风险评估的最终目标是使组织管理人员能够确定适当的安全预算,并在该预算范围内实施安全控制以优化保护级别。这一目标,可以通过定量风险分析或定性风险分析以及其他风险分析方法进行。
在风险评估过程中如果规模过大、过分强调量化评估,项目回变得庞大、复杂且难以进行审查,并且还可能会遗漏一些不易量化的事物;相反,如果没有采用有效的风险计算方法,管理者往往会低估风险的大小,从而选择投资其他自认为理解更清楚的领域并从中获得明确的汇报。因此,负责任的高管需要制定风险评估计划,并在风险评估规模的大小上取得平衡。
一、风险评估的概念
信息安全风险术语已经在如下进行了定义,这些术语主要来此ISO/IEC 27005 《信息安全风险管理体系实施指南》中。另外NIST SP 800-30 《风险评估指导》和X.1055 《电信组织风险管理和风险预测指南》也使用了几乎相同的术语。
| 术语 | ISO 27005定义 |
|---|---|
| 资产(asset) | 任何对组织有价值的东西,因此需要对其进行保护 |
| 影响(impact) | 对实现业务目标水平的不利变化。ISO 27005用术语结果(consequence)代替术语影响。SP800-30用术语影响级别(impact level)和影响值(impact value)代替术语影响 |
| 事件(event) | 一些特定情况下的发生或变化 |
| 威胁(threat) | 意外事件的潜在原因,可能会对系统或组织造成损害。 |
| 威胁行动(threat action) | 对威胁的实现,即由于意外事件或故意行为而利用漏洞的事件。 |
| 威胁代理(threat agent) | 执行威胁行动或导致威胁行动的事件的系统实体 |
| 漏洞(vulnerability) | 可能被一种或多种威胁利用的资产或控制的弱点 |
| 安全事件(security incident) | 可能会对某些方面的安全产生威胁的不利事件 |
| 风险(risk) | 信息安全事件的后果和相应事件发生的可能性的组合 |
| 可能性(likelihood) | 某些事情发生的可能性,尤其是安全事件发生的可能性。X.1055用术语风险暴露(risk of Exposure, ROE)代替可能性 |
| 风险等级(level of risk) | 风险的大小,一般表示为风险的后果与风险发生的可能性的组合 |
| 安全控制(security control) | 为保护资产的机密性、完整性和可用性或其他安全属性而规定的管理、操作和技术控制对策 |
| 残余风险(residual risk) | 对风险进行处置后,残余的风险 |
| 风险识别(risk identification) | 发现、识别和描述风险的过程 |
| 风险分析(risk analysis) | 理解风险性质和确定风险等级的过程 |
| 风险标准(risk criteria) | 用于评估风险重要性的参考条款 |
| 风险测评(risk evaluation) | 将风险分析结果与风险标准进行比较以确定风险或其程度是否可接受或可容忍的过程 |
| 风险评估(risk assessment) | 风险识别、风险分析和风险测评的整个过程 |
| 风险处置(risk treatment) | 应对风险的过程。SP800-30用术语风险响应(risk response)来代替 |
| 风险管理(risk management) | 用以指导和控制组织的风险协调活动 |
如下概述了一种普适的确定风险等级的方法:
企业应该主要关注两条线:影响和可能性。
影响:在确定影响时考虑以下两个因素:
资产:编写组织资产(有形资产和无形资产)的清单,包括资产的逐项列表和每项资产的价值。
威胁:对每种资产而言,确定可能降低该资产价值的威胁。
然后,对于没想,确定发生威胁行为对业务造成的影响,通常以代价或损失的价值形式作为表示。
可能性:在确定可能性时需要考虑以下三个因素:
威胁:对于没想资产,确定哪些威胁是相关的且需要考虑去应对的。
漏洞:确定资产所面临的每个威胁的漏洞级别。也就是说,为每个资产确定可能的威胁行为。
控制:确定当前降低风险的安全控制措施。
然后,根据威胁行为的可能性和相应的控制措施的有效性,确定威胁行为造成损害的可能性。
最后,风险等级被确定为威胁发生带来的代价与威胁发生的可能性的组合。
请注意,在确定安全控制的预算分配时,必须同时考虑影响和可能性这两个因素。
1.1 风险评估挑战
组织在确定风险级别方面,主要面临两个挑战:估算难度和预测难度。
首先考虑第一个问题,对下面描述的四个要素进行估算有助于确定风险:
资产:组织需要对每个资产进行评估、分析特定的威胁会以什么方式使资产的价值变少(即影响价值)。
威胁:在确定组织面临的威胁时,可以参照过去的经验,即通过公开报告了解当前的威胁及其相应的发生频率。
漏洞:组织可能面临其未知的安全漏洞。
控制:实施控制以减少漏洞,从而降低特定威胁发生的可能性。但是,评估给定措施的有效性可能非常困难。
风险评估的另一个挑战是难以预测的未来,需要面对以下新的问题:
资产:随着时间的延长,组织资产价值的变化都会使估算安全威胁影响的工作变得复杂。
威胁:对当前威胁的能力和潜在对手的意图很难充分评估,未来的预测则更加困难。
漏洞:组织内部的变更或其IT资产可能引入意外的漏洞。
控制:新技术、软件技术或网络协议可能被用来提高组织的防御能力。
威胁、漏洞和控制之间的多元关系会使得问题变得复杂。一个特定的威胁可能利用多个漏洞,并且一个特定的漏洞可能受到多个威胁的攻击。同样,单个控制可能解决多个漏洞,单个漏洞可能需要多个控制联合起来控制。当然,负责任的高管可以遵循基于完善的最佳实践的系统风险评估方法。
1.2 风险管理
NIST SP 800-37《信息系统和组织风险管理框架》指出,风险管理包括:一个规范的、结构化的和灵活的组织资产评估过程,安全和隐私控制的选择、实施和评估,系统和控制授权,以及对系统进行持续的监控。风险管理还包括企业级活动,以帮助组织更好地准备在系统级执行风险管理框架。
1、X.1055风险管理过程
基于X.1055的定义,风险管理是一个迭代过程:
风险管理步骤如下:
1、根据资产、威胁、漏洞和现有的控制评估风险。从这些输入中,确定风险的影响和可能性,然后确定风险等级。
2、确定潜在的安全控制措施,以降低风险并优先使用这些控制措施。
3、分配资源、角色和职责并实施控制。
4、监控和评估风险处置的有效性。
将最后一步的结果反馈到风险管理周期下一步迭代中的第一步。
2、ISO/IEC 27005 信息安全风险管理
下图,展示了ISO/IEC 27005中定义的整体风险管理流程:
此过程包含以下独立的活动:
环境建立(Context Establishment):这是一个管理功能,涉及设置信息安全风险管理所需的基本标准、定义范围和边界,以及为信息安全风险管理建立适当的组织结构。风险标准是基于组织目标以及外部和内部环境而制定的。它们可以源自标准、法律、政策和其他要求。
风险评估(Risk assessment):ISO/IEC 27001将风险评估定义为三种行为的组合:
风险识别(Risk identification):涉及风险来源、实践、原因及其潜在后果的识别。风险识别的过程涉及历史数据、理论分析、实践、原因和专家意见以及利益相关者的需求。
风险分析(Risk analysis):为风险评估和风险处置决策提供证据。风险分析包括风险预估(Risk estimation)。
风险测评(Risk evaluation):通过将风险分析结果与风险标准进行比较,协助确定风险处理的决策,以确定风险和其程度是否可接受或可容忍。
风险处置(Risk treatment):包括以下内容:
通过决定不启动或终止引发风险的活动来避免风险。
承担或增加风险以寻求机会。
删除风险来源。
改变风险的可能性。
改变风险的后果。
与另一方或多方分享风险(包括合同和风险融资)。
通过明智的选择来规避风险。
风险接受(Risk acceptance):涉及确保组织管理者明确接受风险。
