CRAMM - CRAMM - Wikipedia

CRAMM (Анализ рисков и метод управления CCTA) представляет собой методологию управления рисками, в настоящее время находится пятая версия CRAMM версии 5.0.

История

CRAMM был создан в 1987 г. Центральное компьютерное и телекоммуникационное агентство (CCTA), теперь переименован в Кабинет Офис правительства Соединенного Королевства.

Методология

CRAMM состоит из трех этапов, каждый из которых сопровождается объективными анкетами и рекомендациями. Первые два этапа определяют и анализируют риски для системы. На третьем этапе рекомендуется, как следует управлять этими рисками.

CRAMM состоит из трех этапов:

Этап 1

Установление целей для обеспечения безопасности:

Определение границ исследования для оценки риска
Выявление и оценка физических активов, составляющих часть системы;
Определение «ценности» данных путем опроса пользователей о потенциальных последствиях для бизнеса, которые могут возникнуть в результате недоступности, уничтожения, раскрытия или изменения;
Выявление и оценка программных активов, составляющих часть системы.

2 этап

Оценка рисков к предлагаемой системе и требованиям безопасности путем:

Выявление и оценка типа и уровня угроз, которые могут повлиять на систему;
Оценка степени уязвимости системы к выявленным угрозам;
Объединение оценок угроз и уязвимостей со стоимостью активов для расчета показателей рисков.

3 этап

Выявление и выбор контрмер которые соизмеримы с мерами рисков, рассчитанными на Этапе 2.

CRAMM содержит очень большую библиотеку контрмер, состоящую из более чем 3000 подробных контрмер, организованных в более семидесяти логических групп.

Развертывание

CRAMM используется НАТО, голландские вооруженные силы и корпорации, активно работающие над безопасностью, например Unisys.

CRAMM предлагается на английском и голландском языках.