Cramm-modell

Ezt a szócikket át kellene olvasni, ellenőrizni a szöveg helyesírását és nyelvhelyességét, a tulajdonnevek átírását. Esetleges további megjegyzések a vitalapon.

A Cramm-modellt a Central Computer and Telecommunation Agency (Egyesült Királyság) által kidolgozott kockázatelemzési és -kezelési módszertan (CCTA Risk Analysis and Management Method), amely információs rendszerek érzékeny adatai számára hiteles védelmet nyújt. A módszertan részletesen tárja fel az egyes fenyegetések kockázatait, azonban idő- és erőforrás igénye nagy, ezért gyakorlati alkalmazása költséges. A szintén angol IT Infrastructure Library (ITIL) ajánlás a CRAMM modellt javasolja kockázatmenedzselésre.

A CRAMM támadási modell azt szimbolizálja, hogy alapvetően három dolog kell a biztonsági esemény bekövetkezéséhez (a támadáshoz):

• fenyegetés,
• sebezhetőség, amin keresztül a fenyegetés kifejti a hatását (amin keresztül a támadás megindítható), ez lehet magában a védelemben is,
• cél, amiben/amivel kárt lehet okozni(vagyontárgyak értéke).

Történet[szerkesztés]

A CRAMM (CCTA Risk Analysis and Management Method) módszertant 1987-ben alkotta meg az Egyesült Királyság kormányának Központi Számítógépes és Telekommunikációs Ügynöksége (Central Computers and Telecommunications Agency, CCTA). A számos frissítés után, ma már az 5.ik változat került kidolgozásra. A kockázatelemzés illetve kezelés három szinten történik, mindegyik átfogó kérdéssorral illetve útmutatóval támogatott. Az első két szint azonosítja és analizálja a rendszerkockázatokat. A harmadik szint a kockázatokra kezelési útmutatókat kínál. A CRAMM-modell a következő három szintből épül fel:

Az első szint Itt kerülnek megállapításra a biztonsági szempontok:

• meghatározásra kerül a kockázatelemzés illetve kezelés hatóköre
• azonosításra és értékelésre kerülnek a rendszer vagyonelemei
• azonosítják a vagyonelemeket, feltárják az üzleti hatásokat, melyek sértik a vagyonelem rendelkezésre állási, bizalmassági, és sértetlenségi kritériumait

A második szint Itt történik meg a kockázat értékelése a javasolt biztonsági követelmények szerint.

• azonosítása és megállapítása a fenyegetések típusának és fokának, melyek a rendszerre potenciális veszélyt jelentenek
• a rendszer sérülékenységeinek összeállítása, melyeken keresztül a fenyegetés érvényre juthat
• a fenyegetés illetve a sérülékenységi halmaz összevetése, és kockázati értékek becslése belőlük

A harmadik szint Melynek során kerül megállapításra illetve kiválasztásra azon ellenintézkedések, melyekkel kockázatarányos védekezést lehet megvalósítani, a 2-es szinten feltüntettek szerint.

CRAMM széles ellenintézkedési gyűjteményt foglal magában, több mint 3000-et, melyek több mint 70 logikai csoportba lettek foglalva.

Felhasználás[szerkesztés]

A CRAMM modellt használják például a NATO-ban, a Német hadseregben.

Gyakorlati megvalósulás[szerkesztés]

1. Vagyonleltár: a vagyontárgy azonosítása, értékelése,
2. Sebezhetőségvizsgálat,
3. A lehetséges, releváns fenyegető tényezők számba vétele,
4. A sikeres támadáshoz szükséges támadható felületek (sebezhetőségek) azonosítása,
5. Kockázatértékelés: a sikeres támadás valószínűségének, és az azon keresztül a vagyontárgyban okozott kár mértékének becslése,
6. Védelmi intézkedés tervezése és bevezetése,
7. Védelmi intézkedés működtetése, ellenőrzése,
8. Kockázatok újraértékelése.

Források[szerkesztés]

• Krasznay Csaba: Az információ biztonság alapjai előadásfóliák
• https://web.archive.org/web/20080524163719/http://www.itb.hu/ajanlasok/a7/html/a7_5-5.htm
• http://www.itsmsolutions.com/newsletters/DITYvol2iss8.htm
• https://en.wikipedia.org/wiki/CRAMM