第1章. 实现安全治理的原则和策略
理解由保密性、完整性和可用性组成的CIA 三元组。保密性原则是指客体不会被泄露给未经授权的主休。完整性原则是指客体保持真实性且只被经过授权的主体进行有目的的修改。可用性原则指被授权的主体能实时和不间断地访问客体。了解这些原则为什么很重要,并了解支待它们的机制,以及针对每种原则的攻击和有效的控制措施。
能够解释身份标识是如何工作的。身份标识是下属部门承认身份和责任的过程。主体必须为系统提供标识,以便启动身份验证、授权和问责制的过程。
理解身份验证过程。身份验证是验证或测试声称的身份是否有效的过程。身份验证需要来自主体的信息,这些信息必须与指示的身份完全一致。
了解授权如何用于安全计划。一旦对主体进行了身份验证,就必须对其访问进行授权。授权过程确保所请求的活动或对象访问是可能的,前提是赋予已验证身份的权利和特权。
理解安全治理。安全治理是与支持、定义和指导组织安全工作相关的实践集合。
能够解释审计过程。审计(或监控追踪和记录)主体的操作,以便在验证过的系统中让主体为其行为负责。审计也对系统中未经授权的或异常的活动进行检测。需要实施审计来检测主体的恶意行为、尝试的入侵和系统故障,以及重构事件、提供起诉证据、生成问题报告和分析结果。
理解问责制的重要性。组织安全策略只有在有问责制的情况下才能得到适当实施。换句话说,只有在主体对他们的行为负责时,才能保持安全性。有效的问责制依赖于检验主体身份及追踪其活动的能力。
能够解释不可否认性。不可否认性确保活动或事件的主体不能否认事件的发生。它防止主体声称没有发送过消息、没有执行过动作或没有导致事件的发生。
理解安全管理计划。安全管理基于三种类型的计划:战略计划、战术计划和操作计划。战略计划是相对稳定的长期计划,它定义了组织的目的、任务和目标。战术计划是中期计划,为实现战略计划中设定的目标提供更多细节。操作计划是基于战略和战术计划的短期和高度详细的计划。
了解规范化安全策略结构的组成要素。要创建一个全面的安全计划,需要具备以下内容:安全策略、标准/基线、指南和程序。这些文件清楚地说明安全要求,并促使责任各方实施尽职审查。
了解关键的安全角色。主要的安全角色有高级管理者、组织所有者、上层管理人员、安全专业人员、用户、数据所有者、数据托管员和审计人员。通过创建安全角色的层次结构,可以全面限制风险。
了解如何实施安全意识培训。在进行实际培训前,必须使用户树立安全意识,此后就可以开始培训或教育员工去执行工作任务并遵守安全策略。所有新员工都需要一定程度的培训,以便他们遵守安全策略中规定的所有标准、指南和程序。教育是一项更细致的工作,学生/用户学习的内容远远超过他们完成实际工作所需要了解的内容。教育最常与身份验证考试或寻求工作晋升的用户关联。
了解分层防御如何简化安全。分层防御使用一系列控制中的多个控制。使用多层防御解决方案允许使用许多不同的控制措施来抵御威胁。
能够解释抽象的概念。抽象用于将相似的元素放入组、类或角色中,作为集合被指派安全控制、限制或许可。抽象增加了安全计划的实施效率。
理解数据隐藏。顾名思义,数据隐藏指将数据存放在主体无法访问或读取的逻辑存储空间以防数据被泄露或访问。数据隐藏通常是安全控制和编程中的关键元素。
理解加密的必要性。加密是对非预期的接收者隐藏通信的真实含义和意图的艺术与科学。加密有多种形式,适用于各种类型的电子通信,包括文本、音频和视频文件及应用程序。加密是安全控制中的重要内容,特别是在系统间传输数据时。
理解雇用新员工对安全的影响。为实施恰当的安全计划,必须为职责描述、职位分类、工作任务、工作职责、防止串通、候选人筛选、背景调查、安全许可、雇佣协议和保密协议等设立标准。通过采用这些机制,可确保新员工了解所需的安全标准,从而保护组织的资产。
能够解释职责分离。职责分离的概念是将关键的、敏感的工作任务划分给多个人员。通过以这种方式划分职责,可确保没有能够危害系统安全的个人。
理解最小特权原则。最小特权原则要求在安全的环境中,用户应获得完成工作任务或工作职责所需的最小访问权限。通过将用户的访问限制在他们完成工作任务所需的资源上,就可以限制敏感信息的脆弱性。
了解岗位轮换和强制休假的必要性。岗位轮换有两个功能。它提供了一种知识备份,岗位轮换还可以降低欺诈、数据修改、盗窃、破坏和信息滥用的风险。
为了审计和核实员工的工作任务和特权,可使用一到两周的强制休假。强制休假能够轻易发现特权滥用、欺诈或疏忽。
理解供应商、顾问和承包商的控制。供应商、顾问和承包商的控制用来确定组织主要的外部实体、人员或组织的绩效水平、期望、薪酬和影响。通常,这些控制条款在SLA文档或策略中规定。
能够解释恰当的解雇策略。解雇策略规定解雇员工的程序,应该包括有现场证人、禁用员工的网络访问权限和执行离职面谈等内容。解雇策略还应包括护送被解雇员工离开公司,并要求归还安全令牌、徽章和公司财产。
了解隐私如何适合于安全领域。了解隐私的多重含义/定义,为什么保护隐私很重要,以及工作环境中与隐私相关的问题。
能够讨论第三方安全治理。第三方安全治理是由法律、法规、行业标准、合同义务或许可要求强制规定的监督制度。
能够定义整体的风险管理。风险管理过程包括识别可能造成数据损坏或泄露的因素,根据数据价值和控制措施的成本评估这些因素,并实施具有成本效益的解决方案来减轻风险。通过执行风险管理,为全面降低风险奠定基础。
理解风险分析和相关要素。风险分析是向高层管理人员提供详细信息以决定哪些风险应该缓解,哪些应该转移,哪些应该接受的过程。要全面评估风险并采取适当的预防措施,必须分析以下内容:资产、资产价值、威胁、脆弱性、暴露、风险、已实现风险、防护措施、控制措施、攻击和侵入。
知道如何评估威胁。威胁有许多来源,包括人类和自然。以团队形式评估威胁以便提供最广泛的视角。通过从各个角度全面评估风险可降低系统的脆弱性。
理解定量风险分析。定量风险分析聚焦于货币价值和百分比。全部使用定量分析是不可能的,因为风险的某些方面是无形的。定量风险分析包括资产估值和威胁识别,然后确定威胁的潜在发生频率和造成的损害,结果是防护措施的成本/效益分析。
能够解释暴露因子(EF)概念。暴露因子是定量风险分析的一个元素,表示如果已发生的风险对组织的某个特定资产造成破坏,组织将因此遭受的损失百分比。通过计算风险暴露因子,就能实施良好的风险管理策略。
了解单一损失期望(SLE)的含义和计算方式。SLE 是定量风险分析的一个元素,代表已发生的单个风险给特定资产带来的损失。计算公式为:SLE=资产价值(AV)*暴露因子(EF)。
理解年度发生率(ARO)。ARO是量化风险分析的一个元素,代表特定威胁或风险在一年内发生(或实现)的预期频率。进一步了解可帮助计算风险并采取适当的预防措施。
了解年度损失期望(ALE)的含义和计算方式。ALE是定量风险分析的一个元素,指的是针对特定资产的所有可发生的特定威胁,在年度内可能造成的损失成本。计算公式为:ALE=单一损失期望(SLE)*年度发生率(ARO)。
了解评估防护措施的公式。除了确定防护措施的年度成本外,还需要为资产计算防护措施实施后的ALE。可使用这个计算公式:防护措施实施前的ALE-防护措施实施后的ALE-防护措施的年度成本=防护措施对公司的价值,或(ALE1-ALE2)-ACS 。
理解定性风险分析。定性风险分析更多的是基于场景而不是基于计算。这种方式不用货币价值表示可能的损失,而对威胁进行分级,以评估其风险、成本和影响。这种分析方式可帮助那些负责制定适当的风险管理策略的人员。
理解Delphi 技术。Delphi技术是一个简单的匿名反馈和响应过程,用来达成共识。这样的共识让各责任方有机会正确评估风险并实施解决方案。
了解处理风险的方法。风险降低(即风险缓解)就是实施防护措施和控制措施。风险转让或风险转移是将风险造成的损失成本转嫁给另一个实体或组织;购买保险是风险转移的一种形式。风险接受意味着管理层已经对可能的防护措施进行了成本/效益分析,并确定了防护措施的成本远大于风险可能造成的损失成本。这也意味着管理层同意承担风险发生后的结果和损失。
能够解释总风险、残余风险和控制间隙。总风险是指如果不实施防护措施,组织将面临的风险。可用这个公式计算总风险:威胁*脆弱性*资产价值=总风险。残余风险是管理层选择接受而不再进行减轻的风险。总风险和残余风险之间的差额是控制间隙,即通过实施防护措施而减少的风险。残余风险的计算公式为:总风险-控制间隙=残余风险。
理解控制类型。术语“控制”指广泛控制,执行诸如确保只有授权用户可以登录和防止未授权用户访问资源等任务。控制类型包括预防、检测、纠正、威慑、恢复、指示和补偿控制。控制也可分为管理性、逻辑性或物理性控制。
了解如何实施安全意识培训。在接受真正的培训前,必须让用户树立己认可的安全意识。一旦树立了安全意识,就可以开始培训或教导员工执行他们的工作任务并遵守安全策略。所有新员工都需要一定程度的培训以便他们遵守安全策略中规定的所有标准、指南和程序。教育是一项更详细的工作,学生/用户学习的内容比他们完成工作任务实际需要知道的要多得多。教育通常与用户参加认证或寻求工作晋升关联。
理解如何管理安全功能。为管理安全功能,组织必须实现适当和充分的安全治理。通过风险评估来驱动安全策略的实施是最明显、最直接的管理安全功能的实例。这也与预算、测量、资源、信息安全策略以及评估安全计划的完整性和有效性相关。
了解风险管理框架的六个步骤。风险管理框架的六个步骤是:安全分类、选择安全控制、实施安全控制、评估安全控制、授权信息系统和监视安全控制。
了解BCP 过程的四个步骤。BCP 包括四个不同阶段:项目范围和计划,业务影响评估,连续性计划,计划批准和实施。每项任务都有助于确保实现在紧急情况下业务保持持续运营的总体目标。
描述如何执行业务组织分析。在业务组织分析中,负责领导BCP 过程的人员确定哪些部门和个人参与业务连续性计划。该分析是选择BCP 团队的基础,经BCP 团队确认后,用于指导BCP 开发的后续阶段。
列出BCP 团队的必要成员。BCP 团队至少应包括:来自每个运营和支持部门的代表, IT部门的技术专家,具备BCP 技能的物理和IT 安全人员,熟悉公司法律、监管和合同责任的法律代表,以及高级管理层的代表。其他团队成员取决于组织的结构和性质。
了解BCP 人员面临的法律和监管要求。企业领导必须实施尽职审查,以确保在灾难发生时保护股东的利益。某些行业还受制于联邦、州和地方法规对BCP 程序的特定要求。许多企业在灾难发生前后都有履行客户合约的义务。
解释业务影响评估过程的步骤。业务影响评估过程的五个步骤是:确定优先级、风险识别、可能性评估、影响评估和资源优先级排序。
描述连续性策略的开发过程。在策略开发阶段,BCP团队确定要减轻哪些风险。在预备和处理阶段,设计可降低风险的机制和程序。然后,该计划必须得到高级管理层的批准并予以实施。人员还必须接受与他们在BCP过程中角色相关的培训。
解释对组织业务连续性计划进行全面文档化的重要性。将计划记录下来,可在灾难发生时给组织提供一个可遵守的书面程序。这可确保在紧急情况下有序实施计划。
了解刑法、民法和行政法的区别。刑法保护社会免受违反我们所信仰的基本原则的行为的侵害。违反刑法的行为将由美国联邦和州政府进行起诉。民法为人与组织之间的商业交易提供了框架。违反民法的行为将通过法庭,由受影响的当事人进行辩论。行政法是政府机构有效地执行日常事务的法律。
能够解释旨在保护社会免受计算犯罪影响的主要法律的基本条款。《计算机欺诈和滥用法案》(修正案)保护政府或州际贸易中使用的计算机不被滥用。《电子通信隐私法案》(ECPA)规定侵犯个人的电子隐私是犯罪行为。
了解版权、商标、专利和商业秘密之间的区别。版权保护创作者的原创作品,如书籍、文章、诗歌和歌曲。商标是标识公司、产品或服务的名称、标语和标志。专利为新发明的创造者提供保护。商业秘密法保护企业的经营秘密。
能够解释1998 年颁布的《数字千年版权法》的基本条款。《数字千年版权法》禁止绕过数字媒体中的版权保护机制,并限制互联网服务提供商对用户活动的责任。
了解《经济间谍法案》的基本条款。《经济间谍法案》对窃取商业机密的个人进行惩罚。当窃取者知道外国政府将从这些信息中获益而故意为之时,会受到更严厉的惩罚。
了解不同类型的软件许可协议。合同许可协议是软件供应商和用户之间的书面协议。开封生效协议写在软件包装上,当用户打开包装时生效。单击生效许可协议包含在软件包中,但要求用户在软件安装过程中接受这些条款。
理解对遭受数据破坏的组织的通告要求。加州颁发的SB 1386 是第一个在全州范围内要求
通知当事人其信息被泄露的法律。美国目前大多数州通过了类似法律。目前,联邦法律只要求受HIPAA 约束的实体,当其保护的个人健康信息被破坏时,通知到个人。
理解美国和欧盟对管理个人信息隐私的主要法律。美国有许多隐私法律会影响政府对信息的使用以及特定行业的信息使用,例如处理敏感信息的金融服务公司和医疗健康组织。欧盟有非常全面的《通用数据保护条例》来管理对个人信息的使用和交换。
解释全面合规程序的重要性。大多数组织都受制于与信息安全相关的各种法律和法规要求。构建合规性程序可确保你能实现并始终遵守这些经常重叠的合规需求。
了解如何将安全纳入采购和供应商管理流程。许多组织广泛使用云服务,需要在供应商选择过程中以及在持续供应商管理过程中对信息安全控制进行审查。
了解数据和资产分类的重要性。数据所有者负责维护数据和资产分类,并确保数据和系统被正确标记。此外,数据所有者还提出了在不同的分类信息中保护数据的新要求,比如在静止和传输中加密敏感数据。数据分类通常在安全策略或数据策略中定义。
了解PII 和PHI 。个人身份信息(PII)是能够识别个人的任何信息。受保护的健康信息(PHI)是特定的人的任何与健康相关的信息。许多法律法规规定了PII 和PHI 的保护。你需要知道如何管理敏感信息。敏感信息是任何类型的机密信息,适当的管理有助于防止未经授权的泄露导致机密损失。正确的管理包括对敏感信息的标识、处理、存储和销毁。组织经常遗漏的两个方面是充分保护保存敏感信息的备份介质,并在其生命周期结束时对介质或设备进行净化。
理解记录保存。记录保留策略确保数据在需要时保持可用状态,在不再需要时销毁它。许多法律法规要求在特定时段内保存数据,但在没有正式规定的情况下,组织根据策略确定保留期。审计踪迹数据需要保待足够长的时间以重构过去的事