在《J0ker的CISSP之路》系列的上一篇文章《Information Security Management(1)》里,J0ker给大家介绍了信息安全管理要实现的A-I-C目标和原则。在接下去的文章,J0ker将带大家逐步深入信息安全管理的领域,并结合实际例子给大家解释该CISSP CBK中提到的诸多关键名词。本文将介绍Information Security Management CBK中的风险评估(Risk Analysis and Assessment)。
我们经常可以从媒体或者各种安全资讯上看到一个词——风险(Risk),但具体到它的含义,以及它在信息技术领域所代表的意思,却没有太多的人可以说的清楚。所谓“风险中存在机遇“,人们在选择机会的同时,也会遇到许多会造成损失的不确定因素,这些不确定的因素便称之为”风险“。例如,买车能带来出行方便,但同时也会因为燃料费上涨、路费、维修等等不确定的因素导致意外的支出,而且尽管几率很小,也依然存在发生交通事故危害生命的情况。
因此,我们在选择一个机会之前,常常会或多或少的考虑机会之中包含着的不确定因素有哪些,更进一步的,我们还会想办法去了解机会之中的不确定因素到底有多大的可能发生,并准备一些可以降低发生几率或损失的措施。同时为了更有效的准备和评估应对不确定因素的防御措施,我们还必须认真的了解不确定因素的各个组成元素,并搞清楚它们之间的关系,这个不确定因素的识别、分析和评估的过程,便是本文要介绍的风险分析和评估(Risk Analysis and Assessment)。
进行过风险分析和评估之后,接下去自然就是如何应对风险——在CISSP CBK中,风险的应对方式可以分成三种,J0ker还是用上面买车的例子来介绍:假设买了车之后,在路上发生追尾事故的可能性为每三个月一次,如果车主采取了在交通繁忙时刻降低车速,选择另外车流量较小的道路或者在车上添置防追尾的设备,这都属于车主接受了风险存在的事实,并采取的降低风险发生可能性或损失的措施,我们称之为Accept the Risk或Mitigate the Risk;如果车主认为部署防追尾的设备成本比追尾后修一次车还贵的多,或者因为其他原因而无视追尾危险,这样称之为Reject the Risk,或Ignore the Risk,风险并没有减轻,只是被忽略了。还有一种较为常见的情况是车主通过购买保险,将追尾可能产生的各种费用转移到保险公司身上,这称之为Transfer the Risk,即风险转移。Accept和Transfer是对待风险的常用方式,但在某些不太重要的场合,也可以选择用不作为的方式。
风险的识别、分析和评估、消除、转移整个流程我们称之为风险管理(Risk Management),在进行风险管理的流程时,以下的关键的问题需要弄清楚:
1、 What could happen (Threat event,风险的具体形式,威胁)
2、 If it happened, how bad could it be (Threat impact,威胁的影响程度)
3、 How often it could happen (Threat frequency, 威胁发生的频率)
4、 How certain are the answers to the first three questions (Recognition of uncertainty, 威胁发生的几率和不确定性)
这些问题都可以从风险分析和评估中获得答案,威胁发生的不确定性是风险管理中的核心问题,当然,谁都希望为所有可能发生的情况做好充分的准备,但现实常常不允许我们这样考虑,我们只能够保证优先度最高的部位和风险最有可能发生的部位能部署到风险管理方案。通过风险分析和评估,我们可以从上述4个问题中发现一些无法忽视的风险(Unacceptable Risks),我们需要部署相应的方案来应对它们,以下的问题需要了解清楚:
1、 What can be done(Risk Mitigation,风险消除方案)
2、 How much will it cost (annualized,方案每年平均成本)
3、 Is it cost effective (Cost/Benefit Analysis,费效比分析)
上述问题的解答将最终决定一个实体对风险对象的最终解决方案,并执行管理层批准、财务提供预算、采购、部署、维护等流程进行实施。对于IT领域,风险管理则更进一步的细化为Information Risk Management(IRM),因为IT技术不断的发展,IRM也是一个没有结束期,需要持续关注的行为。
1、 What could happen (Threat event,风险的具体形式,威胁)
2、 If it happened, how bad could it be (Threat impact,威胁的影响程度)
3、 How often it could happen (Threat frequency, 威胁发生的频率)
4、 How certain are the answers to the first three questions (Recognition of uncertainty, 威胁发生的几率和不确定性)
这些问题都可以从风险分析和评估中获得答案,威胁发生的不确定性是风险管理中的核心问题,当然,谁都希望为所有可能发生的情况做好充分的准备,但现实常常不允许我们这样考虑,我们只能够保证优先度最高的部位和风险最有可能发生的部位能部署到风险管理方案。通过风险分析和评估,我们可以从上述4个问题中发现一些无法忽视的风险(Unacceptable Risks),我们需要部署相应的方案来应对它们,以下的问题需要了解清楚:
1、 What can be done(Risk Mitigation,风险消除方案)
