网络复原力评分
什么是对网络复原力的良好评估?我设想了一些类似于不同主题的分数,例如:
- 数据保护:高风险
- 恶意软件防御:中等风险
- 应用程序/系统生命周期:无风险
- 脆弱性管理:外部风险
等。
如果风险评估是子类别的结果,如:
1.1备份到位?
1.2防止数据泄漏?
1.3评估控制是否有效?
或
2.1到处都安装了抗病毒?
2.2最新的抗病毒定义?
2.3已禁用Office宏?
我的问题是:这样的评估有什么标准吗?我看了ISO 27k系列,法国ANSSI,德国BSI或OWASP项目,但我找不到这样的度量。这些文件似乎不够技术性,不足以界定可衡量的清单。
例如,非常有用的文档http://www.ssi.gouv.fr/en/guide/40-essential-measures-for-a-healthy-network/包含42项安全措施。然而,我发现很难用它来创建一个得分函数。
回答 1
Security用户
发布于 2019-05-29 14:23:13
你不会找到一个标准化的度量标准,因为这不是风险的工作方式。了解不良事件将有多大的影响是风险管理的重点。
主要大学面临的风险将与3人应用程序开发启动所面临的风险大不相同。
例如:
2.1到处都安装了抗病毒?
对于一个只使用Chromebook的小公司来说,你不能安装AV。也不重要。
对于一所从事敏感研究的大学来说,你可以在研究计算机上安装AV,但是AV的类型可能会将文件发送到俄罗斯,或者AV可能会干扰分析软件的正常运行。安装AV实际上会增加风险,而不是降低风险。减少恶意代码的风险是可以在设备上运行的。AV只是减轻这种风险的一个控件,每个控件都可以呈现自己的一组新的风险。
恐怕在风险方面没有捷径。您需要了解对您的人员、数据和技术造成的不利影响以及它们可能产生的影响。
对于泛泛的笔画,有一些框架在一般意义上对各种控制进行排序。
- 正如alnbhclyn所共享的:最重要的20个安全控制措施有3大类控制成熟度
- 网络基本要素提供了5大类控件的集合,NCSC认为这些控件对于减少80%最常见的网络风险是最关键的。
您还可以查看NIST CSF,它将108个不同的活动分解为识别、保护、检测、响应、恢复,并且您可以根据自己是否正在执行这些活动以及您的薄弱位置来评分自己。一定要通过每一项活动来确定它们与你的组织有多相关。
https://security.stackexchange.com/questions/210999
复制相似问题
腾讯云开发者
