21.风险评估实施研讨

信息安全风险评估研讨主讲人：张威2张威:CISSP、CISA、;ISO20000LA，ISO27001LA;国家注册信息安全咨询师;国家注册等级保护测评师;上海市信息安全协会专家组成员，现担任上海安言咨询公司技术总监职务，凭借深厚的技术功底、丰富的实践经验以及全面的构架能力，引领公司整体咨询方法论的研发和技术管理工作。曾领导实施包括银行新一代核心系统信息安全发展规划等诸多重大项目，主持上海市经信委工控信息安全风险管理平台的设计研发，参与银行iGRC管理平台、系统可用性监控平台的规划和实施，编制中国民航业信息安全风险评估标准。近年来，关注个人信息保护、云计算、大数据安全、工控安全等热点，开创了完整的数据安全建设方法论和解决方案。讲师介绍：3风险是什么？中国有句古话：“天有不测风云，人有旦夕祸福”风险4遭受损害或损失的可能性；危险Thepossibilityofsufferingharmorloss;danger（金山词霸2005：美国传统词典）是指人们在生产建设和日常生活中遭遇可能导致人身伤亡、财产受损及其它经济损失的自然灾害、意外事故和其它不测事件的可能性。（辞海：上海辞书出版社，1989年）对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。（AS/NZS4360：澳大利亚/新西兰国家标准）事件的可能性及其后果的组合。（ISOGuide73：2002（RiskManagement–Vocabulary–Guidelinesforuseinstandards）是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。（ISO/IECTR13335-1:1996）风险5•以下为《GBT22080（ISO/IEC270012005）信息安全管理系统要求》对信息安全风险评估的要求：•4.2.1c)确定组织的风险评估方法•1）识别适合ISMS、已识别的业务信息安全、法律法规要求的风险评估方法。•2）制定接受风险的准则，识别可接受的风险级别（见5.1f）。•选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。风险管理一般性风险评估方法：定量和定性定性风险分析优点计算方式简单，易于理解和执行不必精确算出资产价值和威胁频率不必精确计算推荐的安全措施的成本流程和报告形式比较有弹性缺点本质上是非常主观的，其结果高度依赖于评估者的经验和能力，较难客观地跟踪风险管理的效果对关键资产财务价值评估参考性较低并不能为安全措施的成本效益分析提供客观依据定量风险分析优点评估结果是建立在独立客观的程序或量化指标之上的可以为成本效益审核提供精确依据，有利于预算决策量化的资产价值和预期损失易理解可利用自动化工具帮助分析缺点输入数据的可靠性和精确性难以保证没有一种标准化的知识库，依赖于提供工具或实施调查的厂商信息计算量大，方法复杂，费时费力定量风险评估：试图从数字上对安全风险及其构成因素进行分析评估的一种方法。定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。各种风险评估操作方法NISTSP800-30和800-66：定性RA方法，其中SP800-66是专为HIPAA客户而设计。基本过程如下：系统分类；弱点识别；威胁识别；对策识别；可能性评估；影响评估；风险评估；新对策推荐；文件报告OCTAVEOperationallyCriticalThreat,AssetandVulnerabilityEvaluation。由CarnegieMellon大学的CERT协调中心（CERT/CC）开发，是一种基于信息资产风险的自主式信息安全风险评估规范，强调以资产为驱动，资产（asset）形成了组织的业务目标和安全相关信息之间的桥梁，并且以保护关键的信息资产为目标。由3个阶段、8个过程构成CRAMMCCTARiskAnalysisandManagementMethod。基本过程：资产识别和评价；威胁和弱点评估；对策选择和建议STASpanningTreeAnalysis。创建一个系统可能面临的所有威胁的树，树枝可以代表诸如网络威胁、物理威胁、组件失效等类别，进行RA时，需要剪除不用的树枝FMEAFailureModesandEffectAnalysis。源自硬件分析，也可用在软件和系统分析上。考察每个部件或模块的潜在失效，并且考察失效影响：Immediatelevel（部件或模块）；Intermediatelevel（流程或包）；Systemwide9基于资产的风险模型安全措施安全需求防范采取提出减少威胁弱点资产资产价值利用导致导致暴露增加具有风险业务战略依赖基于生命周期的风险分析模型风险因素分析模型量化风险分析模型13定量分析基本概念暴露因子（ExposureFactor，EF）——特定威胁对特定资产造成损失的百分比，或者说损失的程度。单一损失期望（SingleLossExpectancy，SLE）——或者称作SOC（SingleOccuranceCosts），即特定威胁单次发生可能造成的潜在损失量。年度发生率（AnnualizedRateofOccurrence，ARO）——即威胁在一年内估计会发生的次数。年度损失期望（AnnualizedLossExpectancy，ALE）——或者称作EAC（EstimatedAnnualCost），表示特定资产在一年内遭受损失的预期值。14定量分析过程识别资产并为资产赋值；评估威胁和弱点，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0％～100％之间）；计算特定威胁发生的次数（频率），即ARO；计算资产的SLE；计算资产的ALE。SLE=AssetValue×EFALE=SLE×ARO15一个定量分析的例子假定某公司投资500,000美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45％。根据消防部门推断，该网络运营中心所在的地区每5年会发生一次火灾，于是我们得出了ARO为0.20的结果。基于以上数据，该公司网络运营中心的ALE将是45,000美元。AssetThreatAssetValueEFSLEAROALE网络运营中心火灾$500,0000.45225,0000.20$45,000Web服务器电源故障$25,0000.25$6,2500.50$3,125Web数据病毒%150,0000.33$50,0002.00$100,000客户数据泄漏$250,0000.75$187,5000.66$123,750风险因素分析法风险因素分析法基于系统的一种分析方法基于系统的分析FMEAFMEA基于资产的风险评估信息安全风险管理信息资产业务依赖信息资产的安全从业务需求出发信息安全直接目标信息安全最终目标风险管理过程在高度依赖IT的现代企业，信息安全管理最终落脚在信息安全风险管理上，这是信息安全建设的核心以信息资产为对象的风险评估以信息资产为对象的风险评估找到我们要保护的各项信息资产评价这些资产的相对价值找到资产的弱点和面临的威胁最终评价信息安全风险的水平基于业务的风险评估以业务流程为对象的风险评估确定评估过程绘制流程图组建团队现有的控制手段找出可能的失效模式计算失效的风险度改进措施？制定预防、改进措施形成流程失效报告NOYES识别业务关键活动OwnerInputOutput评估改进？支撑资源规范人员操作ISMS范围生产管理生产仓库物流技术开发销售/市场以业务流程为对象的风险评估流程的失效模式管理问题操作问题信息资产问题规范缺失规范不健全关键活动职责分离保密性丧失完整性丧失可用性丧失流程信息安全失效业务业务风险评估模型信息资产风险评估业务流程风险评估业务信息安全风险评估业务风险评估示例支撑业务的流程和活动识别流程关键节点评估流程关键节点上的资源及操作风险进行综合评价，确定风险级别地址：上海市长宁路855号亨通国际大厦8楼B座邮编：200050电话：021-62101209传真：021-62101209电邮：service@aryasec.com