Come valutare la gravità / l'impatto della vulnerabilità

ISO / IEC 27001 e 27002 comprendono tutto ciò in modo abbastanza completo. Tendono ad essere non specifici, ma approfonditi. Troverai utili linee guida nella 27000 serie in generale.

NIST SP800-30 Guida per la conduzione delle valutazioni del rischio è forse più accessibile, ti consiglio di iniziare da lì. Quindi controlla la serie NIST SP800 per ulteriori documenti, incluso almeno SP800-115 Guida tecnica alla verifica e valutazione della sicurezza delle informazioni .

I documenti standard ISO / IEC non sono gratuiti, puoi trovare molti documenti correlati, incluso lo standard britannico (su cui si basano ampiamente questi) BS 7799 . I documenti del NIST SP800 sono gratuiti.

Alcune risposte a questa domanda correlata potrebbero anche essere utili: Alla ricerca di una metodologia di valutazione del rischio aperta

Ciò che chiedi nella domanda e ciò che chiedi nel contenuto della domanda sembra cose diverse. Una cosa è valutare le risorse (applicazione per esempio) un'altra cosa è valutare le vulnerabilità.

Per valutare le risorse esistono più metodologie di valutazione del rischio come ISO 27005 (un framework per implementare la propria metodologia), Magerit , Mehari , Octave e altri. Quello che ho intenzione di spiegare è solo un esempio che può essere usato. Prima valuta le tue applicazioni in termini di necessità di riservatezza, integrità e disponibilità. È possibile utilizzare una scala da 1 a 5 (ad esempio) e la somma dei tre sarà il valore per quella particolare applicazione. La vulnerabilità più importante potrebbe essere quella che interessa il bene più critico.

Un altro modo per valutare la criticità di una vulnerabilità potrebbe essere l'uso dello standard CVSS .