Люблю свои excel'ки с рисками. Вся логика написана самостоятельно. Если получается нечто невразумительное, то ошибка выискивается довольно быстро... Если что-то не вписывается в систему, то можно корректировать систему... Поэтому к ПО, которое управляет информационными рисками воспринимаю скептически. Но...Но учитывать опыт их создателей просто необходимо. Пару недель назад получил демо-доступ к продукту Risk Manager от RVision. Описание авторов:
Модуль предназначен для оценки и управления рисками информационной безопасности в соответствии с требованиями и рекомендациями российских и международных стандартов (СТО БР, PCI DSS, ISO, OCTAVE, NIST).С помощью модуля можно составить модель угроз, провести оценку рисков, сформировать план обработки рисков, оценить экономический эффект и обосновать бюджет на информационную безопасность.
Несмотря на столь нелюбимый мной веб-интерфейс и то, что я не нашел трехуровневой модели, предлагаемой NIST SP 800-37 (хотя, мб плохо искал или не этот NIST имелся ввиду) продукт мне понравился.Вернее нет, не так. Мои excel'ки лучше :) Но мне понравиться именно архитектура решения. Выглядит это все примерно следующим образом:
- Идентифицируем (создаем/выбираем из предложенных) актив. Для актива определяем последствия, которые ему грозят в случае нарушения каждого из свойств (конфиденциальность, целостность, доступность)
- Идентифицируем (создаем/выбираем из предложенных) угрозы. Для "предустановленных" угроз уже определено, на какие из свойств актива они могут влиять. Кроме того, определены, какие предпосылки (и в какой мере) влияют на наличие в нашей модели тех или иных угроз.
- Идентифицируем "предпосылки". Вообще, больше всего мне в этой программе понравилось слово "предпосылки". Оно куда яснее звучит для "неподготовленного уха", чем "уязвимости" и куда красивее, чем "недостатки", которое я ранее использовал при необходимости пояснений.
Собственно база угроз и предпосылок - это то, что мне также понравилось в системе. На радостях скопировал ее себе (вдруг пригодится). Потом долго размышлял, зачем платить за программу, если можно вот так все вытащить (ну да, часок делать скрины а потом пропускать через OCR-модуль немного "не творческий" процесс, но с учетом стоимости системы, этим можно заняться). Оказалось, что в демо-доступе далеко не вся база (о чем мне и подсказали авторы проекта, когда я поинтересовался отсутствием некоторых связок угроз с предпосылками).
4. Идентифицируем защитные меры.Соответственно, чем риск смягчается...
Итого, у каждого из свойств активов, угрозы, уязвимости предпосылки и меры защиты есть шкала (кажется, везде 5-ти балльная: минимальный, низкий, средний, высокий, критический). Нехитрым способом из полученных данных высчитывается риск (может и хитрым, но на первый взгляд - нет). И затем, предлагаются меры (из предустановленного, но пополняемого перечня), которыми можно снизить уровень риска до приемлемых значений.
Кому нужен продукт? Мое мнение, тем, кому нужно выполнить требования регуляторов, но внедрять систему управления информационными рисками особо желания нет (по тем или иным причинам). Второй вариант - тем, кто хочет внедрить СУИР, но не знает с чего начать. Ну и третий вариант, для тех у кого проблемы с обоснованием бюджета на ИБ и, с помощью этой программы хотят поднять уровень доверия к службе ИБ у руководства .
P.S. RVision также предлагает еще ряд модулей, связанных с управлением безопасностью, но они довольно сильно заточены на организации банковской сферы и, возможно, окажутся им весьма полезными.
