пятница, 3 августа 2012 г.

СОИБ. Автоматизация анализа рисков ИБ


Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ.

Оценка рисков ИБ является обязательным требованием законодательства РФ:  
·        161-ФЗ «О НПС» и подзаконных актов;
o   Требования ЦБ РФ;
o   Требования PCI DSS;
o   Требования других операторов ПС;
·        152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ);
·        документы по КСИИ (разработанные, но не опубликованные).

Оценка рисков ИБ необходима для соответствия  таким Российским и международным стандартам в области ИБ, как:  
·        Группа стандартов ISO 27001;
·        COBIT 5 for Information Security;
·        SOX;
·        СТО БР ИББС  и других.

Причин и преимуществ применения риск-ориентированного подхода к обеспечению ИБ много, и всё больше компаний выбирают этот путь.
Как правило, оценка рисков ИБ включает в себя следующие мероприятия:
·        определение и документирование политик оценки рисков;
·        классификация информационных активов;
·        идентификация и документирование информационных активов;
·        идентификация и документирование угроз ИБ;
·        оценка вероятности реализации угроз  и степени тяжести последствий реализации угроз;
·        оценка и документирование рисков ИБ;
·        планирование обработки рисков ИБ;
·        документирование результатов обработки рисков.

Мероприятия эти достаточны объемные (моязаметка о трудозатратах) и хочется по максимуму автоматизировать этот процесс. На рынке существует достаточно много средств автоматизации оценки рисков ИБ: CRAMM, CounterMeasures, Гриф, РискМенеджер, Risk Watch – но они по разным причинам для меня стали неактуальны.

Наибольший интерес вызвали у меня 2 свежих продукта российских производителей:  BCM-Analyser от IRADD и Risk Manager от ISMSystems. Демо-версии которых я решил протестировать и сравнить (демо-версия Risk Manager появилась несколько дней назад). Результаты сравнения привожу в таблице ниже.



               Разработчики обоих продуктов отмечают, что каталоги уязвимостей, угроз, контрмер в демо-версии урезанные, в полных версиях существенно шире и постоянно пополняются. Например, в каталоге Risk Manager сейчас более 80 уязвимостей, 22 угроз, 70 способов их реализации, 100 контрмер. Аналогичная ситуация и с BCM-Analyser.

Оба продукта показались достаточно интересными. Основаны на своих собственных комбинированных методиках оценки рисков ИБ.  

Risk Manager произвел впечатление большей свежести интерфейса и идей. Его сильная сторона в детальном моделировании угроз, но есть и упрощенный мастер оценки.

BCM-Analyser видится более подходящим для четкого финансового обоснования выбираемых контрмер.  Только вот оценивание всего возможного вреда в рублях занятие очень трудоемкое.

Параскриншотов BCM-Analyser:



Параскриншотов Risk Manager:



5 комментариев:

Артем Агеев комментирует...

Автоматизацию АНАЛИЗА рисков не увидел. Автоматизация РАСЧЕТОВ кое где имееться.

Артем Агеев комментирует...
Этот комментарий был удален автором.
Сергей Борисов комментирует...

Что в твоем понимании автоматизация АНАЛИЗА?

Я вот увидел автоматизацию анализа.
Например в Risk Analyser автоматический высчитывается уровень риска и сумма возможного ущерба. Потому уже можешь подправить руками если хочешь.

Так-же автоматизируются такие действия как ведение всей информации в единой базе а не в отдельных файлах или документах, возможность делать одну оценку на основе предыдущей и ещё документирование и отчетность.

Andrey Prozorov комментирует...

Класс, спасибо за обзор. Сам собирался на днях "погонять" ISM System? доступ уже получил, позже в блоге отпишусь.

Про "автоматизацию Анализа рисков" скорее склонен согласится с Артемом. Продукты скорее автоматизируют именно оценку, но посмотрю еще непосредственно сам продукт.

Сергей Борисов комментирует...

Естественно что я имел ввиду не полную автоматизацию, в которой участие человека не требуется.

Кое-что автоматизируется. Степень автоматизации я указал в соответствующем разделе таблицы.

Главное чтобы суммарные трудозатраты на анализ рисков ИБ скажем в течении 3 лет уменьшались на сумму большую чем стоимость ПО.