1、ICS 35.060 M 36 DB44 广东省 地方标准 DB44/T 2189.32019 移动终端信息安全 第 3 部分:敏感信息风险评估 Informataion security of mobile terminal Part3: Risk evaluation for sensitive information 2019 - 09 - 09 发布 2019 - 12 - 01 实施 广东 省市场监督管理局 发布 DB44/T 2189.32019 I 目 次 前言 . III 1 范围 .1 2 规范性引用文件 .1 3 术语和定义 .1 4 概述 .1 5 移动终端敏感信息风险评
2、估模型 .1 5.1 敏感信息风险要素 .1 5.2 敏感信息风险分析示意图 .1 5.3 敏感信息风险评估 实施流程 .2 6 敏感信息风险要素识别 .2 6.1 敏感信息 生成的风险要素识别 .2 6.2 敏感信息存储的风险要素识别 .2 6.3 敏感信息加工的风险要素识别 .3 6.4 敏感信息转移的风险要素识别 .3 6.5 敏感信息应用的风险要素识别 .3 6.6 敏感信息废止与删除的风险要素识别 .4 7 敏感信息风险评估实施 .4 7.1 风险评估的准备 .4 7.2 资产识别 .4 7.2.1 资产分类 .5 7.2.2 资产赋值 .5 7.3 威胁识别 .6 7.3.1 总则
3、 .6 7.3.2 威胁识别分类 .7 7.3.3 威胁赋值 .7 7.4 脆弱性识别 .8 7.4.1 脆弱性识别分类 .8 7.4.2 脆弱性赋值 .9 7.5 已有安全措施的确认 .9 8 敏感信息风险分析 .10 8.1 风险分析原理 .10 8.2 风险分析过程 .10 8.2.1 风险计算方法 .10 8.2.2 风险等级赋值 .10 DB44/T 2189.3 2019 II 8.3 风险处理 . 11 8.4 残余风险评估 . 11 9 敏感信息风险评估文档 . 11 参 考 文 献 . 12 DB44/T 2189.32019 III 前 言 移动终端信息安全分为 4个部分:
4、 移动终端信息安全 第 1部分:敏感信息安全检测技术要求; 移动终端信息安全 第 2部分:敏感信息等级保护与测评; 移动终端信息 安全 第 3部分:敏感信息风险评估; 移动终端信息安全 第 4部分:敏感信息安全检测方法。 本部分为第 3部分。 本标准按照 GB/T 1.1-2009给 出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由广东省工业和信息化厅提出。 本标准由广东省大数据标准化技术委员会 ( GD/TC120) 归口。 本标准的主要起草单位:工业和信息化部电子第五研究所。 本标准主要起草人:王韬、王贵虎、杨春晖、林军、冯晓荣、谢克
5、强、华小方。 本部分为首次发布。 DB44/T 2189.32019 1 移动终端信息 安全 第 3 部分:敏感信息风险评估 1 范围 本部分规定了敏感信息生成阶段、存储阶段、加工阶段、转移阶段、应用阶段、废止与删除阶段的 风险评估实施流程、评估内容和评估方法。 本部分适用于移动通信网的智能手机和平板电脑设备。 2 规范性引用文件 下 列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 20984-2007 信息 安全技术 信息安全风险评估规范 GB/Z 24364-2009
6、信息安全技术 信息安全风险管理指南 DB44/T 2189.1-2019 移动终端信息安全 第 1 部分: 敏感信息安全检测技术要求 3 术语和定义 DB44/T 2189.1-2019 界定的术语和定义适用于本部分。 4 概述 敏感信息安全风险评估是针对移动终端敏感信息基于风险理论和方法在移动终端的运用,分析和 理解敏感信息在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控 制方法之间做出决策的过程。敏感信息安全风险评估主要包括评 估移动终端敏感信息包含的脆弱性、面 临的威胁以及脆弱性被威胁源利用后产生的实际负面影响,并根据安全事件发生的可能性和负面影响的 程度来
