home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / HACKING / RISKTOOL.TXT < prev    next >
Text File  |  1994-07-17  |  34KB  |  964 lines
  1.           RISK MANAGEMENT RESEARCH LABORATORY OVERVIEW
  2.  
  3.  
  4. The National Institute of Standards and Technology (NIST) and the
  5. National Computer Security Center (NCSC) have cooperatively
  6. established a Risk Management Research Laboratory located at the NIST
  7. facilities in Gaithersburg, MD.
  8.  
  9. The primary objective of the laboratory is to conduct research in risk
  10. management techniques and methodologies.  As part of this endeavor,
  11. risk management software products will be surveyed to determine their
  12. applicability to different agency environments.  A demonstration
  13. capability is also planned.  Although official product evaluations
  14. will not be conducted, reports outlining the characteristics and
  15. capabilities of products surveyed will be prepared.
  16.  
  17. An additional goal of the laboratory is to develop and publish
  18. guidance on currently available risk management methods.  We plan to
  19. develop a "standard" test case for use in the laboratory.  The test
  20. case will provide a focal point for controlled analysis and
  21. documentation.  It is further planned to develop data on computer
  22. security incidents for estimating threat frequencies, vulnerabilities,
  23. losses, direct and indirect impacts, etc.
  24.  
  25. A longer range goal of the laboratory is to develop and validate a
  26. formal framework for analyzing, developing, and implementing risk
  27. management methods.  We will be looking for methods of risk management
  28. which could be economically employed across a broad spectrum of
  29. computer environments and upon which standards could be based.  It is
  30. intended that workshops will be organized to evaluate current and
  31. future technology for this purpose.
  32.  
  33. Technical contributions and comments are welcome from interested
  34. parties from both the public and private sectors.  The point of
  35. contact for the laboratory is Irene Gilbert (NIST), 
  36. (301) 975-3360.
  37.                   Application Control Matrix
  38.  
  39. Methodology. Matrix approach. This methodology presents application
  40. controls, control objectives, and risks in a mate format. The matrix
  41. provides a summary of the security environment which allows the user
  42. and auditor to quickly view where added safeguards are needed.  A data
  43. base of controls from which to make selections is included in this
  44. software package.
  45.  
  46. Hardware Requirements.
  47.  
  48. - IBM PC or compatible.
  49. - Two diskette drives or one diskette drive and a fixed drive.
  50.  
  51. Operating System.
  52.  
  53. - MS-DOS Version 2.0 or later.
  54.  
  55. Laser Interface~ease of Use.
  56.  
  57. - Menu-driven.
  58. - Online HELP facility.
  59.  
  60. Documentation and Training.
  61.  
  62. - User Manual.
  63.  
  64. Developer/Vendor. Nander Brown & Co., Reston, VA (202) 653-6646.
  65. Remarks.
  66. Government agencies may obtain copies of this software at no charge.
  67.            BDSS (Bayesian Decision Support System).
  68. Methodology.  Quantitative/Qualitative.  BDSS is programmed to gather
  69. tangible and intangible asset valuation data and to ask questions that
  70. assess potential risks using quantitative data bases provided by the
  71. vendor.  The user can include site-specific threat experiences which
  72. the algorithms will process along with the quantitative knowledge
  73. base. Threats, vulnerabilities, asset categories, and selected
  74. safeguards are automatically mapped and cross-mapped to each other. 
  75. system ranks threats before and after the implementation of safeguards
  76. so that the representation of comparable exposure to loss may be
  77. examined. The analysis results are typically displayed graphically
  78. with risk curves based on dollar loss values and probability of loss
  79. coordinates. The central algorithms of BDSS are based on Bayes'
  80. Theorem addressing uncertainty and statistical methods. BDSS software
  81. produces a variety of printed reports as well as ASCII files that may
  82. be exported to the user's word processor.  The vulnerability analysis
  83. feature of the BDSS application also provides a stand-alone
  84. qualitative presentation of safeguard system weaknesses.
  85.  
  86. Hardware requirements.
  87.  
  88. - IBM PC/AT or compatible.
  89. - 640KB memory.
  90. - 20MB fixed drive and one diskette drive.
  91. - Graphics card (CGA/EGA)
  92.  
  93. Operating System.
  94.  
  95. - MS-DOS Version 3.0 or later.
  96.  
  97. User Interface/Ease of Use.
  98.  
  99. - Menu driven.
  100.  
  101. Documentation and Training:
  102.  
  103. - User manual.
  104. - Training is not included with purchase but may be provided 
  105.   upon request.
  106.  
  107. Developer/Vendor.  Ozier, Perry & Associates developed BDSS in a joint
  108. venture with Pickard, Lowe and Garrick, Inc. of Newport Beach, CA and
  109. Washington, DC. For further information regarding the software contact
  110. Ozier, Perry & Associates, San Francisco, CA; (415) 989-9092
  111.  
  112. Remarks.                            BUDDY SYSTEM
  113.  
  114. Methodology. Qualitative. The Buddy System is an automated risk
  115. analysis methodology for microcomputer environments and comprises two
  116. components: (1) countermeasures survey and (2) security analysis and
  117. management (SAM). This software package assesses the level of
  118. vulnerability based on safeguards already in place. The level of
  119. information being processed on the system determines whether or not
  120. the assessed level of vulnerability is acceptable. Recommendations for
  121. corrective action are provided for each vulnerability that falls
  122. outside of the acceptable range through the use of on-line "what if'
  123. scenarios.  A data base containing over 100 safeguards is included in
  124. this software package. Further, the Risk Management component of the
  125. system allows the analyst to track recommended corrective action
  126. implementations for reports and/or follow-up procedures.
  127.  
  128. Hardware Requirements.
  129.  
  130. - IBM PC or compatible.
  131. - 256KB memory.
  132. - 10MB fixed drive and one 360K diskette drive.
  133.  
  134. Operating system.
  135.  
  136. - MS-DOS Version 2.0 or later.
  137.  
  138. User Interface/Ease of Use.
  139.  
  140. - On-line HELP facility.
  141.  
  142. Documentation and Training.
  143.  
  144. - User manual.
  145. - One-day on-site training course.
  146. - Training component built into the software to increase security
  147.   awareness.
  148.  
  149. Developer/Vendor: Countermeasures, Inc., Hollywood, MD; (301) 373-
  150. 5166.
  151.  
  152. Remarks.
  153.  
  154. - Optional Maintenance Utility allows the user to customize the
  155.   software.
  156. - Report and screen formats can be edited with standard DOS
  157.   editor.
  158.          CONTROL MATRIX METHODOLOGY FOR MICROCOMPUTERS
  159.  
  160. Methodology.  Matrix approach. This software provides a matrix
  161. approach for designing controls into microcomputer system
  162. environments.  It identifies which controls are necessary to ensure
  163. adequate security in business or scientific systems.  The software
  164. package contains four separate systems.
  165.  
  166. Package 1 (Designing Controls into Computerized Systems) is an
  167. educational tool that teaches the user how to design and develop a
  168. control matrix.
  169.  
  170. Package 2 (Risk Ranking the Matrix) teaches the use of Delphi and
  171. Comparison Risk Ranking techniques to rank threats and their controls.
  172.  
  173. Package 3 (Automated PC-Based Control Matrix Design) is a control
  174. matrix development package that contains a database of controls plus
  175. separate databases of threats and computer system components. This
  176. package allows one to draw a draft matrix, search the controls
  177. database and move relevant controls to a matrix controls list.
  178.  
  179. Package 4 (Show Text Presentation Graphics) is used to draw the final
  180. matrix resequencing threats, components, and controls.
  181.  
  182. Hardware Requirements.
  183.  
  184. - IBM PC or compatible or IBM Personal System/2.
  185. - 384KB memory.
  186. - Two diskette drives or 10MB fixed disk.
  187. - Graphics capability.
  188.  
  189. Operating system.
  190.  
  191. - MS-DOS Version 2.0 or later.
  192.  
  193. User Interface/Ease of Use.
  194.  
  195. - A demo diskette provides a ten minute introduction to the
  196.   matrix concept of designing controls into computerized systems.
  197.  
  198. Documentation and Training.
  199.  
  200. - User manual.
  201. - Automated course.
  202. - One or two day on-site training upon request.
  203.  
  204. Developer/Vendor. Jerry Fitzgerald & Associates, Redwood City, CA
  205. (415) 591-5676
  206.  
  207. Remarks.
  208.  
  209.      CRAMM (CCTA Risk Analysis and Management Methodology)
  210.  
  211. Methodology:  Qualitative.  CRAMM is a risk analysis tool developed by
  212. the British government and BIS Applied Systems Limited.  CRAMM is
  213. composed of three stages, each supported by questionnaires and
  214. guidelines. The primary function of Stage 1 is the valu