понедельник, 9 января 2012 г.

Программное обеспечение для проведения оценки рисков

Продолжая тематику оценки и управления рисками информационной безопасности в этом посте мне бы хотелось поговорить о программном обеспечении, которое может быть использовано для выполнения оценки рисков.   Зачем вообще нужно это программное обеспечение ?  Дело в том, что как только вы глубоко погрузитесь в этот процесс, то сразу станет понятно, что проведение оценки сопряжено с довольно сложной комбинаторикой. Сочетание разных активов, уязвимостей, угроз, защитных мер рождает сотни, тысячи возможных комбинаций, описывающих риски и тут уже без подручных средств не обойтись. Что же сейчас можно найти на просторах интернета:

vsRisk. Программное обеспечение от британской компании Vigilant Software. Продукт позиционируется в первую очередь как программное обеспечение для оценки рисков в соответствии с требованиями ISO 27001 и BS7799-3 (ныне ISO27005). На сайте можно скачать триалку на 15 дней (размер - 390 МБ).  Система мне показалась довольно примитивной и совсем не дружественной неподготовленному пользователю. В программе, например, есть довольно обширные списки возможных угроз, уязвимостей и контрмер, но при этом сама система не определяет никаких взаимосвящей между ними, это делается вручную самим пользователем. В общем я бы оценил программку на 3-ку. За что там просят 1700 Евро ?! 8-). 


PTA. Разработка компании PTA Technologies. Крайне интересный продукт на мой взгляд. Не привязан к какому-либо стандарту и реализует механизм количественной оценки рисков (!).  Это я, кстати, отметил бы скорее как недостаток данного программного обеспечения, т.к. все дело в том, что далеко не все можно оценить с точностью до доллара, а возможность качественной оценки не предусмотрена. В системе также предусмотрен интересный механизм оценки эффективности предлагаемых контрмер, на основании  чего можно, например, выдеть как меняется карта рисков когда мы добавляем или убираем те или иные контрмеры. 
На сайте разработчика укзаано, что продукт платный и для скачивания доступна только триалка на 30 дней. Сколько же стоит сам продукт и как его можно приобрести - информации нет (видимо подход индивидуальный :) ).

RSA Archer. Разработка компании Archer, с недавних пор принадлежащей гиганту RSA. Вообще говоря Archer - это такой огромный GRC-комбайн, который включает в себя множество различных модулей, один из которых обеспечивает управление рисками. Триалок для скачивания не предоставляется, на сайте есть презентационные видео. Стоимость данного продукта также не обозначена, но думаю что будет дорого, как и впрочем и все у RSA :)

Modulo Risk Manager. Разработка компании Modulo. На сайте доступно только довольно бедное описание функционала. Никакой триальной версии, никаких подробных видео-роликов. Тем не менее продукт отмечен наградой SC Magazine, а это значит что он все же чего-то стоит. К сожалению мне пока не удалось с ним ознакомиться. 

RM Studio. Продукт одноименной организации (сайт). Для скачивания доступна 30-дневная триалка, помимо этого на сайте можно посмотреть видео-ролики, демонстрирующие сценарии использования продукта. На мой взгляд данное программное обеспечение слишком примитивное в плане оценки рисков и подходит только тем, кто делает оценку рисков "для галочки". 

Гриф. Разработка компании Digital Security. Привел этот программный продукт скорее просто для общей картины. Сам продукт уже много лет никак не поддерживается компанией-разработчиком. Поэтому можно сказать, что его фактически уже нет. Пока это единственная отечественная разработка в этой области известная мне.




Откровенно говоря не густо. Я понимаю что мой обзор не может претендовать на 100% полноту, но все же.... 

Если кто-то знает еще какое-то программное обеспечение или другие способы автоматизации при проведени оценки рисков - прошу писать в комменты, обсудим.


Важное обновление !  Компания ISM SYSTEMS сообщила о разработке инструмента по автоматизации оценки рисков - ISM Revision: Risk Manager. Предварительная информация доступна здесь - http://www.ismsys.ru/?page_id=73. Продукт выглядит многообещающе. Более подробный обзор сделаю позже.

13 комментариев:

  1. Забыл РискМенеджер от ИСА РАН - http://srisks.ru/

    ОтветитьУдалить
  2. 1. Ну, вроде еще популярна раньше была методология и инструментарий COBRA.

    2. Не напрямую про риски, но близко. Сейчас некоторые решения идут от уязвимостей и настроек ИТ-инфраструкуры. При этом уже самый простейший подход для оценки ряда ИТ-рисков заключается в в анализе критичности уязвимости и первичной экспертной оценке критичности элементов ИТ-инфраструктуры. Это реализовано во многих системах управления уязвимостей. Есть еще продолжение и усиление метода оценки: за основу берутся все та же информация об ИТ-инфраструктуре и ее уязвимостях, но уже своя база знаний и возможность построения моделей позволяет описать и посмотреть как может быть проведена атак (конкретно по шагам и хостам). Это я видел, например, в одном из модулей решения SkyBox. Итого мы можем достаточно глубоко и детально проанализировать ИТ-риски, а остальные (например, физ.безопасность) оценивать просто на бумажке/в exel. Пока это скорее как идея... Разделение методики оценки рисков для ИТ-рисков и прочих, может быть удобно. Ведь основная цель оценки рисков - определить адекватные контрмеры, при этом они будут разными в зависимости от рассматриваемых угроз и нарушителей (например, внешний хакер и/или вор)) и смешение в одну методологию/один результат не так важно...

