Meniul
AcasăWindows 7

Metode și produse software pentru evaluarea riscurilor. Metode și produse software pentru evaluarea riscurilor Instrumente software pentru managementul riscurilor

, (, "", "", ""). ,FRAP; (,). RiskWatch; , (CRAMM, Microsoft...).

CRAMM - 80- . (CCTA). CRAMM, . , . CRAMM, (profile). (Profil comercial), - (Profil guvernamental). , ITSEC (" "). RAMM. , . : , . : , . . . , . .

CRAMM. :

; - , ; ; - (), ; , : , .

; ; ; , ; ; , ; , ; .

1 10. CRAMM " , ":

2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.

(3) , () . , . .

, . . , (, . .). . CRAMM 36, . , . , . 1 7. , . CRAMM. , . , :

(. 4.1); (. 4.2); (. 4.1).

4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66

, " ". . 4.1 . , - (), - ().

4.1. (. Pierderea anuală a așteptării) CRAMM, . 4,2 ().

4.2. , (. 4.3)

4.3. . , . CRAMM, . : 300 ; 1000; 900, . , CRAMM - , ().

FRAP „Facilited Risk Analysis Process (FRAP)” Peltier and Associates (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). , . - , . : . , (. analiza cost-beneficiu), . . ,FRAP. 1. , () . 2. . : o (liste de verificare), ;

; , ; o " ", . 3... , . , .o

, . , (). . (Probabilitate): o o o

(Probabilitate mare) - , ; (Probabilitate medie) - ; (Probabilitate scăzută) - , .

(Impact) - , :o

(Impact mare): , ; (impact mediu): , -; (Impact mic): , .

4.4. :o o o

A - (,) ; B -; C - (,);

4.4. FRAP 4... , . , . , . , (, - .). , . , . , . :o o

; . 5. . , . , ..o o

OCTAVEOCTAVE (Evaluarea amenințărilor critice operaționale, a activelor și a vulnerabilităților) - , Institutul de Inginerie Software (SEI) (Universitatea Carnegie Mellon). www.cert.org/octave. - . , . , . OCTAVE: 1. , ; 2. ; 3. . (activ), (acces), (actor), (motiv), (rezultat) . , OCTAVE: 1. , -, ; 2. , -, ; 3. , ; 4. . (dezvăluire), (modificare), (pierdere/distrugere) . (întrerupere).

OCTAVE " ", 1) . 4.5. - . - . , () - () (Baza de date HR). ,4.3. 4.3. . (Activ) (Bază de date HR) (Acces) (Rețea) (Actor) (În interior) (Motiv) (Deliberat) (Vulnerabilitate) (Rezultat) (Dezvăluire) (Referință la catalog) -

4.5. , - . , (, ..) , (,). : ; ; ; ; "", ; ; ; ; . , . , (web-, .), (liste de verificare), . :

, (vulnerabilitati de mare severitate); , (vulnerabilitati de gravitate medie); , (vulnerabilitati de gravitate redusă).

OCTAVE, . : (înalt), (mijloc), (scăzut). , . , (, 10.000 USD - , -). , :

OCTAVE, OCTAVE, .

RiskWatch RiskWatch , . RiskWatch:

RiskWatch pentru securitate fizică - ; RiskWatch pentru sisteme informatice - ; HIPAA-WATCH for Healthcare Industry - HIPAA (Legea privind portabilitatea și responsabilitatea asigurărilor medicale din SUA), ; RiskWatch RW17799 pentru ISO 17799 - ISO 17799.

RiskWatch (Annual Loss Expectancy, ALE) (Rentabilitatea investiției, ROI). RiskWatch. RiskWatch. - . , (), . , (" ", "/ " ..), . , (.4.6). , :

; ; (,); (, ..); ; (,); .

600. . , . (LAFE SAFE), . .

4.6. - . , . , . , . , 150000 USD, 0,01, 1500 USD. (m=p*v, m - , p - , v -) , RiskWatch NIST , LAFE SAFE. LAFE (Estimarea de frecvență anuală locală) - , (,). SAFE (estimare anuală standard a frecvenței) - , " " (,). ,

, . (4,1) (4,2) ALE: (4,1) :

Valoarea activului - (, ..); Factorul de expunere - - , () , ; Frecvență - ; ALE - .

, . " " (Rata anualizată de apariție - ARO) " " (Single Loss Expectancy - SLE), (,). , - (4,2) (4,2) " :", . . RiskWatch LAFE SAFE, . ROI (Return on Investment -), . : (4,3)

Costsj - j - ; Beneficii - (..), ; VAN (Valoarea actuală netă) - .

12. . . ROI (-. 4,7). .

4.7. ROI, . , .

Microsoft.

, , :1. . . 2. . . 3. . .

. . . (. *8] , -). .

, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,

. . . . . .

. . . - . . .

(.4.8). (Excel) Microsoft. , . (- ,).

4.10 .

. ; . ; . .

(" ") , :

; : , ; : .

4.13. - . 4.14. .

4.14. . , . , 100 20%, . ,

: , . . 4.15 .

4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .

4.17. . 4.18 . .

4.20. . , - ": 5, : 1", - ": 5, : 5".

4.20. (SRMGTol3)

. (1 10) (0 10). 0 100. "", "" "" , . 4.21

. . (speranța de pierdere unică - SLE). (rata anuală de apariție - ARO). (speranța anuală de pierdere - ALE).

. . . . . . . . .

. , . , . . . , . , (- () 20%). . (SLE). . 4.22.

4.23. ()

(ARO). ARO. 4.24

(ALE) SLE ARO .

ALE. , . , - .

(, ..); (,) ; ; , ; , .

Mai jos sunt descrieri scurte ale unui număr de tehnici comune de analiză a riscurilor. Ele pot fi împărțite în:

  • tehnici care utilizează evaluarea riscului la nivel calitativ (de exemplu, pe o scară de „ridicat”, „mediu”, „scăzut”). Astfel de tehnici, în special, includ FRAP;
  • metode cantitative (riscul se evaluează printr-o valoare numerică, de exemplu mărimea pierderilor anuale preconizate). Metodologia RiskWatch aparține acestei clase;
  • metode care utilizează evaluări mixte (această abordare este utilizată în CRAMM, metode Microsoft etc.).

Tehnica CRAMM

Aceasta este una dintre primele metode de analiză a riscurilor în domeniul securității informațiilor - lucrările la aceasta au început la mijlocul anilor 80. Agenția pentru Calculatoare și Telecomunicații din Marea Britanie (CCTA).

Metoda CRAMM se bazează pe O abordare complexă la evaluarea riscurilor, combinând metode cantitative și calitative de analiză. Metoda este universală și potrivită atât pentru organizațiile mari, cât și pentru cele mici, atât în ​​sectorul guvernamental, cât și în cel comercial. Versiunile de software CRAMM destinate diferitelor tipuri de organizații diferă între ele în bazele lor de cunoștințe (profiluri). Pentru organizațiile comerciale există un Profil Comercial, pentru organizațiile guvernamentale există un profil de Guvern. Versiunea guvernamentală a profilului vă permite, de asemenea, să verificați pentru conformitatea cu cerințele standardului american ITSEC („Cartea portocalie”).

