CISSP-D1安全与风险管理 - 1/2
2021-07-19 09:59:16 4 举报AI智能生成
CISSP 八大领域之安全与风险管理 安全与风险管理
作者其他创作
大纲/内容
一、信息安全管理基础:D1-1~3
二、安全风险管理:D1-4~7
三、业务连续性管理:D1-8~10
防止安全事件,影响我们业务的机密性、完整性和可用性。采取措施保护信息系统、保护了业务的CIA为关键资产提供可用性、完整性和机密性(AIC三元组)保护,这三个目标也被称为CIA
安全的目标
对信息实施了必要的安全措施,阻止未授权的访问和泄露,仅在授权个人和组织之间共享数据。在数据存储时、数据传输时以及数据到达目的地之后,保密性都应该发挥作用。
机密性(泄露)
对信息实施了必要的安全措施,阻止未授权的篡改和泄露,也包括信息的不可否认性和真实性。完整性指的是保证信息和系统的准确和可靠,并禁止对数据的非授权更改。(真实、完整、准确、可靠、可信)
完整性(篡改)
对信息实施了必要的安全措施,使信息和系统能够被授权的实体,可靠、及时的访问到。可用性保护确保授权的用户,能够对数据和资源进行及时的和可靠的访问。应该采取必要的保护措施消除来自内部或外部的威胁,这些威胁会影响所有业务处理元素的可用性及工作效率。
可用性(破坏)
安全的核心原则和定义
图1
指系统中允许威胁来破坏其安全性的缺陷。它是一种软件、硬件、过程或人为缺陷,可能是:服务器上运行的某个服务、未安装补丁的应用程序或操作系统、没有限制的无线访问点、防火墙上的某个开放端口、服务器和工作站上未实施密码管理。
脆弱性
指威胁主体利用脆弱性而带来的任何潜在危险。
威胁
指威胁主体利用资产上的脆弱性而产生可能的相应业务影响。
风险
指造成损失的实例。
暴漏
指能够消除或降低潜在的风险。对策的例子包括强密码管理、防火墙、保安、访问控制机、加密和安全意识培训。
控制和对策
安全相关的概念和术语
管理控制:通常是面向管理的,经常被称为“软控制”。安全文档、风险管理、人员安全和培训都属于管理控制。
技术控制:也称为逻辑控制由软件和硬件组成,如防火墙、入侵检测系统、加密、身份识别和认证机制。
物理控制:用来保护设备、人员和资源,例如:保安、锁、围墙和照明都属于物理控制。
3种类型
预防性:用于避免意外事件的发生。
检测性:用于帮助识别意外活动和潜在入侵者。
纠正性:用于意外事件发生后修补组件或系统。
威慑性:用于威慑潜在的攻击者。
恢复性:用于使环境恢复到正常的操作状态。
补偿性:用于能提供可替代的控制方法。
指引性:依据说明进行执行。
7种功能
安全相关的控制措施
D1-1安全基本概念
管理:管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动;--->强调的是一个过程活动。治理:治理是或公或私的个人和机构进行经营、管理相同事务的诸多方式的总和。是为了达到同一目标,所设计和实施的一套信息安全解决方案。 --->强调的是多方面的协调。协调:管理层、安全专家、其他业务人员
管理VS治理
是一套程序、惯例、政策、法律及机构,影响着如何带领、管理及控制公司。
企业治理
是一种引导和控制企业各种关系和流程的结构,这种结构安排,旨在通过平衡信息技术及其流程中的风险和收益、增加企业价值,实现企业目标。
IT治理
与企业治理和IT治理密切相关,而且经常交织在一起。安全治理目标是为了保障业务的连续运行和向更好的方向发展。
安全治理
三个治理概念
什么是安全治理
设定安全策略和安全战略的方向
提供安全活动资源
指派管理责任
设定优先级
支持必须的改变
定义与风险评估相关企业文化
关注内外部的审计,以此获得保障
坚持对安全投资进行度量,并且积极听取安全项目有效性的汇报
企业管理层在安全治理方面关注内容
要认识到:1.组织的愿景、任务和目标;2.组织在其生命周期中的安全问题;3.企业中相关的安全角色和责任;4.企业的信息安全策略;5.法律法规和道德。
开展工作:1.建立完整、有效的安全规划;2.开发和执行信息安全策略;3.建立业务连续性和灾难恢复计划;4.进行人员安全管理;5.开展信息安全风险管理。
安全专业人员在安全治理方面关注内容
为什么要做:安全管理计划能够确保安全策略的适当创建、实现和实施。安全管理计划必须得到高级管理者的支持和批准。
编制元素:1.定义安全角色;2.规定如何管理安全性、谁负责安全性以及如何测试安全性的效力;3.开发安全策略;4. 执行风险分析;5.以及要求对员工进行安全教育。
如何做:要建立流程->1.公司安全的使命和目标;2.安全体系总体框架;3.安全现状;4.关键举措和重点工作;5.实施策略选择;6.工作计划;7.建设实施;8.安全运营和持续改进(PDCA)。
如何建立安全管理计划
Zachman 框架是一个二维模型,“它使用了6个基本的疑问词(什么、如何、哪里、谁、何时、为何)和不同的视知观点(计划人员、所有者、设计人员、建设人员、实施人员和工作人员)二维交叉,” 它给出了企业的一个整体性理解。
Zachman
TOGAF-开放群组架构框架(The Open Group Architecture Framework,TOGAF),它由美国国防部开发并提供了设计、实施和治理企业信息架构的方法。架构允许技术架构设计师从企业的不同视角(业务、数据、应用程序和技术)去理解企业,以确保开发出环境及组件所必需的技术,最终实现业务需求。
TOGAF
SABSA-舍伍德的商业应用安全架构(Sherwood Applied Business SecurityArchitecture,)。它是一个分层模型,它在第一层从安全的角度定义了业务需求。
根据需求制定架构。
SABSA
企业架构
COBIT (Control Objectives for Information and related Technology,信息及相关技术的控制目标)是一组由国际信息系统审计与控制协会(ISACA)和IT治理协会(lTGI)制定的一个治理与管理的框架。
COBIT5
COBIT派生于COSO内部控制整合框架,是由反欺诈财务报告全国委员会发起组织委员会(Committee of Sponsoring Organizations,COSO)于1985年开发的,是用来处理财务欺诈活动并汇报。
COSO
是一个控制架构,管理的目标和具体要求。
NIST SP 800-53
安全控制架构
ISO/IEC 27000系列 ISO和IEC联合开发的关于如何开发和维护信息安全管理体系的国际标准。
27001和27002
ISO/IEC 27000系列
安全管理架构
ITIL作为一种以流程为基础、以客户为导向的IT服务管理指导框架,它摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化。
ITIL
CMMI 能力成熟度模型集成(Capability Maturity Model Integration,CMMI)由Carnegie Mellon美国卡耐基梅隆大学大学开发,用来作为确定组织流程成熟度的一种方式。
CMMI
安全流程管理架构
常用的安全框架有哪些
D1-2安全治理、安全计划和框架
安全策略是高级管理层制定的一个全面声明,它规定安全在组织内所扮演的角色。安全策略可以是组织化策略、针对特定问题的策略、针对系统的策略。
什么是安全策略
业务目标应促进策略的制定、实现和执行。
组织化策略应当是一份易于理解的文档,为管理层和所有员工提供参考。
应当开发和用于将安全整合到所有业务功能和过程中。
应当源于并支持适用于公司的所有法律法规。
应当随公司的发展变化进行审核和修订。
组织化安全策略的每次更迭都应当注明日期,并在版本控制下进行。
受策略监管的部门和个人必须能够查看适用于他们的策略内容,
策略表述的专业水平能够强化其重要性以及遵守的必要性。
策略中不应包含任何人都无法理解的语言。
定期对策略进行审核,并根据自上一次审核和修订以来发送的事故加以改编。
安全策略有些什么特性
风险管理策略
脆弱性管理策略
数据保护策略
访问控制策略
业务连续性策略
日志聚集和审计策略
人员安全策略
物理安全策略
安全应用程序开发策略
变更控制策略
电子邮件策略
事件响应策略
常见的安全策略有哪些
理解安全策略基本概念
安全策略|安全方针
战略目标
指强制性的活动、动作或规则,它可以为策略提供方向上的支持和实施。
标准
指一个用于在将来变更时进行比较的时间点。基线可以产生一致的参考点。
基线
是在没有应用特定标准时向用户、IT人员、运营人员及其他人员提供的建议性动作和操作指导。
指南
为了达到特定目标而应当执行的详细的、分步骤的任务。
详细措施
战术目标
掌握安全策略的分层模式和内容
高层管理者对安全解决方案的总体成败负有责任,并且负责对组织机构建立安全性予以适度关注并尽职尽责
高级管理者
保证安全性,包括制定和实现安全策略。
安全专家
是层次较高的、最终负责数据保护的管理者。
数据所有者
通过执行所有必要的措施为数据提供适当的CIA三元组保护,并完成上层管理者委派的要求和责任。
数据管理员
具有安全系统访问权限的任何人。最小特权原则。了解组织的安全策略,并遵守规定的操作过程,在已定的安全参数内进行操作,以便维护安全策略。
用户
负责测试和认证安全策略是否被正确实现以及衍生的安全解决方案是否合适。
审计人员
了解重要的安全角色及其责任
应尽关注:指合适和合格的人在同一情况下采取预防措施。例如,忽略安全警告并点击恶意网站的人则会违反应尽注意。 关注执行。
应尽职责:在某人的力所能及的情况下,来防止安全事件的发生。这方面的例子将是制定适当的策略、研究威胁并将其纳入风险管理计划中, 并确保在适当的时候进行审计。
理解应尽关注和应尽职责的概念
背景检测
保密协议
入职 / 转入重要岗位
职责分离
工作轮换
强制度假
须知原则
最小特权原则
非竞争协议
监控
在职
必须在一名经理或保安的监督下立即离开公司。
上交必备物品,
禁用网络工具和账号,
解雇
掌握人员在入职、在职和离职的相关安全管理
法律、合规和道德???
GRC:风险和安全治理和合规形成的一定关系, ???
D1-3安全策略体系和安全人员管理
安全已成为一个商业问题,但商业运作的目的在于盈利,而不只是确保安全
虽然今天安全已经非常重视了,但焦点更多是放在应用程序、设备、协议、病毒与黑客行为上。
信息安全管理的核心就是安全风险管理
对于一个信息安全专家来说,理解风险这个概念是非常重要的。大多数安全人员工作的目标最终都要归结到风险管理。然而很多安全人员不能很好地理解风险管理和相关原则,而片面的去关注于病毒、漏洞和黑客攻击方面。
对安全专家来说,理解风险的本质尤为重要。他们必须了解如何计算风险,并将其转换成公司应对安全风险的推动力。
安全专家必须在理解了企业的业务目标和任务。并且采取措施处置风险,保障企业的业务目标和任务的达成。
安全风险管理的内涵
在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。--->风险 = 影响 * 可能性我们为风险给出的定义是:威胁主体利用脆弱性对资产造成伤害的可能性以及导致的业务影响。--->风险 = 威胁 x 脆弱性 x 资产
为了缓解风险,我们必须采取措施减低威胁、脆弱性,使风险降低到我们可以接受的水平。
我们要理解风险构成的元素(威胁、脆弱性和资产)以及它们之间的关系。
风险的定义
资产
资产价值
图2
任何可能发生的、为组织或某种特定资产带来所不希望的或不想要结果的事情都被称为威胁。
资产中的弱点或防护措施/对策的缺乏被称为脆弱性。
暴露是指由于威胁而容易造成资产损失,脆弱性会被或将被威胁主体或威胁事件加以利用的可能性是存在的。暴露并不意味着实施的威胁(造成损失的事件)实际发生(暴露给己实施的威胁称为经历的暴露),而仅仅是指如果存在脆弱性并且威胁可以利用脆弱性, 那么就有可能发生威胁事件或出现潜在的暴露。
防护措施或对策是指能消除脆弱性或对付一种或多种特定威胁的任何方法。防护措施可以是通过消除或减少组织内任何位置的威胁或脆弱性来降低风险的任何行为或产品。防护措施是削弱或消除风险的唯一方法。
防护措施
攻击指的是威胁主体对脆弱性的利用。
攻击
破坏
安全概念和术语
漏洞扫描=识别漏洞、验证漏洞、漏洞高危级别
识别风险
影响*可能性=风险的大小
评估风险
建立防护体系
风险处置:采取措施将风险减少到和维持可接受水平
风险管理(Risk Management):
D1-4 安全风险管理概述
标识资产和它们对于组织的价值
识别脆弱性和威胁
量化潜在威胁的可能性及其对业务的影响
在威胁的影响和对策的成本之间达到预算的平衡
了解风险评估的目标
NIST风险管理方法主要关注计算机系统和IT安全问题。它是一个只关注企业运营层面而不是较高战略层面的方法。
NIST
即便利的风险分析过程(Facilitated Risk Analysis Process)。这种定性方法的核心是只关注那些的确需要评估以降低成本和时间的系统。这种方法强调对活动进行筛选,从而只对最需要进行风险评估的项目进行评估。
FRAP
OCTAVE
AS/NZS 4360 则采取了一种更广泛的方式来进行风险管理。这种澳大利亚和新西兰的方法可用于了解公司的财务、资本、人员安全和业务决策风险。尽管也能够用于分析安全风险,但是它并非专门为该目标而创建的。这个方法更从商业的角度而不是安全的角度来关注公司的健康情况。
AS/NZS 4360
ISO/IEC27005 是一个国际标准,规定在ISMS框架内如何进行风险管理。如果说NIST风险方法主要侧重IT 和操作层面,这个方法则侧重IT和较软的安全问题(文档、人员安全和培训等)。
ISO/IEC 27005
失效模式和影响分析(Failure Modes and Effect Analysis,FMEA)是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法。它常用于产品开发和运营环境中。其目标是标识最容易出故障的环节,之后或者修复故障或者实施控制以降低故障的影响。
FMEA
CRAMM(Central Computing and Telecommunication Agency RiskAnalysis and Management Method,中央计算和电信机构风险分析与管理方法),该方法由英国创建,其自动化工具由西门子公司负责销售。该方法分为3个不同的阶段:定义目标、评估风险和标识对策。
CRAMM
了解风险评估的一般方法
威胁主体利用脆弱性对资产造成伤害的可能性以及导致的业务影响。
理解威胁和脆弱性之间的关系
定量分析使用风险计算来预测经济损失的程度以及每种威胁发生的可能性和影响。
最常用的公式是单一损失期望(single loss expectancy,SLE)和年度损失期望(annual loss expectancy,ALE)。
SLE = 资产价值*暴露因子(Exposure Factor,EF)
例如,如果某个数据仓库的资产价值为150000美元,发生火灾后,该数据仓库大约有25% 的价值遭到破坏,那么SLE 就是37500 美元。资产价值(150000)* 暴露因子(25%)=37500
ALE = SLE*年发生比率
年发生比率(ARO)表示一年时间内发生特定威胁的预计频率。该值的范围可以是从0.0 (不发生)到1.0 (一年一次)乃至大于1 的数字(一年若干次)之间的任何值。例如,如果数据库发生火灾并造成损坏的概率是十年一次,那么ARO值是0.1。因此,如果公司的数据仓库设施发生火灾可能造成37500 美元的损失,发生火灾的频率即ARO值为0.1 (表示10 年发生一次),那么ALE 值就是3750 美元(37500 * 0.1 = 3750)。
ALE值告诉该公司,如果想采取控制或防护措施来阻止这种损失的发生,那么每年就应当花费3750 美元或者更少的费用来提供必要的保护级别。了解某个风险的实际发生可能性以及威胁可能造成的损失金额是非常重要的,这样我们就能够知道应该花多少钱首先保护资产不受威胁。如果公司每年花费超过3750 美元来保护自己不受该威胁的影响,那么是没有什么商业价值的。
定量分析
定性分析将考察各种风险可能发生的场景,并基于不同的观点对各种威胁的严重程度和各种对策的有效性进行等级排列
定性分析技术包括判断、最佳实践、直觉和经验。收集数据的定性分析技术示例有Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。风险分析团队将决定对需要进行评估的威胁所使用的技术以及在分析中融入的公司和个人的文化元素。
图3
定性分析
计算更加复杂。管理层能够理解这些值是怎么计算出来的吗?没有可供利用的自动化工具,这个过程完全需要手动完成。需要做大量基础性的工作,以收集与环境相关的详细信息。没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。
定量方法的缺点
评估方法及结果相对主观。无法为成本/收益分析建立货币价值。使用主观衡量很难跟踪风险管理目标。没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。
定性方法的缺点
定量与定性的对比
掌握定量风险评估和定性风险评估的方法
如果公司觉得总风险或剩余风险太大,无法承担,那么可以购买保险,也就是将风险转移给保险公司。
转移
如果公司决定终止引入风险的活动,那么这种行为称为风险规避。例如:即时通信(IM)工具可能带来与这种技术相关的许多风险,停止IM服务就是风险规避的示例。
规避
就是风险被降低至可接受的级别,从而可以继续开展业务。安装防火墙、进行培训以及部署入侵/检测保护系统,这些都是典型的风险缓解方式。
缓解
这意味着公司理解自己所面临的风险级别以及风险带来的潜在损失,并且决定在不采取任何对策的情况下接受风险。在成本/收益率表明采取对策的成本超出潜在的损失价值时,许多公司都会接受风险。
接受
威慑
不是一种正常的风险处置方法,是一个伪概念,错误的。
拒绝
基本方式
一个公司实现安全对策的原因是将整体风险降低到一个可接受的级别
威胁×脆弱性×资产价值=总风险(威胁×脆弱性×资产价值)×控制间隙=剩余风险总风险–对策=剩余风险
剩余风险与总风险不同,总风险指的是公司在不实现任何防护措施的情况下所面临的风险。如果成本/收益分析的结果表明最好不采取任何动作,那么组织就可能选择接受总风险。例如,如果某公司的Web 服务器发生问题的可能性很小,而提供更高级别的保护所需的成本将会超过该风险造成的潜在损失,那么该公司就会选择不实现防护措施,从而承担了总风险。
剩余风险和总风险
理解风险处置的基本概念
D1-5 风险评估和处置
D1:安全与风险管理-1/2
0 条评论
回复 删除
下一页
