Программные средства для управления рисками. Программные продукты по управлению рисками. Модель информационных потоков

Нами был описан и изучен системный подход к процессу управления рисками. Комплексность рассмотрения этого вопроса связана с тем, что мы определились, что для создания качественной системы анализа и управления рисками рассмотрение отдельных активностей данного домена не имеет смысла. Только при условии полного применения всех стадий риск-менеджмента можно говорить о системе, которая может обеспечить достижение поставленных целей.

Комплексная программа, которую мы ставим себе целью начать обсуждать сегодня, базируется на артефактах (процессах и объектах), которые мы описывали ранее.

В ее центре находятся:

• Процедуры планирования комплексной деятельности управления рисками;
• Методы управления рисками и инструментарий, которые взаимосвязаны между собой таким образом, что дополняют и «обогащают» друг друга по ходу реализации рассматриваемой программы.

Таким образом, сегодня нам предстоит дополнительное «погружение» в активность по анализу и управлению рисками, так что задерживаем дыхание…

Введение

На сегодняшний момент нами уже были описаны активности идентификации, оценки, анализа видов рисков (качественные и количественные), организации и, вводным образом, управления рисками. Актуальность и необходимость организации процессов анализа и управления рисками в единую комплексную программу, которая будет способна охватить и гармонизировать отдельные её части в единый административно-программный комплекс мы изложили и подтвердили в ранее изложенном материале.

Сегодня мы рассмотрим раздел дисциплины риск-менеджмента – «Комплексная программа управления рисками», который решает задачи повышения эффективности уже организованных процедур, внедрение новых, инновационных и при этом эффективных методов и техник, снижение явных и потенциальных потерь и максимизация эффекта основной/ых деятельностей компании.

Тут стоит отметить, что комплексная программа управления рисками представляет собой один из вариантов процесса риск-менеджмента. Реализация данной комплексной программы может быть рассмотрена как альтернатива внедрению риск-менеджмента. Каждый из рассмотренных нами ранее этапов процесса анализа и управления рисками представляет собой законченные стадии процессов внедрения риск-менеджмента, и могут быть использованы при планировании данной деятельности в конкретной организации, с условием адаптации под определенные условии компании.

По мнению многих экспертов, задачи программ управления рисками должны заключаться в достижении следующих результатов:

• Оптимальное использование имеющегося капитала;
• Получение максимального дохода;
• Повышение устойчивости развития компании;
• Снижение вероятности потери части или всей стоимости продукта или сервиса, получаемого от процессов домена информационных технологий, конкретной организации.

Таким образом, комплексную программу по управления рисками стоит рассматривать не только в качестве ИТ процесса, а скорее, в преобладающем значении данной активности, как бизнес составляющую предмета риск-менеджмента, от правильной организации которой будет зависеть конечный результат и дальнейшее положении организации на рынке.

Программа управления рисками

Современная, успешная комплексная программа управления рисками должна учитывать и решать задачи, связанные с актуальными потребностями компании, в области риск-менеджмента, которая приняла решение о внедрении процессов анализа и управления рисками.

Организации, применяющие риск-менеджмент, как правило, ставит перед этим доменом следующие задачи:

• Успешное функционирование, в условиях воздействия рисков;
• Защита от негативных, рисковых факторов, мешающих выполнению стратегии и тактик компании;
• Обоснованное принятие управленческих решений, с учетом имеющейся информации о явных и потенциальных рисках;
• Сохранение и развитие имеющихся информационных средств и технологий;
• Снижение чувствительности компании к рискам и повышение стабильности области информационных технологий, в условиях рискового окружения.

Комплексная программа управления рисками должна устанавливать единую структуру при работе с рисками, которая может отличаться вариантами реализации отдельных стадий, но, при этом последовательность (приведена по курсу, в виде последовательности изложения материалов) и результаты (документы) каждой из стадий должны соответствовать именно тем, которую мы привели в своем курсе:

• Сбор информации и требованиям по рискам:
  • Списки явных и потенциальных причин, которые могут привести к возникновению рисков;
• Идентификация рисков:
  • Реестр рисков;
• Предварительная оценка рисков:
  • Приоритезированный реестр рисков;
  • Стратегия по работе с рисками;
• Качественный анализ рисков:
  • Документ, содержащий качественную информацию о рисках и пути их решения (тактики);
  • Информация по рискам, которая может быть использована в активности количественного анализа;
  • База знаний/данных по ранее выявленным рискам с их описанием;
• Количественный анализ рисков:
  • Документ, содержащий количественную информацию о рисках и пути их решения (тактики);
  • Статистическая информация, которая может быть использована для дальнейшего учета рисков и планирования путей их решения;
• Система по анализу рисков:
  • Выработанные порядки и регламенты, которые должны агрегировать и использовать ранее полученные документы, с целью достижения показателей деятельности риск-менеджмента;
• Комплексная программа управления рисками:
  • Документ, содержащий информацию о комплексной программе управления рисками;
  • План процедур управления рисками;
• Дальнейшие активности:
  • План мониторинга рисков;
  • План совершенствования деятельности по анализу и управлению рисками;

При этом, каждый из описанных документов должен быть своевременно актуализирован и отслеживаться в дальнейшем, при выполнении деятельности риск-менеджмента в конкретной компании. При цели построения эффективной комплексной программы управления рисками и надлежащем выполнении составляющих данную цель задач, можно будет контролировать риски на всех организационных уровнях любой организации.

