Съдържание:
- Определение - Какво означава Рамка за оценка на риска (RAF)?
- Techopedia обяснява рамката за оценка на риска (RAF)
Определение - Какво означава Рамка за оценка на риска (RAF)?
Рамка за оценка на риска (RAF) е подход за приоритизиране и споделяне на информация за рисковете за сигурността, които представляват организация за информационни технологии. Информацията трябва да бъде представена по начин, който както нетехническият, така и техническият персонал в групата могат да разберат. Прегледът на RAF предоставя помощ на организациите при идентифицирането и локализирането на зони с нисък и висок риск в системата, които могат да бъдат податливи на злоупотреба или атака.
Techopedia обяснява рамката за оценка на риска (RAF)
Данните, които предоставят RAF, са полезни за справяне с потенциални заплахи и планиране на разходи и бюджети. Много RAF вече са приети като стандарти в няколко индустрии. Няколко примера включват Оперативно критична заплаха, актив и оценка на уязвимостта (OCTAVE) от екипа за компютърна готовност за спешни случаи, контролни цели за информационни и свързани технологии (COBIT) от Асоциацията за одит и контрол на информационните системи и Ръководство за управление на риска за Системи за информационни технологии от Националния институт за стандарти.
Подобно на други рамки, има указания за създаване на RAF, които трябва да се спазват:
- Опис и категоризация: Групирайте информационните системи, вътрешни или външни, в категории и разграничете техните процеси.
- Идентифицирайте потенциални рискове: Потърсете заплахи, уязвимости и рискове, които системата може да срещне. Природни събития като бедствия или прекъсвания на електрозахранването трябва да се вземат предвид в допълнение към атаките на зловреден софтуер.
- Изпълнение и оценка: Въз основа на обсъждането на потенциалните рискове, приложете съответния контрол за сигурност за сигурността на данните. Оценявайте и документирайте констатациите за това как функционират контролите и допринасят за намаляване на риска.
- Разрешаване и мониторинг: Разрешаване на операциите на системата чрез определяне на процедура, риск за организационни операции и активи, индивидуални силни и слаби страни и други фактори, които ще допринесат за благосъстоянието на операциите. Мониторингът на контролите за сигурност е продължаващ процес, който включва оценка на ефективността на контролите за сигурност, документиране на промените, прилагане на обсъжданите решения и представяне на състоянието на системата пред подходящ организационен персонал.
