风险评估方法
对于风险评估来说,其三个关键要素是信息资产、弱点/脆弱性以及威胁。每个要素有其各自的属性,信息资产的属性是资产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性。信息安全风险评估的具体工作流程如图1所示。
一、风险评估的准备
风险评估的准备过程是组织进行风险评估的基础,是整个风险评估过程有效性的保证。组织对自身信息及信息系统进行风险评估是一种战略性的考虑,其结果将受组织的商业需求及战略目标、文化、业务流程、安全要求、规模和结构所影响。不同组织对于风险评估过程中的各种子过程可能存在不同的要求,因此在风险评估实施前,组织应:
1.确定风险评估的范围;
2.确定风险评估的目的,为风险评估的实施提供导向;
3.建立适当的组织结构;
4.建立系统性的风险评估方法;
5.获得最高管理者对风险评估策划的批准。
二、风险评估的实施
组织应根据策划的结果,由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估。在考虑已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。
三、风险计算
风险计算的模型如图2所示。
我们以下述函数进行表示:
R= f(A,V,T)=f(Ia,L(Va,T))
其中:R表示风险;A表示资产;V表示脆弱性;T表示威胁; Ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度); Va表示某一资产本身的脆弱性,L表示威胁利用资产的脆弱性造成安全事件发生的可能性。
具体而言分为以下几个步骤:
1.首先对资产的弱点进行排序;
2.针对每一个弱点,确定可能利用此弱点造成安全事件的威胁的类型;
3.给确定的威胁赋值;
4.将威胁值与脆弱点值相乘,得出安全事件发生的可能性;即:
安全事件发生可能性=L(威胁可能性,脆弱点严重性);
5.根据资产的重要程度以及安全事件发生的可能性计算风险值,即:
风险值=R(资产重要程度,安全事件发生的可能性)。
四、风险识别
风险识别包括三个部分:分析风险来源;识别区域风险;风险关联分析。
1.分析风险来源
经过资产、威胁、脆弱性的计算后形成一个风险列表,需要对该列表的风险进行分类,并在分类的基础上进行风险合并。在对风险进行分类合并时,首先需要考虑风险所发生的位置,然后考虑风险的来源。风险的来源可以从威胁、脆弱性和安全管理三个方面进行。
风险发生的位置可以从资产所在的安全域或从信息安全发生的层次进行划分。资产所在的安全域指具有相同安全属性的某一物理区域或逻辑区域,该区域和其他安全区域具有明显的边界;信息安全发生的层次指物理层安全、网络层安全、操作系统层安全、应用层安全、数据层安全。风险的来源从威胁角度进行合并,可以从威胁的来源,发生的途经,影响的大小角度进行划分整理。风险的来源从脆弱性角度进行合并,从大的方面有两类,一类是IT技术类脆弱性,另一类是管理类脆弱性。安全管理类脆弱性可以从设计、开发、验收、运行、维护、人员、业务持续性管理等方面进行分析。
2.识别区域风险
分类合并后的风险需要再次进行人工判断,通过这种判断可以发现被分析的安全域的主要威胁、主要影响和发生的可能性。这种经过判断的风险需要进行单独说明,使最后形成的风险具有更明确的意义。
3.风险关联分析
经过风险识别后的风险是系统中的主要风险,对于复杂系统,还需要考虑多个风险之间的相互关系。这种主要风险之间的潜在相互影响包括:不同安全区域风险的相互影响,不同业务风险之间的影响,不同系统之间风险的影响分析。经过风险关联分析后还需要重新修正风险识别列表。(未完待续)
判定风险结果
确定风险数值的大小不是组织风险评估的最终目的。重要的是明确不同威胁对资产所产生的风险的相对值,即,要确定不同风险的优先次序或等级。对于风险级别高的资产应被优先分配资源进行保护。组织可以采用按照风险数值排序的方法,也可以采用区间划分的方法将风险划分为不同的优先等级,这包括将可接受风险与不可接受风险进行划分,接受与不可接受的界限应当考虑风险控制成本与风险(机会损失成本)的平衡。风险的等级应得到组织管理层的评审并批准。
