from 01.01.2018 until now
Angarsk, Irkutsk region, Russian Federation
The basic requirements for information security risk management systems are formulated, a comparative analysis of the systems is carried out, as a result of which their main advantages and disadvantages are revealed
information security, risk management, software products
Существует большое разнообразие коммерческих программных продуктов для оценки рисков информационной безопасности (ИБ). Однако, возникает ряд вопросов: какой из них выбрать; существуют ли отечественные аналоги; стоит ли разрабатывать свой программный продукт.
Опираясь на требования стандартов ГОСТ Р ИСО/МЭК 27001, BS 7799-3 и другие, связанные напрямую или косвенно с управлением в области ИБ, можно сформулировать ряд требований, которым должен соответствовать программный продукт для оценки рисков: охватывать все составляющие риска и их отношения; иметь в составе модули сбора, анализа и вывода данных; использовать алгоритмы, основанные на общепринятых подходах и методах к оценке рисков; формировать структурированные, полные и понятные отчеты; хранить историю сбора и анализа данных; обеспечивать доступ к актуальной документации по управлению рисками ИБ; быть совместимым с широким кругом современного программного и аппаратного обеспечения; иметь возможность сопровождения после внедрения, а также обучения пользователей.
Выделим достоинства и недостатки наиболее популярных программ: Cramm, RiskWatch, Кондор+.
1. RiskWatch. Достоинства: методология анализа рисков; сочетание качественной и количественной оценок рисков; обширная база данных по уязвимостям, угрозам, контрмерам; возможностью введения новых категорий; наличие русскоязычного интерфейса. Недостатки: анализ рисков только на программно-техническом уровне защиты; не учитывает комплексный подход к ИБ; только на английском языке; дорогая лицензия.
2. CRAMM. Достоинства: идентификация элементов риска (нематериальных и материальных активов, их ценность, угрозы, величина потенциального ущерба, мер безопасности и вероятность реализации угрозы); обширная БД для оценки рисков и выбора контрмер; умелое использование метода позволяет экономить средства, избегая неоправданных расходов. Недостатки: использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора; только на английском языке; дорогая лицензия.
3. КОНДОР+. Достоинства: существует возможность отслеживать исполнение рекомендаций, связанных с политикой безопасности; наличие русскоязычного интерфейса; приемлемая стоимость лицензии. Недостатки: отсутствие возможности установки пользователем критерия значимости требования ИБ; отсутствие возможности внесения комментариев пользователя; какие-либо рекомендации или выводы частично отсутствуют, что снижает эффективность принятия управленческих решений.
Заключение. В результате проведенного сравнительного анализа наиболее популярных программных продуктов управления рисками ИБ выявлены общие недостатки (ограничения): частичное соответствие международным и государственным стандартам, например, очень мало продуктов разработано специально для ISO 27001; неполный охват активов, так как большинство функций программ направлены на работу с информационно-техническими активами; сложность в изучении и использовании; сокрытие от пользователя алгоритмов, автоматизированного расчета рисков, что приводит к сложностям в процессе осознания и оценке степени рисков; проблемы с русификацией, свойственные большинству импортных программных продуктов.
Обнаружить продукт, лишенный недостатков, достаточно сложно. Не говоря уже о том, что многие продукты, позиционируемые разработчиками как средства для оценки или управления рисками, на самом деле таковыми не являются, так как не реализуют ни методологии оценки рисков, ни алгоритма их вычисления, а предоставляют лишь средства представления и хранения данных о рисках, возлагая анализ и оценивание рисков на пользователей.
1. Temnikova, E. A. Sravnitel'nyy analiz programmnyh sistem upravleniya riskami informacionnoy bezopasnosti / E. A. Temnikova, E. A. Pavlova – Tekst : neposredstvennyy // Transportnaya sistema Sibirskogo regiona. – 2017. – S. 412-417.