Риск-менеджеры должны быть в состоянии оценить окружающую ситуацию и способствовать разработке и внедрению необходимых документов, процедур, регламентов, описанных выше, в основу которых должны быть положены следующие принципы из области процессов анализа и управления рисками, которые были изложены нами ранее:

• Интегрированный, процессный подход к процессам анализа и управления рисками;
• Учет наиболее значимых рисков:
  • Создание реестра рисков. Актуализация реестра в течение деятельности процессов анализа и управления рисками;
• Идентификация рисков;
• Определение «хозяина» риска;
• Использование ролевой структуры для процесса риск-менеджмента;
• Использование определенных методов/групп методов для управления определенными рисками;
• Определение допустимых уровней рисков:
  • Контроль за состоянием рисков;

Чуть ранее, когда мы говорили об обеспечении деятельности риск-менеджмента, мы затронули тему документационного обеспечения данного направления работ, но при этом не раскрыли её более подробно. В разделе посвященном разработке процедур управления рисками, мы уделим особое внимание данному пункту.

Здесь же хочется сказать о том, что документация и ее реализация являются очень важной «вехой» работ разработки комплексной программы, игнорирование которых может привести к тому, что разработанная программа будет «одномоментным мероприятием». Такая реализация «рискует» остаться в конкретных «головах». Комплексная программа будет «закончена» с уходом группы ключевых специалистов, что ставит под сомнение системность подхода к разрабатываемому домену и демонстрирует его неэффективность при подобной реализации.

Нужно сказать о том, что комплексная программа управления рисками должна состоять из процессов, процедур, активностей и т.д. Результаты отдельных стадий, включенных в данную «над» активность должны быть гармонизированы друг с другом таким образом, чтобы четко прослеживались связи между отдельными активностями. От того, насколько успешно, продуманно, сочетаясь с общими целями риск-менеджмента, будет организована интеграция отдельных частей в общее целое зависит конечный результат домена рисков и деятельности организации в целом.

Разработка процедур управления рисками. Бизнес правила

Процедуры, составляющие процесс управления рисками представляют собой «шаблонные» пути решения, цель которых состоит в том, чтобы предложить для выбора в определенной ситуации варианты конкретных решений, которые целесообразно применить для использования в рисковой ситуации с определенными (известными и неизвестными) параметрами.

Выбор в пользу определенного варианта использования будет зависеть от того, насколько та или иная разработанная процедура управления определенным риском/группы рисков адаптирована под нужды конкретного окружения (внешние и внутренние параметры ситуации), соответствует конкретным процессам, в которых возможно проявление риска, будет эффективна для данного случая.

При разработке процедур целесообразно руководствоваться принципами, которые заложены в основе деятельности компании. Такие принципы принято называть бизнес-правилами. Большинство из них формируются в процессе «осознания» тех постулатов, которые являются движущими «рычагами» бизнеса. Они не всегда очевидны (как правило потому, что находятся в «головах» ограниченного количества стэйкхолдеров), но начинают существовать вместе с началом бизнес деятельности. От того, насколько они соблюдаются, зависит заданная стабильность развития того или иного направления бизнеса, в которой они применяются.

Именно бизнес правила и динамика их изменения определяют тренд развития информационных систем и, именно они, влияют на стабильность компании, в данном случае её рисковой составляющей.

Соответственно, из сказанного целесообразно сделать вывод о том, что бизнес правила являются одной из составляющих, определяющих величину «рисковости», которая доступна для управления и изучения.

Но, в современном бизнес сообществе бизнес правила очень часто игнорируются и «подменяются» на конкретные сценарии развития, которые «ложатся» в основу разработки процедур управления рисками. Тут стоит уточнить тот факт, что сценарии использования это конкретные варианты реализации рисков, а «бизнес правила» это универсальные/«псевдоуниверсальные» принципы, которые определяют сценарии использования, поэтому очень важно учитывать то, что при разработке процедур управления рисками должны использоваться именно бизнес правила. В таком случае можно говорить о достаточно надежной защите бизнеса от рисков.

Состав разрабатываемых процедур управления рисками определяется многими факторами, но в его основе находятся 2 основные составляющие, определяющие процедуры по управлению и анализу риск-менеджмента:

• Текущее «рисковое» состояние организации;
• Потребность/и стэйкхолдеров.

Именно потребности стэйкхолдеров определяют то, каким образом, с какой «документарной» и иными видами поддержки должна быть разработана та или иная процедура. В некоторых случаях разработка процедур может включать в себя следующие активности:

• Разработка предложений в части рискового домена для стратегии/политике предприятия;
• Документирование основных процедур управления рисками;
• Разработка методологии оценки отдельных видов рисков и совокупного риска;
• И т.д.

Оптимальноразработанные и примененные процедуры управления рисками позволят уменьшить (или исключить вообще) возможные ущербы, будет способствовать стабилизации и развитию компании.

Еще раз перечислим набор нормативно-методических документов, которые должны обеспечить процедуры управления рисками необходимой инструментально-правовой базой:

• Политика управления рисками
• Положение об управлении рисками
• Процедура управления рисками
• Методические указания по описанию и оценке рисков
• Методические указания по оценке влияния рисков на работы календарного плана
• Методические указания по формированию индикаторов рисков
• Справочник по процедуре управления рисками
• Справочник по типовым рискам

В итоге нужно сказать о том, что нет процедур управления рисками, которые могли бы быть разработаны таким образом, чтобы претендовать на универсальность и всестороннюю применимость. Каждая процедура должна учитывать специфику конкретной ситуации и определенных рисков, управление которых планируется осуществлять с помощью процедур управления рисками.

Методы управления рисками

В предыдущей статье мы поверхностно рассмотрели многообразие методов управления рисками, классифицировав их по следующим четырем категориям:

• Методы уклонения от рисков;
• Методы локализации рисков;
• Методы диверсификации рисков;
• Методы компенсации рисков.

Каждый из описанных методов предлагает конкретные, специализированные и эффективные решения для «рисковых» ситуаций, классифицированных определенным образом (смотри статьи про количественный и качественный метод анализа рисков) из общего множества по факторам, которые в дальнейшем могут явиться причиной возникновения ущерба.

«Искусство» обработки исходной информации, из которой можно вычленить необходимые «зерна» полезных данных смотри в статье про системный подход к процессу управления рискам, но необходимость оптимального учета факторов, критичных для классификации факторов риска является условием успешности применения того или иного метода управления рисками и, соответственно, результативность системы риск-менеджмента в целом.

Как было обосновано ранее, учет изменчивости «рисковой» составляющей и возможная миграция риска/группы рисков, направление которой будет достаточно сложно прогнозируемым, зависит от большого числа переменных:

• «Внутренних» по отношению к рисковому окружению;
• «Внешних» по отношению к рисковому окружению;
• Других рисков, различной степени взаимодействия с исходным;
• Эффектов проявления, «соединения», «разъединения» и т.д. рисков;

Поэтому важность накопления системной статистики по тому или иному риску является так же необходимым составляющим успешного выбора определенно метода по работе с рисками, который позволит обеспечить планомерное снижение уровня риска. При этом статистика должна отражать комплексную и адекватную «картину» развития риска.

В том случае, если предприятие, на котором проводится риск-менеджмент является достаточно крупным и условно стабильным в своем развитии, существует вероятность того, что необходимые оперативные реакции на изменения будут отвергнуты. Как правило, это происходит из-за «ложноинерциального» представления о достаточной защищенности от «динамическивозникающих» рисков, что может в дальнейшем привести к угрожающим последствиям от «ближнего» и «дальнего» проявления возникших ущербов.

Надо отметить, что в большинстве случаев

(что в большинстве случаев сложнее прогнозировать, но, как правило, более опасно из-за дополнительных неопределенных параметров)

В подобной ситуации, малые предприятия, неизбалованные приемлемым уровнем стабильности, стремятся более точно и гибко реагировать на неприемлемые для них риски и, при необходимости, сменить приоритеты своих активностей, что практически невыполнимо для средних и крупных организаций.

Реальные ситуации, для которых свойственно разнообразие факторов риска, должны учитывать критичные для них факторы и в зависимости от этого избирать оптимальный метод управления риском.

Дополнительным условием, которое накладывает ограничение на выбор метода управления риском, является персона руководителя, от чьего решения зависит то, какой будет выбран в конечном итоге метод.

Важно, чтобы данное лицо принимающее решение могло взглянуть на рабочую картину достаточно комплексно, и принять оптимальное, для конкретных условий, решение.

Выводы

Итак, в следующей статье, которая будет являться второй частью рассматриваемой темы, мы начнем с того, что подробно, с конкретными практическими примерами, рассмотрим классификацию методов управления рисками, подвергнем «декомпозиции» процессы сопровождения и совершенствования домена управления рисками, постараемся подробно осветить необходимый для этого инструментарий.

На этой «интригующей» ноте мы сегодня прощаемся с Вами.

Всего доброго и до скорых встреч, уважаемые коллеги!

, (, "", "", ""). , FRAP; (,). RiskWatch; , (CRAMM, Microsoft ..).

CRAMM - 80- . (CCTA) . CRAMM , . , . CRAMM, (profiles). (Commercial Profile), - (Government profile). , ITSEC (" "). RAMM . , . : , . : , . . . , . .

CRAMM . :

; - , ; ; - (), ; , : , .

; ; ; , ; ; , ; , ; .

1 10. CRAMM " , ":

2 - $1000; 6 - $1000 $10 000; 8 - $10 000 $100 000; 10 - $100 000.

(3) , () . , . .

, . . , (, . .). . CRAMM 36 , . , . , . 1 7. , . CRAMM . , . , :

(. 4.1); (. 4.2); (. 4.1).

4.1. (). , 10 3 4.2. (). , 0,33 , 0,33 0,66 , 0,66

, " ". . 4.1 . , - (), - ().

4.1. (. Annual Loss of Expectancy) CRAMM , . 4.2 ().

4.2. , (. 4.3)

4.3. . , . CRAMM , . : 300 ; 1000 ; 900 , . , CRAMM - , ().

FRAP "Facilitated Risk Analysis Process (FRAP)" Peltier and Associates (http://www.peltierassociates.com/) (Thomas R. Peltier) (,). , . - , . : . , (. cost/benefit analysis), . . , FRAP . 1. , () . 2. . : o (checklists), ;

; , ; o " ", . 3. , . , . , .o

, . , (). . (Probability):o o o

(High Probability) - , ; (Medium Probability) - ; (Low Probability) - , .

(Impact) - , :o

(High Impact): , ; (Medium Impact): , -; (Low Impact): , .

4.4. :o o o

A - (,) ; B - ; C - (,);

4.4. FRAP 4. , . , . , . , . , (, - .). , . , . , . :o o

; . 5. . , . , ..o o

OCTAVEOCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) - , Software Engineering Institute (SEI) (Carnegie Mellon University). www.cert.org/octave. - . , . , . OCTAVE: 1. , ; 2. ; 3. . (asset), (access), (actor), (motive), (outcome) . , OCTAVE: 1. , -, ; 2. , -, ; 3. , ; 4. . (disclosure), (modification), (loss/destruction) . (interruption).

OCTAVE " ", 1) . 4.5. - . - . , () - () (HR Database). , 4.3. 4.3. . (Asset) (HR Database) (Access) (Network) (Actor) (Inside) (Motive) (Deliberate) (Vulnerability) (Outcome) (Disclosure) (Catalog reference) -

4.5. , - . , (, ..) , (,). : ; ; ; ; "" , ; ; ; ; . , . , (web-, .), (checklists), . :

, (high-severity vulnerabilities); , (middle-severity vulnerabilities); , (low-severity vulnerabilities).