7、识别移动终端敏感信息的安全风险。根据风险评估的结果制定敏感信息安全解决方案,最大限度 避免安全威胁。 5 移动终端敏感信息风险评估模型 5.1 敏感信息风险要素 敏感信息风险评估的基本要素 包括敏感信息资产、安全威胁、脆弱性及已采取的安全措施。与基本 要素相关的属性包括敏感信息价值、安全需求、残余风险、安全事件等各类相关属性。 敏感信息风险评估围绕 全生命周期的 基本要素 进行评估,同时 需要充分考虑 与 基 本要素相关的各类 属性。 5.2 敏感信息风险分析示意图 DB44/T 2189.3 2019 2 敏感信息风险分析包括资产、威胁、脆弱性等基本要素。各个基本要素的属性直接关联安全事件的
8、 可能性与安全事件的损失,形成安全事件的风险值。 敏感信息风险分析如图 1所示。 威 胁 识 别 脆 弱 性 识 别 资 产 识 别 威 胁 出 现 的 频 率 脆 弱 性 严 重 程 度 敏 感 信 息 资 产 价 值 安 全 事 件 的 可 能 性 安 全 事 件 的 损 失 安 全 事 件 的 风 险 值 风 险 要 素 识 别 图 1 敏感信息风险分析示意图 5.3 敏感信息风险评估 实施流程 风险评估实施流程可按 GB/T 20984-2007 第 5.6.4 章节的规定。 6 敏感信息风险要素识别 6.1 敏感信息 生成的风险要素识别 生成阶段风险评估应能够描述预期使用的敏感信息,
9、包括预期使用的敏感 信息的重要性、潜在的价 值、可能的使用限制、对现有信息主体的作用,并根据其作用确定风险评估应达到的安全目标。 在本阶段评估中,敏感信息资产根据以下方面进行分类与识别: a) 敏感信息的信息主体; b) 敏感信息的具体内容和存留时间; c) 敏感信息的标识。 敏感信息威胁及脆弱性应根据以下方面进行分类与识别: a) 敏感信息生成的目的; b) 敏感信息标记的方式; c) 敏感信息生成过程中已有的安全措施; d) 敏感信息生成阶段的审计记录。 6.2 敏感信息存储的风险要素识别 存储阶段风险评估应能够描述移动终端敏感信息的存储过程,并根据其过程确定风险评估应达到 的 目标。 在
10、本阶段评估中,敏感信息资产根据以下方面进行分类与识别: a) 敏感信息存储的时间; b) 敏感信息存储的内容; c) 敏感信息存储的物理介质; d) 敏感信息存储的操作者权限。 敏感信息威胁及脆弱性应根据以下方面进行分类与识别: a) 敏感信息根据安全级别在移动终端的分级存储; DB44/T 2189.32019 3 b) 移动终端的安全域隔离运行环境; c) 敏感信息在存储时进行的完整性校验; d) 敏感信息在存储时选择的加密方式; e) 敏感信息存储在移动终端时的调用方式; f) 敏感信息存储在移动终端时的远程保护方式,包括远程数据锁定能力及远程彻底删除数据能 力; g) 敏感信息在移动终
11、端存储的 转移与备份能力,包括远程网络备份能力及移动终端外围接口的转 移与备份能力; h) 敏感信息在存储过程中已有的安全措施; i) 敏感信息在存储阶段的审计记录。 6.3 敏感信息加工的风险要素识别 加工阶段风险评估应能够描述信息主体或合法操作者在移动终端上对敏感信息进行加工的过程,包 括敏感信息加工的目的、加工方法等,并根据其过程确定风险评估应达到的安全目标。 在本阶段评估中,敏感信息资产根据以下方面进行分类与识别: a) 敏感信息加工的时间; b) 敏感信息加工的条件; c) 敏感信息加工的内容; d) 敏感信息加工的操作者权限。 敏感信息威胁及脆弱性应根 据以下方面进行分类与识别:
12、a) 敏感信息加工的方式; b) 敏感信息加工过程中已有的安全措施; c) 敏感信息加工阶段的审计记录。 6.4 敏感信息转移的风险要素识别 转移阶段风险评估应能够描述所有与移动终端敏感信息传输相关的身份验证、传输方式、网络运行 环境,包括网络接入及无线外围接口连接等,确定风险评估应达到的安全目标。 在本阶段评估中,敏感信息资产根据以下方面进行分类与识别: a) 敏感信息发送方、接收方及操作者权限; b) 被转移的敏感信息的内容; c) 敏感信息的传输密钥、数字证书、数字签名及其他相关签名。 敏感信息威胁及脆弱性应根据以下方 面进行分类与识别: a) 敏感信息转移过程的身份认证; b) 敏感信
13、息在转移过程的网络运行环境; c) 敏感信息通过无线网络传输时的用户信息提示; d) 敏感信息通过 USB 接口、无线外围接口,包括 NFC 接口、蓝牙接口等传输时的用户信息提示; e) 传输密钥的安全管理,包括整个密钥生命周期过程中的密钥安全; f) 数字证书的安全管理,包括签名密钥和验证密钥的获取 /更换、存储及使用; g) 其他签名技术的管理; h) 敏感信息转移过程中已有的安全措施; i) 敏感信息转移阶段的审计记录。 6.5 敏感信息应用的风险要素识别 DB44/T 2189.3 2019 4 应用阶段风险评估应能够描述信息主体或授权用户在移 动终端应用敏感信息的过程,包括对敏感信
14、息的访问、共享、分析、修改等操作,并根据其过程确定风险评估应达到的安全目标。 在本阶段评估中,敏感信息资产根据以下方面进行分类与识别: a) 敏感信息的访问者及访问权限; b) 敏感信息的访问级别; c) 被访问的敏感信息内容; d) 敏感信息的共享者及共享权限; e) 敏感信息的共享有效时间; f) 被共享的敏感信息的内容。 敏感信息威胁及脆弱性应根据以下方面进行分类与识别: a) 敏感信息访问过程中的信息提示; b) 敏感信息访问过程中的操作,包括读、更新、删除、删除恢复等; c) 敏感信息访问过程中的外部认证服务; d) 敏感信息访问过程中的授权访问控制; e) 敏感信息共享过程中的屏蔽
15、保护、信息隔离; f) 敏感信息分析过程中信息主体及用户的错误操作、滥用权限,通过演绎推理、数据挖掘、语义 关联等手段获取一些无权获取的信息; g) 敏感信息应用过程中已有的安全措施 ; h) 敏感信息应用阶段的审计记录。 6.6 敏感信息废止与删除的风险要素识别 废止与删除阶段风险评估应能够描述敏感信息超过期限后自行废止及授权用户在移动终端上删除 敏感信息的过程,并根据其结果确定风险评估应达到的目标。 在本阶段评估中,敏感信息资产根据以下方面进行分类与识别: a) 敏感信息的有效期限 ; b) 敏感信息的内容; c) 敏感信息的废止权限; d) 敏感信息的删除权限 . 敏感信息威胁及脆弱性应
16、根据以下方面进行分类与识别: a) 敏感信息超过期限后自行废止机制,例如移动终端取消敏感信息标识等; b) 敏感信息自行废止后移动终端的信息提示; c) 敏感信息被删除后移动终端的信息提示; d) 异常情况下敏感信息被废止、删除后,移动终端所采取的措施; e) 敏感信息废止与删除阶段的审计记录。 7 敏感信息风险评估实施 7.1 风险评估的准备 风险评估准备可按 GB/Z 24364-2009第 6.2.1章节的要求实施。 7.2 资产识别 移动终端敏感信息安全风险 评估中资产的价值根据敏感信息在机密性、完整性、可用性三个安 DB44/T 2189.32019 5 全属性上的达成程度或者其安全
17、属性未达成时所造成的影响程度决定。 7.2.1 资产分类 资产分类方法应根据移动终端敏感信息在生命周期各阶段活动的表现形式进行分类。例如,在敏感 信息存储阶段,根据敏感信息存储的载体,将敏感信息资产分为数据、软件、硬件、服务、人员等。一 种基于载体的资产分类方法见表 1。 表 1 敏感信息存储阶段资产分类 序号 分类 示例 1 数据 存在移动终端上的各种敏感信息资料 2 软件 在移动终端应用环境下与敏感信息相关的软件 3 硬件 在移动终端应用 环境下存储敏感信息的相关硬件 4 服务 涉及到敏感信息的各类服务 5 人员 掌握敏感信息的信息主体及授权用户等; 7.2.2 资产赋值 资产的赋值根据资
18、产在机密性、完整性和可用性三个安全属性上的达成程度决定。达成程度可以通 过安全属性缺失时造成的影响来表示,在风险评估中应建立一个资产价值评价尺度,以指导资产赋值。 资产赋值的过程是对资产的机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出一 个综合结果的过程。 a) 机密性赋值 根据敏感信息资产在机密性上的不同特征,将其分为三个不同的等级,分别对应敏感信息资产在 机密性上的不同等级对信息主体的影响。 表 2提供 了一种机密性赋值的参考。 表 2 机密性等级赋值与标识 赋值 标识 定义 3 高 包含信息主体的重要秘密,其泄露会造成社会秩序、公共利益严重损害 2 中 包含信息主体的一般性
19、秘密,其泄露会造成个人、其他组织的合法权益受到严重 损害或特别严重损害;或造成社会秩序、公共利益的一般损害 1 低 包含仅能在信息主体一定范围内公开的信息,向外扩散造成个人、其他组织的合 法权益受到一般损害 b) 完整 性赋值 根据敏感信息资产在完整性上的不同要求,将其分为三个不同的等级,分别对应敏感信息资产在完 整性上的达成的不同程度或者完整性缺失时对 信息主体 的影响。 表 3 提供了一种完整性赋值的参考。 表 3 完整性等级赋值与标识 赋值 标识 定义 3 高 完整性价值较高,未经授权的修改或破坏会对个人、其他组织造成重大影响, 比较难以弥补。 DB44/T 2189.3 2019 6
20、表 3 (续) 赋值 标识 定义 2 中 完整性价值中等,未经授权的修改或破坏会对个人、其他组织造成影响,但可以弥补。 1 低 完整性价值较低,未经授权的修改或破坏会对个人、其他组织造成轻微 影响,容易弥补。 c) 可用性赋值 根据敏感信息资产在可用性上的不同要求,将其分为三个不同的等级,分别对应敏感信息资产在可 用性上达成的不同程度。 表 4 提供了一种可用性赋值的参考。 表 4 可用性等级赋值与标识 赋值 标识 定义 3 高 可用性价值较高,合法使用者对移动终端敏感信息的可用度达到每天 90%以上 . 2 中 可用性价值中等,合法使用者对移动终端敏感信息的可用度在正常工作时间达到 70%以
21、上。 1 低 可用性价值较低,合法使用者对移动终端敏感信息的可用度在正常工作时间达到 25%以上。 d) 资产重要续性等级 敏感 信息资产价值应根据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出。综 合评定方法可以根据 信息主体 的安全需求,选择对敏感信息资产机密性、完整性和可用性最为重要的一 个属性的赋值等级作为资产的最终赋值结果,也可以根据敏感信息资产机密性、完整性和可用性的不同 重要程度对其赋值进行加权计算而得到资产的最终赋值。敏感信息资产重要性划分为四级,级别越高表 示资产重要性程度越高。 表 5 提 供了一种资产重要性等级划分的参考。 表 5 资产重要性等级赋值与标识 赋
22、值 标识 定义 3 高 重要,其安全属性破坏后可能对个人、其他组织 造成比较严重的损失 2 中 比较重要,其安全属性破坏后可能对个人、其他组织造成中等程度的损失 1 低 不太重要,其安全属性破坏后可能对个人、其他组织造成较低的损失 评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产展开风险评估实施步骤。 7.3 威胁识别 7.3.1 总则 威胁识别应根据移动终端敏感信息在生命周期各阶段活动存在的威胁主体、资源、动机、途径等多 种属性描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意因 素和非恶意因素。环境因素包括物理环境因素和社会因素。威胁作用形
23、式可以对信息主体直接或间接的 攻击,在机密性、完整性、可用性等方面造成损害,也可能是偶发的或蓄意的事件。 DB44/T 2189.32019 7 7.3.2 威胁识别分类 威胁识别分类包括两个步骤: a) 确定威胁来源列表; b) 根据威胁表现形式对威胁来源进行分类。 例如,在敏感信息转移阶段,首先应考虑威胁来源列表 ,表 6 提供了敏感信息转移阶段威胁来源 列表。 表 6 敏感信息转移阶段威胁来源列表 序号 威胁来源 威胁描述 1 人为因素 恶意行为 攻击者对敏感信息在传输过程中进行恶意破坏,采用 多种方式对敏感信息的机密性、完整性和可用性进行 破坏,例如敏感信息的窃取、泄露、篡改、删除 等
