三分鐘掌握三大IT風(fēng)險評估框架!
COBIT
ISACA的信息和相關(guān)技術(shù)控制目標(biāo)(COBIT)是一個IT管理和治理框架。它以業(yè)務(wù)為中心,為IT管理定義了一套通用的管理流程。每個流程都與流程輸入和輸出、關(guān)鍵活動、目標(biāo)、績效度量和基本成熟度模型一起定義。
ISACA表示,最新版本COBIT 2019提供了更多的實施資源、實踐指導(dǎo)和見解,以及全面的培訓(xùn)機會。且COBIT 2019現(xiàn)在實施起來更加靈活,使企業(yè)能夠通過框架自定義他們的治理方案。
COBIT是一個"與IT管理流程和政策執(zhí)行相一致的高級框架,"安全軟件提供商Trend Micro的首席網(wǎng)絡(luò)安全官,美國特勤局前CISO Ed Cabrera說。"難點在于使用COBIT的成本高昂,而且需要豐富的知識和技能才能實施。
Thomas說:“該框架是解決企業(yè)信息和技術(shù)治理和管理的唯一模型,其中包含對安全性和風(fēng)險的高度重視。盡管COBIT的主要目的不是專門針對風(fēng)險,但它在整個框架中集成了多種風(fēng)險實踐,并引用了多個全球公認(rèn)的風(fēng)險框架。”
TARA
MITRE是一家從事網(wǎng)絡(luò)安全等技術(shù)領(lǐng)域研究和開發(fā)的非營利組織。該組織稱,威脅評估和補救分析(TARA)是一種工程方法,用于識別和評估網(wǎng)絡(luò)安全漏洞,并部署應(yīng)對措施以緩解這些漏洞。
該框架是MITRE的系統(tǒng)安全工程(SSE)實踐組合的一部分。該組織稱:“TARA評估方法可以被描述為聯(lián)合權(quán)衡分析,第一次權(quán)衡根據(jù)評估的風(fēng)險來確定攻擊向量,并對攻擊向量進行排名,第二次權(quán)衡根據(jù)評估的效用和成本來確定、選擇對策。”
該方法獨特的地方包括使用目錄存儲的緩解映射,為給定范圍的攻擊向量預(yù)先選擇可能有效的對策,以及基于風(fēng)險承受水平使用對策策略。
Thomas說,“這是一種在考慮緩解措施的同時確定關(guān)鍵風(fēng)險的實用方法,也可以補充關(guān)于攻擊者的重要信息,加強正式風(fēng)險應(yīng)對的方法論,用來改善風(fēng)險狀況。”
FAIR
信息風(fēng)險因素分析(FAIR)是一種對導(dǎo)致風(fēng)險的因素以及它們?nèi)绾蜗嗷ビ绊懙姆诸惙āT摽蚣苡蒒ationwide Mutual Insurance前CISO Jack Jones開發(fā),主要用于為數(shù)據(jù)丟失事件的頻率和規(guī)模設(shè)置準(zhǔn)確的概率。
FAIR不是執(zhí)行企業(yè)或個人風(fēng)險評估的方法。但它為企業(yè)提供了一種理解、分析和衡量信息風(fēng)險的方式。該框架的組成部分包括信息風(fēng)險分類法、信息風(fēng)險術(shù)語的標(biāo)準(zhǔn)化命名法、建立數(shù)據(jù)收集標(biāo)準(zhǔn)的方法、風(fēng)險因素的測量尺度、用于計算風(fēng)險的計算引擎以及用于分析復(fù)雜風(fēng)險情景的模型。
Thomas說,F(xiàn)AIR是專為信息安全和運營風(fēng)險提供可靠定量模型的方法之一。這種務(wù)實的風(fēng)險方法為企業(yè)的風(fēng)險評估提供了堅實的基礎(chǔ)。然而,雖然FAIR提供了對威脅、漏洞和風(fēng)險的全面釋義,但它沒有得到很好地記錄,因此很難實施。
Retrum說,該模型與其他風(fēng)險框架的不同之處在于,其重點是將風(fēng)險量化為實際的美元,而不是用傳統(tǒng)的高、中、低進行評分。這在高層領(lǐng)導(dǎo)和董事會成員中得到越來越多的關(guān)注,因為它通過有意義的方式更好地量化了風(fēng)險,使企業(yè)能對業(yè)務(wù)進行更深思熟慮的討論。
作者:Bob Violino,特約撰稿人
原文網(wǎng)址:http://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html
