Get best of the week

Analyse de documents internationaux sur la gestion des risques de sécurité de l'information. Partie 1

Amis, dans un post précédentNous avons examiné des documents réglementaires sur la protection des informations dans le secteur financier et financier russe, dont certains font référence à des méthodes d'évaluation et de gestion des risques liés à la sécurité de l'information. D'une manière générale, d'un point de vue commercial, la gestion de la sécurité de l'information est un processus subsidiaire d'un processus de gestion des risques plus large: si une entreprise, après avoir analysé et évalué tous ses risques commerciaux, conclut que les risques de sécurité de l'information sont pertinents, la protection de l'information elle-même entre en jeu comme un moyen de minimiser certains des risques. La gestion des risques vous permet de construire efficacement et rationnellement des processus SI et d'allouer des ressources pour protéger les actifs de l'entreprise, et l'évaluation des risques vous permet d'appliquer des mesures appropriées pour les minimiser: pour vous protéger contre des menaces importantes et pertinentes, il sera logique d'utiliser des solutions plus coûteuses,que de contrer les menaces insignifiantes ou difficiles à mettre en œuvre.

En outre, le processus intégré de gestion des risques de sécurité de l'information permettra d'élaborer et, si nécessaire, d'appliquer des plans clairs pour assurer la continuité des activités et la reprise après sinistre (continuité des activités et reprise après sinistre): une étude approfondie des différents risques aidera à prendre en compte, par exemple, le besoin soudain d'accès à distance pour un grand nombre de employés, car cela peut se produire en cas d'épidémie ou d'effondrement du système de transport. Ainsi, dans cette publication - une analyse des documents internationaux sur la gestion des risques de sécurité de l'information. Bonne lecture!

image

Le concept général de gestion des risques SI


Le risque de sécurité de l'information, ou cyber-risque, est compris comme signifiant la possibilité potentielle d'exploiter les vulnérabilités des actifs comme une menace spécifique pour nuire à l'organisation. La valeur du risque signifie conditionnellement le produit de la probabilité d'un événement négatif et du montant des dommages. À son tour, la probabilité d'un événement est comprise comme le produit de la probabilité d'une menace et du danger de vulnérabilité, exprimée sous forme qualitative ou quantitative. Conventionnellement, nous pouvons exprimer cela avec la formule logique:
ValueRisk = Probabilité d'un événement * Taille des dommages , où la probabilité d'un événement = Probabilité de menaces * Valeur de vulnérabilité


Il existe également des classifications des risques conditionnels: par source de risque (par exemple, attaques de pirates informatiques ou d'initiés, erreurs financières, impact des régulateurs gouvernementaux, réclamations légales des entrepreneurs, impact négatif sur l'information des concurrents); par finalité (actifs informationnels, actifs physiques, réputation, processus métier); par la durée de l'influence (opérationnelle, tactique, stratégique).

Les objectifs de l'analyse des risques SI sont les suivants:

  1. Identifier les actifs et évaluer leur valeur.
  2. Identifiez les menaces pesant sur les actifs et les failles de sécurité.
  3. Calculez la probabilité des menaces et leur impact sur l'entreprise.
  4. Maintenir un équilibre entre le coût des éventuelles conséquences négatives et le coût des mesures de protection, donner des recommandations à la direction de l'entreprise sur le traitement des risques identifiés.

Les étapes 1 à 3 constituent une évaluation des risques et constituent une collection d'informations disponibles. L'étape 4 est déjà une analyse de risque directe (analyse de risque en anglais), c'est-à-dire étude des données collectées et publication des résultats / orientations pour de nouvelles actions. Il est important de comprendre votre propre niveau de confiance dans l'exactitude de l'évaluation. À l'étape 4, des méthodes de traitement sont également proposées pour chacun des risques pertinents: transfert (par exemple, par le biais d'une assurance), évitement (par exemple, refus d'introduire une technologie ou un service particulier), acceptation (volonté consciente de subir des dommages en cas de risque), minimisation ( application de mesures visant à réduire la probabilité d'un événement négatif conduisant à la réalisation du risque).Après avoir terminé toutes les étapes de l'analyse des risques, vous devez sélectionner un niveau de risque acceptable pour l'entreprise, établir le niveau de sécurité minimum possible (lignes de base de performance en anglais), puis mettre en œuvre des contre-mesures et les évaluer davantage en termes d'atteignabilité du niveau minimum possible établi. Sécurité.

Les dommages causés par la mise en œuvre d'une attaque peuvent être directs ou indirects .

Les dommages directs sont la perte évidente et facilement prévisible immédiate de l'entreprise, comme la perte des droits de propriété intellectuelle, la divulgation des secrets de production, la réduction de la valeur des actifs ou leur destruction partielle ou totale, les frais juridiques et le paiement d'amendes et d'indemnités, etc.

Les dommages indirects peuvent entraîner une perte de qualité ou indirecte .
Les pertes qualitatives peuvent être une suspension ou une diminution de l'efficacité d'une entreprise, une perte de clients, une diminution de la qualité des produits manufacturés ou des services rendus. IndirectLes pertes sont, par exemple, la perte de bénéfices, la perte de goodwill et les dépenses supplémentaires encourues. En outre, dans la littérature étrangère, il existe également des concepts tels que le risque total (Eng. Risque total), qui est présent, si aucune mesure de protection n'est mise en œuvre, ainsi que le risque résiduel (Eng. Risque résiduel), qui est présent si les menaces sont réalisées, malgré les mesures de protection mises en œuvre.

L'analyse des risques peut être à la fois quantitative et qualitative .

Prenons l'une des méthodes d' analyse quantitative des risques. Les principaux indicateurs sont les valeurs suivantes:

ALE - espérance de perte annuelle; «Coût» de tous les incidents par an.
SLE - espérance de perte unique, pertes ponctuelles attendues, c.-à-d. "Coût" d'un incident.
EF - facteur d'exposition, facteur d'ouverture à la menace, c.-à-d. quel pourcentage de l'actif la menace détruira si elle est mise en œuvre avec succès.
ARO - taux d'occurrence annualisé, le nombre moyen d'incidents par an selon les statistiques.

La valeur SLE est calculée comme le produit de la valeur de l'actif estimée et de la valeur EF, c'est-à-dire SLE = AssetValue * EF . Dans le même temps, le coût de l'actif devrait inclure des pénalités pour sa protection insuffisante.

