Sisällysluettelo:
- Määritelmä - mitä riskinarviointijärjestelmä (RAF) tarkoittaa?
- Techopedia selittää riskinarviointikehyksen (RAF)
Määritelmä - mitä riskinarviointijärjestelmä (RAF) tarkoittaa?
Riskinarviointikehys (RAF) on lähestymistapa priorisoida ja jakaa tietotekniikkaorganisaatiolle aiheutuvia turvallisuusriskejä. Tiedot on esitettävä siten, että sekä ryhmän ei-tekniset että tekniset henkilöt ymmärtävät. Näkymä RAF: stä auttaa organisaatioita tunnistamaan ja paikantamaan sekä alhaisen että korkean riskin alueet järjestelmässä, jotka saattavat olla alttiita väärinkäytöksille tai hyökkäyksille.
Techopedia selittää riskinarviointikehyksen (RAF)
RAF: ien tarjoamat tiedot ovat hyödyllisiä mahdollisten uhkien torjumisessa sekä kustannusten ja budjettien suunnittelussa. Monet RAF: t hyväksytään jo normeiksi useilla toimialoilla. Muutamia esimerkkejä ovat operatiivisesti kriittisen uhan, omaisuuden ja haavoittuvuuden arviointi (OCTAVE) tietokoneen hätävalmiustiimiltä, tietojärjestelmien valvontatavoitteet (COBIT) tietojärjestelmien tarkastus- ja valvontayhdistykseltä ja riskienhallintaopas Tietotekniikkajärjestelmät kansalliselta standardi-instituutilta.
Kuten muutkin puitteet, RAF: ien luomiseen on olemassa ohjeet, joita on noudatettava:
- Inventointi ja luokittelu: Ryhmitä sisäiset tai ulkoiset tietojärjestelmät luokkiin ja erota niiden prosessit.
- Tunnista mahdolliset riskit: Etsi uhkia, haavoittuvuuksia ja riskejä, joita järjestelmä voi kohdata. Haittaohjelmahyökkäysten lisäksi on otettava huomioon luonnolliset tapahtumat, kuten onnettomuudet tai virtakatkokset.
- Toteuta ja arvioi: Ota mahdollisista riskeistä käydyn keskustelun perusteella käyttöön vastaavat tietoturvan valvontatoimet. Arvioi ja dokumentoi havainnot valvonnan toiminnasta ja riskien vähentämiseen osallistumisesta.
- Valtuutus ja valvonta: Valtuuta järjestelmän toiminnot määrittämällä menettely, organisaatiotoimintaan ja omaisuuteen kohdistuvat riskit, yksilölliset vahvuudet ja heikkoudet ja muut tekijät, jotka edistävät toiminnan hyvinvointia. Turvavalvonnan seuranta on jatkuva prosessi, joka sisältää turvavalvonnan tehokkuuden arvioinnin, muutosten dokumentoinnin, keskusteltujen ratkaisujen toteuttamisen ja järjestelmän tilan esittelyn asianmukaiselle organisaatiohenkilöstölle.
