Обзор зарубежных стандартов информационной безопасности

В соответствие с международными и национальными стандартами ISO 15408, ISO 17799 (BS7799), BSI, COBIT, SAC, COSO, SAS 78/94 обеспечение ИБ в любой компании предполагает следующее. Во-первых, определение целей обеспечения ИБ компьютерных систем. Во-вторых, создание эффективной системы управления ИБ. В третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия ИБ заявленным целям. В четвертых, применение инструментария обеспечения ИБ и оценки ее текущего состояния. В пятых, использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения ИБ, позволяющих объективно оценить защищенность информационных активов и управлять ИБ компании.

Рассмотрим наиболее известные зарубежные стандарты в области защиты информации.

Международный стандарт ISO 15408

Следуя по пути интеграции, в 1990г. Международная организация по стандартизации (ISO) начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования. В результате 8 июня 1999г. был утвержден Международный стандарт ISO 15408 под названием Common Criteria for Information Technology Security Evaluation ("Общие критерии оценки безопасности информационных технологий"). В ISO 15408 проведена классификация широкого набора требований безопасности информационных технологий, определены структуры их группирования и принципы использования. Главные достоинства стандарта - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.

Критерии оценки безопасности информационных технологий, состоят из трех частей. Первая часть определяет концепцию всего стандарта, а вторая, самая большая часть, формализует методы и требования к ИБ. Его третья часть полностью посвящена процессам обеспечения доверия (качества) компонентов ИС, реализующих функции их безопасности. По существу рассматривается регламентирование технологии и процессов обеспечения жизненного цикла программных средств, создаваемых для обеспечения безопасности функционирования и применения систем. При этом акцент документа сосредоточен на ИБ сложных ИС, а термин - доверие применяется как понятие качество или уверенность выполнения требования безопасности.

Нарушения безопасности ИС возникают вследствие преднамеренного использования или случайной активизации уязвимостей при применении ИС. Уязвимости могут возникать вследствие недостатков:

требований (ИС может обладать требуемыми от нее функциями и свойствами, но все же содержать уязвимости, которые делают ее непригодной или неэффективной в части безопасности применения);

проектирования (ИС не отвечает спецификации, и/или уязвимости являются следствием некачественных стандартов проектирования или неправильных проектных решений);

эксплуатации (ИС разработана в полном соответствии с корректными спецификациями, но уязвимости возникают как результат неадекватного управления при эксплуатации).

В стандарте применяется иерархия детализации требований к безопасности и качеству ИС с использованием специфических терминов: класс - наиболее общая характеристика качества, которая структурируется семейством - субхарактеристиками. Каждое семейство может иметь несколько компонентов - атрибутов, состоящих из элементов качества. Семейство доверия (качества) в стандарте может содержать один или несколько компонентов доверия. Этот подраздел семейства доверия включает описание имеющихся компонентов и объяснение их содержания и разграничения.

Подраздел идентификации компонента содержит описательную информацию, необходимую для категорирования, регистрации и ссылок на компонент. Каждый элемент представляет собой требование для выполнения. Формулировки этих требований к ИС должны быть четкими, краткими и однозначными. Поэтому каждое требование рекомендуется излагать как отдельный элемент. Структура процессов жизненного цикла ИС, обеспечивающих ИБ применения в соответствии с классами и семействами стандарта, представлена в таблице.

Класс "Управление конфигурацией ИС" обеспечивает сохранение целостности объектов, устанавливая и контролируя определенный порядок процессов корректировки, модификации и предоставления связанной с ними информации. Управление конфигурацией предотвращает несанкционированную модификацию, добавление или уничтожение составляющих объектов, обеспечивая тем самым качество и документацию компонентов, которые подготовлены к распространению.

Класс "Разработка ИС" определяет требования для пошагового уточнения ИБ, начиная с краткой спецификации объекта в задании и вплоть до фактической реализации. Каждое из получаемых представлений содержит информацию, помогающую оценщику решить, были ли выполнены функциональные требования к безопасности.

Класс "Поставка и эксплуатация ИС" определяет требования к мерам, процедурам и стандартам, применяемым для безопасной поставки, установки и эксплуатации ИС, чтобы безопасность объектов не нарушалась во время его распространения, внедрения и эксплуатации. Поставка распространяется на процедуры, используемые для поддержки безопасности во время передачи объекта пользователю при первоначальной поставке и последующих модификациях. Она включает в себя специальные процедуры, необходимые для демонстрации подлинности поставленного объекта.

