Программа оценки риска. Программа оценки риска Актуальность задачи обеспечения информационной безопасности для бизнеса

, (, "", "", ""). , FRAP; (,). RiskWatch; , (CRAMM, Microsoft ..).

CRAMM - 80- . (CCTA) . CRAMM , . , . CRAMM, (profiles). (Commercial Profile), - (Government profile). , ITSEC (" "). RAMM . , . : , . : , . . . , . .

CRAMM . :

; - , ; ; - (), ; , : , .

; ; ; , ; ; , ; , ; .

1 10. CRAMM " , ":

2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.

(3) , () . , . .

, . . , (, . .). . CRAMM 36 , . , . , . 1 7. , . CRAMM . , . , :

(. 4.1); (. 4.2); (. 4.1).

4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66

, " ". . 4.1 . , - (), - ().

4.1. (. Annual Loss of Expectancy) CRAMM , . 4.2 ().

4.2. , (. 4.3)

4.3. . , . CRAMM , . : 300 ; 1000 ; 900 , . , CRAMM - , ().

FRAP "Facilitated Risk Analysis Process (FRAP)" Peltier and Associates (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). , . - , . : . , (. cost/benefit analysis), . . , FRAP . 1. , () . 2. . : o (checklists), ;

; , ; o " ", . 3. , . , . , .o

, . , (). . (Probability):o o o

(High Probability) - , ; (Medium Probability) - ; (Low Probability) - , .

(Impact) - , :o

(High Impact): , ; (Medium Impact): , -; (Low Impact): , .

4.4. :o o o

A - (,) ; B - ; C - (,);

4.4. FRAP 4. , . , . , . , . , (, - .). , . , . , . :o o

; . 5. . , . , ..o o

OCTAVEOCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) - , Software Engineering Institute (SEI) (Carnegie Mellon University). www.cert.org/octave. - . , . , . OCTAVE: 1. , ; 2. ; 3. . (asset), (access), (actor), (motive), (outcome) . , OCTAVE: 1. , -, ; 2. , -, ; 3. , ; 4. . (disclosure), (modification), (loss/destruction) . (interruption).

OCTAVE " ", 1) . 4.5. - . - . , () - () (HR Database). , 4.3. 4.3. . (Asset) (HR Database) (Access) (Network) (Actor) (Inside) (Motive) (Deliberate) (Vulnerability) (Outcome) (Disclosure) (Catalog reference) -

4.5. , - . , (, ..) , (,). : ; ; ; ; "" , ; ; ; ; . , . , (web-, .), (checklists), . :

, (high-severity vulnerabilities); , (middle-severity vulnerabilities); , (low-severity vulnerabilities).

OCTAVE , . : (high), (middle), (low). , . , (, $10000 - , -). , :

OCTAVE , OCTAVE , .

RiskWatch RiskWatch , . RiskWatch:

RiskWatch for Physical Security - ; RiskWatch for Information Systems - ; HIPAA-WATCH for Healthcare Industry - HIPAA (US Healthcare Insurance Portability and Accountability Act), ; RiskWatch RW17799 for ISO 17799 - ISO 17799.

RiskWatch (Annual Loss Expectancy, ALE) (Return on Investment, ROI). RiskWatch . RiskWatch , . - . , (), . , (" ", "/ " ..), . , (. 4.6). , :

; ; (,); (, ..); ; (,); .

600 . . , . (LAFE SAFE), . .

4.6. - . , . , . , . , $150000, 0.01, $1500. (m=p*v, m - , p - , v -) , RiskWatch NIST , LAFE SAFE. LAFE (Local Annual Frequency Estimate) - , (,). SAFE (Standard Annual Frequency Estimate) - , " " (,). ,

, . (4.1) (4.2) ALE: (4.1) :

Asset Value - (, ..); Exposure Factor - - , () , ; Frequency - ; ALE - .

, . " " (Annualized Rate of Occurrence - ARO) " " (Single Loss Expectancy - SLE), (,). , - (4.2) (4.2) " :", . . RiskWatch LAFE SAFE, . ROI (Return on Investment -), . : (4.3)

Costsj - j - ; Benefitsi - (..), ; NPV (Net Present Value) - .