Studiul unui sistem de securitate a informațiilor folosind CRAMM se realizează în trei etape [, ,].

În prima etapă se analizează tot ce ține de identificarea și determinarea valorii resurselor sistemului. Se începe cu rezolvarea problemei determinării limitelor sistemului studiat: se colectează informații despre configurația sistemului și cine este responsabil pentru resursele fizice și software, cine se numără printre utilizatorii sistemului, cum îl folosesc sau îl va folosi.

Se realizează identificarea resurselor: fizice, software și informații conținute în limitele sistemului. Fiecare resursă trebuie să fie atribuită uneia dintre clasele predefinite. Apoi se construiește un model al sistemului informațional din perspectiva securității informațiilor. Pentru fiecare proces de informare, care, în opinia utilizatorului, are o semnificație independentă și se numește serviciu utilizator, se construiește un arbore de conexiuni ale resurselor utilizate. Modelul construit ne permite să identificăm elementele critice.

Valoare resurse fiziceîn CRAMM este determinată de costul refacerii acestora în caz de distrugere.

Valoarea datelor și a software-ului este determinată în următoarele situații:

  • indisponibilitatea unei resurse pentru o anumită perioadă de timp;
  • distrugerea resurselor - pierderea informațiilor obținute de la ultima copie de rezervă, sau distrugerea completă a acesteia;
  • încălcarea confidențialității în cazurile de acces neautorizat al personalului sau al persoanelor neautorizate;
  • modificare - luată în considerare pentru cazurile de erori minore de personal (erori de intrare), erori de software, erori intenționate;
  • erori asociate cu transferul de informații: refuzul livrării, nelivrarea informațiilor, livrarea la adresa greșită.
  • deteriorarea reputației organizației;
  • încălcarea legislației în vigoare;
  • afectarea sănătății personalului;
  • daune asociate cu dezvăluirea datelor personale ale persoanelor fizice;
  • pierderi financiare din dezvăluirea de informații;
  • pierderi financiare asociate cu recuperarea resurselor;
  • pierderi asociate cu incapacitatea de a îndeplini obligațiile;
  • dezorganizarea activitatilor.

Pentru date și software, sunt selectate criteriile aplicabile unui anumit IS, iar daunele sunt evaluate pe o scară cu valori de la 1 la 10.

În descrierile CRAMM, ca exemplu, următoarea scală de rating este dată pentru criteriul „Pierderi financiare asociate cu recuperarea resurselor”:

  • 2 puncte - mai puțin de 1000 USD;
  • 6 puncte - de la 1000 USD la 10.000 USD;
  • 8 puncte - de la 10.000 USD la 100.000 USD;
  • 10 puncte - peste 100.000 USD.

Dacă punctajul este scăzut pentru toate criteriile utilizate (3 puncte și mai jos), se consideră că sistemul în cauză necesită un nivel de bază de protecție (acest nivel nu necesită o evaluare detaliată a amenințărilor la securitatea informațiilor) și a doua etapă a studiul este omis.

A doua etapă ia în considerare tot ceea ce se referă la identificarea și evaluarea nivelurilor de amenințare pentru grupuri de resurse și vulnerabilitățile acestora. La sfârșitul etapei, clientul primește niveluri de risc identificate și evaluate pentru sistemul său. În această etapă, se evaluează dependența serviciilor utilizatorilor de anumite grupuri de resurse și nivelul existent de amenințări și vulnerabilități, se calculează nivelurile de risc și se analizează rezultatele.

Resursele sunt grupate după tipuri de amenințări și vulnerabilități. De exemplu, dacă există o amenințare de incendiu sau furt, este rezonabil să luăm în considerare toate resursele situate într-o singură locație (camera serverului, camera de comunicații etc.) ca un grup de resurse. Nivelurile de amenințări și vulnerabilități sunt evaluate pe baza unui studiu al factorilor indirecti.

Software Pentru fiecare grup de resurse și pentru fiecare dintre cele 36 de tipuri de amenințări, CRAMM generează o listă de întrebări la care se poate răspunde fără ambiguitate. Nivelul de amenințare este evaluat, în funcție de răspunsuri, ca foarte ridicat, ridicat, mediu, scăzut și foarte scăzut. Nivelul de vulnerabilitate este evaluat, în funcție de răspunsuri, ca înalt, mediu și scăzut.

Pe baza acestor informații, nivelurile de risc sunt calculate pe o scară discretă cu gradații de la 1 la 7. Nivelurile rezultate de amenințări, vulnerabilități și riscuri sunt analizate și convenite cu clientul.

CRAMM combină amenințările și vulnerabilitățile într-o matrice de risc. Să ne uităm la modul în care se obține această matrice și la ce înseamnă fiecare dintre nivelurile de risc.

Abordarea de bază pentru rezolvarea acestei probleme este de a lua în considerare:

  • nivelul de amenințare (scala este dată în Tabelul 4.1);
  • nivelul de vulnerabilitate (scala este dată în Tabelul 4.2);
  • mărimea pierderilor financiare așteptate (exemplu în Fig. 4.1).
Tabelul 4.1. Scala pentru evaluarea nivelurilor de amenințare (frecvența apariției).
Descriere Sens
un incident are loc în medie, nu mai des decât la fiecare 10 ani foarte jos
un incident are loc în medie o dată la 3 ani mic de statura
incidentul are loc în medie o dată pe an in medie
un incident are loc în medie o dată la patru luni înalt
incidentul are loc în medie o dată pe lună foarte inalt

Pe baza estimărilor costului resurselor IP-ului protejat, a evaluărilor amenințărilor și vulnerabilităților, se determină „pierderile anuale așteptate”. În fig. 4.1 prezintă un exemplu de matrice pentru estimarea pierderilor așteptate. În ea, a doua coloană din stânga conține valorile costului resurselor, rândul de sus al titlului tabelului conține o estimare a frecvenței de apariție a amenințării în timpul anului (nivelul de amenințare), linia de jos a titlului conține o estimare a probabilitatea de succes a implementării amenințării (nivel de vulnerabilitate).


Orez. 4.1.

Valorile pierderilor anuale așteptate (English Annual Loss of Expectancy) sunt convertite în CRAMM în puncte care indică nivelul de risc, conform scalei prezentate în Fig. 4.2 (în acest exemplu valoarea pierderilor este dată în lire sterline).


Orez. 4.2.

În conformitate cu matricea de mai jos, este derivată o evaluare a riscului (Fig. 4.3)


Orez. 4.3.

A treia etapă a cercetării este găsirea contramăsurilor adecvate. În esență, aceasta este o căutare a unei opțiuni de sistem de securitate care se potrivește cel mai bine cerințelor clientului.

