专利名称:风险控制系统的制作方法
技术领域:
本发明涉及一种用于控制风险,或者为定性风险评估和消减的、特别的、但决不排它的应用的方法和系统。
背景技术:
基本上,存在两种风险分析方法定性的和定量的。定性风险分析为能够用来确定应用、系统、设施、或者其它企业资产所要求的保护水平的一种技术。在资产(asset)、威胁(threat)和弱点(vulnerability)的系统审查期间,小组将能够建立威胁发生的可能性、如果它们确实发生时损失的成本以及为了将威胁和弱点降低到可接受的水平而设计的安全措施或者对策的价值。定性方法论仅试图将主观条款中各种各样的风险要素区分优先次序。
定量风险分析试图独立地将客观的数字值分配到风险分析的组分以及到潜在损失的水平。当所有的要素(资产价值、威胁频率、安全措施效力、安全措施成本、不确定性和可能性)都被量化时,该过程被认为是定量的。
这两种方法各自的优点和缺点可以总结如下
大部分现有的风险评估模型为定性的;基于所感知的威胁度量风险且不通过数学方法定量。然而,由于威胁的感知因评估员而异,由定性方法得到的风险评估往往是不一致的,因此使得结果不可靠且不可用。
各种各样现有技术的特点如下。
1.10步定性风险分析(QRA)这种方法的十个步骤是i.展开范围说明;ii.集合交叉职能的有资格的小组来评估风险;iii.识别所有的威胁(按照中介、动机和结果刻画);iv.将威胁区分优先次序(由一个强大的组);v.评估影响优先权;vi.计算总的威胁影响;vii.识别安全措施;viii.相对于成本和效力,对控制作成本-利益分析;ix.安全措施按照优先权的顺序排列;以及x.准备风险分析报告,包括因而,例如,一个概念上的风险分析报告可能包括下列各项
这种技术构成所有现有风险评估的基础构成风险分析组、在风险评估期间讨论威胁及其影响以及使用对策来消减风险。
2.3步定性风险分析(QRA)这种方法的三个步骤是i.资产估价;ii.风险评价;以及iii.风险管理。
这种方法概念上的结果可能包括
这是第一种上文所提及的方法的微小修改,在其中,只要可能,就使用记分系统。建议1.5至2年的重新评估间隔。
3.信息安全风险分析(ISRA)这种方法的三个步骤是i.创建风险分析矩阵(根据完整性、灵敏性和可用性);ii.选择基于风险的控制;以及iii.文件的准备。
一个概念上的风险分析矩阵可能为
数据
这种方法难以使用,并且需要用户具有一定的专长。另外,该分析不是基于资产或系统的。
4.弱点分析(Vulner)这种方法具有五个步骤i.集合内部专家或风险分析组;ii.展开范围说明;iii.在定义上达成一致意见;iv.验证小组对该过程的理解;以及v.计算风险。
因而,与每个人的因素相关联的风险的可能评估可以是
这套方法分析了关于在评估区域工作的人(作为资产看待)的部门的弱点。然而,在评估能够开始之前,必须在定义上达成一致意见。
5.危险影响分析(Hazard Impact Analysis)这种方法与方法4类似,但是基于资产类别而不是资产的。例如,它可能产生下列输出
这种方法识别威胁并度量有关人、财产和业务的影响。识别现有的内部及外部控制以消减各个威胁。
6.威胁分析(Thread Analysis)根据这种方法i.集合内部专家或风险分析组;ii.展开范围说明;iii.在定义上达成一致意见;iv.验证小组对该过程的理解;以及v.如果威胁发生,基于对操作的影响实施风险分析。
例如,可能得到下列结论
这种方法评估在指定的环境中的操作风险。
7.调查问卷(Questionnaire)根据这种方法,编制了一系列问题来度量服从现有的企业政策、程序、标准、或者其它规则。
8.单一时间损失算法(Single Time L0ss Algorithm)根据这种方法确定单一时间损失(STL),其中STL=(总的资产价值+意外执行成本+数据恢复成本)×发生的可能性+(一周延迟的成本)。
单一时间损失用来作为影响值度量。
9.便利的风险分析过程(FRAP)
这种方法包括i.定义审查的范围;ii.为FRAP过程集合代表;iii.定义违反数据完整性、机密性和可用性的威胁;iv.基于弱点和业务影响的程度创建优先矩阵;三个交付结果物包括风险识别、风险优先级区分、关于主要风险所建议的控制。能够选择一列26个控制组(例如,备份、恢复计划、访问控制),并且该方法允许为了验证目的的项目追踪和交叉检验。
一个可能的优先矩阵可以是
这种方法涉及在一个时间分析一个系统、应用、或者业务操作的一部分。相对于威胁和弱点度量系统故障的可能影响,等等。然后识别控制以消减威胁。
10.风险评估和管理(Risk Assessment and Management)在这种方法中,由暴露的年度损失期望(ALE)度量威胁影响。基于单一损失期望(SLE)和年度发生率(AR0)度量ALE。SLE定义为关于威胁事件的每次发生的预期的货币损失;ARO定义为在一年的基础上,威胁发生的统计率;基于单一损失期望(SLE)度量BIA。
至少在每年的基础上获得年度发生率(ARO)的统计信息。
11.整体风险管理(Integrated Risk Management)这种方法包括i.分离信息的保管人(custodian)和使用者;ii.定义基本的必要事件(例如,任务和责任定义、数据分类和库存管理);以及iii.以整体的方式管理风险。
在这种方法中,信息安全包含物理的和逻辑的数据访问控制的使用,以确保数据的适当使用以及禁止对自动化资产未经许可的或者意外的修改、毁坏、透露、损失、或者访问。风险分析识别并评估与法人信息相关联的风险并定义成本效率高的方法来管理这样的风险。
这种方法引进信息的保管人和使用者的概念。证明通过风险评估、将会实现业务连续性和信息安全控制。业务连续性作为模块取出,与典型的风险评估分开。相对于总的项目成本、财政影响、顾客影响、规章/服从影响度量系统的潜在影响。可选择地,能够相对于信息分类和最长可容忍的运转中断度量这种影响。
相对于时间灵敏性(在高峰期间最长可容忍的运转中断周期)、无形损失(健康及安全、顾客满足、困窘)和有形损失(财政的)度量业务影响损失。
然而,所有现有的风险评估模型都假定(不论明确地还是含蓄地)将集合一个有资格的交叉部门的小组来评估风险。然而,实际上常常或者由IT技术支持组或者由业务所有者进行评估,因此导致威胁和可用控制的不完全理解。当关于实施风险评估的责任变得不清楚时,结果就变得不可靠。
此外,当风险评估的量增加时,评估员在评估过程中妥协是很普遍的。当评估是基于定性的时候,尤其如此。这种妥协可能是由于人的因素和时间限制。
发明内容
因此,本发明在第一个广泛的方面,提供一种用于在组织内评估风险的方法,包括定义一个或多个区域,所述一个或多个区域的每一个包括一个环境;识别所述组织的一个或多个资产,所述资产的每一个位于所述区域的分别的一个中;对于所述资产的每一个实施各个影响评估,每个评估包括评估所述各个资产的损失影响;对于所述区域的每一个实施各个区域风险评估,包括评估与在所述各个相应的区域内放置各个资产相关联的风险水平;对于每个资产实施各个资产风险评估,包括评估与不依赖于所述各个资产的各自的区域的所述各个资产相关联的风险水平;以及在至少所述影响评估、所述区域风险评估和所述资产风险评估的基础上评估风险。
因而,资产能够为具有价值的任何东西。该方法因此能够用来产生风险评估作为输出。当最后的步骤由计算机执行时,计算机能够输出这个评估。
更适宜地,该方法包括识别一个或多个资产保管人,每个包括各个资产的保管人,以及识别一个或多个资产所有者,每个包括分别的所述资产的一个或多个的所有者。
保管人典型地为具有照管责任的一些雇员。在IT环境中,保管人可能为技术管理组或者项目管理组、这样的小组的一个单独成员;保管人可以是担当自动化或手动的文件或数据库的看管者的雇员。资产所有者典型地(尽管并不一定)为支付该资产的人;在许多情形,它可能是业务的所有者。然而,通常,它为对于定义安全政策以及资产的安全和系统需求具有全部责任,并且能够批准有关资产的安全控制执行计划的人。它可能为最终用户。
更适宜地,该方法包括维护所述资产的注册。更适宜地,所述注册包括所述资产的每一个的各自的所有者。
更适宜地,该方法包括维护所述区域的注册。更适宜地,所述注册包括所述区域的每一个的各自的保管人。
在一个实施例中,所述资产的每一个都是信息相关的,例如用于数据操作或存储的材料和装备。
在这个实施例中,所述资产保管人的每一个都是信息保管人,每个包括在所述组织内,各个信息存储装置的保管人。
更适宜地,该方法包括定义至少四种类型的保管人1)物质和环境保管人、2)网络保管人、3)软件工程保管人以及4)MIS支持保管人。
更适宜地,所述各个区域评估的每一个由所述各个区域各自的保管人实施。
更适宜地,所述各个资产评估的每一个由所述各个资产各自的所有者实施。
更适宜地,该方法包括将资产损失看作是所述资产为其一部分的系统的损失的等价物。
更适宜地,该方法包括关于每个资产确定度量风险,关于各个资产的所述度量风险包括1)在所述影响评估中确定的影响水平和2)在所述资产风险评估中确定的资产风险及在所述区域风险评估中确定的资产风险的最大值的乘积。
在另一个广泛的方面,本发明提供一种风险管理方法,包括根据上文所描述的方法评估风险;以及管理所述风险。
更适宜地,所述风险的管理包括确定资产数量的分布为相关联的度量风险的函数;确定最高可接受的风险水平;以及如果所述资产的任何一个超过所述最高可接受的风险水平,则应用一个或多个控制。
更适宜地,可接受的风险水平包括最高可利用的度量风险或100%的较低者。
在另一个广泛的方面,本发明提供用于在组织内评估风险的设备,包括数据输入部件,用于输入资产信息到资产注册中,所述资产的每一个都为所述组织的资产,所述资产的每一个都位于各自的区域;数据存储器,用于存储所述资产注册,包括关于所述资产的每一个的所述各个区域;用于接收或存储关于所述区域的每一个的各个区域风险评估的部件,所述各个区域风险评估包括与在所述各个相应的区域内放置各个资产相关联的风险水平的评估;用于接收或存储关于每个资产的各个资产风险评估的部件,所述各个资产风险评估包括与不依赖于所述各个资产的各自的区域的所述各个资产相关联的风险水平的评估;用于接收或存储关于所述资产的每一个的各个影响评估,每个评估包括评估所述各个资产的损失影响,以及用于在至少所述影响评估、所述区域风险评估和所述资产风险评估的基础上评估风险,以因此形成风险评估的部件;以及输出部件,用于输出所述风险评估。
当然,用于接收或存储各个区域风险评估的设备、用于接收或存储各个资产风险评估的设备和用于接收或存储各个影响评估的设备可能作为单一的整体而提供(例如数据输入或数据存储设备)。
典型地,这些数值将会分别准备并输入到设备中。然而,任选地,该设备可能包括数据处理设备,用于形成区域和资产风险评估以及,再次任选地,影响评估,用于确定或用于帮助确定这些因素。然后,这些因素将存储在各个接收或存储设备中。
更适宜地,该设备是可操作的,以将资产保管人与所述资产的每一个联系起来,每个包括各个资产的保管人,以及将至少一个资产所有者与所述资产的每一个联系起来,每个包括分别的所述资产的一个或多个的所有者。
更适宜地,资产注册包括所述资产的每一个的各个所有者。
更适宜地,该设备包括用于存储所述区域的注册的数据存储器。
更适宜地,区域注册包括用于将各个保管人与所述区域的每一个联系起来的数据。
更适宜地,所述资产的每一个都是信息相关的。
更适宜地,所述各个区域评估的每一个由所述各个区域的各个保管人实施,并且更适宜地,各个资产评估的每一个可能由各个资产的各个所有者实施。
更适宜地,该设备是可操作的,以将资产损失当作所述资产为其一部分的系统的损失的等价物来看待。
更适宜地,该设备是可操作的,以确定关于每个资产的度量风险,关于各个资产的所述度量风险包括1)在所述影响评估中确定的影响水平和2)在所述资产风险评估中确定的资产风险及在所述区域风险评估中确定的资产风险的最大值的乘积。
为了实行上文所提及的方法,本发明同样提供了具有在计算机上可执行的软件部分的计算机易读媒体。
为了可以更加清楚地了解本发明,给出例子与附图,现将描述优选实施例,其中图1是阐明根据本发明的优选实施例,风险评估方法的六个主要阶段的流程图;图2是根据图1的方法,不同种类的区域之间的关系的示意性描述;图3是根据图1的方法,具有特定的度量风险水平(MRL)的资产数量(NA)相对于度量风险水平的绘图的示意性描述;图4A是与图3类似的视图,另外显示今天的“安全线”;图4B是与图4A类似的视图,表明在一段预先定义的时间之后图4A分布的可能退化;图4C是图4B的一个可选择的视图,表明假如已经采取了风险消减措施,则在一段预先定义的时间之后,该分布的可能演化;图5因而是根据图1的方法,关于新系统的增加的步骤的流程图;图6是根据图1的方法,关于现有系统的升级的步骤的流程图;图7是根据图1的方法,关于系统或资产的移除的步骤的流程图;图8因而是根据图1的方法,关于现有区域的升级的步骤的流程图;图9是根据图1的方法,关于区域的移除的步骤的流程图;图10是根据图1的方法,关于新的威胁和控制的增加的步骤的流程图;图11是根据图1的方法,在一个主要的形式冻结之后所采取的步骤的流程图;和图12是用于在实现图1的方法中使用的数据库设计的示意性视图。
具体实施例方式
现将根据本发明的优选实施例,详细地描述用于评估组织的风险的评估方法。
该方法包括建立四个标准1)资产/信息分类、2)资产盘存、3)任务和责任以及4)保管人和用户识别。
使用下列假设威胁是明确的并且与资产类型相关联;可能性(威胁的)能够基于人口统计;以及风险管理是一个多决策过程。
根据这个实施例,“资产”定义为对于组织有价值的并且信息相关的任何东西,包括用于数据操作或存储的材料和装备。
资产的广泛分类包括1)人、2)软件、3)服务、4)媒体、5)物质的、6)信息以及7)操作系统。每个资产分类进一步归类于各个资产类型;该方法包括在一个资产类型下注册所有的资产,其包括1)人承包者、内部职员或雇员;
2)软件定制的应用软件、开发的软件、审计软件、现成的应用软件;3)服务第三方便利设施;4)媒体纸张文档、计算机媒体;5)物质的加密设施、移动装置、网络装置、办公室装备、服务器、工作站、硬件管理装备、物质的审计工具;6)信息业务信息、配置信息、财政信息、个人信息;以及7)操作系统O/S非Windows、0/S Windows。
因而,例如,信息分类指与公司的惯例和文化一致的信息灵敏性的不同等级。该方法包括在一个信息分类范畴下将所有的信息分类。
以适当的所有权注册所有的资产。资产所有者定义为支付资产的人。无论何时,存在任何资产的增加、修改以及删除时,就会更新资产注册。
该方法更适宜地,通过由执行管理部门、信息安全组、技术管理组、项目管理组、业务所有者和审计员组成的交叉功能组来实施。
执行管理部门的责任是1)关于信息安全,设立管理意图和业务目的、2)设立影响损失货币比例、3)证实风险消减所需要的保险度、4)审查并批准风险评估和管理报告、5)审查并批准风险降低措施、6)审查并批准异议报告以及7)审查控制执行进展。
信息安全组的责任是1)审查并对威胁频率达成一致意见、2)发展关于信息分类的基准线作为法人管制、3)维护威胁和控制数据库、4)审查风险评估和管理报告、5)审查风险降低措施以及6)审查控制执行进展。
技术管理组的责任是1)注册该组的资产到资产注册中、2)进行有关责任的各个领域的风险评估、3)审查并提议有效的对策以及4)后续追踪控制执行进展。
项目管理组的责任1)注册该组的资产到资产注册中、2)进行有关责任的各个领域的风险评估、3)审查并提议有效的对策以及4)后续追踪控制执行进展。
业务所有者的责任是1)注册资产到资产注册中、2)进行有关单独资产的评估、3)审查并提议有效的对策以及4)后续追踪控制执行进展。
审计员的责任是1)审查风险评估和管理报告、2)审查异议报告以及3)对不规则的风险分布模式进行审查。
根据组织的信息安全管理系统(ISMS),这些团体的每一个都参与风险评估。每个团体因而具有其适当定义的任务和责任。
根据该方法,分别识别信息保管人和所有者。基于所定义的任务和责任,保管人典型地包括技术管理组和项目管理组;所有者包括业务所有者。
保管人因而典型地为担当自动或手动的文件或数据库的照管者的雇员。该方法定义四种类型的保管人,即1)物质和环境保管人、2)网络保管人、3)软件工程保管人以及4)MIS支持保管人。
物质和环境保管人为照管环境区域的物质福利的那些人。这一般指办公室管理员和物质安全管理员。
网络保管人是照管组织网络的那些人。这一般指LAN和WAN管理员以及网络安全管理员。
软件工程保管人是为组织开发和维护软件应用的那些人。这一般指软件项目管理者和项目组领导者。
MIS支持保管人是维护有关系统的适当运转的操作的那些人。这一般指系统管理员、数据库管理员和数据中心管理者。
信息的所有者为具有由信息的所有者所准予的指定的有限权力,以查看、改变、增加、发布或者删除这样的信息的个人。这包括业务所有者。注意到保管人可能也拥有资产。在这样的情形,他们可能也是业务所有者。
该方法作为六阶段过程进行,其中保管人和所有者从开始就分开。广泛来讲,保管人进行区域评估,而所有者进行资产评估。核对独立的评估并且基于该评估产生结果。
参照图1,六个阶段可以总结如下。
第一阶段区域注册(2)理论上,评估员应该能够基于现有控制评估风险,但是证据已经表明-由于像工作专门化和责任以及交叉部门的关系这样的因素-评估员经常面临评估与他们对其无预先的知识或不精通的问题相关联的风险的令人沮丧的任务。这首先是因为风险评估是一个多用户决策过程。
研究也已经证明不同的团体将牵涉进保证任何信息资产安全。一个团体确定环境,而资产所有者将他们的信息资产放置到该环境中,这是一个普遍的作法。
本方法使用区域概念来着手解决这个问题。区域定义为所构建的包含资产的环境。根据该方法,注册在组织内所有相关的区域。
该方法认可四个区域,即1)物质和环境区域、2)网络区域、3)软件工程区域以及4)MIS支持区域。应注意到,这些对应于上文所描述的保管人。
物质和环境区域为用来物质地保护放置于其中的资产的环境。这个区域的保管人典型地为办公室管理员或者物质安全管理员。
网络区域为用来限制对该网络的访问以保证那个资产的可访问性的环境。这个区域的保管人典型地为WAN管理员和网络安全管理员。
软件工程区域为用来为组织开发和维护软件的环境。这个区域的保管人典型地为软件项目管理者和项目组领导者。
MIS支持区域为用来维护系统以确保系统的可操作性的环境。这个区域的保管人典型地为系统管理员、数据库管理员和数据中心管理者。
由于大部分区域保护设计成分层的,该方法使用区域继承。参照图2,在周边区域(14)中控制实现的这种方法由更加内部的区域(16)继承并且类似地,也由最里面的信赖区域(18)继承。根据该方法,区域继承在物质和环境区域以及在网络区域实行。
第二阶段资产注册(4)在资产注册阶段(4),为了风险评估和管理核对资产。该方法摹拟在这个阶段引进服务和系统概念的实际系统模型,并且因此提高了在资产管理和维护中的效力和效率。
在这个阶段,根据本方法,“服务”定义为为了完成业务交付所需要的系统的结合,而“系统”定义为组分(定义为“资产”)的结合以实现一个功能。依靠这种模型,注册所有的资产(包括不基于IT的资产)。因而能够表示性地捕获服务、系统和组分之间的复杂关系。
能够从下列简单的例子看到这些定义互相作用的方式。商业对商业(B2B)服务(即,“服务”)可能由网络服务器(“系统”)、应用服务器(又一个“系统”)和数据库服务器(又一个“系统”)组成。网络服务器由CPU硬件(分类“物质的”的“资产”,类型“硬件”)、操作系统(分类“软件”的“资产”)、网络主机软件(分类“软件”的“资产”)、信息网页(分类“信息”的“资产”)和B2B功能规范文档(分类“媒体”的“资产”)组成。
可选择地,网络服务(“服务”)可能由防火墙系统(“系统”)和网络系统(又一个“系统”)组成。网络系统可能由网络交换机(分类“物质的”的“资产”)、网络路由器(同样为分类“物质的”的“资产”)、路由器固件(分类“软件”的“资产”)和路由配置(分类“信息”的“资产”)组成。
作为又一个例子,部门服务(“服务”)可能由几个部门组(每一个都为“系统”)组成。每个组可能包括不同的职务(每一个为分类“人”的“资产”)。在另一个例子中,设施服务(“服务”)可能由电力系统(“系统”)和空调系统(又一个“系统”)组成。电力系统可能包括不可中断的动力供给(分类“硬件”的“资产”)和电能(分类“服务”的“资产”)。
