易部署的风险评估框架

日期: 2010-08-18 作者:Joel Dubin翻译:陈德彦 来源:TechTarget中国 英文

不用说风险评估本身,风险评估框架的概念似乎就超出了中等规模公司的需求。但是,对于各种规模的公司来说,评估风险的概念是IT安全的核心。而且对保护信息资产感兴趣的任何中等规模的组织——在今天应该是每家公司——都需要有某些形式的风险评估,即使它只是一个成型的裸机框架,而且只适用于小小的人员班子。   好消息是,风险评估框架是免费的。

可以从网上很容易地下载、打印并按意愿研究。虽然它们显得像神秘的文件,需要一批顾问来实施,但那未必是事实。有一些任何中等规模的公司都可以实施的最佳实践,为其组织剥离甚至最复杂的框架成可用的、匹配组织规模的部分。   风险评估的目标是对您的IT基础设施的各个部分的IT安全风险……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

不用说风险评估本身,风险评估框架的概念似乎就超出了中等规模公司的需求。但是,对于各种规模的公司来说,评估风险的概念是IT安全的核心。而且对保护信息资产感兴趣的任何中等规模的组织——在今天应该是每家公司——都需要有某些形式的风险评估,即使它只是一个成型的裸机框架,而且只适用于小小的人员班子。

  好消息是,风险评估框架是免费的。可以从网上很容易地下载、打印并按意愿研究。虽然它们显得像神秘的文件,需要一批顾问来实施,但那未必是事实。有一些任何中等规模的公司都可以实施的最佳实践,为其组织剥离甚至最复杂的框架成可用的、匹配组织规模的部分。

  风险评估的目标是对您的IT基础设施的各个部分的IT安全风险排列优先级。如果没有对风险排列优先级,企业就不能有效地对控制最大风险进行预算。结果是要么花费太多在过度的或不必要的控制上,要么在另一个极端,让系统暴露在恶意攻击下。并且对于资金短缺的中等规模的公司,预算就是一切,尤其当谈到安全系统时,不是太昂贵就是难于管理。

  此外,通过对风险排列优先级,公司可以判定哪些系统处在滥用或受攻击的低风险,避免过多的安全行为;并可以判定哪些系统处在高风险状态,需要更大的保障。有几个风险评估框架,但行业基准来自国家标准研究所(NIST)。

  来自NIST的主要刊物,“专门出版物(SP)800-100,信息安全手册:经理人指南”(Special Publication 800-100, Information Security Handbook: A Guide for Managers),确定了在风险评估过程中的四个步骤。下面是一个简化的、大致基于SP 800-100并适用于中等规模公司的风险评估进程。

  要有自知

  第一步是清点和分类所有IT资产。第二步是识别威胁,第三步是要识别对应的安全漏洞。最后一步是实际的风险分析,包括评估对IT资产的安全控制,确定破坏的可能性和影响,并最终指定风险级别。评估完成后,汇编带有推荐控制措施的报告。应当将风险评估看作是一个定期审查和实施的循环过程,应定期反复进行风险评估。

  IT资产清单定义了风险评估的范围。公司在实施安全控制以前,必须知道它已有什么资产以及现有的控制措施(如果有的话)。该清单应包括所有硬件、软件、数据、流程和到外部系统的接口的列表。

  下一步是识别威胁。这些威胁包括物理威胁,诸如自然灾害或停电,但当然它也应包括IT安全威胁,例如对系统的恶意访问或恶意攻击。需要有创意。考虑对你的系统最有可能的威胁,既包括来自你经历的威胁,也包括来自安全公告公布的攻击名单,如在卡耐基梅隆(Carnegie Mellon)的美国计算机紧急响应小组(US - CERT)。

  但威胁并不是孤立存在的。如果在系统中存在漏洞,它们就可能受到威胁,这是评估过程的第三步。在这里,NIST同样提供了有价值的资源。它的国家漏洞数据库(NVD)是当前威胁的目录和旧的威胁的归档。除了NVD以外,可以检查硬件和软件供应商的网站以查找漏洞列表。诸如黑客公告板的其他来源也是发现漏洞的一个很好的参考。

  漏洞也可从安全性测试和系统扫描中获得,包括脆弱性和渗透测试。

  收集到所有这些数据以后,最后一步是实际的风险分析。这包括三个子阶段:评估现有的安全控制措施、基于这些控制措施确定破坏的可能性和影响,以及确定风险级别。破坏的可能性和影响均可以分为各高、中和低三个档次。可以为每一个风险级别给定一个风险指数,如从1到10,然后形成一个3*3的矩阵,水平方向为影响,垂直方向为可能性。

  随后的风险指数应成为最终报告详细阐述的一部分,如果有的话,应该实施安全控制措施将风险级别降到一个较低的水平,或降低到组织愿意容忍和接受的级别。也可以用风险指数来证明安全措施的成本,特别是在风险比较高时。例如,高风险是潜在破坏的一面红旗,需要立即采取安全控制措施。

  虽然这个规模较小的风险评估过程是基于NIST的,其他框架也有类似的方式,包括识别资产、威胁和脆弱性,然后基于收集的数据指定风险。其他框架包括OCTAVE和COBIT。OCTAVE是来自CERT的业务关键威胁、资产和脆弱性评价;COBIT是来自信息系统审计与控制协会对信息和相关技术的控制目标。

  无论您选择什么框架,对于中等规模的公司来说,风险评估仍像是一个大项目。它可能用尽人员并耗费时间,这两个方面都只需要在短期内得到供应。但是,在一个更小的公司,进行风险评估并不是一个全职的工作。可以由某位IT工作人员定期处理它们,例如每年或当有大的系统变更时,如在收购或安装新的、主要的IT系统期间。

  在做风险评估时,另一种节省时间的方法是限制范围。例如,许多中等规模的公司并不在内部做应用开发。这就不需要审查。对于大多数中等规模的公司,应坚持最关注的项目——访问管理、网络安全、物理安全和网站安全——你应该审查“面包和黄油”。

  对于任何信息安全计划,风险评估都是至关重要的。对于任何中等规模的公司来说,这些步骤应有助于简化风险评估的过程。

相关推荐

  • IDC: 2013年IT服务十大预测

    本文中提出了IDC对IT服务,特别是云服务的十大预测。IDC预计,2016年云服务将成为企业CIO和业务部门经理日常采购的可选方案……

  • 实施SaaS程序应用的五项指导原则

    本文提出了从传统应用程序迁移到SaaS之前,需要考虑的步骤,首先考虑清楚你为什么需要SaaS,其次要考虑架构问题,并考虑架构问题……

  • SaaS的中小企业信息化模式探讨

    SaaS服务模式以SaaS服务提供商购买IT基础设施和部署IT环境,企业购买软件服务为主要特征。SaaS服务提供商负责系统的开发、部署、IT基础设施建设……

  • 关于云应用程序的十大关键要素

    本文概括了云应用程序的十大关键要素,以帮助企业区分真假云计算应用程序。不能满足以下条件的云应用程序和他们的供应商,就不可能发挥SaaS所提供的完全收益。