Метод CRAMM. История создания метода

Метод CRAMM. История создания метода. В 1985 г. Центральное агентство по компьютерам и телекоммуникациям (CCTA) Великобритании начало исследования существующих методов анализа ИБ для того, чтобы рекомендовать наиболее пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации.

Ни один из рассмотренных вариантов не подошел. Поэтому был разработан новый метод, соответствующий требованиям CCTA. Он получил название CRAMM - метод CCTA анализа и контроля рисков. Затем появилось несколько его версий, ориентированных на требования министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций.

Одна из версий, "коммерческий профиль", является коммерческим продуктом. В настоящее время продается версия CRAMM 4.0 [1]. Целью разработки метода являлось создание формализованной процедуры, позволяющей: 1. убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы; 2. избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков; 3. оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем; 4. обеспечить проведение работ в сжатые сроки; 5. автоматизировать процесс анализа требований безопасности; 6. представить обоснование для мер противодействия; 7. оценивать эффективность контрмер, сравнивать различные варианты контрмер; 8. генерировать отчеты.

Концепция, положенная в основу метода Анализ рисков включает в себя идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.

Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня. Формальный метод, основанный на этой концепции, позволяет убедиться, что защита охватывает всю систему и есть уверенность в том, что все возможные риски идентифицированы; уязвимости ресурсов и угрозы идентифицированы и их уровни оценены; контрмеры эффективны; расходы, связанные с ИБ, оправданны. Исследование ИБ системы с помощью СRAMM проводится в три стадии [2]. Стадия 1: анализируется все, что касается идентификации и определения ценности ресурсов системы.

По завершении этой стадии заказчик исследования будет знать, достаточно ли ему существующей традиционной практики или он нуждается в проведении полного анализа рисков. Стадия начинается с решения задачи определения границ исследуемой системы. Для этого накапливается информация о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы и как они ее применяют или будут применять, а также сведения о конфигурации системы.

Первичная информация собирается в процессе бесед с менеджерами проектов, менеджером пользователей или другими сотрудниками. Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом (еnd-userservice), строится дерево связей используемых ресурсов.

Построенная модель позволяет выделить критичные элементы. Ценность физических ресурсов в данном методе определяется стоимостью их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях: 1. недоступность ресурса в течение определенного периода времени; 2. разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение; 3. нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц; 4. модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок; 5. ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу [2]. Для оценки возможного ущерба рекомендуется использовать некоторые из следующих параметров: 1. ущерб репутации организации; 2. нарушение действующего законодательства; 3. ущерб для здоровья персонала; 4. ущерб, связанный с разглашением персональных данных отдельных лиц; 5. финансовые потери от разглашения информации; 6. финансовые потери, связанные с восстановлением ресурсов; 7. потери, связанные с невозможностью выполнения обязательств; 8. дезорганизация деятельности.

Приведенная совокупность параметров используется в коммерческом варианте метода.

В других версиях совокупность будет иной. Так, в версию, используемую в правительственных учреждениях, добавляются параметры, отражающие национальную безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10. К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации? Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить ему самую высокую из возможных оценок.

Стадия 2: рассматривается все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни рисков для своей системы.

На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты. Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.). Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов.

Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий. Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.

Только после этого можно переходить к третьей стадии метода. Стадия 3: поиск адекватных контрмер. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. По завершении стадии он будет знать, как следует модифицировать систему для принятия мер уклонения от риска, а также для выбора специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков.

На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить в три категории: около 300 рекомендаций общего плана; более 1000 конкретных рекомендаций; около 900 примеров того, как можно организовать защиту в данной ситуации. На этой стадии можно провести сравнительный анализ эффективности различных вариантов защиты.