组织在对风险等级进行划分后,应考虑法律法规(包括客户及相关方)的要求、组织自身的发展要求。根据风险评估的结果确定安全水平,对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。风险处理的方式包括:回避风险、降低风险(降低发生的可能性或减小后果)、转移风险、接受风险。控制措施的选择应兼顾管理与技术,具体地说,针对各类风险应根据组织的实际情况考虑以下十个方面的控制:安全方针、组织安全、资产的分类与控制、人员安全、物理与环境安全、通信与运作管理、访问控制、系统的开发与维护、业务持续性管理、符合性。在风险处理方式及控制措施的选择上,组织应考虑发展战略、企业文化、人员素质,并特别关注成本与风险的平衡,处理安全风险以满足法律法规及相关方的要求。管理性与技术性的措施均可以降低风险,但在控制措施的选择上应遵循上述原则。单纯选择某种控制措施可能会降低成本,但也可能引入新的风险,因此应注意预防性控制措施与检查性控制措施之间的关系。在预防性控制不足以确保风险得到降低的情况下应追加检查性控制措施。通常应该考虑联合各种选择。
对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行,选择的控制措施和已有的控制措施应当考虑降低威胁发生的可能性。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内,应由管理层依据风险接受的原则,考虑是否接受此类风险或增加控制措施。为确保所选择控制措施的充分性,必要时可以进行再评估,通过控制措施实施的有效性,评价残余风险是否可以接受。
记录风险结果
风险评估过程需要形成相关的文件及记录,记录是一种特殊的文件,组织可考虑以下控制:
1.文件发布前得到批准,以确保文件是充分的;
2.必要时对文件进行评审、更新并再次批准;
3.确保文件的更改和现行修订状态得到识别;
4.确保在使用时,可获得有关版本的适用文件;
5.确保文件保持清晰、易于识别;
6. 确保外来文件得到识别;
7.确保文件的分发得到适当的控制;
8.防止作废文件的非预期使用,若因任何目的需保留作废文件时,应对这些文件进行适当的标识。
风险评估的角色及职责
1.风险评估的角色
信息安全风险评估(以下简称风险评估)在具体实施过程中将涉及多个参与方,参与方在评估中扮演不同的角色。在一个完整的信息安全风险评估当中,一般包括主管机关、信息系统拥有者、信息系统承建者、信息安全评估机构以及信息系统的相关机构。
2.风险评估的职责
其各自的职责为:
(1)行政审批
主管机关具有风险评估的行政审批权力,主要负责提出、制定并批准本部门的信息安全风险管理策略,领导和组织本部门内的信息安全评估工作。基于本部门内信息系统的特征以及风险评估的结果,判断信息系统残余风险是否可接受,并确定是否批准信息系统投入运行。检查信息系统运行中产生的安全状态报告;定期或不定期地开展新的信息安全风险评估工作。
(2)组织协调
信息系统拥有者具有风险评估的组织协调权力,将负责制定安全计划,报主管机关审批;组织实施信息系统自评估工作;配合强制性检查评估或委托评估工作,并提供必要的文档等资源;向主管机关提出新一轮风险评估的建议;改善信息安全防护措施,控制信息安全风险。
(3)措施整改
信息系统承建者应根据对信息系统建设方案的风险评估结果修正安全方案,使安全方案成本合理、积极有效,在方案中有效地控制风险;规范建设,减少在建设阶段引入的新风险;确保安全组件产品得到了相关机构的认证。
(4)具体实施
信息安全评估机构提供独立的信息安全风险评估;对信息系统中的安全防护措施进行评估,以判断这些安全防护措施在特定运行环境中的有效性以及实现了这些措施后系统中存在的残余风险;提出调整建议,以减少或根除信息系统中的脆弱性,有效对抗安全威胁,控制风险;保护风险评估中获得的敏感信息,防止被无关人员和单位获得。
(5)辅助支持
信息系统的相关机构为风险评估提供辅助支持,遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求,减少信息安全风险;协助风险评估机构确定评估边界;在风险评估中提供必要的资源和资料。
风险评估形式
根据评估的目的、评估方与被评估方的关系,以及评估方和被评估信息资产的关系、评估的深浅程度等不同的划分原则,国内外现存的风险评估也有多种形式,本指南所指风险评估形式主要以评估的发起方为划分依据。大体可分为自评估和他评估两大类,自评估是由被评估信息系统的拥有者发起的,并依*自身的力量,对其自身的信息系统进行的风险评估活动。他评估则相反,通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的,依据已经颁布的法规或标准进行的,具有强制意味的检查活动,是通过行政手段加强信息安全的重要措施。他评估也是经常提及的检查评估。无论自评估还是他评估,都可以通过委托第三方专业评估机构进行评估的方式来进行,这就是委托评估。
