风险消减-选择安全措施
如果组织决定采用降低风险的策略(针对某种风险),选择必要的安全措施就是重要的
一步。基于风险评估的结果,选择安全措施时除了关注基本功能外,还要考虑到相关的约束
条件(constraint),包括:
- 经济约束 —— 选择安全措施来保护某项资产时有一个基本原则,那就是:实施
安全措施的代价应该不大于所要保护资产的价值。为此,组织应该进行一次成本利
益分析(Cost-Benefit Analysis)。在确定安全措施成本的时候,应该考虑购买费用、
添加新控制对商务效率的影响、额外人力物力、培训费用、维护费用等。此外,组
织还要考虑整体的预算,力求实施安全措施的成本不要超过预算,当然,事情往往
会这样:想在小的预算范围内达到所期望的高的安全水平,很有可能是不现实的,
出现这种情况,需要管理层进行决策。安全控制对组织的价值可以通过以下公式来
表述(Vc 表示控制可以带来的价值,ALE 表示实施控制措施之前的ALE,ALE(C)
表示实施控制之后的ALE,Cc 表示控制每年的成本):
Vc = ALE - ALE (C )- Cc
- 时间约束 —— 例如管理层对实施控制的期限的要求,还有就是系统生命周期的
考虑。
- 技术约束 —— 比如软件和硬件的兼容问题,用户的透明性和易用性等。
- 社会约束 —— 有些控制的选择要受整个国家、社会以及组织的环境和文化影响。
- 环境约束 —— 比如可用空间、气候条件、周围的环境等。
- 法律约束 —— 有些控制措施是法律法规明令要求的,组织必须采用。
具体选择控制措施时,组织可以参考国际、国内、行业的相关标准和规范,比如《BS7799-1(ISO/IEC 17799-1):信息技术——信息安全管理实施细则》和《ISO/IEC TR 13335-4:
安全措施选择》。
选择安全措施后,组织应该对安全措施的效力进行初步评估,也就是看实施新措施之后
还有什么残留的风险。要知道,绝对的安全(即零风险)是不存在的,安全措施不是万能的,
因为引入新措施而给系统带来的变化,包括安全措施自身存在的弱点,都可能降低安全措施
的效力,或者引入新的风险。
对组织来说,应该力求将残留风险保持在可接受的范围内,即如下公式所示:
残留风险Rr = 原有的风险R0 - 控制ΔR
残留风险Rr ≤ 可接受的风险Rt
对残留风险进行确认和评价的过程其实就是风险接受的过程。无论怎样处理,一般来说
资产面临的风险总是在一定程度上存在的。决策者应该选择继续增大投入(更换控制或者追
加控制)来消减残留风险,还是维持现状接受残留风险。为此,决策者可以根据风险评估的
结果来确定一个阀值,以该阀值作为衡量接受还是不接受残留风险的标准。
再以第3.5.6 小节中的场景为例:这个存在个人经济问题的公司职员,可能滥用所掌握
的权限去访问某类高敏感度的信息,并将窃取的信息卖给公司的竞争对手。在实施控制之前,
该风险的严重性(后果)为2(较小),可能性为B(很可能),借助风险分析矩阵,该风险
被定为S 级(严重风险),公司决定采取措施消减风险。假定公司加强了对高敏感信息的控
制,使该职员不能再访问这些信息,这时候,风险的严重性依然是2(较小),但可能性已
经降为D 级(不太可能),套用风险分析矩阵,残留风险为L 级(低风险),在公司可接受
范围内,说明控制措施的应用是成功的。
为了方便,可以将风险场景、风险等级、所选控制、残留风险等要素列表显示,便于制
定安全计划时参考,如表4.1 所列的模式。
