- •Условные сокращения
- •Введение
- •1. Менеджмент риска информационной безопасности
- •1.1. Основные термины и определения
- •1.2. Система менеджмента информационной безопасности
- •1.3. Менеджмент риска информационной безопасности
- •Конец первой и последующих итераций
- •1.3.1. Установление контекста
- •1.3.2. Оценка риска нарушения информационной безопасности
- •1.3.2.1. Анализ риска
- •1.3.2.1.1. Идентификация риска
- •1. Определение (идентификация) активов
- •Реестр информационных ресурсов Компании
- •2. Определение угроз
- •Определение существующих мер и средств контроля и управления
- •Выявление уязвимостей
- •5. Определение последствий
- •1.3.2.1.2. Установление значения риска (количественная оценка риска)
- •1.3.2.2. Оценивание риска
- •1.3.3. Обработка риска
- •1) Снижение риска
- •2) Сохранение риска
- •Предотвращение риска
- •Перенос риска
- •1.3.4. Принятие риска
- •1.3.5. Коммуникация риска
- •1.3.6. Мониторинг и переоценка риска
- •1.4. Стандарты в области управления информационными рисками
- •1.5. Инструментальные средства для управления рисками
- •1.5.9. Гриф 2006
- •1.5.10. АванГард
- •1.6. Контрольные вопросы
- •2. Математические основы принятия решений при управлении рисками
- •2.1. Основные понятия и обобщенная классификация задач принятия решений
- •2.2. Формальное описание моделей принятия решений
- •2.3. Методы экспертных оценок
- •2.3.1. Методологические основы и предпосылки применения методов экспертных оценок
- •2.3.2. Основные типы шкал
- •2.3.3. Методы проведение экспертизы
- •2.3.4. Качественные экспертные оценки
- •2.3.5. Этапы работ по организации экспертной оценки
- •2.3.6. Отбор экспертов и их характеристика
- •2.3.7. Методы опроса экспертов
- •2.3.8. Методы обработки экспертной информации, оценка компетентности и согласованности мнений экспертов
- •2.4. Детерминированные модели и методы принятия решений
- •2.4.1. Постановка многокритериальных задач принятия решений
- •2.4.2. Характеристики приоритета критериев. Нормализация критериев
- •2.4.3. Принципы оптимальности в задачах принятия решений
- •2.4.4. Постановка задач оптимизации на основе комбинирования принципов оптимальности
- •2.4.5. Теория полезности. Аксиоматические методы многокритериальной оценки
- •2.4.6. Метод аналитической иерархии
- •2.4.7. Методы порогов несравнимости электра
- •2.5. Статистические модели и методы принятия решений в условиях неопределенности
- •2.5.1. Статистическая модель однокритериального принятия решений в условиях неопределенности
- •2.5.2. Построение критериев оценки и выбора решений для первой ситуации априорной информированности лпр
- •2.5.2.1. Критерий Байеса-Лапласа
- •2.5.2.2. Критерий минимума среднего квадратического отклонения функции полезности или функции потерь
- •2.5.2.3. Критерий максимизации вероятности распределения функции полезности
- •2.5.2.4. Модальный критерий
- •2.5.2.5. Критерий минимума энтропии математического ожидания функции полезности
- •2.5.2.6. Критерий Гермейера
- •2.5.2.7. Комбинированный критерий. Объединение критериев Байеса-Лапласа и среднего квадратического отклонения функции полезности (потерь)
- •2.5.3. Построение критериев оценки и выбора решений для второй ситуации априорной информированности лпр
- •2.5.3.1. Максиминный критерий Вальда
- •2.5.3.2. Критерии минимаксного риска Сэвиджа
- •2.5.4. Построение критериев оценки и выбора решений для третьей ситуации априорной информированности лпр
- •2.5.4.1. Критерий Гурвица
- •2.5.4.2. Критерий Ходжеса-Лемана
- •2.5.5. Пример оценки отдельных характеристик качества информационной системы в условиях неопределенности
- •2.5.6. Статистическая модель многокритериального принятия решений на основе принципов оптимальности в условиях неопределенности
- •2.5. Методы оптимизации
- •2.7. Контрольные вопросы
- •Заключение
- •Приложение Справочные данные
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
1.5. Инструментальные средства для управления рисками
Существует большое количество коммерческих программных продуктов, предназначенных для оценки рисков. Стандарт BS-7799 определяет критерии выбора программного продукта для оценки риска, согласно которым программный продукт должен:
охватывать все компоненты риска и взаимосвязь между компонентами;
включать модули для сбора данных, анализа и вывода результатов;
отражать политику и подход организации к оценке рисков;
формировать понятные и точные отчеты;
сохранять историю сбора и анализа данных;
содержать полную и понятную документацию;
быть совместимым с программным и аппаратным обеспечением, сопровождаться обучением и поддержкой.
Недостатки, свойственные многим программным продуктам, предназначенным для управления рисками, ограничивают их практическое применение. К числу наиболее распространенных недостатков следует отнести:
неполную совместимость с международными стандартами – например, очень мало продуктов было разработано специально для ISO 27001;
неполный охват активов – большинство продуктов сосредоточиваются только на ИТ активах, игнорируя остальные виды активов, которые, однако, не менее важны для информационной безопасности;
сложность использования – многие продукты слишком сложны в использовании;
затруднение процесса осознания рисков, так как расчет рисков выполняется автоматически и скрыт от пользователя;
те или иные проблемы с отображением русского языка, характерные для большинства импортных программных продуктов.
Рассмотрим далее наиболее популярные методы и соответствующие программные продукты для оценки и управления рисками информационной безопасности.
1.5.1. OCTAVE
Метод OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) – Оценка критичных угроз, активов и уязвимостей – разработан в университете Карнеги-Мелон для внутреннего применения в организации.
В настоящее время представлено три модификации метода OCTAVE:
Методология оценки рисков OCTAVE Method, подходящая для достаточно крупных организаций (от 300 человек и более).
Упрощенная методология оценки рисков OCTAVE-S, ориентированная на организации небольшого размера (не более 100 человек).
Методология оценки рисков OCTAVE Allegro, которая может применяться консультантами на индивидуальной основе, без широкого вовлечения в процесс оценки рисков сотрудников организации.
В основе всех модификаций метода OCTAVE лежит набор четко определенных критериев, определяющих основные принципы, подходы, процессы, атрибуты и выходные данные оценки рисков.
Сущность универсальной методологии OCTAVE Method заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка и обработка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование и координацию действий участников
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификацию применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.
На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся технических уязвимостей и оценку их величины.
На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.
Применение метода OCTAVE, как, впрочем, и любой другой методологии оценки рисков, не требует обязательного использования программного инструментария.
1.5.2. CRAMM
Метод CRАММ (CCTA Risk Analysis & Management Method – метод ССТА анализа и контроля рисков) был разработан в 1985 году Центральным агентством по компьютерам и телекоммуникациям (ССТА - Central Computer and Telecommunications Agency) Великобритании по заказу британского правительства и взят на вооружение в качестве государственного стандарта.
В методе CRAMM основной способ оценки рисков – это тщательно спланированные интервью, в которых используются подробные опросные листы.
Метод CRAMM используется в сотнях организаций по всему миру, благодаря, кроме всего прочего, и наличию весьма развитого программного инструментария, разрабатываемого британской компанией Insight Consulting, приобретенной в начале 2000-х годов концерном SIEMENS. Инструментарий CRAMM содержит базу знаний по рискам и механизмам их минимизации, средства сбора информации, формирования отчетов, а также реализует алгоритмы для вычисления величины рисков.
В отличие от метода OCTAVE, в CRAMM используется несколько иная последовательность действий и методы определения величины рисков. Сначала выявляется сама целесообразность детальной оценки рисков. Если информационная система организации недостаточно критична, то к ней применятся стандартный набор механизмов контроля, описанный в международных стандартах и содержащихся в базе знаний CRAMM, которая в основном базируется на британском стандарте BS 7799.
На первом этапе в методе CRAMM строится модель активов информационной системы, описывающая взаимосвязи межlу информационными, программными и техническими активами, а также оценивается ценность активов исходя из возможного ущерба, который организация может понести в результате их компрометации.
На втором этапе производится оценка рисков, включающая в себя идентификацию и оценку вероятности угроз, оценку величины уязвимостей и вычисление рисков для каждой тройки: актив – угроза – уязвимость. В CRAMM оцениваются так называемые «чистые» риски, безотносительно к реализованным в системе механизмам контроля. На этапе оценки рисков предполагается, что контрмеры вообще не применяются.
На заключительном этапе определяется набор контрмер по минимизации идентифицированных рисков и производится сравнение рекомендуемых и существующих контрмер, после чего формируется план обработки рисков.
Возможности программного инструментария CRAMM значительно превышают возможности, необходимые лишь для оценки рисков и включают в себя следующее:
база данных, содержащая 3000 контрмер, охватывающих все аспекты информационной безопасности, совместимая с BS 7799 и другими стандартами;
400 типов ресурсов ИС, более 25 различных видов ущерба, более 10 способов оценки ущерба, 38 типов угроз, более 150 возможных комбинаций ущерба, угрозы и уязвимости, 7 уровней риска;
набор инструментальных средств для прохождения процедуры аудита и сертификации на соответствие BS 7799;
набор типовых политик безопасности и других документов, настраиваемых для каждой организации;
средства планирования непрерывности бизнеса;
средства проведения высокоуровневого анализа рисков (всего за 2 часа) при помощи CRAMM v.5 Express;
средства документирования механизмов безопасности и результатов аудита.
Хорошо структурированный и широко опробованный метод CRAMM обладает необходимой гибкостью и универсальностью, что позволяют использовать его в проектах любого уровня сложности. В тоже время CRAMM не лишен и определенных недостатков, в числе которых можно отметить следующее:
требует специальной подготовки и высокой квалификации;
в гораздо большей степени подходит для аудита уже существующих, нежели для разрабатываемых систем;
аудит по методу CRAMM — процесс трудоемкий и может потребовать месяцев непрерывной работы;
генерирует большое количество бумажной документации, которая не всегда полезна на практике;
как и у многих других импортных продуктов, в CRAMM существуют проблемы с отображением кириллицы.
Возможность внесения дополнений в базу знаний фактически не доступна пользователям, что вызывает значительные трудности при адаптации этого метода к потребностям организации. Кроме того, CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся.
1.5.3. RiskWatch
Метод RiskWatch, разработанный при участии Национального института стандартов и технологий США (U.S. NIST), Министерства обороны США (U.S. DoD) и Министерства обороны Канады (Canadian Dept. of National Canadian Defence) в 1988 году, фактически является стандартом для американских государственных организаций. По заявлению разработчиков, этот метод используют в тысячах организаций не только в США, но и по всему миру.
К основным достоинствам программного продукта RiskWatch, помимо сравнительной простоты использования, можно отнести следующее:
глубоко проработанная и хорошо зарекомендовавшая себя методология анализа рисков;
сочетание количественной и качественной оценки рисков;
обширная база знаний по угрозам, уязвимостям и контрмерам;
возможности редактирования и совершенствования базы знаний;
настраиваемые отчеты.
RiskWatch представляет собой семейство программных продуктов, построенных на общем программном ядре, которые предназначены для управления различными видами рисков и поддержки различных стандартов.
Основные этапы оценки рисков по методу RiskWatch:
определение параметров обследования;
проведение интервью и ввод данных;
расчет величины рисков;
формирование отчетов.
На этапе определения параметров (Definition) задаются область оценки, категории ущерба, категории активов, рассматриваемые угрозы, уязвимости и применяемые контрмеры. Можно использовать стандартные параметры и добавлять свои собственные.
На этапе ввода данных (Data) в систему заносятся данные о ценности активов, вероятности угроз, величине уязвимостей и стоимости контрмер. Ценности активов, определяемой величиной ущерба в результате нарушения конфиденциальности, целостности и доступности активов, соответствуют определенные оценочные денежные величины
Ожидаемая частота реализации угроз определяется в терминах среднегодовой оценочной частоты угрозы (Annual Frequency Estimate). База знаний RiskWatch определяет для каждой угрозы стандартную оценочную частоту (Standard Annual Frequency Estimate, SAFE). Для вычисления рисков используется локальная оценочная частота угрозы (Local Annual Frequency Estimate, LAFE), которую пользователь определяет сам, используя в качестве базового значение SAFE.
Для каждой контрмеры задается ее стоимость, которая определяется стоимостью внедрения и сопровождения . Также учитывается, на какой стадии находится реализация контрмеры, продолжительность ее жизненного цикла и насколько это контрмера уменьшает оценочную частоту реализации угрозы (LAFE).
На данном этапе также осуществляется формирование опросных листов, используемых для получения информации от владельцев активов, представителей бизнеса и экспертов предметной области.
Для проведения интервью используется web-ориентированный интерфейс, позволяющий опрашивать любое количество экспертов в удаленном режиме.
На этапе оценки рисков (Evaluation) производится связывание между собой данных о ценности активов, частоте угроз и величине уязвимостей. В результате производится расчет количественных значений ожидаемого среднегодового ущерба (Annual Loss Expectancy, ALE) для каждой комбинации актив – угроза – уязвимость. На данном этапе также производится расчет ROI для контрмер и рассмотрение сценариев «А что если?» (What Ifs), позволяющих выбрать для уменьшения рисков оптимальную комбинацию контрмер.
На этапе формирования отчетов (Reports) распечатывается предопределенный набор отчетов по результатам оценки рисков.
Используемые в отчетах графики представляют статистическую информацию, например, о распределении уязвимостей информационной системы по областям контроля.
Рекомендуемые контрмеры могут быть отсортированы в порядке убывания значения ROI, что является одним из основных показателей для принятия решения относительно реализации контрмер и соответствующих приоритетах их реализации.
1.5.4. COBRA
Набор программных продуктов под названием COBRA (Consultative Objective and Bi-Functional Risk Analysis), разрабатываемый компанией Risk Associates, весьма условно можно причислить к средствам высокоуровневой оценки рисков. Скорее, данные продукты можно отнести к простейшим средствам оценки соответствия стандарту ISO 17799 и другим стандартам, а также к высокоуровневым средствам идентификации критичных, с точки зрения информационной безопасности, областей организации.
На практике COBRA применяется в основном для гэп-анализа (оценки соответствия организации требованиям ISO 27002), так как это программное средство автоматизирует работу с опросниками и формирование отчетов. Для этих целей COBRA включает в себя набор опросников, построитель опросников, требования стандартов и шаблоны отчетных документов
Интерфейс программы имеет архаичный вид, характерный еще для DOS - приложений, что указывает на солидный возраст данного продукта, а также отсутствие актуальных версий.
1.5.5. RA2 the art of risk
RA2 the art of risk предназначен в первую очередь для того, чтобы облегчить создание СМИБ в соответствии с требованиями международного стандарта ISO 27001. В RA2 реализован достаточно простой для понимания процессный подход, общие требования к которому определены в ISO 27001 и более подробно описаны в стандарте BS 7799-3.
Разработчики Тэд Хамфриз (Ted Нumphrcys) и Анжелика Плейт (Angelika Plate) являются редакторами британского стандарта BS 7799 и международных стандартов ISO 27001 и ISO 17799, а также авторами серии книг BIP 0071-0074, являющихся официальными руководствами Британского института стандартов по внедрению стандартов серии 27000.
Процесс создания СМИБ в RA2 разделен на четыре этапа:
сбор информации (Information Gathering);
оценка рисков (ISMS Risks);
обработка рисков (Risk Management Decisions);
внедрение механизмов контроля (Implementation of Controls).
Каждый шаг программы снабжен подробными пояснениями в полном соответствии со стандартом BS 7799.
Программный продукт RA2 включает в себя средства для решения следующих задач:
определения области действия, бизнес-требований, политики и целей СМИБ;
разработки реестра активов СМИБ;
оценки рисков СМИБ;
принятия решения по обработке рисков путем выбора подходящих контрмер из приложения А к стандарту BS 7799-2;
анализа расхождений со стандартом ISO 27002;
формирования Декларации о применимости и других документов СМИБ.
RA2 является хорошим средством для демонстрации концепции процессного построения СМИБ, выраженной в BS 7799-2(ISO 27001), а также полезным инструментом для обучения внедрению СМИБ. Его практическое использование в организации в качестве средства для управления рисками затрудняется недостаточной проработанностью пользовательского интерфейса (неудобные средства ввода и редактирования текстовой информации), примитивностью средств, предоставляемых для работы с моделью активов, угрозами и уязвимостями, а также определенными огрехами по части отображения кириллицы в отчетах.
