CIS RAM 系列#3:制定风险接受准则、风险建模和评估风险
CIS RAM风险评估方法的核心过程是循序渐进的。在对“影响”和“预期”进行了定义后,接下来是要制定风险接受准则、风险建模和评估风险。
笔者:国际认证信息系统审计师、软考系统分析师
通过使用通用的术语去描述各种影响类型和预期情况之后,企业组织就具备了接受风险的基础。通过选择想要预防的最小预期和影响,企业组织就能相应地定义能接受的风险水平。
例如,一个企业仅能够对“预期但不常见”的风险(预期阈值是“3”)进行预防投资,但这就会可能导致产生不可接受的高影响(影响阈值是“3”或以上),因此,该企业可接受风险的准则可以这样表述:
影响阈值 × 预期阈值 = 风险阈值
代入:3 × 3 = 9
因此,可接受风险:< 9
该企业也可以定量地表达同样的风险接受准则,假设其可接受的影响阈值是,企业使命:“价值损失的12.2%”、业务目标:“10,000美元”,责任义务:“99人”,那么:
| 影响 | 预期 | |
| 企业使命影响阈值 | 价值损失的12.2% | < 20% / 年 |
| 企业业务目标影响阈值 | 10,000美元 | < 20% / 年 |
| 企业责任义务影响阈值 | 99人 | < 20% / 年 |
有了明确定义的分析和接受风险的准则,风险评估者可以使用一致的评分和易于沟通、易于计算和易于比较的简单语言陈述来估计风险。
在CIS RAM中,企业除了可以对应IG2和IG3的层次自主选择其风险接受准则外,IG1也提供了相对9分的最高情况下“低于6分”的默认风险接受标准。
风险建模,是通过把信息资产与保护它们的CIS防护措施、可能存在的漏洞以及可能危及信息资产的威胁等三种因素相关联起来进行的。
CIS RAM Core核心文档描述的是分析风险时的组成步骤,而不管这些步骤的顺序如何。其他的CIS RAM文档描述了建模风险的不同方法,
1、标识信息资产或资产类别,例如特定的防火墙或一组管理方式相似的防火墙、应用程序或一组相同配置的服务器等。
2、识别可能危及这些信息资产或资产类别的机密性、完整性或可用性的威胁。
3、列出能够保护信息资产或资产类别免受可预见威胁的CIS防护措施。
4、说明CIS防护措施是否在环境中实施,以及如何实施。
5、考虑可能存在的与每个CIS防护措施和资产类别相关的任何漏洞。风险评估者应该注意考虑可能出现的问题,即使安全措施已经完全实施。比如管理方面的错误、新出现的威胁、故意产生的伤害、存在故障的系统以及技能或资源不足,这些都是CIS防护措施已完全实施后仍会存在的常见漏洞。
| 风险分析定义 | 内容 |
| CIS防护措施 | 对应于CIS控制措施v7.1或v8中的CIS防护措施。 |
| 描述 | 描述在CIS控制措施中给定的CIS防护措施。 |
| 信息资产 | 说明正在评估的信息资产或资产类别。 |
| 威胁 | 描述一种可能危及资产安全性的操作。 |
| 保护 | 描述CIS防护措施是否能够以及如何应用于该资产。 |
| 漏洞 | 说明任何可能被威胁利用的漏洞。 |
在此时,风险评估员已经能了解到应受CIS控制措施保护的信息资产的安全整体情况。某些控制措施会揭示出可能容许可预见的威胁危及资产的漏洞。
正因为企业需要知道风险的可接受性和相对重要性,风险评估员现在已经能够估计出这些风险的预期性和影响性。
由于风险评估员已经定义了影响准则和预期准则,因此他们可以根据定义中的描述选择合适的预期值和影响值。
对许多风险评估者来说,评估预期和影响是有挑战性的。虽然法律法规不要求“准确”的风险预测,但企业最好能得到合理的估计。在CIS RAM系列文件的附加文件中,提供了估计预期和影响的指南。
| 风险分析 | 意义 |
| CIS防护措施编号 | CIS控制措施中,CIS防护措施的唯一性的标识。 |
| CIS防护措施标题 | CIS控制措施中,CIS防护措施的标题。 |
| 实施组(IG) | CIS控制措施中定义的实施组(IG1、IG2、IG3)。 |
| 资产类别 | CIS控制措施中定义的资产类别。 |
| 资产名称 | 可选的表项,用于输入单个资产的名称,区分它与其他资产类别的风险。 |
| 我们的实施 | 简要描述已经在企业中应用的CIS防护措施是如何实施和运作的。 |
| 实施的证据 | 给出证明,表明CIS防护措施如何在企业中实施和运作。 |
| 漏洞 | 用于记录具有特定资产的漏洞的可选表项。 |
| 防护措施成熟度 | 得分为“1”到“5”,表示CIS防护措施有效性应对威胁的可靠性。 |
| VCDB索引 | 自动计算的值,表示相关威胁作为网络安全事件原因的常见程度。 |
| 预期评分 | 自动计算的值,表示在当前实施的CIS防护措施下,网络安全事件的发生率。 |
| 对企业使命的影响 | 成功的威胁会对企业的使命造成的损害程度。 |
| 对企业业务目标的影响 | 成功的威胁会对企业的业务目标造成的损害程度。 |
| 对企业财务目标的影响 | 成功的威胁会对企业的财务目标造成的损害程度。 |
| 对企业义务的影响 | 成功的威胁会对企业的义务造成的损害程度。 |
| 风险评分 | 预期值与上面四项影响(或三项影响,如果不使用对企业财务目标的影响)中的最高值的乘积。 |
| 风险水平 | 对风险进行可忽略的、可接受的、不可接受的、高度影响的或灾难性的评估结果。 |
风险可接受性是自动确定的,因为风险评估准则在评估之前就已经定义了。低于风险接受准则的分数可自动记录为被企业管理层接受,不需要作出任何特别的决定。
本站微信订阅号:
本页网址二维码: