从网络安全的角度来看,如今的组织正在一个高风险的世界中运营。这种情况下,拥有风险管理框架显得至关重要,因为风险永远无法完全消除;它只能得到有效管理。企业评估和管理风险的能力变得前所未有得重要。
而选择风险评估框架时,最关键的考虑因素就是确保它“迎合目的”并最适合预期结果。此外,选择广为人知且易于理解的框架同样有好处,它能够确保框架的使用更加一致和有效,并允许组织内的个人使用一致的语言。
组织可以利用风险评估框架来帮助指导安全和风险管理人员。以下是其中一些最突出的框架,每个框架都旨在解决特定的风险领域。
NIST风险管理框架
美国国家标准与技术研究院(NIST)的风险管理框架(Risk Management Framework,简称RMF)提供了一个全面、可重复和可衡量的七步流程,组织可以用其管理信息安全和隐私风险。它还附带一套NIST标准和指南,以支持风险管理计划的实施,使其满足联邦信息安全现代化法案(FISMA)的合规要求。
据NIST称,RMF提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的流程。它可以应用于任何类型的系统或技术,包括物联网(IoT)和控制系统,以及任何类型的企业组织——无论其规模或部门如何。NIST RMF的七个步骤为:
- 准备,包括使组织准备好管理安全和隐私风险的必要活动;
- 分类,包括分类系统和基于影响分析处理、存储和传输的信息;
- 选择,即根据风险评估选择一组NIST SP 800-53控制来保护系统;
- 实施,部署控制系统并记录它们的部署方式;
- 评估,确定控制系统是否到位,是否按预期运行,并产生预期的结果;
- 授权,高级管理人员做出基于风险的决定来授权系统运行;
- 监控,包括持续监控控制系统的实施和系统风险。
NIST RMF可以根据企业组织需求进行定制,且经常能够得到评估和更新,许多工具支持该标准。IT专业人员在部署NIST RMF时要明白,它不是一个自动化工具,而是一个需要严格遵守纪律以正确建模风险的文件化框架,这一点至关重要。
目前,NIST已经出版了一些易于理解且适用于大多数组织的风险相关出版物。这些参考资料提供了一个整合安全、隐私和网络供应链风险管理活动的流程,有助于控制选择和政策制定。
OCTAVE
运营关键威胁、资产和漏洞评估(OCTAVE)由卡内基梅隆大学的计算机应急小组(CERT)开发,是用于识别和管理信息安全风险的框架。它定义了一种综合评估方法,允许组织识别对其目标很重要的信息资产、对这些资产的威胁以及可能使这些资产面临威胁的漏洞。
通过将信息资产、威胁和漏洞结合在一起,组织能够全面了解哪些信息面临风险。而有了这种理解,他们就可以设计和部署策略来降低信息资产的整体风险敞口。
目前,有两个版本的OCTAVE。一个是OCTAVE-S,这是一种简化方法,专为具有扁平层次结构的小型企业组织而设计。另一个是OCTAVE Allegro,这是一个更全面的框架,适用于大型或结构复杂的企业组织。
可以说,OCTAVE是一个精心设计的风险评估框架,因为它从物理、技术和人力资源的角度来看待安全。它可以识别对任何组织而言都是关键任务的资产,并发现威胁和漏洞。但是,部署起来可能非常复杂,而且只能通过定性方法进行量化。
不过,这种框架的灵活性允许运营团队和IT团队一起协作来解决企业组织的安全需求。
COBIT
来自ISACA(国际信息系统审计协会)的“信息和相关技术的控制目标”(COBIT)是IT管理和治理的框架。它旨在以业务为中心,并为IT管理定义了一组通用流程。每个流程都融合了流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。
据ISACA称,最新版本的COBIT 2019提供了更多的实施资源、实践指导和见解,以及全面的培训机会,其实施更加灵活,使组织能够通过框架定制他们的治理过程。
COBIT是与IT管理流程和政策执行相一致的高级框架。不过,挑战在于COBIT成本高昂,并且需要具备很高的知识和技能才能实施。
该框架是解决企业组织信息和技术治理和管理的唯一模型。虽然COBIT的主要目的不是专门针对风险,但它在整个框架中整合了多种风险实践,并引用了多个全球公认的风险框架。
TARA
据非营利组织MITRE(从事包括网络安全在内的技术领域研究和开发)称,威胁评估和补救分析(TARA)是一种工程方法,用于识别和评估网络安全漏洞并部署对策来缓解它们。
该框架是MITRE系统安全工程(SSE)实践组合的一部分。MITRE表示,“TARA评估方法可以被描述为联合交易研究,其中第一个交易是基于评估的风险识别和排列攻击向量,第二个交易是基于评估的效用、成本识别和选择对策。”
该方法的独特之处包括使用目录存储的缓解映射,为给定的攻击向量范围预先选择可能的对策,以及提供基于风险容忍度的对策策略。
TARA是一种在考虑缓解措施的同时确定关键风险的实用方法,并且可以增强正式的风险方法以包含有关攻击者的重要信息,这些信息可以改善风险状况。
FAIR
信息风险因素分析(FAIR)是对导致风险的因素以及它们如何相互影响的分类法。该框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones开发,主要为数据丢失事件的频率和幅度建立准确的概率。
FAIR不是执行企业或个人风险评估的方法。但它为组织提供了一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量尺度、评估风险的计算引擎以及分析复杂风险情景的模型。
FAIR是为信息安全和运营风险提供可靠量化模型的少数方法之一。这种务实的风险框架为评估任何企业的风险提供了坚实基础。不过,虽然FAIR提供了威胁、漏洞和风险的全面定义,但它却没有很好的记录,因此很难实施。
与其他风险框架不同的是,FAIR的重点是将风险量化为实际美元,而不是传统的“高、中、低”评分。这一点也正在获得高级领导者和董事会成员的关注,通过有意义的方式更好地量化风险,从而实现更深思熟虑的业务讨论。
本文翻译自:https://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html