企业组织在选择IT风险评估框架时,需要遵循“合适才是最好的”的原则,合适的风险评估框架和方法可以帮助其打消IT疑虑。基于用户反馈,企业组织可以重点关注NIST RMF、OCTAVE、COBIT、TARA和FAIR这五大风险评估框架,每个框架都有其特点和适用的场景。
NIST RMF
美国国家标准与技术研究院(简称“NIST”)的风险管理框架(简称“RMF”),提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的流程。它可以应用于任何类型的系统或技术,包括物联网(IoT)和控制系统,以及任何类型的企业组织,无论其规模或部门如何。
NIST RMF的七个步骤是:
准备,包括为企业组织管理安全和隐私风险所有准备的必要活动。
分类,包括分类系统和基于影响分析处理、存储和传输的信息。
选择,根据风险评估选择一组NIST SP 800-53控制来保护系统。
实施,部署控制系统并记录它们的部署方式。
评估,确定控制系统是否到位,是否按预期运行,并产生预期的结果。
授权,高级管理人员做出基于风险的决定来授权系统运行。
监控,包括持续监控控制系统的实施和系统风险。
NIST RMF可以根据企业组织需求进行定制,并应经常评估和更新该框架,许多工具支持该标准。值得注意的一点是,IT专业人员“在部署NIST RMF时要明白,它不是一个自动化工具,而是一个需要严格遵守纪律才能正确建模风险的文件化框架。”该框架关联到一套NIST标准和指南,以支持风险管理计划的实施,满足美国联邦信息安全现代化法案(FISMA)的要求。
OCTAVE
OCTAVE(运营关键威胁、资产和漏洞评估),由卡内基梅隆大学的计算机应急小组(CERT)开发,是用于识别和管理信息安全风险的框架。它从物理、技术和人力资源的角度来看待安全,可以识别企业组织关键任务资产,并发现威胁和漏洞。
企业组织通过信息资产、威胁和漏洞识别,可以了解哪些信息面临风险,并设计和部署策略来降低整体风险。不过,OCTAVE部署起来可能比较复杂,而且只能通过定性方法进行量化。目前,有两个版本的OCTAVE:一个是OCTAVE-S,专为具有扁平层次结构的小型企业组织而设计,是一种简化方法。另一个是OCTAVE Allegro,适用于大型或结构复杂的企业组织,是一个更全面的框架。OCTAVE允许运营团队和IT团队一起协作来解决企业组织的安全需求。
COBIT
COBIT(即信息和相关技术的控制目标),来自ISACA(国际信息系统审计协会),是IT管理和治理的框架。它以业务为中心,并为IT管理定义了一组通用流程,每个流程都融合了流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型等因素。一位业内人士表示,“COBIT是解决企业组织信息和技术治理和管理的模型,虽然其主要目的不是专门针对风险,但在整个框架中整合了多种风险实践,并引用了多个全球公认的风险框架。”
COBIT是“与 IT 管理流程和政策执行相一致的高级框架,”安全软件提供商趋势科技首席网络安全官、美国特勤局前CISO Ed Cabrera表示,“挑战在于COBIT成本高昂,并且需要具备很高的知识和技能才能实施。”据ISACA介绍,最新版本COBIT 2019提供了更多实施资源、指导和见解,以及全面的培训机会。它实施起来会更加灵活,使企业组织能够通过框架定制其IT治理。
TARA
根据网络安全公司MITRE的定义,TARA(威胁评估和补救分析)是一种工程方法,用于识别和评估网络安全漏洞并部署对策来缓解它们。TARA是一种在考虑缓解措施的同时确定关键风险的实用方法,其独特之处包括使用目录存储的缓解映射方式,为给定的攻击向量范围预先选择可能的对策,以及提供基于风险容忍度的对策。
该框架是MITRE系统安全工程(SSE)实践组合的一部分。MITRE方面表示,“TARA评估方法可以被描述为联合交易研究,其中第一个交易是基于评估的风险识别和排列攻击向量,第二个交易是基于评估的效用、成本识别和选择对策。”
FAIR
FAIR(信息风险因素分析)是对导致风险的因素及其相互关系进行分类的方法。该框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones开发,主要为数据丢失事件的频率和幅度建立准确概率。
FAIR不是用于企业组织或个人风险评估的方法,但它为企业组织提供一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量尺度、评估风险的计算引擎以及分析复杂风险情景的模型。
FAIR是为信息安全和运营风险提供可靠量化模型的少数方法之一,这种务实的风险框架为评估企业组织风险提供了坚实基础。不过,虽然FAIR提供了威胁、漏洞和风险的全面定义,但是却没有很好的记录,因此难以实施。
