Вебинар по продукту ISM Revision: Risk Manager

Принял сегодня участие в вебинаре от компании ISM Systems по их новому продукту ISM Revision: Risk Manager, о чем и хотел с вами поделиться. 

В рамках вебинара разрабочики представили свой новый продукт, показали его интерфейс и прошлись по основным шагам, необходимым для оценки рисков ИБ. Запись вебинара обещали выложить в свободный доступ.

Итак, основные моменты по представленному продукту Risk Manager:

Основы разработки методологии для этого продукта:

• РС БР ИББС-2.2-2009
• ISO 27005,
• ОCTAVE,
• NIST.

В системе уже есть заранее проработанная со стороны разработчиков и внесенная в систему аналитика, которая может использоваться при проведении оценки рисков, что сокращает временные затраты на проведение оценки рисков. Среди такой аналитики:

• критерии оценки ущерба,
• перечень типовых информационных активов,
• перечень нарушителей,
• перечень угроз и способов реализации угроз,
• перечень предпосылок реализации угроз,
• перечень защитных мер.

При этом остается возможность самостоятельной настройки системы и добавления дополнительный сведений, присущих конкретной организации.

Основные шаги оценки рисков с помощью продукта: 

• определение параметров оценки рисков (критерии оценки, уровень допустимого рисков);
• определение области оценки рисков (перечень информационных активов, объекты среды, оценка ценности информационных активов);
• определение угроз ИБ (предпосылки реализации угроз, источники угроз);
• оценка вероятности реализации угроз и степени тяжести последствий реализации угроз; 
• определение уровня рисков ИБ (качественные и количественные оценки);
• составление плана обработки рисков ИБ;
• формирование отчетной документации по результатам оценки рисков ИБ.

Из заложенных в систему отчетов:

• Перечень информационных активов;
• Перечень объектов среды;
• Протокол утверждения критериев оценки рисков;
• Сводный и детализированный реестры рисков;
• План обработки рисков.

Из прочего интересного: 

• Способы реализации угроз разделены исходя из затрагиваемых свойств ИБ: конфиденциальности, целостности, доступности. Т.е. когда мы оцениваем угрозы, то фокусируемся на конкретных последствиях с точки зрения К, Ц и Д. 
• Процесс оценки рисков организуется применительно к группам объектов среды, в качестве которых может выступать информационные системы, АБС, территориальные подразделения или другие сущности, которыми удобно оперировать пользователю при оценки рисков. Исходя из выбранной детализации групп объектов среды можно получить необходимую детализацию оценки рисков ИБ.
• Заложена автоматизация расчетов СТП реализации угроз исходя из ценности информационных активов, обрабатываемых в рамках оцениваемой группы объектов среды.
• Заложена автоматизация расчетов СВР угроз исходя из актуальных предпосылок, источников угроз и применяемых защитных мерах. В системе предусмотрены и уже проставлены коэффициенты по защитным мерам и по источникам угроз, влияющие на  расчет СВР, при этом их можно изменять самому + менять итоговую оценку применительно к каждому конкретному риску ИБ.
• Наличие двух режимов работы с системой: мастера и экспертного режима.
• Импорт/экспорт результатов оценок.

Таковы основные моменты, полученные из прошедшего вебинара. Более подробно возможности продукта можно будет оценить после тестирования демо версии этого продукта, которую разработчики обещали предоставить после вебинара по запросу на адрес - sales@ismsys.ru.

Относительно цены решения - была озвучена только стоимость максимального пакета, включающего ПО, обучение двух специалистов и пакет шаблонов ОРД по оценке рисков ИБ - порядка 270 тыс. руб. За более подробной информацией завернули опять таки на sales@ismsys.ru.

Еще один момент, который хотел бы отметить - разработчики ISM Systems анонсировали в рамках вебинара разработку с их стороны продукта по автоматизации оценки соответствия выполнения требований по защите информации при осуществлении переводов денежных средств в соответствии с Положеним Банка России 382-П.

upd:
Появилась запись прошедшего вебинара: 

Источник - Блог компании ISM SYSTEMS.