2007年中华人民共和国国家质量监督检验检疫总局联合中国国家标准化管理委员会发布了《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007),并且于当年11月01日实施。2009年发布了指导性技术文件《信息安全技术 信息安全风险管理指南》(GB/Z 24364-2009),于2009年12月01日实施。2015年发布了国家标准《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015),并且于2016年01月01日实施,该实施指南是对《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)的操作性指导标准。2015年发布了国标《信息技术 安全技术 信息安全风险管理》(GB/T 31722-2015/ISO/IEC 27005:2008),该标准作为信息安全管理体系标准簇(ISMS)标准之一,为组织内部的信息安全风险管理提供指南。2017年又发布了《信息安全技术 信息安全风险处理实施指南》(GB/T 33132-2016),该标准主要给出了风险处置的相关指导,包括处置原则、处置方式、组织、管理、流程、评价等内容。至此,与信息安全风险相关的主要的国家标准已经形成,再之后,各行业也发布过类似的信息安全风险管理、评估的标准或者指南,但总体框架几乎保持不变。
在此,本文对《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015)进行了总结,结合笔者自身的实际工作经验,对关键的操作节点及注意事项进行了描述汇总,以期对后续的工作有所改进,同时可以帮助其他同学,如有不实之处,欢迎指正。
一、总体框架
信息安全风险评估总体框架是一种方法论,不局限于信息系统及其生命周期、数据安全及其生命周期、流程制度等,也不局限于是自评估还是检查评估,其提供的是一种评估思路,包括评估准备阶段、识别阶段、风险分析阶段及风险处理阶段。总体结构如下:
二、准备阶段
该阶段需要在正式评估前做一些准备工作,准备工作的充分与否直接决定了评估结果的效用。在这个阶段准备工作比较多,点出几个特别需要注意的步骤。
首先需要明确本次评估的目标,评估目标依据评估对象所处的不同生命周期有所不同。通常信息系统生命周期包括规划、设计、实施、运行维护及废除五个阶段,信息安全评估应当在信息系统的整个生命周期中持续进行。在实际工作中,由于安全预算有限,不能投入大量的人力精力情况下,个人认为特别应当把控的是规划阶段及运维维护阶段,系统在规划之初进行安全风险评估,其后续因为安全因素而整改所带来的成本更低,而在系统运行维护阶段,或者是投产前的风险评估则可以对实施后的安全风险进行评估及弥补,避免系统带病上线引入安全隐患。在此特别说明的是,在规划阶段非常有必要进行一次风险评估,风险评估不一定要特别正式,具体视情况而定,但是一定要基于实际调研进行该过程,且留证存档。举个例子,当前计划上线某个业务,该业务系统涉及到与第三方的数据交互,那么在这个阶段要评估哪些内容呢?评估可以包括该业务是否会引入合规风险,第三方的数据采集是否合规,我们在使用的时候是否会面临因未履行尽职调查而连带法律责任;可以包括该业务的安全保障是否符合既定的安全战略规划;可以包括该业务的业务流程是否会引入安全风险等。
确定评估范围。该工作必须是明确的,否则会出现评估与预期不一至,甚至评估完全错误的情况。评估对象范围通常讲是软硬件均涉及,可以对某个信息系统、某个网络、某个基础环境等进行安全评估,如果是新机房投产测评,还必须包含机房物理环境及动环监控,但是对象要明确。明确的范围还有另外一个作用,为后续资产识别奠定基础。
评估工作启动会议。之所以说这是一个关键的节点,是因为通过启动会议,工作就“名正言顺”了,理论上讲,也会得到管理层领导的重视。不过,这里通常会有如下的问题:1.通常该评估工作是信息科技或者信息技术部主动发起的工作,在其他部门看来跟他们没有太大关系;2.更通常是信息技术部中的安全部、安全组甚至安全岗发起的工作,不但对外没有号召力,在信息技术内部各业务组中可能都会力不从心;3.可能信息技术部的领导都不一定能够参加。在这种情况下如何去做呢?个人认为首先要做到“应尽关注”,首先要将工作计划向领导汇报且进行宣导,可以是在某个会议中加入该环节,“顺便”进行汇报;然后在工作开始后,要将相关的主题内容邮件同步给领导及责任人;最后,在评估过程中及时汇报进展,结束时将结果汇报给相关责任人,并且积极组织会议,共同探讨研究评估结论。