2、 How much will it cost (annualized,方案每年平均成本)
3、 Is it cost effective (Cost/Benefit Analysis,费效比分析)
上述问题的解答将最终决定一个实体对风险对象的最终解决方案,并执行管理层批准、财务提供预算、采购、部署、维护等流程进行实施。对于IT领域,风险管理则更进一步的细化为Information Risk Management(IRM),因为IT技术不断的发展,IRM也是一个没有结束期,需要持续关注的行为。
在进行下面的内容之前,J0ker打算先向大家列出几个关键的名词:
SLE:Single Loss Expectancy,风险发生时的单个对象的损失
ARO:Annualized rate of Occurrence,一年内风险发生的几率
ALE:Annualized Loss Expectancy,风险发生时每年平均损失,ALE=SLE×ARO,即如果一个对象遭遇风险时损失(SLE)是10万元,每年发生该风险的几率(ARO)是1/100,那每年平均损失就是100000×0.01=1000
Information Asset:信息资产,对组织运作起关键作用的信息相关实体,比如客户资料、交易情况等等,信息资产的价值由许多元素组成,包括最基本的信息本身的价值、信息处理支持软件的价值、信息的Availability、Confidentiality、Integrity属性、信息处理所需的硬件设备也可认为属于信息资产,信息资产的价值还可以根据损失它后会对组织造成信息本身价值之外的损失的大小来进行评估。
Qualitative/Quantitative:质化/量化,对于信息资产价值的评估,通常可以采用量化和质化的方式,对于能直接算出资产价值的对象,如设备、软件等,可以用量化的方式,直接算出它的价值。对于另外一些无法量化的对象,如数据、业务流程等,则可以使用质化的方式,请使用该对象的人员,用分级的方式评估该资产的价值,J0ker觉得简单的五分法可以应付一般的任务, 将信息资产按其对组织运营的重要程度,分为非常重要、重要、比较重要、一般、不重要五个级别,并对应1-5分,分值越高,信息资产的重要程度也越高。
Risk:风险,潜在的损失或伤害,请参考本文前面的内容
Threat:威胁,有可能造成风险的因素,比如各种恶意软件、自然灾害等
Safeguard:风险防御措施,通常也称为Control,风险控制措施
Vulnerability:漏洞,风险防御措施的缺失或弱点,通常出现漏洞就意味着风险发生的频率更高和风险发生时损失更大。比如没有安装反病毒软件便可认为是一个漏洞,会使恶意软件攻击的发生几率和损失更大。
信息风险管理是一个复杂的流程,它需要根据每个组织不同的信息资产和业务流程情况,并综合企业管理、经营预算、员工行为等来进行制定并执行。如果大家有兴趣进一步深入IRM的领域,请参考CISSP Official Guide、All in One或其他CISSP参考书。
SLE:Single Loss Expectancy,风险发生时的单个对象的损失
ARO:Annualized rate of Occurrence,一年内风险发生的几率
ALE:Annualized Loss Expectancy,风险发生时每年平均损失,ALE=SLE×ARO,即如果一个对象遭遇风险时损失(SLE)是10万元,每年发生该风险的几率(ARO)是1/100,那每年平均损失就是100000×0.01=1000
Information Asset:信息资产,对组织运作起关键作用的信息相关实体,比如客户资料、交易情况等等,信息资产的价值由许多元素组成,包括最基本的信息本身的价值、信息处理支持软件的价值、信息的Availability、Confidentiality、Integrity属性、信息处理所需的硬件设备也可认为属于信息资产,信息资产的价值还可以根据损失它后会对组织造成信息本身价值之外的损失的大小来进行评估。
Qualitative/Quantitative:质化/量化,对于信息资产价值的评估,通常可以采用量化和质化的方式,对于能直接算出资产价值的对象,如设备、软件等,可以用量化的方式,直接算出它的价值。对于另外一些无法量化的对象,如数据、业务流程等,则可以使用质化的方式,请使用该对象的人员,用分级的方式评估该资产的价值,J0ker觉得简单的五分法可以应付一般的任务, 将信息资产按其对组织运营的重要程度,分为非常重要、重要、比较重要、一般、不重要五个级别,并对应1-5分,分值越高,信息资产的重要程度也越高。
Risk:风险,潜在的损失或伤害,请参考本文前面的内容
Threat:威胁,有可能造成风险的因素,比如各种恶意软件、自然灾害等
Safeguard:风险防御措施,通常也称为Control,风险控制措施
Vulnerability:漏洞,风险防御措施的缺失或弱点,通常出现漏洞就意味着风险发生的频率更高和风险发生时损失更大。比如没有安装反病毒软件便可认为是一个漏洞,会使恶意软件攻击的发生几率和损失更大。
信息风险管理是一个复杂的流程,它需要根据每个组织不同的信息资产和业务流程情况,并综合企业管理、经营预算、员工行为等来进行制定并执行。如果大家有兴趣进一步深入IRM的领域,请参考CISSP Official Guide、All in One或其他CISSP参考书。
下篇预告:《复习-ISM(3)》,J0ker将向大家介绍Information Security Management的基础——信息分级,Information Classification。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/44319,如需转载请自行联系原作者