Get best of the week

分析有关信息安全风险管理的国际文件。第1部分

朋友,在以前的帖子中我们审查了有关俄罗斯信贷和金融部门信息保护的法规文件,其中一些涉及信息安全风险评估和管理方法。一般而言,从业务角度看,信息安全管理是更广泛的风险管理过程的子过程:如果公司在分析和评估其所有业务风险后得出结论,认为信息安全风险是相关的,那么信息保护本身就可以发挥最大作用,从而将某些风险最小化。风险。风险管理使您能够有效,合理地构建IS流程并分配资源来保护公司资产,而风险评估则使您能够采取适当的措施将其最小化:为了抵御重大和相关的威胁,使用更昂贵的解决方案是合乎逻辑的,而不是应对微不足道或难以实施的威胁。

此外,内置的信息安全风险管理流程将允许制定并在必要时应用明确的计划来确保业务连续性和灾难恢复(业务连续性和灾难恢复):深入研究各种风险将有助于考虑到例如大量用户突然需要远程访问员工,因为这可能在交通系统流行或崩溃的情况下发生。因此,在本出版物中-有关信息安全风险管理的国际文档分析。享受阅读!

图片

IS风险管理的一般概念


信息安全风险或网络风险被理解为意味着利用资产漏洞作为损害组织的特定威胁的潜在可能性。风险值有条件地表示负面事件的可能性与损害程度的乘积。反过来,将事件的可能性理解为威胁的可能性和脆弱性的危险的乘积,以定性或定量形式表示。按照惯例,我们可以使用逻辑公式来表示:
ValueRisk =事件的概率*损害的大小,其中事件概率=威胁的概率*脆弱性的值


还有风险的条件分类:按风险来源(例如,黑客或内部人员的攻击,财务错误,政府监管机构的影响,承包商的法律主张,竞争对手的负面信息影响);按目的(信息资产,实物资产,声誉,业务流程);根据影响力的持续时间(运营,战术,战略)。

IS风险分析的目标如下:

  1. 识别资产并评估其价值。
  2. 识别对资产和安全漏洞的威胁。
  3. 计算威胁的可能性及其对业务的影响。
  4. 在可能的负面影响成本与保护措施成本之间保持平衡,就发现的风险向公司管理层提供建议。

步骤1至3是风险评估,是可用信息的集合。阶段4已经是直接风险分析(英文风险分析),即研究所收集的数据并发布结果/指示以采取进一步行动。重要的是要了解自己对评估正确性的信心。在第4阶段,还针对每种相关风险提出了处理方法:转移(例如,通过保险),规避(例如,拒绝引进特定技术或服务),接受(有风险的情况下有意识遭受损害的意愿),最小化(采取措施以减少导致事件发生的负面事件的可能性)。在完成风险分析的所有阶段之后,您应该为公司选择可接受的风险级别,建立最低可能的安全级别(英语的绩效基准),然后实施对策,并根据已建立的最低可能级别的可实现性对它们进行进一步评估安全。

实施攻击所造成的损害可以是直接的间接的

直接损害是对公司的直接,明显和易于预测的损失,例如知识产权损失,生产秘密披露,资产价值降低或部分或全部破坏,法律费用以及罚款和赔偿金的支付等。

间接损坏可能导致质量间接损失。
质量损失可以是公司效率的中止或下降,客户的流失,制成品或提供服务的质量下降。间接损失例如是利润损失,商誉损失和产生的额外费用。此外,外国文献还包括存在的总风险(Eng。Total risk),如果根本没有采取任何安全措施,以及存在的剩余风险(Eng。Residual risk),如果意识到威胁,尽管已实施保护措施。

风险分析既可以是定量的定性的

考虑定量风险分析的方法之一。主要指标为以下值:

ALE-年度预期损失;每年所有事件的“成本”。
SLE-单一亏损预期,预期的一次性亏损,即一个事件的“成本”。
EF-暴露因子,对威胁的开放程度,即如果成功实施,威胁将销毁资产的百分比。
ARO-年发生率,根据统计数据每年的平均事件数。

SLE值计算为估算资产值和EF值的乘积,即SLE = AssetValue * EF。同时,资产的成本应包括保护不足的罚款。

ALE的值计算为SLE和ARO的乘积,即ALE = SLE * ARO。 ALE值将有助于对风险进行排名-ALE较高的风险将是最关键的。此外,计算出的ALE值可用于确定已实施保护措施的最大成本,因为根据普遍接受的方法,保护措施的成本不应超过资产的价值或预计损害的金额,并且对攻击者的攻击的合理估计成本应小于预期利润。从实施这种攻击。也可以通过从实施保护措施之前的ALE计算值中减去实施保护措施之后ALE的计算值来确定保护措施的价值,并减去实施这些措施的年度成本。有条件地将此表达式编写如下:

(保护措施的执行之前ALE)(该为公司保护措施值)= - (保护措施实施后ALE) - (实施保护措施的年度成本)

的实例定性风险分析可以,例如,Delphi法,其中专家组成的匿名调查中进行反复进行,直到达成共识为止,还有集思广益和所谓评估的其他示例“专家方法。”

接下来,我们给出各种风险管理方法的简要且非详尽的清单,其中最流行的方法将在下面详细介绍。

1.基于美国政府文件NIST(美国国家标准技术研究院,美国国家标准技术研究院)的NIST风险管理框架包括一组相互关联的所谓“特殊出版物”(例如,特殊出版物(SP),我们将它们称为易于理解的标准):

1.1。 NIST SP 800-39标准“管理信息安全风险”提供了三级风险管理方法:组织,业务流程,信息系统。该标准描述了风险管理过程的方法:识别,评估,响应和监视风险。
1.2。 NIST SP 800-37,信息系统和组织的风险管理框架,提出了一种用于安全性和隐私性的系统生命周期管理方法。
1.3。 NIST SP 800-30标准,进行风险评估的指南,重点关注IT,IS和操作风险。它描述了准备和进行风险评估,传达评估结果以及进一步支持评估过程的方法。
1.4。 NIST SP 800-137标准“信息安全连续监视”描述了一种监视信息系统和IT环境的方法,以控制所应用的信息安全风险管理措施以及对其进行审查的需求。

2.国际标准化组织ISO(国际标准化组织)的标准:

2.1。标准ISO / IEC 27005:2018“信息技术-安全技术-信息安全风险管理”(“信息技术。方法和安全工具。信息安全风险管理”)是ISO 27000系列标准的一部分,并且与其他标准逻辑互连本系列的IB。在考虑风险管理流程时,该标准侧重于信息安全。
2.2。 ISO / IEC 27102:2019标准“信息安全管理-网络保险准则”提供了评估获取网络保险作为一种风险处理措施的需求以及评估和与保险公司互动的方法。
2.3。 ISO / IEC 31000:2018系列标准描述了一种风险管理方法,与IT / IS无关。在本系列中,值得注意的是该标准的国内版本GOST R ISO / IEC 31010-2011“风险管理”中的标准ISO / IEC 31010:2019“风险管理-风险评估技术”。风险评估方法“参考俄罗斯联邦中央银行607-P”,关于确保支付系统不间断运行的程序要求,支付系统不间断运行的指标以及支付系统中的风险分析方法(包括风险概况)。

3. FRAP(简易风险分析过程)方法是一种相对简化的风险评估方法,仅关注最关键的资产。使用专家判断进行定性分析。

4. OCTAVE方法(操作上的关键威胁,资产和漏洞评估)的重点是业务部门成员的独立工作。它用于公司的所有信息系统和业务流程的大规模评估。

5. AS / NZS 4360是澳大利亚和新西兰的标准,不仅着重于IT系统,还着重于公司的业务健康,即提供了更全面的风险管理方法。请注意,该标准目前已被AS / NZS ISO 31000-2009取代。

6. FMEA(故障模式和影响分析)方法论可根据系统的弱点对系统进行评估,以找出不可靠的因素。

7. CRAMM(中央计算和电信局风险分析和管理方法)方法建议使用自动化风险管理工具。

8. FAIR方法学(信息风险因素分析)是用于进行定量风险分析的专有框架,它提供了一种基于成本有效方法,知情决策,风险管理措施,财务指标和准确风险模型比较的风险管理系统构建模型。

9. COSO ERM(企业风险管理)的概念描述了将风险管理与公司的战略和财务绩效相集成的方法,并着重于关系之间的重要性。该文件描述了诸如战略和目标设定,公司的经济效率,风险分析和审查,公司治理和文化以及信息,沟通和报告等风险管理组件。

NIST风险管理框架


第一组文件将是美国国家标准技术研究院(NIST)的风险管理框架。该研究所发布信息安全文档,作为一系列FIPS(联邦信息处理标准)和SP(特殊出版物,800系列)建议的一部分。该系列出版物的特点是逻辑上的相互联系,细节和单一的术语基础。在与信息安全风险管理相关的文档中,应注意NIST SP 800-39、800-37、800-30、800-137和800-53 / 53a。

