2022年3月16日,欧盟网络安全局(ENISA)发布了一份关于网络安全风险管理标准的报告。网络安全和信息安全风险的威胁会对组织产生重大影响,甚至威胁到其生存,因此网络安全和信息安全风险必须得到管理。报告对涉及风险管理各个方面的已发布标准进行概述,并列出符合标准或帮助企业实施标准的方法和工具。此外,报告提出系列关于符合风险管理标准的建议,供各利益相关者(决策者、团体和企业组织)参考,并概述该领域可能存在的差距,使各利益相关者能够采取相应的措施以弥补差距。报告可作为风险管理标准和方法库,为企业组织实施风险管理流程提供参考,帮助企业组织在其内部实施风险管理。
报告主要从风险管理目标、风险管理过程、风险管理的标准和方法和风险管理标准的建议等方面展开。
摘译 | 李朦朦/赛博研究院实习研究员
来源 | ENISA
风险管理的目标
风险管理可以解决个别类型的风险,如企业风险、市场风险、信用风险、运营风险、项目风险、开发风险、供应链风险、基础设施风险、组件风险等几种或全部风险类型。
组织内部风险管理的主要目标是确定可能的不确定性或威胁,防止由此产生的后果,允许组织实现商业目标。总体来说,风险管理的目标可以来源于组织的总体目标、其业务和法律义务,并在建立风险管理过程的背景下确定。报告指出,目标必须在风险管理过程之初就明确界定;必须是可衡量的,以便能够验证其成效——建议使用关键绩效指标(KPI);必须与要保护的实体的资产有关以防范风险及其后果。
风险管理过程
风险管理过程是组织处理风险概念和其内部相关风险类型的方式。风险管理过程是组织的基本组成部分,必须整合到所有相关(业务)流程和活动中,如有必要,可根据组织业务类型和性质,整合到多个层面。
在涉及网络安全和信息安全的背景下,上述类型的风险必须结合信息安全的三个属性——保密性、完整性和可用性进行评估。
风险管理步骤
1.识别威胁:根据风险管理政策,列出要保护的资产和相关的潜在威胁。
2.威胁的评估:根据不同的来源,对不同的威胁进行评估。
3.风险评估:基于威胁的规模、影响、可能性和发生率参数,确定不同威胁的风险管理优先次序。
4.缓解风险:为了处理所确定的风险而要提出的解决方案。
5.风险控制的评价和评估:评估已实施的安全控制措施,检查其效率并评估安全风险的缓解效果。
(注:本报告认为图中的其他要素——沟通和协商、记录和报告、监测和审查,不是风险管理过程的一部分,而是基于ISO管理系统标准的管理系统的既定部分,因此未展开)
范围、背景、标准
在组织内部建立风险管理时,有关风险管理过程本身的基本决策是在确定范围、背景和标准的过程中做出的。根据风险管理的范围,在一个组织内可采用若干不同的风险评估方法子过程。
风险评价
风险评价通常由威胁识别、威胁评估、风险分析和风险评估组成。根据范围、背景和标准活动期间做出的决定,可以对不同类型的风险和不同层面的风险实施不同的风险管理方法。
风险处理
风险处理是指选择适当的解决方案,处理高于事先定义的可接受风险水平基线的风险。所选择的风险处理方案必须得到风险负责人的批准并记录在案。基于这一决定,应制定风险处理计划并由风险负责人批准,并根据风险处理计划中包含的项目计划实施。风险处理计划和新引入的控制措施可能导致新的风险或威胁,需要单独处理。
风险管理的标准和方法
风险管理标准的范围从风险管理过程的一般情况和准则到适用于IT部门的具体指南,即最具体的框架可以细化到部门标准。不过这些标准虽然大多规定了风险管理过程的框架条件,但很少详细说明分析或评估风险的具体方法,所以导致在具体的应用范围内,风险评估经常出现差异,直接得出结果比较困难。
注:被作为标准发布的方法
主要的风险管理方法
在实践中,选择正确的方法和正确的工具来分析和评估风险很困难。由于数字化和网络物理系统的安全变得同样重要,仅仅关注物理安全是不够的。因此,风险管理需要涵盖所有方面。报告主要介绍了3类风险管理的方法,供企业参考:
1:用来符合现有标准的方法
EBIOS(Expression des Besoins et Identification des Objectifs de Sécurité)Risk Manager
EBIOS Risk Manager是一种信息安全风险管理方法,由法国国防总秘书处创建,与ISO 31000和ISO/IEC 27005一致,并能满足ISO/IEC 27001的风险管理要求。
MAGERIT(Method for the Harmonised Analysis of Risk )
Magerit是西班牙电子政务高级委员会开发的风险分析和管理的公开方法。Magerit用户通过研讨会和访谈来承担运行风险分析过程的责任,组织的特定代表只参与评估过程中的特定阶段。它符合ISO/IEC 27005,涵盖了ISO/IEC 27001定义的所有要求,并符合ISO/IEC 27002:2005规定的ISMS的实施准则。
2:制定已发布标准的配套措施
NIST 800-30
NIST 800-30是一份免费的指南,为制定有效的风险管理方案提供了基础,其中包含了评估和减轻IT系统内识别的风险所需的定义和实践指导。其最终目标是帮助大多数大规模的组织(如政府机构和大公司)更好地管理与IT相关的任务风险。该方法符合ISO/IEC 27001的规定。
3:与标准无关但基于具体实践的工具
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)Method
OCTAVE是一种免费的信息安全风险评估方法,它具备全面的、系统的、上下文驱动的和自我导向的特征。该方法体现在定义信息安全风险资产驱动评估的基本要素的标准中。
CRAMM(CCTA Risk Assessment and Management Methodology )
CRAMM是分析员通过分析和结合分布在当地公司环境中的各种知识来评估组织的安全和风险水平的方法。该方法基于定性的方法来确定结果。该方法符合ISO/IEC 27001标准规定的规则和义务。
IT-Grundschutz
IT-Grundschutz由德国联邦信息安全办公室开发,为建立综合有效的IT安全管理提供了配置。该方法在开始进行风险分析之前,先进行一个基本的安全检查来验证已经实施的安全措施,确定没有被避免的威胁,如残余威胁。这些威胁可以通过额外的安全措施来消除。通过这种方式,风险将被降低到可接受的水平。该方法是一种定性的风险分析方法,与一种原始的计算技术相关,用于分析和关联评估信息。该方法符合ISO/IEC 27001标准,同时也适合实施ISO/IEC 27002中描述的ISMS过程。
MEHARI
MEHARI是CLUSIF(法国信息安全俱乐部/Club de la Sécurité de l"Information Français)开发的一种免费的定性风险分析和管理方法。该方法提供了适当的知识库,如描述不同模块(利害关系、风险、脆弱性)的手册和指南,旨在帮助参与安全管理的人员(CISO、风险经理、审计师、CIO)完成其任务。该方法适用于实施ISO/IEC 27001所描述的ISMS过程。
ISAMM(Information Security Assessment and Monitoring Method)
ISAMM是一种定量类型的风险管理方法,可以被各种组织采用,如政府机构、大公司和中小型企业。该方法符合ISO/IEC 27002标准,并对ISO/IEC 27001 ISMS标准提供了最大的支持。
支持风险管理的其他系统和工具
目前,企业在风险管理过程中还可以采用的系统或工具包括BCEB、CVE等。具体如下:
BCEB(Baldrige Cybersecurity Excellence Builder ):一种自我评估工具,帮助组织更好地了解其网络安全风险管理工作的有效性,以及在整体绩效的背景下,识别改进的机会。
CVE(Common Vulnerabilities and Exposures):该系统为已知的信息安全漏洞和暴露提供了参考方法。
CVSS(Common Vulnerability Scoring System):一个开放的框架,用于交流软件漏洞的特征和严重性。CVSS非常适合作为需要准确且一致的脆弱性严重程度评分的行业、组织和政府的标准测量系统。
