CIS RAM 系列#2:风险评估方法过程参数定义
笔者:国际认证信息系统审计师、软考系统分析师
一、通过CIS RAM进行风险评估的过程
CIS RAM风险评估涉及以下活动:
• 制定准则:创建定义风险评估准则和风险接受准则
• 风险建模:评估当前实施了的CIS防护措施所能避免或检测的可预见的威胁。
• 评估风险:评估按风险评分所会遇到的安全漏洞的预期和影响,然后判断能确定的风险是否可接受。
• 安全措施:设计采用能减少不可接受的风险的CIS防护措施。
• 评估推荐的CIS防护措施:对推荐的CIS防护措施进行风险分析,以确保它们在可接受的低风险下不会造成过度的负担。
针对IG1、IG2和IG3三种不同级别的企业,CIS RAM的风险评估过程都包括以上这些活动,但在如何建模风险方面将会有所不同:
IG1级别企业的 CIS RAM 过程使用CIS控制措施作为风险分析的基础进行风险建模。IG1级别的企业一般没有专家资源来帮助自己进行风险建模,因此基于控制措施的风险分析将通过询问诸如:“我们应该使用所有这些推荐的CIS防护措施,但总共有多少项?为什么要全部使用?”这样的基础问题,帮助企业进行风险建模。
IG2级别企业的 CIS RAM 过程使用资产或资产类别作为风险分析的基础进行风险建模。IG2企业一般配有一定能力的技术专家,CIS RAM 可以指导他们考虑如何保护每个资产或每种资产类别免受可预见的威胁。基于资产的风险分析,在帮助企业进行风险建模时,会提出诸如:“我们应该保护所有这些资产,但有哪些可以用到的防护措施,以及为什么是这些措施?”这样的问题。
IG3级别企业的 CIS RAM 过程使用可预见的威胁作为风险分析的基础进行风险建模。IG3企业应配备有网络安全专家,CIS RAM可以指导他们考虑可预见的威胁会如何在其企业中活动。基于威胁的分析,在帮助企业进行风险建模时,会问出:“我们应该为这些威胁做好准备,但对哪些资产使用哪些安全措施,以及为什么是这些措施?”
二、如何制定风险评估准则的关键参数
CIS RAM 的核心是使用“风险=影响x预期”的公式来评估风险。该计算方法同时评估目前观察到的风险和推荐的CIS保障措施,以便风险评估人员可以对它们进行比较,并确定推荐的保障措施是否“合理”。
风险评估人员通过创建“影响”和“预期”的定义来定义其风险评估准则。应参考每个CIS RAM模块(用于IG1、IG2和IG3)所提供的工作簿,以获得准则示例。
“影响”考虑的内容包括企业的使命(利益相关方通过企业获得的利益)、经营目标(企业的最终目标)和义务(保护他人免受伤害)。“影响”的评分说明了重要程度级数(1到5),以帮助风险评估人员一致地估计威胁可能导致产生的影响。“影响”可以通过如下模型进行定义。其中,级数“1”和“2”通过背景色表示为可接受的低影响级别。
| 影响评分 | 对企业的使命、业务目标、责任义务的影响 |
| 定义 |
企业的使命:为什么风险值得承担 企业的业务目标:达成目标要承受什么风险 企业的义务:对他人负责的关注义务。 |
| 1 可忽略的 | 描述对达成企业使命、目标和履行义务会产生影响,但后果是微不足道的因素。 |
| 2 可接受的 | 描述对达成企业使命、目标和履行义务会产生影响,但后果是可接受的因素。 |
| 3 不可接受的 | 描述对达成企业使命、目标和履行义务会产生影响,后果是不可接受的因素。 |
| 4 高度影响的 | 描述对达成企业使命、目标和履行义务会产生严重后果,但尚可恢复的影响因素。 |
| 5 灾难性的 | 描述对达成企业使命、目标和履行义务会产生不可恢复的严重后果的影响因素。 |
影响阈值的定义,应描述对所有潜在受影响各方相同的、可接受或不可接受的伤害。企业应该在建立如上表的“影响”定义时,确定对自己可忽略的、不可接受的或灾难性的影响,必须等同于对其他人来说也是可忽略的、不可接受的或灾难性的。
需要注意到,CIS RAM 的风险评估过程对IG1、IG2和IG3三种情况在使用“影响”准则定义时的不同。例如,每个IG版本都将提供定义和使用“财务目标”的选项。这有助于企业将预算请求与不同的影响程度的阈值限制进行比较,并确保企业能够轻松地支出适当的资金去应对企业试图避免发生的风险影响。此外,IG1的CIS RAM风险评估过程仅使用三个影响程度数量级,从而简化了IG1企业的风险分析过程。IG2和IG3的 CIS RAM 风险评估过程则使用所有五个级别。
当企业使用定性影响估计风险时,他们可以使用影响阈值作为影响分数。例如,如果影响阈值“3”描述了的风险影响是企业所估计的,则分数“3”可以用于风险分析。
如果企业使用定量影响估计,他们可能会将影响阈值作为跨越可接受、不可接受、高度影响的和灾难性影响的影响范围的分段。这使得企业能把影响进行比较,即使它们使用不同的度量准则(无论是对每个影响阈值使用影响评分的定性估计,还是各种定量单位,如美元、时间、伤害百分比或人口计数)。如下图所示。
企业也可以使用五级比例表(面向IG1级别企业的三级比例表),或概率百分比来定义预期值。预期是定性地表达的,使用我们熟悉的“可预见性”概念来简化估计和沟通,并采用法律当局和监管机构所使用的语言。
如下表格是对预期的定义进行定性的示例,该表格并不意味着是单一、正确的模型,只是一个示例:
| 预期的定性分值 | 预期定性分值的具体定义 |
| 1 | 不可预见 |
| 2 | 可预见,但意想不到何时发生 |
| 3 | 会发生,但不常见 |
| 4 | 常见 |
| 5 | 可能会马上发生 |
使用概率百分比的企业可以使用类似的模型,但用概率范围来表示可预见性。如下的定义表格是对预期的定义进行定量的指引示例,此表格并不意味着是单一、正确的模型,只是一个示例:
| 预期的阈值 | 预期阈值的具体定义 |
| 0% / 年 | 不可预见 |
| <1% / 年 | 可预见,但意想不到何时发生 |
| >=1% 至 < 20% / 年 | 会发生,但不常见 |
| >=20% 至 < 50% / 年 | 常见 |
| >= 50% / 年 | 可能会马上发生 |
在CIS RAM 核心文档 v2.1版本中,CIS RAM迁移到了使用术语“预期”(Expectancy),而不是之前使用的“可能性”(Likelihood)。“预期”并不像“可能性”和“概率”那样,意味着一个事件可能在给定的时间段内发生的概率。相反,它意味着我们知道将会发生安全事件,但我们预计它会通过可预见的威胁发生。在CIS RAM 2.1版本中,通过比较所报告的威胁的共性与将防止威胁发生的保障措施的可靠性,自动化了安全事件的估计过程。因此,“预期”是一个更合适的术语。
本页网址二维码: