Существуют десятки, если не сотни, продуктов для оценки рисков ИБ и меня постоянно спрашивают какой из этих продуктов я мог бы порекомендовать.
После того как IT Governance выпустила свой новый продукт vsRisk, я рекомендую обратить внимание прежде всего на него. Разработчики vsRisk уже на протяжении многих лет устанавливают стандарты в области управления ИБ: разрабатывают и внедряют международные стандарты 27000 серии, проводят обучение, издают книги, выпускают инструментальные комплекты для внедрения СУИБ и подготовке к сертификации.
Если сравнивать vsRisk с другими известными продуктами (Callio, CRAMM, Cobra, RiskWatch, RA2, Proteus и др.), то эти продукты либо не позволяют проводить полноценной оценки рисков (Cobra, Proteus), а скорее являются средствами для гэп анализа, либо включают в себя слабые средства, не полностью соответствующие требованиям ISO27001 хотя в них много другого функционала (Callio), либо являются слишком сложными, дорогими и, главное, некастомизируемыми, что делает нецелесообразным их использование (CRAMM).
Я бы выделил из этого списка пожалуй RA2 как инструмент из «первых рук», полностью соответствующий ISO27001, однако он не позволяет сравнивать между собой результаты оценок, что было бы необходимо для крупной организации. Нас также в целом устраивает RiskWatch, однако он не был специально разработан для ISO27001 и нас не устраивает его цена, которая начинается с $15000 (небольшие организации вряд ли могут это себе позволить).
vsRisk позволяет позволяет получать по результатам оценки рисков полноценную Декларацию о применимости в полном соответствии с требованиями ISO27001. Он был разработан людьми с огромным опытом внедрения BS 7799, которые сертифировали еще первые британские компании в 1999 году и входят в состав комитетов BSI и ISO по разработке серии 27000. Кроме того, он дополняет инструментальные комплекты, предназначенные для внедрения iso27001, представленные в нашем магазине (ISMS Documentation Toolkit и др.), а также серию книг Алана Калдера, последняя из которых Information Security Risk Management for ISO27001/ISO17799 может служить руководством по практическому использованию vsRisk. Главное же для российских компаний, что vsRisk может быть доступен на русском языке уже в этом году.