隨著信息技術的飛速發展及廣泛應用,政府部門、金融機構、企事業單位和商業組織對網絡信息系統的依賴程度日益加深,由此也帶來了信息安全隱患,使得網絡信息系統面臨著無時不在的信息安全威脅和風險,信息安全風險評估作為信息安全保障工作的基礎性工作和有效手段受到了普遍重視。信息安全風險評估從風險管理角度,運用科學的分析方法和手段,系統地分析網絡信息系統所面臨的威脅及脆弱性,評估安全事件一旦發生對組織所造成的危害程度,有針對性地提出抵御威脅的安全防護對策和整改措施,從而能夠最大限度地減少經濟損失和負面影響。
多年來,在我國政府的工作部署和相關要求下,政府、教育、醫療、金融、能源和電力等行業的基礎信息網絡和重要信息系統紛紛開展了信息安全風險評估工作,隨之也催生出一批對外提供專業信息安全風險評估服務的安全技術服務組織。但就整個信息安全風險評估服務市場來說,如何科學、規范地開展信息安全風險評估活動,保證信息安全風險評估服務成果的質量,依然是目前普遍存在的問題。
中國網絡安全審查技術與認證中心經過不斷研究和實踐,于2018年6月1日發布了CCRC-ISV-C01:2018《信息安全服務規范》,其中對信息安全服務提供者在提供信息安全風險評估服務時應具備的專業服務能力要求進行了明確規定,旨在規范相關服務提供組織的信息安全風險評估服務過程,提升其信息安全風險評估服務能力,同時也為相關服務需方組織提供了有效選擇和評價風險評估服務提供組織的評判依據。本文針對信息安全風險評估服務認證過程中發現的常見問題,結合信息安全風險評估工作實踐,對CCRC-ISV-C01:2018《信息安全服務規范》中風險評估三級專業評價要求進行了解讀,以期為提供信息安全風險評估服務的安全技術服務組織提供一些幫助和參考。
規范解讀
CCRC-ISV-C01:2018《信息安全服務規范》“5.1風險評估服務資質專業評價要求”部分按照三級、二級、一級三個認證級別(從低往高),分別從評估準備、風險識別、風險分析以及風險處置4個過程對信息安全風險評估服務提供者在提供風險評估服務時應具備的專業服務能力要求進行了明確規定。本文主要針對最低認證級別(三級)信息安全風險評估服務專業評價條款內容和要求進行闡釋。
評估準備
風險評估準備是整個風險評估過程有效性的保證。因此,在風險評估實施前,應綜合考慮組織的戰略、業務目標、業務功能、業務流程、安全需求、系統規模和結構等方面的因素,確定風險評估的目標和范圍,組建評估管理與實施團隊,召開風險評估工作啟動會議,做好評估現場所需的表格、文檔、檢測工具等各項準備工作,進行風險評估技術培訓和保密安全教育,對被評估系統進行前期調研,確定風險評估的對象和內容、評估依據和風險計算方法,制定風險評估實施方案,并在后期的項目實施過程中按照方案和文檔模板實施,保留好相關過程記錄。其中,風險評估實施方案中應至少包括評估目標、評估范圍、評估依據、評估對象和內容、評估方法、評估小組成員角色及職責、評估工作計劃、時間進度安排、評估工具描述、風險計算方法、風險評價原則和風險規避措施等內容。風險評估實施方案應得到被評估組織的確認和認可。
在認證審核過程中,常見的問題一般有:未按照風險評估實施方案模板制定具體項目的風險評估實施方案、已完成項目風險評估實施方案中缺少風險評價原則并將風險評估原則等同為風險評價原則、已完成項目風險評估實施方案中對風險評估實施團隊成員角色及職責未進行描述、已完成項目風險評估實施方案中關于評估工具的介紹缺少功能描述、實施風險評估前未對風險評估團隊開展安全教育培訓、實施風險評估前對評估團隊進行技術培訓時未結合具體項目開展等。
風險識別
資產識別
資產識別是風險評估的基礎環節,應參照已發布的國家或國際標準明確資產分類方法,形成資產分類列表,如可參照GB/T 20984-2007《信息安全技術 信息安全風險評估規范》中基于資產表現形式的資產分類方法,將資產分為數據、軟件、硬件、服務、人員等類型。根據所確定的資產分類方法進行資產識別,形成資產識別清單,明確資產的責任人或部門。
保密性、完整性和可用性是評價資產的3個基本安全屬性。根據資產在保密性、完整性和可用性這3個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度確定保密性、完整性和可用性等級賦值標準,并按照確定的等級賦值標準來確定資產的保密性、完整性和可用性等級化賦值。
