АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ИСПОЛЬЗОВАНИЕМ ПРОГРАММНОГО КОМПЛЕКСА ГРИФ

Цель практической работы, изучение возможностей программного комплекса ГРИФ для анализа и управления рисками ИС компаний.

Для выполнения практической работы на компьютере необходимо установить демонстрационную версию программы ГРИФ из папки Исполняемые модули / 4ГРИФ.

Описание программного комплекса

ГРИФ для анализа и управления рисками информационных систем компаний

ГРИФ — мощный и удобный программный комплекс с интуитивно понятным интерфейсом для анализа защищенности ресурсов ИС и эффективного управления рисками. Функции программного комплекса позволяют провести анализ рисков — получить полную картину всех угроз информационной безопасности (ИБ), оценить, насколько критичны уязвимости и к каким потерям они могут привести.

Кроме анализа рисков, ГРИФ также помогает управлять ими, т.е. разрабатывать стратегию внедрения контрмер на основе анализа соотношения затраты/эффективность.

Основная задача системы ГРИФ — дать возможность самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в ИС и эффективность существующей практики обеспечения безопасности, а также предоставить возможность доказательно убедить руководство в необходимости инвестиций в сферу ИБ.

Система содержит модуль управления рисками, который позволяет проанализировать все причины того значения риска, который получается после обработки алгоритмом занесенных данных. Благодаря расчету эффективности каждой возможной контрмеры, а также определению значения остаточного риска можно выбрать оптимальные контрмеры, которые позволят снизить риск до необходимого уровня с наименьшими затратами. Работа программного комплекса состоит из пяти основных этапов.

На первом этапе определяют полный список информационных ресурсов, представляющих ценность для компании.

На втором этапе вводят в систему все виды информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза — указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.

На третьем этапе вначале определяют все виды пользовательских групп. Затем выясняют, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяют виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащим ценную информацию.

На четвертом этапе требуется указать, какими средствами защищена ценная информация на ресурсах и рабочих местах групп пользователей. Также вводится информация о разовых затраты на приобретение всех применяющихся средств защиты информации и о ежегодных затратах на их техническую поддержку, а также — о ежегодных затратах на сопровождение системы информационной безопасности компании, куда включаются затраты на годовую зарплату персонала, занимающегося вопросами обеспечения И Б; обучение персонала по ИБ; услуги в области ИБ сторонних компаний; сертификация в области И Б, и т.д.

Пример создания проекта в системе ГРИФ представлен на рис. 4.1.

На завершающем этапе пользователь должен ответить на ряд вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков. Применение средств информационной защиты не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.

Пример формирования раздела «Управление рисками» приведен на рис. 4.2.

Рис. 4.2. Пример формирования раздела «Управление рисками»

'С

Рис. 4.1. Пример создания проекта в системе ГРИФ

.1^

И а

Л ,

і іії

ХГ ? Т О ^

||Щ

1 Ї

СЛ <

8 5

о ^ Э О

| —і

да

і '&

После ввода ответов на вопросы раздела «Политика безопасности» будет сформирована полная модель ИС с позиции ИБ с учетом реального выполнения требований комплексной политики безопасности.

Отчет, получаемый на выходе, состоит из трех частей.

Первая часть отчета — «Информационные риски ресурсов».

- Информационные риски ресурсов по информации и классу угроз.
- Информационные риски ресурсов по классу угроз.
- Информационные риски ресурсов, суммарные риски по ресурсам.
- Информационные риски системы по классу угроз.

Вторая часть отчета — «Соотношение ущерба и риска».

- Ущерб по ресурсам по информации и по классу угроз.
- Ущерб по ресурсам, суммарный ущерб по ресурсам.
- Ущерб и риск системы по классу угроз.
- Ущерб и риск системы.
- Риск системы и затраты на обеспечение И Б системы.

Третья часть отчета — «Общий вывод о существующих рисках информационной системы»:

- Максимальные значения риска и ущерба.
- Недостатки существующей политики безопасности.

АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ИСПОЛЬЗОВАНИЕМ ПРОГРАММНОГО КОМПЛЕКСА ГРИФ

Описание программного комплекса

Пример анализа рисков информационной безопасности в системе дистанционного банковского обслуживания «Банк-Клиент» с использованием комплекса ГРИФ

Программное обеспечение для оценки рисков информационной безопасности

АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ИСПОЛЬЗОВАНИЕМ МЕТОДИКИ СОВІТ

Описание методики СОВ1Т для анализа рисков информационной безопасности

Описание программного комплекса построения модели безопасности

Структура программного комплекса (симулятора) УИМ-1

Создание программных комплексов управления проектами (1970—1980 гг.)