В данном разделе представлен обзор популярных методов и соответствующих программных продуктов для оценки и управления рисками информационной безопасности. Представленный перечень продуктов и соответствующая информация о них не являются исчерпывающими, а носят исключительно ознакомительный характер. Более полный перечень продуктов приведен в Приложении № 10.
В этой книге автор, дабы не быть голословным, принял решение познакомить читателя только с теми продуктами и методами, которые удовлетворяют следующим трем критериям:
- продукт широко распространен в мире;
- представляет интерес с концептуальной и/или практической точки зрения;
- с этим продуктом автору приходилось иметь дело в своей практической деятельности, а следовательно, автор в состоянии поручиться за то, что данный продукт существует не только в виде рекламных заявлений на сайте разработчика, а может, с той или иной степенью успешности, применяться на практике.
Представленная нами здесь информация поможет читателю быстрее сориентироваться в имеющемся разнообразии инструментов управления рисками. Надо иметь в виду, что информация о любых программных продуктах очень быстро устаревает, и, хотя автор приложил определенные усилия для обеспечения актуальности приводимых сведений на момент написания книги, сведения о продуктах могут существенно отличаться на момент ее прочтения.
Отдавая долг истории развития программных средств управления рисками, начнем обзор с самых первых систем, большинство из которых к настоящему времени уже утратили свою актуальность и более не поддерживаются разработчиками. Это позволит нам понять эволюцию данного вида продуктов и отрасли менеджмента рисков.
Далее перейдем к рассмотрению современных SGRC-систем (Security Governance, Risk and Compliance), представляющих из себя достаточно сложные программные комплексы, платформы, фреймворки и конструкторы процессов, позволяющие строить комплексные системы автоматизации менеджмента информационной безопасности.
