# 安全评估实施
> **一、风险评估相关要素**
> 理解资产、威胁、脆弱性、安全风险、安全措施、残余风险等风险评估相关要素及相互关系。
>
> **二、风险评估途径与方法**
> 了解基线评估等风险评估途径及自评估、检查评估等风险评估方法;
> 了解基于知识的评估,理解定性评估、定量评估的概念及区别并掌握定量分析中量化风险的方法。
>
> **三、风险评估的基本过程**
> 了解风险评估基本过程;
> 理解风险评估准备工作内容;
> 掌握风险识别中资产的赋值方法;
> 理解风险分析的方法;
> 了解风险结果判定、风险处理计划、残余风险评估等阶段工作内容。
>
> **四、风险评估文档**
> 了解风险评估文档化工作的重要性及对文档的相关要求。
### 一、风险评估相关要素
#### 1、资产
- 构成风险评估的资产是建立对组织具有价值的信息或资源,是安全策略保护的对象
- 风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
#### 2、威胁
- 可能导致对系统或组织危害的不希望事故潜在起因。
- 威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。引起风险的外因。
- 造成威胁的因素
- 人为因素和环境因素。
- 根据威胁的动机
- 人为因素又可分为恶意和非恶意两种;
- 环境因素包括自然界不可抗的因素和其它物理因素。
#### 3、脆弱性
- 可能被威胁所利用的资产或若干资产的薄弱环节;
- 脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害;
- 威胁总是要利用资产的脆弱性才可能造成危害。
#### 4、信息安全风险、安全措施
- 信息安全风险
- 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
- 信息安全风险只考虑那些对组织有负面影响的事件。
- 安全措施
- 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。
- 残余风险
- 采取了安全措施后,信息系统仍然可能存在的风险。
#### 5、风险评估要素之间关系
### 二、风险评估途径与方式方法
#### 1、风险评估途径
- 基线评估
- 详细评估
- 组合评估
#### 2、风险评估方式
- 自评估:由组织自身发起,组织自己实施或委托第三方实施;
- 检查评估:由被评估组织的上级主管机关或业务主管机关发起。
> 信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。
#### 3、风险评估的常用方法
- 基于知识分析
- 定量分析
- 基本概念
- 暴露因子(Exposure Factor,EF):特定威胁对特定资产造成损失的百分比,或者说损失的程度;
- 单一预期损失(Single Loss Expectancy,SLE):也称作Soc(Single Occurrence Costs),即特定威胁可能造成的潜在损失总量;
- 年度预期损失(Annualized Loss Expectancy,ALE):或者称作EACC(Estimated Annual Cost)表示特定资产在一年内遭受损失的预期值。
- 概念的关系
- 首先,识别资产并为资产赋值;
- 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%~100%之间);
- 计算特定威胁发生的频率,即ARO;
- 计算资产的SLE;
- 计算资产的ALE;
- 定量风险分析的一种方法就是计算年度损失预期值(ALE)。计算公式如下:
- 年度损失预期值(ALE)= SLE × 年度发生率(ARO)
- 单次损失预期值(SLE)= 二暴露因素(EF)× 资产价值(AV)
- 定量评估计算案例
- 计算由于人员疏忽或设备老化对一个计算机机房所造成火灾的风险。
- 假设:
① 组织在3年前计算机机房资产价值100万,当年曾经发生过一次火灾导致损失10万;
② 组织目前计算机机房资产价值为1000万;
③ 经过和当地消防部门沟通以及组织历史安全事件记录发现,组织所在地及周边在5年来发生过3次火灾该组织额定的财务投资收益比是30%。
- 由上述条件可计算风险组织的年度预期损失及ROSI为组织提供一个良好的风险管理财务清单。
- 定性分析
- 目前采用最为广泛的一种方法。
- 带有很强的主观性,往往凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。
### 三、风险评估基本过程
#### 1、风险评估的基本过程
- 风险评估是组织确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。
#### 2、风险评估准备
- 风险评估准备是整个风险评估过程有效性的保证
- 组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。
- 战略的特征:
- 牵引性
- 全局性
- 长期性
- 风险评估准备工作
- 确定风险评估的目标
- 根据满足组织业务持续发展在安全方面的需要法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。
- 确定风险评估的范围
- 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
- 组建适当的评估管理与实施团队
- 风险评估实施团队,由管理层、相关业务骨干、IT技术等人员组成风险评估小组。
- 评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定。
- 进行系统调研
- 系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础。
- 调研内容至少应包括:业务战略及管理制度;主要的业务功能和要求;网络结构与网络环境,包括内部连接和外部连接;系统边界;主要的硬件、软件;数据和信息;系统和数据的敏感性;支持和使用系统的人员。
- 系统调研可以采取问卷调查、现场面谈相结合的方式进行。
- 确定评估依据和方法
- 根据系统调研结果,确定评估依据和评估方法。
- 评估依据包括舌(但不仅限于):现有国际标准、国家标准、行业标准;行业主管机关的业务系统的要求和制度;系统安全保护等级要求;系统互联单位的安全要求;系统本身的实时性或性能要求等。
- 根据组织机构自身的业务特点、信息系统特点,选择适当的风险分析方法并加以明确,如定性风险分析、定量风险分析,或是半定量风险分析。
- 根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相适应。
- 制定风险评估方案
- 风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划,用于指导实施方开展后续工作。
- 风险评估方案的内容一般包括(但不仅限于):
- 团队组织:包括评估团队成员、组织结构、角色、责任等内容;
- 工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容;
- 时间进度安排:项目实施的时间进度安排。
- 获得最高管理者对风险评估工作的支持
- 上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持、批准;
- 对管理层和技术人员进行传达,在组织范围就风险评估相关内容进行培训,以明确有关人员在风险评估中的任务。
#### 3、资产识别
- 资产分类、分级、形态及资产价值评估
- 资产分类
- 数据、软件、硬件、服务、人员、其他(GB/T 20984《信息安全风险评估规范》)
- 资产形态
- 有形资产、无形资产
- 资产分级
- 保密性分级、完整性分级、可用性分级
- 资产重要性分级
- 制定资产重要性分级准则
- 依据资产价值大小对资产的重要性划分不同的等级资产价值依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。
#### 4、威胁识别
- 威胁类型
- 自然因素、人为因素
- 威胁频率级别
#### 5、脆弱性识别
- 脆弱性识别与威胁识别是何关系?
- 验证:以资产为对象,对威胁识别进行验证
- 脆弱性识别的难点是什么
- 三性:隐蔽性、欺骗性、复杂性
- 脆弱性识别的方法有哪些?
#### 6、确认已有的控制措施
- 依据三个报告
- 《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》
- 确认已有的安全措施,包括:
- 技术层面(物理平台、系统平台、网络平台和应用平台)的安全功能
- 组织层面(组织结构、岗位和人员)的安全控制
- 管理层面(策略、规章和制度)的安全对策
- 形成《已有安全措施列表》
- 控制措施类型
- 预防性、检测性和纠正性
- 在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,对有效的安全措施继续保持,以避免不必要的工作和费用,防止重复实施。
#### 7、风险分析
- GB/T 20984-2007《信息安全风险评估规范》给出信息安全风险分析思路。
> 最新:GB/T 20984-2022
- 计算安全事件发生的可能性
- 安全事件的可能性 = L(威胁出现频率,脆弱性)= L(T,V)
- 计算安全事件发生后造成的损失
- 安全事件造成的损失 = F(资产价值,脆弱性严重程度)= F(Ia,Va)
- 计算风险值
- 风险值 = R(安全事件的可能性,安全事件造成的损失) = R(L(T,V),F(Ia,Va ))
#### 8、风险结果判定
- 评估风险的等级
- 评估风险的等级依据《风险计算报告》,根据已经制定的风险分级准则,,对所有风险计算结果进行等级处理,形成《风险程度等级列表》。
- 综合评估风险状况
- 汇总各项输出文档和《风险程度等级列表》,综合评价风险状况,形成《风险评估报告》。
#### 9、风险处理计划
- 对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。
- 管理措施
- 技术措施
#### 10、残余风险评估
- 实施安全措施后对措施有效性进行再评估
- 在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
- 某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
### 四、风险评估文档
#### 1、准备阶段
- 风险评估计划书
- 风险评估方案
- 风险评估方法和工具列表
#### 2、风险要素识别
- 资产清单
- 威胁列表
- 脆弱性列表
- 已有安全措施列表
#### 3、风险分析
- 风险计算报告
#### 4、风险结果判定
- 风险程度等级列表
- 风险评估报告