Відмінності між версіями «Метод аналізу ризиків CRAMM»
(→Переваги) |
(→Недоліки) |
||
Рядок 124: | Рядок 124: | ||
== Недоліки == | == Недоліки == | ||
+ | |||
• великий обсяг звітів | • великий обсяг звітів | ||
+ | |||
• порівняно висока трудомісткість | • порівняно висока трудомісткість | ||
+ | |||
Додаткова інформація [http://www.cramm.com/downloads/datasheets.htm тут] | Додаткова інформація [http://www.cramm.com/downloads/datasheets.htm тут] |
Версія за 13:47, 14 листопада 2011
Зміст |
Управління ризиками
Це діяльність, спрямована на прийняття і виконання управлінських рішень, з метою зниження ймовірності виникнення несприятливого результату і мінімізації можливих втрат, викликаних його реалізацією. Дуже корисно, коли ця діяльність реалізована у вигляді повноцінного циклічного керованого і вимірюваного процесу. Керувати ризиками потрібно на різних стадіях життєвого циклу сервісу. Існує ряд методів,які сприяють оптимізації зусиль.
Історія створення
У 1985 році Центральне агентство з комп'ютерів і телекомунікацій (ССТА - Central Computer and Telecommunications Agency) Великобританії почало дослідження існуючих методів аналізу ІБ, щоб рекомендувати методи, придатні для використання в урядових установах, зайнятих обробкою несекретної, але критичної інформації. Жоден з розглянутих методів не підійшов. Тому був розроблено новий метод, який відповідає вимогам ССТА Він отримав назву CRАММ-CCTA Risk Analysis & Management Method - метод ССТА аналізу та контролю ризиків. Потім з'явилося кілька версій методу, орієнтованих на вимоги Міністерства оборони, цивільних державних установ, фінансових структур, приватних організацій. Метод Реалізований в спеціалізованому програмному забезпеченні, настроюється під різні сфери діяльності за допомогою «профілів» (комерційний, громадянське державна установа, фінансовий сектор та ін.). Поточна версія CRAMM 5, відповідає стандарту BS 7799 (ISO 17799).
Метою розробки методу було створення формалізованої процедури, що дозволяє:
• переконатися, що вимоги, пов'язані з безпекою, повністю проаналізовані та задокументовані;
• уникнути витрат на зайві заходи безпеки, можливі при суб'єктивній оцінці ризиків;
• надавати допомогу у плануванні та здійсненні захисту на всіх стадіях життєвого циклу інформаційних систем:
• забезпечити проведення робіт у стислі терміни;
• автоматизувати процес аналізу вимог безпеки;
• представити обгрунтування для заходів протидії;
• оцінювати ефективність контрзаходів, порівнювати різні їх варіанти;
• генерувати звіти.
Концепція,яка положена в основу
Аналіз ризиків включає ідентифікацію та обчислення рівнів (заходів) ризиків на основі оцінок, присвоєних ресурсів, погроз і вразливостей ресурсів. Контроль ризиків полягає в ідентифікації та виборі контрзаходів, завдяки яким вдається знизити ризики до прийнятного рівня. Формальний метод, заснований на цій концепції, дозволяє переконатися, що захист охоплює всю систему і є впевненість у тому, що:
• всі можливі ризики ідентифіковані;
• вразливості ресурсів ідентифіковані і їх рівні оцінені;
• загрози ідентифіковані і їх рівні оцінені;
• контрзаходи ефективні;
• витрати, пов'язані з ІБ, виправдані.
Дослідження ІБ системи за допомогою CRAMM проводиться у кілька етапів. На першій стадії, Initiation, проводиться формалізований опис кордонів інформаційної системи, її основних функцій, категорій користувачів, а також персоналу, який бере участь в обстеженні. Ризик визначається як - можливість втрат в результаті якої-небудь дії або події, здатного завдати шкоди. На стадії ідентифікації та оцінки ресурсів, Identification and Valuation of Assets, описується і аналізується все, що стосується ідентифікації та визначення цінності ресурсів системи. У кінці цієї стадії замовник дослідження буде знати,чи задовольнить його існуюча традиційна практика або він потребує проведення повного аналізу ризиків. В останньому випадку буде побудована модель інформаційної системи з позиції інформаційної безпеки. Критерії оцінки цінності ресурсів:
• Збиток для репутації організації
• Безпека персоналу
• Розголошення персональних відомостей
• Розголошення комерційних відомостей
• Неприємності з боку правоохоронних органів
• Фінансові втрати
• Неможливість нормальної роботи організації
Стадія оцінювання загроз і вразливостей, Threat and Vulnerability Assessment, не є обов'язковою, якщо замовника задовольнить базовий рівень інформаційної безпеки. Ця стадія виконується при проведенні повного аналізу ризиків. Береться до уваги все, що відноситься до ідентифікації та оцінки рівнів загроз для груп ресурсів та їх вразливостей. Наприкінці стадії замовник отримує ідентифіковані і оцінені рівні загроз і вразливостей для своєї системи. Основні кроки:
• Ідентифікація загроз ресурсів і можливих вразливостей.
• Групування за загрозам або впливам з метою мінімізації обсягу роботи з аналізу ризиків.
• Вимірювання ризиків.
• Отримання звіту та обговорення результатів з замовниками.
• Корекція за результатами обговорення.
Оцінка ризику виконується за двома чинниками: вірогідність реалізації та розмір збитку.
Переваги
• добре апробований метод
• вдала система моделювання ІТ
• велика БД для оцінки ризиків та вибору контрзаходів
• можливість використання як засобу аудиту
Недоліки
• великий обсяг звітів
• порівняно висока трудомісткість
Додаткова інформація тут