1 2. . . ROI (- . 4.7). .

4.7. ROI , . , .

Microsoft.

, , :1. . . 2. . . 3. . .

. . . (. *8] , -). .

, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,

. . . . . .

. . . - . . .

(. 4.8). (Excel) Microsoft. , . (- ,).

4.10 .

. ; . ; . .

(" ") , :

; : , ; : .

4.13. - . 4.14. .

4.14. . , . , 100 20%, . ,

: , . . 4.15 .

4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .

4.17. . 4.18 . .

4.20. . , - ": 5, : 1", - ": 5, : 5".

4.20. (SRMGTool3)

. (1 10) (0 10). 0 100. "", "" "" , . 4.21

. . (single loss expectancy - SLE). (annual rate of occurrence - ARO). (annual loss expectancy - ALE).

. . . . . . . . .

. , . , . . . , . , (- () 20%). . (SLE). . 4.22 .

4.23. ()

(ARO). ARO . 4.24

(ALE) SLE ARO .

ALE . , . , - .

(, ..); (,) ; ; , ; , .

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Государственное бюджетное профессиональное образовательное учреждение Ростовской области «Ростовский-на-Дону колледж связи и информатики»

ГБПОУ РО «РКСИ»

Доклад на тему:

«Методики и программные продукты для оценки рисков Riscis Watch»

Выполнил студент: Железниченко Артем

Группа № ИБ-22

Преподаватель:

Тимченко Дмитрий Анатольевич

Ростов-на-Дону

Введение

Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса -- как оценить достаточный уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ -- применение систем анализа рисков, позволяющих оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины: ограничение бюджета и отсутствие поддержки со стороны руководства.

Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности для ИТ-менеджера задачи обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Зачастую многие склонны думать, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках -- техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков. Одним из таких программных комплексов является американский RiskWatch (компания RiskWatch).

1. Характеристика RiskWatch

Метод RiskWath, разработан при участии Национального Института Стандартов и Технологий США (U.S. NIST), Министерства обороны США (U.S. DoD) Министерства обороны Канады (Canadian Dept. Of National Canadian Defence) в 1998 году, фактически является стандартом для американских государственных организаций не только в США, но и по всему миру.

Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, является мощным средством анализа и управления рисками.

Компания RiskWatch предлагает в основном принципиально два продукта: один в области информационной безопасности _ IT Security, второй в области физической безопасности _ Physical Security. Программное обеспечение предназначено для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты в сфере компьютерной и "физической" безопасности предприятия. Причем для разных типов организаций предлагается разные версии программного обеспечения.

В линейке продуктов, предназначенных для управления рисками в различных системах, учитываются требования таких стандартов (документов): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 и др.

В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

1. RiskWatch for Physical Security - для физических методов защиты ИС;

2. RiskWatch for Information Systems - для информационных рисков;

3. HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA;

4. RiskWatch RW17799 for ISO17799 - для оценки требованиям стандарта ISO17799.

2. Достоинства и недостатки RiskWatch

Существенным достоинством RiskWatch с точки зрения потребителя является сравнительная простота, малая трудоемкость русификации и большая гибкость метода, обеспечиваемая возможностью введения новых категорий, описаний, вопросов и т.д. На основе этого метода отечественные разработчики могут создавать свои профили, учитывающие отечественные требования в области безопасности, разработать ведомственные методики анализа и управления рисками.

Несмотря на свои достоинства RiskWatch имеет и свои недостатки.

Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций -- метод не учитывает комплексный подход к информационной безопасности.

1. ПО RiskWatch существует только на английском языке.

2. Высокая стоимость лицензии - от $15 000 за одно рабочее место для небольшой компании и от $125 000 за корпоративную лицензию.

3. Методика анализа рисков, которая лежит в основе RiskWatch

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 этапа:

Необходимо рассмотреть более подробно каждый из этапов методики анализа рисков.

1. На первом этапе описываются общие параметры организации - тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.

2. Второй этап - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе подробно описываются ресурсы, потери и классы инцидентов.

