RiskWatch

Компания RiskWatch [5] предлагает принципиально два продукта: один в области информационной безопасности ‑ IT Security, второй в области физической безопасности ‑ Physical Security. ПО предназначено для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и "физической" безопасности предприятия. Причем для разных типов организаций предлагается разные версии ПО.

В линейке продуктов, предназначенных для управления рисками в различных системах, учитываются требования таких стандартов (документов): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 и др.

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты (рис. 8).

Рис. 8

В старой версии RiskWatch (новая недоступна) используемая в программе методика включает в себя 4 фазы.

Первая фаза — определение предмета исследования. На данном этапе описываются параметры организации — тип организации, состав исследуемой системы, базовые требования в области безопасности (Рис. 9). Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания (Рис. 10) или пропустить.

Рис. 9. Описание информационной системы с позиции безопасности в RiskWatch

Далее каждый из выбранных пунктов описывается подробно.

Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

На Рис. 10 приводится пример описания различных категорий ресурсов.

Рис. 10. Описание ресурсов информационной системы

Допускается модификация названий, описаний, а также добавление новых категорий. Это позволяет достаточно просто русифицировать данный метод.

Вторая фаза — ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

На этом этапе:

- Подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов;

- Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов. Допускается корректировка вопросов, исключение или добавление новых.

- Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффективности внедрения средств защиты.

Третья фаза — оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах.

Для рисков рассчитываются математические ожидания потерь за год по формуле: m=p´v

где p — частота возникновения угрозы в течении года, v — стоимость ресурса, который подвергается угрозе.

Например, если стоимость сервера $150000, а вероятность того, что он будет уничтожен пожаром в течение года равна 0.01, то ожидаемые потери составят $1500.

Дополнительно рассматриваются сценарии "что если...", которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них можно оценить эффект от таких мероприятий.

Четвертая фаза — генерация отчетов (Рис. 13). Типы отчетов:

- Краткие итоги.

- Полные и краткие отчеты об элементах, описанных на стадиях 1 и 2.

- Отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз.

- Отчет об угрозах и мерах противодействия.

- Отчет о результатах аудита безопасности.