信息安全風險評估規范

2015-01-28 10:16:15 大云網　點擊量：評論 (0)

引言隨著政府部門、金融機構、企事業單位、商業組織等對信息系統依賴程度的日益增強，信息安全問題受到普遍關注。運用風險評估去識別安全風險，解決信息安全問題得到了廣泛的認識和應用。信息安全分析評估就是

引言

隨著政府部門、金融機構、企事業單位、商業組織等對信息系統依賴程度的日益增強，信息安全問題受到普遍關注。運用風險評估去識別安全風險，解決信息安全問題得到了廣泛的認識和應用。
信息安全分析評估就是從風險管理角度，運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，為防范和化解信息安全風險，將風險控制在可接受的水平，最大限度地保障信息安全提供科學依據。
信息安全風險評估作為信息安全保障工作的基礎性工作和重要環節，要貫穿于信息系統的規劃、設計、實施、運行維護以及廢棄各個階段，是信息安全等級保護制度建設的重要科學方法之一。
本標準條款中所指的“風險評估”，其含義均為“信息安全風險評估”。

信息安全技術
信息安全風險評估指南

1 范圍
本標準提出了風險評估的基本概念、要素關系、分析原理、實施流程和評估方法，以及風險評估在信息系統生命周期不同階段的實施要點和工作形式。本標準適用于規范組織開展的風險評估工作。
2 規范性引用文件
下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注明日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準。然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。
GB/T 9361 計算站場地安全要求
GB 17859-1999 計算機信息系統安全保護等級劃分準則
GB/T 18336-2001 信息技術安全技術信息技術安全性評估準則（idt ISO/IEC 15408:1999）
GB/T 19716-2005 信息技術信息安全管理實用規則(ISO/IEC 17799:2000,MOD)
3 術語和定義
下列術語和定義適用于本標準。
3.1 資產 asset
對組織具有價值的信息或資源，是安全策略保護的對象。
3.2 資產價值 asset value
資產的重要程度或敏感程度的表征。資產價值是資產的屬性，也是進行資產識別的主要內容。
3.3 可用性 availability
數據或資源的特性，被授權實體按要求能訪問和使用數據或資源。
3.4 業務戰略 business strategy
組織為實現其發展目標而制定的一組規則或要求。
3.5 機密性 confidentiality
數據所具有的特性，即表示數據所達到的未提供或未泄露給非授權的個人、過程或其他實體的程度。
3.6 信息安全風險 information security risk
人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。
3.7 （信息安全）風險評估（information security）risk assessment
依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響。
3.8 信息系統 information system
由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。典型的信息系統由三部分組成：硬件系統（計算機硬件系統和網絡硬件系統）；系統軟件（計算機系統軟件和網絡系統軟件）；應用軟件（包括由其處理、存儲的信息）。
3.9 檢查評估 inspection assessment
由被評估組織的上級主管機關或業務主管機關發起的，依據國家有關法規與標準，對信息系統及其管理進行的具有強制性的檢查活動。
3.10 完整性 integrity
保證信息及信息系統不會被非授權更改或破壞的特性。包括數據完整性和系統完整性。
3.11 組織 organization
由作用不同的個體為實施共同的業務目標而建立的結構。一個單位是一個組織，某個業務部門也可以是一個組織。
3.12 殘余風險 residual risk
采取了安全措施后，信息系統仍然可能存在的風險。
3.13 自評估 self-assessment
由組織自身發起，依據國家有關法規與標準，對信息系統及其管理進行的風險評估活動。
3.14 安全事件 security incident
指系統、服務或網絡的一種可識別狀態的發生，它可能是對信息安全策略的違反或防護措施的失效，或未預知的不安全狀況。
3.15 安全措施 security measure
保護資產、抵御威脅、減少脆弱性、降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規程和機制。

3.16 安全需求 security requirement
為保證組織業務戰略的正常運作而在安全措施方面提出的要求。
3.17 威脅 threat
可能導致對系統或組織危害的不希望事故潛在起因。
3.18 脆弱性 vulnerability
可能被威脅所利用的資產或若干資產的薄弱環節。
4 風險評估框架及流程
4.1 風險要素關系
風險評估中各要素的關系如圖 1 所示：

圖 1 風險評估要素關系圖
圖 1 中方框部分的內容為風險評估的基本要素，橢圓部分的內容是與這些要素相關的屬性。風險評估圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與這些基本要素相關的各類屬性。
圖 1 中的風險要素及屬性之間存在著以下關系：
a）業務戰略的實現對資產具有依賴性，依賴程度越高，要求其風險越小；
b）資產是有價值的，組織的業務戰略對資產的依賴程度越高，資產價值就越大；
c）風險是由威脅引發的，資產面臨的威脅越多則風險越大，并可能演變成為安全事件；
d）資產的脆弱性可能暴露資產的價值，資產具有的弱點越多則風險越大；
e）脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產；
f）風險的存在及對風險的認識導出安全需求；
g）安全需求可通過安全措施得以滿足，需要結合資產價值考慮實施成本；
h）安全措施可抵御威脅，降低風險；
i）殘余風險有些是安全措施不當或無效,需要加強才可控制的風險；而有些則是在綜合考慮了安全成本與效益后不去控制的風險；
j）殘余風險應受到密切監視，它可能會在將來誘發新的安全事件。
4.2 風險分析原理
風險分析原理如圖 2 所示：

