风险分析方法
?
定性分析方法
定性风险分析示例(此示例来源于ISO/IEC13335-3) 步骤1:结果或影响的定性量度
表.2-1
等级 1 2 3 4 5 描述 可以忽略 较小 中等 较大 灾难性 表.2-2
等级 A B C D E 描述 几乎肯定 很可能 可能 不太可能 罕见 结果或影响的定性量度定义 详详细描述 无伤害,低财物损失 立即受控制,中等财物损失 受控, 高财物损失 大伤害,失去生产能力,较大财物损失 持续能力中断,巨大财物损失 可能性的定性量度定义 详细描述 预期在大多数情况下发生 在大多数情况下很可能会发生 在某个时间可能会发生 在某个时间能够发生 仅在例外的情况下可能发生 步骤2:可能性的定性量度
步骤3:从而得出风险分析矩阵
表.2-3
风险分析矩阵
其中:E:要求立即采取措施 H:需要高级管理部门的注意M:必须规定管理责任
L:用日常程序处理 ?
定量分析方法
定量风险分析的示例(此示例来源于Microsoft 安全风险管理指南)
在定量风险评估中通常会评估如资产估价、成本控制、确定安全投资收益 (ROSI) 以及计算单一预期损失 (SLE) 、年发生率 (ARO) 和年预期损失 (ALE) 等的值。
评估资产 确定资产的货币价值是安全风险管理的一个重要组成部分。 组织可能会根据资产的价值来决定应该花多少钱和时间来保护资产的安全。 作为其业务连续性计
划的一部分,许多组织都维护一份资产价值 (AV) 清单。 注意实际上不存在真正客观的方法来计算资产的价值,下面计算出的数字实际上是主观估计。
(1)资产总价值。 从财务上计算或估算资产价值。 考虑这样一个简单示例,一个通常每周七天、每天 24 小时运行,平均每小时从客户订单获得 2000 元收入的电子商务网站临时中断的影响。 那么可以容易的得到该网站的年销售收入为 17,520,000 元。
(2)资产损失对财务的直接影响。假定网站每小时的收益不变,同样的网站停用六个小时,则计算出的暴露系数为每年 0.000685%。 资产年价值乘以暴露百分比,可以预测此时直接损失是 12,000 元。 事实上,大多数电子商务网站视每天的不同时段、星期几、季节、营销活动和其他因素而有不同的收益率。 此外某些客户可能找到更喜欢从其进行购买的备选网站,因此网站可能会永久性地失去一些用户。 如果要进行精确计算并考虑所有潜在类型的损失,则计算收入损失实际上相当复杂。
(3)损失该资产的间接业务影响。 在此示例中,公司估计将花费 10,000 元的广告费用,以抵消该事件造成的负面影响。 此外,公司也估计损失年销售额的 1%,即 17,520 元。 通过组合额外的广告支出和年销售收入损失,可以预计本案例的间接总损失为 27,520 元。
确定 SLE SLE 是指发生一次风险引起的收入损失总额。 SLE 是分配给单个事件的金额,代表一个具体威胁利用漏洞时公司将面临的潜在损失。 (SLE 类似于定性风险分析的影响。)通过将资产价值与暴露系数相乘 (EF) 计算出 SLE。暴露系数表示成为现实的威胁对某个资产造成的损失百分比。 如果一个网络场的资产价值为 150,000 元,一场大火造成的损害占其价值的 25%,此时 SLE 为 37,500 元。 然而这是一个尽量简化的示例;可能还需要考虑其他支出。
确定 ARO ARO 是一年中风险发生的次数,应合理预估该数字。 做出这些估计相当困难;只有极少的实际数据可供使用。 迄今为止收集的数据成为少数财产保险公司持有的私有信息。 为了估计 ARO,请利用以往的经验并请教风险管理专家以及安全和业务顾问。 ARO 类似于定性风险分析的可能性,其范围从 0 (从不)至 100%(始终)。
确定 ALE ALE 是您的组织不采取任何减轻风险的措施在一年中可能损失的总金额。 SLE 乘以 ARO 即可计算出该值。 ALE 类似于定量风险分析的相对级别。 例如,如果在同一公司的网络场发生的火灾导致 37,500 元的损失,而火灾发生的可能性(或 ARO)的值为 0.1(表示每十年发生一次),则这种情况下的 ALE 值为 3,750 元(37,500 元 x 0.1 = 3,750 元)。
ALE 提供了一个价值,组织可以使用它来预算建立一种控制或安全措施以阻止此类损害 — 在本例中是每年 3,750 元或更少 — 并提供足够级别的保护需要多少成
本。 为了知道需要花费多少钱来避免威胁的潜在后果的影响,量化风险的实际可能性和威胁造成的损失(以货币尺度计量)是重要的。
确定控制成本 确定控制成本要求精确估计购买、测试、部署、操作和维护各个控制措施所需的成本。 此类成本包含购买或部署控制解决方案、部署和配置控制解决方案、维护控制解决方案、向用户通告与新控制措施有关的新政策或程序、对用户和 IT 员工进行如何使用及支持控制措施的培训、监督控制措施、应对控制措施可能造成的不方便性或生产率损失。 例如,为了降低火灾损害网吧的风险,假设的组织可能考虑部署一个自动消防系统。 组织可能需要聘请一个承包商来设计和安装系统,然后需要持续监控系统。 组织还可能需要定期检查系统,并且偶尔补充系统使用的灭火剂。
ROSI 请使用以下等式估计控制成本:实施控制前的 ALE)–(实施控制后的 ALE)–(年控制成本)= ROSI
例如,攻击者对 Web 服务器的威胁的 ALE 为 12,000 元,在实施了建议的安全措施后,估计 ALE 为 3,000 元。 安全措施每年的维护与操作成本为 650 元,因此,ROSI 为每年 8,350 元,如以下表达式所示:12,000 元 - 3,000 元 - 650 元 = 8,350 元。
定量风险分析的输入项目提供了明确定义的目标和结果。 前述几个步骤的结果通常得出以下各项:分配给资产的货币值;详细的重要威胁列表;每个威胁发生的可能性;在 12 个月内每项危险对公司的潜在损失;推荐的安全措施、控制措施和行为。
可见,上面这些计算都是建立在主观估计之上的。 为结果提供基础的关键数字并不是来自客观等式或定义良好的实际数据集,而是来自评估人员的意见。 AV、SLE、ARO 和控制成本均是参与者自己插入的数字(通常在多次讨论和折衷以后)。 ?
表.2-4
定性分析 两种方法的比较
风险分析方法的比较
优点 它可以对风险进行排序并能够对那些需要立即改善的环节进行标识 缺点 没有对影响大小给出具体的定量度量,因此使得对控制进行成本效益分析变得很困难。 定量分析 对影响大小给出了度量,使得可以使用成本效益分析来控制成本 依赖于用来表示度量的数字范围,定量影响分析的结果的含义可能因而会比较模糊,还要以定性的方式对结果做解释