リスク分析および管理ソフトウェア。企業の情報システムのリスクを分析および制御するための最新の方法とツール

CRMM、RiskWatch、GRIF

情報セキュリティを確保するという業務のビジネスへの関連性

今日、現代の大企業の情報セキュリティを確保するために投資する必要があることに疑いの余地はありません。現代のビジネスにおける主な問題は、情報セキュリティへの投資の十分なレベルをどのように評価して、この分野への投資効率を最大限に高めるかということです。この問題を解決するには、方法は 1 つしかありません。それは、システム内に存在するリスクを評価し、(システム内に存在するリスクとコストの比率に基づいて) 最も効果的な保護オプションを選択できるリスク分析システムを使用することです。情報セキュリティの）。

ビジネスのセキュリティを確保するという任務の関連性を確認するために、2003 年の FBI 報告書を使用します。このデータは、530 社の米国企業 (中規模および大企業) を対象とした調査に基づいて収集されました。

IT セキュリティインシデントの統計は容赦ありません。 FBI によると、2003 年に調査対象となった企業の 56% が攻撃を受けました。

さまざまな種類の情報の影響による損失を次のグラフに示します。

企業の情報セキュリティへの投資の必要性の正当化

統計によると、企業内で情報セキュリティを確保するための対策を講じる際の最大の障害は次の 2 つの理由です。

予算の制限。
経営陣からのサポートが不足している。

どちらの理由も、経営者が問題の深刻さを理解していないことと、IT 管理者がなぜ情報セキュリティに投資する必要があるのかを正当化することが難しいことに起因しています。多くの人は、主な問題は、IT マネージャーと経営幹部が技術言語と財務言語という異なる言語を話すことであると考える傾向がありますが、IT スペシャリスト自身は、より優れたセキュリティを確保するためにどこにお金を費やすべきか、どのくらいの費用が必要かを評価するのが難しいと感じていることがよくあります。警備会社のシステムにかかる費用が不必要または過剰にならないようにするためです。

IT 管理者が、脅威が実現した場合に会社がどれだけの損失を被る可能性があるか、システム内のどの場所が最も脆弱か、追加の費用をかけずにセキュリティレベルを高めるためにどのような対策を講じることができるかを明確に理解し、これらすべてが文書化されていれば、この問題の解決策は、経営陣に注意を払い、情報セキュリティをより現実的にするために資金を割り当てるよう説得することです。

この問題を解決するために、情報リスクを分析および制御するためのソフトウェアパッケージが開発されました。英国の CRAM (Insight Consulting 社)、米国の RiskWatch (社)、ロシアの GRIF (社) です。これらの方法とそれに基づいて構築されたソフトウェアシステムをさらに検討してみましょう。

学習塾

この手法 (英国政府のリスク分析および管理手法) は、英国政府に代わって英国治安局によって開発され、政府の標準として採用されました。 1985 年以来、英国の政府および商業組織によって使用されています。今では、CRMM は世界中で人気を集めています。 Insight Consulting Limited は、CRAM メソッドを実装する同名のソフトウェア製品の開発と保守に取り組んでいます。

より詳細な検討のために CRMM 法を選択しましたが、これは偶然ではありません。現在、CRAM は非常に強力で汎用的なツールであり、リスク分析に加えて、次のような他の多くの監査タスクも解決できます。

知的財産調査を実施し、実施のすべての段階で付随文書を発行します。
英国政府の要件および BS 7799:1995 標準 (情報セキュリティ管理の実践規範 BS7799) に従って監査を実施します。
セキュリティポリシーと事業継続計画の策定。

定量的分析手法と定性的分析手法を組み合わせた CRMM は、リスク評価への統合的なアプローチに基づいています。この方法は普遍的であり、大小の組織、政府部門と商業部門の両方に適しています。さまざまな種類の組織を対象とした CRMM ソフトウェアのバージョンは、それぞれのナレッジベース (プロファイル) が異なります。営利組織の場合は商業プロファイル (商業プロファイル)、政府組織の場合は政府プロファイル (政府プロファイル) があります。政府バージョンのプロファイルを使用すると、米国 ITSEC 規格 (「オレンジブック」) の要件への準拠を監査することもできます。

CRAMM 手法を適切に使用すると、非常に優れた結果を得ることができます。その中で最も重要なのは、おそらく、情報セキュリティとビジネス継続性を確保するための組織の費用を経済的に正当化できることです。経済的に健全なリスク管理戦略により、最終的には不必要な出費を避けてお金を節約することができます。

CRAM では、手順全体を 3 つの連続する段階に分割します。第 1 段階のタスクは、「従来のセキュリティ機能を実装する基本レベルのツールを使用してシステムを保護するだけで十分ですか? それとも、より詳細な分析が必要ですか?」という質問に答えることです。第 2 段階では、リスクが特定され、その規模が評価されます。第 3 段階では、適切な対策を選択するという問題が解決されます。

各段階の CRAMM 方法論では、一連の初期データ、一連の活動、インタビューを実施するためのアンケート、チェックリスト、および一連の報告文書が決定されます。

の結果によれば、 最初の段階、リソースの重要性のレベルが非常に低く、既存のリスクが特定の基本レベルを確実に超えないことが確立されている場合、最小限のセキュリティ要件がシステムに課されます。この場合、第 2 段階のアクティビティのほとんどは実行されませんが、第 3 段階に移行し、基本的なセキュリティ要件セットへの準拠を保証するための対策の標準リストが生成されます。

の上 第2段セキュリティ上の脅威と脆弱性が分析されます。監査人は、適切な面接中に、組織の権限のある代表者から脅威と脆弱性を評価するための初期データを受け取ります。インタビューの実施には、専用のアンケートが使用されます。

の上 第三段階リスク管理の問題は、適切な対策を選択することで解決されます。新しいセキュリティメカニズムをシステムに導入し、古いセキュリティメカニズムを変更するかどうかは、関連するコスト、その受け入れ可能性、およびビジネスへの最終的な利益を考慮して、組織の管理者によって決定されます。監査人の任務は、組織の経営陣に対して推奨される対策を正当化することです。

新しい対策を導入し、古い対策を変更する決定がなされた場合、監査人は、新しい対策を実施するための計画を作成し、その使用の有効性を評価する任務を負うことがあります。これらの問題を解決することは、CRMM メソッドの範囲を超えています。

