《风险评估工具》由会员分享,可在线阅读,更多相关《风险评估工具(20页珍藏版)》请在金锄头文库上搜索。
1、風險評估方法 風險評估方法 王平 王平 崑山科技大學 資管系 崑山科技大學 資管系 pingwangmail.ksu.edu.tw pingwangmail.ksu.edu.tw 濟群 黃俊傑 王宇文 濟群 黃俊傑 王宇文 國交通大學 資訊管研究所 國交通大學 資訊管研究所 一、 前言一、 前言 風險分析是針對某一資產遭受到威脅時,在考慮系統脆弱性下,假設 發生資產失效後,對企業營運產生之風險水準之評估。一般資訊安全風險 評估 是針對資產之機密性(confidentiality) 、 可用性(availability) 、 完整性(integrity) 三項指標進評鑑。風險評估方法與工具經過資
2、訊安全專家確認後均可應 用,並加以限定某一方法。經常使用的風險分析方法包括專家的深訪談、 群體決策的德菲法(Delphi)與因素分析(Factor Analysis)、錯誤樹分析 (Fault Tree Analysis, FTA)、失敗模式和影響與關鍵性分析 (Failure Mode and Effect Criticality Analysis, FMECA )等;專家常使用的風險分析工具是風險評估矩 陣表 。 風險分析與資安標準風險分析與資安標準 BS7799 BS7799的全名為是 BS7799 Code of Practice for Information Security,該
3、標準是由英國國家標準協會(British Standards Institution,BSI)主導於 1995 1 正式成為英國國家標準,目前已應用國家包括澳大亞、西、荷、挪 威及瑞典(蔡興華,2002),可以適用於各種產業與所有的組織與機構,一套完 整的資訊安全管作業之實務準則,能有效建構資訊安全防護體系。 資訊中心可將依照各項管要項,制定組織的安全政策、安全責任、風險的 評估與相關工作指引。;其分成二部份: 資訊安全管實務準則(Code of practice for information security management)及資訊安全管規範 (Specification for I
4、nformation Management SystemsSIMS)。第一部份 最佳實 務準則:其內容共舉組織中三大風險管目標,十個主要管項目協助 企業保護其資訊資如圖 1。主要著重在風險管,目標為協助企業規劃安全政 策,其中制定的 127 個控制項目須視企業特性加以調適(tailing)。第二部分資 訊安全管:主要協助資訊專業人員根據企業目標評估其網資產,並排出 優先順序改善措施建議。安全計劃包括四個階段:風險評估、風險管、導 入防護措施與適用條款。 2 BS7799 是一套相當複雜的資訊安全應用與稽核的標準,其使用控管 (Control)的觀,以建構一套完整的政策、程序、實施與組織化的架構
5、, 用提供合的保障使企業目標得以達成。BS7799 強調要維護資訊安全必須 先有一套完整的資訊安全政策並予以文件化,其次需作風險分析解 資訊中心可以接受的風險程與等級,接著是建所謂的資訊安全管系 統(Information Security Management Systems - ISMS) 。 BS 7799 共有 10 個管要項,36 個執目標(objectives),與 127 控管項目 (controls) 與超過 500 條安全管細項。實施 BS7799 可為組織建資訊安全 的政策、人員對資訊安全的認知、並可針對之資訊 BS 7799 的 10 個管要項 與 127 措施進可能發生
6、危害問題進評鑑與提供改善措施建議,建完整 可用性 (availability ) 完整性 (integrity) 機密性 (confidentiality) 資訊風險 評鑑 安全政策 組織安全 資產分 與控制 人員安全 實體與環 境安全 系統開發 與維護 存取管制 業務持續 運作管 遵循原則 通訊與操 作管 圖 1、資產風險評鑑架構 3 的資訊安全風險管方案,排定優先處次序進改善,可提高資訊中心之 資訊安全及獲得使用者的信賴。 ISO/IEC13335 ISO/IEC13335 Information technology Guidelines for the management of IT
7、 Security 由國際標準組織(International Standard Organization, ISO)及國際電子 技術協會(International Electro technical Commission, IEC)共同主導,目前已廣 泛適用於各種組織的資訊風險分析與管,以建構完整的風險控管機制。 國際標準組織 ISO/IEC TR 制訂 ISO/IEC13335 技術報告的目的,是針對資訊技 術安全的管方面提供指導原則,而是解決方案。在組織內負責資訊技術 安全的個體,應該能從這份報告中獲得滿足他們特殊需求的資。這份技術 報告的主要目標包括: 1.定義和描述管資訊技術安全相
8、關的概。 2.一般性地別管資訊技術安全和管資訊技術之間的關係。 3.提供種能夠用解釋資訊技術安全的模型。 4.在資訊技術安全的管上提供一般性的指導原則。 ISO/IEC TR 13335 由個篇章共同組成。ISO/IEC 13335-1: Concepts and models for IT Security 描述資訊技術安全管的基本概和模型的概要; ISO/IEC 13335-2: Managing and planning IT Security 描述管和計畫的觀 點描述資訊安全管機制中的風險分析策的選擇;ISO/IEC 13335-3: Techniques for the manage
