附录A
(资料性附录)
法律法规方面
信息安全事件管理策略和相关方案中宜关注信息安全事件管理的如下法律法规方面。
a)提供足够的数据保护和个人信息的隐私保护。在那些有特定法律涵盖数据保密性和完整性的
国家中,对于个人数据的控制常常受到限制。由于信息安全事件通常需要归因到个人,个人特性
的信息可能因此需要被相应地记录和管理。因此,结构化的信息安全事件管理方法需要考虑适当
的隐私保护。这可能包括以下方面:
1)如果实际情况可行,访问被调查人的个人数据的人员不宜与其存在私交;
2)在允许访问个人数据之前,宜签署保密协议;
3)信息宜仅用于其被获取的明示目的,即信息安全事件调查。
b)维护适当的记录保存。一些国家的法律,要求公司维护其活动的适当记录,在每年组织的审
计过程中进行审查。政府机构也有类似的要求。在某些国家,要求组织报告或生成执法用的档案
(例如,当涉及到对政府敏感系统的严重犯罪或渗透时)。
c)控制措施到位以确保实现商业合同义务。当对信息安全事件管理服务提出要求时,例如,满
足所需的响应时间,组织宜确保提供适当的信息安全来保证在任何情况下满足这种义务要求。与
此相关,如果组织寻求外部方支持并签署合同,例如外部IRT,那么宜确保在与外部方签署的合
同中涵盖了所有要求,包括响应时间;
d)处理与策略和规程相关的法律问题。与信息安全事件管理方案相关的策略和规程宜就潜在的
法律法规问题得到检查,例如,是否有关于对那些引起信息安全事件的事项采取惩戒和(或)法
律诉讼的声明。在一些国家,解雇人员并不是一件容易的事情;
e)检查免责声明的法律效力。信息事件管理团队和任何外部支持人员所采取行动的免责声明的
法律效力宜得到检查。
f)与外部支持人员的合同涵盖所有要求的方面。与任何外部支持人员的合同,例如来自外部IRT
人员,在免除责任、保密、服务可用性和错误建议的影响方面宜得到彻底检查。
g)保密协议可强制执行。信息安全事件管理团队成员在入职和离职时,可被要求签署保密协议。
在一些国家,已签署的保密协议可能在法律上无效,宜对此予以核实。
h)满足执法的要求。执法机构可能会合法地请求来自信息安全事件管理方案的信息,与其相关
的问题需要澄清。可能的情况是,宜明确按照法律规定的最低水平要求,来记录事件和保持记录
存档的时长。
i)明确责任。需要明确潜在的责任和所需的相关控制措施是否到位。可能具有相关责任问题的
事态示例如下:
1)如果一个事件可能影响到其他组织(例如,披露共享信息,但没有及时通知,导致其他组织
受到不利影响);
2)如果在产品中发现新的脆弱性,但供应商未得到通知,随后发生了重大相关事件,给一个或
多个其它组织带来重大影响;
3)没有编制报告,但在某些国家,在涉及到对政府敏感系统或关键国家基础设施组成部分的严
重犯罪或渗透时,要求组织报告或生成执法用的档案;
这可能会损害涉案个人或组披露的信息似乎表明某人或组织可能被卷入了攻击。4)织的声誉和
业务;披露的信息表明可能是特定软件的问题,但后来发现并非如此。5)
当有具体法规要求时,宜将事件报告给指定机构,例如,在许满足具体法规要求。j)
多国家对核电工业、电信公司和互联网服务提供商那样的要求。能够成功起诉或执行内部纪律
规程。适当的信息安全控制措施宜到位,包括可证明k)防篡改的审计跟踪,以此能够成功地对
“攻击者”起诉或执行内部纪律规程,无论攻击是技术的还是物理的。为支持这项工作,需要以
在适当的国家法院或其他纪律论坛上可接受的方式收集证据。从而可以表明:
1)记录是完整的且没有以任何方式被篡改;
2)电子证据副本可证明与原件相同;
3)任何收集证据的IT系统在证据被收集时是正常运行的。
l)与监控技术相关的法律问题得到解决。在有关国家立法的语境下,使用监控技术的影响需要
解决。各种技术的合法性随着国家不同而不同。例如,在一些国家,有必要让人们意识到在发生
监控活动,包括通过监视技术。需要考虑的因素包括谁/什么正在被监控,它们/它如何被监控,
以及监控什么时候正在发生。还宜指出,在IDS语境下的监控/监视在ISO/IEC27039中做了具
体讨论。
m)可接受的使用策略得到定义和沟通。可接受的实践/使用宜得到定义,形成文件,并与所有
预期用户沟通。例如,当加入一个组织或获得信息系统的访问权限时,宜告知用户可接受的使用
策略,并要求提供书面确认,以表明他们理解和接受这一策略。
AA
附录B
(资料性附录)
信息安全事态、事件和脆弱性报告及表单示例
B.1概述
附录B包含信息安全事态、事件和脆弱性的记录事项及其报告表单示例。需要强调的是,这些仅
是示例。还有其他例子,诸如事件对象描述和交换格式(IODEF)标准中的模式。
B.2记录事项示例
信息安全事态记录事项示例
包括信息安全事态的基本信息,诸如事态何时发生、发生了什么、如何发生的和为什么发生,以
及报告人的联系信息。
—基本信息
—事态日期
—事态编号
—相关事态和(或)事件编号(适用时)
—报告人详情
—姓名
—,诸如地址、单位、部门、电话和
—事态描述
—发生了什么
—如何发生的
—为什么发生
—对受影响组件或资产的初步意见
—对业务的不利影响
—识别的任何脆弱性
—事态详情
—事态发生的日期和时间
—事态被发现的日期和时间
—事态被报告的日期和时间
信息安全事件记录事项示例
包括信息安全事件的基本信息,诸如事件何时发生、发生了什么、如何发生的和为什么发生,以
及事件类别、影响和事件响应结果。
—基本信息
—事件日期
—事件编号
—相关事态和(或)事件编号(适用时)
—报告人详情
姓名—.
