ketyiaの学んだこと議事録

このサイトでは学んだことを記事にまとめていきます

CNDの勉強65 ~リスク~


こんばんは
今日もCNDの勉強をしていきます

本記事では「リスク」について学んでいきます!

リスク管理


リスク管理とは、リスクを適切に定義し、有効なセキュリティプログラムにより許容可能なレベルに低減し、維持することです。リスク管理はシステムセキュリティのライフサイクル全体を通して重要な位置を占めています。

リスク管理の役割と責任は下記となります。

上級管理者

効果的なリスク管理のためにサポートと関与を行います。

CIO

リスク管理プログラムに基づくITの計画、予算管理、パフォーマンスに対する責任があります。

情報保持者

情報システムの機密性、完全性、可用性を維持するための適せるなセキュリティ制御に対する責任があります。

マネージャ

リスク管理プロセスにおけるトレードオフの決定に対する責任があります。

ISSO

組織の情報セキュリティプログラムに対する責任があります。

ITセキュリティプラクティショナ

セキュリティ正業の実装に対する責任があります。

意識向上トレーナ

リスク管理プロセスに関する適切なトレーニングを開発し、提供する責任があります。


また、効果的なリスク管理プロセスの重要な要素で、アクティビティのリスクの度合いを示すのに役立つKRIというものがあります。これにより、「イベントの悪影響の識別」「リスクのしきい値レベル通知」「リスクイベントの回顧的ビュー」の実行を支援します。

リスクの特定


リスクの特定は、組織のセキュリティに影響を及ぼす内部や外部のリスクの起点、原因と結果などを識別します。「コンテキスト(現在状況)の確立」と「リスクの定量化」を行います。

リスク評価


リスク評価では、組織のリスクを評価し、リスクの可能性と影響を見積ります。「リスク分析」と「リスク優先順位付け」を行います。リスクのレベルを定めたり、マトリックスにまとめたりすることが行われたりしています。

リスク対処


リスク特定では、特定されたリスクに対して適切な制御を選択し、実装するプロセスです。リスク評価の結果に基づくものとなります。

プロセスは下記があります。


リスク除去

脆弱性の悪用脅威をゼロに低減する対策です

リスク転移

リスク対処の責任を別の関係者や組織に転移します

リスク低減

直接的、競合的な対策を実施することにより、脅威や脆弱性に関与するリスクを低減します。

リスク所有

リスクの受容とは、特定のリスクが組織にとって許容可能な範囲内であると判断することです。

リスク回避


リスクの原因と結果を排除します。

リスクトラッキングとレビュー


リスクトラッキングは、新しいリスクの発生の可能性を特定し、対処するために適切な制御が実装されていることを保証するためのフェーズです。

また、レビューは、実装されたリスク管理戦略のパフォーマンスを評価します。

リスク管理フレームワーク


ERM

情報セキュリティ及びリスク管理アクティビティを統合する構造化プロセスを備えています。

NIST管理フレームワーク

情報セキュリティとリスク管理活動をシステム開発ライフサイクルに統合する、構造化された継続的なプロセスを提供します。

COSO ERMフレームワーク

必須のコンポーネントを定義し、共通の言語を提案し、ERMの明確な指導とガイダンスを提示します。

COBITフレームワーク

管理者が制御の要件、技術的な問題、ビジネスのリスク間のがっぷを埋めることができるツールセットをサポートします。

脆弱性管理


脆弱性管理は継続的な情報セキュリティのリスクプロセスで、脆弱性の識別、評価、分類、修正、軽減が対象となります。

脆弱性評価

検知された脆弱性はセキュリティチーム、監視者、管理者に報告します。

軽減

脆弱性が悪用されるのを防ぐためのアクションです。

改善

検知された脆弱性を解決するプロセスです。

検証

脆弱性が解決しているかどうかを確認するために別スキャンを行います。

まとめ


今日はここまでです。

リスクは、セキュリティだけでなくいろんな分野に役立つものだと思うので、知っておいて損はないかと思います。事前に起こりえることを考え対策するってことができるようになるともし損害を受けても、他の人より一歩早く対策できると思いますので!

ここまで読んでいただきありがとうございました。