    ОтветитьУдалить
  3. Алексей Викторович! Вы об этом?

    КЭС «АванГард» включает в себя два программных комплекса (ПК):
    «АванГард-Анализ» и «АванГард-Контроль».
    Система автоматизации управления информационной безопасностью больших организационных систем

    О.А. Бурдин, А.А. Кононов

    1. Управление информационной безопасностью АИС
    В крупных организациях, информационная инфраструктура, которых распределена по нескольким зданиям, а возможно и по нескольким регионам или даже странам, в управлении информационной безопасностью должен применяться иерархический принцип управления. При этом на верхнем уровне должен реализовываться подход, основанный на идентификации критически важных сегментов (частей) и объектов АИС и предусматривающий проведение постоянного мониторингового контроля за выполнением требований информационной безопасности по каждому из выделенных критических сегментов и объектов. Именно такой подход к управлению безопасностью информационной инфраструктуры сейчас всячески пытается распространить администрация США, о чем можно судить по многочисленным президентским директивам (например, G.W.Bush. Executive Order. Critical Infrastructure Protection in the Information Age. The White House, October 16, 2001) и по материалам расположенным на сайтах таких правительственных организаций как Critical Infrastructure Assurance Office (www.ciao.gov) и National Infrastructure Protection Center (www.nipc.gov).
    В Институте системного анализа Российской академии наук разработана методология, включающая комплекс методик:
    1) идентификации критически важных сегментов и объектов информационной инфраструктуры на основе анализа и оценки рисков нарушения информационной безопасности АИС;
    2) управления рисками нарушения информационной безопасности больших организационных систем;
    3) построения системы требований информационной безопасности критически важных сегментов и объектов АИС;
    4) мониторингового контроля за состоянием критически важных сегментов и объектов АИС.
    Методология базируется на использовании комплексной экспертной системы «АванГард» [1-6], позволяющей автоматизировать применение перечисленных методик и использовать их для управления информационной безопасностью больших распределенных компьютерных систем самого разного профиля.

    2. Структура и функции системы «АванГард»
    КЭС «АванГард» включает в себя два программных комплекса (ПК):
    «АванГард-Анализ» и «АванГард-Контроль».
    ПК «АванГард-Анализ» позволяет построить структурную модель АИС, модель угроз и модель событий рисков, связанных с отдельными составляющими АИС и, таким образом, выявить те сегменты и объекты, риск нарушения безопасности которых является неприемлемым, то есть критическим. Помимо этого, ПК «АванГард-Анализ» позволяет построить модель защиты - систему мер и требований, которые должны выполняться, что бы обеспечить безопасность АИС, а так же выработать оптимальный комплекс мероприятий по защите.
    ПК «АванГард-Контроль» позволяет проводить мониторинг-контроль выполнения требований по защите критических сегментов АИС и определять «узкие» места в защите и обеспечении безопасности АИС.

    ОтветитьУдалить
  4. vsRisk - полностью невменяемая софтина. Просто ужас-ужас. Мне пришлось пуренести все данные в exel чтобы хоть как-то разобраться с тем, что там было наворочено.

    ОтветитьУдалить
  5. http://www.acuityrm.com/products - весьма классический распределенный в пространстве и в матрице ролей подход. Рекомендую. Не исключено, что есть что-то лучшее, но этого вполне достаточно, чтобы сказать владельцу: "Ну и хрена ли ты ждешь, пока гром грянет, если уже сам считаешь, что всё настолько плохо?!"

    ОтветитьУдалить
  6. Да, еще имеет место быть самый навороченный продукт, прикупленный недавно "между делом" IBM: OpenPages, который считается другом-Gartnerom самым передовым решением. Стоит, соотвественно, как космический корабль и для работы сгодится только в сегменте международных корпораций.

    ОтветитьУдалить
  7. Есть свежачок, BCM-Analyser от АйРЭД, сам недавно на него наткнулся.

    http://www.iradd.ru/index.php?option=com_content&view=category&layout=blog&id=2&Itemid=15

    Анализ рисков, определение контрмер и многое другое.
    Стоит посмотреть.

    ОтветитьУдалить
  8. Да короче дофига их - от простых калькуляторов в Excel или на PHP до клиент-серверных систем на сотни тысяч долларов

    ОтветитьУдалить
  9. RiskWatch от Microsoft
    RiskWatch for Physical Security – для анализа физической защиты ИС;
    RiskWatch for Information Systems - для информационных рисков;
    RiskWatch RW17799 for ISO 17799 - для оценки соответствия ИС требованиям стандарта международного стандарта ISO 17799.
    http://www.riskwatch.com/index.php/products

    ОтветитьУдалить
  10. ModelRisk - круто, но нужно врубаться. Их help с примерами - готовый учебник

    ОтветитьУдалить
  11. сколько стоит ПО modulo risk manager?

    ОтветитьУдалить