CRAMM
CRAMM ( CCTA Risk Analysis and Management Method ) to metodologia zarządzania ryzykiem, obecnie w piątej wersji, CRAMM w wersji 5.0.
Historia
CRAM został utworzony w 1987 roku przez Centralną Agencję Komputerową i Telekomunikacyjną (CCTA), obecnie przemianowaną na Gabinet Rządu Wielkiej Brytanii.
Metodologia
CRAMM składa się z trzech etapów, z których każdy jest wspierany przez obiektywne kwestionariusze i wytyczne. Pierwsze dwa etapy identyfikują i analizują zagrożenia dla systemu. Trzeci etap zaleca, w jaki sposób należy zarządzać tymi ryzykami.
Trzy etapy CRAM są następujące:
Scena 1
Ustanowienie celów bezpieczeństwa poprzez:
- Definiowanie granic badania do oceny ryzyka
- Identyfikacja i wycena aktywów fizycznych, które tworzą część systemu;
- Określenie „wartości” przechowywanych danych poprzez przeprowadzanie wywiadów z użytkownikami na temat potencjalnych skutków biznesowych, które mogą wynikać z niedostępności, zniszczenia, ujawnienia lub modyfikacji;
- Identyfikacja i wycena zasobów oprogramowania, które tworzą część systemu.
Etap 2
Ocena zagrożeń dla proponowanego systemu oraz wymagań dotyczących bezpieczeństwa poprzez:
- Identyfikacja i ocena rodzaju i poziomu zagrożeń, które mogą mieć wpływ na system;
- Ocena stopnia podatności systemu na zidentyfikowane zagrożenia;
- Łączenie ocen zagrożeń i podatności na zagrożenia z wartościami aktywów w celu obliczenia miar ryzyka.
Etap 3
Identyfikacja i wybór środków zaradczych współmiernych do miar ryzyka obliczonych w Etapie 2.
CRAMM zawiera bardzo dużą bibliotekę środków zaradczych składającą się z ponad 3000 szczegółowych środków zaradczych zorganizowanych w ponad siedemdziesiąt logicznych grup.
Zastosowanie
CRAMM jest używany przez NATO , holenderskie siły zbrojne i korporacje aktywnie działające na rzecz bezpieczeństwa, takie jak Unisys .
CRAM jest oferowany w wersji angielskiej i holenderskiej.