信息安全管理 第10讲 风险评估实践-OCTAVE

第10讲风险评估实践－OCTAVE第第1010讲讲风险评估实践－风险评估实践－OCTAVEOCTAVE••OCTAVEOCTAVE概况概况••OCTAVEOCTAVE原则、属性和输出原则、属性和输出••OCTAVEOCTAVE方法方法••OCTAVEOCTAVE案例案例1OCTAVE概况•1.1背景•1.2简介1.1背景•OCTAVE——OperationallyCriticalThreat,Asset,VulnerabilityEvaluation,可操作的关键威胁、资产和薄弱点评估方法•OCTAVE是美国卡耐基﹒梅隆大学软件工程研究所（CMU/SEI）下属的CERT协调中心人员的研究开发成果，用以定义一种系统的、组织范围内的评估信息安全风险的方法•1999年6月，CERT公布了一个描述OCTAVE框架的报告，这是一种信息安全风险评估规范，是从组织的角度开发的一种新型的自主的评估方法。它被细化为：–OCTAVEMethod（方法），是专为大型组织（雇员超过300人）设计的方法；–OCTAVE-S，一种针对小型组织（雇员少于100人）设计的方法；–其他与OCTAVE标准一致的方法。1.2OCTAVE简介•风险评估的基本方法–当前所用的大多数评估方法都是“自下而上”的：它们都从计算基础设施开始，强调技术弱点，而不考虑组织的任务和业务目标的风险。–一种更好的方法是着眼于组织本身并识别出组织所需保护的对象，明确它为什么存在风险，然后开发出技术和实践想结合的解决方案。–OCTAVE属于后者•建立OCTAVE方式：–为评估定义一个基本的需求集，然后开发一系列满足那些需求的方法，即一个方法族。方法族中的每种方法可以针对一种唯一的运作环境或者情况。•OCTAVE方法特征：–资产、威胁和薄弱点三者结合；–管理者可以根据评估结果确定优先级；–结合计算基础设施的使用方式及其实现组织的业务目标的作用；–与计算基础设施配置相关的技术问题相结合；–可以根据不同组织的需要灵活剪裁的、可重复的方法。2OCTAVE原则、属性和输出•2.1OCTAVE原则•2.2OCTAVE属性•2.3原则和属性之间的关系•2.4OCTAVE输出2.1OCTAVE原则•OCTAVE原则总体说明：OCTAVE的原则体现了风险管理活动的性质,提供了评估过程的基础,分为以下三方面:–信息安全风险评估原则:这是有效进行信息安全风险评估的基础.包括自主原则,度量弹性原则,过程确定原则,过程连续原则–风险管理原则:这是进行有效风险管理实践的通用的基本原则,包括前瞻原则,重点突出原则,综合管理原则–组织及文化原则:这是成功的信息安全风险管理必不可少的组织及组织文化方面的原则,包括公开交流原则,全局原则,团队合作原则信息安全风险评估原则•1.自主原则：自主是指组织内部的人员管理和指导组织的信息安全风险评估。这些人负责指导风险管理活动，并对组织的安全工作做出决策主原则要求：–通过领导信息安全风险评估并对评估过程进行管理，负责信息的安全；–最终对组织的安全工作做出决策，包括实现哪些改进和采取哪些行动。•2．度量弹性原则：一个灵活的评估过程可以适应不断变化的技术和进步，它既不会受限于当前威胁源的严格模型，也不会受限于当前公认的“最佳”实践。因为信息安全和信息技术领域变化非常迅速，所以需要一个适应性强的度量体系，组织可据此进行有效的评估。度量弹性原则要求：–定义公认安全实践、已知威胁源和已知技术缺陷的当前目录；–一个能适应目录变化的评估过程。•3．过程确定原则：过程确定原则体现了信息安全评估程序依赖于已定义的和标准化的评估规程的需要，使用一个已定义的评估过程有助于过程的制度化，保证评估的结果能达到一定程度的一致性。过程确定原则要求：–为执行评估分配责任；–定义所有的评估活动；–详细说明评估所需的所有工具、工作表和信息目录；–为评估结果的文件化创建通用的格式。•4．过程连续原则：组织必须实施基于实践的安全战略和计划，以逐渐改进自身的安全状态。通过实施这些基于实践的解决方案，组织就能够逐渐将好的安全实践制度化，使其成为组织日常业务的一部分。安全改进是一个连续的过程。信息安全风险评估的结果是这个连续过程的基础。过程连续原则要求：–使用确定的评估过程识别信息安全风险；–应用信息安全风险评估的结果；–逐步培养管理信息安全风险的能力；–实施安全改进和给予实践方法相结合的安全战略和计划。风险管理原则•1.前瞻原则：前瞻原则要求组织通过关注最关键资产的风险，对未来做出预测。重点在于通过分析资产、威胁和薄弱点之间的相互联系，研究对组织的任务和业务目标的最终影响，以管理不确定性。前瞻原则要求：–对未来做出预测，集中管理一定范围内的风险。–在管理组织的资产和活动中考虑信息安全风险•2.重点突出原则：重点突出原则要求组织将评估的重点集中于最关键的信息安全问题。每个组织都会遇到评估小组的成员数量和信息安全活动费用的限制。因此，不管是信息安全风险评估期间还是之后，组织都必须确保高效；利用自己的资产。重点突出原则要求：–在预先定义的范围内收集有关信息安全风险方面的信息；–识别出对组织最关键的资产，并选择安全实践保护这些资产。•3.综合管理原则：综合管理原则要求安全方针和策略与组织的方针和策略相一致。组织的管理部门在制定策略时，要考虑到业务和安全问题之间的优先次序，在业务和安全目标之间达到平衡。综合管理原则要求：–在组织的业务中考虑信息安全问题；–在建立和修改信息安全方针和策略时要考虑业务策略的目标。组织及文化原则•1.公开交流原则：没有对与安全相关的问题进行公开交流，信息安全风险管理就不可能成功；如果不能和组织的信息安全决策进行沟通并使其理解信息安全风险，那么该风险就得不到重视。在评估的时候支持协作赋值是成功风险管理方案的基本思想。通常，评估方法提供给员工表达安全问题的途径，从而使得信息不仅由他们自己掌握，更允许他们自由的表达出来。公开交流原则要求：–基于协作方法开展评估活动；–鼓励组织内部各级成员之间交流安全和风险信息；–使用少数服从多数的方法评价个人的意见。•2.全局原则：这一原则需要组织成员就组织最重要的资产形成共识。通过收集整理信息安全风险的个人观点，以形成组织必须处理的对信息安全风险的全局观点。全局原则要求：–识别组织内的多种信息安全风险观点；–在组织的业务和业务目标这一较大的环境中观察信息安全风险。•3.团队合作原则：没有谁能够了解一个组织面对的所有信息安全问题。信息安全风险管理要求运用多学科的方法，这包括业务和信息技术人员的观点。团队合作原则要求：–创建一支由多学科人员组成的小组来领导评估工作；–在评估活动中知道何时吸纳其他的看法；–通过协同工作完成评估活动；–协调人们的才能、技术和知识。2.2OCTAVE属性•信息安全风险评估的属性是指评估过程中不同的品质和特性。1.分析小组•要求：分析小组由本组织内部的人员组成，并且领导整个评估活动。分析小组须由来自不同学科的人员组成，包括来自业务部门和信息技术部门的不同人员。分析小组必须对组织的信息安全风险评估工作进行管理和有效组织，同时要基于评估过程中收集到的信息做出相应的决策。•重要性：分析小组领导评估过程有助于确保以下几点：–了解业务过程与了解信息技术的人员协同工作，从而可以有效改进组织的安全状态；–在评估过程中，开展评估工作的人员懂得应用所有的工作表和相关工具；–这种方法能够在组织中得到一致的应用；–对于评估的结果，组织内的员工会有一种“主人翁的责任感”，这使得他们更积极并乐意实施提出的策略和计划。2.增强分析小组的技能•要求：评价过程中，分析小组可以吸纳一些过程中需要的具备特殊技能或专长的人员，从而可以增强本小组的技术和能力。这些人员可以来自组织内部的其他部门，也可以是组织以外的一些人员。•重要性：可以确保分析小组拥有完成评估工作所必需的知识和技能，可以让组织在不具备一些知识和技能的情况下，仍然能够开展信息安全风险评估工作。这一属性提供了一种必要时可与外聘专家合作的方法。3.实践目录•要求：组织在评估过程中，必须通过参考多领域的安全战略和安全实践，来评价组织的安全水平，这些实践在实践目录中予以正式的定义。组织所使用的实践目录应当与所有的法律、规章制度和组织所遵守的相关标准保持一致•重要性：使用实践目录非常重要，因为它可以使组织根据已知的和公认的度量标准对自身进行评估。4.通用的威胁列表文件•要求：信息安全评估过程通过在通用的威胁列表文件定义大量潜在的威胁源，从而来评定组织中存在的对关键资产的威胁。威胁种类主要有以下几类：–使用网络方式访问的人员–使用物理方式访问的人员–系统问题–其他问题•重要性：使用通用的威胁列表文件可以使组织基于已知的潜在威胁源，识别出对关键资产的威胁5.薄弱点目录•要求：在基于平台或应用程序的技术薄弱点的范围内，评估过程必须对当前的一些关键单元中存在的技术缺陷(技术薄弱点)进行评定。利用薄弱点评估工具(如软件、检查表、脚本等)对薄弱点目录中包含的各项技术薄弱点进行检查。•重要性：使用薄弱点目录很重要，因为它使组织能够根据已知的技术薄弱点对自身技术结构进行评估，识别出组织关键单元中存在的薄弱点，并给出当前组织结构的脆弱程度6.已定义的评估活动•要求：对每个评估活动的执行过程和在每个活动中用到的一些工具都必须进行定义和文件化管理，主要包括：–准备评估的过程：–确定评估范围的过程；–完成每项评估活动的过程；–评估活动需要的所有工具和工作表的详细说明书；–用于定义可接受的安全准则、已知的威胁源和已知的技术薄弱点的信息目录的详细说明书。•重要性：实施已定义的评估活动有助于使组织内的评估过程规范化，保证在实施过程的具体应用的一致性。同时已定义的评估活动还提供了一个依据，一些特殊的业务流程或组织可以按照该依据来对评估活动进行剪裁，从而可以适应不同的需求。7.评估结果的记录•要求：组织必须以书面形式或者电子形式对评估的结果进行归档，对以下信息组织必须进行记录和存档：–组织关键资产的风险；–用于改进组织安全状态的安全方针及计划。•重要性：对评估结果建立记录是很重要的。信息数据库可以作为后续评估的输入。同样，对于评估后的跟踪计划和措施也有作用。例如，可以把已记录的信息当作培训课程。当识别出组织关键资产的风险后，员工们可以将风险降低计划应用于类似的资产。组织成员可以通过评估结果了解到哪些风险降低计划在过去有效，哪些无效，这样可以帮助他们创建更加有效的风险降低计划。8.评估范围•要求：每项评估的范围都必须进行定义。在评估过程中应该开发指南以帮助理解哪些业务单元包括在评估范围内。•重要性：确定评估范围很重要，因为它可以确保评估的结果是对组织有用的。如果范围定的太广，通常会很难将收集到的所有信息进行分析。设定一个易于管理的评估范围可以减小评估的规模，而且使评估进度的安排和实施活动都比较容易。另外还可以为评估过程设定组织中一些区域的优先等级。一般来说，高风险区域首先要进行检查或者要经常检查。9.后续步骤•要求：评估必须包括一项活动，在这个活动中，组织成员要识别出实施安全战略和计划所需的一系列后续步骤，这项活动通常需要组织的高层管理人员的积极支持和参与。后续步骤通常包括以下一些信息：–基于评估结果，组织将要做什么？–由谁来实施安全战略和计划？–为今后评估信息安全风险的活动做计划。•重要性：由于组织内的人员必须通过后续步骤来实施保护战略和计划，所以识别出后续步骤对提高组织安全性是非常重要的。组织成员需要根据评估结果决定下一步该做什么。在这一环节中，争取高层管理部门的支持是一个关键步骤。10.关注风险•要求：通过分析资产、对资产的威胁和薄弱点(包括管理薄弱点和技术薄弱点)这三者之间的相互关系，评估的重点是对组织的信息安全风险进行评定。•重要性：这一属性很重要，因为它要求组织成员把注意力集中到安全问题以及他们为组织的业务目标和任务所做出的努力上。成员们必须预见到当前组织中存在的组织薄弱点和技术薄弱点，审查这些薄弱点与组织的关键资产、对关键资产的威胁这三者之间的关系