NIST SP 800-39
管理信息安全风险
组织、任务和信息系统观点
摘要
目的和适用性
NIST SP 800-39是管理信息安全风险的指南。800-39的结构类似于NIST SP 800-37风险管理框架。
800-39描述了第1层(组织愿景)、第2层(业务任务)和第3层(信息系统观点)。NIST SP 800-37中也描述了第三层。
你将获得以下信息
- 如何管理风险
- 为运营决策和投资创建组织的风险管理战略:
- 风险假设
- 风险制约
- 风险容忍度
- 风险优先事项/权衡利弊
2.1 风险管理的组成部分
流程:
框架风险;
它是一种风险战略,包括组织如何评估、应对和监测风险。澄清对资产、个人、组织、第三方和国家的风险。
输出:
- 风险假设;
- 风险制约;
- 风险容忍度;
- 优先事项和权衡。
评估风险;
为了充分了解如何进行风险评估,请阅读NIST 800-30《进行风险评估的指导》。在这里,我们应该确定:
- 威胁(威胁是风险的一种类型)
- 内部和外部的脆弱性
- 危害(影响)
- 发生的可能性
输出:
(i) 用于评估风险的工具、技术和方法;(ii) 与风险评估有关的假设;(iii) 可能影响风险评估的制约因素;(iv) 作用和责任;(v) 如何在整个组织内收集、处理和传递风险评估信息;(vi) 如何在组织内进行风险评估;(vii) 风险评估的频率;以及(viii) 如何获得威胁信息
应对风险;
有5种处理风险的行动:接受、避免、减轻、分享或转移风险。
输出:
对风险采取的行动;
实施的风险。
监测风险;
衡量和实施对风险的反应步骤;
跟踪行动的有效性;
确定行动对组织、供应商、客户的影响;
提示:组织也应酌情考虑外部关系。外部各方包括:供应商、客户和承包商。此外,还要关注CERT(计算机应急响应小组)、NVD(国家漏洞数据库)、CVE和ISAC(信息共享和分析中心)带来的风险。
2.8.4 文化和风险容忍度
风险容忍度是接受损失类型的文化意愿和高级领导人的目标。例如,它是对以下问题的回答:我们公司对风险的支持是什么:保密性或可用性。
3.1 框架风险
风险管理框架是解决第三级风险的主要手段,在NIST SP 800-37中有描述。
风险框架--输入和前提条件
由该组织提供信息:
- 治理结构
- 财务态势
- 法律/监管环境
- 文化
- 在组织内部建立的信任关系
输入
- 法律
- 政策
- 指示
- 规章制度
- 合同关系
- 财务限制
其他投入:
组织合规要求清单。
如何将NIST 800-39应用于你的组织
第1步:风险框架
风险假设
威胁来源
- 网络/物理攻击
- 人为错误
- 自然和人为的灾难
漏洞
有3种类型的漏洞。
|
NIST 800-39定义了 |
如何用中文理解 |
|
硬件、软件或固件 |
漏洞 |
|
业务流程 |
逻辑漏洞 |
|
组织治理结构 |
组织结构,如没有保安。 |
后果和影响
影响的类型
- 任务、
- 职能、
- 图像、
- 和声誉
让我们来讨论一下信息安全防火墙制造A的影响,它的任务是保护客户的财产,被发现在固件的后门。
|
影响的类型 |
影响 |
|
任务 |
是LOW,因为防火墙仍在工作,以支持任务--保护 |
|
职能 |
是低的,因为防火墙仍在努力过滤攻击流量。 |
|
形象 |
是高的,因为没有客户接受后门 |
|
声誉 |
高 |
可能性
确定风险可能性的方法:
- 不同因素造成的可能性
- 通过各种因素的组合
- 通过定量风险评估的可能性
- 威胁数据(例如,网络攻击、地震的历史数据)
风险容忍度的优先次序和权衡
产出和岗位条件
风险评估指南(模板,TDL)。
风险应对指南(模板,待办事项清单)。
风险监测指南(TDL)
第2步:风险评估
威胁和弱点识别
外部依赖性
第1级:电力、供应链、电信
第2级:流程漏洞、架构漏洞
第3级:信息系统漏洞
用于风险评估的超防工具箱
识别和编排你的信息资产。...
识别威胁。...
识别漏洞。...
分析内部控制。...
确定事件发生的可能性。...
评估一个威胁会产生的影响。...
对你的信息安全的风险进行优先排序。...
设计控制。
办公室内的风险评估实例。
|
有哪些危害? |
谁可能受到伤害,如何伤害? |
你已经在做什么来控制风险? |
你需要采取什么进一步行动来控制风险? |
谁需要执行该行动? |
什么时候需要采取行动? |
已完成 |
|
电气 |
工作人员可以得到 电击 或被烧伤的 使用有缺陷的 电器 设备。 电气故障 也会导致 火灾。 |
- 工作人员接受了发现和报告的培训(向 办公室管理员)任何有缺陷的 堵塞、变色的插座或 损坏的电缆/设备。 - 已停止使用的有缺陷的设备 安全和及时地更换。 - 工作人员被告知不要带自己的东西进来 家电、烤面包机、风扇等。 |
- 询问房东何时 下一个电气 安装安全 检查到期。 - 确认系统 与房东的关系 使任何安全 对建筑物的损害 安装电气、 如破损的灯 开关或插座。 |
办公室管理员 |
4/10/19 |
4/10/19 |
第3步:风险应对
战略
风险策略的顺序如下:接受不需要任何措施或成本,而减轻成本最多。
重要的是:风险应对策略与组织的风险容忍度相一致。高风险容忍度伴随着高利润和高损失。
1) 接受;什么都不做只是接受。
2) 避免;避免有可能导致负面结果的活动或情况。它通过不参与该活动来消除风险。
3) 分担;类似于接受但与其他各方分担责任。
4) 转让;转让给其他方。
5) 缓解;采取措施减少潜在风险的影响。
风险缓解包括第一层(共同控制),第二层(架构,业务流程),第三层(安全控制)。
第4步:风险监测
风险监测战略
监测合规性
确保联邦授权的要求控制被选择和实施。分析失败的原因并更新控制措施。
监测效果
监测控制符合风险应对措施的预期水平。
分析失败的原因并更新控制。
监测变化
监测
- 信息系统变化
- 立法、法规等方面的变化
- 第三方供应商的所有权变化
- 组织观点,业务任务变化
自动监测与人工监测的比较
对于第3级信息系统,更喜欢自动监测,因为大部分工作都是自动化的。对于第1和第2级,一般没有自动化,倾向于人工监测。
监测的频率
密切关注业务功能、设施、立法、政策和技术的变化,并设定一个特定的时间段来调整监测频率。
提示:企业架构提倡细分、冗余和消除单点故障的概念。
#参考资料
nist sp 800-39. https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-39.pdf
Tawwab, D. 2018年12月19日。NIST 800-39 Step1: Risk Framing - Part 1. https://www.youtube.com/watch?v=-dp8zVRzSX4
hyperproof.如何进行成功的IT风险评估。https://hyperproof.io/resource/it-risk-assessment/
风险评估模板,www.hse.gov.uk/simple-health-safety/risk/