信息安全风险评估与安全预算

我国信息化建设的不断加速,政府、企业、学校、医院等各类组织都在积极运用IT带来的种种好处,随着各部门对信息系统不断增长的依赖性,信息系统的脆弱性日益暴露,安全问题凸现出来。各类组织对于安全问题都表现出前所未有的关注,安全预算也逐年提高,如何通过有效的手段,保证有限的安全预算发挥出最大的效果,以保证组织的信息安全,本文期待和读者一同讨论。

一、 如何看待信息化建设中的安全预算

安全预算是组织为保护其信息资产,保证自身可持续发展而投入的资金,是组织的一种预防行为。

安全预算多少合适,是不是投入得太多了?为什么投入大量资金,还是出现安全事故?每年到了年终各个组织的CIO、CSO都忙着计算安全投入的回报如何。虽然,在信息化进程中,安全问题越来越受到关注,但是信息安全事件仍然是呈现递增的趋势。从安全预算的角度究其原因:一是预算不足;二是预算不到位。

在国外,安全投入占企业基础投入的5%~20%,而在中国却很少超过2%。从风险的角度看,就是要平衡成本与风险之间的关系,用一百万美金保护三十万的资产,显然是不可接受的,但是如果资产的价值超过了一千万美金,那效益就显而易见了。经常会看到有关CIO难当的一些文章,目前用一个量化的方法来计算信息化建设对于组织战略发展的贡献确实比较难。

一年下来,组织并没有发生重大的信息安全事件,年初的安全预算可能就会被质疑投入太多了;如果发生了不可接受的安全事件,那就成了CIO的责任。安全预算到底够不够?我们可以通过宏观的情况来分析一下风险与成本的关系,每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算,我国也有数百亿美元的经济损失,然而安全方面的投入却不超过几十亿美元。

由此可以看出,我国整体信息化建设,安全预算不足。风险是安全事件发生的可能性和影响程度的函数,单一的个体没有发生安全事件,并不能直接推理得出其安全预算是科学的合理的。在目前的情况下,一般组织的安全预算在信息化过程中仍显不足。

组织可能在安全方面投入了很多,但是仍然发生"不可接受的"信息安全事故。信息安全理论中有名的木桶理论,很好的解释了这种现象。组织在信息安全方面的预算不够系统而导致了ROI不成比例。很多组织每年在安全产品上投入大量资金,但是却不关注内部人员的考察、安全产品有效性的审核等安全要素。缺乏系统的、科学的管理体系的支持,是导致这种结果产生的原因。

二、 制定科学的安全预算

信息安全的预算如何制定?这个问题或许对于很多企业的高层管理者来说都比较头疼。其实要解决的就是预算多少和怎么用的问题。说安全预算难做,一是因为信息安全涉及到很多方面的问题,例如:人员安全、物力安全、访问控制、符合法律法规等等。二是很难依据某种科学的量化的输入得出具体的预算费用。

组织的目的是要保护其信息和信息资产的安全,那么安全预算是否合理,应该关注以下几个方面:

1、是否"平衡"了成本与风险的关系;
2、是否真正用于降低或者消除信息安全风险,而不是引入了新的不可接受风险;
3、被关注的风险是否具有较高的优先等级(因为组织不可能完全避免安全风险);

信息安全风险评估恰恰很好的解决了以上的问题,组织通过制定科学的风险评估方法、程序,对于那些为达成组织战略目标起到关键作用的信息和信息资产进行评估,最终得出这些关键信息及信息资产所面临的风险,然后针对不同风险制定相应的处理计划,提出所需要的资源,从而使风险评估辅助安全预算的制定。

三、 风险评估过程

目前国际和国内都有一些比较成熟的风险评估标准及指南,如BS 7799,ISO 13335,OCTAVE方法,NIST SP800-30等。对于风险评估过程的描述不尽相同,通常包括下述几个过程:

1、 确定评估的范围、目的、评估组、评估方法等;
2、 识别评估范围内的信息资产;
3、 识别对于这些资产的威胁;
4、 识别可能利用这些威胁的薄弱点;
5、 识别信息资产的损失给组织带来的影响;
6、 识别威胁时间发生的可能性;
7、 根据"影响"及"可能性"计算风险;
8、 确定风险等级及可接受风险的等级;

我们假设评估的目的之一是为了制定科学的安全预算,那么在整个风险评估的过程中,组织就应该考虑风险评估过程应该输出那些必要的信息,信息的表示方式如何等问题。例如,风险评估的方法,如果采用简单的评估方法,其输出的结果往往不够细致,进而不能很好的辅助制定预算的决策过程。从整个评估的过程看,组织应该考虑以下几方面的问题:

1、风险评估过程中的各类角色

风险评估过程中,通常需要来自业务部门和技术部门及管理层的人员共同组成风险评估小组。考虑到风险评估的结果需要为制定安全预算提供信息输入,那么在整个风险评估的过程中,都应该考虑到组织内部对制定预算起到关键作用的管理层人员的加入。一方面能够使其全面了解到评估过程;一方面可以很好的将评估的结果及预算的结果与管理层进行沟通。

2、风险评估方法及所涉及的判定准则

风险评估通常采用定性和定量的分析方法。组织需要更多地考虑如何量化一些关键指标,作为风险评估过程中各个因素评价的判定准则。这样的准则更有利于关注风险与控制成本之间的关系,也更利于各部门横向沟通,及与管理层的纵向沟通。

3、系统的考虑导致风险的威胁及薄弱点

组织在进行风险评估时,应该系统的考虑来自各个方面的威胁。目前,仍然有很多组织对于风险评估的理解还停留在"技术关注"的层面,这样的风险评估显然是不够的。国际标准ISO/IEC 17799《信息技术–信息安全管理实施细则》,给出了信息安全的十大管控内容,127项控制点。组织可以参照此标准所提及的各类控制点,对比其信息及信息资产是否存在相应的薄弱点。这样的评估结果才能全面反映组织所面临的各类风险,使所选择的控制更加系统全面。

4、选择适当的控制措施

针对风险评估所产生的不可接受风险,组织应该采取一定的控制措施,对风险进行处理。风险的处理方式通常包括:降低风险、转移风险、避免风险、接受风险。同一风险的处理方式可能不同,同样的处理方式所采取的控制措施也可能不同。组织应该考虑来自管理和技术两方面的控制措施。而这样的控制措施并非一定要将风险完全规避,而是要降低到一个组织可以接受的水平。另外控制措施的选择也要考虑到成本的问题。

四、 风险评估在系统生命周期不同阶段的应用

风险评估不仅仅可以在每个财政年度为组织的安全预算提供辅助的支持,并且在信息化的过程中,信息系统建设生命周期的不同阶段都可以对项目的安全预算提供支持。在不同的阶段,风险评估所表现出的价值是不同的,组织可以跟据不同阶段的关注点(见表2),更多的考虑安全预算的投入方向,解决系统生命周期不同阶段,对于安全的不同要求。

生命周期阶段 阶段特征 来自风险评估活动的支持

阶段1–规划和启动 提出信息系统的目的、需求、规模和安全要求。 风险评估活动可用于确定信息系统安全需求。

阶段2–设计开发或采购 信息系统设计、购买、开发或建造。 在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。

阶段3–集成实现 信息系统的安全特性应该被配置、激活、测试并得到验证。 风险评估可支持对系统实现效果的评价,考察其是否能满足要求,并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。

阶段4–运行和维护 信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略或流程等。 当定期对系统进行重新评估时,或者信息系统在其运行性生产环境(例如新的系统接口)中做出重大变更时,要对其进行风险评估活动,保证信息安全。

阶段5–废弃 本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的转移、备份、丢弃、销毁以及对软硬件进行的密级处理。 当要废弃或替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的废弃处置,且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。

组织不需要部署所有的安全产品,也没有必要追求风险最小化。没有任何一套安全方案可以完全保证信息的安全,通过风险评估,了解安全要求,认知安全风险,采取安全控制,才能有效地保证安全预算与风险的平衡,系统地保证组织的信息安全,使信息化建设的投入为组织战略目标的达成做出贡献。