21 октября, воскресенье 12:46
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Применение програмных продуктов для анализа рисков ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Применение програмных продуктов для анализа рисков ИБ

    Вопрос в следующем:
    Применяют ли специалисты специализированное ПО для анализа рисков (CRAMM/Riskwatch/ГРИФ(ds office)/RA2/vsRISK/MethodWare)?
    Если да, то насколько определенные продукты применимы, в каких условиях?
    И вобще необходима ли автоматизация данного процесса?

  • #2
    вот здесь немного написано на эту тему:
    http://www.iso27000.ru/blogi/aleksan...-ocenki-riskov

    Комментарий


    • #3
      В основном разрабатываются "свои" методики на основе тех что вы перечислили, а также на основе Octave и NIST.
      Если вы ознакомились с методикой и полностью с ней согласны, в этом случае одноимённый программный продукт вам сильно поможет.

      Комментарий


      • #4
        Гриф очень не понравился по части моделирования информационной системы (модель угрозы/уязвимости), очень неудобно..на счет применяемых им методик не могу сказать, сравнивать особо не с чем..ждем DS OFFICE LCM

        Комментарий


        • #5
          Сообщение от barmalei Посмотреть сообщение
          сильно поможет.
          Сильно по затраченному количеству времени?
          Как вы считаете (из опыта) насколько можно сэкономить времязатраты с использоваием ПО, если допустим весь анализ рассчитан на 3 месяца?

          Комментарий


          • #6
            Сообщение от Majestic Посмотреть сообщение
            Гриф очень не понравился по части моделирования информационной системы (модель угрозы/уязвимости), очень неудобно..
            Вы использовали Гриф для оценки?
            Чего не хватает в моделировании, вроде бы всё есть сервера, р/с, сетевое оборудование, привязка к защищаемой информации, даже бизнесс-процессы можно прописать (только больше сними ничего не сделать)?

            Комментарий


            • #7
              Сильно по затраченному количеству времени?
              Как вы считаете (из опыта) насколько можно сэкономить времязатраты с использоваием ПО, если допустим весь анализ рассчитан на 3 месяца?
              2Руслан Бекшенёв Не скажу. Т.к. не покупал ПО. В будущем, когда хорошо обкатаем методику в ручную, можно будет подумать о покупке ПО.
              В вашем примере многое зависит от исходных данных. Купив ПО вы не решите все проблемы. Если вы будете пользоваться зарубежными программными продуктами, вам необходимо будет прочитать их методики(по объему как книга), перевести на русский язык, понять смысл, последовательность действий, составить и утвердить методику на вашем предприятии.
              К примеру ПО от CRAMM вам может очень сильно помочь, если у вас не хватает опыта выставить самому экспертную оценку при управлении рисками. В CRAMM можно воспользоваться опросником, на основании которого будет дана оценка.

              Комментарий


              • #8
                Сообщение от barmalei Посмотреть сообщение
                В основном разрабатываются "свои" методики
                Как считаете ГРИФ это методика? (На мой взгляд есть возможность использовать данный продукт как некий инструмент для занесения данных вне зависимости от выбранной/разработанной методики)

                Комментарий


                • #9
                  Сообщение от barmalei Посмотреть сообщение
                  .. Не скажу. Т.к. не покупал ПО. В будущем, когда хорошо обкатаем методику в ручную, можно будет подумать о покупке ПО.
                  Согласен. У меня имеется в наличии "digital security office 2006", досталась нахаляву . Но пользоваться ей что-то пока желание не возникло. Думаю, разным специалистам требуется разный практический подход, но сначала надо разобраться в теории, а для этого и приходится все делать сначала ручками.

                  Комментарий


                  • #10
                    Сообщение от Руслан Бекшенёв Посмотреть сообщение
                    Вы использовали Гриф для оценки?
                    Чего не хватает в моделировании, вроде бы всё есть сервера, р/с, сетевое оборудование, привязка к защищаемой информации, даже бизнесс-процессы можно прописать (только больше сними ничего не сделать)?
                    Я говорил про модель "угрозы/уязвимости".

                    Вопросов много к этому продукту:

                    Зачем прописывать в конкретную информационную систему конкретные угрозы и уязвимости, не проще ли было бы каждому ресурсу привязывать уже существующие по умолчанию или добавленные угрозы и уязвимости? А то получается двойная работа. Пример: создаю ресурсы, добавляю угрозы (их много, называю их своими именами, например threat_1_1_1), потом добавляю все возможные уязвимости (также называю как-нибудь безлико, потому что по другому нельзя: поле под название очень короткое и описание уязвимости не вместишь). Потом в разделе связи каждому ресурсу привязываю угрозу threat_1_1_1 с уязвимостью vulnerability_1_1_1 (то есть я должен помнить что за угроза или уязвимость скрывается под этими именами(!)). Зачем двойная работа? Из существующего набора угроз и уязвимостей я создаю свой набор!!! Гораздо проще можно было организовать. Я с одним ресурсом устал, а их у меня много, рука тянется к ручке с бумагой.

                    Почему нельзя скопировать уже созданный ресурс, чтобы не делать работу по новой (ресурсы могут иметь одинаковые наборы угроз и уязвимостей)?

                    Почему диски с документацией шли почтой 3,5 месяца?

                    Почему про особенности установки ПО менеджер не проронил ни слова?

                    Почему нет поддержки Висты (у меня она стоит у начальника)? а ответ "В процессе разработки новой версии системы DS Office 2006 было принято решение, что DS Office 2006 будет и дальше существовать в текущей версии как инструмент для решения определенных локальных задач" это мягко говоря отписка.

                    Почему печать отчетов из самой программы дает сбои? А именно печатает столько страниц сколько пожелает нужным, а не все (спасает обыкновенный браузер, ладно хоть отчеты можно открыть в нем).

                    и т.д.

                    p.s. Жду бета-тестирования DS LCM System чтобы покритиковать))))

                    Комментарий


                    • #11
                      Из существующего набора угроз и уязвимостей я создаю свой набор!!!
                      Majestic, а можно ссылочек на ресурсы с максимально большим перечнем угроз?

                      Комментарий


                      • #12
                        medved35-09, речь шла о том, что из существующей базы угроз и уязвимостей в указанном ПО, нужно еще добавить их в создаваемый проект (двойная работа), а это дико неудобно...

                        Модель угроз там вот эта http://dsec.ru/products/grif/fulldes...ugroza_fin.jpg, ну и под них уязвимости...

                        Комментарий


                        • #13
                          Сообщение от Руслан Бекшенёв Посмотреть сообщение
                          И вобще необходима ли автоматизация данного процесса?
                          Необходимость автоматизации возникает, если вам необходимо покрыть данным процессом больше одного подразделения...

                          Предположим, что в оценке участвует несколько человек из разных подразделений. Предположим, что методика табличная в xls.

                          После оценки, сделанной каждым участником, результаты необходимо сводить в единую таблицу, следить, чтобы их оценки не противоречили друг другу и т.п. При росте кол-ва участников трудозатраты по ведению единой таблицы возрастают многократно.
                          Так что автоматизация нужна и желательно, чтоб работало все через web, с разделением ролей, с красивыми отчетами и т.п.

                          Комментарий

                          Пользователи, просматривающие эту тему

                          Свернуть

                          Присутствует 1. Участников: 0, гостей: 1.

                          Обработка...
                          X