Metodologia di valutazione del rischio ISO 27001

1

Vorrei applicare le best practice ISO 27001 per un'azienda che non ha ancora completato la sua architettura online finale ed è ancora in fase di sviluppo. Tuttavia, sanno praticamente quali tecnologie / sistemi (principalmente su cloud) devono essere utilizzati, ma le connessioni tra più parti non sono finalizzate, così come diverse implementazioni relative alla sicurezza come WAF ecc. Basta notare che tutto è su cloud ospitato da un provider cloud che è già certificato ISO27001 per tutti i servizi che fornisce.

La domanda è che se è corretto applicare la metodologia di rischio basata sulle vulnerabilità delle risorse-vulnerabilità e completare i documenti richiesti come suggerito da diversi toolkit ISO27001. Questa metodologia è ancora valida per ISO 27001 ed è semplice da applicare, ma ovviamente sarà completamente qualitativa, nel senso che nessun test di penetrazione può essere applicato per scoprire potenziali vulnerabilità tecniche e lo sviluppo non è definitivo per eseguire codice recensioni. Inoltre, questa metodologia di rischio si basa sull'inventario delle risorse che subisce modifiche giornaliere.

Va bene procedere in questo modo per la certificazione ISO per un'istantanea dell'inventario delle risorse esistente che include molte delle risorse distribuite?

    
posta Hashed_Then_Encrypted 16.10.2016 - 16:58
fonte

3 risposte

1

Sì, è OK procedere in questo modo per la certificazione ISO. Lo standard richiede che le valutazioni del rischio vengano eseguite a intervalli regolari o quando si verificano cambiamenti significativi. Il revisore della certificazione può comunicarti che le modifiche all'inventario delle tue attività costituiscono un cambiamento significativo. La dichiarazione di applicabilità si basa sulla valutazione del rischio. La parola applicabilità è la chiave. Cosa si applica ora. Questo può cambiare più volte in base, come dici tu, al cambiamento di asset o test di penetrazione. Spero che aiuti. Buona fortuna!

    
risposta data 16.10.2016 - 22:45
fonte
1

Risposta breve - Sì, puoi farlo. Ma per favore non farlo.

C'è una ragione per cui ISO ha cambiato la metodologia di valutazione del rischio da una risorsa basata su, beh, qualsiasi cosa funzioni. Non è pratico costruire / mantenere / mantenere un inventario accurato delle risorse (come sapete in prima persona). Inoltre, il mantenimento del rischio basato sulle risorse non è l'obiettivo. L'obiettivo è stabilire un processo per la valutazione del rischio che aiuti a identificare i rischi per le informazioni aziendali.

    
risposta data 05.04.2018 - 10:22
fonte
0

I test di penetrazione non hanno nulla a che fare con l'analisi qualitativa vs quantitativa del rischio, puoi assolutamente fare un'analisi quantitativa corretta usando le stime, se usi metodi che ti permettono di includere confidenza o incertezza (ad esempio PERT, o l'approccio FAIR, o i metodi basati sulla curva di distribuzione Hubbard delinea nel suo libro).

Detto questo, la ISO 27001 è fondamentalmente ok con ogni valutazione del rischio basata su qualcosa di meglio dell'astrologia. I suoi requisiti sono dettagliati nella norma, e sono fondamentalmente che qualunque metodo tu usi, deve produrre risultati coerenti e ripetibili.

Se il metodo è basato sulle risorse, ciò significa che le modifiche all'inventario attivano gli aggiornamenti alla valutazione del rischio. La tua chiamata se vuoi farlo tutti i giorni.

Potresti anche operare su un livello troppo basso di astrazione. Non penso che i cambiamenti giornalieri siano considerevoli. La valutazione del rischio non dovrebbe interessare molto a tre nuovi notebook e due nuovi telefoni cellulari. Il requisito ISO è aggiornato dopo le modifiche sostanziali . Così puoi mettere i tuoi trigger più in alto di quello e aggiornarli mensilmente o qualsiasi altra cosa si adatti all'analisi dell'impatto aziendale.

Quindi sì, è possibile procedere con un'istantanea e quindi impostare punti trigger plausibili per gli aggiornamenti. Non tutti gli aggiornamenti minori dell'inventario delle risorse devono condurre a una nuova valutazione del rischio, ma dovresti avere una definizione di quale soglia significa una modifica "sostanziale".

    
risposta data 09.01.2019 - 00:13
fonte

Leggi altre domande sui tag