《CISP0302信息安全风险管理-医学资料》由会员分享,可在线阅读,更多相关《CISP0302信息安全风险管理-医学资料(115页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险管理 培训机构 培训讲师 课程内容 2 知识域:风险管理工作内容 v 知识子域:风险管理工作主要内容 掌握建立背景的主要工作内容 掌握风险评估的主要工作内容 掌握风险处置的主要工作内容 掌握批准监督的主要工作内容 掌握监控审查的主要工作内容 掌握沟通咨询的主要工作内容 3 风险管理是各行业采取的普遍工作方法 4 通用风险管理定义 v定义 是指如何在一个肯定有风险的环境里把风险减至最 低的管理过程。 风险管理包括对风险的量度、评估和应变策略。 理想的风险管理,是一连串排好优先次序的过程, 使引致最大损失及最可能发生的事情优先处理、而 相对风险较低的事情则押后处理。 5 信息安全工作中
2、的风险管理 常见问题问题根源浅析 安全投资逐年增加,但看不到收益没有根据风险优 先级做安全投资规划 ,没有抓住主要矛盾,导致有限资金 的有效利用率低 按照国家要求或行业要求开展信息安全 工作,但安全事件仍出现 没有根据企业自身安全需求部署安全控 制措施,没有突出控制高风险。 IT安全需求很多,有限的资金应优先 拨向哪个领域 决策者没有看到安全投资收益报告, 资金划拨无参考依据。 当了CIO,时刻担心系统出事,无法预 见可能会出什么事 没有残余风险清单,在什么条件可被 触发,如何做好控制 6 风险管理是信息安全保障工作有效工作方式 v好的风险管理过程可以让机构以最具有成本效益 的方式运行,并且使
3、已知的风险维持在可接受的 水平。 v好的风险管理过程使组织可以用一种一致的、条 理清晰的方式来组织有限的资源并确定优先级, 更好地管理风险。而不是将保贵的资源用于解决 所有可能的风险 v风险管理是一个持续的PDCA管理过程。 7 什么是信息安全风险管理 v定义一:GB/Z 24364信息安全风险管理指南 信息安全风险管理是识别、控制、消除或最小化可 能影响系统资源的不确定因素的过程。 v定义二:在组织机构内部识别、优化、管理风险, 使风险降低到可接受水平的过程。 8 正确的风险管理方法 9 保护人身安全 遏制损害 评估损害 确定损害部位 修复损害部位 审查响应过程并更 新安全策略 反应性风险管
4、理 评估风险 实施风险决策 风险控制 评定风险管理的有 效性 前瞻性风险管理 += 前瞻性风险管理 反应性风险管理 风险管理最佳实践 流行性感冒是一种致命的呼吸道疾病,美国每年都会有数以百万 计的感染者。这些感染者中,至少有 100,000 人必须入院治疗,并且 约有 36,000 人死亡。 您可能会选择通过等待以确定您是否受到感染 ,如果确实受到感染,则采用服药治疗这种方式来治疗疾病。 此外, 您也可以选择在流行性感冒病发季节开始之前接种疫苗。二者相结合才 是最佳风险管理方法。 信息安全风险管理的目标 v信息安全属性 10 信息安全风险术语 资产(Asset) 威胁源(Threat Agen
5、t) 威胁( Threat ) 脆弱性(Vunerability) 控制措施(Countermeasure,safeguard,control) 可能性(Likelihood,Probability) 影响( Impact,loss ) 风险( Risk) 残余风险(Residental Risk) 11 信息安全风险术语-资产 v资产是任何对组织有价值的东西,是要保护的对 象 v资产以多种形式存在(多种分类方法) 物理的(如计算设备、网络设备和存储介质等)和逻辑的(如体 系结构、通信协议、计算程序和数据文件等); 硬件的(如计算机主板、机箱、显示器、键盘和鼠标等)和软件 的(如操作系统软件、
