Одной из задач, которую ставит сегодня современный бизнес перед CIO и СISO, является оценка защищенности информационных ресурсов компании. Руководством большинства компаний сегодня выносится на первый план проблема адекватной информационной защиты и как первый шаг - определение существующего уровня защищенности. Зачастую, самостоятельное решение этой проблемы силами отдела ИТ оказывается достаточно непростым делом в силу целого ряда объективных причин. Одной из задач, решаемых системой ГРИФ, является анализ и получение адекватных оценок защищенности информационной системы, которые ИТ-менеджер может получить самостоятельно без привлечения сторонних экспертов, применяя ГРИФ.

ГРИФ: Формирование бюджета на информационную безопасность

Другой актуальной проблемой, которую ставит бизнес перед отделом ИТ, является проблема формирования адекватного бюджета на информационную безопасность. Сколько денег компании необходимо тратить на защиту своих информационных ресурсов - как оценить затраты на ИБ? Как оптимизировать и минимизировать эти затраты? Как доказать и добиться максимальной эффективности затрат? Весь этот комплекс задач ИТ менеджеру чрезвычайно сложно решить без привлечения сторонних специалистов, так как для ответов на них необходимо провести полноценный анализ рисков. Все эти актуальные на сегодняшний день для ИТ менедежеров задачи решает система ГРИФ, позволяя оптимизировать расходы на информационную безопасность и сформировать требуемый бюджет.

ГРИФ: Обоснование необходимости инвестиций в информационную безопасность компании

По статистике самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:

1. Ограничение бюджета
2. Отсутствие поддержки со стороны руководства

Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным. Для решения данной задачи компанией Digital Security был разработан программный комплекс анализа и контроля рисков ГРИФ.

ГРИФ: Простой и понятный инструмент для ИТ-менеджера

На сегодняшний день представленные на рынке западные аналоги громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний.

Учитывая недостатки существующих систем, мы разработали гибкое и, не смотря на скрытый от пользователя сложнейший алгоритм, учитывающий более ста параметров, максимально простое в использовании программное решение, основная задача которого - дать возможность ИТ менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) убедить ТОП-менеджмент компании в необходимости инвестиций в сферу информационной безопасности компании.

По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности.

ГРИФ: Этапы работы системы

Первый этап
На первом этапе определяется полный список информационных ресурсов, представляющих ценность для компании.

Второй этап
На втором этапе осуществляется ввод в систему всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.

Третий этап
На третьем этапе вначале проходит определение всех видов пользовательских групп. Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.

Четвертый этап
На четвертом этапе требуется указать, какими средствами защиты информации защищена ценная информация на ресурсах и рабочие места групп пользователей. Также вводится информация о разовых затраты на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании, куда включаются затраты на годовую зарплата персонала, занимающегося вопросами обеспечения ИБ; обучение персонала по информационной безопасности; услуги в области ИБ сторонних компаний; сертификация в области ИБ, и т.д

Пятый этап
На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков. Применение средств информационной защиты не делает систему защищенной в случае их не адекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.

По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности.

ГРИФ: Отчет по системе

ГРИФ: Отчет состоит из 3 частей.

Первая часть отчета - "Информационные риски ресурсов":

• Информационные риски ресурсов по информации и классу угроз
   
• Информационные риски ресурсов по классу угроз
   
• Информационные риски ресурсов суммарные риски по ресурсам
   
• Информационные риски системы по классу угроз

Вторая часть отчета - "Соотношение ущерба и риска":

• Ущерб по ресурсам по информации и классу угроз
   
• Ущерб по ресурсам суммарный ущерб по ресурсам
   
• Ущерб и Риск системы по классу угроз
   
• Ущерб и Риск системы
   
• Риск системы и затраты на обеспечение ИБ системы

Третья часть отчета - "Общий вывод о существующих рисках информационной системы":

• Максимальные значения риска и ущерба
   
• Недостатки существующей политики безопасности