信息安全保障工作是一项系统工作,从上世纪80年代,大家逐步归纳并认识到信息安全保障工作主要包括:安全组织体系建设、安全管理体系建设、安全技术体系建设。本世纪初,由英国BSI组织发布的BSI 7799 2002标准,从认证目标的角度,更为清晰地展现了信息安全保障工作的全过程以及运行模型。
从BSI 7799标准,以及其他信息安全理论中可以明确看出,信息安全风险评估是信息安全保障工作的基础,是实现信息安全保障工作的重要环节,也是信息安全保障工作的重要核查手段。同时,信息安全风险评估是加强信息安全建设和管理的关键环节。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的方法。
一、风险评估是信息安全保障工作的基础
安全来自于风险,因此信息安全保障工作的基础和出发点就是要确定安全风险的来源、种类、破坏程度、发生可能性、产生的后果等内容。
1. 信息安全风险评估是信息安全建设的起点和基础
信息安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间作出正确的判断,决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。
2. 信息安全风险评估是需求主导和突出重点原则的重要体现
如果说信息安全建设必须从实际出发,坚持需求主导、突出重点,则风险评估(需求分析)就是这一原则在实际工作中的重要体现。从理论上讲不存在绝对的安全,风险总是客观存在的。安全是安全风险与安全建设投入的综合平衡。不计成本、片面地追求绝对安全、试图消灭风险或完全避免风险是不现实的,也不是需求主导原则所要求的。坚持从实际出发,坚持需求主导、突出重点,就必须科学地评估风险,有效地控制风险。
二、信息安全风险评估是实现信息安全保障工作的重要环节
目前,信息安全保障工作主要是通过信息安全风险管理,建立信息安全管理体系来实现。因此,有必要从安全体系和风险管理业务角度,分析信息安全风险评估在的作用。
1. 信息安全风险评估是建立信息安全管理体系工作的重要步骤
《ISO/IEC27001 2005(BSI 7799-2)信息安全管理系统要求》详细说明了建立、实施和维护信息安全管理系统(ISMS)的要求,指出实施组织需遵循某一风险评估来确定最适宜的控制对象,并对自己的需求采取适当的控制。这个体系可以用图1-3所示的PDCA模型来说明(P:Plan,D:Do,C:Check,A:Action)。PDCA模型提出了应该如何建立信息安全管理体系的工作方法。
图1 应用于ISMS过程的PDCA模型
在《ISO/IEC27001 2005(BSI 7799-2)信息安全管理系统要求》中,出现“评估”之处多达36处,可见“评估”工作在其中的重要性和工作量,尤其在“规划(建立ISMS)”阶段,其中主要的工作就是信息安全风险评估。
以下为《ISO/IEC27001 2005(BSI 7799-2)信息安全管理系统要求》对信息安全风险评估的要求:
4.2.1 c)确定组织的风险评估方法
1)识别适合ISMS、已识别的业务信息安全、法律法规要求的风险评估方法。
2)制定接受风险的准则,识别可接受的风险级别(见5.1f)。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
4.2.1 d) 识别风险
1) 识别ISMS范围内的资产及其责任人1;
2) 识别资产所面临的威胁;
3) 识别可能被威胁利用的脆弱性;
4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。
4.2.1 e) 分析和评价风险
1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造成的对组织的影响。
2) 评估由主要威胁和脆弱性导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。
3) 估计风险的级别。
4) 确定风险是否可接受,或者是否需要使用在4.2.1 c)2)中所建立的接受风险的准则进行处理。
4.2.1 f)识别和评价风险处理的可选措施 可能的措施包括:
1) 采用适当的控制措施;
2) 在明显满足组织方针策略和接受风险准则的条件下,有意识地、客观地接受风险;
3) 避免风险;
4) 将相关业务风险转移到其他方,如:保险,供应商等。
4.2.1 g) 为处理风险选择控制目标和控制措施
应选择和实施控制目标和控制措施以满足风险评估和风险处理过程中所识别的要求。这种选择应考虑接受风险的准则以及法律法规和合同要求。
2. 信息安全风险评估是信息安全风险管理的重要工作阶段
信息安全风险评估的目的是发现安全风险,分析安全风险;信息安全风险管理的目的是在风险评估的基础之上,找到控制风险与投入的最佳平衡点,也就是说将有限的资源投入到最需要解决的安全风险上。
我们来看一下微软(Microsoft)建立信息安全风险管理工作过程,其目的旨在帮助客户完善系统环境,阻止恶意或者未经授权地使用客户的系统资源,并进行有安全效性控制。这个体系的基本原理是:风险是一种在任何环境里都存在且这种风险是可以被预先控制的。下图显示了微软信息安全风险管理模型的各个过程。
图2 微软的安全风险管理模型
(1)评估风险
■ 规划数据收集 — 探讨成功和准备指南的关键所在;
■ 收集风险数据 — 概括数据收集流程并进行分析;
■ 确定风险优先级 — 概括定性和定量风险的说明性步骤。
(2)实施决策支持
■ 定义功能要求 — 定义功能要求以缓解风险;
■ 选择可能的控制解决方案 — 概括确定缓解解决方案的方法;
■ 审查解决方案 — 根据功能要求评价所提议的控制措施;
■ 评估风险降低程度 — 努力了解降低的风险暴露程度或风险概率;
■ 评估解决方案成本 — 评估与缓解解决方案相关联的直接或间接成本;
■ 选择缓解策略 — 完成成本效益分析以确定最具成本效益的缓解解决方案。
(3)实施控制
■ 寻求全局方法 — 将人员、流程和技术纳入缓解解决方案;
■ 按纵深防御组织 — 在整个企业内组织缓解解决方案。
(4)评定计划有效性
■ 制定风险评分卡 — 了解风险状态和进程;
■ 评定计划有效性 — 评价风险管理计划,以寻找机会以进行改善。
从微软的信息安全管理过程来看,其信息安全风险评估在其中主要完成两项工作:第一,搜集数据,发现风险;第二,根据评估对象的实际情况,确定风险的优先顺序。在此基础之上,才是进行方案的选择、控制的实施、以及评价风险的控制有效性。不难看出,风险控制和风险处理的目标是来源于先期的风险评估工作,因此说信息安全风险评估是信息安全风险管理的重要工作步骤。
三、信息安全风险评估是信息安全保障工作的重要核查手段
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,贯穿于信息安全保障的全过程。首先,在网络与信息系统的规划设计阶段,通过信息安全风险评估进一步明确安全需求和安全目标,可以保证安全建设投资的有效性;其次,在网络与信息系统验收阶段,通过信息安全风险评估可以验证已设计安装的安全设施能否实现安全目标,为验收提供技术数据;第三,在网络与信息系统运行维护阶段,定期进行信息安全风险评估工作,检验安全措施的有效性及对安全环境变化的适应性,以保障安全目标的实现。第四,当安全形势发生重大变化或网络与信息系统使命有重大变更时,及时进行信息安全风险评估,发现和了解新的风险,并及时调整安全保障技术和管理措施。
