OSSTMM RAV能否成为符合新的ISO 27001:2013和ISO 31000的风险评估方法的基础？

Question

OSSTMM中RAV的计算作为一种安全度量似乎非常有用，但是，它们是否能够成为符合新的ISO 27001:2013和ISO 31000的风险评估方法的基础？

ISO 27001:2013年风险评估要求与ISO 31000相一致，因此我认为我们可以专注于ISO 31000。

国际标准化组织31000建立了以下阶段：

• 风险识别
• 风险分析
• 风险评估
• 风险处理

我认为OSSTMM测试可以与风险识别(发现、识别和描述风险的过程)相匹配。

风险分析阶段(了解风险性质和确定风险水平的过程)和风险评估(将风险分析结果与风险标准进行比较以确定风险和/或其规模是否可接受或可容忍的过程)可以与攻击面和RAV的计算相匹配。

风险处理阶段可以是一个额外的阶段，利用OSSTMM中的漏洞分类，我们选择降低风险的相关控制(攻击面，RAV)。

这个匹配对你是对的吗？

是否可以使用OSSTMM、攻击面和RAV计算作为符合ISO 31000标准的风险评估方法？

在ISO 31000或ISO 27001:2013中有任何基本要求，使得无法使用RAV作为其风险评估方法？

Answer 1

我只拥有符合ISO 27001标准的审核和评审经验，而不是31000，所以我的答案将集中在这个方面。总括而言，答案是：

• 匹配正确吗？是。
• 是否可以使用OSSTMM作为ISO 27001/31000的风险评估方法？视情况而定，见下文。
• 有什么基本的要求使它不可能吗？不是的。

ISO 27001风险评估方法

首先，应当指出的是，ISO中没有关于风险评估方法的要求。ISO标准通常定义一个组织应该做什么，而不是如何去做。因此，您是正确的，您可以使用OSSTMM、攻击面和RAV计算作为您的风险评估方法。

例如，在ISO 27001:2013中，我们可以在第8.2章“信息安全风险评估”中看到：

组织应按计划间隔或在提议或发生重大变化时进行信息安全风险评估，同时考虑到6.1.2 a中确立的标准。组织应保留信息安全风险评估结果的书面信息。“

第6.1.2章的标准是：

6.1.2信息安全风险评估组织应界定和应用信息安全风险评估程序，该程序应: a)建立和维护信息安全风险标准，其中包括: 1)风险接受标准；2)进行信息安全风险评估的标准；b)确保重复的信息安全风险评估产生一致、有效和可比的结果；c)识别信息安全风险: 1)应用信息安全风险评估流程，确定与信息安全管理系统范围内信息的机密性、完整性和可用性丧失相关的风险；2)确定风险所有者；( d)分析信息安全风险: 1)评估如果6.1.2 c)中确定的风险成为现实将产生的潜在后果；2)评估6.1.2 c)所述风险发生的现实可能性；3)确定风险水平；e)评估信息安全风险: 1)将风险分析结果与6.1.2 a中确定的风险标准进行比较；2)确定风险处理所分析的风险的优先次序。

在符合ISO 27001标准的风险评估

中使用OSSTMM RAV

正如您所提到的，这里的重要部分是可能性/似然因素。国际标准化组织27001:2013年指出，用于风险评估的方法必须：

2)评估6.1.2 c)所述风险发生的现实可能性1)；

OSSTMM v3将RAV描述为a scale measurement of the attack surface。它不是为了衡量风险，而是作为一种比传统的风险计算更为详细和务实的操作指标，例如：

风险=威胁x脆弱性x资产

OSSTMM故意避免可能性因素，因为它是非常偏颇和不一定客观的。那么RAV就不能被用作执行概率风险评估，这确实是ISO标准的一项要求，那么您的第二个问题的答案将是否定的。

然而，根据我的经验，公司倾向于调整它们正在使用的风险评估方法/框架，即OSSTMM或任何其他方法(例如Octave、NIST framwerork、TRA等)，以适应它们的具体背景和需要。

因此，最后，您必须将一个可能因素集成到OSSTMM/RVA中，以便将其用作符合ISO 27001标准的RA方法。它不一定是复杂的，同样，ISO也没有说明你必须如何去做。

其他考虑事项

另外，一个典型的建议是，使每个部门的方法与全球/标准公司风险评估方法保持一致，特别是在计算方法方面，因为这基本上使管理层更容易在同一基础上评估风险。如果你没有这样做，并且在你的公司内使用了不同的方法，你将不得不协调结果，有时还会把苹果和香蕉进行比较。

因此，我不建议使用OSSTMM RAV作为风险评估的方法。它过于具体和操作，无法与公司其他地方的其他风险进行有效的匹配和比较。