—联系信息,诸如地址、单位、部门、电话和
—联络点(PoC)成员详情
—姓名
—联系信息,诸如地址、单位、部门、电话和
—IRT成员详情
—姓名
—联系信息,诸如地址、单位、部门、电话和
—事件描述
—发生了什么
—如何发生的
—为什么发生
—对受影响组件或资产的初步意见
—对业务的不利影响
—识别的任何脆弱性
—事件详情
—事件发生的日期和时间
—事件被发现的日期和时间
—事件被报告的日期和时间
—事件类别
—受影响的组件或资产
—事件对业务的不利影响
—从事件中恢复的总成本
—事件解决方案
—涉及的人员或作案者(如果事件是由人引起的)
—作案者描述
—实际或感知的动机
—解决事件所采取的行动
—解决事件所计划的行动
—未完成的行动
—结论
—被告知的内部人员/实体
—被告知的外部人员/实体
信息安全脆弱性记录事项示例
包括信息安全脆弱性的基本信息,诸如脆弱性何时被识别、识别的是什么和如何被识别的,以及
潜在影响和解决方案。
—基本信息
—脆弱性被识别的日期
—脆弱性编号
—报告人详情
—姓名
—联系信息,诸如地址、单位、部门、电话和
—脆弱性描述
脆弱性解决方案—.
B.3表单使用方法
日期和时间格式
日期输入格式宜为CCYY-MM-DD(和HH-MM-SS,需要时)。多个事件可能跨时区发生,如果这些事
件相关,宜使用UTC时间(或至少说明所使用时间的UTC时差),以便进行比较(见ISO8601)。
完成说明
信息安全事态和事件报告表单旨在向适当人员提供有关信息安全事态和事件(如果信息安全事态
被确定为事件)的信息。
如果怀疑信息安全事态正在发生或可能已经发生,特别是可能给组织的资产或声誉造成重大损失
或影响的,宜按照组织的信息安全事件管理计划中描述的规程立即填写并提交信息安全事态报告
表单(见本附录第一部分)。
所提供的信息将用于启动适当的评估,来判断该事态是否属于信息安全事件,是否可以采取哪些
必要的补救措施来避免或减少损失或损坏。鉴于此过程可能具有时间关键性,此时不必填完报告
表单中的所有项。
当PoC成员审阅全部或部分完成的表单后,要决定该事态是否属于信息安全事件。如果被归属于
事件,则宜尽可能详细填写信息安全事件表单,并将信息安全事态和事件表单一并提交给IRT。
无论信息安全事态是否属于事件,都宜更新事件管理系统。
当IRT成员审阅PoC成员提交的信息安全事态和事件表单后,宜随着调查进展更新事件表单及事
件管理系统中的相关项。
信息安全脆弱性表单旨在提供感知到的脆弱性信息,作为脆弱性解决方案的信息库。
填写表单时,请遵守以下指南:
—建议以电子方式填写并提交表单。当使用电子报告机制(例如)存在或认为存在问
题时,包括当认为系统可能受到攻击,电子报告表单可能被未授权人员读到时,可使用替代的方
法来进行报告。替代的方法可包括亲自、电话或短信。
注:例如,采用安全网页表单链接到电子的信息安全事态/事件/脆弱性数据库。在当今世界,还基于纸质的操作是耗费
时间的。但是,基于纸质的计划可作为电子计划不可用时的备份。
—仅提供已知事实的信息,不要为了完成表单项而进行猜测。如果有必要提供未确认的信息,
请清楚地说明该信息是未经确认的,以及其有可能是真实的理由。
—宜提供详细。为获得关于报告的进一步信息,可能有必要或者立即或者过后联系报
告人。
如果后续发现提交的信息不准确、不完整或有误导,宜修正或重新提交表单。.
