Các phương pháp và sản phẩm phần mềm đánh giá rủi ro. Phương pháp và sản phẩm phần mềm đánh giá rủi ro Công cụ phần mềm quản lý rủi ro

, (, "", "", ""). ,FRAP; (,). Theo dõi rủi ro; , (CRAMM, Microsoft..).

CRAMM - 80- . (CCTA). CRAMM, . , . CRAMM, (hồ sơ). (Hồ sơ thương mại), - (Hồ sơ chính phủ). , ITSEC (""). RAMM. , . : , . : , . . . , . .

CRAMM. :

; - , ; ; - (), ; , : , .

; ; ; , ; ; , ; , ; .

1 10. Nhồi nhét " , ":

2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.

(3) , () . , . .

, . . , (, ..). . CRAMM 36, . , . , . 1 7. , . CRAMM. , . , :

(. 4.1); (. 4.2); (. 4.1).

4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66

, " ". . 4.1 . , - (), - ().

4.1. (. Mất kỳ vọng hàng năm) CRAMM, . 4.2 ().

4.2. , (. 4.3)

4.3. . , . CRAMM, . : 300 ; 1000 ; 900, . , Nhồi nhét - , ().

FRAP "Quy trình phân tích rủi ro được hỗ trợ (FRAP)" Peltier và các cộng sự (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). , . - , . : . , (. Phân tích lợi ích chi phí), . . FRAP. 1. , () . 2. . : o (danh sách kiểm tra), ;

; , ; ồ " ", . 3. . , . , .o

, . , (). . (Xác suất):o o o

(Xác suất cao) - , ; (Xác suất trung bình) - ; (Xác suất thấp) - , .

(Tác động) - , :o

(Ảnh hưởng lơn): , ; (Tác động trung bình): , -; (Tác động thấp): , .

4.4. : ồ ồ

MỘT - (,) ; B - ; C - (,);

4.4. PHẦN 4... , . , . , . , (, - .). , . , . , . :o o

; . 5. . , . ,..o o

OCTAVEOCTAVE (Đánh giá mối đe dọa nghiêm trọng trong hoạt động, tài sản và lỗ hổng bảo mật) - , Viện Kỹ thuật phần mềm (SEI) (Đại học Carnegie Mellon). www.cert.org/octave. - . , . , . Quãng tám: 1. , ; 2. ; 3. . (tài sản), (truy cập), (tác nhân), (động cơ), (kết quả) . , Quãng tám: 1. , -, ; 2. , -, ; 3. , ; 4. . (tiết lộ), (sửa đổi), (mất/hủy hoại) . (gián đoạn).

Quãng tám " ", 1) . 4.5. - . - . , () - () (Cơ sở dữ liệu nhân sự). ,4.3. 4.3. . (Tài sản) (Cơ sở dữ liệu nhân sự) (Truy cập) (Mạng) (Tác nhân) (Bên trong) (Động cơ) (Cố ý) (Tính dễ bị tổn thương) (Kết quả) (Tiết lộ) (Tham khảo danh mục) -

4.5. , - . , (, ..), (,). : ; ; ; ; "", ; ; ; ; . , . , (web-, .), (danh sách kiểm tra), . :

, (lỗ hổng nghiêm trọng cao); , (lỗ hổng ở mức độ nghiêm trọng trung bình); , (lỗ hổng nghiêm trọng thấp).

quãng tám, . : (cao), (trung bình), (thấp). , . , (, $10000 - , -). , :

quãng tám, quãng tám, .

Theo dõi rủi ro Theo dõi rủi ro, . Theo dõi rủi ro:

Theo dõi rủi ro về an ninh vật lý - ; Theo dõi rủi ro cho hệ thống thông tin - ; HIPAA-WATCH dành cho ngành chăm sóc sức khỏe - HIPAA (Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm chăm sóc sức khỏe của Hoa Kỳ), ; RiskWatch RW17799 cho ISO 17799 - ISO 17799.

RiskWatch (Kỳ vọng thua lỗ hàng năm, ALE) (Lợi tức đầu tư, ROI). Theo dõi rủi ro. Theo dõi rủi ro. - . , (), . , ("", "/" ..), . , (.4.6). , :

; ; (,); (, ..); ; (,); .

600. . , . (LAFE AN TOÀN), . .

4.6. - . , . , . , . , $150000, 0,01, $1500. (m=p*v, m - , p - , v -) , RiskWatch NIST , LAFE SAFE. LAFE (Ước tính tần suất địa phương hàng năm) - , (,). AN TOÀN (Ước tính tần suất tiêu chuẩn hàng năm) - , " " (,). ,

, . (4.1) (4.2) ALE: (4.1) :

Giá trị tài sản - (, ..); Hệ số phơi nhiễm - - , (), ; Tính thường xuyên - ; ALE - .

, . " " (Tỷ lệ xảy ra hàng năm - ARO) " " (Kỳ vọng tổn thất một lần - SLE), (,). , - (4.2) (4.2) ://:">, . . RiskWatch LAFE SAFE, . ROI (Lợi tức đầu tư -), . : (4.3)

Chi phíj - j - ; Lợi íchi - (..), ; NPV (Giá trị hiện tại ròng) - .

12. . . ROI (- . 4.7). .

4.7. ROI, . , .

Microsoft.

, , :1. . . 2. . . 3. . .

. . . (. *8] , -). .

, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,

. . . . . .

. . . - . . .

(.4.8). (Excel) Microsoft. , . (-,).

4.10 .

. ; . ; . .

(" ") , :

; : , ; : .

4.13. - . 4.14. .

4.14. . , . , 100 20%, . ,

: , . . 4.15 .

4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .

4.17. . 4.18 . .

4.20. . , - ": 5, : 1", - ": 5, : 5".

4,20. (SRMGTool3)

. (1 10) (0 10). 0 100. "", "" "" , . 4.21

. . (tổn thất đơn kỳ vọng - SLE). (tỷ lệ xảy ra hàng năm - ARO). (dự kiến ​​tổn thất hàng năm - ALE).

. . . . . . . . .

. , . , . . . , . , (- () 20%). . (SLE). . 4.22.

4.23. ()

(ARO). ARO. 4,24

(ALE) SLE ARO .

ALE. , . , - .

(, ..); (,) ; ; , ; , .

Dưới đây là mô tả ngắn gọn về một số kỹ thuật phân tích rủi ro phổ biến. Chúng có thể được chia thành:

• các kỹ thuật sử dụng đánh giá rủi ro ở mức độ định tính (ví dụ: trên thang điểm “cao”, “trung bình”, “thấp”). Đặc biệt, những kỹ thuật như vậy bao gồm FRAP;
• phương pháp định lượng (rủi ro được đánh giá thông qua một giá trị số, ví dụ như quy mô của khoản lỗ dự kiến ​​​​hàng năm). Phương pháp RiskWatch thuộc loại này;
• phương pháp sử dụng các đánh giá hỗn hợp (phương pháp này được sử dụng trong CRAMM, phương pháp của Microsoft, v.v.).

Kỹ thuật CRAMM

Đây là một trong những phương pháp phân tích rủi ro đầu tiên trong lĩnh vực bảo mật thông tin - công việc thực hiện nó bắt đầu vào giữa những năm 80. Cơ quan Máy tính và Viễn thông Vương quốc Anh (CCTA).

Phương pháp CRAMM dựa trên Một cách tiếp cận phức tạpđể đánh giá rủi ro, kết hợp các phương pháp phân tích định lượng và định tính. Phương pháp này phổ biến và phù hợp cho cả tổ chức lớn và nhỏ, cả khu vực chính phủ và thương mại. Các phiên bản của phần mềm CRAMM dành cho các loại tổ chức khác nhau có sự khác biệt về cơ sở kiến ​​thức (hồ sơ) của chúng. Đối với tổ chức thương mại có Hồ sơ thương mại, đối với tổ chức chính phủ có Hồ sơ chính phủ. Phiên bản chính phủ của hồ sơ cũng cho phép bạn kiểm tra việc tuân thủ các yêu cầu của tiêu chuẩn ITSEC của Mỹ ("Sách Cam").

Việc nghiên cứu hệ thống bảo mật thông tin sử dụng CRAMM được thực hiện theo ba giai đoạn [,,].

Ở giai đoạn đầu tiên, mọi thứ liên quan đến việc xác định và xác định giá trị của tài nguyên hệ thống đều được phân tích. Nó bắt đầu bằng việc giải quyết vấn đề xác định ranh giới của hệ thống đang nghiên cứu: thông tin được thu thập về cấu hình của hệ thống và ai chịu trách nhiệm về tài nguyên vật lý và phần mềm, ai nằm trong số những người dùng hệ thống, cách họ sử dụng nó hoặc sẽ sử dụng nó.

Việc xác định các tài nguyên được thực hiện: vật lý, phần mềm và thông tin có trong ranh giới của hệ thống. Mỗi tài nguyên phải được gán cho một trong các lớp được xác định trước. Sau đó, mô hình hệ thống thông tin được xây dựng từ góc độ bảo mật thông tin. Đối với mỗi quy trình thông tin, theo người dùng, có ý nghĩa độc lập và được gọi là dịch vụ người dùng, một cây kết nối các tài nguyên được sử dụng sẽ được xây dựng. Mô hình được xây dựng cho phép chúng tôi xác định các yếu tố quan trọng.

Giá trị nguồn lực vật chất trong CRAMM được xác định bởi chi phí khôi phục chúng trong trường hợp bị phá hủy.

Giá trị của dữ liệu, phần mềm được xác định trong các trường hợp sau:

• không có sẵn tài nguyên trong một khoảng thời gian nhất định;
• phá hủy tài nguyên - mất thông tin thu được kể từ lần sao lưu cuối cùng hoặc phá hủy hoàn toàn thông tin đó;
• vi phạm bí mật trong trường hợp nhân viên hoặc người không được phép truy cập trái phép;
• sửa đổi - được xem xét đối với các trường hợp lỗi nhỏ về mặt nhân sự (lỗi đầu vào), lỗi phần mềm, lỗi cố ý;
• các lỗi liên quan đến việc chuyển giao thông tin: từ chối giao hàng, không giao thông tin, giao sai địa chỉ.

• thiệt hại đến danh tiếng của tổ chức;
• vi phạm pháp luật hiện hành;
• thiệt hại cho sức khỏe của nhân viên;
• thiệt hại liên quan đến việc tiết lộ dữ liệu cá nhân của cá nhân;
• tổn thất tài chính do tiết lộ thông tin;
• tổn thất tài chính liên quan đến việc thu hồi tài nguyên;
• tổn thất liên quan đến việc không thể thực hiện nghĩa vụ;
• sự vô tổ chức của các hoạt động.

Đối với dữ liệu và phần mềm, các tiêu chí áp dụng cho một IS nhất định sẽ được chọn và thiệt hại được đánh giá theo thang điểm có giá trị từ 1 đến 10.

Ví dụ: trong phần mô tả CRAMM, thang đánh giá sau đây được đưa ra cho tiêu chí “Tổn thất tài chính liên quan đến việc phục hồi tài nguyên”:

• 2 điểm - dưới $1000;
• 6 điểm - từ $1000 đến $10.000;
• 8 điểm - từ 10.000 USD đến 100.000 USD;
• 10 điểm - trên 100.000 USD.

Nếu điểm thấp cho tất cả các tiêu chí được sử dụng (3 điểm trở xuống), thì hệ thống đó được coi là yêu cầu mức độ bảo vệ cơ bản (mức độ này không yêu cầu đánh giá chi tiết về các mối đe dọa an ninh thông tin) và giai đoạn thứ hai của quá trình đánh giá. việc học bị bỏ qua.

Giai đoạn thứ hai xem xét mọi thứ liên quan đến việc xác định và đánh giá mức độ đe dọa đối với các nhóm tài nguyên và điểm yếu của chúng. Vào cuối giai đoạn, khách hàng nhận được mức độ rủi ro được xác định và đánh giá cho hệ thống của mình. Ở giai đoạn này, sự phụ thuộc của dịch vụ người dùng vào các nhóm tài nguyên nhất định cũng như mức độ đe dọa và lỗ hổng hiện có được đánh giá, mức độ rủi ro được tính toán và kết quả được phân tích.

Các tài nguyên được nhóm theo loại mối đe dọa và lỗ hổng. Ví dụ: nếu có nguy cơ hỏa hoạn hoặc trộm cắp, sẽ hợp lý khi coi tất cả các tài nguyên nằm ở một vị trí (phòng máy chủ, phòng liên lạc, v.v.) là một nhóm tài nguyên. Mức độ đe dọa và lỗ hổng được đánh giá dựa trên nghiên cứu các yếu tố gián tiếp.

Phần mềmĐối với mỗi nhóm tài nguyên và mỗi loại trong số 36 loại mối đe dọa, CRAMM tạo ra một danh sách các câu hỏi có thể được trả lời một cách rõ ràng. Mức độ đe dọa được đánh giá, tùy thuộc vào câu trả lời, là rất cao, cao, trung bình, thấp và rất thấp. Mức độ dễ bị tổn thương được đánh giá, tùy thuộc vào câu trả lời, ở mức cao, trung bình và thấp.

Dựa trên thông tin này, mức độ rủi ro được tính toán theo thang đo riêng biệt với cấp độ từ 1 đến 7. Mức độ đe dọa, lỗ hổng và rủi ro được phân tích và thống nhất với khách hàng.

CRAMM kết hợp các mối đe dọa và lỗ hổng trong ma trận rủi ro. Chúng ta hãy xem làm thế nào để có được ma trận này và ý nghĩa của từng mức độ rủi ro.

Cách tiếp cận cơ bản để giải quyết vấn đề này là xem xét:

• mức độ đe dọa (thang đo được đưa ra trong Bảng 4.1);
• mức độ dễ bị tổn thương (thang đo được nêu trong Bảng 4.2);
• quy mô của tổn thất tài chính dự kiến ​​(ví dụ trong Hình 4.1).

Dựa trên ước tính chi phí tài nguyên của IP được bảo vệ, đánh giá các mối đe dọa và lỗ hổng, “tổn thất dự kiến ​​hàng năm” được xác định. Trong bộ lễ phục. Hình 4.1 đưa ra ví dụ về ma trận ước tính tổn thất dự kiến. Trong đó, cột thứ hai bên trái chứa các giá trị chi phí tài nguyên, hàng trên cùng của tiêu đề bảng chứa ước tính về tần suất xuất hiện của mối đe dọa trong năm (mức độ đe dọa), dòng dưới cùng của tiêu đề chứa ước tính về xác suất thành công của việc thực hiện mối đe dọa (mức độ dễ bị tổn thương).

Cơm. 4.1.

Các giá trị tổn thất dự kiến ​​hàng năm (tiếng Anh Annual Loss of Expectancy) được chuyển đổi trong CRAMM thành điểm biểu thị mức độ rủi ro, theo thang đo được trình bày trong Hình 2. 4.2 (trong ví dụ này số tiền thua lỗ được tính bằng bảng Anh).

Theo ma trận dưới đây, đánh giá rủi ro được đưa ra (Hình 4.3)

Giai đoạn nghiên cứu thứ ba là tìm ra các biện pháp đối phó thích hợp. Về cơ bản, đây là việc tìm kiếm một phương án hệ thống an ninh phù hợp nhất với yêu cầu của khách hàng.

Ở giai đoạn này, CRAMM tạo ra một số lựa chọn về các biện pháp đối phó phù hợp với các rủi ro đã xác định và mức độ của chúng. Các biện pháp đối phó có thể được nhóm thành ba loại: khoảng 300 khuyến nghị chung; hơn 1000 khuyến nghị cụ thể; khoảng 900 ví dụ về cách tổ chức bảo vệ trong tình huống này.

