Come valutare la gravità / l'impatto della vulnerabilità

3

Nella nostra organizzazione volevamo esaminare il panorama generale dell'IT e verificare le applicazioni più critiche per la vulnerabilità nella fase 1, e quindi esaminare le applicazioni critiche minori nella fase 2 ... mentre ci muovevamo nell'esercizio, ci siamo resi conto che alcuni non -le applicazioni critiche potrebbero essere il punto di ingresso per le applicazioni critiche. (quindi quella che sembrava un'app di basso impatto costruita con un focus minimo, potrebbe essere l'entrata in appln critica)

Esiste un approccio che possiamo adottare, con il quale possiamo anche esaminare la gravità delle applicazioni attraverso questa modalità indiretta. Qualsiasi direzione / puntatore sarà apprezzato

    
posta raghu 30.03.2013 - 15:35
fonte

2 risposte

1

ISO / IEC 27001 e 27002 comprendono tutto ciò in modo abbastanza completo. Tendono ad essere non specifici, ma approfonditi. Troverai utili linee guida nella 27000 serie in generale.

NIST SP800-30 Guida per la conduzione delle valutazioni del rischio è forse più accessibile, ti consiglio di iniziare da lì. Quindi controlla la serie NIST SP800 per ulteriori documenti, incluso almeno SP800-115 Guida tecnica alla verifica e valutazione della sicurezza delle informazioni .

I documenti standard ISO / IEC non sono gratuiti, puoi trovare molti documenti correlati, incluso lo standard britannico (su cui si basano ampiamente questi) BS 7799 . I documenti del NIST SP800 sono gratuiti.

Alcune risposte a questa domanda correlata potrebbero anche essere utili: Alla ricerca di una metodologia di valutazione del rischio aperta

    
risposta data 30.03.2013 - 16:42
fonte
0

Ciò che chiedi nella domanda e ciò che chiedi nel contenuto della domanda sembra cose diverse. Una cosa è valutare le risorse (applicazione per esempio) un'altra cosa è valutare le vulnerabilità.

Per valutare le risorse esistono più metodologie di valutazione del rischio come ISO 27005 (un framework per implementare la propria metodologia), Magerit , Mehari , Octave e altri. Quello che ho intenzione di spiegare è solo un esempio che può essere usato. Prima valuta le tue applicazioni in termini di necessità di riservatezza, integrità e disponibilità. È possibile utilizzare una scala da 1 a 5 (ad esempio) e la somma dei tre sarà il valore per quella particolare applicazione. La vulnerabilità più importante potrebbe essere quella che interessa il bene più critico.

Un altro modo per valutare la criticità di una vulnerabilità potrebbe essere l'uso dello standard CVSS .

    
risposta data 30.03.2013 - 17:49
fonte

Leggi altre domande sui tag