B.4表单示例
信息安全事态报告表单示例
信息安全事态报告第1页共1页
3相关事态和(或)1事态日期
(适用时)事件编号1事态编号2
4报告人详情
4.1姓名4.2地址
单位4.4部门4.3
4.64.5电话
信息安全事态描述5
5.1事态描述:?发生了什如何发生为什么发对受影响组件或资产的初步意对业务的不利影
识别的任何脆弱
信息安全事态详6
6.1事态发生的日期和时6.2事态被发现的日期和时
6.3事态被报告的日期和时
(适当时勾选6.4事态响应是否结束如果是,说明事态持续了多长时间(6.5分)
管理者分配。IRT事态编号宜由组织的1).
信息安全事件报告表单示例
信息安全事件报告第1页共6页
相关事态和(或)1事件日期3
(适用时)事件编号22事件编号4联络点(PoC)成员详情
4.1姓名4.2地址
部门单位4.34.4
4.64.5电话5IRT成员详情地址5.25.1姓名
5.4部门单位5.3
5.65.5电信息安全事件描6
6.1进一步的事件描发生了什如何发生为什么发对受影响组件或资产的初步意对业务的不利影识别的任何脆弱7信息安
全事件详事件发生的日期和时7.1
7.2事件被发现的日期和时事件被报告的日期和时7.3
报告人的身7.4联系方
(适当时勾选7.5事件响应是否结束
分如果是,说明事件持续了多长时间(7.6
管理者分配,并链接到相关的事态编号。IRT事件编号宜由组织的2).
信息安全事件报告第2页共6页
信息安全事件类别8
(勾选一项,然后完成下面的相关部分)
(事件已经发生)实际的8.1
(事件被认为已经发生但没有确认)怀疑的8.2
(指出涉及的威胁类型)自然灾害8.3
其他崩塌闪电海啸火山洪水暴风地震
具体说明:
(指出涉及的威胁类型)社会动乱8.4
其他战争示威游行
具体说明:
(指出涉及的威胁类型)8.5物理损设备丢设备篡设备盗设备毁火
介质盗水介质丢介质毁介质篡
恶劣环境(诸如污染、灰尘、腐蚀、冻结其静
具体说明
(指出涉及的威胁类型基础设施故8.6
空调故供水故其电源故网络故
具体说明
(指出涉及的威胁类型8.7辐射干其热辐电压波电磁脉电磁辐电子干
具体说明
(指出涉及的威胁类型技术故8.8
其维护性破软件故硬件故过载(信息系统容量饱和
具体说明
信息安全事件报告第3页共6页
信息安全事件类别8
(指出涉及的威胁类型)8.9恶意软件计算机病毒网络蠕虫混合攻击恶意代码内嵌网页其他恶意代码宿
主站点僵尸网络特洛伊木马
具体说明:
(指出涉及的威胁类型)技术攻击8.10
脆弱性利用后门利用其他登录尝试干扰拒绝服务(DoS)网络扫描
具体说明:
(指出涉及的威胁类型)规则违背8.11
其他版权违反资源未授权使用
具体说明:
(指出涉及的威胁类型8.12功能损其人员可用性破行为抵误操权限滥权限伪具体说明
(指出涉及的威胁类型信息损8.13
网络钓数据丢数据错数据流分伪窃拦
社会工数据窃数据篡泄其位置检间具体说明
(指出涉及的威胁类型有害内8.14
恶意内滥用内非法内恐慌内其
具体说明
(如果尚未确定事件是否属于上述类勾选这里其8.1具体说明
信息安全事件报告页6共第4页39受影响的组件/资产(提供受事件影响或与事件相关的组件/资产的
描述,包括相关的序列号、许可证和版本号。)受影响的组件/资产(如果有)
数据信息/9.1
硬件9.2
9.3软件9.4通信
9.5文档过程9.6
9.7其他
10事件对业务的负面影响
对以下每个选项,如果相关则勾选。然后,考虑所有受事件影响方,使用影响类别指南,在“数值”一栏
中1尺度填写对业务负面影响的级别。事件影响类别包括:业务运营的财务损中断、商业和经济利益、个
人信息、律法规义务管理和业务运营信誉损失“指南一栏中填写适用指南的代码如果知道实际成本则填写
“本”一栏中
数指成
10.1保密性遭受破
(即未授权披露
10.2完整性遭受破
(即未授权更改
10.3可用性遭受破
(即不可用
10.4抗抵赖性遭受破
10.信息和(或)服务遭受破
11事件恢复总成如果可能,宜给出事件恢复的实际总成本数指成
尺度填写“数值”一栏,以实1情况填写“成本”一栏
3)这一项是为了获得更多的受影响组件/资产细节(如果有),用于深入调查和分析(在事态和事件分析。的初始阶段
通常只收集到高层信息).
