Traduzione del capitolo 10 del volume “Risk Management: Implementation principles and Inventories for Risk Management/Risk Assessment. Methods and tools” (pdf, 1.1 M) di ENISA.
ENISA ha realizzato un inventario delle metodologie di Risk Management / Risk Assessment; in totale sono stati censiti 13 metodologie ognuna delle quali è stata descritta attraverso un template. Il template utilizzato consiste di 21 attributi che descrivono le caratteristiche principali del metodo analizzato. La struttura del template ed il significato di ogni attributo è disponibile nell’allegato II.
I metodi presi in considerazione sono stati selezionati dall’ENISA ad hoc “Working Group on technical and policy aspects of Risk Assessment and Risk Management”.
L’inventario delle metodologie non è esaustivo. A causa della composizione del Working Group di ENISA (formato da esperti provenienti dai paesi EU) nonché del tempo a disposizione sono stati presi in considerazione solo un numero limitato di metodi. Quindi questo documento non contiene una lista completa dei metodi e degli standard che trattano i rischi IT.
Alcuni metodi specifici, inoltre, sono stai deliberatamente esclusi dal survey, quali:

• documenti di “high-level reference”: documenti quali la ISO Guide 73  non sono stati presi in considerazione:
• metodologie non RA/RM: metodi che non sono stati classificati come orientati al RA o RM sulla base della definizione in uso in questo documento;
• metodi non conosciuti: alcuni metodi non sono stati presi in considerazione perché la loro documentazione non era disponibile, in maniera significativa, ai membri del working group (per esempio Magerit in Spagna);
• metodi orientati al “general management” (cioè alla corporate governance) per esempio Cobit e Basilea II sono stati esclusi per tale motivo;
• metodi orientati alla sicurezza dei prodotti di sicurezza: per esempio i “Common Criteria” sono stati esclusi per tale motivo.

In ogni caso, dato che l’inventario è una “open list” ulteriori metodologie potranno essere inserite in futuro. A questo scopo ENISA sta sviluppando un processo per la “sottomissione” dei nuovi metodi per mezzo di template standard che possono essere utilizzati anche per l’aggiornamento dei metodi già censiti.
Le informazioni incluse nell’inventario dei metodi sono state inserite dagli esperti dell’ENISA Working Group nel 2005 e riflettono lo status dei metodi di analisi al periodo indicato.
In caso di nuove release potrebbe essere che le proprietà del metodo inserite nel template non corrispondano alla versione più recente. Gli aggiornamenti periodici permetteranno di aggiornare tali informazioni.
In questo capitolo sono sinteticamente esposti i metodi presi in considerazione per il Risk Management / Risk Assessment. Per lo scopo del testo sarà utilizzato l’attributo “descrizione”del template. Per ogni metodo è fornita una reference al suo template corrispondente nell’allegato.

Metodologie analizzate

• Austrian It Security Handbook
• Cramm
• Dutch A&K Analysis
• Ebios
• Isf Methods For Risk Assessment And Risk Management
• Iso/Iec Is 13335-2 (Iso/Iec Is 27005)
• Iso/Iec Is 17799:2005
• Iso/Iec Is 27001 (Bs7799-2:2002)
• It-Grundschutz (It Baseline Protection Manual)
• Marion
• Mehari
• Octave V2.0 (And Octave-S V1.0 For Small And Medium Businesses)
• Sp800-30 (Nist)
• Synthetic View On Assessed Methods

IsacaRoma link

Risk Management

• Compliance: obblighi delle assicurazioni per la gestione dei rischi
• ENISA: il glossario del Risk Management (lettere A - E)
• ENISA: il primo database europeo per il Risk Management / Risk Assessment
• ENISA Risk Management Workshop, 13 ottobre 2006, Roma
• ISACA: Standard, direttive e procedure – l’analisi dei rischi
• AESRM: i rischi della sicurezza fisica
• Sicurezza e Compliance – l’analisi dei rischi
• ISCOM: Nuova Linee Guida sulla Risk Analysis - Approfondimenti
• Corporate governance, internal auditing, risk management: è possibile un approccio low-cost?
• KPMG: nuove sfide per la sicurezza delle informazioni
• Gestione dei rischi operativi per gli intermediari finanziari
• ISCOM - L'analisi e la gestione del rischio: principi e metodi
• COSO Enterprise Risk Management Framework

ENISA

• ENISA: il glossario del Risk Management (lettere A - E)
• ENISA: il primo database europeo per il Risk Management / Risk Assessment
• ENISA: il sito dedicato al Risk management ed assessment
• ENISA: il primo database europeo per il Risk Management / Risk Assessment
• ENISA Risk Management Workshop, 13 ottobre 2006, Roma
  
• ENISA – Intervista ad Isabella Santa, Awareness Raising Working Group Coordinator
• ENISA: nuovi rischi e minacce per la sicurezza delle reti e delle informazioni e piano di azione per il 2008
• ENISA, l’agenzia di sicurezza europea
• Intervista ad Andrea Pirotti, Executive Director di ENISA
• La visione di ENISA
• ENISA: raccolta di informazioni sulle certificazioni di sicurezza – invito a collaborare

ENISA Quarterly

• ENISA Quarterly – Messaggio dal Direttore Esecutivo
• Guida internazionale per la protezione delle infrastrutture critiche informatizzate
• ENISA Quarterly - Come innalzare la Information Security Awareness