当注册系统时,也指定相关的区域。这方便了随后的区域评估。例如,网络服务器将最终被描述为位于物质区域和网络区域,由操作和开发组维护。
然而,提供物质和网络对策的资产将不被注册为分别具有物质和网络区域。
根据该方法,当注册资产时,根据它们的资产类型指定它们。
如果资产类型为信息分类,则需要根据信息灵敏性分类进一步定义它。系统继承存储在该系统内的最高灵敏性信息的灵敏性,并且传播到不基于信息的该资产的其余部分。按照先前网络服务器的例子,如果信息的灵敏性标记是机密的,则该系统的其余部分,包括CPU硬件和虚拟主机软件,将继承该机密标记。
第三阶段系统影响评估(6)
影响评估为,假若总的单一资产损失发生,度量总影响的过程,不依赖于其它的损失。如早先所定义的,根据该方法,假定任何组分的故障将导致系统的总故障。因此,该方法在系统的水平上实施影响评估。然而,系统的一个故障可能不致使整个服务发生故障。
该方法-在这个阶段期间-考虑到五个标准1)机会的损失、2)生产力的损失、3)由于规章违反引起的损失、4)系统投资的成本以及5)信息分类等级。
此外,在影响评估过程中,该方法总是假设最坏的情形。
机会的损失既指在系统不可用时期货币收益的损失又指潜在的将来损失。
生产力的损失为在系统不可用时期,用户效率的损失和组织内恢复的成本。
由于规章违反引起的损失为由于服务水平协议或者法规的违反引起的合同或者/和立法支出的成本。
系统投资的成本为重建一个完全相同的系统的成本。
信息分类等级指存储在系统中的最高的合计的信息分类。
机会的损失、生产力的损失、由于规章违反引起的损失和系统投资的成本都作为货币指数而计算。这样的货币指数的例子如下
货币比例将因组织而异。分配最高的货币指数值给ISMS范围的总的估价损失。从由组织定义的数字开始,每个比例增值为先前两个的倍数。
根据组织的目的和目标加权每个标准,而权重的和合计达100%。这反映了五个标准的相对重要性。权重由管理部门基于业务焦点和管理意图而定义。
基于这些标准评估每个系统,并且使用下列公式计算总的影响估价
在该系统下的资产继承该系统的影响股估价。
下表定义在评价与组织的不同组分相关联的系统影响中考虑的标准。这是为了在输入系统影响权重的那些中确保一致性。
Y由管理部门确定;它依赖于组织的服务或产量。
第四阶段区域评估(8a)在区域评估阶段(8a),第四阶段的两个部分的第一部分,基于所执行的安全控制的数量估计操作环境。评估的目的为当在环境中放置资产时,评估风险水平。如上文所提及的,四个区域类别为物质和环境的、网络、软件工程以及MIS支持。基于区域类别的性质自动地连结相关的威胁;这极大地降低了评估员在不得不单独审查涉及该区域的每个威胁的适宜性中的额外负担。
基于人口统计的标准、业务活动的性质和组织的文化,每个威胁与威胁发生的可能性相关联。可能性被分配一个百分比概率。
每个威胁与能够被采用来管理风险的一列安全措施相关联。为了区别不同安全控制的强度,进一步加权这些措施。一般地,根据如下的这种方法计算控制的效力
在针对威胁而执行的安全解决方案数量的基础上确定与每个区域相关联的风险的程度。不止一个威胁可能会与一个区域相关联,因此该方法包括假定最弱的安全连接为具有最高风险暴露的威胁。因而ZRL=MAX(1-Σ(SIi×SWi)Σ(SWi)×LO)×100%.]]>这里ZRL=区域风险水平,SI=解决方案执行,SW=解决方案权重,以及LO=发生的可能性。
根据资产灵敏性标记,基准线控制反映为强制性的,因此评估员能够区别强制性的和任选性的控制,导致降低风险中更清楚的目的。
为效率起见,该方法包括允许评估员将特定的区域评估应用到拥有完全相同的控制的相关区域,从而使评估员所需要的努力简化有效。
第四阶段资产风险评估(8b)根据该方法,在资产风险评估阶段(8b),基于所执行的安全控制的数量估计资产。该评估的目的是不依赖于区域,评估资产的风险水平。由于每个资产都具有相关联的资产类型且资产类型具有其相关的威胁,每个资产都自动地连接到其相关联的威胁;这降低了在不得不单独审查涉及该资产的每个威胁的适宜性中评估员的额外负担。
如上,基于人口统计的标准、业务活动的性质和组织的文化,每个威胁与威胁发生的可能性相关联并表示为一个概率。
与在区域风险评估(参看上文)中一样,在资产风险评估中的每个威胁具有能够被采用来管理风险的一列安全措施。为了区别不同安全控制的强度,进一步加权这些措施。如上文所讨论,计算控制的效力。
基于相对于威胁所执行的安全解决方案的数量,以与上文在“区域风险评估”下所描述的可比较的方式度量与每个资产相关联的风险的程度。因此,资产风险水平确定如下ARL=MAX(1-Σ(SIi×SWi)Σ(SWi)×LO)×100%.]]>这里ARL=资产风险水平,SI=解决方案执行,SW=解决方案权重,以及LO=发生的可能性。
根据资产灵敏性标记,基准线控制反映为强制性的,因此评估员能够区别强制性的和任选性的控制,导致降低风险中更清楚的目的。
为了提高效率,该方法也允许评估员将特定的资产评估应用到拥有完全相同的控制的相关资产。
使用下列公式,基于总影响和风险水平评估每个资产。
度量风险=总的影响×MAX(ARL,ZRL).
第五阶段风险管理(10)到此为止,不存在风险管理的固定方法并且许多组织严重地依赖于管理部门提供一些应该如何管理风险的指示。然而,管理部门可能不知道如何改进他们组织的信息安全管理系统或者ISMS,并且事实上在作关于如何管理风险的决定上需要指导。此外,现有技术的风险管理模型不具有连续改进的特征。
该方法包括关于风险管理过程的六西格玛(sixsigma)概念。然而,应该注意到该方法仅使用六西格玛概念的某些部分且有些修改。通过使用这种途径,该方法能够被用来帮助组织识别需要立刻注意的潜在的高风险资产,因此随时维护组织的安全效力。
因而,根据该方法,相对于他们的度量风险水平将所有的资产列成表格。相对于度量风险水平绘制具有任何特定的度量风险水平(MRL)的资产的数量(NA);这在图3中示意性地示出。将领悟到,可能有必要将NA的值的范围分组成适当大小的域。由于它是二维的,度量风险分布将为钟形曲线(即,影响水平、资产/区域风险水平)。
图4A是NA相对于MRL的另一个示意性表示。垂直线(20)为今天的“安全线”,其标记最高可用的度量风险或100%,任何一个较低的。该方法包括假定今天可利用的资产是充分地受保护的。
由于科技和其它的进步,一些资产可能由于控制不足和失效变为暴露的。参照图4B,资产将趋向于在MRL上增加直到最初的分布(22)右移(即,朝着MRL的较高值的方向)到新的分布(24)。因此,在一段预先定义的时间之后,接近或者在今天的安全线(20)上的资产可能不再为安全的,并且于是处于今天的安全线(20)的高侧(26)。
因而,应该审查接近或者在今天的安全线(20)上的资产,因为在一段定义的时间之后,它们可能不安全。更多的控制应该相应地被应用以致及时解决风险暴露以及使得对于所定义的一段时间,取代分布变为图4B的新分布(24),其变为,比方说,如图4C中所示的修改后的分布(28)。该修改后的分布(28)可能与最初的分布(22)不同,但是它具有所期望的充分地保护所有资产的特性。
因而,基于右移1.5σ的标准六西格玛概念计算,阈值标记所推荐的保险度。为了风险消减,加亮强调在保险度之上的资产。为了消减的目的,关于执行进程,使得一系列基于区域或/和资产的控制可用。
根据该方法,公知的是,下列参数可能随时间改变1)控制的效力、2)威胁频率、3)新控制以及4)新威胁。
控制的效力可能由于人的智力进步而改变。
威胁频率可能由于在一个或多个特定的领域中政治或社会的稳定性的改变而改变。
新控制可能由于风险消减技术或方法的新进步而改变。
新威胁可能由于影响组织当前信息安全的新技术的引进而改变。
因而,根据本方法,至少在每年的基础上实施连续的风险评估以维护ISMS的效力。
第六阶段项目追踪(12)风险评估不是在选择用于风险消减的控制时停止,而是恰恰仅在已经执行了控制之后。因此,追踪在风险管理阶段期间安排执行的每个控制。
应该注意到本方法将计划的控制当作未执行的控制看待。仅完成和证实了的控制被看作是执行的控制。
在这个阶段期间,捕获信息(如对控制执行负责的人、执行方法、执行的成本和努力、估计的和实际的执行开始和结束日期)。
事件流程这个实施例的方法是事件驱动的,并且对知识库或者资产注册的影响将导致根据该方法计算出的结果的改变。
该方法在下列条件下将具有一个影响(即,执行一个任务)1)新系统的增加;2)现有系统的升级;3)系统或资产的移除;4)新区域的增加;5)现有区域的升级;6)区域的移除;7)对新威胁和控制的数据库的增加;以及8)形式。
1.新系统的增加新系统作为将增加到环境中的新项目的一部分而提出。
为了风险评估,这样的新系统在两个阶段结合于本方法投标前系统规划和投标后系统规划。
在投标前系统规划时期,未来的所有者不一定知道详细的资产将是什么。因此,在系统的水平,通过调查问卷,进行风险评估。基于调查问卷,相应于系统的信息种类的相关威胁和强制性的控制于是展示给未来的所有者。
一旦固定了系统配置,投标前系统规划信息就转换成投标后系统规划信息。该系统被标记为非生产的,以致计算将与环境内的实际系统保持分开。用户再次验证评估输入以确保数据有效性。
实行这点以确保能够适当地规划新系统并且确保当发动时,系统安全准备就绪是恰当的。
图5因而为根据本方法,关于新系统的增加的步骤的流程图。
2.现有系统的升级当现有系统被作为新服务发动的一部分而重新使用时,通常增加新资产到现有系统。
本方法所考虑的所有的现有系统都将受到影响。相关的现有系统相应地被复制并被看作为计划的系统,以致不破坏现有系统配置。为了风险评估,复制的系统连接到附加的资产。一旦完成了评估,复制的系统就取代数据库中的现有系统。
由于潜在的输入复杂性和完整性,不存在计划资产特征;因而,数据破坏风险被最小化。
图6是根据本方法,关于现有系统的升级的步骤的流程图。
3.系统或资产的移除由于过时或者磨损和拆毁,现有系统或资产可能被移除。
无除了被移除的系统或资产之外的系统或资产受到影响。然而,总的风险管理统计可能由于移除而改变。因而,由于每个资产都对总的风险管理结果有贡献,可能需要风险管理结果和进一步风险降低的审查。