信息安全事件报告页6共第5页事件解决方案12
12.1事件调查开始日期12.2事件调查人员姓名12.3事件结束日期
影响结束日期12.4
12.5事件调查完成日期12.6调查报告的引用和位置
/13(如果事件由人引起)涉及的人员作恶者有组织的团体个人合法建立的组织/机构
(例如,自然因素、设备故障、人无错误)无作恶者意外
14作恶者描述
15实际或察觉到的动
犯经济收消黑客攻政恐怖主报其
具体说
16为解决事件已采取的行
(例如“无行动
“内部行动“部调查“由…进行的外部调查
17为解决事件计划采取的行
(例如,见上例
18未完成的行
(例如,调查任
被其他人员要求
信息安全事件报告第6页共6页
19.结论(勾选指出事件是重大还是较小,并给出论证这一结论的简短叙述)
重大较小
(指出任何其他结论)
20.被通知的内部人员/实体(本细节由负责信息安全并规定信息安全管理者/其他负责官员
所需行动的相关人员填写。相关IRT管理者
(说明哪个站点)时可能由组织的信息安全管理者站点管理者
或其他负责官员进行调整)信息系统管理者
报告发起人
报告发起人的管理者/受影响的各级用户管理层
(例如,服务台、人力资源部、管理层、内部审计)其他
具体说明:
21.被通知的外部人实
(本细节由负责信息安全并规警
(例如,执法机构、外所需行动的相关人员填写。相IR其
时可能由组织的信息安全管理具体说或其他负责官员进行调整
22.签
评审发起评审数字签数字签数字签
姓姓姓角角角
日日日
信息安全脆弱性报告表单示例
信息安全脆弱性报告页1页共第14脆弱性被识别的日期1.2.脆弱性编号报告人详情3.
3.23.1姓名地址3.4单位3.3部门
3.63.5电话信息安全脆弱性描述4.
4.1脆弱性被报告的日期和时间4.2对感知到的信息安全脆弱性的叙述性描述:
脆弱性是如何被告知的?脆弱性特征——物理、技术等方面?IT/联网组件如果是技术方面,涉及到的资
如果脆弱性被利用,可能受影响的组如果脆弱性被利用,对业务潜在的不利影
5.信息安全脆弱性解决方(适当时勾选5.脆弱性是否被确认
脆弱性被确认的日期和时5.2
5.35.4地授权人姓
单5.5
5.65.7E-mail电
(适当时勾选5.8脆弱性是否已被解决
5.9对如何解决信息安全脆弱性的叙述性描述,包日期和解决方案授权人的姓
管理者分配。IRT脆弱性编号宜由组织的4).
BB
附录C
(资料性附录)
信息安全事态和事件分类分级方法示例
C.1概述
附录C提供了信息安全事件的分类分级方法示例。这些方法使相关人员或组织能够以一致的方式
记录信息安全事件,从而带来以下好处:
1促进信息安全事件信息的交换和共享。
2便于自动化信息安全事件报告和响应。
3提高信息安全事件处理和管理的效率和效果。
4利于信息安全事件数据的收集和分析。
5使用统一准则,标识信息安全事件的严重程度。
这些分类分级方法示例适用于信息安全事态,但不适用于信息安全脆弱性。
相关工作可参见:
a)RFC5070事件对象描述交换格式(IODEF);
b)RFC6545实时内部网络防御(RID);
c)RFC6546实时内部网络防御的传输;
d)Mitre的结构化威胁信息表达式(STIX);
e)Mitre的可信自动化指示器信息交换(TAXII)。
C.2信息安全事件分类
信息安全事件可能是由人为故意或意外的行为引起的,也可能是由技术或物理原因引起的。以下
方法将威胁视为分类因素,对信息安全事件进行分类。(关于威胁,参见GB/T31722—2015附录
C典型威胁示例。)表C.1列举了信息安全事件类别
表C.1依据威胁的信息安全事件分类
类描示
超出人类控制的自然灾害造成的信自然灾害事地震、火山、洪水、暴风、闪电、海啸、崩塌等。安全损失。示威游
行、、战争等。社会不稳定造成的信息安全损失。社会动乱事件火灾、水灾、静电、恶劣环境(诸如污染、
灰尘、物理损害事件故意或意外的物理行动造成的信息安
,设备毁坏、介质毁坏、设备盗窃、介腐蚀、冻结)全损失。质盗窃、设备丢失、介质丢失、设备篡改、介质篡改等。
基础设施故障事件电源故障、网络故障、空调故障、供水故障等。支撑信息系统运行的基本系统和服务故障造成的信
息安全损失。电磁辐射、电磁脉冲、电子干扰、电压波动、热辐辐射干扰事件因辐射产生干扰造成的信息安全损射等。
失。.
