CISSP备考系列之资产价值，策略与角色[10-44]

最新推荐文章于 2023-07-24 04:00:00 发布

weixin_33971130

最新推荐文章于 2023-07-24 04:00:00 发布

阅读量158

点赞数

原文链接：http://blog.51cto.com/simon/318243

版权

【CISSP是小众，与MCSE，CCNA一类的不同，资料很少。本人在准备CISSP考试。总结一些考点，供大家参考（内容主要是《CISSP认证考试权威指南（第4版）》的读书笔记，感谢作者和译者，替他们宣传一下。）】

雇佣策略与实现

在任何安全解决方案中，人都是最薄弱的环节。

人总能发现避免受到控制，回避或消除控制以及禁用控制的方法。

雇佣新职员的步骤：

1，创建工作描述（JD）

* 责任分离权力分隔，防止共谋（Collusion）

* 工作职责细化权限，最小权限原则

* 岗位轮换人员流动可以减少伪造，数据更改，偷窥，阴谋破坏和信息滥用的风险

2，筛选候选人

* 背景调查

* 安全检查

3，雇佣和培训合适的人选。

* 组织的规则和限制

* 安全策略，可接受的使用和行为准则

* 工作描述，破坏活动及后果

* 保密协议NDA（Nondisclosure Agreement）

* 竞业禁止协议NCA（Noncompete Agreement）

4，解雇员工

大多数情况下，应该在通知员工被解雇的同时或之前就禁止或删除此员工对系统的访问权限。

安全角色

高级管理者批准策略

安全专家制定和实现安全策略

数据拥有者通常会将实际的数据管理任务委派给数据管理员

数据管理员执行必要的措施为数据提供安全保证，如备份数据，检查数据完整性，部署安全解决方案以及分类管理数据存储

用户具有数据访问权限的人

审计人员测试和验证安全策略是否被执行。

编制安全管理计划

1，采用自上而下的方式进行

2，如果没有高级管理层的批准，最好的安全计划也是无用的。

3，应该制定三种计划

* 战略计划相当稳定的长期计划，定义组织的目的，使命和目标。每年更新，五年有效。

* 战术计划战略计划的具体实现，有效期为一年，规定和调度实现目标所需的任务。

* 操作计划短期计划，非常周祥。包括：资源分配，预算要求，人员分配，进度安排等内容。

策略，标准，基准，指导原则及措施

安全策略（Security Policy）规范化的最高层次。通过文档定义组织机构所需的安全范围。安全策略可分为三个大的类别：规章式策略（Regulatory Policy），建议式策略（Advisory）和信息式策略（Informative）

安全标准，基准和指导原则（Standards，Baselines，Guidelines）

安全措施（Procedures）

风险管理

达到风险管理主要目标的过程称为风险分析（Risk Analysis）

相关术语：

1，资产环境中应该加以保护的任何事物。

2，资产估值包括实际成本和非货币性支出。

3，威胁（Threats）任何可能发生的，为组织或某种特定资产带来不希望或不需要的结果的事情

4，脆弱性防护措施或对策的缺乏或弱点被称为脆弱性。

5，暴露（Exposure）由于威胁而造成的资产损失。

6，风险（Risk）某种威胁利用脆弱性并导致资产损害的可能性

7，防护措施（Safeguard）消除脆弱性或对付一种或多种特定威胁的方法

8，*** 威胁主体对脆弱性的利用

9，突破（Breach）指安全机制被威胁主体绕过或破坏，当突破和***结合时，就发生***或***事件。

风险评估方法

1，风险分析（Risk Analysis）

2，资产估值（Asset Evaluation）

3，评估方法

* 定量的（Quantitative）真实的货币价值

* 定性的（Qualitative）主观的和无形的价值

定量分析价值函数

概念	公式
暴露因子（EF）	%
单一损失预期（SLE）	SLE=AV*EF
年发生比率（ARO）	# Per Year
年损失预期（ALE）	ALE=SLEARO ALE=AVEF*ARO
防护措施的年度成本（ACS）	$ Per Year
防护措施的价值或收益	(采用对策前ALE-采用对策后ALE)-ACS