網絡安全風險管理是一個持續的過程,您的方法需要定期審查和調整,以應對不斷變化的威脅和風險形勢。重要的是,不僅要監控和審查您所實施的控制措施的有效性和性能,還要監控和審查您的風險評估和網絡安全風險管理方法本身。
幫助了解什么是好的風險管理方法,以及哪些網絡安全風險管理方法適合您的組織。
管理網絡安全風險的框架
本節列出了一系列可以構成任何網絡安全風險管理流程基礎的高級步驟。雖然此處顯示的步驟反映了ISO/IEC 27005:2018中描述的流程,但在許多其他網絡安全風險管理標準、指南、流程和方法中很可能會找到類似的流程或步驟。
這些步驟將幫助您了解良好的風險管理方法是什么樣的,并幫助您確定哪些網絡安全風險管理方法適合您的組織。
對于那些剛接觸網絡安全風險管理并且不知道如何開始進行風險評估等主題的人,我們還提供了基本的網絡風險方法。
第 1 步 - 建立組織環境
任何網絡安全風險管理流程的第一步都是了解管理網絡安全風險的業務環境。網絡安全風險管理不應使組織的目標難以實現,而必須能夠實現這些目標。建立組織和業務背景將幫助您發現和了解您的組織真正做什么、看重什么以及可能關心什么,甚至在您考慮識別和管理網絡安全風險之前也是如此。
您不應該自己創建此視圖。相反,您應該利用現有的組織知識。這可以是使命宣言、企業級風險信息的形式,或者您可以與業務中適當的利益相關者交談。根據您的具體情況,這可能是在組織、計劃或項目級別。白板、頭腦風暴、PESTLE 和 SWOT 分析等技術可能在團體或個人中有用,可以幫助您建立這種背景。
注意事項:
- 您組織的使命、宗旨、目標和優先事項是什么?
- 您的企業關心什么、必須保護什么以及不能容忍什么結果?
- 您的業務的關鍵領域是什么?
- 您的決策者希望您的風險管理工作解決哪些關鍵問題?
- 您是否需要滿足任何外部因素,例如法律、法規、監管、合規性或合同要求?
第 2 步 - 確定決策者、治理流程和限制因素
此步驟是關于確定如何在組織內控制和指導網絡安全風險管理。您應該從“組織范圍”的角度進行思考,以避免孤立的思維。網絡安全風險決策應與其他業務風險的管理保持一致。風險負責人或決策者不應單獨擔任網絡職能部門,因為有關網絡安全風險管理的決策屬于業務決策。例如,如果您是一個較大的組織,則應該由整個董事會負責,而不是留給某個人。
為此,您需要清楚地了解您的決策者是誰、他們從事的業務級別以及他們在風險所有權、責任和問責方面的權力。也許您不直接向董事會報告,您的背景可能是一個計劃或項目。因此,了解您特定情況下決策的授權和升級過程至關重要。理想情況下,所有網絡安全風險管理活動都應由具有決策權的人批準,并與他們必須做出的決策相關聯。因此,決策者必須能夠接觸到網絡安全風險管理專家,并且這些專家能夠根據需要有效地傳達風險管理信息和問題。
您還需要了解決策者的限制(例如預算、資源和時間)以及其他組織因素,例如您遵循的采購和開發流程(例如瀑布式或敏捷式)。您的網絡安全風險管理活動應與您組織的風險偏好相一致,并與更廣泛的業務實踐的節奏和節奏相匹配,以按時完成項目;如果你的輸入晚了,它們將毫無意義。
注意事項:
- 您的組織內是否存在現有的風險管理治理和決策流程和結構?它是如何運作的?
- 您的組織是否有承擔網絡安全風險的明確意愿?
- 誰負責制定網絡安全風險管理決策,他們的需求和限制是什么,以及如何在大型或復雜的組織中下放該職責?
- 如果您不知道該怎么做,您將如何升級網絡安全風險管理決策?
