8月6日,中国人民银行发布《金融信息系统网络安全风险评估规范》(GB/T 42926-2023)(以下简称“《规范》”),将于2023年12月1日实施。
《规范》在成熟的风险评估方法论基础上,结合金融信息系统特点以及信息系统安全建设需求,提出面向金融业务和金融信息系统共性的网络安全风险评估模型、流程和风险评估方法。
(资料图)
《规范》确立了风险评估工作的要点、原则、要素和原理,规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。在附录部分,还展示了评估参考样例、资产识别与赋值表、信息系统威胁赋值方法、信息系统脆弱性赋值方法、信息系统脆弱性被利用可能性赋值方法、信息系统的资产风险列表。
《规范》适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作。
风险评估3大要点和4个原则
《规范》提到,金融信息系统作为负责完成金融信息的采集、加工、存储、转换、传输的计算机信息系统,具有及时性、可靠性、连续性、开放性、保密性、完整性、准确性等特点,针对这些特点在实施风险评估时着重考虑3大工作要点:
一是风险要素充分结合业务要求,增加业务要素与资产、脆弱性、威胁和风险等要素关系;二是识别信息系统在及时性、连续性、可靠性、保密性、完整性等方面存在的脆弱性,给出评估指标;三是准确给出金融信息系统风险状况,提出量化的风险计算公式和风险等级区间。
而4个工作原则为:可控性、全面性、最小影响性、保密性。
风险评估要素及原理
风险评估基本要素包括业务、资产、威胁、脆弱性、安全措施以及风险。风险评估围绕基本要素展开,在对基本要素评估过程中宜充分考虑与基本要素相关的各类属性。
开展风险评估时,基本要素之间的关系为,业务的开展需要资产作为支撑;资产存在脆弱性,脆弱性越多则风险越大;威胁利用脆弱性增加风险,可能演变成为安全事件从而对资产和业务造成潜在影响;安全措施的实施通过降低资产脆弱性被利用的难易程度,抵御威胁,减少风险,保障业务运行。
而风险评估原理为:
1、基于威胁的种类、来源、动机及能力,结合威胁发生的时机和频率确定威胁出现的可能性;
2、将脆弱性与已实施的安全措施关联分析后确定脆弱性被利用的可能性;
3、根据威胁出现的可能性及脆弱性被利用的可能性确定安全事件发生的可能性;
4、根据资产在业务开展中的作用,将资产与业务关联分析后确定资产重要性;
5、根据脆弱性的严重程度及其作用的资产重要性确定安全事件造成的损失;
6、根据安全事件发生的可能性以及安全事件造成的损失,确定被评估对象面临的风险。
风险评估阶段性工作主要有3大部分
风险评估工作主要分为3大阶段:
一是准备阶段。确定评估目标;成立自评估和检查评估工作组;确定评估范围,包括组织的整个或部分信息及与信息处理相关的各类资产;评估工作组对金融信息系统进行充分调研,内容至少包括:主要的硬件、软件、数据和信息,网络结构,管理制度、管理人员等;制定风险评估方案,内容一般包括但不限于风险评估工作框架、评估团队组织、评估工作计划、评估工作实施、项目验收方式;控制物理环境出入权限、设备配置核查权限、文件调研权限、应用系统访问权限及评估工具接入权限等。
二是识别阶段。分为资产识别、威胁识别、脆弱性识别。
资产识别方面,将系统的所有资产按业务资产、系统资产、系统组件和单元资产进行分类识别;资产调查是识别金融信息系统中资产的重要途径,调查方法包括阅读文档、访谈相关人员、查看相关资产等;另外,需要分别对资产的业务重要性、保密性、完整性、可用性这4个安全属性进行赋值。
威胁识别方面,进行威胁来源、动机及其能力分析,并对不同威胁能力赋予不同的能力级别;威胁赋值主要根据威胁能力级别和频率来确定,评估人员根据经验和现场采集的有关统计数据进行综合判断,评估过程中,主要考虑信息系统可能面临的威胁能力、以往安全事件报告中出现过的威胁频率的统计、实际环境中通过检测工具以及各种日志发现的威胁评率的统计、近一两年来CNVD、CNNVD、CVE等国内外权威机构发布的威胁情报信息等4个方面。
脆弱性识别方面,应针对特定的威胁事件,分析该威胁利用资产相关的脆弱性可能对系统产生的影响。根据分析结果,脆弱性可分为网络安全技术脆弱性和网络安全管理脆弱性2类。对脆弱性进行赋值时,考虑资产脆弱性的严重程度、资产脆弱性被威胁所利用的可能性大小这2个关键因素。而在识别脆弱性的同时,评估人员应确认已采取的安全措施的有效性,对确认为不适当的安全措施应核实是否取消或对其进行修正,或用更合适的安全措施替代。
三是风险计算及处理阶段。分为数据整理、风险分析及处理、数据验证记录。
数据整理:应将现场阶段采集到的数据根据风险计算和风险决策的要求,进行分析和整理。
风险分析及处理:《规范》提到了风险计算公式、风险值计算过程、风险分析要求、风险处理建议等。
数据验证记录:通过过程记录对数据整理、风险分析及处理进行确认和验证,并将风险计算及处理阶段过程中产生的文档留存为工作文档。