CRAMM手法を用いた調査実施の概念図を図に示します。

に ＣＲＡＭＭ法のデメリット以下のことが考えられます。

CRAMM メソッドを使用するには、特別なトレーニングと高度な資格を持つ監査人が必要です。
CRAMM は、開発中の情報システムよりも、運用段階の既存の情報システムの監査に適しています。
CRAMM 手法を使用した監査はかなり労働集約的なプロセスであり、監査人による数か月にわたる継続的な作業が必要になる場合があります。
CRAMM ソフトウェアツールは大量の紙のドキュメントを生成しますが、実際には必ずしも役立つとは限りません。
CRAMM では、独自のレポートテンプレートを作成したり、既存のレポートテンプレートを変更したりすることはできません。
ユーザーは CRAMM ナレッジベースに追加する機能を利用できないため、この方法を特定の組織のニーズに適合させる際に一定の困難が生じます。
CRAMM ソフトウェアは英語でのみ利用可能です。
ライセンス費用が高い。

リスクウォッチ

ソフトウェア リスクウォッチは、アメリカの会社によって開発された、強力なリスク分析および管理ツールです。 RiskWatch ファミリには、さまざまな種類のセキュリティ監査を実行するためのソフトウェア製品が含まれています。これには、次の監査およびリスク分析ツールが含まれています。

RiskWatch for Physical Security - IP 保護の物理的方法について。
RiskWatch for Information Systems - 情報リスクについて。
医療業界向け HIPAA-WATCH - HIPAA 規格の要件への準拠を評価します。
ISO17799 用 RiskWatch RW17799 - ISO17799 規格の要件を評価します。

RiskWatch 手法では、リスク評価と管理の基準として「年間損失期待値 (ALE)」と「投資収益率 (ROI)」が使用されます。 RiskWatch ファミリのソフトウェア製品には多くの利点があります。

RiskWatch は、リスク分析を実施し、情報に基づいた保護措置と救済策の選択を行うのに役立ちます。プログラムで使用される方法論には 4 つのフェーズが含まれます。

第1段階- 研究主題の定義。この段階では、組織の種類、調査対象のシステムの構成、基本的なセキュリティ要件など、組織の一般的なパラメータが説明されます。説明は多数の副節で形式化されており、より詳細な説明を選択することも、スキップすることもできます。

以下、選択された各項目について詳しく説明します。アナリストの作業を容易にするために、テンプレートには、保護されたリソース、損失、脅威、脆弱性、および保護手段のカテゴリのリストが提供されます。これらのうち、組織内に実際に存在するものを選択する必要があります。

第二段階- システムの特定の特性を記述するデータの入力。データは手動で入力することも、ネットワーク脆弱性調査ツールによって生成されたレポートからインポートすることもできます。この段階では、リソース、損失、インシデントのクラスが詳細に説明されます。

インシデントクラスは、損失カテゴリをリソースカテゴリにマッピングすることによって取得されます。考えられる脆弱性を特定するために、アンケートが使用されます。そのデータベースには、リソースカテゴリに関連する 600 を超える質問が含まれています。質問を修正したり、新しい質問を除外したり、追加したりすることができます。特定された各脅威の発生頻度、脆弱性の程度、リソースの価値が指定されます。これらはすべて、後で保護具の導入の有効性を計算するために使用されます。

第三段階- リスクアセスメント。まず、前のステップで特定されたリソース、損失、脅威、脆弱性の間でつながりが作成されます。リスクについては、その年の損失の数学的期待が次の式を使用して計算されます。
m=p * v、p は年間の脅威の発生頻度、v は脅威にさらされるリソースのコストです。

たとえば、サーバーのコストが 150,000 ドルで、1 年以内に火災によって破壊される確率が 0.01 である場合、予想される損失は 1,500 ドルになります。さらに、「もしも...」のシナリオも考慮されます。保護手段の実装に応じて同様の状況を説明できるようにします。保護措置を講じた場合と行わない場合の予想損失を比較することで、そのような措置の効果を評価できます。

第4フェーズ- レポートの生成。レポートの種類: 概要。ステージ 1 と 2 で説明された要素の完全かつ簡潔なレポート。保護されたリソースのコストと、脅威の実行によって予想される損失について報告します。脅威と対策についての報告。セキュリティ監査レポート。

リスクウォッチの欠点原因として考えられるのは:

この方法は、組織的および管理的要因を考慮せずに、ソフトウェアおよびハードウェアの保護レベルでリスク分析を実施する必要がある場合に適しています。結果として得られるリスク評価 (損失の数学的期待) は、体系的な観点からのリスクの理解を網羅するものではありません。この方法は、情報セキュリティへの統合的なアプローチを考慮していません。
RiskWatch ソフトウェアは英語でのみ利用可能です。
ライセンスのコストは高く、小規模企業の場合は 1 シートあたり 15,000 ドルから、法人ライセンスの場合は 125,000 ドルからです。

グリフ

情報リスクを徹底的に分析するには、まず情報セキュリティの観点から情報システムの完全なモデルを構築する必要があります。この問題を解決するために、市販されている欧米のリスク分析システムとは異なり、非常に扱いにくく、多くの場合、企業情報システムのセキュリティを確保する責任を負う IT 管理者やシステム管理者が独自に使用する必要がありません。このシステムには、シンプルで直感的なインターフェイスが備わっています。ユーザー。ただし、外部の単純さの背後には、100 を超えるパラメータを考慮した複雑なリスク分析アルゴリズムがあり、これにより、実際の機能の分析に基づいて、情報システムに存在するリスクを正確に評価する出力が可能になります。情報システムの導入。

GRIF システムの主な目的は、IT 管理者が (サードパーティの専門家の関与なしで) 情報システムのリスクレベルと既存の慣行の有効性を独自に評価して、企業のセキュリティを確保し、また、自社の情報セキュリティ分野への投資の必要性を企業経営陣に説得力を持って（数字で）説得する機会。

最初の段階では GRIF メソッドを使用して、IT 管理者を調査し、会社にとって価値のある情報リソースの完全なリストを決定します。

第二段階では IT マネージャーは、会社にとって価値のあるあらゆる種類の情報を GRIF システムに入力するための調査を受けます。入力された貴重な情報のグループは、ユーザーによって前の段階で指定された情報ストレージオブジェクト (サーバー、ワークステーションなど) に配置される必要があります。最終フェーズでは、あらゆる種類の脅威に対する、適切なリソース上にある貴重な情報のグループごとの損害が示されます。

