第一章-信息安全治理与风险管理.docx
《第一章-信息安全治理与风险管理.docx》由会员分享,可在线阅读,更多相关《第一章-信息安全治理与风险管理.docx(21页珍藏版)》请在冰点文库上搜索。
信息安全治理与风险管理分为以下几个部分:
1、信息安全管理基础
2、安全管控框架与体系
3、安全策略
4、安全计划
5、信息分类
6、风险管理
7、责任分层
8、人员控制
9、安全意识、培训和教育
10、BCP业务连续性
11、法律、道德、合规
l信息安全管理基础
1.信息安全基本原则
机密性(confidentiality):
确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体
完整性(integrity):
1.确保信息在存储、使用、传输过程中不会被非授权篡改;2.防止授权用户或实体不恰当修改信息;3.保持信息内部和外部的一致性
可用性(availability):
确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息。
相反三元组DAD:
泄漏(Disclosure);篡改(Alteration);破坏(Destruction)
信息安全CIA控制措施:
机密性:
数据加密(整个磁盘、数据库加密);传输数据加密(IPSec、SSL、PPTP、SSH);访问控制(物理和技术控制)
完整性:
哈希(数据完整);配置管理(系统完整);变更控制(过程完整);访问控制(物理和技术控制);软件数字签名;传输CRC检验功能
可用性:
冗余磁盘阵列(RAID);集群;负载均衡;冗余的数据和电源线路;软件和数据备份磁盘映像;位置和场外设施;回滚功能;故障转移配置
2.安全管理和支持控制:
管理性控制
开发和发布策略、标准、措施和指导原则
风险管理
人员的筛选
指导安全意识培训
实现变更控制措施
逻辑性控制(技术性控制)
实现和维护访问控制机制
密码和资源管理
身份标识和身份验证方法
安全设备
基础设施配置
物理性控制
控制个人对设施和不同部门的访问
锁定系统
去除必要的软驱和光驱
保护设施的周边
检测入侵
环境控制
3.信息安全管理:
技术
信息安全的构建材料
管理
真正的粘合剂和催化剂
三分技术,七分管理
4.信息安全管理模型:
PDCA
计划,Plan
根据风险评估结果,法律法规要求、组织业务,运作自身需要来确定控制目标与控制措施
实施,Do
实施所选的安全控制措施。
提升人员安全意识
检查,Check
依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查
措施,Action
针对检查结果采取应对措施,改进安全状况
5.GRC-治理、风险与合规
l安全管控框架与体系
1.信息及相关技术控制目标IT内部控制,Cobit
Cobit解决“实现什么”,ITIL解决“如何实现”
源于COSO框架,Cobit是IT治理框架
Subtopic
《内部控制-整体框架》,COSO企业内控管理框架
定义了满足财务报告和披露目标的五类内控要素
控制环境
风险评估
控制活动
信息与沟通
检测
很多组织应对SOX404法案合规性的框架
公司治理模型
2.IT服务管理,ITIL
ITIL是可定制IT服务管理框架
信息技术服务管理标准和最佳实践框架
五大过程
服务战略
服务设计
服务交付
服务运营
持续改进过程
3.信息安全管理,ISO27001
源于BS7799,BS7799-1对应ISO27002,BS7799-2对应ISO27001
信息安全方面的最佳惯例组成的一套全面的控制集
2013版,14个域
4.Zachman,TOGAF企业框架
5.SABSA安全机构框架
6.安全控制参考,NISTSP800-53r4
7.2014年关键基础设施安全控制框架:
NISTCyberSecurityFramework
8.CMMI软件开发管理
9.PMBOK,Prince2项目管理
10.SixSigma,业务流程管理
11.ISO38500,IT治理
12.ISO22301业务连续性管理
l安全策略
1.类型
规章性策略
1)用于确保组织机构遵守特定的行业规章建立的标准
2)一般比较详细,针对专门的行业
3)适用于包厢机构、卫生保健机构、公共设施和其他政府性控制的行业
建议性策略
1)用户强烈推荐雇员在组织机构中应该采取的某些行为和活动
