企業組織在選擇IT風險評估框架時,需要遵循“合適才是最好的”的原則,合適的風險評估框架和方法可以幫助其打消IT疑慮。基于用戶反饋,企業組織可以重點關注NIST RMF、OCTAVE、COBIT、TARA和FAIR這五大風險評估框架,每個框架都有其特點和適用的場景。
NIST RMF
美國國家標準與技術研究院(簡稱“NIST”)的風險管理框架(簡稱“RMF”),提供了一個將安全、隱私和供應鏈風險管理活動集成到系統開發生命周期中的流程。它可以應用于任何類型的系統或技術,包括物聯網(IoT)和控制系統,以及任何類型的企業組織,無論其規模或部門如何。
NIST RMF的七個步驟是:
準備,包括為企業組織管理安全和隱私風險所有準備的必要活動。
分類,包括分類系統和基于影響分析處理、存儲和傳輸的信息。
選擇,根據風險評估選擇一組NIST SP 800-53控制來保護系統。
實施,部署控制系統并記錄它們的部署方式。
評估,確定控制系統是否到位,是否按預期運行,并產生預期的結果。
授權,高級管理人員做出基于風險的決定來授權系統運行。
監控,包括持續監控控制系統的實施和系統風險。
NIST RMF可以根據企業組織需求進行定制,并應經常評估和更新該框架,許多工具支持該標準。值得注意的一點是,IT專業人員“在部署NIST RMF時要明白,它不是一個自動化工具,而是一個需要嚴格遵守紀律才能正確建模風險的文件化框架。”該框架關聯到一套NIST標準和指南,以支持風險管理計劃的實施,滿足美國聯邦信息安全現代化法案(FISMA)的要求。
OCTAVE
OCTAVE(運營關鍵威脅、資產和漏洞評估),由卡內基梅隆大學的計算機應急小組(CERT)開發,是用于識別和管理信息安全風險的框架。它從物理、技術和人力資源的角度來看待安全,可以識別企業組織關鍵任務資產,并發現威脅和漏洞。
企業組織通過信息資產、威脅和漏洞識別,可以了解哪些信息面臨風險,并設計和部署策略來降低整體風險。不過,OCTAVE部署起來可能比較復雜,而且只能通過定性方法進行量化。目前,有兩個版本的OCTAVE:一個是OCTAVE-S,專為具有扁平層次結構的小型企業組織而設計,是一種簡化方法。另一個是OCTAVE Allegro,適用于大型或結構復雜的企業組織,是一個更全面的框架。OCTAVE允許運營團隊和IT團隊一起協作來解決企業組織的安全需求。
COBIT
COBIT(即信息和相關技術的控制目標),來自ISACA(國際信息系統審計協會),是IT管理和治理的框架。它以業務為中心,并為IT管理定義了一組通用流程,每個流程都融合了流程輸入和輸出、關鍵活動、目標、績效度量和基本成熟度模型等因素。一位業內人士表示,“COBIT是解決企業組織信息和技術治理和管理的模型,雖然其主要目的不是專門針對風險,但在整個框架中整合了多種風險實踐,并引用了多個全球公認的風險框架。”
COBIT是“與 IT 管理流程和政策執行相一致的高級框架,”安全軟件提供商趨勢科技首席網絡安全官、美國特勤局前CISO Ed Cabrera表示,“挑戰在于COBIT成本高昂,并且需要具備很高的知識和技能才能實施。”據ISACA介紹,最新版本COBIT 2019提供了更多實施資源、指導和見解,以及全面的培訓機會。它實施起來會更加靈活,使企業組織能夠通過框架定制其IT治理。
TARA
根據網絡安全公司MITRE的定義,TARA(威脅評估和補救分析)是一種工程方法,用于識別和評估網絡安全漏洞并部署對策來緩解它們。TARA是一種在考慮緩解措施的同時確定關鍵風險的實用方法,其獨特之處包括使用目錄存儲的緩解映射方式,為給定的攻擊向量范圍預先選擇可能的對策,以及提供基于風險容忍度的對策。
該框架是MITRE系統安全工程(SSE)實踐組合的一部分。MITRE方面表示,“TARA評估方法可以被描述為聯合交易研究,其中第一個交易是基于評估的風險識別和排列攻擊向量,第二個交易是基于評估的效用、成本識別和選擇對策。”
FAIR
FAIR(信息風險因素分析)是對導致風險的因素及其相互關系進行分類的方法。該框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones開發,主要為數據丟失事件的頻率和幅度建立準確概率。
FAIR不是用于企業組織或個人風險評估的方法,但它為企業組織提供一種理解、分析和衡量信息風險的方法。該框架的組成部分包括信息風險分類法、信息風險術語的標準化命名法、建立數據收集標準的方法、風險因素的度量尺度、評估風險的計算引擎以及分析復雜風險情景的模型。
FAIR是為信息安全和運營風險提供可靠量化模型的少數方法之一,這種務實的風險框架為評估企業組織風險提供了堅實基礎。不過,雖然FAIR提供了威脅、漏洞和風險的全面定義,但是卻沒有很好的記錄,因此難以實施。