图7是根据本方法,关于系统或资产的移除的步骤的流程图。
4.区域的增加可能提出一个新的区域作为新环境的一部分。对任何资产都不存在影响,直到分配一个资产到新区域,由于区域是一个环境并且只要该环境不包含任何资产,就不牵涉风险。
5.现有区域的升级然而,如果升级现有区域(可能由于现有控制的革新或不足),在被升级的区域内的系统将会受到影响。这是因为在被升级的区域内的系统自动地继承在该区域内所执行的控制。
图8因而是根据本方法,关于现有区域的升级的步骤的流程图。
6.区域的移除由于,例如,位置移动,现有区域可能被移除。在该区域内的系统将会受到影响,因为这样的系统将不再具有操作的环境。因此,该方法包括重新安置这样的系统到另一个区域以便随后的操作。
因而,图9是根据本方法,关于区域的移除的步骤的流程图。
7.新威胁和控制的增加当增加新的威胁和控制到组织的数据库(为了执行这个实施例的方法而维护的)时,仅随后注册的新资产将会受到影响。
根据本方法,由于使得评估员每次存在更新时都在新的威胁和控制下重新估价资产是不切实际的,将仅只在由管理员起动的主要形式冻结之后估价现有资产的任何纠纷。重新评估发生在每次形式删减时是更切实际的,其被建议为至少一年一次。新资产会受到影响,因为他们是新近增加的,根据安全最佳实践,使用最新近可利用的威胁和解决方案评估系统是很重要的。
图10是根据本方法,关于新威胁和控制的增加的步骤的流程图。
8.在主要的形式冻结之后的影响管理员可以对风险评估数据库起动主要的形式冻结(例如在每年的基础上)。按照最当前的威胁和控制重新估价所有的现有资产。然后重新计算新的风险管理阈值。
由于威胁和控制随时间改变,本方法为连续评估方法论。确保评估员在规则的基础上对现有资产进行风险评估因而是很关键的。
图11是根据本方法,在主要的形式冻结之后所采取的步骤的流程图。
执行细节本方法设计为与BS7799/ISO17799 ISMS一致。使用BS7799控制参考序号,该方法将控制分成两类,基础结构和特定的。
基础结构控制为用于设立ISMS所需要的基本的控制。下列控制被认为是基本的。
特定的控制为作为风险评估管理过程的一部分而可选择的控制。特定的控制然后被划分成区域控制和资产控制。
区域控制定义为被应用到<区域>中以保护<资产类型>的<安全控制>。
每个资产控制定义为应用到<资产类型>的<安全控制>。
为了使用本方法,使用具有相关联的数据库(其可能为分布式的)的计算机系统;该数据库有两个部分安全知识库和操作信息。安全知识库包含用于威胁的供给和对注册的信息资产的控制的数据集。操作信息指注册的资产和关系到该资产的安全的相关信息。
安全知识库包含有关资产分类类型、区域威胁、资产威胁和安全控制的信息。安全知识库也包含资产分类类型和威胁之间的联接以及威胁和安全控制之间的联接。
操作信息包含有关资产注册、其影响评估、区域威胁及其相关的所执行的控制、资产威胁及其相关的所执行的控制、风险管理控制和执行进程的信息。
在图12中,示意性地示出了数据库设计在这个图中,安全知识库存储在数据库的左边,操作信息在数据库的右边。
由于本方法使用连续评估,其效力依赖于安全知识库的更新。在规则的基础上,新的和修改后的威胁以及相关的控制都更新到安全知识库中,其反过来更新操作信息。
在这个数据库中的数据是高灵敏的,因此组织既具有完全的所有权又具有访问控制和传输安全是很重要的。根据用户的访问权,访问控制帮助确保用户责任,并且也限制了信息访问。传输安全帮助防止灵敏信息的偷听。
访问控制访问控制用来防止意外的信息修改以及未经许可的用户查看灵敏信息。
创建具有一组支配系统资源的使用的特权的工作组。分配给每个用户一个工作组。在工作组内,用户彼此信任并对彼此的信息具有完全的控制。工作组之间不能够共享信息。
传输安全使用安全套接字层(SSL)来保证一个或多个浏览器之间的信息交换的传输安全并且使用中央服务器来执行该方法。
术语表
结论上文所描述的进行风险评估的方法因而是一种定量风险评估方法。这个方法的依从或者优点如下
本领域技术人员可以很容易地实现在本发明范围内的修改。因此,可以理解,本发明不局限于由在上文的例子所描述的特殊的实施例。
权利要求
1.一种用于在组织内评估风险的方法,包括定义一个或多个区域,所述一个或多个区域的每一个包括一个环境;识别所述组织的一个或多个资产,所述资产的每一个位于所述区域的分别的一个中;对于所述资产的每一个实施分别的影响评估,每个评估包括评估所述各个资产损失的影响;对于所述区域的每一个实施分别的区域风险评估,包括评估与在所述各个相应的区域内放置各个资产相关联的风险水平;对于每个资产实施分别的资产风险评估,包括评估与不依赖于所述各个资产的各自的区域的所述各个资产相关联的风险水平;以及在至少所述影响评估、所述区域风险评估和所述资产风险评估的基础上评估风险。
2.如权利要求1所述的方法,包括识别一个或多个资产保管人,每个包括各个资产的保管人,且识别一个或多个资产所有者,每个包括所述各个资产的一个或多个的所有者。
3.如权利要求2所述的方法,其中所述保管人的每一个都为具有照管责任的雇员。
4.如权利要求1所述的方法,包括维护所述资产的注册。
5.如权利要求4所述的方法,其中所述注册包括所述资产的每一个的各个所有者。
6.如权利要求1所述的方法,包括维护所述区域的注册。
7.如权利要求6所述的方法,其中所述注册包括所述区域的每一个的各个保管人。
8.如权利要求1所述的方法,其中所述资产的每一个都是信息相关的。
9.如权利要求2所述的方法,其中所述资产的每一个都是信息相关的,并且所述资产保管人的每一个都是信息保管人,每个包括在所述组织内各个信息存储装置的保管人。
10.如权利要求9所述的方法,包括定义至少四种类型的保管人1)物质和环境保管人、2)网络保管人、3)软件工程保管人以及4)MIS支持保管人。
11.如权利要求2所述的方法,其中所述各个区域评估的每一个都由所述各个区域各自的保管人实施。
12.如权利要求2所述的方法,其中所述各个资产评估的每一个都由所述各个资产各自的所有者实施。
13.如权利要求1所述的方法,包括将资产的损失看作是所述资产为其一部分的系统的损失的等价物。
14.如权利要求1所述的方法,包括确定关于每个资产的度量风险,关于各个资产的所述度量风险包括1)在所述影响评估中确定的影响水平和2)在所述资产风险评估中确定的资产风险及在所述区域风险评估中确定的资产风险的最大值的乘积。
15.如权利要求2所述的方法,其中所述保管人中没有一个为所有者。
16.一种用于在组织内评估风险的设备,包括数据输入部件,用于输入资产信息到资产注册中,所述资产的每一个都为所述组织的资产,所述资产的每一个都位于各自的区域;数据存储器,用于存储所述资产注册,包括关于所述资产的每一个的所述各个区域;用于接收或存储关于所述区域的每一个的各个区域风险评估的部件,所述各个区域风险评估包括与在所述各个相应的区域内放置各个资产相关联的风险水平的评估;用于接收或存储关于每个资产的各个资产风险评估的部件,所述各个资产风险评估包括与不依赖于所述各个资产的各自的区域的所述各个资产相关联的风险水平的评估;用于接收或存储关于所述资产的每一个的各个影响评估,每个评估包括评估所述各个资产损失的影响,以及用于在至少所述影响评估、所述区域风险评估和所述资产风险评估的基础上评估风险,从而形成风险评估的部件;以及输出部件,用于输出所述风险评估。
17.如权利要求16所述的设备,其中所述设备是可操作的,以将资产保管人与所述资产的每一个联系起来,每个包括各个资产的保管人,以及将至少一个资产所有者与所述资产的每一个联系起来,每个包括分别的所述资产的一个或多个的所有者。
18.如权利要求16所述的设备,其中所述资产注册包括所述资产的每一个的各个所有者。
19.如权利要求16所述的设备,其中所述设备包括用于存储所述区域的注册的数据存储器。
20.如权利要求19所述的设备,其中所述区域注册包括用于将各个保管人与所述区域的每一个联系起来的数据。
21.如权利要求16所述的设备,其中所述资产的每一个都是信息相关的。
22.如权利要求16所述的设备,其中所述设备是可操作的,以将资产损失当作所述资产为其一部分的系统的损失的等价物来看待。
23.如权利要求16所述的设备,其中所述设备是可操作的,以确定关于每个资产的度量风险,关于各个资产的所述度量风险包括1)在所述影响评估中确定的影响水平和2)在所述资产风险评估中确定的资产风险及在所述区域风险评估中确定的资产风险的最大值的乘积。
24.一种风险管理方法,包括根据权利要求1至15的任何一个所述的方法评估风险;以及管理所述风险。
25.如权利要求24所述的方法,其中所述风险的管理包括确定资产数量的分布作为相关联的度量风险的函数;确定最高可接受的风险水平;以及如果所述资产的任何一个超过所述最高可接受的风险水平,则应用一个或多个控制。
26.如权利要求24所述的方法,其中所述可接受的风险水平包括最高可利用的度量风险或100%的较低者。
全文摘要
本发明提供一种用于在组织内评估风险的方法,包括定义一个或多个区域(2),所述一个或多个区域的每一个包括一个环境;识别组织的一个或多个资产(4),所述资产的每一个位于所述区域的分别的一个中;对于所述资产的每一个实施分别的影响评估(6),每个评估包括评估各个资产损失的影响;对于所述区域的每一个实施分别的区域风险评估(8a),包括评估与在各个相应的区域内放置各个资产相关联的风险水平;以及对于每个资产实施分别的资产风险评估(8b),包括评估与不依赖于各个资产的各自的区域的所述各个资产相关联的风险水平;并且在至少影响评估、区域风险评估和资产风险评估的基础上评估风险。本发明也提供一种风险管理方法,包括根据上文所描述的方法评估风险并且管理所述风险。
文档编号G06Q40/00GK1771512SQ03826461
公开日2006年5月10日 申请日期2003年7月1日 优先权日2003年4月1日
发明者姚青晖 申请人:麦思敏士顾问(私人)有限公司