信息安全管理成为信息安全保障的热点

1、风险评估的国际动态汇报要点信息安全管理成为信息安全保障的热点泰德带来的启示风险评估和等级保护的关系信息安全管理成为信息安全保障的热点IT IS $！信息就是财富,安全才有价值。CI: Critical InfrastructureCIP: Critical Infrastructure ProtectionCII: Critical Information Infrastructure.CIIP: Critical Information Infrastructure Protection技术提供安全保障功能，但不是安全保障的全部提高人的安全意识，技术、管理两手抓成为国际共识。标准化组织和行业

2、团体抓紧制定管理标准ISO 13335 正在重组修改正在修订17799BS 7799-2 成为国际标准正在讨论NIST 在联邦IT系统认证认可的名义下提出大量规范SP 800-18 IT系统安全计划开发指南 （1998年12月 ） SP 800-26 IT系统安全自评估指南（2001年11月）SP 800-30 IT系统风险管理指南（2002年1月发布，2004年1月21日 修订 ）SP 800-37 联邦IT系统认证认可指南（2002年9月，2003年7月，2004年5月最后文本）FIPS 199联邦信息和信息系统的安全分类标准（草案第一版）（2003年12月）SP 800-53联邦信息系统

3、安全控制（2003年8月31日发布草案） SP 800-53A联邦信息系统安全控制有效性检验技术和流程（计划2003至2004年出版）SP 800-60 信息和信息类型与安全目标及风险级别对应指南（2004年3月草案2.0版)Managing Enterprise Risk and Achieving More Secure Information Systems involves Categorizing (enterprise information and information systems) Selecting (appropriate security controls) Ref

4、ining (security controls through a risk assessment) Documenting (security controls in a system security plan) Implementing (security controls in new and legacy systems) Assessing (the effectiveness of security controls) Determining (enterprise-level risk and risk acceptability) Authorizing (informat

5、ion systems for processing) Monitoring (security controls on an ongoing basis) 国际信息系统审计与控制协会 (ISACA) 提出：1. IS Risk Assessment, effective 1 July 20022. Digital Signatures, effective 1 July 20023. Intrusion Detection, effective 1 August 20034. Viruses and other Malicious Logic, effective 1 August 2003

6、5. Control Risk Self-assessment, effective 1 August 20036. Firewalls, effective 1 August 20037. Irregularities and Illegal Acts Effective 1 November 20038. Secuurity AssessmentPenetration Testing and Vulnerability Analysis, effective 1 September 2004提出信息和相关技术的控制目标(CoBIT)CoBIT开发和推广了第三版，CoBIT起源于组织为达到业

7、务目标所需的信息这个前提 CoBIT鼓励以业务流程为中心，实行业务流程负责制CoBIT还考虑到组织对信用、质量和安全的需要它提供了组织用于定义其对IT业务要求的几条信息准则：效率、效果、可用性、完整性、保密性、可靠性和一致性。CoBIT进一步把IT分成4个领域计划和组织，获取和运用，交付和支持，监控和评价。共计34个IT业务流程。其中3个与信息安全直接密切相关的业务流程是：计划和组织流程9评估风险：传递和支持流程4确保连贯的服务；传递和支持流程5保证系统安全。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。后者是

8、用来评估和审计对IT流程控制和治理的程度。国际CIIP手册(2004)Part II Analysis of Methods and Models for CII Assessment1 Sector Analysis 2 Interdependency Analysis 3 Risk Analysis 4 Threat Assessment 5 Vulnerability Assessment6 Impact Assessment7 System Analysis2002年版Technical IT-Security ModelsRisk Analysis Methodology (for

9、IT Systems)Infrastructure Risk Analysis Model (IRAM)Leontief-Based Model of Risk in Complex Interconnected Infrastructures Sector and Layer Model, Sector Analysis, Process and Technology Analysis, Dimensional Interdependency Analysis.泰德带来的启示风险三角形风险资产威胁脆弱性泰德眼中的Information Security Governance标准体系（ ISM

10、S）BS 7799 Part 2Corporate GovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC 17799ISMS StandardsISO/IEC 17799 and BS 7799-2Security processes and control compliance statementsControls and control implementation adviceControlsNON-MANDATORY StatementsRisk assessmentAudit/reviewsMANDATORY StatementsRisk a

11、ssessment, treatment and managementCompliance audit/reviews (SHALL statements)Governance principlesISMS Specifications ISMS StandardsManagement system specs, guidance & auditingBS 7799 Part 2ISMS Guidelines (risk assessment, selection of controls) GMITS/MICTSISO/IEC 18044 Incident handling PD 3000 s

12、eries on risk and selection of controlsISMS Control Catalogues ISO/IEC 17799Management system certification and accreditation standards (auditing process, procedures etc) ISO Guide 62EA7/03 EN45013EN45012 ISO19011ISO9001National schemes and standardsProduct StandardsTechnical implementation and spec

13、ification standardsEncryptionAuthenticationDigital signaturesKey managementNon-repudiationIT network securityTPP servicesTime stampingAccess controlBiometricsCardsProduct and product system testing and evaluationISO/IEC 15408 Evaluation criteriaProtection profilesISMS StandardsBS 7799-2:2002PLANDOAC

14、TCHECKPDCA ModelDesign ISMSImplement & use ISMSMonitor & review ISMSMaintain & improve ISMSRisk based continual improvement framework for information security managementISO/IEC 17799新老版本对比Security policySecurity organisationAsset classification & controlPersonnel securityPhysical & environmental sec

15、urityCommunications & operations managementAccess controlSystems development & maintenanceBusiness continuityCompliance2000 versionSecurity policyOrganising information securityAsset managementHuman resources securityPhysical & environmental securityCommunications & operations managementAccess contr

16、olInformation systems acquisition, development and maintenance Business continuity managementComplianceInformation security incident managementnew versionSecurity policyOrganising information securityAsset managementHuman resources securityPhysical & environmental securityCommunications & operations

17、 managementAccess controlInformation systems acquisition, development and maintenance Business continuity managementComplianceInformation security incident managementnew versionISMS StandardsRevision of ISO/IEC 17799:2000Satisfy requirementControl (plus supporting text)Staterequirement2000 editionCo

18、ntrol ObjectiveControl Implementation guidance Other information Revised editionControl Objective新老版本变化ISO/IEC 17799new editionISO/IEC 17799old edition9 old controls deleted16 new controls added118 controls remaining老版本: 包含10个控制要项，36 个控制目标，127 个控制措施新版本: 11个 39个 134个风险评估如何贯穿于安全管理BS 7799-2:2002设计 ISMS

19、Implement and use the ISMSMonitoring and review the ISMSImprove and update the ISMS计划DOCHECKACTISMS定义 ISMS 的执行范围和政策执行风险评估对风险评估处理作出决定 选择控制ISMS StandardsBS 7799-2:2002Design the ISMS执行和使用 ISMSMonitoring and review the ISMSImprove and update the ISMSPLAN行动CHECKACTISMS执行风险评估处理计划执行控制执行意识/培训将 ISMS 放到 操作使用

20、中ISMS StandardsBS 7799-2:2002Design the ISMSImplement and use the ISMS监控和检查ISMSImprove and update the ISMSPLANDO检查ACTISMS执行监控进程执行定期检查 检查剩余风险和可接受的风险内部审计ISMS StandardsBS 7799-2:2002Design the ISMSImplement and use the ISMSMonitoring and review the ISMS改进和升级ISMSPLANDOCHECKACTISMS实现改进矫正性和预防性的活动传达结果 检查改进

21、达到的目标ISMS AssetsBusiness processesInformation PeopleServicesICTPhysical locationApplications asset directoryAssetsCorporate imagePeopleInformation/information systems ProcessesProducts/servicesApplicationsICTPhysicalISO/IEC 17799 7.1.1 Inventory of assetsISMS RisksAsset threats &vulnerabilitiesAsset

22、 value & utility asset directoryAssetsCorporate imagePeopleInformation/information systems ProcessesProducts/servicesApplicationsICTPhysicalRisk treatmentRisks & impactsRisk treatment风险等级不可容忍的风险可容忍的风险很少发生业务暴露持续的业务暴露对业务影响的因果关系较小对业务产生灾难性影响的因果关系业务影响低 (可忽略, 无关紧要,为不足道, 无须重视) 中低(值得注意, 相当可观但不是主要的) 中 (重要, 主

23、要)中高 (严重危险, 潜在灾难)高 (破坏性的, 总体失灵,完全停顿)保密性要求 (C)资产价值分级描述1 低可公开非敏感信息和信息处理设施及系统资源，可以公开.。2 中仅供内部使用或限制使用非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使用。3 高秘密或绝密敏感的信息或信息处理设施和系统资源，只能根据需要（need-to-know ）或严格依据工作需要。资产分级 完整性要求 (I)资产价值分级描述1 低低完整性对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。2 中中完整性对信息的非授权的损害或更改不会危及业务应用，但

24、是值得注意以及对业务的影响是重要的。3 高高或非常高完整性对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应用的重大或全局失败。资产分级可用性要求 (A)资产价值分级描述1 - 低低可用性资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍多于一天的不能使用。2 中中可用性资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍半天到一天的不能使用。3 高高可用性资产 (信息,信息系统 系统资源/网络服务,人员等.) 可以容忍几个小时的不能使用。4 非常高非常高的可用性 资产 (信息,信息系统 系统资源/网络服务,人员等.) 必须保证每年每周24x

25、7 工作。资产分级威胁和脆弱性估计威胁应该考虑它们出现的可能性，以及可能利用弱点/脆弱性可能性。实例不太可能发生的机会小于可能出现的机会小于 25%很可能/大概机会 50:50高可能发生的机会多于 75%非常可能不发生的机会小于1/10绝对无疑100%会发生风险控制Risk thresholdRisk level风险控制Continual Improvement启示风险评估是出发点等级划分是判断点安全控制是落脚点风险评估和等级保护的关系27号文件把实施信息系统安全等级保护作为重要基础性工作。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。我们国家为实施等级保护奋斗了20年。 实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，