1、实现安全治理的原则与策略
(1)基本概念
- CIA
- 机密性(confidentiality)
确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体 - 完整性(integrity)
防止非授权篡改;防止授权用户不恰当修改信息;保持信息内部一致性和外部一致性;- 内部一致性:存储在系统里的冗余信息要保持一致
- 外部一致性:存储在系统里的信息和外部真实情况要保持一致
- 可用性(availability)
确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时的访问信息 - 相反三元组
- 泄露(Disclosure)
- 篡改(Alteration)
- 破坏(Destruction)
- 机密性(confidentiality)
- 保护机制CIA的相关技术:
- 机密性
- 数据加密(整个磁盘、数据库加密)
- 传输数据加密(IPsec、SSL、TLS、SSH)
- 访问控制(物理和技术控制)
- 完整性
- 哈希(数据完整)
- 配置管理(系统完整)
- 变更控制(过程完整)
- 访问控制(物理和技术控制)
- 软件数字签名(代码签名,主要作用保护代码的完整性,不是抗抵赖)
- 传输CRC检验功能(可以用于网络传输的多个层)
- 可用性
- 冗余磁盘阵列(RAID)
- 集群
- 负载均衡
- 冗余的数据和电源线路
- 软件和数据备份
- 磁盘映像
- 位置和场外设施
- 回滚功能
- 故障转移配置
- 机密性
- 分层控制
纵深防御:多种控制手段结合,一个控制失效不会导致系统或数据暴露 - 抽象
- 相类似的元素被放入组、类或角色中,作为一个集合被指派安全控制、限制或许可
- 提高效率、简化安全
- 数据隐藏
将数据存放在主体无法访问或读取的逻辑存储空间以防止数据被泄露或访问。 - 安全边界
安全边界是具有不同安全要求或需求的任何两个区域、子网或环境之间的交叉线。安全边界存在于高安全区域和低安全区域之间,例如LAN和英特网之间。识别网络和物理世界中的安全边界非常重要。一旦确定了安全边界,就必须部署机制来控制跨该边界的信息流。
(2)安全治理原则
- 战略一致性
- 业务战略驱动安全战略和IT战略
- 安全管理计划
- 组织的信息安全建设应该按计划行事,安全管理计划应该自上而下
- 职责:
高层定义组织安全方针
中层将制定安全策略、标准、基线、指南和程序,并监督执行
业务经理和安全专家负责实施安全文件中的配置
最终用户负责遵守组织的所有安全策略 - 类型:
战略计划,长期计划,例如5年,相对稳定,定义了组织的目标和使命
战术计划,中期计划,例如1年,对实现战略计划中既定目标的任务和进度的细节描述,例如雇佣计划,预算计划等
运营计划,短期的高度细化的计划,经常更新,每月或每季更新,例如培训计划,系统部署计划等
- 组织的流程
- 变更管理
- 数据分级
- 目的:说明需要为每种数据集设定的机密性、完整性和可用性保护等级
- 根据信息敏感程度,公司采取不同的安全控制措施,确保信息受到适当的保护,指明安全保护的优先顺序(同时避免过度保护)
- 组织角色与职责
- 最高管理层(CEO、CFO、COO)
- 决策层或最高管理层全面负责信息安全,是信息安全的最终负责人
- 规划信息安全,明确目标,委派信息安全责任
- 确定方针为信息安全指导方向
- 为信息安全活动提供资源
- 重大事项做出决策
- 跨部门协调
- 信息安全专家
- 受高级管理层委派(通常是CIO)负责实施和维护安全
- 设计、实施、管理和复查组织的安全策略、标准、指南和程序
- 协调组织内部各单位之间的安全相关的交互
- 首席信息官,CIO
- 监督和负责公司的日常技术运营
- 首席安全官,CSO
- 确保业务信息资产得到妥善保管
- 扮演内部信息安全协调和促动的角色
- 理解组织业务目标,引导风险管理过程
- 确保业务与可接受风险之间达成恰当的平衡
- 具体职责:
为信息安全活动做预算
开发策略、程序、基线、标准和指南
开发安全意识程序
参与管理会议
协调内部与外部的审计
- 安全指导委员会
- 成员来自:高级管理层、IT管理者、业务部门和职能部门负责人、信息安全官等
- 至少每季度开一次会议,并有明确的议程
- 职责:
定义组织机构可接受的风险级别
确定安全目标和战略
根据业务需求决定安全活动的优先级
审查风险评估和审计报告
监控安全风险的业务影响
审查重大的安全违规事件
批准安全策略和计划的任何重要变更
- 审计委员会
- 由董事会任命,帮助审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性
- 负责:
公司财务报表以及财务信息的完整性
公司内部控制系统
独立审计员的雇佣和表现
内部审计功能的表现
遵守与道德有关的法律要求和公司策略
- 风险管理委员会
- 从整体上了解该组织的风险并且协助高层管理者把风险降到可接受的程度
- 研究整体的业务风险,而不仅仅是IT安全风险
- 最高管理层(CEO、CFO、COO)
- 安全管控参考框架
- COBITCOBIT是关于IT治理和IT管理相关控制流程的框架。
- IT服务管理,ITIL(最佳实践框架)
- ITIL是IT服务管理的最佳实践
- IT服务管理标准(ISO/IEC20000)
- 五大阶段
服务战略
服务交付
服务运营
持续服务改进
- 信息安全管理
- 信息安全管理成败取决于两个因素:技术和管理
- ISO/IEC 27000系列(信息安全管理控制框架)
最早是英国标准协会BSI制定的信息安全标准,目前已成为国际标准
ISO27001是信息安全管理体系建设
ISO27002是信息安全管理体系最佳实践
ISO27003是信息安全管理体系实施指南
ISO27004是信息安全管理测量
ISO27005是信息安全风险管理 - 信息安全管理模型PDCD模型:
Plan,计划:根据风险评估结果、法律法规、组织业务运作自身需求来确定控制目标与控制措施
Do,实施:实施所选的安全控制措施
Check,检查:对安全措施的实施情况进行合规性检查
Action,措施:对检查的结果采取措施,改进安全状况
- COSO 内部控制-整体框架
- 1985年美国多家机构成立全国舞弊性财务委员会即tread-way委员会,COSO是tread-way委员会赞助机构成立的私人性质组织,1992年公布《内部控制-整体框架》(也称COSO框架)。
- COSO定义了满足财务报告和披露目标的五类内控要素:
控制环境
风险评估
控制活动
信息与沟通
监控 - COSO内控模型已经被采纳称为很多组织应对SOX404法案合规性的架构
- Zachman框架
企业框架鼻祖 - TOGAF企业框架
ADM,开发和维护架构的模型 - SABSA安全架构框架
- NIST 800-53安全控制参考
美国NIST国家技术标准局发布的“联邦信息系统安全与隐私控制”
- Due Care(DC,应尽的关心、谨慎考虑、应尽的关注、尽职关注、适度关注、适度慎视)
Due Diligence(DD,尽职审查、恪尽职守、尽职调查、尽职勤勉、应尽勤勉、适度勤勉)- 负责、谨慎、明智、有能力的人(DC和DD都是)
- 《OSG8》
- Due Care:使用合理的专注保护组织的利益制定正式的安全框架,包括安全策略、标准、基线、指南和程序
- Due Diligence:具体的实践活动将安全框架持续应用到组织的IT基础设施上
- 《讲义》
- Due Care:采取合理的防范保护措施
- Due Diligence:在日常管理中尽到责任(diligence勤勤恳恳)
- Due Diligence是对Due Care的执行
- 《OSG9》
- Due Care:应用的谨慎是指开展个别活动来维持尽职调查工作
- Due Diligence:尽职调查是制定计划、政策和流程来保护组织的利益
- 《CBK AIO》
- Due Care:适度关注是指负责任的行动而且“做正确的事”如果一个公司没有充分的安全策略、必要的应对措施,以及适当的安全意识宣贯,就没有实践适度关注许多时候必须实践适度勤勉DD(数据收集),以便采取适当的关注DC(谨慎的行动)
- Due Diligence:适度勤勉是收集必要的信息以便进行最佳决策活动的行为信息安全方便、应该进行类似的数据收集,在接收风险前,应充分了解风险
- DD识别风险,DC上控制措施应对风险
- 考试中遇到DC和DD的考题如何判断
- Due Care:应该制定安全政策、应该采取安全措施