În această etapă, CRAMM generează mai multe opțiuni de contramăsuri care sunt adecvate riscurilor identificate și nivelurilor acestora. Contramăsurile pot fi grupate în trei categorii: aproximativ 300 de recomandări generale; peste 1000 de recomandări specifice; aproximativ 900 de exemple despre modul în care poate fi organizată protecția în această situație.

Astfel, CRAMM este un exemplu de metodologie de calcul în care aprecierile inițiale sunt date la nivel calitativ, iar apoi se face o trecere la o evaluare cantitativă (în puncte).

Tehnica FRAP

Metodologia Facilitated Risk Analysis Process (FRAP) oferită de Peltier and Associates (site-ul de internet http://www.peltierassociates.com/) a fost dezvoltată de Thomas R. Peltier și publicată în (fragmente din această carte sunt disponibile pe site-ul web, descrierea de mai jos se bazează pe acestea). În metodologie, furnizarea SI este propusă a fi luată în considerare în cadrul procesului de management al riscului. Managementul riscurilorîn domeniul securității informațiilor, proces care permite companiilor să găsească un echilibru între cheltuirea banilor și efortul pe măsurile de securitate și efectul rezultat.

Managementul riscurilor trebuie să înceapă cu o evaluare a riscurilor: rezultatele evaluării documentate corespunzător vor sta la baza pentru luarea deciziilorîn domeniul îmbunătățirii securității sistemului.

După finalizarea evaluării, se efectuează o analiză cost/beneficiu, care ne permite să stabilim măsurile de protecție care sunt necesare pentru a reduce riscul la un nivel acceptabil.

Mai jos sunt pașii principali în evaluarea riscurilor. Această listă repetă în mare măsură o listă similară din alte metode, dar FRAP dezvăluie mai detaliat cum să obțineți date despre sistem și vulnerabilitățile acestuia.

  1. Determinarea activelor protejate se realizează cu ajutorul chestionarelor, studiind documentația sistemului și folosind instrumente automate de analiză a rețelei (scanare).
  2. Identificarea amenințărilor. La compilarea unei liste de amenințări, pot fi utilizate diferite abordări:
    • liste de amenințări (liste de verificare) pregătite în prealabil de experți, din care sunt selectate cele relevante pentru un anumit sistem;
    • analiza statisticilor incidentelor din acest IS și din altele similare - se evaluează frecvența apariției acestora; pentru o serie de amenințări, de exemplu, amenințarea cu incendiul, astfel de statistici pot fi obținute de la organizațiile guvernamentale relevante;
    • „brainstorming” desfășurat de angajații companiei.
  3. Când lista de amenințări este completată, fiecare dintre ele este comparată cu probabilitatea de apariție. Apoi se evaluează prejudiciul care poate fi cauzat de această amenințare. Pe baza valorilor obținute se evaluează nivelul de amenințare.

    Atunci când se efectuează o analiză, de obicei se presupune că în stadiul inițial sistemul nu are mijloace și mecanisme de securitate. În acest fel, se evaluează nivelul de risc pentru informațiile neprotejate, ceea ce face ulterior posibil să se evidențieze efectul introducerii instrumentelor de securitate a informațiilor (ISIS).
    Orez. 4.4. Matricea de risc FRAP

  4. Odată ce amenințările au fost identificate și riscul evaluat, trebuie identificate contramăsuri pentru a elimina riscul sau a-l reduce la un nivel acceptabil. În acest caz, trebuie avute în vedere restricții legale care fac imposibilă sau, dimpotrivă, impun utilizarea anumitor mijloace și mecanisme de protecție. Pentru a determina efectul așteptat, este posibil să se evalueze același risc, dar sub rezerva implementării sistemului de protecție a informațiilor propus. Dacă riscul nu este suficient de redus, poate fi necesar să fie utilizat un alt dispozitiv de protecție. Odată cu determinarea mijloacelor de protecție, este necesar să se determine ce costuri va presupune achiziția și implementarea acestuia (costurile pot fi atât directe, cât și indirecte - vezi mai jos). În plus, este necesar să se evalueze dacă acest instrument în sine este sigur și dacă creează noi vulnerabilități în sistem.

    Pentru a utiliza mijloace de protecție rentabile, este necesar să se analizeze relația dintre costuri și efectul rezultat. În acest caz, este necesar să se evalueze nu numai costul achiziționării soluției, ci și costul menținerii funcționării acesteia. Costurile pot include:

    • costul implementării proiectului, inclusiv software și hardware suplimentar;
    • reducerea eficienței performanței sistemului a principalelor sale sarcini;
    • implementarea politicilor și procedurilor suplimentare pentru întreținerea instalației;
    • costurile angajării de personal suplimentar sau recalificării celor existente.
  5. Documentație. Când o evaluare a riscului este finalizată, rezultatele acesteia ar trebui documentate în detaliu într-un format standardizat. Raportul rezultat poate fi folosit pentru a determina politici, proceduri, bugete de securitate etc.

Continuând subiectul evaluării și gestionării riscurilor de securitate a informațiilor din această postare, aș dori să vorbesc despre software-ul care poate fi folosit pentru a efectua evaluări de risc. De ce aveți nevoie de acest software? Faptul este că, odată ce vă adânciți în acest proces, va deveni imediat clar că efectuarea unei evaluări implică o combinatorie destul de complexă. Combinarea diferitelor active, vulnerabilități, amenințări și măsuri de protecție dă naștere la sute, mii de combinații posibile care descriu riscuri și aici nu te poți lipsi de mijloacele disponibile. Ce poți găsi acum pe internet:


vs Risc. Software de la compania britanică Vigilant Software. Produsul este poziționat în primul rând ca software de evaluare a riscurilor în conformitate cu cerințele ISO 27001 și BS7799-3 (acum ISO27005). Pe site puteți descărca o versiune de încercare pentru 15 zile (dimensiune - 390 MB). Sistemul mi s-a părut destul de primitiv și deloc prietenos cu un utilizator neinstruit. Programul, de exemplu, are liste destul de extinse de posibile amenințări, vulnerabilități și contramăsuri, dar sistemul în sine nu determină nicio relație între ele; acest lucru este făcut manual de către utilizator însuși. În general, aș evalua programul cu 3. De ce cer 1700 de euro?! 8-).

PTA. Dezvoltat de PTA Technologies . Un produs extrem de interesant dupa parerea mea. Nu este legat de niciun standard și implementează un mecanism de evaluare cantitativă a riscurilor (!). Apropo, aș nota acest lucru mai degrabă ca un dezavantaj al acestui software, deoarece... Ideea este că nu totul poate fi evaluat la cel mai apropiat dolar și nu este oferită posibilitatea unei evaluări calitative. Sistemul oferă, de asemenea, un mecanism interesant de evaluare a eficacității contramăsurilor propuse, pe baza căruia putem, de exemplu, să evidențiem modul în care se modifică harta riscurilor atunci când adăugăm sau eliminăm anumite contramăsuri.

Site-ul web al dezvoltatorului afirmă că produsul este plătit și doar o versiune de încercare este disponibilă pentru descărcare timp de 30 de zile. Cât costă produsul în sine și cum poate fi achiziționat - nu există informații (se pare că abordarea este individuală :)).

