Procjene bezbjednosnih rizika
Naša Metodologija procjene bezbjednosnih rizika prilagođena je zahtjevima korisnika.
Zasnovana je na opšteprihvaćenim bazama podataka koje je razvila agencija NIST (National Vulnerability database) te sljedećim vodičima i okvirima:
- Posebna publikacija (SP) 800-53 National Institute of Standards and Technology’s (NIST), Recommended Security Controls for Federal Information Systems and Organizations. Publikacija NIST SP 800-53 identifikuje 198 bezbjednosnih praksi koje su podijeljene u 18 grupa/familija i tri klase. Svaka od bezbjednosnih praksi mapirana je u ISO 27001 dokumente. Publikacija SP 800-53 definiše i tri početna bezbjednosna elementa koji predstavljaju osnovu za izbor bezbjednosnih kontrola za informacione sisteme malog, srednjeg ili visokog uticaja na poslovanje. Ovi početni bezbjednosni elementi mogu se koristiti kao osnova za implementaciju bezbjednosnih standarda prema analizi uticaja u različitim kategorijama/podkategorijama informacione imovine.
- OWASP okvir za penetarcijsko testiranje veb strana i sadržaja.
- ISACA vodiči za reviziju, Procedura za reviziju informacionih sistema P8 Procjena bezbjednosti - Penetracijsko testiranje i analiza ranjivosti, (P8) koji pruža vodiče za sadržaj i procedure vezane za procjene bezbjednosti.
- Faze procjene se obično obavljaju korišćenjem alata kao što je Tenable Network Security Nessus vulnerability scanning tool (Nessus) u kombinaciji sa drugim procedurama procjene. Nessus koristi Common Vulnerability Scoring System (CVSS) za jednostavniju procjenu rizika. Procjena rizika zahtijeva kvantitativnu analizu ranjivosti unutar mreže. Forum of Incident Response and Security Teams (FIRST) kreirao je pomenuti CVSS sistem da bi specificirao metodologiju procjene rizika. CVSS pruža otvoreni okvir za komuniciranje karakteristika i uticaja ranjivosti. Sastoji se od tri grupe : osnovna, promjenljiva, prostorna.