3. Третий этап - оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год по формуле:

где p - частота возникновения угрозы в течение года, v - стоимость ресурса, который подвергается угрозе.

4. Четвертый этап - генерация отчетов. Типы отчетов: краткие итоги; полные и краткие отчеты об элементах, описанных на стадиях 1 и 2; отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз; отчет об угрозах и мерах противодействия; отчет о результатах аудита безопасности.

Заключение

информационный безопасность программный обеспечение

RiskWatch - программное обеспечение, разрабатываемое американской компанией RiskWatch.

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Несмотря на это RiskWatch имеет и некоторые недостатки: существует высокая стоимость лицензии; программное обеспечение RiskWatch существует только на английском языке.

В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов.

Первый этап - определение предмета исследования.

Второй этап - ввод данных, описывающих конкретные характеристики системы.

Третий, самый важный этап - количественная оценка.

Четвертый этап - генерация отчетов.

Размещено на Allbest.ru

Подобные документы

Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.

дипломная работа , добавлен 02.08.2012

Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.

курсовая работа , добавлен 25.11.2013

Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.

курсовая работа , добавлен 17.05.2016

Разработка самообучающейся интеллектуальной информационной системы для анализа кредитоспособности заемщика и оценки кредитных рисков на основе подхода иммунокомпьютинга. Применение процедур кластеризации, классификации и формирования оценок рисков.

курсовая работа , добавлен 09.06.2012

Методика исследования и анализа средств аудита системы Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин. Анализ угрозы информационной безопасности. Алгоритм работы программного средства.

дипломная работа , добавлен 28.06.2011

Программная и техническая характеристика информационных систем предприятия. Требования к информационной и программной совместимости. Проектирование программного обеспечения с использованием специализированных программных пакетов. Разработка базы данных.

отчет по практике , добавлен 11.04.2019

Классификация основных рисков, их идентификация. Планирование и оценка рисков информационной системы в организации, принятие мер для устранения рисков. Определение точки безубыточности проекта. Расчет цены потерь и вероятности наступления риска.

лабораторная работа , добавлен 20.01.2016

Понятие и ключевое отличие распределенной разработки программного обеспечения, его достоинства и недостатки. Концептуальное решение и выбор типа разработки. Особенности программного обеспечения с открытым исходным кодом. Идея и развитие Open Source.

курсовая работа , добавлен 14.12.2012

Автоматизация деятельности по проведению анализа деловой активности предприятия. Реализация предложенной методики в виде программного обеспечения, основные требования к нему. Структура и состав комплекса программных модулей, руководство пользователя.

курсовая работа , добавлен 28.05.2013

Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

Продолжая тематику оценки и управления рисками информационной безопасности в этом посте мне бы хотелось поговорить о программном обеспечении, которое может быть использовано для выполнения оценки рисков. Зачем вообще нужно это программное обеспечение? Дело в том, что как только вы глубоко погрузитесь в этот процесс, то сразу станет понятно, что проведение оценки сопряжено с довольно сложной комбинаторикой. Сочетание разных активов, уязвимостей, угроз, защитных мер рождает сотни, тысячи возможных комбинаций, описывающих риски и тут уже без подручных средств не обойтись. Что же сейчас можно найти на просторах интернета:

vsRisk . Программное обеспечение от британской компании Vigilant Software . Продукт позиционируется в первую очередь как программное обеспечение для оценки рисков в соответствии с требованиями ISO 27001 и BS7799-3 (ныне ISO27005). На сайте можно скачать триалку на 15 дней (размер - 390 МБ). Система мне показалась довольно примитивной и совсем не дружественной неподготовленному пользователю. В программе, например, есть довольно обширные списки возможных угроз, уязвимостей и контрмер, но при этом сама система не определяет никаких взаимосвящей между ними, это делается вручную самим пользователем. В общем я бы оценил программку на 3-ку. За что там просят 1700 Евро?! 8-).