第三段階ではすべてのタイプのユーザーグループが識別され、各グループのユーザー数が示されます。次に、各ユーザーグループがリソース上のどの情報グループにアクセスできるかを記録します。最後に、貴重な情報を含むすべてのリソースへのユーザーアクセスのタイプ (ローカルおよび/またはリモート) と権限 (読み取り、書き込み、削除) が決定されます。

第4段階では IT 管理者は、リソース上の貴重な情報を保護する手段を決定するために調査されます。さらに、システムは、該当するすべての情報セキュリティツールの取得にかかる一時費用とその技術サポートにかかる年間費用、および企業の情報セキュリティシステムを維持するための年間費用に関する情報を入力します。

最終段階ではシステムに実装されているセキュリティポリシーに関する質問に答える必要があります。これにより、システムの実際のセキュリティレベルと詳細なリスク評価を評価できるようになります。

最初の段階で指摘したように、情報セキュリティツールの存在だけでは、そのツールが不適切に使用された場合にシステムが安全になるわけではありません。また、セキュリティの問題を含む情報保護のあらゆる側面を考慮した包括的なセキュリティポリシーが存在しない場合には、システムが安全になるわけではありません。組織、物理的セキュリティ、従業員の安全、事業継続など。

これらの段階ですべてのアクションを完了すると、包括的なセキュリティポリシーの要件の実際の実装を考慮した、情報セキュリティの観点から見た情報システムの完全なモデルが出力されます。入力されたデータのソフトウェア分析に進み、包括的なリスク評価を取得し、最終レポートを生成します。

詳細なシステムレポートインシデントによって起こり得る損害の図を示し、会社の経営陣にプレゼンテーションする準備が整いました。

GRIFのデメリット原因として考えられるのは:

ビジネスプロセスへの接続の欠如 (次のバージョンで予定)。
一連のセキュリティ対策の実装のさまざまな段階でレポートを比較する機能の欠如 (次のバージョンで予定)。
企業固有のセキュリティポリシー要件を追加できない。

この記事を書く際には、次の文献を使用しました。

情報システムにおけるリスク分析のための最新テクノロジー (PCWEEK N37 "2001)、セルゲイ・シモノフ
Jet Infosystems の資料
企業資料「デジタルセキュリティ」

私たちはリスク管理プロセスへの体系的なアプローチを説明し、研究してきました。この問題の検討が複雑なのは、高品質のリスク分析および管理システムを構築するためには、この領域の個別の活動を考慮することは意味がないと判断したためです。リスク管理のすべての段階が完全に適用されて初めて、その目標を確実に達成できるシステムについて語ることができます。

今日説明を開始しようとしている複雑なプログラムは、以前に説明した成果物 (プロセスとオブジェクト) に基づいています。

その中心となるのは次のとおりです。

包括的なリスク管理活動を計画するための手順。
問題のプログラムの実施中に相互に補完し、「強化」するような形で相互に接続されているリスク管理方法とツール。

したがって、今日はリスク分析と管理の活動にさらに「没入」できるので、息を止めましょう...

導入

これまでに、リスクの種類 (定性的および定量的) の特定、評価、分析、組織化、そして入門的な形でのリスク管理の活動について説明してきました。我々は、リスク分析と管理プロセスを単一の包括的なプログラムに組織することの関連性と必要性について概要を説明し、その必要性を確認しました。このプログラムは、その個々の部分をカバーし、単一の管理およびソフトウェア複合体に統合できるようになります。

今日は、リスク管理規律の「包括的リスク管理プログラム」のセクションを見ていきます。これは、すでに組織化された手順の効率を高め、新しく革新的であると同時に効果的な方法と技術を導入し、明白なリスクを削減するという問題を解決します。潜在的な損失を回避し、会社の主要な活動の効果を最大化します。

ここで、包括的なリスク管理プログラムがリスク管理プロセスのオプションの 1 つであることは注目に値します。この包括的なプログラムの実施は、リスク管理の導入に代わるものと考えることができます。前に説明したリスク分析および管理プロセスの各段階は、リスク管理実装プロセスの完全な段階を表しており、特定の企業条件に適応することを条件として、特定の組織でこの活動を計画するときに使用できます。

多くの専門家によれば、リスク管理プログラムの目的は次の結果を達成することであると考えています。

利用可能な資本の最適な使用。
最大限の収入を得る。
会社の発展の持続可能性を高める。
特定の組織の情報技術ドメインのプロセスから得られる製品またはサービスの価値の一部またはすべてが失われる可能性を軽減します。

したがって、包括的なリスク管理プログラムは、単なる IT プロセスとしてではなく、この活動の主な意味において、リスク管理の主題のビジネスコンポーネントとして、最終的な結果と結果を左右する正しい組織上で考慮される必要があります。市場における組織のさらなる地位は依存します。

リスク管理プログラム

最新の成功した包括的なリスク管理プログラムでは、リスク分析と管理プロセスの導入を決定した企業のリスク管理分野における現在のニーズに関連する問題を考慮し、解決する必要があります。

リスク管理を適用する組織は通常、このドメインに対して次のタスクを設定します。

リスクにさらされた状況下での運用の成功。
企業の戦略と戦術の実行を妨げるマイナスのリスク要因からの保護。
明白なリスクと潜在的なリスクに関する入手可能な情報を考慮した、十分な情報に基づいた経営上の意思決定。
既存の情報ツールとテクノロジーの保存と開発。
リスクに対する企業の敏感度を軽減し、リスクのある環境における情報技術分野の安定性を高めます。

包括的なリスク管理プログラムでは、リスクに対処するための統一された構造を確立する必要があります。これは、個々の段階で実施オプションが異なる場合がありますが、同時にその順序（コースに従って、資料の一連のプレゼンテーションの形で与えられます）も確立する必要があります。 )、各段階の結果 (ドキュメント) は、コースで提供したものと正確に一致する必要があります。

情報の収集とリスク要件:
- リスクにつながる可能性のある明白な理由と潜在的な理由のリスト。
リスクの特定:
- リスク登録;
予備的なリスク評価:
- 優先リスク登録。
- リスク管理戦略。
定性的リスク分析:
- リスクとその解決方法（戦術）に関する質の高い情報を含む文書。
- 定量的な分析活動に使用できるリスク情報。
- 以前に特定されたリスクとその説明に関する知識/データベース。
定量的なリスク分析:
- リスクに関する定量的な情報とその解決方法（戦術）を記載した文書。
- リスクをさらに考慮し、それらを解決する方法を計画するために使用できる統計情報。
リスク分析システム：
- リスク管理パフォーマンス指標を達成するために、以前に受け取った文書を集約して使用する必要がある手順と規制を策定します。
包括的なリスク管理プログラム:
- 包括的なリスク管理プログラムに関する情報を含む文書。
- リスク管理手順の計画。
さらなる活動:
- リスク監視計画。
- リスク分析と管理活動の改善を計画する。

