Меню Рубрики

Как называется методика анализа рисков агентства ccta

Применение каких-либо инструментальных средств не является обязательным, однако оно позволяет уменьшить трудоемкость проведения анализа рисков и выбора контрмер. В настоящее время на рынке есть около десятка программных продуктов для анализа и управления рисками базового уровня безопасности. Демо-версии некоторых продуктов доступны по Интернет.

Примером является BSS (Baseline Security Survey), Рис. 4 . Демо-версия (без библиотеки контрмер) на момент написания статьи была доступна по адресу: ftp://ftp.rmcs.CRANFIELD.AC.UK/pub/department/ess/bss .

При выполнении полного анализа рисков приходится решать ряд сложных проблем:

  • Как определить ценность ресурсов?
  • Как составить полный список угроз ИБ и оценить их параметры?
  • Как правильно выбрать контрмеры и оценить их эффективность?

Для решения этих проблем существуют специально разработанные инструментальные средства, построенные с использованием структурных методов системного анализа и проектирования (SSADM — Structured Systems Analysis and Design), которые обеспечивают:

  • построение модели ИС с точки зрения ИБ;
  • методы для оценки ценности ресурсов;
  • инструментарий для составления списка угроз и оценки их вероятностей;
  • выбор контрмер и анализ их эффективности;
  • анализ вариантов построения защиты;
  • документирование (генерацию отчетов).

В настоящее время на рынке присутствует несколько программных продуктов этого класса. Наиболее популярный из них, CRAMM [19] [20] , рассмотрен ниже.

В 1985 году Центральное Агентство по Компьютерам и Телекоммуникациям (CCTA) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать методы, пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных методов не подошел. Поэтому был разработан новый метод, соответствующий требованиям CCTA. Он получил название CRAMM — Метод CCTA Анализа и Контроля Рисков. Затем появилось несколько версий метода, ориентированных на требования министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий, «коммерческий профиль», является коммерческим продуктом.

Целью разработки метода являлось создание формализованной процедуры, позволяющей:

  • убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы;
  • избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;
  • оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;
  • обеспечить проведение работ в сжатые сроки;
  • автоматизировать процесс анализа требований безопасности;
  • представить обоснование для мер противодействия;
  • оценивать эффективность контрмер, сравнивать различные варианты контрмер;
  • генерировать отчеты.

В настоящее время CRAMM является, судя по числу ссылок в Интернет, самым распространенным методом анализа и контроля рисков.

Анализ рисков включает в себя идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.

Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня.

Формальный метод, основанный на этой концепции, должен позволить убедиться, что защита охватывает всю систему и существует уверенность в том, что:

  • все возможные риски идентифицированы;
  • уязвимости ресурсов идентифицированы и их уровни оценены;
  • угрозы идентифицированы и их уровни оценены;
  • контрмеры эффективны;
  • расходы, связанные с ИБ, оправданы.

Исследование ИБ системы с помощью СRAMM проводится в три стадии.

Стадия 1: анализируется все, что касается идентификации и определения ценности ресурсов системы. В конце стадии 1 заказчик исследования будет знать, достаточно ли ему существующей традиционной практики или он нуждается в проведении полного анализа безопасности.

Стадия 2: рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии 2 заказчик получает идентифицированные и оцененные уровни рисков для своей системы.

Стадия 3: поиск адекватных контрмер. По существу это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. В конце стадии 3 он будет знать, как следует модифицировать систему в терминах мер уклонения от риска, а также выбора и проработки специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков.

Каждая стадия объявляется законченной после детального обсуждения и согласования результатов с заказчиком.

Для иллюстрации использования метода рассмотрим Рис. 5 — информационную систему поддержки принятия решений аварийно-спасательной службы. Система состоит из следующих элементов:

  • рабочих мест, с которых операторы вводят информацию, поступающую по телефонам, радиоканалам и др.;
  • почтового сервера, на который информация поступает с удаленных узлов ведомственной сети и через Интернет;
  • сервера обработки, на котором установлена СУБД и производится автоматизированный анализ текущей ситуации;
  • сервера резервного копирования;
  • рабочих мест группы оперативного реагирования;
  • рабочего места администратора безопасности;
  • рабочего места администратора БД.

Функционирование системы осуществляется следующим образом. Информация, введенная с рабочих мест и поступившая на почтовый сервер, направляется на сервер обработки. Затем она поступает на рабочие места группы оперативного реагирования, которая принимает решения.

