Процесс анализа и управления рисками по методу CRAMM
Процедура аудита в методе CRAMM является формализованной. На каждом этапе генерируется довольно большое количество промежуточных и результирующих отчетов.
Так, на первом этапе создаются следующие виды отчетов:
· Модель ресурсов, содержащая описание ресурсов, попадающих в границы исследования, и взаимосвязей между ними;
· Оценка критичности ресурсов;
· Результирующий отчет по первому этапу анализа рисков, в котором суммируются результаты, полученные в ходе обследования.
На втором этапе проведения обследования создаются следующие виды отчетов:
· Результаты оценки уровня угроз и уязвимостей;
· Результаты оценки величины рисков;
· Результирующий отчет по второму этапу анализа рисков.
По результатам третьего этапа обследования создаются следующие виды отчетов:
· Рекомендуемые контрмеры;
· Детальная спецификация безопасности;
· Оценка стоимости рекомендуемых контрмер;
· Список контрмер, отсортированный в соответствии с их приоритетами;
· Результирующий отчет по третьему этапу обследования;
· Политика безопасности, включающая в себя описание требований безопасности, стратегий и принципов защиты ИС;
· Список мероприятий по обеспечению безопасности.
Грамотно применять метод CRAMM в состоянии только высококвалифицированный аудитор, прошедший обучение. Если организация не может себе позволить содержать в штате такого специалиста, тогда самым правильным решением будет приглашение аудиторской фирмы, располагающей штатом специалистов, имеющих практический опыт применения метода CRAMM.
Обобщая практический опыт использования метода CRAMM при проведении аудита безопасности, можно сделать следующие выводы, относительно сильных и слабых сторон этого метода:
К сильным сторонам метода CRAMM относится следующее:
· CRAMM является хорошо структурированным и широко опробованным методом анализа рисков, позволяющим получать реальные практические результаты;
· Программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС;
· В основе программного продукта лежит достаточно объемная база знаний по контрмерам в области информационной безопасности, базирующаяся на рекомендациях стандарта BS 7799;
· Гибкость и универсальность метода CRAMM позволяет использовать его для аудита ИС любого уровня сложности и назначения;
· CRAMM можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик информационной безопасности организации;
· CRAMM может использоваться в качестве средства документирования механизмов безопасности ИС.
К недостаткам метода CRAMM можно отнести следующее:
· Использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;
· CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
· Аудит по методу CRAMM – процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
· Программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
· CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
· Возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации.
RiskWatch
Программное обеспечение RiskWatch, разрабатываемое американской компанией RiskWatch, Inc., является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:
· RiskWatch for Physical Security –для физических методов защиты ИС;
· RiskWatch for Information Systems – для информационных рисков;
· HIPAA-WATCH for Healthcare Industry – для оценки соответствия требованиям стандарта HIPAA;
· RiskWatch RW17799 for ISO17799 – для оценки требованиям стандарта ISO17799.
В методе RiskWatch в качестве критериев для оценки и управления рисками используются «предсказание годовых потерь» (Annual Loss Expectancy – ALE) и оценка «возврата от инвестиций» (Return on Investment – ROI). Семейство программных продуктов RiskWatch, имеет массу достоинств. К недостаткам данного продукта можно отнести его относительно высокую стоимость.
COBRA
Система COBRA (Consultative Objective and Bi-Functional Risk Analysis), разрабатываемая компанией Risk Associates, является средством анализа рисков и оценки соответствия ИС стандарту ISO17799. COBRA реализует методы количественной оценки рисков, а также инструменты для консалтинга и проведения обзоров безопасности. При разработке инструментария COBRA были использованы принципы построения экспертных систем, обширная база знаний по угрозам и уязвимостям, а также большое количество вопросников, с успехом применяющихся на практике. В семейство программных продуктов COBRA входят COBRA ISO17799 Security Consultant, COBRA Policy Compliance Analyst и COBRA Data Protection Consultant.
Buddy System
Программный продукт Buddy System, разрабатываемый компанией Countermeasures Corporation, является еще одним программным продуктом, позволяющим осуществлять как количественный, так и качественный анализ рисков. Он содержит развитые средства генерации отчетов. Основной акцент при использовании Buddy System делается на информационные риски, связанные с нарушением физической безопасности и управление проектами.