CISSP K笔记.docx
- 文档编号:23812350
- 上传时间:2023-05-21
- 格式:DOCX
- 页数:65
- 大小:850.43KB
CISSP K笔记.docx
《CISSP K笔记.docx》由会员分享,可在线阅读,更多相关《CISSP K笔记.docx(65页珍藏版)》请在冰豆网上搜索。
CISSPK笔记
K書筆記本-InformationSecurity&RiskManagement(01)
資訊安全是近來幾年相當受到觀注的領域,Jason自投入業界至今也在三年前轉往這個領域
當然在這個領域中也有不少的挑戰,而Jason近來也在正在準備這方面的挑戰
為了讓自已和廣大的鄉民們也能一同的討論,Jason將讀過的資料轉化後貼到自已的blog中跟大家一起討論
InformationSecurity的組成可由Availability(可用性)、Integrity(完整性、一致性)、Confidentiality(機密性)所構成
而每個構成安全的特性中個別又包含了不同層面的涵意:
Availability:
可用性避免服務中斷。
Intregint:
避免得到授權或未經授權者做任何規範外的變更,並且保持資訊內外的一致。
Confidentiality:
保護授權機密性
這麼說似乎相當的模糊,不過,透過下列的說明大家應該比較能夠明瞭:
Availability又分為Timely(即時)及Reliable(可信任),要用的時侯馬上可以用,並且可以被信任的機制或處理流程。
Integrity則有”Preventunauthorizedmodificationbyunauthorizedpeople.(避免未經授權者做任何未經授權的變更)”
、”Preventunauthorizedmodificationbyauthorizedpeople.(避免授權者做任何未經授權的變更)”
及”Maintaininternalandexternalconsistency.(維持內部與外部的一致性)”
Confidentiality則是”Preventintentionalorunintentionalunauthorizeddisclosure.(確保有意或無意的散播)”
身為一個資訊安全人員應該確保以上三點的完整架構,當然在不同的領域環境之下,一定有特別著重的部份,但三者一定缺一不可
就像是經典電影中的對白:
我身為一個汽車維修人員,身上帶著起子算得上是合情合理吧~!
雖然談到資安大家所想的就是抓駭客、防止被入侵、中毒事件,但是對於資安人員來看,可不止是如此的簡單而以
但是也不可不否認,台灣在資安所著重的路份確實相當的薄弱,試問沒有賺錢的公司會想導入資安嗎?
台灣的教育之下也不是以安全為第一考量
針對(ISC)2所提出的資安十大領域之中,可以很明確的看出6.5分管理2.5分科技及1分法律,這樣才能達成十分安全
資安人員首重道德,對於其道德良知的看重勝過其它因素,若資安人員沒有約束自已的能力,那麼對於客戶的安全怎麼會重視呢?
K書筆記本-InformationSecurity&RiskManagement(02)
上一篇中談論到了資安的構面,但是實際的作法應該如何運作會在下面的幾個K書筆記本中與大家討論
即然談論到了資安,就不能不討論到資安管理(InformationSecurityMamagement)的內容
在TheOfficial(ISC)2GuidetotheCISSPCBK(Commonbodyof knowledge)中提到的
資訊安全管理應該包含:
GovernanceStructure(治理結構)、Policies(政策)、Standards(標準)、Procedures(程序)、Baselines(基礎線)、Guidelines(指引方針)
當然談到了資安治理那麼IT的安全需求呢(ITSecurityRequirements)?
對於一個完整的資安解決方案又該如何做起?
這個又是一種考量的基礎,在尋找一個IT安全結構下應該由兩種需求來考量:
FunctionalRequirements(軟體需求)、AssuranceRequirements(保障需求)
FunctionalRequirements:
Definesthesecuritybehaviorofthecontrolmeasure.Selectedbasedonriskassessment.
軟體需求:
控制措施運作狀態的特性。
基於風險評鑑的選擇。
一般而言,我們也可以用簡單的一句話來說明,保護你想保護的資訊資產。
AssuranceRequirements:
Providesconfidencethatsecurityfunctionisperformingasexpected.Criticalpartofthesecurityprogram.
