《信息安全風(fēng)險(xiǎn)評估(20090219)》由會(huì)員分享��,可在線閱讀��,更多相關(guān)《信息安全風(fēng)險(xiǎn)評估(20090219)(54頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索�����。
1�����、中 山 大 學(xué) 信 息 與 網(wǎng) 絡(luò) 中 心李 磊 博 士2009年 2月信息安全技術(shù)風(fēng)險(xiǎn)管理Information Security Risk Management 什么是風(fēng)險(xiǎn)脆弱性威脅資產(chǎn)風(fēng)險(xiǎn)是一個(gè)指定的威脅利用一項(xiàng)資產(chǎn)或多項(xiàng)資產(chǎn)的脆弱性�����,并由此造成損害或破壞的可能性。 理解風(fēng)險(xiǎn)(1)風(fēng)險(xiǎn)分析 risk analysis系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)���。風(fēng)險(xiǎn)評價(jià) risk evaluation將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程�。風(fēng)險(xiǎn)評估 risk assessment風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的整個(gè)過程����。風(fēng)險(xiǎn)處理 risk treatment選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的
2、過程��。殘余風(fēng)險(xiǎn) residual risk經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)��。 風(fēng)險(xiǎn)接受 risk acceptance接受風(fēng)險(xiǎn)的決定�����。風(fēng)險(xiǎn)管理 risk management指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)�。 理解風(fēng)險(xiǎn)(2)風(fēng)險(xiǎn)是客觀存在的。風(fēng)險(xiǎn)和不確定性緊密相連�,但不能完全等同。風(fēng)險(xiǎn)強(qiáng)調(diào)的是損害的潛在可能性����,而不是事實(shí)上的損害�。風(fēng)險(xiǎn)不能消除至盡�����,包括人為因素帶來的風(fēng)險(xiǎn)����,也一樣不能消除至盡�。衡量風(fēng)險(xiǎn)的兩個(gè)基本要素就是事件的概率和其(產(chǎn)生的)后果。對信息安全而言��,導(dǎo)致風(fēng)險(xiǎn)的事件是威脅利用了資產(chǎn)(或系統(tǒng))的脆弱點(diǎn)���。 風(fēng)險(xiǎn)管理過程風(fēng)險(xiǎn)管理是指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)����。風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)分析風(fēng)
3�����、險(xiǎn)評價(jià)風(fēng)險(xiǎn)處理 風(fēng)險(xiǎn)的定量分析SLE(Single Loss Expectancy��,單一風(fēng)險(xiǎn)預(yù)期損失)ARO(Annual Rate of Occurrence�,年發(fā)生次數(shù))ALE(Annual Loss Expectancy�,年預(yù)期損失)SLE * AROROSI(Return On Security Investment���,確定安全投資收益)ROSI = 實(shí)施前的ALE 實(shí)施控制后的ALE 年控制成本一個(gè)組織的網(wǎng)絡(luò)設(shè)備資產(chǎn)價(jià)值為100萬元��,一次意外火災(zāi)使其損失了25%��,則SLE=10025%25萬元����。按照經(jīng)驗(yàn)統(tǒng)計(jì)����,這樣的火災(zāi)每5年發(fā)生一次,則ARO=1/5=0.2�����。ALE=25*0.2=5萬
4��、元���。 購買滅火器和火災(zāi)告警器可以降低火災(zāi)發(fā)生概率和損害程度�����,成本為3萬元��,壽命3年���,則年控制成本3/31萬元����。實(shí)施后�,火災(zāi)損害率降為5�,發(fā)生次數(shù)為10年1次,則ALE=100*5%*0.1=5000元�。所以,ROSI=5-0.5-1=3.5萬元���。 風(fēng)險(xiǎn)的定性描述風(fēng)險(xiǎn)的可能性風(fēng)險(xiǎn)的影響等級(jí)描述1可以忽略2較小3中等4較大5災(zāi)難性等級(jí)描述A幾乎肯定B很可能C可能D不太可能E罕見 風(fēng)險(xiǎn)的分析矩陣可能性影響可以忽略1較小2中等3較大4災(zāi)難性5A 幾乎肯定H E E E EB 很可能M H E E EC 可能L M H E ED 不太可能L L M H EE 罕見L L M H HE要求立即采取措施H需
5�、要高級(jí)管理部門的注意 M必須規(guī)定管理責(zé)任L用日常程序處理 定性與定量目前沒有嚴(yán)格的定量分析的計(jì)算公式�。定量分析的數(shù)字來源往往并不精確。目前信息安全事件管理的水平還比較低�����,難以做定量分析����。在積累了足夠多的樣本后�����,才能比較精確地估算事件發(fā)生的概率和發(fā)生后的后果��。在實(shí)踐中�����,定量與定性的風(fēng)險(xiǎn)分析方法要綜合使用��。 風(fēng)險(xiǎn)管理是一個(gè)持續(xù)改進(jìn)的過程分析估算評價(jià)處理信息安全風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的過程��。該過程應(yīng)該建立范疇���,評估風(fēng)險(xiǎn),并利用風(fēng)險(xiǎn)處置計(jì)劃來實(shí)施建議和決策以處置風(fēng)險(xiǎn)�����。風(fēng)險(xiǎn)管理分析�,是在決定應(yīng)該做什么和什么時(shí)候做之前分析可能發(fā)生什么以及可能的后果是什么,以將風(fēng)險(xiǎn)降低到可以接受的級(jí)別。 風(fēng)險(xiǎn)評估的基本要素組
6�、織 使 命暴 露增 加 未 被 滿 足資 產(chǎn)脆 弱 性 資 產(chǎn) 價(jià) 值擁 有威 脅利 用 安 全 事 件演 變 依 賴風(fēng) 險(xiǎn)增 加 資 產(chǎn) 價(jià) 值成 本殘 余 風(fēng) 險(xiǎn) 安 全 措 施被 滿 足 抗 擊 增 加導(dǎo) 出可 能 誘 發(fā) 未 控 制殘 留 降 低 風(fēng)險(xiǎn)評估工具包括主機(jī)掃描、網(wǎng)絡(luò)掃描����、數(shù)據(jù)庫掃描,用于分析系統(tǒng)的常見漏洞漏洞掃描工具用于收集與統(tǒng)計(jì)威脅數(shù)據(jù)和分析主機(jī)系統(tǒng)配置的安全性入侵檢測系統(tǒng)(IDS)和主機(jī)安全性審計(jì)工具黑客工具�����,用于人工滲透�,評估系統(tǒng)的深層次漏洞滲透性測試工具 針對風(fēng)險(xiǎn)評估流程而設(shè)計(jì)的輔助工具,例如評估指標(biāo)庫�����、知識(shí)庫���、漏洞庫、算法庫��、模型庫����。在基礎(chǔ)數(shù)據(jù)基礎(chǔ)上,定量����、綜合分
7�、析系統(tǒng)的風(fēng)險(xiǎn)���,并且提供分類統(tǒng)計(jì)��、查詢�����、TOP N查詢以及報(bào)表輸出功能風(fēng)險(xiǎn)評估工具調(diào)查問卷和檢查表 信息安全風(fēng)險(xiǎn)管理的內(nèi)容識(shí)別風(fēng)險(xiǎn)依據(jù)風(fēng)險(xiǎn)造成的業(yè)務(wù)后果和發(fā)生的可能性進(jìn)行風(fēng)險(xiǎn)評估就風(fēng)險(xiǎn)的后果和可能性進(jìn)行溝通并達(dá)成理解建立風(fēng)險(xiǎn)處置的優(yōu)先次序?qū)档惋L(fēng)險(xiǎn)的活動(dòng)進(jìn)行排序在做出風(fēng)險(xiǎn)管理決策時(shí)����,讓利益相關(guān)方參與���,并及時(shí)告知風(fēng)險(xiǎn)管理的狀態(tài)有效監(jiān)視風(fēng)險(xiǎn)處置監(jiān)視風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理過程�,并定期評審收集信息以改進(jìn)風(fēng)險(xiǎn)管理方法應(yīng)該對管理者和員工進(jìn)行有關(guān)風(fēng)險(xiǎn)和減輕風(fēng)險(xiǎn)所應(yīng)采取行動(dòng)的培訓(xùn) 風(fēng)險(xiǎn)評估實(shí)施流程 否是否是 風(fēng)險(xiǎn)評估的準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的控制措施 選擇適當(dāng)?shù)目刂拼胧┎⒃u估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)
