Выбор инструментария для оценки рисков

Существует большое количество коммерческих программных продуктов, предназначенных для оценки рисков. Перечень некоторых продуктов приведен в Приложении № 7. Дополнительную информацию по данному вопросу можно также найти на информационном портале ISO27000.ru.

Стандарт BS 7799-3 определяет критерии выбора программного продукта для оценки рисков.

__________________________________

Требования к программному продукту для оценки рисков:

  • должен охватывать все компоненты риска и взаимосвязь между компонентами;
  • должен включать модули для сбора данных, анализа и вывода результатов;
  • должен отражать политику и подход организации к оценке рисков;
  • должен формировать понятные и точные отчеты;
  • должен сохранять историю сбора и анализа данных;
  • должен содержать полную и понятную документацию;
  • должен быть совместимым с программным и аппаратным обеспечением, используемым в организации;
  • должен сопровождаться обучением и поддержкой.

______________________________________

Метод, используемый при работе выбранного продукта, и его функции должны отражать политику и общий подход организации к оценке рисков.

Эффективное формирование отчетов о результатах оценки рисков является существенной частью процесса, если руководству требуется взвешивать альтернативы и осуществлять эффективный выбор применимых, надежных и экономически оправданных механизмов контроля. Поэтому данный продукт должен формировать понятные и точные отчеты.

Способность сохранять историю сбора и анализа данных является полезной при проведении последующих оценок и наблюдения над тем, как изменяется ситуация с рисками.

Эффективность использования продукта зависит от того, насколько хорошо пользователь его понимает, а также от того, был ли продукт правильно установлен и настроен. Программная документация должна быть в наличии, включая руководство по установке и эксплуатации.. Не последнюю роль играет доступность обучения и поддержки.

Выбранный продукт должен быть совместим с аппаратным и программным обеспечением, используемым в организации.

Нужен ли для управления рисками специальный программный инструментарий?

Замкнутый круг, связанный с выбором программного инструментария для оценки рисков, заключается в том, что имеющиеся на рынке программные продукты профессионалу не очень-то и нужны, а для начинающего специалиста они, скорее, усложнят и без того непростую задачу.

Мы считаем, что разработку и внедрение системы управления рисками неправильно начинать с выбора программного инструментария, т.к. на этой стадии вы еще не в состоянии адекватно сформулировать требования и определить потребность вашей организации в таком инструментарии. В последующем намного проще будет адаптировать вашу методику для использования специализированного инструментария, нежели адаптировать инструментарий под вашу методику. Последнюю задачу решить практически невозможно. Ни международные стандарты, ни существующий передовой опыт в области управления рисками не требуют применения программного инструментария. Поэтому лучше будет отложить это задачу на потом.

Рекомендуется сначала внедрить в организации политику управления рисками и методологию оценки рисков и провести первоначальную высокоуровневую оценку рисков вручную, в соответствии с принятой методологией. Только после этого имеет смысл переходить к выбору инструментария, который бы соответствовал используемому вами подходу и облегчал бы выполнение основных операций по оценке рисков. Вполне возможно, что специализированный программный инструментарий для оценки рисков вам и не понадобится.

Излагаемая здесь методология оценки рисков не требует применения какого-либо специализированного программного инструментария, хотя при ее разработке и учитывался опыт работы со многими популярными программными продуктами, речь о которых пойдет ниже. Начав с использования специализированных продуктов, мы постепенно пришли к своей «табличной» методике, для применения которой не требуется никаких программных средств, кроме текстового редактора, которая полностью отвечает нашим потребностям и одновременно является достаточно простой и эффективной.

Однако и в нашей методологии существует ряд рутинных аналитических задач, связанных с формированием реестра и плана обработки рисков, а также отчетов и промежуточных рабочих документов, которые допускают возможность автоматизации. При проведении высокоуровневой оценки рисков, при которой рассматриваются порядка несколько десятков основных групп рисков, такая автоматизация позволила бы нам экономить по нескольку человеко-дней на каждом проекте, что весьма неплохо и составляет порядка 10% наших трудозатрат. Остальные 90% трудозатрат при оценке и обработке рисков приходятся не на работу с таблицами, а на сбор информации, анализ защищенности информационных систем, проведение интервью и совещаний, обсуждение и согласование конечных и промежуточных результатов. Тем не менее экономия до 10% себестоимости работ в каждом проекте – это весьма неплохой результат, конечно, при условии, что применяемый программный инструментарий полностью соответствует нашим требованиям, а не затрудняет работу, как это случается на практике.

Положительный эффект от использования программного инструментария может быть значительно выше при детализированной оценке, предполагающей рассмотрение нескольких сотен или даже тысяч рисков, т.к. в этом случае аналитическая работа существенно усложняется. В процессе оценки рисков мы проходим ряд последовательных этапов, периодически откатываясь назад, например, переоценивая определенный риск после выбора способа его минимизации. На каждом этапе необходимо иметь под рукой опросники, перечни угроз и уязвимостей, реестры ресурсов и рисков, документацию, протоколы совещаний, стандарты и руководства. В связи с этим нужен некий запрограммированный алгоритм рабочего процесса, база данных и интерфейс для работы с этими разнообразными данными. Благодаря использованию инструментария есть возможность упорядочить хранение данных и работу с моделью активов, профилями угроз, перечнями уязвимостей и рисками, унифицировать методологию и упростить использование результатов для переоценки рисков и обеспечить воспроизводимость результатов.

_______________________________

Плюсы использования программного инструментария для оценки рисков:

  • автоматизация алгоритма процесса оценки и управления рисками;
  • унификация методологии оценки рисков, обеспечивающая воспроизводимость результатов;
  • интеграция с ERM-системами;
  • построение и поддержание реестров активов, требований, угроз и рисков;
  • автоматическое формирование Планов обработки рисков и Деклараций о применимости;
  • интеграция со средствами контроля соответствия и со средствами анализа уязвимостей.

__________________________________

Программные средства оценки рисков потенциально могли бы развиваться в сторону их интеграции с другими программными системами и средствами защиты информации, например со средствами инвентаризации информационных активов, сетевыми и хостовыми сканерами, средствами контроля соответствия требованиям, системами планирования и бюджетирования и т.п.

Помимо средств оценки и управления рисками программный инструментарий может предоставлять дополнительные возможности для документирования СУИБ, анализа расхождений с требованиями стандартов, формирования и сопровождения реестра активов и другие полезные функции, необходимые для внедрения и эксплуатации СУИБ. В результате некоторые средства оценки рисков эволюционизируют в системы управления жизненным циклом СУИБ, автоматизирующие документооборот, и контрольные функции. Примерами таких программных продуктов являются рассматриваемые далее Callio Secura 17799 и Proteus Enterprise. Эти продукты были выбраны только в качестве примера. Не следует относится к их рассмотрению здесь, как к нашей рекомендации приобретать именно этот продукт либо продукты с аналогичной функциональностью. Приводимые далее сравнения и описания продуктов основаны исключительно на нашем личном опыте и предназначены лишь для того, чтобы дать читателю начальное представление о современных средствах управления информационными рисками.

Глава 6. Инструментальные средства для управления рисками

__________________________________________

  • Нужен ли для управления рисками специальный программный инструментарий?
  • Выбор программного инструментария для управления рисками
  • Общие недостатки и ограничения коммерческих продуктов
  • Популярные методы оценки рисков
  • Сравнение средств оценки рисков
  • Обзор инструментальных средств
  1. OCTAVE
  2. CRAMM
  3. RiskWatch
  4. RA2
  5. vsRisk
  6. Callio Secura 17799
  7. Proteus

__________________________________________