RSA Archer. Dezvoltarea companiei Archer, recent deținută de gigantul RSA. În general, Archer este o combină GRC atât de uriașă care include multe module diferite, dintre care unul oferă managementul riscului. Testele nu sunt disponibile pentru descărcare; există videoclipuri de prezentare pe site. Nici costul acestui produs nu este indicat, dar cred că va fi scump, ca tot de la RSA :)

Modulo Risk Manager. Dezvoltat de Modulo. Doar o descriere destul de slabă a funcționalității este disponibilă pe site. Fără versiune de probă, fără videoclipuri detaliate. Cu toate acestea, produsul a primit un premiu de la SC Magazine, ceea ce înseamnă că mai merită ceva. Din păcate, încă nu m-am putut familiariza cu el.


RM Studio. Produs al organizației cu același nume (site-ul web). D O versiune de încercare de 30 de zile este disponibilă pentru descărcare; în plus, pe site-ul web puteți viziona videoclipuri care demonstrează scenarii de utilizare a produsului. În opinia mea, acest software este prea primitiv în ceea ce privește evaluarea riscurilor și este potrivit doar pentru cei care fac evaluări de risc „pentru spectacol”.


Vultur. Dezvoltat de Digital Security. Am adus acest produs software mai degrabă doar pentru imaginea generală. Produsul în sine nu a fost susținut în niciun fel de compania de dezvoltare de mulți ani. Prin urmare, putem spune că de fapt nu mai există. Până acum aceasta este singura dezvoltare internă din această zonă cunoscută de mine.

Sincer vorbind, nu prea mult. Înțeleg că recenzia mea nu poate pretinde că este 100% completă, dar totuși...

Dacă cineva cunoaște orice alt software sau alte metode de automatizare atunci când efectuează evaluări de risc, vă rugăm să scrieți în comentarii și vom discuta.

Actualizare importantă! ISM SYSTEMS a anunțat dezvoltarea unui instrument pentru automatizarea evaluării riscurilor - ISM Revision: Risk Manager. Informații preliminare sunt disponibile aici - http://www.ismsys.ru/?page_id=73. Produsul pare promitator. Voi face o recenzie mai detaliată mai târziu.

Programul de evaluare a riscurilor definește proceduri pentru evaluarea și atribuirea unui grad (nivel) de risc unui client, ținând cont de cerințele pentru identificarea acestuia:

  • a) când ia naștere o relație contractuală cu un client (acceptarea acestuia pentru serviciu);
  • b) în cursul deservirii clientului (pe măsură ce se efectuează operațiuni (tranzacții));
  • c) în alte cazuri prevăzute de organizaţie în regulile de control intern.

Programul de evaluare a riscurilor prevede evaluarea riscului clienților pe baza caracteristicilor tranzacțiilor, tipurilor și condițiilor de activitate care prezintă un risc crescut ca clienții să efectueze tranzacții în scopul legalizării (spălării) veniturilor din infracțiuni și finanțării terorismului, luând în considerare recomandările Grupului de acțiune financiară (GAFI).

Scrisoarea de informare a Rosfinmonitoring din 2 august 2011 Nr. 71 prezintă semne de tranzacții, tipuri și condiții de activitate care prezintă un risc crescut ca clienții să efectueze tranzacții în scopul legalizării (spălării) veniturilor din infracțiuni și finanțării terorismului (cu cu excepția instituțiilor de credit). Acest:

  • 1. Activități legate de organizarea și desfășurarea jocurilor de noroc.
  • 2. Activități legate de vânzarea, inclusiv comisionul, de obiecte de artă, antichități, mobilier, autovehicule și articole de lux.
  • 3. Activități legate de cumpărarea, cumpărarea și vânzarea de metale prețioase, pietre prețioase, precum și bijuterii care conțin metale prețioase și pietre prețioase, precum și resturi de astfel de produse.
  • 4. Activități legate de tranzacții cu bunuri imobiliare și/sau prestare de servicii de intermediar în tranzacții cu bunuri imobiliare.
  • 5. Activități de tour operator și agenție de turism, precum și alte activități de organizare a călătoriilor (activități de turism).
  • 6. Orice activitate asociată cu circulația intensivă a numerarului.
  • 7. Perioada de activitate de la data înregistrării de stat a unei persoane juridice, întreprinzător individual, obținerea statutului de avocat, notar, este mai mică de 1 an.
  • 8. Perioada de timp în care clientul a fost deservit de către organizație (perioada scursă de la data acceptării clientului pentru serviciu), care este mai mică de 1 an.
  • 9. Lipsa la adresa sediului persoanei juridice a organelor de conducere care functioneaza permanent, a altor organisme sau persoane indreptatite sa actioneze in numele unei astfel de persoane juridice fara imputernicire.
  • 10. Interacțiunea clientului cu o organizație care efectuează tranzacții cu fonduri sau alte proprietăți exclusiv prin intermediul unui reprezentant care acționează prin împuternicire.
  • 11. Participarea clientului (beneficiar, fondator) la programe țintă federale sau proiecte naționale sau numirea acestuia ca rezident al unei zone economice speciale.
  • 12. Cazul în care clientul (beneficiar, fondator) este o organizație în capitalul autorizat al cărei cotă-parte este proprietatea statului.
  • 13. Cazul în care clientul (beneficiarul) este un nerezident al Federației Ruse.
  • 14. Cazul în care clientul este un funcționar public străin sau acționează în interesul (în folosul) unui funcționar public străin.
  • 15. Cazul în care clientul este soț, rudă apropiată (rudă în linie directă ascendentă și descendentă (părinte și copil, bunic, bunica și nepot), întreagă și jumătate (având tată sau mamă comun) frate sau soră, adoptiv părinte și copil adoptat) al unui funcționar public străin.
  • 16. Efectuarea de către client a tranzacțiilor cu fonduri sau alte proprietăți supuse controlului obligatoriu în conformitate cu clauza 2 a art. 6 din Legea federală.
  • 17. Prezența tranzacțiilor suspecte în activitățile clientului, informații despre care au fost transmise organului abilitat.
  • 18. Clientul efectuează decontări pentru o operațiune (tranzacție) utilizând tehnologii de internet, sisteme electronice de plată, sisteme alternative de transfer de bani sau alte sisteme de acces la distanță, sau în orice alt mod fără contact direct (cu excepția efectuării plăților unice printr-un terminal de plată). în valoare mai mică de 15.000 de ruble sau echivalentul acestei sume în valută).
  • 19. Cazul în care clientul (contrapartea acestuia, reprezentantul clientului, beneficiarul sau fondatorul clientului) este inclus în Lista organizațiilor și persoanelor fizice în privința cărora există informații despre participarea acestora la activități extremiste.
  • 20. Cazul în care adresa de înregistrare (locul sau locul de reședință) a clientului (reprezentantul clientului, beneficiarul sau fondatorul clientului) coincide cu adresa de înregistrare (locul sau locul de reședință) a participanților la Lista organizațiilor și indivizi în privința cărora există informații despre participarea lor la activități extremiste.
  • 21. Cazul în care clientul este o rudă apropiată a unei persoane incluse în Lista organizațiilor și persoanelor fizice în legătură cu care există informații despre implicarea acestora în activități extremiste sau terorism.
  • 22. Desfășurarea activităților organizațiilor (asociațiilor) publice și religioase, fundațiilor caritabile, organizațiilor neguvernamentale non-profit străine și reprezentanțelor și filialelor acestora pe teritoriul Federației Ruse.
  • 23. Cazul în care clientul este șeful sau fondatorul unei organizații (asociații) publice sau religioase, al unei fundații caritabile, al unei organizații non-guvernamentale străine fără scop lucrativ, al sucursalei sau al reprezentanței acesteia care operează pe teritoriul Federației Ruse.
  • 24. Cazul în care clientul (contrapartea sa, reprezentantul clientului, beneficiarul sau fondatorul clientului) este înregistrat într-un stat sau teritoriu cu activitate teroristă sau extremistă ridicată.
  • 25. Cazul în care clientul (contrapartea sa, reprezentantul clientului, beneficiarul sau fondatorul clientului) are, respectiv, înmatriculare, reședință sau sediul într-un stat (teritoriu) care nu respectă recomandările Grupului de acțiune financiară. privind spălarea banilor (FATF), sau dacă operațiunile specificate sunt efectuate folosind un cont la o bancă înregistrată în statul specificat (pe teritoriul specificat).
  • 26. Cazul în care clientul sau fondatorul său (beneficiarul) sau contrapartea clientului pentru operațiune (tranzacție) este înregistrat sau își desfășoară activitatea într-un stat sau teritoriu care prevede un regim fiscal preferențial și (sau) nu furnizează informații de dezvăluire și furnizare. la efectuarea tranzacţiilor financiare (zonă offshore).
  • 27. Alte caracteristici la discreția organizației.

