Процјене ризика информационе безбједности
Наша Meтодологија процјене безбједносних ризика прилагођена је захтјевима и регулаторном окружењу корисника.
Заснована је на општеприхваћеним базама података које је развила агенција NIST (National Vulnerability database) те сљедећим водичима и оквирима:
- Посебна публикација (SP) 800-53 National Institute of Standards and Technology’s (NIST), Recommended Security Controls for Federal Information Systems and Organizations. Публикација NIST SP 800-53 идентификује 198 безбједносних пракси које су подијељене у 18 група/фамилија и три класе. Свака од безбједносних пракси мапирана је у ISO 27001 документе. Публикација SP 800-53 дефинише и три почетна безбједносна елемента који представљају основу за избор безбједносних контрола за информационе системе малог, средњег или високог утицаја на пословање. Ови почетни безбједносни елементи могу се користити као основа за имплементацију безбједносних стандарда према анализи утицаја у различитим категоријама/подкатегоријама информационе имовине.
- OWASP oквир за пенетарцијско тестирање веб страна и садржаја.
- ISACA водичи за ревизију, Процедура за ревизију информационих система P8 Процјена безбједности - Пенетрацијско тестирање и анализа рањивости, (P8) који пружа водиче за садржај и процедуре везане за процјене безбједности.
Фазе процјене се обично обављају коришћењем алата као што је Tenable Network Security Nessus vulnerability scanning tool (Nessus) у комбинацији са другим процедурама процјене. Nessus користи Common Vulnerability Scoring System (CVSS) за једноставнију процјену ризика. Процјена ризика захтијева квантитативну анализу рањивости унутар мреже. Forum of Incident Response and Security Teams (FIRST) креирао је поменути CVSS систем да би специфицирао методологију процјене ризика. CVSS пружа отворени оквир за комуницирање карактеристика и утицаја рањивости. Састоји се од три групе : основна, промјенљива, просторна.