資源描述:
《風(fēng)險概述風(fēng)險流程常用風(fēng)險計算方法常用風(fēng)險工具課件.ppt》由會員上傳分享�����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1、信息安全管理風(fēng)險評估的主要?dú)v程風(fēng)險概述風(fēng)險評估流程常用風(fēng)險計算方法常用風(fēng)險評估工具第四章信息安全風(fēng)險評估風(fēng)險管理概述風(fēng)險概述風(fēng)險處理常用風(fēng)險計算方法常用風(fēng)險評估工具第四章信息安全風(fēng)險評估概述信息安全風(fēng)險評估相關(guān)要素信息安全風(fēng)險評估風(fēng)險要素相互間的關(guān)系信息安全風(fēng)險評估相關(guān)要素資產(chǎn)-對組織具有價值的信息資源��,是安全策略保護(hù)的對象����。威脅-可能對資產(chǎn)或組織造成損害的潛在原因。脆弱點(diǎn)-可能被威脅利用對資產(chǎn)造成損害的薄弱環(huán)節(jié)���。風(fēng)險-人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件及其對組織造成的影響�����。影響-威脅利用資產(chǎn)的脆弱點(diǎn)導(dǎo)致不期望發(fā)生事件的后果。安全措施-保護(hù)資產(chǎn)
2���、����、抵御威脅���、減少脆弱性、降低安全事件的影響,以及打擊信息犯罪而實施的各種實踐���、規(guī)程和機(jī)制的總稱�����。安全需求-為保證組織業(yè)務(wù)戰(zhàn)略的正常運(yùn)作而在安全措施方面提出的要求。信息安全風(fēng)險評估依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)���,對信息系統(tǒng)及由其處理�、傳輸和存儲的信息的機(jī)密性�����、完整性和可用性等安全屬性進(jìn)行評價的過程�。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響�����。風(fēng)險要素關(guān)系圖安全措施抵御業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險殘余風(fēng)險安全事件依賴具有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變未被滿足未控制可能誘發(fā)殘留成本資
3���、產(chǎn)資產(chǎn)價值風(fēng)險評估的主要?dú)v程風(fēng)險概述風(fēng)險評估流程常用風(fēng)險計算方法常用風(fēng)險評估工具第四章信息安全風(fēng)險評估風(fēng)險評估流程風(fēng)險評估流程圖資產(chǎn)識別與評估威脅識別與評估脆弱點(diǎn)識別與評估已有安全措施的確認(rèn)風(fēng)險分析安全措施的選取風(fēng)險評估流程圖資產(chǎn)識別與評估資產(chǎn)識別資產(chǎn)識別內(nèi)容表���。資產(chǎn)識別的方法主要有訪談����、現(xiàn)場調(diào)查�����、問卷���、文檔查閱等。資產(chǎn)評估對資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的價值���,更重要的是要考慮資產(chǎn)的安全狀況對于組織的重要性,即由資產(chǎn)在其三個安全屬性上的達(dá)成程度決定�����。資產(chǎn)重要性等級劃分表�����。威脅識別與評估威脅識別威脅源及表現(xiàn)形式不同的威脅源能造成不同形式危害���,應(yīng)對相關(guān)資產(chǎn)���,考慮上述威脅源可能構(gòu)成
4、的威脅���。威脅評估威脅頻率等級劃分為五級���,分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大�,威脅出現(xiàn)的頻率越高。威脅等級表脆弱點(diǎn)識別與評估脆弱點(diǎn)識別威脅總是要利用資產(chǎn)的弱點(diǎn)才可能造成危害�����。脆弱性識別主要從技術(shù)和管理兩個方面進(jìn)行����。脆弱性識別所采用的方法主要有:問卷調(diào)查、工具檢測�����、人工核查���、文檔查閱����、滲透性測試等�����。脆弱點(diǎn)評估根據(jù)對資產(chǎn)損害程度�、技術(shù)實現(xiàn)的難易程度、弱點(diǎn)流行程度�,采用等級方式對已識別的脆弱性的嚴(yán)重程度進(jìn)行賦值��。對某個資產(chǎn)����,其技術(shù)脆弱性的嚴(yán)重程度受到組織的管理脆弱性的影響����。已有安全措施的確認(rèn)對已采取的安全措施的有效性進(jìn)行確認(rèn),對有效的安全措施繼續(xù)保持���,或者用更合適的安全措施替
5、代�。安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。如入侵檢測系統(tǒng)��;如業(yè)務(wù)持續(xù)性計劃��。已有安全措施的確認(rèn)與脆弱性識別存在一定的聯(lián)系���。風(fēng)險分析風(fēng)險計算影響分析可能性分析風(fēng)險值=R(安全事件發(fā)生的可能性,安全事件的損失)=R(L(T�����,V)�,F(xiàn)(Ia,Va))其中�����,R表示安全風(fēng)險計算函數(shù)��;A表示資產(chǎn)�;T表示威脅;V表示脆弱性���;Ia表示安全事件所作用的資產(chǎn)重要程度�;Va表示脆弱性嚴(yán)重程度���;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性�;F表示安全事件發(fā)生后產(chǎn)生的損失���。風(fēng)險等級劃分風(fēng)險分析示意圖威脅識別脆弱性識別威脅出現(xiàn)的頻率脆弱性的嚴(yán)重程度資產(chǎn)的重要性安全事件的損失風(fēng)險值資產(chǎn)
6、識別安全事件的可能性安全措施的選取安全措施可以降低�����、控制風(fēng)險�。安全措施的選擇應(yīng)兼顧管理與技術(shù)兩個方面。在對于不可接受風(fēng)險選擇適當(dāng)?shù)陌踩胧┖?,為確保安全措施的有效性��,可進(jìn)行再評估����,以判斷實施安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。風(fēng)險評估文件記錄(一)(1)風(fēng)險評估計劃:闡述風(fēng)險評估的目標(biāo)�、范圍�����、團(tuán)隊、評估方法�、評估結(jié)果的形式和實施進(jìn)度等;(2)風(fēng)險評估程序:明確評估的目的��、職責(zé)�、過程����、相關(guān)的文件要求,并且準(zhǔn)備實施評估需要的文檔�����;(3)資產(chǎn)識別清單:根據(jù)組織在風(fēng)險評估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別����,形成資產(chǎn)識別清單��,清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門��;(4)
7、重要資產(chǎn)清單:根據(jù)資產(chǎn)識別和賦值的結(jié)果�����,形成重要資產(chǎn)列表���,包括重要資產(chǎn)名稱、描述�����、類型���、重要程度����、責(zé)任人/部門等���;(5)威脅列表:根據(jù)威脅識別和賦值的結(jié)果�����,形成威脅列表����,包括威脅名稱�、種類、來源�����、動機(jī)及出現(xiàn)的頻率等;風(fēng)險評估文件記錄(二)(6)脆弱性列表:根據(jù)脆弱性識別和賦值的結(jié)果��,形成脆弱性列表���,包括脆弱性名稱����、描述��、類型及嚴(yán)重程度等�����;(7)已有安全措施確認(rèn)表:根據(jù)已采取的安全措施確認(rèn)的結(jié)果����,形成已有安全措施確認(rèn)表,包括已有安全措施名稱�����、類型���、功能描述及實施效果等���;(8)風(fēng)險評估報告:對整個風(fēng)險評估過
