DB44-T 2189.3-2019移动终端信息安全 第3部分：敏感信息风险评估-（高清现行）

ICS35.060M36

DB44广 东 省 地 方 标 准DB44/T2189.3—2019移动终端信息安全Informataionsecurityofmobileterminal—Part3：RiskevaluationforInformataionsecurityofmobileterminal—Part3：Riskevaluationforsensitiveinformation2019090920191201广东省市场监督管理局发布目 次前言 III1范围 1规性用件 1术和义 14概述 1移终敏信风评估型 1感息险素 1感息险析意图 1感息险估施流程 2敏信风要识别 2感息成风要素别 2感息储风要素别 2感息工风要素别 3感息移风要素别 3感息用风要素别 3感息止删的风要识别 4敏信风评实施 4险估准备 4产别 4资分类 5资赋值 5胁别 67.3.1总则 6威识分类 7威赋值 7弱识别 8脆性别类 8脆性值 9有全施确认 98敏信风分析 10险析理 10险析程 10风计方法 10风等赋值 108.3险理 118.4余险估 119敏信风评文档 11参献 12前 言《移动终端信息安全》分为4个部分：——移动终端信息安全第1部分：敏感信息安全检测技术要求；——移动终端信息安全第2部分：敏感信息等级保护与测评；——移动终端信息安全第3部分：敏感信息风险评估；——移动终端信息安全第4部分：敏感信息安全检测方法。本部分为第3部分。本标准按照GB/T1.1-2009给出的规则起草。（GD/TC120）移动终端信息安全第3部分：敏感信息风险评估范围本部分适用于移动通信网的智能手机和平板电脑设备。GB/T20984-2007GB/Z24364-2009DB44/T2189.1-2019 1DB44/T2189.1-2019界定的术语和定义适用于本部分。概述敏感信息安全风险评估是针对移动终端敏感信息基于风险理论和方法在移动终端的运用，分析和安全事件的可能性安全事件的可能性威胁出现的频率风险要素识别威胁识别风险要素识别威胁识别脆弱性识别资产识别安全事件的损失安全事件的风险值敏感信息资产价值脆弱性严重程度图1敏感信息风险分析示意图敏感信息资产价值脆弱性严重程度风险评估实施流程可按GB/T20984-2007第5.6.4章节的规定。在本阶段评估中，敏感信息资产根据以下方面进行分类与识别：敏感信息威胁及脆弱性应根据以下方面进行分类与识别：在本阶段评估中，敏感信息资产根据以下方面进行分类与识别：敏感信息威胁及脆弱性应根据以下方面进行分类与识别：在本阶段评估中，敏感信息资产根据以下方面进行分类与识别：敏感信息威胁及脆弱性应根据以下方面进行分类与识别：在本阶段评估中，敏感信息资产根据以下方面进行分类与识别：USBNFC在本阶段评估中，敏感信息资产根据以下方面进行分类与识别：敏感信息威胁及脆弱性应根据以下方面进行分类与识别：废止与删除阶段风险评估应能够描述敏感信息超过期限后自行废止及授权用户在移动终端上删除废止与删除阶段风险评估应能够描述敏感信息超过期限后自行废止及授权用户在移动终端上删除敏感信息的过程，并根据其结果确定风险评估应达到的目标。在本阶段评估中，敏感信息资产根据以下方面进行分类与识别：敏感信息威胁及脆弱性应根据以下方面进行分类与识别：7敏感信息风险评估实施风险评估准备可按GB/Z24364-2009第6.2.1章节的要求实施。全属性上的达成程度或者其安全属性未达成时所造成的影响程度决定。1表1敏感信息存储阶段资产分类序号分类示例1数据存在移动终端上的各种敏感信息资料2软件在移动终端应用环境下与敏感信息相关的软件3硬件在移动终端应用环境下存储敏感信息的相关硬件4服务涉及到敏感信息的各类服务5人员掌握敏感信息的信息主体及授权用户等；a)机密性赋值根据敏感信息资产在机密性上的不同特征，将其分为三个不同的等级，分别对应敏感信息资产在机密性上的不同等级对信息主体的影响。表2提供了一种机密性赋值的参考。