно оценить, на что потратить деньги и скол ько их требуется для обеспечен ия большей защищенности систем ы компании, чтобы эти расходы не оказались напрасными или чрезмерными.
Обоснование необходимости инве
- Если ИТ-менеджер четко предста
вляет, сколько компания может потерят ь денег в случае реализации уг роз, какие места в системе наиболее уязвимы, какие меры можно предпринять д ля повышения уровня защищеннос ти и при этом не потратить лиш них денег, и всё это подтверждено докумен тально, то решение задачи убедить руко водство обратить внимание и вы делить средства на обеспечение информационной безопасности с тановится значительно более ре альным.
Обоснование необходимости инве
- Для решения данной задачи были
разработаны программные компл ексы анализа и контроля информ ационных рисков: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security). Рассмотрим далее данные методы и построенные на их базе прог раммные системы.
CRAMM
- Метод CRAMM (CCTA Risk Analysis and Managment Method) был разработан Агентством по к
омпьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию Британского правите льства и взят на вооружение в качестве государственного стан дарта. Он используется, начиная с 1985 г ., правительственными и коммерчес кими организациями Великобрита нии. За это время CRAMM приобрел популярность во всем мире.
CRAMM
В настоящее время CRAMM
- это довольно мощный и универса
- проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
- проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 «Code of Practice for Information Security Management»;
- разработка политики безопасности и плана обеспечения непрерывности бизнеса.
CRAMM
- В основе метода CRAMM лежит комплексный подход к оце
нке рисков, сочетая количественные и качес твенные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечени я CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своим и базами знаний (profiles). Для коммерческих организаций и меется Коммерческий профиль (Commercial Profile), для правительственных организа ций - Правительственный профиль (Government profile). Правительственный вариант проф иля, также позволяет проводить ауди т на соответствие требованиям американского стандарта ITSEC (<Оранжевая книга>).
CRAMM
К недостаткам метода CRAMM можно отнести следующее:
- Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
- CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
- аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
- программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
CRAMM
- CRAMM не позволяет создавать с
обственные шаблоны отчетов или модифицировать имеющиеся; - возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
- программное обеспечение CRAMM существует только на английском языке;
- стоимость лицензии от 2000 до 5000 долл.
RiskWatch
- Программное обеспечение RiskWatch является мощным средством анал
иза и управления рисками. В семейство RiskWatch входят программные продукты дл я проведения различных видов а удита безопасности. Оно включает в себя следующие средства аудита и анализа риск ов:
RiskWatch
- RiskWatch for Physical Securit
y - для физических методов защ иты ИС; - RiskWatch for Information Systems - для информационных рисков;
- HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);
- RiskWatch RW17799 for ISO 17799 - для оценки требованиям стандарта ISO 17799.
- В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).
RiskWatch
- В отличие от CRAMM, программа RiskWatch более ориентирована на точную
количественную оценку соотноше ния потерь от угроз безопаснос ти и затрат на создание систем ы защиты. Надо также отметить, что в этом продукте риски в сф ере информационной и физическо й безопасности компьютерной се ти предприятия рассматриваются совместно.
RiskWatch
К недостаткам RiskWatch можно отнести:
- Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов.
- Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности.
- Программное обеспечение RiskWatch существует только на английском языке.
- Высокая стоимость лицензии (от 10 000 долл. за одно рабочее место для небольшой компании).
ГРИФ
ГРИФ - комплексная система анализа и
ГРИФ
Система ГРИФ:
- Анализирует уровень защищенности всех ценных ресурсов компании
- Оценивает возможный ущерб, который понесет компания в результате реализации угроз информационной безопасности
- Позволяет эффективно управлять рисками при помощи выбора контрмер, наиболее оптимальных по соотношению цена/качество
ГРИФ
Как работает система ГРИФ:
- Система ГРИФ предоставляет возможность проводить анализ рисков информационной системы при помощи анализа модели информационных потоков, а также, анализируя модель угроз и уязвимостей - в зависимости от того, какими исходными данными располагает пользователь, а также от того, какие данные интересуют пользователя на выходе.
Сравнительный анализ инструмен