保障需求:
確保信任預期中的安全機制。
部份關鍵的安全計劃。
簡單的說明就是:
確認你的安全機制真的安全。
FunctionalRequirements像是導入防火牆,建置安全區域,而AssuranceRequirements則像是測試BCP(BusinessContinuityPlan)
一般而言,應該要將稽核分為內外部,以確保其可用性。
當然,這兩種需求都是基於資訊安全的角度來看,而企業的需求呢?
每種不同的業態都有不同的需求,也隨著企業所專注的領域不同,
全機制也必須達到成本效益(Costeffective),安全則必須由上而下執行,若沒有得到上級主管的認同,那麼任何再強的安全措施則歸零。
IT安全治理則必須透過Leadership(領導階層),Structure(結構),Processes(處理流程)三方結合才能達成
當然IT安全治理也必須仰賴A.I.C.的需求、支持著企業的策略(Strategies)及目標(Objectives)
同時也必須包含若安全措施失效時確保SLA;服務水準協議(ServiceLevelAgreement)
IT安全治理的Structure(結構)也必須上行下效,上至董事長、高層主管,下至雇員、工讀生,當然它也分為內部及外部,內部治理像是人力資源(Humanresources)包含雇員協議、雇用程序、結束雇用程序…等等。
Processes(處理程序)可依照BestPractice(最佳建議)來執行,例如:
JobRotation(職務輪調)、Separationofduties(職責分工)、Leastprivilege(最小權限)、Mandatoryvacations(強制休假)、Brewe-Nashmodel(私下利益輸送)、Supervision(記錄及監視)、Securityauditsandreviews(安全稽核及複審)、I/Ocontrols(出入控制)、AntivirusManagement(防毒管理)…等等。
當然資訊安全管理系統也有最佳建議,例如ISO標準中的27000系列就是ISMS的最佳建議,也可稱為是Securityblueprints(安全藍圖),像是:
ISO-27000series、COBIT、ITIL、COSO…等。
K書筆記本-InformationSecurity&RiskManagement(03)
談到IT治理的觀念就不能不談到安全規劃(SecurityPlanning),當然安全規劃也必須照步就班一步一步來
資安計劃又分成三個等級:
Tacticallevelplanning(戰術性規劃),OperationalPlanning(作業性規劃),StrategicPlanning(戰略性規劃)
戰術性規劃主要是發展能達到事業單位標的的各種目標及其策略。
作業性規劃主要是發展部門或個別營運單位的目標及策略的過程。
戰略性規劃則是界定組織的使命評估各種外在內在的展發情況,使企業能夠以強處來掌握發展的機會,以避免外在的威脅,引導企業做有效的控制並達成目標。
上述每項規劃均必須規畫至SecurityPolicy中,並且每個安全等級計劃必須達到無縫細(Seamlesstransitionbetweenlevels)
一般的做法是由作業性的規劃向上發展至戰略性規劃,向下發展至戰術性規劃,由TacticalLevel建置至Strategic,缺一不可。
但是定義這些規劃時又應該如何規劃起呢?
