【SDL实践指南】安全风险处理实施

Al1ex

发布于 2023-03-29 14:04:11

4040

发布于 2023-03-29 14:04:11

文章被收录于专栏：网络安全攻防

基本介绍

信息安全风险管理是信息安全保障工作中的一项重要基础性工作，其核心思想是对管理对象面临的信息安全风险进行管控。信息安全风险管理工作贯穿于信息系统生命周期(规划、设计、实施、运行维护和废弃)的全过程，主要工作过程包括风险评估和风险处理两个基本步骤，风险评估是对风险管理对象所面临的风险进行识别、分析和评价的过程，风险处理是依据风险评估的结果，选择和实施安全措施的过程。

术语概念

风险处理(Risk Treatment)选择并且执行措施来更改风险的过程
风险转移(Risk Mitigation)与另一方对风险带来的损失或收益的共享
风险规避(Risk Elimination)不卷入风险处境的决定或撤离风险处境的行动
风险降低(Risk Reduction)为降低风险的可能性和(或)负面结果所采取的行动
风险接受(Risk Retention)对来自特定风险的损失或收益的接受
风险处理目标(Risk Treatment Target)通过风险处理活动的实施所要达到的最终目标
风险处理评价(Risk treatment evaluation)将风险处理措施实施后的结果与风险处理目标进行比较、分析，以确定风险处理效果的过程

实施概述

合规原则：风险处理目标的确立和风险处理措施的选择应符合法律、法规、政策、标准和主管部门的要求
有效原则：在合规原则的前提下,风险处理的核心目的就是通过采取风险处理活动,有效地控制风险,使得处理后的风险处于组织的可承受范围之内。
可控原则：明确风险处理的目标、方案、范围、需要实施的风险处理措施及风险处理措施本身可能带来的风险，明确风险处理所需的资源，确保整个风险处理工作的可控性
最佳收益原则：根据确立的风险处理目标,运用成本效益分析的方法，综合分析各种风险处理措施的成本、时间和技术等因素以及能够获取的收益，选择收益最佳的风险处理措施

处理方式

基本概述

风险处理的方式主要有风险降低、风险规避、风险转移和风险接受四种，这四种方式并不互相排斥，组织可以通过多种风险处理方式的合理组合充分获益

风险降低

通过对面临风险的资产采取保护措施来降低风险，保护措施可以从构成风险的5个方面(即威助源、威胁行为、脆弱性、资产和影响)来降低风险，比如:采用法律的手段制裁计算机犯罪(包括窃取涉密信息、攻击关键的信息系统基础设施、传播有害信息、垃圾邮件等)发挥法律的威慑作用，从而有效遏制威胁源的动机：采取身份认证措施,从而抵制身份假冒威胁行为的能力;及时给系统打补丁(特别是针对安全漏洞的补丁)，关闭无用的网络服务端口从而减少系统的脆弱性，降低其被利用的可能性，采用各种防护措施建立资产的安全域，从而保证资产不受侵犯，其价值得到保持，采取容灾备份、应急响应和业务连续性计划等措施，从而降低安全事件造成的影响程度

风险规避

通过不使用面临风险的资产来避免风险。比如在没有足够安全保障的信息系统中不处理敏感的信息，从而防止敏感信息的泄漏，再如对于只处理内部业务的信息系统不使用互联网，从而避免外部的人侵和攻击

风险转移

通过将面临风险的资产或其价值进行安全转移来避免或降低风险，比如在本机构不具备足够的安全保障技术能力时将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构，从而避免技术风险，再如通过给昂贵的设备上保险将设备损失的风险转移给保险公司，从而降低资产价值的损失

风险接受

对风险不采取进一步的处理措施，接受风险可能带来的结果，风险接受的前提是确定了信息系统的风险等级，评估了风险发生的可能性以及带来的潜在破坏，分析了使用处理措施的可能性并进行了较全面的成本效益分析，认定某些功能、服务、信息或资产不需要进一步保护

角色职责

信息安全风险处理应该组建团队，分清角色、明确职责。风险处理团队可以分为管理层和执行层，其中管理层负责审查风险处理目标、批准风险处理方案并认可风险处理结果，执行层负责确定风险处理目标、编制风险处理方案并在风险处理方案获得批准后负责实施，必要时可聘请相关专业的技术专家组成专家小组指导风险处理工作

处理流程

风险处理的基本流程包括了三个阶段的工作，分别为风险处理准备阶段、风险处理实施阶段、风险处理效果评价阶段，如下图所示：

第一个步骤是风险处理准备，确定风险处理的范围并明确风险处理的依据，组建风险处理团队，设定风险处理的目标和可接受准则，选择风险处理方式，明确风险处理资源，形成风险处理计划并得到管理层对风险处理计划的批准
第二个步骤是风险处理实施，准备风险处理备选措施，进行成本效益分析和残余风险分析，对处理措施进行风险分析并制定应急计划，编制风险处理方案，待处理方案获得批准后要对风险处理措施进行测试，测试完成后，正式实施。在处理措施的实施过程中要加强监管与审核
第三个步骤是风险处理效果评价，制定评价原则和方案开展评价实施工作，对没有达到处理目的的风险要进行持续改进，风险处理工作是持续性的活动，当受保护系统的政策环境、业务目标、安全目标和特性发生变化时，需要再次进入上述步骤

处理准备

制定风险处理计划

划定风险处理范围

根据风险评估报告、组织的安全管理策略及安全需求划定风险处理工作的范围，在确定风险处理的边界时应考虑以下因素：

业务系统的业务逻辑边界
网络及设备载体边界
物理环境边界
组织管理权限边界
其他

明确风险处理依据

风险处理的依据包括(但不限于)：

现行国际标准、国家标准和行业标准
国家的相关法律、法规和政策
行业主管部门相关规章和制度
组织业务战略和信息安全需求
组织业务相关单位的安全要求
系统本身的安全要求等

组建风险处理团队

信息安全风险处理是基于风险的信息系统的一种安全管理过程，因此风险处理团队既包括信息安全风险管理的直接参与人员也包括信息系统的相关人员，信息安全风险处理主要划分为管理层和执行层：

管理层负责信息系统风险处理的决策、总体规划和批准监督各过程中管理、组织和协调工作
执行层负责信息安全风险处理的具体规划、设计和实施，过程监督、记录以及反馈实施效果

设定风险处理目标

根据信息系统风险评估结果，依据国家相关信息安全要求组织和相关方的信息安全诉求明确风险处理对象应达到的最低保护要求，结合组织的风险可承受程度确定风险可接受准则，风险可接受准则的划分可参考如下标准：

风险等级为很高或高的风险建议进行处理，对于现有处理措施技术不成熟的则建议加强监控
风险等级为中的风险可根据成本效益分析结果确定，对于处理成本无法承受或现有处理措施b技术不成熟的，可持续跟踪、逐步解决
风险等级为低或很低的风险可选择接受，但应综合考虑组织所处的政策环境和外部相关方要求和组织的安全目标等因素
风险可接受准则宜与管理层充分沟通，得到组织管理层认可并与风险处理计划一起提交管理层批准

选择风险处理方式

根据风险处理可接受准则明确需要处理的风险和可接受的风险，对于需要处理的风险应初步确定每种风险拟采取的处理方式并形成风险处理列表，风险处理方式可以是规避风险、转移风险、降低风险三种处理方式的一种，也可以是多种处理方式的组合，风险处理列表的内容包括风险名称、涉及的资产范围、初步确定的风险处理方式等，风险处理列表需要得到组织管理层的认可和批准

明确风险处理资源

根据既定的风险处理目标明确风险处理涉及的部门、人员和资产以及需要增加的设备、软件、工具等所需资源

形成风险处理计划

上述所有内容确定后应形成风险处理计划，处理计划应包含(但不限于)，风险处理范围、依据、目标、方式、所需资源等

输人：风险评估报告、风险等级列表
输出：风险处理计划

获得管理层的批准

制定完成并确认后的风险处理计划应得到组织最高管理者的批准

输人：风险处理计划
输出：风险处理计划批准表

风险处理

风险处理方案制定

备选措施准备

依据组织的使命并遵循国家、地区或行业的相关政策、法律、法规和标准的规定，参考信息系统的风险评估报告并结合风险处理准备阶段的处理依据、处理目标、范用和方式，依据每种风险的处理方式选择对应的风险处理措施编制风险处理备选措施列表

输人：信息系统风险评估报告，风险处理目标列表，风险处理计划
输出：风险处理备选措施列表

成本效益分析

针对风险处理备选措施列表的各项处理目标，结合组织实际情况提出实现这些目标的多种可能方案，衡量各种方案的成本和收益，如果风险造成的损失大于成本则依据最佳收益原则选择适当的处理方案