8���、管理脆弱性識(shí)別威脅識(shí)別資產(chǎn)識(shí)別是否接受殘余風(fēng)險(xiǎn) 風(fēng)險(xiǎn)識(shí)別評估過程文檔評估過程文檔風(fēng)險(xiǎn)評估結(jié)果記錄評估結(jié)果文檔 信息安全風(fēng)險(xiǎn)管理過程信息安全風(fēng)險(xiǎn)管理過程可能應(yīng)用于整個(gè)組織���,組織的任何部分(如部門、物理區(qū)域或某個(gè)服務(wù)),任何信息系統(tǒng)�,現(xiàn)有、計(jì)劃或特定部分的控制措施(如業(yè)務(wù)連續(xù)性計(jì)劃)��。信息安全風(fēng)險(xiǎn)管理過程由確定范疇�����、風(fēng)險(xiǎn)評估�、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)接受����、風(fēng)險(xiǎn)溝通以及風(fēng)險(xiǎn)監(jiān)視和評審組成。 ISO 27005的風(fēng)險(xiǎn)管理模型建立環(huán)境風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)處理 風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)溝通風(fēng)險(xiǎn)監(jiān)視和評審風(fēng)險(xiǎn)評估是否滿足要求���?noyesyes no風(fēng)險(xiǎn)處置是否滿足要求�?風(fēng)險(xiǎn)估算風(fēng)險(xiǎn)評價(jià)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評估 ISMS過程與風(fēng)險(xiǎn)管理活動(dòng)ISMS
9����、過程風(fēng)險(xiǎn)管理活動(dòng)PLAN規(guī)劃建立環(huán)境�����,確定范疇 ;風(fēng)險(xiǎn)評估����;風(fēng)險(xiǎn)處理計(jì)劃;風(fēng)險(xiǎn)接受DO實(shí)施實(shí)施風(fēng)險(xiǎn)處理計(jì)劃(減緩風(fēng)險(xiǎn)的措施可參考ISO 27002或其他相關(guān)的指南)CHECK檢查持續(xù)的監(jiān)視與評審風(fēng)險(xiǎn)(環(huán)境�、資產(chǎn)、威脅和脆弱性等發(fā)生變化時(shí)都需要密切監(jiān)視)ACT檢查保持與提高信息安全管理過程 ISO 27001對風(fēng)險(xiǎn)評估的要求(1)章條內(nèi)容引 言0.2 過程方法b) 從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度�����,實(shí)施和運(yùn)行控制措施����,以管理組織的信息安全風(fēng)險(xiǎn);引 言0.2 過程方法本標(biāo)準(zhǔn)為實(shí)施OECD指南中規(guī)定的風(fēng)險(xiǎn)評估���、安全設(shè)計(jì)和實(shí)施���、安全管理和再評估的原則提供了一個(gè)強(qiáng)健的模型。引 言0.2 過程方法建立ISMS建立
10�����、與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針�����、目標(biāo)、過程和程序����,以提供與組織總方針和總目標(biāo)相一致的結(jié)果。1范圍1.1總則本標(biāo)準(zhǔn)從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度���,為建立���、實(shí)施、運(yùn)行�����、監(jiān)視���、評審���、保持和改進(jìn)文件化的ISMS規(guī)定了要求。 1范圍1.2應(yīng)用為了滿足風(fēng)險(xiǎn)接受準(zhǔn)則所必須進(jìn)行的任何控制措施的刪減��,必須證明是合理的�����,且需要提供證據(jù)證明相關(guān)風(fēng)險(xiǎn)已被負(fù)責(zé)人員接受����。除非刪減不影響組織滿足由風(fēng)險(xiǎn)評估和適用法律法規(guī)要求所確定的安全要求的能力和/或責(zé)任,否則不能聲稱符合本標(biāo)準(zhǔn)�。 ISO 27001對風(fēng)險(xiǎn)評估的要求(2)章條內(nèi)容4.2.1建立ISMS組織要做以下方面的工作:b) 根據(jù)業(yè)務(wù)、組織�����、位置����、資產(chǎn)和技術(shù)等方