Класс "Руководства по безопасности ИС" определяет требования, направленные на обеспечение понятности, достаточности и законченности эксплуатационной документации, представляемой разработчиком. Эта документация, которая содержит две категории информации (для пользователей и администраторов), является важным фактором безопасной эксплуатации ИС.

Класс "Поддержка жизненного цикла безопасности ИС" определяет требования для реализации всех этапов разработки четко определенной модели, включая процедуры устранения недостатков и дефектов, правильное использование ИС, а также меры безопасности для защиты среды разработки. Безопасность разработки охватывает физические, процедурные, организационные и другие меры безопасности, используемые применительно к среде разработки.

Класс "Тестирование ИС" устанавливает требования, которые должны демонстрировать, что реализованные функции удовлетворяют функциональным требованиям безопасности системы. Покрытие определяет полноту функциональных тестов, выполненных разработчиком для анализа качества ИС. Оно связано со степенью тестирования функций безопасности. Глубина тестирования характеризуется уровнем детализации, на котором разработчик проверяет программы.

Класс "Оценка уязвимостей ИС" определяет требования, направленные на идентификацию уязвимостей, которые могут проявиться и быть активизированы. Особое внимание должно быть уделено уязвимостям, которые вносятся при проектировании, эксплуатации, неправильном применении или неверной конфигурации объекта. Анализ скрытых каналов направлен на выявление и анализ непредусмотренных коммуникационных каналов, которые могут применяться при нарушениях предписанных функций безопасности. Анализ уязвимостей заключается в идентификации недостатков, которые могли быть внесены на различных этапах разработки. Эти потенциальные уязвимости оцениваются посредством тестирования проникновения, позволяющим сделать заключение, могут ли они в действительности быть использованы для нарушения безопасности ИС.

В зависимости от сложности и критичности требований к безопасности функционирования ИС и доступных ресурсов для ее реализации, стандартом ISO 15408 рекомендуется выбирать набор классов, достаточных для обеспечения необходимого качества информационной безопасности ИС - так называемый оценочный уровень доверия. Оценочные уровни доверия образуют возрастающую шкалу достигаемого качества безопасности, которая позволяет соотнести получаемый уровень качества с трудоемкостью его реализации и возможностью достижения этой степени доверия.

Оценочный уровень доверия 1 предусматривает функциональное тестирование и применим, когда требуется некоторая уверенность в правильном функционировании ИС, а угрозы безопасности не рассматривают как серьезные.

Оценочный уровень доверия 2 включает структурное тестирование, содержит требование сотрудничества с разработчиком для получения информации об ИС и результатах тестирования. Такая ситуация может возникать при обеспечении безопасности разработанных ранее систем. Этот уровень требует тестирования и анализа уязвимостей разработчиком, основанного на более детализированных спецификациях.

Оценочный уровень доверия 3 предусматривает методическое тестирование и проверку, позволяет разработчику достичь доверия путем применения проектирования безопасности без значительного изменения существующей технологии качественной разработки всей системы. Этот уровень представляет значимое увеличение доверия, требуя более полного покрытия тестированием функций и процедур безопасности.

Оценочный уровень доверия 4 предусматривает методическое проектирование, тестирование и углубленную проверку, что позволяет разработчику достичь максимального качества, основанного на регламентированной технологии разработки, которая не требует глубоких специальных знаний, навыков и других ресурсов. Анализ поддержан независимым тестированием, свидетельством разработчика об испытаниях, подтверждением результатов тестирования разработчиком и независимым анализом уязвимостей.

Оценочный уровень доверия 5 позволяет разработчику достичь максимального качества путем систематического проектирования безопасности, основанного на строгой технологии разработки, поддержанной умеренным применением узко специализированных методов, не влекущих излишних затрат на методы проектирования безопасности. Доверие достигается применением формальной модели политики безопасности.

Оценочный уровень доверия 6 позволяет разработчикам достичь высокой безопасности путем полуформальной верификации всего проекта и тестирования, применением специальных методов проектирования безопасности в строго контролируемой среде разработки с целью получения высокой безопасности системы и защиты активов от значительных рисков, где ценность защищаемых активов оправдывает дополнительные затраты.

Оценочный уровень доверия 7 применим при разработке безопасных систем для использования в ситуациях чрезвычайно высокого риска и/или там, где высокая ценность активов или систем оправдывает максимальные затраты на их безопасность. Этот уровень представляет значительное увеличение доверия, требует всестороннего анализа, использующего формальные представления и формальное соответствие, а также всестороннее независимое тестирование.