- 您打算如何將網絡安全風險整合到組織更廣泛的目標和風險中?
- 誰是您的風險、系統、服務和資產所有者,以及已有哪些網絡安全風險管理角色?
- 您如何管理您可能無法完全控制的情況,例如在第三方、云服務或供應鏈環境中?誰負責這方面的決策并承擔責任,網絡安全風險管理責任如何分擔?
- 您的安全預算是多少?
第 3 步 - 定義網絡安全風險挑戰
首先從高層次仔細思考定義網絡安全風險挑戰的關鍵特征。我們使用“挑戰”一詞,但您可能會將其視為網絡安全風險問題或您計劃應用風險分析的問題。在使用特定的網絡安全風險評估工具之前,重要的是要考慮挑戰的范圍和性質。了解這些關鍵特征將幫助您決定在步驟 4中采取的適當方法或方法組合。
注意事項:
- 挑戰有多復雜?這是一個標準的、定義明確且易于理解的挑戰嗎?您能否應用已知的解決方案來有效應對您的挑戰?如果是這樣的話,是否還需要進行進一步的評估或分析?它是否新穎或復雜,可能需要不同的方法?
- 挑戰是在設計上,還是在操作上?如果是設計方面的,您的開發實踐和節奏是什么(例如瀑布式或敏捷式)?
- 網絡安全風險是否會對其他風險領域產生重大影響?例如,對于網絡物理系統,是否需要將網絡安全風險評估與安全風險評估結合起來?
- 是否有一些因素可能超出您的直接控制范圍,但仍然是您風險狀況的一部分,例如您的供應鏈、第三方或云服務的使用?您在多大程度上可以依賴他們的潛在風險評估?您需要做什么來履行您的職責?
- 您是否處于高度威脅的環境中?是否存在與您的組織相關并會影響您對威脅環境的理解的情況?例如,您是政府供應商嗎?您即將推出新產品,或者您最近在媒體上的曝光度更高嗎?在考慮您的威脅環境時,這些因素可能是相關的。
- 會不會出現頻率低但影響大的事件?哪些時間范圍與您的網絡安全風險管理相關?在短期內,您可能對自己的風險有更大的確定性,但從長遠來看,您可能需要應對與您的系統和更廣泛的環境相關的更大程度的不確定性。
- 您是否受到所使用的某些技術的限制,例如運營技術 (OT)、ICS/SCADA 或舊產品?
第 4 步 - 選擇方法
網絡風險管理工具箱中有許多途徑、方法和工具可用于幫助評估和管理網絡安全風險。沒有一種方法適合所有情況,也沒有一種工具可以解決所有問題。每個都有自己的優點和缺點,具體取決于您評估的內容。因此,您選擇的方法應根據您已識別的風險挑戰的關鍵特征進行定制。在您自己的功能工具箱中混合使用多種方法是值得的,以便您可以為您的特定風險挑戰選擇最合適的工具。
您的方法還可能受到業務限制的影響,例如可用的財務和資源,以及在內部和與其他風險領域或在外部與業務合作伙伴或監管機構保持一致性的需要。我們的網絡風險管理工具箱中描述的一些技術是免費的并且相對易于使用,而其他技術可能需要訂閱、廣泛的培訓和支持治理結構。
注意事項:
- 您在第 3 步中確定的關鍵特征是否會引導您使用特定的工具或技術?
- 您當前的方法或基線是否滿足您的風險挑戰的需求?
- 選擇工具時需要考慮哪些限制?
- 您選擇的方法是否可以幫助您了解需要保護的內容以及如何保護?如果沒有,您還需要什么其他方法?
- 您是否具備使用特定工具、方法、技巧或途徑的正確技能?或者您需要引入專業資源來幫助您?
- 您選擇的方法(在語言、流程和輸出方面)與您組織中用于風險管理的其他方法的契合程度如何?
第 5 步 - 了解風險以及如何管理風險
此步驟是關于使用網絡風險管理工具箱方法、技術和工具來識別和評估網絡安全風險,以便您可以優先考慮它們,并就如何實際管理它們做出決策。設法管理您發現的所有網絡安全風險非常重要。對于那些剛接觸網絡風險管理并且不知道從哪里開始的人,還提供了基本的風險評估,但您應該注意,這種基本方法附帶了一些嚴重的健康警告。
此步驟將涉及風險分析和優先級排序,以及就如何管理風險做出決策。您可以選擇通過以下方式管理網絡安全風險:
避免它
這意味著不繼續或停止導致存在風險的活動。這有時被稱為“終止”風險。
接受它
這意味著做出明智的決定,不采取任何措施(或進一步采取任何措施)來治療、減輕、修改或降低已識別的風險(無論是作為原始的未經處理的風險,還是作為進行某些治療后仍然存在的殘留風險)。接受風險意味著,如果風險發生,您將不得不承受由此產生的影響和后果。之所以做出這些決定,是因為處理風險的成本可能超過可能實現的任何影響的成本,或者因為在組織為了追求其目標和優先事項而愿意承擔風險的情況下,風險是可以容忍的。這有時被稱為“容忍”或“保留”風險。
轉移它
這意味著將風險的影響或后果轉移給其他人(例如通過保險)。這有時可以稱為“分擔風險”。
治療它
這涉及技術和非技術控制的實施、管理和維護,旨在降低網絡安全風險發生的可能性,或減少發生網絡安全風險時的影響(目的是使網絡安全風險在組織的風險偏好范圍內可接受或可容忍)。這有時可以稱為采取行動“修改”、“減輕”或“降低”風險。
如果您選擇通過使用技術或非技術控制措施來處理已識別的風險,那么您和組織內承擔網絡安全風險的人員必須確信這些控制措施將按照您的預期發揮作用,并且它們將在您所使用的系統或服務的整個生命周期中繼續發揮作用,這一點非常重要。這種信心被稱為“安全保證”、“技術保證”或簡稱“保證”。
當您向決策者提出建議時,您需要描述和溝通如何獲得保證(并維護您推薦的控制措施)。
不可能完全消除或治療所有風險。當您使用控制措施處理網絡安全風險時,總會留下一個或多個風險,這些風險被稱為“殘留風險”。這些殘余風險本身也需要進行管理。
進行的風險分析的數量需要與您面臨的風險挑戰相稱,如果您的方法沒有為您提供幫助您識別和管理網絡安全風險的信息,那么您應該停下來考慮一下您是否做得足夠,或者是否需要嘗試其他方法來獲取更多信息。
您提出的網絡安全風險管理建議應在正確的時間以正確的格式交付給適當的決策者。在所有情況下,您評估的風險和提出的建議都應該可以追溯到企業正在做什么和關心什么。您的建議應該是可行的并且符合決策者的限制,但他們也應該清楚他們將繼續承擔哪些風險,換句話說,如果他們接受您的建議,將會留下哪些剩余風險。您所做的這些以及其他分析和決定應適當記錄以保持可追溯性。這些文件可能包括:
- 風險登記冊:向決策者和其他利益相關者傳達已識別的風險并確定其優先順序
- 網絡安全風險管理計劃:該計劃規定了如何管理網絡安全風險,并描述了為處理已識別風險而將實施的控制措施
- 保證計劃:它規定了如何在系統或服務的整個生命周期中獲得和維護用于處理已識別風險的控制保證
- 剩余風險聲明:這為決策者確定了處理已識別風險后遺留的風險,以便他們能夠就如何管理這些風險做出明智的決定
您應該能夠證明并捍衛您的建議。您提出的任何主張或您提供的信息都應該有充分的論據和證據支持。您應該了解,控制措施只有在解決已識別的風險時才有用。如果您的技術不允許您做到這一點,那么您應該考慮采取替代方法。
注意事項:
- 最有效地利用不同來源的數據和信息。
