CRAMM
Metodika a nástroj CRAMM
Hlavním účelem CRAMM (CCTA Risk Analysis and Management Method) bylo do verze 3.2 (aktuálně verze 5.2) podpora při provádění analýzy rizik informačního systému. Toto byl také hlavní důvod, proč metodika v roce 1985 ve Velké Británii vznikla. Do verze 4 však byla zakomponována nejvýznamnější evropská norma pro informační bezpečnost BS7799-2 a v tuto chvíli CRAMM rozšířil svoje použití i na provádění analýzy stavu vůči normě BS7799-2 (Gap Analysis) a začal se používat i jako nástroj, pro vytváření bezpečnostní dokumentace nutné pro certifikaci. Nová verze CRAMM 5.2 již v sobě obsahuje aktuální verzi normy ISO/IEC 27001 z roku 2005 (i v české verzi) a dá se tedy využít jako podpůrný nástroj, pokud se management rozhodne připravit organizaci na certifikaci podle ISO/IEC 27001:2005. CRAMM lze v současné době definovat jako metodiku podporovanou nástrojem, která je velmi užitečná jako podpora pro:
- Přípravu na certifikaci podle ISO/IEC 27001:2005;
- Provádění detailního i expresního hodnocení rizik informačních systémů;
- Návrh opatření na zvyšování úrovně informační bezpečnosti;
- Provádění analýzy stavu vůči ISO/IEC 27001:2005;
- Řízení informačních rizik;
- Tvorbu bezpečnostní dokumentace;
- Vytváření havarijních plánů a plánů na zajištění kontinuity provozu (DRP, BCM).
CRAMM je metodika vyvinutá pro použití bez ohledu na druhy informačních systémů a sítí. Metodika může být aplikována ve všech fázích životního cyklu informačního systému od plánování přes vývoj a realizaci až po ostrý provoz.
Historie CRAMM
CRAMM byl poprvé vyvinut organizací CCTA v roce 1985 jako odpověď na stále rostoucí potřebu bezpečnosti informačních systémů. V devadesátých letech byl CRAMM přednostně používán vládou (UK) a převzaly ho rovněž mnohé obchodní organizace a úřady veřejné správy po celém světě. V současné době je CRAMM nejpoužívanější metodikou svého druhu v Evropě.
Výhody CRAMM
CRAMM verze 5 je díky svým možnostem kvalitním produktem v oblasti komplexního zajištění bezpečnosti informačních systémů. Jeho základem je léty prověřená metodika pro analýzu a řízení rizik (CRAMM). Účelně kloubí kvalitativní způsoby analýzy rizik informačních systémů, poslední poznatky z oblasti využití nejnovějších technologií a bohaté zkušenosti specialistů nejenom z Velké Británie, ale v návaznosti na normu ISO/IEC 27002:2005 i dalších odborníků z celého světa.
CRAMM je komplexním nástrojem pro zavádění a podporu Systému řízení bezpečnosti informací (ISMS). Jeho využití je od expresních či detailních analýz rizik až po kontrolu souladu s bezpečnostními standardy četně přípravy na certifikaci.
Rozsáhlá knihovna protiopatření obsahuje doporučení pokrývající všechny oblasti bezpečnosti (IT, komunikace, personální, fyzická atd.). Po výpočtu míry rizik CRAMM vybere podle osvědčeného algoritmu z knihovny sadu opatření, která přesně odpovídají profilu rizik identifikovaných v rámci dané analýzy.
CRAMM obsahuje také unikátní vodítka pro stanovení hodnoty dat, kterou mají pro organizace. Vodítka z několika pohledů (ztráta důvěry, řízení a provoz organizace, finanční ztráta apod.) objektivizují scénáře dopadů, které jsou diskutovány v průběhu interview s uživateli daných dat. Pomocí vodítek jsou stanoveny hodnoty dat, které tvoří základní parametr (vedle úrovně hrozeb a zranitelností) pro výpočet míry rizika.
Reporty CRAMM jsou tvořeny na základě šablon a obsahují konkrétní údaje zadané nebo vypočtené v rámci projektu analýzy rizik. CRAMM obsahuje šablony bezpečnostní dokumentace, které je možné využít jako užitečný vzor např. při tvorbě dokumentace při zavádění ISMS, případně při přípravě na certifikaci.