首先先訂定各項規劃的(Policy)政策,有政策可依循,也才能以政策為指引的方向前進
在各項資訊安全的推動必須符合法律並不侵犯股東權益及業務的推展,定訂資訊安全策時可訂義包含Standards(標準)、baslines(基準)等規範
政策則分兩個層面Overarchingorganizationalpolicy(包含於組織條例的政策)及Functionalimplementingpolicies(包含導入的方法、工具的政策)
訂定任何資訊安全政策一定要Documentscompliance(簽署文件)及Complyingwithlaws(動用決策力來分權)。
而任何政策則必須由Standards(標準),Baslines(基礎),Procedures(程序),Guidelines(指引方針);簡稱SPGB,所支持著,其中Guidelines是不具有強制性。
對於現在的環境來說建置資訊安全是任何一個公司在成長都必須經歷,是企業的現在及未來透過建立對安全的文化
也是企業認定各項資產真正的價值並且了解必須控制的風險及威脅,也因為企業必須有業務才有未來,資安並不是維一
只是透過資安讓公司在未來更具有竸爭力,因此在訂定資安政策時與業務發展不可衝突。
Standards是指企業要用那種安全風險管理標準,那種防毒產品或是那種Token的標準,並不是指要引用何種ISO標準。
Baselines是指以那種可接受的最低安全等級來保護資訊資產的設備或措施,例如連回企業僅能接受VPN,及IDS的組態。
Procedures是指何種方式達成處理目標,因此程序必須StepbyStep(一步一步來);BCP(BusinessContinuityPlanning)的設計及運作。
Guidelines是支持Policy實行中不具有強制性的,是一種指引以達成目標的最佳建議;ISO-27002,ITIL(ITInfrastructureLibaray)。
在Policy實行時必須很明確的定義其Scope(範圍)及各類的Standards(標準),當然,做資安總不能毫無止盡,因此必須界定一個安全領域
在進入到這個安全領域之內就必須遵守其資安環境的規範及政策,最終將整個企業納入到資訊安全範圍內,以提升企業的競爭力。
K書筆記本-InformationSecurity&RiskManagement(04)
從IT的建置到Policy一路到了SPGB,更底層的,必須談到有關企業內對於資安的RolesandResponsibilities;R&R(角色及職責)
畢竟,資訊安全不可能靠一個人就可以達成,必須由Group(群組)或是Team(小組)來策進、推動
那麼在資安的角度來看,該會有那一些人來執行、那些人來推動安全文化,教育員工具有安全的概念
R&R主要的目的除了介定所有資訊安全工作內容以外,更重要的就是定義了可規責性
在一般的情況之下,會將資訊安全R&R粗略的分為:
ExecutiveManagement(執行經理)、InformationSystemSecurityprofessional(資訊系統安全專家)
、Owners(擁有者)、Custodians(托管者)、Auditor(稽核者)、User(使用者)、IS/ITFunction。
Executivemanagement必須要能承諾並推動資訊安全的政策、目標、並且承擔所有保護資產的責任,並且要能同意接受風險的權衡。
ISSP則有責任去設計、規劃、導入、管理及覆核企業的SecurityPolicy及SPGB…等等。
Owners則為別擁有Data(資料)、System(系統)的關鍵角色,
DataOwners則必須負擔起InformationClassification(資訊分類)、並分配資訊予Custodians,並且依循著Securitypolice來執行安全作業,
針對資料的敏感、緊急層度來給予授權的使用者以needtoknow(僅知原則)為基礎給予適當的權限。
※Needtoknow可解決A.I.C.中的I2可能引發的問題。
Custodians受到Owners的管理,owners受到ISSP的管理,而ISSP受到Executivemanagement的管理。
systemowners則是負責分配使用系統的使用者權限並且掌控著Systemchangecontrols系統變更控制,備份及災後回復…等職責。
Custodians則必須受到Owners的信任有能力確保資訊安全,並且必須接受各項教育訓練,以免受到攻擊而造成資訊的洩露
例:
避免因社交工程而洩露資訊資產的弱點或是成為利用的弱點。
Auditor確保了SecurityPrograms在執行過程中有受到正確控制,在一個流程之中找出有問題的節點,並且提出改善流程的方法,以確保整個資訊系統保持安全
※informationsystemauditor確保了FunctionalRequirement的正確運作,Auditor且確保AssuranceRequirement的正確執行。
User是責任是使用任何資源時,均需承諾使用適當的資源,並且任何程序均需遵守保持資產的A.I.C.。
IS/ITFunction必須依循Securitypolicy並且以最合適的BestPractices(最佳建議)來建置系統、網路、環境。
前面的各種職務均說明了每個角色所需的職責,但人呢?