- 定量信息和方法可能有助于開展成本效益分析,為有關潛在控制措施的決策提供信息。
- 意識到“高”、“中”或“低”等陳述和標簽的效用有限,而不將它們設置在有意義的技術和/或業務背景中。你對high的理解可能和你的觀眾不一樣。
- 請注意無意識偏見的潛在影響,這可能會扭曲您分析所依據的某些輸入。
第 6 步 - 溝通和咨詢
下一步是將您的發現和建議傳達給企業內適當的決策者或決策者群體。您的溝通必須有意義,并且在詳細程度和使用的格式方面適合受眾。例如,如果您需要或選擇使用標準標簽,例如高、中和低,請確保您已向應用這些標簽的人和將根據這些標簽做出決策的人清楚地表達了它們的含義。需要有效的雙向溝通(面對面和書面)來建立所有利益相關方的信譽并做出有效的決策。使用不適合受眾或上下文的過于技術性和網絡安全術語可能會導致溝通不暢和混亂。
注意事項:
- 咨詢網絡安全風險管理決策者和其他治理利益相關者,以便更好地了解他們對風險管理信息的需求,從而幫助他們做出明智、及時的決策。
- 簡潔并為受眾提供量身定制的建議:將大量復雜的風險信息提煉成有意義的更新。
- 您應該能夠將您識別的每個風險追溯到一些高層組織風險或損失。確保您的語言和演示對決策者來說具有影響力且易于理解,并解決了他們真正關心的問題。使用非技術和非安全語言來實現這一點非常有幫助。
- 考慮如何按優先級呈現風險,將注意力集中在最關鍵的風險和建議上,但確保捕獲和考慮所有風險。
- 您使用的語言和風險聲明應與整個企業的現有實踐一致。如果其他人都使用標簽來描述風險及其組成部分,那么您也應該這樣做,但請記住根據上下文仔細描述您使用的任何標簽,以確保每個人都理解它們的含義。
第 7 步 - 實施并確保
此步驟是關于實施您提出的建議(并且您的決策者已同意),以及獲得并保持對您應用的控制和措施有效并按預期有效并繼續有效的信心。
這里的目的是確保網絡安全從一開始就已包含在您正在處理的系統或服務中,并且在設計上是安全的。作為風險從業者,您可能不直接對此活動負責。因此,確保負責實施的人員了解他們正在解決的風險以及您為管理這些風險而提出的建議非常重要。這涉及這些控制的“整個生命周期”管理以及剩余風險的管理。通常很容易倉促或忽視這一步,但您應該像在框架中的早期步驟中投入一樣多的時間和精力來進行這些活動。
我們今天用于商業和個人用途的系統本質上是社會技術的,這意味著它們涉及人員、技術和業務流程。這些系統的交付和維護還可能涉及復雜的供應鏈。網絡安全風險可能會影響所有這些因素,因此您需要確保在所有這些方面都根據需要適當且有效地實施了網絡安全控制。
網絡安全控制和措施應分層應用于系統。這種方法有時被稱為“深度防御”,即單個控制或措施的失敗或妥協不會導致攻擊者立即完全訪問我們關心的內容。為此,他們需要克服或妥協不止一種控制或措施。
在某些情況下,例如在使用云服務時,實施網絡安全控制的責任可能與第三方服務提供商共同承擔。您應該注意,雖然實施控制的責任可能與第三方共同承擔,但風險(及其管理方式)的責任和義務仍然由您和您的組織承擔。
無論您是安全控制和措施、將安全應用到您的供應鏈,還是與第三方供應商定義共享安全模型,您和組織內的風險負責人都應該尋求信心(或保證),您正在使用的控制和措施將按照您的預期發揮作用(并且只要您需要它們,它們就會繼續這樣做)。
例如:
- 您可以要求使用、管理和維護您的系統和服務的人員接受安全完成工作所需的培訓和技能,從而向他們尋求保證
