Дюжаєв Л.П., к.т.н. доцент; Бугаєнко
В..Ю., магістрант
Національний технічний університет
України
«Київський політехнічний інститут»,
м. Київ, Україна
Захист
інформації є одним з найважливіших аспектів під час конструювання та
налагодження мереж у організації. Для коректної роботи всіх її підрозділів
необхідні безпечні комунікації. Оскільки протягом останніх років
спостерігається тенденція до різкого збільшення загроз несанкціонованого
втручання в роботу інформаційно-телекомунікаційних систем та несанкціонованого
доступу до інформації, яка в них циркулює. Зазначене являє собою реальну
загрозу не тільки для організації , але й національному інформаційному простору
України та у разі неприйняття необхідних заходів може призвести до неможливості забезпечення прав громадян у
цій сфері.
Одним із найбільш складних етапів керування ризиками безпеки інформації є
аналіз , проведення котрого передбачає:
1) ідентифікування ризику (Risk
Identification);
2) визначення якісних (кількісних) оцінок рівнів ризику
(Risk Estimation).
В дипломній роботі приділено увагу
визначенню кількісних оцінок рівнів ризику безпеки інформації. Для цього на
практиці використовуються відповідні програмні засоби , наприклад: RiskWatch,
КЕС, vsRisk, Гриф 2006. В основу їх розроблювання покладено положення
стандартів у сфері безпеки інформації , зокрема ISO/IEC 27001:2005. Як
наслідок, за допомогою означених програмних засобів складно визначити порівнювані
та відтворювані оцінки рівнів ризику.
Метою
дипломної роботи є підвищення ефективності інформаційної безпеки організації
шляхом відмови від затрат на зовнішній аудит (в якості експертної оцінки
захищеності). Створення програмного продукту, що дозволить проводити оцінки
ризику власними силами.
На сьогоднішній день на практиці для визначення оцінок рівнів ризику
використовуються такі програмні засоби: RiskWatch, RA2 art of risk (RA
Software Tool), КЕС керування ІБ “АванГард” (“РизикМенеджер”), Risk Advisor,
vsRisk, OCTAVE, Callio Secura 17799, Гриф 2006, @RISK, Risk PAC, Microsoft
Security Assessment Tool . Найбільш розповсюдженими серед них є :
1.
RiskWatch.
2.
RA2 art of risk.
3. КЕС.
4. Enterprise Risk Assessor.
5. vsRisk, Risk Assessment
Tool.
6. Гриф 2006.
Загальну
характеристику ведучих виробників даного типу програмного продукту можна
окреслити так табл. 1.:
Таблиця 1.
|
Характеристика Програний засіб |
Вартість
ліцензії на 1 АРМ (USD) |
Юзабіліті |
Підтримка
програмного продукту |
Мобільність |
Можливість
внесення змін |
Мова
Інтерфейсу |
|
Risk Watch |
15.000 |
2 |
1 |
1 |
1 |
USA |
|
RA2 art of risk |
1.328 |
5 |
1 |
1 |
1 |
UK |
|
КЕС |
1.235 |
4 |
1 |
1 |
1 |
Рус. |
|
Enterprise Risk Assessor |
940 |
5 |
1 |
1 |
1 |
UK |
|
vsRisk, Risk Assessment Tool |
1.650 |
3 |
1 |
1 |
1 |
UK |
|
Гриф 2006 |
980 |
4 |
1 |
1 |
1 |
Рус. |
Встановлено,
що використання найбільш розповсюджених програмних засобів (RiskWatch, RA2 art of risk, КЕС,
Enterprise Risk Assessor, vsRisk, Risk Assessment Tool, Гриф 2006) передбачає
здебільшого встановлення відповідності або невідповідності вимогам міжнародних
стандартів: ISO/IEC 27001:2005, ISO/IEC 27002:2005, COBIT
IV,
AS/NZS 4360:1999, ISO/IEC
17799, BS 7799-3:2006. При
цьому для визначення оцінок рівнів ризику
використовується порядкова або лінгвістична шкала рівнів і, як наслідок
результати отримані на основі цих шкал не задовольняють вимогам щодо їх
порівнюваності та відтворюваності.
Виконавши огляд існуючих програмних
засобів, можна впевнитися в необхіднсті розробки такого програмного продікту,
що задовольнятиме вимоги інформаційної безпеки. В подальшій роботі буде змінено
підхід визначення рівнів ризику інформаційної безпеки.
Література
1.
Нужен
ли для управления рисками специальный программный инструментарий? [Электронный
ресурс] / Глава 6. Инструментальные средства для управления рисками //
Искусство управления информационными рисками. – Режим доступа: http://анализ-риска.рф/content/nuzhen-li-dlya-upravleniya-riskami-specialnyy-programmnyy-instrumentariy
. – Дата доступа: февраль 2012. – Название с экрана.
2.
Программные продукты для анализа рисков [Электронный
ресурс] / Управление рисками / РУБРИКАТОР
/ Главная // Искусство управления информационными рисками. – Режим
доступу: http://www.iso27000.ru/ informacionnye-rubriki/upravlenie-riskami/programmnye-produkty-dlya-analiza-riskov
. – Дата доступа: февраль 2012. –
Название с экрана.
3.
Современные
методы и средства анализа и контроля рисков информационных систем компаний CRAMM,
RiskWatch и ГРИФ [Электронный ресурс] / И. С. Медведовский // SecurityLab. – Режим доступа: http://www.ixbt.com/cm/
informationsystem-risks012004.shtml . – Дата доступа:
февраль 2012. – Название с экрана.
4.
Исследование программных средств анализа и оценки
риска информационной безопасности / Луцкий
М.Г., Корченко А.Г.,
Иванченко Е.В., Казмирчук С.В. // Научно-технический журнал
«Защита информации». – 2011. – №3. – С. 1-12.
5.
Комплексная
экспертная система управления информационной безопасностью "АванГард"
[Электронный ресурс] / О.А. Бурдин,
А.А. Кононов // Управление информационной безопасностью. – Режим доступа: http://www.emag.iis.ru/arc/infosoc/emag.nsf/0/5b998f309fa7de60c
3256d5700403137?OpenDocument&Click=. – Дата доступа: февраль 2012. – Название с экрана.
6.
Варфоломеев А.А. Управление информационными рисками: Учеб. пособие. – М.: РУДН, 2008. – 158 с.
7.
ГРИФ 2006 из состава Digital Security Office [Электронный ресурс] / Н. Куканова, А.А. Кононов // Digital Security. – Режим доступа: http://www.dsec.ru/about/articles/grif_ar_methods/. – Дата
доступа: март 2012. – Название с экрана.
8.
Визначення
множини законів розподілу ймовірності реалізації загрози безпеці інформації від
величини збитків / В.В. Мохор, В.В.Цуркан // Збірник наукових праць
«Моделювання та інформаційні технології». – 2010. – Вип. 58. – С. 47 – 56.
9.
Підхід до
визначення залежності між імовірністю реалізації загрози безпеці інформації та
величиною збитків за умови недостатності статистичних даних / Р.П. Герасимов,
В.В. Мохор, В.В. Цуркан // ХХХ науково-технічна конференція «Моделювання»,
12-13 січня 2011 р.: тези доповідей. – К.: ПП «Системи, технології,
інформаційні послуги», 2011. – С.