第八讲信息安全风险评估

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

风险评估第七讲信息安全管理之风险评估信息安全风险评估概述信息安全风险评估策略信息安全风险评估流程信息安全风险评估方法风险评估案例风险评估概述信息安全风险评估概述风险评估概述A风险因子B风险因子危险源结合隐患:内部失控事故外部作用产生了人们不期望的后果超出设定安全界限的状态、行为风险评估概述系统减少:人的不安全行为改变:环境不安全条件减少:物的不安全状态消除:管理缺陷预防减少事故降低事故损失安全风险管理目标风险评估概述企业风险管理框架•一个基础•三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会风险评估概述一个基础:公司治理结构建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略,包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观风险评估概述第一道防线:业务单位防线(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险评估概述企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进行测试和更新第一道防线:总结管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会风险评估概述第二道防线:风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:•编制规章制度•对各业务单位的风险进行组合管理•度量风险和评估风险的界限•建立风险信息系统和预警系统、厘定关键风险指标•负责风险信息披露、沟通、协调员工培训和学习的工作•按风险与回报的分析,为各业务单位分配经济资本金风险评估概述“内部审计是一项独立、客观的审查和咨询活动,其目的在于增加企业的价值和改进经营。内审通过系统的方法,评价和改进企业的风险管理、控制和治理流程的效益,帮助企业实现其目标。”美国内部审计师协会第三道防线:内审单位防线第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他企业关心的问题内部审计的定义:风险评估概述内部审计的三大功能财务监督•财务帐的可用性•内部管理和制度的执行•典型例子:检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况经营诊断•管理审计以及效率和效益审计•检查和诊断经营和管理过程中的偏差和失误•典型例子:企业对某业务单位或某部门执行效益审计(一个输入与产出的关系)风险评估概述咨询顾问•企业风险管理和发展策略方面的咨询•调查领导关心的热点问题和管理薄弱环节•典型例子:兼并收购时调查被投资公司的内部管理和流程操作,了解薄弱环节或其他影响并购交易的重大事项,从而确定管理方法和并购策略风险评估概述风险管理过程风险管理是对项目风险进行识别、分析、和应对的系统的过程。规划风险管理识别风险实施定性风险分析实施定量风险分析监控风险规划风险应对计划过程监控过程风险评估概述1、规划风险管理流程项目范围说明书成本管理计划进度管理计划沟通管理计划事业环境因素风险态度风险承受度既定的风险管理方法规划会议、分析风险管理计划依据工具、技术结果风险评估概述2、识别风险流程依据工具、技术结果项目范围说明书事业环境因素组织过程资产风险管理计划集成管理计划框架分析法头脑风暴法要素分析法情景分析法流程分析法潜在风险风险征兆风险来源风险清单风险登记册风险评估概述3、实施定性风险分析流程依据工具、技术结果风险登记册风险数据质量评估概率影响矩阵风险概率和影响评估7、定性分析结果的趋势6、低优先观察清单5、进一步分析的风险4、需近期处理的风险3、风险成因及需关注领域2、按类别分类的风险1、优先级清单风险登记册(更新)组织过程资产风险管理计划项目范围说明书风险分类风险紧迫性评估专家判断风险评估概述4、实施定量风险分析流程依据工具、技术结果风险登记册风险管理计划成本管理计划进度管理计划专家判断定量风险分析和建模数据收集与表现技术*定量风险分析结果中反应的趋势*实现成本和时间目标的概率*项目的概率分析*量化风险优先级清单风险登记册(更新)组织过程资产风险评估概述5、规划风险应对流程依据工具或技术结果风险登记册风险管理计划消极风险或威胁的应对策略积极风险或机会的应对策略应急应对策略专家判断风险登记册(更新)与风险相关的合同决策项目管理计划(更新)项目文件(更新)风险评估概述6、监控风险流程依据工具或技术结果风险登记册储备分析技术绩效测量偏差和趋势分析风险审计风险再评估项目文件(更新)项目管理计划(更新)变更请求组织过程资产风险登记册(更新)项目管理计划工作绩效信息绩效报告状态审查会风险评估概述信息安全风险评估信息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据(国信办[2006]5号文件)。风险评估概述信息安全风险评估信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱点导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。狭义的风险评估包括:评估前准备、资产识别与评估、威胁识别与评估、脆弱点识别与评估、当前安全措施的识别与评估、风险分析以及根据风险评估的结果选取适当的安全措施以降低风险的过程。