Требуется провести анализ рисков системы и предложить контрмеры для обеспечения должного уровня ИБ.

  • определение границ исследования (границы системы);
  • идентификация ресурсов (оборудование, данные, программное обеспечение);
  • построение модели системы с точки зрения ИБ;
  • определение ценности ресурсов;
  • получение отчета и обсуждение его с заказчиком.

Стадия 1 начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация:

  • ответственные за физические и программные ресурсы;
  • кто является пользователем и как пользователи используют или будут использовать систему;
  • конфигурация системы.

Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками.

Проводится идентификация ресурсов: физических (для рассмотренного примера — Рис. 6 , программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. В версии 3 метода используется 15 классов физических ресурсов, 5 классов программных ресурсов и один класс для данных. Классификация физических ресурсов дана в Прил. IV .

Затем строится модель информационной системы с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом (End-User-Service), строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис, см. Рис. 7 . Построенная модель позволяет выделить критичные элементы.

Метод позволяет определить ценность ресурсов. Этот шаг является обязательным в полном варианте анализа рисков.

Ценность физических ресурсов в данном методе определяется ценой их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

  • недоступность ресурса в течение определенного периода времени;
  • разрушение ресурса — потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
  • нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
  • модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
  • ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба рекомендуется использовать некоторые из следующих критериев:

  • ущерб репутации организации;
  • нарушение действующего законодательства;
  • ущерб для здоровья персонала;
  • ущерб, связанный с разглашением персональных данных отдельных лиц;
  • финансовые потери от разглашения информации;
  • финансовые потери, связанные с восстановлением ресурсов;
  • потери, связанные с невозможностью выполнения обязательств;
  • дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода. В других версиях совокупность будет иной. Так, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые параметры, дается оценка ущерба по дискретной шкале со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) инфрмации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации? Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

  • ущерб для здоровья персонала;
  • ущерб репутации организации;
  • финансовые потери, связанные с восстановлением ресурсов;
  • дезорганизация деятельности в связи с недоступностью данных.

Затем разрабатываются шкалы для выбранной системы критериев. Они могут выглядеть следующим образом:

Ущерб репутации организации:

2 — негативная реакция отдельных чиновников, общественных деятелей.

4 — критика в средствах массовой информации, не имеющая широкого общественного резонанса;

6 — негативная реакция отдельных депутатов Думы, Совета Федерации;

8 — критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п.;

10 — негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала:

2 — минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением);

4 — ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет);

6 — серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников);

Финансовые потери, связанные с восстановлением ресурсов:

Дезорганизация деятельности в связи с недоступностью данных:

2 — отсутствие доступа к информации до 15 минут;

4 — отсутствие доступа к информации до 1 часа;

6 — отсутствие доступа к информации до 3 часов;

8 — отсутствие доступа к информации от 12 часов;

10 — отсутствие доступа к информации более суток.

Далее рассматриваются основные сценарии, приводящие к различным негативным последствиям, описываемым в терминах выбранных параметров, см. Рис. 8 .

На стадии 1 может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов).

Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от стадии 1 сразу к стадии 3. Однако для адекватного учета потенциального воздействия какой-либо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии 2. Это позволит разработать более эффективную схему защиты.

  • оценивается зависимость пользовательских сервисов от определенных групп ресурсов;
  • оценивается существующий уровень угроз и уязвимостей;
  • вычисляются уровни рисков;
  • анализируются результаты.

Производится группировка ресурсов с точки зрения угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.).

Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз ( Прил. V ) генерирует список вопросов, допускающих однозначный ответ (см. Рис. 9 ).

Уровень угроз оценивается, в зависимости от ответов, как (см. Рис. 10 ):

Уровень уязвимости оценивается, в зависимости от ответов, как:

Возможно проведение коррекции результатов или использование других методов оценки.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7.

Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к третьей стадии метода.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиты на 61 группу, см. Прил. VI . Условно их можно объединить в 3 категории:

  • около 300 рекомендаций общего плана;
  • более 1000 конкретных рекомендаций;
  • около 900 примеров того, как можно организовать защиту в данной ситуации.

На этой стадии возможно провести сравнительный анализ эффективности различных вариантов защиты.

источник

Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса — как оценить достаточный уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ — применение систем анализа рисков, позволяющих оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

Для подтверждения факта актуальности задачи обеспечения безопасности бизнеса, воспользуемся отчетом ФБР за 2003 год. Данные были собраны на основе опроса 530 американских компаний (средний и крупный бизнес).