La valeur de ALE est calculée comme le produit de SLE et ARO, c'est-à-dire ALE = SLE * ARO. La valeur ALE aidera à classer les risques - le risque avec une ALE élevée sera le plus critique. En outre, la valeur ALE calculée peut être utilisée pour déterminer le coût maximal des mesures de protection mises en œuvre, car, selon l'approche généralement acceptée, le coût des mesures de protection ne devrait pas dépasser la valeur de l'actif ou le montant des dommages prévus, et le coût raisonnable estimé de l'attaque pour l'attaquant devrait être inférieur au bénéfice escompté. de la mise en œuvre de cette attaque. La valeur des mesures de protection peut également être déterminée en soustrayant de la valeur ALE calculée avant la mise en œuvre des mesures de protection la valeur de la valeur ALE calculée après la mise en œuvre des mesures de protection, ainsi qu'en soustrayant les coûts annuels de mise en œuvre de ces mesures. Écrivez conditionnellement cette expression comme suit:

(La valeur des mesures de protection pour l'entreprise) = (ALE avant la mise en œuvre des mesures de protection) - (ALE après la mise en œuvre des mesures de protection) - (Coûts annuels de la mise en œuvre des mesures de protection)

Des exemples d' analyse qualitative des risques peuvent être, par exemple, la méthode Delphi, dans laquelle une enquête anonyme d'experts est menée en plusieurs itérations jusqu'à ce qu'un consensus soit atteint, ainsi que le remue-méninges et d'autres exemples de soi-disant évaluation "Méthode experte."

Ensuite, nous donnons une liste brève et non exhaustive des différentes méthodologies de gestion des risques , et les plus populaires que nous examinerons plus en détail ci-dessous.

1. Le NIST Risk Management Framework basé sur les documents du gouvernement américain NIST (National Institute of Standards and Technology, National Institute of Standards and Technology USA) comprend un ensemble de "Publications spéciales" (Eng. Special Publication (SP), nous les appellerons des normes de facilité de perception):

1.1. La norme NIST SP 800-39 «Gestion des risques de sécurité de l'information» propose une approche à trois niveaux de la gestion des risques: organisation, processus métiers, systèmes d'information. Cette norme décrit la méthodologie du processus de gestion des risques: identification, évaluation, réponse et suivi des risques.
1.2. NIST SP 800-37, le cadre de gestion des risques pour les systèmes d'information et les organisations, propose une approche de gestion du cycle de vie du système pour la sécurité et la confidentialité.
1.3. La norme NIST SP 800-30, Guide pour la conduite des évaluations des risques, se concentre sur les risques informatiques, informatiques et opérationnels. Il décrit une approche des processus de préparation et de réalisation d'une évaluation des risques, de communication des résultats d'une évaluation et de soutien supplémentaire du processus d'évaluation.
1.4. La norme NIST SP 800-137 «Surveillance continue de la sécurité de l'information» décrit une approche du processus de surveillance des systèmes d'information et des environnements informatiques afin de contrôler les mesures prises pour gérer les risques SI et la nécessité de les revoir.

2. Les normes de l'Organisation internationale de normalisation ISO (Organisation internationale de normalisation):

2.1. La norme ISO / IEC 27005: 2018 "Technologies de l'information - Techniques de sécurité - Gestion des risques pour la sécurité de l'information" ("Technologies de l'information. Méthodes et outils de sécurité. Gestion des risques pour la sécurité de l'information") fait partie d'une série de normes ISO 27000 et est logiquement interconnectée avec d'autres normes pour IB de cette série. Cette norme met l'accent sur la sécurité des informations lors de l'examen des processus de gestion des risques.
2.2. La norme ISO / IEC 27102: 2019 «Gestion de la sécurité de l'information - Lignes directrices pour la cyberassurance» propose des approches pour évaluer la nécessité d'acquérir la cyberassurance comme mesure de traitement des risques, ainsi que pour évaluer et interagir avec l'assureur.
2.3. La série de normes ISO / IEC 31000: 2018 décrit une approche de la gestion des risques sans être liée à l'IT / IS. Dans cette série, il convient de noter la norme ISO / IEC 31010: 2019 «Gestion des risques - Techniques d'évaluation des risques» - pour cette norme dans sa version domestique GOST R ISO / IEC 31010-2011 «Gestion des risques. Méthodes d'évaluation des risques », se réfère 607-P de la Banque centrale de la Fédération de Russie« Sur les exigences relatives à la procédure visant à garantir le fonctionnement ininterrompu du système de paiement, les indicateurs de fonctionnement ininterrompu du système de paiement et les méthodes d'analyse des risques dans le système de paiement, y compris les profils de risque ».

3. La méthodologie FRAP (Facilitated Risk Analysis Process) est une méthode d'évaluation des risques relativement simplifiée, qui se concentre uniquement sur les actifs les plus critiques. L'analyse qualitative est effectuée à l'aide d'un jugement d'expert.

4. La méthodologie OCTAVE (Operational Critical Threat, Asset, and Vulnerability Evaluation) est axée sur le travail indépendant des membres des unités opérationnelles. Il est utilisé pour l'évaluation à grande échelle de tous les systèmes d'information et processus commerciaux d'une entreprise.

5. L'AS / NZS 4360 est une norme australienne et néo-zélandaise axée non seulement sur les systèmes informatiques, mais également sur la santé des entreprises de l'entreprise, à savoir offre une approche plus globale de la gestion des risques. Notez que cette norme est actuellement remplacée par AS / NZS ISO 31000-2009.

6. La méthodologie FMEA (Failure Modes and Effect Analysis) propose une évaluation du système en termes de points faibles pour trouver des éléments peu fiables.

7. La méthodologie CRAMM (Central Computing and Telecommunications Agency Risk Analysis and Management Method) propose l'utilisation d'outils automatisés de gestion des risques.

8. La méthodologie FAIR (Factor Analysis of Information Risk) est un cadre exclusif pour la réalisation d'une analyse quantitative des risques, qui offre un modèle de construction d'un système de gestion des risques fondé sur une approche rentable, une prise de décision éclairée, une comparaison des mesures de gestion des risques, des indicateurs financiers et des modèles de risque précis.

9. Le concept de COSO ERM (Enterprise Risk Management) décrit les moyens d'intégrer la gestion des risques à la stratégie et aux performances financières de l'entreprise et met l'accent sur l'importance de leur relation. Le document décrit des éléments de gestion des risques tels que la définition de stratégies et d'objectifs, l'efficacité économique de l'entreprise, l'analyse et l'examen des risques, la gouvernance et la culture d'entreprise, ainsi que l'information, la communication et le reporting.

Cadre de gestion des risques du NIST


Le premier ensemble de documents sera le cadre de gestion des risques de l'American National Institute of Standards and Technology (NIST). Cet institut publie des documents de sécurité de l'information dans le cadre d'une série de recommandations FIPS (Federal Information Processing Standards) et SP (Special Publications, 800 Series). Cette série de publications se caractérise par une interconnexion logique, des détails, une base terminologique unique. Parmi les documents relatifs à la gestion des risques de sécurité de l'information, il convient de noter NIST SP 800-39, 800-37, 800-30, 800-137 et 800-53 / 53a.

La création de cet ensemble de documents est une conséquence de l'adoption de la loi fédérale américaine sur la gestion de la sécurité de l'information (FISMA, 2002) et de la loi fédérale américaine sur la modernisation de la sécurité de l'information (FISMA, 2014). Malgré la déclaration «contraignante» des normes et publications du NIST à la loi américaine et leur mise en œuvre obligatoire pour les agences gouvernementales américaines, ces documents peuvent être considérés comme appropriés pour toute entreprise cherchant à améliorer la gestion des SI, indépendamment de la juridiction et de la forme de propriété.

NIST SP 800-39


Ainsi, NIST SP 800-39 «Gestion des risques de sécurité de l'information: organisation, mission et vue du système d'information» propose une approche indépendante, structurée mais flexible du SI la gestion des risques dans le cadre des opérations d'une entreprise, d'actifs, de particuliers et de contreparties. Dans le même temps, la gestion des risques devrait être un processus holistique qui affecte l'ensemble de l'organisation dans lequel la prise de décision basée sur les risques est pratiquée à tous les niveaux. La gestion des risques est définie dans ce document comme un processus complet, qui comprend les étapes d'identification (cadre), d'évaluation (évaluation), de traitement (réponse) et de surveillance (suivi) des risques. Considérez ces étapes plus en détail.

1. Au stade de la détermination des risques de l'organisation, il convient d'identifier:

  • hypothèses de risque, c.-à-d. identifier les menaces actuelles, les vulnérabilités, les conséquences, la probabilité des risques;
  • limites de risque, c.-à-d. capacités d'évaluation, d'intervention et de surveillance;
  • tolérance au risque, c.-à-d. tolérance au risque - types et niveaux de risques acceptables, ainsi qu'un niveau d'incertitude acceptable dans les questions de gestion des risques;
  • priorités et compromis possibles, c'est-à-dire il est nécessaire de prioriser les processus métier, d'étudier les compromis qu'une organisation peut faire lors du traitement des risques, ainsi que les contraintes de temps et les incertitudes qui accompagnent ce processus.

2. Au stade de l'évaluation des risques, l'organisation devrait identifier:

  • Menaces SI, c.-à-d. des actions, personnes ou entités spécifiques qui peuvent constituer des menaces pour l'organisation elle-même ou peuvent être dirigées vers d'autres organisations;
  • vulnérabilités internes et externes, y compris les vulnérabilités organisationnelles dans les processus commerciaux de gestion d'entreprise, l'architecture des systèmes informatiques, etc.;
  • dommages à l'organisation, compte tenu des possibilités d'exploitation des vulnérabilités par les menaces;
  • la probabilité de dommages.

En conséquence, l'organisation reçoit les déterminants du risque, à savoir niveau de dommage et probabilité d'occurrence de dommage pour chaque risque.

Pour assurer le processus d'évaluation des risques, l'organisation détermine à l'avance:

  • les outils, techniques et méthodologies utilisés pour l'évaluation des risques;
  • hypothèses concernant l'évaluation des risques;
  • les restrictions pouvant affecter les évaluations des risques;
  • rôles et responsabilités;
  • les moyens de collecter, de traiter et de transmettre des informations sur l'évaluation des risques au sein de l'organisation;
  • les moyens de mener une évaluation des risques dans l'organisation;
  • fréquence de l'évaluation des risques;
  • les moyens d'obtenir des informations sur les menaces (sources et méthodes).

3. Au stade de la réponse aux risques, l'organisation exécute les activités suivantes:

  • élaborer d'éventuels plans de réponse aux risques;
  • évaluation des plans de réponse aux risques possibles;
  • la détermination de plans de réponse aux risques acceptables du point de vue de la tolérance au risque de l'organisation;
  • mise en œuvre des plans de réponse aux risques acceptés.

Afin de pouvoir répondre aux risques, l'organisation détermine les types de traitement des risques possibles (accepter, éviter, minimiser, partager ou transférer les risques), ainsi que les outils, les technologies et les méthodologies pour développer des plans de réponse, les méthodes d'évaluation des plans de réponse et les méthodes de notification des mesures de réponse prises au sein organisations et / ou contreparties externes.

4. Au stade de la surveillance des risques, les tâches suivantes sont résolues:

  • vérification de la mise en œuvre des plans de réponse aux risques adoptés et de la conformité aux exigences des SI;
  • déterminer l'efficacité actuelle des mesures de réponse aux risques;
  • - - , , , - , -, , - ..

Les organisations décrivent les méthodes d'évaluation de la conformité réglementaire et de l'efficacité des réponses aux risques, ainsi que la façon dont les changements sont contrôlés qui peuvent affecter l'efficacité des réponses aux risques.

La gestion des risques s'effectue aux niveaux de l'organisation, des processus métiers et des systèmes d'information, tandis que l'interconnexion et l'échange d'informations entre ces niveaux doivent être assurés afin d'améliorer en permanence l'efficacité des actions entreprises et la communication des risques à l'ensemble des parties prenantes. Au niveau supérieur (niveau organisationnel), des décisions sont prises pour identifier les risques, qui affectent directement les processus conduits aux niveaux inférieurs (processus métiers et systèmes d'information), ainsi que le financement de ces processus.

Niveau organisationl'élaboration et la mise en œuvre de fonctions de gestion cohérentes avec les objectifs commerciaux de l'organisation et les exigences réglementaires sont effectuées: la création d'une fonction de gestion des risques, la nomination des responsables, la mise en œuvre d'une stratégie de gestion des risques et la détermination de la tolérance au risque, l'élaboration et la mise en œuvre de stratégies d'investissement en informatique et en sécurité de l'information.

Au niveau des processus métiers , la définition et la création de processus métiers orientés vers le risque et d'architecture organisationnelle sont effectués, qui doivent reposer sur la segmentation, la réservation des ressources et l'absence de points de défaillance uniques. En outre, à ce niveau, le développement d'une architecture de sécurité de l'information est en cours, ce qui garantira la mise en œuvre effective des exigences de sécurité de l'information et la mise en œuvre de toutes les mesures et moyens de protection nécessaires.

Au niveau des systèmes d'informationil est nécessaire d'assurer la mise en œuvre des décisions prises à des niveaux supérieurs, à savoir assurer la gestion des risques SI à toutes les étapes du cycle de vie des systèmes: initialisation, développement ou acquisition, mise en œuvre, utilisation et déclassement. Le document souligne l'importance de la résilience des systèmes informatiques, qui est un indicateur de la viabilité des fonctions commerciales d'une entreprise.

Veuillez noter qu'à l'annexe «H» du document considéré dans ce document, chacune des méthodes de traitement des risques énumérées à l'étape de réponse aux risques est décrite. Ainsi, il est indiqué que l'organisation devrait avoir à la fois une stratégie générale pour choisir une méthode de traitement des risques spécifique dans une situation donnée, et des stratégies distinctes pour chacune des méthodes de traitement des risques. Les principes de base du choix de l'une ou l'autre approche de la gestion des risques sont indiqués:

  • (acceptance) - ;
  • (avoidance) , - , -;
  • (share) (transfer) — , — - ;
  • ( ) (mitigation) . - , , , , , .

Le document accorde également une grande attention à la culture organisationnelle et à la confiance dans les fournisseurs / entrepreneurs en tant que facteurs d'une gestion des risques réussie. En particulier, il est dit que la culture organisationnelle et les cadres supérieurs de l'entreprise affectent directement les décisions choisies pour la gestion des risques.Par conséquent, la stratégie globale de gestion des risques doit tenir compte de l'appétit pour le risque de l'entreprise et refléter les méthodes réelles de gestion des risques. Les modèles de création de relations de confiance avec les contreparties et les fournisseurs sont décrits à l'annexe «G»: modèles basés sur des vérifications des contractants (par exemple, par le biais d'audits), la confiance historique (lorsque la contrepartie n'a commis aucune violation au cours de l'histoire à long terme des relations), la confiance à un tiers ( qui procède à une évaluation indépendante des contreparties), sur une attestation de confiance (dans le caslorsque les exigences réglementaires établissent des exigences de confiance pour un tel fournisseur), ainsi qu'un modèle hybride.

NIST SP 800-37


Passons maintenant au NIST SP 800-37 «Cadre de gestion des risques pour les systèmes d'information et les organisations: une approche du cycle de vie du système pour la sécurité et la confidentialité» («Cadre de gestion des risques pour les systèmes d'information et les organisations: le cycle de vie des systèmes de sécurité et de confidentialité») .

Le document actuel a la révision №2 et a été mis à jour en décembre 2018 afin de prendre en compte le paysage moderne des menaces et de souligner l'importance de la gestion des risques au niveau des chefs d'entreprise, pour souligner le lien entre le cadre de gestion des risques (Risk Management Framework, RMF) et le cadre de cybersécurité ( Cybersécurité Cadre, CSF), soulignent l'importance d'intégrer les processus de gestion de la vie privée et la gestion des risques de la chaîne d'approvisionnement (SCRM), et relient également logiquement la liste des mesures de protection (contrôles) proposées au document NIST SP 800-53. En outre, la mise en œuvre des dispositions du NIST SP 800-37 peut être utilisée si nécessaire pour effectuer une évaluation mutuelle des procédures de gestion des risques des entreprises dans les cas où ces entreprises ont besoin d'échanger des données ou des ressources. Par analogie avec le NIST SP 800-39, la gestion des risques est envisagée au niveau de l'organisation, de la mission, des systèmes d'information.

Le NIST SP 800-37 indique que le cadre de gestion des risques dans son ensemble indique l'importance de développer et de mettre en œuvre des capacités de sécurité et de confidentialité dans les systèmes informatiques tout au long du cycle de vie (cycle de vie du développement du système, SDLC), soutien continu de la conscience de la situation sur l'état de la protection des systèmes informatiques en utilisant des processus de surveillance continue (CM) et en fournissant des informations à la direction pour prendre des décisions éclairées fondées sur les risques. Les types de risques suivants sont identifiés dans le CMR: risque de programme, risque de non-conformité, risque financier, risque juridique, risque commercial, risque politique, risque de sécurité et de confidentialité (y compris le risque de chaîne d'approvisionnement), risque de projet, risque de réputation, risque de sécurité des personnes, risque stratégique Planification.

De plus, le cadre de gestion des risques:

  • fournit un processus reproductible pour la protection des informations et des systèmes d'information fondée sur les risques;
  • Souligne l'importance des activités préparatoires pour gérer la sécurité et la vie privée;
  • assure la catégorisation des informations et des systèmes d'information, ainsi que la sélection, la mise en œuvre, l'évaluation et la surveillance des équipements de protection;
  • suggère d'utiliser des outils d'automatisation pour gérer les risques et les mesures de protection en mode quasi-temps réel, ainsi que des mesures de temps pertinentes pour fournir des informations à la direction pour la prise de décision;
  • relie les processus de gestion des risques à différents niveaux et indique l'importance de choisir les responsables de la prise des mesures de protection.

Le document contient 7 étapes pour appliquer RMF:

  1. , .. -;
  2. ( , NIST SP 800-30 3 , : , , );
  3. () ;
  4. , ;
  5. , , ;
  6. ;
  7. , , , .

En outre, la publication NIST SP 800-37 répertorie les tâches qui doivent être effectuées à chaque étape de l'application de RMF. Pour chaque tâche, le nom de la tâche (contrôle) est indiqué, les données d'entrée et de sortie (résultantes) du processus sont répertoriées en référence aux catégories des contrôles CSF correspondants, une liste des rôles responsables et auxiliaires, une description supplémentaire de la tâche et également, si nécessaire, des liens vers des documents NIST associés.

Nous énumérons ci-dessous les tâches pour chacune des étapes de l'application du CMR.