风险评估概述信息安全风险评估信息安全风险评估的基本思路是在信息安全事件发生之前,通过有效的手段对组织面临的信息安全风险进行识别、分析,并在此基础上选取相应的安全措施,将组织面临的信息安全风险控制在可接受范围内,以此达到保护信息系统安全的目的。风险评估概述信息安全风险评估相关要素信息安全风险评估的对象是信息系统,信息系统的资产、信息系统可能面对的威胁、系统中存在的弱点(脆弱点)、系统中已有的安全措施等是影响信息安全风险的基本要素,它们和安全风险、安全风险对业务的影响以及系统安全需求等构成信息安全风险评估的要素。1.资产2.威胁3.脆弱点4.安全措施5.安全风险6.影响7.需求风险评估概述1.资产根据ISO/IEC13335-1,资产是指任何对组织有价值的东西,资产包括:物理资产、信息/数据、软件、提供产品和服务的能力、人员、无形资产。我国的《信息安全风险评估指南》则认为,资产是指对组织具有价值的信息资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。风险评估要素风险评估概述分类示例数据存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件:操作系统、语言包、工具软件、各种库等应用软件:外部购买的应用软件,外包开发的应用软件等源程序:各种共享源代码、可执行程序、自行或合作开发的各种程序等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列等移动存储设备:磁带、光盘、软盘、U盘、移动硬盘等传输线路:光纤、双绞线等保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等安全保障设备:防火墙、入侵检测系统、身份验证等其他电子设备:打印机、复印机、扫描仪、传真机等服务办公服务:为提高效率而开发的管理信息系统(MIS),它包括各种内部配置管理、文件流转管理等服务网络服务:各种网络设备、设施提供的网络连接服务信息服务:对外依赖该系统开展服务而取得业务收入的服务文档纸质的各种文件、传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理及网络研发人员等其它企业形象,客户关系等风险评估概述风险评估要素2.威胁威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生,该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和服务所处理信息的直接或间接攻击。也可能是偶发事件。根据威胁源的不同,威胁可分为:自然威胁、环境威胁、系统威胁、人员威胁。风险评估概述威胁源常见表现形式自然威胁地震、飓风、火山、洪水、海啸、泥石流、暴风雪、雪崩、雷电、其他环境威胁火灾、战争、重大疫情、恐怖主义、供电故障、供水故障、其他公共设施中断、危险物质泄漏、重大事故(如交通工具碰撞等)、污染、温度或湿度、其他系统威胁网络故障、硬件故障、软件故障、恶意代码、存储介质的老化、其他外部人员网络窃听、拒绝服务攻击、用户身份仿冒、系统入侵、盗窃、物理破坏、信息篡改、泄密、抵赖、其他。内部人员未经授权信息发布、未经授权的信息读写、抵赖、电子攻击(如利用系统漏洞提升权限)、物理破坏(系统或存储介质损坏)、盗窃、越权或滥用、误操作风险评估概述风险评估要素3.脆弱点脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。如操作系统存在漏洞、数据库的访问没有访问控制机制、系统机房任何人都可进入等等。脆弱点是资产本身存在的,如果没有相应的威胁出现,单纯的脆弱点本身不会对资产造成损害。另一方面如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即:威胁总是要利用资产的弱点才可能造成危害。资产的脆弱点具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱点识别中最为困难的部分。需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱点。风险评估概述脆弱点主要表现在从技术和管理两个方面技术脆弱点是指信息系统在设计、实现、运行时在技术方面存在的缺陷或弱点。管理脆弱点则是指组织管理制度、流程等方面存在的缺陷或不足。例如:安装杀毒软件或病毒库未及时升级操作系统或其他应用软件存在拒绝服务攻击漏洞数据完整性保护不够完善数据库访问控制机制不严格都属于技术脆弱点系统机房钥匙管理不严、人员职责不清、未及时注销离职人员对信息系统的访问权限等风险评估概述风险评估要素4.信息安全风险根据ISO/IEC13335-1,信息安全风险是指威胁利用一个或一组资产的脆弱点导致组织受损的潜在性,并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现。资产、威胁、脆弱点是信息安全风险的基本要素,是信息安全风险存在的基本条件,缺一不可。没有资产,威胁就没有攻击或损害的对象;没有威胁,尽管资产很有价值,脆弱点很严重,安全事件也不会发生;系统没有脆弱点,威胁就没有可利用的环节,安全事件也不会发生。风险可以形式化的表示为:R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。风险评估概述风险评估要素5.影响影响是威胁利用资产的脆弱点导致不期望发生事件的后果。这些后果可能表现为:直接形式,如物理介质或设备的破坏、人员的损伤、直接的资金损失等;间接的损失如公司信用、形象受损、、市场分额损失、法律责任等。在信息安全领域,直接的损失往往容易估计

1 / 116
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功