Metodologia di valutazione del rischio ISO27001

1

Sono in procinto di definire una metodologia di valutazione del rischio per un'azienda che vorrebbe essere allineata con ISO 27001. Lo standard afferma chiaramente che l'obiettivo è la protezione della CIA (riservatezza, integrità, disponibilità).

Ho nella mia metodologia di rischio fornire punteggi per le conseguenze per ciascun asset / processo rispetto a riservatezza, integrità e disponibilità separatamente o è sufficiente per fornire un punteggio singolo per ciascun asset / processo. Nella maggior parte degli strumenti approvati ho il trattamento di un singolo punteggio per le conseguenze.

È NOT che segna le conseguenze indipendentemente per ciascuna delle CIA nell'approccio giusto?

    
posta Hashed_Then_Encrypted 20.10.2016 - 16:53
fonte

2 risposte

1

No, non è necessario valutare ogni area di controllo su C.I. & A. Un punteggio per lo stato generale dell'elemento di controllo nell'organizzazione è sufficiente. Un punteggio singolo in ogni area riduce anche la confusione. In definitiva, la decisione su come verrà condotta la valutazione fa parte della clausola in 6.1.2. Vedi sotto per ulteriori informazioni.

There are many myths regarding what the risk assessment should look like, but in reality ISO 27001:2013 requirements are not very difficult – here is what clause 6.1.2 requires:

1) Define how to identify the risks that could cause the loss of confidentiality, integrity and/or availability of your information

2) Define how to identify the risk owners

3) Define criteria for assessing consequences and assessing the likelihood of the risk

4) Define how the risk will be calculated

5) Define criteria for accepting risks

So essentially, you need to define these 5 elements – anything less won’t be enough, but more importantly – anything more is not needed, which means: don’t complicate things too much.

SOURCE Nota: non considererei questo ragazzo definitivo ma riassume ciò che avrei detto abbastanza bene.

    
risposta data 20.10.2016 - 17:29
fonte
0

Non ho molta familiarità con ISO 27001, ma so come pensano gli autori del CISSP. Suggeriscono metodi qualitativi e quantitativi per la valutazione del rischio. Il risultato è una lista di priorità e (credo) un valore monetario per ciascuna attività. La CIA non gioca un ruolo importante in questa equazione (secondo CISSP) e penso che sia corretta, come dimostra il seguente esempio:

Diciamo che la vulnerabilità è il fatto che i dipendenti sono inclini agli attacchi di social engineering e la minaccia è ransomware. Supponiamo inoltre che le persone delle risorse umane siano le più esposte a questo. L'analisi mostra che se il ransomware cripta la casella locale, non si diffonde nei file server e si dispone di backup delle macchine locali. Si quantifica lo sforzo di ripristino alla somma X e la perdita di lavoro dall'ultimo punto di backup fino al momento in cui l'attacco si verifica in media. Quindi l'aspettativa di perdita singola è (X + Y) * # (dipendenti HR) * (probabilità che questo accada). Nessuna delle CIA è realmente interessata (il tuo reparto risorse umane rimane operativo) ma hai una buona stima del rischio in termini monetari.

Dichiarazione di non responsabilità: sto ovviamente semplificando, ho omesso considerazioni qualitative, minacce ai dipartimenti tecnici / operativi ma credo che tu abbia capito il mio punto.

    
risposta data 20.10.2016 - 17:37
fonte

Leggi altre domande sui tag