11、面的特性����,確定ISMS方針。3) 在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下�,建立和保持ISMS;4) 建立風(fēng)險(xiǎn)評價(jià)的準(zhǔn)則見4.2.1 c��;4.2.1建立ISMS組織要做以下方面的工作:c) 確定組織的風(fēng)險(xiǎn)評估方法1)識(shí)別適合ISMS����、已識(shí)別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險(xiǎn)評估方法���。2)制定接受風(fēng)險(xiǎn)的準(zhǔn)則,識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別(見5.1f)�����。選擇的風(fēng)險(xiǎn)評估方法應(yīng)確保風(fēng)險(xiǎn)評估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果���。注:風(fēng)險(xiǎn)評估具有不同的方法�����。在 ISO/IEC TR 13335-3信息技術(shù) IT安全管理指南:IT安全管理技術(shù)中描述了風(fēng)險(xiǎn)評估方法的例子�。 ISO 27001對風(fēng)險(xiǎn)評估的要求(3)章條內(nèi)容4.2.1建立IS
12����、MS組織要做以下方面的工作:d) 識(shí)別風(fēng)險(xiǎn)1) 識(shí)別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人 ;2) 識(shí)別資產(chǎn)所面臨的威脅�����;3) 識(shí)別可能被威脅利用的脆弱點(diǎn)�;4) 識(shí)別喪失保密性�、完整性和可用性可能對資產(chǎn)造成的影響���。4.2.1建立ISMS組織要做以下方面的工作:e) 分析和評價(jià)風(fēng)險(xiǎn)1) 在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下�����,評估安全失誤可能造成的對組織的影響�。2) 評估由主要威脅和脆弱點(diǎn)導(dǎo)致安全失誤的現(xiàn)實(shí)可能性、對資產(chǎn)的影響以及當(dāng)前所實(shí)施的控制措施����。 3) 估計(jì)風(fēng)險(xiǎn)的級(jí)別。4) 確定風(fēng)險(xiǎn)是否可接受����,或者是否需要使用在4.2.1 c)2)中所建立的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處理。 ISO 2
13�����、7001對風(fēng)險(xiǎn)評估的要求(4)章條內(nèi)容4.2.1建立ISMS組織要做以下方面的工作:f) 識(shí)別和評價(jià)風(fēng)險(xiǎn)處理的可選措施可能的措施包括:1) 采用適當(dāng)?shù)目刂拼胧?) 在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下�,有意識(shí)地、客觀地接受風(fēng)險(xiǎn)見4.2.1 c)2)��;3) 避免風(fēng)險(xiǎn);4) 將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方����,如:保險(xiǎn),供應(yīng)商等��。4.2.1建立ISMS組織要做以下方面的工作:g) 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施控制目標(biāo)和控制措施應(yīng)加以選擇和實(shí)施��,以滿足風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理過程中所識(shí)別的要求����。這種選擇應(yīng)考慮接受風(fēng)險(xiǎn)的 準(zhǔn)則(見4.2.1c)2)以及法律法規(guī)和合同要求。h) 獲得管理者對建議的殘余
14����、風(fēng)險(xiǎn)的批準(zhǔn) ISO 27001對風(fēng)險(xiǎn)評估的要求(6)章條內(nèi)容4.3文件要求4.3.1總則文件應(yīng)包括管理決定的記錄,以確保所采取的措施符合管理決定和方針策略���,還應(yīng)確保所記錄的結(jié)果是可重復(fù)產(chǎn)生的���。重要的是,能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理過程的結(jié)果���、并進(jìn)而回溯到ISMS方針和目標(biāo)之間的關(guān)系���。4.3文件要求4.3.1總則ISMS文件應(yīng)包括:d) 風(fēng)險(xiǎn)評估方法的描述見4.2.1c)�����;e) 風(fēng)險(xiǎn)評估報(bào)告 見4.2.1c)到4.2.1g);f) 風(fēng)險(xiǎn)處理計(jì)劃見4.2.2b)���; 5管理職責(zé)5.1管理承諾f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別���; ISO 27001對風(fēng)險(xiǎn)評估的要求(7)章
