直到最近，IT安全才是安全专家的领域。但是，在过去几年中，组织已经开始意识到IT相关风险不能孤立地看待，应该被视为企业风险和安全管理（ERSM）的一个组成部分。 ERSM包括组织用于管理与其目标成就相关的所有类型风险的方法和技术。

将ERSM置于企业架构（EA）的环境中是很自然的，它提供了关于组织结构和设计的整体视图。因此，诸如TOGAF之类的EA方法包括风险和安全性章节也就不足为奇了（尽管这些主题在整体方法中的整合仍有待改进），而SABSA等安全框架与Zachman显着相似EA的框架。作为必然结果，使用ArchiMate语言对风险和安全方面进行建模也是非常有意义的。

本系列之前的博客文章概述了使用ArchiMate进行基于EA的ERSM的方法。本文提出了风险和安全概念到ArchiMate概念的初始映射，并说明了如何将这些概念用作执行组织范围风险评估的基础。

ArchiMate风险概念的映射

ERSM标准和框架中使用的大多数概念都可以轻松映射到现有的ArchiMate概念。由于ERSM关注的是与实现业务目标相关的风险，因此这些主要是来自动机扩展的概念。

1. 体系结构中表示的任何核心元素都可以是一种资产，即一种容易受到组织想要保护的损失的价值。这些资产可能存在漏洞，可能使其成为攻击或意外丢失的目标。
2. 威胁可能导致威胁事件，针对资产的漏洞，并且可能具有相关联的威胁代理，即（有意或无意）引起威胁的参与者或组件。根据威胁能力和漏洞，威胁事件的发生可能会也可能不会导致丢失事件。
3. 风险是对可能损失的（定性或定量）评估，就损失事件频率和可能的损失程度而言（非正式地，“可能性时间影响”）。
4. 根据风险评估的结果，我们可能决定接受风险，或设定控制目标（即高级别安全要求）以降低风险，从而导致对控制措施的要求。控制措施的选择可以由预定义的安全原则指导。这些控制措施由任何一组核心元素实现，例如业务流程（例如风险管理流程），应用服务（例如认证服务）或节点（例如防火墙）。

ArchiMate mapping of risk concepts

使用ArchiMate标准中描述的扩展机制之一，可以将风险相关属性分配给这些概念。 The Open Group采用的信息风险因子分析（FAIR）分类法为此提供了一个很好的起点。

定性风险评估

如果可以获得足够准确的输入值估算，定量风险分析可为基于风险的决策提供最可靠的依据。然而，实际上，这些估计通常很难获得。因此，FAIR提出了基于定性（有序）措施的风险评估，例如：威胁能力从“非常低”到“非常高”，风险从“低”到“关键”。下图显示了如何将这些值链接到ArchiMate模型中的元素，以及如何在“热图”中显示它们：

1. 漏洞级别（Vuln）取决于威胁能力（TCap）和控制强度（CS）。应用具有高控制强度的控制措施可降低漏洞级别。
2. 丢失事件频率（LEF）取决于威胁事件频率（TEF）和漏洞级别。较高的漏洞会增加威胁事件触发丢失事件的可能性。
3. 风险等级由损失事件频率和可能的损失幅度（PLM）确定。

以下示例显示了此类评估的简单应用。保险公司的支付系统的漏洞扫描表明，所传输的支付数据的加密级别很低（例如，由于所使用的加密协议的过期版本）。这实现了中间人攻击，其中攻击者可以修改数据以进行未经授权的支付，例如，通过更改收款银行帐户。对于具有中等技能（中等威胁能力）并且没有其他控制措施的黑客，这会导致非常高的漏洞（根据上面的漏洞矩阵）。假设低威胁事件频率（例如，平均每月一次尝试攻击），根据丢失事件频率矩阵，预期丢失事件频率也低。最后，假设损失程度很高，所产生的风险水平很高。作为预防措施，可以应用更强的加密协议。通过修改参数，可以显示将控制强度增加到“高”或“非常高”，剩余风险可以降低到中等。进一步降低这种风险需要采取其他措施，例如：限制可能的损失幅度的措施。

通过将风险相关属性与ArchiMate概念相关联，可以在建模工具的帮助下自动进行风险分析。 通过这种方式，可以轻松分析整个组织中这些值变化的影响，以及潜在控制措施对降低风险的影响。 例如，IT系统或基础架构中的漏洞导致的风险对业务的影响可以通过最佳地支持管理者做出的安全决策的方式进行可视化。

原文:https://bizzdesign.com/blog/enterprise-architecture-based-risk-assessment-with-archimate/

本文：http://pub.intelligentx.net/node/404

讨论：请加入知识星球【首席架构师圈】