SCAP(Security Content Automation Protocol):一个源自社区想法的可互操作规范的综合体。该网站包含与NIST安全自动化议程相关的现有SCAP规范和新兴规范的信息。
OWASP威胁建模工具:一个开源工具,用于识别、沟通和理解威胁和缓解措施,其应用广泛,可应用于软件、应用程序、系统、网络、分布式系统、物联网中的事物、业务流程等之中。
FAIR Privacy (Factors Analysis in Information Risk):一个基于FAIR(信息风险中的因素分析)的定量隐私风险框架。其只检查个人隐私风险。该工具包括一个说明FAIR Privacy组成部分的PPT,以及一个基于美国人口普查的示例。
SRAQ在线风险计算器:采用技术方法进行风险评估,包括四个方面:识别威胁;制定系统图;建议控制;制定风险处理计划。
漏洞登记册和数据库(Vulnerability registers and databases):风险评估的成功依赖于这些登记册和数据库以及其中使用的格式、指标和程序。其为每个漏洞提供了唯一的标识符,为信息提供了结构化和机器可读的格式,通常还提供了修复和补丁的参考。
风险管理标准和方法的实际应用
风险管理标准和方法在一个组织中可用于多种目的:
•建立或加强组织内数字风险的管理流程;
•评估和处理与数字项目相关的风险,特别是以安全认证为目的的风险;
•根据产品或服务的特定用途和应对的风险,从认证或认可的角度,定义产品或服务要达到的安全级别。
在实际应用前,重要的是了解ICR可能存在的风险的两个主要参与者,威胁源和资产。
1) 从威胁源到资产暴露的流程
流程包括威胁源创造威胁,威胁利用脆弱性,脆弱性导致风险,风险影响资产,最终导致资产暴露。
(该图说明了威胁源与资产暴露之间的步骤和因果关系,通常称为“网络攻击”。风险管理及其相关的方法和工具是一套评估组织所面临的风险水平需要遵循的要求。)
2) 根据目标资产的价值,威胁源可以有不同的方面和级别
任何实体在开始其风险分析时应采取的必要步骤可总结如下:
•第1项:识别关键资产(数据、材料、地点、人员);
•第2项:确定关键资产的威胁;
•第3项:定义威胁的发生及其重要性,以计算风险率;
•第4项:决定如何减轻风险(减少、接受、转移);
•第5项:规划业务连续性计划和业务恢复计划;
•第6项:定义IT图谱或产品使用环境。
为了执行这六个步骤,可以实际应用与EBIOS RM评估方法相关的ISO/IEC 27005风险管理标准。
风险管理的建议
基于上述分析,针对不同的利益相关者提出了有关使用风险管理标准的建议。
针对于政策制定者:应使用在监管机构的出版物中已经采用的风险管理标准;在必要时对特定部门强制使用特定的风险评估方法或工具;当没有适合特定行业的风险管理标准或风险评估方法或工具时,政策制定者可以请求特定行业的相关机构制定适用于该行业的风险管理标准或风险评估方法或工具;建立一个特设工作组以确定一些标准来定义相关立法中提到的风险水平。该特设工作组应提供必要的风险工具来计算风险估计,并根据所确定的级别对结果进行分类。
针对相关的组织:鼓励相关组织使用统一的概念、术语和定义。一个术语对应一个概念,避免不同风险评估标准会导致在安全概念、术语、定义以及概念之间产生偏差。
针对相关网络安全机构:应定期发布涵盖不同领域和部门的已批准风险管理标准的概述;应发布涵盖不同领域和部门的认可方法和工具的概述;应鼓励和支持不同学科和部门开发或推进有关部门特定风险评估以及处理风险的方法和工具的工作,以加强利益相关者之间的合作;应建立一个机制,在风险管理的各个方面协助其他利益相关者。
如需获取《RISK MANAGEMENT STANDARDS——Analysis of standardisation requirements in support of cybersecurity policy》报告全文,请于“赛博研究院”公众号后台回复“报告1”,即可查阅!
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。