На этой стадии оцениваются зависимость пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей, вычисляются уровни рисков и анализируются результаты. Ресурсы группируются по типам угроз и уязвимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).
Оценка уровней угроз и уязвимостей производится на основе исследования косвенных факторов. Программное обеспечение CRAMM для каждой группы ресурсов и каждого из 36 типов угроз генерирует список вопросов, допускающих однозначный ответ. Уровень угроз оценивается, в зависимости от ответов, как очень высокий, высокий, средний, низкий и очень низкий. Уровень уязвимости оценивается, в зависимости от ответов, как высокий, средний и низкий [6].
Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков по шкале от 1 до 7. Полученные уровни угроз, уязвимостей и рисков анализируются, документируются и согласовываются с заказчиком.
Стадия 3: Поиск и предложение наилучшего противодействия угрозам. По существу, это поиск варианта системы безопасности, наилучшим образом удовлетворяющей требованиям заказчика. По завершении стадии он будет знать, как следует изменить информационную систему для своевременного принятия мер уклонения от риска, а также для выбора специальных мер противодействия, ведущих к снижению или минимизации оставшихся рисков [6].
На этой стадии CRAMM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры можно объединить несколько категорий: рекомендации общего плана, подробные рекомендации и выведение множества примеров организации системы безопасности, а также их сравнительный анализ и поиск наилучшего решения.
Заключение
Рассмотренная методология анализа рисков и управления ими и контроля последствий полностью применима как в мировых, так и в отечественных условиях, с небольшими различиями российской защиты от несанкционированного доступа от защиты европейской. Особенно полезным представляется использование программ на базе метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области информационной безопасности. Это позволяет получать обоснованные оценки рисков, уязвимостей, эффективности защиты.