📌  相关文章
📜  信息安全风险管理 |组 2

📅  最后修改于: 2021-10-19 08:34:11             🧑  作者: Mango

先决条件 – 风险管理 |组 1
2. 风险评估——
风险管理是一项经常性的活动,另一方面,风险评估是在离散点执行的,直到执行下一次评估。风险评估是评估已知和假定的威胁和漏洞以确定预期损失的过程。它还包括确定系统操作的可接受程度。

风险评估从上下文建立阶段接收输入和输出,输出是评估的风险风险列表,其中根据风险评估标准对风险进行优先级排序。

  1. 风险识别——
    在此步骤中,我们确定以下内容:
    • 资产
    • 威胁
    • 现有和计划的安全措施
    • 漏洞
    • 结果
    • 相关业务流程

    因此输出包括以下内容:

    • 资产和相关业务流程列表以及相关威胁列表、现有和计划的安全措施
    • 与任何已识别威胁无关的漏洞列表
    • 事件场景列表及其后果
  2. 风险评估 –
    风险评估有两种方法:

    1. 定量风险评估——除金融机构和保险公司外,这种方法并不多被其他组织使用。定量风险在数学上表示为年化预期损失 (ALE)。 ALE 是由于风险在一年内实现而可以预期的资产的预期货币损失。 

    ALE= SLE * ARO

    单次损失预期 (SLE) 是资产单次损失的价值。这可能是也可能不是全部资产。这就是损失的影响。年发生率 (ARO) 是损失发生的频率。这就是可能性。

    理论上定量风险评估似乎很简单,但在为参数分配值时存在问题。虽然系统成本很容易定义,但间接成本,如信息价值、生产活动损失和恢复成本很难准确定义。其他元素似然不准确。

    因此,定量风险评估存在很大的误差。由于无法获得准确和完整的信息,因此对 IT 系统执行定量风险评估并不具有成本效益。

    2. 定性风险评估——定性风险评估从主观角度定义可能性、影响值和风险,记住可能性和影响值是高度不确定的。定性风险评估通常给出“高”、“中”和“低”的风险结果。以下是定性风险评估的步骤:

    1. 识别威胁:必须识别威胁和威胁源。威胁应包括威胁源以确保准确估计。编制整个组织中存在的所有可能威胁的列表并将此列表用作所有风险管理活动的基础非常重要。威胁和威胁源的一些示例是:
      • 自然威胁——洪水、地震等。
      • 人类威胁——病毒、蠕虫等。
      • 环境威胁——停电、污染等。
    2. 识别漏洞:通过多种方式识别漏洞。其中一些工具是:
      1. Vulnerability Scanners——这是一个软件,将操作系统或缺陷代码与缺陷签名数据库进行比较。
      2. 渗透测试——人类安全分析师将对系统进行威胁,包括社会工程等操作漏洞。
      3. 运营和管理控制审计——通过将当前文档与最佳实践(例如 ISO 17799)进行比较,并将实际实践与当前记录的流程进行比较,来审查运营和管理控制。
    3. 将威胁与漏洞相关联:这是风险评估中最困难和强制性的活动。 TV 对列表是通过查看漏洞列表并将漏洞与每个适用的威胁配对,然后通过查看威胁列表并确保已识别该威胁操作/威胁可以针对的所有漏洞来建立的。
    4. 定义可能性:可能性是由威胁源引起的威胁将针对漏洞发生的概率。样本似然定义可以是这样的:

      在一年期间成功实施威胁的机会低 -0-30%
      中等 – 在一年期间成功实施威胁的几率为 31-70%
      高 – 在一年内成功实施威胁的几率为 71-100%

      这只是一个示例定义。组织可以使用自己的定义,例如非常低、低、中等、高、非常高。

    5. 定义影响:最好根据对机密性、完整性和可用性的影响来定义影响。影响的示例定义如下:
      Confidentiality Integrity Availability
      Low Loss of Confidentiality leads to Limited effect on organization Loss of Integrity leads to Limited effect on organization Loss of Availability leads to Limited effect on organization
      Medium Loss of Confidentiality leads to Serious effect on organization Loss of Integrity leads to Serious effect on organization Loss of Availability leads to Serious effect on organization
      High Loss of Confidentiality leads to Severe effect on organization Loss of Integrity leads to Severe effect on organization Loss of Availability leads to Severe effect on organization

      组织效应的例子如下:

      Effect Type Effect on Mission Capability Financial Loss Effect on Human Life
      Limited Effect Temporary loss of one or more minor mission capabilities Under Rs 50, 000 Minor Harm
      Serious Effect Long term loss of one or more minor capabilities or Temporary loss of one or more primary mission capabilities. Rs 50, 000- Rs 1, 00, 000 Significant Harm
      Severe Effect Long term loss of one or more primary mission capabilities over Rs 1, 00, 000 Loss of life
    6. 评估风险:评估风险是确定针对漏洞实施威胁的可能性以及成功入侵所产生的影响的过程。样本风险确定矩阵如下:
      Impact
      High Moderate Low
      Likelihood High High High Moderate
      Moderate High Moderate Low
      Low Moderate Low Low

3. 风险评估——风险评估过程接收风险分析过程的输出作为输入。它首先将每个风险级别与风险接受标准进行比较,然后将风险列表与风险处理指征进行优先排序。

3. 风险缓解/管理 –
风险缓解涉及优先考虑、评估和实施从风险评估过程中推荐的适当的降低风险的控制措施。由于消除组织中的所有风险几乎不可能,因此高级管理人员以及职能和业务经理有责任使用成本最低的方法并实施最合适的控制措施以将风险降低到可接受的水平。

根据 NIST SP 800 30 框架,风险缓解有 6 个步骤。

  1. 风险假设:这意味着接受风险并继续运行系统,但同时尝试实施控制措施
  2. 风险规避:这意味着消除风险原因或后果,以规避风险,例如,如果发现风险,则关闭系统。
  3. 风险限制:通过实施控制措施来限制风险,以最大限度地减少威胁利用漏洞的不利影响(例如,使用支持、预防、检测控制)
  4. 风险规划:通过制定优先级、实施和维护控制的风险缓解计划来管理风险
  5. 研究和确认:在此步骤中涉及承认漏洞或缺陷并研究控制以纠正漏洞。
  6. 风险转移:这意味着转移风险以补偿损失,例如在所有情况下购买保险保证不是 100%,但可以从损失中恢复一些。

4. 风险沟通——
此步骤的主要目的是与组织的所有利益相关者沟通,了解风险的所有方面。建立共识很重要,因为它会影响要做出的决定。

5. 风险监控和审查——
安全措施会定期审查,以确保它们按计划工作,并且环境的变化不会使其失效。随着工作环境的重大变化,安全措施也应该更新。业务需求、漏洞和威胁会随着时间的推移而变化。应安排定期审核,并应由独立方进行。

6. IT 评估和评估 –
应验证安全控制。技术控制是需要测试和验证的系统。漏洞评估和渗透测试用于验证安全控制的状态。根据安全监控策略、事件响应计划以及安全验证和指标监控系统事件是确保获得最佳安全级别的基本活动。检查新漏洞并应用程序和技术控制(例如定期更新软件)非常重要。