风险评估及等级保护(ppt 50页).ppt

1、风险评估的国际动态,汇报要点,信息安全管理成为信息安全保障的热点 泰德带来的启示 风险评估和等级保护的关系,信息安全管理成为信息安全保障的热点,IT IS $！ 信息就是财富,安全才有价值。 CI: Critical Infrastructure CIP: Critical Infrastructure Protection CII: Critical Information Infrastructure. CIIP: Critical Information Infrastructure Protection 技术提供安全保障功能，但不是安全保障的全部 提高人的安全意识，技术、管理两手抓成为

2、国际共识。,标准化组织和行业团体抓紧制定管理标准,ISO 13335 正在重组修改 正在修订17799 BS 7799-2 成为国际标准正在讨论,NIST 在联邦IT系统认证认可的名义下提出大量规范 SP 800-18 IT系统安全计划开发指南 （1998年12月 ） SP 800-26 IT系统安全自评估指南（2001年11月） SP 800-30 IT系统风险管理指南（2002年1月发布，2004年1月21日 修订 ） SP 800-37 联邦IT系统认证认可指南（2002年9月，2003年7月，2004年5月最后文本） FIPS 199联邦信息和信息系统的安全分类标准（草案第一版）（20

3、03年12月） SP 800-53联邦信息系统安全控制（2003年8月31日发布草案） SP 800-53A联邦信息系统安全控制有效性检验技术和流程（计划2003至2004年出版） SP 800-60 信息和信息类型与安全目标及风险级别对应指南（2004年3月草案2.0版),Managing Enterprise Risk and Achieving More Secure Information Systems involves Categorizing (enterprise information and information systems) Selecting (appropria

4、te security controls) Refining (security controls through a risk assessment) Documenting (security controls in a system security plan) Implementing (security controls in new and legacy systems) Assessing (the effectiveness of security controls) Determining (enterprise-level risk and risk acceptabili

5、ty) Authorizing (information systems for processing) Monitoring (security controls on an ongoing basis),国际信息系统审计与控制协会 (ISACA) 提出： 1. IS Risk Assessment, effective 1 July 2002 2. Digital Signatures, effective 1 July 2002 3. Intrusion Detection, effective 1 August 2003 4. Viruses and other Malicious L

6、ogic, effective 1 August 2003 5. Control Risk Self-assessment, effective 1 August 2003 6. Firewalls, effective 1 August 2003 7. Irregularities and Illegal Acts Effective 1 November 2003 8. Secuurity AssessmentPenetration Testing and Vulnerability Analysis, effective 1 September 2004,提出信息和相关技术的控制目标(C

7、oBIT) CoBIT开发和推广了第三版， CoBIT起源于组织为达到业务目标所需的信息这个前提 CoBIT鼓励以业务流程为中心，实行业务流程负责制 CoBIT还考虑到组织对信用、质量和安全的需要 它提供了组织用于定义其对IT业务要求的几条信息准则：效率、效果、可用性、完整性、保密性、可靠性和一致性。,CoBIT进一步把IT分成4个领域 计划和组织， 获取和运用， 交付和支持， 监控和评价。 共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是： 计划和组织流程9评估风险： 传递和支持流程4确保连贯的服务； 传递和支持流程5保证系统安全。,CoBIT为正在寻求控制实施最佳实践的管

8、理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。,国际CIIP手册(2004),Part II Analysis of Methods and Models for CII Assessment 1 Sector Analysis 2 Interdependency Analysis 3 Risk Analysis 4 Threat Assessment 5 Vulnerability Assessment 6 Impact Assessment 7 System Analysis,2002年版,Tech

9、nical IT-Security Models Risk Analysis Methodology (for IT Systems) Infrastructure Risk Analysis Model (IRAM) Leontief-Based Model of Risk in Complex Interconnected Infrastructures,Sector and Layer Model, Sector Analysis, Process and Technology Analysis, Dimensional Interdependency Analysis.,泰德带来的启示

10、,风险三角形,风险,资产,威胁,脆弱性,泰德眼中的Information Security Governance标准体系（ ISMS）,ISMS StandardsISO/IEC 17799 and BS 7799-2,NON-MANDATORY Statements Risk assessment Audit/reviews,MANDATORY Statements Risk assessment, treatment and management Compliance audit/reviews (SHALL statements) Governance principles,ISMS S

11、pecifications,ISMS StandardsManagement system specs, guidance & auditing,BS 7799 Part 2,Product Standards,Technical implementation and specification standards,Encryption,Authentication,Digital signatures,Key management,Non-repudiation,IT network security,TPP services,Time stamping,Access control,Bio

12、metrics,Cards,Product and product system testing and evaluation,ISO/IEC 15408 Evaluation criteria,Protection profiles,ISMS StandardsBS 7799-2:2002,PDCA Model,Design ISMS,Implement & use ISMS,Monitor & review ISMS,Maintain & improve ISMS,Risk based continual improvement framework for information secu

13、rity management,ISO/IEC 17799新老版本对比,ISMS StandardsRevision of ISO/IEC 17799:2000,新老版本变化,老版本: 包含10个控制要项，36 个控制目标，127 个控制措施 新版本: 11个 39个 134个,风险评估如何贯穿于安全管理BS 7799-2:2002,ISMS,ISMS StandardsBS 7799-2:2002,ISMS,ISMS StandardsBS 7799-2:2002,ISMS,ISMS StandardsBS 7799-2:2002,ISMS,ISMS Assets,ISO/IEC 17799

14、 7.1.1 Inventory of assets,ISMS Risks,Asset threats & vulnerabilities,Asset value & utility,Risks & impacts,风险等级,业务影响 低 (可忽略, 无关紧要,为不足道, 无须重视) 中低(值得注意, 相当可观但不是主要的) 中 (重要, 主要) 中高 (严重危险, 潜在灾难) 高 (破坏性的, 总体失灵,完全停顿),资产分级,资产分级,资产分级,威胁和脆弱性估计,威胁应该考虑它们出现的可能性，以及可能利用弱点/脆弱性可能性。,风险控制,Risk threshold,Risk level,风险

15、控制,Continual Improvement,启示,风险评估是出发点 等级划分是判断点 安全控制是落脚点,风险评估和等级保护的关系,27号文件把实施信息系统安全等级保护作为重要基础性工作。 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。 我们国家为实施等级保护奋斗了20年。,实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平， 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调； 有利于为信息系统安全建设和管理提供系统性、

16、针对性、可行性的指导和服务，有效控制信息安全建设成本； 有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全； 有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理； 有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。,信息安全等级保护制度的基本内容,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级

17、响应、处置。,保护等级的划分,1、第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。 2、第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。,3、第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。 4、第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。,5、第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。