这套文件的创建是通过《美国联邦信息安全管理法案》(FISMA,2002年)和《美国联邦信息安全现代化法案》(FISMA,2014年)的结果。尽管已宣布NIST标准和出版物对美国法律具有“约束力”,并已在美国政府机构强制实施,但无论其管辖权和所有权形式如何,这些文件都可以视为适合任何寻求改善IS管理的公司。

NIST SP 800-39


因此,NIST SP 800-39 “管理信息安全风险:组织,任务和信息系统视图”提供了独立于供应商,结构化但灵活的方法在公司,资产,个人和交易对手的运营范围内的IS风险管理。同时,风险管理应该是一个整体过程,该过程会影响整个组织,在该组织中,所有级别的基于风险的决策都在进行。本文档将风险管理定义为一个全面的过程,其中包括识别(框架),评估(评估),处理(响应)和监视(监控)步骤。更详细地考虑这些步骤。

1.在确定组织风险的阶段应确定:

  • 风险假设 识别当前的威胁,漏洞,后果,风险的可能性;
  • 风险限制,即 评估,响应和监视能力;
  • 风险承受能力 风险承受能力-可接受的风险类型和水平,以及风险管理问题中可接受的不确定性水平;
  • 优先事项和可能的妥协,即 有必要对业务流程进行优先级排序,研究组织在处理风险时可以做出的取舍,以及该流程所伴随的时间限制和不确定性。

2.在风险评估阶段,组织应确定:

  • IS威胁,即 可能对组织本身构成威胁或可能针对其他组织的特定行动,个人或实体;
  • 内部和外部漏洞,包括公司管理业务流程,IT系统架构等中的组织漏洞;
  • 考虑到利用威胁利用漏洞的可能性对组织造成的损害;
  • 损坏的可能性。

结果,组织收到了风险的决定因素,即 每种风险的损坏程度和损坏发生的可能性。

为了确保风险评估过程,组织预先确定:

  • 用于风险评估的工具,技术和方法;
  • 有关风险评估的假设;
  • 可能影响风险评估的限制;
  • 角色和责任;
  • 在组织内部收集,处理和传递风险评估信息的方法;
  • 在组织中进行风险评估的方法;
  • 风险评估的频率;
  • 获取有关威胁的信息的方式(来源和方法)。

3.在风险应对阶段,组织执行以下活动:

  • 制定可能的风险应对计划;
  • 评估可能的风险应对计划;
  • 从组织的风险承受能力的角度确定可接受的风险应对计划;
  • 实施可接受的风险应对计划。

为了能够对风险做出响应,组织确定可能的风险处理类型(接受,避免,最小化,分担或转移风险),以及制定响应计划的工具,技术和方法,评估响应计划的方法以及在内部采取的响应措施的通知方法组织和/或外部交易对手。

4.在风险监控阶段,需要完成以下任务:

  • 验证已通过的风险应对计划的执行情况以及是否符合IS要求;
  • 确定当前风险应对措施的有效性;
  • - - , , , - , -, , - ..

组织描述了评估法规遵从性和风险应对有效性的方法,以及如何控制可能影响风险应对有效性的变更。

风险管理在组织,业务流程和信息系统的级别上进行,同时应确保这些级别之间的信息互连和交换,以便不断提高所采取措施的有效性以及将风险传达给所有利益相关者。在较高级别(组织级别),制定决策以识别风险,这些风险直接影响在较低级别(业务流程和信息系统)进行的流程以及这些流程的融资。

组织层面进行与组织的业务目标和法规要求相一致的管理功能的开发和实施:创建风险管理功能,任命负责人员,实施风险管理策略并确定风险承受能力,制定和实施IT和信息安全方面的投资策略。

在业务流程级别,应基于细分,资源预留和不存在单点故障的原则,进行面向风险的业务流程和组织架构的定义和创建。此外,正在这一级别上进行信息安全体系结构的开发,这将确保有效地执行信息安全要求以及所有必要措施和保护手段的实施。

在信息系统一级有必要确保实施更高级别的决策,即确保在系统生命周期的所有阶段(即初始化,开发或获取,实施,使用和停用)进行IS风险管理。该文件强调了IT系统弹性的重要性,这是公司业务职能生存能力的指标。

请注意,在本文档所考虑的文档的附录“ H”中,描述了风险响应阶段中列出的每种风险处理方法。因此,这表明组织应该既有在给定情况下选择特定风险处理方法的一般策略,又应为每种风险处理方法分别制定策略。指出了选择一种或另一种风险管理方法的基本原则:

  • (acceptance) - ;
  • (avoidance) , - , -;
  • (share) (transfer) — , — - ;
  • ( ) (mitigation) . - , , , , , .

该文件还非常重视组织文化和对供应商/承包商的信任,这是成功进行风险管理的因素。特别是,据说公司的组织文化和高层管理人员会直接影响风险管理选择的决策,因此,总体风险管理策略应考虑到公司的风险偏好,并反映风险管理的实际方法。在附录“ G”中描述了与交易对手和供应商建立信任的模型:基于承包商检查(例如,通过审核),历史信任(当交易对方在长期关系历史中没有违反行为时),对第三方的信任的模型( (对交易对手进行独立评估)当监管要求建立了对此类供应商的信任要求时)以及混合模型。

NIST SP 800-37


现在让我们继续进行NIST SP 800-37, “信息系统和组织的风险管理框架:安全和隐私的系统生命周期方法”(“信息系统和组织的风险管理框架:安全和隐私的系统生命周期”) 。

当前文档的修订版为№2,并于2018年12月进行了更新,目的是考虑到现代威胁形势,并强调公司负责人一级风险管理的重要性,强调风险管理框架(风险管理框架,RMF)与网络安全框架(网络安全)之间的联系构架,CSF),指出了整合隐私管理流程和供应链风险管理(SCRM)的重要性,并且在逻辑上将提议的保护措施(控制)列表与NIST文档联系起来SP 800-53。此外,如果需要,公司可以使用NIST SP 800-37的规定执行相互评估公司的风险管理程序的情况。与NIST SP 800-39类似,在组织,任务,信息系统的级别上考虑了风险管理。

NIST SP 800-37指出,整体而言,风险管理框架表明了在整个生命周期(系统开发生命周期,SDLC)中开发和实施IT系统中的安全性和机密性,持续支持态势感知的重要性关于使用连续监视(CM)流程为IT系统提供保护的状态,并向管理层提供信息以制定基于风险的明智决策。 RMF中标识了以下类型的风险:计划风险,违规风险,财务风险,法律风险,业务风险,政治风险,安全和保密风险(包括供应链风险),项目风险,声誉风险,生命安全风险,战略风险规划。

此外,风险管理框架:

  • 为信息和信息系统的基于风险的保护提供可重复的过程;
  • 强调筹备活动对管理安全和隐私的重要性;
  • 提供信息和信息系统的分类,以及防护设备的选择,实施,评估和监控;
  • 建议使用自动化工具以接近实时的方式管理风险和保护措施,以及使用相关的时间指标为管理层提供信息以供决策;
  • 将风险管理流程连接到各个级别,并表明选择负责采取保护措施的人员的重要性。

该文档包含应用RMF的7个步骤:

  1. , .. -;
  2. ( , NIST SP 800-30 3 , : , , );
  3. () ;
  4. , ;
  5. , , ;
  6. ;
  7. , , , .

此外,NIST SP 800-37出版物列出了在RMF应用程序的每个阶段应执行的任务。对于每个任务,都将指示任务(控件)的名称,并参考相应CSF控件的类别,负责和辅助角色的列表,任务的附加说明以及必要时提供指向相关NIST文档的链接的形式列出过程的输入和输出(结果)数据。

我们在下面列出了应用RMF的每个阶段的任务。组织级别

的“ 准备阶段的目标包括:

  • 定义风险管理的角色;
  • 考虑组织的风险承受能力,制定风险管理策略;
  • 风险评估;
  • 从网络安全框架文档中选择保护措施和/或配置文件的目标值;
  • 可以从更高级别(例如,从组织或业务流程的级别)继承的通用保护措施的IT系统定义
  • 优先考虑IT系统;
  • 制定和实施一项战略,以不断监测保护措施的有效性。

IT系统级别 的“ 准备阶段的任务包括:

  • 定义每个IT系统支持的业务功能和流程
  • 确定对系统的创建,实施,评估,功能,支持,退役感兴趣的人员(利益相关者);
  • 识别需要保护的资产;
  • 确定系统的授权边界;
  • 识别系统中处理/传输/存储的信息类型;
  • 识别和分析系统中处理/传输/存储的所有类型信息的生命周期;
  • 在IT系统级别进行风险评估并更新评估结果列表;
  • 定义系统和操作环境的安全性和机密性要求
  • 系统在公司整体架构中的位置;
  • 分配系统和操作环境的安全性和机密性要求的应用点;
  • 在相关部门和文件中对IT系统进行正式注册。

分类阶段的任务包括:

  • 记录系统特性;
  • 根据安全要求进行系统分类和分类结果记录;
  • 根据安全要求审查和批准结果以及有关分类的决定。

选择一套保护措施阶段的任务包括:

  • 选择系统及其运行环境的保护措施;
  • 澄清(适应)系统及其运行环境的所选保护措施;
  • 向系统及其运行环境分配安全和保密措施的应用点;
  • 在相关计划中记录为确保系统及其环境的安全性和机密性而计划采取的措施;
  • 制定和实施一项战略,以监测所采取的保护措施的有效性,该战略在逻辑上与总体组织监测战略联系在一起并对其进行补充;
  • 审查和批准计划,以确保系统及其操作环境的安全性和机密性。

实施保护措施 ”阶段的任务包括:

  1. 根据安全和保密计划执行安全措施;
  2. 事后根据实际的执行结果记录对计划的保障措施的更改。

评估已实施的安全措施阶段的任务包括:

  • 选择适合进行的评估类型的评估师或评估团队;
  • 制定,审查和批准评估保护措施的计划;
  • 按照评估计划中所述的评估程序评估保护措施;
  • 编写评估报告,其中包含发现的缺陷以及消除缺陷的建议;
  • 采取具有保护措施的纠正措施,并重新评估纠正的措施;
  • 根据发现的缺点和评估报告中的建议准备行动计划。

授权阶段的任务包括:

  • 收集文件授权包并将其发送给负责人进行授权;
  • 分析和确定使用该系统或采取保护措施的风险;
  • 确定和执行针对已识别风险的首选行动计划;
  • 确定使用系统或采取保护措施的风险的可接受性;
  • 报告授权结果以及缺乏任何对安全或隐私构成重大风险的安全措施。

持续监视阶段的任务包括:

  • , ;
  • ;
  • , , ;
  • , , ;
  • ;
  • ;
  • .

NIST SP 800-30


NIST SP 800-30 进行风险评估的 特殊指南着重于风险评估过程,这是根据NIST SP 800-39规定的组织风险管理过程的基本组成部分,处理和监控风险。风险评估程序用于识别,评估和优先考虑将信息系统用于组织,其资产和员工的运营活动所产生的风险。风险评估的目标是通过确定以下内容来为决策者提供信息并支持风险应对流程:

  • 对组织本身以及对其他组织的间接威胁;
  • 内部和外部漏洞;
  • 考虑到利用威胁利用漏洞的可能性,对组织的潜在损害;
  • 这种损坏的可能性。

最终结果是计算风险的决定因素(价值),即 损害金额和损害可能性的函数。可以类似于NIST SP 800-39和NIST SP 800-37中使用的方法,在所有三个风险管理级别(组织,任务,信息系统级别)进行风险评估。要强调的是,风险评估是一个持续的过程,会影响组织中各个级别的风险管理,并且还需要将其纳入系统开发生命周期(SDLC)中,并且其执行频率必须足以达到评估的目标和范围。

风险评估过程包括:

  • 准备风险评估;
  • 风险评估;
  • 在组织内部传达评估结果并传递信息;
  • 保持取得的成果。

该文件说明了编制风险评估方法的重要性,该方法是组织在识别风险阶段开发的。表示组织可以根据可用资源,SDLC阶段,业务流程的复杂性和成熟度,所处理信息的重要性/重要性来选择一种或几种风险评估方法。同时,通过创建正确的方法,组织可以提高已实现风险评估的质量和可重复性。风险评估方法通常包括:

  • 风险评估过程的描述;
  • 描述被评估风险因素及其之间关系的风险模型;
  • 一种风险评估方法(例如定性或定量),描述了风险因素可以采取的价值以及如何处理这些因素的组合;
  • 一种分析方法(例如,以威胁为中心,着重于资产或漏洞),描述了如何识别和分析风险因素的组合。

风险模型描述了估计的风险因素及其之间的关系。风险因素是风险模型中用作在进行风险评估时确定风险水平的输入的特征。此外,风险因素还用于传达风险,以突出那些在某些情况和环境下会严重影响风险水平的因素。典型的风险因素包括:

  • 威胁;
  • 漏洞;
  • 负面影响;
  • 可能性;
  • 前提条件。

但是,某些风险因素可以分解为更详细的特征,例如,威胁可以分解为威胁源和威胁事件。

威胁是指任何可能通过未经授权的访问,破坏,信息披露或修改和/或拒绝服务而对业务流程或资产,员工,其他组织产生不利影响的情况或事件。威胁事件是由威胁源生成的。威胁的来源可能是旨在利用此漏洞的蓄意采取的措施,也可能是无意采取的措施,其结果是意外地利用了该漏洞。通常,威胁源的类型包括:

  • ;
  • ;
  • , ;
  • .

确定威胁事件的细节取决于建立风险模型的深度。在详细考虑风险模型的情况下,可以构建威胁情景,这些威胁情景是一组若干威胁事件,这些事件导致归因于特定威胁源(或多个源)的负面影响,并按时间排序;同时,还考虑了顺序利用多个漏洞导致成功实施攻击的潜在可能性。网络或物理攻击中的事件威胁以一组策略,技术和规程(例如,策略,技术和规程, TTP) 为特征,我们之前已经谈到

审议中的文件还提到了“ 威胁偏见“(例如威胁转移),这是指攻击者根据公司采取的保护措施并由攻击者确定的方式更改其TTP。威胁转移可以在临时域(例如,尝试在其他时间进行攻击或及时扩展攻击),目标域(例如,选择安全性较低的目标),资源域(例如,使用攻击者的其他资源闯入目标),域中进行规划或攻击方法(例如,使用其他黑客工具或尝试使用其他方法进行攻击)。此外,要强调的是,攻击者通常会选择阻力最小的路径来实现其目标,即选择保护链中最薄弱的环节。

脆弱性-这是信息系统,安全程序,内部保护方法或特定实施/特定技术或系统的功能方面的弱点。漏洞的特征是在计算出修复漏洞的重要性的范围内具有危险性;但是,可以根据利用此漏洞带来的预期负面影响来确定危险。组织信息系统中的大多数漏洞是由于未曾(有意或有意)实施IS措施或未正确实施而导致的。记住威胁的演变和受保护系统本身也很重要-两种变化都会随着时间而发生,在重新评估风险时应将其考虑在内。除了IT系统中的技术漏洞之外,还应考虑组织管理和系统体系结构中的错误。

一个风险评估的情况下诱发条件是存在于业务流程,架构,或IT系统影响(减少或增加)损坏的可能性受到威胁的情况。逻辑上的同义词是术语“易感性”(英语易感性)或“开放性”(英语易感性),这意味着该漏洞可被危害威胁利用。例如,SQL服务器可能容易受到SQL注入漏洞的攻击。除了技术前提外,还应考虑组织前提条件:例如,办公室在低地上的位置会增加发生洪灾的风险,而开发IT系统时员工之间缺乏沟通会增加将来破坏系统的风险。

发生概率(英国发生的可能性)威胁-根据对某个漏洞(或一组漏洞)可以被某个威胁利用的可能性的分析得出的风险因子,同时考虑到该威胁最终会造成实际破坏的可能性。对于故意威胁,通常根据攻击者的意图,能力和目标来评估发生可能性的评估。对于意外威胁,对发生可能性的评估通常取决于经验和历史数据。此外,从某个时间角度(例如,明年或报告期)估计发生的可能性。如果威胁是在一定时间内几乎全部100%发起或实施的,在评估风险时,应考虑预期的实施频率。在评估威胁的可能性时,应考虑组织的管理和业务流程的状态,前提条件,现有保护措施的存在和有效性。负面影响的可能性意味着在实施威胁期间可能造成任何损害,而不论其程度如何。以下三个步骤可用于确定威胁事件发生的总体概率:以下三个步骤可用于确定威胁事件发生的总体概率:以下三个步骤可用于确定威胁事件发生的总体概率:

  1. , - ( ) ( ).
  2. , , , .
  3. .

除此方法外,该文档建议不要完全寻找所有相关的威胁和漏洞,而应着重于真正可用于攻击的威胁和漏洞以及没有足够防护措施的业务流程和功能。威胁事件

的负面影响(英语:Eng。Impact)级别是指由于未经授权的披露,访问,更改,信息丢失或信息系统无法访问而造成的预期损害程度。组织明确定义:

  1. 用于确定负面影响的过程。
  2. 用于确定不良影响的假设。
  3. 获得有关负面影响的信息的来源和方法。
  4. 用于确定负面影响的理由。

此外,在计算负面影响时,组织应考虑资产和信息的价值:您可以使用公司公认的系统,根据重要性级别或对负面影响的评估结果对信息进行分类(例如,隐私影响评估)。

在评估风险时,一个重要因素是由于以下自然而然的局限性(例如无法准确预测未来事件)而导致的不准确程度(英语不确定性);有关威胁的可用信息不足;未知漏洞;无法识别的相互依存关系。

基于以上所述,风险模型可以描述为以下逻辑结构:

威胁源(具有某些特征)具有一定程度的概率,会发起一个利用漏洞(具有一定程度的危险,并考虑到保护措施的先决条件和成功规避)的威胁事件从而造成负面影响(一定数量的风险取决于损害程度和可能性损坏)会带来风险

该文件还就风险汇总流程的使用提出了建议。(英文风险汇总),以便将多个分散的或低级别的风险合并为一个更通用的风险:例如,可以将单个IT系统的风险汇总为它们支持的整个业务系统的共同风险。使用这种组合时,应牢记某些风险可能同时发生或比预期的发生得更多。还必须考虑不同风险之间的关系,或者将它们组合在一起,或者相反,将它们分离。

NIST SP 800-30还描述了风险评估的主要方法:定量(英语定量),定性(英语定性)和半定量(英语半定量)。

定量的该分析按特定数量(成本,停机时间,成本等)进行操作,最适合于成本效益分析,但是它非常耗费资源。

定性分析使用描述性特征(例如,高,中,低),由于可能的估计数少且其表示的主观性,可能导致错误的结论。

半定量该方法是一种中间选择,可以使用更大范围的可能等级(例如1到10),以更准确地评估和分析比较结果。特定风险评估方法的应用取决于组织的活动领域(例如,可以在银行部门中进行更严格的定量分析)和系统生命周期阶段(例如,只能在周期的初始阶段进行定性风险评估,而在成熟阶段则可以进行) -已经定量)。

最后,该文档还描述了分析风险因素的三种主要方式:以威胁为中心(面向威胁),资产(面向资产/影响)或漏洞(面向漏洞)。

以威胁为中心该方法着重于创建威胁情景,并从确定威胁和威胁事件的来源开始;此外,漏洞是在威胁的背景下识别的,负面影响与攻击者的意图有关。面向资产的

方法涉及识别威胁事件和可能对资产造成负面影响的威胁源;潜在的资产损坏是最重要的。 应用基于漏洞的方法

首先分析一组可以利用的前提条件和弱点;此外,确定了威胁的可能事件以及利用其漏洞的后果。该文件包含有关结合所描述的分析方法的建议,以在评估风险时获得更为客观的威胁图景。

因此,如上所述,根据NIST SP 800-30,风险评估过程分为4个步骤:

  • 准备风险评估;
  • 风险评估;
  • 在组织内部传达评估结果并传递信息;
  • 保持取得的成果。

让我们更详细地考虑在每个阶段执行的任务。

1.准备风险评估。

在准备风险评估时,执行以下任务:

