从网络安全的角度来看,当今的组织在高风险世界中运作。在这种情况下,拥有风险管理框架至关重要,因为风险永远无法完全消除;它只能得到有效管理。组织评估和管理风险的能力从未如此重要。选择风险评估框架时最关键的考虑因素是确保它“适合目的”并且最适合预期结果。此外,选择一个众所周知且易于理解的框架也有好处,这可以确保框架的使用更加一致和有效,并允许组织内的个人使用一致的语言。组织可以利用风险评估框架来帮助指导安全和风险管理人员。以下是一些最著名的框架,每个框架都旨在解决特定的风险领域。NIST风险管理框架美国国家标准技术研究院(NIST)风险管理框架(RMF)提供了一个全面、可重复和可衡量的七步流程,组织可以使用该流程来管理信息安全和隐私风险。它还附带一组NIST标准和指南,以支持满足联邦信息安全现代化法案(FISMA)合规性要求的风险管理计划的实施。根据NIST,RMF提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的过程。它可以应用于任何类型的系统或技术,包括物联网(IoT)和控制系统,以及任何类型的企业组织——无论其规模或行业。NISTRMF的七个步骤是:准备,包括准备组织管理安全和隐私风险所需的活动;分类,包括分类系统和基于影响分析处理、存储和传输的信息;选择,根据风险评估选择一组NISTSP800-53控制以保护系统;实施、部署控制系统并记录它们的部署方式;评估、确定控制系统是否到位、是否按预期运行并产生预期结果;授权,高级管理层做出基于风险的决策,授权系统运行;监控,包括对控制系统实施和系统风险的持续监控。NISTRMF可以定制以满足组织需求,经常评估和更新,并且许多工具都支持该标准。对于部署NISTRMF的IT专业人员来说,了解它不是一个自动化工具,而是一个需要纪律以正确建模风险的文档化框架至关重要。目前,NIST已经制作了一些易于理解并适用于大多数组织的风险相关出版物。这些参考资料提供了一个集成安全、隐私和网络供应链风险管理活动的流程,以帮助控制选择和政策制定。OCTAVEOperationalCriticalThreat,AssetandVulnerabilityAssessment(OCTAVE)由卡内基梅隆大学计算机应急响应小组(CERT)开发,是一个用于识别和管理信息安全风险的框架。它定义了一种全面的评估方法,使组织能够识别对其目标重要的信息资产、对这些资产的威胁以及可能使这些资产面临威胁的漏洞。通过汇集信息资产、威胁和漏洞,组织可以全面了解哪些信息处于风险之中。有了这种理解,他们就可以设计和部署策略来降低信息资产的整体风险敞口。目前,有两个版本的OCTAVE。一个是OCTAVE-S,这是一种为具有扁平层次结构的小型企业组织设计的简化方法。另一个是OCTAVEAllegro,这是一个更全面的框架,适用于大型或复杂的企业组织。可以说,OCTAVE是一个精心设计的风险评估框架,因为它从物理、技术和人力资源的角度来看待安全。它可以识别任何组织的关键任务资产并发现威胁和漏洞。但是,部署起来可能非常复杂,只能通过定性方法进行量化。但是,该框架的灵活性允许运营和IT团队协同工作,以满足组织的安全需求。ISACA(国际信息系统审计协会)的COBIT“信息和相关技术的控制目标”(COBIT)是一个IT管理和治理框架。它旨在以业务为中心,并为IT管理定义了一组通用流程。每个过程都包含诸如过程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。据ISACA称,最新版的COBIT2019提供了更多的实施资源、实践指导和见解以及全面的培训机会,其实施更加灵活,使组织能够通过该框架定制其治理流程。COBIT是一个与IT管理流程和政策实施相一致的高级框架。然而,挑战在于COBIT成本高昂并且需要高水平的知识和技能才能实施。该框架是解决企业组织信息和技术治理和管理的唯一模型。虽然COBIT的主要目的不是专门解决风险,但它在整个框架中集成了多种风险实践,并参考了多个全球公认的风险框架。根据非营利组织MITRE的说法,TARA威胁评估和补救分析(TARA)是一种用于识别和评估网络安全漏洞并部署对策以缓解这些漏洞的工程方法,该组织在包括网络安全在内的技术领域进行研究和开发。.该框架是MITRE系统安全工程(SSE)实践组合的一部分。根据MITRE的说法,“TARA评估方法可以描述为联合交易研究,其中第一个交易是根据评估的风险识别和排序攻击向量,第二个交易是根据评估的风险识别和选择对策效用和成本。”该方法的独特功能包括使用目录存储的缓解映射、针对给定范围的攻击向量预先选择可能的对策,以及根据风险承受能力提供对策策略。TARA是一种在考虑缓解措施的同时识别关键风险的实用方法,并且可以增强正式的风险方法以包含有关可以改善风险状况的攻击者的重要信息。FAIR信息风险因素分析(FAIR)是对导致风险的因素及其相互作用的分类。该框架由NationwideMutualInsurance前首席信息安全官JackJones开发,专注于为数据丢失事件的频率和幅度建立准确的概率。FAIR不是执行业务或个人风险评估的方法。但它为组织提供了一种了解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量、用于评估风险的计算引擎以及用于分析复杂风险场景的模型。FAIR是为信息安全和操作风险提供可靠定量模型的少数方法之一。这种务实的风险框架为评估任何企业的风险提供了坚实的基础。然而,尽管FAIR提供了威胁、漏洞和风险的全面定义,但没有很好的记录,因此难以实施。与其他风险框架不同,FAIR侧重于将风险量化为实际金额,而不是传统的“高、中、低”分数。这也引起了高级领导和董事会成员的关注,通过以有意义的方式更好地量化风险,实现了更周到的业务讨论。本文翻译自:https://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html
