Модель угроз и уязвимостей

Работа с моделью анализа угроз и уязвимостей подразумевает определение уязвимостей каждого ресурса с ценной информацией, и подключение соответствующих угроз, которые могут быть реализованы через данные уязвимости. В результате получается полная картина того, какие слабые места есть в информационной системе и тот ущерб, который может быть нанесен.

Шаг 1.

На первом этапе работы с продуктом пользователь вносит объекты своей информационной системы: отделы, ресурсы (специфичными объектами для данной модели: угрозы информационной системы, уязвимости, через которые реализуются угрозы).

Система ГРИФ 2005 содержит обширные встроенные каталоги угроз и уязвимостей. Для достижения максимальной полноты и универсальности данных каталогов, экспертами Digital Security была разработана специальная классификация угроз , в которой реализован многолетний практический опыт в области информационной безопасности. Используя каталоги угроз и уязвимостей, пользователь может выбрать угрозы и уязвимости, относящиеся к его информационной системе. Каталоги содержат около 100 угроз и 200 уязвимостей.

Шаг 2.

Далее пользователю необходимо проставить связи, т.е. определить к каким отделам относятся ресурсы, какие угрозы действуют на ресурс и через какие уязвимости они реализуются.

Алгоритм системы ГРИФ 2005 анализирует построенную модель и генерирует отчет, который содержит значения риска для каждого ресурса. Конфигурации отчета может быть практически любой, таким образом позволяя пользователю создавать как краткие отчеты для руководства, так и детальные отчеты для дальнейшей работы с результатами.

Система ГРИФ 2005 содержит модуль управления рисками, который позволяет проанализировать все причины того значения риска, который получается после обработки алгоритмом занесенных данных. Таким образом, зная причины, Вы будете обладать всеми данными, необходимыми для реализации контрмер и, соответственно, снижения уровня риска. Благодаря расчету эффективности каждой возможной контрмеры, а также определению значения остаточного риска, Вы сможете выбрать наиболее оптимальные контрмеры, которые позволят снизить риск до необходимого уровня с наименьшими затратами.

В результате работы с системой ГРИФ строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании, все причины риска с подробным анализом уязвимостей и оценкой экономической эффективности всех возможных контрмер.

6. Сравнительный анализ инструментальных средств анализа рисков

См. Таблицу

Лучшие мировые практики и ведущие международные стандарты в области информационной безопасности, в частности ISO 17799, требуют для эффективного управления безопасностью информационной системы внедрения системы анализа и управления рисками.

При этом можно использовать любые удобные инструментальные средства, но, главное - всегда четко понимать, что система информационной безопасности создана на основе анализа информационных рисков, проверена и обоснована. Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.