Lista de mai sus poate fi completată de o organizație (o altă persoană) ținând cont de specificul activităților acesteia (ale sale), precum și de specificul operațiunilor (tranzacțiilor) efectuate.

Programul de evaluare a riscurilor prevede procedura și frecvența de monitorizare a operațiunilor (tranzacțiilor) clientului pentru a evalua gradul (nivelul) de risc și controlul ulterior asupra modificărilor acestuia.

Necesitatea de a investi în securitatea informațiilor de afaceri (IS) este dincolo de orice îndoială. Pentru a confirma relevanța sarcinii de asigurare a securității afacerilor, vom folosi raportul FBI, emis pe baza unui sondaj efectuat de companii americane (întreprinderi mijlocii și mari). Statisticile incidentelor din domeniul securității IT sunt inexorabile. Potrivit FBI, 56% dintre companiile chestionate au fost atacate în acest an (Figura 1).

Dar cum să evaluăm nivelul investiției în securitatea informațiilor care va asigura eficiența maximă a investiției? Pentru a rezolva această problemă, există o singură modalitate - să utilizați sisteme de analiză a riscurilor care vă permit să evaluați riscurile existente în sistem și să selectați cea mai eficientă opțiune de protecție (pe baza raportului dintre riscurile existente în sistem și costurile de securitatea informațiilor).

Justificarea investiției

Statistic, cele mai serioase obstacole în calea luării oricăror măsuri de asigurare a securității informațiilor într-o companie sunt asociate cu două motive: constrângerile bugetare și lipsa de sprijin din partea conducerii.

Ambele motive provin din lipsa de înțelegere de către management a gravității problemei și incapacitatea managerului IT de a justifica de ce ar trebui să investească în securitatea informațiilor. Se crede adesea că principala problemă este că managerii și directorii IT vorbesc limbi diferite - tehnice și financiare, dar este adesea dificil pentru specialiștii IT înșiși să evalueze pe ce să cheltuiască banii și câți bani sunt necesari pentru a îmbunătăți securitatea. a sistemului firmei.astfel încât aceste cheltuieli să nu se dovedească inutile sau excesive.

Dacă managerul IT înțelege clar câți bani poate pierde compania dacă se realizează amenințările, care locuri din sistem sunt cele mai vulnerabile, ce măsuri pot fi luate pentru a crește nivelul de securitate fără a cheltui bani în plus și toate acestea sunt documentate, atunci decizia sa Sarcina de a convinge managementul să acorde atenție și să aloce fonduri pentru a asigura securitatea informațiilor devine mult mai realistă.

Pentru a rezolva acest tip de probleme, au fost dezvoltate metode speciale și sisteme software de analiză și control al riscurilor informaționale construite pe baza acestora. Ne vom uita la sistemul CRAMM al companiei britanice Insight Consulting (http://www.insight.co.uk), al companiei americane RiskWatch cu același nume (http://www.riskwatch.com) și al companiei ruse GRIF pachetul companiei Digital Security (http://www .dsec.ru). Caracteristicile lor comparative sunt prezentate în tabel.

Analiza comparativă a instrumentelor de analiză a riscurilor

Criterii de comparare CRAMM RiskWatch Biroul de securitate digitală GRIF 2005
A sustine Prevăzut Prevăzut Prevăzut
Ușurință de operare pentru utilizator Necesită pregătire specială și calificări înalte ale auditorului Interfața se adresează managerilor și directorilor IT; nu necesită cunoștințe speciale în domeniul securității informațiilor
Costul licenței pe loc, dolari. De la 2000 la 5000 De la 10 000 De la 1000
Cerințe de sistem

OS Windows 98/Me/NT/2000/XP
Spațiu liber pe disc 50 MB

Cerințe minime:
frecventa procesorului 800 MHz, memorie 64 MB

 OS Windows 2000/XP
Spațiu liber pe disc pentru instalare 30 MB
Procesor Intel Pentium sau compatibil, memorie de 256 MB

OS Windows 2000/XP

Cerințe minime:
spațiu liber pe disc (pentru disc cu date utilizator) 300 MB, 256 MB memorie

Funcționalitate

Date de intrare:

  • resurse;
  • valoarea resurselor;
  • amenințări;
  • vulnerabilități ale sistemului;
  • selectarea contramăsurilor adecvate.

Opțiuni de raportare:

  • raport de analiză a riscurilor;
  • raport general de analiză a riscurilor;
  • raport detaliat de analiză a riscurilor.

Date de intrare:

  • tip de sistem informatic;
  • cerințe de bază de siguranță;
  • resurse;
  • pierderi;
  • amenințări;
  • vulnerabilități;
  • măsuri de protecție;
  • valoarea resurselor;
  • frecvența amenințărilor;
  • selectarea contramăsurilor.

Opțiuni de raportare:

  • rezumat scurt;
  • raportează costul resurselor protejate și pierderile așteptate din implementarea amenințărilor;
  • Raportul ROI

Date de intrare:

  • resurse;
  • hardware de rețea;
  • tipuri de informații;
  • grup de utilizatori;
  • Remedii;
  • amenințări;
  • vulnerabilități;
  • selectarea contramăsurilor.

