Метод аналізу ризиків CRAMM
Z0D4pO <a href="http://bpwhfecjwtar.com/">bpwhfecjwtar</a>, [url=http://ejsvhgmtpgbt.com/]ejsvhgmtpgbt[/url], [link=http://xhgbmhjvldkx.com/]xhgbmhjvldkx[/link], http://zluoxqflcany.com/
http://www.buyvaltrexonlineorg.com/#43651 buy valtrex online discount - buy generic valtrex online cheap
Концепція,яка положена в основу
Аналіз ризиків включає ідентифікацію та обчислення рівнів (заходів) ризиків на основі оцінок, присвоєних ресурсів, погроз і вразливостей ресурсів. Контроль ризиків полягає в ідентифікації та виборі контрзаходів, завдяки яким вдається знизити ризики до прийнятного рівня. Формальний метод, заснований на цій концепції, дозволяє переконатися, що захист охоплює всю систему і є впевненість у тому, що:
• всі можливі ризики ідентифіковані;
• вразливості ресурсів ідентифіковані і їх рівні оцінені;
• загрози ідентифіковані і їх рівні оцінені;
• контрзаходи ефективні;
• витрати, пов'язані з ІБ, виправдані.
Дослідження ІБ системи за допомогою CRAMM проводиться у кілька етапів. На першій стадії, Initiation, проводиться формалізований опис кордонів інформаційної системи, її основних функцій, категорій користувачів, а також персоналу, який бере участь в обстеженні. Ризик визначається як - можливість втрат в результаті якої-небудь дії або події, здатного завдати шкоди. На стадії ідентифікації та оцінки ресурсів, Identification and Valuation of Assets, описується і аналізується все, що стосується ідентифікації та визначення цінності ресурсів системи. У кінці цієї стадії замовник дослідження буде знати,чи задовольнить його існуюча традиційна практика або він потребує проведення повного аналізу ризиків. В останньому випадку буде побудована модель інформаційної системи з позиції інформаційної безпеки. Критерії оцінки цінності ресурсів:
• Збиток для репутації організації
• Безпека персоналу
• Розголошення персональних відомостей
• Розголошення комерційних відомостей
• Неприємності з боку правоохоронних органів
• Фінансові втрати
• Неможливість нормальної роботи організації
Стадія оцінювання загроз і вразливостей, Threat and Vulnerability Assessment, не є обов'язковою, якщо замовника задовольнить базовий рівень інформаційної безпеки. Ця стадія виконується при проведенні повного аналізу ризиків. Береться до уваги все, що відноситься до ідентифікації та оцінки рівнів загроз для груп ресурсів та їх вразливостей. Наприкінці стадії замовник отримує ідентифіковані і оцінені рівні загроз і вразливостей для своєї системи. Основні кроки:
• Ідентифікація загроз ресурсів і можливих вразливостей.
• Групування за загрозам або впливам з метою мінімізації обсягу роботи з аналізу ризиків.
• Вимірювання ризиків.
• Отримання звіту та обговорення результатів з замовниками.
• Корекція за результатами обговорення.
Оцінка ризику виконується за двома чинниками: вірогідність реалізації та розмір збитку.
Переваги
• добре апробований метод
• вдала система моделювання ІТ
• велика БД для оцінки ризиків та вибору контрзаходів
• можливість використання як засобу аудиту
Недоліки
• великий обсяг звітів
• порівняно висока трудомісткість
Додаткова інформація тут