对于成本效益分析可以采用定量分析和定性分析两种方法，对于定量分析首先需要确定各资产价值，为各个风险输人资产价值，确定资产面临的损坏程度，之后估计发生的可能性进而以损失价值与发生概率相乘计算出预期损失，由于评估无形资产的主观性本质没有量化风险的精确算法，建议根据组织情况明确成本和效益的一到两个关键值,并设立期望值进而选择可行方案(案例可参见附录 A)

在进行成本效益分析时应考虑的成本因素主要包括硬件、软件、人力、时间、维护、外包服务，效益应考虑的因素主要包括政治影响、社会效益、合规性和经济效益

输人：风险处理备选措施列表
输出：风险处理成本效益分析报告，更新后的风险处理备选措施列表

残余风险分析

任何信息系统都存在风险，同时风险不可能完全被消除，因此需对实施风险处理措施后的残余风险进行分析，对残余风险的评价可以依据组织的风险评估准则进行，若某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内，则应通过管理层依据风险接受原则考虑是否接受此类风险或增加更多的风险处理措施，为确保所选择的风险处理措施是有效的，必要时可进行再评估以判断实施风险处理措施后的残余风险是否降到了可接受的水平

输人：风险处理备选措施列表
输出：风险处理残余风险分析报告、更新后的风险处理备选措施列表

风险分析应急

根据分析处理措施备选列表对每项实施该处理措施可能带来的风险进行分析，确认是否会因为处理措施不当或其他原因引人新的风险，针对存在的风险制定应对的方案以提高实现风险处理目标的机会并保证在出现问题时可以及时回退到原始状态。应急计划应包括处理措施面临的主要风险，针对该风险的主要应对措施，每个措施应有明确的人员来负责，要求完成的时间以及进行的状态，进行处理措施风险分析和应急计划的主要步骤包括：

编制风险清单，风险清单包括：可预知的风险、风险的描述、受影响的范围、原因以及对项目日标的可能影响
确定应对措施，在应急计划中要选择适当的应对措施，就应对措施形成一致意见同时还要预计在已经采取了计划的措施之后仍将残留的风险和可能继发的风险以及那些主动接受的风险并对不可预见风险进行技术和人员储备
细化实施所选应对策略采取的具体行动、流程、预算、设备、人员和对应的责任
对于可能发生的特定风险可采用风险转移的方式进行处理
输人：风险处埋备选措施列表
输出：风险处理备选措施应急计划

风险处理措施确认

在完成成本效益分析和残余风险分析后需对每项风险选定一种或者几种处理措施，完成最终的风险处理措施列表，然后对所有措施的成本、效益和参与的风险进行汇总，分析所选措施实施的整体成本、效益和残余风险并确定满足风险处理目标

在完成风险处理措施选择后应将最终的处理措施提交组织管理层进行确认和批准

输人;风险处理备选措施列表,风险处理成本效益分析报告，风险处理残余风险分析报告，风险处理备选措施应急计划
输出:风险处理措施选择列表

风险处理方案编制

依据机构的使命和相关规定结合处理依据、处理目标、范围和方式、风险处理措施、成本效益分析残余风险分析以及风险处理团队的组成，编制风险处理方案，风险处理方案应包括风险处理的范围、对象、目标、组织结构、成本预算和进度安排,并对每项处理措施的实施方法、使用工具、潜在风险、回退方法、应急计划以及各项处理措施的监督和审核方法及人员进行明确说明

风险处理方案编制完成后可由管理层批准或组织专家对风险处理方案进行评审

输人：风险处理措施选择列表，风险处理计划
输出：风险处理方案

风险处理方案实施

风险处理措施测试

风险处理措施测试是在风险处理措施正式实施前选择风险处理关键措施，尤其是对在线生产系统应进行测试以验证风险处理措施是否符合风险处理目标，判断措施的实施是否会引人新的风险，同时检验应急恢复方案是否有效。如果发现某项处理措施无法实施，则应重新选择处理方法，必要时需重新进行成本效益分析、风险分析和审批

输人:风险处理方案
输出:风险处理措施测试报告，更新后的风险处理方案

风险处理措施实施

在完成风险处理措施的测试工作后应按照风险处理方案实施具体的风险处理措施，在实施过程中实施风险处理的操作人员应对具体的操作内容进行记录、验证实施效果并签字确认，形成风险处理实施的记录以便后期回溯和责任认定

在风险处理措施实施过程中还应对每个风险点的处理细节进行跟踪，确认具体操作是否按照方案步骤实施、严格遵守实施后效果的验证、详细填写文件记录等,进而做到对每个风险点处理质量的控制

输人：风险处理方案
输出：风险处理实施记录，风险处理实施报告

风险处理过程监管审核

在风险处理过程中应根据风险处理方案明确风险处理质量、进度和费用等，进行督察、监控和评价以确保实现风险处理的目标，风险处理的审核应该包括以下内容：

监控过程的有效性：风险处理过程是否完整并被有效执行，输出的文档是否齐备和内容完整
监控成本的有效性:根据方案中的成本效益分析,确定执行中的成本与收益是否符合预期目标
审核结果的有效性和符合性：风险处理结果是否符合风险处理的目标，风险处理结果是否因处理措施的实施引人了其他风险或处理失效
输人:风险处理方案，风险处理实施记录
输出:风险处理实施报告

效果评价

基本概述

在风险处理完成后应评价风险处理的效果，风险处理效果评价报告是批准监督阶段工作的重要依据，风险处理效果评价一般包括：编制评价方案、评价实施效果和确定持续改进等内容

评价原则

风险处理效果评价应满足下列原则：

风险处理目标实现原则：在进行风险处理效果评价时，重点要验证风险处理目标列表中确定的目标是否实现
安全投人合理准则：既要保证残余风险程度是可接受的又要防止为了将残余风险降低到足够小而作出了远远超过实际需要的投人
残余风险可接受准则：风险处理的目的是为了将风险控制在可接受的范围内，因此评价风险处理效果就要评价实施风险处理后的残余风险是否可接受

在满足以上准则的基础上还可制定其他效果评价准则。例如,在同样安全投人和同样残余风险程度时，倾向于选择持续有效时间长的控制措施。

评价方法

风险处理效果评价方法根据风险处理结果不同可以分为残余风险评价方法和效益评价方法：

残余风险评价方法：按照GB/T 0984一2007中提供的流程和方法，评价实施风险处理后的残余风险
效益评价方法：通过分析安全措施产生的直接和间接的经济社会效益与安全投入之间的成本效益比、所实施的安全措施的成本效益比与可替代安全措施的成本效益比的比值等对所采取的安全措施的效益进行评价

风险处理效果评价的方法根据评价对象不同可以分为控制措施有效性评价方法和整体风险控制有效性评价方法

控制措施有效性评价方法：针对每个所选择的控制措施采用风险评价方法和效益评价方法
整体风险控制有效性评价方法：基于业务的风险控制评价，结合风险评估报告中相关信息，综合评价实施风险处理措施后，残余安全风险可接受程度以及安全投人的合理性

评价方案

为有效实施风险处理效果评价宜根据风险处理前期的风险评估和风险处理成果确定评价对象、评价目标、评价方法与评价准则、评价项目负责人及团队组成，做好评价工作总体计划并编制评价方案。评价方案应通过专家评审，评价方案应获得组织管理层、风险处理实施团队相关利益方的认可

输人：风险评估报告、经批准的风险处理计划、风险处理方案、风险处理实施报告及其他材料

风险评估报告：该报告包含了资产识别、威胁识别、脆弱性识别和风险分析等内容
经批准的风险处理计划：该计划包含了组织管理层认可的风险处理依据、目标、范围和处理方式、残余风险可接受程度等
风险处理方案：该方案包含了风险处理方式、风险处理控制措施等
风险处理实施报告：该报告包含了风险处理实施过程的详细信息等
其他材料:在风险处理过程中形成的其他材料

输出:风险处理效果评价方案

风险处理效果评价方案：应至少包括评价对象、评价目标、评价依据、评价方法与评价准则、评价项目负责人及团队组成、评价工作的进度安排等内容

评价实施

风险处理效果评价方案编制完成后应进行审核并获得相关利益方的认可和组织领导层的批准，在评价过程中应设置监督员对评价过程进行监控，保证评价过程客观公正，效果评价可以分为现场评价和分析评估两个阶段，现场评价阶段是指现场验证控制措施的有效性并进行记录，分析评估阶段是指使用基于资产的风险评价方法和整体风险评估方法对风险处理效果进行评价，评价完成后应编制风险处理效果评价报告，评价风险处理的效果,给出改进建议并将评价报告与相关利益者进行沟通