信息安全风险评估指南

广州海颐软件有限公司信息安全风险评估指南编号：ISMS-3002状态：受控编写：行政部2009年12月27日审核：2009年12月28日批准：2009年12月28日发布版次：第A/0版2009年12月28日生效日期2009年12月28日信息安全风险评估指南第2页共23页变更记录变更日期版本变更说明编写审核批准2010-01-21A/0初始版本行政部********信息安全风险评估指南第3页共23页信息安全风险评估指南1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了无锡新世纪信息科技有限公司的大力支持。1.1政策法规：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）1.2国际标准：ISO/IEC17799：2005《信息安全管理实施指南》ISO/IEC27001：2005《信息安全管理体系要求》ISO/IECTR13335《信息技术安全管理指南》1.3国内标准：《信息安全风险评估指南》（国信办综[2006]9号）《重要信息系统灾难恢复指南》（国务院信息化工作办公室2005年4月）GB17859—1999《计算机信息系统安全保护等级划分准则》GB/T183361-3：2001《信息技术安全性评估准则》GB/T5271.8--2001《信息技术词汇第8部分：安全》GB/T19715.1—2005《信息技术安全管理指南第1部分：信息技术安全概念和模型》GB/T19716—2005《信息安全管理实用规则》1.4其它《信息安全风险评估方法与应用》（国家863高技术研究发展计划资助项目(2004AA147070)）2、风险评估2.1、风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系：信息安全风险评估指南第4页共23页业务战略资产资产价值安全需求残余风险安全事件脆弱性威胁风险安全措施依赖具有导出降低抵御未控制可能诱发演变利用暴露未被满足增加增加风险评估要素关系模型图中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险，—部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。2.2风险计算模型风险计算模型是对通过风险分析计算风险值的过程的抽象，它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。风险计算模型如下图所示：威胁识别脆弱性识别资产识别威胁出现的频率脆弱性的严重程度资产价值安全事件发生的可能性安全事件的损失风险值风险计算模型示意图信息安全风险评估指南第5页共23页风险计算模型中包含：资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、发生的可能性、动机等；脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度。2.3风险计算的过程如下：对资产进行识别，并对资产的价值进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。3风险评估实施过程根据风险评估要素关系模型，进行风险评估需要分析评价各要素，按照各要素关系，风险评估的过程主要包括：风险评估的准备，即信息收集与整理、对资产、威胁、脆弱性的分析、已有采取安全措施的确认以及风险评价等环节，风险评估实施过程可用下图表示：风险评估实施流程（见下页）以下对风险评估过程中包括的具体步骤进行详细描述：3.1风险评估的准备风险评估的准备过程是整个风险评估过程有效的保证和基础。组织实施风险评估是一种战略性的考虑，其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。信息安全风险评估指南第6页共23页3.2资产价值3.2.1资产分类在一般的风险评估体中，资产大多属于不同的信息系统，如OA系统，网管系统，业务生产系统等，而且对于提供多种业务的机构，业务生产系统的数量还可能会很多。这时首先需要将信息系统及其中的信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。在实际项目中，具体的资产分类方法可以根据具体环境，由评估者来灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类型，表3.2为一个资产分类示例。否是否风险评估流程框图是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施施施施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档…………………信息安全风险评估指南第7页共23页分类示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件：操作系统、语言包、工具软件、各种库等应用软件：外部购买的应用软件，外包开发的应用软件等源程序：各种共享源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等安全保障设备：防火墙、入侵检测系统、身份验证等其他：打印机、复印机、扫描仪、传真机等服务办公服务：为提高效率而开发的管理信息系统（MIS），包括各种内部配置管理、文件流转管理等服务网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展的各类服务文档纸质的各种文件、传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其它企业形象，客户关系等表3.2资产种类资产识别方式及阶段成果：在资产识别过程中，本公司信息安全管理委员会可以通过问卷调查、人员问询的方式识别每一项资产，在本阶段结束后本公司信息安全管理委员会将向信息系统所有者提供《资产识别清单》，清单中应明确各资产的负责人/部门，并由信息系统所有者进行书面确认。3.2.2资产赋值本指南所指资产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的商务影响来决定。为确保资产估价时的一致性和准确性，本公司信息安全管理委员会应按照上述原则，建立一个资产价值尺度（资产评估标准），以明确如何对资产进行赋值。资产估价的过程也就是对资产机密性、完整性和可用性影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失机密性、完整性和可用性，最终还会导致财产损失、市场份额或公司形象的损失。特别重要的是，即使每一次影响引起的损失并不大，但长期积累的众多意外事件的影响总和则可造成严重损失。一般情况下，影响主要从以下几方面来考虑：信息安全风险评估指南第8页共23页违反了有关法律或（和）规章制度影响了业务执行造成了信誉、声誉损失侵犯了个人隐私造成了人身伤害对法律实施造成了负面影响侵犯了商业机密违反了社会公共准则造成了经济损失破坏了业务活动危害了公共安全资产安全属性的不同通常也意味着安全控制、保护功能需求的不同。风险评估小组应当通过考察三种不同安全属性，能够基本反映资产的价值。机密性赋值根据资产机密性属性的不同，将它分为5个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估的影响。赋值标识定义5极高包含组织最重要的机密，关系组织未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等表3.3资产机密性赋值完整性赋值根据资产完整性属性的不同，将它分为5个不同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对评估体造成重大的或无法接受、特信息安全风险评估指南第9页共23页别不愿接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对评估体造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对评估体造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对评估体造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1很低完整性价值非常低，未经授权的修改或破坏会对评估体造成的影响可以忽略，对业务冲击可以忽略。表3.4资产完整性赋值资产可用性赋值根据资产可用性属性的不同，将它分为5个不同的等级，分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估系统的影响。赋值标识定义5极高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10分钟3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到90%以上，或系统允许中断时间小于30分钟2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60分钟1可忽略可用性价值可以忽略，法使用者对信息及信息系统的可用度在正常工作时间低于25%。表3.5资产可用性赋值3.2.3资产重要性等级最终资产价值可以通过违反资产的机密性、完整性和可用性三个方面的程度综合确定，资产的赋值采用定性的相对等级的方式。与以上安全属性的等级相对应，资产价值的等级可分为五级，从1到5由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。由于资产最终价值的等级评估是依据资产机密性、完整性、可用性的赋值级别经过综合评定得出的，本标准的评定准则选择“最高的属性级别”为综合资产赋值准则的方法。当然，风险评估小组也可以根据被评估系统的实际情况自定义资产的等级，但该评定方法必须在事先得到信息系统所有者认可。等级标识资产价值定义5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失信息安全风险评估指南第10页共23页4高重要