一、业务介绍
1、什么是风险评估
风险:特定威胁利用某一资产或一组资产的弱点,从而对组织产生损害的可能性。风险管理:是一个识别、控制、降低或消除安全风险的活动,是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险评估:就是对信息系统进行资产分析,并针对重要的资产进行威胁、弱点的可能性调查,从而估计对业务产生的影响,提供适当的方法来控制风险。
2、风险评估基本概念
信息安全风险评估(information securityrisk assessment):依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
资产asset:资产对组织具有价值的信息或资源,是安全策略保护的对象。
机密性confidentiality:数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。
完整性integrity:保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
可用性availability:数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
3、风险要素关系
(1) 业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;
(2)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;
(3)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;
(4) 资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;
(5) 脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;
(6) 风险的存在及对风险的认识导出安全需求;
(7)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;
(8) 安全措施可抵御威胁,降低风险;
(9)残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后未去控制的风险;
(10)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
4、风险评估工作流程
5、风险分析原理
风险分析中主要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
风险分析的主要内容为:
(1) 对资产进行识别,对资产的价值进行赋值;
(2)对威胁进行识别,表述威胁的属性,并对威胁出现的频率赋值;
(3)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
(4)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;
(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
二、评估依据
(1)GB/T20984-2007信息安全技术信息安全风险评估规范
(2)GB/T22239-2008信息系统安全等级保护基本要求
(3)GB/T22080-2008信息技术安全技术信息安全管理体系要求
(4)GB/T18336-2001信息技术安全技术信息技术安全性评估准则
(5)ISO/ITC27002 信息技术-信息安全管理业务规范
(6)ISO/IEC13335 信息安全管理标准
