Примером современного программного продукта поддержки жизненного цикла СУИБ, реализующего не только управление рисками, но и другие жизненно важные процессы управления информационной безопасностью, может служить система Proteus, разрабатываемая британской компанией InfoGov.
Proteus– мощная система для поддержки процессов СУИБ, включающая в себя средства контроля соответствия (гэп-анализа), оценки влияния на бизнес, оценки рисков, управления непрерывностью бизнеса, управления инцидентами, управления активами и организационными ролями, а также репозитарий политик и средства планирования.
Движок контроля соответствия (Compliance engine) поддерживает любые стандарты (международные, отраслевые и корпоративные) и поставляется вместе с набором шаблонов-опросников. Система масштабируется от однопользовательской версии до многопользовательской, позволяющей управлять информационной безопасностью в крупнейших международных корпорациях. Все действия, производимые в системе, регистрируются в журнале аудита.
Система позволяет проводить онлайн-аудиты во внутренних подразделениях организации и у ее внешних поставщиков. Обеспечена поддержка большого количества стандартов, включая BSISO/IEC27001, BSISO/IEC17799, PCI, ISFSOGP, NISTCombinedCode, SarbanesOxley, GLB, DataProtectionAct, FreedomofInformationAct, Caldicott, BaselII, BS25999, CivilContingencyBill. Реализовано совместное использование данных между процессами анализа влияния на бизнес и оценки рисков.
Специальный модуль программы Proteus RiskView представляет информацию о корпоративном управлении, соответствии требованиями рисках для руководства организации в реальном времени в графической форме. Система содержит мощные средства создания отчетов на основе программного инструментария Business Objects.
Более подробную информацию о линейке продуктов Proteus можно найти на сайте разработчика по адресу: www.infogov.co.uk.
Компания Callio Technologies была основана в 2001 году двумя канадскими академиками и специализируется в области разработки программных продуктов для анализа информационных рисков и управления информационной безопасностью в соответствии с требованиями стандартов BS 7799 и ISO 17799. Callio Secura 17799 представляет собой комплексную систему для разработки, внедрения, эксплуатации и сертификации Системы управления информационной безопасностью (СУИБ) на основе стандарта BS 7799.
Также разработчик предлагает инструментальный комплект Callio Toolkit Pro 17799, который представляет собой серию документов и утилит, объединенных с целью помочь в понимании стандарта и приведении СУИБ в соответствие с его базовыми требованиями.
Callio Secura 17799 предоставляет следующие основные возможности:
оценку соответствия стандарту ISO 17799;
инвентаризацию активов;
описание структуры и процессов СУИБ;
оценку и обработку рисков;
разработку планов внедрения механизмов контроля;
шаблоны политик безопасности (свыше 50 примеров);
управление документами;
управление опросными листами;
оценку готовности к сертификации СУИБ по требованиям международного стандарта ISO 27001.
Процесс управления рисками по Callio состоит из двух этапов.
На первом этапепроизводится идентификация активов, угроз, уязвимостей и требований безопасности, оценивается величина уязвимостей, вероятность угроз и ценность активов. На основании этих данных вычисляются значения рисков.
На втором этапепринимается решение относительно способов обработки рисков, приемлемого уровня остаточных рисков, разрабатывается план обработки рисков, производится внедрение механизмов контроля и разработка политик безопасности и других организационно-распорядительных документов.
Callio Secura 17799 предоставляет Web-интерфейс, механизмы коллективной работы, распределения ролей и полномочий между участниками процессов управления ИБ – рабочими группами, реализует управление документами, предоставляет шаблоны документов и опросники, а также методологию анализа и управления рисками. Система реализует рабочий процесс (workflow), который используется при внедрении СУИБ и подготовке к сертификации.
Процесс подготовки к сертификации начинается с первоначальной диагностики, в ходе которой выполняется оценка соответствия текущего состояния ИБ требованиям стандарта (gap analysis).
На следующем этапе производится оценка рисков. Процесс оценки рисков начинается с инвентаризации активов. Он включает в себя идентификацию и категорирование ресурсов, составление перечня сведений ограниченного распространения и реестра информационных активов.
Далее для каждого актива оценивается его ценность для организации, которая определяется ущербом в результате нарушения его конфиденциальности, целостности, доступности или невыполнения требований при осуществлении угроз безопасности.
