引言隨著政府部門、金融機構(gòu)、企事業(yè)單位、商業(yè)組織等對信息系統(tǒng)依賴程度的日益增強,信息安全問 題受到普遍關(guān)注。運用風險評估去識別安全風險,解決信息安全問題得到了廣泛的認識和應用。信息安全分析評估就是
|
引言
隨著政府部門、金融機構(gòu)、企事業(yè)單位、商業(yè)組織等對信息系統(tǒng)依賴程度的日益增強,信息安全問 題受到普遍關(guān)注。運用風險評估去識別安全風險,解決信息安全問題得到了廣泛的認識和應用。
信息安全分析評估就是從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威 脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對 策和整改措施,為防范和化解信息安全風險,將風險控制在可接受的水平,最大限度地保障信息安全提 供科學依據(jù)。
信息安全風險評估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié),要貫穿于信息系統(tǒng)的規(guī)劃、設 計、實施、運行維護以及廢棄各個階段,是信息安全等級保護制度建設的重要科學方法之一。
本標準條款中所指的“風險評估”,其含義均為“信息安全風險評估”。
信息安全技術(shù)
信息安全風險評估指南
1 范圍
本標準提出了風險評估的基本概念、要素關(guān)系、分析原理、實施流程和評估方法,以及風險評估在 信息系統(tǒng)生命周期不同階段的實施要點和工作形式。 本標準適用于規(guī)范組織開展的風險評估工作。
2 規(guī)范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注明日期的引用文件,其隨后所 有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準。然而,鼓勵根據(jù)本標準達成協(xié)議的各方 研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標準。
GB/T 9361 計算站場地安全要求
GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則
GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則(idt ISO/IEC 15408:1999)
GB/T 19716-2005 信息技術(shù) 信息安全管理實用規(guī)則(ISO/IEC 17799:2000,MOD)
3 術(shù)語和定義
下列術(shù)語和定義適用于本標準。
3.1 資產(chǎn) asset
對組織具有價值的信息或資源,是安全策略保護的對象。
3.2 資產(chǎn)價值 asset value
資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價值是資產(chǎn)的屬性,也是進行資產(chǎn)識別的主要內(nèi)容。
3.3 可用性 availability
數(shù)據(jù)或資源的特性,被授權(quán)實體按要求能訪問和使用數(shù)據(jù)或資源。
3.4 業(yè)務戰(zhàn)略 business strategy
組織為實現(xiàn)其發(fā)展目標而制定的一組規(guī)則或要求。
3.5 機密性 confidentiality
數(shù)據(jù)所具有的特性,即表示數(shù)據(jù)所達到的未提供或未泄露給非授權(quán)的個人、過程或其他實體的程度。
3.6 信息安全風險 information security risk
人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造 成的影響。
3.7 (信息安全)風險評估 (information security)risk assessment
依據(jù)有關(guān)信息安全技術(shù)與管理標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性 和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可 能性,并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。
3.8 信息系統(tǒng) information system
由計算機及其相關(guān)的和配套的設備、設施(含網(wǎng)絡)構(gòu)成的,按照一定的應用目標和規(guī)則對信息進行 采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。 典型的信息系統(tǒng)由三部分組成:硬件系統(tǒng)(計算機硬件系統(tǒng)和網(wǎng)絡硬件系統(tǒng));系統(tǒng)軟件(計算機 系統(tǒng)軟件和網(wǎng)絡系統(tǒng)軟件);應用軟件(包括由其處理、存儲的信息)。
3.9 檢查評估 inspection assessment
由被評估組織的上級主管機關(guān)或業(yè)務主管機關(guān)發(fā)起的,依據(jù)國家有關(guān)法規(guī)與標準,對信息系統(tǒng)及其 管理進行的具有強制性的檢查活動。
3.10 完整性 integrity
保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完整性和系統(tǒng)完整性。
