CISP培训笔记Word文档下载推荐.docx
- 文档编号:14222664
- 上传时间:2022-10-20
- 格式:DOCX
- 页数:20
- 大小:29.83KB
CISP培训笔记Word文档下载推荐.docx
《CISP培训笔记Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《CISP培训笔记Word文档下载推荐.docx(20页珍藏版)》请在冰豆网上搜索。
PPDR策略--防护--检测--响应,突出控制和对抗,强调系统安全的动态性
9、信息安全保障技术框架IATF,深度防御的思想,层次化保护,人、技术、操作,关注4个领域:
本地的计算机环境
区域边界
网络和基础设施
支撑性技术设施
10、信息系统:
每一个资质中信息流动的总和,含输入输出、存储、控制、处理等。
11、信息系统安全保障,从技术、管理、工程、人员方面提出保障要求
12、信息系统安全保障模型GB/T20274
保障要素4:
技术、管理、工程、人员
生命周期5:
规划组织、开发采购、实施交付、运行维护、废弃
安全特征3:
13、信息系统安全保障工作阶段
确保信息安全需求、设计并实施信息安全方案、信息安全测评、检测与维护信息安全
14、我国信息安全保障体系
建立信息安全技术体系,实现国家信息化发展的自主可控
信息安全保障实践
1、现状
美国CNNI《国家网络安全综合倡议》,3道防线
1、减少漏洞和隐患,预防入侵
2、全面应对各类威胁,增强反应能力,加强供应链安全低于各种威胁
3、强化未来安全环境,增强研究、开发和教育,投资先进技术
2、我国的信息安全保障战略规划,信息安全分:
基础信息网络安全、重要信息系统安全和信息内容安全
3、信息安全保障工作方法,信息系统保护轮廓ISPP(所有者角度考虑安保需求),信息系统安全目标ISST,从建设方制定保障方案
4、确定信息系统安全保障的具体需求:
法规符合性、风险评估、业务需求(只放前2个也对)
5、信息安全测评对象:
信息产品安全测评、信息系统安全测评、服务商资质、信息安全人员资质测评
6、信息系统安全测评标准
过程测评标准:
GB/T20274
产品安全测评标准:
CCGB/T18336
信息安全管理体系ISMS
1、ISMS信息安全管理体系,按照ISO27001定义,基于业务风险的方法
2、信息安全管理体系建设
规划与建立、实施和运行、监视和评审、保持和改进
3、ISMS的层次化文档结构
一级文件,顶层文件,方针、手册
二级文件,信息安全管控程序、管理规定性文件,管理制度、程序、策略文件
三级文件,操作指南、作业指导书、操作规范、实施标准等
四级文件,各种记录表单,计划、表格、报告、日志文件等
4、ISMS方法:
风险管理方法、过程方法
5、风险管理方法
风险评估是信息安全管理的基础,风险处理时信息安全管理的核心,风险管理是信息安全管理的根本方法,控制措施是风险管控的具体手段
6、控制措施的类别
从手段来看,分为技术性、管理性、物理性、法律性等控制措施
从功能来看,分为预防性、检测性、纠正性、威慑性等控制措施
从影响范围来看,常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域
7、PDCA循环,戴明环
特点:
按顺序进行,组织每部分及个体也可使用,适用任何活动
8、ISO/IEC27000标准族共7个
27001信息安全管理体系要求,14个领域,新版的变动
27002信息安全控制措施实用规则,11个控制类,内容安全和风险评估不属于
27004信息安全管理测量,度量指标
9、常见的管理体系标准
ISO27001定义的信息安全管理系统ISMS,国际标准
信息安全等级保护,公安部提出
NISTSP800,适用美国联邦政府和组织
10、管理者是实施ISMS的最关键因素
11、ISMS建设
P阶段8步:
确立边界和方针1-2、风险评估3-6、获得高层认可,编制适用性声明7-8
D阶段7步:
制定风险处理计划,实施培训和教育计划
C阶段5步:
审计和检查
A阶段2步:
实施纠正和预防,沟通和改进
信息安全控制措施
1、安全方针
是陈述管理者的管理意图,高层承诺,是一级文件,具体的产品选型,技术实现问题不在方针中体现
2、信息安全组织:
内部组织、外部各方
3、资产管理:
资产负责和信息分类,信息分类按照信息的价值、法律要求、对组织的敏感程度进行分类
4、员工只要违反了规定,不论是否知悉,就要接受处罚
5、符合性
符合法律要求、符合安全策略和标准及技术符合性、信息系统审核考虑
6、任用的终止:
终止职责、资产的归还、撤销访问权
7、人身安全是物理安全首要考虑的问题
8、TEMPEST抑制和防止电磁泄露
9、机房建设,下送风,上排风
10、备份是为了保证完整性和可用性
11、电子商务服务,抗抵赖
12、日志,管路员读权限;
系统员,写权限
13、信息安全管理手册是一级文件,SOA适用性声明是一级文件,信息安全策略是一级文件,不描述具体操作的都是二级文件
14、网闸,多功能安全网关,实现网络物理隔离
15、测试数据不需备份;
生产数据不能做测试,脱敏处理才可以;
测试完成后对平台和数据彻底清除
16、程序源代码需访问控制,不得随意更改