Идентификация рисков предполагает установку взаимосвязей между активами, уязвимостями и угрозами безопасности. Эта задача была бы очень непростой, т.к. для обычной организации таких взаимосвязей насчитывается несколько тысяч. Используемый инструментарий облегчает нам эту задачу, предлагая установки по умолчанию.
Далее для вычисления рисков определяются вероятности реализации угроз. Для каждой угрозы указывается вид ущерба.
Базируясь на информации о ценности активов и вероятности угроз, система автоматически вычисляет значения рисков и производит их упорядочивание по приоритетам.
Когда оценка рисков завершена, можно переходить к выбору и внедрению механизмов контроля, необходимых для минимизации рисков. CallioSecuraна основании результатов оценки рисков автоматически формирует набор рекомендуемых механизмов контроля из числа описанных в стандарте. Для каждого механизма контроля проставляется его текущий статус.
По завершении этого этапа формируется план создания СУИБ. После этого можно переходить к разработке и внедрению политик безопасности.
Для разработка политик безопасности используются шаблоны типовых документов. Базируясь на результатах анализа рисков, система автоматически формирует набор необходимых шаблонов. Готовые политики экспортируются в модуль управления документами, который позволяет производить их ревизию, согласование и публикацию на Web-портале.
Всего имеется более 100 различных документов, которые используются при реализации механизмов контроля СУИБ. Если предложенных системой шаблонов недостаточно, мы можем выбрать дополнительные документы и экспортировать их в модуль управления документами.
После того как создание СУИБ завершено – люди обучены, политики разработаны и внедрены, а функционирование механизмов контроля подтверждается документированными свидетельствами, – производится диагностика СУИБ с целью определения степени ее готовности к сертификации. Для этого используются специальный опросник и сопроводительные инструкции, предоставляемые системой.
Декларация о применимости является последним разрабатываемым документом и обязательным условием для сертификации. В нем для каждого механизма контроля, описанного в стандарте, указывается его применимость, текущий статус, степень реализации и обоснование его использования. Это первый документ, который изучается аудиторами во время сертификации.
В составе системы есть специальный модуль управления документами, который позволяет хранить все документы, имеющие отношение к функционированию СУИБ в центральной базе данных, публиковать и управлять доступом к этим документам для различных рабочих групп через веб-интерфейс. При помощи этого инструмента выполняются такие необходимые задачи, как согласование и утверждение документов, а также контроль версий.
Callio Secura 17799 служит примером системы, которая объединяет функции управления рисками с функциями поддержки других процессов жизненного цикла СУИБ, таких как управление документами, контроль соответствия требованиям стандарта ISO 17799 и предсертификационный аудит СУИБ.
Разработанный британской компаний IT Governance совместно с Vigilant Software программный продукт vsRisk Risk Assessment Tool является современным средством оценки рисков, так же как и RA2, полностью базирующемся на международном стандарте ISO 27001.
Программный продукт vsRisk предоставляет простой и понятный пользовательский интерфейс на основе визардов и обладает следующими полезными свойствами:
позволяет оценивать риски нарушения конфиденциальности, целостности и доступности информации для бизнеса, а также с точки зрения соблюдения законодательства и контрактных обязательств в четком соответствии с ISO 27001;
поддерживает следующие стандарты: ISO/IEC 27002, BS7799-3:2006, ISO/IEC TR 13335-3:1998, NIST SP 800-30;
содержит интегрированную, регулярно обновляемую базу знаний по угрозам и уязвимостям.
Создатели vsRisk относятся к числу ведущих британских экспертов в области управления информационной безопасностью, которые готовили первые британские компании к сертификации по требованиям стандарта BS 7799, поэтому с концептуальной точки зрения продукт хорошо проработан. К сожалению, он не содержит средств для количественной оценки величины риска, ограничиваясь только качественными шкалами, настраиваемыми пользователем. Все прочие недостатки, скорее, лежат в области реализации.
Программный продукт vsRisk предоставляет средства для качественной оценки всех факторов рисков, включая угрозы, уязвимости, активы и механизмы контроля.
