Програмний комплекс COBRA

Програмний продукт для аналізу і управління ризиками COBRA [12], виробник - С & A Systems Security Ltd., дозволяє формалізувати і прискорити процес перевірки на відповідність режиму інформаційної безпеки вимогам Британського стандарту BS 7799 (ISO 17799) і провести простий аналіз ризиків. Є декілька баз знань: загальні вимоги BS 7799 (ISO 17799) і спеціалізовані бази, орієнтовані на різні сфери застосування. Доступна демонстраційна версія цього програмного забезпечення (ПЗ).

COBRA дозволяє представити вимоги стандарту у вигляді тематичних «запитальників» по окремих аспектах діяльності організації. На першому етапі його використання вступає в роботу "Question Module" — Модуль відповідей на питання, який містить набір питань, розділених на групи відповідно до структури стандарту ISO 17799: безпека персоналу, політика безпеки, управління доступом, планерування безперервної роботи і тому подібне (рис. 4.1).

Рисунок 4.1 – Приклади питань, які використовуються для аналізу стану інформаційної безпеки системою "COBRA"

На основі введеної таким чином інформації може бути отриманий звіт про стан інформаційної безпеки і міри її відповідності вимогам стандарту. Зокрема, такий звіт може складатися з п'яти основних розділів:

¾ Ввідна частина

¾ Перелік основних напрямів роботи, підданих перевірці

¾ Оцінка рівня невідповідностей

¾ Перелік організаційних заходів, реалізація яких необхідна для виконання вимог стандарту

¾ Перелік поставлених питань і даних на них відповідей

Окрім текстової частини, в звіт також можуть бути включені графіки, рівні виконання вимог стандарту, що наочно відображають (рис. 4.2).

Рисунок 4.2 – Міра виконання вимог стандарту BS 7799 (ISO 17799) комплексу COBRA

Аналіз ризиків, що виконується даним методом, відповідає базовому рівню безпеки, тобто рівні ризиків не визначаються. Гідність методики - в її простоті. Необхідно відповісти на декілька десятків питань, потім автоматично формується звіт.

Цей програмний продукт може застосовуватися при проведенні аудиту ІБ або для роботи фахівців служб, відповідальних за забезпечення інформаційної безпеки.

Простота, відповідність міжнародному стандарту, порівняльне невелике число питань дозволяють легко адаптувати цей метод для роботи у вітчизняних умовах. Тобто до переваг даного продукту можна віднести простоту використання і, відносно, прийнятну вартість (все залежить від бюджету, виділеного на ІБ) – 7200 грн і 16000 грн за систему з модулем аналізу ризиків базового рівня. До недоліків комплексу можна віднести:

– застарілий, не дуже зручний для користувача інтерфейс (незважаючи, на те що, даний продукт є в цій області одним з найбільш відомих на заході, його розробники по якихось причинах не займаються модернізацією його призначеного для користувача інтерфейсу);

– відсутність можливості установки користувачем ваги на кожну вимогу;

– відсутність підтримки української та російською мов;

– виникають проблеми з генерацією звіту та можлива нестабільна робота під Win2000.

Дата добавления: 2015-07-13; Просмотров: 728; Нарушение авторских прав?; Мы поможем в написании вашей работы!