选择企业组织IT风险评估框架需要遵循“合适是最好的”适当的风险评估框架和方法可以帮助其消除原则IT疑虑。基于用户反馈,企业组织可以重点关注NIST RMF、OCTAVE、COBIT、TARA和FAIR这五个风险评估框架,每个框架都有自己的特点和适用场景。
NIST RMF
美国国家标准与技术研究院(简称国家标准与技术研究院)“NIST”)风险管理框架(以下简称“RMF”),它提供了将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的过程。它可以应用于包括物联网在内的任何类型的系统或技术(IoT)无论其规模或部门如何,以及任何类型的企业组织。
NIST RMF七步是:
- 准备包括为企业组织和管理安全和隐私风险做准备的必要活动。
- 基于影响分析处理、存储和传输的分类系统和信息。
- 根据风险评估选择一组NIST SP 800-53控制和保护系统。
- 实施、部署控制系统并记录其部署方法。
- 评估,确定控制系统是否到位,是否按预期运行,并产生预期结果。
- 授权,高级管理人员根据风险决定授权系统运行。
- 监控包括持续监控系统的实施和系统风险。
NIST RMF许多工具可以根据企业组织的需要进行定制,并架进行评估和更新,许多工具该标准。值得注意的是,IT专业人员“在部署NIST RMF要明白,它不是一种自动化工具,而是一种需要严格遵守纪律才能正确建模风险的文件框架。”框架与一套相关NIST支持实施风险管理计划的标准和指南,以满足美国联邦信息安全现代化法案(FISMA)的要求。
OCTAVE
OCTAVE卡内基梅隆大学的计算机应急小组运营关键威胁、资产和漏洞评估)(CERT)开发是识别和管理信息安全风险的框架。从物理、技术和人力资源的角度来看,可以识别企业组织的关键任务资产,发现威胁和漏洞。
通过识别信息资产、威胁和漏洞,企业组织可以了解哪些信息面临风险,并设计和部署降低整体风险的策略。OCTAVE部署可能比较复杂,只能定性量化。目前有两个版本OCTAVE:一个是OCTAVE-S,这是一种简化方法,专门为具有扁平层次结构的小企业组织设计。另一个是OCTAVE Allegro,适用于结构复杂的大型企业组织,是一个更全面的框架。OCTAVE允许操作团队和IT团队合作解决企业组织的安全需求。
COBIT
COBIT(即信息及相关技术的控制目标)ISACA(国际信息系统审计协会)IT管理和治理的框架。以业务为中心,以业务为中心IT管理定义了一组通用流程,将流程输入输出、关键活动、目标、绩效测量和基本成熟度模型相结合。一位业内人士表示,“COBIT它是解决企业组织信息和技术治理管理的模式。虽然其主要目的不是针对风险,但它整合了整个框架中的各种风险实践,并引用了世界公认的多个风险框架。”
COBIT是“与 IT 管理流程与政策执行一致的高级框架,”安全软件提供商趋势科技首席网络安全官,美国特勤局CISO Ed Cabrera表示,“挑战在于COBIT成本高,实施需要高知识和技能。”据ISACA介绍,最新版本COBIT 2019年提供了更多的实施资源、指导和意见,以及全面的培训机会。它将更加灵活,使企业组织能够通过框架定制IT治理。
TARA
根据网络安全公司MITRE的定义,TARA(威胁评估和补救分析)是一种用于识别和评估网络安全漏洞并部署对策来缓解网络安全漏洞的工程方法。TARA它是一种实用的方法,在考虑缓解措施的同时确定关键风险。它的独特之处包括使用目录存储的缓解映射方法,为给定的攻击向量范围提前选择可能的对策,并根据风险容忍度提供对策。
该框架是MITRE系统安全工程(SSE)实践组合的一部分。MITRE方面表示,“TARA评估方法可以描述为联合交易研究,第一笔交易是基于评估的风险识别和攻击向量的排列,第二笔交易是基于评估的效用、成本识别和选择对策。”
FAIR
FAIR(信息风险因素分析)是对风险因素及其相互关系进行分类的方法。框架由 组成Nationwide Mutual Insurance前首席信息安全官Jack Jones开发主要是为数据丢失事件的频率和范围建立准确的概率。
FAIR它不用于企业组织或个人风险评估,但它为企业组织提供了一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类方法、信息风险术语的标准化命名方法、建立数据收集标准的方法、风险因素的规模、评估风险的计算引擎和分析复杂风险情况的模型。
FAIR这种务实的风险框架为评估企业组织风险提供了坚实的基础,是为信息安全和运营风险提供可靠定量模型的少数方法之一。然而,尽管FAIR它提供了对威胁、漏洞和风险的全面定义,但没有很好的记录,因此很难实施。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章