7
необходимо построить полную модель информационной системы с точки зрения ИБ.
Для решения этой задачи ГРИФ, в отличие от представленных на
рынке западных
систем анализа рисков, которые громоздки, сложны в использовании и часто не
предполагают самостоятельного применения ИТ-менеджерами и системными
администраторами, ответственными за обеспечение безопасности информационных
систем
компаний, обладает простым и интуитивно понятным для пользователя
интерфейсом. Однако за внешней простотой скрывается сложнейший алгоритм
анализа рисков, учитывающий более ста параметров, который позволяет на выходе
дать максимально точную оценку существующих в информационной системе рисков,
основанную на глубоком анализе особенностей практической реализации
информационной системы. Основная задача системы ГРИФ –
дать возможность ИТ-
менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень
рисков в информационной системе, оценить эффективность существующей практики
по обеспечению безопасности компании и иметь возможность доказательно (в
цифрах) убедить топ-менеджмент компании в необходимости инвестиций в сферу
информационной безопасности компании [2].
1.1. На первом этапе система ГРИФ проводит опрос ИТ-менеджера с целью
определения полного списка информационных ресурсов, представляющих ценность
для компании.
1.2. На втором этапе проводится опрос ИТ-менеджера с
целью ввода в систему
ГРИФ всех видов информации, представляющей ценность для компании. Введенные
группы ценной информации должны быть размещены пользователем на ранее
указанных на предыдущем этапе объектах хранения информации (серверах, рабочих
станциях и так далее). Заключительная фаза – указание ущерба по каждой группе
ценной информации, расположенной на соответствующих ресурсах, по
всем видам
угроз.
8
Рис.1. Интерфейс программного комплекса Гриф. Вкладка «Информация».
1.3. На третьем этапе вначале проходит определение всех видов пользовательских
групп (и число пользователей в каждой группе). Затем определяется, к каким группам
информации на ресурсах имеет доступ каждая из групп пользователей. В заключение
определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление)
доступа пользователей ко всем ресурсам, содержащим ценную информацию.
1.4. На четвертом этапе проводится опрос ИТ-менеджера для определения средств
защиты информации, которыми защищена ценная информация на ресурсах. Кроме
того, в систему вводится информация о разовых затратах на приобретение всех
применяющихся средств защиты информации и
ежегодные затраты на их
техническую поддержку, а также ежегодные затраты на сопровождение системы
информационной безопасности компании.
9
Рис. 2. Интерфейс программного комплекса Гриф. Вкладка «Средства защиты».
1.5. На завершающем этапе пользователь должен ответить на список вопросов по
политике безопасности, реализованной в системе, что
позволяет оценить реальный
уровень защищенности системы и детализировать оценки рисков.
Наличие средств информационной защиты, отмеченных на первом этапе, само по
себе еще не делает систему защищенной в случае их неадекватного использования и
отсутствия комплексной политики безопасности, учитывающей все аспекты защиты
информации, включая
вопросы организации защиты, физической безопасности,
безопасности персонала, непрерывности ведения бизнеса и так далее.
В результате выполнения всех действий по данным этапам на выходе
сформирована полная модель информационной системы с точки зрения
информационной безопасности с учетом реального выполнения требований
комплексной политики безопасности, что позволяет перейти к программному анализу
введенных данных для получения комплексной оценки рисков и формирования
итогового отчета.
1.6. Отчет по системе
представляет собой подробный, дающий полную картину