第一章 安全与风险管理 >>CISSP备考流水账

风险–威胁–脆弱性

• 风险：威胁主体利用资产的脆弱性的可能性以及相应的潜在损失；
• 威胁：人为、自然、技术导致的资产脆弱性造成损失的可能性；
• 脆弱性：缺少防护措施或者防护措施存在被利用的缺陷；

企业架构

• 企业安全架构是企业架构的子集，描述当前未来的安全过程、体系和子单元确保战略一致性；
• Zachman 用于构建企业架构；
• SABSA用于构建企业安全架构；
• 企业安全架构需要配合战略调整、流程改造、安全有效性、业务改造；

指导方法

COBIT 信息及相关技术控制目标

• 发布： 国际信息系统审计协会(Information System Audit and Control Association ISACA)
• 功能： 规定了安全控制的目标和要求,鼓励将IT的理想安全目标映射到商业目标中;
• 控制目标架构，允许IT治理；
• 原则1：满足利益相关者的需求；
• 原则2：对企业做到端到端的覆盖:
• 原则3：使用单一的集成框架;
• 原则4：使用整合处理法:
• 原则5： 把治理从管理中分离出来。

ISO/IEC27000

• 基于BS7799开发安全和维护安全计划的最佳实践；
• ISO27001 ISMS要求：建立、控制、实施、改进安全体系的标准；
• ISO27002 信息安全控制框架与管理实施守则，
• ISO27004 信息安全变量管理国际化标准；
• ISO27031 为BCP相关信息或者通讯技术的准备工作的概念与原则；
• ISO22301 业务连续性管理的英国标准协会的标准；

NIST

• NIST SP800-18
• NIST SP800-137 ISCM 信息安全持续监控实践；
• NIST SP800-145 云计算；
• NIST SP800-115 信息安全测试评估技术指南；
• NIST SP800-50 信息安全意识的计划；
• NIST SP800-53和SP800-60描述了信息系统与安全目标及风险级别对应指南。
• NIST SP800-26和SP800-30分别描述了自评估指南和风险管理指南。
• NIST SP800-51描述通用缺陷和暴露（CVE）缺陷命名方案的使用。
• NIST SP800-34信息技术系统应急计划指南。
• NIST SP800-60数据分类实施指南
• NIST SP800-55 信息安全绩效考核标准；
• NIST SP800-88 对抗数据残留的最佳实践；
• NIST SP 800-122 《保护个人身份信息机密性指南》；

标准-基准-指南-程序-措施

标准

• 硬件、软件、技术、安全控制方法的统一使用定义了强制性要求，提供实现技术或者措施的操作过程；
• 战术文档， 定义了达到安全策略指定的 目标和总体方向的步骤或方法。

基准

• 特定系统或者特定行业的 定义安全性的最低级别，若未达标基准的资产需要进行隔离。

指南

• 提供了如何实现标准和基准的 非强制性建议，作为安全专家与用户的操作指南；
• 应当部署哪些安全机制， 而不是规定特定的产品或控制以及详细的配置设置。

程序

• 规范化安全策略结构的最后一个要素；
• 详细的、 按部就班的指导文档，描述了实现特定安全机制、 控制或解决方案所需的确切行动；
• 遵守强制性的标准的一步步的指示。

措施

• 为了达到特定的安全目标分步骤执行的，详细的任务清单；

可接受使用策略

• 【Acceptable Usage Policy AUP】NIST SP 800 概括了这个概念为行为准则；
• 概括了责任和个体的预期行为，以及陈述和规划可接受使用策略不一致的后果；
• 定义了个人角色和职责的分配；
• 允许使用者告知他们已经理解并同意遵守。

法律

法律种类

民法体系

• 不同于普通法系统的民事法律；
• 使用预先编写的法则；

普通法系

• 刑法、行政法、民法组成；
• 刑法：处理破坏政府的个人行为，保护公众利益；
• 民法：对个人或者公司的采取的错误行为处罚，一般只有经济赔偿；
• 行政法：政府对某行业、某企业、某官员的工作情况、行为期望标准；

习惯法系

• 个人规范、地区传统和习俗作为法律基础；
• 可以与其它法系混合使用额，没有地域性；

宗教法系

• 宗教信仰、处理个人宗教责任；

信息安全法案

• 联邦信息安全管理法案： 【FISMA】政府信息安全改革法案是这个法案的前身，适用于政府外包商；
• 支付卡行业数据安全标准：【PCI DSS】适用于金融信用卡客户身份信息保护[PII]；
• 健康保险流通和责任法案：【HIPAA】适用于医疗、保险客户健康档案保护[PHI]；
• 儿童联机隐私保护法案： 【COPPA】关于13岁以下的儿童连接网站的隐私信息保护；
• 通讯协助执法法案： 【CALEA】要求所有通信运营商配合执法人员的工作；
• Gramm-Leach-Bliley： 银行、 保险公司和贷款提供商受到对他们所能提供的服务和相互共享的信息的严格限制；
• 萨斯班法案： 管理上市公司公开的财务报告，包括确保该信息完整性的安全控制要求；
• 金融现代化法 【GLBA】个人客户金融相关信息与隐私问题的处理法律；
• 经济间谍法 商业秘密的交易、版权，提供企业知识产权保护的法律；

安全控制

控制种类

• 检测：试图发现有害或者未授权活动，不是实时生效，而是发生后与纠正性控制联动；
• 预防：配置安全策略阻止有害活动或者未授权活动发生；
• 威慑：试图吓阻违反安全策略活动，并由人为决定是否产生有害活动，<安全摄像头>；
• 纠正：系统在发生有害或者未授权操作后，还原至正常状态；
• 恢复：在违反安全策略情况后·，恢复修复资产的业务功能、性能、资源<服务器集群、反病毒、系统镜像>；
• 补偿：由于经济或者业务功能性的原因采用备用控制；
• 指令：指示、限制、控制主体活动，从而强制或鼓励主体遵从安全策略；

信息安全策略

• 功能：明确必须要实现的主要安全目标和满足业务目标的安全构架；
• 高级安全策略: 高层管理人员支持资讯安全网的意图的陈述；
• 高级管理层全面声明，规定安全在组织内所扮演的角色；

风险管理

BCP项目范围计划指定流程

1. 分析企业组织架构；
2. 创建BCP计划团队；
3. 评估组织现有资源；
4. 根据现有法律法规设计监管。

业务影响评估[BIA]

1. 选择单个人员进行访谈完成数据收集，进行定性、定量分析，上报管理层；
2. 创建数据收集方法；
3. 确定公司关键业务功能；
4. 确定这些功能所依赖的资源；
5. 计算没有这些资源生存时限；
6. 确定这些功能的漏洞和所面临的威胁；
7. 计算不同业务功能所面临的风险；
8. 将发现结果形式文档并报告发送给管理层。

风险分析的四个目标

1. 确定资产种类以及其价值；
2. 识别资产脆弱性和威胁；
3. 量化资产威胁可能性与业务的影响程度；
4. 实现威胁影响与对策成本之间的预算平衡；

风险管理机制的不同方法

• 概念：识别可能造成数据损坏或者泄露的因素的详细过程，基于价值评估和应对措施的成本，实施有成本效益的解决方案；
• 团队成员：高层管理、法律工作人员、IT 人员、安全专家、财务人员、首席执行官
• 目标：进行风险分析是过程的关键，完成后基于分析结果对风险进行响应；
• 基于技术部门：OCTAVE[组织结构中建立的风险评估] 、ASINZS 4360[理解公司财务、资本、人身安全、商业决策风险]；
• 基于公司业务：NIST SP800-30美联邦标准风险评估指南；

文档审查

• 描述：对业务流程和组织策略的逻辑和实际调查，阅读交换材料并利用 标准和期望对其进行检验的过程 ；
• 定期执行的业务任务、系统和方法是可行的，有效的；
• 通过减少脆弱性和避免、减少或者风险缓解来支持安全；

数据分类

• 基本目标：根据分配给数据的重要性和敏感性标签进行数据分类保护过程进行规范化和分层；
• 根据对应目标实施访问控制措施；

管理层的职责

• 定义安全管理范围与目标；
• 指定安全团队并提供资源；
• 委托职责；
• 查看安全团队报告结果，用于更新维护安全策略；

应尽关注与应尽职责

• 应尽调查：调查或者理解公司的风险面；
• 应尽关注：通过合理的关注保护组织的利益；
• 例如：开发规范化的安全结构， 这个结构会包含安全策略、 标准、 基线、 指导方针和程序:
• 应尽职责：不断实践能够维持应尽关注成果的活动；
• 例如： 来源于应尽关注的安全架构，持续有效的应用机构的IT基础架构中；

不可否认与身份验证的区别

• 不可否认性：确保活动或事件的主体无法否认所发生的事件,防止主体宣称自己没有发送过消息；
• 身份验证：当用户需要获得某个系统中权限时，由系统验证并标识用户为可识别ID；