资讯安全风险与管理.pptVIP

第十一章 資訊安全風險評估與管理 11-1 風險評估與管理基本概念 11-2 風險評估過程 11-3 風險控制過程 11-4 風險評估與管理方法 11-1 風險評估與管理基本概念 什麼時候才能阻止網路駭客入侵？人類文明已有四千年歷史，何時才能讓犯罪成為絕響？答案是：永遠不會。網路世界也是一樣的道理，我們最多能做的就是儘可能管理風險，將風險降到最低，一如在實體世界的做法。 11-1-1 與風險評估有關的概念 1.威脅（Threat），是指可能對資產或組織造成損害事故的潛在原因。 2.薄弱點（Vulnerability），是指資產或資產組中能被威脅利用的弱點。 3.風險（Risk）是特定威脅事件發生的可能性與後果的結合。 4.風險評估（Risk Assessment），對資訊和資訊處理設施的威脅、影響和薄弱點及三者發生可能性的評估。 11-1-2 與風險管理有關的概念 1.風險管理（Risk Management），以可接受的費用識別、控制、降低或消除可能影響資訊系統的安全風險的過程。 2.安全控制（Security Control），降低安全風險的慣例、程序或機制。 3.剩餘風險（Residual Risk），實施安全控制後，剩下的安全風險。 4.適用性聲明（Applicability Statement），適用於組織需要的目標和控制的評述。 11-1-3 術語概念之間的關係 資產具有價值，並會受到威脅的潛在影響。 薄弱點將資產暴露給威脅，威脅利用薄弱點對資產造成影響。 威脅與薄弱點的增加導致安全風險的增加。 安全風險的存在對組織的資訊安全提出要求。 安全控制應滿足安全要求。 組織通過實施安全控制防範威脅，以降低安全風險。 11-2 風險評估過程 風險評估（也稱風險分析）是風險管理的基礎，是組織確認資訊安全要求的途徑之一，屬於組織資訊安全管理體系策劃的過程。 透過風險評估識別組織所面臨的安全風險並確認風險控制的優先等級，進而對其實施有效控制，將風險控制在組織可以接受的範圍之內。 11-2-1 風險評估的基本步驟 1．風險評估應考慮的因素 2．風險評估的基本步驟 3．進行風險評估時，應考慮的對應關係 風險評估過程圖 11-2-2 資產識別與估價 為了明確被保護的資訊資產，組織應列出與資訊安全有關的資產清單，對每一項資產進行確認和適當的評估。 為了防止資產被忽視或遺忘，在識別資產之前應確定風險評估範圍。 列出對組織或組織的特定部門的業務過程有價值的任何事物，以便根據組織的商務流程來識別資訊資產。 11-2-3 威脅識別與評價 對組織需要保護的每一項關鍵資訊資產進行威脅識別。 在威脅識別過程中，應根據資產所處的環境條件和資產以前遭受威脅損害的情況來判斷，一項資產可能面臨著多個威脅，同樣一個威脅可能對不同的資產造成影響。 威脅識別應確認威脅由誰或什麼事物引發以及威脅影響的資產。 環境威脅發生的可能性 PTV= PT × PV PTV—考慮資產薄弱點因素的威脅發生的可能性 PT—未考慮資產薄弱點因素的威脅發生可能性 Pv—資產的薄弱點被威脅利用的可能性 11-2-4 薄弱點評價與已有控制措施的確認 1．薄弱點的識別與評價 組織應針對每一項需要保護的資訊資產，找出每一種威脅所能利用的薄弱點，並對薄弱點的嚴重性進行評價。 2．對己有的安全控制進行確認 組織應將已採取的控制措施進行識別並對控制措施的有效性進行確認。 11-2-5 風險評估 組織在經過資產識別與估價、威脅與薄弱點的識別與評價、已有控制措施的確認後，應利用適當的風險測量方法或工具確定風險的大小與風險等級，即對組織資訊安全管理範圍內的每一資訊資產因遭受洩露、修改、不可用和破壞所帶來的任何影響做出一個風險測量的列表，以便識別與選擇適當和正確的安全控制方式。 風險測量方法 風險是資產所受到的威脅、存在的薄弱點及威脅利用薄弱點所造成的潛在影響三方面共同作用的結果。風險是威脅發生的可能性、薄弱點被威脅利用的可能性和威脅的潛在影響的函數，記為： R= R（PT，PV，I） 風險區域示意圖 風險優先順序別確定 確定風險數值的大小不是我們評估的最終目的，重要的是明確不同威脅對資產所產生的風險的相對值，即要確定不同風險的優先次序或等級，對於風險等級高的資產應被優先分配資源進行保護。 風險評估一風險管理工具的選擇 一旦風險評估被完成，評估的結果（資產和它們的價值，威脅—薄弱點和風險等級，以及被確認的控制）應該被保存和檔案化，例如，儲存在資料庫裡。 企業組織或政府單位可以利用軟體支援工具進行風險評估活動，這可以使再評估活動更容易。 11-3 風險控制過程 11-3-1 安全控制的識別和選擇 為了降低或消除資訊安全管理體系範圍所涉