From 2bb7ae0a606553e02a6357bb946e88f93980abda Mon Sep 17 00:00:00 2001 From: Noriu Date: Sun, 22 Sep 2024 09:57:41 +0800 Subject: [PATCH] =?UTF-8?q?2024=E5=B9=B49=E6=9C=8822=E6=97=A5=2009:57:43?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- 06_第六章 信息安全评估/6.2 安全评估实施.md | 202 ++++++++++++++++++++- 06_第六章 信息安全评估/6.3 信息系统审计.md | 63 +++++-- 2 files changed, 246 insertions(+), 19 deletions(-) diff --git a/06_第六章 信息安全评估/6.2 安全评估实施.md b/06_第六章 信息安全评估/6.2 安全评估实施.md index fc63fe4..7879e59 100644 --- a/06_第六章 信息安全评估/6.2 安全评估实施.md +++ b/06_第六章 信息安全评估/6.2 安全评估实施.md @@ -6,6 +6,16 @@ > **二、风险评估途径与方法**
>     了解基线评估等风险评估途径及自评估、检查评估等风险评估方法;
>     了解基于知识的评估,理解定性评估、定量评估的概念及区别并掌握定量分析中量化风险的方法。 +> +> **三、风险评估的基本过程**
+>     了解风险评估基本过程;
+>     理解风险评估准备工作内容;
+>     掌握风险识别中资产的赋值方法;
+>     理解风险分析的方法;
+>     了解风险结果判定、风险处理计划、残余风险评估等阶段工作内容。 +> +> **四、风险评估文档**
+>     了解风险评估文档化工作的重要性及对文档的相关要求。 ### 一、风险评估相关要素 @@ -62,45 +72,229 @@ #### 3、风险评估的常用方法 - 基于知识分析 + - 定量分析 + - 基本概念 + - 暴露因子(Exposure Factor,EF):特定威胁对特定资产造成损失的百分比,或者说损失的程度; - 单一预期损失(Single Loss Expectancy,SLE):也称作Soc(Single Occurrence Costs),即特定威胁可能造成的潜在损失总量; - 年度预期损失(Annualized Loss Expectancy,ALE):或者称作EACC(Estimated Annual Cost)表示特定资产在一年内遭受损失的预期值。 + - 概念的关系 + - 首先,识别资产并为资产赋值; - 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%~100%之间); - 计算特定威胁发生的频率,即ARO; - 计算资产的SLE; - 计算资产的ALE; + - 定量风险分析的一种方法就是计算年度损失预期值(ALE)。计算公式如下: + - 年度损失预期值(ALE)= SLE × 年度发生率(ARO) - 单次损失预期值(SLE)= 二暴露因素(EF)× 资产价值(AV) + - 定量评估计算案例 + - 计算由于人员疏忽或设备老化对一个计算机机房所造成火灾的风险。 + - 假设:
① 组织在3年前计算机机房资产价值100万,当年曾经发生过一次火灾导致损失10万;
② 组织目前计算机机房资产价值为1000万;
③ 经过和当地消防部门沟通以及组织历史安全事件记录发现,组织所在地及周边在5年来发生过3次火灾该组织额定的财务投资收益比是30%。 + - 由上述条件可计算风险组织的年度预期损失及ROSI为组织提供一个良好的风险管理财务清单。 + + ![PixPin_2024-09-21_16-53-31](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/PixPin_2024-09-21_16-53-31.png) + - 定性分析 + - 目前采用最为广泛的一种方法。 + - 带有很强的主观性,往往凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。 - - - + ![image-20240921165631330](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240921165631330.png) ### 三、风险评估基本过程 +#### 1、风险评估的基本过程 +- 风险评估是组织确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。 + ![image-20240921170456179](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240921170456179.png) +#### 2、风险评估准备 +- 风险评估准备是整个风险评估过程有效性的保证 + - 组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。 + - 战略的特征: + - 牵引性 + - 全局性 + - 长期性 +- 风险评估准备工作 + - 确定风险评估的目标 + - 根据满足组织业务持续发展在安全方面的需要法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。 + - 确定风险评估的范围 + - 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。 + - 组建适当的评估管理与实施团队 + - 风险评估实施团队,由管理层、相关业务骨干、IT技术等人员组成风险评估小组。 + - 评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定。 + - 进行系统调研 + - 系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础。 + - 调研内容至少应包括:业务战略及管理制度;主要的业务功能和要求;网络结构与网络环境,包括内部连接和外部连接;系统边界;主要的硬件、软件;数据和信息;系统和数据的敏感性;支持和使用系统的人员。 + - 系统调研可以采取问卷调查现场面谈相结合的方式进行。 + - 确定评估依据和方法 + - 根据系统调研结果,确定评估依据和评估方法。 + - 评估依据包括舌(但不仅限于):现有国际标准、国家标准、行业标准;行业主管机关的业务系统的要求和制度;系统安全保护等级要求;系统互联单位的安全要求;系统本身的实时性或性能要求等。 + - 根据组织机构自身的业务特点、信息系统特点,选择适当的风险分析方法并加以明确,如定性风险分析、定量风险分析,或是半定量风险分析。 + - 根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相适应。 + - 制定风险评估方案 + - 风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划,用于指导实施方开展后续工作。 + - 风险评估方案的内容一般包括(但不仅限于): + - 团队组织:包括评估团队成员、组织结构、角色、责任等内容; + - 工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容; + - 时间进度安排:项目实施的时间进度安排。 + - 获得最高管理者对风险评估工作的支持 + - 上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持、批准; + - 对管理层和技术人员进行传达,在组织范围就风险评估相关内容进行培训,以明确有关人员在风险评估中的任务。 +#### 3、资产识别 +- 资产分类、分级、形态及资产价值评估 +- 资产分类 + - 数据、软件、硬件、服务、人员、其他(GB/T 20984《信息安全风险评估规范》) +- 资产形态 + + - 有形资产、无形资产 + +- 资产分级 + + - 保密性分级、完整性分级、可用性分级 + - 资产重要性分级 + +- 制定资产重要性分级准则 + + - 依据资产价值大小对资产的重要性划分不同的等级资产价值依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。 + + ![image-20240921173614827](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240921173614827.png) + +#### 4、威胁识别 + +- 威胁类型 + + - 自然因素、人为因素 + +- 威胁频率级别 + + ![image-20240921173749980](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240921173749980.png) + +#### 5、脆弱性识别 + +- 脆弱性识别与威胁识别是何关系? + + - 验证:以资产为对象,对威胁识别进行验证 + +- 脆弱性识别的难点是什么 + + - 三性:隐蔽性、欺骗性、复杂性 + +- 脆弱性识别的方法有哪些? + + ![image-20240921173902105](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240921173902105.png) + +#### 6、确认已有的控制措施 + +- 依据三个报告 + - 《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》 + +- 确认已有的安全措施包括: + + - 技术层面(物理平台、系统平台、网络平台和应用平台)的安全功能 + + - 组织层面(组织结构、岗位和人员)的安全控制 + + - 管理层面(策略、规章和制度)的安全对策 + + - 形成《已有安全措施列表》 + +- 控制措施类型 + - 预防性、检测性和纠正性 + +- 在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,对有效的安全措施继续保持,以避免不必要的工作和费用,防止重复实施。 + +#### 7、风险分析 + +- GB/T 20984-2007《信息安全风险评估规范》给出信息安全风险分析思路。 + + > 最新:GB/T 20984-2022 + + ![PixPin_2024-09-21_17-45-05](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/PixPin_2024-09-21_17-45-05.png) + +- 计算安全事件发生的可能性 + + - 安全事件的可能性 = L(威胁出现频率,脆弱性)= L(T,V) + +- 计算安全事件发生后造成的损失 + + - 安全事件造成的损失 = F(资产价值,脆弱性严重程度)= F(Ia,Va) + +- 计算风险值 + + - 风险值 = R(安全事件的可能性,安全事件造成的损失) = R(L(T,V),F(Ia,Va )) + +#### 8、风险结果判定 + +- 评估风险的等级 + + - 评估风险的等级依据《风险计算报告》,根据已经制定的风险分级准则,,对所有风险计算结果进行等级处理,形成《风险程度等级列表》。 + +- 综合评估风险状况 + + - 汇总各项输出文档和《风险程度等级列表》,综合评价风险状况,形成《风险评估报告》。 + + ![image-20240921175514184](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240921175514184.png) + +#### 9、风险处理计划 + +- 对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。 + + - 管理措施 + - 技术措施 + + ![image-20240921175842924](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240921175842924.png) + +#### 10、残余风险评估 + +- 实施安全措施后对措施有效性进行再评估 + - 在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。 + - 某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。 + +### 四、风险评估文档 + +![PixPin_2024-09-21_18-07-50](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/PixPin_2024-09-21_18-07-50.png) + +#### 1、准备阶段 + +- 风险评估计划书 +- 风险评估方案 +- 风险评估方法和工具列表 + +#### 2、风险要素识别 + +- 资产清单 +- 威胁列表 +- 脆弱性列表 +- 已有安全措施列表 + +#### 3、风险分析 + +- 风险计算报告 + +#### 4、风险结果判定 + +- 风险程度等级列表 +- 风险评估报告 -### 四、风险评估文档 \ No newline at end of file diff --git a/06_第六章 信息安全评估/6.3 信息系统审计.md b/06_第六章 信息安全评估/6.3 信息系统审计.md index 4073bc3..0da159a 100644 --- a/06_第六章 信息安全评估/6.3 信息系统审计.md +++ b/06_第六章 信息安全评估/6.3 信息系统审计.md @@ -1,35 +1,68 @@ # 信息系统审计 -> +> **一、审计原则与方法**
+>     了解信息系统审计职能、流程、内部控制及审计标准。 +> +> **二、审计技术控制**
+>     了解脆弱性措施、渗透测试等审计技术控制措施。 +> +> **三、审计管理控制**
+>     了解账户管理、备份验证等审计管理控制措施。 +> +> **四、审计报告**
+>     了解信息系统审计报告标准SAS70和S0C。 ### 一、审计原则与方法 +#### 1、信息系统审计的定义 +- 国家审计署的定义 + - 信息系统审计是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督活动。 +- 国际信息系统和控制协会(ISACA) + - 是一个获取并评价证据以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。 +#### 2、信息系统审计的作用 +- 从审计目标看,信息系统审计主要是检查和促进被审计单位信息系统及其内部控制的真实性、正确性、完整性、安全性、可靠性和经济性等各类目标要素。 +- 审计内容看,信息系统审计中的一般控制审计包括信息安全技术控制审计和信息安全管理控制审计。 +> 审计是对管理的管理。 +#### 3、信息系统审计工作流程 +- 计划:确定审计的目标和范围 +- 现场工作和文件:收集数据并进行访问以帮助分析潜在风险 +- 问题发现和验证:潜在问题清单并验证 +- 开发解决方案:与客户合作制定解决每个问题的行动计划 +- 报告起草和执行 +- 问题跟踪 +![image-20240922095412833](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240922095412833.png) ### 二、审计技术控制 - - - - - - - +- 脆弱性测试 +- 渗透测试 +- 其他漏洞类型 +- 日志 +- 合成交易 +- 滥用案例测试 +- 代码审查 +- 接口测试 ### 三、审计管理控制 +- 账户管理 +- 备份验证 +- 灾难恢复和业务连续性 +- 安全培训和安全意识培训 +- 关键绩效和风险指标 +### 四、审计报告 - - - - - - -### 四、审计报告 \ No newline at end of file +- 专业人员了解信息系统安全在更广泛的业务环境中的作用,并能够将其传达给技术和非技术观众。 +- SAS70 + - 由美国注册会计师协会(AICPA)制定的用于处理服务机构的审计标准; + - 提供了一套基于服务组织(如提供IT服务的服务组织)标准可以展示其内部控制的有效性。 +- SOC(服务组织控制) + - 取代SAS70并解决更广泛的特定用户需求,例如解决安全性,隐私和可用性问题。 \ No newline at end of file