Статистика инцидентов области ИТ-безопасности неумолима. Согласно данным ФБР в 2003 году 56% опрошенных компаний подвергались атаке:

Потери от разного вида информационных воздействий показаны на следующем графике:

По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:

  1. ограничение бюджета;
  2. отсутствие поддержки со стороны руководства.
Читайте также:  Медкнижка какие анализы сдавать 2017

Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности для ИТ-менеджера задачи обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Зачастую многие склонны думать, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках — техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security). Рассмотрим далее данные методы и построенные на их базе программные системы.

Метод CRAMM (the UK Goverment Risk Analysis and Managment Method) был разработан Службой безопасности Великобритании (UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 года, правительственными и коммерческими организациями Великобритании. К настоящему моменту CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

Метод CRAMM выбран нами для более детального рассмотрения и это не случайно. В настоящее время CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

  • проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;
  • проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 — Code of Practice for Information Security Management BS7799;
  • разработку политики безопасности и плана обеспечения непрерывности бизнеса.

В основе CRAMM, в котором сочетаются количественные и качественные методы анализа, лежит комплексный подход к оценке рисков. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется коммерческий профиль (Commercial Profile), для правительственных организаций — правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

Если по результатам проведения первого этапа, установлено, что уровень критичности ресурсов является очень низким и существующие риски заведомо не превысят некоторого базового уровня, то к системе предъявляется минимальный набор требований безопасности. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется стандартный список контрмер для обеспечения соответствия базовому набору требований безопасности.

На втором этапе производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники.

На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер. Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.

В случае принятия решения о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения новых контрмер и оценки эффективности их использования. Решение этих задач выходит за рамки метода CRAMM.

Концептуальная схема проведения обследования по методу CRAMM показана на схеме:

К недостаткам метода CRAMM можно отнести следующее:

  • Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора.
  • CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки.
  • Аудит по методу CRAMM — процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора.
  • Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике.
  • CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.
  • Возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.
  • ПО CRAMM существует только на английском языке.
  • Высокая стоимость лицензии.

Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

  • RiskWatch for Physical Security — для физических методов защиты ИС;
  • RiskWatch for Information Systems — для информационных рисков;
  • HIPAA-WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA;
  • RiskWatch RW17799 for ISO17799 — для оценки требованиям стандарта ISO17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» (Annual Loss Expectancy — ALE) и оценка «возврата от инвестиций» (Return on Investment — ROI). Семейство программных продуктов RiskWatch, имеет массу достоинств.

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы:

Первая фаза — определение предмета исследования. На данном этапе описываются общие параметры организации — тип организации, состав исследуемой системы, базовые требования в области безопасности. Описание формализуется в ряде подпунктов, которые можно выбрать для более подробного описания или пропустить.

Далее каждый из выбранных пунктов описывается подробно. Для облегчения работы аналитика в шаблонах даются списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

Вторая фаза — ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе подробно описываются ресурсы, потери и классы инцидентов.

Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов. Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов, связанных с категориями ресурсов. Допускается корректировка вопросов, исключение или добавление новых. Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффективности внедрения средств защиты.

Третья фаза — оценка рисков. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих этапах. Для рисков рассчитываются математические ожидания потерь за год по формуле:
m=p * v, где p — частота возникновения угрозы в течение года, v — стоимость ресурса, который подвергается угрозе.

Например, если стоимость сервера $150 000, а вероятность того, что он будет уничтожен пожаром в течение года, равна 0.01, то ожидаемые потери составят $1 500. Дополнительно рассматриваются сценарии «что если. », которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них можно оценить эффект от таких мероприятий.

Четвертая фаза — генерация отчетов. Типы отчетов: краткие итоги; полные и краткие отчеты об элементах, описанных на стадиях 1 и 2; отчет о стоимости защищаемых ресурсов и ожидаемых потерь от реализации угроз; отчет об угрозах и мерах противодействия; отчет о результатах аудита безопасности.

К недостаткам RiskWatch можно отнести:

  • Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций — метод не учитывает комплексный подход к информационной безопасности.
  • ПО RiskWatch существует только на английском языке.
  • Высокая стоимость лицензии — от $15 000 за одно рабочее место для небольшой компании и от $125 000 за корпоративную лицензию.

Для проведения полного анализа информационных рисков, прежде всего, необходимо построить полную модель информационной системы с точки зрения ИБ. Для решения этой задачи ГРИФ, в отличие от представленных на рынке западных систем анализа рисков, довольно громоздких и часто не предполагающих самостоятельного использования ИТ-менеджерами и системными администраторами, ответственными за обеспечение безопасности информационных систем компаний, обладает простым и интуитивно понятным для пользователя интерфейсом. Однако за внешней простотой скрывается сложный алгоритм анализа рисков, учитывающий более ста параметров, который позволяет на выходе дать точную оценку существующих в информационной системе рисков, основанную на анализе особенностей практической реализации информационной системы.

Основная задача системы ГРИФ — дать возможность ИТ-менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе и эффективность существующей практики по обеспечению безопасности компании, а также предоставить возможность доказательно (в цифрах) убедить руководство компании в необходимости инвестиций в сферу ее информационной безопасности.

На первом этапе метода ГРИФ проводится опрос ИТ-менеджера с целью определения полного списка информационных ресурсов, представляющих ценность для компании.

На втором этапе проводится опрос ИТ-менеджера с целью ввода в систему ГРИФ всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т. д.). Заключительная фаза — указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.

На третьем этапе проходит определение всех видов пользовательских групп с указанием числа пользователей в каждой группе. Затем фиксируется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащим ценную информацию.

На четвертом этапе проводится опрос ИТ-менеджера для определения средств защиты ценной информации на ресурсах. Кроме того, в систему вводится информация о разовых затратах на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также ежегодные затраты на сопровождение системы информационной безопасности компании.

На завершающем этапе необходимо ответить на вопросы по политике безопасности, реализованной в системе, что позволит оценить реальный уровень защищенности системы и детализировать оценки рисков.

Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т. д.

Читайте также:  Виды экономического анализа какой прогноз

В результате выполнения всех действий по данным этапам, на выходе будет сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволит перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.

Подробный отчет по системе, дающий картину возможного ущерба от инцидентов, готов для представления руководству компании:

К недостаткам ГРИФ можно отнести:

  • Отсутствие привязки к бизнесс-процессам (запланировано в следующей версии).
  • Отсутствие возможности сравнения отчетов на разных этапах внедрения комплекса мер по обеспечению защищенности (запланировано в следующей версии).
  • Отсутствие возможности добавления специфичных для данной компании требований политики безопасности.

При написании статьи использовалась литература:

  1. Современные технологии анализа рисков в информационных системах (PCWEEK N37’2001), Сергей Симонов
  2. Материалы компании «Джет Инфосистемс»
  3. Материалы компании «Digital Security»

источник

Необходимость инвестиций в информационную безопасность (ИБ) бизнеса не вызывает сомнений. Чтобы подтвердить актуальность задачи обеспечения безопасности бизнеса, воспользуемся отчетом ФБР, выпущенным по материалам опроса американских компаний (средний и крупный бизнес). Статистика инцидентов в области ИТ-секьюрити неумолима. Согласно данным ФБР, в нынешнем году 56% опрошенных компаний подвергались атаке (рис. 1).

Рис. 1. Статистика инцидентов в области информационной безопасности. Источник: CSI/FBI 2005 Computer Crime and Security Survey.

Но как оценить уровень вложений в ИБ, который обеспечит максимальную эффективность вложенных средств? Для решения этой задачи существует только один способ — применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

По статистике, самые серьезные препятствия на пути принятия каких-либо мер для обеспечения информационной безопасности в компании связаны с двумя причинами: ограничение бюджета и отсутствие поддержки со стороны руководства.

Обе эти причины возникают из-за непонимания руководством серьезности вопроса и неспособности ИТ-менеджера обосновать, зачем вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках — техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для улучшения защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет себе, сколько денег компания может потерять в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно принять для повышения уровня защищенности, не потратив при этом лишних денег, и все это подтверждено документально, то решение его задачи — убедить руководство обратить внимание и выделить средства на обеспечение ИБ — становится значительно более реальным.

Для решения такого рода задач разработаны специальные методы и построенные на их базе программные комплексы анализа и контроля информационных рисков. Мы рассмотрим систему CRAMM британской компании Insight Consulting (http://www.insight.co.uk), американскую RiskWatch одноименной компании (http://www.riskwatch.com) и российский пакет ГРИФ компании Digital Security (http://www.dsec.ru). Их сравнительные характеристики приведены в таблице.

