vsRisk

Разработанный британской компаний IT Governance совместно с Vigilant Software программный продукт vsRisk Risk Assessment Tool является современным средством оценки рисков, так же как и RA2, полностью базирующемся на международном стандарте ISO 27001.

Программный продукт vsRisk предоставляет простой и понятный пользовательский интерфейс на основе визардов и обладает следующими полезными свойствами:

  • позволяет оценивать риски нарушения конфиденциальности, целостности и доступности информации для бизнеса, а также с точки зрения соблюдения законодательства и контрактных обязательств в четком соответствии с ISO 27001;
  • поддерживает следующие стандарты: ISO/IEC 27002, BS7799-3:2006, ISO/IEC TR 13335-3:1998, NIST SP 800-30;
  • содержит интегрированную, регулярно обновляемую базу знаний по угрозам и уязвимостям.

Создатели vsRisk относятся к числу ведущих британских экспертов в области управления информационной безопасностью, которые готовили первые британские компании к сертификации по требованиям стандарта BS 7799, поэтому с концептуальной точки зрения продукт хорошо проработан. К сожалению, он не содержит средств для количественной оценки величины риска, ограничиваясь только качественными шкалами, настраиваемыми пользователем. Все прочие недостатки, скорее, лежат в области реализации.

Программный продукт vsRisk предоставляет средства для качественной оценки всех факторов рисков, включая угрозы, уязвимости, активы и механизмы контроля.

Все изменения, вносимые в базу данных продукта по ходу работы, подробным образом фиксируются в журнале аудита.

vsRisk позволяет по результатам оценки рисков формировать Декларации о применимости механизмов контроля и План обработки рисков в соответствии с требованиями стандарта ISO 27001.

vsRisk достаточно прост в использовании, его интерфейс снабжен всеми необходимыми пояснениями и он полностью соответствует требованиям международного стандарта ISO 27001, предъявляемым к оценке рисков.

В то же время существует ряд проблем, характерных не только для vsRisk, но и для многих других импортных продуктов. Приведем здесь перечень этих проблем, который был направлен разработчикам для устранения:

  • Проблема с отображением символов кириллицы. Встречается в том или ином виде в большинстве импортных продуктов, специально не позиционируемых для российского рынка.Комментарии здесь излишни.
  • Отсутствие средств для построения модели активов(такие средства предусмотрены, например, в CRAMM). В vsRisk активы не связаны между собой. Серверы не связаны с установленными на них приложениями или хранящимися на них данными, а также с помещениями, в которых они расположены. В результате при оценке рисков для правильной оценки ущерба, связанного, скажем, с техническими неполадками сервера, пользователь должен «держать в голове» все эти связи между сервером, приложениями, данными и помещениями, чтобы учитывать последствия данного сбоя для других активов. Затем, при оценке рисков для приложений и данных, мы вынуждены снова оценивать эти ущербы.
  • Угрозы не связаны с соответствующими типами уязвимостей и категориямиактивов.В результате в vsRisk для каждого рассматриваемого актива мы должны выбирать применимые к нему угрозы из полного списка угроз, который включает в себя множество угроз, заведомо неприменимых к данной категории активов. Затем для каждой угрозы необходимо выбрать связанные с ней уязвимости, опять же из полного списка уязвимостей, многие из которых не могут иметь отношения к данной угрозе. Мы находим этот процесс слишком трудоемким.
  • Невозможность добавления пояснений и обоснований выбора тех или иных значений вероятности угрозы и величины уязвимости.В результате чего при анализе результатов оценки рисков невозможно определить, почему были выбраны те или иные значения.
  • Описание механизмов контроля включает в себя только название и цели. В то же время нам требуется подробное описание каждого механизма контроля в соответствии со стандартом ISO 27002, а также возможность добавлять наши собственные описания.

