风险评估的国际发展动态

《风险评估的国际发展动态》由会员分享，可在线阅读，更多相关《风险评估的国际发展动态（51页珍藏版）》请在装配图网上搜索。

1、风险评估的国际动态风险评估的国际动态汇报要点 信息安全管理成为信息安全保障的热点信息安全管理成为信息安全保障的热点 泰德带来的启示泰德带来的启示 风险评估和等级保护的关系风险评估和等级保护的关系 IT IS$！信息就是财富信息就是财富,安全才有价值。安全才有价值。CI:Critical Infrastructure CIP:Critical Infrastructure Protection CII:Critical Information Infrastructure.CIIP:Critical Information Infrastructure Protection 技术提供安全保障功能

2、，但不是安全保障的全部技术提供安全保障功能，但不是安全保障的全部 提高人的安全意识，技术、管理两手抓成为国际共识。提高人的安全意识，技术、管理两手抓成为国际共识。标准化组织和行业团体抓紧制定管理标准标准化组织和行业团体抓紧制定管理标准 ISO 13335 正在重组修改正在重组修改 正在修订正在修订17799 BS 7799-2 成为国际标准正在讨论成为国际标准正在讨论 NIST 在联邦在联邦IT系统认证认可的名义下提出大量规范系统认证认可的名义下提出大量规范SP 800-18 IT系统安全计划开发指南系统安全计划开发指南（1998年年12月月）SP 800-26 IT系统安全自评估指南（系统安

3、全自评估指南（2001年年11月）月）SP 800-30 IT系统风险管理指南（系统风险管理指南（2002年年1月发布，月发布，2004年年1月月21日日 修订修订）SP 800-37 联邦联邦IT系统认证认可指南（系统认证认可指南（2002年年9月，月，2003年年7月，月，2004年年5月最后文本）月最后文本）FIPS 199联邦信息和信息系统的安全分类标准（草案第一版）联邦信息和信息系统的安全分类标准（草案第一版）（2003年年12月）月）SP 800-53联邦信息系统安全控制（联邦信息系统安全控制（2003年年8月月31日发布草案）日发布草案）SP 800-53A联邦信息系统安全控制有

4、效性检验技术和流程（计划联邦信息系统安全控制有效性检验技术和流程（计划2003至至2004年出版）年出版）SP 800-60 信息和信息类型与安全目标及风险级别对应指南（信息和信息类型与安全目标及风险级别对应指南（2004年年3月草案月草案2.0版版)Managing Enterprise Risk and Achieving More Secure Information Systems involves Categorizing(enterprise information and information systems)Selecting(appropriate security con

5、trols)Refining(security controls through a risk assessment)Documenting(security controls in a system security plan)Implementing(security controls in new and legacy systems)Assessing(the effectiveness of security controls)Determining(enterprise-level risk and risk acceptability)Authorizing(informatio

6、n systems for processing)Monitoring(security controls on an ongoing basis)国际信息系统审计与控制协会国际信息系统审计与控制协会(ISACA)提提出：出：1.1.IS Risk Assessment,effective 1 July 20022.2.Digital Signatures,effective 1 July 20023.3.Intrusion Detection,effective 1 August 20034.4.Viruses and other Malicious Logic,effective 1 Au

7、gust 20035.5.Control Risk Self-assessment,effective 1 August 20036.6.Firewalls,effective 1 August 20037.7.Irregularities and Illegal Acts Effective 1 November 20038.8.Secuurity AssessmentPenetration Testing and Vulnerability Analysis,effective 1 September 2004 提出提出信息和相关技术的控制目标信息和相关技术的控制目标(CoBIT)CoBI

8、T开发和推广了第三版，开发和推广了第三版，CoBIT起源于组织为达到业务目标所需的信息这个前起源于组织为达到业务目标所需的信息这个前提提 CoBIT鼓励以业务流程为中心，实行业务流程负责制鼓励以业务流程为中心，实行业务流程负责制 CoBIT还考虑到组织对信用、质量和安全的需要还考虑到组织对信用、质量和安全的需要 它提供了组织用于定义其对它提供了组织用于定义其对IT业务要求的几条信息准业务要求的几条信息准则：效率、效果、可用性、完整性、保密性、可靠性则：效率、效果、可用性、完整性、保密性、可靠性和一致性。和一致性。CoBIT进一步把进一步把IT分成分成4个领域个领域 计划和组织，计划和组织，获取

9、和运用，获取和运用，交付和支持，交付和支持，监控和评价。监控和评价。共计共计34个个IT业务流程。其中业务流程。其中3个与信息安全直接密个与信息安全直接密切相关的业务流程是：切相关的业务流程是：计划和组织流程计划和组织流程9评估风险：评估风险：传递和支持流程传递和支持流程4确保连贯的服务；确保连贯的服务；传递和支持流程传递和支持流程5保证系统安全。保证系统安全。CoBIT为正在寻求控制实施最佳实践的管为正在寻求控制实施最佳实践的管理者和理者和IT实施人员提供了超过实施人员提供了超过300个详细的个详细的控制目标，以及建立在这些目标上的广泛控制目标，以及建立在这些目标上的广泛的行动指南。后者是用

10、来评估和审计对的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。流程控制和治理的程度。国际国际CIIP手册手册(2004)Part II Analysis of Methods and Models for CII Assessment 1 Sector Analysis 2 Interdependency Analysis 3 Risk Analysis 4 Threat Assessment 5 Vulnerability Assessment 6 Impact Assessment 7 System Analysis2002年版 Technical IT-Security Mo

11、dels Risk Analysis Methodology(for IT Systems)Infrastructure Risk Analysis Model(IRAM)Leontief-Based Model of Risk in Complex Interconnected Infrastructures Sector and Layer Model,Sector Analysis,Process and Technology Analysis,Dimensional Interdependency Analysis.风险三角形风险三角形风险风险资产资产威胁威胁脆弱性脆弱性泰德眼中的In

12、formation Security Governance标准体系（ISMS）BS 7799 Part 2Corporate GovernancePLANDOACTCHECK风险管理处理风险管理处理系统控制系统控制内部审计功能内部审计功能ISO/IEC 17799ISMS StandardsISO/IEC 17799 and BS 7799-2Security processes and control compliance statementsControls and control implementation adviceControlsNON-MANDATORY StatementsR

13、isk assessmentAudit/reviewsMANDATORY StatementsRisk assessment,treatment and managementCompliance audit/reviews(SHALL statements)Governance principlesISMS Specifications ISMS StandardsManagement system specs,guidance&auditingBS 7799 Part 2ISMS Guidelines(risk assessment,selection of controls)GMITS/M

14、ICTSISO/IEC 18044 Incident handling PD 3000 series on risk and selection of controlsISMS Control Catalogues ISO/IEC 17799Management system certification and accreditation standards(auditing process,procedures etc)ISO Guide 62EA7/03 EN45013EN45012 ISO19011ISO9001National schemes and standardsProduct

15、StandardsTechnical implementation and specification standardsEncryptionAuthenticationDigital signaturesKey managementNon-repudiationIT network securityTPP servicesTime stampingAccess controlBiometricsCardsProduct and product system testing and evaluationISO/IEC 15408 Evaluation criteriaProtection pr

16、ofilesISMS StandardsBS 7799-2:2002PLANDOACTCHECKPDCA ModelDesign ISMSImplement&use ISMSMonitor&review ISMSMaintain&improve ISMSRisk based continual improvement framework for information security managementISO/IEC 17799新老版本对比Security policySecurity organisationAsset classification&controlPersonnel se

17、curityPhysical&environmental securityCommunications&operations managementAccess controlSystems development&maintenanceBusiness continuityCompliance2000 versionSecurity policyOrganising information securityAsset managementHuman resources securityPhysical&environmental securityCommunications&operation

18、s managementAccess controlInformation systems acquisition,development and maintenance Business continuity managementComplianceInformation security incident managementnew versionSecurity policyOrganising information securityAsset managementHuman resources securityPhysical&environmental securityCommun

19、ications&operations managementAccess controlInformation systems acquisition,development and maintenance Business continuity managementComplianceInformation security incident managementnew versionISMS StandardsRevision of ISO/IEC 17799:2000Satisfy requirementControl(plus supporting text)Staterequirem

20、ent2000 editionControl ObjectiveControl Implementation guidance Other information Revised editionControl Objective新老版本变化ISO/IEC 17799new editionISO/IEC 17799old edition9 old controls deleted16 new controls added118 controls remaining老版本老版本:包含包含10个控制要项，个控制要项，36 个控制目标，个控制目标，127 个控制措施个控制措施新版本新版本:11个个 3

21、9个个 134个个风险评估如何贯穿于安全管理BS 7799-2:2002设计设计 ISMSImplement and use the ISMSMonitoring and review the ISMSImprove and update the ISMS计划计划DOCHECKACTISMS定义定义 ISMS 的的执行范围和政策执行范围和政策执行风险评估执行风险评估对风险评估处理作出对风险评估处理作出决定决定 选择控制选择控制ISMS StandardsBS 7799-2:2002Design the ISMS执行和使用执行和使用 ISMSMonitoring and review the I

22、SMSImprove and update the ISMSPLAN行动行动CHECKACTISMS执行风险评估执行风险评估处理计划处理计划执行控制执行控制执行意识执行意识/培训培训将将 ISMS 放到放到 操作使用中操作使用中ISMS StandardsBS 7799-2:2002Design the ISMSImplement and use the ISMS监控和检查监控和检查ISMSImprove and update the ISMSPLANDO检查检查ACTISMS执行监控进程执行监控进程执行定期检查执行定期检查 检查剩余风险和可接检查剩余风险和可接受的风险受的风险内部审计内部审计

23、ISMS StandardsBS 7799-2:2002Design the ISMSImplement and use the ISMSMonitoring and review the ISMS改进和升级改进和升级ISMSPLANDOCHECKACTISMS实现改进实现改进矫正性和预防性矫正性和预防性的活动的活动传达结果传达结果 检查改进达到的目标检查改进达到的目标ISMS AssetsBusiness processesInformation PeopleServicesICTPhysical locationApplications asset directoryAssetsCorpo

24、rate imagePeopleInformation/information systems ProcessesProducts/servicesApplicationsICTPhysicalISO/IEC 17799 7.1.1 Inventory of assetsISMS RisksAsset threats&vulnerabilitiesAsset value&utility asset directoryAssetsCorporate imagePeopleInformation/information systems ProcessesProducts/servicesAppli

25、cationsICTPhysicalRisks&impacts风险等级风险等级不可容忍不可容忍的风险的风险可容忍可容忍的风险的风险很少发生业很少发生业务暴露务暴露持续的业务持续的业务暴露暴露对业务影响的对业务影响的因果关系较小因果关系较小对业务产生灾难对业务产生灾难性影响的因果关性影响的因果关系系业务影响业务影响低低(可忽略,无关紧要,为不足道,无须重视)中低中低(值得注意,相当可观但不是主要的)中中(重要,主要)中高中高(严重危险,潜在灾难)高高(破坏性的,总体失灵,完全停顿)保密性要求保密性要求(C)资产价值资产价值分级分级描述描述1 低低可公开可公开非敏感信息和信息处理设施及系统资源，可

26、以公开非敏感信息和信息处理设施及系统资源，可以公开.。2 中中仅供内部使用或仅供内部使用或限制使用限制使用非敏感的信息仅限内部使用，即不能公开或限制信息或信息非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使处理设施及系统资源可在组织内部根据业务需要的约束来使用。用。3 高高秘密或绝密秘密或绝密敏感的信息或信息处理设施和系统资源，只能根据需要敏感的信息或信息处理设施和系统资源，只能根据需要（need-to-know）或严格依据工作需要。）或严格依据工作需要。资产分级资产分级 完整性要求完整性要求(I)资产价值资产价值分级分级描述描述1 低低

27、低完整性低完整性对信息的非授权的损害或更改不会危及业务应用或对业务对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。的影响可以忽略。2 中中中完整性中完整性对信息的非授权的损害或更改不会危及业务应用，但是值对信息的非授权的损害或更改不会危及业务应用，但是值得注意以及对业务的影响是重要的。得注意以及对业务的影响是重要的。3 高高高或非常高高或非常高完整性完整性对信息的非授权的损害或更改危及业务应用，且对业务的对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应用的重大或全局失败。影响是严重的并会导致业务应用的重大或全局失败。资产分级资产分级可用性要求可用性

28、要求(A)资产价值资产价值分级分级描述描述1 -低低低可用性低可用性资产资产(信息信息,信息系统信息系统 系统资源系统资源/网络服务网络服务,人员等人员等.)可以容忍可以容忍多于一天的不能使用。多于一天的不能使用。2 中中中可用性中可用性资产资产(信息信息,信息系统信息系统 系统资源系统资源/网络服务网络服务,人员等人员等.)可以容忍可以容忍半天到一天的不能使用。半天到一天的不能使用。3 高高高可用性高可用性资产资产(信息信息,信息系统信息系统 系统资源系统资源/网络服务网络服务,人员等人员等.)可以容忍可以容忍几个小时的不能使用。几个小时的不能使用。4 非常非常高非常高的可用非常高的可用性性

29、 资产资产(信息信息,信息系统信息系统 系统资源系统资源/网络服务网络服务,人员等人员等.)必须保证必须保证每年每周每年每周24x7 工作。工作。资产分级资产分级威胁和脆弱性估计威胁和脆弱性估计 威胁威胁应该考虑它们出现的可能性，以及可能利用应该考虑它们出现的可能性，以及可能利用弱点弱点/脆弱性可能性。脆弱性可能性。实例实例不太可能不太可能发生的机会小于发生的机会小于可能可能出现的机会小于出现的机会小于 25%很可能很可能/大概大概机会机会 50:50高可能高可能发生的机会多于发生的机会多于 75%非常可能非常可能不发生的机会小于不发生的机会小于1/10绝对无疑绝对无疑100%会发生会发生风险

30、控制风险控制Risk thresholdRisk level风险控制风险控制Continual Improvement启示启示 风险评估是出发点风险评估是出发点 等级划分是判断点等级划分是判断点 安全控制是落脚点安全控制是落脚点 27号文件把实施信息系统安全等级保护作号文件把实施信息系统安全等级保护作为重要基础性工作。为重要基础性工作。信息安全等级保护制度是国家在国民经济信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设稳定和公共

31、利益，保障和促进信息化建设健康发展的一项基本制度。健康发展的一项基本制度。我们国家为实施等级保护奋斗了我们国家为实施等级保护奋斗了20年。年。实施信息安全等级保护，能够有效地提高我国信息和信息实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，系统安全建设的整体水平，有利于有利于在信息化建设过程中同步建设信息安全设施，保障信息安在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；全与信息化建设相协调；有利于有利于为信息系统安全建设和管理提供系统性、针对性、可行性为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；的

32、指导和服务，有效控制信息安全建设成本；有利于有利于优化信息安全资源的配置，对信息系统分级实施保护，重优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；面的重要信息系统的安全；有利于有利于明确国家、法人和其他组织、公民的信息安全责任，加强明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；信息安全管理；有利于有利于推动信息安全产业的发展，逐步探索出一条适应社会主义推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。市场经济发

33、展的信息安全模式。信息安全等级保护制度的基本内容信息安全等级保护制度的基本内容 信息安全等级保护是指对国家秘密信息、信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级对信息系统中发生的信息安全事件分等级响应、处置。响应、处置。保护等级的划分保护等级的划分 1、第一级为、第一级为自主保护级自

34、主保护级，适用于一般的信息和，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。社会秩序、经济建设和公共利益。2、第二级为、第二级为指导保护级指导保护级，适用于一定程度上涉，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定安全、社会秩序、经济建设和公共利

35、益造成一定损害。损害。3、第三级为、第三级为监督保护级监督保护级，适用于涉及国家安全、，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。经济建设和公共利益造成较大损害。4、第四级为、第四级为强制保护级强制保护级，适用于涉及国家安全、，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩息系统，其受到破坏后，会对国家安全、社会秩序、经

36、济建设和公共利益造成严重损害。序、经济建设和公共利益造成严重损害。5、第五级为、第五级为专控保护级专控保护级，适用于涉及国家，适用于涉及国家安全、社会秩序、经济建设和公共利益的安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。济建设和公共利益造成特别严重损害。实施信息安全等级保护工作的要求实施信息安全等级保护工作的要求（一）完善标准，分类指导。（一）完善标准，分类指导。（二）科学定级，严格备案。（二）科学定级，严格备案。（三）建设整

37、改，落实措施。（三）建设整改，落实措施。（四）自查自纠，落实要求。（四）自查自纠，落实要求。（五）建立制度，加强管理。（五）建立制度，加强管理。（六）监督检查，完善保护。（六）监督检查，完善保护。同一个问题的不同侧面同一个问题的不同侧面 从资产的重要性看从资产的重要性看-划分需要的保护等级。划分需要的保护等级。从面对的威胁和脆弱性看从面对的威胁和脆弱性看-进行风险分析。进行风险分析。从安全保障能力看从安全保障能力看-选择需要的安全控制。选择需要的安全控制。等级保护制度进行全面管理、响应和处置。等级保护制度进行全面管理、响应和处置。几点认识几点认识 风险评估是落实等级保护的抓手。风险评估是落实等级保护的抓手。面向对象和面向手段不能分割。面向对象和面向手段不能分割。IT驱动和业务驱动同样需要。驱动和业务驱动同样需要。风险评估是出发点风险评估是出发点 等级划分是判断点等级划分是判断点 安全控制是落脚点安全控制是落脚点谢谢大家谢谢大家演讲完毕，谢谢观看！