1.5.6. vsRisk
VsRisk Risk Assessment Tool является современным средством оценки рисков, так же как и RA2, полностью базирующемся на международном стандарте ISO 27001.
Программный продукт vsRisk предоставляет простой и понятный пользовательский интерфейс на основе визардов и обладает следующими полезными свойствами:
позволяет оценивать риски нарушения конфиденциальности, целостности и доступности информации для бизнеса, а также с точки зрения соблюдения законодательства и контрактных обязательств в четком соответствии с ISO 27001;
поддерживает следующие стандарты: ISO/IEC 27002, BS7799-3:2006, ISO/IEC TR 13335-3:1998, NIST SP 800-30;
содержит интегрированную, регулярно обновляемую базу знаний по угрозам и уязвимостям.
Программный продукт vsRisk предоставляет средства для качественной оценки всех факторов рисков, включая угрозы, уязвимости, активы и механизмы контроля. К сожалению, он не содержит средств для количественной оценки величины риска, ограничиваясь только качественными шкалами, настраиваемыми пользователем.
Все изменения, вносимые в базу данных продукта по ходу работы, подробным образом фиксируются в журнале аудита vsRisk позволяет по результатам оценки рисков формировать Декларации о применимости механизмов контроля и План обработки рисков в соответствии с требованиями стандарта ISO 27001.
VsRisk достаточно прост в использовании, его интерфейс снабжен всеми необходимыми пояснениями и он полностью соответствует требованиям международного стандарта ISO 27001, предъявляемым к оценке рисков.
В то же время существует ряд проблем, характерных не только для VsRisk, но и для многих других импортных продуктов:
Проблема с отображением символов кириллицы.
Отсутствие средств для построения модели активов.
Угрозы не связаны с соответствующими типами уязвимостей и категориями активов.
Невозможность добавления пояснений и обоснований выбора тех или иных значений вероятности угрозы и величины уязвимости.
Описание механизмов контроля включает в себя только название и цели. В то же время требуется подробное описание каждого механизма контроля в соответствии со стандартом ISO 27002, а также возможность добавлять наши собственные описания.
1.5.7. Callio Secura 17799
Компания Callio Technologies была основана в 2001 году двумя канадскими академиками и специализируется в области разработки программных продуктов для анализа информационных рисков и управления информационной безопасностью в соответствии с требованиями стандартов BS 7799 и ISO 17799. Callio Secura 17799 представляет собой комплексную систему для разработки, внедрения, эксплуатации и сертификации Системы управления информационной безопасностью (СМИБ) на основе стандарта BS 7799.
Callio Secura 17799 предоставляет следующие основные возможности:
оценку соответствия стандарту ISO 17799;
инвентаризацию активов;
описание структуры и процессов СМИБ;
оценку и обработку рисков;
разработку планов внедрения механизмов контроля;
шаблоны политик безопасности (свыше 50 примеров);
управление документами;
управление опросными листами;
оценку готовности к сертификации СМИБ по требованиям международного стандарта ISO 27001.
Процесс управления рисками по Callio состоит из двух этапов.
На первом этапе производится идентификация активов, угроз, уязвимостей и требований безопасности, оценивается величина уязвимостей, вероятность угроз и ценность активов. На основании этих данных вычисляются значения рисков.
На втором этапе принимается решение относительно способов обработки рисков, приемлемого уровня остаточных рисков, разрабатывается план обработки рисков, производится внедрение механизмов контроля и разработка политик безопасности и других организационно-распорядительных документов.
Callio Secura 17799 предоставляет Web-интерфейс, механизмы коллективной работы, распределения ролей и полномочий между участниками процессов управления ИБ – рабочими группами, реализует управление документами, предоставляет шаблоны документов и опросники, а также методологию анализа и управления рисками. Система реализует рабочий процесс (workflow), который используется при внедрении СМИБ и подготовке к сертификации.
Процесс подготовки к сертификации начинается с первоначальной диагностики, в ходе которой выполняется оценка соответствия текущего состояния ИБ требованиям стандарта (gap analysis).
На следующем этапе производится оценка рисков. Процесс оценки рисков начинается с инвентаризации активов. Он включает в себя идентификацию и категорирование ресурсов, составление перечня сведений ограниченного распространения и реестра информационных активов.
Далее для каждого актива оценивается его ценность для организации, которая определяется ущербом в результате нарушения его конфиденциальности, целостности, доступности или невыполнения требований при осуществлении угроз безопасности.
Идентификация рисков предполагает установку взаимосвязей между активами, уязвимостями и угрозами безопасности.
Далее для вычисления рисков определяются вероятности реализации угроз. Для каждой угрозы указывается вид ущерба.
Базируясь на информации о ценности активов и вероятности угроз, система автоматически вычисляет значения рисков и производит их упорядочивание по приоритетам.
Когда оценка рисков завершена, осуществляется переход к выбору и внедрению механизмов контроля, необходимых, для минимизации рисков. Callio Secura на основании результатов оценки рисков автоматически формирует набор рекомендуемых механизмов контроля из числа описанных в стандарте. Для каждого механизма контроля проставляется его текущий статус.
По завершении этого этапа формируется план создания СМИБ. После этого можно переходить к разработке и внедрению политик безопасности.
Для разработка политик безопасности используются шаблоны типовых документов. Базируясь на результатах анализа рисков, система автоматически формирует набор необходимых шаблонов. Готовые политики экспортируются в модуль управления документами, который позволяет производить их ревизию, согласование и публикацию на Web-портале.
Всего имеется более 100 различных документов, которые используются при реализации механизмов контроля СМИБ. Если предложенных системой шаблонов недостаточно, мы можем выбрать дополнительные документы и экспортировать их в модуль управления документами.
После того как создание СМИБ завершено – люди обучены, политики разработаны и внедрены, а функционирование механизмов контроля подтверждается документированными свидетельствами, – производится диагностика СМИБ с целью определения степени ее готовности к сертификации. Для этого используются специальный опросник и сопроводительные инструкции, предоставляемые системой.
Декларация о применимости является последним разрабатываемым документом и обязательным условием для сертификации. В нем для каждого механизма контроля, описанного в стандарте, указывается его применимость, текущий статус, степень реализации и обоснование его использования. Это первый документ, который изучается аудиторами во время сертификации.
В составе системы есть специальный модуль управления документами, который позволяет хранить все документы, имеющие отношение к функционированию СМИБ в центральной базе данных, публиковать и управлять доступом к этим документам для различных рабочих групп через web-интерфейс. При помощи этого инструмента выполняются такие необходимые задачи, как согласование и утверждение документов, а также контроль версий.
Callio Secura 17799 служит примером системы, которая объединяет функции управления рисками с функциями поддержки других процессов жизненного цикла СМИБ, таких как управление документами, контроль соответствия требованиям стандарта ISO 17799 и предсертификационный аудит СМИБ.
1.5.8. Proteus Enterprise
Примером современного программного продукта поддержки жизненного цикла СМИБ, реализующего не только управление рисками, но и другие жизненно важные процессы управления информационной безопасностью, может служить система Proteus, разрабатываемая британской компанией InfoGov.
Proteus – мощная система для поддержки процессов СМИБ, включающая в себя средства контроля соответствия (гэп-анализа ), оценки влияния на бизнес, оценки рисков, управления непрерывностью бизнеса, управления инцидентами, управления активами и организационными ролями, а также репозитарий политик и средства планирования.
Движок контроля соответствия (Compliance engine) поддерживает любые стандарты (международные, отраслевые и корпоративные) и поставляется вместе с набором шаблонов-опросников. Система масштабируется от однопользовательской версии до многопользовательской, позволяющей управлять информационной безопасностью в крупнейших международных корпорациях. Все действия, производимые в системе, регистрируются в журнале аудита.
Система позволяет проводить онлайн-аудиты во внутренних подразделениях организации и у ее внешних поставщиков. Обеспечена поддержка большого количества стандартов, включая BS ISO/IEC 27001, BS ISO/IEC 17799, PCI. ISF SOGP, NIST Combined Code, Sarbanes Oxley, GLB, Data Protection Act, Freedom of Information Act, Caldicott, Basel II, BS25999, Civil Contingency Bill. Реализовано совместное использование данных между процессами анализа влияния на бизнес и оценки рисков.
Специальный модуль программы Proteus RiskView представляет информацию о корпоративном управлении, соответствии требованиям и рисках для руководства организации в реальном времени в графической форме. Система содержит мощные средства создания отчетов на основе программного инструментария Business Objects.