24、 2 非恶意行为 信息主体由于缺少安全意识或者由于个人失误,没有 遵循规章制度和执行正确的操作流程而导致敏感信 息在传输过程中被攻击破坏 3 环境因素 物理环境因素 自然环境危害导致网络传输环境受到破坏,包括软件、硬件、数据、通讯线路等方面的故障 4 社会因素 现有法律法规制度不够健全完善,行业内自律性缺乏 等因素导致敏感信息在传输过程中尚未被有效保护 针对上表的威胁来源,对威胁来源进行分类, 表 7 提 供了敏感信息转移阶段威胁分类表。 表 7 敏感信息转移阶段威胁分类表 序号 种类 描述 威胁子类 1 硬件 故障 对敏感信息传输产生影响的设备终端硬件故障、传输链路中断等问题 USB 接口、
25、无线外围接口等。 2 软件故障 对敏感信息传输产生影响的软件缺陷等问题 系统软件故障、应用软件故障、支持软 件故障等。 3 物理环境 对敏感信息正常传输过程造成影响的物理环境问题和自然灾害 地震、台风、火灾、洪水等自然灾害,断电、电磁干扰等其他不可控因素。 4 无作为或操作失误 应该执行而没有执行相应的操作,或 无意执行了错误的操作 误删敏感信息、保存操作失误、没有按 照规定要求操作,导致系统死机等。 5 管理失误 安全管理无 法落实或不到位 数据操作规则制度缺失或不完善、信息 安全保护法律法规缺失、管理制度和策 略不完善、组织自律性差、监督控管机 制不健全等。 6 恶意代码 在敏感信息传输过
26、程中故意在移动终 端上执行恶意任务的程序代码,破坏 敏感信息的可用性 病毒、木马、陷门、间谍软件、窃听软 件等。 DB44/T 2189.3 2019 8 表 7 (续) 序号 种类 描述 威胁子类 7 越权或滥 用 通过采取一些措施,超越自己的权限 破坏敏感信息的机密性和完整性 非授权获取用户认证信息、传输密钥、 数字签名、数字证书等资源,滥用权限 非正常修改系统配置或数据,滥用权 限。 8 网络攻击 通过网络监听、哄骗身份、中间人攻 击等手段以获取、访问和使用在网络 传输的敏感信息破坏敏感信息的机密 性 网络探测和信息采集、漏洞探测、嗅探 (账号、口令、权限等)、用户身份伪 造和欺骗、敏感
27、信息的窃取和破坏、数 据传输的控制和破坏等。 9 物理攻击 通过物理的接触造成对软件、硬件、数据的破坏 物理接触、物理破坏、盗窃等。 10 泄密 敏感信息泄露给不应了解的他人 敏感信息泄露。 11 篡改 非法修改信息、破坏敏感信息的完整 性和可用性,修改配置信息,使传输 环境的安全性降低 篡改网络配置信息、系统配置信息、安 全配 置信息、用户身份信息等。 12 抵赖 不承认收到的敏感信息和所作的操作和交易 原发抵赖、接收抵赖、第三方抵赖等。 13 审计记录 不完备 敏感信息传输阶段的审计记录缺陷破坏敏感信息传输的合法性 审计记录无法分析、审计记录不全面、审计功能关闭等 7.3.3 威胁赋值 在
28、敏感信息风险评估过程中,综合考虑以下三个方面,形成在某种评估环境中各种威胁出现的频 率: a) 以往安全事件报告中出现过的威胁及其频率的统计; b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计; c) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及 其频率统计,以及发布的威胁预 警。 根据敏感信息面临的威胁特征,将威胁频率等级划分为三级,分别代表威胁出现的频率的高低。 等级数值越大,威胁出现的频率越高, 表 8 提供 了威胁出现频率的一种赋值方法。 表 8 威胁等级赋值与标识 赋值 标识 定义 3 高 威胁出现的频率较高,在大多数情况下很有可能会发生或者可以证实多次发生
29、过 2 中 威胁出现的频率中等,在某种情况下可能会发生或被证实曾经发生过 1 低 威胁出现的频率较小,一般不太可能发生,也没有被证实发生过 7.4 脆弱性识别 7.4.1 脆弱性识别分类 脆弱性识别将针对每一项需要保护 的资产,找出可能被威胁利用的弱点,并对脆弱性的严重程度 DB44/T 2189.32019 9 进行评估。脆弱性识别的数据应来自于资产的所有者、使用者,以及相关业务领域的专家和软硬件方面 的专业人员。脆弱性可分为技术脆弱性和管理脆弱性,应综合考虑技术和管理因素对脆弱性进行识别和 分类。 移动终端敏感信息脆弱性识别以资产为核心,根据已识别资产在生命周期各阶段活动中存在的弱 点,通
30、过工具检测、人工核查、文档查阅等方式综合评价该资产的脆弱性。脆弱性分类从技术和管理两 个方面进行,例如,表 9 提供了敏感信息应用阶段脆弱性识别的分类方法。 表 9 脆弱性识别与分类 序号 类型 识别对象 识别内容 1 技术脆弱性 敏感信息 访问权限 用户账号、口令策略、资源共享权限、授权访问控制、 鉴别机制、密码保护等。 2 访问过程 审计记录 事件审计机制、审计存储、系统管理等。 3 访问环境 系统配置网络边界保护、外部认证服务、内部访问控 制策略、网络接入安全配置等。 4 访问操作 敏感信息的读、更新、删除、删除恢复等。 5 敏感信息内容 数据挖掘、演绎推理、诱导推理、语义关联等。 6
31、管理脆弱性 技术管理 通信与操作管理、访问控制、系统开发与维护、业务 连续性等。 7 组 织管理 安全策略、法律法规、资产分类与控制、人员管理等。 7.4.2 脆弱性赋值 资产脆弱性赋值包括组织的技术脆弱性和管理脆弱性,根据对资产损害程度、技术实现的难易程 度、弱点出现的频率等特征,采用等级方式对已识别的敏感信息脆弱性的严重程度进行赋值。 脆弱性严重程度的等级划分为四级,分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱 性严重程度越高。 表 10 提供了脆弱性严 重程度的一种赋值方法。 表 10 脆弱性等级赋值与标识 等级 标识 定义 3 高 如果被威胁利用,将对资产造成重大损害 2 中
32、如果被威胁利用,将对资产造成 一般损害 1 低 如果被威胁利用,将对资产造成较小损害 7.5 已有安全措施的确认 安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆 弱性导致安全事件发生的可能性;保护性安全措施可以减少因安全事件发生对移动终端信息安全造成的 影响。 对于有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对于不 DB44/T 2189.3 2019 10 适当的安全措施应核实是否应被取消,或者用更合适的安全措施替代。 8 敏感信息风险分析 8.1 风险分析原理 在完成了敏感信息资产识别、威胁识别、脆弱性识别,以及对已有安全
33、措施确认 后,采用风险分析 模型和工具确定威胁利用脆弱性导致安全事件发生的可能性,并根据安全事件发生的可能性和负面影响 的程度来识别移动终端应用环境的敏感信息安全风险。风险分析范式见式( a)。 风险值 =R( A, T, V) =R( L( T, V), F( A, T) ( a) 其中, R 表示安全风险计算函数; A 表示敏感信息资产价值; T 表示威胁; V 表示脆弱性; A 表示 安全事件所作用的资产重要程度; T 表示脆弱性严重程度; L 表示威胁利用资产的脆弱性导致安全事件 发生的可能性; F 表示安全事件发生后产生的损失。 a) 计算安全事件发生的可能性 根 据威胁出现频率及脆
34、弱性状况,综合攻击者技术能力、脆弱性被利用的难易程度以及资产吸引 力等因素计算威胁利用脆弱性导致安全事件发生的可能性,见式( b)。 安全事件发生的可能性 =L(威胁出现频率,脆弱性) =L( T, V)( b) b) 计算安全事件发生后的损失 根据资产重要程度及脆弱性严重程度,计算安全事件一旦发生后的损失,见式( c)。 安全事件的影响 =F(资产重要程度,脆弱性严重程度) =F( A, T) .( c) c) 计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,见式( d)。 风险值 =R(安全事件发生的可能性,安全事件的损失) =R( L( T, V), F( A
35、, T)( d) 8.2 风险分析过程 8.2.1 风险计算方法 风险值的计算方 法应按 GB/T 20984-2007 附录 A 的要 求实施。 a) 建立通用的威胁列表和脆弱性列表,根据类表提供的线索对移动终端敏感信息面临的威胁和威 胁可利用的脆弱性进行选择,确立风险涉及的指标。 b) 对风险涉及的指标进行详细分析,得出风险结果。 8.2.2 风险等级赋值 移动终端敏感信息 风险等级划分为三级,等级越高,风险越高。评估者应根据风险计算方法为每个 等级设定风险值范围,并对所有风险计算 结果进行等级处理。 风险等级划分表如表 11 所示。 表 11 风险等级赋值与标识 等级 标识 描述 3 高
