安全的最終的目的是把安全風險控制在可控范圍內,風險治理也是個老生常談的話題了,本文主要是從相關的制度和規范來學習下信息安全風險治理的流程。
NIST RMF
RMF是NIST於2010年出版的特別出版物800-37rev1。NIST開發的此框架,提供一種靈活、動態的方法有效管理高度多樣化的環境中貫穿系統全生命周期與信息系統相關的安全風險。
RMF風險管理框架分為六個步驟:
1、categorize:系統分類
需要先了解治理對象,涉及整個組織機構。在分類某個系統前應先定義好系統邊界。基於該系統邊界,與該系統相關的所有信息類型都應被識別出來。包括該系統的戰略價值、職責角色、運行環境以及與其相關的其他可能影響到最終安全定級的系統。
2、select:選擇安全控制
依據對目標系統的風險識別和評估,選擇合適的控制舉措,並視情況裁剪和調整,以將風險降低到可接受水平。
3、implement:實施安全舉措
針對控制系統對象實施量身定制的控制策略,並且此策略與安全文檔保持一致。同時將完整性監控規則應用於特定的配置文件,以確保對系統結構的更改具有控制權和可見性。
4、assess:評估安全舉措
評估安全舉措是否正確實施,效果是否滿足安全要求,是否符合安全預期。
5、authorize:信息系統授權
信息系統授權操作基於對風險的判斷,也就是要確定該信息系統操作會給組織運營和個人、資產、其他組織及國家帶來的風險,以及認定該風險是可接受的。
6、monitor:持續監控
持續監視項目能使組織機構在高度動態的操作環境中長期維持信息系統的安全授權,使系統能適應不斷變化的威脅、漏洞、技術和任務/業務過程。
RMF六步驟的實施將風險管理的概念融入了系統生命周期,強調持續監控和自動化工具的使用。
GB/T 20984—2007 信息安全風險評估規范
GB/T指推薦性國家標准,本標准提出了風險評估的基本概念、要素關系、分析原理、實施流程和評估方法,以及風險評估在信息系統的生命周期不同階段的實施要點和工作形式,適用於規范組織開展的風險評估工作,包括如下幾部分:
業務戰略是依托於資產來實現的,資產價值越高依托程度也就越高,相反對風險的容忍度也就越低;風險是由威脅帶來的,威脅越多風險也就越大甚至演變成安全事件;脆弱性是資產的屬性,它是安全措施未被很好滿足的情況下產生的,脆弱性被威脅利用后會給資產帶來安全風險;由於對抗風險的需求存在,會衍生出一系列的安全舉措(基於資產成本考慮ROI),來抵御或預防威脅,然后當安全舉措失效后會產生殘余風險,殘余風險需要被例行監控起來以免造成安全事件;
風險的三要素
風險管理的核心三要素分別是:資產、威脅、脆弱性,威脅利用了資產的脆弱性給資產帶來了安全風險。
從上圖公式可以看出,如果要量化一個風險,或定性評判一個風險的大小,和兩個變量有關:風險發生的可能性、其產生的影響(損失)。
風險發生的可能性不難理解,和威脅出現的頻率、脆弱性的嚴重程度呈正相關;其產生的影響和脆弱性的嚴重程度以及資產價值正相關,如下圖:
由此可以看出和風險治理中需要關注的三個核心要素是資產、威脅、脆弱性。
風險評估流程
(風險評估流程圖)
評估前准備
風險治理可以選擇做為一個項目來執行,和項目初期啟動規划階段類似,在風險治理的初期也需要進行一系列的前期准備工作,包括明確治理目標、明晰治理范圍、涉及的團隊/干系人等了解目前項目現狀,以及組建評估團隊商討治理方案並獲得高層的支持等。
關鍵要素識別
包括核心三要素(資產、脆弱性、威脅)以及現有安全控制措施的識別,前期充分細致的調研摸底是后期工作順利實施的有力保障。
-
資產識別
包括資產范圍,資產類型、歸屬、安全現狀、維護情況以及量級等屬性,除此之外還需要對資產的價值進行評估,以便在此基礎上選擇ROI更高更合適的安全舉措。
在風險評估中的資產價值不是通常意義上的經濟價值,是基於資產安全三要素(保密性、完整性、可用性)的達成程度或及安全三要素未達成時造成的影響程度來決定的。 -
威脅識別
威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素包括人為因素和環境因素,人為因素又包括惡意和非惡意,環境因素又包括地震海嘯等不可抗因素和其他物理因素。威脅作用形式可以分為直接方式和間接方式,偶發或者蓄意等。 -
脆弱性識別
脆弱性是資產的屬性,脆弱性只有被威脅利用后才會帶來風險。脆弱性識別的依據可以是國際或國家政策/標准、行業安全標准/規范、應用流程等安全要求。對應在不同環境中同樣的脆弱點其嚴重程度也是不一樣的,評估時需要結合組織的安全策略來考慮。
大致可以分為技術上和管理上的脆弱點,技術上可以從網絡層、系統層、應用層等層面來識別,管理上從安全策略、流程組織等方面進行識別。 -
已有安全措施確認
對已采取的安全措施的有效性進行review和評估,是否還在正常運轉,效果是否符合預期,會不會帶來新的安全風險等。
安全措施具體細分可以分為預防性和保護性,前者可以降低安全事件發生的可能性,后者可以減少因安全事件發生后帶來的不好影響。
風險評估階段
通過上述階段的調研和摸底,對資產的風險概況會有一個基本的認識,在風險評估階段可以從定性評估和定量評估兩個維度來看。
定性風險評估借分析者的經驗,或者業界的標准和慣例,為風險管理諸要素的大小或高低程度定性分級。定性評估采用文字形式或敘述性的數值范圍描述風險的影響程度和可能性的大小(如高、中、低等)。定性評估結果高度依賴於評估者的經驗和能力,很難客觀地跟蹤風險管理的效果,並不能為安全措施的成本效益分析提供客觀依據,對關鍵資產財務價值評估參考性較低。
定量評估是試圖從數字上對安全風險進行分析評估的一種方法,采用量化的數值描述影響(估計出可能損失的金額)和可能性(概率或頻率),分析的有效性取決於所用的數值精確度和完整性。定量風險評估結果是建立在獨立客觀的程序或量化指標之上的,這樣做的優點是可以為成本效益審核提供精確依據,有利於預算決策。當然定量風險評估也存在方法復雜、計算量大、投入資源大、費時費力的缺點
評估文檔記錄
風險評估文檔是指在整個風險評估過程中產生的評估過程文檔和評估結果文檔。
包括評估方案、評估程序、資產識別清單、重要資產、脆弱性識列表、威脅列表、已有安全措施確認表、風險評估報告、處置計划等。
實施風險管理
按照風險管理計划針對威脅和脆弱性執行安全舉措。
最后,風險評估應該貫穿於系統全生命周期各階段中,其方法過程是一致的,但系統不同生命期階段中實施的對象、內容、和需求不同,因而在實施風險評估時對象、目的、要求也有所不同,各有側重。比如在規划設計階段,通過風險評估確定系統的安全目標;在建設階段,通過風險評估驗證系統的安全目標是否達成;在運行維護階段,需要持續的實施風險評估來識別不斷變化系統中面臨的風險,從而確保安全措施的有效性,保證安全目標的實現。