Conținutul raportului:

  • inventarul resurselor;
  • riscuri în funcție de tipul de informații;
  • riscurile legate de resurse;
  • raportul dintre daune și riscul informațiilor și resurselor;
  • contramăsuri selectate;
  • recomandări ale experților.
Metoda cantitativă/calitativă Evaluare calitativă Cuantificare Evaluări calitative și cantitative
Soluție de rețea Absent Absent Versiunea Enterprise a Digital Security Office 2005

CRAMM

Metoda CRAMM (CCTA Risk Analysis and Management Method) a fost dezvoltată de Agenția Centrală de Calculatoare și Telecomunicații din Marea Britanie în numele guvernului britanic și adoptată ca standard guvernamental. A fost folosit de guvernele și organizațiile comerciale din Regatul Unit din 1985. În acest timp, CRAMM a câștigat popularitate în întreaga lume. Compania Insight Consulting dezvoltă și întreține un produs software care implementează metoda CRAMM.

Nu întâmplător am ales metoda CRAMM (http://www.cramm.com) pentru o analiză mai detaliată. În prezent, CRAMM este un instrument destul de puternic și universal care permite, pe lângă analiza riscului, să rezolve o serie de alte sarcini de audit, inclusiv:

  • Sondaj IP și eliberarea documentației însoțitoare în toate etapele implementării acestuia;
  • audit în conformitate cu cerințele guvernului britanic, precum și cu standardul BS 7799:1995 Code of Practice for Information Security Management;
  • dezvoltarea unei politici de securitate și a unui plan de continuitate a afacerii.

Metoda CRAMM se bazează pe o abordare integrată a evaluării riscurilor, combinând metode de analiză cantitativă și calitativă. Metoda este universală și potrivită atât pentru organizațiile mari, cât și pentru cele mici, atât în ​​sectorul guvernamental, cât și în cel comercial. Versiunile de software CRAMM, destinate diferitelor tipuri de organizații, diferă între ele prin bazele de cunoștințe (profile): pentru organizațiile comerciale există un Profil Comercial, pentru cele guvernamentale există un profil Guvern. Versiunea guvernamentală a profilului vă permite, de asemenea, să verificați pentru conformitatea cu cerințele standardului american ITSEC („Cartea portocalie”). Diagrama conceptuală a efectuării unui sondaj folosind metoda CRAMM este prezentată în Fig. 2.

Folosind corect metoda CRAMM, este posibil să se obțină rezultate foarte bune, dintre care, poate, cea mai importantă este capacitatea de a justifica economic cheltuielile organizației pentru asigurarea securității informațiilor și a continuității afacerii. O strategie de gestionare a riscurilor solidă din punct de vedere economic vă permite în cele din urmă să economisiți bani evitând cheltuielile inutile.

CRAMM presupune împărțirea întregii proceduri în trei etape succesive. Sarcina primei etape este de a răspunde la întrebarea: „Este suficient să protejați sistemul folosind instrumente de nivel de bază care implementează funcții tradiționale de securitate sau este necesară o analiză mai detaliată?” În a doua etapă, riscurile sunt identificate și amploarea lor este evaluată. La a treia etapă se rezolvă problema alegerii contramăsurilor adecvate.

Metodologia CRAMM pentru fiecare etapă determină un set de date inițiale, o succesiune de activități, chestionare pentru realizarea interviurilor, liste de verificare și un set de documente de raportare.

În prima etapă a studiului se realizează identificarea și determinarea valorii resurselor protejate. Evaluarea se realizează pe o scară de zece puncte și pot exista mai multe criterii de evaluare - pierderi financiare, prejudicii aduse reputației etc. În descrierile CRAMM, de exemplu, următoarea scală de evaluare este dată pentru criteriul „Pierderi financiare asociat cu recuperarea resurselor”:

  • 2 puncte - mai puțin de 1000 USD;
  • 6 puncte - de la 1000 la 10.000 de dolari;
  • 8 puncte - de la 10.000 USD la 100.000 USD;
  • 10 puncte - peste 100.000 USD

Dacă scorul este scăzut pentru toate criteriile utilizate (3 puncte și mai jos), se consideră că un nivel de bază de protecție este suficient pentru sistemul în cauză (acest nivel nu necesită o evaluare detaliată a amenințărilor la securitatea informațiilor), iar al doilea se omite etapa studiului.

În a doua etapă se identifică și se evaluează amenințările din domeniul securității informațiilor, iar vulnerabilitățile sistemului protejat sunt căutate și evaluate. Nivelul de amenințare este evaluat pe următoarea scară: foarte ridicat, ridicat, mediu, scăzut, foarte scăzut. Nivelul de vulnerabilitate este evaluat ca ridicat, mediu sau scăzut. Pe baza acestor informații, se calculează o evaluare a nivelului de risc pe o scară de șapte puncte (Fig. 3).

La a treia etapă, CRAMM generează opțiuni pentru contramăsuri împotriva riscurilor identificate. Produsul oferă următoarele tipuri de recomandări:

  • recomandări generale;
  • recomandări specifice;
  • exemple de modul în care poate fi organizată protecția în această situație.

CRAMM are o bază de date extinsă care conține descrieri a aproximativ 1000 de exemple de implementare a subsistemelor de securitate ale diferitelor sisteme informatice. Aceste descrieri pot fi folosite ca șabloane.

Decizia de a introduce noi mecanisme de securitate în sistem și de a le modifica pe cele vechi este luată de conducerea organizației, luând în considerare costurile asociate, acceptabilitatea acestora și beneficiul final pentru afacere. Sarcina auditorului este de a justifica acțiunile recomandate conducerii organizației.

Dacă se ia o decizie de implementare a unor noi contramăsuri și de modificare a celor vechi, auditorul poate fi însărcinat cu pregătirea unui plan de implementare și evaluarea eficienței utilizării acestor controale. Rezolvarea acestor probleme depășește domeniul de aplicare al metodei CRAMM.

Dezavantajele metodei CRAMM includ următoarele:

  • metoda necesită pregătire specială și calificări înalte ale auditorului;
  • auditul folosind metoda CRAMM este un proces destul de intensiv în muncă și poate necesita luni de muncă continuă din partea auditorului;
  • CRAMM este mult mai potrivit pentru auditarea IS existente care au fost puse în funcțiune decât pentru IS în curs de dezvoltare;
  • Instrumentele software CRAMM generează o cantitate mare de documentație pe hârtie, care nu este întotdeauna utilă în practică;
  • CRAMM nu vă permite să vă creați propriile șabloane de raport sau să le modificați pe cele existente;
  • capacitatea de a face completări la baza de cunoștințe CRAMM nu este disponibilă utilizatorilor, ceea ce provoacă anumite dificultăți în adaptarea acestei metode la nevoile unei anumite organizații;
  • Software-ul CRAMM nu este localizat, este disponibil doar în limba engleză;
  • cost ridicat de licență - de la 2000 la 5000 de dolari.

