[[440902]]

COBIT

ISACA的信息和相關(guān)技術(shù)控制目標(biāo)(COBIT)是一個(gè)IT管理和治理框架。它以業(yè)務(wù)為中心，為IT管理定義了一套通用的管理流程。每個(gè)流程都與流程輸入和輸出、關(guān)鍵活動(dòng)、目標(biāo)、績(jī)效度量和基本成熟度模型一起定義。

ISACA表示，最新版本COBIT 2019提供了更多的實(shí)施資源、實(shí)踐指導(dǎo)和見(jiàn)解，以及全面的培訓(xùn)機(jī)會(huì)。且COBIT 2019現(xiàn)在實(shí)施起來(lái)更加靈活，使企業(yè)能夠通過(guò)框架自定義他們的治理方案。

COBIT是一個(gè)"與IT管理流程和政策執(zhí)行相一致的高級(jí)框架，"安全軟件提供商Trend Micro的首席網(wǎng)絡(luò)安全官，美國(guó)特勤局前CISO Ed Cabrera說(shuō)。"難點(diǎn)在于使用COBIT的成本高昂，而且需要豐富的知識(shí)和技能才能實(shí)施。

Thomas說(shuō)：“該框架是解決企業(yè)信息和技術(shù)治理和管理的唯一模型，其中包含對(duì)安全性和風(fēng)險(xiǎn)的高度重視。盡管COBIT的主要目的不是專門(mén)針對(duì)風(fēng)險(xiǎn)，但它在整個(gè)框架中集成了多種風(fēng)險(xiǎn)實(shí)踐，并引用了多個(gè)全球公認(rèn)的風(fēng)險(xiǎn)框架。”

TARA

MITRE是一家從事網(wǎng)絡(luò)安全等技術(shù)領(lǐng)域研究和開(kāi)發(fā)的非營(yíng)利組織。該組織稱，威脅評(píng)估和補(bǔ)救分析(TARA)是一種工程方法，用于識(shí)別和評(píng)估網(wǎng)絡(luò)安全漏洞，并部署應(yīng)對(duì)措施以緩解這些漏洞。

該框架是MITRE的系統(tǒng)安全工程(SSE)實(shí)踐組合的一部分。該組織稱：“TARA評(píng)估方法可以被描述為聯(lián)合權(quán)衡分析，第一次權(quán)衡根據(jù)評(píng)估的風(fēng)險(xiǎn)來(lái)確定攻擊向量，并對(duì)攻擊向量進(jìn)行排名，第二次權(quán)衡根據(jù)評(píng)估的效用和成本來(lái)確定、選擇對(duì)策。”

該方法獨(dú)特的地方包括使用目錄存儲(chǔ)的緩解映射，為給定范圍的攻擊向量預(yù)先選擇可能有效的對(duì)策，以及基于風(fēng)險(xiǎn)承受水平使用對(duì)策策略。

Thomas說(shuō)，“這是一種在考慮緩解措施的同時(shí)確定關(guān)鍵風(fēng)險(xiǎn)的實(shí)用方法，也可以補(bǔ)充關(guān)于攻擊者的重要信息，加強(qiáng)正式風(fēng)險(xiǎn)應(yīng)對(duì)的方法論，用來(lái)改善風(fēng)險(xiǎn)狀況。”

FAIR

信息風(fēng)險(xiǎn)因素分析(FAIR)是一種對(duì)導(dǎo)致風(fēng)險(xiǎn)的因素以及它們?nèi)绾蜗嗷ビ绊懙姆诸惙?。該框架由Nationwide Mutual Insurance前CISO Jack Jones開(kāi)發(fā)，主要用于為數(shù)據(jù)丟失事件的頻率和規(guī)模設(shè)置準(zhǔn)確的概率。

FAIR不是執(zhí)行企業(yè)或個(gè)人風(fēng)險(xiǎn)評(píng)估的方法。但它為企業(yè)提供了一種理解、分析和衡量信息風(fēng)險(xiǎn)的方式。該框架的組成部分包括信息風(fēng)險(xiǎn)分類法、信息風(fēng)險(xiǎn)術(shù)語(yǔ)的標(biāo)準(zhǔn)化命名法、建立數(shù)據(jù)收集標(biāo)準(zhǔn)的方法、風(fēng)險(xiǎn)因素的測(cè)量尺度、用于計(jì)算風(fēng)險(xiǎn)的計(jì)算引擎以及用于分析復(fù)雜風(fēng)險(xiǎn)情景的模型。

Thomas說(shuō)，F(xiàn)AIR是專為信息安全和運(yùn)營(yíng)風(fēng)險(xiǎn)提供可靠定量模型的方法之一。這種務(wù)實(shí)的風(fēng)險(xiǎn)方法為企業(yè)的風(fēng)險(xiǎn)評(píng)估提供了堅(jiān)實(shí)的基礎(chǔ)。然而，雖然FAIR提供了對(duì)威脅、漏洞和風(fēng)險(xiǎn)的全面釋義，但它沒(méi)有得到很好地記錄，因此很難實(shí)施。

Retrum說(shuō)，該模型與其他風(fēng)險(xiǎn)框架的不同之處在于，其重點(diǎn)是將風(fēng)險(xiǎn)量化為實(shí)際的美元，而不是用傳統(tǒng)的高、中、低進(jìn)行評(píng)分。這在高層領(lǐng)導(dǎo)和董事會(huì)成員中得到越來(lái)越多的關(guān)注，因?yàn)樗ㄟ^(guò)有意義的方式更好地量化了風(fēng)險(xiǎn)，使企業(yè)能對(duì)業(yè)務(wù)進(jìn)行更深思熟慮的討論。

作者：Bob Violino，特約撰稿人

原文網(wǎng)址：http://www.csoonline.com/article/2125140/it-risk-assessment-frameworks-real-world-experience.html