GB-T 20984-2022 信息安全风险评估方法
写在前面
本文是对国标 20984 2022版的学习总结,讲解视频可到b站或思度咨询 视频号查看
20984 框架图
信息安全风险评估是信息安全保障工作的重要内容之一,与信息系统等级保护、信息安全检查、信息安全建设等工作紧密相关,主要包括风险发现、分析、评价等内容。做等级保护、iso27001 都可以利用出具风险评估报告,证明组织目前风险状况。
有人说: 企业安全建设的本质就是做风险管理,目标将企业的安全风险控制在可以接受的范围内,而风险评估是风险管理的核心环节。
20984是我国所有行业开展信息安全风险评估的根本性指导依据,在20984 由 2007版 变更为 2022版之际,思度安全团队组织对20984-2022版进行学习,并将相关内容分享给大家,希望可以助力大家了解风险评估的基础知识。
我们来看一下 20984-2022国标 信息安全风险评估方法 这个标准的主要内容,包括附录在内一共是6个大的章节,
- 1范围:介绍本标准的核心内容
- 2.规范性引用文件,本标准参考了哪些标准
- 3.术语和定义 缩略词 主要是给出了标准中可能存在歧义或理解困难的词汇
- 4.风险评估框架及流程 一个整体的介绍,包括风险要素关系、风险分析原理、风险评估流程
- 5.风险评估实施具体内容,风险评估准备、风险识别、风险分析、风险评价、沟通与协商、风险评估文档记录 等
- 6.附录 一些辅助性的内容,评估对象生命周期各阶段的风险评估、风险评估的工作形式、风险评估的工具、资产识别、威胁识别、风险计算示例等
下面我们将对整个20984国家标准学习的记录
范围
本标准 描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
本标准适用于各类组织开展信息安全风险评估工作,适合于各行各业(云移物工大)场景的风险评估,是一个通用的信息安全风险评估指南。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于 本文件。
GB/T 25069 信息安全技术 术语 GB/T 33132—2016 信息安全技术 信息安全风险处理实施指南
国家标准之间有很多相互引用,这个需要重点关注,必要时在阅读标准前,需要了解被引用的标准。熟悉背景 方便理解当前标准
术语 定义 缩略语
术语定义非常重要 是在文档范围内的对某些有争议词汇的约定,防止出现理解上的歧义
-
信息安全风险 information security risk
特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。 -
风险评估 risk assessment
风险识别、风险分析和风险评价的整个过程。 -
组织 organization 具有自身的职责、权威和关系以实现其目标的个人或集体。
-
业务 business 组织为实现某项发展规划而开展的运营活动。
-
安全措施 security control
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规 程和机制。 -
信息系统生命周期 information system lifecycle
信息系统的各个生命阶段,包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。
风险评估框架和流程
风险要素关系
开展风险评估时,基本要素之间的关系如下∶
- 风险要素的核心是资产,而资产存在脆弱性;
- 安全措施的实施通过降低资产脆弱性被利用难易程度.抵御外部威胁.以实现对资产的保护
- 威胁通过利用资产存在的脆弱性导致风险;
- 风险转化成安全事件后,会对资产的运行状态产生影响。
- 风险分析时,应综合考虑资产、脆弱性、威胁和安全措施等基本因素。
风险分析原理
风险分析原理如下∶
- 根据威胁的来源、种类、动机等,并结合威胁相关安全事件 日志等历史数据统计,确定威胁的 能力和频率;
-
根据脆弱性访问路径、触发要求等,以及已实施的安全措施及其有效性确定脆弱性被利用难易 程度;
-
确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度;
-
根据威胁的能力和频率,结合脆弱性被利用难易程度,确定安全事件发生的可能性;
-
根据资产在发展规划中所处的地位和资产的属性,确定资产价值
