mercoledì 7 novembre 2012

NIST SP 800-30 rev1 "Guide for conducting risk assessments"


Il NIST ha annunciato a fine settembre la pubblicazione della revisione 1 della NIST SP 800-30 dal titolo "Guide for conducting risk assessments".

La guida è molto interessante soprattutto perché stabilisce i diversi livelli a cui si possono condurre i risk assessment: strategico, tattico e operativo. Purtroppo l'ho letta dopo il meeting di Roma sulla ISO/IEC 27001, forse avrei avuto idee più chiare sul dibattito "Risk assessment nel planning o nelle operations?". Credo infatti che si confonda il ciclo PDCA con il modello di un'azienda a 3 livelli.

La guida, inoltre, promuove l'analisi dei rischi basata su minacce e vulnerabilità, mentre si prevede che la ISO/IEC 27001 ne farà a meno. Forse questa guida segnala che quest'ultima non sta prendendo la direzione giusta.

Mi piace molto anche il fatto che si consiglia di valutare la verosimiglianza delle minacce a partire dai loro agenti e dalle loro caratteristiche di interesse, capacità e obiettivi.

Ho segnato anche il punto sul riconoscimento dell'incertezza dell'analisi, da considerare e valutare opportunamente. Viene anche segnalato come la soggettività è sempre presente in questo campo e il fatto che la ripetibilità delle analisi qualitative può essere garantita dalla esplicitazione e documentazione delle ragioni per cui sono stati attribuiti certi valori (concetto che ho espresso in più occasioni io stesso; credo di averlo inconsciamente mutuato dagli stessi documenti a cui si è ispirato il NIST).

Al paragrafo 2.3.3, la guida descrive 3 possibili approcci: basati sulle minacce, sugli asset e gli impatti, sulle vulnerabilità. E' interessante, soprattutto perché le metodologie che vedo solitamente utilizzate sono del primo tipo.

Nessun commento:

Posta un commento