четверг, 20 октября 2011 г.

Оценка рисков нарушения ИБ (MSAT)

Обнаружил довольно интересный софт по оценки рисков информационной безопасности - Microsoft Security Assessment Tool.
Как пишется в разделе "о программе" - программа использует современный подход и лучшую практику в области обеспечения информационной безопасности.
Что за лучшие практики - мне не понятно, так как и основную методологию я не смог найти, но есть предположение, что вот это именно она.
Найдя немного времени, хочу описать данный программный продукт в виде черного ящика.

Этап 1: Создаем профиль компании (описываем компанию, в частности всю инфраструктуру, приложения, операции, персонал и среду).


Этап 2: Создаем профиль оценки риска (описываем функции по ИБ, которые выполняются в организации по направлению приложений, операций, персонала и т.д.)


Описание системы и создание профиля риска происходит путем ответов на вопросы (аналогичная система есть в составе Office Digital Security). Своего рода, большая анкета, которую нужно заполнить и получить результат.

Этап 3: Отчеты
- Отчет о сравнении с индустрией (сравнение вашего уровня защищенности с средним уровнем защищенности по организациям вашей сферы, только не совсем понятно - организации российские или зарубежные, но тем не менее интересно посмотреть такого рода статистику).

Ключевыми показателями в разработанном программном продукте являются: профиль риска для бизнеса (величина изменения риска в зависимости от бизнес-среды, действительно, важный параметр, который не всегда учитывается при оценки уровня защищенности системы в организациях из разных сфер деятельности) и индекс эшелонированной защиты (сводная величина уровня защищенности).

PS: Лично мне программный продукт понравился и в части интерфейса, и в части общей методологии, и в части генерируемых отчетов, и в части возможности сравнения текущего уровня ИБ со среднем уровнем ИБ по отрасли. Использование этого продукта в российских условиях практически не возможно (такое вот жесткое регулирование государством направления ИБ), а вот для желающих проверить свой уровень ИБ на соответствие "лучшим практикам" можно им воспользоваться. 

6 комментариев:

Алексей Краснов комментирует...

На мой взгляд, недостатком является то, что структура вопросов не древовидная. Поскольку необходимость одних вопросов зависит от ответов на другие вопросы.

Сергей комментирует...

Посмотри все вопросы, часть вопросов есть в виде дерева, а часть вопросов в линейном порядке (видимо зависимости между ними методология не устанавливает).

Алексей Краснов комментирует...

Да, есть некоторые в виде дерева, но всё же (опять же на мой взгляд) учтены не все зависимости.

Радик Б. комментирует...

Сергей, что вы посоветуете использовать для оценки уровня ИБ MSAT или наш ГРИФ с КОНДОРОМ?
Пишу диплом по теме Аудит ИБ и не знаю какое из 2 этих средств выбрать для оценки уровня ИБ выбранного мною объекта ЗИ.

Сергей комментирует...

Все зависит от того какую цель аудита ИБ Вы преследуете. MSAT позволяет провести аудит на основании "лучших практик" (кавычки, потому что для меня лучшие практики это ISO). Под аудитом MSAT скрывается комплекс вопросов, на которые нужно дать ответы и получить результат. КОНДОР - аналог MSAT, только в качестве лучших практик используется стандарт ISO 17799. Принцип тот же, есть большой опросник, который необходимо заполнить и получить результат. ГРИФ - решает задачу анализа и оценки рисков, т.е. на основании анализа исходных данных (структура объекта, защищаемые активы, персонал, существующая СЗИ и т.д.) вы предполагаете возможные угрозы информации и уязвимости существующей СЗИ, а так же ценность защищаемых активов. Полученные значения риска позволяют построить адекватную СЗИ по критерию "стоимость актива-стоимость СЗИ".
Оценка рисков является более трудоемкой работой, в отличии от работ по оценки соответствия стандарту и/или лучшей практики (более трудоемкая - специалисту необходимо уметь решать задачи, связанные с большим количеством неопределенностей).
Если финансовая составляющая не является критерием выбора продукта, то я бы использовал ГРИФ, в противном случае MSAT.

Радик Б. комментирует...

да, финансовая состовляющая не является критерием, под рукой имеются оба продукта. Спасибо большое за такой развернутый ответ!