СОИБ. Автоматизация анализа рисков ИБ

СОИБ. Автоматизация анализа рисков ИБ

Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ.

Оценка рисков ИБ является обязательным требованием законодательства РФ:  
·        161-ФЗ «О НПС» и подзаконных актов;
o   Требования ЦБ РФ;
o   Требования PCI DSS;
o   Требования других операторов ПС;
·        152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ);
·        документы по КСИИ (разработанные, но не опубликованные).

Оценка рисков ИБ необходима для соответствия  таким Российским и международным стандартам в области ИБ, как:  
·        Группа стандартов ISO 27001;
·        COBIT 5 for Information Security;
·        SOX;
·        СТО БР ИББС  и других.

Причин и преимуществ применения риск-ориентированного подхода к обеспечению ИБ много, и всё больше компаний выбирают этот путь.
Как правило, оценка рисков ИБ включает в себя следующие мероприятия:
·        определение и документирование политик оценки рисков;
·        классификация информационных активов;
·        идентификация и документирование информационных активов;
·        идентификация и документирование угроз ИБ;
·        оценка вероятности реализации угроз  и степени тяжести последствий реализации угроз;
·        оценка и документирование рисков ИБ;
·        планирование обработки рисков ИБ;
·        документирование результатов обработки рисков.

Мероприятия эти достаточны объемные ( моязаметка о трудозатратах ) и хочется по максимуму автоматизировать этот процесс. На рынке существует достаточно много средств автоматизации оценки рисков ИБ: CRAMM, CounterMeasures, Гриф, РискМенеджер, Risk Watch – но они по разным причинам для меня стали неактуальны.

Наибольший интерес вызвали у меня 2 свежих продукта российских производителей:  BCM-Analyser от IRADD и Risk Manager от ISMSystems . Демо-версии которых я решил протестировать и сравнить (демо-версия Risk Manager появилась несколько дней назад). Результаты сравнения привожу в таблице ниже.



               Разработчики обоих продуктов отмечают, что каталоги уязвимостей, угроз, контрмер в демо-версии урезанные, в полных версиях существенно шире и постоянно пополняются. Например, в каталоге RiskManagerсейчас более 80 уязвимостей, 22 угроз, 70 способов их реализации, 100 контрмер. Аналогичная ситуация и с BCM-Analyser.

Оба продукта показались достаточно интересными. Основаны на своих собственных комбинированных методиках оценки рисков ИБ.  

RiskManagerпроизвел впечатление большей свежести интерфейса и идей. Его сильная сторона в детальном моделировании угроз, но есть и упрощенный мастер оценки.

BCM-Analyser видится более подходящим для четкого финансового обоснования выбираемых контрмер.  Только вот оценивание всего возможного вреда в рублях занятие очень трудоемкое.

Параскриншотов BCM-Analyser:



Параскриншотов Risk Manager:



СТО БР ИББС СОИБ Анализ Анализ рисков
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале