不用说风险评估本身,风险评估框架的概念似乎就超出了中等规模公司的需求。但是,对于各种规模的公司来说,评估风险的概念是IT安全的核心。而且对保护信息资产感兴趣的任何中等规模的组织——在今天应该是每家公司——都需要有某些形式的风险评估,即使它只是一个成型的裸机框架,而且只适用于小小的人员班子。
好消息是,风险评估框架是免费的。可以从网上很容易地下载、打印并按意愿研究。虽然它们显得像神秘的文件,需要一批顾问来实施,但那未必是事实。有一些任何中等规模的公司都可以实施的最佳实践,为其组织剥离甚至最复杂的框架成可用的、匹配组织规模的部分。
风险评估的目标是对您的IT基础设施的各个部分的IT安全风险排列优先级。如果没有对风险排列优先级,企业就不能有效地对控制最大风险进行预算。结果是要么花费太多在过度的或不必要的控制上,要么在另一个极端,让系统 在恶意攻击下。并且对于资金短缺的中等规模的公司,预算就是一切,尤其当谈到安全系统时,不是太昂贵就是难于管理。
此外,通过对风险排列优先级,公司可以判定哪些系统处在滥用或受攻击的低风险,避免过多的安全行为;并可以判定哪些系统处在高风险状态,需要更大的保障。有几个风险评估框架,但行业基准来自国家标准研究所(NIST)。
来自NIST的主要刊物,“专门出版物(SP)800-100,信息安全手册:经理人指南”(Special Publication 800-100, Information Security Handbook: A Guide for Managers),确定了在风险评估过程中的四个步骤。下面是一个简化的、大致基于SP 800-100并适用于中等规模公司的风险评估进程。
要有自知
第一步是清点和分类所有IT资产。第二步是识别威胁,第三步是要识别对应的安全漏洞。最后一步是实际的风险分析,包括评估对IT资产的安全控制,确定破坏的可能性和影响,并最终指定风险级别。评估完成后,汇编带有推荐控制措施的报告。应当将风险评估看作是一个定期审查和实施的循环过程,应定期反复进行风险评估。
IT资产清单定义了风险评估的范围。公司在实施安全控制以前,必须知道它已有什么资产以及现有的控制措施(如果有的话)。该清单应包括所有硬件、软件、数据、流程和到外部系统的接口的列表。
下一步是识别威胁。这些威胁包括物理威胁,诸如自然灾害或停电,但当然它也应包括IT安全威胁,例如对系统的恶意访问或恶意攻击。需要有创意。考虑对你的系统最有可能的威胁,既包括来自你经历的威胁,也包括来自安全公告公布的攻击名单,如在卡耐基梅隆(Carnegie Mellon)的美国计算机紧急响应小组(US - CERT)。
但威胁并不是孤立存在的。如果在系统中存在漏洞,它们就可能受到威胁,这是评估过程的第三步。在这里,NIST同样提供了有价值的资源。它的国家漏洞数据库(NVD)是当前威胁的目录和旧的威胁的归档。除了NVD以外,可以检查硬件和软件供应商的网站以查找漏洞列表。诸如黑客公告板的其他来源也是发现漏洞的一个很好的参考。
漏洞也可从安全性测试和系统扫描中获得,包括脆弱性和渗透测试。
收集到所有这些数据以后,最后一步是实际的风险分析。这包括三个子阶段:评估现有的安全控制措施、基于这些控制措施确定破坏的可能性和影响,以及确定风险级别。破坏的可能性和影响均可以分为各高、中和低三个档次。可以为每一个风险级别给定一个风险指数,如从1到10,然后形成一个3*3的矩阵,水平方向为影响,垂直方向为可能性。
随后的风险指数应成为最终报告详细阐述的一部分,如果有的话,应该实施安全控制措施将风险级别降到一个较低的水平,或降低到组织愿意容忍和接受的级别。也可以用风险指数来证明安全措施的成本,特别是在风险比较高时。例如,高风险是潜在破坏的一面红旗,需要立即采取安全控制措施。
虽然这个规模较小的风险评估过程是基于NIST的,其他框架也有类似的方式,包括识别资产、威胁和脆弱性,然后基于收集的数据指定风险。其他框架包括OCTAVE和COBIT。OCTAVE是来自CERT的业务关键威胁、资产和脆弱性评价;COBIT是来自信息系统审计与控制协会对信息和相关技术的控制目标。
无论您选择什么框架,对于中等规模的公司来说,风险评估仍像是一个大项目。它可能用尽人员并耗费时间,这两个方面都只需要在短期内得到供应。但是,在一个更小的公司,进行风险评估并不是一个全职的工作。可以由某位IT工作人员定期处理它们,例如每年或当有大的系统变更时,如在收购或安装新的、主要的IT系统期间。
在做风险评估时,另一种节省时间的方法是限制范围。例如,许多中等规模的公司并不在内部做应用开发。这就不需要审查。对于大多数中等规模的公司,应坚持最关注的项目——访问管理、网络安全、物理安全和网站安全——你应该审查“面包和黄油”。
对于任何信息安全计划,风险评估都是至关重要的。对于任何中等规模的公司来说,这些步骤应有助于简化风险评估的过程。
作者:Joel Dubin 译者:陈德彦 来源:TechTarget中国
|