第二章-资产安全 >> CISSP备考流水账

继续记录备考过程，20191205 时间在慢慢的流逝，明确意识到自己需要精力管理了，明明是早起却还是感觉很累；

如何有效防止数据泄漏？

审查并重新数据分类，重新审查数据价值并采取相应的访问控制收取手段；
加密，一种纠正性的措施，可能无法处理数据已经泄露事实；
标记，处理措施没有改变的情况下，数据问题不能得到解决；
安全基线跟数据安全没有关系；

敏感数据

敏感数据类型

个人身份信息 PII ：个人身份的信息、社会保障号 、出生日期、出生地、生物学记录；
提出法案： NIST SP 800-122 《保护个人身份信息机密性指南》
受保护的健康信PHI：卫生保健提供商 、健康计划、卫生行政部门 、雇主、人寿保险公司 、医疗清算公司任何与个人健康有关的信息；
提出法案： HIPAA《健康保险流通和责任法案》
专有数据：开发的软件代码、 产品的技术计划、内部流程、 知识产权或商业秘密；

敏感数据定义类别

政府数据分类包括绝密[特别严重]、 保密[严重]、 机密[识别或者描述]和非机密[其他]；
企业数据分类包括专用[非常严重]、 私有[严重]、 敏感[使命损害]和公开[仅完整性]。

销毁敏感数据处理方式

擦除：删除或清除程序只是去掉了目录引用或与目录相链接的数据，数据仍然存在等待覆盖写入；
消除：非机密数据/单个字符覆写在所有可寻址位置，仅可通过实验室取证方式恢复数据；
清理：重新未分级数据到敏感信息存储设备上，清除是其中的一种；
清除：多次运行消除过程，减少了被恢复的可能性；
净化：使用可靠的方式是存储设备变为可重用状态，不需要破坏介质；
清扫：确保存储介质已恰当的移除或者损毁我曾我曾，可靠的处理方式保证设备中的敏感信息无法被恢复；
消磁：使用强大的磁场使磁记录去除活着减少设备上磁盘分布过程，不能使用在SSD、DVD上，不建议使用在磁盘上；
销毁：用腐蚀性化学物质进行溶解存储设备，永久破坏设备无法再次使用；

法案之间的关联

2015-2016 年 欧盟通用数据保护条例[GDPR] 取代 欧盟数据保护指令 [DPD];
2017-2018 年 NIST 联邦国际安全法案；
《国际安全港规定》：美国商务部管理的，联邦贸易委员会监督，消除美国与欧盟之间隐私保护差异；
安全港项目包含：通知 选择 访问和执行 向前转移 数据完整性 安全 选择
GDPR与NIST 是欧盟法规
欧盟通用数据保护条例[GDPR] 与 国际安全港规定 关系最密切

自助访问控制系统的角色

数据所有者：数据分类、制定用户访问控制策略、制定数据保护措施，评估数据CIA，数据保留策略，等同于数据控制者；
数据保管者：执行日常任务来保护数据的完整性、安全、备份、保存审计记录；
数据访问者：等同于用户；
数据管理者：实际操作分配用户访问控制权限、审计记录；
数据处理者：代表数据控制者处理个人数据的实体；
数据监管者：执行必要措施为数据提供保护，实施安全策略，管理用户的访问、维护数据集、保证数据完整性；

欧盟数据保护法案的内容：

通知 : 任何组织都必须告知个人关于收集及使用 数据的 目 的 。
选择: 任何组织必须为个人提供可选择的机会 。
向前传输: 组织只 有在遵守通知及选择规则 的基础上才能 向 其他组织传输资料。
安全性: 组织必须采取合理预防措施来保护数据 。
数据完整性: 除组织在注意规则及使用者选择的可选规则 中 的 目 的之外， 组织不得将信息用作他用 。
访问 : 在个人信息不准确的情况下，个人也能够更正、修改或删除信息。
执行: 组织必须执行机制来确保和这些原则一致 。

主体对客体数据攻击类型

数据隐藏：避免企业知道这块数据的存在；
数据欺骗：恶意意图的小额改动行为；

背景调查特征描述

获得候选人的工作和教育历史记录: 检查证明材料；
与候选人的同事、 邻居和朋友进行会面；
向公安局和政府机关调查候选人的拘捕或违法活动记录;
通过指纹、驾驶执照和出生证明来认证身份: 以及进行面试;
证明候选人能够胜任工作、 具备工作资格和值得信赖的必要因素;

实现信息分类的步骤：

1. 确定管理人并定义他们的职责；
2. 需要监管人员参与一起建立信息分类或者标记评估标准；
3. 标记信息资源；
4. 发现例外的信息类别并进行重新归类；
5. 创建应用于每个分类级别的安全措施，根据等级的不同提供必要安全级别；
6. 指定解除信息资源分类过程或者转移数据到外部实体的处理过程；
7. 创建企业培训并指导员工遵守相关处理原则并周期性进行审计效果；

定量风险分析计算公式

SLE：资产价值($)暴露因子(SLE =AV * EF)，资产单次预取损失值；
ARO：资产单次损失数值除以每次发生灾难相隔时间（ARO=SLE/year）
ALE：资产单次预取损失值年度损失比率(ALE=SLE*ARO)，资产年度损失值；
成本效益分析：实施前年度损失成本减去实施后年度损失成本减去防护措施每年的成本[(ALE 1 - ALE2) - ACS]；

数据保留策略

• 必须符合法律法规要求；
• 必须由数据所有者指定规则，保留多久、保留在哪里、保存方式；
• 策略从数据存档阶段开始到数据处置阶段结束；