OSSTMMでのRAVの計算は、セキュリティメトリックとして非常に有用に見えますが、新しいISO 27001:2013およびISO 31000に準拠したリスク評価方法論のベースになることができますか?
ISO 27001:2013のリスク評価要件はISO 31000と整合しているので、ISO 31000に集中できると思います。
ISO 31000は次のフェーズを確立します。
OSSTMMテストは、リスクの特定(リスクの発見、認識、説明のプロセス)と照合できると思います。
リスク分析フェーズ(リスクの性質を理解し、リスクのレベルを決定するプロセス)およびリスク評価(リスク分析の結果をリスク基準と比較して、リスクおよび/またはその規模が許容可能か許容可能かを判断するプロセス)攻撃面とRAVの計算と一致させることができます。
また、リスク処理フェーズは、OSSTMMの脆弱性の分類を使用して、リスクを軽減する関連コントロール(攻撃表面、RAV)を選択する追加のフェーズになる可能性があります。
この一致はあなたにとって正しいですか?
OSSTMM、攻撃面、RAV計算をISO 31000準拠のリスク評価方法として使用することは可能ですか?
ISO 31000またはISO 27001:2013には、リスク評価方法としてのRAVの使用を不可能にする基本的な要件がありますか?
私はISO 27001コンプライアンスの監査とレビューの経験しかなく、31000の経験がないので、私の答えはこれに焦点を当てます。要約すると、答えは次のとおりです。
まず、リスク評価の方法論においてISOには要件がないことに注意する必要があります。 ISO標準は通常、方法ではなく、組織が行うべき作業を定義します。したがって、あなたは正しく、リスク評価の方法論としてOSSTMM、攻撃面、RAV計算を使用できます。
たとえば、ISO 27001:2013では、第8.2章「情報セキュリティリスク評価」で次のことを確認できます。
組織は、6.1.2 a)で確立された基準を考慮して、計画された間隔で、または重大な変更が提案または発生したときに、情報セキュリティリスク評価を実行するものとします。
組織は、情報セキュリティリスク評価の結果の文書化された情報を保持するものとします。」
また、6.1.2章の基準は次のとおりです。
6.1.2情報セキュリティリスク評価
組織は、以下の情報セキュリティリスク評価プロセスを定義および適用するものとします。
a)以下を含む情報セキュリティリスク基準を確立および維持します。
1)リスク許容基準。そして
2)情報セキュリティリスク評価を実行するための基準。
b)繰り返される情報セキュリティリスク評価により、一貫性があり、有効で比較可能な結果が生成されることを保証します。
c)情報セキュリティのリスクを特定します。
1)情報セキュリティリスク評価プロセスを適用して、情報セキュリティ管理システムの範囲内で、情報の機密性、完全性、可用性の喪失に関連するリスクを特定します。そして
2)リスクの所有者を特定する。
d)情報セキュリティのリスクを分析します。
1)6.1.2 c)1)で特定されたリスクが実現した場合に生じる可能性のある影響を評価する。
2)リスクの発生の現実的な可能性を評価する6.1.2 c)1で特定される);および
3)リスクのレベルを決定します。
e)情報セキュリティリスクを評価します。
1)リスク分析の結果を6.1.2 a)で確立されたリスク基準と比較する。そして
2)リスク処理のために分析されたリスクに優先順位を付けます。
さて、あなたが言及するように、ここで重要な部分は確率/尤度係数です。 ISO 27001:2013には、リスク評価に使用される方法論が次の要件を満たしている必要があると規定されています。
2)現実的な可能性 6.1.2 c)1)で特定されたリスクの発生の評価;
OSSTMM v3はRAVをa scale measurement of the attack surface
。これはリスクの測定を目的としたものではなく、次のような従来のリスク計算よりもはるかに詳細で実用的な運用指標として使用されます。
リスク=脅威x脆弱性x資産
OSSTMMは非常に偏りがあり、必ずしも客観的ではないため、意図的に尤度係数を回避します。その場合、RAVをそのまま使用して確率論的リスク評価を実行することはできません。これは確かにISO標準の要件であり、2番目の質問に対する答えはnoになります。
ただし、私の経験に基づいて、企業はOSSTMMまたはその他の方法(Octave、NIST framwerork、TRAなど)を使用して、リスク評価の方法論/フレームワークを特定のコンテキストやニーズに合わせるように適応する傾向があります。
したがって、最後に、尤度係数をOSSTMM/RVAに統合して、ISO 27001準拠のRA方法論として使用する必要があります。それは複雑である必要はありません、再びISOはあなたがそれをどうしなければならないかについて述べていません。
補足として、典型的な推奨事項は、各部門の方法論をグローバル/標準の企業リスク評価方法論、特に計算方法について調整することです。これにより、管理者は基本的にリスクを均一に評価することが容易になります。そうしておらず、社内でさまざまな方法論を使用している場合は、結果を調和させる必要があり、リンゴとバナナを比較することもあります。
このため、リスク評価の方法としてOSSTMM RAVを使用することはお勧めしません。それはあまりに具体的で運用性が高いため、効率的に他のリスクと比較したり、会社の他の場所と比較したりすることはできません。