代码改变世界

信息安全管理08_基于业务线LOB风险评估方法

2020-10-14 09:21  微言晓意  阅读(371)  评论(0编辑  收藏  举报

基于资产的半定量风险评估方法虽然逻辑比较严谨,但在真正实施时却有一个非常大的不足,就是识别出来的资产特别多的话,会存在大量的风险是重复的,即很多资产都存在同样的风险,尤其是安全风险并不是资产本身的原因所带来的更是如此。

针对这个问题,很多人可能会提出那只识别关键资产来进行风险评估,不就能够把这个问题解决了吗?从标准逻辑上来讲,那就要看如何识别关键资产,先把资产全部识别出来然后进行筛选是一种方法,除此之外的另一种方法就是通过基于业务线的方法来进行风险评估。

一、梳理业务线(Line of Business

首先按照业务现状梳理出业务线(LOB),从静态和动态两个方面进行了分析归纳,静态模型是LOB属性定义,动态模型是LOB的序列图(Sequence Diagram),通过这两个方面可以帮助识别需要保护的资产和评估信息安全风险。

LOB属性定义:包括LOB的ID、名称、描述、所有者、类别、部门、安全需求。LOB属性定义示例如下:

 

LOB的序列图:遵循UML中序列图定义,即对象之间的信息交互时间序列图。序列图示例如下:

 

二、基于LOB识别信息资产

根据LOB分别详细统计信息资产,系统地整理和归纳业务线(LOB)中需要保护的信息资产及其资产保护价值,并形成保护资产手册。

资产识别中的资产定义模型是基于信息安全需求分析的角度对保护资产的描述。保护资产信息模型包括一组属性定义,这些属性具体描述如下:

 

注意基于LOB资产识别方法的变化,第一是资产只有一个总体价值,CIA变成了安全需求,不再进行赋值;第二是信息资产识别的主线是基于业务线LOB的,每个资产属于一个业务线LOB;第三是只定义了所有者,没有定义维护者和使用者,所有者对安全全权负责。 

三、识别LOB信息安全威胁

识别针对业务线LOB存在的信息安全威胁。所谓威胁是指可能对保护资产产生破坏影响的因素,这些因素包括能力、手段、动机等。

威胁评估中的威胁定义模型是对信息安全威胁特征的描述。威胁信息模型包括一组属性定义,这些属性具体描述如下:

四、识别LOB信息安全弱点

弱点存在于LOB资产或LOB的管理中,弱点可能会被威胁利用而对LOB产生风险。弱点可以分为管理弱点、技术弱点和配置弱点三类,管理弱点包括LOB流程和政策等方面的弱点;技术弱点包括技术设计与实现缺陷、软件漏洞等方面的弱点;配置弱点包括参数配置和服务配置等方面的弱点。

弱点评估中的弱点定义模型是对信息安全弱点特征的描述。弱点信息模型包括一组属性定义,这些属性具体描述如下:

五、信息风险分析与评价

根据风险分析模型,风险是威胁、弱点和业务线LOB资产的函数,即:风险=f(威胁,弱点,资产)。然后可以用矩阵法或者半定量赋值法进行风险计算,风险计算与风险评价与其它风险评估方法并无不同。

风险分析中的风险定义模型是对信息安全风险特征的描述。这些特征通过定义风险的属性进行描述。风险定义模型如下:

总结:基于业务线LOB的风险评估方法在国内安全评估实践中并不常见,根本原因在于梳理业务线不能使用工具自动完成,操作起来相对而言比较费时费力。但是在基于资产的风险评估不太适用时,如业务过程安全风险评估、业务连续性风险评估等,还是推荐使用基于业务线LOB风险评估方法,因为此评估方法相对业务梳理比较清晰,还能避免陷入资产过于繁杂的陷阱。