Pro bezpečnostní manažery je v dnešní době je stěžejní, aby měli podporu při provádění detailních analýz trvajících několik měsíců, ale zároveň i při expresních analýzách, které nepřekročí 4 hodiny. CRAMM obsahuje mj. dva moduly, kde první je určen pro detailní analýzy rizik, která zkoumá ve velké podrobnosti každé aktivum informačního systému, a druhý používaný pro rychlé analýzy, poskytující během několik hodin závěry včetně doporučených protiopatření za zvýšení úrovně bezpečnosti.
CRAMM je vysoce ceněn mezi auditory informačních systémů a systémů řízení bezpečnosti informací (ISMS), protože díky své transparentnosti mohou auditoři jednoduše zkontrolovat, že metodika byla aplikována správným způsobem a že byla zajištěna vhodná protiopatření.
CRAMM poskytuje metodiku zdůvodňující výdaje na bezpečnost a havarijní plánování. Tradiční analýzy výdajů a zisků nemohou být vzhledem k neurčité povaze rizika použity pro bezpečnostní a havarijní plánování. Není například možné s určitostí říci, že k nějaké události dojde jednou za daný počet let. Bezpečnostní a havarijní řešení navrhované programem CRAMM představují nejlepší dostupný postup pro systémy nebo sítě, který bere v úvahu podnikové a technické prostředí a stanovené riziko. Při absenci formalizovaných postupů měření nákladů a zisku tak CRAMM poskytuje jedinečný test, díky kterému mohou organizace stanovit přesná a věrohodná bezpečnostní a nouzová řešení. CRAMM je jediný nástroj tohoto typu, který obsahuje rozsáhlý návod pro vhodná bezpečnostní a havarijní řešení vycházející z bohaté zkušenosti odborníků a bezpečnostních specialistů ze soukromého i veřejného sektoru.
V roce 1999 se na základě licenční dohody s britskou firmou Insight Consulting ujala česká společnost Risk Analysis Consultants nelehké úlohy transformovat CRAMM do českého národního jazykového a ekonomického prostředí. Vznikla tak verze CRAMM CZ, která je aktualizována a podporováno touto společností doposud. Verze CZ je užívána kromě ČR také ve Slovenské republice. Od původní anglické verze se liší zejména tím, že veškeré databáze hrozeb a protiopatření jsou přizpůsobeny české legislativě a českému ekonomickému prostředí. Proto nemusí být výstupy z CRAMM dodatečně přizpůsobovány, ale mohou být využívány bez další transformace.
Nevýhody CRAMM
Nástroj CRAMM je vytvořen v prostředí, jehož design odpovídá předchůdcům Windows 95. Zastaralý uživatelský interface rozhodně neposkytuje analytikům pracujícím s CRAMM možnosti, které jsou u ostatních programů v současné době zcela běžné.
CRAMM poskytuje obrovské množství reportů (v různých kombinacích se počítají na stovky), tyto lze upravit pro konkrétní potřeby organizace pomocí exportu do Excelu nebo do Wordu. Umísťovat do dokumentů vlastní design, např. logo organizace apod. je možné, avšak pouze za použití postupů Wordu nebo Excelu.
Nástroj CRAMM je „Single User Licence“ a nelze ho využívat na několika počítačích současně. Unikátnost produktu si vyžaduje zvýšenou ochranu prostřednictvím hardwarových klíčů a z tohoto důvodu je možné, i když je CRAMM nainstalovaný na více počítačích, aplikaci využívat v jednom čase pouze na jednom místě.
Cena CRAMM se počítá v jednotkách statisíc a proto jeho pořízení není levnou záležitostí. Organizace, které se rozhodnou metodiku implementovat do svých procesů řízení rizik, musí investovat nemalé peníze do nákupu metodiky a vyškolení odpovědných pracovníků.
Proškolení analytiků při nákupu metodiky je zásadní pro její následné používání. CRAMM nelze prakticky bez školení používat. I když je metodika velmi dobře popsána v uživatelské příručce, praktické zkušenosti nabyté při školení jsou neocenitelné. Školení však s sebou přináší další nemalé investice.