Следует учитывать, что мы тестировали самую первую версию продукта, от которой сложно было бы ожидать идеальной проработанности функционала. Остается лишь подождать, когда данный продукт будет «доведен до ума». По крайней мере, разработчики обещали нам приложить определенные усилия в этом направлении.

RA2 the art of risk

Совместно разработанный AEXIS Security Consultants и XiSEC Consultants Ltd инструментарий для оценки и управления информационными рисками RA2 the art of risk предназначен в первую очередь для того, чтобы облегчить создание СУИБ в соответствии с требованиями международного стандарта ISO 27001. В RA2 реализован достаточно простой для понимания процессный подход, общие требования к которому определены в ISO 27001 и более подробно описаны в стандарте BS 7799-3.

Наш особый интерес к этому программному продукту обусловлен в первую очередь тем, что его разработчики Тэд Хамфриз (Ted Humphreys) и Анжелика Плейт (Angelika Plate) – известные личности в области управления безопасностью. Они являются редакторами британского стандарта BS 7799 и международных стандартов ISO 27001 и ISO 17799, а также авторами серии книг BIP 0071-0074, являющихся официальными руководствами Британского Института Стандартов по внедрению стандартов серии 27000.

Процесс создания СУИБ в RA2 разделен на четыре этапа:

  1. Сборинформации(Information Gathering).
  2. Оценка рисков (ISMS Risks).
  3. Обработкарисков(Risk Management Decisions).
  4. Внедрениемеханизмовконтроля(Implementation of Controls).

Каждый шаг программы снабжен подробными пояснениями в полном соответствии со стандартом BS 7799.

Программный продукт RA2 включает в себя средства для решения следующих задач:

  • определения области действия, бизнес-требований, политики и целей СУИБ;
  • разработки реестра активов СУИБ;
  • оценки рисков СУИБ;
  • принятия решения по обработке рисков путем выбора подходящих контрмер из приложения А к стандарту BS 7799-2;
  • анализа расхождений со стандартом ISO 27002;
  • формирования Декларации о применимости и других документов СУИБ.

На наш взгляд, RA2 является хорошим средством для демонстрации концепции процессного построения СУИБ, выраженной в BS 7799-2 (ISO 27001), а также полезным инструментом для обучения внедрению СУИБ. Его практическое использование в организации в качестве средства для управления рисками затрудняется недостаточной проработанностью пользовательского интерфейса (неудобные средства ввода и редактирования текстовой информации), примитивностью средств, предоставляемых для работы с моделью активов, угрозами и уязвимостями, а также определенными огрехами по части отображения кириллицы в отчетах.

CORBA

Набор программных продуктов под названием COBRA (Consultative Objective and Bi-Functional Risk Analysis), разрабатываемый компанией Risk Associates, весьма условно можно причислить к средствам высокоуровневой оценки рисков. Скорее, данные продукты можно отнести к простейшим средствам оценки соответствия стандарту ISO 17799 и другим стандартам, а также к высокоуровневым средствам идентификации критичных, с точки зрения информационной безопасности, областей организации.

В семейство программных продуктов COBRA входят:

  • COBRA ISO 17799 Security Consultant;
  • COBRA Policy Compliance Analyst;
  • COBRA Data Protection Consultant;
  • COBRA Risk Consultant.

На практике COBRA применяется в основном для гэп-анализа (оценки соответствия организации требованиям ISO 27002), т.к. это программное средство автоматизирует работу с опросниками и формирование отчетов. Для этих целей COBRA включает в себя набор опросников, построитель опросников, требования стандартов и шаблоны отчетных документов.

Интерфейс программы имеет архаичный вид, характерный еще для DOS-приложений, что указывает на солидный возраст данного продукта, а также отсутствие актуальных версий.

RiskWatch

Метод RiskWatch, разработанный при участии Национального Института Стандартов и Технологий США (U.S. NIST), Министерства обороны США (U.S. DoD) и Министерства обороны Канады (Canadian Dept. of National Canadian Defence) в 1988 году, фактически является стандартом для американских государственных организаций. По заявлению разработчиков, этот метод используют в тысячах организаций не только в США, но и по всему миру.

К основным достоинствам программного продукта RiskWatch, помимо сравнительной простоты использования, можно отнести следующее:

  • глубоко проработанная и хорошо зарекомендовавшая себя методология анализа рисков;
  • сочетание количественной и качественной оценки рисков;
  • обширная база знаний по угрозам, уязвимостям и контрмерам;
  • возможности редактирования и совершенствования базы знаний;
  • настраиваемые отчеты.

RiskWatch представляет собой семейство программных продуктов, построенных на общем программном ядре, которые предназначены для управления различными видами рисков и поддержки различных стандартов.

Продукты RiskWatch включают в себя следующее:

  • HIPAA-Watch for Security;
  • RiskWatch for Information Systems;
  • RiskWatch 17799 (ISO 17799);
  • RiskWatch for Physical & Homeland Security;
  • RiskWatch for Seaport Security;
  • RW-MEGA SHIP Security Version;
  • RiskWatch for Force Protection;
  • RiskWatch for Event Security;
  • RiskWatch for Sarbanes-Oxley (SOX).

По заявлению разработчиков, в этих продуктах реализована поддержка многих стандартов и руководящих документов в области информационной безопасности, актуальных в основном для США:

  • ISACA Auditor’s Guideline for Risk Analysis;
  • BS 7799 (ISO 17799);
  • DoD TCSEC, DOD 5200.28-STD (Orange Book);
  • OMB circulars on internal controls and management accountability A-123, A-124, A-127, and A-130;
  • Computer Security Act of 1987;
  • Privacy Act of 1974;
  • Federal Manager’s Financial Integrity Act 1982;
  • FIPS-Pub 65 Guidelines for ADP/EDP Risk Analysis;
  • HIPAA;
  • Army Field Manual 31 for Physical Security;
  • Bioterrorism Preparedness and Response Act of 2002;
  • Maritime Transport Security Act of 2002;
  • International Maritime Organization Ship and Port Facility Security (ISPS) Code;
  • Gramm Leach Bliley Act.

Все продукты RiskWatch построены на одной унифицированной платформе, архитектура которой является достаточно типичной для подобных систем. Упрощенное представление такой архитектуры показано на рисунке и включает в себя следующее:

  • обширную базу знаний, содержащую информацию по активам, угрозам, уязвимостям, видам ущерба, контрмерам, а также опросные листы для оценки факторов риска;
  • программный интерфейс (API) для работы с базой знаний, а также средства импорта информации, например данных по активам;
  • модуль оценки рисков, реализующий алгоритмы анализа и оценивания рисков на основании данных из базы знаний и результатов опросов;
  • интерфейсные модули, предназначенные для формирования и заполнения опросников пользователями продукта, а также для создания отчетов по результатам оценки рисков.

____________________________________

Основные этапы оценки рисков по методу RiskWatch:

  1. Определение параметров обследования.
  2. Проведение интервью и ввод данных.
  3. Расчет величины рисков.
  4. Формирование отчетов.

______________________________________

Четыре стадии оценки рисков(Определение параметров (Definition), Ввод данных (Data), Оценка рисков (Evaluation), Формирование отчетов (Reports)) и степень их завершенности представлены в наглядной форме на первом экране программы.

На этапе определения параметров (Definition) задаются область оценки, категории ущерба, категории активов, рассматриваемые угрозы, уязвимости и применяемые контрмеры. Можно использовать стандартные параметры и добавлять свои собственные.

На этапе ввода данных (Data) в систему заносятся данные о ценности активов, вероятности угроз, величине уязвимостей и стоимости контрмер.

Ценности активов, определяемой величиной ущерба в результате нарушения конфиденциальности, целостности и доступности активов, соответствуют определенные оценочные денежные величины.

