信息安全技术风险管理.ppt

中山大学信息与网络中心 2009年2月,信息安全技术风险管理 information security risk management,什么是风险,风险是一个指定的威胁利用一项资产或多项资产的脆弱性，并由此造成损害或破坏的可能性。,理解风险(1),风险分析 risk analysis 系统地使用信息来识别风险来源和估计风险。 风险评价 risk evaluation 将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。 风险评估 risk assessment 风险分析和风险评价的整个过程。 风险处理 risk treatment 选择并且执行措施来更改风险的过程。 残余风险 residual risk 经过风险处理后遗留的风险。 风险接受 risk acceptance 接受风险的决定。 风险管理 risk management 指导和控制一个组织相关风险的协调活动。,理解风险(2),风险是客观存在的。 风险和不确定性紧密相连，但不能完全等同。 风险强调的是损害的潜在可能性，而不是事实上的损害。 风险不能消除至尽，包括人为因素带来的风险，也一样不能消除至尽。 衡量风险的两个基本要素就是事件的概率和其（产生的）后果。 对信息安全而言，导致风险的事件是威胁利用了资产（或系统）的脆弱点。,风险管理过程,风险管理是指导和控制一个组织相关风险的协调活动。,风险的定量分析,sle(single loss expectancy，单一风险预期损失) aro(annual rate of occurrence，年发生次数) ale(annual loss expectancy，年预期损失)sle * aro rosi(return on security investment，确定安全投资收益) rosi = 实施前的ale 实施控制后的ale 年控制成本,一个组织的网络设备资产价值为100万元，一次意外火灾使其损失了25%，则sle=10025%25万元。按照经验统计，这样的火灾每5年发生一次，则aro=1/5=0.2。ale=25*0.2=5万元。 购买灭火器和火灾告警器可以降低火灾发生概率和损害程度，成本为3万元，寿命3年，则年控制成本3/31万元。 实施后，火灾损害率降为5，发生次数为10年1次，则ale=100*5%*0.1=5000元。 所以，rosi=5-0.5-1=3.5万元。,风险的定性描述,风险的可能性,风险的影响,风险的分析矩阵,e要求立即采取措施 h需要高级管理部门的注意 m必须规定管理责任 l用日常程序处理,定性与定量,目前没有严格的定量分析的计算公式。 定量分析的数字来源往往并不精确。 目前信息安全事件管理的水平还比较低，难以做定量分析。 在积累了足够多的样本后，才能比较精确地估算事件发生的概率和发生后的后果。 在实践中，定量与定性的风险分析方法要综合使用。,风险管理是一个持续改进的过程,信息安全风险管理是一个持续的过程。该过程应该建立范畴，评估风险，并利用风险处置计划来实施建议和决策以处置风险。风险管理分析，是在决定应该做什么和什么时候做之前分析可能发生什么以及可能的后果是什么，以将风险降低到可以接受的级别。,风险评估的基本要素,暴露,增加,未被满足,拥有,利用,演变,依赖,增加,成本,被满足,抗击,增加,导出,可能诱发,未控制,残留,降低,风险评估工具,信息安全风险管理的内容,识别风险 依据风险造成的业务后果和发生的可能性进行风险评估 就风险的后果和可能性进行沟通并达成理解 建立风险处置的优先次序 对降低风险的活动进行排序 在做出风险管理决策时，让利益相关方参与，并及时告知风险管理的状态 有效监视风险处置 监视风险和风险管理过程，并定期评审 收集信息以改进风险管理方法 应该对管理者和员工进行有关风险和减轻风险所应采取行动的培训,风险评估实施流程,信息安全风险管理过程,信息安全风险管理过程可能应用于整个组织，组织的任何部分（如部门、物理区域或某个服务），任何信息系统，现有、计划或特定部分的控制措施（如业务连续性计划）。 信息安全风险管理过程由确定范畴、风险评估、风险处置、风险接受、风险沟通以及风险监视和评审组成。,iso 27005的风险管理模型,建立环境,风险识别,风险处理,风险接受,风险沟通,风险监视和评审,风险评估是否 满足要求？,no,yes,yes,no,风险处置是否 满足要求？,风险估算,风险评价,风险分析,风险评估,isms过程与风险管理活动,iso 27001对风险评估的要求(1),iso 27001对风险评估的要求(2),iso 27001对风险评估的要求(3),iso 27001对风险评估的要求(4),iso 27001对风险评估的要求(6),iso 27001对风险评估的要求(7),iso 27001对风险评估的要求(8),风险评估过程,风险评估准备,得到高层管理部门对评估活动的支持 确定本次风险评估的范围 组建风险评估核心小组 制定详细可行的工作计划表,准备工作（实施指南）,支持isms 符合法律和尽职的证据 准备业务连续性计划 准备事件响应计划 描述某个产品、服务或机制对信息安全的要求,准备工作（基本准则）,进行风险评附和确定风险处置计划 定义和实施方针和程序，包括实施已选择的控制措施 监视控制措施 监视信息安全风险管理过程,准备工作（风险评价准则）,业务信息过程的战略价值 相关信息资产的危急程度 法律法规的要求和合同的义务 运营和业务的可用性、保密性、完整性的重要程度 利益相关方的期望和认知，以及对信誉和名声的负面影响,准备工作（影响准则）,受影响资产的分类级别 信息安全的违背（如保密性、完整性和可用性的丧失） 运行的受损（内部或第三方的） 损失的业务或财务价值 对计划和最后期限的破坏 声誉的损失 对法律法规或合同要求的违背,准备工作（风险接受准则）,风险接受准则可以包括带有风险期望目标级别的多道门槛，但在确定的情形下，提交给高层管理者接受的风险可能超出该级别 风险可接受准则可以用估算收益（或业务收益）与估算风险的比值来描述 对不同类型的风险可以采用不同的风险接受准则，例如，导致对法律法规不符合的风险可能是不可接受的，但可能允许接受导致违背合同要求的高风险 风险接受准则可以包括下一步的补充处置要求，例如，如果认可或承诺在确定的时间内将采取行动以将风险降到可接受级别，则风险可以被接受,准备工作（范围和边界）,在定义范围和边界时，组织应该考虑以下信息： 组织的业务战略目标、策略和方针 业务过程 组织的职能和结构 适用于组织的法律法规和合同义务的要求 组织的信息安全方针 组织风险管理的整体方法 信息资产 组织的位置及其地理特性 影响组织的约束条件 利益相关方的期望 社会文化环境 界面（与环境的数据交换） 另外，组织对任何排除在范围之外的，都应该提供正当的理由。,准备工作（组织架构）,下面是信息安全风险管理过程组织架构的主要角色和职责： 开发适合组织的信息安全风险管理过程 识别和分析利益相关方 定义组织内、外部各方的角色和职责 在组织和相关利益方之间建立必要的联系，如组织高风险管理职能的接口（如运营风险管理），以及与其它项目或活动之间的接口 定义决策升级路径 说明需要保存的记录 组织架构应该得到组织的合适的管理者的批准。,识别资产并评价资产的重要性,资产是指对组织有价值的任何东西。 信息资产主要包括三个部分：信息本身、信息处理设施和信息处理人。 iso/iec 27002:2005给出了一个资产的示例，对信息分类标准应该满足以下两个基本条件： 所有的资产都能找到相对应的类； 任何资产只能有唯一的类相对应，而且必须保证这种对应是无歧义的。,基本资产,业务过程和活动,一旦丧失或降格将导致不能执行组织使命的过程 包括保密处理或专有技术的过程 如果被修改，可能极大影响组织使命的完成 组织满足合同、法律法规要求所需要的过程,信息,组织使命和业务运行的关键信息 个人信息，特别是作为国家法律所定义的个人隐私 完成战略方向所确定目标的所需战略性信息 高成本信息，收集、存储、处理、传输需要很长时间和/或导致很高的采购成本,支持性资产（硬件）,支持性资产（软件）,支持性资产（网络）,支持性资产（人员）,支持性资产（场所）,支持性资产（组织架构）,识别资产,目前对于资产的识别和评估并没有很成熟的方法，在识别时应细致到什么程度也没有统一 的标准。 组织应该按照实践中的经验，摸索出自己的方法。,评价资产,评价资产可以用定量的方法或者定性的方法，一般倾向于用定性的方法。 定性方法的结果是资产的重要度列表。重要度的确定往往来自于资产的安全属性（保密性、完整性和可用性）。,保密性要求,完整性要求,可用性要求,威胁的定义,威胁是指可能导致对系统或组织的损害的不期望事件的潜在原因。,脆弱性的定义,脆弱性一般可分为两类：资产本身的脆弱性和安全控制措施的不足引起的脆弱性。 以下是脆弱性的示例：,估算威胁可能性,可能性的级别是要说明一个脆弱性在相关环境下被威胁所利用的可能性大小等级。 分多少级别并不重要，重要的是级别的定义必须表示出相对的等级。例如：,估算威胁的影响级别,影响级别是威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级。等级的定义方式和可能性等级定义方式类似。例如：,风险处置,risk avoidance 风险回避 决定不卷入风险处境或从风险处境中撤出 risk reduction 风险降低 采取行动降低风险发生的可能性或减轻负面后果，或同时降低风险发生