Стандарт COBIT

К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий.

Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969г. и объединяет более 23000 членов из более чем 100 стран, в том числе и России. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем, имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.

Ассоциация ISACA под аудитом ИБ в ИС понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели в части эффективности информационных технологий.

По заявлениям руководящих органов ISACA основная цель ассоциации - исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационными технологиями для ежедневного использования аудиторами и администраторами информационных систем. В интересах профессиональных аудиторов, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями ИБ. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по управлению и обеспечению режима ИБ. Концепция изложена в стандарте под названием COBIT (Control Objectives for Information and related Technology - контрольные объекты информационной технологии), который состоит из четырех частей:

краткое описание концепции;

определения и основные понятия;

спецификации управляющих процессов и возможный инструментарий;

рекомендации по выполнению аудита компьютерных информационных систем.

Третья часть этого документа в некотором смысле аналогична международному стандарту ISO 17799. Примерно также подробно приведены практические рекомендации по управлению ИБ, но модели систем управления в этих стандартах сильно различаются.

Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией.

В модели COBIT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом:

Четыре базовые группы содержат в себе 34 подгруппы, которые в свою очередь состоят из 302 объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.

Стандарт также описывает модели зрелости управления информационными технологиями и сопряженными с ними процессами:

Уровень 0 - "Отсутствие". Полное отсутствие каких либо процессов управления. Организация не признает существования проблем, которые нужно решать, нет никаких сведений о проблемах.

Уровень 1 - "Начало". Организация признает существование проблем управления и необходимость их решения. Нет никаких стандартизированных решений, однако существуют случайные одномоментные решения, принимаемые индивидуально или от случая к случаю. Подход руководства - хаотичен, признание существования проблем - случайно и непоследовательно. Может наблюдаться осознание необходимости привлечения информационных технологий в смежные процессы, ориентированные на получение результата.

Уровень 2 - "Повторение". Существует общее понимание проблем управления информационными технологиями. Показатели деятельности и процессов находятся в стадии развития, которое включает в себя процессы планирования, эксплуатации и мониторинга. Как часть этого, управление информационными технологиями формально встраиваются в процессы управления организацией с высокой степенью вовлечения высшего руководства в них. Руководство выбрало основные сравнительные и оценочные методики управления информационными технологиями, хотя сам процесс не был внедрен в организации. При этом не существует формализованного обучения и процесса передачи информации об управлении информационными технологиями, а вся отчетность возложена на сотрудников. Они контролируют процессы управления в рамках различных проектов и процессов. В вопросе сбора данных о системе управления выбор падает на ограниченные инструменты управления, которые и внедряются для реализации данной цели, но не могут быть использованы в полную силу из-за недостатка экспертных оценок их функциональности.

Уровень 3 - "Описание". Необходимость действовать с учетом принципов управления информационными технологиями понимается и принимается. Развивается базовый набор показателей управления информационными технологиями; связь между результатом и показателями производительности определена, зафиксирована и внедрена в стратегическое и операционное планирование и мониторинг. Процедуры стандартизированы, зафиксированы и внедрены. Процедуры не сложные, но являются формализацией существующей практики. Инструменты стандартизированы и используют существующие доступные методики. Ответственность за обучение, выполнение и применение стандартов возложена на сотрудников. Причинный анализ используется время от времени. Большинство процессов проверяются на сравнение с некоторыми основными метриками, и, как правило, малоопытными сотрудниками, поэтому, скорее всего, любые отклонения от стандартов не будут замечены руководством. Однако ответственность за выполнения ключевых процессов очевидна, и сотрудники награждаются, исходя из уровня выполнения задач.

Уровень 4 - "Управление". Существует полное понимание проблем управления информационными технологиями на всех уровнях, поддерживаемое формальным обучением. Также существует полное понимание того, кто есть клиент. Ответственности определены и отслеживаются на протяжении всего срока действия договоренностей. Процессы информационных технологий выстраиваются в единую линию с бизнесом и стратегией. Улучшения в процессах информационных технологий в первую очередь базируются на количественном анализе, что позволяет отслеживать и измерять соответствие системы метриками. Все совладельцы процесса осознают риски, важность информационных технологий и их возможности. Руководство определило допустимые нормы, при которых процессы должны работать. Процессы постоянно совершенствуются, и результаты их выполнения соответствуют "лучшим практикам". Анализ первопричин проблем стандартизуется. Присутствует понимание необходимости постоянной модернизации. Все необходимые эксперты участвуют в процессе. Управление информационными технологиями проникает во все производственные процессы. Процессы управления информационными технологиями интегрируется в процесс управления организации.