- 根据影响程度和资产价值,确定安全事件发生后对评估对象造成的损失;
- 根据安全事件发生的可能性以及安全事件造成的损失,确定评估对象的风险值
- 依据风险评价准则,确定风险等级用于风险决策。
风险评估流程
评估流程 比老版本(2007版) 精简了很多,便于理解
- 评估准备,此阶段应包括∶
1.确定风险评估的目标;
2.确定风险评估的对象、范围和边界;
3.组建评估团队;
4.开展前期调研;
5.确定评估依据
6.建立风险评价准则
7.制定评估方案。
组织应形成完整的风险评估实施方案,并获得组织最高管理者的支持和批准。
- 风险识别,此阶段应包括∶
1.资产识别
2.威胁识别
3.已有安全措施识别
4.脆弱性识别
- 风险分析,此阶段依据识别的结果计算得到风险值。
- 风险评价,此阶段依据风险评价准则确定风险等级。
沟通与协商和评估过程文档管理贯穿于整个风险评估过程。风险评估工作是持续性的活动,当评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时,应重新开展风险评估。
风险评估的结果能够为风险处理提供决策支撑,风险处理是指对风险进行处理的一系列活动,如接受风险、规避风险、转移风险、降低风险等
风险评估实施
风险评估准备
组织实施风险评估是一种战略性的考虑.其结果将受到组织规划、业务、业务流程、安全需求、系统 规模和结构等方面的影响。因此,在风险评估实施前应准备以下工作:
组织应在考虑国家法律法规要求及行业背景和特点的基础上,建立风险评价准则,以实现对风险的控制与管理。
GB/T 20984——2022 风险评价准则应满足以下要求:
- 符合组织的安全策略或安全需求;
- 满足利益相关方的期望
- 符合组织业务价值。
建立风险评价准则的目的包括但不限于:
- 对风险评估的结果进行等级化处理;
- 能实现对不同风险的直观比较
- 能确定组织后期的风险控制策略。
风险识别 资产识别
资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产。
风险识别 业务识别
- 业务识别内容包括业务 的属性、定位、完整性和关联性识别。
- 业务识别主要识别业务的功能、对象、流程和范围等。
- 业务的定位 主要识别业务在发展规划中的地位。
- 业务的完整性主要识别其为独立业务或非独立业务。
- 业务的关联 性识别主要识别与其他业务之间的关系。
- 业务识别数据应来自熟悉组织业务结构的业务人员或管理人员。
- 业务识别既可通过访谈、文档查 阅、资料查阅
业务赋值 应根据业务的重要程度进行等级划分,并对其重要性进行赋值。
风险识别 系统资产识别
系统资产识别包括资产分类和业务承载性识别两个方面。系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度。
系统资产价值应依据资产的保密性、完整性和可用性赋值;结合业务承载性、业务重要性∶进行综合 计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要
资产识别 系统组件和单元资产识别
系统组件和单元资产应分类识别,系统组件和单元资产分类包括系统组件、系统单元、人力资源和 其他资产
系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算,并设定相应的评级 方法进行价值等级划分,等级越高表示资产越重要
风险识别 威胁识别
威胁频率应根据经验和有关的统计数据来进行判断,综合考虑以下四个方面,形成特定评估环境中 各种威胁出现的频率∶
- 以往安全事件报告中出现过的威胁及其频率统计∶
- 实际环境中通过检测工具以及各种日志发现的威胁及其频率统计∶
- 实际环境中监测发现的威胁及其频率统计;
- 近期公开发布的社会或特定行业威胁及其频率统计,以及发布的威胁预警
老版本将威胁分为11类 可威胁分为软硬件故障、物理 环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类。 这个其实是可以适用的
风险识别 已有安全措施识别
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,保护性安全措施可以减少安全事件发生后对组织或系统造成的影响。
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。