ОС Windows 98/Me/NT/2000/XP
Свободное дисковое пространство 50 Мбайт

Минимальные требования:
частота процессора 800 МГц, 64 Мбайт памяти

Рекомендуемые требования:
частота процессора 1000 МГц, 128 Мбайт памяти

Минимальные требования:
свободное дисковое пространство (для диска c данными пользователя) 300 Мбайт, 256 Мбайт памяти

Рекомендуемые требования:
свободное дисковое пространство (для диска с данными пользователя) 1 Гбайт, 512 Мбайт памяти

Входные данные:

  • ресурсы;
  • ценность ресурсов;
  • угрозы;
  • уязвимости системы;
  • выбор адекватных контрмер.
  • отчет по анализу рисков;
  • общий отчет по анализу рисков;
  • детализированный отчет по анализу рисков.
  • тип информационной системы;
  • базовые требования в области безопасности;
  • ресурсы;
  • потери;
  • угрозы;
  • уязвимости;
  • меры защиты;
  • ценность ресурсов;
  • частота возникновения угроз;
  • выбор контрмер.
  • краткие итоги;
  • отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
  • отчет об угрозах и мерах противодействия;
  • отчет о ROI
  • отчет о результатах аудита безопасности.
  • ресурсы;
  • сетевое оборудование;
  • виды информации;
  • группы пользователей;
  • средства защиты;
  • угрозы;
  • уязвимости;
  • выбор контрмер.
  • инвентаризация ресурсов;
  • риски по видам информации;
  • риски по ресурсам;
  • соотношение ущерба и риска информации и ресурса;
  • выбранные контрмеры;
  • рекомендации экспертов.
Критерии сравнения CRAMM RiskWatch ГРИФ 2005 Digital Security Office
Поддержка Обеспечивается Обеспечивается Обеспечивается
Легкость работы для пользователя Требует специальной подготовки и высокой квалификации аудитора Требует специальной подготовки и высокой квалификации аудитора Интерфейс ориентирован на ИТ-менеджеров и руководителей; не требует специальных знаний в области ИБ
Стоимость лицензии за одно рабочее место, долл. От 2000 до 5000 От 10 000 От 1000
Системные требования ОС Windows 2000/XP
Свободное дисковое пространство для инсталляции 30 Мбайт
Процессор Intel Pentium или совместимый, 256 Мбайт памяти
Количественный/качественный метод Качественная оценка Количественная оценка Качественная и количественная оценки
Сетевое решение Отсутствует Отсутствует Корпоративная версия Digital Security Office 2005

Метод CRAMM (CCTA Risk Analysis and Management Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию британского правительства и взят на вооружение в качестве государственного стандарта. Начиная с 1985 г. он используется правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting занимается разработкой и сопровождением программного продукта, реализующего метод CRAMM.

Метод CRAMM (http://www.cramm.com) не случайно выбран нами для более детального рассмотрения. В настоящее время CRAMM — это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать ряд других аудиторских задач, включая:

  • обследование ИС и выпуск сопроводительной документации на всех этапах его проведения;
  • аудит в соответствии с требованиями британского правительства, а также стандарта BS 7799:1995 Code of Practice for Information Security Management;
  • разработку политики безопасности и плана обеспечения непрерывности бизнеса.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод универсален и подходит и для больших, и для малых организаций как правительственного, так и коммерческого сектора. Версии ПО CRAMM, ориентированные на разные типы организаций, отличаются друг от друга базами знаний (profiles): для коммерческих организаций имеется Commercial Profile, для правительственных — Government profile. Правительственный вариант профиля также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»). Концептуальная схема проведения обследования по методу CRAMM показана на рис. 2.

Рис. 2. Схема проведения обследования по методу CRAMM.

При грамотном использовании метода CRAMM удается получать очень хорошие результаты, из которых, пожалуй, наиболее важный — возможность экономического обоснования расходов организации на обеспечение ИБ и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет в конечном счете сохранить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задача первого этапа состоит в ответе на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе проводится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

На первой стадии исследования выполняется идентификация и определение ценности защищаемых ресурсов. Оценка проводится по десятибалльной шкале, причем критериев оценки может быть несколько — финансовые потери, ущерб репутации и т. д. В описаниях CRAMM в качестве примера приводится такая шкала оценки по критерию «Финансовые потери, связанные с восстановлением ресурсов»:

  • 2 балла — менее 1000 долл.;
  • 6 баллов — от 1000 до 10 000 долл.;
  • 8 баллов — от 10 000 до 100 000 долл.;
  • 10 баллов — свыше 100 000 долл.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что для рассматриваемой системы достаточно базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ), и вторая стадия исследования пропускается.

