МЕХАРИ - MEHARI
МЕХАРИ (МНЕтод для ЧАСармонизированный Аанализ RIsk) - это бесплатный доступ к информации с открытым исходным кодом для анализа рисков и рисковать метод управления, предназначенный для специалистов по информационной безопасности.
MEHARI позволяет бизнес-менеджерам, специалистам по информационной безопасности / управлению рисками и другим заинтересованным сторонам оценивать и управлять рисками организации, связанными с информацией, информационными системами и информационными процессами (не только ИТ). Он разработан для согласования и поддержки управления рисками информационной безопасности в соответствии с ISO / IEC 27005, особенно в контексте ISO / IEC 27001 -соответствующая система управления информационной безопасностью (СМИБ) или аналогичная всеобъемлющая система управления безопасностью или управления.
История
MEHARI неуклонно развивался с середины 1990-х годов для поддержки таких стандартов, как ISO / IEC 27001, ISO / IEC 27002, ISO / IEC 27005 и SP 800-30 NIST. Текущая версия MEHARI Expert (2010) включает ссылки и поддержку ISMS версии ISO 27001/27002: 2013.
Описание
MEHARI Expert (2010) сочетает мощную и расширяемую базу знаний с гибким набором инструментов, поддерживающих следующие действия по анализу и управлению рисками информационной безопасности:
- Анализ угроз: руководители высшего звена описывают деятельность организации, перечисляют потенциальные проблемы или опасения, которые могут отрицательно повлиять на эту деятельность, и оценивают влияние на бизнес.
- Бизнес-процессы подвергаются дальнейшему анализу с целью выявления и отображения связанных организационных, человеческих и технических активов.
- Активы классифицируются согласно трем классическим критериям безопасности (конфиденциальность, целостность, доступность) плюс необходимость соблюдения применимых законов и нормативных актов (например, для защиты личной информации или окружающей среды).
- Рассматривается внутренняя вероятность / вероятность репрезентативных типов событий угрозы.
- Эти элементы автоматически комбинируются для анализа и оценки внутренней серьезности рисков (на основе 800 «сценариев» в базе знаний) с выделением наиболее критических и серьезных из них в соответствии с прогнозируемыми последствиями для бизнеса.
- Диагностические анкеты помогают пользователям оценить способность существующих мер / средств управления информационной безопасностью снижать риски.
- Меры безопасности (организационные и технические) сгруппированы в службы для обсуждения с соответствующими менеджерами и профессионалами.
- Отображается текущий уровень серьезности каждого сценария риска с учетом эффективности существующих мер безопасности, что дает представление о текущем ландшафте рисков информационной безопасности и предлагает расстановку приоритетов для корректирующих работ.
- Для управления рисками можно выбрать планы действий и проекты безопасности, исходя из ожидаемой эффективности дополнительных мер безопасности и сроков их реализации. Предыдущий анализ позволяет руководству оценить бизнес-преимущества и, следовательно, оправдать соответствующие инвестиции в информационную безопасность: весь процесс управляется бизнесом.
Обширная база знаний MEHARI Expert (2010), созданная с использованием Excel, доступна как на английском, так и на французском языках в качестве интерактивного инструмента или, точнее, набора инструментов, которые может могут использоваться индивидуально, но разработаны как единый комплекс. По мере продвижения процесса база знаний автоматически расширяется за счет полученной информации, предоставляя входные данные для последующих шагов. Последовательный анализ рисков и средств контроля позволяет крупным, разнородным организациям сравнивать и сравнивать операционные подразделения на равной основе.
Дополнительные приложения и инструменты, основанные на тех же принципах, могут разрабатываться по лицензии Creative Commons.
Смотрите также
- Атака (вычисление)
- Компьютерная безопасность
- Информационная безопасность
- Система управления информационной безопасностью
- IT риск
- Методология
- Угроза (компьютер)
- Уязвимость (вычисления)