Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СОИБ. Автоматизация анализа рисков ИБ

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()

Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ.


Оценка рисков ИБ является обязательным требованием законодательства РФ:  

·        161-ФЗ «О НПС» и подзаконных актов;

o   Требования ЦБ РФ;

o   Требования PCI DSS;

o   Требования других операторов ПС;

·        152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ);

·        документы по КСИИ (разработанные, но не опубликованные).


Оценка рисков ИБ необходима для соответствия  таким Российским и международным стандартам в области ИБ, как:  

·        Группа стандартов ISO 27001;

·        COBIT 5 for Information Security;

·        SOX;

·        СТО БР ИББС  и других.


Причин и преимуществ применения риск-ориентированного подхода к обеспечению ИБ много, и всё больше компаний выбирают этот путь.

Как правило, оценка рисков ИБ включает в себя следующие мероприятия:

·        определение и документирование политик оценки рисков;

·        классификация информационных активов;

·        идентификация и документирование информационных активов;

·        идентификация и документирование угроз ИБ;

·        оценка вероятности реализации угроз  и степени тяжести последствий реализации угроз;

·        оценка и документирование рисков ИБ;

·        планирование обработки рисков ИБ;

·        документирование результатов обработки рисков.


Мероприятия эти достаточны объемные (моязаметка о трудозатратах) и хочется по максимуму автоматизировать этот процесс. На рынке существует достаточно много средств автоматизации оценки рисков ИБ: CRAMM, CounterMeasures, Гриф, РискМенеджер, Risk Watch – но они по разным причинам для меня стали неактуальны.


Наибольший интерес вызвали у меня 2 свежих продукта российских производителей:  BCM-Analyser от IRADD и Risk Manager от ISMSystems. Демо-версии которых я решил протестировать и сравнить (демо-версия Risk Manager появилась несколько дней назад). Результаты сравнения привожу в таблице ниже.




               Разработчики обоих продуктов отмечают, что каталоги уязвимостей, угроз, контрмер в демо-версии урезанные, в полных версиях существенно шире и постоянно пополняются. Например, в каталоге Risk Manager сейчас более 80 уязвимостей, 22 угроз, 70 способов их реализации, 100 контрмер. Аналогичная ситуация и с BCM-Analyser.


Оба продукта показались достаточно интересными. Основаны на своих собственных комбинированных методиках оценки рисков ИБ.  


Risk Manager произвел впечатление большей свежести интерфейса и идей. Его сильная сторона в детальном моделировании угроз, но есть и упрощенный мастер оценки.


BCM-Analyser видится более подходящим для четкого финансового обоснования выбираемых контрмер.  Только вот оценивание всего возможного вреда в рублях занятие очень трудоемкое.


Параскриншотов BCM-Analyser:




Параскриншотов Risk Manager:




Total votes: 0
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.