セキュリティ評価とリスク分析
ISO 27001(または一般的に他の国際規格)に基づくITセキュリティ評価と定性的リスク分析の実際の違いは何ですか?
いくつかの点でアプローチは非常に似ています-環境、プロセス所有者への質問、ギャップ分析、最終結果(現在の場所とあるべき場所)
ITセキュリティの範囲では、定量的なリスク分析は、リスクの望ましい定義またはリスクのある側面を表す厳密な数学モデルを開発することによって行われます。 (たとえばネットワークの)セキュリティは、開発されたモデルを使用して評価されます。
このアプローチの例は、攻撃グラフの定量分析を使用したエンタープライズネットワークのリスク分析です。
ITセキュリティ評価isリスク評価の一種。通常のプロセスは次のとおりです。
- 評価の範囲、およびターゲットにとって重要な情報資産を特定します。
- ターゲットの技術的なセキュリティの分析を実行します。ネットワーク攻撃、物理的侵入などを介して.
- 範囲内にある場合は、ターゲットが現在持っているセキュリティポリシーの分析を実行します。
- 範囲内にある場合、ターゲットの人間の安全保障の分析を実行します。ソーシャルエンジニアリングを介して。
- 適切なリスク分類フレームワークを使用して、これらの分析の結果をレポートにまとめます。
これは決して完全なものではなく、内側の3つのタスクの順序は任意です。
一般的なリスク評価とITリスク評価の違いは、後者は実際に評価できるものではなく、果物とアップルの違いについて尋ねるようなものです。
ISO27000標準を具体的に検討している場合、これらは、組織が特定のレベルのセキュリティリスク評価を実行したことを証明するために、特定の実践コードと一連の分析タスクを実施および標準化する方法にすぎません。リスク評価の基本的なフレームワークを変更するのではなく、実行する必要がある最低限のセットを提供するだけです。
まず、ISO27000ファミリの規格はITに固有のものではないことを知っておく必要があります。最初に定義する範囲によっては、リスク分析で会社のさまざまな活動をカバーすることもできます。もちろん、情報のセキュリティ管理に重点が置かれているため、実際にはITに関する推奨されるコントロールが多数あります。
とは言っても、標準では資産のリスク分析を行う必要があると述べていますが、それをどのように行うべきかについてはほとんど述べていません。方法論は、自分で自由に定義できるものです。ほとんどの場合、ホイールを再発明して既知の方法論を使用する必要はありませんが、選択はあなた次第です。通常、それはあなたの資産とその価値を特定する問題であり、次にこれらの資産に対するさまざまな脅威とこれらの脅威が悪用する可能性のある脆弱性です。
したがって、ISMS(ISO27001に準拠)を確立するプロセスで行われたリスク分析を特定の種類のリスク分析と実際に比較することはできません。必要に応じて、壁とレンガ積みの違いを尋ねるのと少し似ています。
ただし、標準doesは、リスク分析は再現可能でなければならないため、たとえば2人の異なる人物が実施した場合でも同じ結果が得られるはずであると言います。その意味では、方法論が正確であればあるほど優れています。