36、 发生后造成社会秩序、公共利益严重损害。 2 中 发生后造成个人、其他组织的合法权益受到严重损害或特别严重损害;或造成 社会秩序、公共利益的一般损害。 1 低 发生后造成个人、其他组织的合法权益受到一般损害。 DB44/T 2189.32019 11 组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受风险阈值。对某些风险,如果 评估值小于或等于可接受风险阈值,是可接受风险,可保持已有的安全措施;如果评估值大于可接受风 险阈值,是不可接受风险 ,则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术 两个方面,可以按信息安全的相关标准实施。 在对于不可接受风险选择适当的安全
37、措施后,为确保安全措施的有效性,可进行再评估,以判断实 施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的再评估可以依据本标准提出的风险 评估流程进行,也可做适当裁减。 某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是否接受此风险或 进一步增加相应的安全措施。 8.3 风险处理 风险处理是根据风险评估的结果,选择和实施合适的安全措施,将风险始终 控制在可接受的范围内。 风险处理的方式主要包括以下几种: a) 规避方式:通过不使用面临风险的资产来避免风险。比如,在移动终端没有提供足够的安全保 障能力的条件下不生成敏感信息。 b) 转移方式:通过将面临风险的资产或
38、其价值转移到更安全的地方来避免或降低风险。比如,在 移动终端没有提供足够的安全保障能力的条件下将敏感信息进行数据转移和备份。 c) 降低方式:通过对面临风险的资产采取保护措施来降低风险,针对敏感信息的风险要素建立保 护措施。比如,在敏感信息传输阶段,增加身份认证措施,降低用户身份伪造的安全风险。 d) 接受方式:对面临的风险 不采取进一步的处理措施,接受风险可能带来的结果。比如,在敏感 信息废止与删除阶段,移动终端在异常情况下不彻底的删除敏感信息,并且不采取进一步处理 措施,接受敏感信息残留的风险。 8.4 残余风险评估 残余风险评估应按 GB/T 20984-2007 第 5.6.4 章节的
39、要求实施。 9 敏感信息风险评估文档 风险评估过程的输出文档及其内容应按 GB/Z 24364-2009第 6.3章节的要求实施。 DB44/T 2189.3 2019 12 参 考 文 献 1 ISO/IEC 17799-2000 Information security management Part 1:Code of practice for information security management 2 ISO/IEC TR 13335.1 Information technology Guidelines for the management of IT security Pa
40、rt 1:Concepts and models of IT Security 3 GB 17859-1999 计算机信息系统安全保护等级划分准则 4 GB/T 18336-2001 信息技术 安全 技术 信息技术安全性评估准则 5 GB/T 19716-2005 信息技术 信息安全管理实用规则 6 GB/T 19715.1-2005 信息技术信息技术安全管理指南 第 1 部分 : 信息技术安全概念和模型 7 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 8 GB/Z 24364-2009 信息安全技术 信息安全风险管理指南 _ DB44/T 2189.32019 13 DB4 4/ T 21 89 .3 20 19 广东省地方标 准 移动终端信息安全 第 3 部分:敏感信息风险评估 DB44/T 2189.3 2019 * 广东省标准化研究院组织印刷 广州市海珠区南田路 563 号 13
