MHT 0040-2012 民用运输航空公司网络与信息系统风险评估规范

ICS35.020L07MH中华人民共和国民用航空行业标准MH/T0040—2012民用运输航空公司网络与信息系统风险评估规范Specificationforairlinesnetworkandinformationsystemsecurityriskassessment2012-11-29发布2013-03-01实施中国民用航空局发布MH/T0040—2012I目次前言................................................................................II1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14总则..............................................................................15风险评估的实施....................................................................2附录A（资料性附录）调查表..........................................................6附录B（资料性附录）安全技术脆弱性核查表...........................................13附录C（资料性附录）安全管理脆弱性核查表...........................................24附录D（资料性附录）风险评估与处理表...............................................32MHMH/T0040—2012II前言本标准按照GB/T1.1给出的规则起草。本标准由中国民用航空局人事科教司提出。本标准由中国民用航空局航空器适航审定司批准立项。本标准由中国民航科学技术研究院归口。本标准起草单位：中国民用航空华东地区管理局、上海吉祥航空股份有限公司。本标准主要起草人：关英儒、朱青蓝、程伟光、李华。MH/T0040—20121民用运输航空公司网络与信息系统风险评估规范1范围本标准规定了民用运输航空公司网络和信息系统风险评估实施的过程和方法。本标准适用于民用运输航空公司网络与信息系统风险评估的组织、实施、验收等工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其昀新版本（包括所有的修改单）适用于本文件。GB/T20984信息安全技术信息安全风险评估规范3术语和定义GB/T20984中确立的术语和定义适用于本标准。4总则4.1民用运输航空公司信息系统（以下简称信息系统）是民用运输航空公司使用的由计算机、软件及其相关设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。主要包括：——计算机网络系统；——航务类信息系统，即以航班生产保障为核心的航班运行控制系统、飞行员网上准备系统、乘务员网上准备系统、飞行员排班系统、乘务员排班系统、航班信息显示系统、地面保障系统等；——机务类信息系统，即以飞机维修管理的自动化、规范化、信息化和数字化化为核心的机务维修管理系统；——商务类信息系统，即以营销为核心的订座系统、离港系统、电子商务网站、常旅客系统、收益分析系统、货运系统等；——通用管理类信息系统，即以办公自动化为核心的电子政务系统、合同管理系统、财务系统、资产管理系统等。4.2应按照GB/T20984中规定的评估流程进行评估。4.3应以民用运输航空公司信息系统和支撑航空公司关键业务的基础网络和业务网络作为风险评估的重点。4.4应确保风险评估过程中民用运输航空公司信息系统和相关数据的保密性。4.5风险评估过程应包括：——评估准备；——风险要素识别；——风险分析；MHMH/T0040—20122——风险处置。4.6风险评估形式应采用自评估方式和检查评估方式。自评估应由民用运输航空公司自主实施，检查评估应由国家或行业授权的相关机构实施。5风险评估的实施5.1准备阶段5.1.1确定评估范围，包括：——信息系统的业务逻辑边界；——网络及设备载体边界；——物理环境边界；——信息系统组织管理权限和边界。5.1.2组建评估团队，包括：——评估机构成员；——民用运输航空公司信息部门人员；——民用运输航空公司业务部门人员。5.1.3进行系统调研，包括：——信息系统的安全保护等级；——信息系统的业务功能和要求；——信息系统的网络结构与网络环境；——信息系统的物理环境边界；——信息系统的组织管理权限边界；——信息系统的主要的硬件、软件、数据；——信息系统的信息、系统和数据的敏感性；——信息系统的技术支持人员和用户；——信息系统的信息安全管理组织建设和人员配备情况；——信息系统的信息安全管理制度；——信息系统的服务合同。5.1.4确定评估依据，包括：——国家及行业信息安全规章和制度；——国家及行业标准；——民用运输航空公司的信息安全制度；——信息系统的性能指标。5.1.5确定评估工具，评估工具应为通过国家信息安全认证的产品。5.1.6制定评估方案，包括：——风险评估工作框架；——评估团队组织；——评估计划；——风险规避方案；——进度安排；——验收方式。5.1.7评估方案应通过批准。MH/T0040—201235.2识别阶段5.2.1资产识别，包括：a)资产分类。包括：1)硬件；2)软件；3)数据；4)服务；5)人员；6)其他；b)资产调查。