超圣科技
数据安全治理 | 数据安全风险评估篇发表时间:2024-10-11 11:30 背景 随着企业数字化转型的深入,各种应用系统逐步替代原有的线下的流程和单据,系统中的数据也越来越多,随之而来的数据安全风险的数量和复杂度也在快速提升。 而对于数据安全管理团队而言,数据安全风险不同于传统安全风险,数据的属性导致数据需要在业务中不断的流转和使用,所以数据的风险评估应该在原有的CIA机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)的基础之上,要结合数据在业务中的使用场景,采集、传输、存储等等使用场景综合考虑,聚焦重点业务、重要数据使用场景来开展数据安全风险评估工作,发现当前业务中未知的数据安全威胁并加以处置,通过提前开展数据安全风险评估工作可以实现数据安全风险主动预防,同时满足现阶段各监管机构的合规性要求。(如开展数据安全检查自评估工作等) 数据安全风险评估
**** 目标 数据安全风险评估是指从风险管理的角度,运用科学的手段,系统分析信息系统与数据资产所面临的威胁及其存在的脆弱性。通过开展风险评估工作,企业组织可以对重要数据资产所面临的数据安全风险进行发现识别和定性评估。同时根据评估结果,企业可以更有针对性地进行威胁管控和处置,对企业数据安全建设中的薄弱环节进行优先处理和加固。这样可以更有效的提升企业数据安全防护水平。 数据安全风险评估还需要组织确定关键业务目标,并识别对实现这些目标至关重要的数据资产,然后识别可能对这些资产带来不利影响的网络攻击,从而准确了解相关业务所面临的威胁环境。这可以让业务部门和安全团队共同做出**化的处置决定,实施合理的安全控制措施,将整体风险隐患降低到企业能够接受的范围中。 数据安全风险评估
NO.2 关键要素 开展数据安全风险评估涉及到资产、威胁、脆弱性等许多基础性要素,每个要素都有各自的要求和属性。为了保障风险评估工作取得预定的实际效果,企业应该在评估中做好以下方面的工作要素准备: 1.确定评估范围 风险评估应先确定评估的范围。一般情况下,风险评估的范围需要覆盖整个组织,但这样会让评估工作过于繁重。因此,可以先从某些业务部门、场所或公司的特定领域开始实施,比如支付处理或Web应用程序。在风险评估工作开始前,需要尽可能全面地了解业务部门的需求和意见,这有助于了解各种数据资产和流程的重要性、风险隐患、评估影响以及对风险的承受程度。在进行风险评估之前,为了更好的指导组织有条不紊地评估数据安全风险,确保缓解控制措施适当且有效。 2.识别数据资产 有效开展数据安全风险评估,需要明确知道应该保护的对象是谁,因此,评估团队不仅要识别风险评估范围内的所有软硬件,同时还清点所涉及的数据资产。对业务至关重要的数据资产不仅是识别和清点的重点,也同样是攻击者的主要目标。通过对数据资产的清点,不仅便于可视化资产和业务流程之间的连接路径,还可以了解业务的出入点,从而使识别威胁隐患变得更加容易。 3.了解威胁利用方法 威胁利用方法是指不法分子可能使用的对组织资产造成损害的策略、技术和方法。为了帮助识别各项信息资产可能存在的威胁隐患,在风险评估中应该使用MITRE ATT&CK之类的威胁知识库,直观地呈现典型攻击的各种阶段和目标,这样有助于确定他们需要的保护类型。 4.分析潜在风险 分析潜在风险是为了评估风险场景实际发生的可能性,以及一旦发生后对组织造成的影响。在数据安全风险评估中,风险实际发生的可能性应该取决于威胁和漏洞的可发现性、可利用性和可再现性,而不是取决于历史经验的套用。影响是指威胁利用漏洞的后果对组织造成的危害程度,应在每个场景中评估对机密性、完整性和可用性造成的影响。这一部分的评估在本质上是非常主观的,因此评估者的专业度和经验积累就非常重要。 5.确定风险优先级 通过使用风险矩阵(风险级别为“可能性乘以影响”)可以对每个风险场景进行分类。为了确保企业的数据安全风险程度是可控的,任何高于约定容忍程度的威胁场景都应优先被处理,有三种方法可以做到这一点: **是避免,如果风险大于好处,那么立刻停止该项活动可能是正确的行动方案; 第二是转移,通过网络保险或将某些业务外包给第三方,与其他方分担部分风险; 第三是缓解,部署安全控制措施,降低风险程度。 6.记录所有风险 数据安全风险评估是一项重大且持续的工作。随着新威胁层出不穷,新的系统或活动不断引入,安全风险评估需要重复进行。因此,需要在每一次的评估工作中,做好可为未来的评估提供可重复的流程和模板。同时,有必要记下所有已识别的风险场景。保持定期审查和更新,确保管理层始终了解其数据安全风险的最新信息,主要包括:风险场景、鉴定日期、现有的安全控制、当前风险程度、处理计划、进展状况、残余风险以及风险处置负责人等。 数据安全风险评估
NO.3 方法 1.访谈 访谈是指评估人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。访谈方法主要应用于数据安全管理机构评估、数据安全人员管理评估、系统建设管理评估和系统运维管理评估等安全管理类评估任务中。在安全管理类评估任务中,评估人员依据定制的评估指导书(访谈问题列表)对相关人员进行访谈,获取与安全管理有关的评估证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。 2.检查 检查是指评估人员通过对评估对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。 在本次评估过程中,检查方法的应用范围覆盖了物理安全评估、主机安全评估、网络安全评估、应用安全评估和数据全生命周期安全评估等技术类评估任务,以及安全管理类评估任务。在物理安全评估任务中,评估人员采用文档查阅与分析和现场观测等检查方法来获取评估证据(如机房的温湿度情况),用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。 在主机安全评估、网络安全评估、应用安全评估和数据全生命周期安全评估等评估任务中,评估人员综合采用文档查阅与分析和安全配置核查等检查方法来获取评估证据(如相关措施的部署和配置情况,特定设备的端口开放情况等),用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。 在安全管理类评估任务中,评估人员主要采用文档查阅与分析的检查方法来获取评估证据(如制度文件的编制情况),用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。 3.测试 测试是指评估人员使用预定的方法/工具使评估对象产生特定的行为,通过查看、分析这些行为的结果,获取证据以证明数据安全保护措施是否有效的一类方法。常见测试方法主要有手工验证、漏洞扫描、渗透测试等。 数据安全无小事,风险评估要先行。搞懂风险,才能更好保护我们业务中的数据! --------------------END-------------------- |
