Существует ли общий список ИТ-рисков, которые могут быть использованы в качестве ссылки для подготовки отчета об оценке ИТ-рисков?


0

Я работаю над своим первым заданием оценки ИТ-рисков, и хотя у меня есть необходимые шаги и понимание системы, над которой я работаю, мне было интересно, существует ли список общих ИТ-рисков, связанных с различными ИТ-системами. Это потому, что не нужно начинать с нуля для каждой оценки, которую он запускает. Учитывая, что оценки ИТ-рисков были проведены в течение длительного времени, вполне логично, что к настоящему моменту должен быть составлен список, который может быть использован в качестве ссылки. Например, если я работаю над типом оценки клиентского сервера, я могу сослаться на все риски, связанные с клиентом и сервером.

Поиск google не привел к какому-либо результату, который меня интересовал, но я мог искать неправильный термин. Я был бы признателен, если бы кто-то мог передать мне такой ресурс.

спасибо.

  0

Правильный термин, который я должен был искать, - это каталог угроз. Это [ссылка] (https://www.bsi.bund.de/EN/Topics/ITGrundschutz/ITGrundschutzCatalogues/itgrundschutzcatalogues_node.html) является хорошим источником этого. 13 авг. 132013-08-13 14:08:17

1

trythese руководства от BSI, которые дают почти полный обзор того, что компания может делать/должна делать при запуске в любом случае.

, а затем вы можете проверить SANS Reading Room и NIST; я знаю, что они опубликовали следующее:

  • Техническое руководство по тестированию информационной безопасности и оценки
  • Малый бизнес Информационная безопасность: Основы
  • Руководство генерального Server Security

и многие мор но не найти любые ссылки atm (anbd их сайт дерьмо :)

  0

@ Graham Hill Очень четкое объяснение оценки ИТ-рисков. Поскольку я подозревал, что я должен искать этот термин и который возвращает ближайшие результаты того, что я ищу, это Каталог угроз. Для людей, которые ищут то, что я искал, [ссылка] (https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Grundschutz/download/threats_catalogue.pdf;jsessionid=9F1253199916EB7EA5E8D5D66A46AEF7.2_cid368?__blob = publicationFile), упомянутые в ответе, - отличное место для начала. 12 авг. 132013-08-12 10:27:00

  0

Эта [ссылка] (https://www.bsi.bund.de/EN/Topics/ITGrundschutz/ITGrundschutzCatalogues/itgrundschutzcatalogues_node.html) представляет собой полный список, который я нашел очень полезным. 13 авг. 132013-08-13 02:21:30

  0

существует также (на основе Java) программа, которая может использоваться как контрольный список: [verinice] (http: //www.verinice.org/en /) 13 авг. 132013-08-13 06:00:35


2

Как вы подозреваете, это вопрос терминологии. Вероятно, вы ищете списки уязвимостей, но, чтобы быть в безопасности, я хотел бы объяснить немного больше.

Боюсь, что все это довольно сложно, но стоит того, в конце концов!

Прежде чем я начну, я должен указать, что существует множество различных подходов к информационной безопасности, которые могут иметь свою собственную терминологию (я сам человек по ISO 27000.) Таким образом, другие ответы могут использовать разные формулировки.

Итак, у вас есть ваша система, над которой вы работаете, и вы хотите защитить ее от вреда - вот что такое информационная безопасность, систематическая защита информации от вреда.

Чтобы нанести вред, должны быть две вещи. «Угроза», которая является тем, кто причинит вред (намеренно или случайно) и «уязвимость», которая является способом, которым угроза может нанести ущерб.

Два примера: Ваш конкурент («угроза») получает доступ к системе через инъекции SQL («уязвимости») для того, чтобы украсть ваш список клиентов («вред», - конкретно «потеря конфиденциальности»)

Джо в отгрузке («угроза») не может понять, как работает ваша система («уязвимость»), и всегда ставит неправильное значение для настройки вилки виджета. («вред» - в частности, «потеря целостности»).

Список угроз и списков уязвимостей см. В Интернете.

Угрозы, как правило, легче понять сами, хотя, кто может реально нанести вред вашей системе? Кто может нанести вред вашей системе?

Таким образом, в основном вы найдете списки уязвимостей. Первая десятка OWASP - отличное место для начала.

А где же рискнуть в этом? Риск - это измерение , которое сочетает в себе вероятность угрозы использования уязвимости с вредом, который может произойти, если они это сделают.

Оценка риска используется для определения того, какие комбинации угроз и уязвимостей имеют риск выше, чем вы хотите принять, поэтому вы знаете, что вам нужно «лечить» их - что-то делать с ними.

Например, если ваши конкуренты честны и вы внимательно относитесь к вводу SQL, и все знают, кто ваши клиенты в любом случае, то риск в примере один очень низок и поэтому не стоит беспокоиться. (Ну, не стоит тратить деньги, по крайней мере.)

В качестве альтернативы, если Джо небрежен, а неправильная настройка виджета заставит ваш продукт загореться, тогда риск высок, и вам нужно что-то сделать в примере 2 как можно скорее.

Вот что, хотя - каждая оценка риска в значительной степени уникальна, поскольку угрозы и уязвимости, с которыми вы сталкиваетесь, находятся в уникальной комбинации. Что-то вроде списка OWASP не является сокращенным. Это скорее список вещей, которые вы должны проверить, чтобы убедиться, что вы не пропустили ни одного из них.

  0

Привет, Грэм, меня интересует, как вы видите оценки рисков. Например, в текущей среде уровень зрелости безопасности находится между начальным и управляемым. Это создает проблему, поскольку, когда инициируются проекты, безопасность часто игнорируется и не рассматривается. Я пытаюсь скомпилировать контрольный список, который позволит руководителям проектов быстро оценивать риски и обеспечивать достаточные инвестиции. Есть ли рекомендуемый подход? 19 дек. 152015-12-19 02:28:50


1

Если вы работаете для средних и крупных организаций, то у меня было много lu ck с стандартами надлежащей практики ISF (https://www.securityforum.org/). ISG SoGP представляет собой «структуру контроля», с помощью которой вы можете измерять и оценивать вашу организацию и след SoGP соответствующим стандартам ISO, COBIT и т. Д.

Трудность с запросом «списка ИТ-рисков» заключается в том, что угрозы, с которыми сталкивается ваша организация, будут полностью отличаться от моих. Таким образом, мой ответ будет советом, глядя на элементы управления, которые у вас есть, и риски, с которыми сталкивается ваша организация, будут там, где элементы управления отсутствуют.

  0

Я полностью согласен с вами, поэтому я упомянул общий список, который служит банком риска. Правильный термин оказывается каталогом угроз. 13 авг. 132013-08-13 02:07:41