信息安全管理 第09讲 风险评估理论-BS7799

第09讲风险评估理论-BS7799第第0909讲讲风险评估理论风险评估理论--BS7799BS7799风险管理风险识别风险评估风险控制1概述•信息安全管理模型•BS7799基本情况•BS7799－1•BS7799－2信息安全管理模型•信息安全管理模型–服务机构的通用蓝图–设计、选择和实施所有后续安全控制的基础，包括信息安全策略、安全教育和培训项目以及控制技术–创建或维护一个安全环境，必须有一个工作安全计划以及一个管理模型来执行和维护这个计划•大多数机构都使用已经建立的安全模型–一些模型属于私有财产，需要支付费用才能使用，如BS7799；–有些模型是免费的，可以从相关国家技术委员会或其它渠道获得，如NIST报告书•安全管理模型标准¾BS7799:-BS7799-1，信息安全管理实施细则(现在称为ISO/IEC17799)-BS7799-2，信息安全管理规范及使用指南¾RFC2196：站点安全手册BS7799概况•BS7799的发展历史¾BS7799-1:1995，BSI(英国标准协会)制定的世界上第一个信息安全管理实施规则；它提供了一套综合的、由信息安全昀佳惯例组成的实施规则，其目的是确定信息系统在大多数情况，所需控制范围的惟一参考基准，适合于大、中、小型企业。¾BS7799-2:1998，BSI制定的世界上第一个信息安全管理体系认证标准；它规定信息安全管理体系要求和信息安全控制要求，它是一个组织的全面或部分信息安全管理体系进行评审认证的标准¾BS7799-1:1999和BS7799-2:1999分别是BS7799-1:1995和BS7799-2:1995的修订版。其中1999版特别强调业务工作所涉及的信息安全责任¾2001年2月ISO将BS7799接受为国际标准ISO/IEC17799¾2002年9月5日，BS7799-2:2002正式发布，引入了国际上通行管理模式：过程方法和PDCA持续改进模式。•应用情况¾ISO/IEC17799(BS7799-1)是目前国际上通行的信息安全管理体系标准。¾BS7799将IT策略和企业发展有效同一；BS7799提供有效管理的建议，用户用以参考并制定自身的安全管理计划。¾已有二十几个国家引用BS7799-2作为国标；BS7799(ISO/IEC17799)也是卖出拷贝昀多的管理标准(超过ISO9001)。¾截止2003年9月，全球通过BS7799认证的组织超过300家。•BS7799基本内容¾BS7799-1：信息安全管理实施细则，提供了一个对众多安全领域的概述（10大管理要项、36个执行目标、127种控制方法）。主要是给开发人员参考文档使用，在他们机构内部的实施和维护信息安全¾BS7799-2：信息安全管理体系规范，说明了怎样实现BS7799-1的内容以及如何建立一个信息安全管理结构（ISMS），可用于认证目的BS7799-1•BS7799-1目的–为信息安全管理提供建议，以供机构内负责创建、实施或维护安全的人员使用–提供一个公共基础，在此基础上制定机构的安全标准和有效安全管理实践，同时保证机构内部操作的机密性。•十大管理要项：–信息安全策略：为信息安全提供管理指导和支持–机构安全基础设施，目标包括：•内部信息安全管理；•保障机构的信息处理设施以及信息资产的安全；•当信息处理的责任外包时，维护信息的安全性–资产分类和控制：对资产进行分类和控制，确保机构资产和信息资产得到适当水平的保护。–人员安全，其目标是：•减少由于人为错误、盗窃、欺诈和设施误用等造成的风险；•确保用户了解信息安全威胁，确保其支持机构的安全策略；•减少安全事故和故障造成的损失，并从事故中吸取教训。–物理和环境安全，其目标包括：•防止对业务场所和信息的非法访问、破坏以及干扰；•防止资产的丢失、破坏、威胁对业务活动的中断；•防止信息或信息处理设施的损坏或失窃。–通信和操作的管理，其目标是•确保信息设施处理的正确、安全操作；•把系统错误的风险降到昀低；•保护软件和信息的完整性；•维护信息处理和通信的完整性和有效性；•加强对网络中信息和支持设施的保护；•防止资产损坏和活动的中断；•在机构间交换信息时，防止信息的丢失、篡改以及误用等情况。–系统访问控制，其目标是：•控制对信息的访问；•防止对信息系统的非授权访问；•确保对网络服务的保护；•防止未授权的计算机访问；•检测未授权的活动；•确保便携式计算机和无线网络的信息安全。–系统开发和维护，其目标是•确保信息安全保护深入到操作系统；•防止应用系统内用户数据的丢失、篡改或误用；•保护信息的机密性、可靠性以及完整性；•确保IT项目及其支持活动以安全的方式运行；•确保应用系统中软件和信息的安全。–业务持续规划：防止重大失误或灾难造成的业务活动和关键业务过程中断。–遵守法律法规，其目标包括：•避免触犯刑法或民法，并且避免同法律法规以及合同规定的义务相抵触，还要避免与安全需求相抵触；•确保与有关机构安全策略及标准的系统相一致；•昀大地发挥系统审计过程的效力，并使它造成的干扰昀小。•10大管理要项、36个执行目标与127种控制方法•安全管理索引（SMI）–要确定一个组织在多大程度上遵循ISO17799，方式之一就是采用安全管理索引调查（SMI）。SMI询问了ISO17799标准所包含的10个领域内的35个问题。–SMI根据ISO17799制定，收集有关机构如何管理安全的信息，并且是信息安全官员可以把他们的实践与其他公司的实践进行比较，从而帮助衡量自己的安全管理实践经验。–SMI使用建议：•熟悉安全管理的10种类型•通过调查比较，衡量所在机构的安全管理实践经验•针对每个种类评价的结果确定自己的强项和弱项•检查报告中关于各类改进的建议•运用SMI的结果去获得改进安全所需的支持•ISO／IEC17799应用现状与发展前景¾美国、德国和日本等许多国家还没有正式采纳ISO／IEC17799作为国家策略，因为某些团体声称这个方法在基本原则上存在问题。