其中,Asset Value代表计算得到的资产价值;I代表社会影响力赋值;V代表业务价值赋值;A代表可用性赋值;Round1{}表示四舍五入处理,保留1位小数;Log2[]表示取以2为底的对数;α、β和γ分别表示社会影响力、业务价值和可用性所占的权重,根据具体网络的情况确定α、β和γ的取值,α、β和γ值的确...
谈谈风险评估报告怎么写
今天有两个通保的客户来催我赶紧给他们出风评报告了。风评报告要写也不是我能以一己之力搞定的,其中涉及到方方面面的参与,或者说是有一个工作流程的。那我现在就详细的掰开来说说。说完之后,我希望我们在面对这个作业时有较为标准化的快速操作流程,也能让风评有些实效。
就是说呢,不管你做什么格式的风评,差不多都是这关键几步,把这些数据收集清楚了,后面就是填充不同模板的过程了。
那么为什么要是这5步呢?可以说是从国内外的标准里提炼出来的,一般的标准主要有以下这些:
(ps 国外的标准请自查是否为最新,国内为最新)
这么多标准也不用急着一个个研究,不需要都看过一遍理解了才开展工作。可以先读读下面这两个:
❖ GB/T 20984-2022 信息安全技术 信息安全风险评估方法
❖ GB/T 27921-2023 风险管理风险评估技术
然后套模板来先做一遍,达到及格水平了,后面再补课。毕竟咱们打工人出活儿要快不是吗?
那现在就开始讲一步步怎么做吧!
资产是什么?
在信息安全中,资产(asset)一般是指对组织具有价值的信息或者资源,是安全策略保护的对象。
在风险评估中,我们要去识别资产,而怎么识别呢?靠脑子想?靠问?然后一个个列出来?虽然我们人脑无法存储太多的东西,但我们有工具可以用啊。比如层次化的思维方式和结构化的表格就是我们识别资产的强有力的工具。
在《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》中给出了一种层次化的梳理方法。
图1 资产层次图
我们在这里,可以看到如果一个组织资产太多,我们可以先分成几大业务 ,就是组织的发展布局有哪些业务啊。可以找熟悉组织业务结构的管理人员来了解。
了解了业务之后,我们需要了解这个业务下的信息系统、数据资源和通信网络。
然后在信息系统、数据资源和通信网络下面又分别识别系统组件和单元资产。
术语有点多了,不形象。举个例子。
A企业是一家教育机构,有对内的职能业务、有对外的各个业务线,比如职业技能培训、比赛、就业等。那对内的职能业务可能就有办公OA信息系统,该系统涉及到物理资产,比如机房、网络设备、服务器、安全设备等;也涉及到一些敏感数据;还涉及到相关的人员,比如运维人员、系统管理员、安全管理员、审计员等。
有了这种层次化的划分,我们再用结构化的表格来帮忙梳理资产,识别资产。
资产列表见表1——表7。
表1设备列表
表2机房及相关设施列表
表3重要数据列表
表4网络及服务
表5管理制度及文档
表6人员
表7其他
备注一下,上面的这些资产识别只是一个示例,实际在企业中的资产会比较多,我们需要尽可能全面识别出来。
好了,资产识别出来了,我们现在要对资产赋值了。
根据YDT 1730-2008《电信网和互联网安全风险评估实施指南》
安全风险评估中的资产赋值可以综合考虑资产的如下三个安全属性:
表1 资产社会影响力赋值表
表2资产业务价值赋值表
表3资产可用性赋值表
如果我们用下面这个公式来进行最终的资产赋值计算:
Asset Value = Round1{Log2[(α×2I+β×2V+γ×2A]}
其中,Asset Value代表计算得到的资产价值;I代表社会影响力赋值;V代表业务价值赋值;A代表可用性赋值;Round1{}表示四舍五入处理,保留1位小数;Log2[]表示取以2为底的对数;α、β和γ分别表示社会影响力、业务价值和可用性所占的权重,根据具体网络的情况确定α、β和γ的取值,α、β和γ值的确定应该充分考虑这三个安全属性的关联性及其在资产价值计算中的比重大小。α≥0,β≥0,γ≥0,且α+β+γ=1。
资产赋值方法说明:采用对数法,既考虑到了每个因素对资产价值的影响,又避免了不同因素之间的相互影响。
最终得到一个资产赋值表。(可能看不全,微信公众号表格排版不友好)
脆弱性就是资产中的一种薄弱环节,如果被威胁利用就可能照成伤害。脆弱性主要包括技术测和管理测的。以下为举例。
技术层面的脆弱性主要与资产本身的属性有关,比如操作系统或应用软件有漏洞(可以用渗透测试来发现),管理层面的脆弱性则包括安全管理体系不完备和管理制度体系没有得到有效的贯彻执行。虽然标准中说脆弱性通过问卷调查、访谈、工具检测、人工核查、文档查阅和渗透性测试等来寻找,其实在工作中用得最多的就是渗透测试、工具检测、访谈、查阅资料(等保测评报告)等,所谓的问卷调查,其实就是专业的信息表(等保测评前填的那张)。
从这里我们能感性的认识到,脆弱性越多,肯定风险会越大。
那么脆弱性怎么赋值呢?在通保的风评模板中给了这个表。
赋值之后,表格就长这样了。
什么是威胁,我们说黑客可以是一个威胁主体,地震也可以是。信息安全威胁是指可能对信息系统、数据和通信网络造成损害或风险的各种形式攻击或危害。
在这里我不再详细赘述了。贴几个表大家就能看懂。
从这个表中能看到威胁的主要来源,我们也可以从这些来源中去分析寻找威胁。下面举一个实际的例子:
(可能看不全,微信公众号表格排版不友好)
已有的安全措施没啥说的了,就是企业有哪些防范措施。这些措施可以通过访谈,也可以通过查阅等保测评信息得到。
最后一步了,相信你已经有点烦了,哈哈哈。在前面我们已经把资产、威胁、脆弱性都赋值了,那现在风险值就好算了,就是这几个值相乘。
风险值 = 资产价值 x 威胁值 x 脆弱性值
然后得出哪些是可接受的风险,哪些是不可接受的风险,不可接受的风险需要有相应的风险处理计划。那怎么判断是可接受还是不可接受呢?还是通过量化来判断。
看下面这张表,通保中规定,如果你是3级系统,就不能超过3级系统的阈值,是2级就不能超过2级的阈值。
那么,如果不是按照通保的风评来做,怎么判断呢?我们也可以参考着根据自己的安全需求设定一个阈值。
好了,最后再截一张风险总表看看,大家应该就清楚了。
(图片总能看全了)
这张表就把资产、威胁、脆弱性、风险都描述好了,是不是很清楚?
最后我再讲一下,我讲的这个风评还是主要是用的通保的模板,风评的模板不固定,思路可借鉴。
好了,我们终于把风评磕完了,没有特别难以理解的地方,主打一个繁琐。(微笑 )
我的微信公众号:透明魔方
网络安全生活篇提升安全意识,防各种诈骗实时更新。网络安全专业篇提升安全专业能力,合规,安服,知识点包罗万象。2024-08-20
