Существует большое количество коммерческих программных продуктов, предназначенных для оценки рисков. Перечень некоторых продуктов приведен в Приложении № 7. Дополнительную информацию по данному вопросу можно также найти на информационном портале ISO27000.ru.
Стандарт BS 7799-3 определяет критерии выбора программного продукта для оценки рисков.
__________________________________
Требования к программному продукту для оценки рисков:
- должен охватывать все компоненты риска и взаимосвязь между компонентами;
- должен включать модули для сбора данных, анализа и вывода результатов;
- должен отражать политику и подход организации к оценке рисков;
- должен формировать понятные и точные отчеты;
- должен сохранять историю сбора и анализа данных;
- должен содержать полную и понятную документацию;
- должен быть совместимым с программным и аппаратным обеспечением, используемым в организации;
- должен сопровождаться обучением и поддержкой.
______________________________________
Метод, используемый при работе выбранного продукта, и его функции должны отражать политику и общий подход организации к оценке рисков.
Эффективное формирование отчетов о результатах оценки рисков является существенной частью процесса, если руководству требуется взвешивать альтернативы и осуществлять эффективный выбор применимых, надежных и экономически оправданных механизмов контроля. Поэтому данный продукт должен формировать понятные и точные отчеты.
Способность сохранять историю сбора и анализа данных является полезной при проведении последующих оценок и наблюдения над тем, как изменяется ситуация с рисками.
Эффективность использования продукта зависит от того, насколько хорошо пользователь его понимает, а также от того, был ли продукт правильно установлен и настроен. Программная документация должна быть в наличии, включая руководство по установке и эксплуатации.. Не последнюю роль играет доступность обучения и поддержки.
Выбранный продукт должен быть совместим с аппаратным и программным обеспечением, используемым в организации.