Pro hodnocení hrozeb a zranitelností je možné využít v CRAMM předpřipravené dotazníky. Z celkového počtu 511 otázek se zpravidla využije 90% v rámci jedné analýzy. Nejednoznačnost otázek i nejasná variabilita odpovědí mohou mít za důsledek nepochopení ze strany respondentů, které může vést k nesprávné odpovědi. O to více nabývá na významu odborná zdatnost a připravenost analytika, který interview vede nebo připravuje respondenty k účasti na vyplňování dotazníků.
Podobná obecnost vedoucí k nejednoznačnosti při realizaci je i u bezpečnostních opatření v knihovně CRAMM. Navíc úroveň detailu není skrze celý seznam jednotná, a tak existují případy, kdy doporučení je možné implementovat jedním zaškrtnutím příslušné volby ve Windows (např. pravidelná změna hesla) a na druhé straně se za jednou větou obsahující doporučen může skrývat celý projekt (např. pro zvýšení bezpečnostního povědomí mezi zaměstnanci).
Profily a jazykové verze CRAMM
CRAMM je v distribuován v několika profilech a jazykových verzích. Profilem se rozumí zaměření CRAMM na určitý typ organizace. S tímto je spojena úprava (např. dotazníků nebo jednotlivých protiopatření) pro potřeby typové organizace.
Aktuální profily CRAMM jsou následující:
- CRAMM Standard Profile – nejpoužívanější profil určený pro komerční i státní organizace. Profil je v anglickém jazyce a je základem pro další jazykové verze.
- CRAMM NATO Profile – speciální profil určený pro řízení rizik ve vojenských systémech Severoatlantické aliance. Profil je v anglickém jazyce. Není přístupný pro komerční organizace a státní organizace, které nepracují s vojenskými informacemi nebo nemají vztah k NATO.
- CRAMM NBP – speciální profil určený pro systémy státní správy České republiky. Profil je v českém jazyce. Není přístupný pro komerční organizace.
Aktuální jazykové verze CRAMM jsou následující:
- CRAMM Standard Profile English
- CRAMM Standard Profile Dutch
- CRAMM Standard Profile Czech
- CRAMM Standard Profile Lithuanian (částečný překlad)
- CRAMM NATO Profile English
- CRAMM NBP Czech
České verze je široce využívána i na Slovensku, kde zatím není potřeba vytvářet vlastní jazykovou mutaci. Vytvoření jazykové verze se netýká pouze překladu aplikace, dotazníků, knihovny protiopatření nebo reportů. Překladem dochází také k úpravě textů a jejich přizpůsobení pro lokální prostředí. Proto například při tvorbě české verze, byla protiopatření týkající se ochrany osobních údajů upravena tak, aby byla v souladu s terminologií příslušného zákona.
Typy analýz CRAMM
Nástroj CRAMM poskytuje uživateli při zahájení práce možnost vybrat si typ analýzy, který bude pro daný účel nejvhodnější. Tři typy analýzy poskytují dostatečnou variabilitu při volbě stylu práce, délky analýzy, objemu vstupů i výstupů apod.
Analýza CRAMM Expert
Detailní analýza CRAMM Expert je základním „modulem“ CRAMM, jehož počátek vývoje spadá do poloviny osmdesátých let. Tato analýza umožňuje analytikovi provádět detailní analýzy rizik informačních systémů a navrhovat protiopatření na pokrytí zjištěných rizik.
CRAMM Expert je rozdělen na 3 fáze, které mají následující cíle a obsah:
- Fáze 1 – identifikace aktiv a vytvoření modelů aktiv, na základě interview s vybranými respondenty stanovení hodnoty aktiv (určit možné dopady na provoz a cíle organizace při jejich ohrožení);
- Fáze 2 – identifikace hrozeb a zranitelností systému a uřčení jejich úrovně, výpočet míry rizika;
- Fáze 3 - návrh protiopatření na pokrytí zjištěných rizik a identifikace jejich stavu, zpracování pokladů pro implementaci protiopatření doporučených k realizaci.