6、数据库管理软件、工具软件和应用软件等 ); 有形的(如机房、设备和人员等)和无形的(如品牌、信心和名 誉等); 静态的(如设施和规程等)和动态的(如人员和过程等); 技术的(如计算机硬件、软件和固件等)和管理的(如业务目标 、战略、策略、规程、过程、计划和人员等)等。 12 信息安全风险术语-威胁 v可能导致信息安全事故和组织信息资产损失的活 动。 v威胁源采取恰当的威胁方式才可能引发风险 v威胁举例: 操作失误 滥用授权 行为抵赖 身份假冒 口令攻击 密钥分析 13 漏洞利用 拒绝服务 窃取数据 物理破坏 社会工程 信息安全风险术语-脆弱性 v与信息资产有关的弱点或安全隐患。 v造成风险的内
7、因。 v脆弱性本身并不对资产构成危害,但是在一定条 件得到满足时,脆弱性会被威胁源利用恰当的威 胁方式对信息资产造成危害。 v脆弱性举例 系统程序代码缺陷 系统设备安全配置错误 系统操作流程有缺陷 维护人员安全意识不足 14 信息安全风险术语-控制措施 v根据安全需求部署,用来防范威胁,降低风险的 措施。 v举例 部署防火墙、入侵检测、审计系统 测试环节 操作审批环节 应急体系 终端U盘管理制度 15 信息安全风险术语-可能性 v指威胁源利用脆弱性造成不良后果的可能性。 v举例 脆弱性只有国家级测试人员采用专业工具才能利用 ,发生不良后果的可能性很小 系统存在漏洞,但只在与互联网物理隔离的局域
8、网 运行,发生的可能性较小。 互联网公开漏洞且有相应的测试工具,发生不良后 果的可能性很大。 16 信息安全风险术语-影响 v指威胁源利用脆弱性造成不良后果的程度大小 v举例 网站被黑客控制,国家级网站比省市网站的名誉损 失大很多。 银行门户网站和内部核心系统受到攻击,其核心系 统的损失更大。 同样型号路由器被攻破,用于互联网骨干路由要比 企业内部系统的路由器损失更大。 17 信息安全风险术语-风险 v指威胁源采用恰当的威胁方式利用脆弱性造成不良 后果。 网站存在SQL注入漏洞,普通攻击者利用自动化 攻击工具很容易控制网站,修改网站内容,从而损 害国家政府部门声誉 18 威胁源 威胁方 式 脆
9、弱性 风险 采取 利用 造成 信息安全风险术语-风险 vGB/T 20984的定义:信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存 在的脆弱性导致安全事件的发生及其对组织造成的 影响。 v信息安全风险是指一种特定的威胁利用一种或一 组脆弱性造成组织的资产损失或损害的可能性。 v信息安全风险是指信息资产的保密性、完整性和 可用性遭到破坏的可能性。 v信息安全风险只考虑那些对组织有负面影响的事 件。 19 对风险的理解 v风险的五方面 威胁源 威胁行为 脆弱性 资产 影响 20 走在路上被陨 石砸到 走在马路上被 汽车撞倒 信息安全风险术语之间的关系 21 威胁源 威胁 方式 脆弱性
10、风险 采取 利用 造成 资产 不良影 响 控制措 施 破坏 造成 受控制 直接影响 信息安全风险术语-残余风险 v指采取了安全措施后,信息系统仍然可能存在的 风险。 v有些残余风险是在综合考虑了安全成本与效益后 不去控制的风险 v残余风险应受到密切监视,它可能会在将来诱发 新的安全事件 v举例 风险列表中有10类风险,根据风险成本效益分析, 只有前8项需要控制,则另2项为残余风险,一段时 间内系统处于风险可接受水平。 22 信息安全风险术语-风险评估 信息安全风险评估就是从风险管理角度,运 用科学的方法和手段,系统地分析信息系统所面 临的威胁及其存在的脆弱性,评估安全事件一旦 发生可能造成的危
11、害程度,提出有针对性的抵御 威胁的防护对策和整改措施;为防范和化解信息 安全风险,将风险控制在可接受的水平,从而最 大限度地保障信息安全提供科学依据。 23 风险评估的理解 v信息系统的安全风险信息是动态变化的,只有动态 的信息安全评估才能发现和跟踪最新的安全风险。 所以信息安全评估是一个长期持续的工作,通常应 该每隔1-3年就进行一次全面安全风险评估。 v风险评估是分析确定风险的过程。 v风险评估的目的是控制风险。 v风险评估是风险管理的起点和基础环节 v风险管理是在倡导适度安全 24 信息安全风险术语-风险评估vs风险管理 风险风险 管理风险评风险评 估 目标将风险降低到可接受水平确定面临
12、的风险并确定 其优先级 周期包括风险评估、风险决 策、风险控制等所有阶段 风险管理中的单个阶段 计划持续(PDCA)按需要 25 信息安全风险管理工作内容 建立背景建立背景 风险评估风险评估 风险处理风险处理 批准监督批准监督 监控审查 沟通咨询 v GB/Z 24364信息安全风险管理指南 四个阶段,两个贯穿。 26 建立背景 v背景建立是信息安全风险管理的第一步骤,确定 风险管理的对象和范围,确立实施风险管理的准 备,进行相关信息的调查和分析。 风险管理准备:确定对象、组建团队、制定计 划、获得支持 信息系统调查:信息系统的业务目标、技术和 管理上的特点 信息系统分析:信息系统的体系结构、
13、关键要 素 信息安全分析:分析安全要求、分析安全环境 27 背景建立过程 28 风险管理工作内容 建立背景建立背景 风险评估风险评估 风险处理风险处理 批准监督批准监督 监控审查 沟通咨询 29 风险评估 v信息安全风险管理要依靠风险评估的结果来确定 随后的风险处理和批准监督活动。 风险分析准备:制定风险评估方案、选择评估方 法 风险要素识别:发现系统存在的威胁、脆弱性和 控制措施 风险分析:判断风险发生的可能性和影响的程度 风险结果判定:综合分析结果判定风险等级 30 风险评估过程 31 风险管理工作内容 建立背景建立背景 风险评估风险评估 风险处理风险处理 批准监督批准监督 监控审查 沟通
14、咨询 32 风险处理 v风险处理是为了将风险始终控制在可接受的范围 内。 现存风险判断:判断信息系统中哪些风险可以接受 ,哪些不可以 处理目标确认:不可接受的风险需要控制到怎样的 程度 处理措施选择:选择风险处理方式,确定风险控制 措施 处理措施实施:制定具体安全方案,部署控制措施 33 风险处理过程 34 v减低风险 v转移风险 v规避风险 v接受风险 常用的四类风险处置方法 35 减低风险 v通过对面临风险的资产采取保护措施来降低风险 v首先应当考虑的风险处置措施,通常在安全投入 小于负面影响价值的情况下采用。 v保护措施可以从构成风险的五个方面(即威胁源 、威胁行为、脆弱性、资产和影响)
15、来降低风险 。 36 减低风险的具体办法 v减少威胁源: 采用法律的手段制裁计算机犯罪,发挥法律的 威慑作用,从而有效遏制威胁源的动机; v减低威胁能力: 采取身份认证措施,从而抵制身份假冒这种威 胁行为的能力; v减少脆弱性: 及时给系统打补丁,关闭无用的网络服务端口 ,从而减少系统的脆弱性,降低被利用的可能 性; 37 减低风险的具体办法 v防护资产: 采用各种防护措施,建立资产的安全域,从而 保证资产不受侵犯,其价值得到保持; v降低负面影响: 采取容灾备份、应急响应和业务连续计划等措 施,从而减少安全事件造成的影响程度。 38 转移风险 v通过将面临风险的资产或其价值转移到更安全的 地方来避免或降低风险。 v通常只有当风险不能被降低或避免、且被第三方 (被转嫁方)接受时才被采用。一般用于那些低 概率、但一旦风险发生时会对组织产生重大影响 的风险。 39 转移风险的具体做法 v在本机构不具备足够的安全保障的技术能力时 ,将信息系统的技术体系(即信息载体部分) 外包给满足安全保障要求的第三方机构,从而 避免技术风险。 v通过给昂贵的设备上保险,将设备损失的风险 转移给保险公司,从而降低资产价值的损失。 40 购买保险 服务外包 规避风险 v通过不使用面