風險分析中要涉及資產、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產的屬性是資產價值；威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等；脆弱性的屬性是資產弱點的嚴重程度。風險分析的主要內容為：
a）對資產進行識別，并對資產的價值進行賦值；
b）對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值；
c）對脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值；
d）根據威脅及威脅利用脆弱性的難易程度判斷安全事件發生的可能性；
e）根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件的損失；
f）根據安全事件發生的可能性以及安全事件出現后的損失，計算安全事件一旦發生對組織的影響，即風險值。
4.3 實施流程
風險評估的實施流程如圖 3 所示：

圖 3 風險評估實施流程圖
風險評估實施流程的詳細說明見第5章。
5 風險評估實施
5.1 風險評估準備
5.1.1 概述
風險評估的準備是整個風險評估過程有效性的保證。組織實施風險評估是一種戰略性的考慮，其結果將受到組織業務戰略、業務流程、安全需求、系統規模和結構等方面的影響。因此，在風險評估實施前，應：
a）確定風險評估的目標；
b）確定風險評估的范圍；
c）組建適當的評估管理與實施團隊；
d）進行系統調研；
e）確定評估依據和方法；
f）獲得最高管理者對風險評估工作的支持。
5.1.2 確定目標
根據滿足組織業務持續發展在安全方面的需要、法律法規的規定等內容，識別現有信息系統及管理上的不足，以及可能造成的風險大小。
5.1.3 確定范圍
風險評估范圍可能是組織全部的信息及與信息處理相關的各類資產、管理機構，也可能是某個獨立的信息系統、關鍵業務流程、與客戶知識產權相關的系統或部門等。
5.1.4 組建團隊
風險評估實施團隊，由管理層、相關業務骨干、信息技術等人員組成的風險評估小組。必要時，可組建由評估方、被評估方領導和相關部門負責人參加的風險評估領導小組，聘請相關專業的技術專家和技術骨干組成專家小組。評估實施團隊應做好評估前的表格、文檔、檢測工具等各項準備工作，進行風險評估技術培訓和保密教育，制定風險評估過程管理相關規定。可根據被評估方要求，雙方簽署保密合同，必要時簽署個人保密協議。
5.1.5 系統調研
系統調研是確定被評估對象的過程，風險評估小組應進行充分的系統調研，為風險評估依據和方法的選擇、評估內容的實施奠定基礎。調研內容至少應包括：
a）業務戰略及管理制度
b）主要的業務功能和要求
c）網絡結構與網絡環境，包括內部連接和外部連接；
d）系統邊界；
e）主要的硬件、軟件；
f）數據和信息；
g）系統和數據的敏感性；
h）支持和使用系統的人員；
i）其他。
系統調研可以采取問卷調查、現場面談相結合的方式進行。調查問卷是提供一套關于管理或操作控制的問題表格，供系統技術或管理人員填寫；現場面談則是由評估人員到現場觀察并收集系統在物理、環境和操作方面的信息。
5.1.6 確定依據
根據系統調研結果，確定評估依據和評估方法。評估依據包括（但不限于）：
a）現行國際標準、國家標準、行業標準；
b）行業主管機關的業務系統的要求和制度；
c）系統安全保護等級要求；
d）系統互聯單位的安全要求；
e）系統本身的實時性或性能要求等。
根據評估依據，應考慮評估的目的、范圍、時間、效果、人員素質等因素來選擇具體的風險計算方法，并依據業務實施對系統安全運行的需求，確定相關的判斷依據，使之能夠與組織環境和安全要求相適應。
5.1.7 制定方案
風險評估方案的目的是為了后面的風險評估實施活動提供一個總體計劃，用于指導實施方開展后續工作。風險評估方案的內容一般包括（但不僅限于）：
a）團隊組織：包括評估團隊成員、組織結構、角色、責任等內容；
b）工作計劃：風險評估各階段的工作計劃，包括工作內容、工作形式、工作成果等內容；
c）時間進度安排：項目實施的時間進度安排。
5.1.8 獲得支持
上述所有內容確定后，應形成較為完整的風險評估實施方案，得到組織最高管理者的支持、批準；對管理層和技術人員進行傳達，在組織范圍就風險評估相關內容進行培訓，以明確有關人員在風險評估中的任務。
5.2 資產識別
5.2.1 資產分類
機密性、完整性和可用性是評價資產的三個安全屬性。風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產安全屬性的達成程度產生影響。為此，有必要對組織中的資產進行識別。在一個組織中，資產有多種表現形式；同樣的兩個資產也因屬于不同的信息系統而重要性不同，而且對于提供多種業務的組織，其支持業務持續運行的系統數量可能更多。這時首先需要將信息系統及相關的資產進行恰當的分類，以此為基礎進行下一步的風險評估。在實際工作中，具體的資產分類方法可以根據具體的評估對象和要求，由評估者靈活把握。根據資產的表現形式，可將資產分為數據、軟件、硬件、服務、人員等類型。表 1 列出了一種資產分類方法。