CIS RAM 系列#4:实施防护措施、处理风险和总结
继续介绍CIS RAM风险评估方法的核心过程。整个过程接下来进行到实施防护措施和处理风险,并且就此完成了整个基本的评估过程。
笔者:国际认证信息系统审计师、软考系统分析师
但凡风险被评估为不可接受的高分值,就必须通过改进CIS防护措施,或通过应用新的CIS防护措施,来降低风险发生的可能性。
例如,如果一个软件开发团队没有经过良好的培训,开发出了易受攻击的web应用程序,他们可以通过改进CIS防护措施16.9的实施内容,加强对团队的培训来进行改善。或者,他们也可以通过部署一套web应用程序防火墙,实现引入另一个CIS防护措施,即CIS防护措施13.10。
每个企业和环境都需要选择使用哪些CIS防护措施来应对风险,但也需要评估被推荐的CIS防护措施,确定它们是否能有效地降低风险,同时不会产生新的、不可接受的风险。这一步骤是通过使用与评估风险时相同的风险评估准则,去评估给出的建议而实现的。
风险评估人员必须小心,不要认为新的CIS防护措施就一定会降低所有风险。虽然改进的控制措施或新的防护措施可能会降低某个领域的风险(传统上被认为是“剩余风险”),但它们也可能在其他领域产生风险。这就是为什么CIS RAM使用的是“防护措施风险”而不是“剩余风险”这个术语。
会导致增加风险的防护措施的常见例子有:降低生产力的新安全控制措施、鼓励人员寻求不安全的绕过办法、对关键情况下(如临床护理、应急响应或监控易失性的系统或流程)需要的信息的严格访问控制、阻碍协作和研究的数据保护行为、阻碍了内容监控的加密行为、以及实施起来过于昂贵的控制措施。以上例子按我的理解是:
-
降低生产力的新安全控制措施:导致会在其它方面补充流失的生产力,进而产生新的安全风险;
-
鼓励人员寻求不安全的绕过办法:投机取巧必然产生新的安全风险
-
对关键情况下(如临床护理、应急响应或监控易失性的系统或流程)需要的信息的严格访问控制:过于严格会导致效率降低甚至数据丢失,这也是风险。
-
阻碍协作和研究的数据保护行为:过于严苛的保护措施容易导致人为故意的投机取巧行为,进而形成风险。
-
阻碍了内容监控的加密行为:加密后不能监控数据流,会导致工作秘密流失而不自知的风险。
-
实施起来过于昂贵的控制措施:实施失败就是一种风险。
以上这些都可以被认为是可能损害企业的使命、业务目标和责任义务的“防护措施风险”。虽然企业选择用于处理风险的所有CIS控制措施,其本身都是良好的做法,但是,安全从业人员应按照降低风险的同时不构成新的风险的目标去实施控制措施。
对被建议的CIS防护措施的评估,与风险的评估过程类似,如下表所示。评估风险和建议的风险注册登记示例,可以在每个CIS RAM模块(IG1、IG2和IG3)所提供的工作簿中找到,但每个模块评估防护措施风险的方式存在差异。
| 风险处理 | 意义 |
| 风险处理选项 | 关于企业是否会接受或降低风险的声明。 |
| 风险处理防护措施 | 在CIS控制措施中发布的CIS防护措施的唯一性标识符。 |
| 风险处理防护措施标题 | CIS控制措施中发布的CIS防护措施的标题。 |
| 风险处理防护措施说明 | CIS控制措施中发布的CIS防护措施的描述。 |
| 企业组织的所计划的实施 | 简要说明如何在企业中实施和操作CIS防护措施。 |
| 风险处理防护措施成熟度评分 | “1”到“5”分表示CIS防护措施对威胁的有效性在计划上的可靠性。 |
| 风险处理防护措施预期评分 | 自动计算的值,表示在计划的CIS防护措施内,相关威胁导致网络安全事件的常见程度。 |
| 风险处理防护措施对使命的影响 | 成功的威胁对企业使命造成的伤害程度。 |
| 风险处理防护措施对运营目标的影响 | 成功的威胁对企业运营目标造成的伤害程度。 |
| 风险处理防护措施对财务目标的影响 | 成功的威胁对企业财务目标造成的伤害程度。 |
| 风险处理防护措施对义务的影响 | 成功的威胁对企业责任义务造成的伤害程度。 |
| 风险处理防护措施的风险评分 | 对于计划实施的CIS防护措施,预期评分值与以上四项(或三项,排除财务目标)影响中最高的评分值的乘积。 |
| 合理且可接受 | 确定计划实施的CIS防护措施是否合理和可接受。 |
| 风险处理防护措施成本 | 对实施CIS防护措施所需要的成本的估计。 |
| 实施季度 | 具体哪一个季度能完成CIS防护措施的实施。 |
| 实施年度 | 具体哪一年能完成对CIS防护措施的实施。 |
在防护措施风险的可接受性方面,风险评估人员必须考虑以下事项:
1、首先如原则2所述,“风险必须降低到不需要对任何一方进行补救的水平。”风险评估者通过承认“防护措施风险的可接受性”来自动遵守这一原则。
2、其次还要回顾原则3,“防护措施不能比它们所防范的风险更繁重。”风险评估人员可以通过查看防护措施风险是否高于原始风险,来确定推荐的防护措施是否过于繁重。
一般来说,如果防护措施风险评分是可接受的低水平,那么可以默认它是对不可接受的高风险的合理处理。然而,对“合理的”风险处理的评估在两个重要的方面仍然有用:
1、选择降低可接受风险的企业应知道防护措施风险是否高于原始风险,即使两者都是可接受的低风险。为什么要通过另一个更糟糕的情况来补救一个可接受的情况呢?
2、如果顾客、客户、执法当局或监管机构需要特定的防护措施,企业可以对这些防护措施进行建模,以确定它们是否会造成不合理的高负担。通过这样的分析,可以提供令人信服的说明,即该要求将增加风险。
CIS RAM提供了一种网络安全风险分析模式,帮助企业结合商业、执法和监管当局以及信息安全从业者的利益。该模式通过提供对可能受到风险影响的各方的利益给予同等的关注和关心的方式,实现了达成共识的基础。
使用CIS RAM的企业可以基于预期,制定建立合理的安全防护环境的计划。即使CIS防护措施没有全面实施于所有信息资产。
CIS RAM用户可以通过阅读本文档、阅读CIS RAM系列中的其他文档以及使用每个CIS RAM模块(IG1、IG2和IG3)提供的模板和示例,对基于DoCRA的风险评估方式产生足够的理解。
CIS RAM Core核心文档中描述的概念和过程对许多用户来说可能是崭新的和具有挑战性的。CIS RAM核心文档用户的下一步应该是阅读CIS RAM家族中的其他文档,以了解如何进行威胁建模、估计预期和影响、使用定性和定量方法,并将CIS RAM与他们可能已经使用的其他风险评估方法保持一致。
完整的CIS RAM系列文档提供了许多示例、练习和背景材料,以帮助用户熟悉该方法背后的推理和过程。当CIS RAM用户成为网络安全从业者时,他们将被要求解释为什么CIS RAM是一种合适的风险评估方法。CIS RAM从业者应该能够基于业务、执法和监管的原则去支持该方法,以便他们能够向利益相关方保证,他们的利益得到了公平的解决。
本站微信订阅号:
本页网址二维码: