ITリスク評価レポートを作成するためのリファレンスとして使用できるITリスクの一般的なリストはありますか?


0

私は私の最初のITリスク評価の割り当てに取り組んでいますし、さまざまなITシステムに関連する一般的なITリスクのリストがあった場合、私は私が働いているシステムの必要な手順と理解を持っているにもかかわらず、私は思っていました。彼が始めるすべての評価のために、最初から始めなくてもいいからです。 ITリスクアセスメントが長年実施されていることを考えると、現在参考になるように誰かによって編集されたリストが存在しなければならないことは論理的なことです。たとえば、クライアントサーバータイプのアプリケーション評価で作業している場合、クライアントとサーバーに関連するすべてのリスクを参照できます。

グーグルの検索は、私が興味を持ったいかなる結果にはなりませんでしたが、私は間違った用語を検索することができます。誰かが私をそのようなリソースに紹介することができれば幸いです。

ありがとうございます。

  0

私が探していた正しい用語はThreat Catalogです。この[リンク](https://www.bsi.bund.de/EN/Topics/ITGrundschutz/ITGrundschutzCatalogues/itgrundschutzcatalogues_node.html)は、その優れた情報源です。 13 8月. 132013-08-13 14:08:17

1

trythese BSIからのガイドで、企業が何を実行しているか、実行しなければならないことをほぼ完全に概説しています。

を入力してから、SANS Reading RoomとNISTを確認してください。私は、彼らが公表さを知って、次の

  • テクニカルガイド情報セキュリティテストおよび評価へ
  • 中小企業情報セキュリティ:基礎
  • ガイド一般にサーバーのセキュリティ

と多くのMORが、いけません任意の参照atmを見つける(彼らのウェブサイトは駄目です:)

  0

@Graham Hill ITリスクアセスメントの明確な説明。私が検索しなければならない言葉が疑わしくなり、私が探しているものの最も近い結果を返すのは、脅威カタログです。私が探していたものを探している人には、[link](https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Grundschutz/download/threats_catalogue.pdf;jsessionid=9F1253199916EB7EA5E8D5D66A46AEF7.2_cid368?__blob = publicationFile)は、始めるには最適な場所です。 12 8月. 132013-08-12 10:27:00

  0

チェックリストとして使用できる(javaベースの)プログラムもあります:[verinice](http://www.verinice。org/ja /) 13 8月. 132013-08-13 06:00:35


2

これは疑わしいので、これは用語の問題です。あなたはおそらく脆弱性のリストを探していますが、安全にするためにもう少し説明したいと思います。

私は何もかも全部が最後に複雑、それ価値がある怖いです!

はじめに、情報セキュリティにはさまざまなアプローチがあり、独自の用語(私はISO 27000の人間です)があることを指摘しておきます。

だから、あなたはあなたが作業している、あなたのシステムを持っている、とあなたは害から保護したい - それは、情報セキュリティは、危害からの情報の体系的な保護であるものです。

害が発生するには、2つのものが必要です。危害(故意または偶然による)を引き起こす者である「脅威」と、脅威が害を及ぼす可能性のある方法である「脆弱性」。

二つの例: あなたの競争相手(「脅威」)SQLインジェクション(「脆弱性」)を介してシステムにアクセスし、あなたの顧客リストを盗むために(「害」 - 特に「機密性の損失」)

Joeは出荷時に( "脅威")システムの仕組み( "脆弱性")を把握することができず、ウィジェットのクランク設定に常に間違った値を付けます。 (「有害」 - 具体的には「完全性の喪失」)。

あなたは、オンラインの脅威と脆弱性のリストのリストを見つけることができます。

脅威は、しかし、自分自身を把握しやすくなる傾向がある - 誰が現実的に、あなたのシステムに害を与えるしたいのでしょうか?誰があなたのシステムに偶然害を及ぼすのでしょうか

ほとんどの場合、脆弱性のリストが見つかります。 OWASPトップ10はスタートするのに最適な場所です。

リスクはどこに来るのですか?リスクは、の測定値であり、脆弱性を悪用する脅威の可能性と、その脆弱性が生じた場合の害を組み合わせたものです。

リスクアセスメントは、どの脅威と脆弱性の組み合わせが受け入れようとするリスクより高いかを把握するために使用されるため、あなたはそれらを「治療する」必要があることを知っています。

たとえば、競合他社がすべて正直で、SQL入力を慎重に処理していて誰もがあなたの顧客がとにかく分かっている場合、その例のリスクは非常に低く、心配する価値はありません。

また、ジョーが不注意でウィジェットのクランク設定が間違っていると、製品が爆発する危険性が高く、例については何かする必要があります2 ASAP。

あなたの脅威と脆弱性が固有の組み合わせになっているため、各リスク評価は非常にユニークです。 OWASPリストのようなものはショートカットではありません。それはあなたがそれらのどれも見逃していないことを確認するためにチェックするべきもののリストです。

  0

こんにちはグラハム、私はあなたがリスクアセスメントがどのように行われているのか興味があります。たとえば、現在の環境では、セキュリティの成熟度は初期と管理の間にあります。これは、プロジェクトが開始されたときにセキュリティが見過ごされ、考慮されないことが多いため、挑戦しています。私は、プロジェクトマネージャがリスクを迅速に評価し、十分な投資を確保できるようなチェックリストを作成しようとしています。推奨されるアプローチはありますか? 19 12月. 152015-12-19 02:28:50


1

あなたが中規模から大規模な組織のために働いているなら、私は非常に多くのlu ISFの標準実践基準(https://www.securityforum.org/)に従ってください。 ISF SoGPは、組織と、関連するISO、COBITなどの標準へのSoGPトレースを測定し、評価するための「コントロールフレームワーク」を提供します。

「ITリスクのリスト」を求めていることの難しさは、組織が直面している脅威が私のものとはまったく違うということです。だから、私の答えは、あなたの所属するコントロールと、組織が直面しているリスクを見て、コントロールが適切に配置されていない場所になるよう助言するだろう。

  0

私はあなたに完全に同意しています。そのため、リスク銀行のような役割を果たしている一般的なリストについて述べました。正しい用語は脅威カタログであることが判明しました。 13 8月. 132013-08-13 02:07:41