正如我们在信息安全领域工作的所有人所众所周知的那样,任何ISMS(信息安全管理系统)的基石都是对与我们资产相关的风险进行相关分析的结果。信息。
风险分析的重要性源于以下事实:它是使我们能够识别这些资产所面临的威胁,估计此类威胁的实现频率以及评估此类实现对本组织的影响的工具。
在风险分析领域,当我们考虑遵循的方法时,在西班牙我们拥有无可争议的参考。是的,该参考文献为《 MAGERIT:信息系统的风险分析和管理方法论》。当前版本为2.0,它具有出色的健康状况,并已被ENISA(欧洲网络和信息安全局)以及其他欧洲和国际方法学认可。它是由公共行政部(MAP)的一个机构电子行政高级理事会(CSAE)精心制定的一种公共方法,负责西班牙政府信息技术政策的准备,拟定,开发和应用。
如果到目前为止,MAGERIT的统治地位无可争议-有趣的是,那些决定发展自己的“方法论”的专业人员(考虑到他们对组织的适应性更强),在相对较短的时间内,我们就有了竞争对手。正如许多人所想象的那样,风险分析领域的这一新参与者是国际标准ISO / IEC 27005:2008,其标题为“信息技术-安全技术-信息安全风险管理”。
ISO 27005“废除”了ISO / IEC TR 13335-3:1998和ISO / IEC TR 13335-4:2000标准,并且自2008年6月发布以来,为正确执行分析提供了一系列指南风险。
但是请注意,ISO 27005并未提供特定的风险分析方法,而是通过其子句描述了建议的分析过程,包括构成该过程的各个阶段:
- 上下文的建立(第7条)。风险评估(第8条)。风险处理(第9条)。风险的接受(第10条)。
简而言之,该标准可以帮助我们毫无疑问地确定任何良好的风险分析方法论必须包括的要素,因此,从这种观点来看,它本身可以构成一种方法论。
此外,该标准包括具有信息性和非规范性的六个附件(AF),其指导方针从资产和影响的识别,脆弱性及其相关威胁的示例到分析的不同方法,高风险分析之间的区别不等。层次和详细分析。
但是,ISO 27005对MAGERIT或其他现有方法有何论点?好吧,事实是,即使在欧洲,该领域也存在明显的分歧(在这种情况下,从逻辑上讲,将ISO标准与每个国家的方法进行比较)。
一方面,有些人怀着极大的热情接受了新标准,他们理解这意味着在国际层面上将风险分析方法必须满足的要求正式化,因此可以明确地肯定一个领域需要它。在致力于实施ISO 27001(安全管理中的绝对参考)的管理系统的人员中,这一职位经常出现,因为ISO 27005显然是为支持框架内的风险分析和管理任务而诞生的ISMS。
另一方面,鉴于许多现有方法,我们发现对标准本对风险分析专业人员的贡献不太了解的人。从这些立场出发,批评者更加倾向于风险管理,批评的焦点是指出新标准并没有真正地研究风险管理,而是仅仅存在于某些风险的声明性框架中。它与PDCA周期(计划,执行,检查,执行)相关联,以审查这些风险。
对ISO 27005的批评者增加了另一个方面,这些方面并不能使他们信服,而恰恰是,对他们而言,对ISMS的标准无疑是从属的(对他们而言无疑是过度的)。他们认为该标准第7.1款中的陈述是不可接受的,该陈述援引风险分析等目的来支持ISMS。质疑该声明的理由是,实际上ISMS的实施是事先进行风险分析的结果,而不是相反的结果。最后一种意见似乎根本没有引起人们的关注,因为ISMS正是以此为目的,在这种情况下,冗余是值得的,以便始终从风险分析的起点来管理信息安全。
不管有什么争议,这些争议不必都是无休止的,事实是,仅仅一年多的时间,致力于信息安全的专业人士就为这项艰巨而关键的任务(分析)提供了新的支持。组织中信息资产的风险管理/ Analysis。必须说,需要更多贡献的任务越好。
在这些贡献中,值得一提的是在ISO 27005发布后一个月突出西班牙出版物,其中以UNE标准形式的风险分析方法(在本例中为是)。当然,我们指的是UNE 71504,毫无疑问,在另一场合下进行讨论,并将其与西班牙无可争议的MAGERIT参考进行比较。
贡献者:Elena Ortega deNicolás
