风险评估的国际动态(ppt 50)

www.cnshu.cn精品资料网风险评估的国际动态www.cnshu.cn精品资料网汇报要点 信息安全管理成为信息安全保障的热点 泰德带来的启示 风险评估和等级保护的关系www.cnshu.cn精品资料网信息安全管理成为信息安全保障的热点www.cnshu.cn精品资料网 ITIS$！ 信息就是财富,安全才有价值。 CI:CriticalInfrastructure CIP:CriticalInfrastructureProtection CII:CriticalInformationInfrastructure. CIIP:CriticalInformationInfrastructureProtection 技术提供安全保障功能，但不是安全保障的全部 提高人的安全意识，技术、管理两手抓成为国际共识。www.cnshu.cn精品资料网 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化组织和行业团体抓紧制定管理标准 ISO 13335正在重组修改 正在修订17799 BS7799-2成为国际标准正在讨论 www.cnshu.cn精品资料网 NIST在联邦IT系统认证认可的名义下提出大量 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 SP800-18《IT系统安全计划开发指南》（1998年12月） SP800-26《IT系统安全自评估指南》（2001年11月） SP800-30《IT系统风险管理指南》（2002年1月发布，2004年1月21日修订） SP800-37《联邦IT系统认证认可指南》（2002年9月，2003年7月，2004年5月最后文本） FIPS199《联邦信息和信息系统的安全分类标准》（草案第一版）（2003年12月） SP800-53《联邦信息系统安全控制》（2003年8月31日发布草案） SP800-53A《联邦信息系统安全控制有效性检验技术和流程》（计划2003至2004年出版） SP800-60《信息和信息类型与安全目标及风险级别对应指南》（2004年3月草案2.0版) www.cnshu.cn精品资料网ManagingEnterpriseRiskandAchievingMoreSecureInformationSystemsinvolves— Categorizing(enterpriseinformationandinformationsystems) Selecting(appropriatesecuritycontrols) Refining(securitycontrolsthroughariskassessment) Documenting(securitycontrolsinasystemsecurityplan) Implementing(securitycontrolsinnewandlegacysystems) Assessing(theeffectivenessofsecuritycontrols) Determining(enterprise-levelriskandriskacceptability) Authorizing(informationsystemsforprocessing) Monitoring(securitycontrolsonanongoingbasis) www.cnshu.cn精品资料网 国际信息系统审计与控制协会(ISACA)提出：1.ISRiskAssessment,effective1July20022.DigitalSignatures,effective1July20023.IntrusionDetection,effective1August20034.VirusesandotherMaliciousLogic,effective1August20035.ControlRiskSelf-assessment,effective1August20036.Firewalls,effective1August20037.IrregularitiesandIllegalActsEffective1November20038.SecuurityAssessment—PenetrationTestingandVulnerabilityAnalysis,effective1September2004www.cnshu.cn精品资料网 提出《信息和相关技术的控制目标》(CoBIT) CoBIT开发和推广了第三版， CoBIT起源于组织为达到业务目标所需的信息这个前提 CoBIT鼓励以业务流程为中心，实行业务流程负责制 CoBIT还考虑到组织对信用、质量和安全的需要 它提供了组织用于定义其对IT业务要求的几条信息准则：效率、效果、可用性、完整性、保密性、可靠性和一致性。www.cnshu.cn精品资料网 CoBIT进一步把IT分成4个领域 计划和组织， 获取和运用， 交付和支持， 监控和评价。 共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是： 计划和组织流程9——评估风险： 传递和支持流程4——确保连贯的服务； 传递和支持流程5——保证系统安全。www.cnshu.cn精品资料网 CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。后者是用来评估和审计对IT流程控制和治理的程度。www.cnshu.cn精品资料网国际CIIP手册(2004)www.cnshu.cn精品资料网 PartIIAnalysisofMethodsandModelsforCIIAssessment 1SectorAnalysis 2InterdependencyAnalysis 3RiskAnalysis 4ThreatAssessment 5VulnerabilityAssessment 6ImpactAssessment 7SystemAnalysiswww.cnshu.cn精品资料网2002年版 TechnicalIT-SecurityModels RiskAnalysisMethodology(forITSystems) InfrastructureRiskAnalysisModel(IRAM) Leontief-BasedModelofRiskinComplexInterconnectedInfrastructureswww.cnshu.cn精品资料网 SectorandLayerModel, SectorAnalysis, ProcessandTechnologyAnalysis, DimensionalInterdependencyAnalysis.www.cnshu.cn精品资料网泰德带来的启示www.cnshu.cn精品资料网风险三角形风险资产威胁脆弱性www.cnshu.cn精品资料网泰德眼中的InformationSecurityGovernance标准体系（ISMS）www.cnshu.cn精品资料网ISMSStandardsISO/IEC17799andBS7799-2NON-MANDATORYStatementsRiskassessmentAudit/reviewsMANDATORYStatementsRiskassessment,treatmentandmanagementComplianceaudit/reviews(SHALLstatements)Governanceprincipleswww.cnshu.cn精品资料网ISMSStandardsManagementsystemspecs,guidance&auditingISMSSpecificationsBS7799Part2www.cnshu.cn精品资料网ProductStandardsTechnicalimplementationandspecificationstandardsEncryptionAuthenticationDigitalsignaturesKeymanagementNon-repudiationITnetworksecurityTPPservicesTimestampingAccesscontrolBiometricsCardsProductandproductsystemtestingandevaluationISO/IEC15408EvaluationcriteriaProtectionprofileswww.cnshu.cn精品资料网ISMSStandardsBS7799-2:2002PDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagementwww.cnshu.cn精品资料网ISO/IEC17799新老版本对比www.cnshu.cn精品资料网ISMSStandardsRevisionofISO/IEC17799:2000www.cnshu.cn精品资料网新老版本变化老版本:包含10个控制要项，36个控制目标，127个控制措施新版本:11个39个134个www.cnshu.cn精品资料网风险评估如何贯穿于安全管理BS7799-2:2002ISMSwww.cnshu.cn精品资料网ISMSStandardsBS7799-2:2002ISMSwww.cnshu.cn精品资料网ISMSStandardsBS7799-2:2002ISMSwww.cnshu.cn精品资料网ISMSStandardsBS7799-2:2002ISMSwww.cnshu.cn精品资料网ISMSAssetsISO/IEC177997.1.1Inventoryofassetswww.cnshu.cn精品资料网ISMSRisksAssetthreats&vulnerabilitiesAssetvalue&utilitywww.cnshu.cn精品资料网风险等级业务影响低(可忽略,无关紧要,为不足道,无须重视)中低(值得注意,相当可观但不是主要的)中(重要,主要)中高(严重危险,潜在灾难)高(破坏性的,总体失灵,完全停顿)www.cnshu.cn精品资料网资产分级 保密性要求(C) 资产价值 分级 描述 1–低 可公开 非敏感信息和信息处理设施及系统资源，可以公开.。 2–中 仅供内部使用或限制使用 非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使用。 3–高 秘密或绝密 敏感的信息或信息处理设施和系统资源，只能根据需要（need-to-know）或严格依据工作需要。www.cnshu.cn精品资料网资产分级 完整性要求(I) 资产价值 分级 描述 1–低 低完整性 对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。 2–中 中完整性 对信息的非授权的损害或更改不会危及业务应用，但是值得注意以及对业务的影响是重要的。 3–高 高或非常高完整性 对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应用的重大或全局失败。www.cnshu.cn精品资料网资产分级 可用性要求(A) 资产价值 分级 描述 1-低 低可用性 资产(信息,信息系统系统资源/网络服务,人员等.)可以容忍多于一天的不能使用。 2–中 中可用性 资产(信息,信息系统系统资源/网络服务,人员等.)可以容忍半天到一天的不能使用。 3–高 高可用性 资产(信息,信息系统系统资源/网络服务,人员等.)可以容忍几个小时的不能使用。 4–非常高 非常高的可用性 资产(信息,信息系统系统资源/网络服务,人员等.)必须保证每年每周24x7工作。www.cnshu.cn精品资料网威胁和脆弱性估计 威胁应该考虑它们出现的可能性，以及可能利用弱点/脆弱性可能性。 实例 不太可能 发生的机会小于 可能 出现的机会小于25% 很可能/大概 机会50:50 高可能 发生的机会多于75% 非常可能 不发生的机会小于1/10 绝对无疑 100%会发生www.cnshu.cn精品资料网风险控制RiskthresholdRisklevelwww.cnshu.cn精品资料网风险控制ContinualImprovementwww.cnshu.cn精品资料网启示 风险评估是出发点 等级划分是判断点 安全控制是落脚点www.cnshu.cn精品资料网风险评估和等级保护的关系www.cnshu.cn精品资料网 27号文件把实施信息系统安全等级保护作为重要基础性工作。 信息安全等级保护 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。 我们国家为实施等级保护奋斗了20年。www.cnshu.cn精品资料网 实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平， 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调； 有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本； 有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全； 有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理； 有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。www.cnshu.cn精品资料网信息安全等级保护制度的基本内容 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。www.cnshu.cn精品资料网保护等级的划分 1、第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。 2、第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。www.cnshu.cn精品资料网 3、第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。 4、第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。www.cnshu.cn精品资料网 5、第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。www.cnshu.cn精品资料网实施信息安全等级保护工作的要求（一）完善标准，分类指导。（二）科学定级，严格备案。（三）建设整改，落实措施。（四）自查自纠，落实要求。（五）建立制度，加强管理。（六）监督检查，完善保护。www.cnshu.cn精品资料网同一个问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 的不同侧面 从资产的重要性看-划分需要的保护等级。 从面对的威胁和脆弱性看-进行风险 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 。 从安全保障能力看-选择需要的安全控制。 等级保护制度进行全面管理、响应和处置。www.cnshu.cn精品资料网几点认识 风险评估是落实等级保护的抓手。 面向对象和面向手段不能分割。 IT驱动和业务驱动同样需要。 风险评估是出发点 等级划分是判断点 安全控制是落脚点www.cnshu.cn精品资料网谢谢大家