|
Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) разработана в университете Карнеги-Мелон, США и означает оценка критичных угроз, активов и уязвимостей.
Методологию OCTAVE используют широко во всем мире при выполнении работ по оценке информационных рисков и внедрению процессов управления рисками в организации.
Данная методика имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности.
Сущность методология OCTAVE заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.
На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима информационной безопасности.
На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.
На третьем этапе производится оценка и обработка рисков информационной безопасности, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков.
Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.
|