Уровень 5 - "Оптимизация". Присутствует современное понимание управления информационными технологиями, проблем и решений, а также их перспектив. Обучение и коммуникация поддерживаются самыми передовыми методиками. Благодаря постоянной модернизации процессы соответствуют моделям зрелости, построенным на основании "лучших практик". Внедрение этих процедур привело к появлению в организации людей и процессов, максимально адаптируемых к изменяющимся условиям, а также полностью соответствующих требованиям управления информационными технологиями. Первопричины всех проблем и отклонений тщательно анализируются, затем назначаются продуктивные действия. Информационные технологии интегрированы в бизнес-процессы и полностью их автоматизируют, предоставляя возможность повысить качество и эффективность работы организации.

Отличительными чертами COBIT являются большая зона охвата (все задачи - от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС), наличие перекрестного аудита (перекрывающиеся зоны проверки критически важных элементов), адаптируемость, наращиваемость стандарта.

Стандарт ISO 17799 (BS 7799)

История развития стандарта началась в 1993г., когда Министерство торговли Великобритании опубликовало пособие, посвященное практическим аспектам обеспечения ИБ. Пособие оказалось настолько удачным, что его стали использовать администраторы ИБ многих организаций. Позже доработанная версия этого пособия была принята в качестве британского стандарта BS7799 "Практические правила управления информационной безопасностью" (1995 г.). Стандарт стали применять на добровольной основе не только в Великобритании, но и в других странах. В 1998г. вышла вторая часть стандарта BS 7799 "Спецификации систем управления информационной безопасностью", посвященная вопросам аудита ИБ.

Вторая часть стандарта определяет возможные функциональные спецификации корпоративных систем управления ИБ с точки зрения их проверки на соответствие требованиям первой части стандарта. В соответствии с положениями стандарта также регламентируется процедура аудита информационных корпоративных систем. С практической точки зрения вторая часть является инструментом для аудитора и позволяет оперативно проводить внутренний или внешний аудит ИБ любой компании.

В 2000 г. был принят международный стандарт ISO 17799, в основу которого был положен BS7799. В сентябре 2002 г. основные положения ISO 17799 были пересмотрены и дополнены с учетом развития современных информационных технологий и требований к организации режима ИБ. Сегодня это наиболее распространенный стандарт во всем мире среди организаций и предприятий, которые используют подобные стандарты на добровольной основе.

Текущая версия стандарта рассматривает следующие актуальные вопросы обеспечения ИБ:

необходимость обеспечения ИБ;

основные понятия и определения ИБ;

политика ИБ компании;

организация ИБ;

классификация и управление корпоративными информационными ресурсами;

кадровый менеджмент и ИБ;

физическая безопасность;

администрирование ИБ корпоративных информационных систем;

управление доступом;

требования по ИБ к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения;

управление бизнес-процессами компании с точки зрения ИБ;

внутренний аудит ИБ компании.

К методикам управления рисками на основе требований ISO 17999 относится методика анализа и управления рисками CRAMM, разработанный в 1985г. Британской правительственной организацией CCTA (Центральное агентство по компьютерам и телекоммуникациям). Ее достоинствами являются использование технологии оценки угроз и уязвимостей по косвенным факторам с возможностью верификации результатов, удобная система моделирования ИС с позиции ИБ, обширная база данных по контрмерам. Данная методика является "мощной" и трудоемкой, но она позволяет весьма детально оценить риски и различные варианты контрмер.

Основными целями методики CRAMM являются:

формализация и автоматизация процедур анализа и управления рисками;

оптимизация расходов на средства контроля и защиты;

комплексное планирование и управление рисками на всех стадиях жизненного цикла ИС;

сокращение времени на разработку и сопровождение корпоративной системы защиты информации;

обоснование эффективности предлагаемых мер защиты и средств контроля;

управление изменениями и инцидентами;

поддержка непрерывности бизнеса;

оперативное принятие решений по вопросам управления безопасностью.

