home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / HACKING / RISKTOOL.TXT < prev    next >
Encoding:
Text File  |  1994-07-17  |  33.2 KB  |  964 lines
  1.           RISK MANAGEMENT RESEARCH LABORATORY OVERVIEW
  2.  
  3.  
  4. The National Institute of Standards and Technology (NIST) and the
  5. National Computer Security Center (NCSC) have cooperatively
  6. established a Risk Management Research Laboratory located at the NIST
  7. facilities in Gaithersburg, MD.
  8.  
  9. The primary objective of the laboratory is to conduct research in risk
  10. management techniques and methodologies.  As part of this endeavor,
  11. risk management software products will be surveyed to determine their
  12. applicability to different agency environments.  A demonstration
  13. capability is also planned.  Although official product evaluations
  14. will not be conducted, reports outlining the characteristics and
  15. capabilities of products surveyed will be prepared.
  16.  
  17. An additional goal of the laboratory is to develop and publish
  18. guidance on currently available risk management methods.  We plan to
  19. develop a "standard" test case for use in the laboratory.  The test
  20. case will provide a focal point for controlled analysis and
  21. documentation.  It is further planned to develop data on computer
  22. security incidents for estimating threat frequencies, vulnerabilities,
  23. losses, direct and indirect impacts, etc.
  24.  
  25. A longer range goal of the laboratory is to develop and validate a
  26. formal framework for analyzing, developing, and implementing risk
  27. management methods.  We will be looking for methods of risk management
  28. which could be economically employed across a broad spectrum of
  29. computer environments and upon which standards could be based.  It is
  30. intended that workshops will be organized to evaluate current and
  31. future technology for this purpose.
  32.  
  33. Technical contributions and comments are welcome from interested
  34. parties from both the public and private sectors.  The point of
  35. contact for the laboratory is Irene Gilbert (NIST), 
  36. (301) 975-3360.
  37.                   Application Control Matrix
  38.  
  39. Methodology. Matrix approach. This methodology presents application
  40. controls, control objectives, and risks in a mate format. The matrix
  41. provides a summary of the security environment which allows the user
  42. and auditor to quickly view where added safeguards are needed.  A data
  43. base of controls from which to make selections is included in this
  44. software package.
  45.  
  46. Hardware Requirements.
  47.  
  48. - IBM PC or compatible.
  49. - Two diskette drives or one diskette drive and a fixed drive.
  50.  
  51. Operating System.
  52.  
  53. - MS-DOS Version 2.0 or later.
  54.  
  55. Laser Interface~ease of Use.
  56.  
  57. - Menu-driven.
  58. - Online HELP facility.
  59.  
  60. Documentation and Training.
  61.  
  62. - User Manual.
  63.  
  64. Developer/Vendor. Nander Brown & Co., Reston, VA (202) 653-6646.
  65. Remarks.
  66. Government agencies may obtain copies of this software at no charge.
  67.            BDSS (Bayesian Decision Support System).
  68. Methodology.  Quantitative/Qualitative.  BDSS is programmed to gather
  69. tangible and intangible asset valuation data and to ask questions that
  70. assess potential risks using quantitative data bases provided by the
  71. vendor.  The user can include site-specific threat experiences which
  72. the algorithms will process along with the quantitative knowledge
  73. base. Threats, vulnerabilities, asset categories, and selected
  74. safeguards are automatically mapped and cross-mapped to each other. 
  75. system ranks threats before and after the implementation of safeguards
  76. so that the representation of comparable exposure to loss may be
  77. examined. The analysis results are typically displayed graphically
  78. with risk curves based on dollar loss values and probability of loss
  79. coordinates. The central algorithms of BDSS are based on Bayes'
  80. Theorem addressing uncertainty and statistical methods. BDSS software
  81. produces a variety of printed reports as well as ASCII files that may
  82. be exported to the user's word processor.  The vulnerability analysis
  83. feature of the BDSS application also provides a stand-alone
  84. qualitative presentation of safeguard system weaknesses.
  85.  
  86. Hardware requirements.
  87.  
  88. - IBM PC/AT or compatible.
  89. - 640KB memory.
  90. - 20MB fixed drive and one diskette drive.
  91. - Graphics card (CGA/EGA)
  92.  
  93. Operating System.
  94.  
  95. - MS-DOS Version 3.0 or later.
  96.  
  97. User Interface/Ease of Use.
  98.  
  99. - Menu driven.
  100.  
  101. Documentation and Training:
  102.  
  103. - User manual.
  104. - Training is not included with purchase but may be provided 
  105.   upon request.
  106.  
