适度为上,介绍IT关注的五大IT风险评估框架。根据用户反馈,组织可以重点关注NISTRMF、OCTAVE、COBIT、TARA和FAIR这五个风险评估框架,每个框架都有自己的特点和适用场景。NISTRMF美国国家标准技术研究院(“NIST”)的风险管理框架(“RMF”)提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的过程。它可以应用于任何类型的系统或技术,包括物联网(IoT)和控制系统,以及任何类型的企业组织,无论其规模或行业如何。NISTRMF的七个步骤是:准备,包括为组织管理安全和隐私风险做好准备所需的所有活动。分类,包括分类系统和基于影响分析处理、存储和传输的信息。选择,根据风险评估选择一组NISTSP800-53控件来保护系统。实施、部署控制系统并记录它们的部署方式。评估以确定控制系统是否到位、是否按预期运行并产生预期结果。授权,高级管理层根据风险做出授权系统运行的决策。监控,包括对控制系统实施和系统风险的持续监控。NISTRMF可以根据组织需要进行定制,框架应该经常评估和更新。许多工具都支持该标准。需要注意的一点是,IT专业人员“在部署NISTRMF时理解它不是一个自动化工具,而是一个需要纪律以正确建模风险的文档化框架。”该框架与一组NIST标准和指南相关联,以支持实施符合美国联邦信息安全现代化法案(FISMA)要求的风险管理计划。OCTAVEOCTAVE(OperationalCriticalThreat,AssetandVulnerabilityAssessment)由卡内基梅隆大学的计算机应急响应小组(CERT)开发,是一个用于识别和管理信息安全风险的框架。它从物理、技术和人力资源的角度审视安全性,可以识别组织的关键任务资产并发现威胁和漏洞。通过识别信息资产、威胁和漏洞,组织可以了解哪些信息处于风险之中,并设计和部署策略以降低总体风险。然而,OCTAVE的部署可能很复杂,只能通过定性方法进行量化。目前,有两个版本的OCTAVE:一个是OCTAVE-S,是为具有扁平层次结构的小型企业组织设计的一种简化方法。另一个是OCTAVEAllegro,这是一个更全面的框架,适用于大型或复杂的企业组织。OCTAVE允许运营和IT团队协同工作,以满足组织的安全需求。COBITCOBIT(信息和相关技术的控制目标)来自ISACA(国际信息系统审计协会),是IT管理和治理的框架。它以业务为中心,并为IT管理定义了一组通用流程,每个流程都包含流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型。一位业内人士表示,“COBIT是解决企业组织中信息和技术治理和管理的模型。虽然其主要目的不是专门针对风险,但它在整个框架中整合了各种风险实践,并引用了多个全球公认的风险框架。”COBIT是“一个与IT管理流程和政策执行相一致的高级框架,”安全软件供应商趋势科技首席网络安全官、美国特勤局前CISOEdCabrera说。“挑战在于,COBIT成本高昂,实施需要高知识和技能。”据ISACA称,最新一期COBIT2019提供了更多的实施资源、指导和见解,以及全面的培训机会。它将更灵活地实施,使组织能够通过框架定制他们的IT治理。TARA由网络安全公司MITRE定义,TARA(威胁评估和补救分析)是一种工程方法,用于识别和评估网络安全漏洞并部署对策来缓解这些漏洞。TARA是一种在考虑缓解措施的同时识别关键风险的实用方法。独特的功能包括使用目录存储的缓解映射、针对给定范围的攻击向量预先选择可能的对策,以及基于风险容忍度的对策。该框架是MITRE系统安全工程(SSE)实践组合的一部分。根据MITRE的说法,“TARA的评估方法可以描述为联合交易研究,其中第一个交易是根据评估的风险识别和排序攻击向量,第二个交易是根据评估的效用和成本识别和选择对策。“FAIRFAIR(信息风险因素分析)是一种对导致风险的因素及其相互关系进行分类的方法。该框架由NationwideMutualInsurance前首席信息安全官JackJones开发,专注于为数据丢失事件的频率和幅度建立准确的概率。FAIR不是对企业组织或个人进行风险评估的方法,而是为企业组织提供了一种了解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量、用于评估风险的计算引擎以及用于分析复杂风险场景的模型。FAIR是为数不多的为信息安全和运营风险提供可靠定量模型的方法之一。这种务实的风险框架为评估组织风险提供了坚实的基础。然而,尽管FAIR提供了威胁、漏洞和风险的全面定义,但没有很好的记录,因此难以实施。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