- Due Diligence:出现“风险”出现“收集信息”涉及外包决策、对供应商做评估问:检查该做的事有没有做
(3)安全文档
- 策略/政策/方针(policy)
- 方针的变化频率较低,程序的变化频率较高
- 三类方针
- 监管性/合规性方针
- 建议性方针(不是强制性的)
- 信息性/指示性方针(不是强制性的)
- 信息安全最一般性的声明
- 最高管理层对信息安全承担责任的一种承诺
- 说明要保护的对象和目标
- 标准
- 建立方针执行的强制机制
- 具体的管理办法和流程
- 安全基线
- 满足方针要求的最低级别的安全要求
- 安全基线通常是对标准的补充,所以安全基线也是强制性的
- 指南/准则
- 加强系统安全的方法,是建议性的
- 程序/步骤/规程
- 执行特定任务的详细步骤
- 程序则是对执行保护任务时具体步骤的详细描述
(4)威胁建模
- 威胁建模具有一种结构化的方法,对最可能影响系统的威胁进行系统的识别和评价
- 看看谁最可能想要攻击我们,可以先头脑风暴式的设想他们如何能够完成攻击目的,然后提出对策来阻止这类的攻击行为
- 不是独立的事件,系统设计过程早期就可以开始威胁建模,并持续贯穿整个系统生命周期,支持SD4+C
- 主动式发生在系统开发早期阶段(特别是初始设计和规范建立阶段)
- 被动式发生在产品创建和部署后
- 步骤
- 识别威胁
- STRIDE模型
Spoofing(假冒)
Tampering(篡改)
Repudiation(否认/抵赖)
Information Disclosure(信息泄露)
Denial of Service(拒绝服务)
Elevation of Privilege(提升权限) - PASTA模型
- Trike模型
- VAST模型
- STRIDE模型
- 确定潜在的攻击
- 确定可能发生的潜在攻击
- 通常通过事务处理的数据流图和权限边界来完成
- 执行简化分析
- 《OSG》:简化分析也称为分解应用程序、系统或环境,目的是更好的理解产品的逻辑及其与外部元素的交互。对应用、系统或环境越了解,越有助于识别出对他们的攻击。
- 《AIO》:从攻击树引出的一种方法作用:一方面减少组织必须考虑的攻击数量,找到攻击共性来减少需要缓解的条件的数量一方面是减少攻击威胁,实施缓解技术时,离根结点越近,就越能缓解来自叶节点的攻击
- 优先级排序和响应
- 对威胁进行排序和定级
- 确定对威胁的响应
- 识别威胁
(5)将基于风险的管理理论应用到供应链
- 如果可能,为供应链中的每个实体建立最低安全要求
- 新硬件、软件或服务的安全要求应始终满足或超过最终产品中预期的安全性;
- 这通常需要对SLA、合同、实际性能进行详细审查;
- 当供应链组件提供商正在制作软件或提供服务(如云提供商)时,可能需要定义服务级别需求(SLR);
- SLR是对供应商产品或服务的服务和性能期望的陈述;
- 通常SLR是客户/客户在指定SLA之前提供(如果供应商希望客户签署协议,则应包含SLR的要素)。
- 评估供应商
- 文档评审
- 现场评估
- 第三方审计SOC报告:
- SOC之前许多组织常借鉴SAS70 report审计准则说明以获取对外包活动的安慰,然而SAS 70 关注财务报告内部控制(ICOFR),而不关注系统可用性和安全。
SAS 70:SAS70=Statement on Auditing Standard 70由美国注册会计师协会创建。SAS70是由美国会计师协会(AICPA)制定,针对金融服务机构向客户提供服务的内部控制、安全保障、稽核监督措施的审计标准。过去很多组织使用外包服务要求SAS70报告,但是仅从财务角度出发,许多用户开始关注安全、可用性而后隐私。
SAS 70 报告已在2011年退休,取而代之的是SOC报告。 - SOC 1报告:
SOC 1报告需要服务提供商描述他的系统并定义控制目标和控制,这些与财务报告内部控制有关;
财务报告内部控制(ICOFR):由负责治理、管理和其他事务的人员实施的过程,旨在为按照适用的财务报告框架编制可靠的财务报表提供合理的保证 ,包括那些能够实现以下目标的政策和程序:
与保存合理详细、准确公正的反应公司资产交易和处置的记录有关;
提供合理的保证,确保交易被记录为必要的交易,以编制财务报表,并且公司的收支仅根据公司管理层和懂事的授权进行;
就防止或及时发现可能对财务报表产生重大影响的未经授权收购、使用或处置公司资产提供合理保障。
SOC 1报告通常不覆盖那些与用户ICOFR报告无关的服务和控制;
SOC 1报告在2011年后开始被许多服务商用于核心财务处理服务。 - SOC 2/SOC 3报告:
包含设计和运维有效性的报告;
原则和准则具体定义安全性、可用性、机密性和处理完整性和隐私;
提供超越财务报告内部控制(ICOFR);
可以基于服务提供商和用户的需求,采用模块化的方式便于SOC2/SOC3报告能够覆盖一个或多个原则;
IT服务提供商没有影响或存在间接影响到用户的财务系统,则使用SOC2报告;
SOC3报告一般用于向大范围用户通报其保障级别而不需要披露细节控制和测试结果。 - Type1 和 Type2
Type1证明控制设计有效(在某个时间点有效)
Type2证明控制执行有效(在一段时间内有效运行)
SOC1(type1和type2):
type1证明组织的内部财务控制设计合理;
type2证明这些控制已经有效的运行一段时间。
SOC2(type1和type2):
type1提供当下的控制设计合理性证明;
type2通过更长时间(通常1年)的观察确认控制的有效性。
SOC3是SOC2 type2报告的摘要版。
- SOC之前许多组织常借鉴SAS70 report审计准则说明以获取对外包活动的安慰,然而SAS 70 关注财务报告内部控制(ICOFR),而不关注系统可用性和安全。
2、人员安全与风险管理
(1)人员安全策略和程序
- 人员在职控制
- 职责分离
- 最小授权
- 岗位轮换
- 强制休假
- 人员录用控制
- 背景检查,减少风险、减少招聘成本、减少员工的流动率
- 技能考核
- 保密协议(NDA)保护公司敏感信息入职时签订,离职时重申
- 人员离岗控制
- 离职人员访问权限的禁用
- 回收具有身份标识的物件
- 第三方人员控制
- 如果第三方人员不驻场,且拥有管理员权限
- 应当与第三方组织和个人签订保密协议
- 监控第三方的所有工作行为
- 在接入时,确保对第三方人员的身份进行验证
- 如果第三方人员驻场,且拥有管理员权限
- 在上述措施基础上增加人员背景调查
- 第三方人员离场,需要回收相关权限
- 在与第三方的合同条款上,增加保密要求,和相关商务条款
- 如果第三方人员不驻场,且拥有管理员权限
- SLA服务级别协议
- 合规策略要求
- 符合或遵守法规、规则、方针、标准或要求的行为
- 隐私策略要求
- 保护员工的隐私
- UBA与UEBA
- 用户行为分析(UBA)和用户和实体行为分析(UEBA)是分析用户、主体、访客、客户等行为以实现特定目标或目的的概念。
- UEBA中的E扩展了分析,以包括反生的实体活动,但这些活动不一定与用户的特定行为直接关联或关联,但仍可能与漏洞、侦查、入侵、破坏或利用事件相关。从UBA/UEBA监控中收集的信息可用于改进个人安全政策、程序、培训和相关安全监督计划。
(2)安全治理
- 是公司治理的重要组成部分
- 为安全管理指明方向
(3)风险管理相关要素
- 资产:
对组织具有价值的信息资产 - 威胁:
可能对资产或组织造成损害的某种安全事件发生的潜在原因 - 脆弱性/漏洞
也称漏洞或弱点,及资产或资产组中存在的可被威胁利用的弱点,弱点一旦被利用可能对资产造成损害除了技术漏洞还有管理漏洞 - 风险=可能性*影响
可能性:特定威胁利用资产弱点给资产或资产组带来损害的可能性
影响:后果,意外事件给组织带来的直接或间接的损害或伤害 - 安全措施
控制或对策,即通过防范威胁、减少弱点,限制意外事件带来影响等途径来削减风险的机制、方法和措施 - 残留风险
在实施安全措施之后仍然存在的风险 - 固有风险
不考虑控制措施,本身就存在风险 - 控制风险
控制措施不能达到控制目标的风险 - 风险管理
识别并评估风险,将风险降低至风险可接受的水平,执行适当机制来维持这种级别的过程100%安全的环境是不存在的,风险管理是收益/成本,安全性/可用性之间的平衡 - 风险评估
方法:- 风险评估(ISO/IEC 27005 ISO/IEC 31000)
- 识别风险
1.识别信息资产:
建立资产清单,根据业务流程来识别信息资产
