Відмінності між версіями «Метод аналізу ризиків CRAMM»
(→Управління ризиками) |
м (Змінено рівень захисту сторінки «Метод аналізу ризиків CRAMM» ([edit=sysop] (безстроково) [move=sysop] (безстроково)) [каскадний]) |
||
(48 проміжних версій 3 користувачів не показані) | |||
Рядок 1: | Рядок 1: | ||
== Управління ризиками == | == Управління ризиками == | ||
− | діяльність, спрямована на прийняття і виконання | + | Це діяльність, спрямована на прийняття і виконання |
управлінських рішень, з метою зниження ймовірності виникнення | управлінських рішень, з метою зниження ймовірності виникнення | ||
несприятливого результату і мінімізації можливих втрат, викликаних його | несприятливого результату і мінімізації можливих втрат, викликаних його | ||
Рядок 16: | Рядок 16: | ||
критичної інформації. Жоден з розглянутих методів не підійшов. Тому був | критичної інформації. Жоден з розглянутих методів не підійшов. Тому був | ||
розроблено новий метод, який відповідає вимогам ССТА Він отримав назву | розроблено новий метод, який відповідає вимогам ССТА Він отримав назву | ||
− | CRАММ-CCTA Risk Analysis & Management Method - метод ССТА аналізу та контролю | + | '''CRАММ-CCTA Risk Analysis & Management Method''' - метод ССТА аналізу та контролю |
ризиків. Потім з'явилося кілька версій методу, орієнтованих на вимоги Міністерства оборони, цивільних державних установ, фінансових | ризиків. Потім з'явилося кілька версій методу, орієнтованих на вимоги Міністерства оборони, цивільних державних установ, фінансових | ||
структур, приватних організацій. | структур, приватних організацій. | ||
Рядок 25: | Рядок 25: | ||
Метою розробки методу було створення формалізованої процедури, що дозволяє: | Метою розробки методу було створення формалізованої процедури, що дозволяє: | ||
+ | |||
• переконатися, що вимоги, пов'язані з безпекою, повністю | • переконатися, що вимоги, пов'язані з безпекою, повністю | ||
проаналізовані та задокументовані; | проаналізовані та задокументовані; | ||
+ | |||
• уникнути витрат на зайві заходи безпеки, можливі при суб'єктивній | • уникнути витрат на зайві заходи безпеки, можливі при суб'єктивній | ||
оцінці ризиків; | оцінці ризиків; | ||
+ | |||
• надавати допомогу у плануванні та здійсненні захисту на всіх стадіях | • надавати допомогу у плануванні та здійсненні захисту на всіх стадіях | ||
життєвого циклу інформаційних систем: | життєвого циклу інформаційних систем: | ||
+ | |||
• забезпечити проведення робіт у стислі терміни; | • забезпечити проведення робіт у стислі терміни; | ||
+ | |||
• автоматизувати процес аналізу вимог безпеки; | • автоматизувати процес аналізу вимог безпеки; | ||
+ | |||
• представити обгрунтування для заходів протидії; | • представити обгрунтування для заходів протидії; | ||
+ | |||
• оцінювати ефективність контрзаходів, порівнювати різні їх варіанти; | • оцінювати ефективність контрзаходів, порівнювати різні їх варіанти; | ||
− | |||
+ | • генерувати звіти. | ||
== Концепція,яка положена в основу == | == Концепція,яка положена в основу == | ||
Рядок 45: | Рядок 52: | ||
Формальний метод, заснований на цій концепції, дозволяє переконатися, що захист | Формальний метод, заснований на цій концепції, дозволяє переконатися, що захист | ||
охоплює всю систему і є впевненість у тому, що: | охоплює всю систему і є впевненість у тому, що: | ||
+ | |||
• всі можливі ризики ідентифіковані; | • всі можливі ризики ідентифіковані; | ||
+ | |||
• вразливості ресурсів ідентифіковані і їх рівні оцінені; | • вразливості ресурсів ідентифіковані і їх рівні оцінені; | ||
+ | |||
• загрози ідентифіковані і їх рівні оцінені; | • загрози ідентифіковані і їх рівні оцінені; | ||
+ | |||
• контрзаходи ефективні; | • контрзаходи ефективні; | ||
+ | |||
• витрати, пов'язані з ІБ, виправдані. | • витрати, пов'язані з ІБ, виправдані. | ||
+ | |||
Дослідження ІБ системи за допомогою CRAMM проводиться у кілька етапів. | Дослідження ІБ системи за допомогою CRAMM проводиться у кілька етапів. | ||
На першій стадії, Initiation, проводиться формалізований опис кордонів | На першій стадії, Initiation, проводиться формалізований опис кордонів | ||
Рядок 63: | Рядок 76: | ||
позиції інформаційної безпеки. | позиції інформаційної безпеки. | ||
Критерії оцінки цінності ресурсів: | Критерії оцінки цінності ресурсів: | ||
+ | |||
• Збиток для репутації організації | • Збиток для репутації організації | ||
+ | |||
• Безпека персоналу | • Безпека персоналу | ||
+ | |||
• Розголошення персональних відомостей | • Розголошення персональних відомостей | ||
+ | |||
• Розголошення комерційних відомостей | • Розголошення комерційних відомостей | ||
+ | |||
• Неприємності з боку правоохоронних органів | • Неприємності з боку правоохоронних органів | ||
+ | |||
• Фінансові втрати | • Фінансові втрати | ||
+ | |||
• Неможливість нормальної роботи організації | • Неможливість нормальної роботи організації | ||
+ | |||
Стадія оцінювання загроз і вразливостей, Threat and Vulnerability Assessment, не | Стадія оцінювання загроз і вразливостей, Threat and Vulnerability Assessment, не | ||
є обов'язковою, якщо замовника задовольнить базовий рівень інформаційної | є обов'язковою, якщо замовника задовольнить базовий рівень інформаційної | ||
Рядок 77: | Рядок 98: | ||
ідентифіковані і оцінені рівні загроз і вразливостей для своєї системи. | ідентифіковані і оцінені рівні загроз і вразливостей для своєї системи. | ||
Основні кроки: | Основні кроки: | ||
+ | |||
• Ідентифікація загроз ресурсів і можливих вразливостей. | • Ідентифікація загроз ресурсів і можливих вразливостей. | ||
+ | |||
• Групування за загрозам або впливам з метою мінімізації обсягу роботи | • Групування за загрозам або впливам з метою мінімізації обсягу роботи | ||
з аналізу ризиків. | з аналізу ризиків. | ||
+ | |||
• Вимірювання ризиків. | • Вимірювання ризиків. | ||
+ | |||
• Отримання звіту та обговорення результатів з замовниками. | • Отримання звіту та обговорення результатів з замовниками. | ||
+ | |||
• Корекція за результатами обговорення. | • Корекція за результатами обговорення. | ||
+ | |||
Оцінка ризику виконується за двома чинниками: вірогідність реалізації та розмір | Оцінка ризику виконується за двома чинниками: вірогідність реалізації та розмір | ||
збитку. | збитку. | ||
− | |||
== Переваги == | == Переваги == | ||
+ | |||
• добре апробований метод | • добре апробований метод | ||
+ | |||
• вдала система моделювання ІТ | • вдала система моделювання ІТ | ||
+ | |||
• велика БД для оцінки ризиків та вибору контрзаходів | • велика БД для оцінки ризиків та вибору контрзаходів | ||
+ | |||
• можливість використання як засобу аудиту | • можливість використання як засобу аудиту | ||
== Недоліки == | == Недоліки == | ||
+ | |||
• великий обсяг звітів | • великий обсяг звітів | ||
+ | |||
• порівняно висока трудомісткість | • порівняно висока трудомісткість | ||
+ | |||
Додаткова інформація [http://www.cramm.com/downloads/datasheets.htm тут] | Додаткова інформація [http://www.cramm.com/downloads/datasheets.htm тут] |
Поточна версія на 14:54, 23 вересня 2012
Зміст |
[ред.] Управління ризиками
Це діяльність, спрямована на прийняття і виконання управлінських рішень, з метою зниження ймовірності виникнення несприятливого результату і мінімізації можливих втрат, викликаних його реалізацією. Дуже корисно, коли ця діяльність реалізована у вигляді повноцінного циклічного керованого і вимірюваного процесу. Керувати ризиками потрібно на різних стадіях життєвого циклу сервісу. Існує ряд методів,які сприяють оптимізації зусиль.
[ред.] Історія створення
У 1985 році Центральне агентство з комп'ютерів і телекомунікацій (ССТА - Central Computer and Telecommunications Agency) Великобританії почало дослідження існуючих методів аналізу ІБ, щоб рекомендувати методи, придатні для використання в урядових установах, зайнятих обробкою несекретної, але критичної інформації. Жоден з розглянутих методів не підійшов. Тому був розроблено новий метод, який відповідає вимогам ССТА Він отримав назву CRАММ-CCTA Risk Analysis & Management Method - метод ССТА аналізу та контролю ризиків. Потім з'явилося кілька версій методу, орієнтованих на вимоги Міністерства оборони, цивільних державних установ, фінансових структур, приватних організацій. Метод Реалізований в спеціалізованому програмному забезпеченні, настроюється під різні сфери діяльності за допомогою «профілів» (комерційний, громадянське державна установа, фінансовий сектор та ін.). Поточна версія CRAMM 5, відповідає стандарту BS 7799 (ISO 17799).
Метою розробки методу було створення формалізованої процедури, що дозволяє:
• переконатися, що вимоги, пов'язані з безпекою, повністю проаналізовані та задокументовані;
• уникнути витрат на зайві заходи безпеки, можливі при суб'єктивній оцінці ризиків;
• надавати допомогу у плануванні та здійсненні захисту на всіх стадіях життєвого циклу інформаційних систем:
• забезпечити проведення робіт у стислі терміни;
• автоматизувати процес аналізу вимог безпеки;
• представити обгрунтування для заходів протидії;
• оцінювати ефективність контрзаходів, порівнювати різні їх варіанти;
• генерувати звіти.
[ред.] Концепція,яка положена в основу
Аналіз ризиків включає ідентифікацію та обчислення рівнів (заходів) ризиків на основі оцінок, присвоєних ресурсів, погроз і вразливостей ресурсів. Контроль ризиків полягає в ідентифікації та виборі контрзаходів, завдяки яким вдається знизити ризики до прийнятного рівня. Формальний метод, заснований на цій концепції, дозволяє переконатися, що захист охоплює всю систему і є впевненість у тому, що:
• всі можливі ризики ідентифіковані;
• вразливості ресурсів ідентифіковані і їх рівні оцінені;
• загрози ідентифіковані і їх рівні оцінені;
• контрзаходи ефективні;
• витрати, пов'язані з ІБ, виправдані.
Дослідження ІБ системи за допомогою CRAMM проводиться у кілька етапів. На першій стадії, Initiation, проводиться формалізований опис кордонів інформаційної системи, її основних функцій, категорій користувачів, а також персоналу, який бере участь в обстеженні. Ризик визначається як - можливість втрат в результаті якої-небудь дії або події, здатного завдати шкоди. На стадії ідентифікації та оцінки ресурсів, Identification and Valuation of Assets, описується і аналізується все, що стосується ідентифікації та визначення цінності ресурсів системи. У кінці цієї стадії замовник дослідження буде знати,чи задовольнить його існуюча традиційна практика або він потребує проведення повного аналізу ризиків. В останньому випадку буде побудована модель інформаційної системи з позиції інформаційної безпеки. Критерії оцінки цінності ресурсів:
• Збиток для репутації організації
• Безпека персоналу
• Розголошення персональних відомостей
• Розголошення комерційних відомостей
• Неприємності з боку правоохоронних органів
• Фінансові втрати
• Неможливість нормальної роботи організації
Стадія оцінювання загроз і вразливостей, Threat and Vulnerability Assessment, не є обов'язковою, якщо замовника задовольнить базовий рівень інформаційної безпеки. Ця стадія виконується при проведенні повного аналізу ризиків. Береться до уваги все, що відноситься до ідентифікації та оцінки рівнів загроз для груп ресурсів та їх вразливостей. Наприкінці стадії замовник отримує ідентифіковані і оцінені рівні загроз і вразливостей для своєї системи. Основні кроки:
• Ідентифікація загроз ресурсів і можливих вразливостей.
• Групування за загрозам або впливам з метою мінімізації обсягу роботи з аналізу ризиків.
• Вимірювання ризиків.
• Отримання звіту та обговорення результатів з замовниками.
• Корекція за результатами обговорення.
Оцінка ризику виконується за двома чинниками: вірогідність реалізації та розмір збитку.
[ред.] Переваги
• добре апробований метод
• вдала система моделювання ІТ
• велика БД для оцінки ризиків та вибору контрзаходів
• можливість використання як засобу аудиту
[ред.] Недоліки
• великий обсяг звітів
• порівняно висока трудомісткість
Додаткова інформація тут