《信息安全与风险管理教材.ppt》由会员分享,可在线阅读,更多相关《信息安全与风险管理教材.ppt(105页珍藏版)》请在金锄头文库上搜索。
1、信息安全与风险管理,安全管理,安全管理主要内容及概述,安全计划是公司的安全管理的核心组成部分,目的是保护公司财产。 风险分析是确定公司财产,发现构成威胁的风险并评估这些危险变成现实的时可能承受的危害和损失,风险分析的结果帮助管理者采取可行的安全策略,为在公司中发生的活动提供安全方面的指导,说明安全管理在公司安全计划中的价值。 安全教育将上面的信息灌输给公司中的每个员工,这样,每一个人都受到教育,从而能够更容易的朝着同一个安全目标前进。,安全管理,安全管理过程,安全管理,安全管理职责,安全计划 安全计划须包括目标、范围、方针、优先级、标准和策略。 资源有人力资源、资本、硬件以及信息等多种形式。,
2、安全管理,自顶向下的方法,安全管理和支持控制,管理的、技术的和物理的控制相互协作,物理控制:设施保护、安全防护、锁定、监控、环境控制、入侵检测,技术控制:逻辑访问控制、加密、安全设备、鉴别和认证,管理控制:策略、标准、规程、方针、屏蔽人员、安全意识培训,公司数据和财产,安全指标,安全管理和支持控制,安全管理和支持控制,安全的基本原则,安全定义,安全管理和支持控制,安全措施,威胁因素,威胁,脆弱性,风险,资产,暴露,引起,利用,导致,可以破坏,并且引起一个,不能够被预防,通过,直接作用到,机构安全框架,在网络中评估这些概念的正确顺序为:威胁、暴露、脆弱性、对策,最后为风险。这是因为:如果具有某种
3、威胁(新的SQL攻击),但是除非你所在公司存在对应的脆弱性(采用必要配置的SQL服务器),否则公司不会暴露在威胁之中,这也不会形成脆弱性。如果环境中确实存在脆弱性,就应该采取对应策略,以降低风险。,安全管理和支持控制,应用概念的顺序,安全管理和支持控制,安全框架,总体安全,机密性,完整性,可用性,代价合理的解决方案,安全措施,对策,法律责任,安全意识,系统可靠性,策略和规程,保护需求,数据分级,功能性评价,定量和定性风险评估,风险分析,定义风险和威胁,完整性,完整性,业务对象,安全规划,安全管理和支持控制,日常目标或操作目标都集中在工作效率和面向任务的活动和说那个,这样才能保证公司的功能能够以
4、一种平顺而且可以预见的方式实现。中期目标或战术目标,可能是将所有的工作站和资源都整合到一个地方,这样就可以实现集中控制。长期目标,或战略目标,可能会涉及到如下活动;将所有部门从专用通信线路转移到帧中继方式,为所有的远程用户转杯IPsec虚拟专用网;(VPN)以代替拨号方式,向系统中整个带有必要安全措施是的无线技术。,安全框架-Cobit,安全管理和支持控制,安全框架COSO,安全管理和支持控制,控制活动 确保管理活动付诸实施的政策/流程。 措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。,监督 不断评估内部控制系统的表现。 整合实时和独立的评估。 管理层和监督活动。 内部审计工作
5、。,控制环境 营造单位气氛让公司员工建立内部控制 因素包括正直,道德价值,能力,权威和责任 是其他内部控制组成部分的基础,信息和沟通 及时地获取,确定并交流相关的信息 从内部和外部获取信息 使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流,风险评估 风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础,所有的五个部分必须同时作用才能使 内部控制得以产生影响,coso是一个企业治理模型,而Cobit是一个IT治理模型。coso更多面向策略层面,而Cobit则更关注运营层面。Cobit可以看作是满足许多coso目标的一种方法,但只能从
6、it角度来看,因为coso还处理非IT项目,如公司文化、财务会计原则、董事会责任和内部通信结构。,安全框架ISO17799,安全管理和支持控制,ISO17799时最常用的标准,它由正式标准英国标准7799(BS7799)发展而来。这个是一个世界公认的信息安全管理标准,他为企业安全提供高级概念化建议。它由两部分构成;第一部分是一个执行指导,由如何建立一个综合性的信息安全结构体系的指导方针组成;第二部分是一个审计指导,说明一个遵守ISO17799的组织必须满足的要求。,安全框架ITIL,安全管理和支持控制,服务设计,服务战略,服务转换,服务运营,产生,财务,投资组合,需求,服务目录,服务级别,可用
7、性,连续性,供应商,度量,趋势,分析,报告,改进,事件(Event),事故(Incident),问题,技术,访问,变更,资产&配置,发布和部署,有效性,变更,资产&配置,安全框架小结,安全管理和支持控制,Cobit和COSO提供“要实现什么”,而不是“如何实现它”,这就是ITIL和 ISO17799存在的原因。,要实现什么,Cobit,COSO,ISO17799,ITIL,如何实现它,安全管理,安全治理,安全治理(Security Governance)在本质上非常类似于企业的IT治理,因为这三者在功能和目标上有重叠的地方。所有这三种治理都在公司的组织结构内进行,而且都以辅助确保公司的生存和发
8、展为目标只是侧重点不同。 IT治理学院在董事会参考之IT治理简介第二版中对安全治理的定义。“治理是董事会和执行管理层履行的一组责任和实践,其目标在于提供策略指导,确保目标得以实现,封信啊得到适当管理,并证明切叶的资源得到合理的利用。” 这个定义完全正确,但它仍然非常抽象,这更像一个策略性政策声明,然而真正的技巧是正确解释并将他转化成有意义的战术、运作职能和实践。 对于安全治理而言,必须有什么东西的到治理。一个组织必须执行的所有控制共同成为安全计划,安全管理,制定安全计划,安全计划是一个永不终止的生命周期;,安全管理,实施 分配任务和责任 指定和实施安全策略、规程、标准、基线和指导。 确定静态和
9、动态敏感数据。 实施以下蓝图(Blueprint) 资产确定和管理 风险管理 脆弱性管理 法规遵从 身份管理和访问控制 变更控制 软件开发声明周期 业务连贯性规划 意识和培训 物理安全 事故响应 实施每个蓝图的解决方案(管理、技术、物理的)。 开发每个蓝图的审计和监控解决方案 确定每个蓝图的目标、服务等级协议(SLA)和标准。,计划和组织,计划和组织 确定管理承诺 成立监督指导委员会 评估业务推动力 了解组织威胁概况 进行风险评估 在组织、应用软件、网络和组建鞥开发安全体系结构。 确定每个体系结构层面的解决方案 获得管理层的批准,以继续向前,运作和维护 遵循规程,确保所有极限在每个实施的蓝图中
10、的到满足 执行内部和外部审计 执行每个蓝图中列出的任务 管理每个蓝图的服务等级协议,监控和评估 每个蓝图的核查日志、审计结果、收集的标准值和SLA 评估每个蓝图的目标完成情况 每季与指导委员会举行会议 确定改进步骤,并将其整合到“计划和组织”阶段,安全管理,安全框架蓝图,安全管理,商业需求,信息风险管理,风险是指破坏发生的可能性,以及破坏发生后的衍生情况。 信息风险管理(Information Risk Management,IRM)指识别并评估风险、将它降低到可接受的水平、执行正确的机制来维持这种水平的过程。 关键是在于识别这些威胁,估计他们实际发生的可能性以及他们可能造成的破坏,并采取恰当
11、的措施,将环境的总体风险降低到组织认为可以接受的水平。,风险管理概述,信息风险管理策略,IRM策略为企业的风险管理过程及步骤提供基础架构,应解决包括人员选拔、内部威胁、物理安全与防火墙在内的一切信息安全问题。 同时,它还应为IRM团队如何向高级管理层通报公司风险信息,以及如何执行管理层的风险弱化策略提供指导。,恰当的风险管理需要高级管理层的鉴定承诺以及一个文本化流程,这个过程为机构的使命、IRM策略和委任的IRM团队提供支持。,信息风险管理,风险管理团队,完成目标的必要的条件 获得高级管理层的支持,从而对资源进行合理的调配。 这个团队也需要一个领导,在大型组织内,这名成员应用50%70%的时间
12、来处理风险管理工作。 管理层必须投入资金对此人进行必要的培训。 为其提供风险工具,以确保风险管理工作的顺利进行。,信息风险管理,风险分析,风险分析提供了一种成本/收益比,也就是用来保护公司免收威胁安全措施的费用和预料中的损失所需要的代价之间的比值。,信息风险管理,风险分析团队,要实现最有效的风险分析,就需要建立一个团队,这个团队的成员可以是管理人员、应用程序员、IT人员、审计员、系统及成员或者运行部经理,这个是必需的。样所有的风险才能被充分了解和量化。,通过进行内部调查、访问或举办研讨会。可以收集到许多类似的信息。,信息风险管理,信息风险管理,资产价值,资产可以被赋予定量和定性的度量,不过这些
13、度量方法应该有根有据。,信息风险管理,威胁和脆弱性的关系,识别威胁,信息风险管理,风险分析常见方法,信息风险管理,定量风险方法,信息风险管理,安全管理,风险分析的步骤,资产的价值是多少。 维护需要多少成本。 资产的收益。 对于竞争对手来说,他的价值是多少。 重建和修复该资产需要多少费用。 获取和开发该资产需要多少费用。 资产损失,你要负多大的责任。,会造成什么物理损失,这样带来多大的成本。 生产力损失多少,这会带来多大的成本? 如果保密信息被泄露,损失多少。 恢复过来的成本是多少。 关键的设备出故障,会带来损失。 对每项风险和设施的事故计算单次损失期望值(SLE)。,从每个部门的人员那里手机有
14、关每种风险发生可能性的信息。检查过去的记录以及提供数据的官方安全资源。 计算年发生概率(ARO),也就是每种威胁在一年中可能发生的次数,将潜在损失和可能性综合起来 使用前3部中计算得到的信息,对每种威胁计算年损失期望值(ALE) 为抵消每项风险选择补救措施 为每项措施计算成本/收益值,减小风险 分担风险:买保险从而将部分或全部风险转移 接受风险:让分线存在,不花钱采取保护措施 避免风险:终端危险的操作,定量风险计算的相关概念,信息风险管理,定量风险计算的相关概念,风险分析方法是定性分析,这种方法不对各个要素和损失赋予数值和货币价值。 定性分析技术包括判断、直觉和经验。 定性分析技术的例子有De
15、lphi、头脑风暴、情节串联、焦点群体、调查、问卷、检查表、一对一会谈以及采访。,风险分析团队撰写了一页概况,说明黑客攻击公司内部5太文件服务器访问呢保密信息的情况,并将它发给了预先选定的一个五人小组(IT经理、数据库管理员、应用程序员、系统操作员和运行部经理)。这个预先选定的团队对威胁的严重程度、潜在损失和每种安全措施的有效性,用15的等级进行排序,1代表最不严重、最不有效或最不可能。,信息风险管理,定量VS.定性,信息风险管理,保护机制,信息风险管理,确定风险分析的计算后,下一步是确定现行的安全机制并评估他们的效果。 安全措施使用的成本/收益计算公式为:,(实行安全措施之前的ALE)-(实
16、行安全措施之后的ALE)-(安全措施每年的费用)=安全措施对公司的价值,基础模块 提供统一的保护 提供否决功能 默认为最小优先级 安全措施及其保护的资产相互独立 适应性和功能 用户交互 用户和管理员之间的清楚界限 最少的人为干预 资产保护 容易升级 审计功能,最小化对其他组件的依赖性 容易被职员使用和接受,并能容忍错误 必须产生可用和可以理解的输出 必须能够重启安全措施 可检测 不引入其他危害 系统和用户效能 普遍应用 恰当的警告 不影响资产,安全措施采购考虑因素,信息风险管理,第1步,第2步,第3部,指派资产和信息价值,风险分析和评估,选择和实施防护措施,要进行一项风险分析,公司就因该决定应该保护那些财产以及保护的程度如何。 还应该说明保护具体的财产所需的钱数。应该评估依稀可用安全措施的功能,确定那些安全措施对环境最有力。 然后评估一下安全差距、成本,并作出比较