Při provádění hodnocení rizik pomocí CRAMM Expert je nutné detailně popsat celý systém, ohodnotit jednotlivá identifikovaná aktiva a následně hrozby i zranitelnosti. Množství informací je značné a proto jsou tyto činnosti vykonávány v rámci samostatného projektu jehož délka se zpravidla počítá v jednotkách měsíců.
Při sběru vstupů se využívají rozhovory s respondenty, dotazníky a aktuální dokumentace systému včetně bezpečnostní dokumentace. Nároky na lidské zdroje jsou značné a proto bývá metodika CRAMM často kritizována jako nástroj, který pracuje ve vysokém detailu. Tyto negativa částečně eliminuje expresní typ analýzy popsaný dále.
Analýza CRAMM Express
CRAMM Express umožňuje provést analýzu rizik celého systému v průběhu několika hodin a přitom zůstávají původní zásady metodiky CRAMM nedotčeny. Celkový přístup je však velmi zjednodušen, aby analýza mohla být provedena velmi rychle a čas strávený na analýze byl tedy významně kratší. Lze předpokládat, že analýza může být dokončena během jednoho dne včetně zpracování stručné dokumentace.
Postup analýzy je shodný s CRAMM Expert - zjištění hodnoty dat pomocí vodítek hodnocení, rychlé hodnocení hrozeb a zranitelností, stanovení míry rizika a výpočet protiopatření. Aby bylo dosaženo přiměřené jednoduchosti výstupů, generují se pouze protiopatření první ze tří kategorií v knihovně CRAMM. V případě potřeby lze však velmi snadno rozšířit seznam protiopatření o další z nižších kategorií.
Expresní analýzu lze použít také jako rychlou variantu na začátku projektu. Všechny informace a přehledy lze velice snadno převést do CRAMM Expert a pokračovat v detailní analýze.
Hlavními důvody pro vytvoření expresní analýzy byla kritika metodiky CRAMM, že je příliš složitá a zdlouhavá. Kritika se ozývala od uživatelů, kteří používali starší verze CRAMM nebo neprováděli analýzy správně podle metodiky. Mimoto byli uživatelé občas zaskočeni přílišnou detailností zadávaných informací a velkým množstvím funkcí, které CRAMM nabízel. Proto mohli ztrácet souvislosti o tom, které činnosti je nutné provést při detailní analýze rizik podle metodiky CRAMM a které se v jejich konkrétním případě nemusí provádět.
Analýza BS7799 (ISO 27001)
CRAMM poskytuje kompletní podporu pro všechny úlohy normy BS 7799, včetně provádění Analýzy stavu a přípravy Prohlášení o aplikování protiopatření. Tento typ analýzy CRAMM je vhodný, pokud se organizace rozhodne zavést a provozovat ISMS a následně ho certifikovat. V rámci analýzy BS7799 je možné:
- Vytvářet Bezpečnostní politiku organizace, Zprávu o rozsahu ISMS (Information Security Management System), Prohlášení o aplikování protiopatření, dokumenty o systému řízení bezpečnosti
- Provádět hodnocení rizika, jehož výsledky se přímo vztahují k částem obsaženým v normě BS 7799 (ISO 27001);
- Zaznamenávat názory managementu na potřebu určitých typů protiopatření
- Zaznamenávat, které zdroje zajišťují daná protiopatření
- Vytvářet Program zvyšování úrovně bezpečnosti.
Soulad CRAMM se standardy
CRAMM ve své poslední verzi 5.2 mimo jiné v sobě zahrnuje britský standard pro řízení bezpečnosti informací ISO/IEC 27001:2005, dále je v souladu s ISO 14001:1996, ISO 9001:2000, je konzistentní s metodikou řízení projektů PRINCE II a metodologií vývoje informačních systémů SSADM. Česká verze CRAMM byla vytvořena v souladu s požadavky vyhlášky Národního bezpečnostního úřadu č. 523/2005 Sb. a zákona 101/2000 o ochraně osobních údajů v pozdějším znění z roku 2005.
Mezi další zdroje používané při práci s programem CRAMM patří:
- BS 7799 (britská norma pro řízení bezpečnosti informací)
- Celá řada aktuálních nebo budoucích standardů ISO 2700X
- Information Technology Security Evaluation Criteria (ITSEC), Trusted Computer Evaluation Criteria (TCSEC) a Common Criteria
- HMG Manual of Protective Security, obsahující:
- - Guide to Physical Security
- - Guide to Personnel Security
- - HMG Infosec Standards
- Various CESG Memoranda
- CISCO’s White Paper on Setting up Routers
- Fred Cohen’s paper Protecting against Distributed Denial of Service Attacks
- MS Windows XP Security Guide
- Unix Security Checklist.
Certifikace analytiků pro práci s metodikou CRAMM
Analytici, kteří chtějí prokázat, že metodiku i nástroj ovládají, mohou projít testem a dostat certifikát Certified CRAMM Analyst. Certifikace je určena všem odborníkům na řízení rizik pomocí metodiky a nástroje CRAMM a poskytuje záruku za kvalitu vyškoleného pracovníka. Je určena pro všechny zájemce, kteří mají praktické zkušenosti a nabyli teoretických znalostí například při účasti na přípravných školeních. Certifikace probíhá formou testu složeného ze 40 otázek. Pro úspěšné složení zkoušky je nutné odpovědět správně min 75% testu v čase 60 minut.
Kdy provádět analýzy CRAMM
CRAMM může být použit, kdykoli je nezbytné zjistit bezpečnost nebo požadavky pro nepředvídané události informačního systému nebo sítě. To může nastat:
- během strategického plánování nebo studie proveditelnosti, kde může být vyžadována hrubá analýza rizik pro stanovení obecných bezpečnostních a havarijních požadavků a s nimi spojených nákladů;
- během obchodních analýz, kdy může nastat potřeba prošetřit bezpečnostní a výjimečné otázky spojené s každou obchodní alternativou;
- během technických analýz, kde může nastat potřeba prošetřit technické bezpečnostní a mimořádné otázky spojené s každou alternativou;
- před ostrým provozem, aby se zajistilo, že byla zajištěna všechna požadovaná fyzická, procedurální, personální a technická bezpečnostní protiopatření;
- kdykoli během ostrého provozu, kdy je zájem o bezpečnostní a mimořádné otázky, například jako odpověď na nové nebo zvýšené riziko nebo po porušení bezpečnosti;
CRAMM je možné také začlenit, případně využít při:
- jako část pravidelného programu řízení bezpečnosti;
- jako část pravidelného auditního programu;
- jako část programu řízení změn.
Jelikož se obchodní požadavky, systémové konfigurace, rizika a hrozby mohou změnit, je zpravidla doporučeno, aby analýzy CRAMM byly aktualizovány alespoň jednou do roka.
Potřeba použití CRAMM
Zjištění správných bezpečnostních a nouzových řešení pro informační systémy nebo sítě je složitým problémem, a to z několika důvodů:
- existuje široké spektrum rizik, která mohou ohrozit bezpečnost informačního systému nebo sítě;
- je velmi obtížné změřit úroveň rizika (pravděpodobnost napadení nebo jiné nehody);
- je obtížné zjistit zranitelnosti (slabiny);
- existuje široká řada možných řešení bezpečnostních a mimořádných otázek pro různé podnikatelské činnosti a pro různá technická prostředí, každé s jinými aplikacemi a náklady;
- zavedením protiopatření pro jeden okruh rizika mohou vzniknout nová rizika;
- odpovídající bezpečnost a zvládnutí nepředvídatelných událostí vyžaduje vyvážený přístup k technickým, personálním, fyzickým a procedurálním problémům.
Kvůli složitosti problému bezpečnosti informací a sítí nemůže být jedna osoba odborníkem ve všech zmiňovaných oblastech. I když má jeden člověk značné zkušenosti a odborné znalosti, rychlý vývoj a neustálé změny informačních systémů a sítí kladou stále vyšší požadavky na omezené zdroje. Proto existuje objektivní potřeba pro ověřenou metodiku, jako je CRAMM, která by sloužila jako podpora procesům řízení bezpečnosti informací.