Процесс анализа рисков может быть автоматизирован. Для этого украинские компании могут использовать представленные на украинском рынке решения: Risk Watch, “Авангард”, Digital Office, Microsoft Security Assessment Tool.

Risk Watch

Это решение выполняет идентификацию и оценку угроз, уязвимостей, вероятных потерь и средств защиты информации. Система базируется на применении оценок согласно стандарту ISO 17799. Методология состоит из четырёх последовательных шагов.

Определение
На этом шаге производится обзорная идентификация организации — тип организации, тип информационной системы, требования по безопасности. Система содержит 25 категорий ресурсов, 50 категорий угроз, 30 категорий уязвимостей, около 160 контрмер.

Ввод данных
Данные вводятся на основании тестов проникновения и подготовленных отчётов. При этом пользователь сам определяет вес того или иного ресурса, его значение для организации. Также пользователем устанавливается вес той или иной уязвимости.

Оценка
Вычисляется профиль риска и выбираются соответствующие меры защиты. Устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями. После этого проводится оценка инцидентов, компенсация уязвимостей, вычисление ALE (Annual Loss Expectancy, вероятные ежегодные потери). ALE вычисляется как:
e=pv,
где р — вероятность ежегодных потерь, v — стоимость ресурса.

Отчёты
Генерация необходимых отчётов.

В качестве платформы используется Microsoft Windows 9х/2000/ХР.

“Авангард”

Разработанная в Институте системного анализа Российской Академии наук, экспертная система “Авангард” реализует методологию комплексной оценки сложных систем.

В основу методики положен объектно-ориентированный подход, предоставляющий оценку информационной системы путём описания всех объектов, по которым можно идентифицировать угрозы. В качестве объектов могут выступать помещения, локальные сети и компьютеры. При этом каждый объект идентифицируется в двух измерениях — пространственном и функциональном.

После идентификации система строит модели риска информационной системы. Каждая из них идентифицируется событием риска и описанием набора угроз. Оценки вероятности и ущерба дают возможность рассчитать ожидание ущерба.

Типовой пакет “Авангард” включает в себя два программных комплекса: “Авангард- Анализ” и “Авангард-Контроль”. Одной из функций программного обеспечения является возможность построения профилей защиты на основании ГОСТ Р ИСО/МЭК 15408-2002.
Работает под управлением ОС Microsoft Windows.

Digital Office

Программа разработана российской компанией Digital Security. Анализ рисков информационной безопасности осуществляется с помощью построения модели ИТ-системы предприятия.

В результате работы программа предоставляет данные инвентаризации ресурсов, значение риска для каждого ценного ресурса организации, эффективность контрмер, рекомендации экспертов.

В начале работы с программой владелец должен описать архитектуру своей сети, ресурсы, на которых хранится информация, группы пользователей, средства защиты информации.

Исходя из полученных данных программа строит полную модель информационной системы, на основе которой проводится анализ защищённости каждого вида информации на ресурсе.

Microsoft Security Assessment Tool

Средство Microsoft для оценки риска, связанного с безопасностью (MSAT), предназначено для оказания помощи в определении и устранении угроз безопасности в существующей вычислительной среде. В данном средстве реализован целостный подход к оценке стратегии обеспечения безопасности, учитывающий персонал, процессы и технологии.

Кроме полученных результатов приводятся рекомендации по снижению рисков, а также ссылки на дополнительную информацию, которая содержит другие необходимые советы. Эти ресурсы помогут получить дополнительные знания о специальных средствах и методах, позволяющих повысить безопасность среды.

В ходе оценки потребуется ответить на 172 вопроса, разбитых на три категории. Оценка предназначена для выявления риска бизнеса организации и определения мер безопасности, уже предпринятых для его снижения. Внимание в вопросах сосредоточено на общих проблемах отдельных сегментов рынка, что позволило сформулировать вопросы таким образом, чтобы обеспечить качественную оценку рисков, источником которых являются используемые технологии, процессы и персонал.

Профиль риска для бизнеса (ПРБ) создаётся решением на основе серии предварительных вопросов о бизнес-модели, используемой компанией, и таким образом измеряется риск, с которым предприятие сталкивается в конкретной отрасли. Вторая группа вопросов предлагается для составления списка мер безопасности, которые со временем должны быть предприняты компанией. Эти меры безопасности формируют уровни защиты, обеспечивающие надлежащую защиту от угроз безопасности и уязвимых мест в системе. Каждый уровень способствует укреплению комбинированной стратегии эшелонированной защиты. В сумме это рассматривается как индекс эшелонированной защиты (DiDI).

Кроме измерения соотношения угрозы безопасности и методов защиты, средство также измеряет уровень безопасности организации. Уровень безопасности подразумевает развитие высокоэффективных и стабильных методик обеспечения безопасности. При низком значении используется ограниченное число методов защиты, а действия предпринимаются постфактум. При высоком значении практикуются устоявшиеся и проверенные процессы, которые позволяют компании предпринимать упреждающие меры и при необходимости реагировать ещё эффективнее и согласованнее.

Для конкретной среды предложены рекомендации по управлению рисками, учитывающие уже развернутые технологии, текущее состояние безопасности и стратегии эшелонированной защиты.

Данная оценка, включающая вопросы, меры и рекомендации, предназначена для средних предприятий (организаций), в среде которых насчитывается от 50 до 500 настольных компьютеров. Она предполагает защиту областей потенциального риска во всей среде, а не проведение углублённого анализа конкретной технологии или процесса. Как результат, данное средство не рассчитано на измерение эффективности используемых мер безопасности. Таким образом, полученный отчёт следует использовать как предварительное руководство, позволяющее сосредоточить внимание на определённых областях, требующих более пристального изучения.