正式的风险评估方法试图在评估IT风险时进行猜测。这里是对四个这样的框架的真实反馈:OCTAVE、FAIR、NIST RMF和TARA。
对许多组织来说,评估和管理风险是一项高优先级的工作,并且考虑到信息安全漏洞的混乱状态以及需要遵守如此多的法规,这是一个巨大的挑战。
一些正规的IT风险评估框架已经出现了多年来帮助指导安全和风险管理人员完成整个过程。这些包括:
下面就来看看这些关键框架和一些自己的长处和弱点,重点在输入从那些谁在真实世界设定中使用它们。
八度音阶
八度(操作上致命的威胁,资产和漏洞评估),在CERT协调中心在卡内基梅隆大学开发,是基于风险的信息安全战略评估和规划一套工具,技术和方法。
OCTAVE将资产定义为人员、硬件、软件、信息和系统。共有三种模式,包括最初的模式。CERT说,最初的模式构成了八度音阶知识体系的基础,面向员工人数在300人以上的组织;八度音- s,与原来类似,但针对的是安全及风险管理资源有限的公司;和八维快板(OCTAVE-Allegro),一种精简的信息安全评估和保证方法。
该框架是建立在八度的标准,一个标准化的方法,以风险为导向和实践为基础的信息安全评估。这些标准确立的基本原则和风险管理的属性。
另请参阅SCAP如何将理智引入漏洞管理
八度音的方法有几个主要特点。其中之一是,他们是自我导向:在各业务部门人员组成的小团队和IT共同应对组织的安全需求。另一个原因是,他们正在设计灵活。每种方法都可以定制,以满足企业的特定风险的环境中,安全需求和技术水平。第三个是八度音阶的目标移动组织对在商业环境中的安全性和地址技术的工作基于风险的观点。
在八度音程的优势是,它是彻底的和有据可查的布鲁克保罗,在美国金融集团在资本情报董事总经理,前CSO说。“谁把它在一起的人是非常熟悉,”保罗,谁评估客户的框架说。“这是围绕一段时间,是非常明确和免费提供的。”
在HDR,建筑和工程公司的安全系统分析师Ron WOERNER说,由于该方法是自我导向的,容易修改,它可以用来为基础的风险评估部件或过程其他危险方法。WOERNER说,他用八度,文博会等方法的混合体。
“原来OCTAVE方法使用一个小的分析团队涵盖IT和业务部门的成员。这促进了对任何风险,发现协作和提供商业领袖[有]洞察这些风险,” WOERNER说。“要想成功,风险评估和管理过程中必须有合作。”
此外,八度“的外观从身体,技术和人员的观点的信息安全风险的各个方面,” WOERNER说。“如果你花时间去学习的过程中,它可以帮助您和您的组织,以更好地了解其资产,威胁,脆弱性和风险。然后,您可以就如何处理这些风险更好的决策。”
专家说,八度的缺点之一是它的复杂性。“当它运,我们花了几个小时试图理解它是什么,这个方案打算为我们做了,”亚当赖斯,全球CSO和Tata Communications公司,通信服务提供商的管理安全服务副总裁。
赖斯说:“我花了很多时间试图理解这个方法,因为我不是很清楚。”“任何花费大量时间的东西都会减少它的使用。”
Paul补充说,八度音阶的缺点是它不允许组织对风险进行数学建模。他说:“这是一种定性的方法,就像现在大多数可用的方法一样。”
公平
由杰克·琼斯,全美互助保险,FAIR(信息风险的因素分析)的前首席信息安全官倡导的是理解,分析和测量信息风险的框架。据琼斯,信息安全实践迄今一般都在帮助企业有效地管理信息风险不足。
琼斯指出,这很大程度上依赖于从业者的直觉和经验、行业知识和最佳实践。虽然这些都是有价值的,但它们并不能一直让管理层做出有效、明智的决策。
FAIR旨在解决安全实践的弱点。该框架旨在使企业能够谈论风险同一种语言;运用风险评估,以任何物体或资产;查看总组织风险;保卫或使用先进的分析挑战风险的决心;和了解时间和金钱会影响到企业的安全配置文件。
该框架的组件包括信息风险的分类、信息风险术语的标准化命名法、建立数据收集标准的框架、风险因素的度量标准、计算风险的计算引擎和分析复杂风险场景的模型。
全国信息风险管理(IRM)团队使用FAIR进行风险评估。“公平的方法使我们的IRM专业人员能够以一致的方式进行风险评估,”Chris Hayes说,他是风险建模和优化的全国顾问。
另一个好处是使用的通用语言。白话使IRM团队和IT人员和业务线谈论一致的方式风险公平,海斯说。“最终,我们要谈论暴露任何给定的发现对我们的公司,”他说。“更以业务为中心的谈话是,特别是当我们在货币曝光的更有意义的讨论变得,这将有利于更有效的决策方面谈。”
保罗,谁在他的咨询实践中使用的公平性,为客户风险评估的一部分,说的框架的优点之一是它不使用顺序尺度,比如一到10名的排名,因此“不受到以序尺度去的局限性,”保罗说。“例如,‘高,中,低’是顺序量表的一个例子,如‘红色,黄色和绿色’和‘一个,两个和三个’。我们不会开始想象我们可以添加或乘两个中值,也不会大家相加或相乘黄加绿。然而,我们看到在我们这个行业很多风险计算方法,做到这些,当他们使用加法和/或乘法数字序尺度“。
FAIR使用美元估计损失和威胁和漏洞的概率值。结合一系列的数值和信心水平,它允许对损失风险进行真正的数学建模,保罗说。
另请参阅安全和商业:金融基础
另一个好处是,博览会已更详细的威胁,脆弱性和风险的定义,保罗说。“大部分的方法都有定义,但在该级别停止,”保罗说。FAIR有一个分类,打破了在更细化的级别的条款。
“分类法使我们能够更轻松,更可信,我们如何得出我们的结论形容,”保罗说。“这是在证明严谨性和缓解当时的印象是,我们的专业不理解风险有用或[FUD]的基础的建议。”
至于缺点,FAIR可能很难使用,它不是作为有案可稽倍频程,保罗说。“这不是那么容易上手,你可以下载大量的信息约八度,”他说。“这一切都非常彻底地放在一起,容易让你迅速上手。FAIR缺乏这一点。”
海耶斯援引公平的缺点无法获得的约方法论和方法论是如何应用的实例的最新信息。“创意搜索会产生一些成果,但方法本身仍然感觉地下,”他说。
NIST RMF
NIST RMF(国家标准和技术协会的风险管理框架)概述了一系列与管理组织风险相关的活动。根据NIST的说法,这些可以应用于新的和遗留的信息系统。活动包括:
分类信息系统,并根据影响这些系统内的信息。
根据联邦信息处理标准(FIPS) 199安全分类和FIPS 200中定义的最低安全需求,为系统选择一组初始安全控制。
在系统中实现安全控制。
采用适当的方法和程序,以确定哪个控件被正确执行,如预期相对于满足该系统的安全性要求进行操作并产生所希望的结果的程度评估安全控制。
授权基于风险的决心,组织业务和资产的信息系统操作,或者从系统的运行,而这风险是可以接受的决定所产生的个人。
监测和评估在连续的基础上在信息系统中选择安全控制,包括记录更改系统,进行的相关改变安全影响进行分析和报告系统的安全状态,以适当的组织官员定期。
“这不仅是框架,评估风险有价值的,它是在管理这些风险非常宝贵的,”露丝Horaczko,风险评估实践的领导者和林登集团的IT和业务咨询的咨询公司的IT部门说。
RMF的主要优势在于它是由NIST开发的,NIST由国会负责确保安全标准和工具“经过研究、验证和开发,以提供高水平的信息安全基础设施,”Horaczko说。
由于政府机构和支持他们的企业需要其IT安全标准和工具,既符合成本效益和高适应性,Horaczko说,框架不断被审查和更新作为新技术的发展和新的法律通过。
此外,独立的公司已经开发出支持NIST标准工具,Horaczko说。“知道,对于应用程序的基础是稳定的,软件开发企业更愿意开发应用工具支持的框架,”她说。
还看到杰夫·斯皮维上企业风险管理
赖斯说,塔塔通信公司在多个业务部门及其IT部门使用NIST框架来评估和管理风险。该模型帮助公司确定什么时候超过了一定的风险阈值。
“我觉得一个优点是,[在RMF]的作者们沿着正确的线在阻止风险[确定]主要因素在想,”赖斯说。“我们看了很多,我认为他们的做法是固体。该框架使得公司能够很容易地确定哪些系统或应用程序,如果安全漏洞存在发生风险最高。”
至于弱点,“像这些框架,你必须确保谁在做风险评估人有纪律,把合理的数据进入模型让您得到合理的数据出来,”赖斯说。
“此外,它是一份文件;它不是一个自动化的工具。“我希望能有一种工具,可以让整个过程完全自动化。这是我们可能会慢慢开发的东西,因为我不确定是否有现成的工具。”
RMF的另一个弱点是它的命名,Horaczko说。“整个框架和配套工具的使用缩略词是很普遍的,”她说。
塔拉
TARA的威胁代理风险评估,是一种新的风险评估框架,它是由英特尔创建仅此一月,帮助公司通过蒸馏可能的信息安全攻击数量巨大成摘要[PDF链接]只有那些管理风险风险最有可能发生。的想法是,这将是非常昂贵和不切实际捍卫每一个可能的漏洞。
通过使用预测框架来对关注的领域进行优先排序,组织可以主动地针对最关键的暴露,并有效地应用资源来实现最大的结果。
塔拉方法确定了哪些威胁构成最大的风险,他们想要完成什么,以及他们可能会使用的方法。这些方法与现有的漏洞和控制相互参照,以确定哪些领域最容易暴露。然后,安全战略将重点放在这些领域,以最大限度地减少努力,同时最大化效果。