15、條內(nèi)容7ISMS的管理評審7.2評審輸入管理評審的輸入應(yīng)包括:e) 以往風(fēng)險(xiǎn)評估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅�����;7ISMS的管理評審7.3評審輸出管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施:b) 風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理計(jì)劃的更新�;7ISMS的管理評審7.3評審輸出管理評審的輸出應(yīng)包括與以下方面有關(guān) 的任何決定和措施:c) 必要時(shí)修改影響信息安全的程序和控制措施,以響應(yīng)內(nèi)部或外部可能影響ISMS的事態(tài)��,包括以下的變更:6) 風(fēng)險(xiǎn)級(jí)別和/或接受風(fēng)險(xiǎn)的準(zhǔn)則���。 ISO 27001對風(fēng)險(xiǎn)評估的要求(8)章條內(nèi)容8ISMS改進(jìn)8.3預(yù)防措施組織應(yīng)識(shí)別變化的風(fēng)險(xiǎn)�����,并識(shí)別針對重大變化的風(fēng)險(xiǎn)的預(yù)防措施的要求���。預(yù)
16����、防措施的優(yōu)先級(jí)要根據(jù)風(fēng)險(xiǎn)評估的結(jié)果確定�。注:預(yù)防不符合的措施通常比糾正措施更節(jié)約成本。 風(fēng)險(xiǎn)評估過程1.準(zhǔn)備工作2.識(shí)別評價(jià)資產(chǎn)3.識(shí)別威脅和脆弱性4.識(shí)別評價(jià)控制措施5.識(shí)別可能性和影響6.計(jì)算風(fēng)險(xiǎn)7.總結(jié) 風(fēng)險(xiǎn)評估準(zhǔn)備1.得到高層管理部門對評估活動(dòng)的支持2.確定本次風(fēng)險(xiǎn)評估的范圍3.組建風(fēng)險(xiǎn)評估核心小組4.制定詳細(xì)可行的工作計(jì)劃表 準(zhǔn)備工作(實(shí)施指南)1.支持ISMS2.符合法律和盡職的證據(jù)3.準(zhǔn)備業(yè)務(wù)連續(xù)性計(jì)劃4.準(zhǔn)備事件響應(yīng)計(jì)劃5.描述某個(gè)產(chǎn)品����、服務(wù)或機(jī)制對信息安全的要求 準(zhǔn)備工作(基本準(zhǔn)則)1.進(jìn)行風(fēng)險(xiǎn)評附和確定風(fēng)險(xiǎn)處置計(jì)劃2.定義和實(shí)施方針和程序,包括實(shí)施已選擇的控制措施3.監(jiān)視控
17�����、制措施4.監(jiān)視信息安全風(fēng)險(xiǎn)管理過程 準(zhǔn)備工作(風(fēng)險(xiǎn)評價(jià)準(zhǔn)則)1.業(yè)務(wù)信息過程的戰(zhàn)略價(jià)值2.相關(guān)信息資產(chǎn)的危急程度3.法律法規(guī)的要求和合同的義務(wù)4.運(yùn)營和業(yè)務(wù)的可用性�����、保密性��、完整性的重要程度5.利益相關(guān)方的期望和認(rèn)知��,以及對信譽(yù)和名聲的負(fù)面影響 準(zhǔn)備工作(影響準(zhǔn)則)1.受影響資產(chǎn)的分類級(jí)別2.信息安全的違背(如保密性、完整性和可用性的喪失)3.運(yùn)行的受損(內(nèi)部或第三方的)4.損失的業(yè)務(wù)或財(cái)務(wù)價(jià)值5.對計(jì)劃和最后期限的破壞6.聲譽(yù)的損失7.對法律法規(guī)或合同要求的違背 準(zhǔn)備工作(風(fēng)險(xiǎn)接受準(zhǔn)則)1.風(fēng)險(xiǎn)接受準(zhǔn)則可以包括帶有風(fēng)險(xiǎn)期望目標(biāo)級(jí)別的多道門檻�����,但在確定的情形下����,提交給高層管理者接受的風(fēng)險(xiǎn)可能超