Do đó, CRAMM là một ví dụ về phương pháp tính toán trong đó các đánh giá ban đầu được đưa ra ở cấp độ định tính, sau đó chuyển sang đánh giá định lượng (tính bằng điểm).

kỹ thuật FRAP

Phương pháp Quy trình phân tích rủi ro được hỗ trợ (FRAP) do Peltier và Associates cung cấp (trang Internet http://www.peltierassociates.com/) được Thomas R. Peltier phát triển và xuất bản trong (các phần của cuốn sách này có sẵn trên trang web, mô tả dưới đây dựa trên chúng). Về phương pháp luận, việc cung cấp IS được đề xuất xem xét trong khuôn khổ quy trình quản lý rủi ro. Quản lý rủi ro trong lĩnh vực bảo mật thông tin, một quy trình cho phép các công ty tìm ra sự cân bằng giữa việc chi tiền và nỗ lực cho các biện pháp bảo mật và hiệu quả đạt được.

Quản lý rủi ro phải bắt đầu bằng việc đánh giá rủi ro: kết quả đánh giá được ghi chép đầy đủ sẽ tạo cơ sở cho quyết định trong lĩnh vực nâng cao tính bảo mật của hệ thống.

Sau khi hoàn thành đánh giá, phân tích chi phí/lợi ích sẽ được thực hiện, cho phép chúng tôi xác định các biện pháp bảo vệ cần thiết để giảm rủi ro xuống mức chấp nhận được.

Dưới đây là các bước chính trong đánh giá rủi ro. Danh sách này phần lớn lặp lại danh sách tương tự từ các phương pháp khác, nhưng FRAP tiết lộ chi tiết hơn cách lấy dữ liệu về hệ thống và các lỗ hổng của nó.

1. Việc xác định tài sản được bảo vệ được thực hiện bằng bảng câu hỏi, nghiên cứu tài liệu hệ thống và sử dụng các công cụ phân tích (quét) mạng tự động.
2. Nhận dạng mối đe dọa. Khi biên soạn danh sách các mối đe dọa, có thể sử dụng các phương pháp khác nhau:
   • danh sách các mối đe dọa (danh sách kiểm tra) được các chuyên gia chuẩn bị trước, từ đó chọn ra những mối đe dọa phù hợp với một hệ thống nhất định;
   • phân tích số liệu thống kê về các sự cố ở IS này và các sự cố tương tự - tần suất xuất hiện của chúng được đánh giá; đối với một số mối đe dọa, ví dụ như mối đe dọa hỏa hoạn, số liệu thống kê đó có thể được lấy từ các tổ chức chính phủ có liên quan;
   • “động não” do nhân viên công ty thực hiện.
3. Khi danh sách các mối đe dọa được hoàn thành, mỗi mối đe dọa sẽ được so sánh với xác suất xảy ra. Sau đó, thiệt hại có thể gây ra bởi mối đe dọa này sẽ được đánh giá. Dựa trên các giá trị thu được, mức độ đe dọa được đánh giá.

   Khi tiến hành phân tích, người ta thường cho rằng ở giai đoạn đầu, hệ thống thiếu các phương tiện và cơ chế bảo mật. Bằng cách này, mức độ rủi ro đối với thông tin không được bảo vệ sẽ được đánh giá, sau đó có thể cho thấy hiệu quả của việc giới thiệu các công cụ bảo mật thông tin (ISIS).
   Cơm. 4.4. Ma trận rủi ro FRAP

4. Khi các mối đe dọa đã được xác định và đánh giá rủi ro, các biện pháp đối phó phải được xác định để loại bỏ rủi ro hoặc giảm thiểu rủi ro đến mức có thể chấp nhận được. Trong trường hợp này, phải tính đến các hạn chế pháp lý khiến việc này không thể thực hiện được hoặc ngược lại, buộc phải sử dụng các phương tiện và cơ chế bảo vệ nhất định. Để xác định hiệu quả dự kiến, có thể đánh giá rủi ro tương tự nhưng tùy thuộc vào việc triển khai hệ thống bảo vệ thông tin được đề xuất. Nếu rủi ro không được giảm thiểu đủ, có thể cần sử dụng thiết bị bảo vệ khác. Cùng với việc xác định các phương tiện bảo vệ, cần xác định những chi phí mà việc mua lại và thực hiện nó sẽ đòi hỏi (chi phí có thể là trực tiếp và gián tiếp - xem bên dưới). Ngoài ra, cần đánh giá xem bản thân công cụ này có an toàn hay không và liệu nó có tạo ra những lỗ hổng mới trong hệ thống hay không.

   Để sử dụng các biện pháp bảo vệ hiệu quả về mặt chi phí, cần phải phân tích mối quan hệ giữa chi phí và hiệu quả đạt được. Trong trường hợp này, cần đánh giá không chỉ chi phí mua giải pháp mà còn cả chi phí duy trì hoạt động của nó. Chi phí có thể bao gồm:

   • chi phí thực hiện dự án, bao gồm cả phần mềm và phần cứng bổ sung;
   • giảm hiệu quả thực hiện các nhiệm vụ chính của hệ thống;
   • thực hiện các chính sách và thủ tục bổ sung để bảo trì cơ sở vật chất;
   • chi phí thuê thêm nhân sự hoặc đào tạo lại những người hiện có.
5. Tài liệu. Khi hoàn thành đánh giá rủi ro, kết quả của nó phải được ghi lại chi tiết theo định dạng chuẩn. Báo cáo kết quả có thể được sử dụng để xác định các chính sách, thủ tục, ngân sách bảo mật, v.v.

Tiếp tục chủ đề đánh giá và quản lý rủi ro bảo mật thông tin trong bài viết này, tôi muốn nói về phần mềm có thể được sử dụng để thực hiện đánh giá rủi ro. Tại sao bạn lại cần phần mềm này? Thực tế là một khi bạn đi sâu vào quá trình này, bạn sẽ ngay lập tức thấy rõ rằng việc tiến hành đánh giá liên quan đến tổ hợp khá phức tạp. Sự kết hợp của các tài sản, lỗ hổng, mối đe dọa và biện pháp bảo vệ khác nhau sẽ tạo ra hàng trăm, hàng nghìn cách kết hợp có thể mô tả rủi ro và ở đây bạn không thể thực hiện được nếu không có các phương tiện sẵn có. Bạn có thể tìm thấy gì trên Internet bây giờ:

vsrủi ro. Phần mềm từ công ty Vigilant Software của Anh. Sản phẩm được định vị chủ yếu là phần mềm đánh giá rủi ro theo các yêu cầu của ISO 27001 và BS7799-3 (nay là ISO27005). Trên trang web, bạn có thể tải xuống bản dùng thử trong 15 ngày (kích thước - 390 MB). Đối với tôi, hệ thống này có vẻ khá thô sơ và không thân thiện chút nào với người dùng chưa qua đào tạo. Ví dụ: chương trình có danh sách khá phong phú về các mối đe dọa, lỗ hổng và biện pháp đối phó có thể xảy ra, nhưng bản thân hệ thống không xác định bất kỳ mối quan hệ nào giữa chúng; việc này được chính người dùng thực hiện theo cách thủ công. Nói chung, tôi đánh giá chương trình này là 3. Tại sao họ lại yêu cầu 1700 Euro?! số 8-).

PTA.Được phát triển bởi PTA Technologies . Theo tôi, một sản phẩm cực kỳ thú vị. Nó không bị ràng buộc với bất kỳ tiêu chuẩn nào và thực hiện cơ chế đánh giá rủi ro định lượng (!). Nhân tiện, tôi coi đây là một nhược điểm của phần mềm này, bởi vì... Vấn đề là không phải mọi thứ đều có thể được đánh giá bằng đồng đô la gần nhất và khả năng đánh giá định tính cũng không được cung cấp. Hệ thống này cũng cung cấp một cơ chế thú vị để đánh giá tính hiệu quả của các biện pháp đối phó được đề xuất, trên cơ sở đó, chúng tôi có thể nêu bật cách bản đồ rủi ro thay đổi khi chúng tôi thêm hoặc loại bỏ một số biện pháp đối phó.