Ожидаемая частота реализации угроз определяется в терминах среднегодовой оценочной частоты угрозы (Annual Frequency Estimate). База знаний RiskWatch определяет для каждой угрозы стандартную оценочную частоту (StandardAnnualFrequencyEstimate, SAFE). Для вычисления рисков используется локальная оценочная частота угрозы (Local Annual Frequency Estimate, LAFE), которую пользователь определяет сам, используя в качестве базового значение SAFE.

Для каждой контрмеры задается ее стоимость, которая определяется стоимостью внедрения и сопровождения. Также учитывается, на какой стадии находится реализация контрмеры, продолжительность ее жизненного цикла и насколько это контрмера уменьшает оценочную частоту реализации угрозы (LAFE).

На данном этапе также осуществляется формирование опросных листов, используемых для получения информации от владельцев активов, представителей бизнеса и экспертов предметной области.

Для проведения интервью используется веб-ориентированный интерфейс, позволяющий опрашивать любое количество экспертов в удаленном режиме.

На этапе оценки рисков (Evaluation) производится связывание между собой данных о ценности активов, частоте угроз и величине уязвимостей. В результате производится расчет количественных значений ожидаемого среднегодового ущерба (Annual Loss Expectancy, ALE) для каждой комбинации актив–угроза–уязвимость. На данном этапе также производится расчет ROI для контрмер и рассмотрение сценариев «А что если?» (What Ifs), позволяющих выбрать для уменьшения рисков оптимальную комбинацию контрмер.

На этапе формирования отчетов (Reports) распечатывается предопределенный набор отчетов по результатам оценки рисков.

Используемые в отчетах графики представляют статистическую информацию, например о распределении уязвимостей информационной системы по областям контроля.

Рекомендуемые контрмеры могут быть отсортированы в порядке убывания значения ROI, что является одним из основных показателей для принятия решения относительно реализации контрмер и соответствующих приоритетах их реализации.

CRAMM

Не менее основательный подход используется и в широко известном методе оценки рисков CRAMM, разработанном Службой безопасности Великобритании (UK Security Service) по заказу британского правительства. В методе CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробные опросные листы, примеры которых приведены в Приложениях №№ 4, 7 и 8.

Метод CRAMM используется в сотнях организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, разрабатываемого британской компанией Insight Consulting, приобретенной в начале 2000-х годов концерном SIEMENS. Инструментарий CRAMM содержит базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализует алгоритмы для вычисления величины рисков.

_____________________________________

CRAMM (UK Government Risk Analysis and Management Method):

  • Разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта.
  • Используется начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время приобрел популярность во всем мире.
  • Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта.

_________________________________

В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала выявляется сама целесообразность детальной оценки рисков. Если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля, описанный в международных стандартах и содержащихся в базе знаний CRAMM, которая в основном базируется на британском стандарте BS 7799.

На первом этапев методе CRAMM строится модель активов информационной системы, описывающая взаимосвязи между информационными, программными и техническими активами, а также оценивается ценность активов исходя из возможного ущерба, который организация может понести в результате их компрометации.

На втором этапепроизводится оценка рисков, включающая в себя идентификацию и оценку вероятности угроз, оценку величины уязвимостей и вычисление рисков для каждой тройки: актив – угроза – уязвимость. В CRAMM оцениваются так называемые «чистые» риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются.

На заключительном этапеопределяется набор контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих контрмер, после чего формируется план обработки рисков.

CRAMM Express. Этапы оценки и обработки рисков

____________________________________

Этапы управления рисками по методу CRAMM:

  1. Подготовка, выбор подхода (базовый уровень или детальная оценка рисков).
  2. Оценка критичности активов. Модель активов, ущерб, ценность активов.
  3. Оценка рисков. Угрозы, уязвимости, величина рисков
  4. Выбор контрмер. Сравнение рекомендуемых и существующих контрмер, план обработки рисков.

_____________________________________

Возможности программного инструментария CRAMM значительно превышают возможности, необходимые лишь для оценки рисков и включают в себя следующее:

  • база данных, содержащая 3000 контрмер, охватывающих все аспекты информационной безопасности, совместимая с BS 7799, ISO 15408 и другими стандартами;
  • 400 типов ресурсов ИС, более 25 различных видов ущерба, более 10 способов оценки ущерба, 38 типов угроз, более 150 возможных комбинаций ущерба, угрозы и уязвимости, 7 уровней риска;
  • набор инструментальных средств для прохождения процедуры аудита и сертификации на соответствие BS 7799;
  • набор типовых политик безопасности и других документов, настраиваемых для каждой организации;
  • средства планирования непрерывности бизнеса;
  • средства проведения высокоуровневого анализа рисков (всего за 2 часа) при помощи CRAMM v.5 Express;
  • средства документирования механизмов безопасности и результатов аудита.

CRAMM. База контрмер

Хорошо структурированный и широко опробованный метод CRAMMобладает необходимой гибкостью и универсальностью, что позволяет использовать его в проектах любого уровня сложности. В тоже время CRAMM не лишен и определенных недостатков, в числе которых можно отметить следующее:

  • требует специальной подготовки и высокой квалификации;
  • в гораздо большей степени подходит для аудита уже существующих, нежели для разрабатываемых систем;
  • аудит по методу CRAMM – процесс трудоемкий и может потребовать месяцев непрерывной работы;
  • генерирует большое количество бумажной документации, которая не всегда полезна на практике;
  • как и у многих других импортных продуктов, в CRAMM существуют проблемы с отображением кириллицы.

Особенно огорчает российских пользователей системы CRAMM тот факт, что возможность внесения дополнений в базу знаний фактически не доступна пользователям, что вызывает значительные трудности при адаптации этого метода к потребностям организации. Кроме того, CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.

CRAMM. Контроль статуса механизмов безопасности

OCTAVE

Любой программный продукт, если он действительно является средством для оценки рисков, реализует определенную методологию. Существует достаточное количество хорошо себя зарекомендовавших и широко используемых методов оценки и управления рисками. Некоторые из этих методов повлияли на разработку нашей собственной методологии.

Одним из таких методов является OCTAVE, разработанный в университете Карнеги-Мелон для внутреннего применения в организации. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) – Оценка критичных угроз, активов и уязвимостей – имеет ряд модификаций, рассчитанных на организации различных размеров и областей деятельности. Однако в основе всех модификаций метода OCTAVE лежит набор четко определенных критериев. Эти критерии определяют основные принципы, подходы, процессы, атрибуты и выходные данные оценки рисков, которые мы подробно рассматривать не будем, а вместо этого отошлем читателя к многочисленной литературе, посвященной методу OCTAVE. Исчерпывающую информацию о данном методе оценки рисков на английском языке можно также найти на сайте разработчика по адресу: http://www.cert.org/octave.

В настоящее время представлено три модификации метода OCTAVE:

  • Методология оценки рисков OCTAVE Method, подходящая для достаточно крупных организаций (от 300 человек и более)
  • Упрощенная методология оценки рисков OCTAVE-S, ориентированная на организации небольшого размера (не более 100 человек)
  • Методология оценки рисков OCTAVE Allegro, которая может применяться консультантами на индивидуальной основе, без широкого вовлечения в процесс оценки рисков сотрудников организации

Сущность универсальной методологии OCTAVE Method заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка и обработка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование и координацию действий участников рабочей группы по оценке рисков.

На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификацию применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.

На втором этапепроизводится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся технических уязвимостей и оценку их величины.

На третьем этапепроизводится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.

___________________________________

Этапы управления рисками по методу OCTAVE:

  1. Подготовка. Согласования, назначения, планирование, координация.
  2. Разработка профилей угроз. Активы, требования, организационные меры, угрозы.
  3. Технический анализ уязвимостей. Анализ защищенности.
  4. Оценка и обработка рисков. Ущерб, риски, стратегия защиты, план обработки рисков.