18、出該級(jí)別2.風(fēng)險(xiǎn)可接受準(zhǔn)則可以用估算收益(或業(yè)務(wù)收益)與估算風(fēng)險(xiǎn)的比值來描述3.對不同類型的風(fēng)險(xiǎn)可以采用不同的風(fēng)險(xiǎn)接受準(zhǔn)則��,例如����,導(dǎo)致對法律法規(guī)不符合的風(fēng)險(xiǎn)可能是不可接受的�,但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險(xiǎn)4.風(fēng)險(xiǎn)接受準(zhǔn)則可以包括下一步的補(bǔ)充處置要求,例如�����,如果認(rèn)可或承諾在確定的時(shí)間內(nèi)將采取行動(dòng)以將風(fēng)險(xiǎn)降到可接受級(jí)別�,則風(fēng)險(xiǎn)可以被接受 準(zhǔn)備工作(范圍和邊界)在定義范圍和邊界時(shí),組織應(yīng)該考慮以下信息: 組織的業(yè)務(wù)戰(zhàn)略目標(biāo)���、策略和方針 業(yè)務(wù)過程 組織的職能和結(jié)構(gòu) 適用于組織的法律法規(guī)和合同義務(wù)的要求 組織的信息安全方針 組織風(fēng)險(xiǎn)管理的整體方法 信息資產(chǎn) 組織的位置及其地理特性 影響組織的約束
19��、條件 利益相關(guān)方的期望 社會(huì)文化環(huán)境 界面(與環(huán)境的數(shù)據(jù)交換)另外�,組織對任何排除在范圍之外的,都應(yīng)該提供正當(dāng)?shù)睦碛伞?準(zhǔn)備工作(組織架構(gòu))下面是信息安全風(fēng)險(xiǎn)管理過程組織架構(gòu)的主要角色和職責(zé):開發(fā)適合組織的信息安全風(fēng)險(xiǎn)管理過程識(shí)別和分析利益相關(guān)方定義組織內(nèi)���、外部各方的角色和職責(zé)在組織和相關(guān)利益方之間建立必要的聯(lián)系���,如組織高風(fēng)險(xiǎn)管理職能的接口(如運(yùn)營風(fēng)險(xiǎn)管理),以及與其它項(xiàng)目或活動(dòng)之間的接口定義決策升級(jí)路徑說明需要保存的記錄組織架構(gòu)應(yīng)該得到組織的合適的管理者的批準(zhǔn)����。 識(shí)別資產(chǎn)并評價(jià)資產(chǎn)的重要性資產(chǎn)是指對組織有價(jià)值的任何東西。信息資產(chǎn)主要包括三個(gè)部分:信息本身����、信息處理設(shè)施和信息處理人。ISO/I
20��、EC 27002:2005給出了一個(gè)資產(chǎn)的示例����,對信息分類標(biāo)準(zhǔn)應(yīng)該滿足以下兩個(gè)基本條件:1.所有的資產(chǎn)都能找到相對應(yīng)的類;2.任何資產(chǎn)只能有唯一的類相對 應(yīng)�����,而且必須保證這種對應(yīng)是無歧義的?;举Y產(chǎn)業(yè)務(wù)過程或活動(dòng) 信息支持性資產(chǎn)(基本資產(chǎn)所依賴的范圍) 硬件軟件網(wǎng)絡(luò)人員場所組織架構(gòu) 基本資產(chǎn)業(yè)務(wù)過程和活動(dòng)一旦喪失或降格將導(dǎo)致不能執(zhí)行組織使命的過程包括保密處理或?qū)S屑夹g(shù)的過程如果被修改,可能極大影響組織使命的完成組織滿足合同����、法律法規(guī)要求所需要的過程信息組織使命和業(yè)務(wù)運(yùn)行的關(guān)鍵信息個(gè)人信息,特別是作為國家法律所定義的個(gè)人隱私完成戰(zhàn)略方向所確定目標(biāo)的所需戰(zhàn)略性信息高成本信息�,收集、存儲(chǔ)����、處理、傳輸
21��、需要很長時(shí)間和/或?qū)е潞芨叩牟少彸杀?支持性資產(chǎn)(硬件)類型示例數(shù)據(jù)處理設(shè)備(主動(dòng))自動(dòng)的信息處理設(shè)備 可移動(dòng)設(shè)備筆記本電腦�����、個(gè)人數(shù)字助理(PDA) 固定設(shè)備服務(wù)器�����、作為工作站的微型計(jì)算機(jī) 周邊處理設(shè)備打印機(jī)��、可拆除磁盤驅(qū)動(dòng)器 數(shù)據(jù)介質(zhì)(被動(dòng))用于存儲(chǔ)數(shù)據(jù)或功能的介質(zhì)電子介質(zhì)軟盤����、光盤、備份磁帶���、可拆卸硬盤�、內(nèi)存棒�����、磁帶 其他介質(zhì)包含數(shù)據(jù)的靜態(tài)的�����、非電子介質(zhì)�。紙張、幻燈片�、透明膠片、文件���、傳真 支持性資產(chǎn)(軟件)類型示例操作系統(tǒng) Windows, Linux, Unix服務(wù)����、維護(hù)和管理軟件 補(bǔ)丁軟件����、系統(tǒng)監(jiān)控軟件軟件包或標(biāo)準(zhǔn)軟件 數(shù)據(jù)庫管理軟件���、電子消息軟件、群組軟件�、目錄軟件、web 服務(wù)器