  107. Developer/Vendor.  Ozier, Perry & Associates developed BDSS in a joint
  108. venture with Pickard, Lowe and Garrick, Inc. of Newport Beach, CA and
  109. Washington, DC. For further information regarding the software contact
  110. Ozier, Perry & Associates, San Francisco, CA; (415) 989-9092
  111.  
  112. Remarks.                            BUDDY SYSTEM
  113.  
  114. Methodology. Qualitative. The Buddy System is an automated risk
  115. analysis methodology for microcomputer environments and comprises two
  116. components: (1) countermeasures survey and (2) security analysis and
  117. management (SAM). This software package assesses the level of
  118. vulnerability based on safeguards already in place. The level of
  119. information being processed on the system determines whether or not
  120. the assessed level of vulnerability is acceptable. Recommendations for
  121. corrective action are provided for each vulnerability that falls
  122. outside of the acceptable range through the use of on-line "what if'
  123. scenarios.  A data base containing over 100 safeguards is included in
  124. this software package. Further, the Risk Management component of the
  125. system allows the analyst to track recommended corrective action
  126. implementations for reports and/or follow-up procedures.
  127.  
  128. Hardware Requirements.
  129.  
  130. - IBM PC or compatible.
  131. - 256KB memory.
  132. - 10MB fixed drive and one 360K diskette drive.
  133.  
  134. Operating system.
  135.  
  136. - MS-DOS Version 2.0 or later.
  137.  
  138. User Interface/Ease of Use.
  139.  
  140. - On-line HELP facility.
  141.  
  142. Documentation and Training.
  143.  
  144. - User manual.
  145. - One-day on-site training course.
  146. - Training component built into the software to increase security
  147.   awareness.
  148.  
  149. Developer/Vendor: Countermeasures, Inc., Hollywood, MD; (301) 373-
  150. 5166.
  151.  
  152. Remarks.
  153.  
  154. - Optional Maintenance Utility allows the user to customize the
  155.   software.
  156. - Report and screen formats can be edited with standard DOS
  157.   editor.
  158.          CONTROL MATRIX METHODOLOGY FOR MICROCOMPUTERS
  159.  
  160. Methodology.  Matrix approach. This software provides a matrix
  161. approach for designing controls into microcomputer system
  162. environments.  It identifies which controls are necessary to ensure
  163. adequate security in business or scientific systems.  The software
  164. package contains four separate systems.
  165.  
  166. Package 1 (Designing Controls into Computerized Systems) is an
  167. educational tool that teaches the user how to design and develop a
  168. control matrix.
  169.  
  170. Package 2 (Risk Ranking the Matrix) teaches the use of Delphi and
  171. Comparison Risk Ranking techniques to rank threats and their controls.
  172.  
  173. Package 3 (Automated PC-Based Control Matrix Design) is a control
  174. matrix development package that contains a database of controls plus
  175. separate databases of threats and computer system components. This
  176. package allows one to draw a draft matrix, search the controls
  177. database and move relevant controls to a matrix controls list.
  178.  
  179. Package 4 (Show Text Presentation Graphics) is used to draw the final
  180. matrix resequencing threats, components, and controls.
  181.  
  182. Hardware Requirements.
  183.  
  184. - IBM PC or compatible or IBM Personal System/2.
  185. - 384KB memory.
  186. - Two diskette drives or 10MB fixed disk.
  187. - Graphics capability.
  188.  
  189. Operating system.
  190.  
  191. - MS-DOS Version 2.0 or later.
  192.  
  193. User Interface/Ease of Use.
  194.  
  195. - A demo diskette provides a ten minute introduction to the
  196.   matrix concept of designing controls into computerized systems.
  197.  
  198. Documentation and Training.
  199.  
  200. - User manual.
  201. - Automated course.
  202. - One or two day on-site training upon request.
  203.  
  204. Developer/Vendor. Jerry Fitzgerald & Associates, Redwood City, CA
  205. (415) 591-5676
  206.  
  207. Remarks.
  208.  
  209.      CRAMM (CCTA Risk Analysis and Management Methodology)
  210.  
  211. Methodology:  Qualitative.  CRAMM is a risk analysis tool developed by
  212. the British government and BIS Applied Systems Limited.  CRAMM is
  213. composed of three stages, each supported by questionnaires and
  214. guidelines. The primary function of Stage 1 is the valuation of data
  215. and physical assets of the system or network under review. Qualitative
  216. values are determined for the data assets on a scale of 1 to 10, for
  217. potential impacts of disclosure, modification, destruction, and
  218. availability. The physical asset are valued on the basis of
  219. replacement costs, which are also convened to scalar values of 1 to
  220. 10, with 10 representing the highest value. The review moves to stage
  221. 2 for those assets valued higher than 3. (Baseline protective measures
  222. are recommended for assets valued lower than 3).
  223.  
  224. Stage 2 measures the levels of threats and vulnerabilities for each
  225. asset group and then measures the risks on a scale of 1 to 5. In stage
  226. 3, these measures are used to select safeguards from a library of over
  227. 900.  CRAMM provides an iterative safeguard evaluation, in priority
  228. sequence, to facilitate selection of the most appropriate safeguards.
  229. A variety of reports are produced. CRAMM also provides a password
  230. logon function. Sensitivity markings are provided on all screens and
  231. hardcopy output.
  232.  
  233. Hardware Requirements.
  234.  
  235. - IBM PC or compatible.
  236. - 640KB memory.
  237. - 10MB fixed drive.
  238.  
  239. Operating System.
  240.  
  241. - MS-DOS 2.1 or later.
  242.  
  243. User Interface/Ease of Use.
  244.  
  245. - Menu-driven.
  246. - On-line HELP facility.
  247.  
  248. Documentation and Training.
  249.  
  250. - User manual.
  251. - Management guide.
  252. - Training available upon request.
  253.  
  254. Developer/Vendor. BIS Applied Systems Limited, London SE1 9PN,
  255. England; telephone 011-44-1-633-0866.
  256.  
  257. Remarks. CRAMM is available in the USA by licence agreement between
  258. BIS and the UK Central Computer Telecommunications Agency. The BIS
  259. Service Representative and provider of a US-based help desk and
  260. support services is Executive Resources Associates, Inc., Suite 813,
  261. One Crystal Drive, Arlington, VA 22202; (703) 920-5200. CRITI-CALC
  262.  
  263. Methodology: Quantitative/Qualitative. This product uses the concept
  264. of annualized loss expectancy (ALE) to quantify the criticality of
  265. risk exposure for applications. The software collects information
  266. about each application's loss potential, optimum off-site recovery,
  267. cost of backup, cost 10 recover.  It uses this information to
  268. calculate each application's annualized risk potential. The
  269. criticality of each application is determined by the potential for
  270. loss caused by a processing interruption and a profile of up to 14
  271. delay factors. The user interacts with the system by means of screens
  272. which display information about the risk exposure.  Once the user has
  273. reviewed the initial results, "what if" analysis may be performed by
  274. modifying the input data as a way of verifying the effectiveness of
  275. certain safeguards.  The information contained in the output reports
  276. may be used to optimize contingency plans.  The ALE, as a function of
  277. maximum outage duration, is compared with the corresponding cost of
  278. backup data to identify automatically the optimum off-site recovery
  279. site.
  280.  
  281. Hardware requirements:
  282.  
  283. - IBM PC/XT or compatible.
  284. - 64OK memory.
  285. - 360K diskette drive.
  286. - Feed drive not necessary but convenient.
  287.  
  288. Operating SYstem:
  289.  
  290. - MS-DOS Version 2.11 or later.
  291.  
  292. User Interface ease of Use:
  293.  
  294. - Menu-driven.
  295. - Help screen.
  296.  
  297. Documentation and Training:
  298.  
  299. - User manual with sample databases and detailed tutorial.
  300. - On-site training.
  301.  
  302. Developer/Vendor: International Security Technology, Reston, VA (703)
  303. 471-0885.
  304.  
  305. Remarks.
  306.                             GRA/SYS
  307.  
  308. Methodology.  Qualitative.  GRA/SYS is a tool designed to assist
  309. internal auditors and security personnel in developing a work priority
  310. plan for reviewing organizational risks. Specifically, the software
  311. prepares an applications and computer activity inventory, determines
  312. the number of risks for several major control areas. A risk score that
  313. reflects the measure of risk to the organization is calculated and
  314. placed in descending order on a scale of 1 to 9, with 9 representing a
  315. worst-case situation.  An additional report that reflects the number
  316. of times each risk occurs is also prepared. Using the output reports
  317. from this software package, the user is able to identify those risks
  318. where more effective safeguards are needed.
  319.  
  320. Hardware Requirements.
  321.  
  322. - IBM PC or compatible.
  323. - 64KB memory.
  324. - One diskette drive.
  325.  
  326. Software Requirements.
  327.  
  328. - MS-DOS Version 2.0 or later.
  329.  
  330. User Interface/Ease of Use.
  331.  
  332. - Menu-driven.
  333.  
  334. Documentation and Training.
  335.  
  336. - User manual.
  337. - Training is not offered with the purchase.
  338.  
  339.  
  340. Developer/Vendor.  Nander Brown & Co., Reston, VA.;
  341. (202) 653-6646.
  342.  
  343. Remarks.
  344.  
  345. Government organizations may obtain this software at no cost.
  346.    IST/RAMP (International Security Technology/Risk Analysis
  347.                        Management Program)
  348.                         
  349. Methodology. Quantitative and Qualitative. 1ST/RAMP is a mainframe-
  350. resident risk analysis program with an input module that is PC-
  351. resident. The software calculates the annualized loss expectancy and
  352. as well as single occurrence loss.  The system can also provide a
  353. qualitative analysis.  1ST/RAMP generates data collection forms to
  354. assist the risk analyst in organizing and controlling data collection.
  355. Five loss categories are addressed: service interruptions; physical
  356. loss and damage; fraud; unauthorized disclosure; and physical theft. A
  357. library of data bases enables the analyst to maintain an audit trail
  358. of input data changes. A 'what-if' capability enables the analyst to
  359. select the most cost-effective security measures.
  360.  
  361. RAMP<->LINK~is a PC-resident, menu-driven data entry system which uses
  362. risk information entered by the analyst to build a DOS file that can
  363. be uploaded to IST/RAMP for processing.
  364.  
  365. Hardware Requirements.
  366.  
  367. - IBM Mainframe for IST/RAMP--30xx with MVS.
  368. - Interactive under TSO and Roscoe.
  369. - IBM PC/XT or compatible for RAMP<->Link.
  370. - 5K12 memory.
  371. - Two diskette drives or one diskette and fixed disk drives.
  372.  
  373. Software Requirements.
  374.  
  375. - MS DOS Version 2.1 or later.
  376.  
  377. User Interface/lEase of Use.
  378.  
  379. - Menu-driven.
  380.  
  381. Documentation and Training.
  382.  
  383. - Training manual with sample data bases and detailed tutorial.
  384. - User manual.
  385. - Three-day on-site training.
  386. - Pocket reference.
  387.  
  388. Developer/Vendor International Security Technology, Reston, VA; (703)
  389. 471-0885.
  390.  
  391. Remarks.
  392.  
  393. RAMP<->L~ makes it unnecessary for the analyst to be familiar with the
  394. details of 1ST/RAMP data entry formats.  The analyst enters the data
  395. off-line and logs onto a mainframe where 1ST/RAMP is resident using
  396. any communications software package that has a "file send" command.
  397.                             JANBER
  398.                            
  399. Methodology:  Qualitative.  Janber initiates a yes/no questionnaire
  400. and checklIst for collecting information about security controls
  401. already in place. The software weights safeguards currently in place
  402. and measures them against the level of data being processed on the
  403. system. These data classification levels point to highly sensitive but
  404. unclassified information to highly classified data. The analysis
  405. provides a linguistic characterization of the level of vulnerability
  406. from 2-28, with 28 representing a worst-case scenario.
  407. Vulnerabilities, safeguards and their weights can be preestablished by
  408. the vendor to meet the organization requirements. Safeguards that are
  409. required but not implemented are flagged in a report and
  410. recommendations for safeguards that meet organizational guidelines and
  411. directives are provided. Users have the capability of performing
  412. "what-if' scenarios to evaluate the effectiveness of certain
  413. safeguards.
  414.  
  415. The Janber application allows users to define standard entries for
  416. specific data fields.  The results of the data collection and analysis
  417. are maintained on separate data bases. The developer recommends that
  418. both the analysis and the data collection be performed by different
  419. personnel to assure the integrity of the results.  The developer
  420. further recommends that the analysis be performed by computer security
  421. professionals to achieve optimum results.  The software provides a
  422. capability to track action items resulting from the evaluation.
  423.  
  424. Janber creates a database of information on all systems surveyed and
  425. provides a data base query capability for contingency planning and
  426. recovery operations.
  427.  
  428. Hardware Requirements.
  429.  
  430. - IBM PC or compatible.
  431. - 10MB Feed drive and one diskette drive.
  432.  
  433. Operating system.
  434.  
  435. - MS-DOS Version 2.0 or higher.
  436.  
  437. User Interface/Ease of Use.
  438.  
  439. - Menu-driven.
  440. - On-line help facility.
  441.  
  442. Documentation and Training.
  443.  
  444. - User manual.
  445. - Training provided upon request.
  446.  
  447. Developer/Vendor. Eagan, McAIlister Associates, Inc., Lexington Park,
  448. MD 20653; (301) 862-3565.
  449.  
  450. Remarks. LAVA (Los Alamos Vulnerability and Risk Assessment)
  451.  
  452. Methodology:  Qualitative and Quantitative.  LAVA administers
  453. questionnaires which results in the identification of missing
  454. safeguards in 34 areas ranging from password management to personnel
  455. security and internal audit practices.  The software evaluates
  456. potential consequences and impact upon the organization and the
  457. ultimate loss exposure (risks). LAVA considers three kinds of threats:
  458. natural and environmental hazards; accidental and intentional on-site
  459. human threats (including the authorized insider); and off-site human
  460. threats. Detailed LAVA reports provide both qualitative and
  461. quantitative results of the risks identified.
  462.  
  463. Hardware requirements.
  464.  
  465. - IBM PC- or compatible.
  466. - 512KB memory.
  467. - 360KB and 720KB diskette drives; or 1.2MB fixed drive and 
  468.   one 360~ diskette drive.
  469.  
  470. Operating System.
  471.  
  472. - MS-DOS Version 2.0 or later.
  473.  
  474. User Interface/Ease of Use.
  475.  
  476. - Interactive questionnaires.
  477.  
  478. Documentation and Training.
  479.  
  480. - User manual.
  481. - On-site training.
  482. - Demonstration diskette.
  483.  
  484. Developer/Vendor.  Los AIamos National Laboratory, Los AIamos, NM;
  485. (505) 667-7777.
  486.  
  487. Remarks.
  488.  
  489. The LAVA methodology stresses a team approach for conducting the risk
  490. assessment.  It is recommended the team be composed of people with a
  491. broad spectrum of backgrounds and expertise to ensure a thorough
  492. assessment. It is further recommended that a consensus among the group
  493. be reached before entering an answer to any of the questions, and that
  494. in some cases this may be the most difficult part of administering
  495. this risk management software.
  496.  
  497. Distribution of this package is handled through the National Security
  498. Agency (contacts include Sam Samuelson (301)~688-6022; Ed Markel (301)
  499. 688-6022; or John LaPaille (301) 688-5331.
  500.           LRAM (Livermore Risk Analysis Methodology)
  501.  
  502. Methodology: Quantitative. A government-developed system, this
  503. methodology is structured to allow screening of asset/threat-event
  504. combinations so that only high impact risks are reviewed. The
  505. methodology focuses attention on the effectiveness of proposed
  506. security controls as well as those already in place. LRAM is divided
  507. into three major phases to include project planning, risk analysis,
  508. and decision support. The initial phase defines the scope of the
  509. analysis and identifies needed resources and personnel. The second
  510. phase analyzes the data collected from phase 1.  In this second phase,
  511. risk elements are identified by establishing corresponding threats,
  512. control and asset components, the results of which are provided as
  513. input for the final decision support phase.
  514.  
  515. The final decision support phase is meant to assist in the security
  516. management of information. It is a process to select and list in
  517. priority order each recommended safeguard on the basis of cost benefit
  518. estimates and other decision indexes.
  519.  
  520. Hardware Requirements.
  521.  
  522. - IBM PC or compatible.
  523. - 640K memory.
  524. - One diskette drive and fixed drive.
  525.  
  526. Operating SYstem.
  527.  
  528. - MS-DOS Version 2.0 or later.
  529.  
  530. User Interface/Ease of Use.
  531.  
  532. - Menu-driven.
  533.  
  534. Documentation and Training.
  535.  
  536. - User manual.
  537.  
  538.  
  539. Developer/Vendor~ Lawrence Livermore National Laboratory, Livermore,
  540. CA; (415) 423-3083 or 543-3082.
  541.  
  542. Remarks.
  543.                          MARION
  544.  
  545. Methodology.  Qualitative/Quantitative. LION assesses business risks
  546. associated with information systems drawing on a large database of
  547. actual incidents. The software incorporates a questionnaire to
  548. evaluate the level of security that is currently being applied within
  549. the organization. Each question is allocated a weighting which
  550. reflects the relative importance according to the analysis of the
  551. underlying database of events. A score is allocated for each question;
  552. the responses and scores are stored. The software calculates the
  553. overall score for 27 categories of security and presents the results
  554. graphically and in printed form.  Once the current security profile
  555. has been determined, MARION compares each category with industry norms
  556. which are derived from the database. The software uses the information
  557. on costs also held iii the database to calculate an estimated
  558. expenditure in relation to the total security budget. The calculated
  559. costs are analyzed according to the nature of the security category
  560. and presented graphically in detailed tables.  A "what-if" capability
  561. allows one to use different budgets to determine the effects on the
  562. security profile. The effects of the proposed measures can also be
  563. displayed.
  564.  
  565. Hardware Requirements.
  566.  
  567. - IBM PC or compatible.
  568. - 5l2K memory.
  569. - Graphics capability.
  570.  
  571. Operating System.
  572.  
  573. - MS DOS 2.0 or later.
  574.  
  575. User Interface/Ease of Use.
  576.  
  577. - Menu-driven.
  578.  
  579. Documentation and Training.
  580.  
  581. - User Manual.
  582.  
