Een Voorbeeldgetrouwe Risico Analyse

Een meerderheid van de risico-analyse procesbeschrijvingen benadrukken dat risico-identificatie, ranking, en mitigatie is een continu proces en niet alleen een enkele stap worden afgerond op een gegeven moment van de ontwikkelingscyclus. Risicoanalyse resultaten en risicocategorieën dus rijden zowel in de eisen (in het begin van de levenscyclus) en in het testen (waar het risico resultaten kunnen worden gebruikt om te definiëren en te plannen bepaalde tests).

risicoanalyse, wordt een gespecialiseerd onderwerp, is niet altijd het beste uitsluitend uitgevoerd door het ontwerpteam zonder hulp van risico professionals buiten het team. Strenge risico-analyse is sterk afhankelijk van een goed begrip van business impact, die een goed begrip van wetten en regels zo veel als het business model ondersteund door de software nodig. Ook de menselijke natuur dicteert dat ontwikkelaars en ontwerpers zullen hebben opgebouwd bepaalde veronderstellingen met betrekking tot hun systeem en de risico's waarmee zij geconfronteerd wordt. Risico en veiligheid specialisten kunnen op een minimum te helpen tegen deze aannames tegen algemeen aanvaarde beste praktijken en zich in een betere positie om "veronderstellen niets."
Een prototypische risicoanalyse aanpak omvat verschillende belangrijke activiteiten die vaak ook een aantal fundamentele sub stappen

Leer zo veel mogelijk over het doel van de analyse
-.. Lees en begrijp de specificaties, architectuur documenten, en andere design materialen
-. Bespreek en brainstormen over de doelgroep met een groep .
- Bepaal systeemgrens en data gevoeligheid /kritieke
-. Speel met de software (als het bestaat in uitvoerbare vorm)
-. Bestudeer de code en andere software artefacten (inclusief het gebruik van code analyse-instrumenten )
-. Identificeer bedreigingen en het eens over relevante bronnen van de aanval (bv zal insiders worden beschouwd)

Bespreek veiligheidsvraagstukken rond de software
-?.. debatteert over hoe het product werkt en te bepalen gebieden van onenigheid of onduidelijkheid
-. Identificeer mogelijke kwetsbaarheden, soms gebruik maken van hulpmiddelen of lijsten van gemeenschappelijke kwetsbaarheden
-. een kaart uit exploits en beginnen om mogelijke oplossingen te bespreken
-. Krijg inzicht in de huidige en geplande veiligheid . controls

Bepaal de waarschijnlijkheid van het compromis
-. een kaart uit de aanval scenario's voor exploits van kwetsbaarheden
-. Balance controles tegen bedreiging capaciteit om kans te bepalen

Uitvoeren impactanalyse <.. br> - Bepalen impact op de activa en zakelijke doelen
-.. Denk aan de effecten op de beveiligingssituatie

Rank risico

Het ontwikkelen van een mitigatiestrategie
-. tegenmaatregelen aanbevelen om de risico's te beperken .

Verslag bevindingen
- beschrijven voorzichtig de grote en kleine risico's, met aandacht voor de gevolgen
-.. Zorg voor basisinformatie over waar de beperkte middelen te besteden mitigatie

Een aantal diverse benaderingen voor risicoanalyse voor veiligheid zijn ontwikkeld en beoefend door de jaren heen. Hoewel veel van deze benaderingen werden uitdrukkelijk uitgevonden voor gebruik in de veiligheid van het netwerk ruimte, ze bieden nog steeds waardevolle risicoanalyse lessen
.