- Регистрация
- 30 Июнь 2012
- Сообщения
- 1.524
- Реакции
- 320
- Баллы
- 83
- Возраст
- 65
КОНДОР+ 2.2 программный комплекс проверки политики информационной безопасности компании
[DLMURL]https://www.sec4all.net/kondor.html[/DLMURL] здесь можно скачать демо версию.
Политика информационной безопасности компании является важнейшим нормативным документом, определяющим комплекс мер и требований по обеспечению информационной безопасности бизнеса. Политика безопасности должна описывать реальное положение дел в информационной системе компании и являться обязательным руководством к действию для всего персонала компании. На сегодняшний день общепризнанным стандартом при создании комплексной политики безопасности компании является международный стандарт управления информационной безопасностью ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов.
Digital Security разработала программный продукт КОНДОР+, позволяющий специалистам (ИТ-менеджерам, офицерам безопасности) управлять политикой информационной безопасности компании в соответствии с требованиями ISO 17799.
Разработанный программный комплекс КОНДОР+ включает в себя более двухсот вопросов, ответив на которые, специалист получает подробный отчет о состоянии существующей политики безопасности, а так же модуль оценки уровня рисков соответствия требованиям ISO 17799. В отчете отражаются все положения политики безопасности, которые соответствуют стандарту и все, которые не соответствуют, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Причем, к тем элементам, выполнение которых может вызвать затруднение, даются комментарии и рекомендации экспертов. По желанию специалиста, работающего с программой, может быть выбрана генерация отчета, например, по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству и другие. Все варианты отчетов для большей наглядности сопровождаются диаграммами.
Кроме того, КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта, а также иметь возможность представлять отчеты руководству, свидетельствующие о целесообразности и обоснованности инвестиций в обеспечение безопасности информационной системы компании.
Версия КОНДОР не включает модуль оценки уровня рисков соответствия требованиям ISO 17799.
КОНДОР+ предназначен для проверки информационной системы одной компании. По вопросам приобретения лицензий для работы с информационными системами нескольких компаний свяжитесь с нами по e-mail sec4all@mail.ru.
Отличия версии 2.2
Возможность внесения пользовательского комментария к каждому вопросу. Комментарий с указанием даты и времени его добавления и "привязкой" к соответствующему требованию по желанию пользователя может быть внесен в итоговый отчет по системе.
Редактирование весовых коэффициентов (рисков) требований, заданных по умолчанию (КОНДОР+)
Возможность отменить ответ на вопрос (пометить вопрос как неотвеченный)
Сохранение отчета в форматах PDF, JPEG, WMF
[DLMURL]https://www.sec4all.net/grif.html[/DLMURL]
"ГРИФ" программный комплекс анализа и контроля рисков информационных систем компаний
ГРИФ: Оценка защищенности информационной системы
Одной из задач, которую ставит сегодня современный бизнес перед CIO и СISO, является оценка защищенности информационных ресурсов компании. Руководством большинства компаний сегодня выносится на первый план проблема адекватной информационной защиты и как первый шаг - определение существующего уровня защищенности. Зачастую, самостоятельное решение этой проблемы силами отдела ИТ оказывается достаточно непростым делом в силу целого ряда объективных причин. Одной из задач, решаемых системой ГРИФ, является анализ и получение адекватных оценок защищенности информационной системы, которые ИТ-менеджер может получить самостоятельно без привлечения сторонних экспертов, применяя ГРИФ.
ГРИФ: Формирование бюджета на информационную безопасность
Другой актуальной проблемой, которую ставит бизнес перед отделом ИТ, является проблема формирования адекватного бюджета на информационную безопасность. Сколько денег компании необходимо тратить на защиту своих информационных ресурсов - как оценить затраты на ИБ? Как оптимизировать и минимизировать эти затраты? Как доказать и добиться максимальной эффективности затрат? Весь этот комплекс задач ИТ менеджеру чрезвычайно сложно решить без привлечения сторонних специалистов, так как для ответов на них необходимо провести полноценный анализ рисков. Все эти актуальные на сегодняшний день для ИТ менедежеров задачи решает система ГРИФ, позволяя оптимизировать расходы на информационную безопасность и сформировать требуемый бюджет.
ГРИФ: Обоснование необходимости инвестиций в информационную безопасность компании
По статистике самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:
Ограничение бюджета
Отсутствие поддержки со стороны руководства
Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.
Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным. Для решения данной задачи компанией Digital Security был разработан программный комплекс анализа и контроля рисков ГРИФ.
ГРИФ: Простой и понятный инструмент для ИТ-менеджера
На сегодняшний день представленные на рынке западные аналоги громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний.
Учитывая недостатки существующих систем, мы разработали гибкое и, не смотря на скрытый от пользователя сложнейший алгоритм, учитывающий более ста параметров, максимально простое в использовании программное решение, основная задача которого - дать возможность ИТ менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) убедить ТОП-менеджмент компании в необходимости инвестиций в сферу информационной безопасности компании.
По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности.