Trang web của nhà phát triển cho biết sản phẩm phải trả phí và chỉ có bản dùng thử để tải xuống trong 30 ngày. Bản thân sản phẩm có giá bao nhiêu và cách mua nó - không có thông tin (rõ ràng cách tiếp cận là cá nhân :)).

Cung thủ RSA. Sự phát triển của công ty Archer, gần đây thuộc sở hữu của RSA khổng lồ. Nói chung, Archer là một tổ hợp GRC khổng lồ bao gồm nhiều mô-đun khác nhau, một trong số đó cung cấp khả năng quản lý rủi ro. Các bản dùng thử không có sẵn để tải xuống; có các video trình bày trên trang web. Giá thành của sản phẩm này cũng không được nêu rõ, nhưng tôi nghĩ nó sẽ đắt, giống như mọi thứ khác từ RSA :)

Trình quản lý rủi ro Modulo. Được phát triển bởi Modulo. Chỉ có một mô tả khá nghèo nàn về chức năng có sẵn trên trang web. Không có bản dùng thử, không có video chi tiết. Tuy nhiên, sản phẩm đã nhận được giải thưởng từ Tạp chí SC, điều đó có nghĩa là nó vẫn có giá trị. Thật không may, tôi vẫn chưa thể làm quen với nó.

Studio RM. Sản phẩm của tổ chức cùng tên (website). D Bản dùng thử 30 ngày có sẵn để tải xuống; Ngoài ra, trên trang web, bạn có thể xem video minh họa các tình huống sử dụng sản phẩm. Theo tôi, phần mềm này còn quá thô sơ về mặt đánh giá rủi ro và chỉ phù hợp với những người thực hiện đánh giá rủi ro “để trưng bày”.

Con kền kền. Được phát triển bởi Digital Security. Tôi mang đến sản phẩm phần mềm này thay vì chỉ để có được bức tranh chung. Bản thân sản phẩm này đã không được công ty phát triển hỗ trợ dưới bất kỳ hình thức nào trong nhiều năm. Vì vậy, chúng ta có thể nói rằng nó thực sự không còn tồn tại nữa. Cho đến nay đây là sự phát triển trong nước duy nhất trong lĩnh vực này mà tôi biết.

Thành thật mà nói, không nhiều. Tôi hiểu rằng bài đánh giá của tôi không thể khẳng định là hoàn thành 100%, nhưng vẫn....

Nếu có ai biết bất kỳ phần mềm hoặc phương pháp tự động hóa nào khác khi tiến hành đánh giá rủi ro, vui lòng viết nhận xét và chúng ta sẽ thảo luận.

Cập nhật quan trọng! ISM SYSTEMS công bố phát triển công cụ tự động hóa đánh giá rủi ro - ISM Revision: Risk Manager. Thông tin sơ bộ có tại đây - http://www.ismsys.ru/?page_id=73. Sản phẩm có vẻ đầy hứa hẹn. Mình sẽ làm bài đánh giá chi tiết hơn sau.

Chương trình đánh giá rủi ro xác định các thủ tục đánh giá và ấn định mức độ (mức) rủi ro cho khách hàng, có tính đến các yêu cầu để nhận dạng khách hàng:

• a) khi phát sinh mối quan hệ hợp đồng với khách hàng (chấp nhận khách hàng làm dịch vụ);
• b) trong quá trình phục vụ khách hàng (khi các hoạt động (giao dịch) được thực hiện);
• c) Các trường hợp khác do tổ chức quy định trong quy chế kiểm soát nội bộ.

Chương trình đánh giá rủi ro cung cấp khả năng đánh giá rủi ro của khách hàng dựa trên đặc điểm của giao dịch, loại hình và điều kiện hoạt động có nguy cơ cao hơn khi khách hàng thực hiện giao dịch nhằm mục đích hợp pháp hóa (rửa tiền) tiền thu được từ tội phạm và tài trợ cho khủng bố, có tính đến các khuyến nghị của Lực lượng Đặc nhiệm Hành động Tài chính (FATF).

Thư thông tin của Rosfinmonitoring ngày 2 tháng 8 năm 2011 số 71 trình bày các dấu hiệu giao dịch, loại hình và điều kiện hoạt động làm tăng nguy cơ khách hàng thực hiện giao dịch nhằm mục đích hợp pháp hóa (rửa tiền) tiền thu được từ tội phạm và tài trợ khủng bố (với ngoại trừ các tổ chức tín dụng). Cái này:

• 1. Các hoạt động liên quan đến việc tổ chức và tiến hành đánh bạc.
• 2. Các hoạt động liên quan đến việc bán, bao gồm cả hoa hồng, các tác phẩm nghệ thuật, đồ cổ, đồ nội thất, xe chở khách và các mặt hàng xa xỉ.
• 3. Các hoạt động liên quan đến mua bán kim loại quý, đá quý, đồ trang sức có chứa kim loại quý, đá quý và phế liệu của các sản phẩm đó.
• 4. Hoạt động liên quan đến giao dịch bất động sản và/hoặc cung cấp dịch vụ trung gian trong giao dịch bất động sản.
• 5. Hoạt động điều hành tour, đại lý lữ hành và các hoạt động khác để tổ chức lữ hành (hoạt động du lịch).
• 6. Bất kỳ hoạt động nào liên quan đến lưu thông tiền mặt chuyên sâu.
• 7. Thời gian hoạt động kể từ ngày đăng ký nhà nước của pháp nhân, cá nhân kinh doanh, có tư cách luật sư, công chứng viên là dưới 1 năm.
• 8. Khoảng thời gian khách hàng được tổ chức phục vụ (khoảng thời gian kể từ ngày khách hàng chấp nhận dịch vụ) là dưới 1 năm.
• 9. Vắng mặt tại địa chỉ nơi đặt pháp nhân của cơ quan quản lý thường trú, cơ quan khác hoặc người được ủy quyền thay mặt pháp nhân đó mà không có giấy ủy quyền.
• 10. Sự tương tác của khách hàng với một tổ chức thực hiện các giao dịch bằng tiền hoặc tài sản khác độc quyền thông qua một người đại diện được ủy quyền.
• 11. Sự tham gia của khách hàng (người thụ hưởng, người sáng lập) vào các chương trình mục tiêu liên bang hoặc các dự án quốc gia hoặc được bổ nhiệm làm cư dân của đặc khu kinh tế.
• 12. Trường hợp khách hàng (người thụ hưởng, người sáng lập) là tổ chức có vốn điều lệ và có phần sở hữu của Nhà nước.
• 13. Trường hợp khách hàng (người thụ hưởng) là người không cư trú tại Liên bang Nga.
• 14. Trường hợp khách hàng là công chức nước ngoài hoặc hành động vì lợi ích (có lợi) của công chức nước ngoài.
• 15. Trường hợp khách hàng là vợ, chồng, họ hàng gần gũi (họ hàng trực hệ tăng dần (cha mẹ và con, ông, bà và cháu), anh chị em ruột (có chung cha hoặc mẹ), anh chị em, cha mẹ nuôi và con nuôi) của công chức nước ngoài.
• 16. Khách hàng thực hiện các giao dịch bằng tiền hoặc tài sản khác chịu sự kiểm soát bắt buộc theo khoản 2 của Nghệ thuật. 6 của Luật Liên bang.
• 17. Sự hiện diện của các giao dịch đáng ngờ trong hoạt động của khách hàng, thông tin đã được gửi đến cơ quan có thẩm quyền.
• 18. Khách hàng thực hiện thanh toán cho một hoạt động (giao dịch) sử dụng công nghệ Internet, hệ thống thanh toán điện tử, hệ thống chuyển tiền thay thế hoặc hệ thống truy cập từ xa khác hoặc bằng bất kỳ cách nào khác mà không cần liên hệ trực tiếp (ngoại trừ thực hiện thanh toán một lần qua thiết bị đầu cuối thanh toán với số tiền dưới 15.000 rúp hoặc số tiền ngoại tệ tương đương).
• 19. Trường hợp khách hàng (đối tác, đại diện khách hàng, người thụ hưởng hoặc người sáng lập của khách hàng) có tên trong Danh sách tổ chức, cá nhân có thông tin tham gia hoạt động cực đoan.
• 20. Trường hợp địa chỉ đăng ký (địa điểm hoặc nơi cư trú) của khách hàng (đại diện của khách hàng, người thụ hưởng hoặc người sáng lập của khách hàng) trùng với địa chỉ đăng ký (địa điểm hoặc nơi cư trú) của những người tham gia Danh sách tổ chức và các cá nhân có thông tin về việc họ tham gia vào các hoạt động cực đoan.
• 21. Trường hợp khách hàng là người thân thích của người có tên trong Danh sách tổ chức, cá nhân có quan hệ mà có thông tin về việc họ tham gia vào các hoạt động cực đoan, khủng bố.
• 22. Thực hiện các hoạt động của các tổ chức công cộng và tôn giáo (hiệp hội), các quỹ từ thiện, các tổ chức phi chính phủ phi lợi nhuận nước ngoài và các văn phòng đại diện, chi nhánh của các tổ chức này trên lãnh thổ Liên bang Nga.
• 23. Trường hợp khách hàng là người đứng đầu hoặc người sáng lập một tổ chức công cộng hoặc tôn giáo (hiệp hội), quỹ từ thiện, tổ chức phi chính phủ phi lợi nhuận nước ngoài, chi nhánh hoặc văn phòng đại diện của tổ chức này hoạt động trên lãnh thổ Liên bang Nga.
• 24. Trường hợp khách hàng (đối tác, đại diện khách hàng, người thụ hưởng hoặc người sáng lập khách hàng) được đăng ký tại một tiểu bang hoặc vùng lãnh thổ có hoạt động khủng bố hoặc cực đoan cao.
• 25. Trường hợp khách hàng (đối tác, đại diện của khách hàng, người thụ hưởng hoặc người sáng lập của khách hàng) lần lượt đăng ký, cư trú hoặc địa điểm ở một tiểu bang (lãnh thổ) không tuân thủ các khuyến nghị của Lực lượng đặc nhiệm hành động tài chính về Rửa tiền (FATF) hoặc nếu các hoạt động được chỉ định được thực hiện bằng tài khoản tại ngân hàng được đăng ký ở tiểu bang được chỉ định (trong lãnh thổ được chỉ định).
• 26. Trường hợp khách hàng hoặc người sáng lập (người thụ hưởng) hoặc đối tác của khách hàng cho hoạt động (giao dịch) được đăng ký hoặc hoạt động tại một tiểu bang hoặc lãnh thổ cung cấp chế độ thuế ưu đãi và (hoặc) không cung cấp thông tin tiết lộ và cung cấp khi thực hiện các giao dịch tài chính (khu vực nước ngoài).
• 27. Các đặc điểm khác theo quyết định của tổ chức.

Danh sách trên có thể được bổ sung bởi một tổ chức (người khác) có tính đến các chi tiết cụ thể về hoạt động của tổ chức đó (của anh ta), cũng như các chi tiết cụ thể về các hoạt động (giao dịch) được thực hiện.

Chương trình đánh giá rủi ro cung cấp quy trình và tần suất giám sát các hoạt động (giao dịch) của khách hàng nhằm đánh giá mức độ (mức độ) rủi ro và biện pháp kiểm soát tiếp theo đối với những thay đổi của nó.

Nhu cầu đầu tư vào bảo mật thông tin doanh nghiệp (IS) là điều không thể nghi ngờ. Để khẳng định sự phù hợp của nhiệm vụ đảm bảo an ninh kinh doanh, chúng tôi sẽ sử dụng báo cáo của FBI, được ban hành dựa trên khảo sát các công ty Mỹ (doanh nghiệp vừa và lớn). Số liệu thống kê về các sự cố trong lĩnh vực bảo mật CNTT là không thể tránh khỏi. Theo FBI, 56% công ty được khảo sát đã bị tấn công trong năm nay (Hình 1).

Nhưng làm thế nào để đánh giá mức độ đầu tư cho an toàn thông tin sẽ đảm bảo hiệu quả đầu tư tối đa? Để giải quyết vấn đề này, chỉ có một cách - sử dụng hệ thống phân tích rủi ro cho phép bạn đánh giá các rủi ro hiện có trong hệ thống và chọn phương án bảo vệ hiệu quả nhất (dựa trên tỷ lệ rủi ro hiện có trong hệ thống với chi phí của bảo mật thông tin).

Biện minh đầu tư

Theo thống kê, những trở ngại nghiêm trọng nhất trong việc thực hiện bất kỳ biện pháp nào nhằm đảm bảo an ninh thông tin trong một công ty có liên quan đến hai lý do: hạn chế về ngân sách và thiếu sự hỗ trợ từ ban quản lý.

Cả hai lý do này đều xuất phát từ việc ban quản lý thiếu hiểu biết về mức độ nghiêm trọng của vấn đề và người quản lý CNTT không có khả năng giải thích lý do tại sao họ nên đầu tư vào bảo mật thông tin. Người ta thường tin rằng vấn đề chính là các nhà quản lý và điều hành CNTT nói các ngôn ngữ khác nhau - kỹ thuật và tài chính, nhưng bản thân các chuyên gia CNTT thường khó đánh giá nên chi tiền vào việc gì và cần bao nhiêu tiền để cải thiện bảo mật của hệ thống công ty để những chi phí này không trở nên không cần thiết hoặc quá mức.

Nếu người quản lý CNTT hiểu rõ công ty có thể mất bao nhiêu tiền nếu nhận ra các mối đe dọa, nơi nào trong hệ thống dễ bị tổn thương nhất, những biện pháp nào có thể được thực hiện để tăng mức độ bảo mật mà không tốn thêm tiền và tất cả những điều này đều được ghi lại, thì quyết định của ông Nhiệm vụ thuyết phục ban lãnh đạo quan tâm, bố trí kinh phí đảm bảo an toàn thông tin trở nên thực tế hơn rất nhiều.

Để giải quyết loại vấn đề này, các phương pháp và hệ thống phần mềm đặc biệt để phân tích và kiểm soát rủi ro thông tin được xây dựng trên cơ sở chúng đã được phát triển. Chúng ta sẽ xem xét hệ thống CRAMM của công ty Insight Consulting của Anh (http://www.insight.co.uk), công ty cùng tên RiskWatch của Mỹ (http://www.riskwatch.com) và GRIF của Nga. gói của công ty Bảo mật Kỹ thuật số (http://www .dsec.ru). Đặc điểm so sánh của chúng được thể hiện trong bảng.

Phân tích so sánh các công cụ phân tích rủi ro

CRAMM

Phương pháp CRAMM (Phương pháp quản lý và phân tích rủi ro CCTA) được Cơ quan Viễn thông và Máy tính Trung ương Vương quốc Anh thay mặt cho chính phủ Anh phát triển và được áp dụng làm tiêu chuẩn của chính phủ. Nó đã được chính phủ Anh và các tổ chức thương mại sử dụng từ năm 1985. Trong thời gian này, CRAMM đã trở nên phổ biến trên toàn thế giới. Công ty Insight Consulting phát triển và duy trì một sản phẩm phần mềm triển khai phương pháp CRAMM.

Không phải ngẫu nhiên mà chúng tôi chọn phương pháp CRAMM (http://www.cramm.com) để xem xét chi tiết hơn. Hiện tại, CRAMM là một công cụ khá mạnh mẽ và phổ biến, ngoài việc phân tích rủi ro, còn có thể giải quyết một số nhiệm vụ kiểm toán khác, bao gồm:

• Khảo sát sở hữu trí tuệ và phát hành tài liệu đi kèm ở tất cả các giai đoạn triển khai;
• kiểm toán theo yêu cầu của chính phủ Anh, cũng như tiêu chuẩn Quy tắc thực hành về quản lý an ninh thông tin BS 7799:1995;
• phát triển chính sách bảo mật và kế hoạch kinh doanh liên tục.

