CISP 3.2 信息安全风险管理 知识点梳理
一,风险
风险:事态的概率及其结果的组合; 基于风险的思想是所有信息系统安全保障工作的核心思想!
- 风险是客观存在
- 风险管理是指导和控制一个组织相关风险的协调活动,其目的是确保不确定性不会使企业的业务目标发生变化
- 风险的识别,评估和优化
风险管理相关要素及关系3.2.1
1.1风险五要素
风险的构成包括五个方面:起源(威胁源),方式(威胁行为),途径(脆弱性),受体(资产)和后果(影响)
1.2风险各要素之间的关系
二,安全风险管理基本过程3.2.3
来自GB / Z 24364“信息安全风险管理指南”; 4个过程,两个贯穿
2.2风险评估
3.2.1风险评估途径
§基线评估
§详细评估
§组合评估
3.2.2风险评估方式
§自评估与检查评估
§ 自评估为主,自评估和检查评估相互结合,互为补充
§自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持
3.2.3风险评估的常用方法
知识基于分析
基于模型分析
定量分析:数据基于概率计算的方式
定性分析:逐个分析的
定量分析:八度方法(可选择的关键资产弱点威胁评估方法)
基本概念
暴露因子(Exposure Factor,EF):特定威胁对特定资产靠损失的百分比,或者说损失的程度。
单一预期损失(single Loss Expectancy,SLE):也称作SOC(Single Occurrence Costs),即特定可能威胁造成的潜在损失总量
年度预期损失(年度损失预期,ALE):或者称作EAC(估计年度成本),表示特定资产在一年内遭受损失的预期值。
计算步骤
首先,识别资产并为资产赋值
通过威胁状语从句:弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%〜100%之间)
计算特定威胁发生的频率,即ARO
计算公式:定量风险分析的一种方法就是计算年度损失预期值(ALE)计算公式如下:
年度损失预期值(ALE)= SLE X年度发生率(ARO)
单次损失预期值(SLE )=暴露因素(EF)X资产价值(AV)
定量评估计算案例
§ 计算由于人员疏忽或设备老化对一个计算机机房所造成火灾的风险。
§ 假设:
• 组织在3 年前计算机机房资产价值100 万,当年曾经发生过一次火灾导致损失10 万;
• 组织目前计算机机房资产价值为1000 万;
• 经过当地状语从句:消防部门沟通以及组织历史安全事件记录发现,组织所在地及周边在5 年来发生过3 次火灾;
• 该组织额定的财务投资收益比的英文30%
§ 由上述条件可计算风险组织的年度预期损失及罗格列酮,为组织提供一个良好的风险管理财务清单。
据历史数据获得EF:
10万÷100万×100%= 10%
根据EF计算目前组织的SLE
1000万×10%= 100万
根据历史数据中ARO计算ALE
100万×(3÷5)= 60万
此时获得年度预期损失值,组织需根据该损失衡量风险可接受度,如果风险不可接受则需进入一步计算风险的处置成本及安全收益; ROSI
=(实施控制前的ALE) - (年控制成本)
组织定义安全目标,假如组织希望火灾发生后对组织的损失降低70%,则,实施控制后的ALE应为:
60万×(1- 70%)= 18万
年控制成本=(60-18)×30%= 12.6万
则:罗格列酮= 60-18-12.8 = 29.4万
至此,组织通过年投入12.6万获得每年29.4万的安全投资收益。
风险分析:国标20984推导过程。
区分知识点:SSE-CMM风险的调查和量化过程过程类似,但是不相同。
4风险处理的4种方式:
降低,规避,转移,接受四种方式。
5,风险相关文档CISP 6.2.4
准备文档
“风险评估方案”关于阐述风险评估的目标,范围,人员,评估方法,评估结果等形式和实施进度。
“风险评估程序”明确评估目的,职责,过程,相应的文档要求,以及实施本次评估所需要的资产,威胁,脆弱性识别和判断依据。
“资产识别清单”根据组织资产分类方法,明确资产责任人和部门。
过程文档
“资产清单”,“威胁列表”,“脆弱性列表”,“已有安全措施确认列表”
结果文档
“风险计算列表”根据已经制定的风险分级准则,对所有风险计算结果进行等级处理,形成“风险程度等级列表”。
“风险评估报告”汇总各项输出文档:“风险程度等级列表”,综合评价风险状况,形成“风险评估报告”
“风险处置计划”描述评估结果中不可接受的风险,指定风险处理计划,选择适当的控制目标及安全措施,明确责任,进度,资源,并通过对参与风险的评价以确定所选择安全措施有效性的“风险处理计划”
三,ISMS信息安全管理体系
1,背景建立
确认风险管理的对象状语从句:范围,确立实施风险管理的准备,进行相关信息的调查和分析。背景是建立在业务需求的基础上,通过有效的风险评估和国家,地区,行业相关法律法规及标准约束下获得背景依据。
包括风险管理准备,信息系统调查,信息系统分析,信息安全分析4个阶段。
§ 风险管理准备:确定对象,组建团队,制定计划,获得支持
§ 信息系统调查:信息系统的业务目标,技术和管理上的特点
§ 信息系统分析:信息系统的体系结构,关键要素
§ 信息安全分析:分析安全要求,分析安全环境
2,风险评估
风险评估的目的是通过风险评估的结果,来获得信息安全需求,信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。
包括风险评估准备,风险要素识别,风险分析,和风险结果4个阶段。
§ 风险评估准备:制定风险评估方案,选择评估方法
§ 风险要素识别:发现系统存在的威胁,脆弱性和控制措施
§ 风险分析:判断风险发生的可能性和影响的程度
§ 风险查询查询结果判定:综合分析结果判定风险等级
3,风险处置
风险处理是为了将风险始终控制在可接受的范围内。
§ 现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以
§ 处理目标确认:不可接受的风险需要控制到怎样的程度
§ 处理措施选择:选择风险处理方式,确定风险控制措施
§ 处理措施实施:制定具体安全方案,部署控制措施
常见的风险处置方式包括:降低,规避,转移和接受四种。
4,批准监督
5,监控检查
6,沟通咨询
——————
v风险评估准备是整个风险评估过程有效性的保证
组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。
v风险评估准备工作:
- 确定风险评估的目标
- 确定风险评估的范围
- 组建适当的评估管理与实施团队
- 进行系统调研
- 确定评估依据和方法
- 制定风险评估方案
- 获得最高管理者对风险评估工作的支持
v确定风险评估的目标
- 根据满足组织业务持续发展在安全方面的需要、 法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。
v确定风险评估的范围
- 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
残余风险评估:
v实施安全措施后对措施有效性进行再评估
- 在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
- 某些风险可能在选择了适当的安全措施后, 残余风险的结果仍处于不可接受的风险范围内, 应考虑是否接受此风险或进一步增加相应的安全措施