____________________________________

Применение метода OCTAVE, как, впрочем, и любой другой методологии оценки рисков, не требует обязательного использования программного инструментария.

Обзор методов и инструментальных средств управления рисками

В данном разделе представлен обзор популярных методов и соответствующих программных продуктов для оценки и управления рисками информационной безопасности. Представленный перечень продуктов и соответствующая информация о них не являются исчерпывающими, а носят исключительно ознакомительный характер. Более полный перечень продуктов приведен в Приложении № 10.

В этой книге автор, дабы не быть голословным, принял решение познакомить читателя только с теми продуктами и методами, которые удовлетворяют следующим трем критериям:

  • продукт широко распространен в мире;
  • представляет интерес с концептуальной и/или практической точки зрения;
  • с этим продуктом автору приходилось иметь дело в своей практической деятельности, а следовательно, автор в состоянии поручиться за то, что данный продукт существует не только в виде рекламных заявлений на сайте разработчика, а может, с той или иной степенью успешности, применяться на практике.

Представленная нами здесь информация поможет читателю быстрее сориентироваться в имеющемся разнообразии инструментов управления рисками. Надо иметь в виду, что информация о любых программных продуктах очень быстро устаревает, и, хотя автор приложил определенные усилия для обеспечения актуальности приводимых сведений на момент написания книги, сведения о продуктах могут существенно отличаться на момент ее прочтения.

Отдавая долг истории развития программных средств управления рисками, начнем обзор с самых первых систем, большинство из которых к настоящему времени уже утратили свою актуальность и более не поддерживаются разработчиками. Это позволит нам понять эволюцию данного вида продуктов и отрасли менеджмента рисков.

Далее перейдем к рассмотрению современных SGRC-систем (Security Governance, Risk and Compliance), представляющих из себя достаточно сложные программные комплексы, платформы, фреймворки и конструкторы процессов, позволяющие строить комплексные системы автоматизации менеджмента информационной безопасности.

Общие недостатки и ограничения коммерческих программных продуктов

Недостатки, свойственные многим программным продуктам, предназначенным для управления рисками, ограничивают их практическое применение. К числу наиболее распространенных недостатков следует отнести:

  • неполную совместимость с международными стандартами – например, очень мало продуктов было разработано специально для ISO 27001;
  • неполный охват активов. Большинство продуктов сосредоточиваются только на ИТ активах, игнорируя остальные виды активов, которые, однако, не менее важны для информационной безопасности;
  • сложность использования. Многие продукты слишком сложны в использовании;
  • затруднение процесса осознания рисков, т.к. расчет рисков выполняется автоматически и скрыт от пользователя;
  • те или иные проблемы с отображением русского языка, характерные для большинства импортных программных продуктов.

Обнаружить продукт, лишенный всех перечисленных недостатков и в то же время полностью соответствующий требованиям международных стандартов, достаточно сложно. Не говоря уже о том, что многие продукты, позиционируемые разработчиками как средства для оценки или управления рисками, на самом деле таковыми не являются, т.к. не реализуют ни методологии оценки рисков, ни алгоритма их вычисления, а предоставляют лишь средства представления и хранения данных о рисках, оставляя анализ и оценивание рисков, по существу, на откуп пользователю.

Многие известные продукты либо не позволяют проводить полноценной оценки рисков (Cobra), а скорее являются средствами для анализа несоответствий требованиям стандарта ISO 27001 (gap analysis), либо включают в себя слабые средства оценки рисков, не полностью соответствующие требованиям ISO 27001, хотя в них много другого функционала (Callio Secura), либо являются слишком сложными в использовании, дорогими и некастомизируемыми (CRAMM).

Можно было бы выделить из этого списка RA2 the art of risk как инструмент полностью соответствующий требованиям ISO 27001 (его разработчики являются авторами этого международного стандарта), однако он не позволяет сравнивать между собой результаты оценок, что было бы необходимо для крупной организации, содержит крайне примитивные средства построения модели активов и редактирования текстовой информации, затрудняющие его использование, а также неправильно отображает русские буквы в отчетах.