已有安全措施识别 放到了 脆弱性识别的前面 与旧版国标 有了区别
风险识别 脆弱性识别
脆弱性识别可以以资产为核心;针对每一项需要保护的资产,识别可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。
脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。
对应用在不同环境中的相同的脆弱性,其影响程度是不同的,评估方应从组织安全策略的角度考虑,判断资产的脆弱性被利用难易程度及其影响程度。同时.应识别信息系统所采用的协议、应用流程的完备与否、 与其他网络的互联等。
脆弱性赋值时包括两部分,一部分是脆弱性被利用难易程度赋值,一部分是影响程度赋值。
脆弱性被利用难易程度赋值需要综合考虑已有安全措施的作用。一般来说,安全措施的使用将降低系统技术或管理上脆弱性被利用难易程度,但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性。而是一类具体措施的集合。
依据脆弱性和已有安全措施识别结果,得出脆弱性被利用难易程度,并进行等级化处理,不同的等级代表脆弱性被利用难易程度高低。等级数值越大,脆弱性越容易被利用。
影响程度赋值是指脆弱性被威胁利用导致安全事件发生后对资产价值所造成影响的轻重程度分析并赋值的过程。
识别和分析资产可能受到的影响时,需要考虑受影响资产的层面。可从业务层面、系统层面、系统组件和单元三个层面进行分析。
影响程度赋值需要综合考虑安全事件对资产保密性、完整性和可用性的影响。
风险分析
组织应在风险识别基础上开展风险分析,风险分析应∶
- 根据威胁的能力和频率,以及脆弱性被利用难易程度,计算安全事件发生的可能性;
- 根据安全事件造成的影响程度和资产价值,计算安全事件发生后对评估对象造成的损失;
- 根据安全事件发生的可能性以及安全事件发生后造成的损失,计算系统资产面临的风险值;
- 根据业务所涵盖的系统资产风险值综合计算得出业务风险值。
风险计算
风险评价
根据风险评价准则对系统资产风险计算结果进行等级处理
业务风险评价
在进行业务风险评价时,可从社会影响和组织影响两个层面进行分析。社会影响涵盖国家安全,社会秩序,公共利益,公民、法人和其他组织的合法权益等方面∶组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面
沟通与协商
风险评估实施团队应在风险评估过程中与内部相关方和外部相关方保持沟通并对沟通内容子以记录,沟通的内容应包括∶
- 为理解风险及相关问题和决策而就风险及其相关因素相互交流信息和意见∶
- 相关方已表达的对风险事件的关注、意见以及相应的反应
风险评估文档记录
-
风险评估方案∶阐述风险评估目标、范围、人员、评估方法、评估结果的形式和实施进度等
-
资产识别清单∶根据组织所确定的资产分类方法进行资产识别,形成资产识别清单(包括业务资产、系统资产、系统组件和单元资产),明确资产的责任人和责任部门
-
重要资产清单;根据资产识别和赋值的结果∶形成重要资产列表∶包括重要资产名称、描述、类型、重要程度、责任人、责任部门等
-
威胁列表∶根据威胁识别和赋值的结果,形成威胁列表,包括威胁来源、种类、威胁行为、能力和频率等
-
已有安全措施列表;对已采取的安全措施进行识别并形成已有安全措施列表;包括已有安全措施名称、类型、功能描述及实施效果等;
-
脆弱性列表∶根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体脆弱性的名称、描述、类型、被利用难易程度及影响程度等;
-
风险列表∶根据威胁利用脆弱性导致安全事件的情况,形成风险列表;包括具体风险的名称、描述等;
-
风险评估报告;对风险评估过程和结果进行总结;详细说明评估对象、风险评估方法、资产、威胁、脆弱性和已有安全措施的识别结果、风险分析、风险统计和结论等内容∶
-
风险评估记录;风险评估过程中的各种现场记录应可复现评估过程,以作为产生歧义后解决问题的依据。
实施风险评估
介绍了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,但距离能够真正开展风险评估,还有一段距离。
要想自己真正开展风险评估,可以参考 国家标准 31509-2015 版,将比20984 描述的更加详细,最核心的是里面有很多的问卷调查,模板,详细内容可以关注思度安全对应安全国家标准的解读