风险沟通和咨询(Risk communication and consultation):包括组织提供、共享或获取信息的持续和迭代过程,以及与利益相关者就风险管理进行对话。
风险监控和审查(Risk monitoring and review):包括持续监控和审查从风险管理活动中获得的所有风险信息。
综上所述,风险管理过程是一个迭代过程。因此,风险的评估和处理必须是持续进行的活动。
二、资产识别
风险识别是识别与组织相关的资产、威胁、现有控制、漏洞和影响,并将风险识别得到的信息作为风险分析的输入。
风险评估的第一步是记录和确定组织资产的价值。资产是指对需要保护的业务有价值的任何东西,包括硬件、软件、信息和业务资产。资产评估直接与业务需求相关。因此,资产评估的输入需要由资产的所有者和保管人提供,而不是由风险评估团队的成员提供。
三、威胁识别
威胁识别是识别可能损害系统资产的威胁源的过程。
3.1 Microsoft的STRIDE威胁分类方案
1、欺骗(Spoofing):通过使用伪造的身份获得对目标系统访问权限的攻击行为,如ARP欺骗、窃取cookie等。
2、篡改(Tampering):对传输或存储中的数据进行未经授权的更改或操纵。篡改被用来伪造通信或改变静态信息,破坏数据的完整性或可用性,如修改数据库某一条目。
3、否认(Repudiation):用户或攻击者否认执行过某些动作或活动的能力,如多人共用服务器的administrator账号,无法审计具体某人做了什么操作;
4、信息泄露(Information Disclosure):将私有、机密或受控信息泄露或发送给外部或未经授权的实体。破坏数据机密性,如图纸、薪酬表PII、PHI等泄密;
5、拒绝服务(DoS):该攻击试图阻止对资源的授权使用。破坏系统可用性,无法为正常用户提供服务,现如今典型代表有DDoS;
6、特权提升(Elevation of Privilege):该攻击是将权限有限的用户转换为具有更大特权、权利和访问权限的账户,利用普通账户获取超级管理员权限,渗透测试典型步骤。
3.2 威胁类型
世界上攻击方式太多了,不能相信说明。我这里写明几个不怎么著名的攻击方式:
移动代码:能够不加修改地移植到不同类型的系统平台上,并按照完全相同的语义执行的软件(如,脚本、宏或其他可移植的指令)。
Dropper:一种暗中携带恶意软件的安装程序,可以在受感染的计算机上执行。Dropper经常被伪装并隐藏在计算机的目录中,因此尽管它们是可见的,但它们看起来和正常的程序或文件没有区别。
Auto-rooter:一种远程入侵新机器的恶意攻击工具。
工具包(病毒生成器):一种自动生成新病毒的工具。
键盘记录程序:一种用来记录受损系统上敲击键盘顺序和次数的软件。
Rootkit:攻击者闯入计算机系统并获得根级别访问权限后使用的一组黑客工具。
僵尸程序或bot:在受感染的计算机上激活的程序,可以对其他计算机发起攻击。
间谍软件:从计算机收集信息并将其传输到另一个系统的软件。
广告软件:集成到软件中的广告。它会导致广告弹出或将浏览器重定向到商业网站。
3.3 信息来源
1、Verizon Data Breach Investigations Report(Verizon数据泄露调查报告)
《Verizon数据泄露调查报告》基于从各种组织系统收集的安全事件数据。细分行业数据,每个维度报告了各个行业的安全事件和违规事件的数量。数据泄露报告将安全事件定义为危害信息资产的完整性、机密性和可用性的安全事件。该报告将违规定义为向未经授权的乙方披露数据的事件(非潜在暴露)。
2、Threat Horizon报告
信息安全协会做出的年度《Threat Horizion报告》是对数据泄露报告的良好补充。《Threat Horizion报告》与《Verizon数据泄露调查报告》在内容方面有两处不同,首先,《Threat Horizion报告》是一种广泛的处理方法,能确定关键的威胁趋势,而不是介绍详细的威胁和详细的目标概况。其次,《Threat Horizion报告》会对未来两年可能出现的主要威胁进行预测。
3、ENISA威胁态势报告
欧盟网络和信息安全局(ENISA)的《ENISA威胁分类标准》(2016),它提供了潜在网络安全威胁的详细分类。该计划划分了高级威胁、威胁和威胁详细信息的三级层次结构,并定义了数十个单独的威胁类别。它提供了一个有用的清单,用于确保组织考虑了所有威胁。
《ENISA威胁态势报告》,根据调查的安全事件的数量对15种威胁进行排名,趋势代表每种威胁的后果严重程度的相对变化。对于每种威胁,该报告为每种特定威胁提供了一个杀伤力链(kill chain),它定义了网络攻击的各个阶段。
4、Trustwave全球安全报告
《Trustwave全球安全报告》是一项备受关注的网络年度报告。该报告基于广泛数据来源的调查结果,包括违规调查、全球威胁调查、产品遥测和一些研究来源。《Trustwave全球安全报告》的信息图表包含大量有用的信息,可以帮助进行威胁评估和风险处置。
5、思科网络安全年度报告
思科网络安全年度报告是另一个记号的威胁信息来源。
6、Fortinet威胁态势报告
Fortinet威胁态势报告中的调查结果代表了FortiGuard实验室的集体智慧,其数据来自Fortinet在生产环境中俄大量网络设备/传感器,包括每个季度报告的全球生产环境中观察到俄 数十亿个威胁事件和事故。
3.4 控制识别
网络安全控制包括修改信息安全风险的任何流程、政策、程序、指南、实践或组织结构。控制实质上属于行政的、技术的、管理的或法律的范畴。控制识别在ISO/IEC 27005中定义为识别现有的和计划的安全控制的过程,并建议按照以下步骤进行:
1、查看包含控制信息的文档。如果信息安全管理过程得到了充分记录,则应提供所有现有得或计划得控制及其实时状态。
2、请咨询负责信息安全的人员以及正在被实施控制的用户,来考虑相关的信息流程或信息系统。
3、对物理控制进行现场审查,将正在实施的控制与应该存在的控制列表进行比较,并检查实施的控制以确定它们是否正常有效地工作。
4、复核审查结果。
[NIST SP 800-53《信息系统和组织的安全与隐私控制》]((https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)提供了对控制的宝贵和非常详细的讨论,组织在制定任何风险处置计划时都应参考该文档。对于每个控制,文档都提供了控制的描述、实现的补充指导、控制增强的描述以及对其他文档的引用。
出于风险评估的目的,以反映风险评估过程的方式对安全控制进行分组是有用的。信息风险因素分析(Factor Analysis of Information Risk,FAIR)风险分析文件将控制文件分为四类:
预防性控制:影响遇到威胁的频率或可能性。
威慑控制:减少威胁(行动)导致损害的可能性。
漏洞控制:减少威胁行动导致损失(漏洞)的可能性。
响应控制:影响威胁行为造成的损失(损失程度)。
3.5 漏洞识别
漏洞识别是识别可能被威胁利用并对资产造成损害的漏洞的过程。漏洞是系统安全程序设计、实施或内部控制中的弱点或缺陷,在威胁出现时可能被意外触发或故意利用。
1、漏洞类别
漏洞可以分为以下几类:
技术漏洞:软件和硬件组件的设计、实现和配置存在的缺陷,包括应用软件、系统软件、通信软件、计算设备、通信设备和嵌入式设备。
人为因素:关键人物的依赖性,意识和训练的差距,纪律上的差距以及访问的不当终止。
物理和环境漏洞:物理访问控制不足,设备选址不佳,温度/湿度控制不足以及电力调节不足。
操作漏洞:缺乏变更管理,职责分离不充分,缺乏对软件安装的控制,缺乏对介质处理和存储的控制,缺乏对系统通信的控制,访问控制不足或访问控制程序的弱点,对系统活动记录的记录和/或审查不足,对加密密钥的控制不足,安全事件的报告、处理和/或解决不充分, 对安全控制有效性的监测和评估不足。
业务连续性和合规性漏洞:管理业务风险的错位、缺失或过程不充分,业务连续性/应急计划不足,对遵守管理法规和政策的监督和评估不充分。
