Rammeværk for sikkerhedshændelser

Artiklen blev oprindeligt publiceret den 2/3/2010

En ny specifikation angiver, hvordan man beskriver sikkerhedshændelser på en ensartet måde, så data om dem kan behandles statistisk.

Bag specifikationen VerIS står sikkerhedskonsulentfirmaet Verizon Business. Firmaet har udviklet den til intern brug, blandt andet som støtte for rapporterne i serien Data Breach Investigations Report.

Rammeværket fortæller, hvordan man beskriver fakta om en sikkerhedshændelse ud fra fire "landskaber:" Aktiver (der skal beskyttes), konsekvenser, kontrol og trusler.

Ved at bruge VerIS til at beskrive sikkerhedshændelser med kan it-sikkerhedsfolk dele information om dem. De kan udarbejde statistikker, fordi data er umiddelbart sammenlignelige.

Verizon Business har gjort en første version af VerIS offentligt tilgængelig. Firmaet inviterer andre i sikkerhedsverdenen til at hjælpe med at udvikle og forfine værktøjet.

Links

• Blogindlæg af Wade Baker fra Verizon Business
• Første version af VerIS-rammeværket (PDF-format)
• Blogindlæg af Martin McKeay