完成了資產識別、脆弱性識別及威脅識別後(鏈接請見文章末尾處),我們可以採用適當的方法和工具確定威脅利用脆弱性導致安全事件發生的可能性。綜合安全事件作用資產價值及脆弱性的嚴重程度,判斷事件造成的損失及對組織的影響,即安全風險。
風險分析原理
本篇將從風險計算、風險結果判定、風險處置、風險評估四個方面進行介紹。
一、風險計算形式及關鍵環節
風險計算原理其範式形式如下:
風險值=R(A,T,V)=R(L(T,V),F(Ia,Va));
其中:R標識安全風險計算函數。A表示資產;T表示威脅;V表示脆弱;Ia表示資產價值;Va表示脆弱性的嚴重程度。L表示威脅利用資產的脆弱性導致安全事件發生的可能性。F表示安全事件發生後的損失。
風險計算三個關鍵環節:
安全事件發生的可能性=L(威脅頻率,資產脆弱性)=L(T,V);
安全事件發生後的損失=F(資產價值,脆弱性嚴重程度)=F(Ia,Va);
風險值=R(安全事件發生的可能性,安全事件發生後的損失)=R(L(T,V),F(Ia,Va))
目前業界風險計算通過二維矩陣或相乘法兩種方式對風險進行計算,本文對計算方式不過多介紹。
二、風險結果判定
爲了方便對風險控制和管理,可將風險劃分多個等級(如:5級或3級),等級越高,風險也就越高。如下示例表:
風險等級劃分示例表
等級劃分目的是爲了風險管理過程中對不同風險的直觀比較,應根據自身的業務特點和安全現狀有針對性的劃分風險等級,既要與自身業務“貼身”,又要符合外部合規性要求。
三、風險處置
對不可接受的風險,應根據該風險的脆弱性制定風險處置計劃。風險處置計劃要明確採取的彌補弱點的措施、預期效果、實施條件、進度安排、責任部門、協調部門等。安全措施應從管理和技術兩個維度進行,管理可作爲技術措施的補充。
風險處置目的是以減少脆弱性或降低安全事件發生的可能性。
四、風險評估
風險處置完畢後應進行風險再評估,以判斷實施安全措施後的殘餘風險是否已經降到了可接受水平。
一般風險評估方式分爲自評估和檢查評估兩類。
自評估:由組織發起,以發現系統現有弱點,實施安全管理爲目的。適用於對自身進行安全風險識別和評價,並選擇合適的風險處置措施,降低評估資產的安全風險,定期性的評估可納入數據安全管理規範及管理辦法中。由於自評估受限於組織內部人員,可能缺乏評估專業技能,導致不夠深入和準確,同時缺乏一定的客觀性,所以一般是委託風險評估服務技術支持單位進行實施評估。
檢查評估:由被評估組織的上級主管機關或業務機關發起,通過行政手段加強安全的重要措施,一般是定期、抽樣進行評估模式,旨在檢查關鍵領域或關鍵點安全風險是否在可接受範圍內。檢查評估主要包括:
- 自評估方法的檢查;
- 自評估過程記錄檢查;
- 自評估結果跟蹤檢查;
- 現有數據安全措施檢查;
- 數據生命週期內數據控制檢查;
- 突發事件應對措施檢查;
- 數據完整性、可用性、機密性檢查;
- 數據生命週期內數據審計、脫敏檢查;
五、總結
數據安全風險評估與信息系統的風險評估應是子與父的關係,數據安全風險評估可融合其中也可獨立與已有風險評估體系之外運轉。風評實施前準備工作與信息系統風險評估一致,可從6個方面進行並形成閉環。
風險評估流程示例圖
基於數據安全的風險評估分四個部分已全部介紹完畢,寫該系列文章其意義是發現業界沒有針對數據層面進行風險評估體系化文章,所以利用自身數據安全經驗,查閱了相關標準完成了以數據爲中心的風險識別框架(如文中數據安全層面的脆弱性、威脅性等部分還待補充完善。),文中如有遺漏或者問題地方還請告知,以便我及時完善。
資產識別、脆弱性識別、威脅識別請見: