本文轉(zhuǎn)載自微信公眾號「計算機(jī)世界」，作者Bob Violino 。轉(zhuǎn)載本文請聯(lián)系計算機(jī)世界公眾號。

從網(wǎng)絡(luò)安全的角度來看，企業(yè)正在一個高風(fēng)險的世界中運行，評估和管理風(fēng)險的能力或許從未如此重要。電信公司Mitel Networks的CISO Arvind Raman表示：“擁有風(fēng)險管理框架至關(guān)重要，因為風(fēng)險永遠(yuǎn)無法完全消除，它只能被有效地管理。否則，企業(yè)可能會發(fā)現(xiàn)自己成為數(shù)據(jù)泄露或勒索軟件攻擊的目標(biāo)，或者容易受到許多其他安全問題的攻擊。”

Protiviti咨詢公司的網(wǎng)絡(luò)安全和隱私執(zhí)行總經(jīng)理Andrew Retrum表示，在選擇框架時最關(guān)鍵的是要考慮它是否“匹配目標(biāo)”，且最符合預(yù)期結(jié)果。Retrum說：“選擇企業(yè)內(nèi)部已經(jīng)熟知和理解的框架也大有裨益。它使框架的使用更加一致和高效，并方便整個企業(yè)中的個人使用統(tǒng)一的語言。”

企業(yè)可以充分利用風(fēng)險評估框架來幫助指導(dǎo)安全和風(fēng)險管理人員。下面我們來看看其中一些最重要的框架，其中每個框架都旨在解決特定領(lǐng)域的風(fēng)險。

NIST 風(fēng)險管理框架

美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的風(fēng)險管理框架(RMF)提供了一個全面、可重復(fù)和可測量的七步流程，企業(yè)可用此流程來管理信息安全和隱私風(fēng)險。它也與一套NIST的標(biāo)準(zhǔn)和指南相關(guān)聯(lián)，支持風(fēng)險管理計劃的實施，以滿足《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)的要求。

據(jù)NIST稱，RMF提供了一個將安全、隱私和供應(yīng)鏈風(fēng)險管理活動都集成到系統(tǒng)開發(fā)生命周期中的流程。它可以應(yīng)用于新的、舊的或任何類型的系統(tǒng)或技術(shù)，包括物聯(lián)網(wǎng)(IoT)和控制系統(tǒng)，以及無論規(guī)模大小、部門多少的任何類型的企業(yè)。這七個 RMF 步驟是：

1. 準(zhǔn)備，包括準(zhǔn)備企業(yè)管理安全和隱私風(fēng)險的基本活動。

2. 分類，包括利用影響分析處理、存儲和傳輸?shù)姆诸愊到y(tǒng)和信息。

3. 選擇，即根據(jù)風(fēng)險評估選擇一組NIST SP 800-53控制措施來保護(hù)系統(tǒng)。

4. 實施，部署控制措施并記錄其部署方式。

5. 評估，確定控制措施是否到位，是否按預(yù)期運行，是否達(dá)到預(yù)期結(jié)果。

6. 授權(quán)，高級管理人員做出基于風(fēng)險的決定，授權(quán)系統(tǒng)運行。

7. 監(jiān)控，包括持續(xù)監(jiān)控控制實施和系統(tǒng)風(fēng)險。

“NIST RMF可以根據(jù)企業(yè)需求量身定制，”Raman說。它經(jīng)常被評估和更新，而且有許多工具支持其制定的標(biāo)準(zhǔn)。至關(guān)重要的是，IT 專業(yè)人員都清楚，不能像部署一個自動化工具一樣來部署 NIST RMF ，而應(yīng)該把它當(dāng)作是一個需要嚴(yán)格遵守紀(jì)律才能正確對風(fēng)險建模的記錄框架。

Escoute Consulting總裁兼信息系統(tǒng)審計與控制協(xié)會(ISACA)發(fā)言人Mark Thomas表示，NIST已經(jīng)出版了一些與風(fēng)險相關(guān)的出版物，這些出版物易于理解，且適用于大多數(shù)企業(yè)。

他說：“這些參考資料提供了一個整合安全、隱私和網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理活動的流程，有助于控制措施的選擇和政策制定，NIST框架是政府、私人和公共企業(yè)的有力參考，有時被認(rèn)為是政府實體的指南。”

OCTAVE

可操作的關(guān)鍵威脅、資產(chǎn)和薄弱點評估 (OCTAVE)是由Carnegie mellon大學(xué)計算機(jī)應(yīng)急準(zhǔn)備團(tuán)隊(CERT) 開發(fā)的，它是用于識別和管理信息安全風(fēng)險的框架。它定義了一種綜合的評估方法，使企業(yè)能夠識別對其目標(biāo)非常重要的信息資產(chǎn)、這些資產(chǎn)面臨的威脅，以及可能使這些資產(chǎn)面臨威脅的漏洞。

通過將信息資產(chǎn)、威脅和漏洞整合在一起，企業(yè)可以了解哪些信息存在風(fēng)險。有了這一認(rèn)識，他們就可以設(shè)計和部署策略來降低信息資產(chǎn)的總體風(fēng)險敞口。

有兩個版本的OCTAVE可供選擇。一個是OCTAVE-S，這是一種簡化的方法，專為具有扁平層次結(jié)構(gòu)的小型企業(yè)而設(shè)計。另一個是OCTAVE Allegro，這是一個更全面的框架，適用于大型企業(yè)或具有復(fù)雜結(jié)構(gòu)的企業(yè)。

Raman說：“OCTAVE是一個設(shè)計良好的風(fēng)險評估框架，因為它從物理、技術(shù)和人力資源的角度來看待安全問題。它可以識別對任何企業(yè)而言都至關(guān)重要的資產(chǎn)，并發(fā)現(xiàn)威脅和漏洞。但是，對它進(jìn)行部署可能非常復(fù)雜，而且它只能通過定性方法進(jìn)行量化。”

Thomas 表示，該方法的靈活性讓運營和 IT 團(tuán)隊可以協(xié)同工作，滿足企業(yè)的安全需求。

作者：Bob Violino，特約撰稿人

原文網(wǎng)址：

http://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html