文档介绍:第二章信息安全治理与风险管理
安全的目标是对数据和资源提供可用性、完整性和机密性保护。
脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷。
威胁是某人或某物有意或无意地利用某种脆弱性并导致资产损失的可能性。
风险是威胁主体利用脆弱性的可能性以及相应的潜在损失。
对策,也叫防护措施或者控制措施,能够缓解风险。
控制可以是行政性的、技术性的或物理性的,能够提供威慑性、防御性、检测性、纠正性或恢复性保护。
补偿控制是由于经济或业务功能性原因而采用的备选控制。
CobiT是控制目标架构,允许IT治理。
ISO/IEC 27001是建立、实施、控制和改进信息安全管理体系的标准。
ISO/IEC27000系列源自BS7799,是国际上有关如何开发和维护安全计划的最佳实践。
企业架构框架用来为特定开发架构和呈现视图信息。
信息安全管理体系(ISMS)是一套策略、流程和系统的集合,用来管理ISO/IEC 27001中列出的信息资产所面临的风险。
企业安全架构是企业结构的子集,描述当前和未来的安全过程、体系和子单元,以确保战略一致性。
蓝图是把技术集成进入业务流程的功能性定义。
企业架构框架用来构建最符合组织需求和业务驱动力的单一架构。
Zachman是企业架构框架,SABSA是安全企业架构框架。
COSO是治理模型,用来防止公司环境内出现欺诈。
ITIL是一套IF服务管理的最佳实践。
六西格玛用来识别进程中的缺陷,从而对进程进行改进。
CMMI是一个成熟度模型,使进程逐渐以标准化方式改进。
企业安全架构应该配合战略调整、业务启用、流程改进和安全有效性等。
NIST 800-53的控制类别分为:技术性的、管理性的和操作性的。
OCTAVE是团队型的、通过研讨会而管理风险的方法,通常用于商业部门。
安全管理应该由顶而下进行(从高级管理层向下至普通职员)。
风险可以转移、规避、缓解和接受。
威胁X脆弱性X资产价值=总风险。
(威胁X脆弱性X资产价值)X控制间隙=剩余风险。
风险分析有下列4个主要目标:确定资产及其价值,识别脆弱性和威胁,量化潜在威胁的可能性与业务影响,在威胁的影响和对策的成本之间达到预算的平衡。
失效模式及影响分析(Failure Modes and Effect Analysis,FMEA)是一种确定功能、标识功能失效以及通过结构化过程评估失效原因和失效影响的方法。
故障树分析是一种有用的方法,用于检测复杂环境和系统中可能发生的故障。
定量风险分析时,了解不确定性程度非常重要,因为它表明团队和管理层对于分析数据的信任程度。
自动化风险分析工具可以减少风险分析中的手动工作量。这些工具用于评估将来的预期损失,并计算各种不同安全措施的好处。
单一损失期望X年发生比率=年度损失期望(SLE x ARO=ALE)。
定性风险分析使用判断和直觉,而不是数字。
定性风险分析使富有经验的、接受过相关教育的人基于个人经验来评估威胁场景并估计每种威胁的可能性、潜在损失和严重程度。
Delphi技术是一种群体决策方法,此时每位成员都可以进行匿名沟通。
选择正确的防护措施以减弱某个特定的风险时,必须对成本、功能和效用进行评估,并且需要执行成本/收益分析。
安全策略是高级管理层决定的一个全面声明,它规定安全在组织机构内所扮演的角色。
措施是为了达到特定目标而应当执行的详细的、分步骤的任务。
标准指定如何使用硬件和软件产品,并且是强制性的。
基准是最小的安全级别。
指南是一些推荐和一般性方法,它们提供建议和灵活性。
工作轮换是一种检测欺诈的控制方法。
强制性休假是一种有助于检测欺诈活动的控制方法。
责任分离确保没有人能够完全控制一项活动或任务。
知识分割与双重控制是责任分离的两种方式。
数据分类将为数据分配优先级,从而确保提供合理的保护级别。
数据所有者指定数据的分类。数据看管员实施和维护控制措施,以强化集分类层级。
安全具有功能需求,它定义一个产品或系统的期望行为;此外还具有保证要求,它确定已实现产品或整个系统的可靠性。
管理层必须定义安全管理的范围和目的,提供支持,指定安全团队,委托职责,以及查看安全团队发现的结果。
风险管理团队应当包括来自组织机构内不同部门的人员,而不应该只是技术人员。
社会工程是非技术性攻击,指操纵某人向未获授权的个人提供敏感数据。
个人身份信息(PII)是指身份数据的集合,可被用于身份偷窃和金融诈骗,因此必须高度保护。
安全治理是提供监督、问责和合规的框架。
ISO/IEC 27004:2009是信息安全变量管理的国际化标准。
NIST800-55是信息安全绩效考核的标准。
第三章访问控制
访问是主体和客体之间