22����、軟件標(biāo)準(zhǔn)業(yè)務(wù)應(yīng)用 財(cái)務(wù)軟件、機(jī)床控制軟件���、客戶管理軟件��、個(gè)人能力管理軟件�,行政管理軟件特定的業(yè)務(wù)應(yīng)用 電信運(yùn)營商的客戶發(fā)票管理�、火箭發(fā)射的實(shí)時(shí)監(jiān)控應(yīng)用程序 支持性資產(chǎn)(網(wǎng)絡(luò))類型示例介質(zhì)和支持設(shè)施 PSTN、以太網(wǎng)��、ADSL�����、藍(lán)牙�、火線主動(dòng)或被動(dòng)中繼 網(wǎng)橋、路由器���、集線器���、交換機(jī)、自動(dòng)交換設(shè)備通訊接口 以太網(wǎng)接頭�����、V.35 支持性資產(chǎn)(人員)類型示例決策者 最高管理層���、項(xiàng)目主管 用戶 人力資源管理人員��、財(cái)務(wù)管理人員��、風(fēng)險(xiǎn)經(jīng)理 運(yùn)行/維護(hù)人員 系統(tǒng)管理員���、數(shù)據(jù)管理員、備份���、服務(wù)臺(tái)�����、應(yīng)用部署操作人員�、安全官開發(fā)人員 業(yè)務(wù)應(yīng)用開發(fā)人員 支持性資產(chǎn)(場所)類型示例外部環(huán)境 個(gè)人家庭,另一組織的場所��、場
23�、所外的環(huán)境(市區(qū)、危險(xiǎn)區(qū)) 房屋 宅院�、大樓區(qū)域 辦公室、限制進(jìn)入?yún)^(qū)�、安全區(qū)基本服務(wù) 組織設(shè)備運(yùn)行所必需的所有服務(wù)。 通訊 電話線�����、內(nèi)部電話網(wǎng) 工具 低電壓電源�����、變壓器�����、電路前端�、空調(diào) 支持性資產(chǎn)(組織架構(gòu))類型示例權(quán)力機(jī)構(gòu) 行政機(jī)構(gòu)�����、組織的總部 組織的結(jié)構(gòu) 人力資源管理、IT管理��、采購管理�、業(yè)務(wù)部門管理、大樓安保服務(wù)����、消防服務(wù)、審計(jì)管理項(xiàng)目或系統(tǒng)的組織 新應(yīng)用開發(fā)項(xiàng)目���、信息系統(tǒng)遷移項(xiàng)目分包方/供應(yīng)商/生產(chǎn)商 設(shè)備管理公司����、外包公司���、咨詢公司 識(shí)別資產(chǎn)目前對于資產(chǎn)的識(shí)別和評估并沒有很成熟的方法�,在識(shí)別時(shí)應(yīng)細(xì)致到什么程度也沒有統(tǒng)一 的標(biāo)準(zhǔn)�����。組織應(yīng)該按照實(shí)踐中的經(jīng)驗(yàn),摸索出自己的方法���。 評價(jià)資產(chǎn)評
24���、價(jià)資產(chǎn)可以用定量的方法或者定性的方法,一般傾向于用定性的方法��。定性方法的結(jié)果是資產(chǎn)的重要度列表�。重要度的確定往往來自于資產(chǎn)的安全屬性(保密性、完整性和可用性)�����。級(jí)別定義重要度賦值高資產(chǎn)的保密性�����、完整性和可用性被破壞�����,會(huì)導(dǎo)致組織的毀滅性損失3中資產(chǎn)的保密性�、完整性和可用性被破壞,會(huì)導(dǎo)致組織的 重大損失2低資產(chǎn)的保密性��、完整性和可用性被破壞,會(huì)導(dǎo)致組織的一定損失1 保密性要求資產(chǎn)價(jià)值分級(jí)描述1 低可公開非敏感信息和信息處理設(shè)施及系統(tǒng)資源��,可以公開�����。2 中僅供內(nèi)部使用或限制使用非敏感的信息僅限內(nèi)部使用����,即不能公開或限制信息或信息處理設(shè)施及系統(tǒng)資源可在組織內(nèi)部根據(jù)業(yè)務(wù)需要的約束來使用��。3 高秘密或絕密
25����、敏感的信息或信息處理設(shè)施和系統(tǒng)資源,只能根據(jù)需要或嚴(yán)格依據(jù)工作需要來使用�。 完整性要求資產(chǎn)價(jià)值分級(jí)描述1 低低完整性對信息的非授權(quán)的損害或更改不會(huì)危及業(yè)務(wù)應(yīng)用或?qū)I(yè)務(wù)的影響可以忽略。2 中中完整性對信息的非授權(quán)的損害或更改不會(huì)危及業(yè)務(wù)應(yīng)用���,但是值得注意以及對業(yè)務(wù)的影響是重要的����。3 高高或非常高完整性對信息的非授權(quán)的損害或更改危及業(yè)務(wù)應(yīng)用����,且對業(yè)務(wù)的影響是嚴(yán)重的并會(huì)導(dǎo)致業(yè)務(wù)應(yīng)用的重大或全局失敗���。 可用性要求資產(chǎn)價(jià)值分級(jí)描述1 - 低低可用性資產(chǎn) (信息,信息系統(tǒng) 系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.) 可以容忍多于一天的不能使用。2 中中可用性資產(chǎn) (信息,信息系統(tǒng) 系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.) 可以
26�����、容忍半天到一天的不能使用�。3 高高可用性資產(chǎn) (信息,信息系統(tǒng) 系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.) 可以容忍幾個(gè)小時(shí)的不能使用。4 非常高非常高的可用性 資產(chǎn) (信息,信息系統(tǒng) 系統(tǒng)資源/網(wǎng)絡(luò)服務(wù),人員等.) 必須保證每年每周24x7 工作�。 威脅的定義威脅是指可能導(dǎo)致對系統(tǒng)或組織的損害的不期望事件的潛在原因。人為故意的人為意外的環(huán)境的竊聽疏忽和差錯(cuò)地震信息修改文件刪除雷擊 系統(tǒng)攻擊不正確的路由選擇水災(zāi)惡意代碼物理事故火災(zāi) 脆弱性的定義脆弱性一般可分為兩類:資產(chǎn)本身的脆弱性和安全控制措施的不足引起的脆弱性��。以下是脆弱性的示例:脆弱性威脅行為已知的軟件漏洞未授權(quán)用戶使用軟件弱口令管理冒充的合法用戶身
27�、份 錯(cuò)誤的權(quán)限分配以未授權(quán)的方式使用軟件測試不充分未授權(quán)用戶使用軟件不經(jīng)控制的下載和使用軟件軟件的惡意使用 估算威脅可能性可能性的級(jí)別是要說明一個(gè)脆弱性在相關(guān)環(huán)境下被威脅所利用的可能性大小等級(jí)。分多少級(jí)別并不重要���,重要的是級(jí)別的定義必須表示出相對的等級(jí)�。例如:可能性級(jí)別可能性描述等級(jí)賦值高威脅源具有強(qiáng)烈的動(dòng)機(jī)和足夠的能力�����;脆弱性被廣為所知且攻擊容易自動(dòng)化或者遠(yuǎn)程進(jìn)行���;防止脆弱性被利用的防護(hù)措施是無效的�����。3 中威脅源具有一定的動(dòng)機(jī)和能力��;脆弱性被廣為所知��,但是攻擊不容易自動(dòng)化或者遠(yuǎn)程進(jìn)行��;已經(jīng)部署的安全防護(hù)措施可以阻止對脆弱性的成功利用�����。2低威脅源缺乏動(dòng)機(jī)和能力�;脆弱性尚未公布�����,攻擊不容易自動(dòng)化
28�����、或者遠(yuǎn)程進(jìn)行���;已經(jīng)部署的安全防護(hù)措施可以阻止對脆弱性的成功利用�。1 估算威脅的影響級(jí)別影響級(jí)別是威脅一次成功地利用脆弱性后對組織造成的不期望的后果或損失的相對等級(jí)。等級(jí)的定義方式和可能性等級(jí)定義方式類似���。例如:影響級(jí)別影響定義影響賦值高可能導(dǎo)致有形資產(chǎn)或資源的高成本損失��;可能嚴(yán)重違犯���、危害或阻礙單位的使命、聲譽(yù)或利益可能導(dǎo)致人員死亡或嚴(yán)重傷害3中可能導(dǎo)致有形資產(chǎn)或資源的損失����;可能違犯、危害或阻礙單位的使命����、聲譽(yù)或利益 可能導(dǎo)致人員傷害2低可能導(dǎo)致某些有形資產(chǎn)或資源的損失;可能對單位的使命����、聲譽(yù)或利益造成值得注意的影響1 風(fēng)險(xiǎn)處置risk avoidance 風(fēng)險(xiǎn)回避 決定不卷入風(fēng)險(xiǎn)處境或從風(fēng)險(xiǎn)
29、處境中撤出risk reduction 風(fēng)險(xiǎn)降低 采取行動(dòng)降低風(fēng)險(xiǎn)發(fā)生的可能性或減輕負(fù)面后果���,或同時(shí)降低風(fēng)險(xiǎn)發(fā)生的可能性和減輕負(fù)面后果risk retention 風(fēng)險(xiǎn)保持 接受特定風(fēng)險(xiǎn)帶來的損失或收益��。在信息安全風(fēng)險(xiǎn)范疇內(nèi)�,風(fēng)險(xiǎn)保持只考慮負(fù)面后果(損失)。risk transfer風(fēng)險(xiǎn)轉(zhuǎn)移 與其它組織分擔(dān)風(fēng)險(xiǎn)的損失或收益�。注:在信息安全風(fēng)險(xiǎn)范疇內(nèi),轉(zhuǎn)移 風(fēng)險(xiǎn)只考慮負(fù)面后果(損失)�。 風(fēng)險(xiǎn)矩陣風(fēng)險(xiǎn)級(jí)別范圍風(fēng)險(xiǎn)描述高79要立即采取措施進(jìn)行處理中46要在合理的時(shí)間段內(nèi)進(jìn)行處理低13可以決定是否需要采取措施進(jìn)行處理1 2 31 1 2 32 2 4 63 3 6 9影響可能性 風(fēng)險(xiǎn)評估的難點(diǎn)資產(chǎn)識(shí)別的細(xì)致程度資產(chǎn)關(guān)聯(lián)的識(shí)別或評價(jià)威脅的識(shí)別脆弱性的描述風(fēng)險(xiǎn)計(jì)算方法的確定 謝 謝 !
信息安全風(fēng)險(xiǎn)評估(20090219)