同時に、特定の企業でリスク管理活動を実行する際には、記載されている各文書を適時に更新し、将来的に監視する必要があります。効果的な包括的なリスク管理プログラムを構築し、この目標を構成するタスクを適切に実行するという目標があれば、あらゆる組織のすべての組織レベルでリスクを制御することが可能になります。

リスク管理者は、周囲の状況を評価し、上記で説明した必要な文書、手順、規制の開発と実施に貢献できなければなりません。これらは、前に概説したリスク分析および管理プロセスの分野からの次の原則に基づいている必要があります。

リスク分析と管理プロセスへの統合されたプロセスアプローチ。
最も重大なリスクを考慮すると、次のようになります。
- リスク登録簿の作成。リスク分析および管理プロセスの活動中に登録簿を更新する。
リスクの特定。
リスクの「所有者」の決定。
リスク管理プロセスに役割構造を使用する。
特定のリスクを管理するための特定の方法/方法グループの使用。
許容可能なリスクレベルの決定:
- リスクの状態を制御する。

少し前に、リスク管理活動の確実性について話したときに、この分野の作業に関する文書化サポートのトピックについて触れましたが、詳細については開示していませんでした。リスク管理手順の開発に特化したセクションでは、この点に特に注意を払います。

ここで私が言いたいのは、文書化とその実装は包括的なプログラムの開発において非常に重要な「マイルストーン」であり、それを無視すると、開発されたプログラムが「1回限りのイベント」になってしまう可能性があるということです。このような実装は、特定の「頭」に残る「リスク」を伴います。この複雑なプログラムは、主要な専門家のグループが去れば「終了」することになるが、これは開発中の領域への体系的なアプローチに疑問を投げかけ、そのような実装では効果がないことが実証される。

包括的なリスク管理プログラムは、プロセス、手順、活動などで構成されている必要があると言わなければなりません。特定の「オーバー」アクティビティに含まれる個々のステージの結果は、個々のアクティビティ間の接続が明確に見えるように相互に調和する必要があります。リスクドメインと組織全体の活動の最終的な結果は、リスク管理の全体目標と組み合わせて、個々の部分を全体へ統合することがどれだけうまく、思慮深く組織化されるかによって決まります。

リスク管理手順の開発。ビジネスルール

リスク管理プロセスを構成する手順は「テンプレート」ソリューションパスであり、その目的は、特定の状況で選択できる特定のソリューションのオプションを提供することであり、特定の（既知の）リスク状況での使用に適用することをお勧めします。不明) パラメータ。

特定のユースケースに有利な選択は、特定のリスク/リスクグループを管理するために開発された特定の手順が、特定の環境（状況の外部パラメータと内部パラメータ）のニーズにどの程度適合するか、特定の状況に対応するかどうかによって異なります。リスクが顕在化する可能性のあるプロセスであり、特定のケースに対して効果的です。

手順を作成するときは、企業活動の基礎となる原則に従うことをお勧めします。このような原則は通常、ビジネスルールと呼ばれます。それらのほとんどは、ビジネスを推進する「レバー」である公準を「認識」する過程で形成されます。これらは必ずしも明らかではありませんが (通常、限られた数の利害関係者の「頭」の中にあるため)、ビジネス活動の開始とともに存在し始めます。それらが適用される特定のビジネス分野の開発の安定性は、それらがどの程度よく観察されるかによって決まります。

情報システムの発展傾向を決定するのはビジネスルールとその変化のダイナミクスであり、企業の安定性、この場合はリスク要素に影響を与えるのはビジネスルールです。

したがって、上記のことから、ビジネスルールは、管理および検討に利用できる「リスク」の量を決定する要素の 1 つであると結論付けることが賢明です。

しかし、現代のビジネス社会では、ビジネスルールが無視され、リスク管理手順の開発の基礎を「形成」する特定の開発シナリオに「置き換え」られることがよくあります。ここで、使用シナリオはリスクを実装するための具体的なオプションであり、「ビジネスルール」は使用シナリオを決定する普遍的/「疑似普遍的」原則であるという事実を明確にする価値があります。したがって、開発時にそれを考慮することが非常に重要です。リスク管理手順で使用されるべきはビジネスルールです。この場合、リスクからのかなり信頼性の高いビジネス保護について話すことができます。

策定されたリスク管理手順の構成は多くの要因によって決まりますが、リスク管理の管理と分析の手順を決定する 2 つの主要な要素に基づいています。

組織の現在の「危険な」状態。
利害関係者のニーズ。

特定の手順をどのように、どのような「ドキュメンタリー」やその他の種類のサポートとともに開発するかを決定するのは、利害関係者のニーズです。場合によっては、手順の開発には次の作業が含まれる場合があります。

企業戦略/ポリシーのリスク領域に関する提案の作成。
基本的なリスク管理手順の文書化。
個々の種類のリスクと全体的なリスクを評価するための方法論の開発。
等。

最適に開発および適用されたリスク管理手順は、起こり得る損害を軽減（または完全に排除）し、企業の安定化と発展に貢献します。

もう一度、必要な手段的および法的枠組みを備えたリスク管理手順を提供する一連の規制および方法論的文書をリストします。

リスク管理方針
リスク管理規程
リスク管理手順
リスクの説明と評価に関するガイドライン
作業スケジュールに対するリスクの影響を評価するためのガイドライン
リスク指標の作成ガイドライン
リスク管理手順ハンドブック
代表的なリスクのガイド

その結果、普遍性と包括的な適用可能性を主張するような方法で開発できるリスク管理手順は存在しないと言わざるを得ません。各手順では、特定の状況の詳細と、リスク管理手順を使用して管理する予定の特定のリスクを考慮する必要があります。

リスク管理方法

前回の記事では、さまざまなリスク管理手法を次の 4 つのカテゴリに分類して簡単に説明しました。

リスク回避方法。
リスクの局在化方法。
リスク分散方法。
リスク補償方法。

説明されている各方法は、後に損害を引き起こす可能性のある一連の一般的な要因から特定の方法で分類された、「危険な」状況に対する具体的で専門的かつ効果的な解決策を提供します (リスク分析の定量的および定性的方法に関する記事を参照)。

