Консалтинг и ИТ-решения
Повысить имидж вашей компании и расширить возможности международного сотрудничества
Консалтинг
и ИТ решения
Подробнее
Курсы в Москве

SCHEDULE Расписание курсов

ITSS Курс «Управление стратегией ИТ-услуг на основе ITIL®»

ITILF Курс «Основы ITIL®»

PRINCE2F Курс «Основы управления проектами в соответствии с PRINCE2®»

MLF Курс «Основы машинного обучения»

COBIT5F «Основы COBIT 5»

OSA Курс «Service Desk и процессы оперативного управления ИТ-услугами в соответствии с ITIL®»

ITPM Курс «Инструменты управления ИТ-проектами»

DMLF Курс «Основы глубокого машинного обучения»

RCV Курс «Проведение изменений в ИТ в соответствии с ITIL®»

MSA Курс «Микросервисная архитектура»

PPO Курс «Оптимальное проектирование ИТ-услуг в соответствии с ITIL®: информационная безопасность, мощность, доступность, непрерывность»

DevOps Курс «Основы DevOps»

ITHR Курс «Управление ИТ-персоналом»

COBIT-ICS Курс «Система внутреннего контроля ИТ по модели COBIT(COBIT Internal Control System)»

SOA Курс «Управленческие инструменты организации отношений ИТ с бизнесом на основе ITIL®»

BCH Курс «Технология блокчейн»

AWS Курс «Мастерская проектирования ИТ-решений»

MALC Курс «Управление жизненным циклом услуг»

ITAM Курс «Управление ИТ-активами. Основы и практики»

ITILP Курс «ITIL Practitioner. Практические подходы для успешной работы»

BAF Курс «Основы бизнес-анализа»

BASRM Курс «Бизнес-анализ. Управление требованиями к ПО»

QA Курс «QA и тестирование программного обеспечения»

BPA Курс «Моделирование, анализ и оптимизация бизнес-процессов»

SYSA Курс «Системный анализ»

CMMP Курс «Модель CMMI Development V2.0 — руководство к действию»

AGILE: Гибкие методы управления

RISK Курс «Практические подходы управления ИТ-рисками»

ITSO Курс «Эксплуатация услуг по модели ITIL®»

MSA4ITSM Курс «Управление ИТ в условиях применения микросервисной архитектуры»

ITLM Мастер-класс «Разработка карты ИТ‑ландшафта»

ITSD Курс «Проектирование услуг по модели ITIL®»

ITST Курс «Преобразование услуг по модели ITIL®»

CSI Курс «Постоянное совершенствование услуг по модели ITIL® (ITIL Continual Service Improvement)»


Наш канал на youtube
Здесь вы найдет самые последние записи вебинаров и видео на тему ITIL
Тренажер подготовки к экзамену ITIL Foundation
Страховой сертификат повторной сдачи экзамена
  • 31243

    Количество выданных сертификатов

  • 2754

    Количество проведенных игр и семинаров

Управление рисками. Метод CRAMM

Управление рисками – деятельность, направленная на принятия и выполнения управленческих решений, с целью снижения вероятности возникновения неблагоприятного результата и минимизации возможных потерь, вызванных его реализацией. Очень полезно, когда эта деятельность реализована в виде полноценного циклического управляемого и измеряемого процесса.

Управлять рисками требуется на разных стадиях жизненного цикла сервиса. Существует ряд методом способствующих оптимизации прилагаемых к этому усилий. Здесь мы рассмотрим один из них – метод CRAMM, вышедший в свет примерно в тоже время, что и первая версия библиотеки ITIL®.

История создания метода

В 1985 году Центральное агентство по компьютерам и телекоммуникациям (ССТА - Central Computer and Telecommunications Agency) Великобритании начало исследования существующих методов анализа ИБ, чтобы рекомендовать методы, пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных методов не подошел. Поэтому был разработан новый метод, соответствующий требованиям ССТА Он получил название CRАММ- CCTA Risk Analysis & Management Method - метод ССТА анализа и контроля рисков. Затем появилось несколько версий метода, ориентированных на требования Министерства обороны, гражданских государственных учреждений, финансовых структур, частных организаций.

Метод Реализован в специализированном программном обеспечении, настраиваемом под различные сферы деятельности при помощи «профилей» (коммерческий, гражданское государственное учреждение, финансовый сектор и проч.).

Текущая версия CRAMM 5 , соответствует стандарту BS 7799 (ISO 17799).

Целью разработки метода являлось создание формализованной процедуры, позволяющей:

  • убедиться, что требования, связанные с безопасностью, полностью проанализированы и документированы;

  • избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;

  • оказывать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;

  • обеспечить проведение работ в сжатые сроки;

  • автоматизировать процесс анализа требований безопасности;

  • представить обоснование для мер противодействия;

  • оценивать эффективность контрмер, сравнивать различные их варианты;

  • генерировать отчеты.

Концепция, положенная в основу метода

Анализ рисков включает идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.

Контроль рисков состоит в идентификации и выборе контрмер, благодаря которым удается снизить риски до приемлемого уровня.

Формальный метод, основанный на этой концепции, позволяет убедиться, что защита охватывает всю систему и существует уверенность в том, что:

  • все возможные риски идентифицированы;

  • уязвимости ресурсов идентифицированы и их уровни оценены;

  • угрозы идентифицированы и их уровни оценены;

  • контрмеры эффективны;

  • расходы, связанные с ИБ, оправданы.

Исследование ИБ системы с помощью CRAMM проводится в несколько этапов.

На первой стадии, Initiation, производится формализованное описание границ информационной системы, ее основных функций, категорий пользователей, а также персонала, принимающего участие в обследовании.

Риск определяется как – возможность потерь в результате какого-либо действия или события, способного нанести ущерб.

На стадии идентификации и оценки ресурсов, Identification and Valuation of Assets, описывается и анализируется все, что касается идентификации и определения ценности ресурсов системы. В конце этой стадии заказчик исследования будет знать, удовлетворит ли его существующая традиционная практика или он нуждается в проведении полного анализа рисков. В последнем случае будет построена модель информационной системы с позиции информационной безопасности.

Критерии оценки ценности ресурсов:

  • Ущерб для репутации организации

  • Безопасность персонала

  • Разглашение персональных сведений

  • Разглашение коммерческих сведений

  • Неприятности со стороны правоохранительных органов

  • Финансовые потери

  • Невозможность нормальной работы организации

Стадия оценивания угроз и уязвимостей, Threat and Vulnerability Assessment, не является обязательной, если заказчика удовлетворит базовый уровень информационной безопасности. Эта стадия выполняется при проведении полного анализа рисков. Принимается во внимание все, что относится к идентификации и оценке уровней угроз для групп ресурсов и их уязвимостей. В конце стадии заказчик получает идентифицированные и оцененные уровни угроз и уязвимостей для своей системы.

Основные шаги:

  • Идентификация угроз ресурсов и возможных уязвимостей.

  • Группировка по угрозам или воздействиям с целью минимизации объема работы по анализу рисков.

  • Измерение рисков.

  • Получение отчета и обсуждение результатов с заказчиками.

  • Коррекция по результатам обсуждения.

Оценка риска выполняется по двум факторам: вероятность реализации и размер ущерба.

Дальнейшая детализация вероятности реализации

Угроза – действие или событие, способное нанести ущерб безопасности.

Уязвимость – слабость в защите ресурса или группы ресурсов, допускающая возможность реализации угрозы.

Стадия анализа рисков, Risk Analysis, позволяет оценить риски либо на основе сделанных оценок угроз и уязвимостей при проведении полного анализа рисков, либо путем использования упрощенных методик для базового уровня безопасности.

На стадии управления рисками, Risk Management, производится поиск адекватных контрмер. По существу речь идет о нахождении варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. В конце стадии он будет знать, как модифицировать систему в терминах мер уклонения от риска, а также путем выбора специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков.

Выбор контрмер. Основные шаги:

  • Генерация вариантов контрмер.

  • Выбор подходящих вариантов и анализ их эффективности.

  • Сравнительный анализ различных вариантов (What if)

  • Получение отчета и обсуждение результатов с заказчиками.

  • Коррекция по результатам обсуждения.

Каждая стадия объявляется законченной после детального обсуждения и согласования результатов с заказчиком.

Достоинства и недостатки метода CRAMM

Достоинства:

  • хорошо апробированный метод

  • удачная система моделирования ИТ

  • обширная БД для оценки рисков и выбора контрмер

  • возможность использования как средства аудита

Недостатки:

  • большой объем отчетов

  • сравнительно высокая трудоемкость

Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях. ПО анализа рисков существенно снижает трудоемкость выполнения всех этапов анализа рисков. Применение ПО целесообразно при проведении внешнего и внутреннего аудита информационной безопасности. При этом использование ПО требует высокой квалификации аналитика, достаточно длительного периода обучения и опыта применения.

Метод может быть использован как деятельность в любом процессе требующем оценки рисков и выбора контрмер например: управление инцидентами, проблемами (особенно в части проактива), изменениями, непрерывностью, безопасностью, и др.

Имея в арсенале вашей процессной модели процесс управления рисками можно значительно повысить эффективность и рациональность остальных процессов, а например, такие как, управление безопасностью и непрерывностью в принципе не мыслимы без зрелого управления рисками.

Каким образом управление рисками связано с другими процессами управления ИТ сервисами, и какие еще существуют методы оценки рисков, мы рассмотрим в следующих наших заметках.

Популярные курсы:

Вверх