Программное обеспечение для проведения оценки рисков

Программное обеспечение для проведения оценки рисков
Продолжая тематику оценки и управления рисками информационной безопасности в этом посте мне бы хотелось поговорить о программном обеспечении, которое может быть использовано для выполнения оценки рисков.   Зачем вообще нужно это программное обеспечение ?  Дело в том, что как только вы глубоко погрузитесь в этот процесс, то сразу станет понятно, что проведение оценки сопряжено с довольно сложной комбинаторикой. Сочетание разных активов, уязвимостей, угроз, защитных мер рождает сотни, тысячи возможных комбинаций, описывающих риски и тут уже без подручных средств не обойтись. Что же сейчас можно найти на просторах интернета:

vsRisk. Программное обеспечение от британской компании Vigilant Software . Продукт позиционируется в первую очередь как программное обеспечение для оценки рисков в соответствии с требованиями ISO 27001 и BS7799-3 (ныне ISO27005). На сайте можно скачать триалку на 15 дней (размер - 390 МБ).  Система мне показалась довольно примитивной и совсем не дружественной неподготовленному пользователю. В программе, например, есть довольно обширные списки возможных угроз, уязвимостей и контрмер, но при этом сама система не определяет никаких взаимосвящей между ними, это делается вручную самим пользователем. В общем я бы оценил программку на 3-ку. За что там просят 1700 Евро ?! 8-). 


PTA. Разработка компании PTA Technologies . Крайне интересный продукт на мой взгляд. Не привязан к какому-либо стандарту и реализует механизм количественной оценки рисков (!).  Это я, кстати, отметил бы скорее как недостаток данного программного обеспечения, т.к. все дело в том, что далеко не все можно оценить с точностью до доллара, а возможность качественной оценки не предусмотрена. В системе также предусмотрен интересный механизм оценки эффективности предлагаемых контрмер, на основании  чего можно, например, выдеть как меняется карта рисков когда мы добавляем или убираем те или иные контрмеры. 
На сайте разработчика укзаано, что продукт платный и для скачивания доступна только триалка на 30 дней. Сколько же стоит сам продукт и как его можно приобрести - информации нет (видимо подход индивидуальный :) ).

RSA Archer. Разработка компании Archer , с недавних пор принадлежащей гиганту RSA. Вообще говоря Archer - это такой огромный GRC-комбайн, который включает в себя множество различных модулей, один из которых обеспечивает управление рисками. Триалок для скачивания не предоставляется, на сайте есть презентационные видео. Стоимость данного продукта также не обозначена, но думаю что будет дорого, как и впрочем и все у RSA :)

Modulo Risk Manager. Разработка компании Modulo . На сайте доступно только довольно бедное описание функционала. Никакой триальной версии, никаких подробных видео-роликов. Тем не менее продукт отмечен наградой SC Magazine, а это значит что он все же чего-то стоит. К сожалению мне пока не удалось с ним ознакомиться. 

RM Studio. Продукт одноименной организации ( сайт ).Для скачивания доступна 30-дневная триалка, помимо этого на сайте можно посмотреть видео-ролики, демонстрирующие сценарии использования продукта. На мой взгляд данное программное обеспечение слишком примитивное в плане оценки рисков и подходит только тем, кто делает оценку рисков "для галочки". 

Гриф. Разработка компании Digital Security. Привел этот программный продукт скорее просто для общей картины. Сам продукт уже много лет никак не поддерживается компанией-разработчиком. Поэтому можно сказать, что его фактически уже нет. Пока это единственная отечественная разработка в этой области известная мне.




Откровенно говоря не густо. Я понимаю что мой обзор не может претендовать на 100% полноту, но все же.... 

Если кто-то знает еще какое-то программное обеспечение или другие способы автоматизации при проведени оценки рисков - прошу писать в комменты, обсудим. 
Alt text

Александр Бондаренко

Блог Александра Бондаренко