Сергей Авдошин - Информатизация бизнеса. Управление рисками

• проведение обследования используемой/внедряемой ИТ и выпуск сопроводительной документации на всех этапах его проведения;

• проведение аудита на основе стандарта безопасности информации BS 7799:1995;

• разработку политики безопасности и плана обеспечения непрерывности бизнеса.

CRAMM является универсальным методом и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles).

5. КОНДОР+ ( Digital Security ). Программный продукт позволяет менеджерам ИТ-проектов проверить политику информационной безопасности компании на соответствие требованиям ISO 17799. КОНДОР+ включает в себя более 200 вопросов, ответив на которые специалист получает подробный отчет о состоянии существующей политики безопасности, а также модуль оценки уровня рисков соответствия требованиям ISO 17799.

В отчете отражаются все положения политики безопасности, которые соответствуют и не соответствуют стандарту, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Элементам, которые не выполняются, даются комментарии и рекомендации экспертов. По желанию специалиста, работающего с программой, могут быть выбраны генерация отчета, например по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству. Все варианты отчетов для большей наглядности сопровождаются диаграммами.

КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта, а также иметь возможность представлять отчеты руководству, свидетельствующие о целесообразности и обоснованности инвестиций в обеспечение безопасности информационной системы компании. К недостаткам системы можно отнести отсутствие возможности установки пользователем веса на каждое требование и внесения пользователем комментариев.

6. Отечественные программно-инструментальные комплексы «Управление рисками», «Уязвимость», «Анализ безопасности» (в составе комплекса «Моделирование процессов в жизненном цикле систем – ноу-хау», свидетельство Роспатента № 2004610858) и «Программно-вычислительный комплекс оценки качества производственных процессов» (свидетельство Роспатента № 2010614145) – см. рис. 28–35. Дружественный пользовательский интерфейс делает работу с комплексами удобной и доступной практически любому пользователю.

Рис. 28. Заставка комплекса «УПРАВЛЕНИЕ РИСКАМИ»

Комплексы базируются на применении математических методов и моделей, согласно требованиям системообразующих стандартов (ГОСТ Р ИСО 9001 «Системы менеджмента качества. Требования», ГОСТ Р ИСО/МЭК 15288 «Системная инженерия – Процессы жизненного цикла систем», ГОСТ Р ИСО/МЭК 12207 «Системная и программная инженерия – Процессы жизненного цикла программных средств», ГОСТ Р ИСО/МЭК 16085 «Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения», ISO/IEC 31000 «Риск-менеджмент. Принципы и руководства» и др.), в том числе в процессе разработки проекта и системы, при проведении контроля, аудита и сертификации. Применение комплексов обеспечивает аргументированное решение следующих научно-технических задач: организация эффективных систем менеджмента качества на предприятиях; обоснование системотехнического облика и количественных требований технического задания к характеристикам систем, технологиям их создания и функционирования, к квалификации разработчиков и пользователей; оценка и обоснование технических решений, анализ и снижение рисков при управлении проектами; исследование вопросов защищенности систем от потенциальных угроз безопасности (в том числе информационной безопасности), выявление «узких мест» и уязвимостей систем и рациональных путей их устранения с указанием условий, когда это принципиально возможно, и др.

Рис. 29. Исходная форма для выбора моделей

Рис. 30. Заставка комплекса «УЯЗВИМОСТЬ»

Рис. 31. Исходная форма для выбора моделей

Рис. 32. Заставка комплекса «АНАЛИЗ БЕЗОПАСНОСТИ»

Рис. 33. Исходная форма для выбора моделей

Рис. 34. Заставка ПВК для оценки качества производственных процессов

Рис. 35. Исходная форма для выбора моделей

Десятки расчетных примеров, приведенные в монографиях [10], [11], доказывают практичность этих комплексов для управления качеством и рисками (при анализе безотказности функционирования сложных систем, конструируемых из ненадежных элементов; управлении своевременностью представления, полнотой и достоверностью информации; сравнении защищенности информации в открытой и закрытой сетях; прогнозировании качества функционирования информационных систем; выборе рациональных способов построения и модернизации систем теплоснабжения; оценке человеческого фактора; анализе технологических процессов, управлении рисками в опасном производстве и оценке эффективности методов неразрушающего контроля; анализе экологической безопасности; прогнозировании безопасности функционирования трубопроводов; анализе уязвимости морских нефтегазодобывающих систем; выработке рекомендаций по повышению защищенности важных наземных объектов и др.).

Рассмотрим сравнительные характеристики специализированных систем в области управления рисками для реализации программных проектов, которые представлены в табл. 11.