ГРИФ: Этапы работы системы
Первый этап
На первом этапе определяется полный список информационных ресурсов, представляющих ценность для компании.
Второй этап
На втором этапе осуществляется ввод в систему всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
Третий этап
На третьем этапе вначале проходит определение всех видов пользовательских групп. Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.
Четвертый этап
На четвертом этапе требуется указать, какими средствами защиты информации защищена ценная информация на ресурсах и рабочие места групп пользователей. Также вводится информация о разовых затраты на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании, куда включаются затраты на годовую зарплата персонала, занимающегося вопросами обеспечения ИБ; обучение персонала по информационной безопасности; услуги в области ИБ сторонних компаний; сертификация в области ИБ, и т.д
Пятый этап
На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков. Применение средств информационной защиты не делает систему защищенной в случае их не адекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.
По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности.
ГРИФ: Отчет по системе
ГРИФ: Отчет состоит из 3 частей.
Первая часть отчета - "Информационные риски ресурсов":
Информационные риски ресурсов по информации и классу угроз
Информационные риски ресурсов по классу угроз
Информационные риски ресурсов суммарные риски по ресурсам
Информационные риски системы по классу угроз
Вторая часть отчета - "Соотношение ущерба и риска":
Ущерб по ресурсам по информации и классу угроз
Ущерб по ресурсам суммарный ущерб по ресурсам
Ущерб и Риск системы по классу угроз
Ущерб и Риск системы
Риск системы и затраты на обеспечение ИБ системы
Третья часть отчета - "Общий вывод о существующих рисках информационной системы":
Максимальные значения риска и ущерба
Недостатки существующей политики безопасности
ГРИФ: версия клиент-сервер
Это решение, предназначенное для корпоративных пользователей, упростит задачу анализа и контроля информационных рисков компании, имеющей разветвленную филиальную сеть. Клиент-серверная версия ГРИФ позволяет каждому ИТ-менеджеру филиала самостоятельно вводить и анализировать данные об информационной системе филиала, отправляя затем информацию на сервер ГРИФ, расположенный в головном офисе компании. На сервере ГРИФ ИТ-директор компании осуществляет ввод данных об информационной системе головного офиса, при этом данные о филиалах добавляются автоматически, что позволяет анализировать информационную систему компании в целом. Данная архитектура системы ГРИФ с распределенным вводом информации и ее централизованной обработкой позволяет, во-первых, снять с ИТ-директора нагрузку, распределив ее по менеджерам филиалов, во-вторых, обеспечить конфиденциальность вводимой информации по каждому филиалу и, в-третьих, уменьшить стоимость развертывания системы ГРИФ относительно обычной версии.
[DLMURL]https://www.sec4all.net/kondor.html[/DLMURL] здесь можно скачать демо версию.
Политика информационной безопасности компании является важнейшим нормативным документом, определяющим комплекс мер и требований по обеспечению информационной безопасности бизнеса. Политика безопасности должна описывать реальное положение дел в информационной системе компании и являться обязательным руководством к действию для всего персонала компании. На сегодняшний день общепризнанным стандартом при создании комплексной политики безопасности компании является международный стандарт управления информационной безопасностью ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов.
Digital Security разработала программный продукт КОНДОР+, позволяющий специалистам (ИТ-менеджерам, офицерам безопасности) управлять политикой информационной безопасности компании в соответствии с требованиями ISO 17799.
Разработанный программный комплекс КОНДОР+ включает в себя более двухсот вопросов, ответив на которые, специалист получает подробный отчет о состоянии существующей политики безопасности, а так же модуль оценки уровня рисков соответствия требованиям ISO 17799. В отчете отражаются все положения политики безопасности, которые соответствуют стандарту и все, которые не соответствуют, а также существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. Причем, к тем элементам, выполнение которых может вызвать затруднение, даются комментарии и рекомендации экспертов. По желанию специалиста, работающего с программой, может быть выбрана генерация отчета, например, по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству и другие. Все варианты отчетов для большей наглядности сопровождаются диаграммами.
Кроме того, КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта, а также иметь возможность представлять отчеты руководству, свидетельствующие о целесообразности и обоснованности инвестиций в обеспечение безопасности информационной системы компании.
Версия КОНДОР не включает модуль оценки уровня рисков соответствия требованиям ISO 17799.
КОНДОР+ предназначен для проверки информационной системы одной компании. По вопросам приобретения лицензий для работы с информационными системами нескольких компаний свяжитесь с нами по e-mail sec4all@mail.ru.
Отличия версии 2.2
Возможность внесения пользовательского комментария к каждому вопросу. Комментарий с указанием даты и времени его добавления и "привязкой" к соответствующему требованию по желанию пользователя может быть внесен в итоговый отчет по системе.
