影响评估

2020-06-21  本文已影响0人  Threathunter

来源:http://veriscommunity.net/impact.html

关于事件更重要的信息之一是它对组织的影响。不幸的是,后果的真正范围和程度可能难以衡量,因为可能涉及大量有形和无形的成本。考虑到这一点,VERIS利用了影响的三个角度,以提供对与事件相关的后果的理解和衡量。他们一起寻求1)对经历的各种损失进行分类,2)估计它们的规模,3)对组织的总体影响进行定性评估。

一、损失分类

问题文本:这次事件造成了什么样的损失?如果知道,为每一个输入一个损失估计。

用户说明:VERIS将影响分为两大类,直接的和间接的。直接影响是指威胁行动者对组织资产采取的行动直接导致的损失(相对于其他人员(如审计员、客户、股东等)的行动造成的间接损失)。间接影响是由利益相关者(即监管者、客户、审计师、律师)对事件的反应(诚然更难以量化)所造成的损失。

问题类型:类型的枚举列表(多选);用于评级的枚举列表(单次选择);用于表示amount、min_amount和max_amount的文本字段

变量名称:impact.loss(由variety (string)、rating (string)和amount、min_amount、max_amount (number)变量组成)

impact.loss.variety

Asset and fraud: Asset and fraud-related losses,资产和欺诈相关损失

Brand damage: Brand and market damage,品牌和市场损失

Business disruption : Business disruption,业务中断

Operating costs: Increased operating costs,增加运营成本

Legal and regulatory: Legal and regulatory costs,法律和监管成本

Competitive advantage: Loss of competitive advantage,竞争优势的丧失

Response and recovery: Response and recovery costs,响应和回收成本

impact.loss.rating

Major: Major,大

Moderate: Moderate,中等

Minor: Minor,小

None: None,没有

Unknown: Unknown,未知

目的:确定事故后所经历的影响类型,并指出总损失如何在它们之间分配。

开发人员指出:N / A

杂项:诚然,如上所述,这有点令人困惑。基本上,用户应该能够选择应用的所有种类的损失,然后能够提供一个相对的评级(小的、中等的、主要的)和/或对每个选择的种类的损失的定量估计($)。此外,我们允许为每个种类的损失估计指定一个三角形分布(期望、最小、最大)。所有这些都是可选的,所以你可以随心所欲地使用或记录。

二、损失估计

问题文本:估计的总损失归因于(或预期)这一事件。

用户注:在提供估算时,要考虑上述所确定的所有损失种类。

问题类型:文本字段

变量名:impact.overall_amount(数值)、impact.overall_min_amount(数值)、impact.overall_max_amount(数值)

目的:量化事件的影响(甚至使用广泛的估计)是一个有用的练习,原因有很多。它允许与其他事件进行直接比较,并有助于将与安全相关的损失与其他类型的风险联系起来。此外,由于影响是风险的一个重要组成部分,跟踪损失对推动风险评估和修复工作非常重要。它还提供了一些关于安全程序中支出和损失的有趣指标。

开发人员指出:N / A

杂项:我们允许在估计总损失时指定三角形分布(期望、最小值、最大值)。鼓励那些希望启用更高级的分析和建模的人收集这三个值,而不是单点估计。

三、估计货币

问题文本:选择货币为该事件提供的损失估计。

用户注:在提供估算时,要考虑上述所确定的所有损失种类。

问题类型:枚举列表(单次选择)

变量名:impact.iso_currency_code(字符串)

目的:允许对使用不同货币的估计进行标准化。

开发者注意:根据你的情况,预置和默认货币比每次提示用户更有意义。我们建议让用户尽可能容易地定位和选择适当的货币代码(例如,选择列表)。

杂项:N / A

四、影响评级

问题文本:你如何评价这一事件对组织的整体影响?

用户说明:在评估影响时,考虑“影响分类”问题下列出的所有损失种类。

问题类型:枚举列表(多选)

变量名:impact.overall_rating(字符串)

Insignificant: Insignificant: Impact absorbed by normal activities,影响被正常活动所吸收

Distracting: Distracting: Limited “hard costs”, but impact felt through having to deal with the incident rather than conducting normal duties,虽然“硬成本”有限,但由于不得不处理这一事件,而不是履行正常职责,影响就显现出来了

Painful: Painful: Limited “hard costs”, but impact felt through having to deal with the incident rather than conducting normal duties,虽然“硬成本”有限,但由于不得不处理这一事件,而不是履行正常职责,影响就显现出来了

Damaging: Damaging: Real and serious effect on the “bottom line” and/or long-term ability to generate revenue,对“底线”和/或长期创收能力产生真实和严重的影响

Catastrophic: Catastrophic: A business-ending event (don't choose this if the victim will continue operations),终止业务的事件(如果受害者还会继续经营,不要选择这样)

Unknown: Unknown

目的:说明事件对组织的相对影响。该量表是围绕受伤的概念构建的,目的是帮助回答一个简单但重要的问题:“受伤有多严重?”

开发者注意:即使枚举文件只包含评级级别(例如,“破坏性”),我们建议在用户界面中包含完整的定义,以帮助用户对评级进行通用解释。

杂项:N / A

五、注释

问题文本:输入任何你认为值得注意的关于该事件影响的其他细节。

用户注:在提供估算时,要考虑上述所确定的所有损失种类。

问题类型:文本字段

变量名:impact.notes(字符串)

用途:一应俱全

开发人员指出:N / A

杂项:N / A

上一篇下一篇

猜你喜欢

热点阅读