风险评估的国际发展动态(ppt 50页).ppt

风险评估的国际动态,汇报要点,信息安全管理成为信息安全保障的热点泰德带来的启示风险评估和等级保护的关系,信息安全管理成为信息安全保障的热点,ITIS$！信息就是财富,安全才有价值。CI:CriticalInfrastructureCIP:CriticalInfrastructureProtectionCII:CriticalInformationInfrastructure.CIIP:CriticalInformationInfrastructureProtection技术提供安全保障功能，但不是安全保障的全部提高人的安全意识，技术、管理两手抓成为国际共识。,标准化组织和行业团体抓紧制定管理标准,ISO13335正在重组修改正在修订17799BS7799-2成为国际标准正在讨论,NIST在联邦IT系统认证认可的名义下提出大量规范SP800-18IT系统安全计划开发指南（1998年12月）SP800-26IT系统安全自评估指南（2001年11月）SP800-30IT系统风险管理指南（2002年1月发布，2004年1月21日修订）SP800-37联邦IT系统认证认可指南（2002年9月，2003年7月，2004年5月最后文本）FIPS199联邦信息和信息系统的安全分类标准（草案第一版）（2003年12月）SP800-53联邦信息系统安全控制（2003年8月31日发布草案）SP800-53A联邦信息系统安全控制有效性检验技术和流程（计划2003至2004年出版）SP800-60信息和信息类型与安全目标及风险级别对应指南（2004年3月草案2.0版),ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolvesCategorizing(enterpriseinformationandinformationsystems)Selecting(appropriatesecuritycontrols)Refining(securitycontrolsthroughariskassessment)Documenting(securitycontrolsinasystemsecurityplan)Implementing(securitycontrolsinnewandlegacysystems)Assessing(theeffectivenessofsecuritycontrols)Determining(enterprise-levelriskandriskacceptability)Authorizing(informationsystemsforprocessing)Monitoring(securitycontrolsonanongoingbasis),国际信息系统审计与控制协会(ISACA)提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessmentPenetrationTestingandVulnerabilityAnalysis,effective1September2004,提出信息和相关技术的控制目标(CoBIT)CoBIT开发和推广了第三版，CoBIT起源于组织为达到业务目标所需的信息这个前提CoBIT鼓励以业务流程为中心，实行业务流程负责制CoBIT还考虑到组织对信用、质量和安全的需要它提供了组织用于定义其对IT业务要求的几条信息准则：效率、效果、可用性、完整性、保密性、可靠性和一致性。,CoBIT进一步把IT分成4个领域计划和组织，获取和运用，交付和支持，监控和评价。共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是：计划和组织流程9评估风险：传递和支持流程4确保连贯的服务；传递和支持流程5保证系统安全。,CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。,国际CIIP手册(2004),PartIIAnalysisofMethodsandModelsforCIIAssessment1SectorAnalysis2InterdependencyAnalysis3RiskAnalysis4ThreatAssessment5VulnerabilityAssessment6ImpactAssessment7SystemAnalysis,2002年版,TechnicalIT-SecurityModelsRiskAnalysisMethodology(forITSystems)InfrastructureRiskAnalysisModel(IRAM)Leontief-BasedModelofRiskinComplexInterconnectedInfrastructures,SectorandLayerModel,SectorAnalysis,ProcessandTechnologyAnalysis,DimensionalInterdependencyAnalysis.,泰德带来的启示,风险三角形,风险,资产,威胁,脆弱性,泰德眼中的InformationSecurityGovernance标准体系（ISMS）,ISMSStandardsISO/IEC17799andBS7799-2,NON-MANDATORYStatementsRiskassessmentAudit/reviews,MANDATORYStatementsRiskassessment,treatmentandmanagementComplianceaudit/reviews(SHALLstatements)Governanceprinciples,ISMSSpecifications,ISMSStandardsManagementsystemspecs,guidance&auditing,BS7799Part2,ProductStandards,Technicalimplementationandspecificationstandards,Encryption,Authentication,Digitalsignatures,Keymanagement,Non-repudiation,ITnetworksecurity,TPPservices,Timestamping,Accesscontrol,Biometrics,Cards,Productandproductsystemtestingandevaluation,ISO/IEC15408Evaluationcriteria,Protectionprofiles,ISMSStandardsBS7799-2:2002,PDCAModel,DesignISMS,Implement&useISMS,Monitor&reviewISMS,Maintain&improveISMS,Riskbasedcontinualimprovementframeworkforinformationsecuritymanagement,ISO/IEC17799新老版本对比,ISMSStandardsRevisionofISO/IEC17799:2000,新老版本变化,老版本:包含10个控制要项，36个控制目标，127个控制措施新版本:11个39个134个,风险评估如何贯穿于安全管理BS7799-2:2002,ISMS,ISMSStandardsBS7799-2:2002,ISMS,ISMSStandardsBS7799-2:2002,ISMS,ISMSStandardsBS7799-2:2002,ISMS,ISMSAssets,ISO/IEC177997.1.1Inventoryofassets,ISMSRisks,Assetthreats&vulnerabilities,Assetvalue&utility,Risks&impacts,风险等级,业务影响低(可忽略,无关紧要,为不足道,无须重视)中低(值得注意,相当可观但不是主要的)中(重要,主要)中高(严重危险,潜在灾难)高(破坏性的,总体失灵,完全停顿),资产分级,资产分级,资产分级,威胁和脆弱性估计,威胁应该考虑它们出现的可能性，以及可能利用弱点/脆弱性可能性。,风险控制,Riskthreshold,Risklevel,风险控制,ContinualImprovement,启示,风险评估是出发点等级划分是判断点安全控制是落脚点,风险评估和等级保护的关系,27号文件把实施信息系统安全等级保护作为重要基础性工作。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。我们国家为实施等级保护奋斗了20年。,实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。,信息安全等级保护制度的基本内容,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。,保护等级的划分,1、第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。2、第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。,3、第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。4、第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。,5、第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。,实施信息安全等