Методики и программные продукты для оценки рисков Riscis Watch

Размещено на http://www.allbest.ru/

Государственное бюджетное профессиональное образовательное учреждение Ростовской области «Ростовский-на-Дону колледж связи и информатики»

ГБПОУ РО «РКСИ»

Доклад на тему:

«Методики и программные продукты для оценки рисков Riscis Watch»

Выполнил студент: Железниченко Артем

Группа № ИБ-22

Преподаватель:

Тимченко Дмитрий Анатольевич

Ростов-на-Дону

2017

Введение

Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса -- как оценить достаточный уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ -- применение систем анализа рисков, позволяющих оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины: ограничение бюджета и отсутствие поддержки со стороны руководства.

Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности для ИТ-менеджера задачи обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Зачастую многие склонны думать, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках -- техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков. Одним из таких программных комплексов является американский RiskWatch (компания RiskWatch).

1. Характеристика RiskWatch

Метод RiskWath, разработан при участии Национального Института Стандартов и Технологий США (U.S. NIST), Министерства обороны США (U.S. DoD) Министерства обороны Канады (Canadian Dept. Of National Canadian Defence) в 1998 году, фактически является стандартом для американских государственных организаций не только в США, но и по всему миру.

Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, является мощным средством анализа и управления рисками.

Компания RiskWatch предлагает в основном принципиально два продукта: один в области информационной безопасности _ IT Security, второй в области физической безопасности _ Physical Security. Программное обеспечение предназначено для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и "физической" безопасности предприятия. Причем для разных типов организаций предлагается разные версии программного обеспечения.

В линейке продуктов, предназначенных для управления рисками в различных системах, учитываются требования таких стандартов (документов): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 и др.

В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

1. RiskWatch for Physical Security - для физических методов защиты ИС;

2. RiskWatch for Information Systems - для информационных рисков;

3. HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA;

4. RiskWatch RW17799 for ISO17799 - для оценки требованиям стандарта ISO17799.

2. Достоинства и недостатки RiskWatch

Существенным достоинством RiskWatch с точки зрения потребителя является сравнительная простота, малая трудоемкость русификации и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д. На основе этого метода отечественные разработчики могут создавать свои профили, учитывающие отечественные требования в области безопасности, разработать ведомственные методики анализа и управления рисками.

Несмотря на свои достоинства RiskWatch имеет и свои недостатки.

Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций -- метод не учитывает комплексный подход к информационной безопасности.

1. ПО RiskWatch существует только на английском языке.

2. Высокая стоимость лицензии - от $15 000 за одно рабочее место для небольшой компании и от $125 000 за корпоративную лицензию.

3. Методика анализа рисков, которая лежит в основе RiskWatch

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 этапа:

Первый этап - определение предмета исследования.

Второй этап - ввод данных, описывающих конкретные характеристики системы.

Третий, самый важный этап - количественная оценка.

Четвертый этап - генерация отчетов.

Необходимо рассмотреть более подробно каждый из этапов методики анализа рисков.

1. На первом этапе описываются общие параметры организации - тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.

2. Второй этап - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе подробно описываются ресурсы, потери и классы инцидентов.

3. Третий этап - оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год по формуле:

m=p * v

где p - частота возникновения угрозы в течение года, v - стоимость ресурса, который подвергается угрозе.

4. Четвертый этап - генерация отчетов. Типы отчетов: краткие итоги; полные и краткие отчеты об элементах, описанных на стадиях 1 и 2; отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз; отчет об угрозах и мерах противодействия; отчет о результатах аудита безопасности.

Заключение

информационный безопасность программный обеспечение

RiskWatch - программное обеспечение, разрабатываемое американской компанией RiskWatch.

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Несмотря на это RiskWatch имеет и некоторые недостатки: существует высокая стоимость лицензии; программное обеспечение RiskWatch существует только на английском языке.

В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов.

Первый этап - определение предмета исследования.

Второй этап - ввод данных, описывающих конкретные характеристики системы.

Третий, самый важный этап - количественная оценка.

Четвертый этап - генерация отчетов.

Размещено на Allbest.ru