人才是主導資安的成敗的因素,因此在人員的招募時應該如何來執行
才能由人為基礎發展資訊安全的建置,人員招募時除了讓應徵人員了解其工作職掌職責外,也必須要對應徵人員做安全的確認
依照每種職務不同給予不同的Clearanceslevel(機密等級)
人員的安全確認包含有:
BackgroundChecks/Securityclearances(到職確認;身家確認)、VerifyReferencesandEducationalRecords(確認學歷)、SignEmploymentAgreements(簽署雇員合約)
Backgroundchecks確認所需的或是該職務所必須有的的基本門檻、職能,例如必須檢查所檢附於履歷上的各項專業認證證書及職務所需專業技能證明…等
以確保該員是個有能力且可被信賴的雇員。
VerifyReferencesandEducationalRecords是確認該職務所需的基本學歷是否符合該職所需,並繳驗學歷證明供企業存查。
SignEmploymentAgreements主要是要讓應徵者了解企業的各項規定,並且在讀完後應徵者同意後簽名代表願意遵守企業內各項規範及職務保密條款。
當然人員是安全建置的基本要素,但離職員工往往是資訊安全的最大威脅之一
人員安全必須透過ConsultthehumanresourcesDepartment(與人力資源部門商議)、LowLevelChecks(低階確認)、TerminationProcedures(終止雇用程序)來控制
當員工是友善的離職時透過面談了解原因後重新宣讀保密條款後同意簽署離職,繳回公物及接交後依照企業人員管理程序辦理離職
不友善的離職則必須立即繳交所有公物並終止雇用、停權,並由實體安全維護人員帶離安全領域之外,雇員私人用品則由上司主管整理後由實體安全維護人員轉交予終止雇員
雇員屬於內部安全控制部份,但合作伙伴呢?
是否也有其安全考量呢?
ThirdPartyConsiderations(第三方需要考慮的事)每個組織結構均有不更,而每個與企業來往的外部人員也應該要做為設計安全架構的考慮中
一般而言分為Vendors/supplies(產品銷售/支援人員)、Contractors(約聘雇員)、TemporaryEmployee(暫時雇員)、Customers(客戶)
Vendors/supplies通常會針對企業系統做維護或更新,必須要求配合安全政策。
Contractors像是由vendors或是supplies所雇用的駐點人員,可以有少部份的存取系統的權限,必須同時遵守企業內的安全政策及原企業的管理。
TermpoaryEmployee則是最難控制的不定因素,通常暫時雇員與企業較無直接關係,且對企業亦無忠誠可言,有可能擴大雇用的風險。
Customers則是對企業有更多的苛求、要求更多的服務,也有可能擴大更多安全挑戰。
以上對於外部雇員可能產生的問題可以透過Needtoknow及LeastPrivilege及劃分安全區域,以保障公司較核心的機密資料,亦達成可接受的最小風險。
K書筆記本-InformationSecurity&RiskManagement(05)
經過了選人、用人,找到一個對的人做適當的工作,但是在人力使用的過程中又和安全有何相關呢?
如果今天企業是用了一個不對的人,而且是有意的要損壞企業的人,那麼對於安全這個架構而言
就是最大的打擊了,當然用人也有安全的控制方法,一般來說對於人員的應用有分為職務面、權責面
若是一個重大且機密的工作全完托負給一個人,企業本身是否也要承擔著有可能這個人是會洩露的風險?
因此對於重大的機密也必須以其它的控制方法來控制資訊本身的安全:
1.JobDescriptions(工作說明書):
訂義了角色及職責,工作說明書必須述明各項職責、任務需完整規範。
2.SeparationofDuties:
也叫Segregationofduties、Two-manControl、Multi-partycontrol,
最主要的是要將一個重要的工作分給多個人來處理,以達成相互監視,也加深了入侵者的難度,
但是有沒有可能這些分工的人會共謀呢?
?
?
這種控制法可以避免A.I.C.中的I2(確保授權都做未經授權的事)。
3.JobRotation(職務輪調):
因為職責分工還是有共謀的可能性,但是透過職務輪調讓每一次共謀的可能性降低,
例如像運鈔車的人員,當天上工時才知道開車、監鈔及保全的人員是何人,加深了共謀的難度,也確保了重要資訊資產的安全。
4.LeastPrivilege(最小權限):
最小權限所使的就是當一個沒有權限的人要執行某個工作時,完成這項工作所需要的權限,
僅僅能完成這份托付工作所需要的權限即是最小權限。
5.NeedtoKnow(僅知原則):
僅知原則是配合最小權限所施行的控制措施,意指在完成某項工作所需要知道的內容。
※注意喲~~~!
本項控制並不等於最小權限。
6.ManadatoryVacations(強制休假):
強制休假是對於事件調查的一個手段,在很多狀況之下,當有人員作未經授權的工作時,
對於有問題的流程會適時的做保護,因此當調查在一個有問題的內容時,透過強制休假來調查、發現弊端。
但畢竟企業必須靠有業務才能存活下來,因此對於資安的推行並不是唯一,但企業中的資訊安全又必須由上至下落實
這個時侯就必須透過資安文化的建立,對於不同的職等、層級人員也要給予不同的資訊安全的教育、訓練
因為人員的不同有不同的教育方式,而這些教育方式分為:
Awareness,Training,Education.
Awarenesstraining:
一般針對的是非資訊人員,主要是要讓我們的雇員們了解到我們的安全政策…等,能對於資訊安全有基本的了解、
例如個人資訊、職務資訊、社交工程…等等的資安問題及議題,對資安有基本的應變。
JobTraining:
工作訓練是針對資訊安全工作人員所需要的工作技能,投入所需的訓練,並且確保各項工作內容所需要的工作技能,
得以得到完整的訓練,並且得以勝任資訊安全工作。
ProfessionalEducation(專業教育):
與工作訓練最大的不同是在於以教育資訊安全相關決策為主,對象多為管理階層或是其候選人為主。
即然有了資訊安全的相關教育、訓練,那麼什麼是好的訓練方式呢?
當然對於一個好的教育訓練有幾個要素:
1.選擇恰當的議題。
2.選定範圍及內容。
3.選擇適合的接受教育、訓練的人員。
呼~~~!
一口氣說了這麼多,總算該進入到RiskManagement(風險管理),這個議題是Jason最喜歡的一個議題
任何東西都離不開風險管理,只要是事情進入到開始的階段,一定都要開始選擇控制風險的控制措施
不管是那種理論,都分不開…待續。
K書筆記本-InformationSecurity&RiskManagement(06)
RiskManagement(風險管理)是資訊安全最重要的環結之一,每種AccessControl(存取控制)者必須依照風險管理、BIA(商業衝擊分析)…等
來決定資訊資產需要何種保護、需要何種機密性保護,因此在風險管理可以說是左右著資訊資產的各項存取措施。
在風險管理當然也有各種標準、建議做法…等,不乏有NISTSP800-30、OCTAVE、ANZ4360…等
風險管理可以協助管理者視別及簡化總風險,並且選擇可以減輕風險的策略,並且預設好可接受的殘餘風險等級,
並且在企業內導入完整的風險管理處理流程,並持續的運作及改善,將企業引導至向上向善發展的途徑上。
風險管理中每一個Owners擁有價值(Value)的資產(Assets),資產會有弱點(Vulnerabilities),有弱點就有可能有潛在的威脅(ThreatAgents),
當潛在的威脅成為威脅(Threat),威脅利用資產的弱點對資產成風險(Risk),擁有者為了保護資產導入控制風險的措施(Safeguards)
控制措施保護了有弱點的資產降低了資產的風險,風險成為了residualrisk(殘餘風險),但是風險不可能為零,只能降低到可以接受的範圍。
ISO-27001中也明確的規範出針對資訊資產必須要經由風險評估(RiskAssessment)、風險分析(RiskAnalysis),進而得知資訊資產的價值及其風險承受的脆弱度
在SP800-30規範之中,將風險評鑑分為9個步驟:
1.SystemCharacterization(系統描述):
針對風險評估定義其範圍;硬體、軟體、人員…等。
2.ThreatIdentification(威脅的視別):
目的是每個資訊資產可能的威脅來源。
3.VulnerabilityIdentification(弱點的視別):
目的是列出可能被威脅利用的弱點。
4.ControlAnalysis(控制分析):
置入分析後的控剄或是計劃,將可能拿來控制弱點產生的威脅。
5.Likeilhooddetermination(可能性測定):
將分析出的弱點並給予威脅一個大略可能造成衝擊的值(低、中、高)。
6.ImpactAnlysis(衝擊分析):
針對每個不同機密、敏感等級的資產,分別依照衝擊的等級透過Quantitative(數值、定性分析)或是Qualitative(數量、定量分析)來分析出資產的價值及可能對企業造成的衝擊。
7.Risk
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISSP K笔记 笔记