Dalla Newsletter del Clusit si apprende che è stata pubblicata la versione
2010 della metodologia Mehari. La precedente era del 2007.
Mehari è una metodologia "classica" di risk assessment e segue completamente
i passi previsti dalla teoria, espressa ufficialmente anche dalla ISO/IEC
27005.
La sua implementazione può risultare eccessivamente onerosa per motivi che
ho già espresso altrove.
D'altro canto, la metodologia è intesa come "operativa" e presenta delle
scelte ben precise e degli esempi rispetto al modello necessariamente
astratto delle norme ISO. Sono ben definite le vulnerabilità e cosa si
intende con questo termine, è proposto un elenco di circa 800 minacce di
dettaglio da affiancare alle 40 "generali", i controlli di sicurezza della
ISO/IEC 27002 sono rinominati "servizi di sicurezza" e riclassificati fino
ad arrivare al numero di circa 350 (la 27002 ne propone 133, variamente
aggregati), a loro volta ulteriormente dettagliati nelle tabelle di analisi
e ben spiegati in uno specifico documento.
Accanto a tutto ciò, è messo a disposizione un foglio di calcolo di
supporto.
La lettura è dunque interessante e istruttiva. Oltre ad essere gratuita.
Tutta la documentazione è disponibile in francese ed inglese su
https://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES.
L'introduzione alla metodologia, in italiano, è disponibile su
https://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI-2010-Introduzio
ne-Italiano.pdf
Nessun commento:
Posta un commento