漏洞识别主要取决与管理层的推动和后续行动。访问、问卷调查、审查先前的风险评估和审计报告以及检查清单等技术有助于良好地描述漏洞的情形。
2、美国国家漏洞数据库和通用漏洞评分系统
NIST美国国家漏洞数据库(National Vulnerability Database,NVD)是系统、硬件和软件中已知的技术漏洞的综合列表。
通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)提供了一个用于传达漏洞特征的开放框架,它将漏洞定义为可能导致机密性、完整性或可用性失败的应用程序,系统设备或服务的错误、缺陷、弱点或暴露。CVSS模型尝试确保能够对漏洞进行可重复且准确的测量,同时使用户能够查看可量化的基础漏洞特征。CVSS为需要准确和一致的漏洞利用和影响评分的行业、组织和政府提供了通用的测量系统。
3.6 风险评估方法
风险评估的两个因素可以定量或定性地处理:影响和可能性。对于影响而言,如果为每个影响区域分配特定的货币成本大体上是可行的,则总体影响可以表示为货币成本。否则,使用定性术语,例如高、中、低。
1、定量和定性风险评估
1)定量的风险评估
在该等式中,风险缓解因素反映了由于实施安全控制而导致的不良事件发生概率的降低。因此,参与残余风险等级与所执行控制的预期成本相关。
如下图,随着新的安全控制的实施,不利实践的剩余概率下降,相应地,漏洞造成的损失也会下降。但与此同时,随着新控制的添加,安全控制的总成本也会随之增加。上面的曲线代表安全总成本,包括漏洞造成的损失加上安全控制的成本。最优成本点出现在总成本曲线的最低点。这代表了一种可以容忍的风险水平,在此基础上如果不能继续投入安全控制的成本,就无法进一步降低风险。
2)定性的风险评估
将所有影响成本的可能性都进行定量表达是不合理的。通过合理判断可以有效地对风险进行评估。定性评估相对风险而非绝对地。使用定性风险评估对风险顶级进行粗略的估计,大大简化了风险分析过程。定性风险评估通常足以识别最重要的风险,并允许管理层以合理的置信程度确定安全成本支出的优先级,以减轻所有重大风险。
组织需要明确知道影响、威胁和漏洞类别。对于影响而言,文档FIPS 199《安全分类标准联邦信息和信息系统安全分类标准》,根据某些特定事件对组织的潜在影响定义了三个安全类别。FIPS 199定义的安全类别如下:
低:预计会对组织运营、组织资产或个人产生有限的不利影响。
中:预计会对组织运营、组织资产或个人产生严重的不利影响。
高:预计会对组织运营、组织资产或个人产生严重或灾难性的不利影响。
2、简单的风险分析工作表
风险评估的一种简单方法是使用风险分析工作表,该工作表的每行表示一个潜在威胁/漏洞的组合。工作表由风险评估团队准备,包含以下内容:
安全问题:对每个安全问题或关注领域的简要说明。每个威胁/漏洞组合作为表中的一行(以及随后描述的合规性问题)。
可能性:估计发生威胁/漏洞的可能性。可能性的估算应基于团队对受影响资产价值和暴露程度的判断。
影响:使用威胁/漏洞组合估计影响。影响的估算应基于团队对受影响资产价值的暴露程度的判断。
风险等级:风险等级。
建议的安全控制:团队建议解决此特定问题的特定安全控制。
控制的优先级:每个推荐控制的相对优先级。
注释:与此特定安全问题的安全风险管理决策过程相关的任何其他信息。
3、信息风险因素分析
风险评估在2005年首次引入信息风险因素分析(FAIR)。Open Group已经对FAIR进行了标准化,它与国际标准化组织(ISO)风险标注的总结如下:
ISO 27001描述了创建信息安全管理体系的一般过程。
在此背景下,ISO 27005定义了管理风险的方法。
FAIR提供了风险分析的方法。
Open Group发布了四份与风险相关的标注文件:
风险分类:该标准为信息安全风险提供了一套严格的定义和分类,以及有关如何使用分类的信息。
风险评估方法的要求:该技术指南确定并描述了构成任何风险评估方法的关键特征,从而提供了一套共同的标准,用于根据明确定义的一套基本要求评估任何给定的风险评估方法。
FAIR-ISO/IEC 27005手册:该技术指南描述了如何将FAIR方法应用于ISO 27005框架中。
Open Group风险分析技术标准:该文件为信息安全风险分析的各个方面提供了一套标准。
与ISO 27005相比,FAIR提供的关键术语定义更加详细,与风险分析过程的关联更加具体。
3.7 可能性评估
对给定资产的给定威胁进行可能性评估的步骤如下:
步骤1:确定威胁事件发生的可能性。也就是说,确定这种威胁的发展对给定资产的攻击的攻击的可能性。
步骤2:确定资产面对威胁的脆弱程度。
步骤3:根据步骤1和步骤2,确定安全事件发生的可能性。
FAIR提供了有关如何系统地描述使劲按可能性的详细指导,在FAIR文件中称为损失事件频率(loss evebt frequency)。FAIR采用自上向下的方法来确定损失事件频率。在顶层,基于历史数据,可以确定简单地根据过去发生损失的频率来估计损失事件频率。导出精确的频率或概率不是必须的,实际上也是不可能的。首先,在风险评估时,过去的安全事件可能仍未被发现。此外,在风险评估中用过去的事件预测未来并不严谨。FAIR文件中使用五个级别(非常低、低、中、高、非常高)。级别之间有一个数量级的变化。
如果组织的管理层或安全分析师难以直接估算出准去的损失事件频率,那么估算过程分为两个步骤:估算威胁事件频率(estimationg threat event frequency)和脆弱性估计(estimating vulnerability)。
1、估算威胁事件频率
对威胁事件频率的评估涉及两个方面:确定威胁代理与资产接触的频率以及一旦发生发生接触,威胁代理将对资产采取行动的概率。
2、脆弱性估计
对于脆弱性而言,需要从威胁能力和控制强度这两个维度进行估计。FAIR将威胁能力定义为威胁代理使用特定威胁对资产采取行动的能力。FAIR将控制强度称为阻力强度,即威胁代理需要通过多少困难才能威胁到资产。
脆弱性公式,如下:
$$
脆弱性=\int_1(抵抗力,威胁能力)
$$
3、损害事件频率
损害事件频率受到威胁事件频率限制,也就是说,无论脆弱性程度如何,损害时间频率都不会高于威胁事件频率。
主要损害事件频率公式,如下:
$$
主要损害事件频率=\int_2(漏洞,威胁事件频率)
$$
3.8 影响评估
影响评估时制定某种商定的影响分数或成本价值的过程,用于估算成功威胁行动的程度或不利后果。FAIR应先分析取决于两类损害:
主要损害(Primary loss):主要损害因威胁代理对资产采取的行动而直接产生的。受影响资产的所有者被视为分析中的主要利益相关者。此事件会影响主要利益相关者的生产力损失,响应成本等。
次要损害(Secondary loss):次要损害因次要利益相关者(如客户、股东等)对主要事件做出负面反应而产生。相关,次要利益相关者的响应可能成为反对组织资产的新威胁代理(例如声誉和法律费用等),这当然会影响主要利益相关者。
1、估算主要损害
对于给定资产的特定威胁事件,FAIR影响评估从确定事件导致的主要损失开始。评估内容包括以下两个方面:
资产因素:受到威胁的资产价值。
威胁因素:导致损害的威胁因素。
一旦了解了资产和威胁因素,分析师就可以确定损失的形式,包括生产率、响应和替换等,对于每个潜在的威胁操作,分析师应估计每种形式可能的损害幅度。为每项损失分配确切的价值是不现实的。相反,可以使用级别的层次结构,每个级别都具有货币范围。一旦估算出每种损害形式的损害幅度,就将所有损害形式的最大损害幅度指定为该资产和威胁的主要损害服务。
2、估算次要损害
次要损害的估计要比主要损害的估计更复杂。这部分分析有两个部分组成:
次要损害服务:预计会因处理次要利益相关者的反应而产生的损害。
次要损害事件频率:与主要损害事件一样,次要损害事件同样具有时间频率。
1)估算次要损害幅度
次要损害服务的分析与主要损害幅度的分析类似,分析人员首先确定在给定环境中适用的威胁的性质,然后确定损害的形式以及在这种情况下哪种形式产生最大的潜在损害。确定威胁的性质时需要考虑两种因素:
组织因素:决定损害程度的组织特征。
外部因素:对组织造成次要损害的实体。
组织的监测和快速响应的能力有助于控制次要损害。一旦分析师确定了次要损害的可能性,下一步就是确定损害的形式。对于每种潜在的威胁后果,分析师必须估算每种损害形式的可能损害幅度,与主要损害一样。一旦估算出每种损害形式的损害幅度,就将所有损害形式的最大损害幅度指定为该资产和威胁的次要幅度。
2)估算次要损害事件频率
为了得出次要损害频率,分析师首先需要估算次要利益相关者参与的可能性,分析会产生何种形式的次要损害。
次要损害事件频率公式,如下:
$$
次要损害事件频率=\int_2(次要损害的可能性,主要损害事件的频率)
$$
请注意,这与用于评估主要损害事件频率的矩阵模式相同。由于次要损害定义为主要损害可能导致的结果,因此次要损害频率必须小于或等于主要损害频率。
3、业务影响参考表
业务影响参考表(BIRT)是一种执行影响评估的有用的工具,旨在使参与风险评估过程的所有人对风险要素有一个共同的看法。BRIT为不通类型的影响和严重程度级别提供了一致的定义。严重程度从1(不显著影响)到5(灾难性影响)。
3.9 风险确定
一旦估算好损害幅度并推导出损害事件频率,就可以直接得出风险估计值。这是针对主要损害和次要损害单独完成的,然后两者在进行合并。
主要风险确定公式,如下:
$$
主要风险=\int_3(主要损害事件频率, 主要损害程度)
$$
单个矩阵值是一个判断问题,其值可能因组织而异。如果损害幅度被评定为非常高,即使损害事件频率仅为中等,主要风险也会被赋予最高的值。类似的,即使损害幅度被评定为中等,如果损害事件频率被评定为非常高,则风险会被赋予非常高的值。
总体风险确定公式,如下:
$$
总体风险=\int_4(主要风险,次要风险)
$$
如果主要风险和次要风险处于同一水平,则总体风险应提升到下一个更高水平。在这种情况下,如果两个风险都被评定为高,则总体风险评级为非常高。
3.10 风险测评
完成风险分析之后,高级安全管理人员和执行人员可以决定是否接受特定风险,如果不接受则分配资源以降低风险的优先级。这一过程被称为风险测评,涉及将风险分结果与风险评估标准进行比较。
ISO 27005与FAIR文件提供的风险测评建议都是一般性的,因为制定的标准因组织而异。测评标准侧重于各种业务资产的重要性以及各种安全事件可能对组织造成的影响。目标使能够确定风险处置的优先顺序。风险接受标准涉及组织可以容忍的风险程度,并提供有关可以为风险处置分配多少预算的指导。
NIST SP 800-100提供了一些基于三级模型的风险测评和确定行动优先级的一般指导:
高:如果一项观察或发现被评估为高风险,则需要采取纠正措施。现有系统可能会继续运行,但必须尽快制定纠正措施计划。
中:如果一项观察被评估为中等风险,则需要采取纠正措施,并且必须制定计划以在合理的时间段内采取这些行动。
低:如果一项观察被描述为低风险,系统管理员必须决定是否仍需要采取纠正措施或接受风险。
3.11 风险处置
风险评估过程完成后,管理层应列出素有资产构成的所有威胁,并估算每种风险的大小。此外,风险评估还应根据应对每种威胁的优先级和紧迫性提出意见。将已识别风险集的响应称为风险处置(或风险响应)。
ISO 27005列出了以下处理风险的方法:
降低风险或减轻风险:采取措施减少与风险相关的可能性或负面后果。
维持风险:接受风险带来的额外成本。
避免风险:决定不参与或退出风险。
转移或共享风险:与另一方共享风险损失的负担。
风险和处理方法之间存在多对多的关系。一种处理方法可能会影响多个风险,多种处理方法可能会应用于一个风险。此外,这四种方法并不互相排斥。可以采用多种策略作为风险处置计划的一部分。
任何风险处置计划都可以减少但不能消除风险,遗留的风险是残余风险(residual risk)。在计划的技术上,组织应更新风险评估并确定参与风险是否可接受或计划是否需要更新。