三、识别阶段
在本阶段要完成三个“重要的识别”,资产识别即弄清楚当前被评估对象有什么样的资产,称之为“知已”;威胁识别即弄清楚可能面临的威胁主体,该部分相对固定,通常是内部的恶意用户以及外部的恶意攻击者,当然其破坏能力是有差别的;脆弱性识别即弄清楚当前被评估对象可能存在哪些脆弱性,这部分通常需要查阅大量的文档或者知识库,或者借助专家经验进行穷举。威胁识别与脆弱性识别均可以称为“知彼”。这三个识别为后续的风险分析奠定基础,在这里直接引用《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)中信息安全评估要素图说明几者的关系,不再赘述,详见下图。
四、风险分析阶段
该阶段为风险评估活动中的关键环节,这个阶段的输入包括准备阶段的输出以及识别阶段的输出。在实际工作开展前,评估人员需要特别弄明白的是风险分析模型,个人认为,我们讲风险评估通常有两个落脚点,第一个是通过评估得出被评估对象的风险值以及风险等级,从而为最终的风险处置提供指导意见;第二个是通过评估得出威胁所产生破坏事件的可能性,该落脚点忽略资产价值及资产损失可能性,而仅通过破坏路径树来评估安全事件的可能性,虽然有一定的局限性,但是便捷,而且在具有“高价值”行业比较有用,如金融行业,因为具有高价值,那么只要遭到破坏,肯定会造成不小的损失,因此为了方便工作,可以着重关注安全事件发生的可能性。另外,需要强调的是,风险本身也是一种可能性,风险不是独立存在的,一定是某个场景之下,某个流程之下的,因此我们最终评估的对象会被细化拆分为评估“是否存在某个威胁利用某个资产的某个脆弱性造成某种破坏,该破坏的可能性有多大,也即该种风险有多大”。
如何进行风险计算?通常有定量与定性两种方法,但是定量方法是指通过计算破坏导致资产价值的损失来衡量,通常是指的货币损失,这一点相信在大多数公司企业日常的安全风险评估中都无法做到,除非是公司级别的、获得大领导支持以及通过外部第三方机构来进行的安全风险评估,这类型的评估往往投入巨大且耗时较长。因此,我们日常工作中采用的是定性计算方式,该方式包括矩阵法及相乘法两种,具体如何操作,由于此篇为安全风险评估的大框架,这里不作做过多的介绍,网上有大量的介绍,后续我也会结合实际工作经验写一下我自己的体会。
风险评价,通过前面的分析,我们得出了不同场景下的风险值,在这里我们汇总所有场景的评估结果,并且给出被评估对象总体的安全风险等级。
风险评估报告,该阶段汇报所有的中间过程文件,并且形成风险评估报告,通常我们这风险评估报告中会提出风险整改建议。
五、风险处理阶段
通过前面一系列的工作,整体的风险评估工作进入尾声,现在还有一个最重要的工作就是组织评审会。通过评审会向领导汇报本次安全风险评估结果,同时宣告本次评估结束,形成会议纪要。在评审会上还需要对各风险整改建议进行讨论,分配责任人及制定后续跟踪计划。讨论整改建议的时候,可以回顾一下我们的安全战略方针、信息系统安全保障需求、安全合规需求了,需要考虑这些场景与前述战略方针及需求是否偏离违背,公司企业对这种风险容忍度怎么样。最后说明一句,这个评审会可能要经历多次不同层级的评审,视具体的评估对象而定。
六、总结
信息安全风险评估是一个比较浩大的工程,可以以项目管理的方式进行运作,在每个阶段的每个环节一定要有输入及明确的输出,并且进行详细的记载。如果是公司企业内部自评估,可能会减少一些环节,但是总体思路不变。如果是通过外部的服务商进行评估,每个环节都会比较细致,并且在这个过程中需要我们协调大量的人员进行配合,如协调业务人员调研系统使用情况、协调运维人员调研系统运行情况、协调开发人员调研系统开发设计情况等,我们需要做好项目的进度管理、项目的风险管控、项目的质量管控,由于评估过程中会通过一系列的手段工具来验证脆弱性是否存在,我们有必要采取控制措施防止因为评估本身的行为引入更多的安全风险。本文梳理了《信息安全技术 信息安全风险评估实施指南》(GB/ T 31509-2015)关键节点,加入了个人在实际工作中的体会,如有不实之外,欢迎指正。