  583. Developer/Vendor.  Coopers & Lybrand (United Kingdom firm), Plumtree
  584. Court, London EC4A 4HT, telephone 01-822-4678.
  585.  
  586. Remarks.
  587.  
  588. MARION is a methodology developed in France. Coopers & Lybrand are the
  589. agents for the package in the UK.  They have worked with a French
  590. software house PSI to produce an English version of the package and
  591. supporting reference material.
  592.  
  593.                   MicroSecure Self Assessment
  594.  
  595. Methodology. Qualitative. An automated software tool that will allow
  596. PC users to conduct a security self-assessment.  The software analyzes
  597. the PC environment, determines the vulnerabilities, and recommends
  598. security controls.  Those safeguards recommended are designed to
  599. increase security and reduce exposures in six areas to include system
  600. integrity, data security, credibility, data integrity, backup and
  601. disaster recovery, and confidentiality and privacy.  The software may
  602. be customized to meet specific requirements.
  603.  
  604. Hardware Requirements.
  605.  
  606. - IBM PC or compatible.
  607. - 256K memory.
  608. - One diskette drive.
  609.  
  610. Operating System.
  611.  
  612. - MS DOS 2.0 or later.
  613.  
  614. User Interface/Ease of Use.
  615.  
  616. - Menu-driven.
  617.  
  618. Documentation and Training.
  619.  
  620. - User Guide.
  621. - On-line tutorial.
  622.  
  623. Developer/Vendor Boden Associates, East Williston, NY;
  624. (516) 294-2648.
  625.  
  626. Remarks.  An optional question quiz is provided at the end of each
  627. chapter of the training course. Recommendations for corrective action
  628. can be printed directly to the printer or written to an ASCII text
  629. file for editing.
  630.                            MINIRISK
  631.  
  632. Methodology. Qualitative. MINIRISK is a tool designed to assess
  633. computer security vulnerabilities in a micro computer environment.  A
  634. vulnerability assessment questionnaire allows the organization to
  635. evaluate the adequacy and completeness of individual safeguards areas
  636. and to reevaluate these same areas after missing safeguards have been
  637. implemented. During the process of answering the MINIRlSK
  638. questionnaire, the user identifies missing safeguards in 10 to 50
  639. vulnerability categories ranging from password management to
  640. contingency planning and internal audit controls.  Safeguards and
  641. controls considered mandatory by the organization have been appointed
  642. for each category that is to be reviewed. The absence of certain
  643. safeguards determines the level of vulnerability on a scale of zero to
  644. 9, with zero being the best case, and 9 the worst.  MINIRISK
  645. establishes a threshold by which to evaluate vulnerabilities that
  646. exceed an acceptable risk level.
  647.  
  648.  
  649. Hardware Requirements.
  650.  
  651. - IBM PC or compatible.
  652. - 64KB memory.
  653. - One diskette drive.
  654.  
  655. Software Requirements.
  656.  
  657. - MS-DOS Version 2.0 or later.
  658.  
  659. User Interface/Ease of Use.
  660.  
  661. - Menu-driven.
  662. - Online HELP facility.
  663. - User defined questionnaire.
  664.  
  665. Documentation and Training.
  666.  
  667. - User manual.
  668. - Training is not offered with the purchase.
  669.  
  670. Developer/Vendor.  Nander Brown & Co., Reston, VA.; (703) 689-4580.
  671.  
  672. Remarks.  Government organizations may obtain this software at no
  673. cost.
  674.     PRISM Risk Analysis and Simulation for the PC
  675.  
  676. Methodology. Qualitative. Prism supports development of risk analysis
  677. modelling, simulation, sensitivity analysis, and graphical
  678. presentation of results. It also contains system functions to save,
  679. retrieve, display, and modify existing models. In addition to simple
  680. algebraic equations, Prism permits use of BASIC-like statements to
  681. model more complex applications.
  682.  
  683. Hardware Requirements.
  684.  
  685. - IBM PC or compatible.
  686. - 512K fixed drive.
  687.  
  688. Operating System.
  689.  
  690. - MS-DOS 2.0 or later.
  691.  
  692. User Interface/lEase of Use.
  693.  
  694. - On-line HELP facility.
  695.  
  696. Documentation and Training.
  697.  
  698. - User manual.
  699. - Training and on-site seminars.
  700. - Consulting services available to assist in model development.
  701.  
  702. Developer/Vendor. Palisade Corporation, Newfield, NY;
  703. (607) 564-9993.
  704.  
  705. Remarks.
  706.                            QUICKRISK
  707.  
  708. Methodology:  Qualitative.  Quikrisk requires the user to input
  709. information about the systems and facilities on a scenario form. These
  710. forms pertain to potential threats, current safeguards, and assets.
