История создания метода

Метод CRAMM

Засоби повного аналізу ризиків

Повторная оценка

Отчет

Полный отчет можно сохранить как файл MHT (архив HTML, состоящий из одного файла). В этом отчете описывается состояние компании с точки зрения безопасности и приводятся рекомендации и методики обеспечения безопасности в основных областях инфраструктуры, приложений, операций и персонала. Кроме того, в отчете приводятся ссылки на ресурсы, которые помогут создать более безопасную среду.

По мере реализации дополнительных мер безопасности индекс DiD компании может изменяться. Рекомендуется периодически выполнять новую оценку.

Кроме того, можно, потребуется обратиться к сертифицированному партнеру корпорации Майкрософт, специализирующемуся в области обеспечения безопасности, для получения консультации или проведения полной проверки системы безопасности.

Четко провести границу между методами базового и полного анализа рисков сложно, тем не менее, рассмотрим несколько методов, которые можно отнести к инструментарию полного анализа рисков. Например, упомянутый выше RA2 art of risk имеет ряд простейших средств, которые дают возможность формально отнести его к средствам полного анализа рисков. Ниже рассматривается инструментарий с более развитыми средствами анализа рисков и управления ими.

Программные средства, позволяющие провести полный анализ рисков, создаются с использованием структурных методов системного анализа и проектирования (SSADM - Structured Systems Analysis and Design) и относятся к категории средств автоматизации разработки или CASE-средств (Computer Aided System Engineering).

Такие методы представляют собой инструментарий для:

- построения модели ИС с позиции ИБ;

- оценки ценности ресурсов;

- составления списка угроз и оценки их вероятностей;

- выбора контрмер и анализа их эффективности;

- анализа вариантов построения защиты;

- документирования (генерации отчетов).

Один из наиболее известных продуктов этого класса – CRAMM.

В 1985 году Центральное агентство по компьютерам и телекоммуникациям (ССТА) Великобритании начало исследования существующих методов анализа ИБ, чтобы рекомендовать методы, пригодные для использования в правительственных учреждениях, занятых обработкой несекретной, но критичной информации. Ни один из рассмотренных методов не подошел. Поэтому в 1987 году был разработан новый метод, соответствующий требованиям ССТА. Он получил название CRАММ (CCTA Risk Analysis and Management Method) ‑ метод ССТА анализа и контроля рисков. Затем появилось несколько версий метода, ориентированных на требования Министерства обороны, NATO, гражданских государственных учреждений, финансовых структур, частных организаций. Одна из версий, «коммерческий профиль», представляет собой коммерческий продукт. На сегодняшний день разработчиком последних версий ПО, поддерживающего метод CRАММ, является компания Siemens Enterprise Communications Ltd, и по её информации основными пользователями этого метода есть: