*注:Open FAIR 知识体系是一种开放和独立的信息风险分析方法。它为理解、分析和度量信息风险提供了分类和方法。Open FAIR作为领先的风险分析方法论,已得到越来越多的大型组织认可。
Open FAIR知识体系在美国被迅速而广泛地采用,已成为量化网络安全风险的事实标准。令我们The Open Group感到鼓舞的是,全球对于Open FAIR的认知和采用也在增加,我们还看到在传统IT风险量化领域以外的使用有所增加。最近,在全球和IT领域以外增加Open FAIR的使用和采纳的一些有趣的发展包括:
01.中欧标准化委员会(CEN)最近发布的标准,EN 17748-1:2022 ICT专业基础知识体系(ICT BoK)-第1部分:知识体系,将Open FAIR(以及The Open Group的其他标准)作为风险分析的信息参考标准。这是一个重要的发展,因为它作为一种风险量化方法引起了欧洲企业的注意。CEN是ISO(中欧地区)的合作标准机构,The Open Group也是如此(我们是ISO的PAS提交者,使国际标准组织能够快速采用The Open Group标准)。
02.在最近的The Open Group 巴西安全主题活动中,我们听取了几场描述Open FAIR在风险量化中使用情况的演讲,巴西与会者热情地欢迎了这些演讲。其中一个演讲是来自领先的IT-GRC公司Modulo和安全论坛的一名成员单位,他们作为志愿者,将Open FAIR标准翻译成巴西葡萄牙语,为巴西和葡萄牙的进一步采用铺平了道路。
03.在获得Open FAIR认证的众多持证人员中,有29%的人员来自于美国以外其他国家,这是国际兴趣兴起的另一个迹象。美国以外的百分比大幅增长,现在有许多拥有Open FAIR认证人员的国家,包括来自澳大利亚、巴西、比利时、加拿大、丹麦、法国、德国、印度、爱尔兰、意大利、荷兰、秘鲁、新加坡、南非、西班牙、瑞典、瑞士和英国的大量认证人员。
04.国际兴趣的另一个指标是最近美国境外的Open FAIR商业许可证持证数量的增长。目前有48%的商业许可证持有者位于美国境外。这告诉我们,美国以外的培训师、顾问和软件工具提供商对Open FAIR的商业兴趣正在增长。
05.最后,关于传统IT风险量化用例之外的Open FAIR的使用,我们看到在运营技术领域得到了更多的采用和使用,包括在石油和天然气等关键基础设施中进行OT风险量化。随着监管机构对网络安全风险的日益关注,我们的安全论坛最近还发布了一份关于审查网络风险模型以及使用Open FAIR模型计算网络安全风险准备金的白皮书。
The Open Group安全论坛正在积极努力更新支持和补充Open FAIR知识体系的材料,确保所提供的指导的一致性。这项工作包括于2021年7月出版Open FAIR风险分析示例指南,更新Open FAIR风险分析流程指南(正在进行中),以确保与标准保持一致,制定Open FAIR方法中隐含的数理指南(正在进行中),以及更新Open FAIR认证计划材料,如Open FAIR知识体系白皮书简介(正在进行中)。最近的其他出版物包括《计算准备金应对网络风险》白皮书系列,其中强调使用Open FAIR与金融机构沟通如何从经济角度量化网络风险以及计算准备金需求。
作者介绍
Jim Hietala,Open FAIR,CISSP,GSEC,是The Open Group的业务开发和安全副总裁,负责管理业务团队以及安全和风险管理计划和标准活动,他参与了几项行业标准的开发,包括O-ISM3、O-ESA、O-RT(风险分类标准)、O-RA(风险分析标准)和O-ACEML。他还领导了云安全联盟v2出版物的合规性和审计指南的制定。作为IT安全行业的资深人士,他在多家IT安全厂商担任过领导职务。
John Linford,The Open Group安全论坛总监,该论坛以Open FAIR风险分析标准而闻名,并围绕安全和零信任架构开展工作。他还是The Open Group开放可信技术论坛(OTTF)的论坛总监,该论坛以开放可信技术提供商™标准(O-TTPS)和开放认证可信技术从业者(Open CTTP)而闻名。