如何正确评估风险？

Question

安全从来就不是100%。有必要平衡风险和成本。需要进行风险评估，以确定预防措施的成本效益。

我想回答以下几个问题：

• 在进行风险评估时应遵循哪些框架？
• 一个组织如何有效地模拟一个威胁？
• 一个组织如何准确地确定特定于自己当前情况的潜在安全威胁的货币成本？

我认为这里还没有任何问题涉及到这一点。

请-没有答案只包含链接到外部资源。我想要一个或两个详细的答案，包括概述风险评估通常是如何在大型组织进行。

Answer 1

ISO/IEC 27005:2011是国际标准化组织的标准，为风险管理提供了指导方针，并包含了对该过程的评估部分的许多建议。一个可笑的简短摘要可能是：

• 通过以下方式识别风险：
  • 识别你的资产
  • 确定对每项资产的威胁
  • 标识保护每个资产的现有控件
  • 识别威胁可能利用的每个资产中的漏洞
  • 确定每项资产受到损害的后果

• 通过：分析风险
  • 确定损害的可能性(即丧失机密性、完整性或可用性)
  • 确定损害的影响
  • 将这些值组合到指定风险级别

• 通过将风险水平与可接受的风险阈值进行比较来评估风险。

通常，您会通过盘点资产并访问资产所有者和维护人员来完成识别步骤。

分析阶段通常是定性的和相当简单的。例如，您可能会将低、中或高的值分配给每个风险的可能性和影响，然后有一个简单的表显示相应的风险值。高可能性和高影响意味着高风险，等等。这看起来相当简单，但是很难给出精确的量化值来衡量所有风险的可能性和影响。下周我的办公室被烧毁的可能性有多大？斯波克可能估计概率为2.457%，但我是人，所以我能做的就是估计它是“非常低”。当然，你的情况可能不一样。

最后，评估阶段只是简单地将风险级别与您认为可以接受的级别进行比较，以确定风险是否需要治疗。同样，这有点简单化，但你进行分析的原因是确定( a)你需要处理哪些风险，( b)按照什么顺序去做。

Answer 2

我不能为大型组织负责，但对于小型组织，我发现以下风险评估矩阵通常足够好，可以让管理层了解( a)考虑安全性和失败的可能影响( b)帮助他们就投资的资源/努力做出决定。

+----------------+---------------------------+---------------------------+------------------+-------------------------------+
| What           | Current level of security | Improvement Effort Needed | Data Sensitivity | Impact of Worst Case Scenario |
+----------------+---------------------------+---------------------------+------------------+-------------------------------+
| Product Foo    | low                       | ++                        | -                |                               |
| - component a  | reasonable/good           | High                      | Medium           | Major                         |
| - component b  | very low!                 | Medium (requires time)    | Medium+          | Non acceptable                |
| - ...          | ...                       | ...                       | ...              | ...                           |
+----------------+---------------------------+---------------------------+------------------+-------------------------------+

上面的矩阵很简单，也很不完美，但它能让人们思考问题和可能的后果，它足够直观，可以在组织的几个层次上发挥作用，并作为开始确定工作重点的基础。