RiskWatch

Software-ul RiskWatch este un instrument puternic de analiză și management al riscurilor. Familia RiskWatch include produse software pentru efectuarea diferitelor tipuri de audituri de securitate. Include următoarele instrumente de audit și analiză a riscurilor:

  • RiskWatch for Physical Security - pentru metode fizice de protecție IP;
  • RiskWatch pentru Sisteme Informaționale - pentru riscuri informaționale;
  • HIPAA-WATCH for Healthcare Industry - pentru a evalua conformitatea cu cerințele standardului HIPAA (US Healthcare Insurance Portability and Accountability Act);
  • RiskWatch RW17799 pentru ISO 17799 - pentru a evalua conformitatea cu cerințele standardului ISO 17799.

Metoda RiskWatch folosește așteptarea anuală a pierderii (ALE) și rentabilitatea investiției (ROI) ca criterii pentru evaluarea și managementul riscurilor.

Familia de produse software RiskWatch are o mulțime de avantaje. RiskWatch vă ajută să analizați riscurile și să faceți alegeri informate cu privire la măsurile de protecție și remediile. Spre deosebire de CRAMM, programul RiskWatch se concentrează mai mult pe cuantificarea cu acuratețe a raportului dintre pierderile cauzate de amenințările de securitate și costurile creării unui sistem de protecție. De asemenea, trebuie remarcat faptul că în acest produs sunt luate în considerare împreună riscurile din domeniul informației și al securității fizice a unei rețele de calculatoare a întreprinderii.

Produsul RiskWatch se bazează pe o metodologie de analiză a riscurilor, care poate fi împărțită în patru etape.

Prima etapă este determinarea subiectului cercetării. Descrie parametri precum tipul de organizare, compoziția sistemului studiat (în termeni generali) și cerințele de bază de securitate. Pentru a facilita munca analistului, şabloane corespunzătoare tipului de organizaţie („sistem informaţional comercial”, „sistem informaţional guvernamental/militar” etc.) conţin liste cu categorii de resurse protejate, pierderi, ameninţări, vulnerabilităţi şi măsuri de protecţie. Dintre acestea, trebuie să le selectați pe cele care sunt efectiv prezente în organizație.

De exemplu, sunt prevăzute următoarele categorii pentru pierderi:

  • întârzieri și refuzul serviciului;
  • dezvaluirea informatiei;
  • pierderi directe (de exemplu, din distrugerea echipamentelor prin incendiu);
  • viata si sanatatea (personal, clienti etc.);
  • modificarea datelor;
  • pierderi indirecte (de exemplu, costuri de restaurare);
  • reputatie.

A doua etapă este introducerea datelor care descriu caracteristicile specifice ale sistemului. Acestea pot fi introduse manual sau importate din rapoartele generate de instrumentele de cercetare a vulnerabilităților rețelei.

În această etapă, resursele, pierderile și clasele de incidente sunt descrise în detaliu. Clasele de incidente sunt obținute prin maparea categoriei de pierderi la categoria de resurse.

Pentru identificarea posibilelor vulnerabilități se folosește un chestionar, a cărui bază de date conține peste 600 de întrebări. Întrebările sunt legate de categorii de resurse. Sunt specificate frecvența de apariție a fiecăreia dintre amenințările identificate, gradul de vulnerabilitate și valoarea resurselor. Toate acestea sunt folosite ulterior pentru a calcula efectul introducerii echipamentului de protecție.

A treia etapă și probabil cea mai importantă este evaluarea cantitativă. În această etapă, se calculează profilul de risc și se selectează măsurile de securitate. În primul rând, se stabilesc conexiuni între resursele, pierderile, amenințările și vulnerabilitățile identificate în etapele anterioare ale studiului (riscul este descris prin combinarea acestor patru parametri).

De fapt, riscul este evaluat folosind așteptarea matematică a pierderilor pentru anul. De exemplu, dacă costul unui server este de 150.000 USD, iar probabilitatea ca acesta să fie distrus de incendiu într-un an este de 0,01, atunci pierderea așteptată va fi de 1.500 USD.

Cunoscuta formulă m=p x v, unde m este așteptarea matematică, p este probabilitatea apariției unei amenințări, v este costul resursei, a suferit unele modificări datorită faptului că RiskWatch folosește evaluări definite de Institutul American a standardelor NIST, numite LAFE și SAFE. LAFE (Local Annual Frequency Estimate) arată de câte ori pe an, în medie, apare o anumită amenințare într-o anumită locație (de exemplu, într-un oraș). SAFE (Standard Annual Frequency Estimate) arată de câte ori pe an, în medie, apare o anumită amenințare în acea „parte a lumii” (de exemplu, America de Nord). De asemenea, este introdus un factor de corecție, care ne permite să ținem cont că atunci când se realizează o amenințare, resursa protejată poate să nu fie distrusă complet, ci doar parțial.

În plus, sunt luate în considerare scenarii „ce ar fi dacă...”, care fac posibilă descrierea unor situații similare cu condiția implementării măsurilor de securitate. Prin compararea pierderilor așteptate cu și fără implementarea măsurilor de protecție, este posibil să se evalueze efectul acestor măsuri.

RiskWatch include baze de date cu evaluări LAFE și SAFE, precum și descrieri generale ale diferitelor tipuri de protecție.

Efectul introducerii măsurilor de securitate este descris cantitativ folosind indicatorul ROI (Return on Investment), care arată rentabilitatea investițiilor realizate pe o anumită perioadă de timp. Acest indicator este calculat folosind formula:

unde Costsi este costul implementării și menținerii măsurii de protecție a I-a; Beneficii - evaluarea beneficiului (reducerea preconizată a pierderilor) adus prin implementarea unei anumite măsuri de protecție; NVP (Valoare netă prezentă) se ajustează pentru inflație.

A patra etapă este generarea rapoartelor. Sunt posibile următoarele tipuri de rapoarte:

  • rezumat scurt;
  • rapoarte complete și concise ale elementelor descrise în etapele 1 și 2;
  • raportează costul resurselor protejate și pierderile așteptate din implementarea amenințărilor;
  • raportarea amenințărilor și contramăsurilor;
  • raportul ROI;
  • raport de audit de securitate.

Un exemplu de calcul al indicatorului ROI pentru diferite măsuri de protecție este prezentat în Fig. 5.

Astfel, RiskWatch vă permite să evaluați nu numai riscurile care există în prezent în întreprindere, ci și beneficiile pe care le poate aduce implementarea instrumentelor și mecanismelor fizice, tehnice, software și a altor instrumente de protecție. Rapoartele și graficele pregătite oferă material suficient pentru a lua decizii cu privire la schimbarea sistemului de securitate al întreprinderii.

Pentru utilizatorii casnici, problema este că obținerea evaluărilor utilizate în RiskWatch (cum ar fi LAFE și SAFE) pentru condițiile noastre este destul de problematică. Deși metodologia în sine poate fi aplicată cu succes în țara noastră.

