ITRM – система автоматизации управления рисками
Компания 48IT разработала систему автоматизации ITRM (IT Risk Manager), которая предназначена для оценки и управления рисками информационной безопасности в соответствии с требованиями и рекомендациями международных стандартов.
Система позволяет сформировать перечень возможных угроз, провести оценку и анализ рисков, разработать план обработки рисков, оценить и обосновать затраты на обеспечение информационной безопасности.
Внедрение ITRM позволит решить такие задачи:
- определить цели управления ИБ;
- оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы;
- выработать осознанные и обоснованные решения для их контроля или минимизации влияния угроз;
- обосновать решения по выбору конкретных технических и организационных мер защиты перед руководством компании.
Описание решения
Решение реализовано на базе программного обеспечения с открытым исходным кодом GLPI и представляет собой готовый инструмент для оценки и обработки рисков информационных активов компании. Для работы с системой не требуется установка дополнительных клиентских приложений, достаточно наличие любого современного браузера. Решение включает в себя такие возможности:
Централизованное хранение информации по всем объектам оценки рисков
Централизованное хранение информации по имеющимся уязвимостям ИБ, вероятным угрозам и рискам,
связанным с реализацией угрозПроведение оценки рисков для каждого информационного актива в соответствии международным стандартам
Разработка плана обработки рисков и назначение задач исполнителям по его реализацииРазграничение прав доступа пользователей к информации в системе согласно ролевой моделиВозможность одновременной работы пользователей при проведении оценки рисковОтправка уведомлений владельцам информационных активов о внесении изменений в оценкуВозможность просмотра всех действий над объектами системыПостроение отчетов с информацией об оценке рисков, а также плане обработки рисков с возможностью
выгрузки в ExcelВозможности по интеграции
В рамках проекта возможна интеграция (организация взаимодействия) GLPI с такими системами:
- AD/LDAP
- Почтовая система
При желании Заказчика возможна интеграция данного решения по управлению рисками на базе GLPI с IP телефонией (Asterisk, Cisco и др.)
Преимущества
для службы ИБ:
- Систематизация информационных активов и бизнес-процессов, связанных с обработкой рисков
- Получение сводной аналитической информации об оценке рисков и плане обработки рисков
- Уменьшение временных затрат на проведение оценки рисков
- Формирование единого информационного пространства для проведения оценки рисков
- Предоставление необходимой информации для всех участников процесса (владельцы и менеджеры бизнес-процессов, сотрудники департамента ИБ, офицеры ИБ)
для компании в целом:
- Внедрение решения и последующая работа с ним позволит обеспечить экономически оправданную безопасность компании
- Меры по предупреждению рисков будут реализованы в первую очередь для тех сфер деятельности компании, которые наиболее уязвимы
- Управление рисками сможет обеспечить защиту от реализации рисков и в следствии этого повысить конкурентоспособность предприятия
- Отчеты по существующим угрозам понадобятся руководству предприятия для оценки ситуации и осуществления стратегического планирования
