Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ.
Оценка рисков ИБ является обязательным требованием законодательства РФ:
· 161-ФЗ «О НПС» и подзаконных актов;
o Требования ЦБ РФ;
o Требования PCI DSS;
o Требования других операторов ПС;
· 152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ);
· документы по КСИИ (разработанные, но не опубликованные).
Оценка рисков ИБ необходима для соответствия таким Российским и международным стандартам в области ИБ, как:
· Группа стандартов ISO 27001;
· COBIT 5 for Information Security;
· SOX;
· СТО БР ИББС и других.
Причин и преимуществ применения риск-ориентированного подхода к обеспечению ИБ много, и всё больше компаний выбирают этот путь.
Как правило, оценка рисков ИБ включает в себя следующие мероприятия:
· определение и документирование политик оценки рисков;
· классификация информационных активов;
· идентификация и документирование информационных активов;
· идентификация и документирование угроз ИБ;
· оценка вероятности реализации угроз и степени тяжести последствий реализации угроз;
· оценка и документирование рисков ИБ;
· планирование обработки рисков ИБ;
· документирование результатов обработки рисков.
Мероприятия эти достаточны объемные ( моязаметка о трудозатратах ) и хочется по максимуму автоматизировать этот процесс. На рынке существует достаточно много средств автоматизации оценки рисков ИБ: CRAMM, CounterMeasures, Гриф, РискМенеджер, Risk Watch – но они по разным причинам для меня стали неактуальны.
Наибольший интерес вызвали у меня 2 свежих продукта российских производителей: BCM-Analyser от IRADD и Risk Manager от ISMSystems . Демо-версии которых я решил протестировать и сравнить (демо-версия Risk Manager появилась несколько дней назад). Результаты сравнения привожу в таблице ниже.
Разработчики обоих продуктов отмечают, что каталоги уязвимостей, угроз, контрмер в демо-версии урезанные, в полных версиях существенно шире и постоянно пополняются. Например, в каталоге RiskManagerсейчас более 80 уязвимостей, 22 угроз, 70 способов их реализации, 100 контрмер. Аналогичная ситуация и с BCM-Analyser.
Оба продукта показались достаточно интересными. Основаны на своих собственных комбинированных методиках оценки рисков ИБ.
RiskManagerпроизвел впечатление большей свежести интерфейса и идей. Его сильная сторона в детальном моделировании угроз, но есть и упрощенный мастер оценки.
BCM-Analyser видится более подходящим для четкого финансового обоснования выбираемых контрмер. Только вот оценивание всего возможного вреда в рублях занятие очень трудоемкое.
Параскриншотов BCM-Analyser:
Параскриншотов Risk Manager: