Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

RiskWatch

Постановка задачи | Методы оценивания информационных рисков | Табличные методы оценки рисков | Методика анализа рисков Microsoft | Глава 4 Инструментальные средства анализа рисков | Справочные и методические материалы | RA Software Tool | Средства полного анализа рисков | Метод CRAMM | Пример использования метода CRAMM |


Компания RiskWatch [343] предлагает два продукта: один относится к информационной, второй - к физической безопасности. ПО предназначено для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в области компьютерной и физической безопасности предприятия.

В продукте, предназначенном для управления рисками в информационных системах, учитываются требования стандартов США (можно выбирать требуемый уровень защищенности). Кроме того, выпущена версия продукта RiskWatch RW17799®, соответствующая стандарту ISO 17799.

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика состоит из четырех этапов.

Первый этап - определение предмета исследования. На данном этапе описываются параметры организации: ее тип, состав исследуемой системы, базовые требования в области безопасности (рис. 4.25). Описание формализуется в ряде подпунктов, которые можно отметить для подробной детализации (рис. 4.26) или пропустить.

Далее каждый из указанных пунктов описывается подробно.

Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно отобрать те, которые реально присутствуют в организации.

На рис. 4.26 представлен пример описания различных категорий ресурсов.

Допускается модификация названий и описаний, а также добавление новых категорий, что позволяет достаточно просто русифицировать данный метод.

Второй этап - внесение данных, касающихся конкретных характеристик системы (рис. 4.27). Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

Рис. 4.25. Описание информационной системы с позиции безопасности в RiskWatch

На этом этапе:

– подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов;

– с помощью опросника, база которого содержит более 600 вопросов, выявляются возможные уязвимости. Вопросы связаны с категориями ресурсов. Допускается корректировка и исключение вопросов или добавление новых;

– задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это служит в дальнейшем для расчета эффективности внедрения средств защиты.

Третий этап - оценка рисков (см. рис. 4.28). Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах.

Для рисков рассчитываются математические ожидания потерь за год по формуле:

,

Рис. 4.26. Описание ресурсов информационной системы

где р - частота возникновения угрозы в течение года,

v - стоимость ресурса, который подвергается угрозе.

Например, если стоимость сервера составляет 150 000 долл., а вероятность его уничтожения пожаром в течение года - 0,01, то ожидаемые потери будут равны 1500 долл.

Дополнительно рассматриваются сценарии «что если...», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при наличии защитных мер и без них, можно оценить эффект от таких мероприятий.

Четвертый этап - генерация отчетов. Типы отчетов:

– краткие итоги;

– полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;

– отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз;

– отчет об угрозах и мерах противодействия;

– отчет о результатах аудита безопасности.

Ниже (рис. 4.29) приводится фрагмент отчета.

Рис. 4.27. Оценка параметров угроз с использованием статистических данных

Возможности RiskWatch

В RiskWatch упрощенный подход используется как к описанию модели информационной системы, так и оценке рисков.

Трудоемкость работ по анализу рисков этим методом сравнительно невелика. Такой метод удобен, если требуется провести анализ рисков на программно-техническом уровне защиты без учета организационных и административных факторов. Однако следует иметь в виду, что полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций.

Существенным достоинством RiskWatch с точки зрения отечественного потребителя является его сравнительная простота, малая трудоемкость русификации и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д. На основе этого метода отечественные разработчики могут создавать свои профили, отражающие отечественные требования в области безопасности, разрабатывать ведомственные методики анализа и управления рисками.

Рис. 4.28. Содержание третьей стадии в RiskWatch

Рис. 4.29. Результирующие оценки по одной из угроз - кражи (начало)

Рис. 4.29. Результирующие оценки по одной из угроз ~ кражи (окончание)


 


Дата добавления: 2015-09-02; просмотров: 178 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Средства компании MethodWare| Актуальность аудита безопасности

mybiblioteka.su - 2015-2024 год. (0.013 сек.)