PTA. Разработка компанииPTA Technologies . Крайне интересный продукт на мой взгляд. Не привязан к какому-либо стандарту и реализует механизм количественной оценки рисков (!). Это я, кстати, отметил бы скорее как недостаток данного программного обеспечения, т.к. все дело в том, что далеко не все можно оценить с точностью до доллара, а возможность качественной оценки не предусмотрена. В системе также предусмотрен интересный механизм оценки эффективности предлагаемых контрмер, на основании чего можно, например, выдеть как меняется карта рисков когда мы добавляем или убираем те или иные контрмеры.

На сайте разработчика укзаано, что продукт платный и для скачивания доступна только триалка на 30 дней. Сколько же стоит сам продукт и как его можно приобрести - информации нет (видимо подход индивидуальный:)).

RSA Archer . Разработка компании Archer , с недавних пор принадлежащей гиганту RSA. Вообще говоря Archer - это такой огромный GRC-комбайн, который включает в себя множество различных модулей, один из которых обеспечивает управление рисками. Триалок для скачивания не предоставляется, на сайте есть презентационные видео. Стоимость данного продукта также не обозначена, но думаю что будет дорого, как и впрочем и все у RSA:)

Modulo Risk Manager . Разработка компании Modulo . На сайте доступно только довольно бедное описание функционала. Никакой триальной версии, никаких подробных видео-роликов. Тем не менее продукт отмечен наградой SC Magazine, а это значит что он все же чего-то стоит. К сожалению мне пока не удалось с ним ознакомиться.

RM Studio. Продукт одноименной организации (сайт). Д ля скачивания доступна 30-дневная триалка, помимо этого на сайте можно посмотреть видео-ролики, демонстрирующие сценарии использования продукта. На мой взгляд данное программное обеспечение слишком примитивное в плане оценки рисков и подходит только тем, кто делает оценку рисков "для галочки".

Гриф . Разработка компании Digital Security. Привел этот программный продукт скорее просто для общей картины. Сам продукт уже много лет никак не поддерживается компанией-разработчиком. Поэтому можно сказать, что его фактически уже нет. Пока это единственная отечественная разработка в этой области известная мне.

Откровенно говоря не густо. Я понимаю что мой обзор не может претендовать на 100% полноту, но все же....

Если кто-то знает еще какое-то программное обеспечение или другие способы автоматизации при проведени оценки рисков - прошу писать в комменты, обсудим.

Важное обновление! Компания ISM SYSTEMS сообщила о разработке инструмента по автоматизации оценки рисков - ISM Revision: Risk Manager. Предварительная информация доступна здесь - http://www.ismsys.ru/?page_id=73 . Продукт выглядит многообещающе. Более подробный обзор сделаю позже.

Александр Бондаренко

PTA. Разработка компании PTA Technologies . Крайне интересный продукт на мой взгляд. Не привязан к какому-либо стандарту и реализует механизм количественной оценки рисков (!). Это я, кстати, отметил бы скорее как недостаток данного программного обеспечения, т.к. все дело в том, что далеко не все можно оценить с точностью до доллара, а возможность качественной оценки не предусмотрена. В системе также предусмотрен интересный механизм оценки эффективности предлагаемых контрмер, на основании чего можно, например, выдеть как меняется карта рисков когда мы добавляем или убираем те или иные контрмеры.

RM Studio. Продукт одноименной организации (сайт).Д ля скачивания доступна 30-дневная триалка, помимо этого на сайте можно посмотреть видео-ролики, демонстрирующие сценарии использования продукта. На мой взгляд данное программное обеспечение слишком примитивное в плане оценки рисков и подходит только тем, кто делает оценку рисков "для галочки".

Откровенно говоря не густо. Я понимаю что мой обзор не может претендовать на 100% полноту, но все же....

Волгоградский институт управления
филиал РАНХиГС
Специализированные
программы для анализа
финансовых рисков
предприятия
Выполнила
студентка группы МЭ-100
Шагинян Арпи Арменовна

Любая хозяйственная деятельность несет в себе
опасность денежных потерь, возникновение
которых зависит от тех или иных факторов
хозяйственной жизни. Риском возникновения
подобных проблем являются в первую очередь
финансовые риски.