На второй стадии идентифицируются и оцениваются угрозы в сфере ИБ, проводится поиск и оценка уязвимостей защищаемой системы. Уровень угроз оценивается по следующей шкале: очень высокий, высокий, средний, низкий, очень низкий. Уровень уязвимости оценивается как высокий, средний или низкий. На основе этой информации вычисляется оценка уровня риска по семибалльной шкале (рис. 3).

Рис. 3. Вторая стадия исследования по методу CRAMM — оценка уровня риска.

На третьей стадии CRAMM генерирует варианты мер противодействия выявленным рискам. Продукт предлагает рекомендации следующих типов:

  • рекомендации общего характера;
  • конкретные рекомендации;
  • примеры того, как можно организовать защиту в данной ситуации.

CRAMM имеет обширную базу, в которой содержатся описания около 1000 примеров реализации подсистем защиты различных компьютерных систем. Эти описания можно использовать в качестве шаблонов.

Решение о внедрении в систему новых механизмов безопасности и модификации старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задача аудитора состоит в том, чтобы обосновать рекомендуемые меры для руководства организации.

Если принято решение о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения и оценки эффективности использования этих мер. Решение этих задач выходит за рамки метода CRAMM.

К недостаткам метода CRAMM можно отнести следующие:

  • метод требует специальной подготовки и высокой квалификации аудитора;
  • аудит по методу CRAMM — процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
  • CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, запущенных в эксплуатацию, нежели для ИС, находящихся на стадии разработки;
  • программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
  • CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
  • возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
  • ПО CRAMM не локализовано, существует только на английском языке;
  • высокая стоимость лицензии — от 2000 до 5000 долл.

ПО RiskWatch — это мощное средство анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

  • RiskWatch for Physical Security — для физических методов защиты ИС;
  • RiskWatch for Information Systems — для информационных рисков;
  • HIPAA-WATCH for Healthcare Industry — для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);
  • RiskWatch RW17799 for ISO 17799 — для оценки соответствия требованиям стандарта ISO 17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).

Семейство программных продуктов RiskWatch имеет массу достоинств. RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. В отличие от CRAMM, программа RiskWatch более ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Следует также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно.

В основе продукта RiskWatch лежит методика анализа рисков, в которой можно выделить четыре этапа.

Первый этап — определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика в шаблонах, соответствующих типу организации («коммерческая информационная система», «государственная/военная информационная система» и т. д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

Читайте также:  Как делать анализ на английском

Например, для потерь предусмотрены такие категории:

  • задержки и отказ в обслуживании;
  • раскрытие информации;
  • прямые потери (например, от уничтожения оборудования огнем);
  • жизнь и здоровье (персонала, заказчиков и т. д.);
  • изменение данных;
  • косвенные потери (например, затраты на восстановление);
  • репутация.

Определение категорий защищаемых ресурсов в пакете RiskWatch иллюстрирует рис. 4.

Рис. 4. Определение категорий защищаемых ресурсов в пакете RiskWatch.

Второй этап — ввод данных, описывающих конкретные характеристики системы. Они могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

На этом этапе подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.

Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов. Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.

Третий и, наверное, самый важный этап — количественная оценка. На этом этапе рассчитывается профиль рисков и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования (риск описывается совокупностью этих четырех параметров).

Фактически риск оценивается с помощью математического ожидания потерь за год. Например, если стоимость сервера — 150 тыс. долл., а вероятность того, что он будет уничтожен пожаром в течение года, равна 0,01, то ожидаемые потери составят 1500 долл.

Общеизвестная формула m=p х v, где m — математическое ожидание, p — вероятность возникновения угрозы, v — стоимость ресурса, претерпела некоторые изменения в связи с тем, что RiskWatch использует определенные американским Институтом стандартов NIST оценки, называемые LAFE и SAFE. LAFE (Local Annual Frequency Estimate) показывает, сколько раз в год в среднем данная угроза реализуется в данном месте (например, в городе). SAFE (Standard Annual Frequency Estimate) показывает, сколько раз в год в среднем данная угроза реализуется в этой «части мира» (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что при реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а лишь частично.