Все изменения, вносимые в базу данных продукта по ходу работы, подробным образом фиксируются в журнале аудита.
vsRisk позволяет по результатам оценки рисков формировать Декларации о применимости механизмов контроля и План обработки рисков в соответствии с требованиями стандарта ISO 27001.
vsRisk достаточно прост в использовании, его интерфейс снабжен всеми необходимыми пояснениями и он полностью соответствует требованиям международного стандарта ISO 27001, предъявляемым к оценке рисков.
В то же время существует ряд проблем, характерных не только для vsRisk, но и для многих других импортных продуктов. Приведем здесь перечень этих проблем, который был направлен разработчикам для устранения:
Проблема с отображением символов кириллицы. Встречается в том или ином виде в большинстве импортных продуктов, специально не позиционируемых для российского рынка.Комментарии здесь излишни.
Отсутствие средств для построения модели активов(такие средства предусмотрены, например, в CRAMM). В vsRisk активы не связаны между собой. Серверы не связаны с установленными на них приложениями или хранящимися на них данными, а также с помещениями, в которых они расположены. В результате при оценке рисков для правильной оценки ущерба, связанного, скажем, с техническими неполадками сервера, пользователь должен «держать в голове» все эти связи между сервером, приложениями, данными и помещениями, чтобы учитывать последствия данного сбоя для других активов. Затем, при оценке рисков для приложений и данных, мы вынуждены снова оценивать эти ущербы.
Угрозы не связаны с соответствующими типами уязвимостей и категориямиактивов.В результате в vsRisk для каждого рассматриваемого актива мы должны выбирать применимые к нему угрозы из полного списка угроз, который включает в себя множество угроз, заведомо неприменимых к данной категории активов. Затем для каждой угрозы необходимо выбрать связанные с ней уязвимости, опять же из полного списка уязвимостей, многие из которых не могут иметь отношения к данной угрозе. Мы находим этот процесс слишком трудоемким.
Невозможность добавления пояснений и обоснований выбора тех или иных значений вероятности угрозы и величины уязвимости.В результате чего при анализе результатов оценки рисков невозможно определить, почему были выбраны те или иные значения.
Описание механизмов контроля включает в себя только название и цели. В то же время нам требуется подробное описание каждого механизма контроля в соответствии со стандартом ISO 27002, а также возможность добавлять наши собственные описания.
Следует учитывать, что мы тестировали самую первую версию продукта, от которой сложно было бы ожидать идеальной проработанности функционала. Остается лишь подождать, когда данный продукт будет «доведен до ума». По крайней мере, разработчики обещали нам приложить определенные усилия в этом направлении.
Совместно разработанный AEXIS Security Consultants и XiSEC Consultants Ltd инструментарий для оценки и управления информационными рисками RA2 the art of risk предназначен в первую очередь для того, чтобы облегчить создание СУИБ в соответствии с требованиями международного стандарта ISO 27001. В RA2 реализован достаточно простой для понимания процессный подход, общие требования к которому определены в ISO 27001 и более подробно описаны в стандарте BS 7799-3.
Наш особый интерес к этому программному продукту обусловлен в первую очередь тем, что его разработчики Тэд Хамфриз (Ted Humphreys) и Анжелика Плейт (Angelika Plate) – известные личности в области управления безопасностью. Они являются редакторами британского стандарта BS 7799 и международных стандартов ISO 27001 и ISO 17799, а также авторами серии книг BIP 0071-0074, являющихся официальными руководствами Британского Института Стандартов по внедрению стандартов серии 27000.
Процесс создания СУИБ в RA2 разделен на четыре этапа:
Сборинформации(Information Gathering).
Оценка рисков (ISMS Risks).
Обработкарисков(Risk Management Decisions).
Внедрениемеханизмовконтроля(Implementation of Controls).
Каждый шаг программы снабжен подробными пояснениями в полном соответствии со стандартом BS 7799.
Программный продукт RA2 включает в себя средства для решения следующих задач:
определения области действия, бизнес-требований, политики и целей СУИБ;
разработки реестра активов СУИБ;
оценки рисков СУИБ;
принятия решения по обработке рисков путем выбора подходящих контрмер из приложения А к стандарту BS 7799-2;
анализа расхождений со стандартом ISO 27002;
формирования Декларации о применимости и других документов СУИБ.