17、不鼓励对商用软件包进行变更,除非获得厂方的合法支持;
不包括开源,
外包软件开发:
源代码托管,第三方管理,不得使用,为了防止开发方倒闭
信息安全标准化
1、国际标准、国家标准、行业标准、地方标准
2、标准化特点:
对象是共同的、可重复的实物;
动态性;
相对性;
效益来自标准使用
3、标准化原则:
简化原则、统一化、通用化、系列化
4、国家标准代码,GB/Z在实施后3年内必须进行复审,结果为延长3年或废止
GB强制性国家标准
GB/T推荐性国家标准
GB/Z国家标准化指导性技术文件
5、ISO的机构包括TC技术委员会、SC分技术委员会、WG工作组、特别工作组
6、IEC国际电工委员会,和ISO成立JCT1联合技术委员会
7、ISO/IECJCT1SC27(分技术委员会),下设5个工作组,对口中国TC260(CISTC,信息安全标准化TC)。
TC485(全国通信标准化TC)
8、IETFInternet工程任务组,贡献RFC系列
9、SAC国家标准化管理委员会,国家质监总局管理
10、采标
等同采用IDT,内容无变化,审核人由国外改为国家
修改采标MOD
非等效采标NEQ
11、我国的信息安全标准
基础标准、技术与机制标准、管理标准、测评标准、密码技术标准、保密技术标准
技术与机制:
标识与鉴别、授权与访问控制、实体管理、物理安全
12、TCSEC美国安全评测标准
低到高D、C(C1\C2)、B(B1\B2\B3)A
B1开始强制访问控制
,B2开始隐蔽信道控制
13、ITSEC欧洲的评测标准FC美国联邦标准
14、CC标准GB/T18336信息技术安全性评估准则,
主要框架取自ITSEC和FC,不涉及评估方法学,重点关注人为威胁,定义了保护轮廓PP和安全目标ST,PP创建安全要求集合,ST阐述安全要求,详细说明一个TOE评估对象的安全功能
CC分3部分,18336.1/.2/.3简介和一般模型;
认证级别,即评估保证级EAL由低到高为7个级别。
目标读者:
TOE(评估对象)的客户,TOE的开发者,TOE的评估者,其他读者
组件是构成CC的最小单元
评估对象,涉及产品、系统、子系统
包:
满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件,如EAL
15、《信息安全等级保护管理办法》等级保护标准族的5级划分
2级以上到公安机关备案,3级开始对国家安全造成损害
定级指南:
受侵害的客体,客体的侵害程度
定级、备案、安全建设整改、等级测评、检查
16、NISTSP800,应用于美国联邦政府和其他组织,6个步骤
17、
信息安全风险管理
1、风险是威胁源利用脆弱性造成资产不良的可能性,发生概率和产生后果。
风险三要素:
资产、威胁、脆弱性
2、风险的构成5方面
起源(威胁源)、方式(威胁行为)、途径(脆弱性)、受体(资产)、后果(影响)
3、信息安全风险只考虑对组织有负面影响的事件
4、风险管理范围和对象:
信息、信息载体、信息环境
5、风险管理是识别、控制、消减和最小化不确定因素的过程,风险只能消减,不能消除
6、《关于开展信息安全风险评估工作的意见》
7、国办要求一次等保测评2个报告
等保测评报告(公安部)和风险评估报告(国家信息安全测评中心发布的模板)
8、IS风险管理的主要内容,4阶段、2贯穿
背景建立、风险评估、风险处理、批准监督;
监控审查、沟通咨询
a)背景建立四个阶段
风险管理准备:
确定对象、组建团队、制定计划、获得支持、
信息系统调查:
信息系统的业务目标、技术和管理上的特点
信息系统分析:
信息系统的体系结构、关键要素
信息安全分析:
分析安全要求、分析安全环境
b)风险评估
要素识别:
威胁识别、脆弱性识别、识别已有的控制措施
c)风险处理-处置方法,(注意顺序)
接受风险、
降低风险(安全投入小于负面影响价值的情况下采用)、
规避风险、
转移风险
d)批准监督
批准,残余风险可接受,安措能满足业务的安全需求;
监督,环境的变化
e)监控审查和沟通咨询需贯穿整个阶段,监控过程有效性、成本有效性、审查结果有效性和符合性
9、信息安全风险管理主要内容
a)风险评估形式
自评估为主,自评估和检查评估相互结合、相互补充
国企以自评估为主,自评估、检查评估都可以委托第三方继续
b)风险评估方法
定性风险分析方法,定量风险分析方法,半定量风险分析方法
i.定性分析
矩阵法,根据后果的可能性和影响作交叉
ii.定量分析
1)评估资产AV
2)确定单次预期损失额SLE,一种风险带来的损失,暴露系数EF
SLE=AV*EF
3)确定年发生率ARO,一年中风险发生的次数
4)年度预期损失ALE
ALE=SLE*ARO
5)安全投资收益ROSI
ROSI=实施前的ALE–实施后的ALE–年控制成本
iii.半定量分析
相乘法,在矩阵法上改进,影响和可能性赋值后相乘
c)风险评估实施流程
风险评估准备:
计划、方案、方法工具、评估准则等
风险要素识别:
资产、威胁、脆弱性识别与赋值,确认已有的安措
风险分析:
如下公式
风险结果判定:
评估风险的等级,综合评估风险状况
10、
信息安全法律
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISP 培训 笔记