風險管理有一些專有名詞,在各領域裡的風險管理概念上大同小 異,只是差在一些慣用語、或描述的詳細程度不同…等細節而已。因 此資訊資產的風險管理(資訊安全)也不例外。
2.3.1 風險管理概念
Mayer 等 人 (2007) 整 理 了 十 五 篇 文 獻 包 含 風 險 管 理 標 準 (Risk management standards)、資訊安全標準(Security related standards)、安全 風險管理方法(Security risk management methods)、軟體工程安全框架 (SE security frameworks)中的概念和用詞,如下表所示總共有五個概念 (表 2-1):
(1)風險辨識(Risk Identification)
(2)風險衡量(Risk Measurement)
(3)對策選擇(Selection of techniques)
(4)決策實行(Implementation of decisions)
(5)績效評估(Evaluation of performance)
圖 2-3.風險管理之步驟
資料來源:簡化自張春雄等人,2003,風險管理,吉田出版
表 2-1.十五篇文獻之風險管理概念與用詞比較表
文獻 概念(1) 概念(2) 概念(3) 概念(4) 概念(5)
ISO/IEC Guide 73
Risk Event Consequence - -
AS/NZS 4360 Risk Event Consequence - -
ISO/IEC 27001 Risk - Impact Threat Vulnerability
ISO/IEC 13335 Risk - Harm Threat Vulnerability
Common Criteria Risk Threat Consequence - Vulnerability NIST 800-27
NIST 800-30
Risk - Impact Threat Vulnerability
EBIOS Risk Threat Impact - Vulnerability
MEHARI Risk
Risk scenario
Cause Consequence - -
OCTAVE Risk - Impact
Consequence
Threat Vulnerability
CRAMM Risk - Loss Threat Vulnerability
Moffett and Nuseibeh
Risk - Impact Threat Vulnerability
Firesmith Safety Risk Security Risk
- Impact Hazard
Threat
Vulnerability
資料來源:繪製自 N.Mayer, P.Heymans, R.Matulevičius(2007), ‘Design of a Modelling Language for Information System Security Risk Management’, Proceedings of the 1st International Conference on
Research Challenges in Information Science(RCIS 2007), Ouarzazate,
Morocco, April一.風險(Risk):指「一個威脅(Threat)和至少一個弱點(Vulnerability)並 導致一或多個資產(Asset)受到影響(Impact)。」這整件事情。例如:黑 客(Cracker)入侵並偷走會員資料,造成商譽資產(Asset)受影響(Impact)。
這整件事情叫做一個風險。
二.導致風險的原因(Cause of the risk):風險事件會產生是因為「有某一 個威脅(Threat)利用至少一個弱點(Vulnerability)。」例如:黑客(Cracker)
五.弱點(Vulnerability):一或多個資訊資產(Asset)具有對於資安方面脆 弱(Weakness)或瑕疵(Flaw)的特徵。可能會被威脅(Threat)利用並導致故 意或非故意的風險事故。例如:作業系統的漏洞可以被偷偷放進木馬 程式。
整個關係如圖 2-4:
六.資產(Assest):「一般被定義為任何對組織有價值需要被保護的東西。
而組織資訊或流程需要符合一些原則,以保護這些資產。這些屬性包 含保密性(confidentiality)、完整性(integrity)、以及可用性(availability)。
(ISO/IEC 13335-1:2004)」Mayer 等人(2007)。
2.3.2 受保護資產應該符合的準則:
我們都說關鍵資產應該受到保護,但資訊資產不是實體資產,資 訊安全也和人身安全不同,不只是讓他活著就好。要讓資訊資產符合 哪些原則才算是保護得好,各家門派也各有異同。
除 了 Mayer 等 人 (2007) 提 到 「 受 保 護 資 產 應 該 要 符 合 保 密 性 (confidentiality)、完整性(integrity)、以及可用性(availability)。(ISO/IEC 13335-1:2004)」是基本的三項原則外。歐洲成立的 CORAS 專案發展一 套方法和工具支持模式基礎(Model-Base)的資訊安全風險評估框架系 統,「CORAS 特別強調資訊安全包含所有定義、達成、和維持機密性
圖 2-4.資訊安全各主要名詞概念圖
資料來源:N.Mayer, P.Heymans, R.Matulevičius(2007), ‘Design of a Modelling Language for Information System Security Risk
Management’, Proceedings of the 1st International Conference on
Research Challenges in Information Science(RCIS 2007),
Ouarzazate, Morocco, April風險(Risk)
導致風險的原因(Cause)
弱點(Vulnerability) 威脅(Threat)
影響(Impact)
資產(Assest) 利用
導致
[0,*]
[1,*]
傷害
[1,1]
[1,1]
[1,*]
[0,*]
(confidentiality)、完整性(integrity)、可用性(availability)、不可否認性 (non-repudiation)、有責性(accountability)、可稽核性(authenticity)、和可 靠性(reliability) (ISO/IEC TR 13335-1:2001)」Yannis C. Stamatiou 等人 (2002)。而這七個資訊安全基本準則說明如下(Avizienis et.al., 2000):
一.機密性(confidentiality):拒絕未被授權的資訊被揭露。
二.完整性(integrity):拒絕不合法的系統狀態變更。
三.可用性(availability):隨時準備提供正確服務。
四.不可否認性(non-repudiation):訊息發送者和接受者身份資訊的 完整且可用性。
五.有責性(accountability):執行某項操作,操作者的身分資訊要符 合可用性和完整性。
六.可稽核性(authenticity):一個訊息的內容、來源和其他可能資訊 (像是發送時間)應該要符合完整性。
七.可靠性(reliability):持續提供正確服務。