На наш взгляд, RA2 является хорошим средством для демонстрации концепции процессного построения СУИБ, выраженной в BS 7799-2 (ISO 27001), а также полезным инструментом для обучения внедрению СУИБ. Его практическое использование в организации в качестве средства для управления рисками затрудняется недостаточной проработанностью пользовательского интерфейса (неудобные средства ввода и редактирования текстовой информации), примитивностью средств, предоставляемых для работы с моделью активов, угрозами и уязвимостями, а также определенными огрехами по части отображения кириллицы в отчетах.
Набор программных продуктов под названием COBRA (Consultative Objective and Bi-Functional Risk Analysis), разрабатываемый компанией Risk Associates, весьма условно можно причислить к средствам высокоуровневой оценки рисков. Скорее, данные продукты можно отнести к простейшим средствам оценки соответствия стандарту ISO 17799 и другим стандартам, а также к высокоуровневым средствам идентификации критичных, с точки зрения информационной безопасности, областей организации.
В семейство программных продуктов COBRA входят:
COBRA ISO 17799 Security Consultant;
COBRA Policy Compliance Analyst;
COBRA Data Protection Consultant;
COBRA Risk Consultant.
На практике COBRA применяется в основном для гэп-анализа (оценки соответствия организации требованиям ISO 27002), т.к. это программное средство автоматизирует работу с опросниками и формирование отчетов. Для этих целей COBRA включает в себя набор опросников, построитель опросников, требования стандартов и шаблоны отчетных документов.
Интерфейс программы имеет архаичный вид, характерный еще для DOS-приложений, что указывает на солидный возраст данного продукта, а также отсутствие актуальных версий.
Метод RiskWatch, разработанный при участии Национального Института Стандартов и Технологий США (U.S. NIST), Министерства обороны США (U.S. DoD) и Министерства обороны Канады (Canadian Dept. of National Canadian Defence) в 1988 году, фактически является стандартом для американских государственных организаций. По заявлению разработчиков, этот метод используют в тысячах организаций не только в США, но и по всему миру.
К основным достоинствам программного продукта RiskWatch, помимо сравнительной простоты использования, можно отнести следующее:
глубоко проработанная и хорошо зарекомендовавшая себя методология анализа рисков;
сочетание количественной и качественной оценки рисков;
обширная база знаний по угрозам, уязвимостям и контрмерам;
возможности редактирования и совершенствования базы знаний;
настраиваемые отчеты.
RiskWatch представляет собой семейство программных продуктов, построенных на общем программном ядре, которые предназначены для управления различными видами рисков и поддержки различных стандартов.
Продукты RiskWatch включают в себя следующее:
HIPAA-Watch for Security;
RiskWatch for Information Systems;
RiskWatch 17799 (ISO 17799);
RiskWatch for Physical & Homeland Security;
RiskWatch for Seaport Security;
RW-MEGA SHIP Security Version;
RiskWatch for Force Protection;
RiskWatch for Event Security;
RiskWatch for Sarbanes-Oxley (SOX).
По заявлению разработчиков, в этих продуктах реализована поддержка многих стандартов и руководящих документов в области информационной безопасности, актуальных в основном для США:
ISACA Auditor’s Guideline for Risk Analysis;
BS 7799 (ISO 17799);
DoD TCSEC, DOD 5200.28-STD (Orange Book);
OMB circulars on internal controls and management accountability A-123, A-124, A-127, and A-130;
Computer Security Act of 1987;
Privacy Act of 1974;
Federal Manager’s Financial Integrity Act 1982;
FIPS-Pub 65 Guidelines for ADP/EDP Risk Analysis;
HIPAA;
Army Field Manual 31 for Physical Security;
Bioterrorism Preparedness and Response Act of 2002;
Maritime Transport Security Act of 2002;
International Maritime Organization Ship and Port Facility Security (ISPS) Code;
Gramm Leach Bliley Act.
Все продукты RiskWatch построены на одной унифицированной платформе, архитектура которой является достаточно типичной для подобных систем. Упрощенное представление такой архитектуры показано на рисунке и включает в себя следующее:
обширную базу знаний, содержащую информацию по активам, угрозам, уязвимостям, видам ущерба, контрмерам, а также опросные листы для оценки факторов риска;
программный интерфейс (API) для работы с базой знаний, а также средства импорта информации, например данных по активам;
модуль оценки рисков, реализующий алгоритмы анализа и оценивания рисков на основании данных из базы знаний и результатов опросов;
интерфейсные модули, предназначенные для формирования и заполнения опросников пользователями продукта, а также для создания отчетов по результатам оценки рисков.