Дополнительно рассматриваются сценарии «что, если. «, которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них, можно оценить эффект от таких мероприятий.

RiskWatch включает в себя базы с оценками LAFE и SAFE, а также с обобщенным описанием различных типов средств защиты.

Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment — отдача от инвестиций), который показывает отдачу от сделанных инвестиций за определенный период времени. Рассчитывается этот показатель по формуле:

где Costsi — затраты на внедрение и поддержание i-той меры защиты; Benefitsi — оценка той пользы (ожидаемого снижения потерь), которую приносит внедрение данной меры защиты; NVP (Net Value Present) дает поправку на инфляцию.

Четвертый этап — генерация отчетов. Возможны следующие типы отчетов:

  • краткие итоги;
  • полные и краткие отчеты об элементах, описанных на стадиях 1 и 2;
  • отчет о стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз;
  • отчет об угрозах и мерах противодействия;
  • отчет о ROI;
  • отчет о результатах аудита безопасности.

Пример расчета показателя ROI для различных мер защиты приведен на рис. 5.

Рис. 5. Показатель ROI для различных мер защиты, рассчитанный при помощи RiskWatch.

Таким образом, RiskWatch позволяет оценить не только риски, которые сейчас существуют на предприятии, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия.

Для отечественных пользователей проблема заключается в том, что получить используемые в RiskWatch оценки (такие, как LAFE и SAFE) для наших условий достаточно проблематично. Хотя сама методология может с успехом применяться и у нас.

Подводя итог, отметим, что, выбирая конкретную методику анализа рисков на предприятии и поддерживающие ее инструментальные средства, следует ответить на вопрос: нужна ли точная количественная оценка последствий реализации угроз или достаточно оценки на качественном уровне. Необходимо также учитывать следующие факторы: наличие экспертов, способных дать достоверные оценки объема потерь от угроз информационной безопасности, и наличие на предприятии достоверной статистики инцидентов в сфере информационной безопасности.

К недостаткам RiskWatch можно отнести следующее:

  • данный метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов;
  • полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывают понимание риска с системных позиций — метод не учитывает комплексный подход к информационной безопасности;
  • ПО RiskWatch существует только на английском языке;
  • высокая стоимость лицензии — от 10 000 долл. за одно рабочее место для небольшой компании.

ГРИФ — это комплексная система анализа и управления рисками информационной системы компании. ГРИФ 2005 из состава Digital Security Office (http://www.dsec.ru/products/grif/) дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты корпоративной информации.

Система ГРИФ анализирует уровень защищенности ресурсов, оценивает возможный ущерб от реализации угроз ИБ и помогает управлять рисками, выбирая контрмеры.

Анализ рисков ИС проводится двумя способами: при помощи модели информационных потоков или модели угроз и уязвимостей, в зависимости от того, какими исходными данными располагает пользователь, а также от того, какие данные его интересуют на выходе.

При работе с моделью информационных потоков в систему вносится полная информация обо всех ресурсах с ценной информацией, пользователях, имеющих доступ к этим ресурсам, видах и правах доступа. Заносятся данные обо всех средствах защиты каждого ресурса, сетевые взаимосвязи ресурсов, характеристики политики безопасности компании. В результате получается полная модель информационной системы.

На первом этапе работы с программой пользователь вносит все объекты своей информационной системы: отделы, ресурсы (к специфичным объектам данной модели относятся сетевые группы, сетевые устройства, виды информации, группы пользователей, бизнес-процессы).

Далее пользователю необходимо проставить связи, т. е. определить, к каким отделам и сетевым группам относятся ресурсы, какая информация хранится на ресурсе и какие группы пользователей имеют к ней доступ. Пользователь также указывает средства защиты ресурса и информации.

На завершающем этапе пользователь отвечает на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков.

Наличие средств информационной защиты, отмеченных на первом этапе, само по себе еще не делает систему защищенной в случае их неадекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т. д.

В результате выполнения всех действий на данных этапах на выходе формируется полная модель информационной системы с точки зрения информационной безопасности с учетом реального выполнения требований комплексной политики безопасности, что позволяет перейти к программному анализу введенных данных для получения комплексной оценки рисков и формирования итогового отчета.

Работа с моделью анализа угроз и уязвимостей подразумевает определение уязвимостей каждого ресурса с ценной информацией и соответствующих угроз, которые могут быть реализованы через данные уязвимости. В результате получается полная картина слабых мест в информационной системе и того ущерба, который может быть нанесен.