Phương pháp CRAMM dựa trên cách tiếp cận tổng hợp để đánh giá rủi ro, kết hợp các phương pháp phân tích định lượng và định tính. Phương pháp này phổ biến và phù hợp cho cả các tổ chức lớn và nhỏ trong cả khu vực chính phủ và thương mại. Các phiên bản của phần mềm CRAMM, dành cho các loại tổ chức khác nhau, khác nhau về cơ sở kiến ​​thức (hồ sơ): đối với các tổ chức thương mại có Hồ sơ Thương mại, đối với các tổ chức chính phủ có hồ sơ Chính phủ. Phiên bản chính phủ của hồ sơ cũng cho phép bạn kiểm tra việc tuân thủ các yêu cầu của tiêu chuẩn ITSEC của Mỹ ("Sách Cam"). Sơ đồ khái niệm về việc thực hiện khảo sát bằng phương pháp CRAMM được thể hiện trong Hình 2. 2.

Với việc sử dụng hợp lý phương pháp CRAMM, có thể thu được kết quả rất tốt, trong đó, có lẽ, quan trọng nhất là khả năng chứng minh một cách kinh tế các chi phí của tổ chức để đảm bảo an ninh thông tin và tính liên tục trong kinh doanh. Chiến lược quản lý rủi ro hợp lý về mặt kinh tế cuối cùng sẽ cho phép bạn tiết kiệm tiền bằng cách tránh các chi phí không cần thiết.

CRAMM liên quan đến việc chia toàn bộ quy trình thành ba giai đoạn liên tiếp. Nhiệm vụ của giai đoạn đầu tiên là trả lời câu hỏi: “Có đủ để bảo vệ hệ thống bằng các công cụ cấp cơ bản thực hiện các chức năng bảo mật truyền thống hay cần phải phân tích chi tiết hơn?” Ở giai đoạn thứ hai, rủi ro được xác định và mức độ của chúng được đánh giá. Ở giai đoạn thứ ba, vấn đề lựa chọn các biện pháp đối phó phù hợp được giải quyết.

Phương pháp CRAMM cho từng giai đoạn xác định một bộ dữ liệu ban đầu, một chuỗi các hoạt động, bảng câu hỏi để tiến hành phỏng vấn, danh sách kiểm tra và một bộ tài liệu báo cáo.

Ở giai đoạn đầu tiên của nghiên cứu, việc xác định và xác định giá trị của các tài nguyên được bảo vệ được thực hiện. Việc đánh giá được thực hiện theo thang điểm mười và có thể có một số tiêu chí đánh giá - tổn thất tài chính, thiệt hại về danh tiếng, v.v. Trong mô tả CRAMM, ví dụ: thang đánh giá sau đây được đưa ra cho tiêu chí “Tổn thất tài chính liên quan đến việc phục hồi tài nguyên”:

• 2 điểm - dưới $1000;
• 6 điểm - từ 1000 đến 10.000 đô la;
• 8 điểm - từ 10.000 USD đến 100.000 USD;
• 10 điểm - trên 100.000 USD

Nếu điểm thấp cho tất cả các tiêu chí được sử dụng (3 điểm trở xuống), thì được coi là mức bảo vệ cơ bản là đủ cho hệ thống được đề cập (mức này không yêu cầu đánh giá chi tiết về các mối đe dọa an ninh thông tin) và mức thứ hai là giai đoạn nghiên cứu bị bỏ qua.

Ở giai đoạn thứ hai, các mối đe dọa trong lĩnh vực bảo mật thông tin được xác định và đánh giá, đồng thời tìm kiếm và đánh giá các lỗ hổng của hệ thống được bảo vệ. Mức độ đe dọa được đánh giá theo thang điểm sau: rất cao, cao, trung bình, thấp, rất thấp. Mức độ dễ bị tổn thương được đánh giá là cao, trung bình hoặc thấp. Dựa trên thông tin này, việc đánh giá mức độ rủi ro được tính toán theo thang điểm bảy (Hình 3).

Ở giai đoạn thứ ba, CRAMM đưa ra các lựa chọn về biện pháp đối phó với những rủi ro đã được xác định. Sản phẩm cung cấp các loại khuyến nghị sau:

• khuyến nghị chung;
• khuyến nghị cụ thể;
• ví dụ về cách tổ chức bảo vệ trong tình huống này.

CRAMM có một cơ sở dữ liệu phong phú chứa các mô tả về khoảng 1000 ví dụ về việc triển khai các hệ thống con bảo mật của các hệ thống máy tính khác nhau. Những mô tả này có thể được sử dụng làm mẫu.

Quyết định đưa các cơ chế bảo mật mới vào hệ thống và sửa đổi các cơ chế cũ được ban quản lý tổ chức đưa ra, có tính đến các chi phí liên quan, khả năng chấp nhận của chúng và lợi ích cuối cùng cho doanh nghiệp. Nhiệm vụ của kiểm toán viên là giải trình các hành động được đề xuất cho ban quản lý tổ chức.

Nếu đưa ra quyết định triển khai các biện pháp đối phó mới và sửa đổi các biện pháp cũ, kiểm toán viên có thể có nhiệm vụ chuẩn bị kế hoạch thực hiện và đánh giá tính hiệu quả của việc sử dụng các biện pháp kiểm soát này. Việc giải quyết những vấn đề này nằm ngoài phạm vi của phương pháp CRAMM.

Những nhược điểm của phương pháp CRAMM bao gồm:

• phương pháp đòi hỏi sự đào tạo đặc biệt và trình độ chuyên môn cao của kiểm toán viên;
• kiểm toán sử dụng phương pháp CRAMM là một quy trình tốn nhiều công sức và có thể đòi hỏi kiểm toán viên phải làm việc liên tục trong nhiều tháng;
• CRAMM phù hợp hơn nhiều để kiểm tra IS hiện có đã được đưa vào hoạt động so với IS đang được phát triển;
• Các công cụ phần mềm CRAMM tạo ra một lượng lớn tài liệu giấy, không phải lúc nào cũng hữu ích trong thực tế;
• CRAMM không cho phép bạn tạo mẫu báo cáo của riêng mình hoặc sửa đổi các mẫu hiện có;
• người dùng không có khả năng bổ sung vào cơ sở tri thức CRAMM, điều này gây ra những khó khăn nhất định trong việc điều chỉnh phương pháp này cho phù hợp với nhu cầu của một tổ chức cụ thể;
• Phần mềm CRAMM không được bản địa hóa, nó chỉ tồn tại bằng tiếng Anh;
• chi phí giấy phép cao - từ 2000 đến 5000 đô la.

Theo dõi rủi ro

Phần mềm RiskWatch là một công cụ quản lý và phân tích rủi ro mạnh mẽ. Dòng RiskWatch bao gồm các sản phẩm phần mềm để thực hiện nhiều loại kiểm tra bảo mật khác nhau. Nó bao gồm các công cụ kiểm toán và phân tích rủi ro sau:

• RiskWatch for Physical Security - dành cho các phương pháp bảo vệ IP vật lý;
• RiskWatch for Information Systems - theo dõi rủi ro thông tin;
• HIPAA-WATCH dành cho ngành chăm sóc sức khỏe - để đánh giá việc tuân thủ các yêu cầu của tiêu chuẩn HIPAA (Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm chăm sóc sức khỏe của Hoa Kỳ);
• RiskWatch RW17799 cho ISO 17799 - để đánh giá việc tuân thủ các yêu cầu của tiêu chuẩn ISO 17799.

Phương pháp RiskWatch sử dụng Kỳ vọng tổn thất hàng năm (ALE) và Lợi tức đầu tư (ROI) làm tiêu chí để đánh giá và quản lý rủi ro.

Dòng sản phẩm phần mềm RiskWatch có rất nhiều lợi thế. RiskWatch giúp bạn tiến hành phân tích rủi ro và đưa ra những lựa chọn sáng suốt về các biện pháp bảo vệ và biện pháp khắc phục. Không giống như CRAMM, chương trình RiskWatch tập trung hơn vào việc định lượng chính xác tỷ lệ tổn thất do các mối đe dọa bảo mật và chi phí tạo ra một hệ thống bảo vệ. Cũng cần lưu ý rằng trong sản phẩm này, các rủi ro trong lĩnh vực bảo mật thông tin và vật lý của mạng máy tính doanh nghiệp được xem xét cùng nhau.

