Читаем Информатизация бизнеса. Управление рисками полностью

1. IBM Rational Portfolio Manager (IBM). Система полностью поддерживает методологию COBИТ и предоставляет инфраструктуру для введения элементов управления, которые помогут обеспечить соответствие законодательным нормативам, таким как закон Сарбейнса-Оксли и соглашение Basel II, и устранить разрыв между потребностями управления, техническими проблемами, бизнес-рисками и требованиями показателей производительности и реализацией инструментов финансового контроля.

По данным компании IBM, Portfolio Manager осуществляет поддержку процессов идентификации и контроля рисков, позволяет выявить и уменьшить самые высокие воздействия рисков путем задания пользовательского триггера, который уведомит вас о возникновении риска. Можно предоставить показатели, которые уведомят о том, например, насколько хорошо выполняется снижение риска, с периодической фиксацией количества событий триггера, интенсивности событий триггера, того, сколько времени ушло на разрешение события и какой уровень эскалации потребовался.

2. OCTAVE-S – Operationally Critical Threat, Asset and Vulnerability Evaluation System (SEI). Система OCTAVE-S разработана институтом Software Engineering Institute (SEI) при университете Карнеги Меллон для моделирования поведения оценки рисков в организации. OCTAVE спроектирована на основе методологии информационной безопасности и предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации под собственные нужды, и позволяет поддерживать следующие процессы управления рисками:

• идентификацию критичных информационных активов;

• идентификацию угроз для критичных информационных активов;

• определение уязвимостей, ассоциированных с критичными информационными активами;

• оценку рисков, связанных с критичными информационными активами.

Особенность данной методики заключается в том, что весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов. Для этого создается смешанная группа, включающая как технических специалистов, так и руководителей разного уровня, что позволяет всесторонне оценить последствия возможных инцидентов и разработать контрмеры. В качестве инструмента моделирования и оценки OCTAVE предлагает при описании профиля использовать «деревья вариантов». В доступной базе данных рассматриваются компоненты следующих классов: серверы; сетевое оборудование; СЗИ; персональные компьютеры; домашние персональные компьютеры «надомных» пользователей, работающих удаленно, но имеющих доступ в сеть организации; мобильные компьютеры; системы хранения; беспроводные устройства и связанные с ними риски.

Вся документация по OCTAVE общедоступна и бесплатна, что делает методику особенно привлекательной для предприятий с жестко ограниченным бюджетом.

3. Risk Watch (RiskWatch, Inc). Компания RiskWatch разработала собственную методику анализа рисков и семейство программных средств, в том числе для информационных рисков ИТ-проектов (RiskWatch for Information Systems), и является мощным средством анализа и управления рисками. Программное обеспечение охватывает физические методы защиты ИС, а также информационные риски и служит для оценки требованиям стандарта ISO 17799. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности, которые позволяют вводить в модель системы безопасности новые категории, описания, а также получать качественные и количественные ответы на вопросы безопасности, исходя из данных в системе.

В качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» (Annual Loss Expectancy – ALE) и оценка «возврата от инвестиций» (Return on Investment – ROI). В части оценки рисков система дает возможность устанавливать связи между ресурсами, потерями, угрозами и уязвимостями, рассчитывать математические ожидания потерь с учетом частоты возникновения угрозы риска и стоимость ресурса, который подвергается риску. Дополнительно рассматриваются сценарии «что, если», которые позволяют описать аналогичные ситуации при условии внедрения средств защиты.

Для выявления возможных уязвимостей используется вопросник, база которого содержит более 600 вопросов, связанных с категориями ресурсов. Также задаются частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Для многих видов угроз в системе есть среднегодовые оценки возникновения, которые используются в дальнейшем для расчета эффекта от внедрения средств защиты.

Risk Watch позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении информационной системы предприятия.