2)对于不遵守的行为进行了相关规定
3)用户医疗信息处理、金融事务或机密信息处理中
指示性策略
1)告知雇员的相关信息
2)非强制性策略,指导个人与公司相关的特定问题
3)适用于如何与合伙人打交道、公司的目标和任务。
2.内容侧重点
组织性策略
1)由高级管理层发布,描述并委派信息安全责任,定义CIA的目标,强调需要关注的信息安全问题
2)适用于范围是整个组织
功能性策略
1)特定问题策略,针对特定安全领域或关注点,例如访问控制、持续性计划、职责分离等
2)针对特定的技术领域,如互联网、电子邮件、无线访问、远程访问等
3)依赖于业务需要和可接受的风险水平
4)内容包括特定问题的阐述,组织针对该问题的态度、适用范围、符合性要求,惩戒措施
特定系统策略
针对特定技术或操作领域制定的更细化的策略,如应用或平台
3.方针
信息安全最一般性的声明
最高管理层对信息安全承担责任的一种承诺
说明要保护的对象和目标
4.标准
建立方针执行的强制机制
5.指南
类似于标准,加强系统安全的方法,他是建议性的
6.基线
满足方针要求的最低级别的安全需求
7.程序
执行特定任务的详细步骤
程序则是对执行保护任务时具体步骤的详细描述(HOW)
8.采购安全策略与实践
供应链风险与安全控制
硬件、软件与服务采购
1)制定安全基线,明确采购的产品和服务的最低安全要求
2)对供应商人员进行安全培训
3)制定供应商安全管理策略,定义通用的安全控制方法
4)增加对OEM厂商、分销商和集成商的控制
5)对供应商网络安全风险进行审计
最低安全要求与服务级别需求
通过SLA明确服务水平要求和最低安全要求
l安全计划
全管理计划应该自上而下
类型
战略计划,strategicplan
长期计划,例如5年,相对稳定,定义了组织的目标和使命
战术计划,tacticalplan
中期计划,例如1年
对实现战略计划中既定目标的任务和进度的细节描述,例如雇佣计划,预算计划等
操作计划,operationalplan
短期的高度细化的计划,经常更新
每月或每季度更新,例如培训计划,系统部署计划等
l信息分类
目的:
说明需要为每种数据集设定的机密性、完整性和可用性保护等级
根据信息敏感程度,公司采取不同的安全控制措施,确保信息受到适当的保护,指明安全保护的优先顺序
商业公司
公开
敏感
私有
机密
军事机构
非机密
敏感但非机密
秘密
机密
绝密
l风险管理
1.概念
识别并评估风险、将风险降低至可接受水平、执行适当机制来维护这种级别的过程
100%安全的环境是不存在的,风险管理是收益/成本,安全性/可用性之间的平衡
2.相关要素
1)资产:
对组织具有价值的信息资产
2)威胁,可能对资产或组织造成损害的某种安全事件发生的潜在原因,找到威胁源
3)脆弱性
也成漏洞或弱点,即资产或资产组中存在的可被威胁利用的弱点,弱点一旦被利用可能对资产造成损害
4)风险
特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性
5)可能性
对威胁发生频率的定性描述
6)影响
后果,意外事件给组织带来的直接或间接的损害或伤害
7)安全措施
控制或对策,即通过防范威胁、较少弱点,限制意外事件带来影响等途径来削尖风险的机制、方法和措施
8)残留风险
在实施措施之后仍然存在的风险
3.风险分析
1)目标
标识资产和他们对组织机构的价值
识别脆弱性和威胁
量化潜在威胁的可能性及其对业务的影响
在威胁的影响和对策的成本之间达到预算的平衡
2)方法
NISTSP800-30和SP800-66
定性RA方法
1,系统分类;2,弱点识别;3,威胁识别;4,对策识别;5,可能性评估;6,影响评估;7,风险评估;8,新对策推荐;9,文件报告
OCTAVE
一种基于信息资产风险的自主式信息安全风险评估规范,强调以资产为驱动,由3各阶段、8个过程构成
CRAMM
基本过程:
资产识别和评价;威胁和弱点评估;对策选择和建议
FRAP
一种定性的风险评估过程,以对风险评估方法的各个方面和变化形式进行测试
STA
创建一个系统可能面临的所有威胁的树,树枝可以代表诸如网络威胁、物理威胁、组件失效等类别,进行RA时,需要剪除不用的树枝
FEMA
源自硬件分析。
考察每个部件或模块的潜在失效,并考察失效影响
对比:
NIST和OCTAVE方法关注IT威胁和信息安全风险分析,AS/NZS4360则采取了一种更为广泛的方式进行风险管理。
AS/NZS适用于公司的财政、资本、人员安全和业务决策风险。
也可以用于风险安全分析,但并非专门为针对这个目标设计。
3)定量风险分析
定量风险分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字
包括:
防护措施的成本、资产价值、业务影响、威胁频率、护措施的有效性、漏洞利用的可能性等。
风险分析步骤
为资产赋予价值
估计每种威胁的潜在损失
针对每种资产和威胁计算的单一损失期望(SLE)
执行威胁分析
计算年发生比率(ARO)
计算每种威胁的潜在年度损失
每种威胁计算年度损失期望(ALE)
减轻、转移、避免和接受风险
风险计算
事件发生的频率:
ARO(年发生比率)
威胁事件可能引起的损失:
EF(暴露因子)
定量计算过程
识别资产并为资产赋值
评估威胁和弱点,评价特定威胁作用于特定资产所造成的影响,即EF(0%~100%)
计算特定威胁发生的次数(频率),即ARO
计算资产的SLE
SLE(单一损失期望)=(资产价值)×EF(暴露因子)
计算资产的ALE
ALE(年度损失期望)=SLE(单一损失期望)×年度发生率(ARO)
4)定性风险分析
考虑各种风险可能发生的场景,并基于不同的观点对各种威胁的严重程度和各种对策的有效性进行等级排列
定性分析技术
判断、最佳实践、直觉和经验
收集数据的定性分析技术
群体决策方法,delphi
调查问题卷
检查
访谈
5)定性和定量方法对比
定性方法及结果相对主观
定性方法无法为成本/效益分析建立货币价值
定量方法需要大量的计算,实施比较困难
4.风险分析过程
识别信息资产
识别每项资产的拥有者、保管者和使用者
建立资产清单,根据业务流程来识别信息资产
信息资产存在的形式
电子数据:
数据库和数据文件、用户手册等
书面合同:
合同,策略方针,归档文件,重要商业结果
软件资产:
应用软件、系统软件、开发工具、软件程序
实物资产:
磁介质、电源和空调、网络基础设施、服务器等
人员:
承担特定只能和责任的人员或角色
服务:
计算和通信服务、外包服务,其他技术性服务
组织形象与声誉:
无形资产
评价信息资产
评价因素
受损后造成的直接损失
资产恢复需要的代价,包括检测、控制、修复的人力和物理
组织公众形象和名誉损失,竞争优势损失
其他损失,如保险费用的增加
根据重要性(影响或后果)来划分资产等级,同时考虑保密性、性和可用性的受损可能引发的后果
识别和评价威胁
一项资产可能面临多个威胁,一个威胁也可能对多个资产造成影响
识别威胁源
人员威胁
系统威胁
环境威胁
自然威胁
评估威胁可能性是要考虑威胁源的动机和能力因素
识别和评估弱点
针对每个资产可能被利用的弱点
技术性弱点
操作系统弱点
管理型弱点
识别途径
审计报告、实践报告、安全检查报告、系统测试和评估报告、自动化漏洞扫描工具和渗透测试
资产、威胁及弱点关系
风险评价
风险影响(Riskimpact)
风险可能性(probability)
现有控制措施的考虑
从针对性和实施方式来看
管理性
安全策略、风险管理程序
技术性
包括操作性和技术性措施
逻辑访问控制、日志审计、加密、身份识别、物理和环境安全策略等
物理上
基础环境控制,视频监控、CCTV等
从功能上看
威慑性(Deterrent)
防止威胁的发生
预防性(preventive)
保护系统较少弱点
检测性(Detective)
即使发现安全弱点
纠正性(corrective)
减小造成的影响
风险处置策略
风险处置方法
减低风险(ReduceRisk)
减少威胁:
实施恶意代码控制措施
减少弱点:
通过安全意识培训,强化安全操作能力,降低影响:
灾难恢复计划和业务连续性计划,做好备份
规避风险(AvoidRisk)
转移风险(TransferRisk)
接受风险(AcceptRisk)
风险控制措施选择对策
成本/效益分析
基本原则:
实施安全措施跌代价不应该大于所要保护资产的价值
对策成本:
购买费用,对业务效率的影响,额外人力物力,培训费用,维护成本费用等
控制价值:
实施控制之前的ALE-控制的年成本-实施控制后的ALE
约束条件
时间约束,技术约束,环境约束
法律约束,社会约束
防护措施基本功能和有效性
评价残留风险
实施安全控制后残留或残存的风险
残留风险Rr=原有风险R0-控制效力R
残留风险<=可接受的风险Rt
计算方法1
威胁×脆弱性×资产价值=总风险
计算方法2
总风险-对策=剩余风险