Sản phẩm RiskWatch dựa trên phương pháp phân tích rủi ro, có thể chia thành bốn giai đoạn.

Giai đoạn đầu tiên là xác định đối tượng nghiên cứu. Nó mô tả các tham số như loại hình tổ chức, thành phần của hệ thống đang được nghiên cứu (nói chung) và các yêu cầu bảo mật cơ bản. Để tạo điều kiện thuận lợi cho công việc của nhà phân tích, các mẫu tương ứng với loại tổ chức ("hệ thống thông tin thương mại", "hệ thống thông tin chính phủ/quân sự", v.v.) chứa danh sách các danh mục tài nguyên được bảo vệ, tổn thất, mối đe dọa, lỗ hổng và biện pháp bảo vệ. Trong số này, bạn cần chọn những người thực sự có mặt trong tổ chức.

Ví dụ: các loại sau đây được cung cấp cho tổn thất:

• sự chậm trễ và từ chối dịch vụ;
• công bố thông tin;
• tổn thất trực tiếp (ví dụ, do phá hủy thiết bị do cháy);
• cuộc sống và sức khỏe (nhân viên, khách hàng, v.v.);
• thay đổi dữ liệu;
• tổn thất gián tiếp (ví dụ: chi phí phục hồi);
• danh tiếng.

Giai đoạn thứ hai là đầu vào của dữ liệu mô tả các đặc điểm cụ thể của hệ thống. Chúng có thể được nhập thủ công hoặc được nhập từ các báo cáo được tạo bởi các công cụ nghiên cứu lỗ hổng mạng.

Ở giai đoạn này, tài nguyên, tổn thất và các loại sự cố được mô tả chi tiết. Các lớp sự cố có được bằng cách ánh xạ danh mục tổn thất vào danh mục tài nguyên.

Để xác định các lỗ hổng có thể xảy ra, một bảng câu hỏi được sử dụng, cơ sở dữ liệu chứa hơn 600 câu hỏi. Các câu hỏi có liên quan đến các loại tài nguyên. Tần suất xuất hiện của từng mối đe dọa đã xác định, mức độ dễ bị tổn thương và giá trị của tài nguyên đều được chỉ định. Tất cả điều này sau này được sử dụng để tính toán tác động của việc sử dụng thiết bị bảo hộ.

Giai đoạn thứ ba và có lẽ là quan trọng nhất là đánh giá định lượng. Ở giai đoạn này, hồ sơ rủi ro được tính toán và các biện pháp bảo mật được chọn. Đầu tiên, các kết nối được thiết lập giữa các nguồn lực, tổn thất, mối đe dọa và lỗ hổng được xác định trong các bước nghiên cứu trước đó (rủi ro được mô tả bằng sự kết hợp của bốn thông số này).

Trên thực tế, rủi ro được đánh giá bằng cách sử dụng dự đoán toán học về tổn thất trong năm. Ví dụ: nếu chi phí của một máy chủ là 150.000 USD và xác suất nó bị hỏa hoạn phá hủy trong vòng một năm là 0,01 thì tổn thất dự kiến ​​sẽ là 1.500 USD.

Công thức nổi tiếng m=p x v, trong đó m là kỳ vọng toán học, p là xác suất xảy ra mối đe dọa, v là chi phí tài nguyên, đã trải qua một số thay đổi do thực tế là RiskWatch sử dụng các đánh giá do Viện Hoa Kỳ xác định của Tiêu chuẩn NIST, được gọi là LAFE và SAFE. LAFE (Ước tính tần suất hàng năm tại địa phương) cho biết trung bình mỗi năm một mối đe dọa nhất định xảy ra bao nhiêu lần ở một địa điểm nhất định (ví dụ: trong một thành phố). AN TOÀN (Ước tính tần suất tiêu chuẩn hàng năm) cho biết trung bình mỗi năm một mối đe dọa nhất định xảy ra bao nhiêu lần ở “khu vực trên thế giới” đó (ví dụ: Bắc Mỹ). Một hệ số hiệu chỉnh cũng được đưa vào, cho phép chúng tôi tính đến việc khi nhận ra mối đe dọa, tài nguyên được bảo vệ có thể không bị phá hủy hoàn toàn mà chỉ một phần.

Ngoài ra, các kịch bản “điều gì sẽ xảy ra nếu…” được xem xét, giúp có thể mô tả các tình huống tương tự với điều kiện các biện pháp an ninh được thực hiện. Bằng cách so sánh tổn thất dự kiến ​​khi có và không thực hiện các biện pháp bảo vệ, có thể đánh giá được hiệu quả của các biện pháp đó.

RiskWatch bao gồm các cơ sở dữ liệu có xếp hạng LAFE và SAFE, cũng như các mô tả chung về các loại biện pháp bảo vệ khác nhau.

Hiệu quả của việc áp dụng các biện pháp bảo mật được mô tả một cách định lượng bằng cách sử dụng chỉ báo ROI (Lợi tức đầu tư), cho thấy lợi tức đầu tư được thực hiện trong một khoảng thời gian nhất định. Chỉ số này được tính bằng công thức:

trong đó Costsi là chi phí thực hiện và duy trì biện pháp bảo vệ thứ i; Lợi íchi - đánh giá lợi ích (mức giảm tổn thất dự kiến) do việc thực hiện một biện pháp bảo vệ nhất định mang lại; NVP (Giá trị ròng hiện tại) điều chỉnh theo lạm phát.

Giai đoạn thứ tư là tạo báo cáo. Có thể có các loại báo cáo sau:

• bản tóm tắt ngắn gọn;
• báo cáo đầy đủ, ngắn gọn về các yếu tố được mô tả ở giai đoạn 1 và 2;
• báo cáo về chi phí của các tài nguyên được bảo vệ và tổn thất dự kiến ​​do việc thực hiện các mối đe dọa;
• báo cáo về các mối đe dọa và biện pháp đối phó;
• Báo cáo ROI;
• báo cáo kiểm tra an ninh.

Một ví dụ về tính toán chỉ báo ROI cho các biện pháp bảo vệ khác nhau được hiển thị trong Hình 2. 5.

Do đó, RiskWatch cho phép bạn đánh giá không chỉ những rủi ro hiện có trong doanh nghiệp mà còn cả những lợi ích mà việc triển khai các công cụ và cơ chế bảo vệ vật lý, kỹ thuật, phần mềm cũng như các công cụ và cơ chế bảo vệ khác có thể mang lại. Các báo cáo và biểu đồ được chuẩn bị sẵn sẽ cung cấp đủ tài liệu để đưa ra quyết định về việc thay đổi hệ thống bảo mật doanh nghiệp.

Đối với người dùng trong nước, vấn đề là việc có được các đánh giá được sử dụng trong RiskWatch (chẳng hạn như LAFE và SAFE) đối với các điều kiện của chúng tôi là một vấn đề khá khó khăn. Mặc dù bản thân phương pháp này có thể được áp dụng thành công ở nước ta.

Tóm lại, chúng tôi lưu ý rằng khi chọn một phương pháp phân tích rủi ro cụ thể trong doanh nghiệp và các công cụ hỗ trợ phương pháp đó, người ta nên trả lời câu hỏi: liệu đánh giá định lượng chính xác về hậu quả của việc thực hiện các mối đe dọa cần thiết hay là đánh giá ở một mức độ nhất định? mức độ chất lượng có đủ không? Cũng cần phải tính đến các yếu tố sau: sự sẵn có của các chuyên gia có thể đưa ra những ước tính đáng tin cậy về khối lượng tổn thất do các mối đe dọa an ninh thông tin và sự sẵn có của số liệu thống kê đáng tin cậy về các sự cố trong lĩnh vực an ninh thông tin tại doanh nghiệp.