  711. Once all of the input information has been entered, the software
  712. computes the results which provide an annual loss exposure. An
  713. additional computation is performed which displays a return on
  714. investment for each control in place.  The analyst also has the
  715. capability of modifying the results of previous computations by
  716. modifying the input data.  In addition, the software is delivered with
  717. a threat file containing numerous threats and frequencies. The user
  718. has the capability of adding threats to this list.
  719.  
  720.  
  721. Hardware requirements.
  722.  
  723. - IBM PC or compatible.
  724. - Two diskette drives.
  725.  
  726. Operating System.
  727.  
  728. - MS-DOS Version 2.0 or later.
  729.  
  730. User Interface~se of Use.
  731.  
  732. - Menu-driven.
  733.  
  734. Documentation and Training.
  735.  
  736. - User manual.
  737.  
  738. Developer/Vendor Basic Data Systems, Rockville, MD;
  739. (301) 269-2691.
  740.  
  741. Remarks.
  742.                      RANK-IT
  743. Methodology. RANK-IT is a risk assessment software package that uses
  744. the Delphi technique. Delphi is an expert system approach to risk
  745. ranking. This software automates the Delphi technique by adding
  746. Comparison Risk Ranking to obtain an ordinally ranked list of the
  747. items being ranked or to calculate percentage risk values.  Each
  748. ranked item has a numerical value that can be used as a weighting
  749. factor or a cardinal number value.
  750.  
  751. RANK-IT is used to risk rank system threats, controls,
  752. vulnerabilities, components, or any other criteria. It also can be
  753. used to rank other types of business decision alternatives, whether
  754. quantifiable or not.
  755.  
  756. The developer suggests that the time required to conduct a risk
  757. ranking using this combined Delphi and Comparison Risk Ranking
  758. methodology can range from 30 minutes to three hours.
  759.  
  760. Hardware Requirements.
  761.  
  762. - IBM PC/XT/AT or compatible or IBM Personal System/2.
  763. - 5l2KB memory.
  764. - Single diskette drive or fixed disk (300K memory required).
  765. - Graphics capability.
  766.  
  767. Operating System.
  768.  
  769. - MS-DOS Version 2.0 or later.
  770.  
  771. User Interface/Ease of Use.
  772.  
  773. - Menu-driven.
  774.  
  775. Documentation and Training.
  776.  
  777. - Demonstration diskette.
  778. - User manual.
  779. - Tutorial and training diskettes.
  780. - One-day on-site training upon request.
  781.  
  782. Developer/Vendor.  Jerry Fitzgerald & Associates, Redwood City, CA;
  783. (415) 591-5676.
  784.  
  785. Remarks.
  786.                  Risk Analysis System (RA/SYS)
  787.  
  788. Methodology.  Quantitative. RA/SYS is an automated risk analysis
  789. system which processes with a series of interconnected files that can
  790. assess up to 50 vulnerabilities and assets and 65 threats.
  791. Calculations are performed on threat/vulnerability pairs to produce
  792. threat ratings and threat frequencies. A report summarizes loss
  793. estimates, cost benefit analysis, and return on investment.
  794.  
  795. Hardware Requirements.
  796.  
  797. - IBM PC or compatible.
  798. - 128KB of memory.
  799. - Two 360KB diskette drives or 640KB fixed drive.
  800.  
  801. Operating System.
  802.  
  803. - MS-DOS Version 2.0 or later.
  804.  
  805. User Interface/Ease of Use.
  806.  
  807. - Menu-driven.
  808. - On-line HELP facility.
  809.  
  810. Documentation and Training.
  811.  
  812. - User manual.
  813. - Technical assistance available upon request.
  814.  
  815. Developer/Vendor Nander Brown & Co., Reston, VA;
  816. (202) 689-4580.
  817.  
  818. Remarks.
  819.  
  820. Government agencies may obtain copies of this software at no charge.
  821.                           RiskCALC
  822.  
  823. Methodology.  Quantitative or Qualitative.  An annual loss expectancy
  824. (ALE) or other metric is computed based on an answered questionnaire. 
  825. The user may optionally change the values of RiskCALC variables to
  826. determine the most cost-effective safeguards and display the results
  827. on the user's screen. RiskCALC is part of a 'family' of software tools
  828. described below. They each provide a standard ASClI file interface for
  829. exporting and importing RiskCALC variables.
  830.  
  831.       o  RiskCALC allows the user to answer questions and print
  832. reports into which values elicited from the questionnaire are
  833. automatically inserted.
  834.  
  835.       o Risk Minimizer identifies an organization's most
  836. significant risks from a completed analysis. Risk Minimizer may be
  837. used with other risk management software tools that use the RiskCalc
  838. file format.
