Анкета оценки защищенности организации.

Методы оценки рисков. Cramm и Risk Watch

Стоимость.

Оба метода имеют высокую стоимость лицензии (от $15 000 за одно рабочее место для небольшой компании и от $125 000 за корпоративную лицензию)

Функиональность

а) Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Внесение дополнений в базу знаний CRAMM недоступно пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации. В основе CRAMM, в котором сочетаются количественные и качественные методы анализа, лежит комплексный подход к оценке рисков. CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.

б) В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

- RiskWatch for Physical Security — для физических методов защиты ИС;

- RiskWatch for Information Systems — для информационных рисков;

- HIPAA-WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA;

- RiskWatch RW17799 for ISO17799 — для оценки требованиям стандарта ISO17799.

Эффективность

а) Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

б) RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Типы отчетов: отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз; отчет об угрозах и мерах противодействия; отчет о результатах аудита безопасности.

Применяемость в России

Оба метода существую только на английском языке. В случае низкого уровня знания языка, неэффективны в РФ. Существует русский метод оценки рисков ГРИФ.

Применяемость за рубежом

а) В настоящее время CRAMM — это довольно мощный и универсальный инструмент для проведения аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Information Security Management BS7799;

б) Risk Watch широко применяется в США.

Анкета оценки защищенности организации.

На вопросы следует отвечать да или нет.

1. Имеет ли организация собственный отдел службы безопасности?

2. Ведет ли организация перечень защищаемых документов и информации, с постоянным его обновлением?

3. Имеет ли организация систему разграничения доступа к защищаемой информации?

4. Проводится ли аттестации помещений и оборудования, выделенных для работы с конфиденциальной информацией?

5. Имеется ли предписание действий персонала в экстремальных ситуациях?

6. Имеются ли предписания действий персонала во время обработки и хранения конфиденциальных документов.

7. Имеется ли в помещении системы видеонаблюдения?

8. Имеется ли в помещении системы пожарной сигнализации?

9. Имеются ли в помещении системы охранной сигнализации?

10. Имеет ли организация системы охраны периметра?

11. Оборудование, используемое для охраны помещения, имеет лицензию?

12. Имеются средства подавления эфирной (сотовой) связи?

13. Имеет ли организация системы мониторинга линий связи?

14. Имеет ли организация установленные лицензионные антивирусные программы?

15. Имеет ли организация программные средства архивации данных?

16. Имеет ли организация средства идентификации и аутентификации пользователей?

17. Имеет ли организация криптографические средства защиты информации?

18. Имеет ли организация программное разграничение доступа к вычислительным ресурсам и информации?

19. Имеет ли организация систему резервного копирования данных?

20. Имеет ли организация систему автономного восстановления данных в случае возникновения экстремальной ситуации?

Поиск по сайту: