תוכן עניינים:
הגדרה - מה המשמעות של מסגרת הערכת סיכונים (RAF)?
מסגרת הערכת סיכונים (RAF) היא גישה לתעדוף ושיתוף מידע על סיכוני האבטחה הנשקפים לארגון טכנולוגיות מידע. יש להציג את המידע באופן שאנשים לא טכניים וטכניים בקבוצה יכולים להבין. הנוף על RAF מספק עזרה לארגונים בזיהוי ואיתור של אזורים נמוכים וגם עם סיכון גבוה במערכת העלולים להיות רגישים להתעללות או לתקיפה.
Techopedia מסביר את מסגרת הערכת הסיכון (RAF)
הנתונים שמספקים RAF מועילים להתמודדות עם איומים פוטנציאליים ועלויות תכנון ותקציבים. תקני RAF רבים כבר מקובלים כסטנדרטים במספר תעשיות. כמה דוגמאות כוללות את איום הביקורת התפעולית, הערכת נכסים ופגיעות (OCTAVE) מצוות מוכנות חירום למחשבים, יעדי הבקרה למידע וטכנולוגיה קשורה (COBIT) מאיגוד הביקורת והבקרה של מערכות מידע, ומדריך לניהול סיכונים עבור מערכות טכנולוגיות מידע מהמכון הלאומי לתקנים.
בדומה למסגרות אחרות, קיימות הנחיות ליצירת RAFs שצריך לפעול:
- מלאי וסיווג: מקבצים את מערכות המידע, בין אם פנימיות או חיצוניות, לקטגוריות ומבדילים בין תהליכים שלהם.
- זהה סיכונים פוטנציאליים: חפש איומים, פגיעויות וסיכונים שהמערכת עלולה להיתקל בהם. יש לקחת בחשבון תופעות טבעיות כמו אסונות או הפסקות חשמל בנוסף להתקפות תוכנות זדוניות.
- יישום והערכה: מבוסס על דיון בסיכונים פוטנציאליים, יש ליישם בקרות אבטחה תואמות לאבטחת מידע. הערך ותעד את הממצאים על אופן פעולתם של הביקורות ותרומה להפחתת הסיכון.
- הרשאה ופיקוח: הרשאת פעולות המערכת על ידי קביעת נוהל, הסיכון לפעולות ונכסים ארגוניים, נקודות חוזק וחולשות אינדיבידואליות וגורמים אחרים אשר יתרמו לרווחת הפעולות. פיקוח על בקרות האבטחה הנו תהליך מתמשך הכולל הערכת אפקטיביות בקרות האבטחה, תיעוד השינויים, יישום הפתרונות שנדונו והצגת מצב המערכת בפני אנשי הארגון המתאימים.