类别描述示例
硬件故障、软件故障、过载(信息系统容量饱和)、信息系统或相关技术设施故障以及意技术故障事件维护性破坏等。
外的人为因素导致信息系统故障或毁坏造成的信息安全损失。恶意软件事件蓄意制造和传播的恶意程序造成的信计算
机病毒、网络蠕虫、特洛伊木马、僵尸网络、混合攻击、恶意代码内嵌网页、恶意代码宿主站点息安全损失。将恶意程
序插入信息系等。统以破坏数据、应用程序或操作系统
计算机病毒:在计算机程序中插入的一组计算机指(或)和完整性或可用性,的保密性、令或者程序代码。不像正常程
序,它具有自复制能影响信息系统的正常运行。力,并通常携带可能破坏计算机运行或毁坏数据的功能。网络蠕虫:
与计算机病毒相对应,一种利用信息系统缺陷,通过网络自动传播并复制的恶意程序。特洛伊木马:一种在信息系统
中伪装成良性功能的恶意程序,能够控制信息系统,包括从信息系统中窃取或截获信息。)“僵尸”僵尸网络:由一组
网上被攻破的计算机(组成,受到被称为僵尸网络控制者或牧人的集中制。僵尸网络是通过感染网络上的大量计算机来
意形成的。僵尸网络可被用于投机性网络攻击、息窃取以及特洛伊木马、网络蠕虫和其他恶意程的传播混合攻击:可以
兼有计算机病毒、网络蠕虫、特伊木马或僵尸网络等多种组合特征。混合攻击也以是一系列不同恶意程序组合运行的结
果。例如一个计算机病毒或网络蠕虫在侵入计算机系统后系统中安装木马程序恶意代码内嵌网页:因被嵌入恶意代码而
受到污的网页,该恶意代码在访问该网站的计算机系统安装恶意软件恶意代码宿主站点:诱使网站存储恶意代码,导目
标用户下载的站点。.
类别描述示例
网络扫描、脆弱性利用、后门利用、登录尝试、干通过网络或其他技术手段对信息系统技术攻击事件扰、拒绝服务(DoS)
等。攻击(或者利用信息系统配置、协议网络扫描:利用网络扫描软件获取有关网络配置、或程序中的脆弱性,或者
强力攻击导端口、服务和现有脆弱性的信息。致信息系统状态异常或对当前系统运脆弱性利用:发掘并利用诸如配置、
协议或程序的行带来潜在危害)造成的信息安全损信息系统缺陷。失。
后门利用:利用软件和硬件系统设计过程中留下的后门或有害程序。
登录尝试:尝试猜测、破解或暴力破解口令。
干扰:通过技术手段阻碍计算机网络、有线或无线广播电视传输网络或卫星广播电视信号。
拒绝服务(DoS):因过度使用信息系统和网络资源(诸如CPU、内存、磁盘空间或网络带宽)而引起,进而影响信息系
统的正常运行,例如,SYS-a、PIG泛滥、轰炸。
规则违背事件故意或意外违规造成的信息安全损失资源未授权使用、版权违反等。
资源未授权使用:为未授权的目的访问资源,包营利冒险,例如,使用参加非法传销的锁信
版权违反:因贩卖或安装未经许可的商业软件或他受版权保护的材料而引起,例如,盗版软件
功能损害事故意或意外地在安全方面损害信息权限滥用、权限伪造、行为抵赖、误操作、人员用性破坏统功能造成的信
息安全损
权限滥用:超出范围使用权限
权限伪造:为了欺骗制造虚假权限
行为抵赖:否认她所做的事情
误操作:不正确或无意地执行操作
人员可用性破坏:由人员缺失或缺席而造成
信息损害事故意或无意损害信息安全(诸如保拦截、间谍、窃听、泄露、伪装、社会工程、网钓鱼、数据窃取、数据丢
失、数据篡改、数据错误性、完整性、可用性等)造成的信数据流分析、位置检测等安全损
拦截:在数据到达目标接收者之前捕获数据
间谍:秘密收集和报告有关其他组织活动的信息
窃听:在对方不知情的情况下偷听其谈话
泄露:将敏感信息公之于众
伪装:一个实体假装成另外一个实体
社会工程:通过心理操纵人(以非技术方式)来露信息或执行行动,例如,谎言、诡计、贿赂或胁
网络钓鱼:利用欺诈性计算机网络技术诱使用户露重要信息,诸如通过欺骗性获取用户银行帐户详细信息和口
令。.
