определяются границы исследуемой информационной системы
Основные этапы управления рисками в CRAMM" width="464" height="130" hspace="3" vspace="3" border="1">
Информационная безопасность
Основные этапы управления рисками в CRAMM" width="464" height="130" hspace="3" vspace="3" border="1">
На первом этапе инициации — «Initiation» — определяются границы исследуемой информационной системы компании, состав и структура ее основных информационных активов и транзакций.
На этапе идентификации и оценки ресурсов — «Identification and Valuation of Assets» — четко идентифицируются активы и определяется их стоимость. Расчет стоимости информационных активов однозначно позволяет определить необходимость и достаточность предлагаемых средств контроля и защиты.
На этапе оценивания угроз и уязвимостей — «Threat and Vulnerability Assessment» — идентифицируются и оцениваются угрозы и уязвимости информационных активов компании.
Этап анализа рисков — «Risk Analysis» — позволяет получить качественные и количественные оценки рисков.
На этапе управления рисками — «Risk management» — предлагаются меры и средства уменьшения или уклонения от риска.
Давайте рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной информационной системы (рис. 4).
В этой схеме условно выделим следующие элементы системы:
• рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира;
• почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет;
• сервер обработки, на котором установлена СУБД;
• сервер резервного копирования;
• рабочие места группы оперативного реагирования;
• рабочее место администратора безопасности;
• рабочее место администратора БД.
Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и там принимаются соответствующие решения.
Давайте теперь проведем анализ рисков с помощью методики CRAMM и предложим некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса компании.
Определение границ исследования. Этап начинается с решения задачи определения границ исследуемой системы.
Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий