GB/T ××××—××××
务连续性等方面进行识别。 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进组织管理 行识别。 5.4.2 脆弱性赋值
可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆
弱性的严重程度进行赋值。由于很多弱点反映的是同一方面的问题,或可能造成相似的后果,赋值时应综合考虑这些弱点,以确定这一方面脆弱性的严重程度。
对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。
脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。表10提供了脆弱性严重程度的一种赋值方法。
表10 脆弱性严重程度赋值表
等级 5 4 3 2 1 标识 很高 高 中 低 很低 定义 如果被威胁利用,将对资产造成完全损害。 如果被威胁利用,将对资产造成重大损害。 如果被威胁利用,将对资产造成一般损害 。 如果被威胁利用,将对资产造成较小损害。 如果被威胁利用,将对资产造成的损害可以忽略。 5.5 已有安全措施确认
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。
已有安全措施确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少系统技术或管
17
GB/T ××××—××××
理上的弱点,但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的弱点,而是一类具体措施的集合,为风险处理计划的制定提供依据和参考。 5.6 风险分析 5.6.1 风险计算原理
在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。本标准给出了风险计算原理,以下面的范式形式化加以说明:
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性; Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。有以下三个关键计算环节:
1、计算安全事件发生的可能性
根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性,即: 安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V )
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。
2、计算安全事件发生后的损失
根据资产价值及脆弱性严重程度,计算安全事件一旦发生后的损失,即: 安全事件的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va )
部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也是不一样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内。
部分安全事件损失的判断还应参照安全事件发生可能性的结果,对发生可能性极小的安全事件,如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等,可以不计算其损失。
3、计算风险值
根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即: 风险值=R(安全事件发生的可能性,安全事件的损失)=R(L(T,V),F(Ia,Va ))
18
GB/T ××××—××××
评估者可根据自身情况选择相应的风险计算方法计算风险值,如矩阵法或相乘法。矩阵法通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系;相乘法通过构造经验函数,将安全事件发生的可能性与安全事件的损失进行运算得到风险值。附录A中列举了矩阵法和相乘法的风险计算示例。 5.6.2 风险结果判定
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可以将风险划分为一定的级别,如划分为五级或三级,等级越高,风险越高。
评估者应根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。
表11提供了一种风险等级划分方法。
表11 风险等级划分表
等级 标识 描述 一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的5 很高 正常经营,经济损失重大、社会影响恶劣。 一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成4 高 损害。 3 中 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。 2 低 一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。 1 很低 一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。 风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产的风险,如果风险计算值在可接受的范围内,则该风险是可接受的风险,应保持已有的安全措施;如果风险评估值在可接受的范围外,即风险计算值高于可接受范围的上限值,是不可接受的风险,需要采取安全措施以降低、控制风险。另一种确定不可接受的风险的办法是根据等级化处理的结果,不设定可接受风险值的基准,达到相应等级的风险都进行处理。 5.6.3 风险处理计划
19
GB/T ××××—××××
对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑,管理措施可以作为技术措施的补充。安全措施的选择与实施应参照信息安全的相关标准进行。
在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险评估流程实施,也可做适当裁减。一般来说,安全措施的实施是以减少脆弱性或降低安全事件发生可能性为目标的,因此,残余风险的评估可以从脆弱性评估开始,在对照安全措施实施前后的脆弱性状况后,再次计算风险值的大小。
某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。 5.7 风险评估文件记录
5.7.1 风险评估文件记录的要求
记录风险评估过程的相关文件,应符合以下要求(但不仅限于此): (1)确保文件发布前是得到批准的;
(2)确保文件的更改和现行修订状态是可识别的;
(3)确保文件的分发得到适当的控制,并确保在使用时可获得有关版本的适用文件;
(4)防止作废文件的非预期使用,若因任何目的需保留作废文件时,应对这些文件进行适当的标
识。
对于风险评估过程中形成的相关文件,还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。
相关文件是否需要以及详略程度由组织的管理者来决定。 5.7.2 风险评估文件
风险评估文件是指在整个风险评估过程中产生的评估过程文档和评估结果文档,包括(但不仅限于此):
(1) 风险评估方案:阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度
等;
(2) 风险评估程序:明确评估的目的、职责、过程、相关的文件要求,以及实施本次评估所需要
的各种资产、威胁、脆弱性识别和判断依据;
20
GB/T ××××—××××
(3) 资产识别清单:根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别,形成
资产识别清单,明确资产的责任人/部门;
(4)重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、
类型、重要程度、责任人/部门等;
(5) 威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、来源、动机
及出现的频率等;
(6) 脆弱性列表:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体弱点的名称、描述、
类型及严重程度等;
(7) 已有安全措施确认表:根据对已采取的安全措施确认的结果,形成已有安全措施确认表,包
括已有安全措施名称、类型、功能描述及实施效果等;
(8) 风险评估报告:对整个风险评估过程和结果进行总结,详细说明被评估对象、风险评估方法、
资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容;
(9) 风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安
全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安全措施的有效性; (10) 风险评估记录:根据风险评估程序,要求风险评估过程中的各种现场记录可复现评估过程,
并作为产生歧义后解决问题的依据。
6 信息系统生命周期各阶段的风险评估 6.1 信息系统生命周期概述
风险评估应贯穿于信息系统生命周期的各阶段中。信息系统生命周期各阶段中涉及的风险评估的原则和方法是一致的,但由于各阶段实施的内容、对象、安全需求不同,使得风险评估的对象、目的、要求等各方面也有所不同。具体而言,在规划设计阶段,通过风险评估以确定系统的安全目标;在建设验收阶段,通过风险评估以确定系统的安全目标达成与否;在运行维护阶段,要不断地实施风险评估以识别系统面临的不断变化的风险和脆弱性,从而确定安全措施的有效性,确保安全目标得以实现。因此,每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。
信息系统生命周期包含规划、设计、实施、运行维护和废弃等五个阶段。图4列出了生命周期各阶段中的安全活动。
21