Компания Callio Technologies была основана в 2001 году двумя канадскими академиками и специализируется в области разработки программных продуктов для анализа информационных рисков и управления информационной безопасностью в соответствии с требованиями стандартов BS 7799 и ISO 17799. Callio Secura 17799 представляет собой комплексную систему для разработки, внедрения, эксплуатации и сертификации Системы управления информационной безопасностью (СУИБ) на основе стандарта BS 7799.
Также разработчик предлагает инструментальный комплект Callio Toolkit Pro 17799, который представляет собой серию документов и утилит, объединенных с целью помочь в понимании стандарта и приведении СУИБ в соответствие с его базовыми требованиями.
Callio Secura 17799 предоставляет следующие основные возможности:
- оценку соответствия стандарту ISO 17799;
- инвентаризацию активов;
- описание структуры и процессов СУИБ;
- оценку и обработку рисков;
- разработку планов внедрения механизмов контроля;
- шаблоны политик безопасности (свыше 50 примеров);
- управление документами;
- управление опросными листами;
- оценку готовности к сертификации СУИБ по требованиям международного стандарта ISO 27001.
Процесс управления рисками по Callio состоит из двух этапов.
На первом этапепроизводится идентификация активов, угроз, уязвимостей и требований безопасности, оценивается величина уязвимостей, вероятность угроз и ценность активов. На основании этих данных вычисляются значения рисков.
На втором этапепринимается решение относительно способов обработки рисков, приемлемого уровня остаточных рисков, разрабатывается план обработки рисков, производится внедрение механизмов контроля и разработка политик безопасности и других организационно-распорядительных документов.
Callio Secura 17799 предоставляет Web-интерфейс, механизмы коллективной работы, распределения ролей и полномочий между участниками процессов управления ИБ – рабочими группами, реализует управление документами, предоставляет шаблоны документов и опросники, а также методологию анализа и управления рисками. Система реализует рабочий процесс (workflow), который используется при внедрении СУИБ и подготовке к сертификации.
Процесс подготовки к сертификации начинается с первоначальной диагностики, в ходе которой выполняется оценка соответствия текущего состояния ИБ требованиям стандарта (gap analysis).
На следующем этапе производится оценка рисков. Процесс оценки рисков начинается с инвентаризации активов. Он включает в себя идентификацию и категорирование ресурсов, составление перечня сведений ограниченного распространения и реестра информационных активов.
Далее для каждого актива оценивается его ценность для организации, которая определяется ущербом в результате нарушения его конфиденциальности, целостности, доступности или невыполнения требований при осуществлении угроз безопасности.
Идентификация рисков предполагает установку взаимосвязей между активами, уязвимостями и угрозами безопасности. Эта задача была бы очень непростой, т.к. для обычной организации таких взаимосвязей насчитывается несколько тысяч. Используемый инструментарий облегчает нам эту задачу, предлагая установки по умолчанию.
Далее для вычисления рисков определяются вероятности реализации угроз. Для каждой угрозы указывается вид ущерба.
Базируясь на информации о ценности активов и вероятности угроз, система автоматически вычисляет значения рисков и производит их упорядочивание по приоритетам.
Когда оценка рисков завершена, можно переходить к выбору и внедрению механизмов контроля, необходимых для минимизации рисков. CallioSecuraна основании результатов оценки рисков автоматически формирует набор рекомендуемых механизмов контроля из числа описанных в стандарте. Для каждого механизма контроля проставляется его текущий статус.
По завершении этого этапа формируется план создания СУИБ. После этого можно переходить к разработке и внедрению политик безопасности.
Для разработка политик безопасности используются шаблоны типовых документов. Базируясь на результатах анализа рисков, система автоматически формирует набор необходимых шаблонов. Готовые политики экспортируются в модуль управления документами, который позволяет производить их ревизию, согласование и публикацию на Web-портале.
Всего имеется более 100 различных документов, которые используются при реализации механизмов контроля СУИБ. Если предложенных системой шаблонов недостаточно, мы можем выбрать дополнительные документы и экспортировать их в модуль управления документами.
После того как создание СУИБ завершено – люди обучены, политики разработаны и внедрены, а функционирование механизмов контроля подтверждается документированными свидетельствами, – производится диагностика СУИБ с целью определения степени ее готовности к сертификации. Для этого используются специальный опросник и сопроводительные инструкции, предоставляемые системой.
Декларация о применимости является последним разрабатываемым документом и обязательным условием для сертификации. В нем для каждого механизма контроля, описанного в стандарте, указывается его применимость, текущий статус, степень реализации и обоснование его использования. Это первый документ, который изучается аудиторами во время сертификации.
В составе системы есть специальный модуль управления документами, который позволяет хранить все документы, имеющие отношение к функционированию СУИБ в центральной базе данных, публиковать и управлять доступом к этим документам для различных рабочих групп через веб-интерфейс. При помощи этого инструмента выполняются такие необходимые задачи, как согласование и утверждение документов, а также контроль версий.
Callio Secura 17799 служит примером системы, которая объединяет функции управления рисками с функциями поддержки других процессов жизненного цикла СУИБ, таких как управление документами, контроль соответствия требованиям стандарта ISO 17799 и предсертификационный аудит СУИБ.
