- Mitglied seit
- 30.06.2012
- Beiträge
- 1.524
- Punkte für Reaktionen
- 320
- Punkte
- 83
- Alter
- 65
CONDOR + 2.2 software package for checking the company's information security policy
[DLMURL] https://www.sec4all.net/kondor.html [/ DLMURL] here you can download a demo version.
The company's information security policy is the most important regulatory document that defines a set of measures and requirements for ensuring business information security. The security policy should describe the real situation in the information system of the company and be an obligatory guide to action for all personnel of the company. To date, the universally recognized standard in creating a comprehensive security policy of the company is the international standard for information security management ISO 17799, created in 2000 by the International Organization for Standardization and the International Electrotechnical Commission based on the developments of the British Standards Institute.
Digital Security has developed the CONDOR + software product, which allows specialists (IT managers, security officers) to manage the company's information security policy in accordance with the requirements of ISO 17799.
The developed KONDOR + software package includes more than two hundred questions, to which the specialist receives a detailed report on the status of the existing security policy, as well as a module for assessing the level of risk of compliance with ISO 17799. The report reflects all the provisions of the security policy that comply with the standard and all that do not comply, as well as the existing level of risk of non-compliance with the requirements of the security policy in accordance with the standard. Moreover, to those elements, the implementation of which may cause difficulty, comments and recommendations of experts are given. At the request of a specialist working with the program, report generation can be selected, for example, on any one or several sections of the ISO 17799 standard, a general detailed report with comments, a general report on the status of the security policy without comments for submission to management, and others. All versions of reports are accompanied by diagrams for clarity.
In addition, CONDOR + enables the specialist to monitor changes to the security policy made on the basis of recommendations made, gradually bringing it into full compliance with the requirements of the standard, and also be able to submit reports to management, indicating the feasibility and soundness of investments in ensuring the security of the company's information system.
The CONDOR version does not include a module for assessing the level of risk of compliance with the requirements of ISO 17799.
CONDOR + is designed to test the information system of one company. To purchase licenses for working with information systems of several companies, please contact us by e-mail sec4all@mail.ru .
Differences in version 2.2
Ability to make custom comments on each question. A comment indicating the date and time of its addition and “binding” to the corresponding requirement at the request of the user can be included in the final report on the system.
Editing default weights (risks) of requirements (CONDOR +)
The ability to cancel the answer to the question (mark the question as unanswered)
Saving a report in PDF, JPEG, WMF
[DLMURL] https://www.sec4all.net/grif.html [/ DLMURL]
"GRIF" software package for analysis and risk control of information systems of companies
GRIF: Assessment of information system security
One of the tasks posed by modern business today for CIO and CISO is to assess the security of the company's information resources. The leadership of most companies today highlights the problem of adequate information protection and, as a first step, determining the existing level of security. Often, an independent solution to this problem by the IT department is quite a difficult task for a number of objective reasons. One of the tasks solved by the GRIF system is the analysis and obtaining adequate assessments of the security of the information system, which the IT manager can obtain independently without involving third-party experts using the GRIF.
GRIF: Budgeting for Information Security
Another urgent problem that the business poses before the IT department is the problem of creating an adequate budget for information security. How much money a company needs to spend on protecting its information resources - how to estimate the costs of information security? How to optimize and minimize these costs? How to prove and achieve maximum cost effectiveness? It is extremely difficult for an IT manager to solve this whole range of tasks without the involvement of third-party specialists, since in order to answer them it is necessary to carry out a full risk analysis. All of these current issues for IT managers are solved by the GRIF system, which allows optimizing the costs of information security and creating the required budget.
GRIF: Justification for the need for investment in the information security of the company
According to statistics, the biggest obstacle to taking any measures to ensure information security in the company are two reasons:
Budget cap
Lack of management support
Both reasons arise because the management does not understand the seriousness of the issue and the complexity of the task for the IT manager to justify why it is necessary to invest in information security. It is often believed that the main problem is that IT managers and executives speak different languages - technical and financial, but IT professionals themselves often find it difficult to assess what to spend money on and how much it takes to provide more security for the company’s system so that these costs are not in vain or excessive.
If the IT manager clearly understands how much the company can lose money in the event of threats, which places in the system are most vulnerable, what measures can be taken to increase security and not spend extra money, and all this is documented, then the solution to the problem is convincing management to pay attention and allocate funds to ensure information security is becoming much more real. To solve this problem, Digital Security has developed a software package for analysis and control of the risks of the GRIF.
SUMMARY: A simple and intuitive tool for an IT manager
To date, Western counterparts on the market are cumbersome, difficult to use, and often do not require independent use by IT managers and system administrators responsible for ensuring the security of company information systems.
Considering the shortcomings of existing systems, we have developed a flexible and, despite the complex algorithm hidden from the user, taking into account more than a hundred parameters, the most simple to use software solution, the main task of which is to enable the IT manager to independently (without involving external experts) assess the level of risks in information system, evaluate the effectiveness of existing practices to ensure the security of the company and have the opportunity to convincingly (in numbers) convince the top management of the company of the need for investment in the field of information security of the company.
At the end of the answers to the questions in the "Security Policy" section, a complete model of the information system was formed from the point of view of information security, taking into account the real fulfillment of the requirements of an integrated security policy.
GRIF: System Stages
First step
At the first stage, a complete list of information resources of value to the company is determined.
Second phase
At the second stage, all types of information of value to the company are entered into the system. The entered groups of valuable information should be placed by the user at the information storage facilities (servers, workstations, etc.) indicated at the previous stage. The final phase is an indication of damage for each group of valuable information located on the corresponding resources, for all types of threats.
Third stage
In the third stage, the definition of all kinds of user groups is first carried out. Then it is determined which groups of information on the resources each of the user groups has access to. In conclusion, the types (local and / or remote) and rights (read, write, delete) of user access to all resources containing valuable information are determined.
Fourth stage
At the fourth stage, it is required to indicate by which means of information protection valuable information is protected on resources and workstations of user groups. Information is also introduced about the one-time costs of acquiring all applicable information protection tools and the annual costs of their technical support, as well as the annual costs of maintaining the company's information security system, which includes the annual salary costs of personnel involved in IS issues; staff training on information security; third-party information security services; certification in the field of information security, etc.
Fifth stage
At the final stage, the user must answer a list of questions on the security policy implemented in the system, which allows one to assess the real level of security of the system and detail risk assessments. This stage is necessary to obtain reliable estimates of the risks existing in the system. The use of information security tools does not make the system secure if they are not adequately used and there is no comprehensive security policy that takes into account all aspects of information protection, including issues of organizing protection, physical security, personnel security, business continuity, etc.
At the end of the answers to the questions in the "Security Policy" section, a complete model of the information system was formed from the point of view of information security, taking into account the real fulfillment of the requirements of an integrated security policy.
GRIF: System Report
SUMMARY: The report consists of 3 parts.
The first part of the report is “Information Risks of Resources”:
Information risks of resources by information and class of threats
Information risks of resources by threat class
Information risks of resources total risks by resources
Information risks of the system by threat class
The second part of the report is “Damage to Risk Ratio”:
Damage to resources by information and class of threats
Resource Damage Total Resource Damage
System Damage and Risk by Class of Threat
Damage and Risk System
System risk and system maintenance costs
The third part of the report is “General conclusion about the existing risks of the information system”:
Maximum Risk and Damage Values
Disadvantages of Existing Security Policies
Neck: client-server version
This solution, designed for corporate users, will simplify the task of analyzing and controlling the information risks of a company with an extensive branch network. The client-server version of the GRIF allows each IT manager of the branch to independently enter and analyze data on the information system of the branch, then sending information to the GRIF server located in the head office of the company. On the GRIF server, the IT director of the company enters data on the information system of the head office, while data on branches are added automatically, which allows you to analyze the information system of the company as a whole. This architecture of the GRIF system with distributed input of information and its centralized processing allows, firstly, to remove the burden from the IT director by distributing it among branch managers, secondly, to ensure the confidentiality of the input information for each branch and, thirdly, to reduce the cost Deployment of the GRIF system relative to the regular version.
[DLMURL] https://www.sec4all.net/kondor.html [/ DLMURL] here you can download a demo version.
The company's information security policy is the most important regulatory document that defines a set of measures and requirements for ensuring business information security. The security policy should describe the real situation in the information system of the company and be an obligatory guide to action for all personnel of the company. To date, the universally recognized standard in creating a comprehensive security policy of the company is the international standard for information security management ISO 17799, created in 2000 by the International Organization for Standardization and the International Electrotechnical Commission based on the developments of the British Standards Institute.
Digital Security has developed the CONDOR + software product, which allows specialists (IT managers, security officers) to manage the company's information security policy in accordance with the requirements of ISO 17799.
The developed KONDOR + software package includes more than two hundred questions, to which the specialist receives a detailed report on the status of the existing security policy, as well as a module for assessing the level of risk of compliance with ISO 17799. The report reflects all the provisions of the security policy that comply with the standard and all that do not comply, as well as the existing level of risk of non-compliance with the requirements of the security policy in accordance with the standard. Moreover, to those elements, the implementation of which may cause difficulty, comments and recommendations of experts are given. At the request of a specialist working with the program, report generation can be selected, for example, on any one or several sections of the ISO 17799 standard, a general detailed report with comments, a general report on the status of the security policy without comments for submission to management, and others. All versions of reports are accompanied by diagrams for clarity.
In addition, CONDOR + enables the specialist to monitor changes to the security policy made on the basis of recommendations made, gradually bringing it into full compliance with the requirements of the standard, and also be able to submit reports to management, indicating the feasibility and soundness of investments in ensuring the security of the company's information system.
The CONDOR version does not include a module for assessing the level of risk of compliance with the requirements of ISO 17799.
CONDOR + is designed to test the information system of one company. To purchase licenses for working with information systems of several companies, please contact us by e-mail sec4all@mail.ru .
Differences in version 2.2
Ability to make custom comments on each question. A comment indicating the date and time of its addition and “binding” to the corresponding requirement at the request of the user can be included in the final report on the system.
Editing default weights (risks) of requirements (CONDOR +)
The ability to cancel the answer to the question (mark the question as unanswered)
Saving a report in PDF, JPEG, WMF
[DLMURL] https://www.sec4all.net/grif.html [/ DLMURL]
"GRIF" software package for analysis and risk control of information systems of companies
GRIF: Assessment of information system security
One of the tasks posed by modern business today for CIO and CISO is to assess the security of the company's information resources. The leadership of most companies today highlights the problem of adequate information protection and, as a first step, determining the existing level of security. Often, an independent solution to this problem by the IT department is quite a difficult task for a number of objective reasons. One of the tasks solved by the GRIF system is the analysis and obtaining adequate assessments of the security of the information system, which the IT manager can obtain independently without involving third-party experts using the GRIF.
GRIF: Budgeting for Information Security
Another urgent problem that the business poses before the IT department is the problem of creating an adequate budget for information security. How much money a company needs to spend on protecting its information resources - how to estimate the costs of information security? How to optimize and minimize these costs? How to prove and achieve maximum cost effectiveness? It is extremely difficult for an IT manager to solve this whole range of tasks without the involvement of third-party specialists, since in order to answer them it is necessary to carry out a full risk analysis. All of these current issues for IT managers are solved by the GRIF system, which allows optimizing the costs of information security and creating the required budget.
GRIF: Justification for the need for investment in the information security of the company
According to statistics, the biggest obstacle to taking any measures to ensure information security in the company are two reasons:
Budget cap
Lack of management support
Both reasons arise because the management does not understand the seriousness of the issue and the complexity of the task for the IT manager to justify why it is necessary to invest in information security. It is often believed that the main problem is that IT managers and executives speak different languages - technical and financial, but IT professionals themselves often find it difficult to assess what to spend money on and how much it takes to provide more security for the company’s system so that these costs are not in vain or excessive.
If the IT manager clearly understands how much the company can lose money in the event of threats, which places in the system are most vulnerable, what measures can be taken to increase security and not spend extra money, and all this is documented, then the solution to the problem is convincing management to pay attention and allocate funds to ensure information security is becoming much more real. To solve this problem, Digital Security has developed a software package for analysis and control of the risks of the GRIF.
SUMMARY: A simple and intuitive tool for an IT manager
To date, Western counterparts on the market are cumbersome, difficult to use, and often do not require independent use by IT managers and system administrators responsible for ensuring the security of company information systems.
Considering the shortcomings of existing systems, we have developed a flexible and, despite the complex algorithm hidden from the user, taking into account more than a hundred parameters, the most simple to use software solution, the main task of which is to enable the IT manager to independently (without involving external experts) assess the level of risks in information system, evaluate the effectiveness of existing practices to ensure the security of the company and have the opportunity to convincingly (in numbers) convince the top management of the company of the need for investment in the field of information security of the company.
At the end of the answers to the questions in the "Security Policy" section, a complete model of the information system was formed from the point of view of information security, taking into account the real fulfillment of the requirements of an integrated security policy.
GRIF: System Stages
First step
At the first stage, a complete list of information resources of value to the company is determined.
Second phase
At the second stage, all types of information of value to the company are entered into the system. The entered groups of valuable information should be placed by the user at the information storage facilities (servers, workstations, etc.) indicated at the previous stage. The final phase is an indication of damage for each group of valuable information located on the corresponding resources, for all types of threats.
Third stage
In the third stage, the definition of all kinds of user groups is first carried out. Then it is determined which groups of information on the resources each of the user groups has access to. In conclusion, the types (local and / or remote) and rights (read, write, delete) of user access to all resources containing valuable information are determined.
Fourth stage
At the fourth stage, it is required to indicate by which means of information protection valuable information is protected on resources and workstations of user groups. Information is also introduced about the one-time costs of acquiring all applicable information protection tools and the annual costs of their technical support, as well as the annual costs of maintaining the company's information security system, which includes the annual salary costs of personnel involved in IS issues; staff training on information security; third-party information security services; certification in the field of information security, etc.
Fifth stage
At the final stage, the user must answer a list of questions on the security policy implemented in the system, which allows one to assess the real level of security of the system and detail risk assessments. This stage is necessary to obtain reliable estimates of the risks existing in the system. The use of information security tools does not make the system secure if they are not adequately used and there is no comprehensive security policy that takes into account all aspects of information protection, including issues of organizing protection, physical security, personnel security, business continuity, etc.
At the end of the answers to the questions in the "Security Policy" section, a complete model of the information system was formed from the point of view of information security, taking into account the real fulfillment of the requirements of an integrated security policy.
GRIF: System Report
SUMMARY: The report consists of 3 parts.
The first part of the report is “Information Risks of Resources”:
Information risks of resources by information and class of threats
Information risks of resources by threat class
Information risks of resources total risks by resources
Information risks of the system by threat class
The second part of the report is “Damage to Risk Ratio”:
Damage to resources by information and class of threats
Resource Damage Total Resource Damage
System Damage and Risk by Class of Threat
Damage and Risk System
System risk and system maintenance costs
The third part of the report is “General conclusion about the existing risks of the information system”:
Maximum Risk and Damage Values
Disadvantages of Existing Security Policies
Neck: client-server version
This solution, designed for corporate users, will simplify the task of analyzing and controlling the information risks of a company with an extensive branch network. The client-server version of the GRIF allows each IT manager of the branch to independently enter and analyze data on the information system of the branch, then sending information to the GRIF server located in the head office of the company. On the GRIF server, the IT director of the company enters data on the information system of the head office, while data on branches are added automatically, which allows you to analyze the information system of the company as a whole. This architecture of the GRIF system with distributed input of information and its centralized processing allows, firstly, to remove the burden from the IT director by distributing it among branch managers, secondly, to ensure the confidentiality of the input information for each branch and, thirdly, to reduce the cost Deployment of the GRIF system relative to the regular version.
