收藏
下载资源

风险评估的国际发展动态

上传人:m**** 文档编号:570359720 上传时间:2024-08-03 格式:PPT 页数:51 大小:787KB
返回 下载 相关 举报
风险评估的国际发展动态_第1页
第1页 / 共51页
风险评估的国际发展动态_第2页
第2页 / 共51页
风险评估的国际发展动态_第3页
第3页 / 共51页
风险评估的国际发展动态_第4页
第4页 / 共51页
风险评估的国际发展动态_第5页
第5页 / 共51页
点击查看更多>>
资源描述

《风险评估的国际发展动态》由会员分享,可在线阅读,更多相关《风险评估的国际发展动态(51页珍藏版)》请在金锄头文库上搜索。

1、风险评估的国际动态风险评估的国际动态汇报要点信息安全管理成为信息安全保障的热点信息安全管理成为信息安全保障的热点泰德带来的启示泰德带来的启示风险评估和等级保护的关系风险评估和等级保护的关系信息安全管理成为信息安全管理成为信息安全保障的热点信息安全保障的热点IT IS $!信息就是财富信息就是财富,安全才有价值。安全才有价值。CI: Critical InfrastructureCIP: Critical Infrastructure ProtectionCII: Critical Information Infrastructure.CIIP: Critical Information Inf

2、rastructure Protection技术提供安全保障功能,但不是安全保障的全部技术提供安全保障功能,但不是安全保障的全部提高人的安全意识,技术、管理两手抓成为国际共识。提高人的安全意识,技术、管理两手抓成为国际共识。标准化组织和行业团体抓紧制定管理标准标准化组织和行业团体抓紧制定管理标准ISO 13335 正在重组修改正在重组修改正在修订正在修订17799BS 7799-2 成为国际标准正在讨论成为国际标准正在讨论NIST 在联邦在联邦IT系统认证认可的名义下提出大量规范系统认证认可的名义下提出大量规范SP 800-18 IT系统安全计划开发指南系统安全计划开发指南 (1998年年12

3、月月 ) SP 800-26 IT系统安全自评估指南(系统安全自评估指南(2001年年11月)月)SP 800-30 IT系统风险管理指南(系统风险管理指南(2002年年1月发布,月发布,2004年年1月月21日日 修订修订 )SP 800-37 联邦联邦IT系统认证认可指南(系统认证认可指南(2002年年9月,月,2003年年7月,月,2004年年5月最后文本)月最后文本)FIPS 199联邦信息和信息系统的安全分类标准(草案第一版)联邦信息和信息系统的安全分类标准(草案第一版)(2003年年12月)月)SP 800-53联邦信息系统安全控制(联邦信息系统安全控制(2003年年8月月31日发

4、布草案)日发布草案) SP 800-53A联邦信息系统安全控制有效性检验技术和流程(计划联邦信息系统安全控制有效性检验技术和流程(计划2003至至2004年出版)年出版)SP 800-60 信息和信息类型与安全目标及风险级别对应指南(信息和信息类型与安全目标及风险级别对应指南(2004年年3月草案月草案2.0版版)Managing Enterprise Risk and Achieving More Secure Information Systems involves Categorizing (enterprise information and information systems)

5、Selecting (appropriate security controls) Refining (security controls through a risk assessment) Documenting (security controls in a system security plan) Implementing (security controls in new and legacy systems) Assessing (the effectiveness of security controls) Determining (enterprise-level risk

6、and risk acceptability) Authorizing (information systems for processing) Monitoring (security controls on an ongoing basis) 国际信息系统审计与控制协会国际信息系统审计与控制协会 (ISACA) 提提出:出:1. IS Risk Assessment, effective 1 July 20022. Digital Signatures, effective 1 July 20023. Intrusion Detection, effective 1 August 2003

7、4. Viruses and other Malicious Logic, effective 1 August 20035. Control Risk Self-assessment, effective 1 August 20036. Firewalls, effective 1 August 20037. Irregularities and Illegal Acts Effective 1 November 20038. Secuurity AssessmentPenetration Testing and Vulnerability Analysis, effective 1 Sep

8、tember 2004提出提出信息和相关技术的控制目标信息和相关技术的控制目标(CoBIT)CoBIT开发和推广了第三版,开发和推广了第三版,CoBIT起源于组织为达到业务目标所需的信息这个前提起源于组织为达到业务目标所需的信息这个前提 CoBIT鼓励以业务流程为中心,实行业务流程负责制鼓励以业务流程为中心,实行业务流程负责制CoBIT还考虑到组织对信用、质量和安全的需要还考虑到组织对信用、质量和安全的需要它它提提供供了了组组织织用用于于定定义义其其对对IT业业务务要要求求的的几几条条信信息息准准则则:效效率率、效效果果、可可用用性性、完完整整性性、保保密密性性、可可靠靠性性和和一一致性。致性

9、。CoBIT进一步把进一步把IT分成分成4个领域个领域计划和组织,计划和组织,获取和运用,获取和运用,交付和支持,交付和支持,监控和评价。监控和评价。共共计计34个个IT业业务务流流程程。其其中中3个个与与信信息息安安全全直直接接密密切相关的业务流程是:切相关的业务流程是:计划和组织流程计划和组织流程9评估风险:评估风险:传递和支持流程传递和支持流程4确保连贯的服务;确保连贯的服务;传递和支持流程传递和支持流程5保证系统安全。保证系统安全。CoBIT为正在寻求控制实施最佳实践的管理为正在寻求控制实施最佳实践的管理者和者和IT实施人员提供了超过实施人员提供了超过300个详细的控个详细的控制目标,

10、以及建立在这些目标上的广泛的制目标,以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对行动指南。后者是用来评估和审计对IT流程流程控制和治理的程度。控制和治理的程度。国际国际CIIP手册手册(2004)Part II Analysis of Methods and Models for CII Assessment1 Sector Analysis 2 Interdependency Analysis 3 Risk Analysis 4 Threat Assessment 5 Vulnerability Assessment6 Impact Assessment7 System An

11、alysis2002年版Technical IT-Security ModelsRisk Analysis Methodology (for IT Systems)Infrastructure Risk Analysis Model (IRAM)Leontief-Based Model of Risk in Complex Interconnected Infrastructures Sector and Layer Model, Sector Analysis, Process and Technology Analysis, Dimensional Interdependency Anal

12、ysis.泰德带来的启示泰德带来的启示风险三角形风险三角形风险风险资产资产威胁威胁脆弱性脆弱性泰德眼中的Information Security Governance标准体系( ISMS)BS 7799 Part 2Corporate GovernancePLANDOACTCHECK风险管理处理风险管理处理系统控制系统控制内部审计功能内部审计功能ISO/IEC 17799ISMS StandardsISO/IEC 17799 and BS 7799-2Security processes and control compliance statementsControls and control

13、 implementation adviceControlsNON-MANDATORY StatementsRisk assessmentAudit/reviewsMANDATORY StatementsRisk assessment, treatment and managementCompliance audit/reviews (SHALL statements)Governance principlesISMS Specifications ISMS StandardsManagement system specs, guidance & auditingBS 7799 Part 2I

14、SMS Guidelines (risk assessment, selection of controls) GMITS/MICTSISO/IEC 18044 Incident handling PD 3000 series on risk and selection of controlsISMS Control Catalogues ISO/IEC 17799Management system certification and accreditation standards (auditing process, procedures etc) ISO Guide 62EA7/03 EN

15、45013EN45012 ISO19011ISO9001National schemes and standardsProduct StandardsTechnical implementation and specification standardsEncryptionAuthenticationDigital signaturesKey managementNon-repudiationIT network securityTPP servicesTime stampingAccess controlBiometricsCardsProduct and product system te

16、sting and evaluationISO/IEC 15408 Evaluation criteriaProtection profilesISMS StandardsBS 7799-2:2002PLANDOACTCHECKPDCA ModelDesign ISMSImplement & use ISMSMonitor & review ISMSMaintain & improve ISMSRisk based continual improvement framework for information security managementISO/IEC 17799新老版本对比Secu

17、rity policySecurity organisationAsset classification & controlPersonnel securityPhysical & environmental securityCommunications & operations managementAccess controlSystems development & maintenanceBusiness continuityCompliance2000 versionSecurity policyOrganising information securityAsset managemen

18、tHuman resources securityPhysical & environmental securityCommunications & operations managementAccess controlInformation systems acquisition, development and maintenance Business continuity managementComplianceInformation security incident managementnew versionSecurity policyOrganising information

19、securityAsset managementHuman resources securityPhysical & environmental securityCommunications & operations managementAccess controlInformation systems acquisition, development and maintenance Business continuity managementComplianceInformation security incident managementnew versionISMS StandardsR

20、evision of ISO/IEC 17799:2000Satisfy requirementControl (plus supporting text)Staterequirement2000 editionControl ObjectiveControl Implementation guidance Other information Revised editionControl Objective新老版本变化ISO/IEC 17799new editionISO/IEC 17799old edition9 old controls deleted16 new controls add

21、ed118 controls remaining老版本老版本: 包含包含10个控制要项,个控制要项,36 个控制目标,个控制目标,127 个控制措施个控制措施新版本新版本: 11个个 39个个 134个个风险评估如何贯穿于安全管理BS 7799-2:2002设计设计 ISMSImplement and use the ISMSMonitoring and review the ISMSImprove and update the ISMS计划计划DOCHECKACTISMS定义定义 ISMS 的的执行范围和政策执行范围和政策执行风险评估执行风险评估对风险评估处理作出对风险评估处理作出决定决定

22、选择控制选择控制ISMS StandardsBS 7799-2:2002Design the ISMS执行和使用执行和使用 ISMSMonitoring and review the ISMSImprove and update the ISMSPLAN行动行动CHECKACTISMS执行风险评估执行风险评估处理计划处理计划执行控制执行控制执行意识执行意识/培训培训将将 ISMS 放到放到 操作使用中操作使用中ISMS StandardsBS 7799-2:2002Design the ISMSImplement and use the ISMS监控和检查监控和检查ISMSImprove an

23、d update the ISMSPLANDO检查检查ACTISMS执行监控进程执行监控进程执行定期检查执行定期检查 检查剩余风险和可接检查剩余风险和可接受的风险受的风险内部审计内部审计ISMS StandardsBS 7799-2:2002Design the ISMSImplement and use the ISMSMonitoring and review the ISMS改进和升级改进和升级ISMSPLANDOCHECKACTISMS实现改进实现改进矫正性和预防性矫正性和预防性的活动的活动传达结果传达结果 检查改进达到的目标检查改进达到的目标ISMS AssetsBusiness p

24、rocessesInformation PeopleServicesICTPhysical locationApplications asset directoryAssetsCorporate imagePeopleInformation/information systems ProcessesProducts/servicesApplicationsICTPhysicalISO/IEC 17799 7.1.1 Inventory of assetsISMS RisksAsset threats &vulnerabilitiesAsset value & utility asset dir

25、ectoryAssetsCorporate imagePeopleInformation/information systems ProcessesProducts/servicesApplicationsICTPhysicalRisk treatmentRisks & impactsRisk treatment风险等级风险等级不可容忍不可容忍的风险的风险可容忍可容忍的风险的风险很少发生业很少发生业务暴露务暴露持续的业务持续的业务暴露暴露对业务影响的对业务影响的因果关系较小因果关系较小对业务产生灾难对业务产生灾难性影响的因果关性影响的因果关系系业务影响业务影响低低 (可忽略, 无关紧要,为不足

26、道, 无须重视) 中低中低(值得注意, 相当可观但不是主要的) 中中 (重要, 主要)中高中高 (严重危险, 潜在灾难)高高 (破坏性的, 总体失灵,完全停顿)保密性要求保密性要求 (C)资产价值资产价值分级分级描述描述1 低低可公开可公开非敏感信息和信息非敏感信息和信息处理理设施及系施及系统资源,可以公开源,可以公开.。2 中中仅供内部使用或供内部使用或限制使用限制使用非敏感的信息非敏感的信息仅限内部使用,即不能公开或限制信息或信息限内部使用,即不能公开或限制信息或信息处理理设施及系施及系统资源可在源可在组织内部根据内部根据业务需要的需要的约束来使束来使用。用。3 高高秘密或秘密或绝密密敏感

27、的信息或信息敏感的信息或信息处理理设施和系施和系统资源,只能根据需要源,只能根据需要(need-to-know )或)或严格依据工作需要。格依据工作需要。资产分级资产分级 完整性要求完整性要求 (I)资产价值资产价值分级分级描述描述1 低低低完整性低完整性对信息的非授信息的非授权的的损害或更改不会危及害或更改不会危及业务应用或用或对业务的影响可以忽略。的影响可以忽略。2 中中中完整性中完整性对信息的非授信息的非授权的的损害或更改不会危及害或更改不会危及业务应用,但是用,但是值得注意以及得注意以及对业务的影响是重要的。的影响是重要的。3 高高高或非常高高或非常高完整性完整性对信息的非授信息的非授

28、权的的损害或更改危及害或更改危及业务应用,且用,且对业务的的影响是影响是严重的并会重的并会导致致业务应用的重大或全局失用的重大或全局失败。资产分级资产分级可用性要求可用性要求 (A)资产价值资产价值分级分级描述描述1 - 低低低可用性低可用性资产资产 (信息信息,信息系统信息系统 系统资源系统资源/网络服务网络服务,人员等人员等.) 可以容忍可以容忍多于一天的不能使用。多于一天的不能使用。2 中中中可用性中可用性资产资产 (信息信息,信息系统信息系统 系统资源系统资源/网络服务网络服务,人员等人员等.) 可以容忍可以容忍半天到一天的不能使用。半天到一天的不能使用。3 高高高可用性高可用性资产资

29、产 (信息信息,信息系统信息系统 系统资源系统资源/网络服务网络服务,人员等人员等.) 可以容忍可以容忍几个小时的不能使用。几个小时的不能使用。4 非常非常高非常高的可用非常高的可用性性 资产资产 (信息信息,信息系统信息系统 系统资源系统资源/网络服务网络服务,人员等人员等.) 必须保证必须保证每年每周每年每周24x7 工作。工作。资产分级资产分级威胁和脆弱性估计威胁和脆弱性估计威胁威胁应该考虑它们出现的可能性,以及可能利用应该考虑它们出现的可能性,以及可能利用弱点弱点/脆弱性可能性。脆弱性可能性。实例实例不太可能不太可能发生的机会小于发生的机会小于可能可能出现的机会小于出现的机会小于 25

30、%很可能很可能/大概大概机会机会 50:50高可能高可能发生的机会多于发生的机会多于 75%非常可能非常可能不发生的机会小于不发生的机会小于1/10绝对无疑绝对无疑100%会发生会发生风险控制风险控制Risk thresholdRisk level风险控制风险控制Continual Improvement启示启示风险评估是出发点风险评估是出发点等级划分是判断点等级划分是判断点安全控制是落脚点安全控制是落脚点风险评估风险评估和和等级保护的关系等级保护的关系27号文件把实施信息系统安全等级保护作号文件把实施信息系统安全等级保护作为重要基础性工作。为重要基础性工作。信息安全等级保护制度是国家在国民经

31、济信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。健康发展的一项基本制度。我们国家为实施等级保护奋斗了我们国家为实施等级保护奋斗了20年。年。 实施信息安全等级保护,能够有效地提高我国信息和信息实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,系统安全建设的整体水平,有利于有利于在信息化建设过程中同步建设信息安全设施,保障信息安在信息化建设过程中

32、同步建设信息安全设施,保障信息安全与信息化建设相协调;全与信息化建设相协调;有利于有利于为信息系统安全建设和管理提供系统性、针对性、可行性为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;的指导和服务,有效控制信息安全建设成本;有利于有利于优化信息安全资源的配置,对信息系统分级实施保护,重优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;面的重要信息系统的安全;有利于有利于明确国家、法人和其他组织、公民的信息安全责任,加

33、强明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;信息安全管理;有利于有利于推动信息安全产业的发展,逐步探索出一条适应社会主义推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。市场经济发展的信息安全模式。信息安全等级保护制度的基本内容信息安全等级保护制度的基本内容 信息安全等级保护是指对国家秘密信息、信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统息系统分等级实行安全保护,对信息系统中

34、使用的信息安全产品实行按等级管理,中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级对信息系统中发生的信息安全事件分等级响应、处置。响应、处置。保护等级的划分保护等级的划分1、第一级为、第一级为自主保护级自主保护级,适用于一般的信息和信,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。会秩序、经济建设和公共利益。2、第二级为、第二级为指导保护级指导保护级,适用于一定程度上涉及,适用于一定程度上涉及国家安全、

35、社会秩序、经济建设和公共利益的一国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损全、社会秩序、经济建设和公共利益造成一定损害。害。3、第三级为、第三级为监督保护级监督保护级,适用于涉及国家安全、,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。经济建设和公共利益造成较大损害。4、第四级为、第四级为强制保护级

36、强制保护级,适用于涉及国家安全、,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。序、经济建设和公共利益造成严重损害。 5、第五级为、第五级为专控保护级专控保护级,适用于涉及国家,适用于涉及国家安全、社会秩序、经济建设和公共利益的安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经到破坏后,会对国家安全、社会秩序、经济建设和公共利

37、益造成特别严重损害。济建设和公共利益造成特别严重损害。实施信息安全等级保护工作的要求实施信息安全等级保护工作的要求 (一)完善标准,分类指导。(一)完善标准,分类指导。 (二)科学定级,严格备案。(二)科学定级,严格备案。 (三)建设整改,落实措施。(三)建设整改,落实措施。 (四)自查自纠,落实要求。(四)自查自纠,落实要求。 (五)建立制度,加强管理。(五)建立制度,加强管理。 (六)监督检查,完善保护。(六)监督检查,完善保护。 同一个问题的不同侧面同一个问题的不同侧面从资产的重要性看从资产的重要性看-划分需要的保护等级。划分需要的保护等级。从面对的威胁和脆弱性看从面对的威胁和脆弱性看-进行风险分析。进行风险分析。从安全保障能力看从安全保障能力看-选择需要的安全控制。选择需要的安全控制。等级保护制度进行全面管理、响应和处置。等级保护制度进行全面管理、响应和处置。几点认识几点认识风险评估是落实等级保护的抓手。风险评估是落实等级保护的抓手。面向对象和面向手段不能分割。面向对象和面向手段不能分割。IT驱动和业务驱动同样需要。驱动和业务驱动同样需要。风险评估是出发点风险评估是出发点等级划分是判断点等级划分是判断点安全控制是落脚点安全控制是落脚点谢谢大家谢谢大家演讲完毕,谢谢观看!

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号