OCTAVE , . : (high), (middle), (low). , . , (, $10000 - , -). , :

OCTAVE , OCTAVE , .

RiskWatch RiskWatch , . RiskWatch:

RiskWatch for Physical Security - ; RiskWatch for Information Systems - ; HIPAA-WATCH for Healthcare Industry - HIPAA (US Healthcare Insurance Portability and Accountability Act), ; RiskWatch RW17799 for ISO 17799 - ISO 17799.

RiskWatch (Annual Loss Expectancy, ALE) (Return on Investment, ROI). RiskWatch . RiskWatch , . - . , (), . , (" ", "/ " ..), . , (. 4.6). , :

; ; (,); (, ..); ; (,); .

600 . . , . (LAFE SAFE), . .

4.6. - . , . , . , . , $150000, 0.01, $1500. (m=p*v, m - , p - , v -) , RiskWatch NIST , LAFE SAFE. LAFE (Local Annual Frequency Estimate) - , (,). SAFE (Standard Annual Frequency Estimate) - , " " (,). ,

, . (4.1) (4.2) ALE: (4.1) :

Asset Value - (, ..); Exposure Factor - - , () , ; Frequency - ; ALE - .

, . " " (Annualized Rate of Occurrence - ARO) " " (Single Loss Expectancy - SLE), (,). , - (4.2) (4.2) " :", . . RiskWatch LAFE SAFE, . ROI (Return on Investment -), . : (4.3)

Costsj - j - ; Benefitsi - (..), ; NPV (Net Present Value) - .

1 2. . . ROI (- . 4.7). .

4.7. ROI , . , .

Microsoft.

, , :1. . . 2. . . 3. . .

. . . (. *8] , -). .

, . (,). , (,). -. - . , . , :1. () - , . , . 2. () - , . , . , . 3. () - , . ,

. . . . . .

. . . - . . .

(. 4.8). (Excel) Microsoft. , . (- ,).

4.10 .

. ; . ; . .

(" ") , :

; : , ; : .

4.13. - . 4.14. .

4.14. . , . , 100 20%, . ,

: , . . 4.15 .

4.15. " ", . - . . . . 1 5. , . 4.16, (. 4.17). , .

4.17. . 4.18 . .

4.20. . , - ": 5, : 1", - ": 5, : 5".

4.20. (SRMGTool3)

. (1 10) (0 10). 0 100. "", "" "" , . 4.21

. . (single loss expectancy - SLE). (annual rate of occurrence - ARO). (annual loss expectancy - ALE).

. . . . . . . . .

. , . , . . . , . , (- () 20%). . (SLE). . 4.22 .

4.23. ()

(ARO). ARO . 4.24

(ALE) SLE ARO .

ALE . , . , - .

(, ..); (,) ; ; , ; , .

Говоря о программных продуктах, позволяющих минимизировать риски, следует отметить, что несмотря на то, что российские разработчики не предлагают специализированного программного обеспечения для управления рисками, однако существует значительных перечень решений, позволяющих использовать те или иные инструменты риск-менеджмента. Из программных продуктов российских разработчиков и производителей это, например, Project Expert, пакет Альт-Инвест, пакет МАСТЕР ПРОЕКТОВ Воронов&Максимов, Инвестор 3.0, ТЭО-ИНВЕСТ, FOCCAL-UNI и т.д.

Возможности специализированных программных продуктов достаточно сильно различаются, и в качестве примера таких решений можно привести, например, программы EGAR Risk Systems, SAS® Risk Dimensions, Pertmaster и т.д.

EGAR Risk Systems - это real-time системы и консалтинговые услуги по организации управления финансовыми рисками - рыночным, кредитным и операционным, построенные на основе комплексного подхода, современной методологии (согласно требованиям Basel II) и удовлетворяющие требованиям ЦБ России. Решение позволяет интегрировать процесс управления рисками в общую технологию проведения операций в финансовой организации и является составной частью процесса обработки транзакций (STP), что и обеспечивает его максимальную эффективность.

Интеграция с внешними транзакционными и платежными системами позволяет в режиме реального времени получать информацию относительно исполнения обязательств и таким образом адекватно идентифицировать рисковую позицию в любой момент времени. Системы EGAR Risk Systems обеспечивают оперативный сбор данных из разных источников, осуществляют консолидированный контроль лимитов, используют адекватные математические модели оценки рисков и отлаженные технологии сквозной обработки транзакций. Внедрение именно таких комплексных систем в современной финансовой организации способно обеспечить достижение главной цели - эффективного контроля и управления финансовыми рисками во всех их проявлениях.

Решение Компании SAS - SAS Risk Management является широко признанным в мире решением в области управления рисками на уровне всего банка. SAS Risk Management имеет гибкую, открытую и расширяемую среду управления рисками, что позволяет в полной мере отразить российскую специфику и актуальные для российских финансовых учреждений задачи.

SAS Risk Management представляет собой законченную, комплексную среду для организации доступа и консолидации внутренних и внешних данных; для исследования, анализа и оценки всевозможных рисков; для эффективного предоставления качественных отчетов. Принципиальная структура системы дает возможность пользователю управлять рыночными, кредитными и другими видами финансовых рисков в соответствии со своими специфическими условиями и потребностями.

Pertmaster - управление рисками, программный продукт более простой, при помощи которого сотрудники компании получают дополнительный инструмент контроля «что - если», просчитывающего развитие событий по проекту уже на стадии инициации проекта. Несмотря на специализированность, Pertmaster не сильно превосходит имеющий такую же опцию российский Project Expert.

Pertmaster позволяет проводить анализ достижимости графика проекта по срокам, трудозатратам и затратам, используя реалистические оценки исполнителей, оценить проект с точки зрения возможных рисков, влияющих на длительность работ и трудозатраты, учесть внешнюю среду проекта, реализуемого в сложных климатических условиях, обменный курс валют международного проекта.

