德信诚培训网
信息安全风险评估指南
1、 本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了无锡
新世纪信息科技有限公司的大力支持。
1.1政策法规:
? 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
? 《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)
1.2国际标准:
? ISO/IEC 17799:2005《信息安全管理实施指南》 ? ISO/IEC 27001:2005《信息安全管理体系要求》 ? ISO/IEC TR 13335《信息技术安全管理指南》
1.3国内标准:
? 《信息安全风险评估指南》(国信办综[2006]9号)
? 《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005年4月) ? GB 17859—1999《计算机信息系统安全保护等级划分准则》 ? GB/T 18336 1-3:2001《信息技术安全性评估准则》 ? GB/T 5271.8--2001 《信息技术 词汇 第8部分: 安全》
? GB/T 19715.1—2005 《信息技术安全管理指南 第1部分:信息技术安全概念和模型》 ? GB/T 19716—2005 《信息安全管理实用规则》 1.4其它
? 《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA147070))
2、 风险评估
2.1、风险评估要素关系模型
风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系:
更多免费资料下载请进:http://www.55top.com 好好学习社区
业务战略依赖
德信诚培训网
脆弱性暴露资产具有资产价值利用增加未被满足导出威胁演变增加抵御风险安全需求降低安全事件可能诱发残余风险未控制安全措施
风险评估要素关系模型
图中这些要素之间存在着以下关系:业务战略依赖于资产去完成;资产拥有价值,单位的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大;风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件;威胁都要利用脆弱性,脆弱性越大则风险越大;脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的;安全措施可以抗击威胁,降低风险,减弱安全事件的影响;风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险,—部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。
2.2风险计算模型
风险计算模型是对通过风险分析计算风险值的过程的抽象,它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。风险计算模型如下图所示:
威胁识别威胁出现的频率安全事件发生的可能性脆弱性识别脆弱性的严重程度安全事件的损失资产识别资产价值风险值
风险计算模型示意图
更多免费资料下载请进:http://www.55top.com
好好学习社区
德信诚培训网
风险计算模型中包含:资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、发生的可能性、动机等;脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度。
2.3风险计算的过程如下:
对资产进行识别,并对资产的价值进行赋值;
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值; 对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值; 根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性; 根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;
根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。
3风险评估实施过程
根据风险评估要素关系模型,进行风险评估需要分析评价各要素,按照各要素关系,风险评估的过程主要包括:风险评估的准备,即信息收集与整理、对资产、威胁、脆弱性的分析、已有采取安全措施的确认以及风险评价等环节,风险评估实施过程可用下图表示:
风险评估实施流程(见下页)
以下对风险评估过程中包括的具体步骤进行详细描述: 3.1风险评估的准备
风险评估的准备过程是整个风险评估过程有效的保证和基础。组织实施风险评估是一种战略性的考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。
更多免费资料下载请进:http://www.55top.com
好好学习社区