Концепція ARІS заснована на ідеї інтеграції, що є складовою частиною комплексного аналізу бізнес-процесів. Перший крок при створенні архітектури складається в розробці моделі бізнесу-процесу, що описує всі його основні функції. Отримана в такий спосіб надзвичайно складна модель розділиться на підмоделі, або типи моделей, відповідно до типів представлення. Це дозволяє істотно знизити ступінь її складності. Зміст типів моделей може бути описаний методами, призначеними для конкретного типу представлення. Численні взаємозв'язки між типами моделей при цьому не враховуються. Згодом ці взаємозв'язки інкорпоруються в загальну модель для аналізу всього.

Другим підходом, що зменшує складність моделі бізнесу-процесу, є аналіз кожного типу моделей на різних рівнях. Відповідно до концепції моделі життєвого циклу різні методи опису інформаційних систем диференціюються по ступені їхньої близькості до інформаційних технологій. Це гарантує цілісність опису на всіх етапах, починаючи від проблем керування бізнесом до технічної реалізації інформаційної системи.

Архітектура ARІS створює основу для розробки й оптимізації інтегрованих інформаційних систем, а також для опису їхньої реалізації. Вибір рівнів і типів описів формує архітектуру ARІS, що використається як модель для побудови процесів, пов'язаних з керуванням бізнесом, їхнього аналізу й оцінки.

3. ЗМІСТ ВХІДНИХ І ВИХІДНИХ ІНФОРМАЦІЙНИХ ОБ'ЄКТІВ

1. Неформалізовані знання співробітників організації містять у собі колективні знання, уміння, навички й здатності співробітників організації, які сприяють більш глибокому розумінню ресурсів, поточних вимог безпеки й процедурних уразливостей. Носіями знань є співробітники з різних підрозділів організації - керуючі, інженерно-технічний склад і т.п., а також керівники різних рівнів управління.

2. Неформалізовані знання членів групи аналізу містять у собі колективні знання, уміння, навички й здатності членів групи аналізу та будь-яких інших осіб, які додатково залучаються до роботи для виконання окремих дії.

3. Неформалізовані знання інженерно-технічного складу ІТ-підрозділів - спеціальні колективні знання, уміння, навички й здатності співробітників ІТ-підрозділи, які беруть ключову участь при виконанні дій 2-й фази. Ці особи мають глибоке розуміння ІТІ організації, а також проблем забезпечення безпеки інформації в ІТС.

4. Ресурси (ОР 1.1_1)

{Ресурси}={інформація}{системи}{програмне забезпечення}{апаратне забезпечення}{люди}

"Ресурси" - перелік інформаційних активів, а також пов'язаних з ними інших ресурсів організації. Активи - це щось, що представляє цінність для організації. Визначимо наступні категорії активів.

Інформація - задокументовані дані в електронному або паперовому виді або інтелектуальні активи, які використовуються для досягнення місії (стратегічної мети) організації.

Системи - ІТС призначені для обробки й зберігання інформації. Система є сукупністю інформаційних об'єктів (активів), програмного й апаратного забезпечення. Любий хост, клієнт або сервер може бути розглянутий як система.

Програмне забезпечення - програмні додатки й послуги (служби) (ОС, СУБД, мережні ПО, офісні додатки, додатки користувачів й т.д.)

Апаратне забезпечення - фізичні пристрої інформаційних технологій (робочі станції, сервера, мережне обладнання й т.д.)

Люди - співробітники організації, включаючи їх знання, уміння, навички й досвід.

5. Дані про організації - дані які включають:

- структуру організації;

- задокументовану політику й процедури забезпечення безпеки інформації в організації.

6. Нормативні й правові вимоги - закони й інші нормативно-правові акти, документи, які визначають законні зобов'язання організації відносно безпеки.

7. Еталонна модель практики безпеки - модель практичної діяльності по забезпеченню безпеки інформації на основі якої формується нормативна модель практики безпеки.

8. Нормативна модель практики безпеки - модель формування шляхом модифікації еталонної моделі, і в відповідність якої здійснюється оцінка поточного стану практичної діяльності по забезпеченню безпеки інформації в організації.

9. Поточні стани практики безпеки - оцінка поточного стану практичної діяльності по забезпеченню БІ в організації. Містить у собі процеси й процедури по забезпеченню БІ, які в даний момент представлені, реалізовані й підтримуються в організації.

10. Поточні процедурні уразливості - недоліки в організації проведення заходів (робіт) по забезпеченню БІ, наявність яких сприяє реалізації неавторизованих дій. Уразливості вказують або на відсутність, або на неадекватність заходів безпеки.

11. Критичні активи - активи, які прийнято вважати найбільш важливими активами для організації (добавився новий атрибут - критичності). Організації може бути нанесений значний збиток якщо властивості безпеки (або вимоги безпеки) даних активів будуть порушені.

12. Вимоги безпеки для критичних активів - вимоги безпеки для критичних активів підкреслюють якість їх, які є важливими для організації. Вимоги безпеки звичайно включають: конфіденційність, цілісність, доступність.

13. Еталонний профіль погроз - еталонний профіль погроз визначає діапазон загальних погроз, які повинні бути розглянуті для кожного критичного ресурсу.

14. Профіль погроз для критичного активу - визначає діапазон погроз, які можуть вплинути на критичний актив. Профіль погроз містить категорії, які згруповані відповідно до джерел погроз. Атрибут погроз:

{Погроза}={актив}{доступ}{фактор}{мотив}{результат}

15. Поточна топологія мережі - документи, що відбивають логічну й фізичну схему мережі й визначають взаємозв'язок системних і мережних компонентів.

16.Технологічна інформація - докладна інформація про ІТІ організації:

- сервери;

- компоненти безпеки;

- доменна структура;

- автоматизовані функції, завдання;

- і т.д.

17. Компоненти ІТІ, які підлягають обстеженню - компоненти, які обрані для обстеження й оцінки. Дані компоненти оцінюються на наявність технологічних уразливостей.

18. Обрані підходи для оцінки кожного компонента ІТІ - підходи, які вибрані для оцінки компонентів ІТІ й установлюють вимоги для обсягу оцінки уразливостей. Підхід повинен обов'язково встановлювати:

- хто буде виконувати оцінку;

- які засоби аналізу й оцінки уразливостей будуть використовуватися.

19. Ключові класи компонентів - типи пристроїв, які відіграють важливу роль при обробці, зберіганні й передачі критичної інформації. Ресурси пов'язані із критичними активами. Визначимо наступні типові класи:

- сервера - хости усередині ІТІ організації, які надають ІТ-служби в організації;

- мережні компоненти - пристрої важливі для мережі організації;

- засобу захисту - пристрої, які в якості основної функції має яку-небудь функцію безпеки (наприклад файервол);

- робочі станції - хости в мережі організації, які співробітники використовують для виконання своїх службових обов'язків;

- домашні комп'ютери - домашні ПК, які співробітники організації можуть використовувати для віддаленого доступу до мережі організації й інформаційних ресурсів;

- мобільні комп'ютери - комп'ютери, які співробітники організації можуть використовувати для віддаленого доступу до інформації через мережу організації;

- пристрої зберігання - пристрої на яких забезпечується зберігання інформації з метою резервування;

- бездротові компоненти - пристрої, які співробітники організації можуть використовувати для доступу до інформації (наприклад електронна пошта);

- інші - будь-які інші типи пристроїв, які можуть бути частиною сценарію погроз, але не ввійшли в перераховані вище класи.

20. Каталог уразливостей - множина уразливостей різних платформ і додатків, розміщених у спеціальній базі. Він використовується для оцінки технологічних уразливостей ІТІ організації.

21. Технологічні уразливості - слабості (недоліки) у системах, які безпосередньо ведуть до реалізації неавторизованих дій. Технологічні уразливості представляються й застосовуються до мережних служб, архітектурі, операційним системам і додаткам. Типи уразливостей: конструкції, реалізації, конфігурації.

22. Попередні пропозиції по технологічним уразливостям. Підсумкові пропозиції містять наступну інформацію з кожного оцінюваного компонента ІТІ:

- кількість уразливостей, які підлягають негайному усуненню (високий рівень);

- кількість уразливостей, які підлягають усунення найближчим часом (середній рівень):

- кількість уразливостей, які підлягають усунення в останню чергу (низький рівень).

23. Підсумкові пропозиції щодо технологічних уразливостей. Додатково до інформації, що втримується в попередніх пропозиціях, підсумкові пропозиції містять специфічні дії про рекомендації з усунення виявлених уразливостей.

24. Відновлення профілю погроз для критичних ресурсів.