3.11 組織 organization
由作用不同的個體為實施共同的業(yè)務目標而建立的結(jié)構(gòu)。一個單位是一個組織,某個業(yè)務部門也可 以是一個組織。
3.12 殘余風險 residual risk
采取了安全措施后,信息系統(tǒng)仍然可能存在的風險。
3.13 自評估 self-assessment
由組織自身發(fā)起,依據(jù)國家有關(guān)法規(guī)與標準,對信息系統(tǒng)及其管理進行的風險評估活動。
3.14 安全事件 security incident
指系統(tǒng)、服務或網(wǎng)絡的一種可識別狀態(tài)的發(fā)生,它可能是對信息安全策略的違反或防護措施的失效, 或未預知的不安全狀況。
3.15 安全措施 security measure
保護資產(chǎn)、抵御威脅、減少脆弱性、降低安全事件的影響,以及打擊信息犯罪而實施的各種實踐、 規(guī)程和機制。
3.16 安全需求 security requirement
為保證組織業(yè)務戰(zhàn)略的正常運作而在安全措施方面提出的要求。
3.17 威脅 threat
可能導致對系統(tǒng)或組織危害的不希望事故潛在起因。
3.18 脆弱性 vulnerability
可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。
4 風險評估框架及流程
4.1 風險要素關(guān)系
風險評估中各要素的關(guān)系如圖 1 所示:
圖 1 風險評估要素關(guān)系圖
圖 1 中方框部分的內(nèi)容為風險評估的基本要素,橢圓部分的內(nèi)容是與這些要素相關(guān)的屬 性。風險評估圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估 過程中,需要充分考慮業(yè)務戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風險等與這些基本要 素相關(guān)的各類屬性。
圖 1 中的風險要素及屬性之間存在著以下關(guān)系:
a)業(yè)務戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性,依賴程度越高,要求其風險越小;
b)資產(chǎn)是有價值的,組織的業(yè)務戰(zhàn)略對資產(chǎn)的依賴程度越高,資產(chǎn)價值就越大;
c)風險是由威脅引發(fā)的,資產(chǎn)面臨的威脅越多則風險越大,并可能演變成為安全事件;
d)資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值,資產(chǎn)具有的弱點越多則風險越大;
e)脆弱性是未被滿足的安全需求,威脅利用脆弱性危害資產(chǎn);
f)風險的存在及對風險的認識導出安全需求;
g)安全需求可通過安全措施得以滿足,需要結(jié)合資產(chǎn)價值考慮實施成本;
h)安全措施可抵御威脅,降低風險;
i)殘余風險有些是安全措施不當或無效,需要加強才可控制的風險;而有些則是在綜合考慮了安全 成本與效益后不去控制的風險;
j)殘余風險應受到密切監(jiān)視,它可能會在將來誘發(fā)新的安全事件。
4.2 風險分析原理
風險分析原理如圖 2 所示:
風險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性,資產(chǎn)的屬性是資產(chǎn) 價值;威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等;脆弱性的屬性是資產(chǎn)弱點的嚴重程 度。風險分析的主要內(nèi)容為:
a)對資產(chǎn)進行識別,并對資產(chǎn)的價值進行賦值;
b)對威脅進行識別,描述威脅的屬性,并對威脅出現(xiàn)的頻率賦值;
c)對脆弱性進行識別,并對具體資產(chǎn)的脆弱性的嚴重程度賦值;
d)根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性;
e)根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件的損失;
f)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計算安全事件一旦發(fā)生對組織的影響, 即風險值。
4.3 實施流程
風險評估的實施流程如圖 3 所示:
圖 3 風險評估實施流程圖
風險評估實施流程的詳細說明見第5章。
5 風險評估實施
5.1 風險評估準備
5.1.1 概述
風險評估的準備是整個風險評估過程有效性的保證。組織實施風險評估是一種戰(zhàn)略性的考慮,其結(jié) 果將受到組織業(yè)務戰(zhàn)略、業(yè)務流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此,在風險評估實施 前,應:
a)確定風險評估的目標;
b)確定風險評估的范圍;
c)組建適當?shù)脑u估管理與實施團隊;
d)進行系統(tǒng)調(diào)研;
e)確定評估依據(jù)和方法;
f)獲得最高管理者對風險評估工作的支持。
5.1.2 確定目標
根據(jù)滿足組織業(yè)務持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容,識別現(xiàn)有信息系統(tǒng)及管理 上的不足,以及可能造成的風險大小。
5.1.3 確定范圍
