CISSP心得筆記-5(淺談風險管理)

風險管理

此篇來說明一下風險管理

風險管理NIST Generic Risk Model

NIST Generic Risk Model是由美國國家標準與技術研究所(National Institute of Standards and Technology)提出的一種風險管理模型,用於評估組織的風險。它提供了一個統一的風險評估框架,可以支持組織進行風險評估、處理、決策等。

Threat Scenarios = Threat Source + Threat Event

上面是資安人員對風險的描述

  • 誰用什麼方式用什麼做到

    • Threat Source

    • Threat Event

    • Vulnerability

風險是威脅和脆弱性的結合。威脅是尋求破壞安全性的外部力量,例如本案中的惡意黑客。漏洞是可能使威脅得逞的內部弱點。在這種情況下,缺少的補丁就是漏洞。在這種情況下,如果惡意黑客(威脅)嘗試對未打補丁的服務器(漏洞)進行 SQL 注入攻擊,結果就是網站污損。

威脅情境 Threat Scenario

一個威脅來源(Threat Source)對應到一個威脅事件(Threat Event)的組合

如:一個小屁孩駭客 可能會有多個威脅情境相同的小屁孩駭客(威脅來源),做 SQL Injection(Event)、XSS(Event)、DDoS(Event) …等

風險用一句話描述就是達成目標的不確定因素

風險管理口訣:

1大目標2大程序3步驟4絕招

目標: 風險必須降低到高階管理層可以接受的程度

兩大程序:必須要做風險評鑑以及風險處置

風險評鑑要做三件事

  1. 風險識別:先確認與目標有關才進行分析,要登記在風險記錄表中

  2. 風險分析:主要是決定 曝險值、風險敞口(Risk exposure)

    1. 質化分析:德爾非法(做問卷調查)

    2. 量化分析:期望值法 (算數學)

      1. 公式:

        • SLE 單一損失期望= AV * EF

        • ALE 年度損失期望 = SLE * ARO ( = AV*EF*ARO)

        • ACS = 年度控制措施成本

        • ARO = 年度發生率。

        • EF = 暴露因子/敞口因子。如果風險發生,損失金額,與總資產價值的百分比

        • AV = 資產估值/價值。

        • SLE = AV * EF。

        • ALE = SLE * ARO控制措施的價值與成本效益: (ALE1- ALE2) – ACS

        • 暴露係數:損失金額/總價值

    3. 風險評估:按照分析結果排順序

    4. 風險處置  (ATMA) >>> 下安全控制措施(之前提到的那些HIPPA or ISO27001等)

      1. 避免(Avoid) : 放棄原本要做的事情(例如原本是要搭飛機直接放棄改搭船)

      2. 移轉(Transfer) : 第三方,Ex. 買資安險。 風險可以轉移,但是責任不行。

      3. 緩解(Mitigate) : 處理不確定因素(降低發生可能性)、處理影響。

      4. 接受(Accept) : 僅留在風險登錄表,考量成本效益分析以及公司可以接受。

        • 代價成本太高,處理不來

        • 持續監控,暫時不處裡

最後補充一些書中有提到的名詞解釋

相關風險名詞

  • 固有風險 : 未經處置的

  • 殘餘風險 : 處置過後剩餘的風險

  • 次級風險 : 因風險處置而產生另外的風險 (Ex.下車換備胎)

  • 集聯風險 : 串聯風險、連鎖效應 

以下是一些關於風險管理的參考連結:

  1. NIST Risk Management Framework (RMF): https://www.nist.gov/cyberframework/risk-management-framework

  2. ISO 31000 Risk Management Standard: https://www.iso.org/standard/65694.html

  3. FAIR Institute: https://www.fairinstitute.org/

  4. ISACA Risk IT Framework: https://www.isaca.org/standards/guidelines/risk-it

  5. COSO ERM Framework: https://www.coso.org/Pages/EnterpriseRiskManagement.aspx

  6. PMI Risk Management: https://www.pmi.org/pmbok-guide-standards/foundational/standard-for-risk-management-in-portfolios-programs-and-projects

  7. SANS Risk Management: https://www.sans.org/reading-room/whitepapers/analyst/beginners-guide-risk-management-35822

  8. Open FAIR: https://www.opengroup.org/openfair

這些連結提供了不同的風險管理框架和模型,包括國際標準、最佳實踐、指南、工具和技術等,可以幫助您了解和實施風險管理

[上一篇]心得筆記-4

[下一篇]心得筆記-6

發佈留言