什么是风险:
风险=中国体育彩票开奖x漏洞x资产
企业风险评估和企业风险管理流程是信息安全框架的核心。这些过程建立了安全策略的规则和准则,同时将信息安全框架的目标转变为用于实施关键控制措施和机制的具体计划,以最大程度地减少中国体育彩票开奖和漏洞。应评估技术基础架构的每个部分的风险状况。通过该评估,应确定有效和有效地分配组织的时间和金钱,以实现最合适和最充分采用的整体安全策略。进行此类风险评估的过程可能非常复杂,在决定如何解决各种IT资源的安全性时,应考虑行动(或不作为)的次要影响和其他影响。
具体而言,企业安全风险评估旨在适合于以下各项,可能适用于任何组织:
- 确保以经济有效的方式管理安全风险的方法
- 用于控制的实施和管理的过程框架,以确保满足组织的特定安全目标
- 新信息安全管理流程的定义
- 管理层用来确定信息安全管理活动的状态
- 内部和外部审核员用来确定组织所采用的政策,指令和标准的遵守程度
- 用于实现支持业务的信息安全
- 向客户提供有关信息安全的相关信息
TRA方法论
- 请求已启动
- 制定评估范围,计划和时间表
- 进行评估
- 审核安全计划,文档和控制
- 识别可能影响总体IT和安全方向的业务需求和需求变更。
- 审查现有安全策略,标准,准则和程序是否足够。
- 评估应用于计算设备和其他网络组件的物理保护。
- 对网络体系结构,协议和组件进行技术和程序审查和分析,以确保根据安全策略实施它们。
- 查看并检查远程访问系统,服务器,防火墙和外部网络连接(包括客户端Internet连接)的配置,实施和使用情况。
- 查看逻辑访问和其他身份验证机制。
- 审查组织内部人员当前的安全意识和承诺水平;审查涉及供应商和承包商的服务或产品的协议。
- 进行漏洞扫描
- 分析资产,中国体育彩票开奖和漏洞,包括其影响和可能性。
- 执行中国体育彩票开奖分析(NIST 800-30 P12)
- 识别中国体育彩票开奖源
- 识别中国体育彩票开奖事件
- 确定漏洞和利用这些漏洞所需的条件
- 确定此类攻击成功的可能性
- 确定潜在影响
- 识别风险 (NIST 800-30 P12)
- 确定构成的风险
- 风险缓解和建议
- 制定实用的技术建议,以解决已发现的漏洞,并降低安全风险的水平。
- 报告/结果与完成
- 以下信息的附录
- 安全要求和目标
- 系统或网络体系结构和基础结构,例如显示资产配置和互连方式的网络图
- 公开信息或可从组织的网站访问的信息
- 物理资产,例如硬件,包括数据中心,网络,通信组件和外围设备(例如,台式机,笔记本电脑,PDA)中的硬件
- 操作系统,例如PC和服务器操作系统以及网络管理系统
- 数据存储库,例如数据库管理系统和文件
- 所有申请清单
- 网络详细信息,例如支持的协议和提供的网络服务
- 使用中的安全系统,例如访问控制机制,变更控制,防病毒,垃圾邮件控制和网络监视
- 部署的安全组件,例如防火墙和入侵检测系统
- 业务流程,计算机操作流程,网络操作流程和应用程序操作流程等流程
- 身份验证机制
- 有关最低安全控制要求的政府法律法规
- 书面或非正式政策,程序和指南
- 识别并记录中国体育彩票开奖源
对于对抗性中国体育彩票开奖,您需要访问 潜在攻击者的能力,意图和目标。这是NIST用于量化中国体育彩票开奖的规模示例。请注意,将评估分为附带值的中国体育彩票开奖级别的方式。这些将有助于计算您的风险。
对于非对抗性中国体育彩票开奖, 您只需要权衡事件发生后的潜在影响。
2.识别中国体育彩票开奖事件
从: //www.thesslstore.com/blog/cyber-risk-assessment/
NIST提供的示例有五页,这只是在强调您需要的综合程度。您无法为无法预料的中国体育彩票开奖做准备,因此这一步至关重要。这是几乎每个组织都面临的某些类型的中国体育彩票开奖。
- 未经授权的访问-本质上可以是对抗性的也可以是非对抗性的,可能是由于攻击,恶意软件甚至是员工错误而引起的。
- 授权用户滥用信息–这通常是内部人的中国体育彩票开奖,如果擅自更改,删除或使用数据,可能会发生内部中国体育彩票开奖。
- PII的数据泄漏/意外泄露–个人识别信息(在欧盟中被称为个人数据)在任何时候被更改,删除或透露给未经授权的一方都被视为泄露。即使是偶然的。
- 数据丢失–与先前的观点相吻合,发生在备份丢失或复制不当导致组织丢失或意外删除数据时。
- 服务/生产力中断–这是不言而喻的。
用于评估每种中国体育彩票开奖的相关性的量表。
3.识别漏洞以及消除漏洞所需的条件
这是NIST用于确定哪些漏洞与这些中国体育彩票开奖一致的,然后将其纳入考虑范围的标度–是否有适当的控制措施来缓解此类事件。
4.确定此类攻击成功的可能性
5.确定潜在影响
创建一个两列的表格,并在一侧组织不同类型的影响(对操作的损害,对资产的损害等), 同时列出影响可以发挥作用的不同方式。这是一个例子。
您可能还需要分类来涵盖对资产的危害(您甚至可能希望对其进行细分,以涉及实物资产,数字资产等),对个人或数据主体的危害,对像您的合作伙伴这样的第三方组织的危害。如果您感到爱国NIST也有一个“损害国家”的类别。
这是NIST提出的衡量影响的规模。
6.确定您的组织风险
您的风险最终将由事件的可能性及其带来的潜在影响的融合来确定。有多种计算方法,您可以使用NIST提供的量表,将数字分配给可能性和影响,然后以这种方式进行计算,也可以使用行业或监管机构支持的替代方法您的组织。由于我们在本文中一直引用NIST,因此我们最后一次使用它们的示例。 NIST建议政府实体量化风险等级的规模如下:
| 确定的中国体育彩票开奖 |
影响力
|
可能性
|
值
|
风险计算
|
| 未经授权的访问(恶意或意外) |
高[100]
|
高
[1.0] |
100 * 1.0 = 100
|
严重
|
| 授权用户滥用信息 |
高[100]
|
中[.5]
|
100 * .5 = 50
|
高架
|
| 数据泄漏/意外泄露客户信息 |
高[100]
|
中[.5]
|
100 * .5 = 50
|
高架
|
| 处理失败 |
高[100]
|
低
[.1] |
100 * .1 = 10
|
低(正常)
|
| 资料遗失 |
高[100]
|
低
[.1] |
100 * .1 = 10
|
低(正常)
|
| 服务或生产力的中断 |
高[100]
|
低
[.1] |
100 * .1 = 10
|
低(正常)
|
TRA工具
网络扫描仪
- Qualys漏洞扫描程序
- Nessus漏洞扫描程序
- NMAP
- Acunetix Web漏洞扫描程序
- 打p套房
NIST SP 800-37风险管理框架
参考文献:
- NIST SP 800-37 Rev.2 –信息系统和组织的风险管理框架
- 进行风险评估指南– NIST 800-30
- 中国体育彩票开奖与风险评估概述–来自SANS
- 进行安全风险评估–来自ISACA
