其实从业者都知道风险评估,很多人也看了关基保护要求中有关分析识别相关工作要求。但是,现实是在风险评估以及关基资产识别过程中,很多单位存在过多的误解,而有些单位既开展了风险评估,也做了资产识别,但是两个资产识别却存在矛盾的情况。由此可知,其实风险评估过程中过于形式化,走过场式的工作太过严重。下面我们结合两个国家标准,一起乱谈几句,希望不要误导各位:
关键信息基础设施安全保护要求第一个大内容是分析识别,分析识别的描述如下:
分析识别:围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。
分析识别是后面工作的技术,分析识别工作的质量就显得尤为重要了。但是实际工作中,我们发现这块往往不能令人满意。
一则是某些风险评估实施者被绑架,不能实事求是开展工作,唯上不唯实的工作态度,主打一个应付了事,以至于很多网络安全服务机构以及关基运营者认为这是非常简单而无关重要的工作。
二则是开展风险评估的团队,自身综合能力不够,以至于业务识别不准、资产识别不准,当然风险也识别不准,潦草应付以出报告最为“合规”归宿,最终为后面的工作开展不顺畅埋下伏笔。
![关键信息基础设施之分析识别与风险评估乱谈]( "关键信息基础设施之分析识别与风险评估乱谈")
当基础不稳时,大楼越高风险越大。就像当年上海的“楼倒倒”一样,好似高楼建在稀泥地上。就关基保护而言,前面风险评估开展不好,那么后面的工作自然越干越乱,越乱还得继续干,最终搞得上下都是疲于奔命,而也需要用更多的虚假材料去给领导“交差”,一旦出现事就像“楼倒倒”,压到谁虽然未知,但是必然要有人出来负一定的法律责任。
分析识别共分为业务、资产、风险三类识别及重大变更。在分析识别过程中,也是环环相扣的关系。
应识别本组织的关键业务和与其相关联的外部业务;
应分析本组织关键业务对外部业务的依赖性;
应分析本组织关键业务对外部业务的重要性;
应梳理关键业务链,明确支撑关键业务的关键信息基础设施分布和运营情况。
应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、数据、服务和其他类资产的资产清单;
应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级;
应采用资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新
应按照GB/T 20984等风险评估标准,对关键业务链开展安全风险分析,识别关键业务链各环节的威胁、脆弱性,确认已有安全控制措施,分析主要安全风险点,确定风险处置的优先级,形成安全风险报告。
在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,应重新开展识别工作,可能影响认定结果的,应及时将相关情况报告保护工作部门,并更新资产清单。
分析识别的风险识别对应《信息安全技术 信息安全风险评估方法》GB/T 20984 作为工作开展的依据,是我们开展风险评估的一个基础性国家标准。
该标准描述了信息安全风险评估的基本概念、风险要素关系,风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。适用于各类组织开展信息安全风险评估工作。
该标准给出了风险评估框架及流程、风险评估实施、风险分析、风险评价、沟通与协商、风险评估文档记录等。风险评估框架及流程说明了风险要求关系、风险分析原理、风险评估流程等;风险评估实施则明确了风险评估准备、风险识别、威胁识别、脆弱性识别。
![关键信息基础设施之分析识别与风险评估乱谈]( "关键信息基础设施之分析识别与风险评估乱谈")
在风险评估对应国家标准中,风险识别则涵盖了业务识别、系统资产识别、系统组件和单元资产识别等内容,我们看到风险评估能够覆盖关基国家标准中分析识别中描述到的三部分内容,可以理解这三部分总体都是需要通过开展风险评估工作来实现。
风险评估实施中除了风险识别外,还涉及到威胁识别、脆弱性识别,所以在分析识别过程中,需要充分利用《信息安全技术 信息安全风险评估方法》GB/T 20984及其配套的标准,而风险评估工作是一项基础性工作也是一项比较难开展的工作,风险评估开展的好与坏直接关系影响着后面工作开展的好坏。
我们现在网络安全市场面临着前所未有的压力,但是以风险评估为例,我们出具的风险评估报告价值几何?是应付合规检查还是应付领导的审视,如果是这两点那么就是一个破章几张废纸,那么我们抱怨的是什么呢?没有质量的安全服务,其实不是安全服务,只是自欺欺人的一种慰藉,既然是自欺欺人,谈什么市场呢?那么当真正面临监管机关调查时,又是一番苦口婆心的狡辩,而每当监管机关处罚某些单位时,其实背后都有安全厂商和服务机构。
— 欢迎关注
原文始发于微信公众号(祺印说信安):关键信息基础设施之分析识别与风险评估乱谈
评论