Использование Pertmaster (рис 9.1) позволяет получить реалистичный сценарий хода выполнения проекта, моделировать стоимость проекта посредством определения внутренней нормы рентабельности и чистой приведенной стоимости, балансирования затрат по проекту с графиком платежей, формирования отчета по степени влияния работ на стоимость проекта, а также использовать реестр рисков с целью:

· идентификации рисков;

· качественной и количественной оценки рисков;

· назначения ответственных за риски;

· разработки плана реагирования на риски и его мониторинга и контроля.

Национальный Открытый Университет "ИНТУИТ": www.intuit.ru Сергей Нестеров Лекция 4. Методики и программные продукты для оценки рисков

Ниже приведены краткие описания ряда распространенных методик анализа рисков. Их можно разделить на:

методики, использующие оценку риска на качественном уровне (например, по шкале "высокий", "средний", "низкий"). К таким методикам, в частности, относится FRAP;

количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;

методики, использующие смешанные оценки (такой подход используется в CRAMM, методике

Microsoft и т.д.).

Методика CRAMM

Это одна из первых методик анализа рисков в сфере ИБ ­ работа над ней была начата в середине 80­х гг. центральным агентством по компьютерам и телекоммуникациям (CCTA) Великобритании.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и подходит как для крупных, так и для малых организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций ­ Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC ("Оранжевая книга").

Исследование ИБ системы с помощью СRAMM проводится в три стадии .

На первой стадии анализируется все, что касается идентификации и определения ценности ресурсов системы. Она начинается с решения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы, как они ее применяют или будут применять.

Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы.

Ценность физических ресурсов в CRAMM определяется стоимостью их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях: недоступность ресурса в течение определенного периода времени;

разрушение ресурса ­ потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

модификация ­ рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

нарушение действующего законодательства; ущерб для здоровья персонала;

ущерб, связанный с разглашением персональных данных отдельных лиц;

финансовые потери от разглашения информации; финансовые потери, связанные с восстановлением ресурсов;

потери, связанные с невозможностью выполнения обязательств; дезорганизация деятельности.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

В описаниях CRAMM в качестве примера приводится в такая шкала оценки по критерию "Финансовые потери, связанные с восстановлением ресурсов":

2 балла ­ менее $1000;

6 баллов ­ от $1000 до $10 000;

8 баллов ­ от $10 000 до $100 000; 10 баллов ­ свыше $100 000.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.

На второй стадии рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы. На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.

Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.

Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.

На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

CRAMM объединяет угрозы и уязвимости в матрице риска. Рассмотрим, как получается эта матрица, и что каждый из уровней риска означает.

Основной подход, для решения этой проблемы состоит в рассмотрении : уровня угрозы (шкала приведена в табл. 4.1 );

уровня уязвимости (шкала приведена в табл. 4.2 );

размера ожидаемых финансовых потерь (пример на рис. 4.1 ).

Таблица 4.1. Шкала оценки уровней угрозы (частота возникновения).

Описание	Значение
инцидент происходит в среднем, не чаще, чем каждые 10 лет очень низкий
инцидент происходит в среднем один раз в 3 года
инцидент происходит в среднем раз в год
инцидент происходит в среднем один раз в четыре месяца
инцидент происходит в среднем раз в месяц	очень высокий
Таблица 4.2. Шкала оценки уровня уязвимости (вероятность успешной
реализации угрозы).
Описание	Значение

В случае возникновения инцидента, вероятность развития событий низкий

Исходя из оценок стоимости ресурсов защищаемой ИС, оценок угроз и уязвимостей, определяются "ожидаемые годовые потери". На рис. 4.1 приведен пример матрицы оценки ожидаемый потерь . В ней второй столбец слева содержит значения стоимости ресурса, верхняя строка заголовка таблицы ­ оценку частоты возникновения угрозы в течение года (уровня угрозы), нижняя строка заголовка ­ оценку вероятности успеха реализации угрозы (уровня уязвимости).

Рис. 4.1. Матрица ожидаемых годовых потерь

Значения ожидаемых годовых потерь (англ. Annual Loss of Expectancy) переводятся в CRAMM в баллы, показывающие уровень риска, согласно шкале, представленной на рис. 4.2 (в этом примере размер потерь приводится в фунтах стерлингов).

Рис. 4.2. Шкала оценки уровня рисков

В соответствии с приведенной ниже матрицей, выводится оценка риска (рис. 4.3 )

Рис. 4.3. Матрица оценки риска

Третья стадия исследования заключается в поиске адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.

Таким образом, CRAMM ­ пример методики расчета, при которой первоначальные оценки даются на качественном уровне, и потом производится переход к количественной оценке (в баллах).

Методика FRAP

Методика "Facilitated Risk Analysis Process (FRAP)" предлагаемая компанией Peltier and Associates (сайт в Интернет http://www.peltierassociates.com/ ) разработана Томасом Пелтиером (Thomas R. Peltier) и

опубликована в (фрагменты данной книги доступны на сайте, приведенное ниже описание построено на их основе). В методике, обеспечение ИБ ИС предлагается рассматривать в рамках процесса управления рисками. Управление рисками в сфере ИБ ­ процесс, позволяющий компаниям найти баланс между затратами средств и сил на средства защиты и получаемым эффектом.

Управление рисками должно начинаться с оценки рисков: должным образом оформленные результаты оценки станут основой для принятия решений в области повышения безопасности системы.

После завершения оценки, проводится анализ соотношения затрат и получаемого эффекта (англ. cost/benefit analysis), который позволяет определить те средства защиты, которые нужны, для снижения риска до приемлемого уровня.

Ниже приведены основные этапы оценки рисков. Данный список во многом повторяет аналогичный перечень из других методик, но во FRAP более подробно раскрываются пути получения данных о системе и ее уязвимостях.

1. Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.

2. Идентификация угроз. При составлении списка угроз могут использоваться разные подходы:

заранее подготовленные экспертами перечни угроз (checklists), из которых выбираются актуальные для данной системы;

анализ статистики происшествий в данной ИС и в подобных ей ­ оценивается частота их возникновения; по ряду угроз, например, угрозе возникновения пожара, подобную статистику можно получить у соответствующих государственных организаций;

"мозговой штурм", проводимый сотрудниками компании.

3. Когда список угроз закончен, каждой из них сопоставляют вероятность возникновения. После чего оценивают ущерб, который может быть нанесен данной угрозой. Исходя из полученных значений, оценивается уровень угрозы.

При проведении анализа, как правило, принимают, что на начальном этапе в системе отсутствуют средства и механизмы защиты. Таким образом оценивается уровень риска для незащищенной ИС, что в последствии позволяет показать эффект от внедрения средств защиты информации (СЗИ).

Оценка производится для вероятности возникновения угрозы и ущерба от нее по следующим шкалам.

Вероятность (Probability):

Высокая (High Probability) ­ очень вероятно, что угроза реализуется в течение следующего года;

Средняя (Medium Probability) ­ возможно угроза реализуется в течение следующего года; Низкая (Low Probability) ­ маловероятно, что угроза реализуется в течение следующего года.

Ущерб (Impact) ­ мера величины потерь или вреда, наносимого активу:

Высокий (High Impact): остановка критически важных бизнес­подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;

Средний (Medium Impact): кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес­ подразделении;

Низкий (Low Impact): перерыв в работе, не вызывающий ощутимых финансовых потерь.

Оценка определяется в соответствии с правилом, задаваемым матрицей рисков, изображенной на рис. 4.4 . Полученная оценка уровня риска может интерпретироваться следующим образом:

уровень A ­ связанные с риском действия (например, внедрение СЗИ) должны быть выполнены немедленно и в обязательном порядке;

уровень B ­ связанные с риском действия должны быть предприняты;

уровень C ­ требуется мониторинг ситуации (но непосредственных мер по противодействию угрозе принимать, возможно, не надо);

уровень D ­никаких действий в данный момент предпринимать не требуется.

Рис. 4.4. Матрица рисков FRAP

4. После того как угрозы идентифицированы и дана оценка риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня. При этом должны приниматься во внимание законодательные ограничения, делающие невозможным или, наоборот, предписывающие в обязательном порядке, использование тех или иных средств и механизмов защиты. Чтобы определить ожидаемый эффект, можно провести оценку того же риска, но при условии внедрения предлагаемого СЗИ. Если риск снижен недостаточно, возможно, надо применить другое СЗИ. Вместе с определением средства защиты, надо определить какие затраты повлечет его приобретение и внедрение (затраты могут быть как прямые, так и косвенные ­ см. ниже). Кроме того, необходимо оценить, безопасно ли само это средство, не создает ли оно новых уязвимостей в системе.

Чтобы использовать экономически эффективные средства защиты, нужно проводить анализ соотношения затрат и получаемого эффекта. При этом надо оценивать не только стоимость приобретения решения, но и стоимость поддержания его работы. В затраты могут включаться:

стоимость реализации проекта, включая дополнительное программное и аппаратное обеспечение;

снижение эффективности выполнения системой своих основных задач; внедрение дополнительных политик и процедур для поддержания средства; затраты на найм дополнительного персонала или переобучение имеющегося.

5. Документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате. Полученный отчет может быть использован при определении политик, процедур, бюджета безопасности и т.д.

Методика OCTAVE

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) ­ методика поведения оценки

рисков в организации, разрабатываемая институтом Software Engineering Institute (SEI) при университете Карнеги Меллон (Carnegie Mellon University). Полное описание методики доступно в Интернет на сайте http://www.cert.org/octave . Ей также посвящено много научных и научно­технических статей .

Особенность данной методики заключается в том, что весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов. Для этого создается смешанная группа, включающая как технических специалистов, так и руководителей разного уровня, что позволяет всесторонне оценить последствия для бизнеса возможных инцидентов в области безопасности и разработать контрмеры.

OCTAVE предполагает три фазы анализа:

1. разработка профиля угроз, связанных с активом;

2. идентификация инфраструктурных уязвимостей;

3. разработка стратегии и планов безопасности.

Профиль угрозы включает в себя указания на актив (asset), тип доступа к активу (access), источник угрозы (actor), тип нарушения или мотив (motive), результат (outcome) и ссылки на описания угрозы в общедоступных каталогах. По типу источника, угрозы в OCTAVE делятся на:

1. угрозы, исходящие от человека­нарушителя, действующего через сеть передачи данных;

2. угрозы, исходящие от человека­нарушителя, использующего физический доступ;

3. угрозы, связанные со сбоями в работе системы;

4. прочие.

Результат может быть раскрытие (disclosure), изменение (modification), потеря или разрушение (loss/destruction) информационного ресурса или разрыв подключения. Отказ в обслуживании

Методика OCTAVE предлагает при описании профиля использовать "деревья вариантов", пример подобного дерева для угроз класса 1) приведен на рис. 4.5 . При создании профиля угроз рекомендуется избегать обилия технических деталей ­ это задача второго этапа исследования. Главная задача первой стадии ­ стандартизованным образом описать сочетание угрозы и ресурса.

Предположим, что на предприятии имеется информационный ресурс (актив) ­ база данных (БД) отдела кадров (HR Database). Профиль, соответствующий угрозе кражи информации сотрудником предприятия представлен в таблице 4.3 .

Таблица 4.3. Пример профиля угрозы.

