欢迎光临散文网 会员登陆 & 注册

深度解读|亚信安全详细解读首个金融风险评估国家标准

2023-09-25 11:08 作者:亚信安全  | 我要投稿



2023年8月6日,全国金融标准化技术委员会归口的《金融信息系统网络安全风险评估规范》(GB/T 42926-2023)国家标准文件发布,将于2023年12月1日正式实施。


风险管理是网络安全的基础工作,风险评估是风险管理的重要基石。风险评估工作在我国各级网络安全治理工作中发挥着重要作用。


作为我国首个针对金融信息系统的风险评估标准,该标准的发布与实施,是我国建立建全网络安全标准体系、网络安全保障体系、网络安全监管体系的一项重要举措。对促进我国网络安全水平与行业发展具有积极意义。对金融管理部门、金融业机构、评估机构开展针对金融信息系统的风险评估工作具有统一、规范和指导的作用。对其他行业针对信息系统网络安全风险评估工作也极具参考价值。


本文将对此标准的重点进行解读




1.该标准明确了金融信息系统风险评估工作的主体和客体

该标准在“1范围”章节针对标准的适用风险评估主体对象明确。

“本文件适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作”

该标准明确了开展风险评估工作的主体为,包括金融行业的监管部门、从业单位及服务供应商三级主体对象,在开展金融信息系统的风险评估工作时都适用该标准。




该标准明确了风险评估工作的客体为金融信息系统,结合“5.1 工作要点”,进一步明确了金融信息系统指的是作为负责完成金融信息的采集、加工、存储、转换、传输的计算机信息系统。即包括组成金融信息系统的网络传输设备,安全传输设备,服务器、虚拟机等计算设备,存储设备,应用、中间件、操作系统、数据库等应用和系统软件等,而非单个软硬件资产对象。


2.将“业务”提升为金融信息系统风险评估的关键要素

该标准继承了现有“信息安全风险评估实施指南(GB/T 31509-2015)、信息安全风险评估方法(GB/T 20984-2022)”的成熟风险评估方法论,并结合金融信息系统特点,提出并强调了“金融业务”这一关键要素。

“风险要素充分结合业务要求,增加业务要素与资产、脆弱性、威胁和风险等要素关系”

“6.1 风险评估要素”该标准新引入了“业务”这一关键风险要素。相对“GB/T 20984-2022”,增加了资产支撑业务、风险影响业务、安全措施保障业务的三项新的要素关系。




“6.2 风险评估原理”,强调了业务要素在金融信息系统风险评估工作中的前置作用,确定资产的重要性,应先对资产与业务的关联分析,明确资产在业务开展中的作用。




3.在风险评估各环节提出了进一步的方法指导

“7.2.1.4 资产赋值”章节中,明确了在“GB/T 20984-2022”基础上,依据业务重要性与资产的CIA三要素进行资产赋值的方法指导。




“7.2.2.2 威胁来源、动机及能力”章节,针对威胁等级的区分,提出了相对“GB/T 20984-2022”更加细化的威胁等级区分。




“7.2.2.3 威胁调查方法”章节在“GB/T 20984-2022”基础上,提出了更加符合金融信息系统业务特点和服务特点的威胁调查思路。




“7.2.2.4 威胁赋值”章节提出从四个方面评估威胁,明确在资产面临多项威胁时,取最大威胁值作为资产的威胁值的威胁赋值计算方法。




“7.2.3.2 脆弱性识别内容”章节中,在脆弱性识别内容上进行了重新设计。标准同样将脆弱性识别对象分为技术脆弱性和管理脆弱性两类。


在技术脆弱性方面将原有的系统软件、应用中间件,合并为基础软件设施,增加了终端、总体防护体系两个技术脆弱性识别对象。

在管理脆弱性方面参考等级保护要求进行了重新设计,分为安全管理制度、安全管理机构及人员、安全建设及运行维护、安全工作机制、业务连续性。相对“GB/T20984-2022”,对脆弱性识别对象的设计更加合理,并与等级保护的要求更加契合,更具指导性。




该标准“7.2.3.3 脆弱性赋值”章节中,提出应先评估资产脆弱性的严重程度再评估资产脆弱性被威胁所利用的要能性的方式进行脆弱性定级,相对“GB/T 20984-2022”有所差异。


标准在 “资产脆弱性的严重程度方面”参考等级保护测评方法,通过“附录A”针对11种脆弱性识别对象,分别给出了极具指导性的脆弱性细则评分表,及汇总计算公式。


而该标准提出的“资产脆弱性被威胁所利用的可能性”,相对“GB/T 20984-2022”评定脆弱性等级时关注的“脆弱性被利用的难易程度”脆弱性本身的评估。“资产脆弱性被威胁所利用的可能性”强调通过对已有安全措施对脆弱性的有效性、结合威胁识别工作成果的关联分析,从而确定可能性等级。整体而言该标准关于风险评估在脆弱性识别环节的工作更易参照执行。




“7.3.2.3 风险分析”章节,采用定量方法分析风险值,给出了风险等级的分值区间。由于该标准在每个风险评估环节针对每个风险要素均采用分值方式赋值。最终在风险分析环节,基于此定量方法,可以方便计算资产、区、域的风险值,实现资产、区、域的风险排序。




4.总结

该标准融合了成熟的风险评估与等保测评方法论,并在此基础上,结合金融信息系统特点以及信息系统安全建设需求,提出面向金融业务和金融信息系统共性的网络安全风险评估模型、流程和风险分析方法。能够为金融信息系统网络安全风险评估提供指导,极具参照价值。

标签:

深度解读|亚信安全详细解读首个金融风险评估国家标准的评论 (共 条)

分享到微博请遵守国家法律