类别描述示例
数据窃取:偷窃数据。
数据篡改未经授权接触或修改数据。
数据错误:输入或处理数据时发生错误。
位置检测:检测敏感信息或系统的位置。
有害内容事件通过信息网络传播危害国家安全、社非法内容、恐慌内容、恶意内容、滥用内容等。
非法内容:公布的内容违反国家或国际宪法、法律会稳定和(或)公共安全和利益的不和法规,例如,儿童情、暴力
宣扬、伪造、欺诈。良内容造成的信息安全损失。
恐慌内容:对互联网上的敏感问题进行恶意耸人听闻的讨论或评论,导致诸如社会动荡或恐慌。
恶意内容:传播恶意攻击社会或人的内容,例如,恶作剧、骚扰。
滥用内容:广播未经接收者准许的内容,例如,垃圾邮件。
未分类到在上述类别中的事件。其他事件
C.3信息安全事件分级
下面介绍两个信息安全事件分级方法示例。
需要强调的是,这些仅是举例,它们可能为适合业务需要而被修改。此外,还有其他分级标准,
诸如通用脆弱性评价体系(CVSS)和英国政府结构化预警信息格式(SWIF)。
方法示例1
分级因素
概述
本方法通过考虑以下三方面因素对信息安全事件进行分级:
a)信息系统重要程度;
b)业务损失;
c)社会影响。
信息系统重要程度
受信息安全事件影响的信息系统的重要程度由信息系统所支撑运行的组织业务的重要程度决定。
这种重要程度以关联到国家安全、社会秩序、经济发展和公众利益以及业务对信息系统的依赖程
度来表达。信息系统重要程度划分为三个级别:特别重要的信息系统、重要的信息系统和一般的
信息系统。
业务损失
信息安全事件导致的组织的业务损失由因信息系统的硬件/软件、功能和数据的损坏导致业务中
断影响的严重程度决定,其大小可取决于恢复业务正常运行和消除信息安全事件负面影响所需代
价,包括利益和(或)机会的丧失。业务损失划分为四个级别:特别严重的业务损失、严重的
业务损失、较大的业务损失和较小的业务损失,说明如下:
特别严重的业务损失:业务大面积瘫痪,导致业务能力丧失,和(或)关键业务数a)
据的保密性、完整性、可用性遭到特别严重破坏,恢复业务正常运行和消除负面影响所需代价
十分巨大,对于事发组织是不可承受的。严重的业务损失:造成业务运行长时间中断或局部业务
瘫痪,导致业务能力受到极b)
大影响,和(或)关键业务数据的保密性、完整性、可用性遭到严重破坏,恢复业务正常运行
和消除负面影响所需代价巨大,但对于事发组织是可承受的。较大的业务损失:业务运行中断,
导致业务能力受到较大影响,和(或)重要业务c)
数据的保密性、完整性、可用性遭到较大破坏,恢复业务正常运行和消除负面影响所需代价较
大,但对于事发组织是完全可以承受的。较小的业务损失:业务短暂中断,导致业务能力受到一
些影响,和(或)重要业务d)
数据的保密性、完整性、可用性遭到较小影响,恢复业务正常运行和消除负面影响所需代价较
小。社会影响经济发展和公众利益所造成社会秩序、信息安全事件造成的社会影响由其对国家
安全、重大的社会影响、特别重大的社会影响、影响的范围和程度决定。社会影响划分为四个级
别:较大的社会影响和较小的社会影响,说明如下:州的大部分地区,极大威胁国家安全,/特
别重大的社会影响:波及到一个或多个省a)引起社会动荡,对经济发展有极其恶劣的负面影响,
和(或)严重损害公众利益。重大的社会影响:波及到一个或多个城市的大部分地区,威胁到国
家安全,引起社b)会恐慌,对经济发展有重大的负面影响,和(或)损害到公众利益;较大的
社会影响:波及到一个或多个城市的部分地区,有限地威胁到国家安全,某c)(或)影响到公
众利益;对经济发展有一定的负面影响,种程度地扰乱社会秩序,和较小的社会影响:波及到一
个城市的部分地区,对国家安全、社会秩序、经济发展d)
和公众利益基本没有影响,但对个人、法人或其他组织的利益会造成损害。分级概述基于分
级因素,信息安全事件宜通过严重程度的尺度来分级。这种尺度可简单地为“较大”和“较小”
或更细化如下:
1紧急:严重影响;
2重大:中级影响;
3预警:低级影响;
4消息:无影响,但其分析可用于改进信息安全策略、规程或控制措施。
按照以上分级因素,本方法将信息安全事件分为四级:
a)特别重大(四级)
b)重大(三级)
c)较大(二级)
d)一般(一级)
需要强调的是,这里的严重级别仅是举例。在一些方法中,最严重的级别以最高级别尺度表示。
而在另一些方法来说,最严重的级别以最低级别尺度表示。
特别重大(四级)
特别重大的事件是指:
—发生在特别重要的信息系统上,和—导致特别重大的业务损失,或—造成特别重大的社
会影响。重大(三级)重大的事件是指,发生在特别重要或重要的信息系统上,和—导致
重大的业务损失,或—造成重大的社会影响。—较大(二级)较大的事件是指,发生在重
要或一般的信息系统上,和—
导致较大的业务损失,或—
造成较大的社会影响—
一般(一级)一般的事件是指,—发生在一般的信息系统上,和导致较小的业务损失或没
有业务损失,或—造成较小的社会影响或没有造成社会影响。—Generallythereare
negligibleornoconsequencesandnoactionisrequired.
通常可以忽略或没有后果,不需要采取措施。事件类别和严重级别信息安全事件类别和严重级
别往往是关联的。一个信息安全事件类别可能具有不同的严重级别,这不仅取决于业务,还取决
于信息安全事件的性质,诸如:
—故意性
—目标性
—时机
—量级
提供了具有不同严重级别的信息安全事件类别的某些示例。C.2表.
表C.2事件类别与严重级别示例
严重级别一般较大重大特别重大事件类别大量单次一般技术攻击尝试失败多次(损害应用程度、(损害用
户)(损害用户)特权访问)单次重大特权(损害应用程序、访问)技术攻击骚扰扰乱可用性(全面影响)
(服务停止)(伤及表面)恶意软件大量感染单次未知单次已知多次感染严重感染(被抗病毒保护发现并拦截)
方法示例2
概述
本方法给出了信息安全事件负面后果评估指南示例,每项指南使用1(低)到10(高)尺度来对
信息安全事件进行分级。在实践中,也可以使用其他尺度,如1到5;组织宜采取最适合起环境
的尺度。
在阅读下列指南之前,宜注意以下要点说明:
—在下面列出的某些指南示例中,某些条目被标注为“无”。这是因为每项指南都被制定成以逐
级上升的1至10尺度来统一表示C.3.2.2至C.3.2.7所示的所有六种类型的负面后果。然而,
对于某些类型的某些级别(1至10尺度),被认为与相邻较低级别相比没有足够的差异,这时将
其标注为“无”。类似地,对于某些类型的较高级别,如果认为没有比所示的最高条目有更为严
重的后果,则将其标注为“无”。由此可见,删除“无”对应行来缩减尺度,在逻辑上是不正确
的。
因此,当从以下方面考虑信息安全事件对组织业务的负面后果时,可把下面指南最为一套示例来
使用:
—未授权披露信息;
—未授权更改信息;
—抵赖信息;
—信息和(或)服务不可用;
—信息和(或)服务遭受破坏。
首先是考虑以下哪种类型是与事件相关的。对于那些被认为是相关的,宜使用类型指南来确定对
组织业务运行的实际负面影响,并以“数值”形式输入到信息安全事件报告表单中。
业务运营的财务损失/中断
此类信息的未授权披露和修改、抵赖以及不可用和遭受破坏的后果,很可能是财务损失,例如,
由于没有或延迟的行为导致股价下跌、欺诈或违约。同样,特别是任何信息的不可用或遭受破坏
的后果可能会对中断业务运营。要纠正和(或)从这种事件中恢复,需要花费时为了取得一个共
同衡量尺度,恢复时间宜宜予以考虑。在某些情况下这很重要,间和精力。.
