Компания RiskWatch разработала собственную методику анализа рисков и семейство программный средств, в которых она в той либо иной мере реализуется
В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности:
- RiskWatchfor PhysicalSecurity - для анализа физической защиты ИС;
- RiskWatch for Information Systems - дляинформационныхрисков;
- HIPAA-WATCH for Healthcare Industry - дляоценкисоответствиятребованиямстандарта HIPAA (US Healthcare Insurance Portability and Accountability Act), актуальныхвосновномдлямедицинскихучреждений, работающихнатерриторииСША;
- RiskWatch RW17799 for ISO 17799 - для оценки соответствия ИС требованиям стандарта международного стандарта ISO 17799.
В методе RiskWatch в качестве критериев для оценки и управления рисками используются ожидаемые годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return onInvestment, ROI). RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов.
Первый этап - определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности.
Например, категории потерь:
- Задержки и отказ в обслуживании;
- Раскрытие информации;
- Прямые потери (например, от уничтожения оборудования огнем);
- Жизнь и здоровье (персонала, заказчиков и т.д.);
- Изменение данных;
- Косвенные потери (например, затраты на восстановление);
- Репутация.
Второй этап - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе, в частности, подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.
Для выявления возможных уязвимостей используется вопросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов.
Также задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Если для выбранного класса угроз в системе есть среднегодовые оценки возникновения (LAFE и SAFE), то используются они. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.
Третий этап - количественная оценка риска. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования. По сути, риск оценивается с помощью математического ожидания потерь за год. Например, если стоимость сервера $150000, а вероятность того, что он будет уничтожен пожаром в течение года, равна 0.01, то ожидаемые потери составят $1500.
Четвертый этап - генерация отчетов. Типы отчетов:
- Краткие итоги.
- Полные и краткие отчеты об элементах, описанных на стадиях 1 и 2.
- Отчет от стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз.
- Отчет об угрозах и мерах противодействия.
- Отчет о ROI
- Отчет о результатах аудита безопасности.
Таким образом, рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия.
САЙТ СО ВСЕМИ МЕТОДИКАМИ, СХЕМАМИ, ТАБЛИЦАМИ И ФОРМУЛАМИ - https://www.intuit.ru/studies/courses/531/387/lecture/8996?page=1