6.3.2 风险评估的方法
商业银行信息化程度很高,其系统数量众多且关联性很强,不同系统的重要程度也有很大的区别,采用的风险评估方法也应有所不同。在实际操作中,应结合国内外风险评估标准的思想和操作流程,针对评估的不同阶段和系统采用不同的评估方法,包括基线风险评估、重要系统风险评估、流程风险评估、资产风险评估等。评估方法既可以单独使用,也可以综合使用。
1.基线风险评估
基线风险评估就是对所有系统进行最基础的风险评估,即评估所有系统是否达到的最低安全要求。基线风险评估主要采用检查表(Checklist)的方式进行,因此检查表的制定是基线评估的重点。检查要求既不能过高,也不能过低。要求过高,系统的防护成本就会变高;要求过低,系统的安全性不能得到有效的保证。
在实际操作中,商业银行可以依据信息系统安全等级保护系列标准、《商业银行信息科技风险管理指引》及行内制度要求设置基线,并结合ISO27001、ISO15408、ISO13335、NIST SP800等标准对其进行丰富和完善。
基线风险评估主要应用于评估的初级阶段,对评估人员的技术要求相对较低。采用基线风险评估方法,可以让评估人员迅速熟悉评估内容,了解被评估对象在组织、管理、技术等方面存在的风险,并提出风险处置建议。通过开展基线风险评估,可以促使被评估对象达到基本安全状态,也可以培养和锻炼评估团队,为深入开展风险评估工作做好准备。
2.重要系统风险评估
重要系统风险评估是指针对一个或多个重要系统进行评估。由于资金、人员等客观条件限制,风险评估工作不可能每次都面面俱到。因此,应该针对可能对商业银行造成巨大金额损失或声誉影响的系统开展风险评估。重要系统的选择可以依据信息系统安全等级保护的定级结果,一般来说,等级保护三级以上的系统应该被认定为重要系统,如银行的核心系统、网上银行系统等。
重要系统风险评估主要应用于评估的中级阶段,对评估人员的技术要求较高。重要系统风险评估应该以系统为核心,从管理和技术角度全面评估系统可能面临的风险。在管理方面可以从制度、机构、人员、系统开发运维等角度进行评估;在技术方面可以从物理环境、网络、系统、应用、数据等角度进行评估。
在进行重要系统风险评估时,除了运用检查表方式外,还可以综合运用系统和源代码漏洞扫描工具、渗透测试工具等。不过要注意的是,运用漏洞扫描工具或渗透测试工具时可能会威胁系统安全稳定运行,因此一般在夜间或系统空闲时进行。同时,必须提前进行系统数据备份,安排技术人员值班,做好应急处置和恢复工作。
3.流程风险评估
流程风险评估是指对可能影响组织层面风险或系统运行安全的重要流程进行评估,防范流程中可能存在的风险。流程风险评估的前提是梳理已存在的重要流程。在商业银行的信息科技部门,重要流程至少包括项目管理流程、项目开发流程、测试流程、投产流程、运维流程、变更流程、配置管理流程、事件管理流程、问题管理流程等。流程梳理时,可参考软件能力成熟度模型集成(CMMI)、IT服务管理体系(ISO20000)等标准规范进行。
流程风险评估主要应用于评估的中、高级阶段,对评估人员的技术要求较高。评估人员不但要熟悉标准规范的流程要求和行内具体工作流程,而且要考虑各流程之间是否有交叉、空白,以提出改进建议。
4.资产风险评估
资产风险评估是各类风险评估标准规范里普遍推荐的标准,可以认为是一种综合性风险评估方法。重要系统、流程均是组织的资产范围,其风险评估方法可以认为是资产风险评估的一个类别。《信息安全风险评估规范》(GB/T 20984—2007)对资产风险评估的流程和具体操作做了明确规定。初次开展资产风险评估工作时,可以只对重要资产进行评估,其评估流程如图6-2所示。
按照资产风险评估的流程,评估的主要环节如下。
1)风险评估准备。风险评估开展之前,应做好如下准备工作。一是获得领导层支持;二是确定风险评估的范围和目标;三是组建风险评估团队;四是制定风险评估方案。
2)资产梳理。资产梳理是资产风险评估的重要阶段。由于资产数量庞大,在进行资产梳理前应完成资产分类和赋值。表6-3是资产分类的参考示例。资产赋值时,应统筹考虑资产的保密性、完成性、可用性三者的赋值情况。资产值可以取三者之间的最高值、三者之和的平均值或其他计算方法。
3)威胁和脆弱性识别。威胁是指可能导致对系统或组织损害的不期望事件发生的潜在原因,如黑客攻击可以认为是一种威胁;脆弱性是指可能被威胁所利用的资产或若干资产的薄弱环节,如操作系统漏洞可以认为是一种脆弱性。根据威胁发生的可能性和脆弱性的严重程度,可以得出威胁值和脆弱性值。威胁识别和脆弱性识别不要从头开始,业内对此已经建立了基本的威胁库和脆弱性库,应以此为基础,丰富完善商业银行的威胁库和脆弱性库。
图6-2 资产风险评估流程图
表6-3 资产分类参考示例
(续)
4)风险评价。根据资产值、威胁值和脆弱性值,可以得出该资产面临的风险值,风险评价基本原理如图6-3所示。
图6-3 风险计量原理图
风险值计算出来之后,可以根据已定义的风险分级矩阵,确定风险等级。图6-4是一个可以参考的风险分级矩阵,其底色由浅到深分别为低风险、中风险、高风险区域。
图6-4 风险分级矩阵