Метод OCTAVE
Метод оцінки ризиків OCTAVE передбачає певну ступінь залученості власника інформації в аналіз. Необхідно знати, що з його допомогою відбувається швидка оцінка критичних загроз, визначення активів і виявлення слабких місць у системі захисту інформації. OCTAVE передбачає створення компетентної групи аналізу, безпеки, яка включає використовують систему працівників компанії та співробітників інформаційного відділу. OCTAVE складається з трьох етапів:
- Спочатку відбувається оцінка організації, тобто група аналізу визначає критерії оцінки збитку, а згодом — і ризиків. Виявляються найважливіші ресурси організації, оцінюється загальний стан процесу підтримки IT-безпеки в компанії. Останній крок полягає в ідентифікації вимог безпеки і визначення переліку ризиків.
- Друга стадія полягає в комплексному аналізі інформаційної інфраструктури компанії. Наголос робиться на швидке і злагоджену взаємодію між співробітниками і відділами, які відповідають за дану інфраструктуру.
- На третій стадії проводиться розробка тактики забезпечення безпеки, створюється план по скороченню можливих ризиків та захисту інформаційних ресурсів. Також оцінюється можливий втрат та ймовірність реалізації загроз, а також встановлюються критерії їх оцінки.
