信息安全治理和风险管理教材.pptVIP

评价信息资产 资产评价时应该考虑： 信息资产因为受损而对业务造成的直接损失 信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力 组织公众形象和名誉上的损失，因业务受损导致竞争优势降级而引发的间接损失 其他损失，例如保险费用的增加 定性分析时，我们关心的是资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或成果。 可以根据资产的重要性（影响或后果）来为资产划分等级，例如： 灾难性、较大、中等、较小、可忽略 应该同时考虑保密性、完整性和可用性三方面受损可能引发的后果。 识别并评估威胁 识别每项（类）资产可能面临的威胁。一项资产可能面临多个威胁，一个威胁也可能对不同资产造成影响。 识别威胁的关键在于确认引发威胁的人或物，即威胁源（威胁代理，Threat Agent）。 威胁通常包括（来源）： 人员威胁：故意破坏和无意失误 系统威胁：系统、网络或服务出现的故障 环境威胁：电源故障、污染、液体泄漏、火灾等 自然威胁：洪水、地震、台风、雷电等 评估威胁可能性时要考虑到威胁源的动机和能力因素（内因）。 威胁发生的可能性可以用“高”、“中”、“低”三级来衡量。 识别并评估弱点 针对每一项需要保护的资产，找到到可被威胁利用的弱点，包括： 技术性弱点：系统、程序、设备中存在的漏洞或缺陷 操作性弱点：配置、操作和使用中的缺陷，包括人的不良习惯、操作过程的漏洞 管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足 弱点的识别途径： 审计报告、事件报告、安全检查报告、系统测试和评估报告 专业机构发布的漏洞信息 自动化的漏洞扫描工具和渗透测试 评估弱点时需要考虑其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三级来衡量。 资产、威胁及弱点关系 弱点 威胁 影响的资产 没有逻辑访问控制 蓄意破坏软件 软件，信誉 窃取软件 数据完整性，信誉 没有应急计划 火灾、飓风、地震、水灾、恐怖攻击 设施、硬件、存储介质、数据可用性、软件、信誉 窃取软件 数据完整性，信誉 风险评价之前需要确定两个指标 风险影响： 可以通过资产的价值评估来确定 分级方式根据需要来定，例如： （1，2，3，4，5），即： （可忽略，较小，中等，较大，灾难性） 风险可能性： 可以通过威胁可能性、弱点暴露度的评价来综合得出 需要考虑到现有控制措施的效力（控制措施会影响对威胁及弱点的判断） 分级方式根据需要来定（取决于威胁和弱点的评价标准），例如： （1，2，3，4，5），即： （几乎肯定，很可能，有可能，不太可能，很罕见） 对现有控制措施的考虑 从针对性和实施方式来看，控制措施包括三类： 管理性（Administrative）：对系统开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。 操作性（Operational）：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。 技术性（Technical）：身份识别与认证、逻辑访问控制、日志审计、加密等。 从功能来看，控制措施类型包括： 威慑性（Deterrent） 预防性（Preventive） 检测性（Detective） 纠正性（Corrective） 风险评估矩阵 可能性 影响 可忽略 1 较小 2 中等 3 较大 4 灾难性 5 5，几乎肯定 5（L） 10（M） 15（S） 20（H） 25（H） 4，很可能 4（L） 8（M） 12（S） 16（S） 20（H） 3，有可能 3（L） 6（M） 9（M） 12（S） 15（S） 2，不太可能 2（L） 4（L） 6（M） 8（M） 10（M） 1，很罕见 1（L） 2（L） 3（L） 4（L） 5（L） 等级 取值范围 名称 描述 H 25,20 High，高风险 最高等级的风险，需要立即采取应对措施。不可接受。 S 12,15,16 Significant，严重风险 需要高级管理层注意。不可接受 M 6,8,9,10 Moderate，中等风险 必须规定管理责任。通常需要综合考虑取舍。 L 1,2,3,4,5 Low，低风险 可以通过例行程序来处理。可接受。 定性风险评估举例 风险场景： 一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息，他可能窃取这些信息卖给公司的竞争对手。 确定风险因子： 影响为3（中等） 可能性为4（很可能） 评估风险： 套用风险分析矩阵，该风险被定为S级（严重风险） 应对风险： 根据公司确定的风险接受水平，应该对该风险采取措施予以消减。 可能性 影响 可忽略 1 较小 2 中等 3 较大 4 灾难性 5 5，几乎肯定 5（L） 10（M） 15（S）