практике такие методики управления рисками

На  практике такие методики управления рисками позволяют:

• Создавать модели информационных активов компании с точки зрения безопасности;

• Классифицировать и оценивать ценности активов;

• Составлять списки наиболее значимых угроз и уязвимостей безопасности;

• Ранжировать угрозы и уязвимости безопасности;

• Обосновывать средства и меры контроля рисков;

• Оценивать эффективность/стоимость различных вариантов защиты;

• Формализовать и автоматизировать процедуры оценивания и управления рисками.

Одной из наиболее известных методик этого класса является методика CRAMM.

CRAMM

В 1985 году Центральное агентство по компьютерам и телекоммуникациям (CCTA) Великобритании начало исследования существующих методов управления информационной безопасностью для выдачи рекомендаций по их использованию в правительственных организациях, обрабатывающих конфиденциальную информацию. Ни один из рассмотренных методов не подошел.Поэтому сначала был создан метод, а затем одноименная методика CRAMM (анализа и контроля рисков), соответствующая требованиям CCTA. Затем появилось несколько версий методики, ориентированных на требования различных государственных и коммер­ческих организаций и структур. Одна из версий «коммерческого профиля» широко распространилась на рынке средств защиты информации.

Основными целями методики CRAMM являются:

• Формализация и автоматизация процедур анализа и управления рисками;

• Оптимизация расходов на средства контроля и защиты;

• Комплексное планирование и управ­ление рисками на всех стадиях жизненного цикла информационных систем;

• Сокращение времени на разработку и сопровождение корпоративной системы защиты информации;

• Обоснование эффективности предлагаемых мер защиты и средств контроля;

• Управление изменениями и инциден­тами;

• Поддержка непрерывности бизнеса;

• Оперативное принятие решений по вопросам управления безопасностью и пр.

Управление рисками в методике СRAMM осуществляется в несколько этапов (рис. 3).