识别每项资产的拥有者、保管者和使用者
资产存在的形式:
电子数据:数据库和数据文件、用户手册等
书面合同:合同,策略方针,归档文件,重要商业结果
软件资产:应用软件、系统软件、开发工具、软件程序
实物资产:磁介质、电源和空调、网络基础设施、服务器等
人员:承担特定职能和责任的人员或角色
服务:计算和通信服务、外包服务、其他技术性服务
组织形象与声誉:无形资产
2.识别威胁:
一项资产可能面临多个威胁,一个威胁也可能对多个资产造成影响。
识别威胁源:
人员威胁
系统威胁
环境威胁
自然威胁
3.识别弱点:
针对每个资产可能被利用的弱点:
技术性弱点
操作弱点
管理性弱点
识别途径:
审计报告、实践报告、安全检查报告、系统测试和评估报告
自动化漏洞扫描工具 - 分析风险
分析因素:
1.影响:
受损后造成的直接损失
资产恢复需要的代价,包括检测、控制、修复的人力和物力
组织公众形象和名誉损失,竞争优势损失
其他损失,如保险费用的增加
2.可能性
1.定量风险分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字
2.防护措施的成本、资产价值、业务影响、威胁频率、防护措施的有效性、漏洞利用的可能性等,每个元素都被量化,最后计算出总风险和剩余风险
3.定量分析步骤:
为资产赋予价值,估计每种威胁的潜在损失,评估威胁和弱点,评价特定威胁作用于特定资产所造成的影响,即EF(0%-100%)
执行威胁分析,计算年发生比率(ARO),事件发生的频率:ARO(年发生比率)
针对每种资产和威胁计算的单一损失期望(SLE),SLE(单一损失期望)= asset value(资产价值)x EF(暴露因子)
计算每种威胁的潜在年度损失,每种威胁计算年度损失期望(ALE),ALE=SLE X ARO
定性风险分析:
1.考虑各种风险可能发生的场景,并基于不同的观点对各种威胁的严重程度和各种对策的有效性进行等级排列
2.定性分析技术,判断、最佳实践、直觉和经验
3.收集数据的定性分析技术:
群体决策方法,德尔菲
调查问卷
检查
访谈
定性和定量访问对比:
1.定性方法对结果相对主观
2.定性方法无法为成本/效益分析建立货币价值
3.定量方法需要大量的计算,实施比较困难 - 评价风险
根据风险分析的结果,评价风险的大小,便于后续选择相应的风险处置对策
- 识别风险
- NIST SP800-30
- 定性RA方法,关注IT风险
- 1.系统分类,2.弱点识别,3.威胁识别,4.对策识别,5.可能性评估,6.影响评估,7.风险评估,8.新对策推荐,9.文件报告
- OCTAVE
- 一种基于信息资产风险的自主式信息安全风险评估规范,强调以资产为驱动,由3个阶段和8个过程构成
- OCTAVE方法在全组织范围内部署风险管理程序并与安全计划集成
- CRAMM
- 基本过程:资产识别和评价;威胁和弱点评估;对策选择和建议。
- FRAP
- 经过预先筛选,只关注那些的确需要评估以降低成本和时间的系统
- 预算有限的情况
- STA
- 创建一个系统可能面临的所有威胁的树,树枝可以代表诸如网络威胁、物理威胁、组件失效等类别,进行RA时,需要剪除不用的树枝。
- FEMA
- 源自硬件分析,考察每个部件或模块的潜在失效,并考察失效影响。
- 风险评估(ISO/IEC 27005 ISO/IEC 31000)
- 风险响应(风险处置策略)
- 风险处置方法
- 缓解/减少/削弱风险
减少威胁,实施恶意代码控制措施;
减少弱点,通过安全意识培训,强化安全操作能力;
降低影响,灾难修复计划和业务连续性计划,做好备份; - 避免风险(放弃,不做有风险的事)
- 转移风险(外包/买保险)
- 接受风险(忍了)
- 忽略风险(没有意识到有风险)
- 缓解/减少/削弱风险
- 风险控制措施选择对策
- 成本/效益分析
基本原则:实施安全措施的代价不应该大于所要保护资产的价值
对策成本:购买费用,对业务效率的影响,额外人力物力,培训费用,维护成本等
控制价值=实施控制之前的ALE(年度损失期望)-实施控制之后的ALE-控制的成本
ROSI = ALE1 – ALE2 – ACC - 约束条件时间约束,技术约束,环境约束法律约束,社会约束
- 防护措施基本功能和有效性
