Методики и программные продукты для оценки рисков Riscis Watch
Необходимость вложений в обеспечение информационной безопасности крупного бизнеса. Разработка программных комплексов анализа и контроля информационных рисков. Достоинства и недостатки программного обеспечения RiskWatch с точки зрения потребителя.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | доклад |
Язык | русский |
Дата добавления | 24.09.2017 |
Размер файла | 16,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Государственное бюджетное профессиональное образовательное учреждение Ростовской области «Ростовский-на-Дону колледж связи и информатики»
ГБПОУ РО «РКСИ»
Доклад на тему:
«Методики и программные продукты для оценки рисков Riscis Watch»
Выполнил студент: Железниченко Артем
Группа № ИБ-22
Преподаватель:
Тимченко Дмитрий Анатольевич
Ростов-на-Дону
2017
Введение
Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса -- как оценить достаточный уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ -- применение систем анализа рисков, позволяющих оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).
По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины: ограничение бюджета и отсутствие поддержки со стороны руководства.
Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности для ИТ-менеджера задачи обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Зачастую многие склонны думать, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках -- техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.
Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.
Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков. Одним из таких программных комплексов является американский RiskWatch (компания RiskWatch).
1. Характеристика RiskWatch
Метод RiskWath, разработан при участии Национального Института Стандартов и Технологий США (U.S. NIST), Министерства обороны США (U.S. DoD) Министерства обороны Канады (Canadian Dept. Of National Canadian Defence) в 1998 году, фактически является стандартом для американских государственных организаций не только в США, но и по всему миру.
Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, является мощным средством анализа и управления рисками.
Компания RiskWatch предлагает в основном принципиально два продукта: один в области информационной безопасности _ IT Security, второй в области физической безопасности _ Physical Security. Программное обеспечение предназначено для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и "физической" безопасности предприятия. Причем для разных типов организаций предлагается разные версии программного обеспечения.
В линейке продуктов, предназначенных для управления рисками в различных системах, учитываются требования таких стандартов (документов): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 и др.
В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:
1. RiskWatch for Physical Security - для физических методов защиты ИС;
2. RiskWatch for Information Systems - для информационных рисков;
3. HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA;
4. RiskWatch RW17799 for ISO17799 - для оценки требованиям стандарта ISO17799.
2. Достоинства и недостатки RiskWatch
Существенным достоинством RiskWatch с точки зрения потребителя является сравнительная простота, малая трудоемкость русификации и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д. На основе этого метода отечественные разработчики могут создавать свои профили, учитывающие отечественные требования в области безопасности, разработать ведомственные методики анализа и управления рисками.
Несмотря на свои достоинства RiskWatch имеет и свои недостатки.
Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций -- метод не учитывает комплексный подход к информационной безопасности.
1. ПО RiskWatch существует только на английском языке.
2. Высокая стоимость лицензии - от $15 000 за одно рабочее место для небольшой компании и от $125 000 за корпоративную лицензию.
3. Методика анализа рисков, которая лежит в основе RiskWatch
RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 этапа:
Первый этап - определение предмета исследования.
Второй этап - ввод данных, описывающих конкретные характеристики системы.
Третий, самый важный этап - количественная оценка.
Четвертый этап - генерация отчетов.
Необходимо рассмотреть более подробно каждый из этапов методики анализа рисков.
1. На первом этапе описываются общие параметры организации - тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.
2. Второй этап - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе подробно описываются ресурсы, потери и классы инцидентов.
3. Третий этап - оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год по формуле:
m=p * v
где p - частота возникновения угрозы в течение года, v - стоимость ресурса, который подвергается угрозе.
4. Четвертый этап - генерация отчетов. Типы отчетов: краткие итоги; полные и краткие отчеты об элементах, описанных на стадиях 1 и 2; отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз; отчет об угрозах и мерах противодействия; отчет о результатах аудита безопасности.
Заключение
информационный безопасность программный обеспечение
RiskWatch - программное обеспечение, разрабатываемое американской компанией RiskWatch.
RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Несмотря на это RiskWatch имеет и некоторые недостатки: существует высокая стоимость лицензии; программное обеспечение RiskWatch существует только на английском языке.
В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов.
Первый этап - определение предмета исследования.
Второй этап - ввод данных, описывающих конкретные характеристики системы.
Третий, самый важный этап - количественная оценка.
Четвертый этап - генерация отчетов.
Размещено на Allbest.ru
Подобные документы
Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.
дипломная работа [207,4 K], добавлен 02.08.2012Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.
курсовая работа [190,1 K], добавлен 25.11.2013Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Разработка самообучающейся интеллектуальной информационной системы для анализа кредитоспособности заемщика и оценки кредитных рисков на основе подхода иммунокомпьютинга. Применение процедур кластеризации, классификации и формирования оценок рисков.
курсовая работа [822,3 K], добавлен 09.06.2012Методика исследования и анализа средств аудита системы Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин. Анализ угрозы информационной безопасности. Алгоритм работы программного средства.
дипломная работа [2,9 M], добавлен 28.06.2011Программная и техническая характеристика информационных систем предприятия. Требования к информационной и программной совместимости. Проектирование программного обеспечения с использованием специализированных программных пакетов. Разработка базы данных.
отчет по практике [1,3 M], добавлен 11.04.2019Классификация основных рисков, их идентификация. Планирование и оценка рисков информационной системы в организации, принятие мер для устранения рисков. Определение точки безубыточности проекта. Расчет цены потерь и вероятности наступления риска.
лабораторная работа [381,2 K], добавлен 20.01.2016Понятие и ключевое отличие распределенной разработки программного обеспечения, его достоинства и недостатки. Концептуальное решение и выбор типа разработки. Особенности программного обеспечения с открытым исходным кодом. Идея и развитие Open Source.
курсовая работа [97,7 K], добавлен 14.12.2012Автоматизация деятельности по проведению анализа деловой активности предприятия. Реализация предложенной методики в виде программного обеспечения, основные требования к нему. Структура и состав комплекса программных модулей, руководство пользователя.
курсовая работа [634,0 K], добавлен 28.05.2013Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012