风险评估资产重要性识别_如何有效的进⾏风险评估?
前⾔
信息安全是⽹络发展和信息化进程的产物,近⼏年,⽆论是国家层⾯,还是企业本⾝,都对信息安全愈发的重视。风险管理的理念也逐步被引⼊到信息安全领域,并迅速得到较为⼴泛的认可。风险评估逐步成为信息安全管理的最为重要的⼿段之⼀。那如何规范的实施风险评估,保证信息系统的安全,成为很多企业安全负责⼈认真考虑的问题。
⼀、参考标准
1.1国外标准
NIST SP800-26 《Security Self-Assessment Guide forInformation Technology Systems》
NIST Special Publication 800-30 《Risk ManagementGuide for Information Technology Systems》
OCTAVE:Operationally Critical Threat, Asset, andVulnerability Evaluation Framework
ISO/IEC 17799:2000 《信息技术——信息安全管理实施细则》
ISO/IEC 27001:2005 《信息技术——信息安全管理实施规范》
AS/NZS 4360:1999 《风险管理》
ISO/IEC TR 13335 《信息技术安全管理指南》
1.2国内标准
GB/T 20984-2007《信息安全技术 信息安全风险评估规范》
GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》
GB/T 22239-2019《信息安全技术 ⽹络安全等级保护基本要求》
GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》
⼆、前期准备
2.1 确定评估⽬标
因风险评估主要⽬标是信息系统,故开展风险评估开展之前,⾸先需要了解的就是此次风评的⽬标,可以是整个单位的所有信息系统,或者单个系统,单个系统的我们⼀般都是叫做专项风险评估。
深圳疫情风险等级2.2 确定评估范围
确定好风险评估的⽬标后,就需要对此⽬标的边界进⾏定义,可以从以下⼏个⽅⾯考虑:
1)待评估系统的业务逻辑边界(如独⽴的系统可以不需考虑),例如跟哪些系统有数据交互,避免关联系统被渗透,从⽽导致此系统也
被渗透,可以例举出;
2)⽹络及设备载体边界,这⾥最好有⽹络拓扑图,那样会⽐较清晰的看到⽀撑此系统的硬件设备情况,是否有冗余配置,例如服务
器、交换机、路由器、安全设备等;
3)物理环境边界,主要讲的是机房的环境,有没有监控设备、防⽔、防雷、防潮、异常告警,其实等保测评时会考虑这⽅⾯,如机房
太远或不⽅便查看,可以看看系统对应的最新测评报告;
4)组织管理权限边界,主要是需要明确⽬标系统是谁负责开发、维护、管理等。
2.3 组建评估团队
可能有同学会问,为什么需要组建团队去做这个事情呢?
经历过风险评估同学都知道,这⼯作是极其复杂的,会涉及⾮常多的⽅⾯,当然如果是传说中的“⼀个⼈的安全部”,预算⼜吃紧的单位,那就只能仰天长叹,默默搬砖吧,希望下⾯的内容对你有帮助。
下图是标准理想状态的团队组成,⼤⼚或者预算充⾜的ZF单位才有这样的⾼配,单位可以根据公司内部的情况组建团队,也可以委托第三⽅有风险评估资质的公司负责。
2.4⼯作计划
风险评估是⼀个复杂繁琐的⼯作,常需要阶段性汇报,中间会有许多过程⽂档产⽣,这也有利于项⽬主管了解项⽬进度,因此详细的实施计划肯定是不可缺少的。
可以参考如下内容:
实施流程:
实施⽇程表:
2.5评估⽅案
前⾯都说到了风险评估⾮常复杂繁琐,评估⽅案肯定是必须要有的,⽅案中应包括⼀下内容:
1)风险评估⼯作框架:风险评估⽬标、评估范围、评估依据等;
2)评估团队组织:包括评估⼩组成员、组织结构、⾓⾊、责任;领导⼩组和专家组(可⽆)
3)评估⼯作计划:包含各阶段⼯作内容、⼯作形式、⼯作成果、⼯作实施时间安排等
4)风险规避:保密协议、评估⽅法、评估⼯具、应急预案等
5)项⽬验收⽅式:包括验收⽅式、验收依据、验收结论等(适⽤于委托第三⽅的单位)
可参考如下内容:
三、实施过程及阶段
3.1实施流程
风险评估模型:
3.2系统调研
系统调研是确定被评估对象的过程,⾃评估⼯作⼩组应进⾏充分的系统调研,为风险评估依据和⽅法的选择、评估内容的实施奠定基础。调研内容⾄少应包括:
a)系统等保测评等级
b)主要的业务功能和要求
c)⽹络结构与⽹络环境,包括内部连接和外部连接
d)系统边界,包括业务逻辑边界、⽹络及设备载体边界、物理环境边界、组织管理权限边界等
e)主要的硬件、软件
f)数据和信息
g)系统和数据的敏感性
h)⽀持和使⽤系统的⼈员
i)信息安全管理组织建设和⼈员配备情况
j)信息安全管理制度
k)法律法规及服务合同
系统调研可以采取问卷调查、现场⾯谈相结合的⽅式进⾏。
我们⼀般都先要求填写问卷调查,对问卷调查有疑问的地⽅采取现场访谈的⽅式进⾏了解,这样更容易理解
3.3资产识别
资产识别⼯作主要是参考GB/T 20984–2007中的分类列明评估范围内的各项资产,包括硬件、软件、数据、服务、⼈员和其他等六类资产,但是我们⼀般都会有根据标准要求将资产分类为硬件、软件、⽂档和数据、⼈员、业务应⽤、物理环境、组织管理等七类资产。详细见《资产识别分类参考表》,有感兴趣或需要的同学可以私信我获取。
资产识别⼩组需要对评估范围内的资产进⾏了逐项分析,⽐对资产清单,结合系统运⾏现状,识别出评估范围内的信息资产,形成了《资产识别表》;
参考《资产重要性程度判断准则》为每个资产进⾏了重要性程度赋值。资产识别和赋值结果记录在《资产识别表》中。
可以参考如下表格制定《资产识别表》:
3.3.1 资产重要性确定
资产识别⼩组依据资产对主要业务、运作及声誉影响程度确定重要资产的基准线(阀值),在基准线以上资产确定为重要资产,填⼊《重要资产赋值表》;例如资产重要性程度⼤于等于30的资产被判定为重要资产。
3.3.2CIA三性赋值
所谓CIA三性指的是保密性、完整性、可⽤性,资产识别⼩组依据《信息安全风险评估规范(GB/T20984-2007)》对于保密性、可⽤性、完整性的定义,分别在《重要资产赋值表》中填资产的保密性等级值、完整性等级值和可⽤性等级值。等级值划分为很⾼(5)、⾼(4)、中等(3)、低(2)、很低(1)五个等级。
可以参考如下表格制定《重要资产赋值表》:
3.4威胁识别
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论