包括：-全球信息安全组织还没有认为ISO／IEC17799中确立的实践系则是可行的。-ISO/IEC17799缺少技术标准所必需的测量精确度。-没有证据证明ISO/IEC17799比其他方法更为有效。-ISO/IEC17799的架构不如其他框架完善。-ISO/IEC17799的准备工作十分仓促，采用它可能对企业信息安全控制产生巨大损失。¾ISO／IEC17799是一个有影响的信息安全框架，随着信息技术的发展，电子商务及Internet应用的普及，这个标准目前正逐渐为业界所接受，会得到更广阔的应用。BS7799-2•概况–信息安全管理体系规范，详细说明建立、实施和维护信息安全管理体系的要求，指出实施组织需要通过风险评估来坚定适宜的控制对象，并对自己的需求财务适当的控制。可用于审核和认证目的。–补充了BS7799-1的遗漏内容，提供了如何实施BS7799-1和如何建立ISMS的信息。•PCDA基本情况–又名“戴明”环–基本含义：•P(plan)：计划，确定方针和目标，确定活动计划•D(do)：实施，实现计划中的内容•C(check)：检查，总结执行计划的寄过，注意效果，找出问题•A(action)：处理总结结果，成功的经验加以肯定、推广和标准化；失败的教训加以总结，避免忠县；未解决问题进入下一循环•ISMS中的PCDA–计划阶段•确定信息安全方针：包括组织的目标、目的框架、总的方向的建立和信息安全行动原则等•确定信息安全管理体系的范围：如果范围只涉及组织的某部分，则该部分与其他部分之间的边界是一个关键。•制定风险识别和评估计划：包括奉献识别方法的选择、资产的评估等。•制定风险控制计划：–对于识别的风险应确认风险以下几个方面的内容：处理风险方法；已有的控制措施；建议新添的措施；实施新建议的时间限制。–识别组织可接受风险的水平，不可接受风险应选择：接受、转移和降低到可接受。–实施阶段•保证资源、提供培训、提高安全意识•风险治理：以有效的管理体系为基础–可接受：不处理–不可接受：降低（选择降低方法）或转移（外包、保险）–检查阶段•以下情况适合纠正–为了维护信息安全管理体系文件内部的一致性–如果不改变，会使组织暴露在不可接受的风险之中•检查措施–日常检查–自治程序：监控系统等–从其他处学习：“取经”–内部信息安全管理体系审核（少于一年）–管理评审（至少一年）–趋势分析–改进阶段•不符合项是指–缺少和缺乏有效实施和维护一个或多个信息安全管理体系的要求–在客观证据的基础上，与信息安全方针有冲突•纠正和预防措施–纠正消除不符合项–预防消除潜在不符合项，孤立的事件可能事实上是一个安全弱点–持续的总体过程•信息安全管理控制规范–针对具体的威胁和薄弱点采取适宜的控制措施，包括具体的管理手段和技术方法–以下节选部分控制规范，详细参考BS7799-2:2002文档•BS7799实施的必要性¾越来越多的工业和商业企业开始使用信息系统，为保障信息系统的安全，须采取一系列措施，BS7799则为这些措施的落实提供了一套检查方法；¾可以使用户与企业的业务运行在一个可信任的平台上，增强用户信心；¾企业之间竞争的需要，BS7799认证将成为企业在市场上进行竞争的一道分水岭，尤其在用户在选择涉及安全的服务提供商的时候；¾通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合；¾通过认证能保证和证明组织所有的部门对信息安全的承诺；¾降低信息安全事件对企业的业务影响，节约投资；¾促进企业业务的可持续增长；¾获得国际认可的机构的认证证书，可得到国际上的承认。•BS7799实施模式¾按照标准要求，自我实施建立组织的信息安全管理体系¾自我实施，通过BS7799认证¾通过咨询顾问，建立组织的信息安全管理体系¾通过咨询顾问，并通过BS7799认证•BS7799的缺陷：¾内容涉及广泛，但不是技术手册，所涉及每一部分内容都没有深入。¾部分内容与某些国家法律冲突，比如：关于隐私等。•2.1.风险评估的目标和意义•2.2.基本概念•2.3.评估模型•2.4.评估方法•2.5.评估的一般流程•2.6.风险控制措施的选择•2.7.风险因素计算方法•2.8.风险评估的工具2风险评估模型•信息安全风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安全事件一旦发生所造成的影响。•信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，即信息安全的风险。•信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据。1.风险评估的目标和意义•资产价值（AssetValue）–资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。•威胁（Threat）–可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来刻划。•脆弱性（Vulnerability）–可能被威胁利用对资产造成损害的薄弱环节。•信息安全风险（InformationSecurityRisk）–人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。2.基本概念3.评估模型PDCA模型：Plan：策划、Do：实施、Check：检查、Action：改进•策划建立ISMS：根据组织的整体方针和目标建立安全方针目标目的以及与管理风险和改进信息安全相关的过程和程序以获得结果•实施实施和运行ISMS：实施和运行安全方针控制过程和程序•检查监视和评审ISMS：适用时根据安全方针目标和惯有经验评估和测量过程业绩向管理层报告结果进行评审•改进保持和改进ISMS：根据管理评审结果采取纠正和预防措施以持续改进ISMS•一般现在实际的风险评估中，常用的方法是定量、定性分析方法。4.1定量分析方法:–定量分析方法的思想很明