itrm-minimizing-risks

Компания TechExpert, совместно с партнерами Агентством Активного Аудита, разработали систему автоматизации ITRM (IT Risk Manager), которая предназначена для оценки и управления рисками информационной безопасности в соответствии с требованиями и рекомендациями международных стандартов.

Система позволяет сформировать перечень возможных угроз, провести оценку и анализ рисков, разработать план обработки рисков, оценить и обосновать затраты на обеспечение информационной безопасности.


Внедрение ITRM позволит решить такие задачи:

  • определить цели управления ИБ;
  • оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы;
  • выработать осознанные и обоснованные решения для их контроля или минимизации влияния угроз;
  • обосновать решения по выбору конкретных технических и организационных мер защиты перед руководством компании.
Описание решения

Решение реализовано на базе программного обеспечения с открытым исходным кодом GLPI и представляет собой готовый инструмент для оценки и обработки рисков информационных активов компании. Для работы с системой не требуется установка дополнительных клиентских приложений, достаточно наличие любого современного браузера. Решение включает в себя такие возможности:


Централизованное хранение информации по всем объектам оценки рисков
Централизованное хранение информации по имеющимся уязвимостям ИБ, вероятным угрозам и рискам, связанным с реализацией угроз
Проведение оценки рисков для каждого информационного актива в соответствии международным стандартам
Разработка плана обработки рисков и назначение задач исполнителям по его реализации
Разграничение прав доступа пользователей к информации в системе согласно ролевой модели
Возможность одновременной работы пользователей при проведении оценки рисков
Отправка уведомлений владельцам информационных активов о внесении изменений в оценку
Возможность просмотра всех действий над объектами системы
Построение отчетов с информацией об оценке рисков, а также плане обработки рисков с возможностью выгрузки в Excel
Действия по управлению рисками в системе схематично представлены на рисунке (см. ниже).
Возможности по интеграции

В рамках проекта возможна интеграция (организация взаимодействия) GLPI с такими системами:

  • AD/LDAP
  • Почтовая система

При желании Заказчика возможна интеграция данного решения по управлению рисками на базе GLPI с IP телефонией (Asterisk, Cisco и др.)


для службы ИБ:
  • Систематизация информационных активов и бизнес-процессов, связанных с обработкой рисков
  • Получение сводной аналитической информации об оценке рисков и плане обработки рисков
  • Уменьшение временных затрат на проведение оценки рисков
  • Формирование единого информационного пространства для проведения оценки рисков
  • Предоставление необходимой информации для всех участников процесса (владельцы и менеджеры бизнес-процессов, сотрудники департамента ИБ, офицеры ИБ)
для компании в целом:
  • Внедрение решения и последующая работа с ним позволит обеспечить экономически оправданную безопасность компании
  • Меры по предупреждению рисков будут реализованы в первую очередь для тех сфер деятельности компании, которые наиболее уязвимы
  • Управление рисками сможет обеспечить защиту от реализации рисков и в следствии этого повысить конкурентоспособность предприятия
  • Отчеты по существующим угрозам понадобятся руководству предприятия для оценки ситуации и осуществления стратегического планирования