Les objectifs de la phase « Préparation » au niveau de l'organisation sont les suivants:

  • définition des rôles pour la gestion des risques;
  • création d'une stratégie de gestion des risques, tenant compte de la tolérance au risque de l'organisation;
  • l'évaluation des risques;
  • sélection des valeurs cibles des mesures de protection et / ou des profils dans le document sur le cadre de cybersécurité;
  • Définition pour les systèmes informatiques de mesures de protection générales pouvant être héritées de niveaux supérieurs (par exemple, au niveau de l'organisation ou des processus métier)
  • priorisation des systèmes informatiques;
  • élaboration et mise en œuvre d'une stratégie de surveillance continue de l'efficacité des mesures de protection.

Les tâches de l'étape « Préparation » au niveau des systèmes informatiques comprennent:

  • Définition des fonctions et processus métier pris en charge par chaque système informatique
  • identification des personnes (parties prenantes) intéressées par la création, la mise en œuvre, l'évaluation, le fonctionnement, le soutien, le déclassement des systèmes;
  • identification des biens nécessitant une protection;
  • détermination de la limite d'autorisation pour le système;
  • identification des types d'informations traitées / transmises / stockées dans le système;
  • identification et analyse du cycle de vie de tous les types d'informations traitées / transmises / stockées dans le système;
  • effectuer des évaluations des risques au niveau des systèmes informatiques et mettre à jour la liste des résultats des évaluations;
  • Définition des exigences de sécurité et de confidentialité pour les systèmes et les environnements opérationnels
  • emplacement des systèmes dans l'architecture globale de l'entreprise;
  • distribution des points d'application des exigences de sécurité et de confidentialité pour les systèmes et les environnements opérationnels;
  • enregistrement formel des systèmes informatiques dans les services et documents concernés.

Les tâches de la phase de « catégorisation » comprennent:

  • documentation des caractéristiques du système;
  • catégorisation du système et documentation des résultats de la catégorisation selon les exigences de sécurité;
  • examen et approbation des résultats et des décisions de catégorisation en fonction des exigences de sécurité.

Les tâches de l'étape « Sélection d'un ensemble de mesures de protection » comprennent:

  • sélection de mesures de protection pour le système et son environnement de fonctionnement;
  • clarification (adaptation) de certaines mesures de protection du système et de son environnement de fonctionnement;
  • répartition des points d'application des mesures de sécurité et de confidentialité au système et à son environnement de fonctionnement;
  • la documentation des mesures prévues pour assurer la sécurité et la confidentialité du système et de son environnement dans les plans pertinents;
  • création et mise en œuvre d'une stratégie de suivi de l'efficacité des mesures de protection appliquées, qui est logiquement liée et complète la stratégie globale de suivi organisationnel;
  • examen et approbation des plans pour assurer la sécurité et la confidentialité du système et de son environnement d'exploitation.

Les tâches de la phase « Mise en œuvre des mesures de protection » comprennent:

  1. mettre en œuvre des mesures de sécurité conformément aux plans de sécurité et de confidentialité;
  2. documenter les modifications apportées aux garanties prévues après coup, sur la base du résultat de la mise en œuvre réelle.

Les tâches de l'étape « Évaluation des mesures de sécurité mises en œuvre » comprennent:

  • sélection d'un évaluateur ou d'une équipe d'évaluation appropriée au type d'évaluation effectuée;
  • élaboration, examen et approbation de plans pour l'évaluation des mesures de protection mises en œuvre;
  • Évaluation des mesures de protection conformément aux procédures d'évaluation décrites dans les plans d'évaluation;
  • préparation de rapports d'évaluation contenant les défauts constatés et recommandations pour leur élimination;
  • prendre des mesures correctives avec des mesures de protection et réévaluer les mesures corrigées;
  • préparation d'un plan d'action basé sur les lacunes constatées et les recommandations des rapports d'évaluation.

Les tâches de la phase « Autorisation » comprennent:

  • recueillir un ensemble de documents d'autorisation et l'envoyer au responsable de l'autorisation;
  • analyse et détermination du risque d'utilisation du système ou d'application de mesures de protection;
  • détermination et mise en œuvre d'un plan d'action privilégié en réponse au risque identifié;
  • détermination de l'acceptabilité du risque d'utilisation du système ou d'application de mesures de protection;
  • signaler les résultats des autorisations et tout manque de mesures de sécurité qui posent un risque important pour la sécurité ou la vie privée.

Les tâches de la phase « Surveillance continue » comprennent:

  • , ;
  • ;
  • , , ;
  • , , ;
  • ;
  • ;
  • .

NIST SP 800-30


Le guide spécial NIST SP 800-30 pour la conduite des évaluations des risques se concentre sur le processus d’évaluation des risques, qui est un élément fondamental du processus de gestion des risques de l’organisation conformément au NIST SP 800-39, ainsi que sur la définition de traitement et suivi des risques. Les procédures d'évaluation des risques sont utilisées pour identifier, évaluer et hiérarchiser les risques résultant de l'utilisation des systèmes d'information pour les activités opérationnelles d'une organisation, de ses actifs et de ses employés. L'évaluation des risques a pour objectifs d'informer les décideurs et de soutenir le processus de réponse aux risques en identifiant:

  • menaces réelles à la fois contre l'organisation elle-même et indirectement contre d'autres organisations;
  • vulnérabilités internes et externes;
  • dommages potentiels à l'organisation, compte tenu des possibilités d'exploitation des vulnérabilités avec menaces
  • la probabilité de ces dommages.

Le résultat final est le calcul du déterminant (valeur) du risque, c'est-à-dire fonction du montant des dommages et de la probabilité de dommages. L'évaluation des risques peut être effectuée aux trois niveaux de gestion des risques (niveaux d'organisation, mission, systèmes d'information), par analogie avec l'approche utilisée dans NIST SP 800-39 et NIST SP 800-37. Il est souligné que l'évaluation des risques est un processus continu qui affecte tous les niveaux de gestion des risques dans une organisation, et nécessite également d'être inclus dans le cycle de vie du développement du système (SDLC) et effectué avec une fréquence adaptée aux objectifs et à la portée de l'évaluation.

Le processus d'évaluation des risques comprend:

  • préparation à l'évaluation des risques;
  • l'évaluation des risques;
  • communiquer les résultats de l'évaluation et transférer des informations au sein de l'organisation;
  • maintenir les résultats obtenus.

