Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Концептуальная схема проведения обследования по методу cramm

Поиск

Процесс анализа и управления рисками по методу CRAMM

На первом этапе создаются следующие виды отчетов:

  • Модель ресурсов, содержащая описание ресурсов, попадающих в границы исследования, и взаимосвязей между ними;
  • Оценка критичности ресурсов;
  • Результирующий отчет по первому этапу анализа рисков, в котором суммируются результаты, полученные в ходе обследования.

На втором этапе проведения обследования создаются следующие виды отчетов:

  • Результаты оценки уровня угроз и уязвимостей;
  • Результаты оценки величины рисков;
  • Результирующий отчет по второму этапу анализа рисков.

По результатам третьего этапа обследования создаются следующие виды отчетов:

  • Рекомендуемые контрмеры;
  • Детальная спецификация безопасности;
  • Оценка стоимости рекомендуемых контрмер;
  • Список контрмер, отсортированный в соответствии с их приоритетами;
  • Результирующий отчет по третьему этапу обследования;
  • Политика безопасности, включающая в себя описание требований безопасности, стратегий и принципов защиты ИС;
  • Список мероприятий по обеспечению безопасности.

К сильным сторонам метода CRAMM относится следующее:

  • CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты;
  • Программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС;
  • В основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующаяся на рекомендациях стандарта BS 7799;
  • Гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и назначения;
  • CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности организации;
  • CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.

К недостаткам метода CRAMM можно отнести следующее:

  • Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
  • CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
  • Аудит по методу CRAMM – процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
  • Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
  • CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
  • Возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.

Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

разработана в университете Карнеги-Мелон, США и означает оценка критичных угроз, активов и уязвимостей.

Методологию OCTAVE используют широко во всем мире при выполнении работ по оценке информационных рисков и внедрению процессов управления рисками в организации. Данная методика имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности.

Сущность методология OCTAVE заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.



Поделиться:


Последнее изменение этой страницы: 2021-04-04; просмотров: 142; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.116.89.70 (0.006 с.)