____________________________________
Основные этапы оценки рисков по методу RiskWatch:
Определение параметров обследования.
Проведение интервью и ввод данных.
Расчет величины рисков.
Формирование отчетов.
______________________________________
Четыре стадии оценки рисков(Определение параметров (Definition), Ввод данных (Data), Оценка рисков (Evaluation), Формирование отчетов (Reports)) и степень ихзавершенности представлены в наглядной форме на первом экране программы.
На этапе определения параметров (Definition) задаются область оценки, категории ущерба, категории активов, рассматриваемые угрозы, уязвимости и применяемые контрмеры. Можно использовать стандартные параметры и добавлять свои собственные.
На этапе ввода данных (Data) в систему заносятся данные о ценности активов, вероятности угроз, величине уязвимостей и стоимости контрмер.
Ценности активов, определяемой величиной ущерба в результате нарушения конфиденциальности, целостности и доступности активов, соответствуют определенные оценочные денежные величины.
Ожидаемая частота реализации угроз определяется в терминах среднегодовой оценочнойчастоты угрозы (Annual Frequency Estimate). База знаний RiskWatch определяет для каждой угрозы стандартную оценочную частоту (StandardAnnualFrequencyEstimate, SAFE). Для вычисления рисков используется локальная оценочная частота угрозы (Local Annual Frequency Estimate, LAFE), которую пользователь определяет сам, используя в качестве базового значение SAFE.
Для каждой контрмеры задается ее стоимость, которая определяется стоимостью внедрения и сопровождения. Также учитывается, на какой стадии находится реализация контрмеры, продолжительность ее жизненного цикла и насколько это контрмера уменьшает оценочную частоту реализации угрозы (LAFE).
На данном этапе также осуществляется формирование опросных листов, используемых для получения информации от владельцев активов, представителей бизнеса и экспертов предметной области.
Для проведения интервью используется веб-ориентированный интерфейс, позволяющий опрашивать любое количество экспертов в удаленном режиме.
На этапе оценки рисков (Evaluation) производится связывание между собой данных о ценности активов, частоте угроз и величине уязвимостей. В результате производится расчет количественных значений ожидаемого среднегодового ущерба (Annual Loss Expectancy, ALE) для каждой комбинации актив–угроза–уязвимость. На данном этапе также производится расчет ROI для контрмер и рассмотрение сценариев «А что если?» (What Ifs), позволяющих выбрать для уменьшения рисков оптимальную комбинацию контрмер.
На этапе формирования отчетов (Reports) распечатывается предопределенный набор отчетов по результатам оценки рисков.
Используемые в отчетах графики представляют статистическую информацию, например о распределении уязвимостей информационной системы по областям контроля.
Рекомендуемые контрмеры могут быть отсортированы в порядке убывания значения ROI, что является одним из основных показателей для принятия решения относительно реализации контрмер и соответствующих приоритетах их реализации.
Не менее основательный подход используется и в широко известном методе оценки рисков CRAMM, разработанном Службой безопасности Великобритании (UK Security Service) по заказу британского правительства. В методе CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробные опросные листы, примеры которых приведены в Приложениях №№ 4, 7 и 8.
Метод CRAMM используется в сотнях организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, разрабатываемого британской компанией Insight Consulting, приобретенной в начале 2000-х годов концерном SIEMENS. Инструментарий CRAMM содержит базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализует алгоритмы для вычисления величины рисков.
_____________________________________
CRAMM (UK Government Risk Analysis and Management Method):
Разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта.
Используется начиная с 1985 г. правительственными и коммерческими организациями Великобритании. За это время приобрел популярность во всем мире.
Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта.
_________________________________
В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала выявляется сама целесообразность детальной оценки рисков. Если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля, описанный в международных стандартах и содержащихся в базе знаний CRAMM, которая в основном базируется на британском стандарте BS 7799.
На первом этапев методе CRAMM строится модель активов информационной системы, описывающая взаимосвязи между информационными, программными и техническими активами, а также оценивается ценность активов исходя из возможного ущерба, который организация может понести в результате их компрометации.
