《安全风险评估之信息资产赋值》由会员分享,可在线阅读,更多相关《安全风险评估之信息资产赋值(9页珍藏版)》请在金锄头文库上搜索。
1、信息资产赋值定义1.为什么要进行信息资产的赋值?在完成信息资产的识别形成完整的信息资产表之后,为了明确对资产的保护,同时为了接下来对风险值的计算,有必要对资产的价值进行评估,其价值大小不仅仅是考虑其自身的价值,还要考虑其业务的相关性和一定条件下的潜在价值。资产价值常常是以安全事件发生时所产生的潜在业务影响来衡量,安全事件会导致资产机密性、完整性和可用性的损失,从而导致企业资金、市场份额、企业形象的损失。为了资产评估的一致性与准确性,我们建立一套资产价值的评估标准,对每一种资产和每一种可能的损失,例如机密性、完整性和可用性的损失,都可以赋予一个价值。但采用精确的方式给资产赋值是较困难的一件事,一
2、般采用定性的方式,按照资产的价值评估标准将资产的价值划分为不同等级。经过资产的识别与估价后,组织应根据资产价值大小,进一步确定要保护的关键资产。在评估过程,为了保证没有资产被忽略和遗漏,应该先确定信息安全体系范围,建立资产的评审边界。评估资产最简单的方式是列出组织业务过程中、安全管理体系范围内所有具有价值的资产,然后对资产赋予一定的价值,这种价值应该反映资产对组织业务运营的重要性,并以对业务的潜在影响程度表现出来。例如,资产价值越大,由于泄露、修改、损害、不可用等安全事件对组织业务的潜在影响就越大。基于组织业务需要的资产的识别与估价,是建 立信息安全体系,确定风险的重要一步。2.如何进行信息资
3、产赋值?在对资产赋予价值时,一方面要考虑资产购买成本及维护成本,另一方面主要考虑当这种资产的机密性、完整性、可用性受到损害时,对业务运营的负面影响程度。在信息安全管理中,并不是直接采用资产的账面价值,而是采用以定性分级的方式建立资产的相对价值,以相 对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。对资产的赋值不仅要考虑资产本身的价值,更重要的是要考虑资产的安全状况对于组织的重要性,即由资产在其CIA 三个安全属性上的达成程度决定。依据 CIA 属性分级的标准对资产在机密性、 完整性和可用性上的达成程度进行分析, 并在此基础上得出一个综合结果 信息资产的价值。赋值五分法资产赋
4、值标识5很高4高3中等2低C机密性I完整性A可用性完整性价值非常关键,未经可用性价值非常高,合法包含组织最重要的秘密,关组织 使用者对信息及信息系统授权的修改或破坏会对系未来发展的前途命运,对受的影 的可用度达到年度 99.9%造成重大的或无法接组织根本利益有着决定性影响,对业务冲击重 大,并可能 以上响,如果泄漏会造成灾难性密 AAA造成严重的业 务中断,难以的损害(如企弥补包含组织的重要秘密,其泄 完整性价值较高,未经授权可用性价值较高,合法使用露会使组织的安全和利益遭 的修改或破坏会对组织造成 者对信息及信息系统的可用受严重损害(如企密重大影响,对业务冲度达到每天 90%以上击严重,AA
5、比较难以弥补包含组织的一般性秘密,一完整性价值中等,未经授权可用性价值中等,合法使用般仅能在组织某一或几个部的修改或破坏会对组织造成 者对信息及信息系统的可用门内部公开 ,其泄露 会使组影响,对业务冲击明显,但可 度在正常工作时间达织的安全和利益受到损害以弥补到 70%以上(如企密 A)包含组织较低级别秘密, 仅可用性价值较低,合法使用能在组织内部公开的信息,完整性价值较低,未经授权者对信息及信息系统的可用向外扩散有可能对组织的利的修改或破坏会对组织造成度在正常工作时间达益造成损害轻微影响,可以忍受, 对业务到 25%以上冲击轻微,容易弥补包含可对社会公开的信息,授可用性价值可以忽略,合法完整
6、性价值非常低,未经公用的信息处理设备和系统造成 使用者对信息及信息系统的1很低权的修改或破坏对组织资源等的影响可以忽略,对业务冲 可用度在正常工作时击可以忽略间低于 25%不同资产对应的赋值原则资产赋值标识C机密性I完整性A可用性5很高4高3中等2低1很低关键系统主机;关键的网络关键系统主机;关键的网络关键系统主机;重要系统主设备、安全设备、存储设设备、安全设备、存储设机;关键的网络设备、安全备;域控制器和关键基础设备;域控制器和关键基础设设备、存储设备;重要网络施服务器;网络和主机管理施服务器;备份设备、备份设备、安全设备、存储设及监控设备;备份设备、备介质份介质;打印机;备;一般网络设备、
7、安全设复印机;备、存储设备;域控制器和传真机;个人办公电脑关键基础设施服务器;重要(机房)环境设施监控设备;备份设备、备份介质一般系统主机;域成员服务重要系统主机;一般系统主重要系统主机;重要网络设器和重要基础设施服务器;机;重要网络设备、安全设备、安全设备、存储设备;一般(机房)环境设施监控备、存储设备;域成员服务域成员服务器和重要基础设设备;网络和主机管理及监器和重要基础设施服务器;施服务器;重要(机房)环控设备重要(机房)环境设施监控境设施监控设备; 一般(机设备;打印机;复印机;传房)环境设施监控设备;网真机;个人办公电脑络和主机管理及监控设备一般网络设备、安全设备、一般系统主机;一般
8、网络设存储设备;一般(机房)环完整性价值中等,未经授权备、安全设备、存储设备;境设施监控设备;打印机;的修改或破坏会对组织造成打印机;复印机;传真机;复印机;传真机;个人办公 影响,对业务冲击明显,但 个人办公电脑电脑可以弥补;打印机;复印机;传真机;个人办公电脑-信息资产赋值算法1.资产赋值算法说明信息资产的资产价值要考虑机密性(C)、完整性( I )、可用性( A) 三个因素。为了资产评估的一致性与准确性,我们建立一套资产价值的评估标准,对每一种资产和每一种可能的损失,例如机密性、完整性和可用性的损失,都可以赋予一个价值。然后利用确定的算法将信息资产三个因素的价值综合考虑,确定最终的资产价
9、值大小,进一步确定要保护的关键资产。资产价值的算法通常包括算术平均法和对数平均法。算术平均法综合考虑三个方面的因素,简便易用。对数平均法在考虑三个因素的同时,更易突出某 一特定因素的影响,更加客观准确的体现出资产的价值。在实际应用过程中,通常不同类别的资产对于三个因素的敏感程度是不同的,例如:人员资产通常不考虑完整性因素。因此,在实践过程中,可以为不同类别资产的三个因素配置相应的权重,以保证对该类资产价值分析的可靠性和准确性。2.请选择【信息资产赋值算法】:无权重算术平均法:综合考虑资产三个方面的属性,平均得出资产价值,简单易* 对数平均法:在综合考虑资产三个方面属性的同时,重点突出某一属性的特点。例如,某些信息资产的保密性要求很高,而可用性、完整性要求较低时,使用本算法更能够凸显出其资产价值的重要性。茁+ ”+沪N = 切式 -)有权重 ( a + B + Y = 1)加权算术平均法:在算术平均法的基础上,根据不同资产类别的特点,人为设
