企業(yè)組織在選擇IT風險評估框架時，需要遵循“合適才是最好的”的原則，合適的風險評估框架和方法可以幫助其打消IT疑慮?；谟脩舴答?，企業(yè)組織可以重點關(guān)注NIST RMF、OCTAVE、COBIT、TARA和FAIR這五大風險評估框架，每個框架都有其特點和適用的場景。

[[434775]]

NIST RMF

美國國家標準與技術(shù)研究院(簡稱“NIST”)的風險管理框架(簡稱“RMF”)，提供了一個將安全、隱私和供應(yīng)鏈風險管理活動集成到系統(tǒng)開發(fā)生命周期中的流程。它可以應(yīng)用于任何類型的系統(tǒng)或技術(shù)，包括物聯(lián)網(wǎng)(IoT)和控制系統(tǒng)，以及任何類型的企業(yè)組織，無論其規(guī)?；虿块T如何。

NIST RMF的七個步驟是：

• 準備，包括為企業(yè)組織管理安全和隱私風險所有準備的必要活動。
• 分類，包括分類系統(tǒng)和基于影響分析處理、存儲和傳輸?shù)男畔ⅰ?/li>
• 選擇，根據(jù)風險評估選擇一組NIST SP 800-53控制來保護系統(tǒng)。
• 實施，部署控制系統(tǒng)并記錄它們的部署方式。
• 評估，確定控制系統(tǒng)是否到位，是否按預(yù)期運行，并產(chǎn)生預(yù)期的結(jié)果。
• 授權(quán)，高級管理人員做出基于風險的決定來授權(quán)系統(tǒng)運行。
• 監(jiān)控，包括持續(xù)監(jiān)控控制系統(tǒng)的實施和系統(tǒng)風險。

NIST RMF可以根據(jù)企業(yè)組織需求進行定制，并應(yīng)經(jīng)常評估和更新該框架，許多工具支持該標準。值得注意的一點是，IT專業(yè)人員“在部署NIST RMF時要明白，它不是一個自動化工具，而是一個需要嚴格遵守紀律才能正確建模風險的文件化框架。”該框架關(guān)聯(lián)到一套NIST標準和指南，以支持風險管理計劃的實施，滿足美國聯(lián)邦信息安全現(xiàn)代化法案(FISMA)的要求。

OCTAVE

OCTAVE(運營關(guān)鍵威脅、資產(chǎn)和漏洞評估)，由卡內(nèi)基梅隆大學的計算機應(yīng)急小組(CERT)開發(fā)，是用于識別和管理信息安全風險的框架。它從物理、技術(shù)和人力資源的角度來看待安全，可以識別企業(yè)組織關(guān)鍵任務(wù)資產(chǎn)，并發(fā)現(xiàn)威脅和漏洞。

企業(yè)組織通過信息資產(chǎn)、威脅和漏洞識別，可以了解哪些信息面臨風險，并設(shè)計和部署策略來降低整體風險。不過，OCTAVE部署起來可能比較復雜，而且只能通過定性方法進行量化。目前，有兩個版本的OCTAVE：一個是OCTAVE-S，專為具有扁平層次結(jié)構(gòu)的小型企業(yè)組織而設(shè)計，是一種簡化方法。另一個是OCTAVE Allegro，適用于大型或結(jié)構(gòu)復雜的企業(yè)組織，是一個更全面的框架。OCTAVE允許運營團隊和IT團隊一起協(xié)作來解決企業(yè)組織的安全需求。

COBIT

COBIT(即信息和相關(guān)技術(shù)的控制目標)，來自ISACA(國際信息系統(tǒng)審計協(xié)會)，是IT管理和治理的框架。它以業(yè)務(wù)為中心，并為IT管理定義了一組通用流程，每個流程都融合了流程輸入和輸出、關(guān)鍵活動、目標、績效度量和基本成熟度模型等因素。一位業(yè)內(nèi)人士表示，“COBIT是解決企業(yè)組織信息和技術(shù)治理和管理的模型，雖然其主要目的不是專門針對風險，但在整個框架中整合了多種風險實踐，并引用了多個全球公認的風險框架。”

COBIT是“與 IT 管理流程和政策執(zhí)行相一致的高級框架，”安全軟件提供商趨勢科技首席網(wǎng)絡(luò)安全官、美國特勤局前CISO Ed Cabrera表示，“挑戰(zhàn)在于COBIT成本高昂，并且需要具備很高的知識和技能才能實施。”據(jù)ISACA介紹，最新版本COBIT 2019提供了更多實施資源、指導和見解，以及全面的培訓機會。它實施起來會更加靈活，使企業(yè)組織能夠通過框架定制其IT治理。

TARA

根據(jù)網(wǎng)絡(luò)安全公司MITRE的定義，TARA(威脅評估和補救分析)是一種工程方法，用于識別和評估網(wǎng)絡(luò)安全漏洞并部署對策來緩解它們。TARA是一種在考慮緩解措施的同時確定關(guān)鍵風險的實用方法，其獨特之處包括使用目錄存儲的緩解映射方式，為給定的攻擊向量范圍預(yù)先選擇可能的對策，以及提供基于風險容忍度的對策。

該框架是MITRE系統(tǒng)安全工程(SSE)實踐組合的一部分。MITRE方面表示，“TARA評估方法可以被描述為聯(lián)合交易研究，其中第一個交易是基于評估的風險識別和排列攻擊向量，第二個交易是基于評估的效用、成本識別和選擇對策。”

FAIR

FAIR(信息風險因素分析)是對導致風險的因素及其相互關(guān)系進行分類的方法。該框架由 Nationwide Mutual Insurance前首席信息安全官Jack Jones開發(fā)，主要為數(shù)據(jù)丟失事件的頻率和幅度建立準確概率。

FAIR不是用于企業(yè)組織或個人風險評估的方法，但它為企業(yè)組織提供一種理解、分析和衡量信息風險的方法。該框架的組成部分包括信息風險分類法、信息風險術(shù)語的標準化命名法、建立數(shù)據(jù)收集標準的方法、風險因素的度量尺度、評估風險的計算引擎以及分析復雜風險情景的模型。

FAIR是為信息安全和運營風險提供可靠量化模型的少數(shù)方法之一，這種務(wù)實的風險框架為評估企業(yè)組織風險提供了堅實基礎(chǔ)。不過，雖然FAIR提供了威脅、漏洞和風險的全面定義，但是卻沒有很好的記錄，因此難以實施。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文