Редактирование весовых коэффициентов (рисков) требований, заданных по умолчанию (КОНДОР+)
Возможность отменить ответ на вопрос (пометить вопрос как неотвеченный)
Сохранение отчета в форматах PDF, JPEG, WMF
[DLMURL]https://www.sec4all.net/grif.html[/DLMURL]
"ГРИФ" программный комплекс анализа и контроля рисков информационных систем компаний
ГРИФ: Оценка защищенности информационной системы
Одной из задач, которую ставит сегодня современный бизнес перед CIO и СISO, является оценка защищенности информационных ресурсов компании. Руководством большинства компаний сегодня выносится на первый план проблема адекватной информационной защиты и как первый шаг - определение существующего уровня защищенности. Зачастую, самостоятельное решение этой проблемы силами отдела ИТ оказывается достаточно непростым делом в силу целого ряда объективных причин. Одной из задач, решаемых системой ГРИФ, является анализ и получение адекватных оценок защищенности информационной системы, которые ИТ-менеджер может получить самостоятельно без привлечения сторонних экспертов, применяя ГРИФ.
ГРИФ: Формирование бюджета на информационную безопасность
Другой актуальной проблемой, которую ставит бизнес перед отделом ИТ, является проблема формирования адекватного бюджета на информационную безопасность. Сколько денег компании необходимо тратить на защиту своих информационных ресурсов - как оценить затраты на ИБ? Как оптимизировать и минимизировать эти затраты? Как доказать и добиться максимальной эффективности затрат? Весь этот комплекс задач ИТ менеджеру чрезвычайно сложно решить без привлечения сторонних специалистов, так как для ответов на них необходимо провести полноценный анализ рисков. Все эти актуальные на сегодняшний день для ИТ менедежеров задачи решает система ГРИФ, позволяя оптимизировать расходы на информационную безопасность и сформировать требуемый бюджет.
ГРИФ: Обоснование необходимости инвестиций в информационную безопасность компании
По статистике самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:
Ограничение бюджета
Отсутствие поддержки со стороны руководства
Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.
Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным. Для решения данной задачи компанией Digital Security был разработан программный комплекс анализа и контроля рисков ГРИФ.
ГРИФ: Простой и понятный инструмент для ИТ-менеджера
На сегодняшний день представленные на рынке западные аналоги громоздки, сложны в использовании и часто не предполагают самостоятельного применения ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний.
Учитывая недостатки существующих систем, мы разработали гибкое и, не смотря на скрытый от пользователя сложнейший алгоритм, учитывающий более ста параметров, максимально простое в использовании программное решение, основная задача которого - дать возможность ИТ менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) убедить ТОП-менеджмент компании в необходимости инвестиций в сферу информационной безопасности компании.
По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности.
ГРИФ: Этапы работы системы
Первый этап
На первом этапе определяется полный список информационных ресурсов, представляющих ценность для компании.
Второй этап
На втором этапе осуществляется ввод в систему всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
Третий этап
На третьем этапе вначале проходит определение всех видов пользовательских групп. Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.
Четвертый этап
На четвертом этапе требуется указать, какими средствами защиты информации защищена ценная информация на ресурсах и рабочие места групп пользователей. Также вводится информация о разовых затраты на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании, куда включаются затраты на годовую зарплата персонала, занимающегося вопросами обеспечения ИБ; обучение персонала по информационной безопасности; услуги в области ИБ сторонних компаний; сертификация в области ИБ, и т.д
Пятый этап
На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков. Применение средств информационной защиты не делает систему защищенной в случае их не адекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.
По окончанию ответов на вопросы раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности.
ГРИФ: Отчет по системе
ГРИФ: Отчет состоит из 3 частей.
Первая часть отчета - "Информационные риски ресурсов":
Информационные риски ресурсов по информации и классу угроз
Информационные риски ресурсов по классу угроз
Информационные риски ресурсов суммарные риски по ресурсам
Информационные риски системы по классу угроз
Вторая часть отчета - "Соотношение ущерба и риска":
Ущерб по ресурсам по информации и классу угроз
Ущерб по ресурсам суммарный ущерб по ресурсам
Ущерб и Риск системы по классу угроз
Ущерб и Риск системы
Риск системы и затраты на обеспечение ИБ системы
Третья часть отчета - "Общий вывод о существующих рисках информационной системы":
Максимальные значения риска и ущерба
Недостатки существующей политики безопасности
ГРИФ: версия клиент-сервер
Это решение, предназначенное для корпоративных пользователей, упростит задачу анализа и контроля информационных рисков компании, имеющей разветвленную филиальную сеть. Клиент-серверная версия ГРИФ позволяет каждому ИТ-менеджеру филиала самостоятельно вводить и анализировать данные об информационной системе филиала, отправляя затем информацию на сервер ГРИФ, расположенный в головном офисе компании. На сервере ГРИФ ИТ-директор компании осуществляет ввод данных об информационной системе головного офиса, при этом данные о филиалах добавляются автоматически, что позволяет анализировать информационную систему компании в целом. Данная архитектура системы ГРИФ с распределенным вводом информации и ее централизованной обработкой позволяет, во-первых, снять с ИТ-директора нагрузку, распределив ее по менеджерам филиалов, во-вторых, обеспечить конфиденциальность вводимой информации по каждому филиалу и, в-третьих, уменьшить стоимость развертывания системы ГРИФ относительно обычной версии.