На втором этапепроизводится оценка рисков, включающая в себя идентификацию и оценку вероятности угроз, оценку величины уязвимостей и вычисление рисков для каждой тройки: актив – угроза – уязвимость. В CRAMM оцениваются так называемые «чистые» риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются.
На заключительном этапеопределяется набор контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих контрмер, после чего формируется план обработки рисков.
CRAMM Express. Этапы оценки и обработки рисков
____________________________________
Этапы управления рисками по методу CRAMM:
Подготовка, выбор подхода (базовый уровень или детальная оценка рисков).
Оценка критичности активов. Модель активов, ущерб, ценность активов.
Оценка рисков. Угрозы, уязвимости, величина рисков
Выбор контрмер. Сравнение рекомендуемых и существующих контрмер, план обработки рисков.
_____________________________________
Возможности программного инструментария CRAMM значительно превышают возможности, необходимые лишь для оценки рисков и включают в себя следующее:
база данных, содержащая 3000 контрмер, охватывающих все аспекты информационной безопасности, совместимая с BS 7799, ISO 15408 и другими стандартами;
400 типов ресурсов ИС, более 25 различных видов ущерба, более 10 способов оценки ущерба, 38 типов угроз, более 150 возможных комбинаций ущерба, угрозы и уязвимости, 7 уровней риска;
набор инструментальных средств для прохождения процедуры аудита и сертификации на соответствие BS 7799;
набор типовых политик безопасности и других документов, настраиваемых для каждой организации;
средства планирования непрерывности бизнеса;
средства проведения высокоуровневого анализа рисков (всего за 2 часа) при помощи CRAMM v.5 Express;
средства документирования механизмов безопасности и результатов аудита.
CRAMM. База контрмер
Хорошо структурированный и широко опробованный метод CRAMMобладает необходимой гибкостью и универсальностью, что позволяет использовать его в проектах любого уровня сложности. В тоже время CRAMM не лишен и определенных недостатков, в числе которых можно отметить следующее:
требует специальной подготовки и высокой квалификации;
в гораздо большей степени подходит для аудита уже существующих, нежели для разрабатываемых систем;
аудит по методу CRAMM – процесс трудоемкий и может потребовать месяцев непрерывной работы;
генерирует большое количество бумажной документации, которая не всегда полезна на практике;
как и у многих других импортных продуктов, в CRAMM существуют проблемы с отображением кириллицы.
Особенно огорчает российских пользователей системы CRAMM тот факт, что возможность внесения дополнений в базу знаний фактически не доступна пользователям, что вызывает значительные трудности при адаптации этого метода к потребностям организации. Кроме того, CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.
Любой программный продукт, если он действительно является средством для оценки рисков, реализует определенную методологию. Существует достаточное количество хорошо себя зарекомендовавших и широко используемых методов оценки и управления рисками. Некоторые из этих методов повлияли на разработку нашей собственной методологии.
Одним из таких методов является OCTAVE, разработанный в университете Карнеги-Мелон для внутреннего применения в организации. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) – Оценка критичных угроз, активов и уязвимостей – имеет ряд модификаций, рассчитанных на организации различных размеров и областей деятельности. Однако в основе всех модификаций метода OCTAVE лежит набор четко определенных критериев. Эти критерии определяют основные принципы, подходы, процессы, атрибуты и выходные данные оценки рисков, которые мы подробно рассматривать не будем, а вместо этого отошлем читателя к многочисленной литературе, посвященной методу OCTAVE. Исчерпывающую информацию о данном методе оценки рисков на английском языке можно также найти на сайте разработчика по адресу: http://www.cert.org/octave.
В настоящее время представлено три модификации метода OCTAVE:
Методология оценки рисков OCTAVE Method, подходящая для достаточно крупных организаций (от 300 человек и более)
Упрощенная методология оценки рисков OCTAVE-S, ориентированная на организации небольшого размера (не более 100 человек)
Методология оценки рисков OCTAVE Allegro, которая может применяться консультантами на индивидуальной основе, без широкого вовлечения в процесс оценки рисков сотрудников организации
Сущность универсальной методологии OCTAVE Method заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка и обработка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование и координацию действий участников рабочей группы по оценке рисков.
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификацию применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.
На втором этапепроизводится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся технических уязвимостей и оценку их величины.
На третьем этапепроизводится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.
