224 сочетающий количественные и качественные методы анализа [www.insight.co.uk]. Программный продукт может применяться в больших и мелких организациях, государственных и коммерческих. Методика анализа рисков (АР) содержит три этапа. Па первом этапе решается вопрос о достаточности для защиты объекта средств базового уровня и необходимости детального АР. На втором этапе проводится идентификация рисков и оценивается их величина. На третьем этапе выбираются адекватные меры защиты. На основе этого анализа руководство предприятия принимает решение о внедрении мер защиты. Метод CRAMM широко распространен во всем мире и в России. При использовании его на отечественных предприятиях приходится иметь дело с большим числом вопросов и ответов на английском языке, только на основе анализа ответов строится модель рисков. СУР Risk Watch80 представляет пользователям различные средства АР, управления рисками (УР) и проведения аудита безопасности. В качестве критериев для оценки и управления рисками здесь используется показатель «предсказание годовых потерь» (Annual Loss Expectancy, ALE) и определение прибыли на инвестированный капитал или возраст инвестиций (Return on Investment, ROI). Система Risk Watch достаточно проста в использовании, для российских потребителей ее достоинствами являются малая трудоемкость русификации и гибкость используемой методики. На основе этого программного продукта отечественные пользователи и разработчики могут вводить в модели новые категории, вопросы по системе, создавать собственные подсистемы, учитывающие российские требования, подготавливать ведомственные методики ранжирования и УР. В состав СУР COBRA (Consultative Objective and Bi-functional Risk Analysis)81 входят средства АР, проверки соответствия ИС стандарту ISO 17799, 80 http://www.riskwatch.com 81 http://www.securityanditor.net |
решение следующих задач: проверка достаточности защиты объекта, идентификация рисков и оценка их величины, выбор адекватных мер защиты. Недостатком системы является то, что при ее использовании на отечественных предприятиях приходится иметь дело с большим числом вопросов и ответов на английском языке. В системе Risk Watch [www.riskwatch.com] в качестве критериев для оценки и управления рисками используется показатель «предсказание годовых потерь» (Annual Loss Expectancy, ALE) и определение прибыли на инвестированный капитал или возраст инвестиций (Return on Investment, ROI). Система достаточна проста в использовании, при этом для российских потребителей ее достоинствами являются малая трудоемкость русификации и гибкость используемой методики. На основе этого программного продукта отечественные пользователи и разработчики могут вводить в модели новые категории, вопросы по системе и создавать собственные подсистемы, учитывающие российские требования. Система СУР COBRA (Consultative Objective and Bi-functional Risk Analysis) [www.securityanditor.net] содержит средства анализа рисков, проверки соответствия информационной системы стандарту ISO 17799, количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности, разработанные на основе принципов построения экспертных систем (ЭС). В настоящее время создано большое число экспертных систем для различных областей применения. Учитывая особенности предприятий газовой отрасли, в частности факторы —пожаровзрывоопасность, финансовая деятельность, непрерывное развитие, сложность технологических процессов, экология и др., ЭС данной отрасли должны выполнять функции, присущие системам из различных отраслей. Например, экспертная система «АванГард» [www.isprotection.da.ru], созданная в Институте системного анализа РАН, имеет две модификации: «АванГард-Анализ» для проведения анализа рисков и «АванГард-Контроль» 38 |