信息安全支持风险评估过程的技术示例.docx

信息安全支持风险评估过程的技术示例A.1信息安全风险准则A.1.1风险评估相关准则A.1.1.1风险评估的一般考虑通常情况下，个人的不确定性会主导性地影响信息安全风险评估，不同的分析师在解释可能性和后果标度程度时会表现出不同的不确定性倾向。基准标度宜将后果、可能性和风险类别与共同明确规定的目标价值联系起来，尽可能用定量方法所特有的、以货币计量的经济损失和有限时间内估计的发生频率等来表示。特别是在采用定性方法的情况下，风险分析师宜根据锚定的基准标度进行培训和定期实践，以保持其判断的标定。A.1.1.2定性方法A.1.1.2.1后果标度表A.1给出了后果标度示例。表A.1后果标度示例后果描述5-灾难级影响超出组织范围的行业或监管后果严重影响行业生态系统，其后果可能会长期持续。和/或：政府部门难以甚至没有能力确保履行监管职能或完成至关重要的任务之一。和/或：对人身和财产安全造成严重后果（健康危机、重大环境污染、关键基础设施破坏等）4-危重级对组织的灾难性后果组织无法确保开展全部或部分业务活动，可能对人身和财产安全造成严重后果。组织很可能无法克服这种情况（其生存受到威胁），其经营所在地区的活动或政府部门可能会受到轻微膨响，但不会造成任何的长期后果3-严重级对组织的篁大后果组织活动能力严重下降，可能对人身和财产安全造成重大后果。组织可以克服严重困难的情况（以严重降级的模式运行），但不会对任何地区或政府部门产生影响2-一般级对组织重大但有限的后果组织活动能力下降，但不会对人身和财产安全造成后果。尽管有一些困难但组织可以克服（以降级模式运行）上轻微级对组织可以忽略的后果没有对运营、活动能力或人身和财产安全造成后果。组织可毫无困难的克服这种情况（利润将被消耗）AIj.2.2可能性标度表A.2和表A.4给出了表示可能性标度的可选方法示例。可能性能用表A.2中的概率项或表A.4中的频率项来表示。概率表示风险事态在指定时间段内发生的平均可能性，而频率表示风险事态在指定时间段内预计平均发生的次数。由于这两种方法只是从两个不同的角度表达同一事情，因此两种方法均能使用，这取决于组织认为哪种方式对给定的风险类别最为方便。但是，如果这两种方法在同一组织内都被用作可选方案，重要的是，两个标度理论上等效的等级表示相同的实际可能性。否则，评估结果取决于使用的标度，而不是所评估的风险源的实际可能性。如果同时使用两种方法，则每个理论上等级的概率水平宜根据等效等级的频率值以数学方式计算得出，反之亦然，这取决于使用哪种方法来定义主要的标度。如果单独使用这两种方法中的任何一种，则不必对标度的增量进行严格定义，因为无论使用的绝对值如何，仍可以实现可能性的优先级排序。尽管表A.2和表A.4根据组织的环境和被评估风险类别，对可能性分析使用了完全不同的增量和范围，但如果单独使用，每一种方法都能等效地进行分析。然而，在同一环境下，它们之间的互换可能存在风险，因为赋给等效等级的值是不相关的。表A.2和表A.4中使用的类别和数值仅为示例。给每个可能性等级最合适的赋值取决于组织的风险状况和风险偏好。表A.2可能性标度示例可能性描述5-几乎确定风险源通过使用种经过考虑的攻击方法极其可能达到其目标。风险场景发生的可能性很高4-很可能风险源通过使用一种经过考虑的攻击方法很可能达到其目标。风险场景发生的可能性高3-可能风险源通过使用一种经过考虑的攻击方法有可能达到其目标。风险场景发生的可能性是值得注意的2-不太可能风险源通过使用一种经过考虑的攻击方法达到其目标的机会相对较小。风险场景发生的可能性低I-几乎不可能风险源通过使用一种经过考虑的攻击方法达到其目标的机会非常小。风险场景发生的可能性很低在使用任何一种可能性评估方法时，可对等级赋予“低”、“中”和“高”等标签，这在与非专业风险评估的相关方讨论可能性级别时非常有用。然而，它们是主观的描述，不可避免地模棱两可。因此，在实施评估或报告评估时不宜将它们用作主要描述词。A.1.1.2.3风险级别定性标度的效用和由此产生的风险评估的一致性完全取决于所有相关方对分类标签解释的一致性。任何定性标度的级别都宜是明确的，其增量宜清晰定义，每个级别的定性描述宜采用客观性语言表达，类别不宜相互重叠。因此，在使用可能性、后果或风险的语言描述时，宜正式引用数值参考点（如表A.4中所示）或比值参考点（如表A.2中所示）所锚定的明确标度。所有相关方宜了解基准标度，以确保对定性评估数据和结果的解释是一致的。表A.3给出了一个定性方法的示例。表A.3风险准则的定性方法示例可能性后果灾难级危重级严重级重要级轻微级几乎确定很高很高高高中很可能很高高高中低可能高高中低低不太可能中中低低很低几乎不可能低低低很低很低定性风险矩阵的设计宜以组织的风险接受准则（见6.4.2和A.1.2）为指导。组织有时更关注几乎不可能发生的极端后果，或者主要关注后果较小的高频事件。在设计风险矩阵时，无论是定性的还是定量的，一个组织的风险状况通常是不对称的。微小的事态通常是最频繁的，而预期的频率通常随着后果的增加而降低，最终导致极端后果的可能性很低。高可能性/低后果事态所表示的业务风险与低可能性/高后果事态所表示的业务风险相等也是不常见的。尽管一个低/低至高/高对角线对称的风险矩阵很容易创建并且从直觉上可接受,但它不太可能准确地代表组织的真实风险状况，因此可能会产生无效的结果。为确保风险矩阵切合实际并能满足持续改进的要求（见GB/T22080-XXXX的10.2）,当定义和修改标度和矩阵时，宜文件化记录将每个风险类别分配到可能性标度、后果标度和风险矩阵的推论，以及这些分类如何符合组织的风险状况。至少，使用增量标度矩阵所固有的不确定性宜在描述时对其用户给予应有的注意。定性标度的效用和由此获得风险评估的一致性完全取决于所有相关方对类别标签的解释的一致性。任何定性标度的级别都宜明确无误，其增量宜明确定义，每个级别的定性描述宜以客观语言表达，类别不宜互重叠。A.1.1.3定量方法A.1.1.3.1限定标度风险等级可使用任何方法并考虑任何相关因素来计算,但它一般通过可能性乘以后果来表示。可能性表示在给定时间段内事态发生的概率或频率。这个时间段通常是以年为单位（每年），或者根据组织的需要取更长（例如，每世纪）或更短（例如，每秒）的单位。可能性标度宜以反映组织环境的实际情况来定义，以帮助其管理风险并便于所有相关方理解。这主要意味着对所表示的可能性范围设定实现的限制。如果标度的最大和最小限值相差太大，其中的每个类别都包含范围过大的可能性，将使评估变得不确定。示例1：标度上可能性的上限能根据组织通常响应事态所需的时间来有效定义，而卜.限则根据组织长期战略规划的持续时间来有效定义。高于和低于所定义的标度限度的可能性能有用地表示为“大于标度最大值”和“小于标度最小值”，从而清楚地表明，超出所定义标度限度的可能性是需要例外考虑的极端情况（可能使用特殊的“越界”准则）。在这些限制之外，特定的可能性不如指定方向上的例外情况重要。通常，使用财务数据测量后果是有用的，因其允许汇总风险报告。示例2：货币化后果标度通常基于10的倍数（IoO到IOo0；IOoO到100oO等）。可能性标度类别的范围宜参考所选后果标度来选择，以避免每一类风险范围过大。示例3：如果可能性和后果使用指数标度的指标来表示（如标度中的数值对数），则宜将其相加求和。可按以下方式计算风险值：反对数log（可能性值）+log（后果值）o表A.4对数型可能性标度示例近似平均频率对数表达式标度值每小时(JIO5)5每8小时(约10')4每周两次(约IoS)3每月一次IO2)2每年一次(101)1每10年一次(10°)O示例4：在&A.4中，高频事态如口令攻击或来自僵尸网络的分布式拒绝服务攻击。实际上，攻击的频率可能会高得多。示例5：在表A.4中，低频事态如火山爆发。即使预测某个事态每世纪只发生一次，但是并不意味着它在ISMS的生命周期内不会发生。表A.5给出了对数型后果标度的示例。考虑频率的目的之一是确保防护措施足够强大以承受高频攻击序列，即使这种攻击序列的可能性很低。表A.5对数型后果标度示例后果（损失）对数表达式值£1OOOOOO(IOfi)6£100OOO(10r,)5£10OOO(104)4£1OOO(103)3£100(102)2不到£100(10l)1如果可能性和后果标度都使用以10为底的对数来分配级别，则风险分析师可能得出大量的风险属于同一风险级别，以致于可能无法做出适当的优先级排序或安全投资决策。在这种情况下，减少底数并增加级别的数量可能是有用的。宜注意，如果可能性和后果选择了不同的底数，则不能应用指数相加的公式。示例6：如果可能性从一个级别到下一个级别只是增加了一倍，而后果增加了10倍，则当风险b）的后果是风险a）的K）倍，但其可能性只有风险a）的一半，上述公式推导出的风险a）和b）处于同一风险级别。这在经济上是错误的。表A.4和表A.5列出了涵盖不同组织中的大多数可能性和后果的范围。没有单个组织可能遇到所有这些示例标度中所表示的风险范围。宜使用组织的环境和ISMS范围来定义可能性和后果的现实的上限和下限，同时记住风险的量化范围超出1至100O时,其实际价值是有限的。A.1.2风险接受准则风险接受准则可能是一个值，超过这个值的风险被认为是不可接受的。示例1：在表A.3中，如果选择的值为中，则组织认为所有很低、低或中的风险都是可接受的，而所有高或很高的风险是不可接受的。通过使用颜色标注的风险矩阵来反映后果和可能性标度，组织能图形地呈现一个或多个风险评估的风险分布。这种风险矩阵也可用于表明组织对风险值的态度，并表明在正常情况下风险是接受还是处置。示例2：使用三种颜色（例如，红色、橙黄色和绿色）的风险矩阵，能用于表示三个风险评价级别，如表A.6所示。风险矩阵也能受益于选择其他颜色模型。示例3：如果风险矩阵被用来比较同一风险的初次风险评估结果和再评估结果，则使用更多的颜色来表示风险等级，更易于呈现风险降低的情况。还可能在模型中增加授权各层级的管理人员决定接受特定风险值的风险。表A.6给出了一个评价标度示例。表A.6使用三色风险矩阵的评价标度示例风险级别风险评价描述低（绿色）接受无需采取进步措施即可接受风险可被接受中（橙色）控制下可接受宜在中长期持续改进的框架内开展风险管理方面的后续行动，并采取措施高（红色）不可接受宜在短期内一定采取降低风险的措施。否则，宜拒绝全部或部分活动A.2实践技术A.2.1信息安全风险组成部分当识别和评估信息安全风险时，宜考虑以下组成部分。与过去有关的：安全事态和事件（包括组织内的和组织外的）；风险源；被利用的脆弱性；测量出的后果。与未来有关的：威胁；脆弱性；后果；风险场景。图A.1展示了信息安全风险组成部分之间的关系，并在A.2.2至A.2.7讨论。I1图例*威胁图A.1信息安全风险组成部分关于“预期最终状态”的详细信息，参见A.2.3b）oA.2.2资产当使用基于资产的方法进行风险识别时，宜对资产进行识别