Table des matières:
- Définition - Que signifie le cadre d'évaluation des risques (RAF)?
- Techopedia explique le cadre d'évaluation des risques (RAF)
Définition - Que signifie le cadre d'évaluation des risques (RAF)?
Un cadre d'évaluation des risques (RAF) est une approche permettant de hiérarchiser et de partager des informations sur les risques de sécurité posés à une organisation informatique. Les informations doivent être présentées d'une manière que le personnel non technique et technique du groupe puisse comprendre. Le point de vue sur la RAF fournit une assistance aux organisations pour identifier et localiser les zones à faible et à haut risque dans le système qui peuvent être susceptibles d'abus ou d'attaques.
Techopedia explique le cadre d'évaluation des risques (RAF)
Les données fournies par les RAF sont utiles pour faire face aux menaces potentielles et planifier les coûts et les budgets. De nombreux RAF sont déjà acceptés comme normes dans plusieurs industries. Quelques exemples incluent l'évaluation des menaces, des actifs et des vulnérabilités critiques sur le plan opérationnel (OCTAVE) de la Computer Emergency Readiness Team, les Control Objectives for Information and Related Technology (COBIT) de l'Information Systems Audit and Control Association et le Risk Management Guide for Systèmes de technologie de l'information de l'Institut national des normes.
Comme d'autres cadres, il existe des directives pour la création de RAF qui doivent être suivies:
- Inventaire et catégorisation: regroupez les systèmes d'information, qu'ils soient internes ou externes, en catégories et différenciez leurs processus.
- Identifier les risques potentiels: recherchez les menaces, les vulnérabilités et les risques que le système pourrait rencontrer. Les événements naturels tels que les calamités ou les pannes de courant doivent être pris en considération en plus des attaques de logiciels malveillants.
- Mettre en œuvre et évaluer: sur la base de la discussion des risques potentiels, mettre en œuvre les contrôles de sécurité correspondants pour la sécurité des données. Évaluer et documenter les résultats sur le fonctionnement des contrôles et leur contribution à la réduction des risques.
- Autoriser et surveiller: autoriser les opérations du système en déterminant la procédure, le risque pour les opérations et les actifs organisationnels, les forces et les faiblesses individuelles et d'autres facteurs qui contribueront au bien-être des opérations. La surveillance des contrôles de sécurité est un processus continu qui comprend l'évaluation de l'efficacité des contrôles de sécurité, la documentation des changements, la mise en œuvre des solutions discutées et la présentation de l'état du système au personnel organisationnel approprié.
