|
Анализ программных комплексов по оценке эффективности защиты от угроз. ⇐ ПредыдущаяСтр 3 из 3 Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ). Для построения или оценки эффективности СЗИ были рассмотрены программные комплексы анализа и контроля информационных рисков: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security). CRAMM Метод CRAMM (CCTA Risk Analysis and Managment Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта[30]. Он используется, начиная с 1985 г., правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM. CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая: -проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения; -проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 «Code of Practice for Information Security Management»; -разработка политики безопасности и плана обеспечения непрерывности бизнеса. Недостатки метода CRAMM можно отнести следующее: · использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора; · CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки; · аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора; · программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике; · CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся; · возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации; · программное обеспечение CRAMM существует только на английском языке; · стоимость лицензии от 2000 до 5000 долл. RiskWatch Программное обеспечение RiskWatch (www.riskwatch.com) является мощным средством анализа и управления рисками[32]. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков: -RiskWatch for Physical Security - для физических методов защиты ИС; -RiskWatch for Information Systems - для информационных рисков; -HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act); -RiskWatch RW17799 for ISO 17799 - для оценки требованиям стандарта ISO 17799. В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI). Семейство программных продуктов RiskWatch имеет массу достоинств. RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы. В отличие от CRAMM, программа RiskWatch более ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Надо также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно. Недостатки RiskWatch: · Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. · Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций - метод не учитывает комплексный подход к информационной безопасности. · Программное обеспечение RiskWatch существует только на английском языке. · Высокая стоимость лицензии (от 10 000 долл. за одно рабочее место для небольшой компании). Гриф ГРИФ - комплексная система анализа и управления рисками информационной системы компании. ГРИФ 2006 из состава Digital Security Office дает полную картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты информации компании. Система ГРИФ: · Анализирует уровень защищенности всех ценных ресурсов компании · Оценивает возможный ущерб, который понесет компания в результате реализации угроз информационной безопасности · Позволяет эффективно управлять рисками при помощи выбора контрмер, наиболее оптимальных по соотношению цена/качество Таблица 4 - Сравнительный анализ инструментальных средств анализа рисков[34]
Вывод В данной главе проанализированы угрозы социальной инженерии, список которых приведен ниже: · угроза фишинга; · угроза претекстинга; · угроза «кви про кво»; · угроза «троянского коня»; · угроза «дорожного яблока»; · угроза обратной социальной инженерии; Выделены классификации атак с использованием этих угроз • По средствам применения: • атака с использованием телефона; • атака с использованием электронной почты; • атака с использованием Voip-приложений(skype); • атака с использованием обыкновенной почты; • атака при личной встрече; • По степени доступа объекта к информационной системе • Администратор – высокая; • Начальник – средняя; • Пользователь – низкая; • Знакомые администратора - отсутствие доступа; • По уровню социльного отношения к объекту • Официальный; • Товарищеский; • Дружный; Проанализированы механизмы защиты от угроз в СИ, которые подразделяются на: - организационные механизмы защиты, такие как обучение персонала - программные механизмы защиты, такие как антивирусные программы, встроенные фильтры безопасности в браузерах и т.д. Рассмотрены программные средства CRAMM, RiskWatch, Гриф.
![]() ![]() Живите по правилу: МАЛО ЛИ ЧТО НА СВЕТЕ СУЩЕСТВУЕТ? Я неслучайно подчеркиваю, что место в голове ограничено, а информации вокруг много, и что ваше право... ![]() ЧТО И КАК ПИСАЛИ О МОДЕ В ЖУРНАЛАХ НАЧАЛА XX ВЕКА Первый номер журнала «Аполлон» за 1909 г. начинался, по сути, с программного заявления редакции журнала... ![]() Что делать, если нет взаимности? А теперь спустимся с небес на землю. Приземлились? Продолжаем разговор... ![]() Конфликты в семейной жизни. Как это изменить? Редкий брак и взаимоотношения существуют без конфликтов и напряженности. Через это проходят все... Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:
|