初期情報を処理する「技術」。そこから有用なデータの必要な「粒」を分離できます。リスク管理プロセスへの体系的なアプローチに関する記事を参照してください。ただし、リスクの分類に重要な要素を最適に考慮する必要性もあります。要因は、1 つまたは別のリスク管理手法の適用が成功するための条件であり、したがってリスク管理システム全体の有効性も決まります。

前に正当化されたように、「リスク」要素の変動性とリスク/リスクグループの移行の可能性を考慮すると、その方向性を予測するのは非常に困難であり、多くの変数に依存します。

リスク環境に関する「内部」。
リスク環境に関する「外部」。
その他のリスク、オリジナルとのさまざまな程度の相互作用。
発現、「接続」、「切断」などの影響リスク。

したがって、特定のリスクに関するシステム統計を蓄積することの重要性は、リスクのレベルを確実に体系的に低減する、リスクに対処するための特定の方法を適切に選択するために必要な要素でもあります。同時に、統計はリスク展開の包括的かつ適切な「全体像」を反映する必要があります。

リスク管理が行われる企業が十分に大きく、比較的安定して発展している場合、必要な変化への迅速な対応が拒否される可能性があります。原則として、これは「動的に出現する」リスクから十分に保護するという「誤った慣性」の考えによって発生し、発生した損害の「近く」および「遠く」の発現から脅威的な結果をさらに引き起こす可能性があります。

注意しなければならないのは、ほとんどの場合、

(ほとんどの場合、これを予測するのは困難ですが、不確実性が増えるため、より危険になる傾向があります)

このような状況において、中小企業は、許容できるレベルの安定性を損なうことなく、受け入れがたいリスクに対してより正確かつ柔軟に対応しようと努力し、必要に応じて活動の優先順位を変更しますが、中堅企業や中小企業ではこれは事実上不可能です。大きな組織。

実際の状況はさまざまなリスク要因によって特徴付けられており、その状況にとって重要な要因を考慮し、それに応じて最適なリスク管理方法を選択する必要があります。

リスク管理方法の選択に制限を課す追加の条件は、最終的にどの方法が選択されるかを決定する管理者の決定です。

意思決定者が作業全体を包括的に検討し、特定の条件に対して最適な決定を下せることが重要です。

結論

そこで次回は、検討テーマの後編として、まずリスク管理手法の分類から、維持・管理のプロセスを「分解」して、具体的な実践例を交えて詳しく見ていきたいと思います。リスク管理ドメインを改善し、このツールキットに必要なものを詳細に取り上げていきます。

この「興味深い」メモについては、今日でお別れです。

親愛なる同僚の皆さん、ご多幸をお祈りします。またお会いしましょう!

あなたの優れた成果をナレッジベースに送信するのは簡単です。以下のフォームをご利用ください

研究や仕事でナレッジベースを使用している学生、大学院生、若い科学者の皆様には、大変感謝していることでしょう。

ポストする http://www.allbest.ru/

ロストフ地方の州予算専門教育機関「ロストフ・ナ・ドヌ通信情報大学」

GBPOU RO「RKSI」

トピックに関するレポート:

「リスク評価のための手法とソフトウェア製品 Riscis Watch」

生徒による完成: Zheleznichenko Artem

グループNo.IB-22

教師：

ティムチェンコ・ドミトリー・アナトリエヴィチ

ロストフ・ナ・ドヌ

導入

統計によると、企業が情報セキュリティ対策を講じる際の最大の障害は、予算の制限と経営陣からのサポートの欠如という 2 つの理由です。

どちらの理由も、経営者が問題の深刻さを理解していないことと、IT 管理者がなぜ情報セキュリティに投資する必要があるのかを正当化することが難しいことに起因しています。多くの人は、主な問題は、IT マネージャーと経営幹部が技術面と財務面で異なる言語を話すことであると考える傾向がありますが、IT スペシャリスト自身が、何にお金を費やすべきか、どの程度の費用が必要かを評価するのが難しいことがよくあります。これらのコストが不必要または過剰にならないように、企業システムのセキュリティを強化します。

この問題を解決するために、情報リスクを分析および制御するためのソフトウェアシステムが開発されました。このようなソフトウェアシステムの 1 つは、American RiskWatch (RiskWatch 社) です。

1. リスクウォッチの特徴

RiskWath 手法は、1998 年に米国標準技術研究所 (U.S. NIST)、米国国防総省 (米国国防総省)、およびカナダ国防総省の参加により開発され、実際には米国の標準です。米国だけでなく世界中の政府機関。

アメリカの企業 RiskWatch によって開発された RiskWatch ソフトウェアは、強力なリスク分析および管理ツールです。

RiskWatch 社は基本的に 2 つの製品を提供しています。1 つは情報セキュリティの分野の IT セキュリティ、もう 1 つは物理セキュリティの分野の物理セキュリティです。このソフトウェアは、企業のコンピュータおよび「物理的」セキュリティの分野における、保護されたリソース、脅威、脆弱性、および保護対策を特定し、評価するように設計されています。さらに、組織の種類に応じて、さまざまなバージョンのソフトウェアが提供されています。

さまざまなシステムのリスク管理用に設計された製品ラインは、ISO 17799、ISO 27001、COBIT 4.0、NIST 800-53、NIST 800-66 などの規格 (文書) の要件を考慮しています。

RiskWatch ファミリには、さまざまな種類のセキュリティ監査を実行するためのソフトウェア製品が含まれています。これには、次の監査およびリスク分析ツールが含まれています。

1. RiskWatch for Physical Security - IP 保護の物理的方法について。

2. 情報システムの RiskWatch - 情報リスクについて。

3. 医療業界向け HIPAA-WATCH - HIPAA 規格の要件への準拠を評価します。

4. ISO17799 の RiskWatch RW17799 - ISO17799 規格の要件を評価します。

2. RiskWatch のメリットとデメリット

消費者の観点から見た RiskWatch の大きな利点は、その比較的単純さ、ロシア化の複雑さの低さ、そして新しいカテゴリ、説明、質問などを導入する機能によってもたらされる手法の柔軟性です。この方法に基づいて、国内の開発者は国内のセキュリティ要件を考慮した独自のプロファイルを作成し、リスクを分析および管理するための部門別の方法を開発できます。

RiskWatch には利点がありますが、欠点もあります。

この方法は、組織的および管理的要因を考慮せずに、ソフトウェアおよびハードウェアの保護レベルでリスク分析を実施する必要がある場合に適しています。結果として得られるリスク評価 (損失の数学的期待) は、体系的な観点からのリスクの理解を網羅するものではありません。この方法は、情報セキュリティへの統合的なアプローチを考慮していません。

1. RiskWatch ソフトウェアは英語でのみ利用可能です。

2. 高額なライセンス費用 - 小規模企業の場合は 1 シートあたり 15,000 ドルから、法人ライセンスの場合は 125,000 ドルから。

3. RiskWatch の基礎となるリスク分析手法

RiskWatch は、リスク分析を実施し、情報に基づいた保護措置と救済策の選択を行うのに役立ちます。プログラムで使用される方法論には 4 つの段階が含まれます。

リスク分析手法の各段階をより詳細に検討する必要があります。

1. 最初の段階では、組織の種類、調査対象のシステムの構成、基本的なセキュリティ要件など、組織の一般的なパラメータが説明されます。説明は多数の副節で形式化されており、より詳細な説明を選択することも、スキップすることもできます。

2. 第 2 段階では、システムの特定の特性を説明するデータを入力します。データは手動で入力することも、ネットワーク脆弱性調査ツールによって生成されたレポートからインポートすることもできます。この段階では、リソース、損失、インシデントのクラスが詳細に説明されます。

3. 第 3 段階はリスク評価です。まず、前のステップで特定されたリソース、損失、脅威、脆弱性の間でつながりが作成されます。リスクについては、その年の損失の数学的期待が次の式を使用して計算されます。

ここで、p は年間の脅威の発生頻度、v は脅威にさらされるリソースのコストです。

4. 第 4 段階はレポートの生成です。レポートの種類: 概要。ステージ 1 と 2 で説明された要素の完全かつ簡潔なレポート。保護されたリソースのコストと、脅威の実行によって予想される損失について報告します。脅威と対策についての報告。セキュリティ監査レポート。

結論

情報セキュリティソフト

RiskWatch は、アメリカの企業 RiskWatch によって開発されたソフトウェアです。

RiskWatch は、リスク分析を実施し、情報に基づいた保護措置と救済策の選択を行うのに役立ちます。それにもかかわらず、RiskWatch にはいくつかの欠点もあります。ライセンス費用が高いことです。 RiskWatch ソフトウェアは英語でのみ利用可能です。

RiskWatch 製品は、4 つの段階からなるリスク分析手法に基づいています。

最初の段階は研究テーマを決定することです。

第 2 段階は、システムの特定の特性を記述するデータの入力です。

3 番目の最も重要な段階は定量的な評価です。

第 4 段階はレポートの生成です。

Allbest.ru に掲載

類似の文書

情報リスクの評価方法、その特徴と特徴、メリットとデメリットの評価。企業情報のセキュリティのためのリスク評価モデルである Microsoft の方法論の例を使用したリスク評価方法論の開発。

論文、2012/08/02 追加

情報セキュリティの本質と評価方法。その実装の目的。情報技術リスクを分析する方法。情報セキュリティの脅威のリスクを計算するための指標とアルゴリズム。商社のWebサーバーを例に情報リスクを計算。

コースワーク、2013 年 11 月 25 日追加

情報の本質とその分類。企業の情報セキュリティを確保する上での主な問題と脅威。企業情報セキュリティのリスク分析と原則。情報セキュリティを確保するための一連の対策の策定。

コースワーク、2016/05/17 追加

イムノコンピューティングアプローチに基づいて借り手の信用力を分析し、信用リスクを評価するための自己学習型インテリジェント情報システムの開発。クラスタリング手順の適用、リスク評価の分類と生成。

コースワーク、2012/06/09 追加

コンピューターリソースへの不正なソフトウェアアクセスを検出するための Windows システム監査ツールの調査と分析の方法論。情報セキュリティの脅威分析。ソフトウェアの動作アルゴリズム。

論文、2011/06/28 追加

企業情報システムのソフトウェアと技術的特徴。情報とソフトウェアの互換性の要件。専用のソフトウェアパッケージを使用したソフトウェア設計。データベース開発。

実践レポート、2019/04/11追加

主なリスクの分類とその特定。組織内の情報システムのリスクを計画および評価し、リスクを排除するための措置を講じます。プロジェクトの損益分岐点を決定します。損失コストとリスク発生確率の計算。

研究室での作業、2016/01/20 追加

分散ソフトウェア開発の概念と主な違い、その長所と短所。概念的なソリューションと開発タイプの選択。オープンソースソフトウェアの機能。オープンソースの考え方と開発。

コースワーク、2012/12/14 追加

企業のビジネス活動を分析するための活動の自動化。提案された方法論のソフトウェア形式での実装、その基本要件。ソフトウェアモジュールの複合体の構造と構成、ユーザーマニュアル。

コースワーク、2013/05/28 追加

情報セキュリティリスク分析。既存および計画されている保護手段の評価。情報セキュリティと企業情報の保護を確保するための一連の組織的対策。プロジェクト実装のテスト例とその説明。

リスクを最小限に抑えることができるソフトウェア製品について言えば、ロシアの開発者はリスク管理に特化したソフトウェアを提供していないという事実にもかかわらず、特定のリスク管理ツールの使用を可能にするソリューションの重要なリストがあることに注意する必要があります。ロシアの開発者および製造業者のソフトウェア製品には、たとえば、Project Expert、Alt-Invest パッケージ、Voronov&Maksimov MASTER PROJECTS パッケージ、Investor 3.0、TEO-INVEST、FOCCAL-UNI などがあります。

特殊なソフトウェア製品の機能は非常に多様で、そのようなソリューションの例としては、EGAR Risk Systems、SAS® Risk Dimensions、Pertmaster などのプログラムが挙げられます。

EGAR リスクシステムは、市場、信用、運用などの金融リスクの管理を組織化するためのリアルタイムシステムおよびコンサルティングサービスであり、統合アプローチ、最新の方法論 (バーゼル II 要件に準拠) に基づいて構築され、金融リスクの要件を満たすものです。ロシア中央銀行。このソリューションにより、リスク管理プロセスを金融組織で取引を行うテクノロジー全体に統合することができ、トランザクション処理プロセス (STP) の不可欠な部分となり、最大限の効率が保証されます。

外部の取引および支払いシステムとの統合により、義務の履行に関する情報をリアルタイムで受け取ることができるため、いつでもリスク状況を適切に特定できます。 EGARリスク・システムは、さまざまなソースからのデータの迅速な収集を提供し、制限の統合管理を実行し、適切な数学的リスク評価モデルと確立されたテクノロジーを使用してストレート・スルー・トランザクション処理を行います。まさにこのような複雑なシステムを現代の金融組織に導入することにより、主要な目標であるあらゆる発現形態における金融リスクの効果的な制御と管理を確実に達成することができます。

SAS Company のソリューション - SAS Risk Management は、銀行全体のレベルでのリスク管理の分野で広く認識されているソリューションです。 SAS Risk Managementには、ロシアの特性やロシアの金融機関に関連するタスクを完全に反映できる、柔軟でオープンかつ拡張可能なリスク管理環境があります。

SAS Risk Managementは、内部データと外部データへのアクセスと統合を整理するための完全かつ包括的な環境です。あらゆる種類のリスクの調査、分析、評価のため。高品質のレポートを効率的に提供します。システムの基本構造により、ユーザーは特定の状況やニーズに応じて市場、信用、その他の種類の金融リスクを管理できます。

Pertmaster はリスク管理であり、よりシンプルなソフトウェア製品であり、会社の従業員はこれを利用して、プロジェクト開始段階ですでにプロジェクト内のイベントの展開を計算する追加の「what-if」制御ツールを利用できます。専門化にもかかわらず、Pertmaster は、同じオプションを持つ Russian Project Expert よりもそれほど優れているわけではありません。

Pertmaster を使用すると、実行者の現実的な見積もりを使用して、時間、労力、コストの観点からプロジェクトスケジュールの達成可能性を分析し、作業期間と人件費に影響を与える可能性のあるリスクの観点からプロジェクトを評価し、考慮することができます。困難な気候条件の中で実施されるプロジェクトの外部環境、および国際プロジェクトの通貨の為替レート。

Pertmaster (図 9.1) を使用すると、プロジェクトの進行状況に関する現実的なシナリオを取得し、内部収益率と正味現在価値を決定してプロジェクトのコストをモデル化し、プロジェクトのコストと支払スケジュールのバランスをとり、レポートを生成することができます。プロジェクトのコストに対する作業の影響の程度を確認し、次の目的でリスク登録を使用します。

· リスクの特定。

· 定性的および定量的なリスク評価。

· リスク責任者の任命。

· リスク対応計画とその監視と制御を策定する。

以下に、いくつかの一般的なリスク分析手法について簡単に説明します。それらは次のように分類できます。

定性的なレベル (たとえば、「高」、「中」、「低」のスケール) でリスク評価を使用する手法。このような技術には、特に FRAP が含まれます。
定量的方法（リスクは、予想される年間損失の規模などの数値を通じて評価されます）。 RiskWatch 手法はこのクラスに属します。
混合評価を使用する方法 (このアプローチは、CRMM、Microsoft の方法などで使用されます)。

クラムテクニック

これは、情報セキュリティ分野における最初のリスク分析手法の 1 つであり、その取り組みは 80 年代半ばに始まりました。英国コンピュータ電気通信庁 (CCTA)。

CRAMMメソッドは以下に基づいています。複雑なアプローチ定量的分析方法と定性的分析方法を組み合わせたリスク評価まで。この方法は普遍的であり、大小の組織、政府部門と商業部門の両方に適しています。さまざまな種類の組織を対象とした CRMM ソフトウェアのバージョンは、それぞれのナレッジベース (プロファイル) が異なります。営利組織の場合は商業プロファイルがあり、政府組織の場合は政府プロファイルがあります。政府バージョンのプロファイルを使用すると、米国 ITSEC 規格 (「オレンジブック」) の要件への準拠を監査することもできます。

CRAMMを用いた情報セキュリティシステムの検討は3段階で行われる[, ,]。

最初の段階では、システムリソースの価値の特定と決定に関連するすべてが分析されます。それは、研究対象のシステムの境界を決定するという問題を解決することから始まります。つまり、システムの構成、物理リソースとソフトウェアリソースの責任者、システムユーザーの中に誰がいるか、システムの使用方法などに関する情報が収集されます。それを使います。

システムの境界内に含まれる物理、ソフトウェア、情報などのリソースの識別が実行されます。各リソースは、事前定義されたクラスのいずれかに割り当てる必要があります。次に、情報セキュリティの観点から情報システムのモデルを構築します。ユーザーによれば、独立した意味を持ち、ユーザーサービスと呼ばれる情報プロセスごとに、使用されるリソースの接続ツリーが構築されます。構築されたモデルにより、重要な要素を特定できます。

価値物理的リソース CRMM では、破壊された場合の修復コストによって決まります。

データとソフトウェアの価値は、次の状況で決まります。

一定期間リソースが利用できないこと。
リソースの破壊 - 最後のバックアップ以降に取得された情報の損失、またはその完全な破壊。
スタッフまたは権限のない者による権限のないアクセスによる機密保持の侵害。
修正 - 軽微な人的エラー (入力エラー)、ソフトウェアエラー、意図的なエラーの場合に考慮されます。
情報の転送に関連するエラー: 配信の拒否、情報の不配信、間違ったアドレスへの配信。

組織の評判を傷つける。
現行法の違反。
従業員の健康への損害。
個人の個人データの開示に関連する損害。
情報開示による経済的損失。
資源回収に伴う経済的損失。
義務の履行不能に伴う損失。
活動の混乱。

データとソフトウェアについては、特定の IS に適用される基準が選択され、損傷は 1 から 10 までの値のスケールで評価されます。

CRAMM の説明では、一例として、「資源回収に伴う経済的損失」という基準に対して次の評価尺度が示されています。

2 ポイント - 1000 ドル未満。
6 ポイント - 1000 ドルから 10,000 ドルまで。
8 ポイント - 10,000 ドルから 100,000 ドルまで。
10 ポイント - 100,000 ドル以上。

使用されるすべての基準のスコアが低い場合 (3 ポイント以下)、問題のシステムには基本レベルの保護が必要であると考えられます (このレベルでは、情報セキュリティの脅威の詳細な評価は必要ありません)。勉強はサボります。

第 2 段階では、リソースのグループとその脆弱性の脅威レベルの特定と評価に関連するすべてが考慮されます。段階の最後に、顧客はシステムの特定および評価されたリスクレベルを受け取ります。この段階では、特定のリソースグループに対するユーザーサービスの依存性と、既存の脅威と脆弱性のレベルが評価され、リスクレベルが計算され、結果が分析されます。

リソースは脅威と脆弱性のタイプごとにグループ化されています。たとえば、火災や盗難の脅威がある場合、1 つの場所 (サーバールーム、通信室など) にあるすべてのリソースをリソースのグループとして考えるのが合理的です。脅威と脆弱性のレベルは、間接的要因の調査に基づいて評価されます。

ソフトウェアリソースグループごと、および 36 の脅威タイプごとに、CRAM は明確に回答できる質問のリストを生成します。脅威レベルは、回答に応じて、非常に高、高、中、低、および非常に低として評価されます。脆弱性のレベルは、回答に応じて高、中、低として評価されます。

この情報に基づいて、リスクレベルが 1 から 7 までの段階的な段階で計算されます。結果として得られる脅威、脆弱性、リスクのレベルが分析され、お客様と合意されます。

CRAMM は、脅威と脆弱性をリスクマトリックスに組み合わせます。このマトリックスがどのように取得されるのか、そしてそれぞれのリスクレベルが何を意味するのかを見てみましょう。

この問題を解決するための基本的なアプローチは、次のことを考慮することです。

脅威レベル (スケールは表 4.1 に示されています);
脆弱性のレベル (スケールは表 4.2 に示されています)。
予想される経済的損失の規模 (図 4.1 の例)。

表4.1。脅威レベル（発生頻度）を評価するための尺度。

説明	意味
事件は平均して 10 年ごとに発生します	とても低い
事件は平均して 3 年に 1 回発生します	短い
事件は平均して年に1回発生する	平均
インシデントは平均して 4 か月に 1 回発生します	高い
事件は平均して月に1回発生します	とても背が高い

保護された IP のリソースのコストの見積もり、脅威と脆弱性の評価に基づいて、「予想される年間損失」が決定されます。図では、 4.1 に、予想損失を見積もるためのマトリックスの例を示します。その中で、左側の 2 番目の列にはリソースコストの値が含まれ、表タイトルの一番上の行には年間の脅威の発生頻度 (脅威レベル) の推定値が含まれ、タイトルの最後の行には推定値が含まれています。脅威の実装が成功する確率 (脆弱性レベル)。

米。 4.1.

予想される年間損失（英語の Annual Loss of Expectancy）の値は、図に示されているスケールに従って、CRAM でリスクのレベルを示すポイントに変換されます。 4.2 (この例では、損失額はポンドで表示されます)。

米。 4.2.

以下のマトリックスに従って、リスク評価が導出されます（図 4.3）。

米。 4.3.

研究の第 3 段階は、適切な対策を見つけることです。基本的に、これは顧客の要件に最も適したセキュリティシステムオプションを探すことです。

この段階で、CRMM は特定されたリスクとそのレベルに適した対策のオプションをいくつか生成します。対策は 3 つのカテゴリに分類できます。約 300 の一般的な推奨事項。 1000 を超える具体的な推奨事項。この状況でどのように保護を組織できるかを示す約 900 の例。

したがって、CRAM は、最初の評価が定性レベルで行われ、その後、定量的評価 (ポイント単位) に移行する計算方法の一例です。

FRAP法

Peltier and Associates (インターネットサイト http://www.peltierassociates.com/) が提供する Facilitated Risk Analysis Process (FRAP) 手法は、Thomas R. Peltier によって開発され、出版されました (この本の一部は Web サイト、以下の説明はそれらに基づいています）。この方法論では、IS の提供をリスク管理プロセスの枠組みの中で検討することが提案されています。リスクの管理情報セキュリティの分野において、企業がセキュリティ対策に費やす費用と労力とその結果の効果との間のバランスを見つけることを可能にするプロセス。

リスクの管理リスク評価から始める必要があります。適切に文書化された評価結果は、リスク評価の基礎となります。意思決定システムのセキュリティ向上の分野で。

評価の完了後、コスト/便益分析が実行され、リスクを許容レベルまで低減するために必要な保護措置を決定できます。

以下に、リスク評価の主な手順を示します。このリストは、他の方法の同様のリストをほぼ繰り返していますが、FRAP では、システムとその脆弱性に関するデータを取得する方法がより詳細に明らかにされています。

保護資産の決定は、アンケート、システム文書の調査、および自動ネットワーク分析 (スキャン) ツールを使用して行われます。
脅威の特定。脅威のリストを作成するときは、さまざまなアプローチを使用できます。
- 専門家によって事前に作成された脅威のリスト (チェックリスト) であり、その中から特定のシステムに関連するものが選択されます。
- このISおよび同様のISにおけるインシデントの統計の分析 - それらの発生頻度が評価されます。火災の脅威など、多くの脅威については、関連する政府機関からそのような統計を入手できます。
- 社員による「ブレインストーミング」。
脅威のリストが完成したら、それぞれの脅威が発生する確率と比較されます。次に、この脅威によって引き起こされる可能性のある損害が評価されます。得られた値に基づいて脅威レベルを評価します。
分析を行う場合、通常、初期段階ではシステムにセキュリティ手段やメカニズムが欠如していると想定されます。このようにして、保護されていない情報のリスクレベルを評価することで、情報セキュリティツール（ISIS）導入の効果を示すことができます。
米。 4.4. FRAP リスクマトリックス
脅威が特定され、リスクが評価されたら、リスクを排除するか、許容可能なレベルまで低減するための対策を特定する必要があります。この場合、特定の保護手段やメカニズムの使用を不可能にしたり、逆に使用を義務付けたりする法的制限を考慮する必要があります。期待される効果を判断するために、同じリスクを評価することが可能ですが、提案されている情報保護システムの実装が条件となります。リスクが十分に軽減されていない場合は、別の保護装置の使用が必要になる場合があります。保護手段を決定するとともに、その取得と実装にどのようなコストがかかるかを決定する必要があります (コストは直接的および間接的なものになる可能性があります。以下を参照)。さらに、このツール自体が安全かどうか、システムに新たな脆弱性を生じさせないかどうかを評価する必要があります。
費用対効果の高い保護手段を使用するには、費用とその結果生じる効果との関係を分析する必要があります。この場合、ソリューションの購入コストだけでなく、その運用を維持するコストも評価する必要があります。費用には以下が含まれる場合があります。
- 追加のソフトウェアとハードウェアを含むプロジェクトの実施コスト。
- システムの主要なタスクのパフォーマンスの効率の低下。
- 施設を維持するための追加のポリシーと手順を実施する。
- 追加の人員を雇用したり、既存の人員を再訓練したりするためのコスト。
ドキュメンテーション。リスク評価が完了したら、その結果を標準化された形式で詳細に文書化する必要があります。結果として得られるレポートは、ポリシー、手順、セキュリティ予算などを決定するために使用できます。

リスク分析および管理ソフトウェア。 企業の情報システムのリスクを分析および制御するための最新の方法とツール