CIS RAM:如何合理地承受风险?

作者:Sender Su  来源:原创内容  发布日期:2022-04-26  最后修改日期:2022-05-09

  在笔者自己来看,个人对网络安全风险可以是偏执狂心态,但对于企业组织而言,成本是实实在在的一道坎。互联网安全中心(CIS)也有同样的观点。

  为了使企业组织更好地应用CIS关键控制措施,CIS会同HALOCK安全实验室(https://www.halock.com/),编制了CIS风险评估方法(Risk Assessment Method,RAM),以便简化企业组织能基于事件指引去达到合理的风险承受能力。

一、但第一个问题是,什么才是“合理”的安全措施?

  如果你作为企业组织的网络安全负责人员,所管理的企业组织被入侵而导致形成案件,进而进入到案件诉讼阶段,你将被要求证明你或者你所在的企业做到了“应有关注”(due care),这是法官们用来描述“合理性”的语言。或者更通俗一点,“尽职尽责”。

  因此,企业必须采取保障措施,确保风险在入侵事件发生时,对于企业自身以及其它相关方面都是在合理控制的范围内。

  CIS RAM可以帮助您的企业展示自己已经做到了“应有关注”。

二、第二个问题,什么是CIS RAM?

  CIS和HALOCK安全实验室共同开发了CIS风险评估方法(CIS Risk Assessment Method,RAM),以帮助企业证明合理实施CIS控制措施的投资合理性。CIS RAM帮助企业定义其可接受的风险水平,并对CIS控制措施进行优先级排布和实施,以管理风险。

  尤其是,网络安全问题会影响到各种相关方,对于企业内的信息安全专业人员,需要同时满足这些相关方,而所有这些各方的关注点都会有区别。因此,如何能同时满足和实现这些相关方所关切的要点,对信息安全人员构成了一系列的工作挑战。

  典型情况比如:

相关方 关注点 对安全工作的挑战性
CIO、管理层、董事会 如何能把对安全的投资和对业务的重要性相联系? 需要一套可辩护的投入计算方法去证明为安全而投资的合理性,从而把风险转化为具体到计划和执行级别的直观数据。
律师和法官 你是否实施了合理的控制措施,本可以防止被入侵? 向法官证明你具体实施的CIS控制措施是合理的。
监管机构 您所应用的CIS控制措施是否合理和适当的,从而达到了控制措施所定义的合规要求? 如何向监管机构显示你具体实施的CIS控制措施,已经达到了其定义的合规要求。
客户 你是否能适当地保护我们的信息免受侵害? 如何向客户保证他们的信息得到了适当的保护。
IT和安全专业人员 我们怎样才能完成这些工作? 如何能优先考虑实施CIS控制措施,并在合理的水平上接受风险挑战。

  而如果通过常规的方式,比如差距评估、审计和成熟度评估等,意味着你的差距需要被完全弥补。

三、CIS RAM是解决这些问题的办法。

  CIS RAM通过以下方式解决了这些挑战:

  1、CISRAM提供了一种通过计算对客户、业务目标和外部实体(监管机构、供应商等)的影响的预期,从而评估风险的方法。

  2、CISRAM提供了一种方法,定义出企业“可接受的风险”,并以之为界线。线以下的风险遵循“应有关注”原则,线以上的作为需要面对和处理的(会发生的)风险。

  以上方法原理为企业提供了一个简洁和可防御的过程来接受或处理风险。

  在当前版本的CIS RAM 2.1中:

  1、引入工作簿定义,自动化了使用人大量的风险分析过程,更快地获得结果。

  2、CIS RAM 2.1 通过把被报告的威胁的共性防止这些威胁所需要的CIS保障措施的工作强度相比较,来评估风险预期。

  3、通过使用Veris社区数据库(Veris Community Database,VCDB,http://veriscommunity.net/vcdb.html),CIS RAM引入了一种基于证据的启发式方法来评估期望。

四、CIS RAM可以帮助您应用合适程度的安全工作

  风险分析有助于形成和定制控制措施,以解决企业面临的内部和外部挑战。企业往往依赖于差距评估来确定其漏洞的严重性。CIS RAM 使您能够应用适当数量的安全性,在保持企业安全和确保您能够正常开展业务之间取得平衡。

  如果纠正所有评估出来的缺口和缺陷,可能会导致过度安全和过度投资。只纠正通过CIS RAM评估所确定的风险,可以达到适当程度的安全性和投资额的平衡效果。

感兴趣的一方 CISRAM解决方案
首席信息官/首席执行官/董事会 根据客户、业务目标和外部实体的需求,简洁地计算和考虑需要优先应对的风险。这有助于证明投资是合理的、创造可解释的投入上升计算方式,并将风险转化为有优先级安排的实施计划。

律师和法官

CIS RAM允许你通过以符合司法推理的方式评估你的风险,从而实现CIS控制措施的合理实施

监管机构

CIS RAM平衡了风险和负担,以满足监管机构对企业组织能实现合理的和适当的合规的期望。

客户

通过用平白的语言去描述可接受的风险定义,使得能向客户解释他们的信息如何能得到适当的保护。

IT和安全专业人员

CIS RAM允许你按工作内容对相关方的重要性排出优先级,并在企业明确同意的程度去接受风险。

五、在经营活动中的谨慎责任

  在企业组织发生被入侵、因安全而起的诉讼,或被监管审计时,企业所获取的安全认证比如PCI DSS、ISO27001等也许会有所帮助,但如果能通过强有力的风险评估过程,证明企业已经实现了尽职尽责、适当谨慎,那更重要。

本栏目相关
  •  2024-07-06 解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(上篇)
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码: