2基本流程
gbt20984—2007规定了风险评估的实施流程,根据流程中的各项工作内容,一般将风险评估实施划分为评估准备、风险要素识别、风险分析与风险处置4个阶段。其中,评估准备阶段工作是对评估实施有效性的保证,是评估工作的开始;风险要素识别阶段工作主要是对评估活动中的各类关键要素资产、威胁、脆弱性、安全措施进行识别与赋值;风险分析阶段工作主要是对识别阶段中获得的各类信息进行关联分析,并计算风险值;风险处置建议工作主要针对评估出的风险,提出相应的处置建议,以及按照处置建议实施安全加固后进行残余风险处置等内容。
3风险评估的工作形式
gbt20984—2007明确了风险评估的基本工作形式是自评估与检查评估。
自评估是信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估,可由发起方实施或委托信息安全服务组织支持实施。实施自评估的组织可根据组织自身的实际需求进行评估目标的设立,采用完整或剪裁的评估活动。
检查评估是信息系统上级管理部门或国家有关职能部门依法开展的风险评估,检查评估也可委托信息安全服务组织支持实施。检查评估除可对被检查组织的关键环节或重点内容实施抽样评估外,还可实施完整的风险评估。
信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。
4信息系统生命周期内的风险评估
信息系统生命周期一般包括信息系统的规划、设计、实施、运维和废弃5个阶段,风险评估活动应贯穿于信息系统生命周期的上述各阶段中。
信息系统生命周期各阶段的风险评估由于各阶段的评估对象、安全需求不同,评估的目的一般也不同。规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等;设计阶段风险评估的目的是评估安全设计方案是否满足信息系统安全功能的需求;实施阶段的评估目的是对系统开发、实施过程进行风险识别,对建成后的系统安全功能进行验证;运行维护阶段的评估目的是了解和控制系统运行过程中的安全风险;废弃阶段的评估目的是对废弃资产对组织的影响进行分析。
此外,当信息系统的业务目标和需求或技术和管理环境发生变化时,需要再次进入上述5个阶段的风险评估,使得信息系统的安全适应自身和环境的变化。
743风险评估准备阶段
风险评估准备是整个风险评估过程有效性的保证。由于风险评估受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响,因此,在风险评估实施前,应充分做好评估前的各项准备工作。信息安全风险评估涉及组织内部有关重要信息,被评估组织应慎重选择评估单位、评估人员的资质和资格,并遵从国家或行业相关管理要求。
在准备阶段需要做的工作内容如下:1确定评估目标;2确定评估范围;3组建评估团队;4评估工作启动会议;5系统调研;6确定评估依据和评估方法;7选择相应的评估工具;8制定评估方案
744资产识别阶段
1资产是风险评估的重要对象
资产是对组织具有价值的信息或资源,是安全策略保护的对象。在风险评估工作中,风险的重要因素都以资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身脆弱性,使得安全事件的发生成为可能,从而形成了安全风险。这些安全事件一旦发生,对具体资产甚至整个信息系统都将造成一定影响,从而对组织的利益造成影响。因此,资产是风险评估的重要对象。
不同价值的资产受到同等程度破坏时对组织造成的影响程度不同。资产价值是资产重要程度或敏感程度的表征。识别资产并评估资产价值是风险评估的一项重要内容。
在一个组织中,资产的存在形式多种多样,不同类别资产具有的资产价值、面临的威胁、拥有的脆弱性、可采取的安全措施都不同。对资产进行分类既有助于提高资产识别的效率,又有利于整体的风险评估。
在风险评估实施中,可按照《信息安全技术信息安全风险评估规范》(gbt20984—2007)中资产分类方法,把资产分为硬件、软件、数据、服务、人员以及其他六大类。
2资产识别的一般步骤
为保证风险评估工作的进度要求和质量要求,有时不可能对所有资产做全面分析,应选取其中关键资产进行分析。
资产识别的一般步骤如下:1根据评估目标和范围,确定风险评估对象中包含的信息系统;2识别信息系统处理的业务功能,以及处理业务所需的业务流程,特别应识别出关键业务功能和关键业务流程;3根据业务特点和业务流程识别业务需要处理的数据和提供的服务,特别应识别出关键数据和关键服务;4识别处理数据和提供服务所需的系统单元和系统组件,特别应识别出关键系统单元和关键系统组件。
3资产调查
资产调查是识别组织和信息系统中资产的重要途径。资产调查一方面应识别出有哪些资产,另一方面要识别出每项资产自身的关键属性。
业务是组织存在的必要前提,信息系统承载业务。信息系统的正常运行,保证业务的正常开展,关乎组织的利益。通过资产调查,应确定评估对象中包含哪些信息系统,每个信息系统处理哪些种类业务,每种业务包括哪些具体业务功能,以及相关业务处理的流程。分析并清楚理解各种业务功能和流程,有利于分析系统中的数据流向及其安全保证要求。
在信息系统中,业务处理表现为数据处理和服务提供,数据和服务都是组织的信息资产。在识别各种业务后应进行数据处理和服务的识别,确定各种数据和服务对组织的重要性,以及数据和服务的保密性、完整性、可用性、抗抵赖性等安全属性,从而确定哪些是关键资产。
信息系统依赖于数据和服务等信息资产。信息资产又依赖于支撑和保障信息系统运行的硬件和软件资源,即系统平台,包括物理环境、网络、主机和应用系统等,其基础设施如服务器、交换机、防火墙等被称为系统单元,在系统单元上运行的操作系统、数据库、应用软件等被称为系统组件。在数据和服务等信息资产识别的基础上,根据业务处理流程,可识别出支撑业务系统运行所需的系统平台,并且识别出这些软硬件资源在重要性、保密性、完整性、可用性、抗抵赖性等安全属性。
资产调查的方法包括阅读文档、访谈相关人员、查看相关资产等。一般情况下,可通过查阅信息系统需求说明书、可行性研究报告、设计方案、实施方案、安装手册、用户使用手册、测试报告、运行报告、安全策略文件、安全管理制度文件、操作流程文件、制度落实的记录文件、资产清单、网络拓扑图等,识别组织和信息系统的资产。
如文档记录信息之间存在互相矛盾,或存在不清楚的地方,以及文档记录信息与实际情况有出入,资产识别必须就关键资产和关键问题与被评估组织相关人员进行核实,并选择在组织和信息系统管理中担任不同角色的人员进行访谈,包括主管领导、业务人员、开发人员、实施人员、运维人员、监督管理人员等。通常情况下,经过阅读文档和现场访谈相关人员,基本可清晰识别组织和信息系统资产,对关键资产应进行现场实际查看。
4资产赋值
在资产调查基础上,需分析资产的保密性、完整性和可用性等安全属性的等级,安全属性等级包括:很高、高、中等、低、很低五种级别,某种安全属性级别越高表示资产该安全属性越重要。保密性、完整性、可用性的五个赋值的含义可参考《信息安全技术信息安全风险评估规范》(gbt20984—2007)。
因资产保密性、完整性和可用性等安全属性的量化过程易带有主观性,可以参考如下因素,利用加权等方法综合得出资产保密性、完整性和可用性等安全属性的赋值等级:1资产所承载信息系统的重要性;2资产所承载信息系统的安全等级;3资产对所承载信息安全正常运行的重要程度;4资产保密性、完整性、可用性等安全属性对信息系统,以及相关业务的重要程度。
资产价值应依据资产保密性、完整性和可用性的赋值等级,经综合评定确定。资产价值等级包括:很高、高、中等、低、很低五种等级,每种等级含义可以参考《信息安全技术信息安全风险评估规范》(gbt20984—2007)。
综合评定的方法可根据信息系统所承载的业务对不同安全属性的依赖程度,选择资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级,对其赋值和加权,计算得到资产的最终赋值结果,加权方法可根据组织的业务特点确定。评估小组可根据资产赋值结果,确定关键资产范围,并围绕关键资产进行后续的风险评估工作。
745威胁识别阶段
威胁是指可能导致危害系统或组织的不希望事故的潜在起因。威胁是一个客观存在的,无论对于多么安全的信息系统,它都存在。威胁的存在,组织和信息系统才会存在风险。因此,风险评估工作中需全面、准确地了解组织和信息系统所面临的各种威胁。
1威胁分类
按照《信息安全技术信息安全风险评估规范》(gbt20984—2007)威胁分类方法,可威胁分为软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类。
2威胁调查
威胁是客观存在的,任何一个组织和信息系统都面临威胁。但在不同组织和信息系统中,威胁发生的可能性和造成的影响可能不同。不仅如此,同一个组织或信息系统中不同资产所面临的威胁发生的可能性和造成的影响也可能不同。威胁调查就是要识别组织和信息系统中可能发生并造成影响的威胁,进而分析哪些发生可能性较大、可能造成重大影响的威胁。
威胁调查工作包括:威胁源动机及其能力、威胁途径、威胁可能性及其影响。