版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、第十一章 資訊安全風險評估與管理,11-1 風險評估與管理基本概念11-2 風險評估過程11-3 風險控制過程11-4 風險評估與管理方法,11-1 風險評估與管理基本概念,什麼時候才能阻止網(wǎng)路駭客入侵?人類文明已有四千年歷史,何時才能讓犯罪成為絕響?答案是:永遠不會。網(wǎng)路世界也是一樣的道理,我們最多能做的就是儘可能管理風險,將風險降到最低,一如在實體世界的做法。,11-1-1 與風險評估有關的概念,1.威脅(Threat),是指
2、可能對資產(chǎn)或組織造成損害事故的潛在原因。 2.薄弱點(Vulnerability),是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。 3.風險(Risk)是特定威脅事件發(fā)生的可能性與後果的結合。 4.風險評估(Risk Assessment),對資訊和資訊處理設施的威脅、影響和薄弱點及三者發(fā)生可能性的評估。,11-1-2 與風險管理有關的概念,1.風險管理(Risk Management),以可接受的費用識別、控制、降低或消除可能影響資訊
3、系統(tǒng)的安全風險的過程。 2.安全控制(Security Control),降低安全風險的慣例、程序或機制。3.剩餘風險(Residual Risk),實施安全控制後,剩下的安全風險。4.適用性聲明(Applicability Statement),適用於組織需要的目標和控制的評述。,11-1-3 術語概念之間的關係,資產(chǎn)具有價值,並會受到威脅的潛在影響。薄弱點將資產(chǎn)暴露給威脅,威脅利用薄弱點對資產(chǎn)造成影響。威脅與薄弱點的增加導
4、致安全風險的增加。安全風險的存在對組織的資訊安全提出要求。安全控制應滿足安全要求。組織通過實施安全控制防範威脅,以降低安全風險。,11-2 風險評估過程,風險評估(也稱風險分析)是風險管理的基礎,是組織確認資訊安全要求的途徑之一,屬於組織資訊安全管理體系策劃的過程。透過風險評估識別組織所面臨的安全風險並確認風險控制的優(yōu)先等級,進而對其實施有效控制,將風險控制在組織可以接受的範圍之內。,11-2-1 風險評估的基本步驟,1.風險評
5、估應考慮的因素 2.風險評估的基本步驟 3.進行風險評估時,應考慮的對應關係,風險評估過程圖,11-2-2 資產(chǎn)識別與估價,為了明確被保護的資訊資產(chǎn),組織應列出與資訊安全有關的資產(chǎn)清單,對每一項資產(chǎn)進行確認和適當?shù)脑u估。為了防止資產(chǎn)被忽視或遺忘,在識別資產(chǎn)之前應確定風險評估範圍。列出對組織或組織的特定部門的業(yè)務過程有價值的任何事物,以便根據(jù)組織的商務流程來識別資訊資產(chǎn)。,11-2-3 威脅識別與評價,對組織需要保護的每一項關鍵
6、資訊資產(chǎn)進行威脅識別。在威脅識別過程中,應根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷,一項資產(chǎn)可能面臨著多個威脅,同樣一個威脅可能對不同的資產(chǎn)造成影響。威脅識別應確認威脅由誰或什麼事物引發(fā)以及威脅影響的資產(chǎn)。,環(huán)境威脅發(fā)生的可能性,PTV= PT × PV,PTV—考慮資產(chǎn)薄弱點因素的威脅發(fā)生的可能性PT—未考慮資產(chǎn)薄弱點因素的威脅發(fā)生可能性Pv—資產(chǎn)的薄弱點被威脅利用的可能性,11-2-4 薄弱點評價
7、與已有控制措施的確認,1.薄弱點的識別與評價 組織應針對每一項需要保護的資訊資產(chǎn),找出每一種威脅所能利用的薄弱點,並對薄弱點的嚴重性進行評價。 2.對己有的安全控制進行確認 組織應將已採取的控制措施進行識別並對控制措施的有效性進行確認。,11-2-5 風險評估,組織在經(jīng)過資產(chǎn)識別與估價、威脅與薄弱點的識別與評價、已有控制措施的確認後,應利用適當?shù)娘L險測量方法或工具確定風險的大小與風險等級,即對組織資訊安全管理範圍內的
8、每一資訊資產(chǎn)因遭受洩露、修改、不可用和破壞所帶來的任何影響做出一個風險測量的列表,以便識別與選擇適當和正確的安全控制方式。,風險測量方法,風險是資產(chǎn)所受到的威脅、存在的薄弱點及威脅利用薄弱點所造成的潛在影響三方面共同作用的結果。風險是威脅發(fā)生的可能性、薄弱點被威脅利用的可能性和威脅的潛在影響的函數(shù),記為:,R= R(PT,PV,I),風險區(qū)域示意圖,風險優(yōu)先順序別確定,確定風險數(shù)值的大小不是我們評估的最終目的,重要的是明確不同威脅對資產(chǎn)
9、所產(chǎn)生的風險的相對值,即要確定不同風險的優(yōu)先次序或等級,對於風險等級高的資產(chǎn)應被優(yōu)先分配資源進行保護。,風險評估一風險管理工具的選擇,一旦風險評估被完成,評估的結果(資產(chǎn)和它們的價值,威脅—薄弱點和風險等級,以及被確認的控制)應該被保存和檔案化,例如,儲存在資料庫裡。企業(yè)組織或政府單位可以利用軟體支援工具進行風險評估活動,這可以使再評估活動更容易。,11-3 風險控制過程,11-3-1 安全控制的識別和選擇,為了降低或消除資訊安全管理
10、體系範圍所涉及到的被評估的風險,組織應識別和選擇適宜且合理的安全控制。透過實施安全控制使風險降低到組織可接受的程度。安全控制的選擇應以風險評估的結果作為依據(jù),判斷與威脅相關聯(lián)的薄弱點,決定什麼地方需要保護,以及應該採取何種形式的控制。,11-3-2 風險控制,根據(jù)控制費用與風險平衡的原則,組織對所選擇的安全控制應嚴格實施並保持,即透過以下途徑達到風險降低的目的:,(1)避免風險 (2)轉移風險 (3)減少威脅 (4)減少
11、薄弱點 (5)減少威脅可能的影響程度 (6)探測有害事故,11-3-3 風險接受,組織在實施選擇的控制後,總是有殘留的風險,稱之為殘留風險或殘餘風險。殘餘風險也可能是某些資產(chǎn)未被有意保護所致,例如,假設的低風險或者被提及的控制需要高費用而未採取應有的控制。為確保組織的資訊安全,殘餘風險應在可接受的範圍內。,動態(tài)風險評估的時機,(1)當組織新增資訊資產(chǎn)時(2)當系統(tǒng)發(fā)生重大變更時(3)發(fā)生嚴重資訊安全事故時(4)組織認為有必要
12、時,11-4 風險評估與管理方法,為了達到自我安全的要求,定期的反省檢討安全措施是必要的步驟。 為了確認定期檢討的內容,也因此需要一套系統(tǒng)的分析方法,才能發(fā)現(xiàn)問題的所在。這樣一套有系統(tǒng)的方法即為風險評估方法。在風險評估和風險管理方法被應用的過程中,評估時間、強度,以及具體開展的深度應與組織的環(huán)境和安全要求相稱。,11-4-1 基本的風險評估,基本的風險評估是一種直接和簡單的方法,包括對組織所考慮的資訊和財產(chǎn)安全要求的一個系統(tǒng)的評估,
13、識別那些令人滿意的控制目標和對滿足這些目標的一系列控制進行選擇。 這種方法適用於商業(yè)運作不是非常複雜,並且組織對資訊處理和網(wǎng)路的依賴程度不高的組織。,11-4-2 詳細的風險評估,這個方法包括對資產(chǎn)的詳細識別和估價,以及那些對資產(chǎn)形成威脅和相關薄弱點水平的評估,上述結果被用於評估風險並隨後被用於安全控制的識別和選擇。詳細的風險評估可能是非常耗費財力的過程,因此需要非常仔細制定被評估的資訊系統(tǒng)範圍內的商務環(huán)境、運作、資訊和資產(chǎn)的界限。
14、,11-4-3 聯(lián)合評估方法,這種方法首先使用基本的風險評估方法,識別資訊安全管理範圍內具有潛在的高風險或對商業(yè)運作來說極為關鍵的資產(chǎn),然後根據(jù)基本的風險評估的結果,將資訊安全管理範圍內的資產(chǎn)分成兩類,一類需要應用一個詳細的風險評估方法以達到適當保護,另一類透過基本評估方法選擇的控制。,11-4-4 風險評估和管理方法的選擇應考慮的因素,組織可採取不同的風險評估和風險管理方法,一個方法是否適合於特定組織有很多影響因素,包括:,(1)商務
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
評論
0/150
提交評論