На первом этапе инициации — «Initiation» — определяются границы исследуемой информационной сис..." />


Информационная безопасность


Методики и технологии управления информационными рисками - часть 6


Основные этапы управления рисками в CRAMM" width="464" height="130" hspace="3" vspace="3" border="1">

На первом этапе инициации — «Initiation» — определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций.

На этапе идентификации и оценки ресурсов — «Identification and Valuation of Assets» — четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.

На этапе оценивания угроз и уязвимостей — «Threat and Vulnerability Assessment» — идентифицируются и оцениваются угрозы и уязвимости информационных активов компании.

Этап анализа рисков — «Risk Analysis» — позволяет получить качественные и количественные оценки рисков.

На этапе управления рисками — «Risk management» — предлагаются меры и средства уменьшения или уклонения от риска.

Давайте рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рис. 4).

Рис. 4. Схема анализируемой информационной системы

В этой схеме условно выделим следующие элементы системы:

• рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира;

• почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет;

• сервер обработки, на котором установлена СУБД;

• сервер резервного копирования;

• рабочие места группы оперативного реагирования;

• рабочее место администратора безопасности;

• рабочее место администратора БД.

Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.

Давайте теперь проведем анализ рисков с помощью методики CRAMM и предложим некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.

Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы.


Начало  Назад  Вперед



Книжный магазин