互联网安全中心(Center of Internet Security,简称CIS)风险评估方法(Risk Assessment Method,简称CIS RAM)的目标,是帮助企业计划实施CIS关键安全控制措施(CIS Controls,简称CIS 控制措施)版本7.1或版本8,并证明的实施的有效性。
笔者:国际认证信息系统审计师、软考系统分析师
重点是,对实施有效性的证明,与这些控制措施是完整地抑或是部分地在企业内运行并不是非此即彼的关系。
需要反复提起的是,在现实中由于各种客观条件的限制,只有极少数企业能够在全部内部环境中,应用全部18项CIS控制措施,以及全部的保障措施,去保护全部的信息资产。以上可称为四个全部,能满足的企业可谓是凤毛麟角。
典型如,CIS控制措施中的一些具体措施,提供了很有效的安全性保障,但在实际应用中,却是以必须付出在效率、协作、效用、生产力等方面的损耗,或干脆就是以可观的资金和资源为代价的。这让许多企业都只能望而却步。
因此,法律、法规和信息安全标准在制订时,基本都考虑了需要把信息安全的要求能与企业的意图和目标相平衡,并要求通过风险评估过程来寻找平衡性,以及把平衡性文档化。
企业通过运用CIS RAM,可以在安全专业人员、企业管理人员、执法当局和监管机构之间,使用一种对各方都有意义的共同语言来沟通网络安全风险问题,实现了共同基础。
CIS RAM 符合现有的信息安全风险评估标准和方法,如ISO/IEC 27005:2011、NIST特别出版物 800-30和风险信息技术(Risk Information Technology,ISACA),并对这些方法形成了补充。
一方面,通过遵循符合这些标准和方法,CIS RAM 确保用户能按照已建立的(或权威的)实践过程进行风险评估。
另一方面,通过对这些标准和方法构成补充关系,CIS RAM能帮助用户使用法律界和合规监管机构用于确定企业是否已作为“理性的人”履行了“应有注意”和“合理保障”的概念去估计风险的严重程度和保障措施的有效性。
此外,CIS RAM还支持基于美国法律的监管机构、律师和法律界通常使用的关于“合理性”的成本效益分析定义。
CIS设计并设置了CIS控制措施的优先级,以便它们能够预防或检测网络安全事件的最常见原因,有如由一班信息安全专业人员所组成的社区做出的判断一样。因此,CIS控制措施的核心是对风险因素的考虑。
由于风险因企业而异,CIS RAM将帮助企业实施合理和实用的CIS控制措施,从而使企业能利用好自己的资源,合理地处理自己特有的风险因素。
首先要关注的是CIS RAM CORE,核心文档。核心文档是CIS RAM所有文件的基础,对希望理解CIS RAM原理和实践的个人和企业都相当有用。CIS RAM 核心文档也适用于有风险评估经验,能够快速把CIS RAM的原则和实践采用到自己所处的环境中的企业或者网络安全从业人员。
CIS RAM 系列文档中的补充文件用于演示进行风险评估的方法。配合CIS控制措施的实现组(Implementation Group)的定义,三个实现组(IG1、IG2和IG3)都有一个对应的文档作为CIS RAM 系列文档的对应定位。
概括地表述:
1、CIS RAM 同时使用定性和定量模型来估计对风险的预期和风险造成的影响
2、可以将CIS RAM的原则和实践与其他风险评估方法相结合去进一步发挥作用,如信息风险因素分析(Factor Analysis of Information Risk,FAIR)和应用信息经济学(Applied Information Economics,AIE)等。关于AIE,可参考:
https://hubbardresearch.com/about/applied-information-economics/
3、衡量风险,并向非技术底蕴的高级管理人员报告风险情况。
另外,CIS RAM系列文档中的每一个文档都有帮助用户完成其风险评估的材料,其中包括有示例、模板、练习、背景材料以及对风险分析技术的进一步指导。
CIS RAM 核心文档首先说明了,在风险评估过程中,用户需要使用专业的判断。专业性有助于:
• 确定评估的范围
• 定义企业的使命、目标(运营和财务)和义务
• 决定将评估哪些风险
• 识别漏洞和可预见的威胁
• 估计预期和影响
• 推荐风险处理保障措施
CIS RAM 核心文档使用“谨慎义务风险分析标准”(Duty of Care Risk Analysis Standard,DoCRA)作为其基础。DoCRA代表了执法当局、监管机构和信息安全人员所熟悉的风险评估方法,为这些不同的专业创建“通用翻译器”。
DoCRA标准包括三项原则和10项实践,指导风险评估人员为他们的企业开发“通用翻译器”。三项原则陈述了符合监管和执法期望的风险评估的特点。10项实践描述了使这三项原则得以实现的风险评估过程的特性。DoCRA具体可参见:
DoCRA描述的原则和实践如下:
原则
1、风险分析必须考虑到可能受到风险损害的各方的利益。
2、风险必须降低到不需要向任何一方提供补救的水平。
3、保障措施不能比它们所防范的风险更繁重。
实践
1、风险分析要考虑遭受到的威胁会产生巨大影响的可能性。
2、公差阈值要用简单的语言表示,并应用于风险分析中的每个因素。
3、影响和可能性的评分应有定性的组成部分,简明地说明有关各方、执法当局和评估组织的关注点。
4、影响和可能性的评分是通过定量计算得出的,该定量计算使得可以对所有经评估的风险、保障措施对应风险接受标准进行相互比较。
5、影响定义确保对任何一方的损害程度均与对任何其它一方的损害程度是相等的。
6、影响定义应在所有各方都可以接受的幅度和不能接受的幅度之间有明确的界限。
7、影响定义应阐述:通过组织的任务或功能去解释为什么组织或他人会遭受风险;组织的自私目标;以及组织保护他人免受伤害的义务。
8、风险分析应依赖于一种和谨慎程度有关的标准来分析当前使用的控制措施和建议的保障措施。
9、风险由主题专家进行分析,他们使用证据来估计风险和保障措施。
10、风险评估不能估计所有可预见的风险。因此需要不时地重新进行风险评估,以便识别和处理更多的风险。
本站微信订阅号:
本页网址二维码: