Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Автоматизация анализа рисков ИБ

СОИБ. Автоматизация анализа рисков ИБ

По материалам блога http://sborisov.blogspot.com/2012/08/blog-post.html

 

Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ.

 

Оценка рисков ИБ является обязательным требованием законодательства РФ:  

·        161-ФЗ «О НПС» и подзаконных актов;

o   Требования ЦБ РФ;

o   Требования PCI DSS;

o   Требования других операторов ПС;

·        152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ);

·        документы по КСИИ (разработанные, но не опубликованные).

 

Оценка рисков ИБ необходима для соответствия  таким Российским и международным стандартам в области ИБ, как:  

·        Группа стандартов ISO 27001;

·        COBIT 5 for Information Security;

·        SOX;

·        СТО БР ИББС  и других.

 

Причин и преимуществ применения риск-ориентированного подхода к обеспечению ИБ много, и всё больше компаний выбирают этот путь.

Как правило, оценка рисков ИБ включает в себя следующие мероприятия:

·        определение и документирование политик оценки рисков;

·        классификация информационных активов;

·        идентификация и документирование информационных активов;

·        идентификация и документирование угроз ИБ;

·        оценка вероятности реализации угроз  и степени тяжести последствий реализации угроз;

·        оценка и документирование рисков ИБ;

·        планирование обработки рисков ИБ;

·        документирование результатов обработки рисков.

 

Мероприятия эти достаточны объемные (моязаметка о трудозатратах) и хочется по максимуму автоматизировать этот процесс. На рынке существует достаточно много средств автоматизации оценки рисков ИБ: CRAMM, CounterMeasures, Гриф, РискМенеджер, Risk Watch – но они по разным причинам для меня стали неактуальны.

 

Наибольший интерес вызвали у меня 2 свежих продукта российских производителей:  BCM-Analyser от IRADD и Risk Manager от ISMSystems. Демо-версии которых я решил протестировать и сравнить (демо-версия Risk Manager появилась несколько дней назад). Результаты сравнения привожу в таблице ниже.

 

 

 

               Разработчики обоих продуктов отмечают, что каталоги уязвимостей, угроз, контрмер в демо-версии урезанные, в полных версиях существенно шире и постоянно пополняются. Например, в каталоге Risk Manager сейчас более 80 уязвимостей, 22 угроз, 70 способов их реализации, 100 контрмер. Аналогичная ситуация и с BCM-Analyser.

 

 

Оба продукта показались достаточно интересными. Основаны на своих собственных комбинированных методиках оценки рисков ИБ.  


Risk Manager произвел впечатление большей свежести интерфейса и идей. Его сильная сторона в детальном моделировании угроз, но есть и упрощенный мастер оценки.

 

BCM-Analyser видится более подходящим для четкого финансового обоснования выбираемых контрмер.  Только вот оценивание всего возможного вреда в рублях занятие очень трудоемкое.

 

Параскриншотов BCM-Analyser:

 

 


Параскриншотов Risk Manager:

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>