Читайте также:
|
Система COBRA є засобом аналізу ризиків і оцінки відповідності інформаційної системи стандарту ISO 17799. Ця система реалізує методи кількісної оцінки ризиків, а також інструменти для консалтингу і проведення оглядів безпеки. У систему COBRA закладені принцип побудови експертних систем, велика база знань по загрозах і уязвимостям, велика кількість запитальників, з успіхом тих, що застосовуються на практиці.
Програмний продукт для аналізу і управління рисками COBRA [348], виробник - З & A Systems Security Ltd., дозволяє формалізувати і прискорити процес перевірки на відповідність режиму інформаційної безпеки вимогам Британського стандарту BS 7799(ISO 17799) і провести простий аналіз ризиків. Є декілька баз знань: загальні вимоги BS 7799(ISO 17799) і спеціалізовані бази, орієнтовані на різні сфери застосування. Доступна демонстраційна версія цього ПЗ.
COBRA дозволяє представити вимоги стандарту у вигляді тематичних " запитальників" по окремих аспектах діяльності організації(див. приклад на рис.1).
Рис. 1. Аналіз ризиків з використанням ПО Cobra
Аналіз ризиків, що виконується цим методом, відповідає базовому рівню безпеки, тобто рівні ризиків не визначаються. Гідність методики - в її простоті. Необхідно відповісти на декілька десятків питань, потім автоматично формується звіт.
Цей програмний продукт може застосовуватися при при проведенні аудиту ІБ або для роботи фахівців служб, відповідальних за забезпечення інформаційної безпеки. Простота, відповідність міжнародному стандарту, порівняно невелике число питань дозволяють легко адаптувати цей метод для роботи у вітчизняних умовах.
72. Програмний продукт КОНДОР+.
Програмний продукт КОНДОР+ дозволяє фахівцям(ИТ-менеджерам, офіцерам безпеки) перевірити політику інформаційної безпеки компанії на відповідність вимогам ISO 17799. КОНДОР + включає більше 200 питань, відповівши на які фахівець отримує детальний звіт про стан існуючої політики безпеки, а також модуль оцінки рівня ризиків відповідності вимогам ISO 17799. У звіті відбиваються усі положення політики безпеки, які відповідають і не відповідають стандарту, а також існуючий рівень ризику невиконання вимог політики безпеки відповідно до стандарту. Елементам, які не виконуються, даються коментарі і рекомендації експертів. За бажанням фахівця, працюючого з програмою, можуть бути вибрані генерація звіту, наприклад, по якомусь одному або декільком розділам стандарту ISO 17799, загальний детальний звіт з коментарями, загальний звіт про стан політики безпеки без коментарів для представлення керівництву. Усі варіанти звітів для большеи наочності супроводжуються діаграмами. КОНДОР+ дає можливість фахівцеві відстежувати зміни, що вносяться на основі виданих рекомендацій, в політику безпеки, поступово приводячи її в повну відповідність з вимогами стандарту. Ця система реалізує метод якісної оцінки ризиків за рівневою шкалою ризиків: високий, середній, низький.
Програмний продукт КОНДОР+, розроблений російською компанією Digital Security, призначений для перевірки відповідності політики інформаційній безпеці компанії вимогам ISO 17799. КОНДОР+ включає більше двохсот питань, відповівши на які, фахівець отримує звіт про стан існуючої політики безпеки, а так само модуль оцінки рівня ризиків відповідності вимогам ISO 17799.
Після реєстрації
користувач дістає можливість вибрати відповідний розділ стандарту ISO 17799 і відповісти на питання.
У звіті відбиваються усі положення політики безпеки компанії, які відповідають і не відповідають стандарту,
а також відображається існуючий рівень ризику невиконання вимог політики безпеки відповідно до стандарту.
До найбільш важливих елементів політики безпеки даються коментарі і рекомендації експертів.
За бажанням фахівця, працюючого з програмою, може бути вибрана генерація звіту, наприклад, по якомусь одному або декільком розділам стандарту ISO 17799, загальний детальний звіт з коментарями, загальний звіт про стан політики безпеки без коментарів для представлення керівництву і інші. Усі варіанти звітів для більшої наочності супроводжуються діаграмами.
Крім того, КОНДОР+ дає можливість фахівцеві відстежувати зміни, що вносяться на основі виданих рекомендацій, в політику безпеки, поступово приводячи її в повну відповідність з вимогами стандарту.
Вартість продукту складає $225(КОНДОР) і $345(КОНДОР+ з модулем аналізу ризиків базового рівня).
До недоліків КОНДОР + можна віднести:
- відсутність можливості установки користувачем ваги на кожну вимогу;
- відсутність можливості внесення користувачем коментарів.
Ознайомитися з демо-версией КОНДОР+ можна за адресою: http://www.dsec.ru/soft/kondor.php
Дата добавления: 2015-11-14; просмотров: 72 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Інструментальний засіб CRAM. | | | Програмний комплекс ГРИФ. |