Définition - Que signifie le cadre d'évaluation des risques (RAF)?
Un cadre d'évaluation des risques (RAF) est une approche permettant de hiérarchiser et de partager des informations sur les risques de sécurité posés à une organisation informatique. Les informations doivent être présentées de manière à ce que le personnel non technique et technique du groupe puisse comprendre. Le point de vue sur la RAF aide les organisations à identifier et à localiser les zones à faible et à haut risque du système qui peuvent être sujettes à des abus ou à des attaques.
Definir Tech explique le cadre d'évaluation des risques (RAF)
Les données fournies par les RAF sont utiles pour faire face aux menaces potentielles et planifier les coûts et les budgets. De nombreux RAF sont déjà acceptés comme normes dans plusieurs industries. Quelques exemples incluent l'évaluation des menaces, des actifs et des vulnérabilités critiques sur le plan opérationnel (OCTAVE) de l'équipe de préparation aux urgences informatiques, les objectifs de contrôle des technologies de l'information et des technologies connexes (COBIT) de l'Information Systems Audit and Control Association et le Risk Management Guide for Systèmes de technologie de l'information de l'Institut national des normes.
Comme d'autres cadres, il existe des lignes directrices pour la création de RAF qui doivent être suivies:
- Inventaire et catégorisation: Regroupez les systèmes d'information, qu'ils soient internes ou externes, en catégories et différenciez leurs processus.
- Identifiez les risques potentiels: recherchez les menaces, les vulnérabilités et les risques que le système pourrait rencontrer. Les événements naturels tels que les calamités ou les pannes de courant doivent être pris en compte en plus des attaques de logiciels malveillants.
- Mettre en œuvre et évaluer: sur la base de la discussion des risques potentiels, mettre en œuvre les contrôles de sécurité correspondants pour la sécurité des données. Évaluer et documenter les constatations sur la façon dont les contrôles fonctionnent et contribuent à la réduction des risques.
- Autoriser et surveiller: autoriser les opérations du système en déterminant la procédure, le risque pour les opérations et les actifs de l'organisation, les forces et faiblesses individuelles et d'autres facteurs qui contribueront au bien-être des opérations. La surveillance des contrôles de sécurité est un processus continu qui comprend l'évaluation de l'efficacité des contrôles de sécurité, la documentation des changements, la mise en œuvre des solutions discutées et la présentation de l'état du système au personnel organisationnel approprié.