标准解读:关于1730-2008工信部风险评估实施指南不得不说的二三事
2019-11-14 10:30:26 Author: www.freebuf.com(查看原文) 阅读量:164 收藏

要做风险评估,首先要懂流程怎么走;要写风险评估报告,得懂实施指南。工信部的风险评估严格按照《1730-2008 电信网和互联网安全风险评估实施指南》来执行的。

一、范围

这段话为这部标准定下了地位,主要针对于电信网和互联网的风险评估工作,也就是说,只要对方需要做工信部的风险评估,那么都必须严格按照这一部来走。

那么这一部跟《20984-2007 信息安全技术 信息安全风险评估规范》国标的风险评估规范对比来说,也是换汤不换药的,基本大纲是一致的,区别就在于资产识别和风险赋值。

二、主要术语

三、风险评估框架及流程

3.1各要素之间的关系

业务战略依赖资产。两者成正比关系。

业务战略++ 资产++ 风险++

威胁++ 风险++

脆弱性++ 威胁++ 风险++

威胁àà利用àà脆弱性àà暴露àà资产==风险

安全措施++ 风险–

风险!=0

残余风险要监视

3.2实施流程

3.3 工作形式

工作形式:自评估 & 检查评估

自评估为主,自评估和检查评估相互结合,互为补充

自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持

一般来说,做自评估价格比较低,容易实现,最后再让第三方测评机构进行验收即可,提供风险评估的章。

检查评估的话,一般的第三方测评机构做二级和三级的系统较多,一级是自身能整改的,五级涉及国家机密,四级的也很少。每个公司的检查评估流程细化不一致,但是大致肯定是按照3.2来执行的。

三级系统又分为3.1和3.2,每个系统的级别都是依据系统的社会影响力、规模还有服务范围确定的,可以参照《增值电信业务系统安全防护定级和评测实施规范》(那一整个系列,因为不同的系统不同的定级)。

一般来说,比较知名的,用户量比较大的都会是3级系统,一般情况来说是3.1级,除非是设计P2P系统(涉及到金融类的)才会上升到3.2级。

3.4 遵循的原则

遵循的原则:标准性原则、可控性原则、完备性原则、最小影响原则、保密原则

四、风险评估实施

4.1 风险评估准备的六大板块

4.2 资产识别

(不同于国标风险评估的一个点)

具体可回归第2点的术语。

而国标的风险评估是以资产的机密性、完整性、可用性三个属性来决定的。

资产分类:数据、软件、硬件、服务、文档、人员、其他

(制度规定那些都算是资产)

资产赋值:①社会影响力②业务价值③可用性④资产价值

(1-5级)

比如:

4.3 威胁识别

威胁来源分类:技术因素、环境因素、人为因素(恶意人员和非恶意人员)

威胁分类:软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖

威胁赋值–威胁出现频率(1-5级)

4.4 脆弱性识别

识别方法:问卷调查、工具检测、人工核查、文档查阅、渗透性测试

脆弱性识别内容:

①技术脆弱性:物理环境、设备(含操作系统)、网络、数据库、业务/应用

②管理脆弱性:技术管理、组织管理

脆弱性赋值–脆弱性严重程度

脆弱性赋值:

4.5 已有安全措施确认

五、风险分析

风险的计算这部分还没能实战,所以表达不出个所以然。

计算完结果判定

风险评估所需要的一系列文件

风险评估中文档占据一部分内容,主要体现在安全管理方面,企业做了什么都需要记录以及日志文件,因为不知道自己做了什么,那还怎么保障自身的运行安全。

六、风险评估在电信网和互联网及相关系统生命周期中的不同要求

不同的阶段需要考虑不一样的影响,不同的针对对象。

*本文原创作者:咸味奶黄豆沙包,本文属于FreeBuf原创奖励计划,未经许可禁止转载


文章来源: https://www.freebuf.com/articles/security-management/215749.html
如有侵权请联系:admin#unsafe.sh