В данном разделе представлен обзор популярных методов и соответствующих программных продуктов для оценки и управления рисками информационной безопасности. Представленный перечень продуктов и соответствующая информация о них не являются исчерпывающими, а носят исключительно ознакомительный характер. Более полный перечень продуктов приведен в Приложении № 10.
В этой книге автор, дабы не быть голословным, принял решение познакомить читателя только с теми продуктами и методами, которые удовлетворяют следующим трем критериям:
продукт широко распространен в мире;
представляет интерес с концептуальной и/или практической точки зрения;
с этим продуктом автору приходилось иметь дело в своей практической деятельности, а следовательно, автор в состоянии поручиться за то, что данный продукт существует не только в виде рекламных заявлений на сайте разработчика, а может, с той или иной степенью успешности, применяться на практике.
Представленная нами здесь информация поможет читателю быстрее сориентироваться в имеющемся разнообразии инструментов управления рисками. Надо иметь в виду, что информация о любых программных продуктах очень быстро устаревает, и, хотя автор приложил определенные усилия для обеспечения актуальности приводимых сведений на момент написания книги, сведения о продуктах могут существенно отличаться на момент ее прочтения.
Отдавая долг истории развития программных средств управления рисками, начнем обзор с самых первых систем, большинство из которых к настоящему времени уже утратили свою актуальность и более не поддерживаются разработчиками. Это позволит нам понять эволюцию данного вида продуктов и отрасли менеджмента рисков.
Далее перейдем к рассмотрению современных SGRC-систем (Security Governance, Risk and Compliance), представляющих из себя достаточно сложные программные комплексы, платформы, фреймворки и конструкторы процессов, позволяющие строить комплексные системы автоматизации менеджмента информационной безопасности.
Недостатки, свойственные многим программным продуктам, предназначенным для управления рисками, ограничивают их практическое применение. К числу наиболее распространенных недостатков следует отнести:
неполную совместимость с международными стандартами – например, очень мало продуктов было разработано специально для ISO 27001;
неполный охват активов. Большинство продуктов сосредоточиваются только на ИТ активах, игнорируя остальные виды активов, которые, однако, не менее важны для информационной безопасности;
сложность использования. Многие продукты слишком сложны в использовании;
затруднение процесса осознания рисков, т.к. расчет рисков выполняется автоматически и скрыт от пользователя;
те или иные проблемы с отображением русского языка, характерные для большинства импортных программных продуктов.
Обнаружить продукт, лишенный всех перечисленных недостатков и в то же время полностью соответствующий требованиям международных стандартов, достаточно сложно. Не говоря уже о том, что многие продукты, позиционируемые разработчиками как средства для оценки или управления рисками, на самом деле таковыми не являются, т.к. не реализуют ни методологии оценки рисков, ни алгоритма их вычисления, а предоставляют лишь средства представления и хранения данных о рисках, оставляя анализ и оценивание рисков, по существу, на откуп пользователю.
Многие известные продукты либо не позволяют проводить полноценной оценки рисков (Cobra), а скорее являются средствами для анализа несоответствий требованиям стандарта ISO 27001 (gap analysis), либо включают в себя слабые средства оценки рисков, не полностью соответствующие требованиям ISO 27001, хотя в них много другого функционала (Callio Secura), либо являются слишком сложными в использовании, дорогими и некастомизируемыми (CRAMM).
Можно было бы выделить из этого списка RA2 the art of risk как инструмент полностью соответствующий требованиям ISO 27001 (его разработчики являются авторами этого международного стандарта), однако он не позволяет сравнивать между собой результаты оценок, что было бы необходимо для крупной организации, содержит крайне примитивные средства построения модели активов и редактирования текстовой информации, затрудняющие его использование, а также неправильно отображает русские буквы в отчетах.
Нас также в целом устраивает RiskWatch, однако он, как и многие другие продукты, не был специально разработан для ISO 27001, а его цена довольно высока.
Можно было бы обратить внимание на новый продукт vsRisk британской компании IT Governance. Он позволяет получать по результатам оценки рисков полноценную Декларацию о применимости в полном соответствии с требованиями ISO 27001. Однако vsRisk также неправильно отображает русские буквы и содержит ряд других существенных недостатков, затрудняющих его практическое применение и которые разработчики обещали устранить когда-нибудь в следующих версиях продукта.