風險評估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機構(gòu),也可能是某個獨 立的信息系統(tǒng)、關(guān)鍵業(yè)務流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。
5.1.4 組建團隊
風險評估實施團隊,由管理層、相關(guān)業(yè)務骨干、信息技術(shù)等人員組成的風險評估小組。必要時,可 組建由評估方、被評估方領(lǐng)導和相關(guān)部門負責人參加的風險評估領(lǐng)導小組,聘請相關(guān)專業(yè)的技術(shù)專家和 技術(shù)骨干組成專家小組。 評估實施團隊應做好評估前的表格、文檔、檢測工具等各項準備工作,進行風險評估技術(shù)培訓和保 密教育,制定風險評估過程管理相關(guān)規(guī)定。可根據(jù)被評估方要求,雙方簽署保密合同,必要時簽署個人 保密協(xié)議。
5.1.5 系統(tǒng)調(diào)研
系統(tǒng)調(diào)研是確定被評估對象的過程,風險評估小組應進行充分的系統(tǒng)調(diào)研,為風險評估依據(jù)和方法 的選擇、評估內(nèi)容的實施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應包括:
a)業(yè)務戰(zhàn)略及管理制度
b)主要的業(yè)務功能和要求
c)網(wǎng)絡結(jié)構(gòu)與網(wǎng)絡環(huán)境,包括內(nèi)部連接和外部連接;
d)系統(tǒng)邊界;
e)主要的硬件、軟件;
f)數(shù)據(jù)和信息;
g)系統(tǒng)和數(shù)據(jù)的敏感性;
h)支持和使用系統(tǒng)的人員;
i)其他。
系統(tǒng)調(diào)研可以采取問卷調(diào)查、現(xiàn)場面談相結(jié)合的方式進行。調(diào)查問卷是提供一套關(guān)于管理或操作控 制的問題表格,供系統(tǒng)技術(shù)或管理人員填寫;現(xiàn)場面談則是由評估人員到現(xiàn)場觀察并收集系統(tǒng)在物理、 環(huán)境和操作方面的信息。
5.1.6 確定依據(jù)
根據(jù)系統(tǒng)調(diào)研結(jié)果,確定評估依據(jù)和評估方法。評估依據(jù)包括(但不限于):
a)現(xiàn)行國際標準、國家標準、行業(yè)標準;
b)行業(yè)主管機關(guān)的業(yè)務系統(tǒng)的要求和制度;
c)系統(tǒng)安全保護等級要求;
d)系統(tǒng)互聯(lián)單位的安全要求;
e)系統(tǒng)本身的實時性或性能要求等。
根據(jù)評估依據(jù),應考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風險計算方 法,并依據(jù)業(yè)務實施對系統(tǒng)安全運行的需求,確定相關(guān)的判斷依據(jù),使之能夠與組織環(huán)境和安全要求相 適應。
5.1.7 制定方案
風險評估方案的目的是為了后面的風險評估實施活動提供一個總體計劃,用于指導實施方開展后續(xù) 工作。風險評估方案的內(nèi)容一般包括(但不僅限于):
a)團隊組織:包括評估團隊成員、組織結(jié)構(gòu)、角色、責任等內(nèi)容;
b)工作計劃:風險評估各階段的工作計劃,包括工作內(nèi)容、工作形式、工作成果等內(nèi)容;
c)時間進度安排:項目實施的時間進度安排。
5.1.8 獲得支持
上述所有內(nèi)容確定后,應形成較為完整的風險評估實施方案,得到組織最高管理者的支持、批準; 對管理層和技術(shù)人員進行傳達,在組織范圍就風險評估相關(guān)內(nèi)容進行培訓,以明確有關(guān)人員在風險評估 中的任務。
5.2 資產(chǎn)識別
5.2.1 資產(chǎn)分類
機密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價 值來衡量,而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決 定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已 采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。為此,有必要對組織中的資產(chǎn)進行識別。 在一個組織中,資產(chǎn)有多種表現(xiàn)形式;同樣的兩個資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同,而 且對于提供多種業(yè)務的組織,其支持業(yè)務持續(xù)運行的系統(tǒng)數(shù)量可能更多。這時首先需要將信息系統(tǒng)及相 關(guān)的資產(chǎn)進行恰當?shù)姆诸悾源藶榛A(chǔ)進行下一步的風險評估。在實際工作中,具體的資產(chǎn)分類方法可 以根據(jù)具體的評估對象和要求,由評估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式,可將資產(chǎn)分為數(shù)據(jù)、軟件、 硬件、服務、人員等類型。表 1 列出了一種資產(chǎn)分類方法。
詳情請下載附件
|
| 附 件:·信息安全風險評估規(guī)范.doc |
責任編輯:葉雨田
免責聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