- 成本/效益分析
- 风险处置方法
- 选择与实施控制措施 适用的控制类型
控制分类:- 按照方式方法分
- 管理性控制
制定策略、标准、措施和指导原则
风险管理
人员安全
安全意识培训 - 技术性控制(逻辑性控制)
实现和维护逻辑访问控制机制
密码和资源管理
身份识别和身份验证方法
安全设备 - 物理性控制(保护场所和环境)
控制个人对设施和不同部门访问的措施(门禁、保安、锁)
保护设施的周边(栅栏、围墙、照明)
物理检测入侵
环境控制
- 管理性控制
- 按照作用分
- 预防性
- 检测性
- 纠正性(备份、BCP、DRP)
- 补偿性
补偿性控制是针对某项主控制而言的可以是预防性控制,也可以是检测性控制,或是纠正性控制 - 威慑性(可归到预防这一大类)
- 恢复性(可归到纠正这一大类)
- 按照方式方法分
(4)社会工程学
- 社会工程学是一种利用人性和人类行为的攻击形式。人们在安全方便是一个薄弱的环节,因为他们可能会犯错误,被欺骗造成伤害,或故意违反公司安全。社会工程攻击利用了人的特征,例如对他人的基本信任、提供帮助的愿望或炫耀的倾向。重要的是要考虑人员给组织带来的风险,并实施安全策略以尽量减少和处理这些风险。
- 社会工程攻击的原则旨在关注人性的各个方便并利用他们。
(5)安全意识、培训和教育
- 教育
- 为安全专业人士提供工作所需的专业技术
- 方式:理论性指导,研讨会,阅读和学习,研究
- 安全见解
- ”为什么“
- 培训
- 传授安全相关技能,主要对象为信息系统管理和维护人员
- 方式:实践性指导,讲座,个案研究,实验
- 获取知识
- “如何做”
- 意识
- 组织员工对安全和控制重要性的一般性的集体意识
- 方式:视频,媒体,海报等
- 传递信息
- “是什么”
(6)管理安全功能
- 实现适当和充分的安全治理
- 安全需要关注成本效益
- 安全必须是可衡量的
- 包括信息安全策略的开发和实现
3、业务连续性计划
(1)BCP概述
- 什么是灾难
- 突发的,导致重大损失的不幸意外事件。
- 包括:
自然灾害,如地震、洪水、自然灾害、火山爆发、强对流天气
系统/技术的,如硬件、软件中断,系统/编程错误
供应系统,通讯中断,配电系统故障,管道破裂
人为的,爆炸,火灾,故意破坏,化学污染,有害代码
政治的,恐怖活动,骚乱,罢工
大面积流行病疫情,SARS,新冠肺炎 - 组织的灾难
对于机构来说,任何导致关键业务功能在一定时间内无法进行的事件都被视为灾难
特点:- 计划之外的服务中断
- 长时间的服务中断中断
- 无法通过正常的问题管理规程得到解决
- 中断造成重大的损失
- 中断所影响的业务功能的关键程度
- 中断的时间长度
- 业务连续性计划,BCP
- 业务连续性目标
保障组织面对各种状况时,依然保持业务的运营
从更加长远的角度来解决解决问题,主要为长期停产和灾难事件提供方法和措施 - 目标
出现紧急情况时提供及时和适当的应对措施
保护生命和确保安全
减少对业务的影响
恢复关键业务功能
在灾难时减少混乱
确保企业的生存能力
在灾难发生后迅速“启动并运行” - BCP应该与机构的业务目标一致,是整体决策的一部分
- BCP应该是机构安全项目的一部分,并与安全项目的其他内容相协调
- 业务连续性目标
- 业务连续性流程
标准和最佳实践- NIST SP800 – 34
制定连续性规划策略(policy)
执行业务影响分析(BIA)
确定预防性控制方法
制定恢复战略
制定BCP
测试BCP
维护业务连续性计划 - ISO 27031
ICT连续性管理指南 - ISO 22301
业务连续性管理体系
- NIST SP800 – 34
- 灾难恢复计划,DRP
- 灾难恢复目标
降低灾难或业务中断的影响
采取必要的步骤保证资源、人员和业务流程尽快恢复运作 - 更加关注IT层面
- 灾难恢复目标
(2)BCP项目范围和计划
- 业务组织分析
目的:识别与BCP流程有利害关系的所有部门和个人 - 选择BCP团队
- BCP项目的关键角色
- 恢复团队,灾难后进行评估、恢复、复原等相关工作的多个团队
- 业务部门代表,识别机构的关键业务功能,协助恢复策略的选择和制定
- IT部门
- 通信部门
- 信息安全部门
- 法律代表
- 高级管理层与BCP
