Ho solo auditing e amp; Esperienza di revisione per conformità ISO 27001 ma non per 31000, quindi la mia risposta si concentrerà su questo. Per riassumere, le risposte sono:
- L'abbinamento è corretto? Sì.
- È possibile utilizzare OSSTMM come metodologia di valutazione del rischio per ISO
27001/31000?
Dipende, vedi sotto.
- Qualunque requisito fondamentale che lo renda impossibile? No.
Metodologia di valutazione del rischio ISO 27001
In primo luogo, va notato che non vi è alcun requisito in materia di ISO nella metodologia di valutazione del rischio. Lo standard ISO in genere definisce cosa un'organizzazione dovrebbe fare al posto di come per farlo. Quindi sei corretto e puoi utilizzare OSSTMM, calcolo della superficie di attacco e RAV come metodologia per la valutazione del rischio.
Ad esempio in ISO 27001: 2013, possiamo vedere nel capitolo 8.2 " Valutazione dei rischi per la sicurezza delle informazioni ", che:
The organization shall perform information security risk assessments
at planned intervals or when significant changes are proposed or
occur, taking account of the criteria established in 6.1.2 a).
The organization shall retain documented information of the results of the information security risk assessments."
E i criteri nel capitolo 6.1.2 sono:
6.1.2 Information security risk assessment
The organization shall define and apply an information security risk
assessment process that:
a) establishes and maintains information security risk criteria that
include:
1) the risk acceptance criteria; and
2) criteria for performing information security risk assessments;
b) ensures that repeated information security risk assessments produce
consistent, valid and comparable results;
c) identifies the information security risks:
1) apply the information security risk assessment process to identify
risks associated with the loss of confidentiality, integrity and
availability for information within the scope of the information
security management system; and
2) identify the risk owners;
d) analyses the information security risks:
1) assess the potential consequences that would result if the risks
identified in 6.1.2 c) 1) were to materialize;
2) assess the realistic likelihood of the occurrence of the risks
identified in 6.1.2 c) 1); and
3) determine the levels of risk;
e) evaluates the information security risks:
1) compare the results of risk analysis with the risk criteria
established in 6.1.2 a); and
2) prioritize the analysed risks for risk treatment.
Utilizzo di OSSTMM RAV in una valutazione del rischio conforme allo standard ISO 27001
Ora come dici, la parte importante qui è il fattore probabilità / verosimiglianza. Nella norma ISO 27001: 2013 si afferma che la metodologia utilizzata per la valutazione del rischio deve:
2) assess the realistic likelihood of the occurrence of the risks
identified in 6.1.2 c) 1);
L'OSSTMM v3 descrive RAV come a scale measurement of the attack surface . Non è destinato a misurare il rischio, ma è usato come una metrica operativa che è molto più dettagliata e pragmatica rispetto al calcolo del rischio tradizionale come:
Risk = Threat x Vulnerability x Asset
OSSTMM evita intenzionalmente il fattore di verosimiglianza poiché è molto biascicato e non necessariamente obiettivo. Quindi il RAV non può essere utilizzato così com'è per eseguire una valutazione del rischio probabilistico, che è effettivamente un requisito dello standard ISO, e la risposta alla tua seconda domanda sarebbe allora no .
Tuttavia, in base alla mia esperienza, le aziende tendono ad adattare la metodologia di valutazione del rischio / i quadri che stanno utilizzando, ovvero OSSTMM o qualsiasi altra metodologia (ad es. Octave, NIST framwerork, TRA ecc.), per adattarsi al loro specifico contesto e necessità .
Quindi alla fine dovresti integrare un fattore di verosimiglianza con OSSTMM / RVA per usarlo come metodo RA conforme allo standard ISO 27001. Non deve essere complicato, di nuovo ISO non dice come devi farlo.
Altre considerazioni
In una nota a margine, una raccomandazione tipica è allineare la metodologia di ogni dipartimento con la metodologia di valutazione del rischio aziendale globale / standard, in particolare per i metodi di calcolo, in quanto rende fondamentalmente la vita più facile per la gestione valutare il rischio su base omogenea. Se non lo fai, e hai metodologie diverse in uso all'interno della tua azienda, dovrai armonizzare i risultati e a volte confrontare le mele con le banane.
Per questo motivo, non consiglierei di utilizzare OSSTMM RAV come metodologia per la valutazione del rischio. È troppo specifico e operativo per essere efficacemente abbinato e confrontato con altri rischi in altre parti dell'azienda.