Обзор подготовлен   CNewsAnalytics

Качественные методики управления рисками

Качественные методики управления рисками

Содержание:

COBRA
RA Software Tool

Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних IT-аудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799–2002.

История развития ISO 17799–2002 началась в 1993 г., когда Министерство торговли Великобритании опубликовало пособие, посвященное практическим аспектам обеспечения информационной безопасности (ИБ).

Пособие оказалось настолько удачным, что его стали использовать администраторы безопасности многих организаций. Позже доработанная версия этого пособия была принята в качестве британского стандарта BS7799 «Практические правила управления информационной безопасностью» (1995).

Стандарт стали применять на добровольной основе не только в Великобритании, но и в других странах. В 1998 году вышла вторая часть стандарта, посвященная вопросам аудита информационной безопасности. В 2000 году был принят международный стандарт ISO 17799, в основу которого был положен BS7799.

В сентябре 2002 года основные положения ISO 17799 были пересмотрены и дополнены с учетом развития современных информационных технологий и требований к организации режима ИБ. Сегодня это наиболее распространенный стандарт во всем мире среди организаций и предприятий, которые используют подобные стандарты на добровольной основе.

Стандарт ISO 17799 содержит две части. В Части 1: Практические рекомендации по управлению информационной безопасностью, 2002 г., определены основные аспекты организации режима информационной безопасности в компании:

  • Политика безопасности.
  • Организация защиты.
  • Классификация и управление информационными ресурсами.
  • Управление персоналом.
  • Физическая безопасность.
  • Администрирование компьютерных систем и сетей.
  • Управление доступом к системам.
  • Разработка и сопровождение систем.
  • Планирование бесперебойной работы организации.
  • Проверка системы на соответствие требованиям ИБ.

Часть 2: Спецификации, 2002 г., рассматривает эти же аспекты с точки зрения сертификации режима информационной безопасности компании на соответствие требованиям стандарта. С практической точки зрения эта часть является инструментом для ИТ-аудитора и позволяет оперативно проводить внутренний или внешний аудит информационной безопасности любой компании.

К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool.

COBRA

Во второй половине 90-х годов компания C & A Systems Security Ltd. разработала одноименные методику и соответствующий инструментарий для анализа и управления информационными рисками под названием COBRA.

Эта методика позволяет выполнить в автоматизированном режиме простейший вариант оценивания информационных рисков любой компании. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799.

Существенно, что при желании перечень учитываемых требований можно дополнить различными требованиями отечественных нормативно-регулирующих органов, например, требованиями руководящих документов (РД) Гостехкомиссии при Президенте РФ.

Методика COBRA представляет требования стандарта ISO 17799 в виде тематических «вопросников» (check list's), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес транзакций компании. Далее введенные ответы автоматически обрабатываются и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.

Тематический сборник вопросов Cobra

Тематический сборник вопросов Cobra

RA Software Tool

Методика и одноименное инструментальное средство RA Software Tool основаны на требованиях международных стандартов ISO 17999 и ISO 13335 (часть 3 и 4), а также на требованиях некоторых руководств британского национального института стандартов (BSI), например, PD 3002 (Руководство по оценке и управлению рисками), PD 3003 (Оценка готовности компании к аудиту в соответствии с BS 7799), PD 3005 (Руководство по выбору системы защиты) и пр.

Основные модули методики RA Software Tool

Основные модули методики RA Software Tool

Эта методика позволяет выполнять оценку информационных рисков (модули 4 и 5) в соответствии с требованиями ISO 17799, а при желании в соответствии с более детальными спецификациями руководства PD 3002 Британского института стандартов.

Сергей Петренко, Сергей Симонов / АйТи

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.

Toolbar | КПК-версия | Подписка на новости  | RSS