Pentru a rezuma, observăm că atunci când alegem o metodologie specifică de analiză a riscurilor într-o întreprindere și a instrumentelor care o susțin, trebuie să răspundem la întrebarea: este necesară o evaluare cantitativă exactă a consecințelor implementării amenințărilor sau este o evaluare la nivel calitativ. suficient? De asemenea, este necesar să se țină cont de următorii factori: disponibilitatea experților care pot oferi estimări fiabile ale volumului pierderilor cauzate de amenințările la securitatea informațiilor și disponibilitatea unor statistici fiabile ale incidentelor în domeniul securității informațiilor la întreprindere.

Dezavantajele RiskWatch includ următoarele:

  • această metodă este potrivită dacă trebuie să efectuați o analiză de risc la nivel de protecție software și hardware, fără a lua în considerare factorii organizatorici și administrativi;
  • evaluările de risc rezultate (aşteptarea matematică a pierderilor) nu epuizează înţelegerea riscului din perspectivă sistemică - metoda nu ţine cont de o abordare integrată a securităţii informaţiei;
  • Software-ul RiskWatch este disponibil numai în limba engleză;
  • cost ridicat de licență - de la 10.000 USD per loc de muncă pentru o companie mică.

GRIF

GRIF este un sistem cuprinzător pentru analiza și gestionarea riscurilor sistemului informațional al unei companii. GRIF 2005 de la Digital Security Office (http://www.dsec.ru/products/grif/) oferă o imagine a securității resurselor informaționale din sistem și vă permite să alegeți strategia optimă pentru protejarea informațiilor corporative.

Sistemul GRIF analizează nivelul de securitate al resurselor, evaluează posibilele daune din implementarea amenințărilor la securitatea informațiilor și ajută la gestionarea riscurilor prin alegerea contramăsurilor.

Analiza riscului IS este realizată în două moduri: folosind un model de flux de informații sau un model de amenințare și vulnerabilitate, în funcție de ce date inițiale are utilizatorul, precum și de ce date este interesat ca rezultat.

Modelul fluxului de informații

Atunci când lucrează cu modelul de flux de informații, sistemul introduce informații complete despre toate resursele cu informații valoroase, utilizatorii care au acces la aceste resurse, tipuri și drepturi de acces. Datele sunt înregistrate prin toate mijloacele de protecție a fiecărei resurse, a relațiilor de rețea dintre resurse și a caracteristicilor politicii de securitate a companiei. Rezultatul este un model complet al sistemului informatic.

În prima etapă a lucrului cu programul, utilizatorul introduce toate obiectele sistemului său informațional: departamente, resurse (obiectele specifice acestui model includ grupuri de rețea, dispozitive de rețea, tipuri de informații, grupuri de utilizatori, procese de afaceri).

În continuare, utilizatorul trebuie să facă conexiuni, adică să determine căror departamente și grupuri de rețea aparțin resursele, ce informații sunt stocate pe resursă și ce grupuri de utilizatori au acces la aceasta. Utilizatorul specifică, de asemenea, mijloace de protejare a resursei și a informațiilor.

În etapa finală, utilizatorul răspunde la o listă de întrebări despre politica de securitate implementată în sistem, ceea ce face posibilă evaluarea nivelului real de securitate a sistemului și evaluarea detaliată a riscurilor.

Prezența instrumentelor de securitate a informațiilor, remarcată în prima etapă, nu face sistemul în sine sigur în cazul utilizării lor inadecvate și absența unei politici de securitate cuprinzătoare care să ia în considerare toate aspectele protecției informațiilor, inclusiv problemele de securitate. organizare, securitate fizică, siguranța personalului, continuitatea afacerii etc.

Ca urmare a efectuării tuturor acțiunilor în aceste etape, rezultatul este un model complet al sistemului informațional din punctul de vedere al securității informațiilor, ținând cont de implementarea efectivă a cerințelor unei politici de securitate cuprinzătoare, care vă permite să mutați la analiza software a datelor introduse pentru a obține o evaluare cuprinzătoare a riscurilor și a genera un raport final.

Model de amenințare și vulnerabilitate

Lucrul cu un model de analiză a amenințărilor și vulnerabilităților implică identificarea vulnerabilităților fiecărei resurse cu informații valoroase și a amenințărilor corespunzătoare care pot fi realizate prin aceste vulnerabilități. Rezultatul este o imagine completă a deficiențelor sistemului informațional și a pagubelor care pot fi cauzate.

În prima etapă a lucrului cu produsul, utilizatorul introduce în sistem obiecte ale propriului său sistem informațional: departamente, resurse (obiectele specifice acestui model includ amenințările la adresa sistemului informațional și vulnerabilitățile prin care sunt realizate amenințările).

Sistemul GRIF 2005 include cataloage extinse încorporate de amenințări și vulnerabilități, care conțin aproximativ 100 de amenințări și 200 de vulnerabilități. Pentru a maximiza completitatea și versatilitatea datelor din catalog, experții în securitate digitală au dezvoltat o clasificare specială a amenințărilor, DSECCT, care încorporează mulți ani de experiență practică în domeniul securității informațiilor. Folosind aceste cataloage, utilizatorul poate selecta amenințările și vulnerabilitățile legate de sistemul său informațional.

Algoritmul sistemului GRIF 2005 analizează modelul construit și generează un raport care conține valorile de risc pentru fiecare resursă. Configurația raportului poate fi aproape orice, ceea ce vă permite să creați atât rapoarte scurte pentru management, cât și rapoarte detaliate pentru a lucra în continuare cu rezultatele (Fig. 6).
Orez. 6. Exemplu de raport în sistemul GRIF 2005.

Sistemul GRIF 2005 conține un modul de management al riscului, care vă permite să analizați toate motivele pentru care, după prelucrarea datelor introduse de către algoritm, se obține exact valoarea de risc. Astfel, cunoscând motivele, puteți obține datele necesare implementării contramăsurilor și, în consecință, reduceți nivelul de risc. Prin calcularea eficacității fiecărei contramăsuri posibile, precum și prin determinarea valorii riscului rezidual, puteți selecta contramăsuri care vor reduce riscul la nivelul necesar.

Ca urmare a lucrului cu sistemul GRIF, se construiește un raport detaliat pe nivelul de risc al fiecărei resurse valoroase a sistemului informațional al companiei, toate cauzele riscului sunt indicate cu o analiză detaliată a vulnerabilităților și o evaluare a rentabilității. a tuturor contramăsurilor posibile.

***

Cele mai bune practici mondiale și standardele internaționale de vârf în domeniul securității informațiilor, în special ISO 17799, necesită implementarea unui sistem de analiză și management al riscurilor pentru un management eficient al securității sistemului informațional. În acest caz, puteți folosi orice instrument convenabil, dar principalul lucru este să înțelegeți întotdeauna clar că sistemul de securitate a informațiilor a fost creat pe baza analizei riscului informațional, verificat și justificat. Analiza și gestionarea riscurilor informaționale este un factor cheie pentru construirea unei protecții eficiente a unui sistem informațional.