级别的正常以人员时间为单位来计算并转换为财务成本。这种成本宜参考组织内适当等级/人月
成本来计算。以使用以下指南:x或更低。导致的财务损失/成本为1x之间。成本在x+1与1
2导致的财务损失/x3之间。成本在x2+1与3导致的财务损失/x4之间。成本在x3+1与4导21
致的财务损失/x5之间。成本在x4+1与5导致的财务损失/之间。x5+1与x66导致的财务损
失/成本在之间。x6+1与x77导致的财务损失/成本在之间。x7+1与x88导致的财务损失/成
本在。成本高于x8/9导致的财务损失组织业务中断。10
级别(由组织在其语境下决/8个等级…,8)表示财务损失/成本的其中,x(i=1,2,。定)i
商业和经济利益并通过考虑其对竞争对手的价值或受到危及可能对商业商业和经济信息需要得
到保护,利益产生的影响来评估其价值。宜使用以下指南。1对竞争者有利益,但没有商业
价值。或更少(营业额)。2对竞争者有利益,其价值为y,或者导致财务损失,或者收入y1
之间(营业额)对竞争者有价值,其价值在y+1和3潜力损失,或者给个人或组织带来不正当21
收入或优势;或者违反对第三方信息的保密承诺。。y+1和之间(营业额)4对竞争对手有价
值,价值在y。和y之间(营业额)5对竞争对手有价值,价值在y+1。+1(营业额)6对3243
竞争对手有价值,价值高于y。无7无。8可能极大破坏组织的商业利益,或者极大削弱45)
组织的财务生存能力。9无。10级别(由组织在其语境下决定)表示/以营业额的4个等级…
其中,y(i=1,2,,4)对于竞争者的价值。个人信息有时也保护信息免受未授权披露在道i
德和伦理上是正确的,当持有和处理个人信息时,被法律要求。未授权披露轻则可能导致尴尬,
重则可能导致法律制裁,例如,数据保护法。同样地,需要保持个人信息的正确性,因为未授权
修改导致的不正确信息可能造成与未授权披露类似的后果。同样重要的是,不得使个人信息不可
用供或遭受破坏,因为这可能导致不正确决定或在所要求时间内无法采取行动,造成与未授权披
露或修改类似的后果。宜使用以下指南。
1给个人带来轻微痛苦或担忧(愤怒、挫折、失望),但没有违背法律法规要求。
2给个人带来痛苦或担忧(愤怒、挫折、失望),但没有违背法律法规要求。
3违背信息保护相关的法律法规要求、道德要求或公共意识,给个人带来轻微尴尬。
“无”表示该影响级别无对应项。5).
4违背信息保护相关的法律法规要求、道德要求或公共意识,给个人带来显著尴尬或给体带来
轻微尴尬。
5违背信息保护相关的法律法规要求、道德要求或公共意识,给个人带来严重尴尬。
6违背信息保护相关的法律法规要求、道德要求或公共意识,给体带来严重尴尬。
7无。
8无。
9无。
10无。
法律法规义务
组织持有和处理数据需遵守法律法规义务。有意或无意地不履行这种义务,可能导致对组织内相
关人员采取法律诉讼或行政处罚的行动。这些行动可能导致和(或)判刑入狱。宜使用以下
指南。
1无。
2无。
3执法通知、民事诉讼或刑事犯罪,导致z或更低的财务损失/为。4执法通知、民事诉1
讼或刑事犯罪,导致z+1和z之间的财务损失/。5执法通知、民事诉讼或刑事犯罪,导21
致z+1和z之间的财务损失/,或最多2年监禁。32
6执法通知、民事诉讼或刑事犯罪,导致z+1和z之间的财务损失/,或2年以上至10年43
监禁。
7执法通知、民事诉讼或刑事犯罪,导致无法限制的财务损失/,或10年以上监禁。
8无。
9无。
10无。
管理和业务运营
信息受损可损害组织的有效运行。例如,与策略变更相关的信息如果泄露,可能会引起公众反应,
导致该策略无法实施。与财务或计算机软件有关的信息的修改、抵赖或不可用,也有可能对组织
运营带来严重后果。此外,抵赖承诺可能会对组织业务带来不利后果。宜使用以下指南。
1组织的某个部分低效运营。
2无。
3消弱组织及其运营的正常管理。
4无。
5阻碍组织策略的有效制定或执行。
6使组织在与其他组织进行商业或策略谈判时处于不利地位。
7严重阻碍组织重大策略的制定或执行,或者关停或严重扰乱重大运营。
8无。
9无。
无。10.
信誉损失
信息的未授权泄露或修改、抵赖或确实不可用,可能导致组织信誉受损,从而带来其声誉损害、
信用丧失和其他不良后果。宜使用以下指南。
1无。
2导致组织内的局部尴尬。
3负面影响与股东、客户、供应商、员工、第三方用户、监管机构、政府部门、其他组织或公众
的关系,导致本地/区域的负面宣传。
4无。
5负面影响与股东、客户、供应商、员工、第三方用户、监管机构、政府部门、其他组织或公众
的关系,导致对国家的某种负面宣传。
6无。
7实质性影响与股东、客户、供应商、员工、第三方用户、监管机构、政府部门、其他组织或公
众的关系,导致广泛的负面宣传。
8无。
9无。
10无。
本文发布于:2022-08-24 21:15:17,感谢您对本站的认可!
本文链接:http://www.wtabcd.cn/falv/fa/82/85313.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
