Ugrás a tartalomhoz

Cramm-modell

Ellenőrzött
A Wikipédiából, a szabad enciklopédiából

A Cramm-modellt a Central Computer and Telecommunation Agency (Egyesült Királyság) által kidolgozott kockázatelemzési és -kezelési módszertan (CCTA Risk Analysis and Management Method), amely információs rendszerek érzékeny adatai számára hiteles védelmet nyújt. A módszertan részletesen tárja fel az egyes fenyegetések kockázatait, azonban idő- és erőforrás igénye nagy, ezért gyakorlati alkalmazása költséges. A szintén angol IT Infrastructure Library (ITIL) ajánlás a CRAMM modellt javasolja kockázatmenedzselésre.

A CRAMM támadási modell azt szimbolizálja, hogy alapvetően három dolog kell a biztonsági esemény bekövetkezéséhez (a támadáshoz):

  • fenyegetés,
  • sebezhetőség, amin keresztül a fenyegetés kifejti a hatását (amin keresztül a támadás megindítható), ez lehet magában a védelemben is,
  • cél, amiben/amivel kárt lehet okozni(vagyontárgyak értéke).

Történet

[szerkesztés]

A CRAMM (CCTA Risk Analysis and Management Method) módszertant 1987-ben alkotta meg az Egyesült Királyság kormányának Központi Számítógépes és Telekommunikációs Ügynöksége (Central Computers and Telecommunications Agency, CCTA). A számos frissítés után, ma már az 5.ik változat került kidolgozásra. A kockázatelemzés illetve kezelés három szinten történik, mindegyik átfogó kérdéssorral illetve útmutatóval támogatott. Az első két szint azonosítja és analizálja a rendszerkockázatokat. A harmadik szint a kockázatokra kezelési útmutatókat kínál. A CRAMM-modell a következő három szintből épül fel:

Az első szint Itt kerülnek megállapításra a biztonsági szempontok:

  • meghatározásra kerül a kockázatelemzés illetve kezelés hatóköre
  • azonosításra és értékelésre kerülnek a rendszer vagyonelemei
  • azonosítják a vagyonelemeket, feltárják az üzleti hatásokat, melyek sértik a vagyonelem rendelkezésre állási, bizalmassági, és sértetlenségi kritériumait

A második szint Itt történik meg a kockázat értékelése a javasolt biztonsági követelmények szerint.

  • azonosítása és megállapítása a fenyegetések típusának és fokának, melyek a rendszerre potenciális veszélyt jelentenek
  • a rendszer sérülékenységeinek összeállítása, melyeken keresztül a fenyegetés érvényre juthat
  • a fenyegetés illetve a sérülékenységi halmaz összevetése, és kockázati értékek becslése belőlük

A harmadik szint Melynek során kerül megállapításra illetve kiválasztásra azon ellenintézkedések, melyekkel kockázatarányos védekezést lehet megvalósítani, a 2-es szinten feltüntettek szerint.

CRAMM széles ellenintézkedési gyűjteményt foglal magában, több mint 3000-et, melyek több mint 70 logikai csoportba lettek foglalva.

Felhasználás

[szerkesztés]

A CRAMM modellt használják például a NATO-ban, a Német hadseregben.

Gyakorlati megvalósulás

[szerkesztés]
  1. Vagyonleltár: a vagyontárgy azonosítása, értékelése,
  2. Sebezhetőségvizsgálat,
  3. A lehetséges, releváns fenyegető tényezők számba vétele,
  4. A sikeres támadáshoz szükséges támadható felületek (sebezhetőségek) azonosítása,
  5. Kockázatértékelés: a sikeres támadás valószínűségének, és az azon keresztül a vagyontárgyban okozott kár mértékének becslése,
  6. Védelmi intézkedés tervezése és bevezetése,
  7. Védelmi intézkedés működtetése, ellenőrzése,
  8. Kockázatok újraértékelése.

Források

[szerkesztés]