Esiste un elenco generico di Rischi IT che può essere utilizzato come riferimento per preparare un rapporto di valutazione del rischio IT? [chiuso]

Naviga le tue risposte
0

Sto lavorando al mio primo incarico per la valutazione dei rischi IT e, anche se ho i passaggi necessari e la comprensione del sistema su cui sto lavorando, mi chiedevo se esistesse un elenco di rischi IT generici associati a diversi sistemi IT. Questo perché non è necessario ricominciare da capo per ogni valutazione che inizia. Dato che le valutazioni dei rischi IT sono state condotte per lungo tempo, è logico che ci sia una lista compilata da qualcuno che possa essere utilizzata come riferimento. Ad esempio, se sto lavorando su un tipo di valutazione dell'applicazione client, posso fare riferimento a tutti i rischi associati al client e al server.

La ricerca su google non ha prodotto alcun risultato a cui ero interessato ma potrei cercare il termine sbagliato. Sarei grato se qualcuno potesse farmi riferimento a tale risorsa.

Grazie.

    
posta AdnanG 11.08.2013 - 05:36
fonte

3 risposte

1

prova queste guide di BSI che offrono una panoramica quasi completa di ciò che un'azienda può fare / deve fare quando lo esegue in qualsiasi modo.

e quindi potresti voler controllare SANS Reading Room e NIST; so che hanno pubblicato il seguente:

  • Guida tecnica alla verifica e valutazione della sicurezza delle informazioni
  • Sicurezza delle informazioni aziendali: i principi fondamentali
  • Guida alla sicurezza generale del server

e molti altri, ma non trovare alcun riferimento atm (anbd il loro sito web è una schifezza:)

    
risposta data 12.08.2013 - 08:19
fonte
2

Come sospetti, questo è un problema di terminologia. Probabilmente stai cercando elenchi di vulnerabilità, ma per sicurezza vorrei spiegarti un po 'di più.

Temo che l'intera faccenda sia piuttosto complicata, ma ne vale la pena alla fine!

Prima di iniziare, dovrei sottolineare che ci sono molti approcci diversi alla sicurezza delle informazioni che possono avere la loro terminologia (io sono un uomo ISO 27000 me stesso). Quindi altre risposte potrebbero usare termini diversi.

Quindi, hai il tuo sistema su cui stai lavorando e vuoi proteggerlo da eventuali danni: ecco cos'è la sicurezza delle informazioni, la protezione sistematica delle informazioni dal male.

Affinché il danno accada, ci devono essere due cose. Una "minaccia", che è qualcuno che causerà danni (deliberatamente o accidentalmente), e una "vulnerabilità" che è un modo in cui la minaccia può fare del male.

Due esempi: Il tuo concorrente ("minaccia") accede al tuo sistema tramite SQL injection ("vulnerabilità") per rubare il tuo elenco di clienti ("danno" - in particolare una "perdita di riservatezza")

Joe in spedizione ("minaccia") non è in grado di capire come funziona il tuo sistema ("vulnerabilità") e inserisce sempre il valore sbagliato per l'impostazione del widget di avvio. ("danno" - in particolare "perdita di integrità").

Puoi trovare elenchi di minacce ed elenchi di vulnerabilità online.

Le minacce tendono ad essere più facili da capire - chi potrebbe realisticamente voler danneggiare il tuo sistema? Chi potrebbe danneggiare accidentalmente il tuo sistema?

Quindi per lo più trovi elenchi di vulnerabilità. La top ten OWASP è un ottimo punto di partenza.

Da dove viene il rischio, allora? Il rischio è una misura che combina la probabilità di una minaccia di sfruttare una vulnerabilità con il danno che potrebbe verificarsi se lo facessero.

La valutazione del rischio viene utilizzata per capire quali combinazioni di minacce e vulnerabilità presentano un rischio più elevato di quello che desideri accettare, quindi sai che devi "trattarle": fai qualcosa per loro.

Ad esempio, se i tuoi concorrenti sono onesti e gestisci con attenzione i tuoi input SQL e tutti sanno chi sono i tuoi clienti, il rischio nell'esempio 1 è molto basso e quindi non vale la pena preoccuparsi. (Beh, non vale la pena spendere soldi, almeno.)

In alternativa, se Joe è incurante e l'errato settaggio del widget ti farà incendiare il tuo prodotto, allora il rischio è alto, e devi fare qualcosa riguardo l'Esempio 2 al più presto.

Ecco la cosa però - ogni valutazione del rischio è praticamente unica perché le minacce e le vulnerabilità che si incontrano sono in una combinazione unica. Qualcosa come l'elenco OWASP non è una scorciatoia. È più una lista di cose che dovresti controllare per assicurarti di non averne perso nessuna.

    
risposta data 11.08.2013 - 17:19
fonte
1

Se lavori per un'organizzazione di dimensioni medio-grandi, ho avuto molta fortuna con gli standard di buona pratica ISF ( link ). Il SoGP ISF fornisce un "quadro di controllo" mediante il quale è possibile misurare e valutare la propria organizzazione e la traccia SoGP ai relativi standard ISO, COBIT, ecc.

La difficoltà con la richiesta di "elenco dei rischi IT" è che le minacce che la tua organizzazione deve affrontare saranno completamente diverse dalle mie. Quindi la mia risposta consiglierebbe di esaminare i controlli che hai in atto e i Rischi che la tua organizzazione dovrà affrontare saranno dove i controlli non sono in atto.

    
risposta data 12.08.2013 - 13:43
fonte

Leggi altre domande sui tag

Traccia le connessioni wireless in modalità aereo Quanto è sicuro un iPhone 4S + con iOS 6+ nel 2013?