《风险评估指南》由会员分享,可在线阅读,更多相关《风险评估指南(49页珍藏版)》请在金锄头文库上搜索。
1、ICS 35.040L 80中华人民共和国家标准GB/T xxxxxxxx信息安全技术信息安全风险评估指南Information security technologyRisk assessment guidelines for information security(送审稿)XXXX-XX-XX发布XXXX-XX-XX实施国家质量监督检验检疫总局发布目 次目次I前言II引言III1范围12规范性引用文件13术语和定义14风险评估框架及流程44.1风险要素关系44.2风险分析原理64.3实施流程65风险评估实施75.1风险评估的准备75.2资产识别95.3威胁识别135.4脆弱性识别155.
2、5已有安全措施确认 175.6风险分析185.7风险评估文件记录206信息系统生命周期各阶段的风险评估 216.1信息系统生命周期概述 216.2规划阶段的风险评估226.3设计阶段的风险评估226.4 实施阶段的风险评估236.5运行维护阶段的风险评估246.6废弃阶段的风险评估257风险评估的工作形式257.1自评估267.2检查评估 26附录A 28A.1使用矩阵法计算风险28A. 2使用相乘法计算风险33附录B 37B. 1风险评估与管理工具37B.2系统基础平台风险评估工具38B.3风险评估辅助工具39为指导和规范针对信息系统及其管理的信息安全风险评估工作,特制定本标准。本标准定义了
3、风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细 描述;提出了风险评估在信息系统生命周期不同阶段的实施要点,以及风险评估的工作形式。本标准附录A是规范性附录,附录B是资料性附录。本标准由国务院信息化工作办公室提出。本标准由全国信息安全标准化技术委员会归口。本标准主要起草单位:国家信息中心、北京信息安全测评中心、上海市信息安全测评认证中心、解 放军测评认证中心、国家保密技术研究所、信息安全国家重点实验室。本标准主要起草人:范红、吴亚非、应力、王宁。引 言随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问 题受到普遍关注。采用风险管理的
4、理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。风险评估通过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分析,从 技术和管理两个层面综合判断信息系统面临的风险。风险评估是建立信息安全保障机制中的一种科学方法。对信息系统而言,存在风险并不意味着不安 全,只要风险控制在可接受的范围内,就可以达到系统稳定运行的目的。风险评估的结果为保障信息系 统的安全建设、稳定运行提供了技术参考。在规划与设计阶段,风险评估的结果是安全需求的来源,为 信息系统的安全建设提供依据;在系统运行维护阶段,由于信息系统的动态性,需要定期地进行风险评 估,以了解、掌握系统安全状态,是保证系统安
5、全的动态措施。同时,风险评估是信息系统安全等级确 定及建设过程中一种不可或缺的技术手段。信息系统的所有者可使用本标准为其选择安全措施,实施信息系统保护提供技术支持,依据本标准 中提出的安全风险理念选择技术与管理控制措施;信息系统的所有者还可以基于本标准的评估结果来决 定信息系统的安全措施是否满足安全需求,是否将重要资产的风险降低到可接受的范围内;并依据本标 准进行持续性评估,以不断识别信息系统面临的风险。风险评估的实施者可以依据本标准进行风险评估, 依据本标准的判定准则,做出科学的判断。信息系统的管理机构可依据本标准对信息系统及其管理进行 安全检查,推动行业或地区信息安全风险管理的实施。本标准
6、条款中所指的“风险评估”,其含义均为“信息安全风险评估”。信息安全风险评估指南1范围本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段 的实施要点,适用于组织开展的风险评估工作。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所 有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方 研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 19716-2005信息技术信息安全管理实用规则GB/T 19715.1-2005信息技术信息技术安
7、全管理指南第1部分:信息技术安全概念和模型GB 17859-1999计算机信息系统安全保护等级划分准则GB/T9361-2000计算机场地安全要求GB/T 5271.8-2001 信息技术 词汇 第8部分:安全3术语和定义3.1资产asset对组织具有价值的信息或资源,是安全策略保护的对象。3.2资产价值asset value资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。3.3可用性 availability数据或资源的特性,被授权实体按要求能访问和使用数据或资源。3.4业务战略 business strategy组织为实现其发展目标而制定的一组规则或要求。
8、3.5机密性 confidentiality数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。3.6信息安全风险 information security risk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造 成的影响。3.7信息安全风险评估 information security risk assessment依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性 和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可 能性,并结合安全事件所涉及
9、的资产价值来判断安全事件一旦发生对组织造成的影响。3.8信息系统 information system由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行 采集、加工、存储、传输、检索等处理的人机系统。典型的信息系统由三部分组成:硬件系统(计算机硬件系统和网络硬件系统);系统软件(计算机 系统软件和网络系统软件);应用软件(包括由其处理、存储的信息)。3.9检查评估 inspection assessment由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其 管理进行的具有强制性的检查活动。3.10完整性integrity
10、保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。3.10.1数据完整性data integrity数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变。3.10.2系统完整性system integrity在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,信息系统能 履行其操作目的的品质。3.11组织 organization由作用不同的个体为实施共同的业务目标而建立的结构。组织的特性在于为完成目标而分工、合作; 一个单位是一个组织,某个业务部门也可以是一个组织。3.12残余风险residual risk采取了安全措施后
11、,信息系统仍然可能存在的风险。3.13自评估 self-assessment由组织自身发起,参照国家有关法规与标准,对信息系统及其管理进行的风险评估活动。3.14安全事件 security incident指系统、服务或网络的一种可识别状态的发生,它可能是对信息安全策略的违反或防护措施的失效, 或未预知的不安全状况。安全措施security measure保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、 规程和机制的总称。3.16安全需求 security requirement为保证组织业务战略的正常运作而在安全措施方面提出的要求。3.17威胁threa
12、t可能导致对系统或组织危害的不希望事故潜在起因。3.18脆弱性 vulnerability可能被威胁所利用的资产或若干资产的弱点。4风险评估框架及流程本章提出了风险评估的要素关系、分析原理及实施流程。4.1风险要素关系风险评估中各要素的关系如图1所示:安全需求图1 风险评估要素关系图图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评 估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考 虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。图1中的风险要素及属性之间存在着以下关系:(1)业务战
13、略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;(2)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;(3)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;(4)资产的脆弱性可能暴露资产的价值,资产具有的弱点越多则风险越大;(5)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;(6)风险的存在及对风险的认识导出安全需求;(7)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;(8)安全措施可抵御威胁,降低风险;(9)残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安 全成本与效益后不去控制的风
14、险;(10)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。4.2风险分析原理风险分析原理如图2所示:图2风险分析原理图风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产 价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程 度。风险分析的主要内容为:(1)对资产进行识别,并对资产的价值进行赋值;(2)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;(3)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;(4)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;(5)根据脆弱性的严重程度及安全
15、事件所作用的资产的价值计算安全事件的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影 响,即风险值。4.3实施流程图3给出风险评估的实施流程,第5章将围绕风险评估流程阐述风险评估各具体实施步骤。图3风险评估实施流程图5风险评估实施5.1风险评估的准备风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结 果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施 刖,应:(1) 确定风险评估的目标;(2) 确定风险评估的范围;(3) 组建适当的评估管理与实施团队;(4) 进行系统调研;(5) 确定评估依据和方法;(6)获得最高管理者对风险评估工作的支持。5.1.1确定目标根据满足组织业务持续发展在安