Нас также в целом устраивает RiskWatch, однако он, как и многие другие продукты, не был специально разработан для ISO 27001, а его цена довольно высока.

Можно было бы обратить внимание на новый продукт vsRisk британской компании IT Governance. Он позволяет получать по результатам оценки рисков полноценную Декларацию о применимости в полном соответствии с требованиями ISO 27001. Однако vsRisk также неправильно отображает русские буквы и содержит ряд других существенных недостатков, затрудняющих его практическое применение и которые разработчики обещали устранить когда-нибудь в следующих версиях продукта.

Выбор инструментария для оценки рисков

Существует большое количество коммерческих программных продуктов, предназначенных для оценки рисков. Перечень некоторых продуктов приведен в Приложении № 7. Дополнительную информацию по данному вопросу можно также найти на информационном портале ISO27000.ru.

Стандарт BS 7799-3 определяет критерии выбора программного продукта для оценки рисков.

__________________________________

Требования к программному продукту для оценки рисков:

  • должен охватывать все компоненты риска и взаимосвязь между компонентами;
  • должен включать модули для сбора данных, анализа и вывода результатов;
  • должен отражать политику и подход организации к оценке рисков;
  • должен формировать понятные и точные отчеты;
  • должен сохранять историю сбора и анализа данных;
  • должен содержать полную и понятную документацию;
  • должен быть совместимым с программным и аппаратным обеспечением, используемым в организации;
  • должен сопровождаться обучением и поддержкой.

______________________________________

Метод, используемый при работе выбранного продукта, и его функции должны отражать политику и общий подход организации к оценке рисков.

Эффективное формирование отчетов о результатах оценки рисков является существенной частью процесса, если руководству требуется взвешивать альтернативы и осуществлять эффективный выбор применимых, надежных и экономически оправданных механизмов контроля. Поэтому данный продукт должен формировать понятные и точные отчеты.

Способность сохранять историю сбора и анализа данных является полезной при проведении последующих оценок и наблюдения над тем, как изменяется ситуация с рисками.

Эффективность использования продукта зависит от того, насколько хорошо пользователь его понимает, а также от того, был ли продукт правильно установлен и настроен. Программная документация должна быть в наличии, включая руководство по установке и эксплуатации.. Не последнюю роль играет доступность обучения и поддержки.

Выбранный продукт должен быть совместим с аппаратным и программным обеспечением, используемым в организации.

Нужен ли для управления рисками специальный программный инструментарий?

Замкнутый круг, связанный с выбором программного инструментария для оценки рисков, заключается в том, что имеющиеся на рынке программные продукты профессионалу не очень-то и нужны, а для начинающего специалиста они, скорее, усложнят и без того непростую задачу.

Мы считаем, что разработку и внедрение системы управления рисками неправильно начинать с выбора программного инструментария, т.к. на этой стадии вы еще не в состоянии адекватно сформулировать требования и определить потребность вашей организации в таком инструментарии. В последующем намного проще будет адаптировать вашу методику для использования специализированного инструментария, нежели адаптировать инструментарий под вашу методику. Последнюю задачу решить практически невозможно. Ни международные стандарты, ни существующий передовой опыт в области управления рисками не требуют применения программного инструментария. Поэтому лучше будет отложить это задачу на потом.

Рекомендуется сначала внедрить в организации политику управления рисками и методологию оценки рисков и провести первоначальную высокоуровневую оценку рисков вручную, в соответствии с принятой методологией. Только после этого имеет смысл переходить к выбору инструментария, который бы соответствовал используемому вами подходу и облегчал бы выполнение основных операций по оценке рисков. Вполне возможно, что специализированный программный инструментарий для оценки рисков вам и не понадобится.