1.1。确定风险评估的目的:评估结果期望得到哪些信息,评估结果将决定哪些决定。
1.2。根据对特定组织的适用性,时限,有关所用架构和技术的信息,确定风险评估的范围
1.3。确定具体的假设和局限性,并考虑进行风险评估。作为此任务的一部分,在以下元素中定义了假设和局限性:威胁的来源,威胁事件,漏洞,前提条件,发生的可能性,负面影响,风险容忍度和不准确度,以及所选的分析方法。
1.4。确定初步信息的来源,威胁和漏洞的来源,以及将用于风险评估的负面影响信息。在此过程中,信息源可以是内部的(例如事件和审核报告,安全日志和监视结果),也可以是外部的(例如CERT报告,研究结果以及其他相关的公共可用信息)。
1.5。确定用于风险评估的风险模型,风险评估方法和分析方法。

2.进行风险评估。

作为风险评估的一部分,执行以下任务:

2.1。确定和表征当前威胁源,包括故意威胁的能力,意图和目标,以及非故意威胁的可能影响。
2.2。识别潜在威胁事件,这些事件的相关性以及可以触发威胁事件的威胁源。
2.3。识别影响当前威胁事件将导致负面影响的可能性的漏洞和前提条件。其目的是确定业务流程和信息系统对先前确定的威胁源的脆弱性,以及这些威胁源实际上如何触发已识别的威胁。
2.4。考虑到威胁源,漏洞和先决条件的特征以及组织对这些威胁的影响,并考虑到已实施的保护措施,确定当前威胁事件将带来负面影响的可能性。
2.5。确定威胁源所产生的负面影响,并考虑到威胁源,漏洞和先决条件的特征,以及组织对这些威胁的承受,并考虑到已实施的保护措施。
2.6。考虑到来自这些事件的负面影响的程度以及这些事件的可能性,确定实施当前威胁事件的风险。本标准的附录“ I”包含表I-2,该表I-2用于根据概率和负面影响的级别来计算风险级别。

3.交流风险评估结果并传递信息。

在传达风险评估和信息传递结果的框架中,执行以下任务:

3.1。将风险评估结果传达给决策者以应对风险。
3.2。向有关各方传送有关评估结果确定的风险的信息。

4.维持所取得的成果。

在保持所取得的成果的框架内,执行以下任务:

4.1。持续监控影响组织,其资产,员工和其他组织的运营活动中的风险的风险因素。此任务专用于标准NIST SP 800-137,我们将进一步对其进行考虑。
4.2。使用持续监视风险因素的过程结果来更新风险评估。

如您所见,NIST SP 800-30文档为威胁建模和风险计算提供了相当详细的方法。该标准的附件也很有价值,其中包含风险评估每个子任务的计算示例,以及威胁,威胁事件,漏洞和前提条件的可能来源清单。

NIST SP 800-137


现在,我们转向对NIST SP 800-137 文件“联邦信息系统和组织的信息安全连续监视”(“ 联邦信息系统和组织的信息安全连续监视”)的审查

建立持续监视信息安全性策略的任务是评估安全性措施的有效性和系统的安全性状态,以应对信息安全领域中不断变化的挑战和任务。信息安全连续监视系统可基于从各种资源(例如资产,流程,技术,员工)收集的信息以及响应情况变化的可用功能,帮助企业了解公司信息系统的安全状态。该系统是整体风险管理策略中的策略之一。

与SP系列的其他文档一样,该出版物提供了推荐的过程方法来构建信息安全监视系统,该过程包括:

  • ( , - ; ; );
  • ( ; ; );
  • ;
  • ( ; ; );
  • ;
  • .

该文档还提供以下建议,用于选择确保连续监视信息安全性的工具:

  • 他们对大量数据源的支持;
  • 使用开放和公共规范(例如,SCAP-安全内容自动化协议);
  • 与其他软件集成,例如服务台系统,清单和配置管理系统,事件响应系统;
  • 支持适用法律的合规性分析过程;
  • 灵活的报告流程,能够使正在考虑的数据深度“失败”(英语向下钻取);
  • 支持安全信息和事件管理(SIEM)系统以及数据可视化系统。


UPD:本文的续篇在这里

More articles:


All Articles