信息安全风险管理| Set-2

先决条件—— 风险管理|集-1 2.风险评估- 风险管理是一项经常性的活动，另一方面，风险评估在离散点执行，直到执行下一次评估。风险评估是评估已知和假设的威胁和脆弱性以确定预期损失的过程。它还包括确定系统运行的可接受程度。

风险评估接收背景建立阶段的输入和输出，输出是已评估风险的列表，其中风险根据风险评估标准被赋予优先级。

1. 风险识别- 在这一步中，我们确定了以下内容：
   • 资产
   • 威胁
   • 现有和计划中的安全措施
   • 弱点
   • 结果
   • 相关业务流程

   因此，输出包括以下内容：

   • 资产和相关业务流程列表，以及相关威胁列表、现有和计划的安全措施
   • 与任何已识别威胁无关的漏洞列表
   • 事件情景及其后果列表
2. 风险评估- 风险评估有两种方法：

   1.定量风险评估- 除金融机构和保险公司外，其他组织大多不使用这种方法。定量风险在数学上表示为年化预期损失（ALE）。ALE是指一项资产在一年内由于风险的实现而可能产生的预期货币损失。

   ALE= SLE * ARO

   单次预期损失（SLE）是资产单次损失的价值。这可能是也可能不是全部资产。这就是损失的影响。年化发生率（ARO）是指损失发生的频率。这是可能的。

   从理论上讲，定量风险评估似乎很简单，但在为参数赋值时存在一些问题。虽然系统成本易于定义，但信息价值、生产活动损失和恢复成本等间接成本难以准确定义。另一个因素的可能性尚不清楚。

   因此，定量风险评估存在较大误差。由于无法获得准确完整的信息，因此对it系统进行定量风险评估并不划算。

   2.定性风险评估- 定性风险评估从主观角度定义了可能性、影响值和风险，记住可能性和影响值是高度不确定的。定性风险评估通常给出“高”、“中”和“低”的风险结果。以下是定性风险评估的步骤：

   1. 识别威胁： 必须确定威胁和威胁源。威胁应包括威胁源，以确保准确估计。重要的是，编制一份组织内存在的所有可能威胁的清单，并将此清单用作所有风险管理活动的基础。威胁和威胁源的一些例子如下：
      • 自然威胁——洪水、地震等。
      • 人类威胁——病毒、蠕虫等。
      • 环境威胁——停电、污染等。
   2. 识别漏洞： 漏洞可以通过多种方式识别。其中一些工具包括：
      1. 漏洞扫描器——这是一种软件，用于将操作系统或代码的缺陷与缺陷特征数据库进行比较。
      2. 渗透测试——人类安全分析师将对系统实施威胁，包括社会工程等操作漏洞。
      3. 运营和管理控制审计——通过将当前文件与最佳实践（例如ISO 17799）进行比较，并将实际实践与当前文件化流程进行比较，来审查运营和管理控制。
   3. 与脆弱性相关的威胁： 这是风险评估中最困难和最强制性的活动。通过审查漏洞列表并将漏洞与适用的每个威胁配对，然后审查威胁列表并确保该威胁行动/威胁可以针对的所有漏洞都已被识别，从而建立T-V配对列表。

   4. 定义可能性： 可能性是指威胁源对漏洞造成威胁的概率。样本可能性定义如下：

      低-0-30%在一年内成功实施威胁的几率 中等–一年内成功使用威胁的几率为31-70% 高–一年内成功使用威胁的几率为71-100%

      这只是一个示例定义。组织可以使用自己的定义，比如非常低、低、中等、高、非常高。

   5. 定义影响： 影响的最佳定义是对机密性、完整性和可用性的影响。影响的示例定义如下：
      

      	保密性	诚实正直	可利用性
      低的	失去保密性会导致 有限的影响 论组织	诚信缺失会导致 有限的影响 论组织	可用性的丧失会导致 有限的影响 论组织
      中等的	失去保密性会导致 严重影响 论组织	诚信缺失会导致 严重影响 论组织	可用性的丧失会导致 严重影响 论组织
      高的	失去保密性会导致 严重影响 论组织	诚信缺失会导致 严重影响 论组织	可用性的丧失会导致 严重影响 论组织

      组织效应的例子如下：

      效应类型	对任务能力的影响	经济损失	对人类生活的影响
      有限的影响	一个或多个小型任务能力暂时丧失	5万卢比以下	轻微伤害
      严重影响	长期丧失一项或多项次要能力，或暂时丧失一项或多项主要任务能力。	50000卢比-100000卢比	重大危害
      严重影响	一个或多个主要任务能力的长期损失	超过100万卢比	生命损失

   6. 评估风险： 评估风险是确定针对脆弱性实施威胁的可能性以及成功妥协所产生影响的过程。样本风险确定矩阵如下所示：
      

      		影响
      		高的	适度的	低的
      可能	高的	高的	高的	适度的
      	适度的	高的	适度的	低的
      	低的	适度的	低的	低的

3.风险评估- 风险评估过程接收风险分析过程的输出作为输入。它首先将每个风险等级与风险接受标准进行比较，然后根据风险治疗指征对风险列表进行优先级排序。

3.风险缓解/管理- 风险缓解包括优先考虑、评估和实施风险评估过程中建议的适当风险降低控制措施。由于消除组织中的所有风险几乎是不可能的，因此，高级管理层、职能和业务经理有责任使用成本最低的方法，实施最适当的控制措施，将风险降低到可接受的水平。

根据NIST SP 800 30框架，风险缓解有6个步骤。

1. 风险假设： 这意味着接受风险并继续操作系统，但同时尝试实施控制措施以
2. 风险规避： 这意味着消除风险原因或后果，以避免风险，例如，如果识别出风险，则关闭系统。
3. 风险限制： 通过实施控制措施来限制风险，该控制措施可最大限度地减少威胁造成的不利影响（例如，使用支持性、预防性、探测性控制措施）
4. 风险规划： 通过制定风险缓解计划来管理风险，该计划优先考虑、实施和维护控制措施
5. 研究和确认： 在这一步中，需要确认漏洞或缺陷，并研究纠正漏洞的控制措施。
6. 风险转移： 这意味着转移风险以补偿损失，例如购买保险担保，在所有情况下都不是100%，但至少可以从损失中获得一些补偿。

4.风险沟通- 这一步的主要目的是与组织的所有利益相关者沟通，了解风险的各个方面。建立共识很重要，因为它会影响要做出的决定。

5.风险监控和审查- 定期审查安全措施，以确保其按计划工作，环境变化不会使其无效。随着工作环境的重大变化，安全措施也应更新。随着时间的推移，业务需求、漏洞和威胁可能会发生变化。应安排定期审计，并由独立方进行。

6.IT评估和评估- 安全控制应该得到验证。技术控制是需要测试和验证的系统。漏洞评估和渗透测试用于验证安全控制的状态。根据安全监控策略、事件响应计划、安全验证和指标监控系统事件是确保获得最佳安全级别的基本活动。保持对新漏洞的检查并应用程序和技术控制非常重要，例如定期更新软件。