2.1 促進人員安全策略
- 職責分離: 把關鍵的、重要的和敏感工作任務分配給若干不同的管理員或高級執行者,防止共謀
- 工作職責:最小特權原則
- 崗位輪換:提供知識冗余,減少偽造、數據更改、偷竊、陰謀破壞和信息濫用的風險,還提供同級審計,防止共謀
2.1.1 篩選候選人
篩選方法:
1、背景調查
2、社交網絡賬戶復審
2.1.2雇傭協議和策略
- 雇傭協議
- 保密協議
2.1.3 解雇員工的流程
2.1.4 供應商、顧問和承包商控制
- SLA:服務級別協議
2.1.5 合規性
- 合規是符合或遵守規則、策略、法規、標準或要求的行為
2.1.6 隱私
2.2安全治理
- 安全治理是支持、定義和指導組織安全工作相關的實踐合集
- 第三方治理: 由法律、法規、行業標準、合同義務或許可要求規定的監督
2.3理解和應用風險管理概念
2.3.1風險術語
- 資產: 環境中應該加以保護的任何事物
- 資產估值: 根據實際的成本和非貨幣性支出作為資產分配的貨幣價值
- 威脅:任何可能發生的、為組織或某些特定資產帶來所不希望的或不想要結果的事情
- 脆弱性:資產中的弱點或防護措施/對策的缺乏被稱為脆弱性
- 暴露:由于威脅而容易造成資產損失,暴露并不意味實施的威脅實際發生,僅僅是指如果存在脆弱性并且威脅可以利用脆弱性
- 風險:某種威脅利用脆弱性并導致資產損害的可能性 風險 =威脅 * 脆弱性,安全的整體目標是消除脆弱性和?長威脅主體和威脅時間危機資金安全,從而避免風險稱成為現實
- 防護措施: 消除脆弱性或對付一種或多種特定威脅的任何方法
- 攻擊: 發生安全機制被威脅主體繞過或阻擾的事情
-
總結:風險概念之間的關系
image.png
2.3.2 識別威脅和脆弱性
- IT的威脅不僅限于IT源
2.3.3 風險評估/分析
- 定量的風險分析
1: 暴露因子(EF): 特定資產被已實施的風險損壞所造成損失的百分比
2:單一損失期望(SLE):特定資產的單個已實施風險相關聯的成本
SLE = 資產價值(AV) * 暴露因子(EF)
3:年發生占比(ARO):特定威脅或風險在一年內將會發生的預計頻率
4: 年度損失期望(ALE):對某種特定資產,所有已實施的威脅每年可能造成的損失成本 ALE = SLE * ARO
5:計算使用防護措施時的年損失期望
6: 計算防護措施成本 (ALE1 - ALE2 ) - ACS
ALE1:對某個資產與威脅組合不采取對策的ALE
ALE2:針對某個資產與威脅組合采取對策的ALE
ACS:防護措施的年度成本 - 定性的風險分析
1:場景,對單個主要威脅的書面描述
2:Delphi技術:簡單的匿名反饋和響應過程
2.3.4 風險分配/接受
- 風險消減: 消除脆弱性或組織威脅的防護措施的實施
- 風險轉讓:把風險帶來的損失轉嫁給另一個實體或組織
- 風險接受:統一接受風險發生所造成的結果和損失
- 風險拒絕: 否認風險存在以及希望風險永遠不會發生
- 總風險計算公式: 威脅 * 脆弱 * 資產價值 = 總風險
- 剩余風險計算公式: 總風險 - 控制間隙 = 剩余風險
2.3.5 對策的選擇和評估
風險管理范圍內選擇對策主要依賴成本/效益分析
2.3.6 實施
- 技術性控制:采用技術控制風險
- 技術控制示例: 認證、加密、受限端口、訪問控制列表、協議、防火墻、路由器、入侵檢測系統、閥值系統
- 行政管理性控制: 依照組織的安全管理策略和其他安全規范或需求而定義的策略與過程
- 物理性控制:部署物理屏障,物理性訪問控制可以防止對系統或設施某部分的直接訪問
2.3.7 控制類型
- 威懾:為了阻嚇違反安全策略的情況
- 預防: 阻止不受歡迎的未授權活動的發生
- 檢測: 發現不受歡迎的或未授權的活動
- 補償:向其他現有的訪問控制提供各種選項
- 糾正: 發現不受歡迎或未授權的操作后,將系統還原至正常的狀態
- 恢復:比糾錯性訪問控制更高級,如備份還原、系統鏡像、集群
-指令:指示、限制或控制主體的活動,從而強制或鼓勵主體遵從安全策略
2.3.8 監控和測量
- 安全控制提空的益處應該是可以測量和度量的
2.3.9 資產評估
2.3.10 持續改進
- 安全性總在不斷變化
2.3.11 風險框架
- 分類 對信息系統和基于影響分析做過處理、存儲和傳輸的信息信息進行分類
- 選擇 基于安全分類選擇初始化基線、安全基線
- 實施 實施安全控制并描述如何在信息系統和操作環境中部署操作
- 評估 使用恰當的評估步驟評估安全系統
- 授權
- 監控 不間斷的監控信息系統的安全控制
2.4 建立和管理信息安全教育、培訓和意識
- 培養安全意識的目標是將安全放在首位并且讓用戶意識到這點
2.5 管理安全功能
- 安全必須符合成本效益原則
- 安全必須可度量