表2a)机密性赋值根据敏感信息资产在机密性上的不同特征，将其分为三个不同的等级，分别对应敏感信息资产在机密性上的不同等级对信息主体的影响。表2提供了一种机密性赋值的参考。表2机密性等级赋值与标识b)完整性赋值表3提供了一种完整性赋值的参考。表3完整性等级赋值与标识赋值标识定义3高包含信息主体的重要秘密，其泄露会造成社会秩序、公共利益严重损害2中包含信息主体的一般性秘密，其泄露会造成个人、其他组织的合法权益受到严重损害或特别严重损害；或造成社会秩序、公共利益的一般损害1低包含仅能在信息主体一定范围内公开的信息，向外扩散造成个人、其他组织的合法权益受到一般损害赋值标识定义3高完整性价值较高，未经授权的修改或破坏会对个人、其他组织造成重大影响，比较难以弥补。表3（续赋值标识定义2中完整性价值中等，未经授权的修改或破坏会对个人、其他组织造成影响，但可以弥补。1低容易弥补。表4提供了一种可用性赋值的参考。表4可用性等级赋值与标识赋值标识定义3高可用性价值较高，合法使用者对移动终端敏感信息的可用度达到每天90%以上.2中可用性价值中等，合法使用者对移动终端敏感信息的可用度在正常工作时间达到70%以上。1低可用性价值较低，合法使用者对移动终端敏感信息的可用度在正常工作时间达到25%以上。表5提供了一种资产重要性等级划分的参考。表5资产重要性等级赋值与标识赋值标识定义3高重要，其安全属性破坏后可能对个人、其他组织造成比较严重的损失2中比较重要，其安全属性破坏后可能对个人、其他组织造成中等程度的损失1低不太重要，其安全属性破坏后可能对个人、其他组织造成较低的损失评估者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产展开风险评估实施步骤。总则针对上表的威胁来源，对威胁来源进行分类，表7提供了敏感信息转移阶段威胁分类表。表7敏感信息转移阶段威胁分类表针对上表的威胁来源，对威胁来源进行分类，表7提供了敏感信息转移阶段威胁分类表。表7敏感信息转移阶段威胁分类表威胁识别分类包括两个步骤：例如，在敏感信息转移阶段，首先应考虑威胁来源列表，表6提供了敏感信息转移阶段威胁来源列表。表6敏感信息转移阶段威胁来源列表序号威胁来源威胁描述1人为因素恶意行为2非恶意行为遵循规章制度和执行正确的操作流程而导致敏感信息在传输过程中被攻击破坏3环境因素物理环境因素自然环境危害导致网络传输环境受到破坏，包括软件、硬件、数据、通讯线路等方面的故障4社会因素等因素导致敏感信息在传输过程中尚未被有效保护序号种类描述威胁子类1硬件故障对敏感信息传输产生影响的设备终端硬件故障、传输链路中断等问题USB接口、无线外围接口等。2软件故障对敏感信息传输产生影响的软件缺陷等问题系统软件故障、应用软件故障、支持软件故障等。3物理环境对敏感信息正常传输过程造成影响的物理环境问题和自然灾害断电、电磁干扰等其他不可控因素。4无作为或操作失误应该执行而没有执行相应的操作，或无意执行了错误的操作误删敏感信息、保存操作失误、没有按照规定要求操作，导致系统死机等。5管理失误安全管理无法落实或不到位制不健全等。6恶意代码在敏感信息传输过程中故意在移动终端上执行恶意任务的程序代码，破坏敏感信息的可用性病毒、木马、陷门、间谍软件、窃听软件等。在敏感信息风险评估过程中，综合考虑以下三个方面，形成在某种评估环境中各种威胁出现的频在敏感信息风险评估过程中，综合考虑以下三个方面，形成在某种评估环境中各种威胁出现的频率：根据敏感信息面临的威胁特征，将威胁频率等级划分为三级，分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高，表8提供了威胁出现频率的一种赋值方法。表8威胁等级赋值与标识脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的弱点，并对脆弱性的严重程度表7（续）序号种类描述威胁子类7越权或滥用通过采取一些措施，超越自己的权限破坏敏感信息的机密性和完整性非正常修改系统配置或数据，滥用权限。8网络攻击通过网络监听、哄骗身份、中间人攻击等手段以获取、访问和使用在网络传输的敏感信息破坏敏感信息的机密性（9物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等。10泄密敏感信息泄露给不应了解的他人敏感信息泄露。11篡改非法修改信息、破坏敏感信息的完整性和可用性，修改配置信息，使传输环境的安全性降低12抵赖不承认收到的敏感信息和所作的操作和交易13审计记录不完备敏感信息传输阶段的审计记录缺陷破坏敏感信息传输的合法性审计功能关闭等赋值标识定义3高威胁出现的频率较高，在大多数情况下很有可能会发生或者可以证实多次发生过2中威胁出现的频率中等，在某种情况下可能会发生或被证实曾经发生过1低威胁出现的频率较小，一般不太可能发生，也没有被证实发生过7.4.2脆弱性赋值资产脆弱性赋值包括组织的技术脆弱性和管理脆弱性，根据对资产损害程度、技术实现的难易程度、弱点出现的频率等特征，采用等级方式对已识别的敏感信息脆弱性的严重程度进行赋值。7.4.2脆弱性赋值资产脆弱性赋值包括组织的技术脆弱性和管理脆弱性，根据对资产损害程度、技术实现的难易程度、弱点出现的频率等特征，采用等级方式对已识别的敏感信息脆弱性的严重程度进行赋值。脆弱性严重程度的等级划分为四级，分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。表10提供了脆弱性严重程度的一种赋值方法。表10脆弱性等级赋值与标识7.5已有安全措施的确认对于有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于不9表9脆弱性识别与分类序号类型识别对象识别内容1技术脆弱性鉴别机制、密码保护等。2事件审计机制、审计存储、系统管理等。3访问环境制策略、网络接入安全配置等。4访问操作敏感信息的读、更新、删除、删除恢复等。5敏感信息内容数据挖掘、演绎推理、诱导推理、语义关联等。6管理脆弱性技术管理连续性等。7组织管理等级标识定义3高如果被威胁利用，将对资产造成重大损害2中如果被威胁利用，将对资产造成一般损害1低如果被威胁利用，将对资产造成较小损害适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。（a）风险值=R（A，T，V）=R（L（T，V），F（A，T）） （a）F根据威胁出现频率及脆弱性状况，综合攻击者技术能力、脆弱性被利用的难易程度以及资产吸引力等因素计算威胁利用脆弱性导致安全事件发生的可能性，见式（b）。安全件生可=L（威出频，弱）=L（T，V） （b）根据资产重要程度及脆弱性严重程度，计算安全事件一旦发生后的损失，见式（c）。安全件影=F（资重要度脆性重度）=F（A，T） ·.（c）根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，见式（d）。风险全件的可全件失（d）风险值的计算方法应按GB/T20984-2007附录A的要求实施。风险等级划分表如表11所示。表11风险等级赋值与标识等级标识描述3高发生后造成社会秩序、公共利益严重损害。2中发生后造成个人、其他组织的合法权益受到严重损害或特别严重损害；或造成社会秩序、公共利益的一般损害。1低发生后造成个人、其他组织的合法权益受到一般损害。措施，接受敏感信息残留的风险。8.4残余风险评估措施，接受敏感信息残留的风险。8.4残余风险评估残余风险评估应按GB/T20984-2007第5.6.4章节的要求实施。9敏感信息风险评估文档风险评估过程的输出文档及其内容应按GB/Z24364-2009第6.3章节的要求实施。参考文献ISO/IEC17799-2000InformationsecuritymanagementPart1:CodeofpracticeforinformationsecuritymanagementISO/IECTR13335.1Informationtechnology–GuidelinesforthemanagementofITsecurity–Part1:ConceptsandmodelsofITSecurityGB