Обнаружил довольно интересный софт по оценки рисков информационной безопасности - Microsoft Security Assessment Tool.
Как пишется в разделе "о программе" - программа использует современный подход и лучшую практику в области обеспечения информационной безопасности.
Что за лучшие практики - мне не понятно, так как и основную методологию я не смог найти, но есть предположение, что вот это именно она.
Найдя немного времени, хочу описать данный программный продукт в виде черного ящика.
Этап 1: Создаем профиль компании (описываем компанию, в частности всю инфраструктуру, приложения, операции, персонал и среду).
Этап 2: Создаем профиль оценки риска (описываем функции по ИБ, которые выполняются в организации по направлению приложений, операций, персонала и т.д.)
Описание системы и создание профиля риска происходит путем ответов на вопросы (аналогичная система есть в составе Office Digital Security). Своего рода, большая анкета, которую нужно заполнить и получить результат.
Этап 3: Отчеты
- Отчет о сравнении с индустрией (сравнение вашего уровня защищенности с средним уровнем защищенности по организациям вашей сферы, только не совсем понятно - организации российские или зарубежные, но тем не менее интересно посмотреть такого рода статистику).
- Полный отчет.
Ключевыми показателями в разработанном программном продукте являются: профиль риска для бизнеса (величина изменения риска в зависимости от бизнес-среды, действительно, важный параметр, который не всегда учитывается при оценки уровня защищенности системы в организациях из разных сфер деятельности) и индекс эшелонированной защиты (сводная величина уровня защищенности).
PS: Лично мне программный продукт понравился и в части интерфейса, и в части общей методологии, и в части генерируемых отчетов, и в части возможности сравнения текущего уровня ИБ со среднем уровнем ИБ по отрасли. Использование этого продукта в российских условиях практически не возможно (такое вот жесткое регулирование государством направления ИБ), а вот для желающих проверить свой уровень ИБ на соответствие "лучшим практикам" можно им воспользоваться.
