本文轉(zhuǎn)載自微信公眾號(hào)「計(jì)算機(jī)世界」，作者Bob Violino 。轉(zhuǎn)載本文請(qǐng)聯(lián)系計(jì)算機(jī)世界公眾號(hào)。

從網(wǎng)絡(luò)安全的角度來(lái)看，企業(yè)正在一個(gè)高風(fēng)險(xiǎn)的世界中運(yùn)行，評(píng)估和管理風(fēng)險(xiǎn)的能力或許從未如此重要。電信公司Mitel Networks的CISO Arvind Raman表示：“擁有風(fēng)險(xiǎn)管理框架至關(guān)重要，因?yàn)轱L(fēng)險(xiǎn)永遠(yuǎn)無(wú)法完全消除，它只能被有效地管理。否則，企業(yè)可能會(huì)發(fā)現(xiàn)自己成為數(shù)據(jù)泄露或勒索軟件攻擊的目標(biāo)，或者容易受到許多其他安全問(wèn)題的攻擊。”

Protiviti咨詢公司的網(wǎng)絡(luò)安全和隱私執(zhí)行總經(jīng)理Andrew Retrum表示，在選擇框架時(shí)最關(guān)鍵的是要考慮它是否“匹配目標(biāo)”，且最符合預(yù)期結(jié)果。Retrum說(shuō)：“選擇企業(yè)內(nèi)部已經(jīng)熟知和理解的框架也大有裨益。它使框架的使用更加一致和高效，并方便整個(gè)企業(yè)中的個(gè)人使用統(tǒng)一的語(yǔ)言。”

企業(yè)可以充分利用風(fēng)險(xiǎn)評(píng)估框架來(lái)幫助指導(dǎo)安全和風(fēng)險(xiǎn)管理人員。下面我們來(lái)看看其中一些最重要的框架，其中每個(gè)框架都旨在解決特定領(lǐng)域的風(fēng)險(xiǎn)。

NIST 風(fēng)險(xiǎn)管理框架

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的風(fēng)險(xiǎn)管理框架(RMF)提供了一個(gè)全面、可重復(fù)和可測(cè)量的七步流程，企業(yè)可用此流程來(lái)管理信息安全和隱私風(fēng)險(xiǎn)。它也與一套NIST的標(biāo)準(zhǔn)和指南相關(guān)聯(lián)，支持風(fēng)險(xiǎn)管理計(jì)劃的實(shí)施，以滿足《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)的要求。

據(jù)NIST稱，RMF提供了一個(gè)將安全、隱私和供應(yīng)鏈風(fēng)險(xiǎn)管理活動(dòng)都集成到系統(tǒng)開發(fā)生命周期中的流程。它可以應(yīng)用于新的、舊的或任何類型的系統(tǒng)或技術(shù)，包括物聯(lián)網(wǎng)(IoT)和控制系統(tǒng)，以及無(wú)論規(guī)模大小、部門多少的任何類型的企業(yè)。這七個(gè) RMF 步驟是：

1. 準(zhǔn)備，包括準(zhǔn)備企業(yè)管理安全和隱私風(fēng)險(xiǎn)的基本活動(dòng)。

2. 分類，包括利用影響分析處理、存儲(chǔ)和傳輸?shù)姆诸愊到y(tǒng)和信息。

3. 選擇，即根據(jù)風(fēng)險(xiǎn)評(píng)估選擇一組NIST SP 800-53控制措施來(lái)保護(hù)系統(tǒng)。

4. 實(shí)施，部署控制措施并記錄其部署方式。

5. 評(píng)估，確定控制措施是否到位，是否按預(yù)期運(yùn)行，是否達(dá)到預(yù)期結(jié)果。

6. 授權(quán)，高級(jí)管理人員做出基于風(fēng)險(xiǎn)的決定，授權(quán)系統(tǒng)運(yùn)行。

7. 監(jiān)控，包括持續(xù)監(jiān)控控制實(shí)施和系統(tǒng)風(fēng)險(xiǎn)。

“NIST RMF可以根據(jù)企業(yè)需求量身定制，”Raman說(shuō)。它經(jīng)常被評(píng)估和更新，而且有許多工具支持其制定的標(biāo)準(zhǔn)。至關(guān)重要的是，IT 專業(yè)人員都清楚，不能像部署一個(gè)自動(dòng)化工具一樣來(lái)部署 NIST RMF ，而應(yīng)該把它當(dāng)作是一個(gè)需要嚴(yán)格遵守紀(jì)律才能正確對(duì)風(fēng)險(xiǎn)建模的記錄框架。

Escoute Consulting總裁兼信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)發(fā)言人Mark Thomas表示，NIST已經(jīng)出版了一些與風(fēng)險(xiǎn)相關(guān)的出版物，這些出版物易于理解，且適用于大多數(shù)企業(yè)。

他說(shuō)：“這些參考資料提供了一個(gè)整合安全、隱私和網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理活動(dòng)的流程，有助于控制措施的選擇和政策制定，NIST框架是政府、私人和公共企業(yè)的有力參考，有時(shí)被認(rèn)為是政府實(shí)體的指南。”

OCTAVE

可操作的關(guān)鍵威脅、資產(chǎn)和薄弱點(diǎn)評(píng)估 (OCTAVE)是由Carnegie mellon大學(xué)計(jì)算機(jī)應(yīng)急準(zhǔn)備團(tuán)隊(duì)(CERT) 開發(fā)的，它是用于識(shí)別和管理信息安全風(fēng)險(xiǎn)的框架。它定義了一種綜合的評(píng)估方法，使企業(yè)能夠識(shí)別對(duì)其目標(biāo)非常重要的信息資產(chǎn)、這些資產(chǎn)面臨的威脅，以及可能使這些資產(chǎn)面臨威脅的漏洞。

通過(guò)將信息資產(chǎn)、威脅和漏洞整合在一起，企業(yè)可以了解哪些信息存在風(fēng)險(xiǎn)。有了這一認(rèn)識(shí)，他們就可以設(shè)計(jì)和部署策略來(lái)降低信息資產(chǎn)的總體風(fēng)險(xiǎn)敞口。

有兩個(gè)版本的OCTAVE可供選擇。一個(gè)是OCTAVE-S，這是一種簡(jiǎn)化的方法，專為具有扁平層次結(jié)構(gòu)的小型企業(yè)而設(shè)計(jì)。另一個(gè)是OCTAVE Allegro，這是一個(gè)更全面的框架，適用于大型企業(yè)或具有復(fù)雜結(jié)構(gòu)的企業(yè)。

Raman說(shuō)：“OCTAVE是一個(gè)設(shè)計(jì)良好的風(fēng)險(xiǎn)評(píng)估框架，因?yàn)樗鼜奈锢怼⒓夹g(shù)和人力資源的角度來(lái)看待安全問(wèn)題。它可以識(shí)別對(duì)任何企業(yè)而言都至關(guān)重要的資產(chǎn)，并發(fā)現(xiàn)威脅和漏洞。但是，對(duì)它進(jìn)行部署可能非常復(fù)雜，而且它只能通過(guò)定性方法進(jìn)行量化。”

Thomas 表示，該方法的靈活性讓運(yùn)營(yíng)和 IT 團(tuán)隊(duì)可以協(xié)同工作，滿足企業(yè)的安全需求。

作者：Bob Violino，特約撰稿人

原文網(wǎng)址：

http://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html