Инструментальные средства анализа и управления информационными рисками

Введение. В современном мире вопрос защиты информации является актуальным и приоритетным в его решении. Поскольку информация в большой части предприятий храниться в электронном виде. Поэтому для решения принятия мер в выборе инструментов по защите информации и данных предприятий, основной составляющей в данном процессе будет являться оценка и прогноз возможных информационных рисков для предприятия.

Сейчас существуют целые комплексы автоматизированных средств для оценки информационных рисков предприятия и их управлению. Такие как – CRAMM (Central Computer and Telecommunications Agency.) 2

созданный Великобритании, RiskWatch созданный в США, и пакет Гриф (Digital Securit) созданный в России.

Основные используемые методики. Данные примеры программного обеспечения позволяют полностью спрогнозировать и составить информационную модель предприятия и оценить, рассчитать возможные информационные риски.

• А)    Метод CRAMM.

При разработке данного метода было основной целью было проектирование алгометрической процедуры которая бы позволила:

• 1)    Подтвердить, что предложенные требования по обеспечению безопасности были целиком и полностью проанализированные и записанные документально.

• 2)    Минимизировать дополнительные расходы на излишки по мерам безопасности предложенные при анализе и оценке рисков.

• 3)    Существенно облегчить процесс планирования при реализации мер по защите на протяжении всего жизненного цикла всей информационной системы предприятия.

Основной концепцией, которая легла в данный метод включала в себя идентификацию и вычисление мер выявленных рисков по результатам оценки используемых ресурсов (угроз и уязвимостям ресурсов). По результатам контроля риска представлял собой идентификацию и выбор контрмер, по результатам которого получиться минимизировать риски до приемлемого допустимого уровня.

Данные метод анализа и управления информационных рисков востребовано используется на западе, а так же широко используется на предприятиях России.

Б) Метод RiskWatch.

Данное средство анализа и управления информационным рисками позволяет провести анализ рисков и принять решению по выбору средств и мер защиты информации предприятия. Сам метод разбит на 4 стадии.

Программное обеспечение RiskWatch позволяет оценить не только те риски, которые сейчас существуют у предприятия, но позволяет выявить выгоду, при реализации физических, технических, программных и прочих средств и механизмов защиты информации. По выявленным отчетам графикам в результате использования данного метода – позволяет придти к решению об улучшении системы обеспечения безопасности предприятия.

• В)    Метод ГРИФ

Далее рассмотрим метод ГРИФ – где анализ рисков формируется с помощью создания модели информационной системы предприятия. Здесь рассматриваются средства защиты информационных ресурсов, их взаимосвязь, а так же воздействие прав доступа к защищенным ресурсам. При реализации данного инструментария происходит анализ защищенности и архитектуры построения используемой предприятием информационной системы. Так же происходит анализ архитектуры используемой сети, которая включает в себя все используемые ресурсы которые включают в себя информационную ценность.

В результате используемых данных данное программное обеспечение формирует полную и объективную модель информационной системы предприятия, на которой в дальнейшем формируется анализ защищенности по каждому виду информации на используемых ресурсах.

Проблемы и недостатки методов . Данные методы имеют как общие недостатки характерные каждому, так и отличительные с учетом специфики анализа оценки и управления информационными рисками.

К недостаткам метода CRAMM можно отнести следующее:

• 1)    Применение метода требует специализированной подготовки и высокой квалификации.

• 2)    Метод CRAMM в гораздо большей степени подходит для уже существующих информационных систем, чем для систем находящихся в разработке.

• 3)    Проверка по методу CRAMM — достаточно сложный и трудоемкий процесс и может занять до несколько месяцев непрерывной работы

• 4)    Инструментарий метода CRAMM создает огромное количество бумажной документации, которая в дальнейшем практике не всегда оказывается актуальной

• 5)    В методе CRAMM не реализовано создание шаблоны отчетов или редактирование уже существующих.

• 6)    Возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.

• 7)    Программное обеспечение CRAMM имеет поддержку только английского языка.

• 8)    Достаточно высокая стоимость лицензии.

К недостаткам RiskWatch можно отнести:

• 1)    Данный метод применим, при проведении анализ рисков на программно-техническом уровне защиты, без учета организационных факторов и так же административных факторов. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций — так как сам метод не позволяет учесть комплексный подход к информационной безопасности.

• 2)    Программное обеспечение RiskWatch имеет поддержку только английского языка.

• 3)    Высокая стоимость лицензии — от $15 000 за одну единицу рабочего места и примерно $125 000 за корпоративную лицензию.

К недостаткам ГРИФ можно отнести:

• 1)    В данном методе отсутствует привязка к бизнес-процессам.

• 2)    Не реализована возможность оценки и сравнения полученных отчетов на разных этапах внедрения и реализации планируемых мер по обеспечению информационной безопасности.

• 3)    Отсутствует возможность добавления специфичных и расширенных требований политики безопасности при оценке и реализации системы информационной безопасности.

Выводы. Можно сделать вывод что единой “универсальной” методики, по которой можно было бы определить количественную величину информационного риска предприятия, на сегодняшний день не существует. Но, Во-первых, это обусловлено отсутствием необходимого объема статистической информации о возможности возникновения какой-либо конкретной угрозы. Во-вторых, играет немаловажную роль тот факт, что определить величину стоимости конкретного информационного ресурса на предприятии порой очень трудно.