  839.  
  840.       0  The System Manager assists in designing or customizing an
  841. existing risk analysis model.
  842.  
  843.       o  The Demonstration Models allow the user to develop a
  844. site-speciiic questionnaire or select one that models several risk
  845. scenarios.
  846.  
  847. Hardware requirements.
  848.  
  849. - IBM PC or compatible.
  850. - 5I2KB memory.
  851. - Fixed drive is optional but recommended.
  852.  
  853. Operating system.
  854.  
  855.  MS-DOS Version 2.1 or later.
  856.  
  857. User Interface/Ease of Use.
  858.  
  859. - Menu driven.
  860. - On-line help facility.
  861. - Lotus-like iriterface.
  862.  
  863. Documentation and Training.
  864.  
  865. - User and system administrator manuals.
  866. - One day on-site training with purchase.
  867. - A three-day course on computer security and risk management 
  868.   is available upon request.
  869.  
  870. Developer/Vendor.  Hoffman Business Associates, Inc., Chevy Chase,
  871. MD., (301) 656-6205.
  872.  
  873. Remarks
  874.                             RISKPAC
  875.  
  876. Methodology.  Qualitative.  This software product is composed of three
  877. components--questionnaire, surveys, and reports. The results of the
  878. questionnaire are stored in a 'survey' which provides the basis of the
  879. analysis.  The questions point to discrete categories that provide a
  880. review of an organization's policies, physical environment, processing
  881. hardware and the applications and data which make up a system.  Each
  882. of these categories are evaluated separately. A variety of
  883. questionnaires that apply to several disciplines (e.g., manufacturing,
  884. banking, and government) are available.  'Reports' provide the results
  885. of the evaluation expressed on a scale of one to five, with five
  886. representing a worst-case scenario. The weighting and scoring
  887. algorithms are based on Kepner/Tregoe type of analysis. The package
  888. can produce data files that can be input to various database spread
  889. sheets.  Further, the software is equipped with a number of utility
  890. routines that allow organizations to develop their own questionnaires.
  891. This 'System Manager' capability is available separately.
  892.  
  893. Hardware Requirements.
  894.  
  895. - IBM PC, PC/XT, or PC/AT or compatible.
  896.   256K ofmemory.
  897. - Two diskette drives or 10MB fixed drive.
  898.  
  899. Operating system.
  900.  
  901. - MS-DOS Version 2.0 or later.
  902.  
  903. User Interface/Ease of Use.
  904.  
  905. - Menu-driven.
  906.  
  907. Documentation and Training.
  908.  
  909. - User manual.
  910. - Training provided upon request.
  911.  
  912. Developer/Vendor:  Computer Security Consultants, Ridgefield, CT,
  913. Subsidiary of Computer Security Consultants, LTD.; (203) 431-8720.
  914.  
  915. Remarks.
  916.                              RISKWATCH
  917.  
  918. Methodology.  Qualitative/Quantitative.  The RISKWATCH software is
  919. capable of analyzing organizations, facilities, systems, applications
  920. and networks, both large and small.  RiskWatch distinguishes between
  921. financial, critical, sensitive and classified systems. The system
  922. access relational data bases that contain over thousands of
  923. relationships between threats, assets, vulnerabilities, losses, and
  924. safeguards. Responses to a questionnaire which addresses a wide
  925. variety of job functions is combined with the databases to produce a
  926. comprehensive risk analysis report. This report also provides an asset
  927. inventory, a detailed list of vulnerabilities, threat analysis with
  928. annual loss expectancies and recommended safeguards that include
  929. return-on-investment. The system provides a query capability for any
  930. selected threat, asset, vulnerability or safeguard.
  931.  
  932. Hardware requirements.
  933.  
  934. - IBM-XT/AT or compatible.
  935. - 640K memory.
  936. - 10MB fixed drive.
  937. - Graphics.
  938. - Color monitor.
  939.  
  940. Operating system.
  941.  
  942. - MS DOS Version 2.1 or higher.
  943.  
  944. User Interface/Ease of Use.
  945.  
  946. - Menu-driven.
  947.  
  948. Documentation and Training.
  949.  
  950. - User manual.
  951. - Training provided upon request.
  952.  
  953. Developer/Vendor. Expert Systems Software, Inc., Long Beach, CA
  954. (213) 499-3346.
  955.  
  956. Remarks.
  957.  
  958. The software can be customized to meet the needs of both defense and
  959. civil organizations.  LOGICON is authorized to distribute this
  960. software package, Arlington, VA (703) 486-3500.
  961.  
  962. 
  963. Downloaded From P-80 International Information Systems 304-744-2253
  964.