BCP项目负责人- 业务连续性协调人作为BCP项目负责人全面负责项目的规划、准备、培训等各项工作
- 工作任务
计划的开发团队与管理层的沟通和联络
有权与计划相关所有人进行直接接触和沟通
充分了解业务中断对机构业务的影响
熟悉机构的需求和运作,有能力平衡机构相关部门的不同需求
比较容易接触到高级管理层
了解机构业务方向和高级管理层的意图
有能力影响高级管理层的决策
- BCP项目的关键角色
- 资源需求
三个阶段所需的资源- 制定
- 测试、培训和维护
- 实施(激活/执行)
- 法律法规要求
(3)业务影响评估 BIA(业务影响分析)
确定优先级、风险识别、可能性评估(ARO)、影响评估(SLE)
- 业务影响性分析描述
识别可能在灾难中造成重大损失或运营中断的区域
BIA的分析方法:- 定性分析已划分严重程度的方式得出灾难或中断事件造成的影响
- 定量分析以货币的方式灾难或中断事件造成的影响
- BIA目的
- 协助管理层了解潜在的中断影响
- 识别关键业务功能以及支持这些功能的IT资源
- 协助管理人员识别机构功能支持方便的不足
- 排定IT资源的恢复顺序分析中断的影响
- 收入的损失(Loss in revenue)
- 延迟收入的损失(Delayed income costs)
- 生产力的损失(Loss in productivity)
- 营运成本的增加(Increase in operational expenses)
- 声誉和公众信任的损失(Loss in reputation and publicconfidence)
- 竞争力的损失(Loss of competitive advantages)
- 违约责任(Violations of contract agreements)
- 违背法律法规(Violations of legal and regulatoryrequirements)
- BIA过程
- 确定信息收集技术
查勘检测(surveys)、调查问卷(questionnaires)、定性(qualitative)、定量(quantitative) - 选择受访者
- 识别关键业务功能及其支持资源
- 确定如果失去这些资源的支持这些功能能存活多久
- 识别弱点和威胁
- 计算每个业务功能的风险
- 准备提交BIA报告存在的问题应对的建议
- 确定信息收集技术
- BIA的信息分析
整理(Organize)、归纳(Correlate)、分析(Analyses)、确认(Confirm)- 定性和定量的自动化工具辅助进行信息的整理和分析
- 业务的代表检查和确认信分析的结果
- 确定允许中断时间MTD
- 业务影响分析的核心任务是确定关键业务功能及其支持资源的最大允许中断时间 MTDs
- 支持多个业务功能的资源其关键程度较高
- 中断时间超过最大允许中断时间(Max imum Tolerable Downtime)将造成业务难以恢复,越是关键的功能或资源
- 根据MTDs排定关键业务功能及其支持资源的恢复顺序
- 支持资源的确定
- 确定关键功能的所有支持资源(包括非计算机资源)、资源的使用时间段、缺失该资源对功能的影响以及资源之间的相互依赖
- 包括:
- 人力资源(Human resources)
– 如操作员、专家、系统用户等 - 处理能力(Processing capability)
– 如数据中心、备用数据中心、网络、小型机、工作站、个人计算机等 - 物理基础设施(Physical infrastructure)
– 如办公室、办公家具、环境控制系统、电力、上下水、物流服务等 - 基于计算机的服务(Computer-based services)
– 如语音和数据通信服务、数据库服务、公告服务等 - 应用和数据(Application and Data)
– 计算机设备上运行的各种程序和存储的数据 - 文档和票据(Documents and papers)
– 如合同票据操作程序等文件文档和资料
- 人力资源(Human resources)
- 灾难恢复的度量
- 恢复时间目标,Recovery Time Objectives,RTO
- 在系统不可用性严重影响到机构之前所允许消耗的最长时间
- RTO之前备份了的数据也在这段时间里导入系统
