国盟3月上海风险评估研讨会PPT.pdfVIP

国盟信息安全风险评估研讨 张喆，国盟安全研究小组成员 CISA,CISSP,CIA,PMP,ISO27001LA wisezhang@ Mar 20th 2010 情况了解 •多少人参与过信息安全风险评估工作？ •信息安全风险评估中遇到哪些问题？ •信息安全风险评估难点？ •信息安全风险评估重点？ 议程 •相关标准介绍 •风险评估基础内容 •风险评估如何实施-项目案例 相关标准介绍 •ISO/IEC 13335 •NIST-SP800-30 •Microsoft Security Risk Management Guide •ISO 27005 •GB 20984 相关标准介绍 – ISO/IEC 13335 • ISO/IEC 13335 – 被称作“IT 安全管理指南”（Guidelines for the Management of IT Security，GMITS），新版称作“信息和通信技术安全管理”（Management ofInformation and Communications Technology Security，MICTS） – 是一个信息安全管理方面的指导性标准，其目的是为有效实施IT安全管理 提供建议和支持。 – ISO/IEC TR 13335系列标准（旧版）－ GMITS，由5部分标准组成： • ISO/IEC13335-1:1996《IT安全的概念与模型》 • ISO/IEC13335-2:1997《IT安全管理与策划》 • ISO/IEC13335-3:1998《IT安全管理技术》 • ISO/IEC13335-4:2000《防护措施的选择》 • ISO/IEC13335-5:2001《网络安全管理指南》 – 目前，ISO/IEC 13335-1:1996 已经被新的ISO/IEC 13335-1:2004（MICTS 第1 部分：信息和通信技术安全管理的概念和模型）所取代，ISO/IEC 13335-2:1997也 将被正在开发的ISO/IEC 13335-2（MICTS 第2部分：信息安全风险管理）取代。 – ISO/IEC TR 13335 只是一个技术报告和指导性文件，并不是可依据的认证标准。 相关标准介绍 – ISO/IEC 13335 ISO/IEC 13335-3是在ISO/IEC 27001中的推荐方法，也是信息安全风险评 估领域最早的指南之一，其中给出了4种风险评估方法： – 基线方法 – 非正式方法 – 详细风险分析 – 组合方法 相关标准介绍 – ISO/IEC 13335 基线方法Baseline Approach – 对所有系统选择一组防护措施，使系统保护达到基线水平 – 优点：花费最少资源、时间和精力；经济有效 – 缺点：基线水准过高或过低，都会给组织带来麻烦 相关标准介绍– ISO/IEC 13335 • 非正式方法Informal Approach – 对所有系统进行非正规的、注重实效的风险分析。不是以结构法为基 础，而是利用个人的知识和经验。如果在内部没有可用的安全专家，可请 外部顾问进行分析。 – 优点：不需要额外学习新技能；实施较快，适合小组织。 – 缺点： • 没使用结构化方法，遗漏某些风险和关注范围的可能性增加； • 由于这种方法的不正规性，其结果可能受到评审者主观看法和偏见的影 响； • 对所选用的防护措施几乎没有什么正当理由，因此用于防护措施的费用 难以判定； • 随着时间的流逝，没有再评审，可能难以管理与安全相关的变化。 相关标准介绍 – ISO/IEC 13335 • 详细风险分析Detailed Risk Analysis – 包括资产的标识和估价，对这些资产威胁程度和这些资产的脆弱性的 评估。这可能是一个非常耗费资源的过程，因此，需要认真建立边界，也 需要管理上的经常关注。 – 优点：为每个系统的安全要求定义合适的安全级别；其结果有利于变 更管理。 – 缺点：费时、费力，需要专家支持。 相关标准介绍 – ISO/IEC 13335 • 组合方法Combined Approach – 首先识别高风险或对业务运行重要的那些系统。根据这些结果， 将系统分类：为达到合适的保护，确定哪些系统需要详细的风险 分析；哪些系统需要基线保护。 – 优点：花费大量资源前，先分析判断，把资源用在刀刃上。 – 缺点：一旦初始分析不准确，就可能造成更大的麻烦。 相关标准介绍 – ISO/IEC 13335 • 不同阶段评估方法如何