כמה מילים על מתודולוגיית OCTAVE

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

OCTAVE  (בעברית איום קריטי מבחינה מבצעית, נכסים, והערכה פגיעה) היא מסגרת אבטחה לקביעת רמת סיכון ותכנון הגנות מפני התקפות סייבר.  המסגרת מגדירה מתודולוגיה שנועדה לסייע לארגונים לצמצם את החשיפה לאיומים סבירים, לקבוע את ההשלכות האפשריות של מתקפה ולהתמודד עם ההשפעה של מתקפות שהצליחו.

אוקטבה נועד למנף את הניסיון והמומחיות של אנשים בתוך הארגון. בשלב הראשון הארגון נדרש להגדיר פרופילים של איומים אפשריים בהתבסס על הסיכון היחסי שהם מציבים מותאם ספציפית לאופי הארגון.

OCTAVE  מגדירה שלושה שלבים:

• שלב 1: בניית פרופילים של איומים אפשריים על פי רשימת הנכסים שהארגון מעוניין להגן.

• שלב 2: זיהוי חולשות.

• שלב 3: פיתוח אסטרטגיות ותוכניות אבטחה.

OCTAVE  פותחה בשנת 2001 באוניברסיטת Carnegie Mellon  (CMU), עבור משרד ההגנה של ארה"ב. המתודולוגיה עברה כמה שלבים אבולוציוניים מאז אותה תקופה, אך העקרונות הבסיסיים והמטרות נשארו כשהיו. שתי הגרסות הנפוצות הן: OCTAVE-S, מתודולוגיה פשוטה עבור ארגונים קטנים יותר ובעלות מבנה היררכי שטוח. OCTAVE Allegro, גרסה מקיפה יותר עבור ארגונים גדולים או בעלי מבנים מדורגים.

המבקרים של מתודולוגיה זאת טוענים שהיא מורכבת ולא מספקת מודל לניתוח כמותי של הסיכונים.

 

 

התמונה באדיבות Henrl Bergius

כתיבת תגובה