Анализ программных комплексов по оценке эффективности защиты от угроз.

⇐ ПредыдущаяСтр 3 из 3

Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

Для построения или оценки эффективности СЗИ были рассмотрены программные комплексы анализа и контроля информационных рисков: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security). CRAMM

Метод CRAMM (CCTA Risk Analysis and Managment Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта[30]. Он используется, начиная с 1985 г., правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

-проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;

-проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 «Code of Practice for Information Security Management»;

-разработка политики безопасности и плана обеспечения непрерывности бизнеса.

Недостатки метода CRAMM можно отнести следующее:

· использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;

· CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;

· аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;

· программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;

· CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;

· возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;

· программное обеспечение CRAMM существует только на английском языке;

· стоимость лицензии от 2000 до 5000 долл.

RiskWatch

Программное обеспечение RiskWatch (www.riskwatch.com) является мощным средством анализа и управления рисками[32]. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

-RiskWatch for Physical Security - для физических методов защиты ИС;

-RiskWatch for Information Systems - для информационных рисков;

-HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);

-RiskWatch RW17799 for ISO 17799 - для оценки требованиям стандарта ISO 17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).

Семейство программных продуктов RiskWatch имеет массу достоинств. RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы.

В отличие от CRAMM, программа RiskWatch более ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Надо также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно.

Недостатки RiskWatch:

· Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов.

· Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности.

· Программное обеспечение RiskWatch существует только на английском языке.

· Высокая стоимость лицензии (от 10 000 долл. за одно рабочее место для небольшой компании).

Гриф

ГРИФ - комплексная система анализа и управления рисками информационной системы компании. ГРИФ 2006 из состава Digital Security Office дает полную картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты информации компании.

Система ГРИФ:

· Анализирует уровень защищенности всех ценных ресурсов компании

· Оценивает возможный ущерб, который понесет компания в результате реализации угроз информационной безопасности

· Позволяет эффективно управлять рисками при помощи выбора контрмер, наиболее оптимальных по соотношению цена/качество

Таблица 4 - Сравнительный анализ инструментальных средств анализа рисков[34]

Продукт Критерии сравнения	CRAMM, Central Computer and Telecommunications Agency (UK)	RiskWatch, компания RiskWatch (USA)	ГРИФ 2006 Digital Security Office, Компания (Россия)
Поддержка	Обеспечивается	Обеспечивается	Обеспечивается
Легкость в работе конечного пользователя	Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора.	Использование метода RiskWatch требует специальной подготовки и высокой квалификации аудитора.	Интерфейс программы ориентирован на ИТ-менеджеров и руководителей Не требует специальных знаний в области информационной безопасности.
Цена	Стоимость лицензии от 2000 до 5000 долл. за одно рабочее место.	Стоимость лицензии от 10 000 долл. за одно рабочее место.	Стоимость лицензии от 1000 долл. за одно рабочее место.
Системные требования	Операционная система: · Windows XP · Windows 2000 · Windows NT · Windows Me · Window 98 Свободное дисковое пространство - 50 MB. Минимальные требования: Оперативная память - 64 MB; Процессор - 800 Mhz. Рекомендуемые требования: Оперативная память - 128 MB; Процессор - 1000 Mhz.	Процессор - Intel Pentium или совместимый; Оперативная память - 256 MB RAM; Свободное дисковое пространство - 30 MB для инсталляции; Операционная система - Windows 2000/XP.	Минимальные системные требования: 1. Оперативная память: 256 Mb. 2. Свободное дисковое пространство (для диска, где расположены данные пользователя): 300 Мb. 3. Операционная система: Windows 2000, Windows XP. Рекомендуемые системные требования: 1. Оперативная память: 512 Mb. 2. Свободное дисковое пространство (для диска, где расположены данные пользователя): 1 Gb. 3. Операционная система: Windows 2000, Windows XP.
Функционал	Входные данные: · Ресурсы; · Ценность ресурсов; · Угрозы; · Уязвимости системы; · Выбор адекватных контрмер. Варианты отчетов: · Отчет по анализу рисков; · Общий отчет по анализу рисков; · Детализированный отчет по анализу рисков.	Входные данные: Тип информационной системы; Базовые требования в области безопасности; Ресурсы; Потери; Угрозы; Уязвимости; Меры защиты; Ценность ресурсов; Частота возникновения угроз; Выбор контрмер. Варианты отчета: Краткие итоги; Отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз; Отчет об угрозах и мерах противодействия; Отчет о ROI Отчет о результатах аудита безопасности.	Входные данные: Ресурсы; Сетевое оборудование; Виды информации; Группы пользователей; Средства защиты; Угрозы; Уязвимости; Выбор контрмер. Состав отчета: · Инвентаризация ресурсов; · Риски по видам информации; · Риски по ресурсам; · Соотношение ущерба и риска информации и ресурса; · Выбранные контрмеры; · Рекомендации экспертов.
Количественный или качественный метод	Качественная оценка	Количественная оценка	Качественная и количественная оценки
Наличие сетевого решения	Отсутствует	Отсутствует	Корпоративная версия