CRAMM metodologiyasi
Bu axborot xavfsizligi sohasidagi xavflarni tahlil qilishning birinchi usullaridan biri - bu boradagi ishlar 80-yillarning o'rtalarida Buyuk Britaniyaning Markaziy Kompyuter va Telekommunikatsiyalar Agentligi (CCTA) tomonidan boshlangan.
CRAMM usuli tahlilning miqdoriy va sifat usullarini birlashtirgan holda xavflarni baholashga kompleks yondashuvga asoslangan. Usul universal bo'lib, katta va kichik tashkilotlar, ham davlat, ham tijorat sektorlari uchun javob beradi. Turli tashkilotlarga mo'ljallangan CRAMM dasturiy ta'minot versiyalari bir-biridan bilim bazalari (profillari) bilan farq qiladi. Tijorat tashkilotlari uchun Tijorat profili va davlat tashkilotlari uchun Hukumat profili mavjud. Profilning davlat versiyasi, shuningdek, Amerika ITSEC standarti ("Orange Book") talablariga muvofiqligini tekshirish imkonini beradi.
CRAMM yordamida axborot xavfsizligi tizimini tadqiq etish uch bosqichda amalga oshiriladi
•Birinchi bosqichda tizim resurslarining identifikatsiyalash va aniqlash bilan bog'liq barcha narsalar tahlil qilinadi.
•U o'rganilayotgan tizimning chegaralarini aniqlash muammosini hal qilishdan boshlanadi: tizimning konfiguratsiyasi va jismoniy va dasturiy resurslar uchun kim mas'ul ekanligi, tizim foydalanuvchilari kimligi, undan qanday foydalanishi yoki ixtiyori haqida ma'lumot yig'iladi.
•Resurslarni aniqlash amalga oshiriladi: jismoniy, dasturiy ta'minot va tizim chegaralarida joylashgan ma'lumotlar. Har bir resurs oldindan belgilangan sinflardan biriga tayinlanishi kerak. Keyin axborot xavfsizligi pozitsiyasidan axborot tizimining modeli quriladi. Foydalanuvchining fikricha, mustaqil ma'noga ega bo'lgan va foydalanuvchi xizmati deb ataladigan har bir axborot jarayoni uchun foydalaniladigan resurslarning havolalari daraxti quriladi. Tuzilgan model muhim elementlarni ajratib ko'rsatishga imkon beradi.
CRAMM usulining kuchli tomonlari:
• CRAMM yaxshi tuzilgan va keng miqyosda sinovdan o'tgan risklarni tahlil qilish usuli bo'lib, u haqiqiy, amaliy natijalar beradi.
• CRAMM dasturiy vositalaridan AT xavfsizligi auditining barcha bosqichlarida foydalanish mumkin.
• Dasturiy mahsulot BS 7799 standarti tavsiyalari asosida axborot xavfsizligi sohasidagi qarshi choralar bo‘yicha yetarlicha hajmli bilimlar bazasiga asoslangan.
• CRAMM usulining moslashuvchanligi va ko‘p qirraliligi uni har qanday murakkablik va maqsad darajasidagi ATni tekshirishda qo‘llash imkonini beradi.
• CRAMM tashkilotning biznes uzluksizligi rejasini va axborot xavfsizligi siyosatini ishlab chiqish vositasi sifatida ishlatilishi mumkin.
• CRAMM AT xavfsizlik mexanizmlarini hujjatlashtirish vositasi sifatida foydalanish mumkin.
Do'stlaringiz bilan baham: |
