Inhoudsopgave:
- Definitie - Wat betekent Risk Assessment Framework (RAF)?
- Techopedia verklaart Risk Assessment Framework (RAF)
Definitie - Wat betekent Risk Assessment Framework (RAF)?
Een risicobeoordelingsraamwerk (RAF) is een benadering voor het prioriteren en delen van informatie over de beveiligingsrisico's van een informatietechnologieorganisatie. De informatie moet worden gepresenteerd op een manier die zowel niet-technisch als technisch personeel in de groep kan begrijpen. De visie op de RAF biedt organisaties ondersteuning bij het identificeren en lokaliseren van zowel laag- als hoogrisicogebieden in het systeem die mogelijk vatbaar zijn voor misbruik of aanvallen.
Techopedia verklaart Risk Assessment Framework (RAF)
De gegevens die RAF's verstrekken, zijn nuttig voor het aanpakken van potentiële bedreigingen en planningskosten en budgetten. Veel RAF's zijn al geaccepteerd als normen in verschillende industrieën. Enkele voorbeelden zijn de Operationeel Kritieke Bedreiging, Activa en Kwetsbaarheidsevaluatie (OCTAVE) van het Computer Emergency Readiness Team, de Control Objectives for Information and Related Technology (COBIT) van de Information Systems Audit and Control Association, en de Risk Management Guide voor Informatietechnologiesystemen van het National Institute of Standards.
Net als andere frameworks zijn er richtlijnen voor het maken van RAF's die moeten worden gevolgd:
- Inventarisatie en categorisatie: Groepeer de informatiesystemen, intern of extern, in categorieën en differentieer hun processen.
- Identificeer potentiële risico's: zoek naar bedreigingen, kwetsbaarheden en risico's die het systeem kan tegenkomen. Naast malware-aanvallen moet rekening worden gehouden met natuurlijke gebeurtenissen zoals calamiteiten of stroomuitval.
- Implementeren en beoordelen: implementeer op basis van de bespreking van potentiële risico's overeenkomstige beveiligingscontroles voor gegevensbeveiliging. Beoordeel en documenteer de bevindingen over hoe de controles werken en bijdragen aan risicoreductie.
- Autoriseren en bewaken: autoriseer de activiteiten van het systeem door de procedure, het risico voor organisatorische activiteiten en activa, individuele sterke en zwakke punten en andere factoren die bijdragen aan het welzijn van de activiteiten te bepalen. Monitoring van de beveiligingscontroles is een continu proces dat de beoordeling van de effectiviteit van de beveiligingscontroles omvat, documentatie van de wijzigingen, implementatie van de besproken oplossingen en presentatie van de status van het systeem aan geschikt personeel van de organisatie.
