Руководством большинства компаний на первый план сегодня выносится проблема адекватной информационной защиты и как первый шаг - определение существующего уровня защищенности. Зачастую самостоятельное решение этой проблемы силами отдела ИТ оказывается достаточно непростым делом. Одной из задач, решаемых системой "ГРИФ 2005", о которой мы сегодня расскажем, являются анализ и получение оценки защищенности информационной системы, которые работник может получить самостоятельно без привлечения сторонних экспертов.
Другой актуальной проблемой является проблема формирования бюджета на информационную безопасность. Сколько денег компании необходимо тратить на защиту своих информационных ресурсов - как оценить затраты? Как оптимизировать и минимизировать эти затраты? Как доказать и добиться максимальной эффективности вложений? Весь этот комплекс задач чрезвычайно сложно решить без привлечения сторонних специалистов, так как для ответов на них необходимо провести полноценный анализ рисков. Система "ГРИФ" поможет оптимизировать расходы на информационную безопасность и сформировать требуемый бюджет.
"ГРИФ 2005" - гибкое и, несмотря на сложный алгоритм, учитывающий более ста параметров, максимально простое в использовании программное решение, основная задача которого - дать возможность ИТ-менеджеру самостоятельно оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и получить возможность убедить руководство компании в необходимости инвестиций в сферу информационной безопасности.
Для того чтобы оценить риск информации, необходимо проанализировать все угрозы, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз. Сначала пользователю информационной системы потребуется описать архитектуру своей сети.
Исходя из введенных владельцем информационной системы данных, можно построить модель угроз и уязвимостей, актуальных для информационной системы компании. На основе полученной модели будет проведен анализ вероятности реализации угроз информационной безопасности на каждый ресурс и, исходя из этого, рассчитаны риски. На первом этапе метода, используемого комплексом "ГРИФ 2005", проводится опрос пользователя с целью определения полного списка информационных ресурсов, представляющих ценность для компании.
На втором этапе "ГРИФ 2005" спрашивает обо всех видах информации, представляющих ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т. д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
Свойства проекта
В начале третьего этапа проходит определение всех видов пользовательских групп (и число пользователей в каждой группе). Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащим ценную информацию.
На четвертом этапе пользователь вносит бизнес-процессы, протекающие в его информационной системе.
Пятый этап - это опрос для определения средств защиты информации, которыми защищена ценная информация на ресурсах. Кроме того, в систему вводятся информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также ежегодные затраты на сопровождение системы информационной безопасности компании. На завершающем, шестом, этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков.
Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации. Рассматривая средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации. В результате работы алгоритма программа представляет следующие данные: инвентаризация; значения риска для каждого ценного ресурса организации; перечень всех уязвимостей, которые стали причиной полученного значения риска; значения риска для ресурсов после задания контрмер; эффективность контрмер; рекомендации экспертов.
Управление рисками
Итоговая оценка "ГРИФ" основывается на целом наборе параметров, которые определяются защищенностью анализируемого объекта: анализируются как технологические аспекты защищенности согласно стандартам Good Practice, ISO 15408 и прочим, так и вопросы комплексной безопасности согласно стандарту ISO 17799.
Система "ГРИФ 2005" содержит модуль управления рисками, который позволяет проанализировать все причины того значения риска, который получается после обработки алгоритмом занесенных данных. Таким образом, зная причины, пользователь будет обладать всеми данными, необходимыми для реализации контрмер и, соответственно, снижения уровня риска. Благодаря расчету эффективности каждой возможной контрмеры, а также определению значения остаточного риска можно выбрать наиболее оптимальные мероприятия, которые позволят снизить риск до необходимого уровня с наименьшими затратами.
Благодаря расширенному в версии 2005 алгоритму "ГРИФ" может проанализировать не только информационные потоки, но и конкретные угрозы и уязвимости системы. При этом можно использовать встроенные в систему базы угроз и уязвимостей, для внедрения которых Digital Security, создатель системы "ГРИФ 2005", специально разработала классификацию угроз.
Кроме того, в новой версии упор был сделан на максимально гибкие настройки. Теперь при необходимости можно настроить проект так, чтобы он полностью соответствовал особенностям конкретной компании. Можно задавать все значения как в денежных единицах, так и в уровнях, редактировать весовые коэффициенты, добавлять свои угрозы и уязвимости и многое другое. Свойства проекта также определяют ту конфигурацию отчета, которая чаще всего требуется. Теперь нет необходимости задавать ее при каждой генерации отчета.
Программные комплексы "ГРИФ" и "КОНДОР", о которых мы уже писали, взаимно дополняют друг друга. Если система "КОНДОР" является инструментом для управления политикой информационной безопасности компании, рассматриваемой в соответствии со стандартом ISO 17799, то система "ГРИФ" обеспечивает проведение анализа и управления рисками информационной системы. Ко всему прочему компания, разрабатывающая и тот и другой комплексы, представила новый пакет под названием Digital Security Office 2005 - законченное решение для комплексного управления информационной безопасностью компании. Теперь "ГРИФ" и "КОНДОР" - не отдельные продукты, а интегрированное решение. Установив Digital Security Office 2005, пользователь получает возможность работы с политикой безопасности и рисками в одном и том же проекте. Благодаря этому все данные, которые заносятся для анализа политики безопасности, используются при анализе рисков и наоборот.
