Locked History Actions

CCTA Risk Analysis and Management Method

CCTA Risk Analysis and Management Methodology

CRAMM

Informacijos apsaugos rizikų analizės ir valdymo metodika


Apibrėžimas

CRAMM (CCTA Risk Analysis and Management Methodology) – D. Britanijos Vyriausybės užsakymu sukurta ir visame pasaulyje taikoma informacijos apsaugos rizikų analizės ir valdymo metodika. CRAMM metodika - tai priemonė saugumo vadovams ir analitikams. CRAMM – tai plačiai pripažinta metodika, skirta informacijos apsaugos rizikų analizei ir atitinkamų kontrapriemonių, skirtų tų rizikų valdymui, parinkimui. CRAMM taip pat leidžia lengvai įvertinti organizacijos informacijos apsaugos vadybos sistemos (IAVS) atitikimą ISO 27001 (BS 7799) standarto reikalavimus bei sukurti visą standarto rekomenduojamus dokumentus.


Paaiškinimai

CRAMM versijos Egzistuoja keletas skirtingų CRAMM metodikos versijų, skirtų konkrečioms geografinėms rinkoms ir valstybinėms institucijoms.

CRAMM Standard Profile Tai plačiausiai taikomas Jungtinės Karalystės standartinis profilis, kuris yra prieinamas tiek valstybinėms institucijoms, tiek komerciniams vartotojams visame pasaulyje. CRAMM NATO Profile (CRAMM (NATO) Toolkit) Speciali CRAMM versija, skirta NATO ir blokui priklausančių šalių karinėms organizacijoms, kuri apima specifines grėsmes ir kontrolės priemones. Ji taip pat nustato situacijas, kurioms esant, yra laikoma, kad minimalių NATO arba vietinių rizikos profilių standartų ribos yra peržengtos. CRAMM NATO Profile taip pat gali naudoti organizacijos, kurios siekia atlikti privalomąjį pasirengimą NATO rizikų įvertinimui, prieš prisijungdamos prie NATO sistemos ar tinklo, ar teikiančios tokias paslaugas. Ši CRAMM versija yra prieinama tik pagal specialų susitarimą su NATO Saugumo tarnyba (NATO Office of Security). CRAMM Standard Consultancy Profile CRAMM Standard profililis, suteikiantis teisę įsigijusiai organizacijai taikyti meodiką ne tik savo reikmėms, bet ir teikti paslaugas klientams.

Kaip veikia CRAMM?

CRAMM – tai laipsniškas ir metodiškas būdas analizuoti ir valdyti tiek techninius (pavyzdžiui, IT techninę ir programinę įrangą), tiek netechninius (pavyzdžiui, fizinius ir žmoniškuosius) informacijos apsaugos aspektus.

Norint juos įvertinti, CRAMM metodikoje naudojami trys etapai:

  1. Vertybių identifikacija ir įvertinimas;
  2. Grėsmių ir pažeidžiamumų įvertinimas;
  3. Kontrolės priemonių parinkimas ir rekomendacijos.

1. Vertybių identifikacija ir įvertinimas

CRAMM leidžia identifikuoti fizines (pavyzdžiui, techninė įranga), programines (pavyzdžiui, taikomoji programinė įranga), duomenų (pavyzdžiui, informacija, esanti informacinėse sistemose) vertybes bei lokacijas, kuriose randasi informacinės sistemos. Visos vertybės gali būti vertinamos. Fizinės vertybės yra vertinamos pagal jų pakeitimo kaštus. Duomenų ir programinės vertybės yra vertinami pagal tai, kokį poveikį sukels organizacijos veiklai, jeigu informacija bus neprieinama, sunaikinta, nesankcionuotai atskleista ar pakeista.

2. Grėsmių ir pažeidžiamumų įvertinimas

Žinant saugumo incidentų poveikį ir problemas, kurias jie gali sukelti, kitas žingsnis yra nustatyti, kiek tikėtina, kad problemos iškils. CRAMM apima pilną tyčinių ir atsitiktinių grėsmių, galinčių paveikti informacines sistemas, spektrą, įskaitant:

Įsilaužimus; Virusus; Techninės ir programinės įrangos veikimo sutrikimus; Tyčinę žalą arba terorizmą; Žmonių klaidas ir t.t. Užbaigus šį žingsnį, yra gaunamas rizikos lygio įvertinimas.

3. Kontrolės priemonių parinkimas ir rekomendacijos

CRAMM motodikoje yra sukaupta labai didelė kontrolės priemonių biblioteka, kurią sudaro virš 3000 kontrolės priemonių, suskirstytų į 70 loginių grupių. CRAMM programiniai įrankiai lygina praeitame žingsnyje gautus rizikos lygius su kontrolės priemonių apsaugos lygiais (kurie užtikrina tam tikrą apsaugos lygį), siekiant nustatyti, ar rizika yra pakankamai didelė, kad būtų pateisintas tam tikros kontrolės priemonės diegimas. CRAMM taip pat turi visą eilę pagalbos priemonių, kaip antai, grįžtis (angl. Backtracking), „Kas, jeigu“ (angl. What if?), prioritizavimo, ataskaitų kūrimo ir kitas priemones, skirtas palengvinti kontrolės priemonių įgyvendinimą bei efektyvų identifikuotų rizikų valdymą.


Naudota literatūra

1. http://en.wikipedia.org/wiki/CRAMM

2. http://www.cramm.com/capabilities/risk.htm/

3. http://www.cramm.com/overview/howitworks.htm

4.http://www.compservis.lt/cramm/index.php?Lang=34&ItemId=34516