Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом (еnd-userservice), строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы. Ценность физических ресурсов в данном методе определяется стоимостью их восстановления в случае разрушения.
Ценность данных и программного обеспечения определяется в следующих ситуациях:
1. недоступность ресурса в течение определенного периода времени;
2. разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
3. нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
4. модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
5. ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу [2].
Для оценки возможного ущерба рекомендуется использовать некоторые из следующих параметров:
1. ущерб репутации организации;
2. нарушение действующего законодательства;
3. ущерб для здоровья персонала;
4. ущерб, связанный с разглашением персональных данных отдельных лиц;
5. финансовые потери от разглашения информации;
6. финансовые потери, связанные с восстановлением ресурсов;
7. потери, связанные с невозможностью выполнения обязательств;
8. дезорганизация деятельности.
Приведенная совокупность параметров используется в коммерческом варианте метода. В других версиях совокупность будет иной. Так, в версию, используемую в правительственных учреждениях, добавляются параметры, отражающие национальную безопасность и международные отношения.
Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.
К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?
Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить ему самую высокую из возможных оценок.
Стадия 2: рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы.
На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты.
Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).
Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ.
Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий.
Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий.
Возможно проведение коррекции результатов или использование других методов оценки.
На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7.
Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к третьей стадии метода.
Стадия 3: поиск адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. По завершении стадии он будет знать, как следует модифицировать систему для принятия мер уклонения от риска, а также для выбора специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков.
На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации.
На этой стадии можно провести сравнительный анализ эффективности различных вариантов защиты.
Заключение
Рассмотренная методология анализа рисков и управления ими полностью применима и в украинских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в украинских и зарубежных стандартах.
Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки рисков, уязвимостей, эффективности защиты. Существенным достоинством таких методов является возможность проведения исследования в сжатые сроки с документированием результатов.