原则上风险评估需要专业服务机构来进行。此外,在实践中,有许多网络产品和服务的提供者以及网络运营者为加强质量和安全管理,应对网络安全风险和威胁,提升企业信誉,自愿委托专业服务机构开展安全认证、检测和风险评估。还有一些机构、个人根据自己对网络安全风险的评估、监测,向社会发布网络安全信息,为防范网络安全风险发挥了积极作用。与此同时,我们也应当看到,网络安全服务和网络安全信息发布活动也存在一些突出的问题,如有的机构能力不足、服务不规范,有的机构和个人甚至滥用自己的专业技术和掌握的信息,通过各种手段谋取非法利益。
因此,有国家对网络安全认证、检测、风险评估和发布网络安全信息等活动进行必要的规范。考虑到网络安全服务活动种类较多,对其管理目前还缺少成熟的制度,因此,随着国家在网络安全领域的法律法规的进一步完善,则将会在此方面进一步加强。
《关键信息基础设施安全保护条例》第十五条第二项明确规定“组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估”,第十七条规定了运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。而风险评估不是目的,目的是及时通过技术和管理手段进行整改,提升组织的网络安全综合防护能力和水平,在该条例第五章法律责任中明确规定对“未对关键信息基础设施每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的”由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。
今天,我们在下面简单聊一下风险评估,权当一个引子供大家思考,若有此方面的咨询与服务需要,自然也可以和我及我后面的团队做一进步的沟通与交流。
风险评估用于识别、估计和优先考虑因信息系统的操作和使用而对组织运营和资产造成的风险。
风险评估主要是一个商业概念,必须首先考虑组织如何成本与收益,员工和资产如何影响业务的盈利能力,以及哪些风险可能导致组织出现巨额损失。之后,应该考虑如何增强 IT 基础架构,以降低可能导致组织遭受最大财务损失的风险。这里需要考虑一点,成本与收益涉及社会、公民乃至国家的成本与效益,因此对于组织来说需要考虑可能对公共利益和公共秩序带来的损害,来确定风险评估的价值和意义。
基本风险评估仅涉及三个因素:风险资产的重要性、威胁的严重程度以及系统对这种威胁的脆弱程度。使用这些因素,可以评估风险——组织损失金钱的可能性。尽管风险评估是关于逻辑结构而不是数字,但将其表示为一个公式是有用的:
尽管如此,请记住,任何时间为零都是零——例如,如果威胁因素很高,漏洞级别很高,但资产重要性为零(换句话说,它对你来说一文不值),你的风险亏损将为零。
有多种方法可以收集评估风险所需的信息。例如,可以:
访谈管理人员、数据所有者和其他员工、分析系统和基础架构、查看文档记录
1. 找出整个组织中所有可能因威胁而导致金钱损失的有价值资产。
这里仅举几个例子:
• 服务器
• 网站
• 客户联系信息
• 合作伙伴文件
• 商业机密
• 客户信用卡数据
2. 识别潜在后果。确定如果给定资产受损,组织将遭受哪些财务损失。
以下是应该关心的一些后果:
• 数据丢失
• 系统或应用程序停机
• 法律后果
3. 识别威胁及其级别。威胁是任何可能利用漏洞破坏安全并对资产造成损害的事物。
以下是一些常见威胁:
• 自然灾害
• 系统故障
• 意外人为干扰
• 恶意人为行为(干扰、拦截或冒充)
4. 识别漏洞并评估其被利用的可能性。漏洞是允许某些威胁破坏安全并对资产造成损害的弱点。想想什么可以保护系统免受给定威胁 - 如果威胁确实发生,实际损坏资产的可能性有多大?漏洞可能是物理漏洞(例如旧设备)、软件设计或配置问题(例如过多的访问权限或未打补丁的工作站)或人为因素(例如未经培训或粗心的工作人员)。
5. 评估风险。风险是给定威胁将利用环境的脆弱性并对一项或多项资产造成损害,从而导致金钱损失的可能性。根据上述逻辑公式评估风险,并为其分配高、中或低的值。然后为每个高风险和中等风险制定解决方案,并估计其成本。
6.使用收集的数据制定风险管理计划。以下是国外的一些示例条目:
7. 制定IT 基础设施增强战略,以减轻最重要的漏洞并获得管理层的认可。
8. 定义缓解过程。可以改进 IT 安全基础设施,但无法消除所有风险。当灾难发生时,你要修复所发生的事情,调查它发生的原因,并尝试防止它再次发生,或者至少减少后果的危害。例如,这里是一个服务器故障的示例缓解过程:
9. 事件(服务器故障)→ 响应(使用灾难恢复计划或供应商的文档来启动和运行服务器)→ 分析(确定此服务器故障的原因)→ 缓解(如果由于设备质量低劣导致服务器过热故障,请管理人员购买更好的设备;如果他们拒绝,请设置额外的监控,以便可以以可控的方式关注服务器)
恭喜!已完成第一次风险评估。但请记住,风险评估不是一次性事件。IT 环境和威胁形势都在不断变化,因此需要定期执行风险评估。创建风险评估政策,将风险评估方法编入法典,并指定风险评估过程必须重复的频率。
本文只是风险评估的一个小引子,不是风险评估全部,具体风险评估工作与风险评估人员经验、能力以及双方配合息息相关,若只是为了出具报告的风险评估,或者如篇首说的机构能力不足、服务不规范,只能说对得起“风险”,对不起“评估”,整个工作就对不起风险评估了。所以,需要认真对待风险评估工作,这也是关键信息基础设施运营者的法律责任和义务,而且与等级测评工作不能混同,测评代替不了风险评估,同时风险评估也代替不了测评,二者是“与”的关系,并非“或”的关系,都需要依法依规开展。
我们可以从咨询、实施、建设、整改提供体系性的安全服务,我们拥有实力雄厚的安服团队,对常规的安全服务均可以提供最优服务。欢迎私信联系,公众号留言,我在后台收到信息将第一时间回复信息。也期盼与所有安全从业人士共同探讨网络安全政策、技术、管理,让我们为我国网络安全事业尽一份绵薄之力。