- 您可以通過以下方式尋求對所使用的技術和流程的保證:例如,確保它們在設計和構建時考慮到安全性、根據標準獨立評估它們、在部署之前和運行過程中對其進行安全測試,以及監控和審核它們的使用方式
NCSC 網站包含有關產品和服務的詳細信息,由 NCSC 保證保護您的組織并向您的客戶保證您認真對待網絡安全。
良好的網絡安全風險管理是一項持續的活動,因此您不能永遠依賴實施決策。您需要不斷考慮您現有的網絡安全控制和保障安排在您面臨的網絡安全威脅和風險的背景下是否仍然具有相關性。
注意事項:
- 考慮潛在控制措施的財務和資源影響以及它們是否符合 PACE 原則(務實、適當和成本效益)。它們還應該符合您的風險偏好、業務目標和規定的風險。
- 適當使用風險管理選項的組合(即并非所有風險都需要通過控制來管理,而是可以避免、轉移或接受它們)。
- 尋求實現縱深防御并使用一系列控制措施來解決人員、業務流程、物理和技術問題;避免只關注技術,而要把人放在思考的核心位置。
- 考慮如何充分利用現有的現有控制措施,并充分利用產品、系統和服務內置的安全功能(但默認情況下可能未啟用,或者可以輕松調整它們以解決已識別的相關風險)。
- 確保您首先管理最高優先級的風險。
- 采用共同基準將幫助您防御最常見的威脅。您可以參考通用的控制集或框架,但不要盲目遵循這些控制,僅選擇與您的威脅模型和風險相關的控制。您可能還需要通過實施定制或有針對性的控制措施來調整或增強共同基準,以管理您的設置或環境所特有的網絡安全風險。
- 考慮將保障模型構建到設計、操作和維護技術系統和服務的流程中,以提供對網絡安全風險管理方式的信心。
- 檢查您做出的有關接受或容忍網絡安全風險的任何決策是否仍然安全,并且所有這些風險接受決策是否可以在組織或企業風險級別上被看到和理解,以便為更高級別的風險管理觀點和決策提供信息。
- 定期審查您使用的網絡安全控制措施,以確保它們保持有效并與您面臨的風險相關。
第 8 步 - 監控和審查
網絡安全風險管理是一個持續的過程,您的方法需要定期審查和調整,以應對不斷變化的威脅和風險形勢。重要的是,不僅要監控和審查您所實施的控制措施的有效性和性能,還要監控和審查您的風險評估和網絡安全風險管理方法本身。網絡安全的設計應在系統或服務所支持的業務的整個生命周期內實施,而不僅僅是在交付系統或服務的項目/項目群的生命周期內實施。
注意事項:
- 定期審查您的網絡安全風險管理整體方法,為您的組織提供持續的保證,確保其有效運營以滿足業務需求,并確定可能需要改進的領域或可能需要在現有網絡安全風險管理工具箱中添加額外和/或替代方法或技術的領域。
- 不要害怕回滾或撤銷以前的風險處理決策:這是因為您在首次實施系統或服務時做出的處理決策今天可能不合適。
- 監控您的系統將使您能夠觀察其行為是否超出您定義的參數,例如遵守網絡安全策略,并幫助您了解哪些地方可能需要額外的干預、措施或控制。通過這種方式,您可以將監控本身用作控制,例如使用保護監控和事務監控。
- 不斷確認現有的控制措施在管理網絡安全風險方面是適當且相稱的。
- 制定指標和績效指標來衡量控制的有效性
- 當事情發生重大變化時,重新審視您的風險評估和分析。這可能是當您面臨的威脅發生變化時,或者當您更改用于交付和管理系統或服務的技術時,或者當您使用系統的方式發生重大變化時。
- 使用各種機制來監控和審查您的系統和服務,例如定期審查、滲透測試、安全審核、IT 運行狀況檢查和安全監控解決方案或您自己的日志記錄。這些機制將幫助您識別網絡安全事件,并提供有關您用于管理網絡安全風險的措施和控制措施效果如何或其他方面的信息。
