第8章风险评估剖析.ppt

风险评估 风 险 资 产 安全控制 风险演变而来 潜在 （未发生状态） 显在 （已发生状态） T1 T2 Tn Vn V2 V1 脆弱性 威 胁 Cn C2 C1 I2 I1 In 安全事件 度量风险级别的下一主要步骤便是确定对脆弱性的一次成功攻击所产生的负面影响。在开始分析影响之前，有必要获得以下必要信息： 系统使命（例如IT系统的处理过程） 系统和数据的关键性（系统对机构的价值和重要性） 系统和数据的敏感性 分析影响 对脆弱性的利用： 可能导致某些有形资产或资源的损失 可能对机构的使命、声誉或利益造成值得注意的影响 低 对脆弱性的利用： 可能导致人员死亡或严重伤害 可能违犯、危害或阻碍机构的使命、声誉或利益 可能导致人员伤害 中 对脆弱性的利用： 可能导致有形资产或资源的高成本损失 可能严重违犯、危害或阻碍机构的使命、声誉或利益 可能导致人员死亡或严重伤害 高 影响定义 影响级别 风险评估 风险模型 描述系统特征 资产识别与分类 识别威胁 识别脆弱性 分析安全控制 确定可能性 分析影响 确定风险 对安全控制提出建议 记录评估结果 风 险 资 产 安全控制 风险演变而来 潜在 （未发生状态） 显在 （已发生状态） T1 T2 Tn Vn V2 V1 脆弱性 威 胁 Cn C2 C1 I2 I1 In 安全事件 确定风险 如果一个观察报告被评估为低风险，那么系统的DAA就必须确定是否 还需要采取纠正行动或者是否接受风险。 低 如何一个观察报告被评估为中风险，那么便要求有纠正行动， 必须在一个合理的时间段内制定一个计划来实施这些行动。 中 如果一个观察报告或结论被评估为高风险，那么对纠正措施便有强烈的要求。 一个现有系统可能要继续运行，但是必须尽快部署纠正行动计划。 高 风险描述和必要行动 风险级别 高（100） 中（50） 高 100 * 0.1 = 10 高 100 * 0.5 = 50 高 100 * 1.0 = 100 中 50 * 0.1 = 5 中 50 * 0.5 = 25 中 50 * 1.0 = 50 低（10） 低（10 * 0.1）=1 低（0.1） 低（10 * 0.5）=5 中（0.5） 低（10 * 1.0）=10 高（1.0） 影响（风险级别矩阵） 威胁可能性 风险评估 风险模型 描述系统特征 资产识别与分类 识别威胁 识别脆弱性 分析安全控制 确定可能性 分析影响 确定风险 对安全控制提出建议 记录评估结果 风 险 资 产 安全控制 风险演变而来 潜在 （未发生状态） 显在 （已发生状态） T1 T2 Tn Vn V2 V1 脆弱性 威 胁 Cn C2 C1 I2 I1 In 安全事件 对安全控制提出建议 主要目的：针对机构的运行提出可用来减缓或消除已识别的风险的安全控制。这些控制建议的目标是降低IT系统的风险级别，使其达到一个可接受的水平。在对安全控制以及减缓或消除已识别风险的备选方案提出建议时应考虑如下因素： 所建议的选项的有效性（如系统的兼容性） 法律法规 机构策略 运行影响 安全性和可靠性 输出：减缓风险的控制建议以及备选解决方案 风险评估 风险模型 描述系统特征 资产识别与分类 识别威胁 识别脆弱性 分析安全控制 确定可能性 分析影响 确定风险 对安全控制提出建议 记录评估结果 记录评估结果 一旦风险评估全部结束（威胁源和系统脆弱性已经被识别出来，风险也得到了评估，控制建议也已经提出），该过程的结果应该被记录到官方报告或简报里 风险评估结果是一份管理报告，它可以帮助高级管理人员、使命责任人对策略、流程、预算以及系统的运行和管理变更做出决策。 输出：风险评估报告，他描述了威胁和脆弱性和风险度量，并为安全控制的实现提供了建议。 风险评估结果 本阶段完成后需要提交的文档： 风险评估输出结果 概述 信息资产列表总结 安全弱点评估总结 安全威胁评估总结 现有安全措施列表总结 风险量化和评级总结 风险的处置和接受总结 安全措施建议总结 安全风险评估总结 评估结束后提交：《信息系统风险评估报告书》 运 行 维 护 确 定 保 护 等 级 与 需 求 选 择 安 全 控 制 措 施 管理类 技术类 运行类 实 施 所 选 的 安 全 控 制 措 施 安 全 检 查 安全 认 证 ISMS 主要目的：构建以风险管理为核心的保障体系 管理标准：选择ISO 17799 规定的控制措施 技术标准：选择符合ISO15408 标准的产品 工程标准：选择SSE -CMM规定的过程控制 设计思路：ISSE + IATF 纵深防御思想 设计模型：PDCA { Plan--Do--Check--Action } 体现结果：减少安全事件发生，降