Стандартная методология M_o_R (Management of Risks)
Для оценки рисков и управления ими применяется стандартная методология M_o_R (Management of Risks), которая состоит из следующего:
Принципы M_o_R – Базируются на принципах управления организацией и являются необходимыми для эффективного управления рисками;
подход M_o_R – подход организации к указанным выше принципам должен быть отображен в ряде документов, в частности, в Политике управления рисками.
Процессы M_o_R – Выделяют четыре процесса в рамках M_o_R:
•Определение – определение угроз для деятельности, которые могут повлиять на достижение ею намеченного результата;
•Оценка – оценка суммарного влияния всех определенных угроз;
•Планирование – определение набора управленческих действий, которые уменьшат риски;
•Реализация – осуществление запланированных управленческих действий, их контроль, определение эффективности и корректирование в случае необходимости.
Пересмотр и внедрение M_o_R – Внедрение процессов, политик и подхода M_o_R так, чтобы они непрерывно контролировались и оставались эффективными;
Взаимодействие M_o_R – Обеспечение взаимодействия всех действий в рамках M_o_R с целью поддержки актуальности информации об угрозах, возможностях и других аспектах Управления рисками.
Кроме этого могут быть использованы специализированные методики:
К специфическим ИТ методам и стандартам можно отнести методику CRAMM v5. Цель метода является создание формализованных процедур, позволяющих:
•Анализ требований, предъявляемых к Информационной системе, полон и документирован
•Идентификация и классификация рисков
•Идентификация и оценка уязвимости ИТ ресурсов
•Идентификация и оценка угроз ИТ системам
•Формирование обоснований для мер противодействия
•Избежать излишних расходов на обеспечение Информационной Безопасности систем
•Сокращение сроков по внедрению и сопровождению информационной безопасности организации
•Оказать помощь по вопросам функционирования ИТ сервисов на всех этапах жизненного цикла
•Автоматизация процессов анализа и управления рисками
•Оценка эффективность контрмер
•Формирование отчетов
Сочетание различных техник, таких как Event-Tree-Analysis, цепи Маркова и FMECA. В данном методе используется UML (Unified Modeling Language, язык программирования для визуального отображения объектов моделирования). Метод состоит из следующих действий:
•Поиск и систематизация данных об объекте анализа
•Определение объекта и субъекта, участвующие в анализе
•Полное описание процесса или задачи
•Проверка точности и полноты данных, представленных для анализа
•Осуществление действий по выделению рисков
•Оценка вероятности и последствий возникновения угрозы
•Ликвидация угрозы
Метод OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)
Метод быстрой оценки критических угроз, определения активов и выявления угроз. Характеризуется формированием специализированных групп и тесным вовлечением владельца бизнеса. Метод состоит из трех этапов:
Оценка организационных аспектов
Комплексный анализ информационной инфраструктуры организации
Разработка тактики обеспечения безопасности и формирование стратегии. Состоит из следующих действий:
•Документирование текущего состояния
•Выбор подходов по сокращению рисков
•Выбор подходов по сокращению расходов
•Указывают изменения, необходимые для внесения в текущую организацию
