信息安全风险治理——制度与标准篇

安全的最终的目的是把安全风险控制在可控范围内，风险治理也是个老生常谈的话题了，本文主要是从相关的制度和规范来学习下信息安全风险治理的流程。

NIST RMF

RMF是NIST于2010年出版的特别出版物800-37rev1。NIST开发的此框架，提供一种灵活、动态的方法有效管理高度多样化的环境中贯穿系统全生命周期与信息系统相关的安全风险。

RMF风险管理框架分为六个步骤：

1、categorize：系统分类

需要先了解治理对象，涉及整个组织机构。在分类某个系统前应先定义好系统边界。基于该系统边界，与该系统相关的所有信息类型都应被识别出来。包括该系统的战略价值、职责角色、运行环境以及与其相关的其他可能影响到最终安全定级的系统。

2、select：选择安全控制

依据对目标系统的风险识别和评估，选择合适的控制举措，并视情况裁剪和调整，以将风险降低到可接受水平。

3、implement：实施安全举措

针对控制系统对象实施量身定制的控制策略，并且此策略与安全文档保持一致。同时将完整性监控规则应用于特定的配置文件，以确保对系统结构的更改具有控制权和可见性。

4、assess：评估安全举措

评估安全举措是否正确实施，效果是否满足安全要求，是否符合安全预期。

5、authorize：信息系统授权

信息系统授权操作基于对风险的判断，也就是要确定该信息系统操作会给组织运营和个人、资产、其他组织及国家带来的风险，以及认定该风险是可接受的。

6、monitor：持续监控

持续监视项目能使组织机构在高度动态的操作环境中长期维持信息系统的安全授权，使系统能适应不断变化的威胁、漏洞、技术和任务/业务过程。

RMF六步骤的实施将风险管理的概念融入了系统生命周期，强调持续监控和自动化工具的使用。

GB/T 20984—2007 信息安全风险评估规范

GB/T指推荐性国家标准，本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统的生命周期不同阶段的实施要点和工作形式，适用于规范组织开展的风险评估工作，包括如下几部分：

业务战略是依托于资产来实现的，资产价值越高依托程度也就越高，相反对风险的容忍度也就越低；风险是由威胁带来的，威胁越多风险也就越大甚至演变成安全事件；脆弱性是资产的属性，它是安全措施未被很好满足的情况下产生的，脆弱性被威胁利用后会给资产带来安全风险；由于对抗风险的需求存在，会衍生出一系列的安全举措（基于资产成本考虑ROI），来抵御或预防威胁，然后当安全举措失效后会产生残余风险，残余风险需要被例行监控起来以免造成安全事件；

风险的三要素

风险管理的核心三要素分别是：资产、威胁、脆弱性，威胁利用了资产的脆弱性给资产带来了安全风险。

从上图公式可以看出，如果要量化一个风险，或定性评判一个风险的大小，和两个变量有关：风险发生的可能性、其产生的影响（损失）。

风险发生的可能性不难理解，和威胁出现的频率、脆弱性的严重程度呈正相关；其产生的影响和脆弱性的严重程度以及资产价值正相关，如下图：

由此可以看出和风险治理中需要关注的三个核心要素是资产、威胁、脆弱性。

风险评估流程

（风险评估流程图）

评估前准备

风险治理可以选择做为一个项目来执行，和项目初期启动规划阶段类似，在风险治理的初期也需要进行一系列的前期准备工作，包括明确治理目标、明晰治理范围、涉及的团队/干系人等了解目前项目现状，以及组建评估团队商讨治理方案并获得高层的支持等。

关键要素识别

包括核心三要素（资产、脆弱性、威胁）以及现有安全控制措施的识别，前期充分细致的调研摸底是后期工作顺利实施的有力保障。

• 资产识别
  包括资产范围，资产类型、归属、安全现状、维护情况以及量级等属性，除此之外还需要对资产的价值进行评估，以便在此基础上选择ROI更高更合适的安全举措。
  在风险评估中的资产价值不是通常意义上的经济价值，是基于资产安全三要素（保密性、完整性、可用性）的达成程度或及安全三要素未达成时造成的影响程度来决定的。

• 威胁识别
  威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素包括人为因素和环境因素，人为因素又包括恶意和非恶意，环境因素又包括地震海啸等不可抗因素和其他物理因素。威胁作用形式可以分为直接方式和间接方式，偶发或者蓄意等。

• 脆弱性识别
  脆弱性是资产的属性，脆弱性只有被威胁利用后才会带来风险。脆弱性识别的依据可以是国际或国家政策/标准、行业安全标准/规范、应用流程等安全要求。对应在不同环境中同样的脆弱点其严重程度也是不一样的，评估时需要结合组织的安全策略来考虑。
  大致可以分为技术上和管理上的脆弱点，技术上可以从网络层、系统层、应用层等层面来识别，管理上从安全策略、流程组织等方面进行识别。

• 已有安全措施确认
  对已采取的安全措施的有效性进行review和评估，是否还在正常运转，效果是否符合预期，会不会带来新的安全风险等。
  安全措施具体细分可以分为预防性和保护性，前者可以降低安全事件发生的可能性，后者可以减少因安全事件发生后带来的不好影响。

风险评估阶段

通过上述阶段的调研和摸底，对资产的风险概况会有一个基本的认识，在风险评估阶段可以从定性评估和定量评估两个维度来看。

定性风险评估借分析者的经验，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。定性评估采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小（如高、中、低等）。定性评估结果高度依赖于评估者的经验和能力，很难客观地跟踪风险管理的效果，并不能为安全措施的成本效益分析提供客观依据，对关键资产财务价值评估参考性较低。

定量评估是试图从数字上对安全风险进行分析评估的一种方法，采用量化的数值描述影响（估计出可能损失的金额）和可能性（概率或频率），分析的有效性取决于所用的数值精确度和完整性。定量风险评估结果是建立在独立客观的程序或量化指标之上的，这样做的优点是可以为成本效益审核提供精确依据，有利于预算决策。当然定量风险评估也存在方法复杂、计算量大、投入资源大、费时费力的缺点

评估文档记录

风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档。

包括评估方案、评估程序、资产识别清单、重要资产、脆弱性识列表、威胁列表、已有安全措施确认表、风险评估报告、处置计划等。

实施风险管理

按照风险管理计划针对威胁和脆弱性执行安全举措。

最后，风险评估应该贯穿于系统全生命周期各阶段中，其方法过程是一致的，但系统不同生命期阶段中实施的对象、内容、和需求不同，因而在实施风险评估时对象、目的、要求也有所不同，各有侧重。比如在规划设计阶段，通过风险评估确定系统的安全目标；在建设阶段，通过风险评估验证系统的安全目标是否达成；在运行维护阶段，需要持续的实施风险评估来识别不断变化系统中面临的风险，从而确保安全措施的有效性，保证安全目标的实现。

标签：威胁,风险,标准,资产,信息安全,脆弱性,安全,治理,评估
来源： https://www.cnblogs.com/ffx1/p/15489445.html