查看原文
其他

新版《信息安全风险评估方法》的几大变化

宇宸 FreeBuf安全咨询 2022-10-03

作者 | 宇宸

编 | Yanni


今年4月,国家市场监督管理总局(国家标准化管理委员会)批准245项推荐性国家标准和2项国家标准修改单,与信息安全相关标准共10项,均在2022年11月1日开始实施,其中包括《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022),代替《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)版标准,并于2022年11月1日正式实施。


经过15年时间,和2007版相比,新版《信息安全风险评估方法》(以下简称“风评”)有了较大的变化。本人旨在说明新版风评中的一些主要变化,并根据标准梳理出一套新版风险值的方法,供大家参考。


 | 风险要素关系 |

新版风评简化了要素关系,只保留了资产、脆弱性、威胁、安全措施和风险要素,本以为这将一定程度减少风评整体工作量,但实际上并没有,反而增加了很多需要计算的过程,后文将会进行分析。


 | 风险分析原理 |


a)对资产进行识别,并对资产的价值进行赋值;
b)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
c)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
d)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
e)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失;
f) 根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
a) 根据威胁的来源、种类、动机等,并结合威胁相关安全事件、日志等历史数据统计,确定威胁的能力和频率;
b) 根据脆弱性访问路径、触发要求等,以及已实施的安全措施及其有效性确定脆弱性被利用难易程度;
c)确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度;
d) 根据威胁的能力和频率,结合脆弱性被利用难易程度,确定安全事件发生的可能性;
e) 根据资产在发展规划中所处的地位和资产的属性,确定资产价值;
f) 根据影响程度和资产价值,确定安全事件发生后对评估对象造成的损失;
g) 根据安全事件发生的可能性以及安全事件造成的损失,确定评估对象的风险值;
h) 依据风险评价准则,确定风险等级,用于风险决策。
风险分析原理方面,新版风评的定义中没有强调赋值,更重视要素识别和判定的科学性。但最终风险分析过程与07版比较相似(下图),只是增加了一些计算的细节,在风险分析章节中会具体解释。但要注意,新版风评中对资产进行了层级划分,包括业务资产、系统资产、系统组件和单元资产三层。


 | 风险评估流程 |


同样的,新版风评也简化了评估流程,如下图对比可见(这里借用一下威努特推文中的图)。但实际上只是简化了流程图,实际工作并没有明显减少,新版风评最后多了一个风险评价的过程,可参考风险评价章节的内容。

新版风评增加了业务识别和业务风险值计算两个过程,这是本次标准中的一个变化。该过程包括评估准备(确定目标、范围、调研、评价准则、方案等)、风险识别(资产、威胁、脆弱性、已有安全措施识别)、风险分析(计算风险值)、风险评价(确定风险等级)等阶段。


在资产识别过程中,老版风评中给出了明确的分类,包括数据、软件、硬件、服务、人员、其他等6个大类。而新版风评则以业务资产为核心,向下细分出系统资产、系统组件和单元资产三个层次,如下图。

 

| 业务识别 |


新版风评新增业务识别(包括系统资产、系统组件和单元资产识别)过程,并将其定义为风险评估的关键环节。内容包括业务的属性、定位、完整性和关联性识别;主要识别业务的功能、对象、流程和范围等。新版风评给出了业务识别内容表,如下图。

 | 业务赋值 |


识别出业务后,应对业务重要性进行赋值,新版风评给出了赋值依据,如下图。

这里需要注意,新版风评采用业务重要性“就高”调整原则,即被评估业务与高于其重要性赋值的业务具有紧密关联(会对更重要的关联业务产生影响),则该业务重要性赋值在原赋值基础上进行调整,附件表D.1给出了赋值调整的方法。

 | 系统资产识别 |


确定业务后,需进一步识别系统资产,其包括信息系统、数据资源、通信网络等,具体分类见下图。

在确定系统资产后,还应确定该业务所承载的类别,这里可能是由于近年来监管对数据安全的重视日渐趋严,因此将数据安全生命周期纳入评估过程,最后,还应梳理系统资产与业务和资产的关联关系,以最终得出其受到损害时所影响的业务环节以及连带影响。(但和最终风险值计算的关联,标准中没有明确说明)

 

| 系统资产赋值 |


系统资产识别后,需依据其保密性、完整性和可用性进行赋值,结合业务承载性、业务重要性,进行综合计算。赋值依据可参考新版风评附录D。


 | 系统组件和单元资产识别 |


这一步其实就是老版风评中的资产识别过程,新版风评将其划分为三个层面,由上而下进行了细分,下图中给出了新老版风评资产类别的对比。


 | 系统组件和单元资产赋值 |


识别系统组件和单元资产后,需依据其保密性、完整性和可用性进行赋值,进行综合计算,进行价值等级划分。赋值依据可参考新版风评附录D。


 | 威胁识别 |


新版风评对威胁识别内容进行了重新描述,包括威胁的来源、主体、种类、动机、时机和频率,并在附件E中给出6个因素下的威胁种类(请自行参考标准原文)。相较于老版风评的威胁来源和表现形式来说,这阶段工作的复杂度有所提升。下图为新版风评附件表E.5,可作为具体威胁识别的参考列表。

 | 威胁赋值 |


新版风评威胁赋值有所变化,老版风评威胁赋值应考虑三个方面:


a) 以往安全事件报告中出现过的威胁及其频率的统计;

b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;

c) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。

而新版风评赋值要考虑四个方面:


a) 以往安全事件报告中出现过的威胁及其频率统计;

b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率统计;

c) 实际环境中监测发现的威胁及其频率统计

d) 近期公开发布的社会或特定行业威胁及其频率统计,以及发布的威胁预警。

新版风评这个威胁赋值表其实参考意义不大,即使结合附件E的赋值表也无法直接确定等级,不如老版表(给出具体评判依据),更多需要主观判断来确定威胁等级。个人认为,可以结合07版表8和22版赋值方法,总结适合自身的赋值标准。


 | 已有安全措施识别 |


安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,保护性安全措施可以减少安全事件发生后对组织或系统造成的影响。在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。


此处安全措施的作用是,当为脆弱性赋值时作为修正,如本身脆弱性A等级为4级,但因为采取安全措施A和安全措施B,可以提高脆弱性被利用的难度,并且降低影响范围,那么可以将脆弱性A等级降为3级。


 | 脆弱性识别 |


脆弱性识别方面,没有太大变化,包括脆弱性识别内容表依旧沿用了07版的表格。

个人认为,脆弱性应该与系统组件和单元资产关联,从而可以确定其与系统资产和业务的关联。


 | 脆弱性赋值 |


这里要注意一点,就是脆弱性赋值与以往有所不同,老版风评仅根据脆弱性严重程度进行赋值即可,而新版风评中要根据脆弱性利用难易程度和影响程度分别赋值(见下图),个人认为应该是最后取平均值作为脆弱性的最终赋值。


 | 风险分析 |


风险分析就是根据资产、威胁、脆弱性赋值计算风险值的过程,新版和老版风评计算原理没有太多变化,只不过新版风评新增了多个风险要素,因此计算步骤增加。

应在风险识别基础上开展风险分析,风险分析应:


a) 根据威胁的能力和频率,以及脆弱性被利用难易程度,计算安全事件发生的可能性;

b) 根据安全事件造成的影响程度和资产价值,计算安全事件发生后对评估对象造成的损失;

c) 根据安全事件发生的可能性以及安全事件发生后造成的损失,计算系统资产面临的风险值;

d) 根据业务所涵盖的系统资产风险值综合计算得出业务风险值。


具体风险计算过程见附录F。


具体计算方法依旧沿用老版风评,分为矩阵法和相乘法,目前国内用的较多的是相乘法,可以使用以下计算方式之一:



以上是07版风评相乘法计算风险值的过程。


接下来说一下新版风险评估风险值计算,根据国标给出的流程来推测,仅代表个人观点,供各位参考。


首先,要梳理一下新风评中涉及的要素,如下表

风险要素
赋值考虑因素
业务(资产)识别
业务重要性
业务重要性赋值调整(紧密关联业务重要性)
系统资产识别
保密性、完整性和可用性赋值
业务承载性和业务重要性赋值
系统组件和单元资产识别
保密性、完整性和可用性赋值
威胁识别
威胁赋值
已有安全措施识别
确定有效性
脆弱性识别
利用难易程度赋值
影响程度赋值
安全事件发生的可能性
f(威胁,脆弱性利用难易度)
安全事件发生后的损失
f(系统组件和单元资产,脆弱性影响程度)
系统资产风险值
f(安全事件发生的可能性、安全事件发生后的损失)
业务风险值(平均值或相乘法)
f(统资产风险值1,统资产风险值2,…,统资产风险值n)

根据新风评标准附录F的解释,风险值计算复杂度增加,总结一下过程就是:


(1)识别业务B1,并根据其重要性赋值,设B1=2,B2=3,确定B1和B2业务存在紧密关联,经调整后,B1=B2=3;


(2)识别系统资产A以及其对应的系统组件和单元资产C1、C2,…,并对组件和单元资产赋值Vc1,Vc2,赋值依据是资产的保密性、完整性、可用性取平均值;


(3)A’的价值等级=f(Vc1,Vc2,业务承载性等级),取平均值;根据业务重要性,调整系统资产A的最终等级;


PS:这里标准中没有给出明确的计算方式,个人认为也可以这样,=f(Vc1,Vc2,业务承载性等级,业务重要性),取平均值,也是一种方式,但相对上述计算方法来说,可能就没那么规范了,大家可自由发挥,只要有科学性和依据就可以。


(4)识别威胁T,确定威胁等级,设T=3;


(5)已有安全措施识别,这里需要大量主观判断,较难量化,用于降低脆弱性被利用的可能以及影响程度的等级;


(6)识别脆弱性A,需要与威胁和资产(组件和单元)进行关联,确定脆弱性利用难易程度(Av)和影响程度(Di)赋值,设Av=3,Di=4;


(7)计算安全事件发生的可能性L=(T,Av),利用相乘法得L=3;

PS:如果这里采取了安全措施S1,可以一定程度降Av,则Av降为2级,L=2.45。


(8)计算安全事件发生后的损失F=(Vc1,Di),设Vc1=2,利用相乘法得F=2.83;


9)计算系统资产风险值R1=(L,F),得R1=2.63;


PS:此处计算标准中依旧没有明确说明,因为以上计算的都是系统组件和单元资产的风险值,并未对系统资产进行计算,而这里突然要计算系统资产风险,其中少了一个步骤。个人认为,需要补充一个计算过程,就是在计算全部基于系统组件和单元资产的风险值R后,要对系统关联的全部组件和单元资产取平均值,作为系统资产A的风险值,这样才能继续计算业务风险值。


(10)计算业务风险值Rb=(R1,R2,…,Rn),取平均值。


看完文字可能还是有点难理解,用图片再梳理一下这个过程,可能会更清晰一些。

至此,整个风险评估计算过程结束。可以看出,相较老版风评的风险值计算要复杂一些,不过这是标准建议的方法,不是绝对的,大家也可以提出自己的计算原理去验证是否科学。毕竟,真正实施要以实用、快速、有效作为目标,太过繁琐可能并不利于实践。


 | 风险评价 |


最后是风险评价,07版风评在风险分析计算出风险值后,即风险评估计算过程结束,而新版风评新增了风险评价这一环节,要根据给定的准则对系统资产风险和业务风险计算结果进行等级处理(即划分等级),并给出了划分依据的参考示例(见新版风评表11和表12)。


至于其他部分,如沟通与协商、风评文档记录、风评文档部分可自行参考新版风评标准,这里不再赘述。

精彩推荐


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存