信息安全风险管理, 或ISRM, 管理风险的过程是否与信息技术的使用有关. 它涉及到识别, 评估, 并对风险进行保密处理, 完整性, 以及组织资产的可用性. 这个过程的最终目标是根据组织的整体风险容忍度来处理风险. 企业不应期望消除所有风险; rather, 他们应该设法为他们的组织识别并达到一个可接受的风险水平.
ISRM的阶段
风险识别
- 识别资产: 哪些数据、系统或其他资产将被视为您组织的“皇冠上的宝石”?? 例如, 如果资产具有机密性,哪些资产将对您的组织产生最重要的影响, 完整性或可用性受到损害? 不难看出为什么社会安全号码和知识产权等数据的保密性很重要. 但是诚信呢?? 例如,如果一家企业属于萨班斯-奥克斯利法案(袜)法规要求, 财务报告数据中的一个小的完整性问题可能会导致巨大的成本. Or, 如果一个组织是在线音乐流媒体服务,并且音乐文件的可用性受到损害, 然后他们可能会失去订户.
- 识别漏洞: 什么系统级或软件 漏洞 是否将资产的机密性、完整性和可用性置于风险之中? 组织流程中的哪些弱点或缺陷可能导致信息泄露?
- 识别威胁: 资产或信息泄露的一些潜在原因是什么? 例如, 贵组织的数据中心是否位于环境受到威胁的地区, 比如龙卷风和洪水, 更普遍? 业内同行是否正被一个已知的犯罪集团积极瞄准和攻击, 黑客组织, 或者政府赞助的实体? 威胁建模是一项重要的活动,它通过将风险与已知威胁以及这些威胁可能通过利用漏洞导致风险的不同方式联系起来,帮助添加上下文.
- 识别控制: 您已经采取了哪些措施来保护已识别的资产? 控制通过完全修复(补救)或降低风险实现的可能性和/或影响(缓解)直接解决已识别的漏洞或威胁。. 例如, 如果您已经确定了终止用户继续访问特定应用程序的风险, 然后,控件可以是一个进程,在用户终止时自动从该应用程序中删除用户. 补偿控制是间接解决风险的“安全网”控制. 继续上面的例子, 补偿控制可以是季度访问审查过程. 在这次审查中, 应用程序用户列表与公司的用户目录和终止列表进行交叉引用,以查找具有未经授权访问的用户,然后在发现未经授权访问时主动删除该用户.
资讯安全风险评估
这是将你收集到的有关资产的信息进行组合的过程, 漏洞, 和控制来定义风险. 为此有许多框架和方法, 但你可能会用到这个方程的一些变体:
风险=(威胁x漏洞(利用可能性x利用影响)x资产价值)-安全控制
注意:这是一个非常简化的公式类比. 计算概率风险远没有这么简单,这让每个人都很沮丧.
风险管理策略
一旦对风险进行了评估和分析,组织将需要选择治疗方案:
- 修复:实现完全或几乎完全修复潜在风险的控制.
例子: 您已经识别了存储关键资产的服务器上的漏洞, 然后为这个漏洞打补丁.
- 缓解降低风险的可能性和/或影响,但不完全解决它.
例子: 您已经识别了存储关键资产的服务器上的漏洞,而不是 修补漏洞, 您实现了一个防火墙规则,该规则只允许特定系统与服务器上的易受攻击的服务进行通信.
- 移情: 将风险转移到另一个实体,这样您的组织就可以从风险发生的成本中恢复过来.
例子: 您购买的保险将涵盖在易受攻击的系统被利用时可能造成的任何损失. (注意:这应该用于补充风险补救和缓解,但不能完全取代它们.)
- 风险接受: 没有解决风险. 如果风险明显很低,并且修复风险所花费的时间和精力比实现风险所产生的成本要多,那么这是合适的.
例子: You have identified a vulnerability on a server but concluded that there is nothing sensitive on that server; it cannot be used as an entry point to access other critical assets, 成功利用这个漏洞是非常复杂的. 因此,您决定不需要花费时间和资源来修复漏洞.
- 风险规避: 消除所有已识别风险的暴露
例子: 您已经确定了操作系统(OS)的服务器,这些服务器即将达到生命周期,并且将不再从操作系统创建者那里收到安全补丁. 这些服务器处理和存储敏感和非敏感数据. 以避免敏感数据被泄露的风险, 您可以快速地将敏感数据迁移到更新的数据中, patchable服务器. 服务器继续运行并处理非敏感数据,同时制定计划使其退役并将非敏感数据迁移到其他服务器.
风险沟通策略
无论如何处理风险,决策都需要在组织内部进行沟通. 利益相关者需要了解处理或不处理风险的成本以及该决定背后的基本原理. 责任和责任需要明确定义,并与组织中的个人和团队联系起来,以确保在过程中正确的时间投入正确的人员.
冲洗并重复
这是一个持续的过程. 如果你选择了需要实施控制的治疗方案, 这种控制需要持续监测. 您可能会将此控制插入到随时间变化的系统中. 正在开放的端口, 正在更改代码, 任何其他因素都可能导致您的控制在最初实施后的几个月或几年内崩溃.
ISRM进程所有权
在ISRM过程中有许多利益相关者,每个利益相关者都有不同的责任. 定义这个过程中的各种角色, 以及与每个角色相关的责任, 确保这一过程顺利进行的关键步骤是什么.
过程所有者: 在高水平上, 一个组织可能有一个拥有企业风险管理(ERM)程序的财务团队或审计团队, 而信息安全或信息保障团队将拥有ISRM计划, 哪些会进入ERM. 这个ISRM团队的成员需要在现场,不断推动过程向前发展.
业主风险: 个体风险应该由最终使用预算来解决问题的组织成员承担. 换句话说,风险所有者有责任确保风险得到相应的处理. 如果你批准了预算,你就承担了风险.
除了风险所有者, 也会有其他类型的利益相关者受到, 或者参与实施, 选择的治疗方案, 例如系统管理员/工程师, 系统用户, 等.
这里有一个例子:您的信息安全团队(流程所有者)正在推动ISRM流程向前发展. 确定了对公司客户关系管理(CRM)系统可用性的风险, 并与您的IT主管(CRM系统所有者)和日常管理该系统的IT人员(CRM系统管理员)一起工作。, 您的过程所有者收集评估风险所需的信息.
假设您的CRM软件已经就位,可以支持公司的销售部门, 客户关系管理软件中的数据不可用,最终会影响销售, 然后是你的销售部门主管.e. 首席销售官)很可能是风险的拥有者. 风险所有者负责决定是否实现信息安全团队提供的不同处理计划, 系统管理员, 系统所有者, 等. 和 accepting any remaining risk; however, 在实施处理计划时,系统所有者和系统管理员可能会再次参与其中. 系统用户——每天使用CRM软件的销售人员——也是这个过程中的利益相关者, 因为他们可能会受到任何治疗方案的影响.
网络安全风险管理 是一项持续的任务, 它的成功将取决于风险评估的好坏, 沟通计划, 角色得到了维护. 识别关键人物, 流程, 帮助解决上述步骤的技术将为您的组织中的风险管理策略和计划创建坚实的基础, 随着时间的推移,哪些可以进一步发展.
阅读更多有关法规 & 合规
遵从性:来自博客的最新消息