All In One - 第1章 安全与风险管理 (三)

1.隐私

隐私处理方法

• 通用的方式是水平方法，他影响所有行业，包括政府
• 行业规章是垂直方法，它为特定行业制定要求

隐私处理的目标

• 主动寻求保护公民的个人可标识信息（Personal Identifiable Information,PII）
• 在政府和业务的需求与因安全问题而考虑收集和使用PII之间，主要寻求平衡

隐私需求的增长

• 数据聚合和检索技术的发展
• 全球化（经济、业务）
• 汇集技术的进步：收集、挖掘、分发敏感信息

 

隐私相关法律法规

• Sarbanes-Oxley法案（SOX，Sarbanes Oxley Act）
• 健康保险便利及责任法案HIPAA, Health Insurance Portability and Accountability Act
• Gramm-Leach-Bliley法案（Gramm Leach Bliley Act of 1999）
• 计算机欺诈与滥用法案(Computer Frand and Abuse Act)
• 联邦隐私法（Federal Privacy Act of 1974）
• Base II
• Personal Information Protection and Electroic Documents Act
• 支付卡行业数据安全标准（PCI DSS，Payment Card Industry Data Security Standard）
• 联邦信息安全管理法案（Federal  Information Security Managament Act of 2002）
• 经济间谍法案(Economic Espionage of 1996)
• 美国爱国者法案(USA PARTIOT Act 2001)
• GDPR
• 经济与临床健康方面的健康信息技术法案（HITECH,Health Information Technology for Economic and Clinical Health Act）

员工隐私问题

隐私保护方式

• 政府法规 FPA、VA ISA、USA PARTRIOT
• 公司法规 HIPAA、HITECH、GLBA、PIDEDA
• 自我约束 PCI DSS
• 个人用户 口令，加密；意识

义务及后果

• Due care 应有的关注、谨慎考虑、适度关注 偏向实际行动
• Due Diligence 应尽的职责、恪尽职守、适度勤勉 偏向想

2.数据泄漏（Data Breaches）

• 安全事件，使未授权人员对保护信息的机密性或完整性构成实际或潜在的危害
• 会触发相关法律法规：HIPAA、HITECH、GLBA、Economic Espionage of 1996、GDPR

3.策略、标准、指南、基线、过程

安全策略层次模型

方针（策略）（policies）

• 策略链最高层，有高级管理层发布、关于信息安全最一般性的声明，策略的实施依靠标准、指南、程序

标准（standards）

• 强制性，规定了在组织范围内强制执行的对特定技术和方法的使用，满足通用性需求

指南（guidelines）

• 建议性，加强系统安全的方法，满足定制化需求

基线（baselines）

• 一个用于在将来变更时进行比较的时间点，满足方针要求的最低级别的安全需要，参考点

过程（Produres）

• 达到特定目标而执行特定任务的详细的、份步骤的任务

实施（Implementiation）

• due care 安全策略、标准、指南、基线、程序写入文档-审计要求
• due diligence 安排培训，使得员工了解上述内容并告知责任

4.风险管理

风险定义：（安全环境下）破坏发生的可能性以及破坏发生后的衍生情况

风险管理：识别并评估风险，讲风险降低至可接受级别并确保能维持这种级别的过程

1.全面的风险管理

NISP SP 800-39:

• 组织层面  关注整个业务的风险
• 业务流程层面 处理对组织的主要功能有风险的，定义组织与合作伙伴或客户之间的信息流
• 信息系统层面 从信息系统的角度解决问题

2.信息系统风险管理

• 信息系统风险管理（ISRM）策略
• ISRM团队

3.风险管理过程

NIST SP 800-39

风险框架

评估风险

响应风险

监控风险

4.威胁建模

定义：描述威胁源对资产可实施的不利影响的过程

4.1  脆弱性

1.信息：静态数据、传输中的数据、使用中的数据

2.过程

3.人员：社会工程、社交网络、密码

4.2 威胁 

内部威胁+外部威胁

4.3 消减技术

前提攻击树存在<-消减分析技术：减少必须考虑的攻击数量，减少攻击带来的威胁，确定减轻或排除我们确定的攻击方式

4.4 风险评估和分析

风向评估方法是能够识别脆弱性和威胁以及评估可能造成的损失，从而确定如何实现安全防护措施

风险评估之后才能进行风险分析

风险分析的目标：

1.标识资产和他们对于组织的价值

2.识别脆弱性和威胁

3.量化潜在威胁的可能性及对业务的影响

4.在威胁的影响和对策的成本之间达到预算的平衡

成本/收益比

5.风险分析团队

6.信息和资产的价值、构建价值的成本

7.识别脆弱性和威胁

8.风险评估方法：

关注IT威胁和信息安全风险的风险评估方法

NISP风险管理办法：计算机系统和IT安全问题

FRAP-便利的风险分析过程：用于评估单个系统或单个、应用程序

OCTAVE（操作性、关键威胁、资产和脆弱性评估）：用于评估所有系统、应用程序和组织内的业务流程

AS/NZS 4360 评估公司的财务、资本、人员安全和业务决策风险，从商业角度关注公司的健康状况

ISO/IEC 27000 侧重于IT和较软的安全问题

失效模式和影响分析FMEA是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法，常用于产品开发和运营环境中。

CRAMM中央计算和电信机构分析与管理方法，定义目标、评估风险和标识对策，每个过程都有自动化工具格式。

9.风险分析方法

定量分析方法

定性分析方法

混合分析方法

10.自动分析方法

手动收集信息工作量巨大，自动风险分析工具，收集的数据可以重复使用

风险分析的步骤：

不确定性：对估计却缺乏信心的程度。

单一损失预期SLE（Single Loss Expectancy）：某个事件赋予的货币价值

年度损失预期ALE（Annual Loss Expectancy）：一年内所有事件造成的货币损失

暴露因子EF（Exposure Factor）：某种资产已被发生的风险损坏所造成损失的百分比

年发生比率ARO（Annualized Rate of Occurrence）：一年时间内发生特定威胁的预计频率

SLE=资产价值*EF

ALE = SLE*ARO

11.定性风险分析

定性分析技术包括判断、最佳实践、直觉和经验。

定性分析的收集数据方法：Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访

12.保护机制-对策、总风险与剩余风险

总风险-对策=剩余风险

13.处理风险

转移：买保险、转移风险给保险公司

规避：终止引入风险的活动

缓解：风险被降低至可接受的级别

接受：公司接受自己面临的风险，控制对策的成本大于收益

14.外包

自己从事核心业务功能，其他功能外包

2.风险管理框架

1.框架

NISPT RMF（SP 800-37r1）

ISO 31000:2009

ISACA IT风险

COSO企业风险管理-集成的框架

2.NIST RMF的流程6步骤：

（1）信息系统 的分类

（2）安全控制的选择

（3）安全控制的实现

（4）安全控制的评估

（5）信息系统的授权

（6）安全控制的监督

 

3.业务连续性与灾难恢复

术语：

DRP：灾难恢复计划，更多的是面向IT

BCP：业务连续性规划，更多的是面向业务

BCM：业务连续性管理，包含BCP和DRP

1.标准和最佳实践

NISP 800-34业务连续性规划指南:

（1）制定业务连续性规划策略声明

（2）进行业务影响分析（Bussiness Impact Analysis，BIA）

（3）制定预防性控制方法

（4）制定连续性战略

（5）制定信息系统应急计划

（6）确保对计划进行测试

（7）维护计划

ISO/IEC 27031:2011

ISO/IEC 22031:2012

业务连续性协会的优秀实践指南（Good Practice Guidelines，GPG）BCM实践分为技术+管理的实践

DRI国际协会的业务连续性规划人员专业实践

2.使BCM成为企业安全计划的一部分

盈利组织

非盈利组织-政府、军事、非营利性组织

3.BCP项目的组成

BCP委员会=业务部门+高级管理人员+IT部门+安全部门+通信部门+法务部门

BCP项目组成：

1.项目范围

2.BCP策略

3.项目管理

4.业务连续性规划要求

5.业务影响分析

6.风向评估

7.风险评估评价和流程

8.资产赋值

9.相互依存性

4.人员安全

1.招聘实践

签署NDA

背景调查

2.解雇

3.安全意识培训

一个安全意识培训计划：通常包含管理层、职员、技术人员

4.学位或证书匹配

5.安全治理

安全治理是一个框架，组织的安全目标由高级管理人员设置并传达出来

度量：对安全规划评估有效性 ISO/IEC27004:2009

6.道德

1.ISC2的道德

1.保护社会、公共利益，必要的公共信任和信心

2.行为得体、诚实、公正、负责和遵守法律

3.为委托人提供尽职的和胜任的服务工作

4.发展和保护职业声誉

2.计算机道德协会

1.不得使用计算机伤害他人

2.不得干预他人的计算机工作

3.不得窥视他人的计算机文件

4.不得使用计算机进行盗窃

5.不得使用计算机提交伪证

6.不得复制或使用尚未付款的专利软件

7.在未获授权或未提交适当赔偿的前提下，不得使用他人的计算机资源

8.不得盗用他人的知识成果

9.应该考虑你所编写的程序或正在设计的系统的社会后果

10.在使用计算机时，应考虑尊重他人

3.互联网架构研究委员会IAB

IAB（Internet Architecture Board）用于互联网设计、工程、管理的协调委员会

4.企业道德计划

企业制定道德声明