Original message
КОНДОР+ 2.2 программный комплекс проверки политики информационной безопасности компании
[DLMURL]https://www.sec4all.net/kondor.html[/DLMURL] здесь можно скачать демо версию.
Политика информационной безопасности компании является важнейшим нормативным документом, определяющим комплекс мер и требований по обеспечению информационной безопасности бизнеса. Политика безопасности должна описывать реальное положение дел в информационной системе компании и являться обязательным руководством к действию для всего персонала компании. На сегодняшний день общепризнанным стандартом при создании комплексной политики безопасности компании является международный стандарт управления информационной безопасностью ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов.
Digital Security разработала программный продукт КОНДОР+, позволяющий специалистам (ИТ-менеджерам, офицерам безопасности) управлять политикой информационной безопасности компании в соответствии с требованиями ISO 17799.
Разработанный программный комплекс КОНДОР+ включает в себя более двухсот вопросов, ответив на которые, специалист получает подробный отчет о состоянии существующей политики безопасности, а так же модуль оценки уровня рисков соответствия требованиям ISO 17799. В отчете отражаются все положения политики безопасности, которые соответствуют стандарту и все, которые не соответствуют, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Причем, к тем элементам, выполнение которых может вызвать затруднение, даются комментарии и рекомендации экспертов. По желанию специалиста, работающего с программой, может быть выбрана генерация отчета, например, по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству и другие. Все варианты отчетов для большей наглядности сопровождаются диаграммами.
Кроме того, КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта, а также иметь возможность представлять отчеты руководству, свидетельствующие о целесообразности и обоснованности инвестиций в обеспечение безопасности информационной системы компании.
Версия КОНДОР не включает модуль оценки уровня рисков соответствия требованиям ISO 17799.
КОНДОР+ предназначен для проверки информационной системы одной компании. По вопросам приобретения лицензий для работы с информационными системами нескольких компаний свяжитесь с нами по e-mail sec4all@mail.ru.
Отличия версии 2.2
Возможность внесения пользовательского комментария к каждому вопросу. Комментарий с указанием даты и времени его добавления и "привязкой" к соответствующему требованию по желанию пользователя может быть внесен в итоговый отчет по системе.
Редактирование весовых коэффициентов (рисков) требований, заданных по умолчанию (КОНДОР+)
Возможность отменить ответ на вопрос (пометить вопрос как неотвеченный)
Сохранение отчета в форматах PDF, JPEG, WMF
[DLMURL]https://www.sec4all.net/grif.html[/DLMURL]
"ГРИФ" программный комплекс анализа и контроля рисков информационных систем компаний
ГРИФ: Оценка защищенности информационной системы
Одной из задач, которую ставит сегодня современный бизнес перед CIO и СISO, является оценка защищенности информационных ресурсов компании. Руководством большинства компаний сегодня выносится на первый план проблема адекватной информационной защиты и как первый шаг - определение существующего уровня защищенности. Зачастую, самостоятельное решение этой проблемы силами отдела ИТ оказывается достаточно непростым делом в силу целого ряда объективных причин. Одной из задач, решаемых системой ГРИФ, является анализ и получение адекватных оценок защищенности информационной системы, которые ИТ-менеджер может получить самостоятельно без привлечения сторонних экспертов, применяя ГРИФ.
ГРИФ: Формирование бюджета на информационную безопасность
Другой актуальной проблемой, которую ставит бизнес перед отделом ИТ, является проблема формирования адекватного бюджета на информационную безопасность. Сколько денег компании необходимо тратить на защиту своих информационных ресурсов - как оценить затраты на ИБ? Как оптимизировать и минимизировать эти затраты? Как доказать и добиться максимальной эффективности затрат? Весь этот комплекс задач ИТ менеджеру чрезвычайно сложно решить без привлечения сторонних специалистов, так как для ответов на них необходимо провести полноценный анализ рисков. Все эти актуальные на сегодняшний день для ИТ менедежеров задачи решает система ГРИФ, позволяя оптимизировать расходы на информационную безопасность и сформировать требуемый бюджет.
ГРИФ: Обоснование необходимости инвестиций в информационную безопасность компании
По статистике самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:
Ограничение бюджета
Отсутствие поддержки со стороны руководства
Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.
Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным. Для решения данной задачи компанией Digital Security был разработан программный комплекс анализа и контроля рисков ГРИФ.
ГРИФ: Простой и понятный инструмент для ИТ-менеджера
На сегодняшний день представленные на рынке западные аналоги громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний.
Учитывая недостатки существующих систем, мы разработали гибкое и, не смотря на скрытый от пользователя сложнейший алгоритм, учитывающий более ста параметров, максимально простое в использовании программное решение, основная задача которого - дать возможность ИТ менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) убедить ТОП-менеджмент компании в необходимости инвестиций в сферу информационной безопасности компании.
По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности.
ГРИФ: Этапы работы системы
Первый этап
На первом этапе определяется полный список информационных ресурсов, представляющих ценность для компании.
Второй этап
На втором этапе осуществляется ввод в систему всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
Третий этап
На третьем этапе вначале проходит определение всех видов пользовательских групп. Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.
Четвертый этап
На четвертом этапе требуется указать, какими средствами защиты информации защищена ценная информация на ресурсах и рабочие места групп пользователей. Также вводится информация о разовых затраты на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании, куда включаются затраты на годовую зарплата персонала, занимающегося вопросами обеспечения ИБ; обучение персонала по информационной безопасности; услуги в области ИБ сторонних компаний; сертификация в области ИБ, и т.д
Пятый этап
На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков. Применение средств информационной защиты не делает систему защищенной в случае их не адекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.
По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности.
ГРИФ: Отчет по системе
ГРИФ: Отчет состоит из 3 частей.
Первая часть отчета - "Информационные риски ресурсов":
Информационные риски ресурсов по информации и классу угроз
Информационные риски ресурсов по классу угроз
Информационные риски ресурсов суммарные риски по ресурсам
Информационные риски системы по классу угроз
Вторая часть отчета - "Соотношение ущерба и риска":
Ущерб по ресурсам по информации и классу угроз
Ущерб по ресурсам суммарный ущерб по ресурсам
Ущерб и Риск системы по классу угроз
Ущерб и Риск системы
Риск системы и затраты на обеспечение ИБ системы
Третья часть отчета - "Общий вывод о существующих рисках информационной системы":
Максимальные значения риска и ущерба
Недостатки существующей политики безопасности
ГРИФ: версия клиент-сервер
Это решение, предназначенное для корпоративных пользователей, упростит задачу анализа и контроля информационных рисков компании, имеющей разветвленную филиальную сеть. Клиент-серверная версия ГРИФ позволяет каждому ИТ-менеджеру филиала самостоятельно вводить и анализировать данные об информационной системе филиала, отправляя затем информацию на сервер ГРИФ, расположенный в головном офисе компании. На сервере ГРИФ ИТ-директор компании осуществляет ввод данных об информационной системе головного офиса, при этом данные о филиалах добавляются автоматически, что позволяет анализировать информационную систему компании в целом. Данная архитектура системы ГРИФ с распределенным вводом информации и ее централизованной обработкой позволяет, во-первых, снять с ИТ-директора нагрузку, распределив ее по менеджерам филиалов, во-вторых, обеспечить конфиденциальность вводимой информации по каждому филиалу и, в-третьих, уменьшить стоимость развертывания системы ГРИФ относительно обычной версии.