Целью работы является поиск
специализированных программ для выявления
финансовых рисков предприятия

Для российских предприятий, независимо от их формы
собственности и сфер деятельности, наиболее типичными
являются следующие риски:
- возможная утрата (гибель), недостача или повреждение
основных или оборотных средств предприятия;
- возникновение гражданской ответственности
предприятия по обязательствам, возникающим
вследствие причинения вреда жизни, здоровью и
имуществу третьих лиц или окружающей природной
среде;
- возможные убытки или неполучение ожидаемой
прибыли из-за изменения условий функционирования
предприятия по не зависящим от него обстоятельствам;
- нарушения своих обязательств контрагентами,
партнерами и прочее

Наибольшее распространение получили
программные продукты следующих фирм:
- Альт (пакеты Альт-Инвест, Альт-Инвест
сумм, Альт-Лизинг, Альт-Финансы, АльтПлан, Альт-Прогноз, Альт-Эксперт и др.);
ИнЭк (пакеты Инвестор, Аналитик и др.).

Несмотря на разнообразие предлагаемых программных продуктов, предназначенных для
автоматизации решения задач разработки бизнес-планов инвестиционных проектов, они
имеют между собой много общего. Это определяется наличием установившихся
стандартных подходов к расчету всех показателей и критериев инвестиционного проекта,
изложенных в «Методических рекомендациях по оценке эффективности инвестиционных
проектов и их отбору для финансирования».
Этому, несмотря на большое разнообразие форм подачи выходной информации, ее
содержание, как правило, включает одинаковые данные об основных экономических
характеристиках инвестиционного проекта, основой которых является денежный поток
проекта. К таким характеристикам относятся: данные о прибылях и убытках; прогнозный
баланс; показатели, отражающие финансовое состояние предприятия (коэффициенты
рентабельности, платежеспособности, ликвидности); показатели эффективности
инвестиций (NPV, IRR,PBP, PI и др.).
Семейство программных продуктов Project Expert, в частности версия Project Expert-7,
кроме анализа чувствительности проекта, выполняет расчеты рисков методом сценарного
анализа. Использование при этом методов имитационного моделирования (метода МонтеКарло) позволяет существенно повысить достоверность полученных результатов анализа
риска проекта.

Говоря о возможности применения тех или иных пакетов, следует
отметить способы построения каждого из них – открытый, закрытый,
комбинированный. Примером открытых пакетов являются программные
разработки фирмы Альт. Пользователь имеет возможность вносить
изменения в алгоритмы расчетов, которые могут определяться
спецификой решаемых задач. При недостаточной квалификации
пользователя такие изменения могут привести к ошибкам и исказить
действительное состояние дел. Примером закрытых пакетов являются
программные разработки фирмы ПроИнвестКонсалтинг, в частности
семейство пакетов Project Expert. Здесь программный продукт выступает в
виде, так называемого, «черного ящика». На входе его вводится исходная
информация, на выходе – результаты расчетов бизнес-плана. Пользователь
не имеет возможности изменять алгоритм расчетов. Такие программы не
предъявляют высоких требований к квалификации пользователя. Поэтому,
выбор конкретного пакета зависит от пользователя, его квалификации и
возможностей как финансовых, так и наличия соответствующего
персонала.

С одной стороны риск имеет опасность для
предпринимательской деятельности, но с другой, как и
конкуренция, несет очистительную функцию, т.е. помогает
рынку очиститься от немобильных организаций, способствует
при правильном подходе к риску, развитию экономики.
Необходимо помнить, что нужно не избегать риска, а уметь
снизить вероятность его возникновения, что возможно при
правильной управленческой работе, которая представляет
собой комплекс мероприятий, направленных на
прогнозирование и заблаговременное выявление
неблагоприятных воздействий на субъект
предпринимательской деятельности, разработку и реализацию
мер по их нейтрализации (анализ риска и его оценка,
страхование и т.д.).

Можно ли выключить hd audio background process

Прошивка телефона Samsung Galaxy S (GT-I9000) Прошивка galaxy s i9000 odin

Адаптивная вёрстка — как побороть боль?

Электронные платёжные системы для ввода и вывода денег из интернета Какие электронные платежные системы есть