РискМенеджер

Возможен ли тотальный контроль рисков и безопасности?

C РискМенеджером – ДА!

Система автоматизации управления рисками, аудита, контроля, мониторинга безопасности банковских и других критических систем, инфраструктур и бизнес-процессов  

Автоматизация построения моделей угроз, моделей защиты и обоснования расходов на безопасность

Система «РискМенеджер-Анализ» автоматизирует:

·       Построение моделей угроз, моделей событий рисков, оценки рискообразующих потенциалов угроз, объектов, организационных структур, бизнес-процесов;

·       Построение моделей защиты, моделей влияния средств защиты на изменение безопасности системы, расчета рископонижающих потенциалов мер защиты, выбора наиболее эффективных комплексов мер защиты по критерию эффективность-стоимость;

·       Расчет рисков нарушения безопасности, расчет остаточных рисков после применения возможных вариантов комплексов мер защиты;

·       Контроль качества требований к безопасности системы на актуальность, полноту, непротиворечивость; отсутствие дублирования, влияния на  конкурентоспособность организации и обоснование внесения  изменений в системы требований к безопасности. 

Автоматизация построения профилей защиты, контроля выполнения требований, оценки рисков невыполненных требований

Система «РискМенеджер-Контроль» автоматизирует:

·       Разработку профилей защиты и систем требований на основе любой нормативной и законодательной базы;

·       Построение структурных моделей систем любой сложности, позволяющих контролировать безопасность в каждой точке технологического или бизнес-процесса, в каждой структуре на каждом рабочем месте;

·       Доведение требований до отдельных структурных единиц организации, где бы они не находились;

·       Сбор данных о выполнении требований ото всех структурных единиц из любых регионов;

·       Оценку рисков невыполнения требований, выявление источников формирования рисков и узких мест в обеспечении безопасности.

Проблемы, которые позволяет решать система РискМенеджер

·          Контроль и информированность о выполнении требований по безопасности. Полная картина состояния безопасности.

·          Быстрое усвоение исполнителями требований по безопасности.

·          Преодоление тенденций к оптимизации за счет невыполнения требований по безопасности.

·          Повышение дисциплины выполнения требований во всех подразделениях.

·          Усиление самоконтроля за выполнением требований, в том числе, за счет наличия полных и исчерпывающих списков требований на каждом рабочем месте и осуществления периодического контроля их выполнения.

·          Быстрое реагирование на появление новых угроз путем оперативного доведения  требований до исполнителей.

·          Готовность к любым внешним проверкам по безопасности.

·          Получение инструмента выбора и обоснования комплексов мер в области обеспечения безопасности.

·          Повышение качества инспекционного контроля и сокращение затрат на инспекционный контроль.

·          Обеспечение полноты требований. Устранение избыточности и противоречивости требований.

РискМенеджер

От автоматизации построения моделей угроз, профилей защиты и оценки рисков к тотальному контролю за безопасностью

Автоматизация поддержки применения Стандартов Банка России:

·       СТО БР ИББС-1.0. “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности;

·       “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0”;

·       Рекомендации в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0”;

·       Рекомендации в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0”.

Незаменимый инструмент для проведения самооценки информационной безопасности

Из СТО БР ИББС-1.1-2007. ОБЕСПЕЧЕНИЕ  ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Дата введения: 2007-05-01:

«8.1. Хорошей практикой проверки уровня ИБ и подготовки к аудиту ИБ организации БС РФ является самооценка ИБ. Самооценка ИБ проводится на основе принятых в организации БС РФ документов и методик.

С помощью самооценки ИБ организации БС РФ могут самостоятельно оценить соответствие ИБ критериям аудита и провести анализ недостатков системы обеспечения ИБ организации БС РФ.

Результаты самооценки ИБ могут служить основанием для устранения выявленных недостатков системы обеспечения ИБ до проведения аудита ИБ в организации БС РФ.

8.2. Самооценка ИБ может проводиться в рамках программы аудита ИБ, разработанной в организации БС РФ.

8.3. Результаты самооценки ИБ не могут служить декларацией о соответствии критериям аудита ИБ.»

Инструмент, с помощью которого можно проводить аудит, мониторинг, контроль и самооценку безопасности организации и бизнес-процессов по любому стандарту

Включая:

ГОСТ Р ИСО/МЭК 15408-2002 "Общие критерии оценки безопасности информационных технологий".

Международный стандарт ISO 17799. Информационные технологии – Практические правила управления информационной безопасностью;

Международный стандарт ISO/IEC 27001:2005 «Системы менеджмента информационной безопасности. Требования».

БД требований по стандартам и нормативным документам для использования их в системе «РискМенеджер» постоянно наращиваются.

            Многие организации предпочитают выстраивать свои системы требований. Система «РискМенеджер» позволяет определять требования для каждой используемой технологии, для каждой организационной структуры, для каждого бизнес-процесса, для каждой точки бизнес-процесса, для каждого рабочего места и контролировать выполнение каждого из этих требований.

            В разработке системы требований вашей организации  вам может помочь группа внедрения и сопровождения системы «РискМенеджер».