[DLMURL]https://www.sec4all.net/kondor.html[/DLMURL] здесь можно скачать демо версию.
Политика информационной безопасности компании является важнейшим нормативным документом, определяющим комплекс мер и требований по обеспечению информационной безопасности бизнеса. Политика безопасности должна описывать реальное положение дел в информационной системе компании и являться обязательным руководством к действию для всего персонала компании. На сегодняшний день общепризнанным стандартом при создании комплексной политики безопасности компании является международный стандарт управления информационной безопасностью ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов.
Digital Security разработала программный продукт КОНДОР+, позволяющий специалистам (ИТ-менеджерам, офицерам безопасности) управлять политикой информационной безопасности компании в соответствии с требованиями ISO 17799.
Разработанный программный комплекс КОНДОР+ включает в себя более двухсот вопросов, ответив на которые, специалист получает подробный отчет о состоянии существующей политики безопасности, а так же модуль оценки уровня рисков соответствия требованиям ISO 17799. В отчете отражаются все положения политики безопасности, которые соответствуют стандарту и все, которые не соответствуют, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Причем, к тем элементам, выполнение которых может вызвать затруднение, даются комментарии и рекомендации экспертов. По желанию специалиста, работающего с программой, может быть выбрана генерация отчета, например, по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству и другие. Все варианты отчетов для большей наглядности сопровождаются диаграммами.
Кроме того, КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта, а также иметь возможность представлять отчеты руководству, свидетельствующие о целесообразности и обоснованности инвестиций в обеспечение безопасности информационной системы компании.
Версия КОНДОР не включает модуль оценки уровня рисков соответствия требованиям ISO 17799.
КОНДОР+ предназначен для проверки информационной системы одной компании. По вопросам приобретения лицензий для работы с информационными системами нескольких компаний свяжитесь с нами по e-mail sec4all@mail.ru.
Отличия версии 2.2
Возможность внесения пользовательского комментария к каждому вопросу. Комментарий с указанием даты и времени его добавления и "привязкой" к соответствующему требованию по желанию пользователя может быть внесен в итоговый отчет по системе.
Редактирование весовых коэффициентов (рисков) требований, заданных по умолчанию (КОНДОР+)
Возможность отменить ответ на вопрос (пометить вопрос как неотвеченный)
Сохранение отчета в форматах PDF, JPEG, WMF
[DLMURL]https://www.sec4all.net/grif.html[/DLMURL]
"ГРИФ" программный комплекс анализа и контроля рисков информационных систем компаний
ГРИФ: Оценка защищенности информационной системы
Одной из задач, которую ставит сегодня современный бизнес перед CIO и СISO, является оценка защищенности информационных ресурсов компании. Руководством большинства компаний сегодня выносится на первый план проблема адекватной информационной защиты и как первый шаг - определение существующего уровня защищенности. Зачастую, самостоятельное решение этой проблемы силами отдела ИТ оказывается достаточно непростым делом в силу целого ряда объективных причин. Одной из задач, решаемых системой ГРИФ, является анализ и получение адекватных оценок защищенности информационной системы, которые ИТ-менеджер может получить самостоятельно без привлечения сторонних экспертов, применяя ГРИФ.