9、ment of IT Security 描述在一個計劃的生命週期, 期間牽涉到的管活動所適當使用的安全技術,如計畫、設計、執、測 試、獲得或者操作,其附有明資訊安全管機制中的風險方法並舉 明;ISO/IEC 13335-4: Selection of safeguards定義資訊安全管機制中的風 4 險處置;ISO/IEC 13335-5: Management Guidance on Network Security 明資訊安全管機制中的網安全指引。 二、風險分析程序 二、風險分析程序 風險分析程序可區分成實施規劃 、 資產確認與價值估計 、 資產威脅 評估 、 資產脆弱評估 、 資產風險值
10、計算 、 安全管制項目選擇與風 險接受評等七個步驟,如圖 2。(永、陳啟光,2002)。 此外,風險分析的過程亦可考美國商業部所屬國家技術與標準局(National Institute of Standards and Technology / NIST)所建議的風險分析(risk assessment)程 序,配合下節所述之各項分析方法進6。 圖 2、風險分析程序 資產確認與價 值估計 資產風險值計 安全管制項目 選擇 風險接受 評 資產脆弱評估 資產威脅評估 實施規劃 5 三、風險分析方法三、風險分析方法 依據 ISO/IEC TR 13335-1 風險分析方法,資產(Asset)/威脅(
11、Threat)/弱點 (Vulnerability)三者的關圖如圖 3、4。風險之產生是因為資產弱點受到威脅 的攻擊造成對資產價值的低,增加適當的防護措施則可低風險。其為 一動態模式,隨著外界威脅的產生,系統須適時增加防護措施。 圖 3 風險管各要素的關圖 圖 4 弱點、威脅、衝擊的關圖 資源: ISO/IEC TR 13335-1:1996(E) 6 風險分 分析 界喜好使用群體決策的德菲法,分析每一項風險屬性對企業營運影響 的程 析方法依據風險評估屬性 (Attribute) 的性質可區分成定 (Quantitative)與定性(Qualitative)種風險分析方法。 定性風險 是指對已
12、界定出的風險評估其發生的機與衝擊,決定其對企業營運影響的 優先等級。 定風險分析是指以計方式分析每一項風險對企業營運影響 的程。(范淼,2002)。其主要目的是建順序尺以衡風險權值,採用概 模式或機模式以計算出風險值, 風險評分(R)=發生機(P) X 衝擊(L), 最後針對個別風險作加總,求出整體風險值。實務上風險分析經常使用方法 為專家的深訪談、敏感分析、群體決策的德菲法(Delphi)、決策樹分析與 模擬。 學術 ,其為一整合性專家群體意的分析方法,可將一個複雜的系統從風 險別層級加以拆解成細部風險屬性,如資訊系統風險、人員管制風險、 技術風險等,建一個系統風險的整體架構,以決定系統風險
13、水準與風險事 件可控制程。國內相關研究包括慶民以以 BS7799 為基礎建構資訊安全 評估模式以虛擬私有網系統為 ,以加總表法,將評審要項內容分成 四分表進專家問卷調查(慶民、莊謙,2001) ;永運用 Carroll 所定義之資產評估價值(V)、單一事件損失預期值(SLE) 、發生(ARO)、 損失預期值(ALE),以 BS7799 之 127 控管項目計算系統整體風險值 (R)。(永、陳啟光,2002) 7 定性風險分析是指對已界定出的風險評估其發生的機與衝擊,決定其 對企業營運影響的優先等級。輸入項目為原始資、已界定之風險、機與 衝擊的順序尺,進分析各項風險事件,產出項目為整體風險評等、
14、風險 優先等級清單及定性風險分析結果之趨勢。 險分析,各方法分述如下: (1) 風險係評估法 進化分析時,可以用表 1 中所的常用風險評估係,使決策者取 得化的據,並且根據字的大小進分析。依據表 15-1 我們可求得 損失預期值(ALE)= 單一事件損失預期值(SLE) * 發生(ARO); 而單一事件損失預期值(SLE)=資產價值 * 因子(EF); 表 1:常用的風險評估係 各組織可依需求選擇下適當的方法以進風 1. 1. 定(quantitative) 風險分析: 定(quantitative) 風險分析: 觀 衍生的公式 因子(Exposure Factor / EF) 該威脅導致特定
15、資產損失的百分比 單一事件損失預 (Single Lose Expectancy / SLE) 資產價值 * 期值 因子(EF) 發生 (Annualized Rate of Occurrence / ARO) 該事件每發生的頻 損失預期值 (Annualized Lose Expectancy / ALE) 單一事件損失預期值(SLE) * 發生 (ARO) 單純的字大小無法區分出衝擊的程,則可以事先以質的方法定義過某 8 個程的字代表某個程的衝擊(如:受影響的人員大於 5 人,即為嚴重 層級分析法(AHP)是由是由美國賓夕法尼亞大學的學家,Thomas, L. Saaty 在 l9策時所面的困難。 Saaty 分別在 1972 至 1978 間將層級分析法應用於美國國家科學基會從事 有關於產業電配額、蘇運輸系統研究、美國武器管制、及裁軍局(ACDA) 分配資源於從事恐怖主義之分析等多項研究,使得層級分析法得以臻於成 熟。以後經過斷修正,層級分析法應用層面增加,如應用在為科學、 銷管、投資組合等,最後由 Satty 於 1980 方提出一套完整的方法。 一個或多個替代方案。層級分析法(AHP)是將複雜問題加以系統化的一種方 法,透過層級分析法(AHP),可以
