更新:2019年9月8日(作成:2019年8月20日)
リスクの3要素
リスクを構成する要素は、「情報資産」「脅威」「脆弱性」
の3つです。
・・・と思っていたのですが、CISSP公式ガイドブックには、
「資産」「脅威」「低減要因(mitigating factor)」
と記載されています。
低減要因(mitigating factor)って何だ?
脆弱性じゃないの??
ガイドブックにはサラッと書かれていて、それ以上の言及はないし、少し調べたのですが、そのように定義する流派?も無さそうだし。。
それとも脆弱性と低減要因はほぼ同義・・・?
いや、全く逆の意味なような気もする。。
これ以上深堀しても仕方ないので、CISSP的リスク3要素は、「資産」「脅威」「低減要因」と割り切って覚えておくことにします。
リスクアセスメントの評価事項
リスクアセスメントで評価する事項、つまり目的は以下のとおりです。・資産への脅威
・環境に存在する脆弱性
・脆弱性の悪用により脅威が顕在化する可能性
・脅威の顕在化が組織に及ぼす影響
・脅威が顕在化する可能性を低減するための対策、顕在化時に組織に及ぼす影響を低減するための対策
・残存リスク
CISSP公式ガイドブックでは、「脆弱性の暴露(exposure)を利用して、脅威が実現される可能性」といった表現が使われていますが、なんだかしっくり来ないので「脆弱性の悪用により脅威が顕在化する可能性」としています。
脆弱性の暴露って・・・あんまり言わないよなぁ。。
リスクを受容したら
組織として「リスクの受容」を判断した場合、受容に至ったプロセスを詳細に文書化しておく必要があります。将来、監査等からの「なんでそんな判断をしたんだ?」というツッコミに対応できるようにしておく、という意味です。
まぁ、リスク云々に関わらず、記録に残すことはビジネスの基本ですよね。
セキュリティリスクという文脈では、セキュリティコントロールの実装時、災害復旧計画(Disaster Recovery Plan)の策定時、ビジネス影響度分析(BIA: Business Impact Analysis)の実施時・・・等々で、リスク受容が発生し得ます。
その後は、ちゃんとドキュメントに残しておきましょう。
0 件のコメント:
コメントを投稿