Ресурс (Asset)	БД отдела кадров (HR Database)
Тип доступа (Access)	Через сеть передачи данных
Источник угрозы (Actor)	Внутренний (Inside)
Тип нарушения (Motive)	Преднамеренное (Deliberate)
Уязвимость (Vulnerability)
Результат (Outcome)	Раскрытие данных (Disclosure)

увеличить изображение Рис. 4.5. Дерево вариантов, использующееся при описании профиля

Вторая фаза исследования системы в соответствии с методикой ­ идентификация инфраструктурных уязвимостей. В ходе этой фазы определяется инфраструктура, поддерживающая существование выделенного ранее актива (например, если это БД отдела кадров, то нам для работы с ней нужен сервер, на котором база размещена, рабочая станция служащего отдела кадров и т.д.) и то окружение, которое может позволить получить к ней доступ (например, соответствующий сегмент локальной сети). Рассматриваются компоненты следующих классов: серверы; сетевое оборудование; СЗИ; персональные компьютеры; домашние персональные компьютеры "надомных" пользователей, работающих удаленно, но имеющих доступ в сеть организации; мобильные компьютеры; системы хранения; беспроводные устройства; прочее.

Группа, проводящая анализ для каждого сегмента сети, отмечает, какие компоненты в нем проверяются на наличие уязвимостей. Уязвимости проверяются сканерами безопасности уровня операционной системы, сетевыми сканерами безопасности, специализированными сканерами (для конкретных web­ серверов, СУБД и проч.), с помощью списков уязвимостей (checklists), тестовых скриптов.

Для каждого компонента определяется:

список уязвимостей, которые надо устранить немедленно (high­severity vulnerabilities);

список уязвимостей, которые надо устранить в ближайшее время (middle­severity vulnerabilities);

список уязвимостей, в отношении которых не требуется немедленных действий (low­severity vulnerabilities).

По результатам стадии готовится отчет, в котором указывается, какие уязвимости обнаружены, какое влияние они могут оказать на выделенные ранее активы, какие меры надо предпринять для устранения уязвимостей.

Разработка стратегии и планов безопасности ­ третья стадия исследования системы. Она начинается с оценки рисков, которая проводится на базе отчетов по двум предыдущим этапам. В OCTAVE при оценке риска дается только оценка ожидаемого ущерба, без оценки вероятности. Шкала: высокий (high), средний (middle), низкий (low). Оценивается финансовый ущерб, ущерб репутации компании, жизни и

здоровью клиентов и сотрудников, ущерб, который может вызвать судебное преследование в результате того или иного инцидента. Описываются значения, соответствующие каждой градации шкалы (например, для малого предприятия финансовый ущерб в $10000 ­ высокий, для более крупного ­ средний).

на среднюю перспективу;

списки задач на ближайшее время.

Для определения мер противодействия угрозам в методике предлагаются каталоги средств.

Хотелось бы еще раз подчеркнуть, что в отличие от прочих методик, OCTAVE не предполагает привлечения для исследования безопасности ИС сторонних экспертов, а вся документация по OCTAVE общедоступна и бесплатна, что делает методику особенно привлекательной для предприятий с жестко ограниченным бюджетом, выделяемым на цели обеспечения ИБ.

Методика RiskWatch

Компания RiskWatch разработала собственную методику анализа рисков и семейство программный средств, в которых она в той либо иной мере реализуется .

В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности:

RiskWatch for Physical Security ­ для анализа физической защиты ИС;

RiskWatch for Information Systems ­ для информационных рисков;

HIPAA­WATCH for Healthcare Industry ­ для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act), актуальных в основном для медицинских учреждений, работающих на территории США;

RiskWatch RW17799 for ISO 17799 ­ для оценки соответствия ИС требованиям стандарта международного стандарта ISO 17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются ожидаемые годовые потери (Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on Investment, ROI). RiskWatch ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов.

Первый этап ­ определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика, в шаблонах, соответствующих типу организации ("коммерческая информационная система", "государственная/военная информационная система" и т.д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации (рис. 4.6 ).

Раскрытие информации;

Прямые потери (например, от уничтожения оборудования огнем); Жизнь и здоровье (персонала, заказчиков и т.д.);

Изменение данных;

Косвенные потери (например, затраты на восстановление); Репутация.

Второй этап ­ ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей. На этом этапе, в частности, подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.

Для выявления возможных уязвимостей используется вопросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов.

Также задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность

ресурсов. Если для выбранного класса угроз в системе есть среднегодовые оценки возникновения (LAFE и SAFE), то используются они. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.

увеличить изображение Рис. 4.6. Определение категорий защищаемых ресурсов

Третий этап ­ количественная оценка риска. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования. По сути, риск оценивается с помощью математического ожидания потерь за год. Например, если стоимость сервера $150000, а вероятность того, что он будет уничтожен пожаром в течение года, равна 0.01, то ожидаемые потери составят $1500.

Формула расчета (m=p*v, где m ­математическое ожидание, p ­ вероятность возникновения угрозы, v ­ стоимость ресурса) претерпела некоторые изменения, в связи с тем, что RiskWatch использует определенные американским институтом стандартов NIST оценки, называемые LAFE и SAFE. LAFE (Local Annual Frequency Estimate) ­ показывает, сколько раз в год в среднем данная угроза реализуется в данном месте (например, в городе). SAFE (Standard Annual Frequency Estimate) ­ показывает, сколько раз в год в среднем данная угроза реализуется в этой "части мира" (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично.

Формулы (4.1) и (4.2) показывают варианты расчета показателя ALE :

Asset Value ­ стоимость рассматриваемого актива (данных, программ, аппаратуры и т.д.); Exposure Factor ­ коэффициент воздействия ­ показывает, какая часть (в процентах) от стоимости

актива, подвергается риску;

Frequency ­ частота возникновения нежелательного события;

ALE ­ это оценка ожидаемых годовых потерь для одного конкретного актива от реализации одной угрозы.

