web-dev-qa-db-ja.com

リスク評価方法ISO27001

最終的なオンラインアーキテクチャがまだ完成しておらず、まだ開発段階にある企業にISO27001のベストプラクティスを適用したいと思います。ただし、使用するテクノロジー/システム(主にクラウド上)はほぼわかっていますが、WAFなどのセキュリティ関連の実装だけでなく、いくつかの部分間の接続も確定していません。すべてがクラウドプロバイダーによってホストされているクラウド上にあることに注意してください。これは、提供するすべてのサービスに対してすでにISO27001の認定を受けています。

問題は、資産-脅威-脆弱性に基づくリスク手法を適用し、いくつかのISO27001ツールキットで提案されているように必要なドキュメントを完成させることができるかどうかです。この方法論はISO27001でも引き続き有効であり、適用するのは簡単ですが、潜在的な技術的脆弱性を明らかにするために侵入テストを適用することはできず、コードを実行するための開発が最終的ではないという意味で、これは完全に定性的になります。レビュー。さらに、このリスク手法は、日々変化する資産在庫に基づいています。

展開された資産の多くを含む既存の資産インベントリのスナップショットのISO認証をこのように進めても大丈夫ですか?

はい、ISO認証のためにこの方法で進めても問題ありません。この基準では、リスク評価を定期的に、または大幅な変更が発生したときに実行する必要があります。認証審査員は、資産在庫の変更が重要な変更を構成するとあなたに言うかもしれません。適用性声明は、リスク評価に基づいています。単語の適用性が重要です。今適用されるもの。あなたが言うように、これは資産の変更や侵入テストに基づいて数回変更される可能性があります。それがお役に立てば幸いです。幸運を!

1
Conor F

簡単な答え-はい、できます。しかし、それをしないでください。

ISOがリスク評価の方法論を資産ベースから機能するものに変更したのには理由があります。正確な資産インベントリを構築/維持/維持することは実用的ではありません(あなたが直接知っているように)。また、資産ベースのリスクを維持することは目標ではありません。目標は、企業情報に対するリスクの特定に役立つリスク評価のプロセスを確立することです。

1
M S Sripati

ペネトレーションテストは、定性的リスク分析と定量的リスク分析とは関係ありません。信頼性や不確実性を含めることができる方法(PERT、FAIRアプローチ、分布曲線など)を使用すれば、推定値を使用して適切な定量分析を行うことができます。ベースの方法ハバードは彼の本で概説しています)。

とは言うものの、ISO 27001は、占星術よりも優れたものに基づくすべてのリスク評価で基本的に問題ありません。その要件は標準で詳述されており、基本的には、どの方法を使用しても、一貫性のある再現可能な結果を​​生成する必要があります。

方法が資産ベースの場合、それは資産在庫の変更がリスク評価の更新をトリガーすることを意味します。あなたが毎日それをしたいならあなたの電話。

また、抽象化のレベルが低すぎる可能性があります。日々の変化はそれほど大きくないと思います。リスク評価では、3つの新しいノートブックと2つの新しい携帯電話についてはあまり気にする必要はありません。 ISO要件は、実質的変更後の更新です。そのため、トリガーをそれよりも高くして、毎月またはビジネスへの影響分析に適したものを更新できます。

そうです、スナップショットを続行してから、更新のもっともらしいトリガーポイントを設定できます。資産インベントリのすべてのマイナーアップデートが新しいリスク評価につながる必要はありませんが、どのしきい値が「実質的な」変更を意味するかを定義する必要があります。

0
Tom