以资产为核心的信息安全风险的构成要素
ISO27001信息安全风险的构成要素:以资产为核心的信息安全风险的构成要素
1993年,英国、法国、德国、荷兰欧共体同加拿大、美国 NIST 和 NSA六国七方组成CC工作组,制定了国际通用的评估准则——CC(CommonCriteria)。并于1996年颁布了CC1.0版,1998年颁布了CC2.0版。1999年6月,ISO接纳CC2.0版为 ISO/IEC 15408草案,并定名为“信息技术-安全技术-IT 安全性评估准则”,但仍用CC作为其简称。1999年12月,在广泛征求意见并进行修改后,正式颁布国际标准 ISO/IEC 15408 CC 2.1 版。2001年3月,我国国家质量技术监督局将其作为国家标准GB/T18336正式颁布,并于 2001年正式实施。
CC 标准含三个部分:第一部分:简介和一般模型;第二部分:安全功能要求;第三部分:安全保证要求。其中在第一部分,定义了信息安全风险的构成要素威胁、风 险、脆弱性、资产、对策等关键的风险要素概念和它们所涉及到的主体即所有者和威胁主体。根据 CC 的思想,以所有者要保护的资产作为核心,给出了威胁、风险、脆弱性、对策与资产之间的关系,如下图:
图 CC风险要素和关系
(1)风险要素
① 资产
资产是有价值的信息资产。
② 对策
对策是用以减少脆弱性并满足资产所有者的安全策略。
③ 威胁
能够通过未授权访问、毁坏、揭露、数据修改和拒绝服务对系统造成潜在危害的任何环境或事件。
④ 脆弱性
在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中存在的,可能被攻击者利用来获得未授权的信息或破坏关键处理的弱点。
⑤ 风险
风险是由威胁发生的可能性、威胁所导致的不利影响以及影响的严重程度来决定。
(2)风险要素关系
① 信息资产的所有者给资产赋予了一定的价值,威胁主体希望以违背所有者初衷的方式滥用和破坏资产。资产所有者意识到这种威胁可能致使资产损坏,对所有者而言 资产中的价值将会降低。其中资产的安全性损坏包括以下几种:资产破坏性地暴露于未授权的接受者(丧失保密性);资产由未授权地更改损坏(丧失完整性);资 产的访问权被未授权地剥夺(丧失可用性)。
② 资产所有者必须分析可能的威胁并确定哪些存在于他们的环境,其结果就是风险。这种分析会有助于对策的选择,以应对风险并将其降低到一个可接受的水平。
③ 对策的使用可以减少脆弱性,但残留的脆弱性仍可以被威胁者所利用,从而造成资产的残余风险。资产所有者会通过给出其它的约束来寻求最小的残余的风险。
