Методика и ПО LETA для анализа рисков
Компания LETA предложила комплексную услугу – полное управление рисками информационной безопасности. Сегодня реализация бизнес-моделей, основанных на сотрудничестве с партнерами, изощренные атаки на системы безопасности и непрерывное усложнение инфраструктур приводят к тому, что для управления рисками уже недостаточно существующих технологий обеспечения безопасности, внедряемых в оперативном режиме для решения отдельных задач.
Подход LETA заключается в комплексном управлении рисками, охватывающем основные области ИТ-безопасности: защиту информации, выявление угроз и уязвимостей, защиту приложений, управление данными и доступом. Анализ рисков – основа всей деятельности по проектированию систем ИБ. На результатах анализа основывается работа как по созданию аппаратно-программной защиты, так и по построению организационной и документарной системы.
Для анализа рисков компания разработала собственную методику и соответствующее ПО – LETA Аsset Inventory Module и Risk Assessment Module, которые опираются на стандарты и методики ISO 27003, CRAMM, OCTAVE, NIST 800-30, Microsoft. The Security Risk Management Guide.
Однако классический анализ рисков выглядит как перечень в таблицах, далеко не всем понятный. Такие таблицы могут использовать в ежедневной работе специалисты по ИБ, но они практически не применимы для презентаций и отчетов для руководства и других заинтересованных лиц не из сферы информационной безопасности, хотя именно эти отчеты являются отправной точкой для принятия решения по финансированию необходимых работ. Чтобы дать специалистам ИБ возможность понятной подачи результатов анализа рисков, эксперты LETA разработали матрицу «Улитка LETA», которая применяется для визуализации работ. Это спираль, на которой против часовой стрелки расположены названия рисков, каждый в своей цветовой гамме: от красного цвета, обозначающего самый высокий риск, до зеленого, соответствующего малому риску.