ГРИФ: Формирование бюджета на информационную безопасность
Другой актуальной проблемой, которую ставит бизнес перед отделом ИТ, является проблема формирования адекватного бюджета на информационную безопасность. Сколько денег компании необходимо тратить на защиту своих информационных ресурсов - как оценить затраты на ИБ? Как оптимизировать и минимизировать эти затраты? Как доказать и добиться максимальной эффективности затрат? Весь этот комплекс задач ИТ менеджеру чрезвычайно сложно решить без привлечения сторонних специалистов, так как для ответов на них необходимо провести полноценный анализ рисков. Все эти актуальные на сегодняшний день для ИТ менедежеров задачи решает система ГРИФ, позволяя оптимизировать расходы на информационную безопасность и сформировать требуемый бюджет.
ГРИФ: Обоснование необходимости инвестиций в информационную безопасность компании
По статистике самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:
Ограничение бюджета
Отсутствие поддержки со стороны руководства
Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.
Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным. Для решения данной задачи компанией Digital Security был разработан программный комплекс анализа и контроля рисков ГРИФ.
ГРИФ: Простой и понятный инструмент для ИТ-менеджера
На сегодняшний день представленные на рынке западные аналоги громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний.
Учитывая недостатки существующих систем, мы разработали гибкое и, не смотря на скрытый от пользователя сложнейший алгоритм, учитывающий более ста параметров, максимально простое в использовании программное решение, основная задача которого - дать возможность ИТ менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) убедить ТОП-менеджмент компании в необходимости инвестиций в сферу информационной безопасности компании.
По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности.
ГРИФ: Этапы работы системы
Первый этап
На первом этапе определяется полный список информационных ресурсов, представляющих ценность для компании.
Второй этап
На втором этапе осуществляется ввод в систему всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
Третий этап
На третьем этапе вначале проходит определение всех видов пользовательских групп. Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.
Четвертый этап
На четвертом этапе требуется указать, какими средствами защиты информации защищена ценная информация на ресурсах и рабочие места групп пользователей. Также вводится информация о разовых затраты на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании, куда включаются затраты на годовую зарплата персонала, занимающегося вопросами обеспечения ИБ; обучение персонала по информационной безопасности; услуги в области ИБ сторонних компаний; сертификация в области ИБ, и т.д
Пятый этап
На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков. Применение средств информационной защиты не делает систему защищенной в случае их не адекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.
По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности.
ГРИФ: Отчет по системе
ГРИФ: Отчет состоит из 3 частей.
Первая часть отчета - "Информационные риски ресурсов":
Информационные риски ресурсов по информации и классу угроз
Информационные риски ресурсов по классу угроз
Информационные риски ресурсов суммарные риски по ресурсам
Информационные риски системы по классу угроз
Вторая часть отчета - "Соотношение ущерба и риска":
Ущерб по ресурсам по информации и классу угроз
Ущерб по ресурсам суммарный ущерб по ресурсам
Ущерб и Риск системы по классу угроз
Ущерб и Риск системы
Риск системы и затраты на обеспечение ИБ системы
Третья часть отчета - "Общий вывод о существующих рисках информационной системы":
Максимальные значения риска и ущерба
Недостатки существующей политики безопасности
ГРИФ: версия клиент-сервер
Это решение, предназначенное для корпоративных пользователей, упростит задачу анализа и контроля информационных рисков компании, имеющей разветвленную филиальную сеть. Клиент-серверная версия ГРИФ позволяет каждому ИТ-менеджеру филиала самостоятельно вводить и анализировать данные об информационной системе филиала, отправляя затем информацию на сервер ГРИФ, расположенный в головном офисе компании. На сервере ГРИФ ИТ-директор компании осуществляет ввод данных об информационной системе головного офиса, при этом данные о филиалах добавляются автоматически, что позволяет анализировать информационную систему компании в целом. Данная архитектура системы ГРИФ с распределенным вводом информации и ее централизованной обработкой позволяет, во-первых, снять с ИТ-директора нагрузку, распределив ее по менеджерам филиалов, во-вторых, обеспечить конфиденциальность вводимой информации по каждому филиалу и, в-третьих, уменьшить стоимость развертывания системы ГРИФ относительно обычной версии.