l责任分层
1.高级管理层
决策层或高级管理层全面负责信息安全,是信息安全的最终负责人。
规划信息安全,确定目标优先次序,委派信息安全责任
职责:
明确信息安全目标和方针为信息安全活动指引方向
为信息安全活动提供资源
重大问题做出决策
协调组织不同单位不同环节的关系
最终责任人
2.信息安全专家
即信息安全官或CSO,受高级管理层委派(通常向CIO)负责实施和维护安全
设计、实施、管理和复查组织的安全策略、标准、指南和程序
协调组织内部各单位之间所有的与安全相互的交互
3.首席信息管,CIO
监督和负责公司的日常技术运营
4.首席信息安全官,CSO
确保业务信息资产得到妥善保管
扮演内部信息安全协调和促动的角色
需要理解组织的业务目标,引导风险管理过程,确保业务操作和可接受风险之间达成恰当的平衡
职责:
为信息安全活动做预算
开发策略、程序、基线、标准和指南的开发
开发安全意识程序
参与管理会议
协助内部和外部的审计
5.信息系统安全指导委员会
企业内部的战术和战略安全问题做出总体据测,不可以与业务部门有联系
至少每季度召开一次会议
职责:
定义组织机构的可接受风险级别
确定安全目标和找略
根绝业务需求决定安全活动的优先级
审查风险评估和审计报告
监控安全风险的业务影响
审查重大的安全违规核事故
批准安全策略和计划的任何重要变更
6.安全审计委员会
由董事会任命,帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性。
职责:
公司财务报表以及前天财务信息的完整性
公司的内部控制系统
独立审计元的雇佣和表现
内部审计功能的表现
7.安全策略委员会
由高级管理层选择出的负责制定安全策略的组织
通常由高层管理者承担这个责任
可以针对整个组织,也可以是针对具体问题或具体系统而制定
8.风险管理委员会
从整体上了解该组织索面的的风险并且协助高层管理者把风险降到可接受的程度。
研究整体的业务风险,而不仅仅是IT安全风险
9.安全委员会
成员来自:
高级管理层代表、IT管理者、业务和职能部门负责人、信息安全官等
决策并批准安全相关事务、策略、标准和指南
l人员安全控制
1.人员职责分层
数据所有者
负责管理某个业务部门,对特定信息自己的保护和应用负最终责任
具有“适当关注”责任
职责:
决定数据的分类
定义每种分类的安全需求和备份需求
定义用户访问准则
业务角色而非技术角色
数据管理员
IT或安全部门的角色
职责
执行数据的常规备份
定期验证数据的完整性
备份截至还原数据
实现公司关于信息安全和数据保护的信息安全策略、标准和指导原则
系统所有者
负责一个或多个系统,每个系统可能保存并处理由不同数据所有者拥有的数据
负责将安全因素集成到应用程序和系统中
评估系统脆弱性
采用足够的安全措施保证系统安全
安全管理员
负责实施、监视和执行安全规定和策略
向安全委员会和信息安全官报告
信息系统审计师
检查系统,判断是否满足安全需求以及安全控制是否有效
数据分析员
2.人员录用控制
背景检查
减少风险、减少招聘成本、减低员工的流动率
技能考核
保密协议
保护公司敏感信息
3.人员在职控制
职责分离
不应该有人从头到尾的完全控制一项敏感、有价值、或关键的任务
目的:
较少欺诈或事务的机会
最小特权
分配职责所需的最小权限
知所必需
工作轮换
不允许某个人过长时间担任某个固定职位,避免个人获得过多的控制
设置人员备份,有利于交叉培训,有利于发现欺诈行为
Subtopic
强制休假
强迫敏感部门人员休假,可以有效发现欺诈、数据修改和资源滥用等
4.人员离岗控制
离职人员访问权限的禁用
回收具有身份识别的物件
5.供应商与第三方人员控制
1)如果第三方人员不驻场,但拥有管理员权限,应当与第三方组织和个人均签订保密协议;
2)监控第三方的所有工作行为
3)在接入时,确保对第三方人员的身份进行验证
4)如果第三方人员驻场,并拥有管理员权限,应当在上述措施的基础上,增加人员背景调查
5)第三方人员离场,需要收回相关的权限
6)在与第三方的合同条款上,增加保密要求,和相关的商务条款
l安全意识培训和教育
必须自上而下驱动
雇员必须意识到保护组织的信息资产;操作者必须经过培训,以便掌握安全履行职责的技能;安全实践者应该接受教育,以便实时和维护必要的安全控制。
意识,Awareness
组织员工对安全和安全控制重要性的一般行的集体的意识
方式:
视频,媒体,海报等
“是什么”
传递信息
培训,Training
传授安全相关工作技能,主要对象为信息系统管理和维护人员
方式:
实践性指导,讲座,个案研究,实验
获取知识
“如何做”
教育,Education
为安全专业认识提供工作所需的专业技技术。
方式:
理论性指导,研讨会、阅读和学习,研究
安全见解
“为什么”
l业务连续性
BCP/DRP概述
什么是灾难
突发的,导致重大损失的不幸意外事件。
包括:
突发的,导致重大损失的不幸意外事件。
自然灾害,如地震、洪水、自然火灾,火山爆发、强对流天气
系统/技术的,如硬件、软件中断,系统/编程错误
供应系统,通讯中断,配电系统故障,管道破裂
人为的,爆炸,火灾、故意破坏、化学污染、有害代码
政治的,恐怖活动,骚乱、罢工
机构的灾难:
对于机构来说,任何导致关键业务功能在一定时间内无法进行的事件都被视为灾难。
特点:
计划之外的服务中断
长时间的服务中断
中断无法通过正常的问题管理规程得到解决
中断造成重大的损失
2个要素:
中断所影响的业务功能的关键程度
中断的时间长度
灾难恢复计划,DRP
往往更加关注IT信息技术
灾难恢复目标
将灾难造成的损失减低到最低程度
采取必要的步骤保证资源、人员和业务流程尽快恢复运作
业务连续性计划,BCP
从更加长远的角度来解决问题,主要为长期停产和灾难事件提供方法和措施
BCP应该与是机构的业务目标一致,是整体决策的一部分
BCP应该是机构安全项目的一部分,并与安全项目的其他内容相协调,规模较小的机构,可以是机构安全计划的一部分,在大型机构安全架构可能会包含BCP的概要,详细内容包含在文档中记录。
业务连续性目标
关注信息系统的可用性
内容:
针对紧急情况采取快速、准确和可度量的响应
既定时间范围内回复机构的关键功能
减少事件造成的损失
记录明确的恢复规程
提供恢复所需的资源和联络清单
实现对恢复规程进行测试、培训恢复团队
记录关键记录和信息的存储、保护和获取规程
遵循法律、法规和行业的规范要求
NIST业务连续性步骤
制定连续性规划策略声明
执行业务影响分析(Businessimpactanalysis,BIA)
确定预防性控制方法
制定恢复战略
制定应急计划,进行培训和演练
测试业务连续性计划
维护业务连续性计划
BCP项目规划
BCP相关标准
《信息安全技术信息系统灾难恢复规范》GB/T20988-2007
《信息技术(IT)系统应急计划指南》NISTSP800-34
新加坡金融管理局业务应急计划指导方针
BCP项目规划关键活动
1)确定BCP需求,可以包括有针对性的风险分析以识别关键系统可能的中断
2)想管理层推销BCp理念,获得管理层支持
3)了解相关法律、法规、行业规范以及机构的业务和技术规划的要求,以确保BCP与其一致
4)任命BCP项目负责人,建立BCP团队,包括业务和技术部门的代表
5)制定项目管理计划书,其中应明确项目范围、目标、方法、责任、任务以及进度
6)确定手机数据所需的自动化工具
7)向管理层提交项目规划和状态报告
BCP项目负责人
业务连续性协调人作为BCP项目负责人全面负责项目的规划、准备、培训等各项工作
工作任务:
1)计划的开发团队与管理层的沟通和联络
2)有权与计划相关所有人进行直接接触和沟通
3)充分了解业务中断对机构业务的影响
4)熟悉机构的需求和运作,有能力平衡机构相关部门的不同需求
5)比较容易接触到高级管理层
6)了解机构业务方向和高管理层的意图
7)有能力影响高级管理层的决策
BCP项目的关键角色
1)恢复团队,灾难后进行评估、恢复、复原等相关工作的多个团队
2)业务部门代表,识别机构的关键业务功能,协助恢复策略的选择和制定
3)危机管理团队,在灾难发生时进行充要决策和组织协调
4)用户,应了解丧失服务时各自的责任
5)系统和网络专家,提供专业指导和建议
6)信息安全部门
7)法律代表
BCP策略条款
策略条款应得到高级管理层的正式批准,并公布成为机构的政策,指导业务连续性的相关工作。
BCP规划最终应该形成业务连续性策略条框,该条款记录的BCP的如下内容:
目标、范围、需求
基本原则和指导方针
职责和责任
关键环节的基本要求
业务影响分析BIA
业务影响性分析概述
业务影响分析属于一种功能分析;
采用采访和文档资料收集数据,记录业务功能、活动和事务处理,制定一个业务功能等级,最终应用一个分类方案来说明每个功能的关键级别。
对应特征:
最大可容忍故障时间(MTD)
升级会员 