Когда все активы и воздействия идентифицированы и собраны вместе, то появляется возможность оценить общий риск для ИС, как сумму всех частных значений.

Можно ввести показатели "ожидаемая годовая частота происшествия" (Annualized Rate of Occurrence ­ ARO ) и "ожидаемый единичный ущерб" (Single Loss Expectancy ­ SLE), который может рассчитываться как разница первоначальной стоимости актива и его остаточной стоимости после происшествия (хотя подобный способ оценки применим не во всех случаях, например, он не подходит для оценки рисков, связанных с нарушением конфиденциальности информации). Тогда, для отдельно взятого сочетания угроза­ресурс применима формула (4.2)

Дополнительно рассматриваются сценарии "что если:", которые позволяют описать аналогичные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые потери при условии внедрения защитных мер и без них можно оценить эффект от таких мероприятий.

RiskWatch включает в себя базы с оценками LAFE и SAFE, а также с обобщенным описанием различных типов средств защиты.

Эффект от внедрения средств защиты количественно описывается с помощью показателя ROI (Return on Investment ­ возврат инвестиций), который показывает отдачу от сделанных инвестиций за определенный период времени. Рассчитывается он по формуле:

Costs j ­ затраты на внедрение и поддержание j ­меры защиты;

Benefits i ­ оценка той пользы (т.е. ожидаемого снижения потерь), которую приносит внедрение данной меры защиты;

NPV (Net Present Value) ­ чистая текущая стоимость.

Четвертый этап ­ генерация отчетов. Типы отчетов: Краткие итоги.

Полные и краткие отчеты об элементах, описанных на стадиях 1 и 2.

Отчет от стоимости защищаемых ресурсов и ожидаемых потерях от реализации угроз. Отчет об угрозах и мерах противодействия.

Отчет о ROI (фрагмент ­ на рис. 4.7 ). Отчет о результатах аудита безопасности.

http://www.intuit.ru/studies/courses/531/387/print_lecture/8996

Александр Бондаренко

Продолжая тематику оценки и управления рисками информационной безопасности в этом посте мне бы хотелось поговорить о программном обеспечении, которое может быть использовано для выполнения оценки рисков. Зачем вообще нужно это программное обеспечение? Дело в том, что как только вы глубоко погрузитесь в этот процесс, то сразу станет понятно, что проведение оценки сопряжено с довольно сложной комбинаторикой. Сочетание разных активов, уязвимостей, угроз, защитных мер рождает сотни, тысячи возможных комбинаций, описывающих риски и тут уже без подручных средств не обойтись. Что же сейчас можно найти на просторах интернета:

vsRisk . Программное обеспечение от британской компании Vigilant Software . Продукт позиционируется в первую очередь как программное обеспечение для оценки рисков в соответствии с требованиями ISO 27001 и BS7799-3 (ныне ISO27005). На сайте можно скачать триалку на 15 дней (размер - 390 МБ). Система мне показалась довольно примитивной и совсем не дружественной неподготовленному пользователю. В программе, например, есть довольно обширные списки возможных угроз, уязвимостей и контрмер, но при этом сама система не определяет никаких взаимосвящей между ними, это делается вручную самим пользователем. В общем я бы оценил программку на 3-ку. За что там просят 1700 Евро?! 8-).

PTA. Разработка компании PTA Technologies . Крайне интересный продукт на мой взгляд. Не привязан к какому-либо стандарту и реализует механизм количественной оценки рисков (!). Это я, кстати, отметил бы скорее как недостаток данного программного обеспечения, т.к. все дело в том, что далеко не все можно оценить с точностью до доллара, а возможность качественной оценки не предусмотрена. В системе также предусмотрен интересный механизм оценки эффективности предлагаемых контрмер, на основании чего можно, например, выдеть как меняется карта рисков когда мы добавляем или убираем те или иные контрмеры.

На сайте разработчика укзаано, что продукт платный и для скачивания доступна только триалка на 30 дней. Сколько же стоит сам продукт и как его можно приобрести - информации нет (видимо подход индивидуальный:)).

RSA Archer . Разработка компании Archer , с недавних пор принадлежащей гиганту RSA. Вообще говоря Archer - это такой огромный GRC-комбайн, который включает в себя множество различных модулей, один из которых обеспечивает управление рисками. Триалок для скачивания не предоставляется, на сайте есть презентационные видео. Стоимость данного продукта также не обозначена, но думаю что будет дорого, как и впрочем и все у RSA:)

Modulo Risk Manager . Разработка компании Modulo . На сайте доступно только довольно бедное описание функционала. Никакой триальной версии, никаких подробных видео-роликов. Тем не менее продукт отмечен наградой SC Magazine, а это значит что он все же чего-то стоит. К сожалению мне пока не удалось с ним ознакомиться.

RM Studio. Продукт одноименной организации (сайт).Д ля скачивания доступна 30-дневная триалка, помимо этого на сайте можно посмотреть видео-ролики, демонстрирующие сценарии использования продукта. На мой взгляд данное программное обеспечение слишком примитивное в плане оценки рисков и подходит только тем, кто делает оценку рисков "для галочки".

Гриф . Разработка компании Digital Security. Привел этот программный продукт скорее просто для общей картины. Сам продукт уже много лет никак не поддерживается компанией-разработчиком. Поэтому можно сказать, что его фактически уже нет. Пока это единственная отечественная разработка в этой области известная мне.

Откровенно говоря не густо. Я понимаю что мой обзор не может претендовать на 100% полноту, но все же....

Если кто-то знает еще какое-то программное обеспечение или другие способы автоматизации при проведени оценки рисков - прошу писать в комменты, обсудим.