細談新版企業風險評估模型
今年4月,國家市場監督管理總局(國家標準化管理委員會)批準245項推薦性國家標準和2項國家標準修改單,與信息安全相關標準共10項,均在2022年11月1日開始實施,其中包括《信息安全技術 信息安全風險評估方法》(GB/T 20984-2022),代替《信息安全技術 信息安全風險評估規范》(GB/T 20984-2007)版標準,并于2022年11月1日正式實施。
經過15年時間,和2007版相比,新版《信息安全風險評估方法》(以下簡稱“風評”)有了較大的變化。本人旨在說明新版風評中的一些主要變化,并根據標準梳理出一套新版風險值的方法,供大家參考。
風險要素關
新版風評簡化了要素關系,只保留了資產、脆弱性、威脅、安全措施和風險要素,本以為這將一定程度減少風評整體工作量,但實際上并沒有,反而增加了很多需要計算的過程,后文將會進行分析。
風險分析原理
風險分析原理方面,新版風評的定義中沒有強調賦值,更重視要素識別和判定的科學性。但最終風險分析過程與07版比較相似(下圖),只是增加了一些計算的細節,在風險分析章節中會具體解釋。但要注意,新版風評中對資產進行了層級劃分,包括業務資產、系統資產、系統組件和單元資產三層。
風險評估流程
同樣的,新版風評也簡化了評估流程,如下圖對比可見(這里借用一下威努特推文中的圖)。但實際上只是簡化了流程圖,實際工作并沒有明顯減少,新版風評最后多了一個風險評價的過程,可參考風險評價章節的內容。
新版風評增加了業務識別和業務風險值計算兩個過程,這是本次標準中的一個變化。該過程包括評估準備(確定目標、范圍、調研、評價準則、方案等)、風險識別(資產、威脅、脆弱性、已有安全措施識別)、風險分析(計算風險值)、風險評價(確定風險等級)等階段。
在資產識別過程中,老版風評中給出了明確的分類,包括數據、軟件、硬件、服務、人員、其他等6個大類。而新版風評則以業務資產為核心,向下細分出系統資產、系統組件和單元資產三個層次,如下圖。
業務識別
新版風評新增業務識別(包括系統資產、系統組件和單元資產識別)過程,并將其定義為風險評估的關鍵環節。內容包括業務的屬性、定位、完整性和關聯性識別;主要識別業務的功能、對象、流程和范圍等。新版風評給出了業務識別內容表,如下圖。
業務賦值
識別出業務后,應對業務重要性進行賦值,新版風評給出了賦值依據,如下圖。
這里需要注意,新版風評采用業務重要性“就高”調整原則,即被評估業務與高于其重要性賦值的業務具有緊密關聯(會對更重要的關聯業務產生影響),則該業務重要性賦值在原賦值基礎上進行調整,附件表D.1給出了賦值調整的方法。
系統資產識別
確定業務后,需進一步識別系統資產,其包括信息系統、數據資源、通信網絡等,具體分類見下圖。
在確定系統資產后,還應確定該業務所承載的類別,這里可能是由于近年來監管對數據安全的重視日漸趨嚴,因此將數據安全生命周期納入評估過程,最后,還應梳理系統資產與業務和資產的關聯關系,以最終得出其受到損害時所影響的業務環節以及連帶影響。(但和最終風險值計算的關聯,標準中沒有明確說明)
系統資產賦值
系統資產識別后,需依據其保密性、完整性和可用性進行賦值,結合業務承載性、業務重要性,進行綜合計算。賦值依據可參考新版風評附錄D。
系統組件和單元資產識別
這一步其實就是老版風評中的資產識別過程,新版風評將其劃分為三個層面,由上而下進行了細分,下圖中給出了新老版風評資產類別的對比。
系統組件和單元資產賦值
識別系統組件和單元資產后,需依據其保密性、完整性和可用性進行賦值,進行綜合計算,進行價值等級劃分。賦值依據可參考新版風評附錄D。
威脅識別
新版風評對威脅識別內容進行了重新描述,包括威脅的來源、主體、種類、動機、時機和頻率,并在附件E中給出6個因素下的威脅種類(請自行參考標準原文)。相較于老版風評的威脅來源和表現形式來說,這階段工作的復雜度有所提升。下圖為新版風評附件表E.5,可作為具體威脅識別的參考列表。
威脅賦值
新版風評威脅賦值有所變化,老版風評威脅賦值應考慮三個方面:
a) 以往安全事件報告中出現過的威脅及其頻率的統計;
b) 實際環境中通過檢測工具以及各種日志發現的威脅及其頻率的統計;
c) 近一兩年來國際組織發布的對于整個社會或特定行業的威脅及其頻率統計,以及發布的威脅預警。
而新版風評賦值要考慮四個方面:
a) 以往安全事件報告中出現過的威脅及其頻率統計;
b) 實際環境中通過檢測工具以及各種日志發現的威脅及其頻率統計;
c) 實際環境中監測發現的威脅及其頻率統計;
d) 近期公開發布的社會或特定行業威脅及其頻率統計,以及發布的威脅預警。
新版風評這個威脅賦值表其實參考意義不大,即使結合附件E的賦值表也無法直接確定等級,不如老版表(給出具體評判依據),更多需要主觀判斷來確定威脅等級。個人認為,可以結合07版表8和22版賦值方法,總結適合自身的賦值標準。
已有安全措施識別
安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性,保護性安全措施可以減少安全事件發生后對組織或系統造成的影響。在識別脆弱性的同時,評估人員應對已采取的安全措施的有效性進行確認。安全措施的確認應評估其有效性,即是否真正地降低了系統的脆弱性,抵御了威脅。
此處安全措施的作用是,當為脆弱性賦值時作為修正,如本身脆弱性A等級為4級,但因為采取安全措施A和安全措施B,可以提高脆弱性被利用的難度,并且降低影響范圍,那么可以將脆弱性A等級降為3級。
脆弱性識別
脆弱性識別方面,沒有太大變化,包括脆弱性識別內容表依舊沿用了07版的表格。
個人認為,脆弱性應該與系統組件和單元資產關聯,從而可以確定其與系統資產和業務的關聯。
脆弱性賦值
這里要注意一點,就是脆弱性賦值與以往有所不同,老版風評僅根據脆弱性嚴重程度進行賦值即可,而新版風評中要根據脆弱性利用難易程度和影響程度分別賦值(見下圖),個人認為應該是最后取平均值作為脆弱性的最終賦值。
風險分析
風險分析就是根據資產、威脅、脆弱性賦值計算風險值的過程,新版和老版風評計算原理沒有太多變化,只不過新版風評新增了多個風險要素,因此計算步驟增加。
應在風險識別基礎上開展風險分析,風險分析應:
a) 根據威脅的能力和頻率,以及脆弱性被利用難易程度,計算安全事件發生的可能性;
b) 根據安全事件造成的影響程度和資產價值,計算安全事件發生后對評估對象造成的損失;
c) 根據安全事件發生的可能性以及安全事件發生后造成的損失,計算系統資產面臨的風險值;
d) 根據業務所涵蓋的系統資產風險值綜合計算得出業務風險值。
具體風險計算過程見附錄F。
具體計算方法依舊沿用老版風評,分為矩陣法和相乘法,目前國內用的較多的是相乘法,可以使用以下計算方式之一:
以上是07版風評相乘法計算風險值的過程。
接下來說一下新版風險評估風險值計算,根據國標給出的流程來推測,僅代表個人觀點,供各位參考。
首先,要梳理一下新風評中涉及的要素,如下表
根據新風評標準附錄F的解釋,風險值計算復雜度增加,總結一下過程就是:
(1)識別業務B1,并根據其重要性賦值,設B1=2,B2=3,確定B1和B2業務存在緊密關聯,經調整后,B1=B2=3;
(2)識別系統資產A以及其對應的系統組件和單元資產C1、C2,…,并對組件和單元資產賦值Vc1,Vc2,賦值依據是資產的保密性、完整性、可用性取平均值;
(3)A’的價值等級=f(Vc1,Vc2,業務承載性等級),取平均值;根據業務重要性,調整系統資產A的最終等級;
PS:這里標準中沒有給出明確的計算方式,個人認為也可以這樣,=f(Vc1,Vc2,業務承載性等級,業務重要性),取平均值,也是一種方式,但相對上述計算方法來說,可能就沒那么規范了,大家可自由發揮,只要有科學性和依據就可以。
(4)識別威脅T,確定威脅等級,設T=3;
(5)已有安全措施識別,這里需要大量主觀判斷,較難量化,用于降低脆弱性被利用的可能以及影響程度的等級;
(6)識別脆弱性A,需要與威脅和資產(組件和單元)進行關聯,確定脆弱性利用難易程度(Av)和影響程度(Di)賦值,設Av=3,Di=4;
(7)計算安全事件發生的可能性L=(T,Av),利用相乘法得L=3;
PS:如果這里采取了安全措施S1,可以一定程度降Av,則Av降為2級,L=2.45。
(8)計算安全事件發生后的損失F=(Vc1,Di),設Vc1=2,利用相乘法得F=2.83;
(9)計算系統資產風險值R1=(L,F),得R1=2.63;
PS:此處計算標準中依舊沒有明確說明,因為以上計算的都是系統組件和單元資產的風險值,并未對系統資產進行計算,而這里突然要計算系統資產風險,其中少了一個步驟。個人認為,需要補充一個計算過程,就是在計算全部基于系統組件和單元資產的風險值R后,要對系統關聯的全部組件和單元資產取平均值,作為系統資產A的風險值,這樣才能繼續計算業務風險值。
(10)計算業務風險值Rb=(R1,R2,…,Rn),取平均值。
看完文字可能還是有點難理解,用圖片再梳理一下這個過程,可能會更清晰一些。
至此,整個風險評估計算過程結束。可以看出,相較老版風評的風險值計算要復雜一些,不過這是標準建議的方法,不是絕對的,大家也可以提出自己的計算原理去驗證是否科學。畢竟,真正實施要以實用、快速、有效作為目標,太過繁瑣可能并不利于實踐。
風險評價
最后是風險評價,07版風評在風險分析計算出風險值后,即風險評估計算過程結束,而新版風評新增了風險評價這一環節,要根據給定的準則對系統資產風險和業務風險計算結果進行等級處理(即劃分等級),并給出了劃分依據的參考示例(見新版風評表11和表12)。
至于其他部分,如溝通與協商、風評文檔記錄、風評文檔部分可自行參考新版風評標準,這里不再贅述。