确定被评估民用运输航空公司的信息资产和信息系统，信息系统的业务类型，具体业务功能和业务处理流程，安全产品和人员情况，如实填写信息系统调查表、网络调查表、主机调查表、资产调查表、人员调查表、安全产品调查表，参见附录A；c)资产赋值，即参考资产所承载的信息系统的重要性、安全等级，资产对信息安全和系统运行的重要程度，保密性、完整性、可用性等安全属性对信息系统和业务的重要程度确定资产价值；d)资产赋值报告编写，包括：1)关键资产的资产名称、类别和说明；2)关键资产的保密性赋值、完整性赋值、可用性赋值；3)关键资产的价值；4)所承载的信息系统名称；5)资产价值的计算方法。5.2.2威胁识别，包括：a)威胁分类，应按照GB/T20984的威胁分类方法进行分类；b)威胁调查并填写威胁调查表，参见附录A。包括：1)威胁源动机及其能力；2)威胁途径；3)威胁可能性及其影响；c)威胁分析，包括：1)威胁发生的可能性识别；2)威胁影响识别；3)威胁值的计算方法；4)威胁值严重程度计算；d)威胁分析报告编写，包括：1)威胁名称；2)威胁类型；3)威胁源攻击能力；4)攻击动机；5)威胁发生概率；6)影响程度；7)威胁的严重程度；8)威胁严重程度的计算方法；9)威胁说明。5.2.3脆弱性识别，包括：MHMH/T0040—20124a)安全技术脆弱性核查，包括：1)核查物理环境安全并填写物理安全核查表，参见附录B；2)核查网络安全并填写网络安全核查表，网络安全核查表参见附录B；3)核查主机系统安全并填写主机系统安全核查表，参见附录B；4)核查应用系统安全并填写应用系统安全核查表，参见附录B；5)核查数据安全并填写数据安全核查表，参见附录B；b)核查安全管理脆弱性。包括：1)核查安全管理机构填写安全管理机构核查表，参见附录C；2)核查安全管理策略并填写安全管理策略核查表，参见附录C；3)核查安全管理制度并填写安全管理制度核查表，参见附录C；4)核查人员安全管理情况并填写人员安全管理核查表，参见附录C；5)核查系统运维管理情况并填写系统运维管理核查表，参见附录C；c)脆弱性分析报告编写，包括：1)资产的脆弱性；2)脆弱性的特征及其赋值；3)脆弱性严重程度的计算方法；4)已有控制措施的确认；5)脆弱性说明；d)扫描评估，包括：1)采用网络扫描工具，检测网络漏洞；2)采用主机扫描工具，检测主机漏洞；3)采用数据库扫描工具，检测数据库漏洞。5.2.4文档管理，应提交：a)资产赋值报告；b)威胁分析报告；c)脆弱性分析报告；d)问题汇总报告。5.3风险分析阶段5.3.1应依据GB/T20984，建立风险评估模型。5.3.2应依据GB/T20984，选择风险计算方法。5.3.3应对风险情况进行综合分析与评价。5.3.4风险评估报告应包括：a)对建立的风险分析模型进行说明，并阐明采用的风险计算方法及风险评价方法；b)对计算分析出的风险给予详细说明，包括：1)——风险对组织、业务及系统的影响范围、影响程度；2)——依据的法规和证据；3)——风险评价结论。5.4风险处置建议5.4.1安全整改建议MH/T0040—20125应根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素提出整改建议。对于非常严重、应立即降低且加固措施易于实施的安全风险，应立即采取整改措施并制定应急预案。对于非常严重、应立即降低且加固措施不便于实施的安全风险，应立即制定安全整改实施方案，尽快实施安全整改；应在整改前对安全隐患进行监控并制定应急预案。对于比较严重，应降低且加固措施不易于实施的安全风险，应制定限期实施的整改方案，应在整改前对相关安全隐患进行监控。对于其他不可接受的安全风险，应根据资源及组织实际情况，采取适当可行的整改措施。5.4.2评审5.4.2.1应对风险评估报告进行评审。5.4.2.2应提交表1所列的验收评审文档。表1风险评估项目验收文档工作阶段输出文档文档内容《系统调研报告》对被评估系统的调查了解情况，涉及网络结构、系统情况、业务应用等内容。准备阶段《风险评估方案》根据调研情况及评估目的，确定评估的目标、范围、对象、工作计划、主要技术路线、应急预案等。《资产价值分析报告》资产调查情况，分析资产价值，以及重要资产说明。《威胁分析报告》威胁调查情况，明确存在的威胁及其严重程度，以及严重威胁说明。《安全技术脆弱性分析报告》物理、网络、主机、应用、数据等方面的脆弱性说明。《安全管理脆弱性分析报告》安全组织、安全策略、安全制度、人员安全、系统运维等方面的脆弱性说明。识别阶段《已有安全措施分析报告》分析组织或信息系统已部署安全措施的有效性，包括技术和管理两方面的安全管控说明。风险分析《风险评估报告》对资产、威胁、脆弱性等评估数据进行关联计算、分析评价等，应说明风险分析模型、分析计算方法。风险处置《安全整改建议》对评估中发现的安全问题给予有针对性的风险处置建议。5.4.2.3应对评审意见进行记录。5.4.3残余风险处置对已完成安全加固措施的信息系统，进行残余风险评估。应如实填写风险评估与处理表，风险评估与处理表，参见附录D。如果残余风险评估的结果仍处于不可接受的风险控制范围内，应加强相关安全措施。MHMH/T0040—20126AA附录A（资料性附录）调查表表A.1信息系统调查表序号业务系统名称业务描述应用模式开发商运行平台网络地址12345678MH/T0040—20127表A.2网络调查表序号调查项调查内容1网络主要用途□面向公众服务□本单位内□本行业□跨行业2单位接入的网络□互联网□行业系统内部使用的广域网或城域网□内部局域网□无3如有专网，专网名称4是否有涉密网络○是：是否经保密部门审批○是○否○否5是否按国家等级保护要求对系统进行了定级○是：是否已经过有关部门审批○是○否○否6是否存在多个等保定级网络○是：□一级□二级□三级□四级□五级○否