На первом этапе работы с продуктом пользователь вносит в систему объекты своей ИС: отделы, ресурсы (к специфичным объектам для данной модели относятся угрозы информационной системе и уязвимости, через которые реализуются угрозы).

Система ГРИФ 2005 включает обширные встроенные каталоги угроз и уязвимостей, в которых содержится около 100 угроз и 200 уязвимостей. Для максимальной полноты и универсальности данных каталогов эксперты Digital Security разработали специальную классификацию угроз DSECCT, в которой реализован многолетний практический опыт в области информационной безопасности. Используя эти каталоги, пользователь может выбрать угрозы и уязвимости, относящиеся к его информационной системе.

Далее пользователю необходимо проставить связи, т. е. определить, к каким отделам относятся ресурсы, какие угрозы действуют на ресурс и через какие уязвимости они реализуются.

Алгоритм системы ГРИФ 2005 анализирует построенную модель и генерирует отчет, который содержит значения риска для каждого ресурса. Конфигурация отчета может быть практически любой, что позволяет создавать как краткие отчеты для руководства, так и детальные отчеты для дальнейшей работы с результатами (рис. 6).

Рис. 6. Пример отчета в системе ГРИФ 2005.

Система ГРИФ 2005 содержит модуль управления рисками, который позволяет проанализировать все причины того, что после обработки алгоритмом занесенных данных получается именно такое значение риска. Таким образом, зная причины, можно получить данные, необходимые для реализации контрмер и, соответственно, снижения уровня риска. Рассчитав эффективность каждой возможной контрмеры, а также определив значение остаточного риска, можно выбрать контрмеры, которые позволят снизить риск до необходимого уровня.

В результате работы с системой ГРИФ строится подробный отчет об уровне риска каждого ценного ресурса информационной системы компании, указываются все причины риска с подробным анализом уязвимостей и оценкой экономической эффективности всех возможных контрмер.

Лучшие мировые практики и ведущие международные стандарты в области ИБ, в частности ISO 17799, требуют для эффективного управления безопасностью информационной системы внедрения системы анализа и управления рисками. При этом можно использовать любые удобные инструментальные средства, но главное — всегда четко понимать, что система информационной безопасности создана на основе анализа информационных рисков, проверена и обоснована. Анализ и управление информационными рисками — ключевой фактор для построения эффективной защиты информационной системы.

  • Решение Fortinet для безопасности подключенных автомобилей
  • Решение для защиты критичных сегментов сетевой инфраструктуры
  • Решения HID Global для безопасности приложений Интернета вещей
  • Check Point отметила рост атак на корпоративные сети
  • Новые троянцы для Linux

Поместить в блог

Комментарии к статье

Рекламные ссылки

Chloride
Демонстрация Chloride Trinergy
Впервые в России компания Chloride Rus провела демонстрацию системы бесперебойного электропитания Chloride Trinergy®, а также ИБП Chloride 80-NET™, NXC и NX для своих партнеров и заказчиков.

NEC Нева Коммуникационные Системы
Завершена реорганизация двух дочерних предприятий NEC Corporation в России
С 1 декабря 2010 года Генеральным директором ЗАО «NEC Нева Коммуникационные Системы» назначен Раймонд Армес, занимавший ранее пост Президента Shyam …

компания «Гротек»
С 17 по 19 ноября 2010 в Москве, в КВЦ «Сокольники», состоялась VII Международная выставка InfoSecurity Russia. StorageExpo. Documation’2010.
Новейшие решения защиты информации, хранения данных и документооборота и защиты персональных данных представили 104 организации. 4 019 руководителей …

МФУ Panasonic DP-MB545RU с возможностью печати в формате А3
Хотите повысить эффективность работы в офисе? Вам поможет новое МФУ #Panasonic DP-MB545RU. Устройство осуществляет

Adaptec by PMC
RAID-контроллеры Adaptec Series 5Z с безбатарейной защитой кэша
Опытные сетевые администраторы знают, что задействование в работе кэш-памяти RAID-контроллера дает серьезные преимущества в производительности …

Chloride
Трехфазный ИБП Chloride от 200 до 1200 кВт: Trinergy
Trinergy — новое решение на рынке ИБП, впервые с динамическим режимом работы, масштабируемостью до 9.6 МВт и КПД до 99%. Уникальное сочетание …

источник