Những nhược điểm của RiskWatch bao gồm:

• phương pháp này phù hợp nếu bạn cần tiến hành phân tích rủi ro ở cấp độ bảo vệ phần mềm và phần cứng mà không tính đến các yếu tố tổ chức và hành chính;
• các đánh giá rủi ro thu được (kỳ vọng toán học về tổn thất) không làm cạn kiệt sự hiểu biết về rủi ro từ góc độ hệ thống - phương pháp này không tính đến cách tiếp cận tích hợp đối với bảo mật thông tin;
• Phần mềm RiskWatch chỉ có sẵn bằng tiếng Anh;
• chi phí giấy phép cao - từ 10.000 USD cho mỗi nơi làm việc đối với một công ty nhỏ.

GRIF

GRIF là một hệ thống toàn diện để phân tích và quản lý rủi ro đối với hệ thống thông tin của công ty. GRIF 2005 từ Văn phòng An ninh Kỹ thuật số (http://www.dsec.ru/products/grif/) đưa ra bức tranh về tính bảo mật của tài nguyên thông tin trong hệ thống và cho phép bạn chọn chiến lược tối ưu để bảo vệ thông tin của công ty.

Hệ thống GRIF phân tích mức độ bảo mật tài nguyên, đánh giá thiệt hại có thể xảy ra do việc thực hiện các mối đe dọa bảo mật thông tin và giúp quản lý rủi ro bằng cách lựa chọn các biện pháp đối phó.

Phân tích rủi ro IS được thực hiện theo hai cách: sử dụng mô hình luồng thông tin hoặc mô hình mối đe dọa và lỗ hổng, tùy thuộc vào dữ liệu ban đầu mà người dùng có cũng như dữ liệu mà người dùng quan tâm làm đầu ra.

Mô hình luồng thông tin

Khi làm việc với mô hình luồng thông tin, hệ thống sẽ nhập thông tin đầy đủ về tất cả các tài nguyên có thông tin có giá trị, người dùng có quyền truy cập vào các tài nguyên này, loại và quyền truy cập. Dữ liệu được ghi lại trên tất cả các phương tiện bảo vệ từng tài nguyên, mối quan hệ mạng của các tài nguyên và đặc điểm của chính sách bảo mật của công ty. Kết quả là một mô hình hoàn chỉnh của hệ thống thông tin.

Ở giai đoạn đầu làm việc với chương trình, người dùng nhập tất cả các đối tượng trong hệ thống thông tin của mình: các bộ phận, tài nguyên (các đối tượng cụ thể của mô hình này bao gồm các nhóm mạng, thiết bị mạng, loại thông tin, nhóm người dùng, quy trình nghiệp vụ).

Tiếp theo, người dùng cần tạo kết nối, tức là xác định tài nguyên thuộc về bộ phận và nhóm mạng nào, thông tin nào được lưu trữ trên tài nguyên và nhóm người dùng nào có quyền truy cập vào tài nguyên đó. Người dùng cũng chỉ định các phương tiện bảo vệ tài nguyên và thông tin.

Ở giai đoạn cuối, người dùng trả lời danh sách các câu hỏi về chính sách bảo mật được triển khai trong hệ thống, giúp đánh giá mức độ bảo mật thực sự của hệ thống và đánh giá rủi ro chi tiết.

Sự hiện diện của các công cụ bảo mật thông tin, được lưu ý ở giai đoạn đầu, bản thân nó không làm cho hệ thống an toàn trong trường hợp sử dụng không đầy đủ và thiếu chính sách bảo mật toàn diện có tính đến tất cả các khía cạnh của bảo vệ thông tin, bao gồm cả các vấn đề bảo mật. tổ chức, an ninh vật lý, an toàn nhân sự, tính liên tục trong kinh doanh, v.v.

Do thực hiện tất cả các hành động ở các giai đoạn này, đầu ra là một mô hình hoàn chỉnh của hệ thống thông tin theo quan điểm bảo mật thông tin, có tính đến việc triển khai thực tế các yêu cầu của chính sách bảo mật toàn diện, cho phép bạn di chuyển vào phần mềm phân tích dữ liệu đã nhập để có được đánh giá rủi ro toàn diện và tạo báo cáo cuối cùng.

Mô hình mối đe dọa và lỗ hổng

Làm việc với mô hình phân tích mối đe dọa và lỗ hổng bao gồm việc xác định các lỗ hổng của từng tài nguyên bằng thông tin có giá trị và các mối đe dọa tương ứng có thể được nhận ra thông qua các lỗ hổng này. Kết quả là một bức tranh hoàn chỉnh về những điểm yếu trong hệ thống thông tin và những thiệt hại có thể gây ra.

Ở giai đoạn đầu làm việc với sản phẩm, người dùng nhập các đối tượng của hệ thống thông tin của mình vào hệ thống: các bộ phận, tài nguyên (các đối tượng cụ thể cho mô hình này bao gồm các mối đe dọa đối với hệ thống thông tin và các lỗ hổng mà qua đó các mối đe dọa được nhận ra).

Hệ thống GRIF 2005 bao gồm các danh mục mở rộng về các mối đe dọa và lỗ hổng được tích hợp sẵn, trong đó có khoảng 100 mối đe dọa và 200 lỗ hổng. Để tối đa hóa tính đầy đủ và tính linh hoạt của dữ liệu danh mục, các chuyên gia Bảo mật Kỹ thuật số đã phát triển một phân loại mối đe dọa đặc biệt, DSECCT, kết hợp nhiều năm kinh nghiệm thực tế trong lĩnh vực bảo mật thông tin. Sử dụng các danh mục này, người dùng có thể chọn các mối đe dọa và lỗ hổng liên quan đến hệ thống thông tin của mình.

Thuật toán của hệ thống GRIF 2005 phân tích mô hình được xây dựng và tạo báo cáo chứa các giá trị rủi ro cho từng tài nguyên. Cấu hình báo cáo có thể là hầu hết mọi thứ, cho phép bạn tạo cả báo cáo ngắn gọn để quản lý và báo cáo chi tiết để tiếp tục xử lý kết quả (Hình 6).

Cơm. 6. Ví dụ về báo cáo trong hệ thống GRIF 2005.

Hệ thống GRIF 2005 chứa một mô-đun quản lý rủi ro, cho phép bạn phân tích tất cả các lý do tại sao sau khi xử lý dữ liệu đã nhập bằng thuật toán, sẽ thu được chính xác giá trị rủi ro. Do đó, khi biết lý do, bạn có thể thu được dữ liệu cần thiết để thực hiện các biện pháp đối phó và theo đó, giảm mức độ rủi ro. Bằng cách tính toán hiệu quả của từng biện pháp đối phó có thể, cũng như xác định giá trị của rủi ro còn lại, bạn có thể chọn các biện pháp đối phó giúp giảm rủi ro xuống mức yêu cầu.

Nhờ làm việc với hệ thống GRIF, một báo cáo chi tiết được xây dựng dựa trên mức độ rủi ro của từng tài nguyên có giá trị trong hệ thống thông tin của công ty, tất cả các nguyên nhân rủi ro đều được chỉ ra bằng phân tích chi tiết về lỗ hổng và đánh giá hiệu quả chi phí trong số tất cả các biện pháp đối phó có thể.

***

Các thông lệ tốt nhất thế giới và các tiêu chuẩn quốc tế hàng đầu trong lĩnh vực bảo mật thông tin, đặc biệt là ISO 17799, yêu cầu triển khai hệ thống quản lý và phân tích rủi ro để quản lý bảo mật hệ thống thông tin hiệu quả. Trong trường hợp này, bạn có thể sử dụng bất kỳ công cụ tiện lợi nào, nhưng điều quan trọng chính là phải luôn hiểu rõ ràng rằng hệ thống bảo mật thông tin được tạo ra trên cơ sở phân tích rủi ro thông tin, được xác minh và chứng minh. Phân tích và quản lý rủi ro thông tin là yếu tố then chốt để xây dựng hệ thống bảo vệ thông tin hiệu quả.