Управление рисками в методике СRAMM осуществляется в несколько этапов:

Рассмотрим возможности CRAMM на следующем примере. Пусть проводится оценка информационных рисков следующей корпоративной ИС:

В этой схеме условно выделим следующие элементы системы:

рабочие места, на которых операторы вводят информацию, поступающую из внешнего мира;

почтовый сервер, на который информация поступает с удаленных узлов сети через Интернет;

сервер обработки, на котором установлена система управления базами данных;

сервер резервного копирования;

рабочие места группы оперативного реагирования и резерва;

рабочее место администратора ИБ и администратора системы управления базами данных.

Функционирование системы осуществляется следующим образом. Данные, введенные с рабочих мест пользователей и поступившие на почтовый сервер, направляются на сервер корпоративной обработки данных. Затем данные поступают на рабочие места группы оперативного реагирования и резерва и там принимаются соответствующие решения.

Теперь необходимо провести анализ рисков с помощью методики CRAMM и предложить некоторые средства контроля и управления рисками, адекватные целям и задачам бизнеса.

Этап 1. Этап начинается с решения задачи определения границ исследуемой системы. Для этого собирается следующая информация: ответственные за физические и программные ресурсы; кто является пользователем и как пользователи используют или будут использовать систему; конфигурация системы. Первичная информация собирается в процессе бесед с менеджерами проектов и другими сотрудниками.

Этап 2. Проводится идентификация ресурсов: материальных, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов. Затем строится модель ИС с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. В рассматриваемом примере будет единственный подобный сервис. Построенная модель позволяет выделить критичные элементы.

Этап 3. Определение ценности ресурсов является обязательным в полном варианте анализа рисков. Ценность физических ресурсов в данной методике определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях:

недоступность ресурса в течение определенного периода времени;

разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;

нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;

модификация - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;

ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба предлагается использовать следующие критерии:

ущерб деловой репутации;

нарушение действующего законодательства;

ущерб, связанный с разглашением персональных данных отдельных лиц;

финансовые потери от разглашения информации;

финансовые потери, связанные с восстановлением ресурсов;

финансовые потери, связанные с невозможностью выполнения обязательств;

дезорганизация деятельности.

Для программного обеспечения и данных выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

Например, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?

Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Затем разрабатываются шкалы для выбранной системы параметров. Они могут, например, выглядеть следующим образом:

Ущерб деловой репутации:

2 - негативная реакция отдельных клиентов;

4 - критика в средствах массовой информации, не имеющая широкого общественного резонанса;

6 - негативная реакция отдельных депутатов парламента;

8 - критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т.п.;

10 - негативная реакция на уровне президента и правительства страны.

Финансовые потери, связанные с восстановлением ресурсов:

2 - менее 1 тысячи долларов;

6 - от 1 тысячи до 10 тысяч долларов;

8 - от 10 тысяч до 100 тысяч долларов;

10 - свыше 100 тысяч долларов.

Дезорганизация деятельности в связи с недоступностью данных:

2 - отсутствие доступа к информации до 15 минут;

4 - отсутствие доступа к информации до 1 часа;

6 - отсутствие доступа к информации до 3 часов;

8 - отсутствие доступа к информации от 12 часов;

10 - отсутствие доступа к информации более суток.

На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценность ресурсов низкая, можно использовать базовый вариант защиты. В таком случае эксперт может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какой-либо угрозы, уязвимости или комбинации угроз и уязвимости, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимости. Это позволяет разработать более эффективную систему защиты информации.

Этап 4. На этапе оценки угроз и уязвимости оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимости. Далее активы группируются с точки зрения угроз и уязвимости. Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.). При этом оценка уровней угроз и уязвимости может проводится на основе косвенных факторов или на основе прямых оценок экспертов.

Уровень угроз оценивается, в зависимости от ответов, как:

очень высокий;

высокий;

средний;

низкий;

очень низкий.

Уровень уязвимости оценивается, в зависимости от ответов, как:

высокий;

средний;

низкий;

отсутствует.

Этап 5. На этапе анализа рисков возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

Этап 6. На этапе управления рисками генерируется несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям:

обеспечение безопасности на сетевом уровне;

обеспечение физической безопасности;

обеспечение безопасности поддерживающей инфраструктуры;

меры безопасности на уровне системного администратора.

В результате выполнения данного этапа формируются несколько видов отчетов.

Рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от несанкционированного доступа к информации и требования по защите информации различаются в российских и зарубежных стандартах. Особенно полезным представляется использование методики CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимостей и эффективности защиты.