五大IT风险评估框架对比

在选择IT风险评估框架时,需要遵循“合适的才是最好的”的原则。合适的风险评估框架和方法可以帮助企业打消 IT 风险评估的疑虑。

以下我们将基于真实用户反馈重点介绍和比较COBIT、OCTAVE、FAIR、NIST RMF 和 TARA 这五大风险评估框架,其中每个框架都有自己擅长的领域。

NIST 风险管理框架

美国国家标准与技术研究院 (NIST)的风险管理框架 (RMF)提供了一个全面、可重复和可衡量的七步流程,组织可以用来管理信息安全和隐私风险。它关联到一套 NIST 标准和指南,以支持风险管理计划的实施,以满足联邦信息安全现代化法案 (FISMA) 的要求。 

据 NIST 称,RMF 提供了一个将安全、隐私和供应链风险管理活动集成到系统开发生命周期中的流程。它可以应用于新旧系统、任何类型的系统或技术,包括物联网 (IoT) 和控制系统,以及任何类型的组织,无论其规模或部门如何。RMF 的七个步骤是:

  • 准备,包括为组织管理安全和隐私风险做好准备的必要活动。
  • 分类,包括分类系统和基于影响分析处理、存储和传输的信息。
  • 选择,即根据风险评估选择一组NIST SP 800-53控制来保护系统;
  • 实施、部署控制并记录它们的部署方式。
  • 评估,以确定控制是否到位,是否按预期运行,并产生预期的结果。
  • 授权,高级管理人员做出基于风险的决定来授权系统运行。
  • 监控,包括持续监控控制实施和系统风险。

NIST RMF 可以根据组织需求进行定制,经常被评估和更新,许多工具支持该标准。至关重要的是,IT 专业人员“在部署 NIST RMF 时要明白,它不是一个自动化工具,而是一个需要严格纪律才能正确建模风险的文件化框架。

OCTAVE

OCTAVE(运营关键威胁、资产和漏洞评估),由卡内基梅隆大学的计算机应急小组(CERT)开发,是用于识别和管理信息安全风险的框架。它定义了一种综合评估方法,允许组织识别对其目标很重要的信息资产、对这些资产的威胁以及可能使这些资产面临威胁的漏洞。

通过将信息资产、威胁和漏洞放在一起,组织可以开始了解哪些信息面临风险。有了这种理解,他们就可以设计和部署策略来降低信息资产的整体风险敞口。

有两个版本的 OCTAVE。一个是 OCTAVE-S,这是一种简化的方法,专为具有扁平层次结构的小型组织而设计。另一个是OCTAVE Allegro,它是一个更全面的框架,适用于大型组织或结构复杂的组织。

OCTAVE 是一个精心设计的风险评估框架,因为它从物理、技术和人力资源的角度来看待安全,可以识别组织的关键任务的资产,并发现威胁和漏洞。但是,OCTAVE部署起来可能非常复杂,而且只能通过定性方法进行量化。

不过,OCTAVE方法比较灵活,允许运营团队和 IT 团队一起协作来解决组织的安全需求。

COBIT

信息和相关技术的控制目标 (COBIT),来自 ISACA,是 IT 管理和治理的框架。它旨在以业务为中心,并为 IT 管理定义了一组通用流程。每个流程都与流程输入和输出、关键活动、目标、绩效度量和基本成熟度模型一起定义。

据 ISACA 称,最新版本 COBIT 2019 提供了更多实施资源、实践指导和见解,以及全面的培训机会。它表示实施现在更加灵活,使组织能够通过框架定制他们的治理。

COBIT 是“与 IT 管理流程和政策执行相一致的高级框架,”安全软件提供商趋势科技首席网络安全官、美国特勤局前 CISO  Ed Cabrera 说。“挑战在于 COBIT 成本高昂,并且需要很高的知识和技能才能实施。”

该框架“是解决企业信息和技术治理和管理的唯一模型,其中包括对安全和风险的重视,”托马斯说。“虽然 COBIT 的主要目的不是专门针对风险,但它在整个框架中整合了多种风险实践,并引用了多个全球公认的风险框架。”

TARA

根据MITRE的定义,威胁评估和补救分析 (TARA)是一种工程方法,用于识别和评估网络安全漏洞并部署对策来缓解它们。

该框架是 MITRE 系统安全工程 (SSE) 实践组合的一部分。“TARA 评估方法可以被描述为联合交易研究,其中第一个交易基于评估的风险识别和排列攻击向量,第二个交易基于评估的效用和成本识别和选择对策,”该组织声称。

该方法的独特之处包括使用目录存储的缓解映射,为给定的攻击向量范围预先选择可能的对策,以及基于风险容忍度的对策策略的使用。

TARA是一种在考虑缓解措施的同时确定关键风险的实用方法。

FAIR

信息风险因素分析 (FAIR)是对导致风险的因素以及它们如何相互影响的分类法。该框架由 Nationwide Mutual Insurance 前首席信息安全官 Jack Jones 开发,主要关注为数据丢失事件的频率和幅度建立准确的概率。

FAIR 不是用于进行企业或个人风险评估的方法,但它为组织提供了一种理解、分析和衡量信息风险的方法。该框架的组成部分包括信息风险分类法、信息风险术语的标准化命名法、建立数据收集标准的方法、风险因素的度量尺度、计算风险的计算引擎以及分析复杂风险情景的模型。

FAIR“是为信息安全和运营风险提供可靠量化模型的少数方法之一,这种务实的风险框架为评估企业的风险提供了坚实的基础。但是,虽然 FAIR 提供了威胁、漏洞和风险的全面定义,却没有很好的记录,因此难以实施。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:
标签: ,


关于作者

最牛的信息安全新媒体 (www.aqniu.com)

X