欢迎来到天天文库
浏览记录
ID:20496036
大小:2.12 MB
页数:40页
时间:2018-10-13
《风险评估介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、风险评估风险评估的整体理论、流程和评估方法葛小亮gexiaoliang@163.com目录:基本概念实施原则分析原理实施流程评估方法风险评估举例风险评估的基本概念依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。风险评估概念可用性availability数据或资源的特性,被授权实体按要求能访问和使用数据或资
2、源。机密性confidentiality数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。完整性integrity保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。安全的三个属性风险评估的实施原则标准性原则关键业务原则可控性原则最小影响原则信息系统的安全风险评估,应按照GB/T20984-2007中规定的评估流程进行实施,包括各阶段性的评估工作。信息安全风险评估应以被评估组织的关键业务作为评估工作的核心,把涉及这些业务的相关网络与系统,包括基
3、础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。a)服务可控性b)人员与信息可控性c)过程可控性d)工具可控性对于在线业务系统的风险评估,应采用最小影响原则,即首要保障业务系统的稳定运行,而对于需要进行攻击性测试的工作内容,需与用户沟通并进行应急备份,同时选择避开业务的高峰时间进行。风险评估的原理风险分析中要涉及资产、威胁、脆弱性三个基本要素:资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:a)对资产进行识别
4、,并对资产的价值进行赋值;b)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;c)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;d)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;e)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失;f)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。风险评估的框架方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这
5、些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险要素及属性之间存在着以下关系:a)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;b)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;c)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;d)资产的脆弱性可能暴露资产的价值,资产具有的弱点越多则风险越大;e)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资
6、产;f)风险的存在及对风险的认识导出安全需求;g)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;h)安全措施可抵御威胁,降低风险;i)残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;j)残余风险应受到密切监视,它可能会在将来诱发新的安全事件风险评估的要素的关系风险评估的流程风险评估的流程详细说明-评估准备确定目标确定范围组建团队系统调研确定依据确定方案获得支持风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种
7、战略性的考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前,应考虑如下活动:根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。活动风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。风险评估实施团队,由管理层、相关业务骨干、信息技术等人员组成的风险评估小组。必要时,可组建由评估方、被评估方领导
8、和相关部门负责人参加的风险评估领导小组,聘请相关专业的技术专家和技术骨干组成专家小组。评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定。可根据被评估方要求,双方签署保密合同,必要时签署个人保密协议。系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:a)业务战略及管理制
此文档下载收益归作者所有