Рис. 24
Можно добавить угрозу из числа определенных. При добавлении указывается уязвимость, через которую угроза действует на ресурс.
При использовании алгоритма «Анализ модели угроз и уязвимостей» нет раздела «Политика безопасности».
2.4. КОНДОР
КОНДОР – система разработки и управления политикой безопасности ИС компании (рис. 25) на основе стандарта ГОСТ 177992005.
Система КОНДОР состоит из практически всех положений стандарта ГОСТ 17799-2005, сформулированных в виде вопросов, от-
31
вечая на которые, получаешь полную картину – какие в системе положения выполняются, а какие нет.
У каждого положения стандарта задан по умолчанию вес требования V(1–100), который характеризует степень критичности данного положения для поддержания необходимого уровня защищенности (значение веса можно изменить).
Рис. 25
Отношение суммы весов невыполненных в компании требований к сумме всех требований стандарта – риск невыполнения требований в компании (R) .
|
n |
|
|
|
|
|
∑Vневып.,i |
|
n |
|
|
R = |
i=1 |
, V |
= ∑V . |
||
Vmax |
|||||
|
max |
i=1 |
i |
||
32
Для анализа дальнейших действий после ответа на вопросы предусмотрен модуль управления рисками. В нем отражаются все невыполненные положения политики безопасности. Можно задать пороговое значение весов, для отображались наиболее критичные невыполненных положений стандарта. После задания контрмеры к невыполненному положению видно соотношение стоимости данной контрмеры и изменения значения риска. Таким образом, можно расставить приоритеты и заранее оценить эффективность планируемых мероприятий при разработке или работе с уже существующей политикой информационной безопасности компании.
Пользователь создает новый проект аудита, затем новый период аудита, затем отвечает на вопросы разделов.
•текст выполненных и невыполненных требований с указанием их количества;
•уровень риска невыполнения требований стандарта по своей системе и по каждому разделу;
•затраты на контрмеры в целом по системе и по каждому раз-
делу.
Для конфигурации отчёта нужно настроить параметры создаваемого отчёта (рис. 26). В окне «Период отчёта» нужно указать, какой отчёт необходимо создать: по периоду или по проекту, выбрать разделы, которые войдут в отчёт, состав отчёта и форму отчёта.
Рис. 26
33