В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
2. База угроз
Вторым немаловажным элементом системы, безусловно, является база угроз, которая включает в себя описание возможных источников угроз, уязвимостей, способов реализации угроз, объектов воздействия угроз и возможных защитных мер (мер по снижению, передаче, уходу от риска). Чем более полной будет эта база, тем выше точность проводимой с использованием данной базы оценки рисков.
В рамках любой более-менее серьезной оценки рисков требуется принять во внимание сочетание большого количества факторов, и именно наличие подобной базы является фундаментом, который позволит не упустить из виду аспекты, способные повлиять на картину рисков. Следует отметить, что подобная база должна представлять собой не просто список отдельных элементов, но и содержать систему связей между ними, которые определяют, какие угрозы какими источниками за счет каких уязвимостей и какими способами могут быть реализованы. Составлению подобной базы могут помочь специализированные каталоги угроз, которые содержатся в некоторых стандартах, методических документах, публикациях и других методических материалах.
3. Организация совместной работы
Любая оценка рисков подразумевает проведение работ в рамках рабочей группы, состоящей из представителей бизнеса, IT, отдела аудита и/или внутреннего контроля, специалистов по ИБ (в том числе со стороны). Редко когда оценка проводится одним экспертом. А это означает, что система по управлению рисками ИБ должна обеспечивать возможность совместной работы группы людей. Это потребует решения таких вопросов, как организация доступа, разграничение полномочий, фиксация внесенной пользователями информации, журналирование действий и пр.
4. Интеграция с другими системами
В рамках проведения оценки рисков, как правило, осуществляется сбор разного рода информации об объекте, для которого проводится оценка.
В частности, собирается инвентаризационная информация (типы и характеристики объектов защиты, физическое расположение объектов защиты и пр.), информация о применяемых средствах защиты, а также данные, полученные по результатам мониторинга и аудита ИБ. Все чаще вопросы инвентаризации, мониторинга и аудита в компаниях пытаются автоматизировать за счет применения специализированных решений (систем класса SIEM, сканеров уязвимостей, средств IT-инвентаризации), а это значит, что в идеале прикладная система по управлению рисками должна обеспечивать возможность интеграции и получения информации из подобных систем. Это позволит повысить оперативность сбора информации, что, в свою очередь, скажется на сроках проведения и опять же на точности оценки рисков.
5. Технологическая реализация
И последним по списку, но не последним по значимости является вопрос технической реализации системы управления рисками ИБ. Здесь может быть несколько вариантов:
В завершение обсуждения вопроса создания прикладной системы по управлению рисками ИБ хотелось бы представить вам несколько примеров готовых программных решений данного класса и их возможностей (см. табл. 1 и 2).
Уже немало сказано о том, что автоматизация в ИБ жизненно необходима, а это означает, что такой вопрос, как создание собственной (или закупка и внедрение серийно выпускаемой) информационной системы по управлению рисками информационной безопасности, не должен остаться без вашего внимания.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2013