信息安全風險識別與評價管理程序

信息安全風險識別與評價管理程序信息安全風險識別與評價管理程序信息安全風險識別與評價管理程序xxx公司信息安全風險識別與評價管理程序文件編號：文件日期：修訂次數(shù)：第1.0次更改批準審核制定方案設(shè)計，管理制度題目：信息安全風險識別與評價管理程序編號GM-III-B005版本號00生效日期起草部門信息中心頒發(fā)部門總經(jīng)理辦公室一、目的：通過風險評估，采取有效措施，降低威脅事件發(fā)生的可能性，或者減少威脅事件造成的影響，從而將風險消減到可接受的水平。二、范圍：適用于對信息安全管理體系信息安全風險的識別、評價、控制等管理。三、責任：管理者代表信息中心執(zhí)行信息安全風險的識別與評價；審核并批準重大信息安全風險，并負責編制《信息資產(chǎn)風險評估準則》，執(zhí)行信息安全風險調(diào)查與評價，提出重大信息安全風險報告。各部門協(xié)助信息中心的調(diào)查，參與討論重大信息安全風險的管理辦法。四、內(nèi)容：資產(chǎn)識別保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。為此，應對組織中的資產(chǎn)進行識別。在一個組織中，資產(chǎn)有多種表現(xiàn)形式；同樣的兩個資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同，而且對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運行的系統(tǒng)數(shù)量可能更多。這時首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進行恰當?shù)姆诸?，以此為基礎(chǔ)進行下一步的風險評估。在實際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評估對象和要求，由評估者靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。表1列出了一種資產(chǎn)分類方法。表1一種基于表現(xiàn)形式的資產(chǎn)分類方法類別簡稱解釋/示例數(shù)據(jù)Data存在電子媒介的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)，各種數(shù)據(jù)資料、系統(tǒng)文檔、運行管理過程、計劃、報告、用戶手冊等。軟件Software應用軟件、系統(tǒng)軟件、開發(fā)工具和資源庫等。服務(wù)Service軟件維護等硬件Hardware計算機硬件、路由器，交換機。硬件防火墻。程控交換機、布線、備份存儲文檔Document紙質(zhì)的各種文件、傳真、電報、財務(wù)報告、發(fā)展計劃。設(shè)備Facility電源、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等人員HR各級人員和雇主、合同方雇員其它Other企業(yè)形象、客戶關(guān)系等信息類別信息分類的重要度分為5類:國家秘密事項、企業(yè)秘密事項、敏感信息事項、一般事項和公開事項。信息分類定義：a)“國家秘密事項”：《中華人民共和國保守國家秘密法》中指定的秘密事；b)“企業(yè)秘密事項”：不可對外公開、若泄露或被篡改會對本公司的生產(chǎn)經(jīng)營造成損害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員知道的商業(yè)秘密事項；c)“敏感信息事項”：為了日常的業(yè)務(wù)能順利進行而向公司員工公司開、但不可向公司以外人員隨意公開的內(nèi)部控制事項；d)“一般事項”：秘密事項以外，僅用來傳遞信息、昭示承諾或?qū)ν庑麄魉婕暗氖马棧籩)“公開事項”：其他可以完全公開的事項。信息分類不適用時，可不填寫。五、風險評估實施:資產(chǎn)賦值保密性賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在保密性上應達成的不同程度或者保密性缺失時對整個組織的影響。表2提供了一種保密性賦值的參考賦值標識定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在完整性上缺失時對整個組織的影響。表3提供了一種完整性賦值的參考。表3資產(chǎn)完整性賦值表賦值標識定義5很高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴重的業(yè)務(wù)中斷，難以彌補4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴重，較難彌補3中等完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補1較低很低完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊及小可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在可用性上應達成的不同程度。表4提供了一種可用性賦值的參考。表4資產(chǎn)可用性賦值表賦值標識定義5很高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度%以上，或系統(tǒng)不允許中斷4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上，或系統(tǒng)允許中斷時間小于10min3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上，或系統(tǒng)允許中斷時間小于30min2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上，或系統(tǒng)允許中斷時間小于60min1很低可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%合規(guī)性賦值根據(jù)資產(chǎn)在法律、法規(guī)、上級規(guī)定、合同協(xié)議符合性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在符合法律、法律、上級規(guī)定、合同協(xié)議的不同程度。表5資產(chǎn)合規(guī)性賦值表賦值標識定義5很高嚴重不符合信息安全管理休系要求，對組織造成無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴重的業(yè)務(wù)中斷，難以彌補。4高不符合信息安全管理體系要求，對組織造成重大影響，對業(yè)務(wù)沖擊嚴重，較難彌補。3中等與信息安全管理體系具體要求有沖突，對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補。2低與信息安全管理體系具體條款要求存在輕微的不符合，對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補。1很低符合信息安全管理體系要求，但需持續(xù)改進，對組織造成的影響可以忽略，對業(yè)務(wù)沖擊及小。資產(chǎn)重要性等級資產(chǎn)價值應依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點，選擇對資產(chǎn)保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點確定。本標準中，為與上述安全屬性的賦值相對應，根據(jù)最終賦值將資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要，3級以及3級以上為重要資產(chǎn)，3級以下為非重要資產(chǎn)，并以此形成《信息資產(chǎn)清單》。表6中的資產(chǎn)等級劃分表明了不同等級的重要性的綜合描述。評估者可根據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，并主要圍繞重要資產(chǎn)進行下一步的風險評估。資產(chǎn)價值=C*I*A*H表6資產(chǎn)等級及含義描述等級標識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失3中等比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成導很小的損失，甚至忽略不計表資產(chǎn)價值等級劃分資產(chǎn)值1-2526-5556-175176-395396-625資產(chǎn)等級12345威脅識別威脅分類威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發(fā)的、或蓄意的事件。在對威脅進行分類前，應考慮威脅的來源。表7提供了一種威脅來源的分類方法。表7威脅來源列表來源描述環(huán)境因素斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環(huán)境危害或自然災害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員不滿的或有預謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取利益外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導致故障或信息損壞；內(nèi)部人員由于缺乏培訓、專業(yè)技能不足、不具備崗位技能要求而導致信息系統(tǒng)故障或被攻擊對威脅進行分類的方式有多種，針對上表的威脅來源，可以根據(jù)其表現(xiàn)形式將威脅主要分為以下幾類。表8提供了一種基于表現(xiàn)形式的威脅分類方法。表8一種基于表現(xiàn)形式的威脅分類表種類描述威脅子類軟硬件故障對業(yè)務(wù)實施或系統(tǒng)運行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等物理環(huán)境影響對信息系統(tǒng)正常運行造成影響的物理環(huán)境問題和自然災害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等無作為或操作失誤應該執(zhí)行而沒有執(zhí)行相應的操作，或無意執(zhí)行了錯誤的操作維護錯誤、操作失誤等管理不到位安全管理無法落實或不到位，從而破壞信息系統(tǒng)正常有序運行管理制度和策略不完善、管理規(guī)程缺失、職責不明確、監(jiān)督控管機制不健全等惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等越權(quán)或濫用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（帳號、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞等物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等威脅賦值判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷。在評估中，需要綜合考慮以下三個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：a）以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；b）實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；c）近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警。可以對威脅出現(xiàn)的頻率進行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。表9提供了威脅出現(xiàn)頻率的一種賦值方法。在實際的評估中，威脅頻率的判斷依據(jù)應在評估準備階段根據(jù)歷史統(tǒng)計或行業(yè)判斷予以確定，并得到被評估方的認可。表9威脅賦值表等級標識定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過3中等出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生脆弱性識別脆弱性識別內(nèi)容脆弱性是資產(chǎn)本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，嚴重的威脅也不會導致安全事件發(fā)生，并造成損失。即，威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性。脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn),識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應用等層次進行識別，然后與資產(chǎn)、威脅對應起來。脆弱性識別的依據(jù)可以是國際或國家安全標準，也可以是行業(yè)規(guī)范、應用流程的安全要求。對應用在不同環(huán)境中的相同的弱點，其脆弱性嚴重程度是不同的，評估者應從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴重程度。信息系統(tǒng)所采用的協(xié)議、應用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應考慮在內(nèi)。脆弱性識別時的數(shù)據(jù)應來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面，前者與具體技術(shù)活動相關(guān)，后者與管理環(huán)境相關(guān)。表10脆弱性識別內(nèi)容表類型識別對象識別內(nèi)容技術(shù)脆弱性網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別系統(tǒng)軟件從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別應用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別應用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性等方面進行識別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別脆弱性賦值可以根據(jù)脆弱性對資產(chǎn)的暴露程度、技術(shù)實現(xiàn)的難易程度、流行程度等，采用等級方式對已識別的脆弱性的嚴重程度進行賦值。由于很多脆弱性反映的是同一方面的問題，或可能造成相似的后果，賦值時應綜合考慮這些脆弱性，以確定這一方面脆弱性的嚴重程度。對某個資產(chǎn)，其技術(shù)脆弱性的嚴重程度還受到組織管理脆弱性的影響。因此，資產(chǎn)的脆弱性賦值還應參考技術(shù)管理和組織管理脆弱性的嚴重程度。脆弱性嚴重程度可以進行等級化處理，不同的等級分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高。表11提供了脆弱性嚴重程表11脆弱性嚴重程度賦值表度的一種賦值方法。等級標識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中等如果被威脅利用，將對資產(chǎn)造成一般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略風險分析風險計算原理在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。以下是給出了風險計算原理，以下面的范式形式化加以說明：風險值=R（A，T，V）=R(L(T，V)，F(xiàn)(Ia，V))。其中，R表示安全風險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；H表示合規(guī)性；Ia表示安全事件所作用的資產(chǎn)價值；L表示威脅利用資產(chǎn)的脆弱性導致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。有以下三個關(guān)鍵計算環(huán)節(jié)：a）計算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計算威脅利用脆弱性導致安全事件發(fā)生的可能性，即：安全事件的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V)。即L=T*V在具體評估中，應綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時間、設(shè)計和操作知識公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。b）計算安全事件發(fā)生后造成的損失（即影響值）根據(jù)資產(chǎn)價值及脆弱性嚴重程度，計算安全事件一旦發(fā)生后造成的損失，即：安全事件造成的損失=F(資產(chǎn)價值，脆弱性嚴重程度)＝F(Ia，V)。即F=la*v。部分安全事件的發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織的影響也是不一樣的。在計算某個安全事件的損失時，應將對組織的影響也考慮在內(nèi)。部分安全事件造成的損失的判斷還應參照安全事件發(fā)生可能性的結(jié)果，對發(fā)生可能性極小的安全事件，如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等，可以不計算其損失。c）計算風險值根據(jù)計算出的安全事件的可能性以及安全事件造成的損失，計算風險值，即：風險值=R(安全事件的可能性，安全事件造成的損失)＝R(L(T，V)，F(xiàn)(Ia，V))。本公司規(guī)定采取相乘法進行風險值的計算。R=L*F=Ia*T*V風險結(jié)果判定為實現(xiàn)對風險的控制與管理，可以對風險評估的結(jié)果進行等級化處理?？蓪L險劃分為五級，等級越高，風險越高。風險等級達到四級為不可接受風險，