業務識別是資產識別的關鍵環節。業務是組織發展的核心,具有價值屬性。組織的業務重要程度越高,對資產的依賴程度就越高,資產價值就越大。業務識別的內容一般包括業務功能、業務對象、業務流程、業務關聯性等。根據業務在組織發展戰略及目標中的重要程度確定業務重要性等級賦值標準并對其進行等級化賦值。
最后,綜合考慮資產保密性、完整性、可用性以及業務重要性等4個因素確定資產價值的綜合評定方法。綜合評定方法可根據組織的業務特點確定,如可采用最大值法或加權計算法,根據確定的綜合評定方法得出資產價值的最終賦值結果。根據資產識別和賦值的結果,形成重要資產列表,包括重要資產名稱、功能描述、資產類型、重要程度、責任人/部門、保密性賦值、完整性賦值、可用性賦值、業務重要性賦值、資產價值最終賦值等。
在認證審核過程中,常見的問題一般有:未參照已發布的國家或國際標準形成資產分類列表、資產識別清單中未按照確定的資產分類進行全面的資產識別、已完成項目重要資產列表中具體資產的識別信息不完善、已完成項目重要資產列表中未明確資產最終賦值的綜合評定方法、資產最終賦值的綜合評定方法中未考慮業務的重要性和關聯性等。
脆弱性識別
脆弱性識別是風險評估的核心環節,脆弱性識別主要從技術和管理兩個方面進行,因此包含了技術脆弱性和管理脆弱性。技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題或隱患。管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面,前者與具體技術活動相關,后者與管理環境相關。脆弱性識別所采用的方法主要有:問卷調查、工具檢測、人工核查、文檔查閱、滲透測試等。
脆弱性識別可以以資產為核心,針對每一項需要保護的資產,識別可能被威脅利用的弱點,并對脆弱性的嚴重程度進行評估;也可以從物理層、網絡層、系統層、應用層等層面進行識別。在脆弱性識別過程中,應結合被評估組織的重要資產,確定物理層、網絡層、系統層、應用層或管理層等各個層面的脆弱性檢查列表以供現場人工核查發現安全問題或隱患。同時應通過可靠的信息安全專業檢測工具、滲透測試等工具手段重點挖掘被評估系統網絡層、系統層、應用層的安全問題或隱患。針對不同的資產對象,其脆弱性識別的具體要求應參照國內發布的相應技術或管理標準實施。
根據脆弱性對資產和業務的暴露程度、技術實現的難易程度、流行程度、已有安全措施和脆弱性關聯性等,確定脆弱性等級賦值標準,并按照確定的等級賦值標準對已識別脆弱性的嚴重程度進行賦值。根據脆弱性識別和賦值的結果,形成脆弱性列表,包括具體脆弱性的名稱、內容描述、類型、對應資產、脆弱性賦值等。
對某個資產,其技術脆弱性的嚴重程度還受到組織管理脆弱性的影響,因此,資產的脆弱性賦值還應參考技術管理和組織管理脆弱性的嚴重程度。
在認證審核過程中,常見的問題一般有:脆弱性列表中脆弱性識別范圍未覆蓋所有重要資產、脆弱性識別方法僅使用了單一的人工核查或工具檢測方法、脆弱性列表中關于脆弱性的內容描述不準確或不詳細、脆弱性列表中所識別出的脆弱性未對應到具體資產、脆弱性賦值未和已有安全措施有效性評價結果相關聯等。
威脅識別
在威脅識別過程中,應參考已發布的國家或國際標準對威脅進行分類,形成威脅分類清單。如可參照GB/T 20984-2007《信息安全技術 信息安全風險評估規范》中的威脅分類方法,考慮環境因素和人為因素兩大威脅來源,根據威脅表現形式將威脅主要分為軟硬件故障、物理環境影響、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網絡攻擊、物理攻擊、泄密、篡改、抵賴等11類。
考慮威脅出現的來源、動機和頻率等因素確定威脅等級賦值標準。根據經驗和(或)相關統計數據判斷威脅出現的來源、動機和頻率,按照確定的等級賦值標準對威脅進行賦值,形成威脅識別清單,包括威脅名稱、種類、來源、動機、出現的頻率、影響層面、威脅賦值等。
在認證審核過程中,常見的問題一般有:威脅分類未參考國家或國際標準因而導致分類類別不全、已完成項目威脅識別清單中列出的威脅類別與威脅分類清單中的威脅類別不一致等。
已有安全措施確認
以威脅為核心識別組織已有安全措施,在威脅識別的同時,一般從物理、網絡、主機、應用、數據、管理等層面對已采取的安全措施進行識別。在識別脆弱性的同時,應對已有安全措施的有效性進行評估和確認,即是否真正地抵御了威脅,降低了系統的脆弱性。根據對已采取的安全措施進行確認后的結果,形成已有安全措施確認表,包括已有安全措施名稱、所屬層面、功能描述及實施效果評價等。
在認證審核過程中,常見的問題一般有:未識別已有安全措施或識別層面覆蓋范圍不全、未對已有安全措施的有效性進行評估和確認等。
風險分析
風險分析模型建立
在完成了資產識別、威脅識別、脆弱性識別以及已有安全措施確認后,將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性,同時綜合安全事件所作用的資產價值及脆弱性的嚴重程度,判斷安全事件造成的損失對組織的影響,即安全風險。通常,參照GB/T 20984-2007《信息安全技術 信息安全風險評估規范》中給出的風險計算原理,將資產、威脅、脆弱性3個基本要素及每個要素各自的屬性進行關聯后構建風險分析模型并在項目風險評估報告中進行描述:
風險值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產價值;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件的可能性;F表示安全事件發生后造成的損失。
在認證審核過程中,常見的問題一般有:已完成項目風險評估報告中缺少風險分析模型的描述、已完成項目風險評估報告中給出的風險分析模型缺少科學性和可行性、已建立風險分析模型中未考慮威脅利用脆弱性導致安全事件發生的可能性、已建立風險分析模型中未考慮威脅利用脆弱性導致安全事件發生對組織造成的損失等。
風險計算方法確定
根據風險分析模型選擇和確定相應的風險計算方法計算風險值,如矩陣法或相乘法。矩陣法通過構造一個二維矩陣,形成安全事件的可能性與安全事件造成的損失之間的二維關系;相乘法通過構造經驗函數,將安全事件的可能性與安全事件造成的損失進行運算得到風險值。具體風險計算方法可參照GB/T 20984-2007《信息安全技術 信息安全風險評估規范》附錄A(資料性附錄)風險的計算方法部分。
在認證審核過程中,常見的問題一般有:未根據風險分析模型選擇和確定相應的風險計算方法、已完成項目風險評估報告中未描述確定的風險計算方法并將風險計算原理等同為風險計算方法、已完成項目風險評估報告中未體現計算得出風險值的過程等。
風險評價
為實現對風險的控制與管理,宜對風險評估的結果進行等級化處理。根據所采用的風險計算方法,計算每種資產面臨的風險值,根據風險值的分布狀況,為每個等級設定風險值范圍,形成風險評價準則,并按照確定的風險評價準則對所有風險計算結果進行等級處理。
綜合考慮風險控制成本與風險造成的影響,提出一個可接受的風險范圍。對某些資產的風險,如果風險計算值在可接受的范圍內,則該風險是可接受的,應保持已有的安全措施;如果風險評估值在可接受的范圍外,即風險計算值高于可接受范圍的上限值,則該風險是不可接受的,需要采取安全措施以降低、控制風險。
在認證審核過程中,常見的問題一般有:已完成項目風險評估報告中缺少風險評價原則的描述、已完成項目風險評估報告中給出的風險評價原則明顯不合理、在理解風險評價原則時直接將其等同于風險評估準則等。
風險評估報告
按照風險評估報告模板編制風險評估報告,對整個風險評估過程和結果進行總結,說明被評估對象、風險評估方法、資產識別分析結果、威脅識別分析結果、脆弱性識別分析結果、已有安全措施確認分析結果、風險分析原理、風險計算方法、風險評價原則、風險統計和結論、風險處置建議等內容。
在認證審核過程中,常見的問題一般有:未按照風險評估報告模板編制具體項目的風險評估報告、已完成項目風險評估報告中評估過程和結果不完整、已完成項目風險評估報告中關于脆弱性或風險內容描述不詳細、已完成項目風險評估報告中缺少風險處置建議、已完成項目風險評估報告中評估過程和內容與項目風險評估方案中的不一致等。
認證實施建議
信息安全風險評估在信息安全保障體系建設中具有不可替代的地位和重要作用,它是實施安全集成、安全運維、軟件安全開發、等級保護等多項服務或工作的基本前提,又是組織檢查、衡量網絡信息系統安全狀況的基礎工作。信息安全風險評估服務的終極目標是保護組織的業務安全,建議相關組織能夠熟練掌握風險評估的科學涵義和方法論,嚴格、規范地按照風險評估的實施流程和評估方法開展風險評估服務,不斷提升組織的信息安全風險評估服務能力和技術水平,最終為客戶提供有價值、能落地的風險評估結果和風險處置建議,為國內的信息安全事業發展發揮積極的作用。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