Le document indique l'importance de compiler une méthodologie d'évaluation des risques, qui est développée par l'organisation au stade de l'identification des risques. Il est indiqué que l'organisation peut choisir une ou plusieurs méthodologies d'évaluation des risques, en fonction des ressources disponibles, de la phase SDLC, de la complexité et de la maturité des processus métier, de la criticité / importance des informations traitées. Dans le même temps, en créant la bonne méthodologie, l'organisation améliore la qualité et la reproductibilité des évaluations des risques réalisées. Une méthodologie d'évaluation des risques comprend généralement:

  • description du processus d'évaluation des risques;
  • un modèle de risque qui décrit les facteurs de risque évalués et les relations entre eux;
  • une méthode d'évaluation des risques (par exemple, qualitative ou quantitative) qui décrit les valeurs que les facteurs de risque peuvent prendre et comment les combinaisons de ces facteurs peuvent être traitées;
  • une méthode d'analyse (par exemple, centrée sur les menaces, centrée sur les actifs ou les vulnérabilités) qui décrit comment les combinaisons de facteurs de risque sont identifiées et analysées.

Le modèle de risque décrit les facteurs de risque estimés et les relations entre eux. Les facteurs de risque sont des caractéristiques utilisées dans les modèles de risque comme données d'entrée pour déterminer les niveaux de risque lors d'une évaluation des risques. De plus, les facteurs de risque sont utilisés dans la communication des risques pour mettre en évidence les facteurs qui affectent de manière significative les niveaux de risque dans certaines situations et contextes. Les facteurs de risque typiques incluent:

  • des menaces;
  • vulnérabilités;
  • Influence négative;
  • probabilité;
  • conditions préalables.

Cependant, certains facteurs de risque peuvent être décomposés en caractéristiques plus détaillées, par exemple, les menaces peuvent être décomposées en sources de menace et événements de menace.

Une menace est une circonstance ou un événement susceptible de nuire aux processus ou aux actifs commerciaux, aux employés et à d'autres organisations par un accès, une destruction, une divulgation ou une modification non autorisés des informations et / ou un déni de service. Les événements de menace sont générés par des sources de menace. La source des menaces peut être une action délibérée visant à exploiter la vulnérabilité, ou une action involontaire, à la suite de laquelle la vulnérabilité a été exploitée accidentellement. En général, les types de sources de menaces comprennent:

  • ;
  • ;
  • , ;
  • .

Les détails de la détermination des événements de menace dépendent de la profondeur de la construction d'un modèle de risque. Dans le cas d'un examen détaillé du modèle de risque, il est possible de construire des scénarios de menace, qui sont un ensemble de plusieurs événements de menace qui conduisent à des effets négatifs attribués à une source spécifique de menaces (ou plusieurs sources) et classés par temps; dans le même temps, la probabilité potentielle de l'exploitation séquentielle de plusieurs vulnérabilités conduisant à la mise en œuvre réussie de l'attaque est considérée. Les menaces d'événements dans les cyberattaques ou les attaques physiques sont caractérisées par un ensemble de tactiques, techniques et procédures (Eng. Tactiques, techniques et procédures, TTP), dont nous avons déjà parlé .

Le document à l'examen parle également d'un concept tel que « biais de menace"(Eng. Threat shifting), ce qui signifie que les attaquants modifient leurs TTP en fonction des mesures de protection prises par l'entreprise et identifiées par les attaquants. Le transfert de menace peut être effectué dans un domaine temporaire (par exemple, des tentatives d'attaque à un autre moment ou de prolonger l'attaque dans le temps), dans un domaine cible (par exemple, choisir une cible moins sécurisée), un domaine de ressources (par exemple, en utilisant des attaquants des ressources supplémentaires pour pénétrer dans une cible), un domaine planification ou méthode d'attaque (par exemple, en utilisant d'autres outils de piratage ou en essayant d'attaquer en utilisant d'autres méthodes). De plus, il est souligné que les attaquants préfèrent souvent la voie de moindre résistance pour atteindre leurs objectifs, c'est-à-dire choisissez le maillon le plus faible de la chaîne de protection.

Vulnérabilité- il s'agit d'une faiblesse du système d'information, des procédures de sécurité, des méthodes de protection internes ou des caractéristiques d'une mise en œuvre / mise en œuvre particulière d'une technologie ou d'un système particulier. La vulnérabilité est caractérisée par son danger dans le contexte de l'importance calculée de la réparer; en même temps, le danger peut être déterminé en fonction de l'effet négatif attendu de l'exploitation de cette vulnérabilité. La plupart des vulnérabilités des systèmes d’information de l’organisation sont dues soit à des mesures SI qui n’ont pas été appliquées (accidentellement ou délibérément), soit à une application incorrecte. Il est également important de se souvenir de l'évolution des menaces et des systèmes protégés eux-mêmes - les deux changements se produisent au fil du temps, qui doivent être pris en compte lors de la réévaluation des risques. Outre les vulnérabilités techniques des systèmes informatiques,les erreurs dans la gestion de l'organisation et l'architecture du système doivent également être prises en compte.

Une condition prédisposante dans le contexte de l'évaluation des risques est une condition qui existe dans un processus métier, une architecture ou un système informatique qui affecte (diminue ou augmente) la probabilité de dommages causés par une menace. Les synonymes logiques sont les termes «susceptibilité» (sensibilité anglaise) ou «ouverture» (exposition anglaise) au risque, ce qui signifie que la vulnérabilité peut être exploitée par une menace de préjudice. Par exemple, un serveur SQL est potentiellement vulnérable à la vulnérabilité d'injection SQL. Outre les conditions techniques préalables, des conditions organisationnelles doivent être prises en compte: par exemple, l'emplacement d'un bureau dans une plaine augmente le risque d'inondation et le manque de communication entre les employés lors du développement d'un système informatique augmente le risque de le casser à l'avenir.

Probabilité d'occurrenceMenaces (probabilité d'occurrence en anglais) - facteur de risque calculé sur la base de l'analyse de la probabilité qu'une certaine vulnérabilité (ou un groupe de vulnérabilités) puisse être exploitée par une certaine menace, en tenant compte de la probabilité que la menace finira par causer des dommages réels. Pour les menaces intentionnelles, une évaluation de la probabilité d'occurrence est généralement évaluée en fonction des intentions, des capacités et des objectifs de l'attaquant. Pour les menaces non intentionnelles, l'évaluation de la probabilité d'occurrence dépend généralement de données empiriques et historiques. De plus, la probabilité d'occurrence est estimée pour une certaine perspective temporelle - par exemple, pour l'année suivante ou pour la période de déclaration. Si la menace est presque entièrement lancée ou mise en œuvre à 100% dans un certain délai,lors de l'évaluation des risques, la fréquence attendue de sa mise en œuvre doit être prise en compte. Lors de l’évaluation de la probabilité d’une menace, l’état de la gestion et des processus opérationnels de l’organisation, les conditions préalables, la présence et l’efficacité des mesures de protection existantes doivent être pris en compte. La probabilité d'impact négatif signifie la possibilité que tout dommage soit causé pendant la mise en œuvre de la menace, quelle que soit son ampleur. Les trois étapes suivantes peuvent être utilisées pour déterminer la probabilité globale d'occurrence d'événements de menace:Les trois étapes suivantes peuvent être utilisées pour déterminer la probabilité globale d'occurrence d'événements de menace:Les trois étapes suivantes peuvent être utilisées pour déterminer la probabilité globale d'occurrence d'événements de menace:

  1. , - ( ) ( ).
  2. , , , .
  3. .

