《风险管理的作用》由会员分享,可在线阅读,更多相关《风险管理的作用(18页珍藏版)》请在金锄头文库上搜索。
1、. .风险管理的作用风险管理是IT管理者平衡IT系统及数据的保护本钱和保护收益的方法,包括: 风险评估Risk Assessment; 风险消减Risk Mitigation; 持续评价Continual Evaluation; 风险管理的作用在于能够为机构完成其使命提供: 更平安的IT系统; 更有效的IT平安预算; IT系统运行认可Accreditation依据; 风险管理的关键角色 高级管理人员Senior Management,为风险管理工程提供有效的资源保证,将风险分析的结果运用于管理决策; 首席信息官Chief Information Officer,CIO,将风险管理原那么和方法用
2、于IT方案、预算及其执行活动; 系统和信息拥有者System and Information Owners,支持风险管理工程,并将风险管理原那么和方法用于其IT系统和数据的保护中; 业务和职能管理人Business and Functional Managers,将风险管理原那么和方法用于业务运行和IT采购决策中,以便IT系统能够更平安、有效地支持业务活动; 信息系统平安官Information System Security Officer,ISSO,IT风险管理工程的具体负责人,制定IT系统风险识别、评估和消减的全面方案,并向高级管理人员提供建议; IT平安专业人员IT security
3、Practitioners,包括网络、系统、应用、数据库管理员、计算机专家、平安分析员、平安参谋等,支持和参与相关IT系统的风险管理工作,包括识别系统中的风险并部署适当的防范措施,为系统提供适当的平安保护; 平安意识培训师Security Awareness Trainers,理解风险管理方法并开发风险管理相关的培训材料,在培训工程中为用户提供培训评估方面的教育。 风险评估 系统评定System Characterization 威胁识别Threat Identification 缺陷识别Vulnerability Identification 控制分析Control Analysis 可能性
4、确定Likelihood Determination 影响分析Impact Analysis 风险确定Risk Determination 控制建议Control Remendations 结果报告Results Documentation 系统评定 确定风险评估工作的范围; 勾勒运作授权或认可边界; 提供定义系统风险的重要信息,这些信息主要包括以下类型: o 硬件; o 软件; o 系统接口如内部和外部连接; o 数据和信息; o 支持和使用IT系统的人员; o 系统的使命如IT系统所起的作用; o 系统和数据的关键程度如系统的价值或对机构的重要性; o 系统和数据的敏感性。 系统评定应收集
5、的信息 IT系统的功能需求Functional Requirements; 系统的用户,包括为系统提供技术支持的系统用户System Users,和使用系统执行业务功能的应用用户Application Users; 系统平安政策Security Policy,包括机构政策Organizational Policy、政府要求Federal Requirements、法律法规Law和业界惯例Industry Practices; 系统平安架构System Security Architecture; 当前的网络拓扑Topology; 保护系统和数据可用性、完整性和*性的信息存储平安措施; IT系统
6、相关的信息流图,如系统接口、系统输入和输出流程图Flowchart; 用于IT系统的技术控制措施,如支持识别Identification和认证Authentication、控制Access Control、审计Audit、残留Residual信息保护、加密Encryption的内建或附加平安功能; 用于IT系统的管理控制措施,如行为规那么Rules of Behavior、平安方案Security Planning; 用于IT系统的运行控制措施,如人事平安Personnel Security、备份Backup、应急Contingency、复原Resumption和恢复Recovery操作、系统
7、维护System Maintenance、离站存储Off-Site Storage、用户账户User Account建立和删除规程、用户功能隔离Segregation控制; IT系统的物理平安措施,如设施平安Facility Security、数据中心政策Data Center Policies; IT系统的环境平安措施,如湿度、温度、水、能源、污染和化学品控制。 系统评定的信息收集技术 问卷Questionnaire,如评估人员设计关于管理和运行控制方面的问卷,将其发放给设计或支持系统的技术或非技术管理人员填写,也可以在现场中使用; 现场On-Site Interviews,与系统支持和管理