25. Опис збитку від реалізації погроз критичним ресурсам - опис збитку визначає ефект (результат, наслідки) реалізації погроз для місії організації й цілей (завдань) організації.

26. Імовірнісні характеристики погроз критичним ресурсам - описують мотиви, засоби й умови для людини, що використовують або мережний або фізичний доступ; поєднують будь-яку "історію" всіх типів погроз; ураховує будь-які незвичні поточні умови, які можуть вплинути на погрози.

27. Критерії оцінки збитку - множина якісних (кількісних) мір (показників) відповідно до яких здійснюється оцінка ризиків. Критерії визначають високий, середній і низький рівні збитку для організації. Звичайно розробляються критерії для наступних сфер:

- репутація/довіра споживачів;

- безпека/здоров'я;

- штрафи/санкції;

- фінансовий збиток;

- ефективність.

28. Критерії оцінки ймовірності - множина мір (показників) відповідно до яких здійснюється оцінка ризику. Критерії визначають зміст високої, середній і низький імовірності для погроз критичним ресурсам.

29. Величина збитку від погроз для критичних активів - якісна оцінка (низького, середнього або високий) збитку, що може бути нанесений організації в результаті реалізації погрози.

30. Значення ймовірності погроз - кількісна оцінка (низький, середній, високий) імовірності настання загрозливої події.

31. Ризик-профіль для критичних ресурсів - визначає діапазон ризиків, які можуть вплинути на ресурс. Основними складовими ризику-профілю є:

- профіль погроз для критичних ресурсів;

- вимоги безпеки для критичних ресурсів;

- опис збитку від реалізації погрози із профілю погроз;

- величина збитку від реалізації погрози;

- компоненти ІТІ, які підлягають обстеженню;

- підсумковий результат по технологічним уразливостям для кожного дослідженого компонента.

Крім того:

- імовірнісні характеристики погроз;

- значення ймовірності погроз.

32. Проект стратегії безпеки (концепції й політики безпеки). Проект визначає основні напрямки діяльності організації для організації реалізації й підтримки робіт із забезпечення БІ. Проект містить пропозиції групи аналізу для керівництва організації.

33. Проекти планів усунення ризиків (або захисту). Проект містить дії по усуненню виявлених ризиків з метою зменшення ризиків критичним ресурсам організації. Проект містить пропозиції групи аналізу для керівництва організації. Плани мають тенденцію до інтегрування з діями або контрзаходами, розробленими для запобігання конкретних погроз. Дії визначаються відповідно до нормативної моделі практичної діяльності.

34. Стратегія (концепція й політика) безпеки - визначає основні напрямки й стратегію, що реалізує організація для забезпечення безпеки організації. (Затверджені керівництвом.)

35. Плани усунення ризиків (план захисту) - містить конкретні дії спрямовані на зниження ризиків критичним ресурсам.

36. Наступні дії - визначають, що збирається робити організація в плані реалізації результатів оцінки. Звичайно даний інформаційний об'єкт включає:

- що збирається виконувати організація для реалізації результатів оцінки;

- що збирається робити старші керівники для поліпшення безпеки в організації;

- чи існують які-небудь подальші дії для поліпшення безпеки, які необхідно розглянути;

- які підходи буде застосовувати організація в майбутньому для процесів оцінки.

4. СТРУКТУРА КРИТЕРІЇВ OCTAVE

Під критеріями в OCTAVE розуміють сукупність принципів, атрибутів і виходів.

Для моделювання в АРІС фази методу позначимо як функції (процеси), вихід це товар або послуга, що забезпечує досягнення мети (це для функції вхід, якщо стрілка направлена на функцію та результат, якщо навпаки). Будемо використовувати події, які являють собою зміну в навколишньому світі в результаті виконання процесу.

Принципи це фундаментальні концептуальні точки зору, які визначають природу оцінки. Вони визначають філософію процесів оцінювання.

Вимоги до оцінки відображуються в атрибутах і результатах. Під атрибутами розуміють різні якісні ознаки або характеристики процесів оцінки. По суті атрибути визначають базові елементи підходу й визначають, що необхідно виконати для успішної оцінки. Атрибути визначаються принципами.

Вихід це потрібний результат по кожній функції процесу оцінювання. Вони визначають кінцевий результат, що повинен бути отриманий аналітиками по кожній функції.

4.1 Принципи