En plus de cette approche, le document recommande de ne pas rechercher absolument toutes les menaces et vulnérabilités associées, mais de se concentrer sur celles qui peuvent vraiment être utilisées dans les attaques, ainsi que sur les processus et fonctions métier avec des mesures de protection insuffisantes.

Le niveau d'impact négatif (eng. Impact) d'un événement de menace est la quantité de dommages attendus d'une divulgation, d'un accès, d'une altération, d'une perte d'informations ou d'une inaccessibilité non autorisés des systèmes d'information. Les organisations définissent explicitement:

  1. Le processus utilisé pour déterminer l'impact négatif.
  2. Hypothèses utilisées pour déterminer les effets indésirables.
  3. Sources et méthodes pour obtenir des informations sur l'impact négatif.
  4. La justification utilisée pour déterminer l'impact négatif.

En outre, lors du calcul de l'impact négatif, les organisations doivent prendre en compte la valeur des actifs et des informations: vous pouvez utiliser le système accepté de l'entreprise pour classer les informations par niveau de signification ou les résultats des évaluations de l'impact négatif sur la confidentialité (par exemple, les évaluations d'impact sur la confidentialité).

Lors de l'évaluation des risques, un facteur important est le degré d'inexactitude (incertitude en anglais) qui survient en raison des limites naturelles suivantes, telles que l'incapacité de prédire avec précision les événements futurs; informations disponibles insuffisantes sur les menaces; vulnérabilités inconnues; interdépendances non reconnues.

Sur la base de ce qui précède, le modèle de risque peut être décrit comme la structure logique suivante:

source de menace(avec certaines caractéristiques) avec un certain degré de probabilité déclenche un événement de menace qui exploite la vulnérabilité (ayant un certain degré de danger, compte tenu des conditions préalables et du contournement réussi des mesures de protection), à la suite de quoi un effet négatif est créé (avec un certain degré de risque en fonction du montant des dommages et de la probabilité dommages) qui entraîne un risque .

Le document donne également des recommandations sur l'utilisation du processus d' agrégation des risques .(Agrégation des risques en anglais) afin de combiner plusieurs risques fragmentés ou de faible niveau en un plus général: par exemple, les risques des systèmes informatiques individuels peuvent être agrégés en un risque commun pour l'ensemble du système commercial qu'ils prennent en charge. Avec une telle combinaison, il convient de garder à l'esprit que certains risques peuvent survenir simultanément ou plus souvent que prévu. Il est également nécessaire de prendre en compte la relation entre les risques disparates et de les combiner ou, inversement, de les déconnecter.

Le NIST SP 800-30 décrit également les principales méthodes d'évaluation des risques : quantitative (anglais quantitatif), qualitative (anglais qualitatif) et semi-quantitative (anglais semi-quantitatif).

Quantitatifl'analyse fonctionne avec des chiffres spécifiques (coût, temps d'arrêt, coûts, etc.) et convient le mieux à l'analyse coûts-avantages, mais elle est assez gourmande en ressources.

L' analyse qualitative utilise des caractéristiques descriptives (par exemple, élevée, moyenne, faible), ce qui peut conduire à des conclusions incorrectes en raison du petit nombre d'estimations possibles et de la subjectivité de leur présentation.

Semi-quantitatifla méthode est une option intermédiaire, offrant d'utiliser une plus large gamme de notes possibles (par exemple, sur une échelle de 1 à 10) pour une évaluation et une analyse plus précises des résultats de la comparaison. L'application d'une méthode spécifique d'évaluation des risques dépend à la fois du domaine d'activité de l'organisation (par exemple, une analyse quantitative plus rigoureuse peut être appliquée dans le secteur bancaire) et de l'étape du cycle de vie du système (par exemple, seule une évaluation qualitative des risques peut être réalisée aux premiers stades du cycle, mais plus mature) - déjà quantitatif).

Enfin, le document décrit également trois façons principales d'analyser les facteurs de risque: centrée sur la menace (en anglais, axée sur la menace), axée sur les actifs (en anglais, sur les actifs / l'impact) ou sur la vulnérabilité (en anglais, sur la vulnérabilité).

Centrée sur la menacela méthode se concentre sur la création de scénarios de menace et commence par déterminer les sources de menaces et les événements de menace; en outre, les vulnérabilités sont identifiées dans le contexte des menaces, et l'impact négatif est associé aux intentions de l'attaquant. La

méthode axée sur les actifs consiste à identifier les événements de menace et les sources de menaces qui peuvent avoir un impact négatif sur les actifs; les dommages potentiels aux actifs sont au premier plan.

Application d'une méthode basée sur la vulnérabilitécommence par une analyse d'un ensemble de conditions préalables et de faiblesses / faiblesses qui peuvent être exploitées; De plus, les événements possibles de menaces et les conséquences de l'exploitation de leurs vulnérabilités sont déterminés. Le document contient des recommandations pour combiner les méthodes d'analyse décrites afin d'obtenir une image plus objective des menaces dans l'évaluation des risques.

Ainsi, comme nous l'avons déjà indiqué ci-dessus, selon le NIST SP 800-30, le processus d'évaluation des risques est divisé en 4 étapes:

  • préparation à l'évaluation des risques;
  • l'évaluation des risques;
  • communiquer les résultats de l'évaluation et transférer des informations au sein de l'organisation;
  • maintenir les résultats obtenus.

Examinons plus en détail les tâches effectuées à chaque étape.

1. Préparation à l'évaluation des risques.

En préparation de l'évaluation des risques, les tâches suivantes sont effectuées:

1.1. Identification du but de l'évaluation des risques: quelles informations sont attendues à la suite de l'évaluation, quelles décisions seront dictées par le résultat de l'évaluation.
1.2. Identification de la portée de l'évaluation des risques dans le contexte de l'applicabilité à une organisation particulière, du calendrier, des informations sur l'architecture et les technologies utilisées
1.3. Identification d'hypothèses et de limites spécifiques, en tenant compte de la réalisation d'une évaluation des risques. Dans le cadre de cette tâche, des hypothèses et des limites sont définies dans des éléments tels que les sources de menaces, les événements de menace, les vulnérabilités, les conditions préalables, la probabilité d'occurrence, l'impact négatif, la tolérance au risque et le niveau d'inexactitude, ainsi que la méthode d'analyse choisie.
1.4. Identification des sources d'informations préliminaires, des sources de menaces et de vulnérabilités, ainsi que des informations sur l'impact négatif qui seront utilisées dans l'évaluation des risques. Dans ce processus, les sources d'informations peuvent être à la fois internes (telles que les rapports d'incidents et d'audit, les journaux de sécurité et les résultats de surveillance) et externes (par exemple, les rapports CERT, les résultats de la recherche et d'autres informations pertinentes accessibles au public).
1.5. Identification du modèle de risque, de la méthode d'évaluation des risques et de l'approche d'analyse à utiliser dans l'évaluation des risques.

2. Réalisation d'une évaluation des risques.

Dans le cadre de l'évaluation des risques, les tâches suivantes sont effectuées:

2.1. Identification et caractérisation des sources actuelles de menaces, y compris les capacités, les intentions et les objectifs des menaces intentionnelles, ainsi que les effets possibles des menaces non intentionnelles.
2.2. Identification des événements de menace potentiels, la pertinence de ces événements, ainsi que les sources de menaces pouvant déclencher des événements de menace.
2.3. Identification des vulnérabilités et des conditions préalables qui affectent la probabilité que les événements de menace actuels aient un impact négatif. Son objectif est de déterminer dans quelle mesure les processus commerciaux et les systèmes d'information sont vulnérables aux sources de menaces identifiées précédemment et comment les menaces identifiées peuvent en fait être déclenchées par ces sources de menaces.
2.4. Déterminer la probabilité que les événements de menace actuels entraînent un impact négatif, en tenant compte des caractéristiques des sources de menaces, des vulnérabilités et des conditions préalables, ainsi que de l'exposition de l'organisation à ces menaces, en tenant compte des mesures de protection mises en œuvre.
2.5. Détermination de l'impact négatif généré par les sources de menaces, en tenant compte des caractéristiques des sources de menaces, des vulnérabilités et des conditions préalables, ainsi que de l'exposition de l'organisation à ces menaces, en tenant compte des mesures de protection mises en œuvre.
2.6. Déterminer le risque lié à la mise en œuvre des événements de menace actuels, en tenant compte du niveau d'impact négatif de ces événements et de la probabilité que ces événements se produisent. L'annexe «I» de cette norme contient le tableau I-2 pour le calcul du niveau de risque en fonction des niveaux de probabilité et d'impact négatif.

3. Communiquer les résultats de l'évaluation des risques et transmettre des informations.

Dans le cadre de la communication des résultats de l'évaluation des risques et du transfert d'informations, les tâches suivantes sont effectuées:

3.1. Communiquer les résultats de l'évaluation des risques aux décideurs pour répondre aux risques.
3.2. Transmission aux parties intéressées d'informations sur les risques identifiés à la suite de l'évaluation.

4. Maintien des résultats obtenus.

Dans le cadre du maintien des résultats obtenus, les tâches suivantes sont effectuées:

4.1. Effectuer une surveillance continue des facteurs de risque qui affectent les risques dans les activités opérationnelles de l'organisation, de ses actifs, de ses employés et d'autres organisations. Cette tâche est consacrée à la norme NIST SP 800-137, que nous examinerons plus loin.
4.2. Mise à jour de l'évaluation des risques à l'aide des résultats du processus de surveillance continue des facteurs de risque.

Comme vous pouvez le voir, le document NIST SP 800-30 propose une approche assez détaillée de la modélisation des menaces et du calcul des risques. Les annexes de cette norme, contenant des exemples de calculs pour chacune des sous-tâches d'évaluation des risques, ainsi que des listes de sources possibles de menaces, d'événements de menace, de vulnérabilités et de conditions préalables, sont également précieuses.

NIST SP 800-137


Nous passons maintenant à l'examen du document NIST SP 800-137 «Surveillance continue de la sécurité de l'information pour les systèmes et organisations d'information fédéraux» («Surveillance continue de la sécurité de l'information pour les systèmes et organisations d'information fédéraux»).

L'élaboration d'une stratégie de surveillance continue de la sécurité de l'information consiste à évaluer l'efficacité des mesures de sécurité et l'état de sécurité des systèmes afin de répondre aux défis et aux tâches en constante évolution dans le domaine de la sécurité de l'information. Le système de surveillance continue de la sécurité de l'information aide à fournir une connaissance de la situation de l'état de sécurité des systèmes d'information de l'entreprise sur la base des informations collectées à partir de diverses ressources (telles que les actifs, les processus, les technologies, les employés), ainsi que les capacités disponibles pour répondre aux changements de la situation. Ce système est l'une des tactiques de la stratégie globale de gestion des risques.

Comme d'autres documents de la série SP, cette publication fournit l'approche de processus recommandée pour la construction d'un système de surveillance de la sécurité de l'information, comprenant:

  • ( , - ; ; );
  • ( ; ; );
  • ;
  • ( ; ; );
  • ;
  • .

Le document fournit également les recommandations suivantes pour choisir les outils permettant d'assurer une surveillance continue de la sécurité des informations:

  • leur soutien à un grand nombre de sources de données;
  • l'utilisation de spécifications ouvertes et publiques (par exemple, SCAP - Security Content Automation Protocol);
  • l'intégration avec d'autres logiciels, tels que les systèmes d'assistance, les systèmes de gestion des stocks et de la configuration, les systèmes de réponse aux incidents;
  • soutenir le processus d'analyse de conformité avec les lois applicables;
  • un processus de reporting flexible, la capacité à «échouer» (exploration en anglais) dans la profondeur des données considérées;
  • Prise en charge des systèmes SIEM (Security Information and Event Management) et des systèmes de visualisation des données.


UPD: La suite de cet article est ici .

More articles:


All Articles