8、人员会面了解系统相关信息,并可以现场了解系统的物理、环境和运行平安措施; 文档查看Document Review,政策文档,如法律文件Legislative Documentation、上级指示Directive,系统文档,如系统用户指南、系统管理手册、系统设计和需求文档、采购文档,平安相关文档,如以前的审计报告、风险评估报告、系统测试结果、系统平安方案、平安政策可以提供大量相关信息; 使用自动化扫描工具Automated Scanning Tool,使用如网络扫描工具等技术方法可以快速获得系统配置信息。 问卷主题举例 哪些人是合法用户? 用户机构的使命? 系统在用户使命中的作用? 系统对于用
9、户使命有多重要? 系统的可用性需求? 机构需要什么信息包括双向的? 系统生成、使用、处理、存取什么信息? 信息对于用户使命有多重要? 信息流经的路径? 系统处理和存储的信息类型金融、人事、研发、医疗、控制? 信息的敏感级别? 系统的哪些信息不应泄漏给哪些人? 信息处理和存储的明确地点? 信息存储器的类型? 如果信息泄漏给非授权人员会给机构带来怎样的潜在影响? 信息的可用性和完整性需求? 如果系统或信息不可靠会对机构产生什么影响? 机构能够容忍的系统停机时间?这个时间大于平均修复/恢复时间吗?用户还有其它处理或通讯选项吗? 系统或平安故障会造成人员伤亡吗? 缺陷识别缺陷识别Vulnerabili
10、ty Identification的目的是编写可能被威胁源利用的系统缺陷清单;识别系统缺陷的方法包括: 使用系统评定阶段的信息收集技术; 进展系统平安测试; 制定平安需求检查列表Checklist; 不同阶段的系统其缺陷识别方法有所不同: 设计阶段的系统可关注机构平安政策、所方案的平安规程、系统平安需求定义、开发者的产品平安分析报告等; 部署阶段的系统还需关注平安设计文档和系统测试报告; 运行中的系统还需关注用于保护系统的平安控制和特性。 缺陷识别的信息来源使用系统评定阶段提到的信息收集技术获得技术和非技术缺陷相关信息,其来源可包括: 以前的风险评估文档; 系统审计报告、异常报告、平安检查报告
11、以及测试评估报告;缺陷列表,如NIST I-CAT缺陷数据库; 平安机构的建议,如FedCIRC和美国能源部计算机事件咨询机构公告、SecurityFocus的列表等; 厂商建议; 系统平安分析报告。 系统平安测试 自动化缺陷扫描工具Automated vulnerability scanning tool ,对网络及其包含的主机的进展检查,以便发现已公布的系统缺陷,需要对结果进展分析以排除误报False Positives; 平安测试和评价Security test and evaluation ,ST&E ,制定并执行测试方案,以检验系统平安控制的有效性,判断其是否满足设计要求、机构平安政
12、策以及行业标准; 渗透测试Penetration testing,以攻击者的角度和方式对系统进展模拟攻击,以检验系统的抗攻击能力。 制定平安需求检查列表平安需求检查列表包含根本的平安标准,可以被用于系统化地评价和识别资产包括人员、硬件、软件和信息、非自动化规程、方法、信息传输的缺陷,如: 管理平安方面的职责设定、连续性支持、事件响应、平安控制检查、人事平安措施、风险评估、平安和技术培训、职责别离、系统授权和再授权、系统和应用平安方案等标准; 运作平安方面的空气污染如烟尘、化学物质控制、电力供给保障、介质和处置、外部数据分配和标记、设施如计算机房、数据中心、办公室保护、湿度控制、温度控制、工作站
13、、笔记本、独立计算机控制等标准; 技术平安方面的通讯如拨号、互联、路由器、密码技术、自主控制、识别和认证、入侵检测、对象重用、系统审计等标准。 控制分析 平安控制可以减少或消除威胁利用系统缺陷的可能性,要确定系统面临的风险就必须对已部署或方案部署的控制进展分析; 控制方法可分为技术方法,即计算机硬件、软件或固件中的平安控制机制,非技术方法,即管理和运作控制方法,如平安政策、运作规程、人事、物理、环境平安控制; 控制方法还可进一步分为防御控制,如控制、加密、身份认证,检测控制,如审计跟踪、入侵检测和检验和; 为了更有效率和更全面地对平安控制进展分析,也可以使用缺陷分析中提到的平安需求检查列表的方
14、法。 可能性确定确定在当前系统环境中,潜在缺陷被利用的可能性,它取决于: 威胁源动机和能力; 缺陷性质; 现有控制的效力; 可能性可被描述为: 高,威胁源具有很强的动机和能力,现有控制无效; 中,威胁源具有相当的动机和能力,现有控制具有阻碍其利用缺陷的能力; 低,威胁源缺乏动机或能力,现有控制能够防止或有效阻碍其利用缺陷的能力。 影响分析影响分析是确定一次缺陷的成功利用所造成的负面影响程度,它主要取决于: 对系统所执行使命如该系统执行的业务操作的影响,可以通过业务影响分析Business Impact Analysis确定; 系统和数据的关键程度如系统的价值或对机构的重要程度,可以通过资产关键程度分析确定; 系统和数据的敏感性,可通过丧失完整性、可用性、*性的影响分析确定; 系统和信息的拥有者负责确定其系统和信息受到影响的程度,所以影响分析的主要工作是系统和信息
