Найти в Дзене
DigiNews
1789 подписчиков

6 фреймворков оценки рисков в сравнении

7 мин
Технологии — ценный актив, но и главный риск. Оценка ИТ-рисков с помощью фреймворков (COBIT, FAIR, ISO/IEC 27001, NIST RMF, OCTAVE, TARA) помогает организациям измерять и минимизировать угрозы, связанные с кибератаками, сбоями и несоблюдением норм. — csoonline.com Для многих бизнес-процессов технологии стали незаменимыми. Поэтому они являются одним из самых ценных активов компании. К сожалению, они же представляют собой и один из самых больших рисков — что и выводит на сцену фреймворки оценки рисков (Risk-Assessment-Frameworks). Формальная оценка ИТ-рисков позволяет организациям лучше понять, в какой степени их системы, устройства и данные подвержены вредоносному воздействию. Например, в форме киберугроз, нарушений соответствия требованиям (Compliance-Verfehlungen) или сбоев. Кроме того, с помощью соответствующих рамок ИТ- и руководители по безопасности могут лучше оценить последствия таких событий. В конечном счете цель состоит в минимизации всех выявленных рисков и их влияния. В этой
Оглавление

Технологии — ценный актив, но и главный риск. Оценка ИТ-рисков с помощью фреймворков (COBIT, FAIR, ISO/IEC 27001, NIST RMF, OCTAVE, TARA) помогает организациям измерять и минимизировать угрозы, связанные с кибератаками, сбоями и несоблюдением норм. — csoonline.com

Для многих бизнес-процессов технологии стали незаменимыми. Поэтому они являются одним из самых ценных активов компании. К сожалению, они же представляют собой и один из самых больших рисков — что и выводит на сцену фреймворки оценки рисков (Risk-Assessment-Frameworks).

Формальная оценка ИТ-рисков позволяет организациям лучше понять, в какой степени их системы, устройства и данные подвержены вредоносному воздействию. Например, в форме киберугроз, нарушений соответствия требованиям (Compliance-Verfehlungen) или сбоев. Кроме того, с помощью соответствующих рамок ИТ- и руководители по безопасности могут лучше оценить последствия таких событий. В конечном счете цель состоит в минимизации всех выявленных рисков и их влияния.

В этой статье мы (вкратце) представляем шесть популярных фреймворков оценки рисков, каждый из которых нацелен на специфические области риска.

1. COBIT

Что это: За COBIT (Control Objectives for Information and Related Technology) стоит международная профессиональная ИТ-ассоциация ISACA, специализирующаяся на ИТ-управлении (IT Governance). Этот очень всеобъемлющий и широкомасштабный фреймворк был разработан для поддержки ИТ предприятия в плане:

  • понимания,
  • проектирования,
  • внедрения,
  • управления и
  • руководства.

Что он может: По данным ISACA, COBIT определяет компоненты и факторы проектирования для создания и поддержания оптимальной системы управления. Текущая версия, COBIT 2019, основана на секстете принципов управления:

  1. Предоставление ценности для заинтересованных сторон
  2. Реализация целостного подхода
  3. Динамическое формирование системы управления
  4. Разделение управления и менеджмента
  5. Адаптация к индивидуальным потребностям предприятия
  6. Реализация сквозной системы управления

Как это работает: Фреймворк COBIT ориентирован на бизнес и определяет ряд общих процессов для управления ИТ-компонентами. При этом также устанавливаются входы и выходы, ключевые действия, целевые показатели, эксплуатационные метрики и базовая модель зрелости.

Полезно знать: По данным ISACA, COBIT допускает гибкое внедрение и позволяет компаниям адаптировать свою стратегию управления.

2. FAIR

Что это: Фреймворк FAIR (Factor Analysis of Information Risk) представляет собой методологию для количественной оценки и управления рисками предприятия. За ним стоит Fair Institute — научно-ориентированная некоммерческая организация, занимающаяся управлением операционными рисками и рисками безопасности. По словам создателей, FAIR — единственная международная количественная стандартная модель для выявления такого рода рисков.

Что он может: FAIR предлагает модель для финансового понимания, анализа и количественной оценки упомянутых рисков. По данным Fair Institute, он отличается от других фреймворков оценки рисков тем, что не фокусируется на качественных цветных диаграммах или численно взвешенных шкалах. Вместо этого FAIR стремится предоставить основу для разработки надежного подхода к управлению рисками.

Как это работает: FAIR в первую очередь определяет вероятности с точки зрения частоты и масштаба событий потери данных (Data-Loss-Ereignissen). Это не методология для проведения индивидуальных оценок рисков. Скорее, фреймворк призван дать компаниям возможность понимать, анализировать и измерять ИТ-риски.

Компоненты фреймворка FAIR включают:

  • Таксономию ИТ-рисков,
  • Стандартизированную номенклатуру рисков,
  • Метод определения критериев сбора данных,
  • Шкалы измерения факторов риска,
  • Механизм для расчетов рисков, а также
  • Модель для анализа сложных сценариев риска.

Полезно знать: Количественный подход FAIR к оценке рисков применим в различных отраслях.

3. ISO/IEC 27001

Что это: ISO/IEC 27001 — это международный стандарт, который предоставляет руководящие указания по управлению информационной безопасностью (IT-Security-Management). Изначально он был совместно опубликован в 2005 году Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) и с тех пор постоянно пересматривается.

Что он может: По словам ответственных лиц, ISO/IEC 27001 является руководством для компаний любого размера и из всех отраслей по созданию, внедрению, поддержанию и постоянному улучшению Системы менеджмента информационной безопасности (СМИБ, Information Security Management System, ISMS).

Как это работает: ISO/IEC 27001 способствует целостному подходу к кибербезопасности, который подвергает проверке людей, политики и технологии. СМИБ, созданная на этой основе, по данным ISO, является инструментом для управления рисками, киберустойчивости и операционного совершенства.

Полезно знать: Соответствие ISO/IEC 27001 означает соответствие всемирно признанному стандарту и активное управление рисками безопасности данных.

4. NIST Risk Management Framework

Что это: Risk Management Framework (RMF) был разработан американским ведомством NIST (Национальный институт стандартов и технологий). Этот фреймворк фокусируется на всеобъемлющем, многократно используемом и измеримом семиэтапном процессе управления ИТ-рисками и рисками конфиденциальности данных. При этом применяется целый ряд собственных стандартов и руководств NIST для поддержки реализации инициатив по управлению рисками.

Что он может: По данным NIST, RMF реализует процесс, который интегрирует мероприятия по управлению рисками в области безопасности, конфиденциальности данных и цепочки поставок в жизненный цикл разработки систем. При этом подход учитывает эффективность, результативность и ограничения, налагаемые действующими законами, директивами, указами, политиками, стандартами или нормативными актами.

Как это работает: Семиэтапный процесс NIST RMF делится на:

  1. Основные мероприятия для подготовки организации к работе с рисками безопасности и конфиденциальности данных.
  2. Категоризация систем и данных, которые обрабатываются, хранятся и передаются, на основе анализа воздействия (Impact-Analyse).
  3. Выбор ряда мер контроля для защиты систем на основе оценки рисков.
  4. Внедрение мер контроля и документирование процесса их внедрения.
  5. Проверка мер контроля и оценка того, работают ли они должным образом.
  6. Авторизация работы системы на основе решения, основанного на риске.
  7. Постоянный мониторинг внедрения и системных рисков.

Полезно знать: RMF предлагает процедурный и упорядоченный процесс для поддержки организаций во внедрении безопасности в их общие процессы управления рисками.

5. OCTAVE

Что это: OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation (PDF)) — это фреймворк для выявления и управления рисками в области кибербезопасности. Он был разработан командой CERT Университета Карнеги — Меллона в США.

Что он может: Этот фреймворк оценки рисков определяет всеобъемлющий метод оценки. Он позволяет компаниям не только идентифицировать критически важные для миссии ИТ-активы, но и связанные с ними угрозы, а также уязвимости, которые их делают возможными.

Как это работает: По словам ответственных лиц, сопоставление ИТ-активов, угроз и уязвимостей позволяет компаниям понять, какие данные действительно находятся под угрозой. Вооружившись этим пониманием, пользователи могут разработать и внедрить стратегию защиты для их устойчивого обеспечения.

Полезно знать: Фреймворк OCTAVE доступен в двух версиях.

  • OCTAVE-S предлагает упрощенную методологию, ориентированную на малые предприятия с плоскими иерархическими структурами.
  • OCTAVE Allegro, напротив, является более всеобъемлющим фреймворком, который в первую очередь подходит для крупных компаний или компаний со сложными структурами.

6. TARA

Что это: TARA (Threat Assessment and Remediation Analysis) представляет собой инженерную методологию, с помощью которой можно выявлять, оценивать и устранять уязвимости безопасности. Этот фреймворк разработан некоммерческой организацией MITRE.

Что он может: Фреймворк является частью портфолио систем MITRE, которое направлено на решение вопросов гигиены кибербезопасности и устойчивости ИТ-систем на максимально ранней стадии (в рамках процесса закупок).

Как это работает: Фреймворк TARA использует каталог данных для выявления векторов атак, которые могут быть использованы для эксплуатации системных уязвимостей, а также для инициирования потенциальных контрмер.

Полезно знать: TARA был первоначально разработан в 2010 году и уже использовался более чем в 30 оценках киберрисков. Этот фреймворк особенно подходит для исследований рисков, сосредоточенных на угрозах безопасности. (fm)

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Bob Violino

Оригинал статьи

Бизнес и финансы
1,13 млн интересуются