Метод аналізу ризиків OCTAVE
ХАРАКТЕРИСТИКА ЗАГАЛЬНОГО ПІДХОДУ OCTAVE
На сьогоднішній день відсутні комплексні системні методики й методи, формального або неформального характеру, які дозволяють на систематичній основі вирішувати задачі по розробці концепції ІБ або корпоративної політики безпеки у великих організаціях. Найбільш конструктивним щодо цього підходом є підхід OCTAVE, розроблений Software Engineering Institute і Carnegie Mellon University. Він має достатню спільність, що дозволяє розробити практичні методи й системні методики для вирішення певних задач. Підхід OCTAVE був узятий за основу для створення системної методики й відповідного науково-методичного апарата, що дозволяє формалізувати процеси розробки стратегії забезпечення безпеки інформації організації. Метод Оперативної оцінки критичних ресурсів, погроз, активів і уразливостей (Operatіonally Crіtіcal Threat, Asset, and Vulnerabіlіty EvaluatіonSM (OCTAVE®)) - це підхід, що визначає стратегію оцінки й планування дій по забезпеченню безпеки інформації на основі оцінки ризиків (rіsk-based).
Основні положення підходу
OCTAVE є загальним підходом по оцінці погроз, ресурсів, і вразливостей на рівні організації в цілому. Основною посилкою (передумовою) є те, що ефективна оцінка ризиків повинна розглядатися як з організаційної так і технологічних точок зору, відображати те, як співробітники організації використовують інформаційно-телекомунікаційну інфраструктуру у своїй щоденній діяльності. Оцінка ризиків є життєво важливим елементом для прийняття рішень по забезпеченню безпеки інформації. Саме результати оцінки ризиків дозволяють сформувати єдину системну позицію керівництва організації на ризики безпеки, а також формують основу для формування й реалізації стратегії безпеки. Розглянутий підхід є стратегією оцінки й планування захисту інформації, що опирається на концепцію ризиків і забезпечення БІ. Принциповим моментом підходу є принцип внутрішнього керування процесами оцінки (принцип самоврядування), що означає, що в процесах вироблення корпоративної стратегії безпеки особисту участь приймають співробітники організації. Опираючись на свої знання співробітники дають реальну оцінку стану практичної діяльності по забезпеченню безпеки інформації (практики безпеки). Виявлені при цьому ризики для найбільш критичних активів (ресурсів) організації використовуються для визначення пріоритетних напрямків забезпечення безпеки інформації й загальної стратегії безпеки організації. Більшість існуючих методик аналізу ризиків орієнтуються на технологічні ризики й на тактичні проблеми (захист інформації в конкретній системі або мережі). При цьому упускаються стратегічні цілі організації. У такий спосіб часте рішення завдань захисту інформації стає видно в мережі (системі). Рішення приймаються не залежно від реальних потреб у забезпеченні безпеки інформації й від реальних потреб організації в таких задачах. Це порушує основні принципи забезпечення безпеки інформації: про єдність цілей організації й цілей захисту інформації. Саме тому, особливо у великих компаніях, необхідно мати ефективні методики, які дозволять погоджувати задачі організації й завдання захисту інформації. Підхід OCTAVE орієнтований на організаційні ризики і в якості свого фокуса розглядає стратегічні проблеми інформаційної безпеки, пов'язані з організацією практичної діяльності по забезпеченню безпеки інформації. На інфраструктурному рівні при виробленні рішень необхідно забезпечити баланс між трьома ключовими аспектами: операційні ризики, практика безпеки й технології.
Методика оцінки ризиків OCTAVE
1) Встановити критерії для управління ризиками
2) Розробити перелік інформаційних активів
3) Ідентифікувати зміст інформаційних активів
4) Ідентифікувати межі застосування
5) Визначити сценарії загроз
6) Визначити ризики
7) Проаналізувати ризики
8) Обрати підходи по зменшенню ризиків
Схема методики оцінки ризиків OCTAVE [[1]]
--Тарас Лозович 23:53, 10 листопада 2011 (MSK)