Излагаемая здесь методология оценки рисков не требует применения какого-либо специализированного программного инструментария, хотя при ее разработке и учитывался опыт работы со многими популярными программными продуктами, речь о которых пойдет ниже. Начав с использования специализированных продуктов, мы постепенно пришли к своей «табличной» методике, для применения которой не требуется никаких программных средств, кроме текстового редактора, которая полностью отвечает нашим потребностям и одновременно является достаточно простой и эффективной.

Однако и в нашей методологии существует ряд рутинных аналитических задач, связанных с формированием реестра и плана обработки рисков, а также отчетов и промежуточных рабочих документов, которые допускают возможность автоматизации. При проведении высокоуровневой оценки рисков, при которой рассматриваются порядка несколько десятков основных групп рисков, такая автоматизация позволила бы нам экономить по нескольку человеко-дней на каждом проекте, что весьма неплохо и составляет порядка 10% наших трудозатрат. Остальные 90% трудозатрат при оценке и обработке рисков приходятся не на работу с таблицами, а на сбор информации, анализ защищенности информационных систем, проведение интервью и совещаний, обсуждение и согласование конечных и промежуточных результатов. Тем не менее экономия до 10% себестоимости работ в каждом проекте – это весьма неплохой результат, конечно, при условии, что применяемый программный инструментарий полностью соответствует нашим требованиям, а не затрудняет работу, как это случается на практике.

Положительный эффект от использования программного инструментария может быть значительно выше при детализированной оценке, предполагающей рассмотрение нескольких сотен или даже тысяч рисков, т.к. в этом случае аналитическая работа существенно усложняется. В процессе оценки рисков мы проходим ряд последовательных этапов, периодически откатываясь назад, например, переоценивая определенный риск после выбора способа его минимизации. На каждом этапе необходимо иметь под рукой опросники, перечни угроз и уязвимостей, реестры ресурсов и рисков, документацию, протоколы совещаний, стандарты и руководства. В связи с этим нужен некий запрограммированный алгоритм рабочего процесса, база данных и интерфейс для работы с этими разнообразными данными. Благодаря использованию инструментария есть возможность упорядочить хранение данных и работу с моделью активов, профилями угроз, перечнями уязвимостей и рисками, унифицировать методологию и упростить использование результатов для переоценки рисков и обеспечить воспроизводимость результатов.

_______________________________

Плюсы использования программного инструментария для оценки рисков:

  • автоматизация алгоритма процесса оценки и управления рисками;
  • унификация методологии оценки рисков, обеспечивающая воспроизводимость результатов;
  • интеграция с ERM-системами;
  • построение и поддержание реестров активов, требований, угроз и рисков;
  • автоматическое формирование Планов обработки рисков и Деклараций о применимости;
  • интеграция со средствами контроля соответствия и со средствами анализа уязвимостей.

__________________________________

Программные средства оценки рисков потенциально могли бы развиваться в сторону их интеграции с другими программными системами и средствами защиты информации, например со средствами инвентаризации информационных активов, сетевыми и хостовыми сканерами, средствами контроля соответствия требованиям, системами планирования и бюджетирования и т.п.

Помимо средств оценки и управления рисками программный инструментарий может предоставлять дополнительные возможности для документирования СУИБ, анализа расхождений с требованиями стандартов, формирования и сопровождения реестра активов и другие полезные функции, необходимые для внедрения и эксплуатации СУИБ. В результате некоторые средства оценки рисков эволюционизируют в системы управления жизненным циклом СУИБ, автоматизирующие документооборот, и контрольные функции. Примерами таких программных продуктов являются рассматриваемые далее Callio Secura 17799 и Proteus Enterprise. Эти продукты были выбраны только в качестве примера. Не следует относится к их рассмотрению здесь, как к нашей рекомендации приобретать именно этот продукт либо продукты с аналогичной функциональностью. Приводимые далее сравнения и описания продуктов основаны исключительно на нашем личном опыте и предназначены лишь для того, чтобы дать читателю начальное представление о современных средствах управления информационными рисками.