- 恢复点目标,Recovery Point Objectives,RPO
- 数据必须被恢复以便继续进行处理的点。也就是所允许的最大数据丢失量。
- 工作恢复时间,Work Recovery Time,WRT
- 需要由业务来恢复RPO丢失的数据
- 业务确认验证系统
- MTD=RTO+WRT
- 恢复时间目标,Recovery Time Objectives,RTO
(4)连续性计划
- 子任务
- 策略开发
BCP规划最终应该形成业务连续性策略- 目标、范围、需求
- 基本原则和指导方针
- 职责和责任
- 关键环节的基本要求
- 预备和处理
BCP团队设计具体的过程和机制来减轻在策略开发阶段被认为不可接受的风险 - 计划批准
策略条款应该得到高级管理层的正式批准,并公布成为机构的政策,指导业务连续性的相关工作 - 计划实施
- 培训和教育
- 策略开发
- BCP文档化
4、法律、法规和合规
(1)法律的分类
- 普通法系
- 刑法
- 民法(两个公司之间的合同纠纷,适合民法)
- 行政法
- 大陆法系
- 习惯法体系
- 宗教法律体系
- 混合法律体系
(2)法律
- 计算机犯罪
计算机犯罪的特点:
调查取证比较困难,证据容易遭到破坏
相关法律不完善
具有跨地域的特征
电子资产不容易定义
内部人员实施犯罪几率比较高
受害机构有时不报告,担心影响机构正常运转和损害用户对机构的信任 - 计算机犯罪的类型:
计算机辅助犯罪,使用计算机作为工具来帮助实施犯罪,计算机在犯罪中并非必要因素,只是作为工具协助犯罪;
以计算机为目标的犯罪,针对计算机、网络以及这些系统中存储的信息进行犯罪,如拒绝服务攻击、网络嗅探、口令破解等;
计算机牵涉型攻击,在犯罪活动中,计算机不是攻击者也不是被攻击者,这是偶然出现的附带因素,如犯罪分子的客户列表; - 知识产权
- 商业秘密
- 不公开的,是公司付出了相当的资源和努力开发的
- 对于公司的竞争或市场至关重要
- 受到公司适当保护以防止泄露或非授权使用
- 如:产品配方、程序源代码、加密算法
- 版权
- 作者对其作品公开发表、复制、展示和修改所具有的法律保护的权利
- 著作权并不保护作品的创意,而只保护创意的表现形式,即作品本身
- 如:程序源代码和执行程序,甚至是用户界面、文学作品、绘画、歌曲旋律
- 商标
- 保护的是代表公司形象的单词、名称、符号、形状、声音、颜色或其组合
- 是公司质量和信誉的标志
- 商标通常在商标注册保护机构进行了注册
- 专利
- 对专利注册人或公司的专利拥有权的法律认可,禁止其他人或公司未经拥有人或公司的授权而使用、复制专利所保护的发明
- 专利有效期为20年
- 如:药品配方、加密算法
- 软件分类
- Freeware(免费软件)
- Shareware(共享软件)
- Commercial software(商业软件)
- Academic software(学术软件)
- 国际反软件盗版组织
- 软件保护协会(SPA)
- 反软件盗版联盟
- 相关法律《数字千年版权法案》(DMCA)
- 商业秘密
- 进口/出口控制
- 计算机出口控制
- 加密技术出口控制
- 隐私
- 处理目标
- 主动寻求保护公民的个人可标识信息(PII)
- 在政府和业务的需求与银行安全问题而考虑手机和使用PII之间,主动寻求平衡
- 个人隐私类型:
- 独处权利
- 免受对个人不合理的权利
- 决定何种个人信息可以被传播以及被传播给何人的权利
- 防止不合法侵犯,底线是知情同意,采取适用的保护措施
- 防止缺乏适当的方法,底线是“公平公正”,有纠错机制
- 个人信息的使用原则
个人数据控制者的义务:- 收集个人数据时应当取得数据所有者的同意并告知用途
- 只收集用途相关的数据,只在用途所需期限内使用和保存
- 数据收集的方法、数据的用途应合法
- 采取合理措施,包括管理、操作和技术措施,防止个人信息遭到恶意侵犯,保证数据的完整性和保密性,并清除过时的信息,防止被无关的人访问
- 查看所收集的信息,更正错误信息
- 处理目标
- GDPR《一般数据保护条例》
- 个人数据任何与已识别到的或可识别的自然人(数据主体)有关的数据
- 特殊类别个人数据(敏感数据)
- 种族民族起源
- 政治观点
- 宗教或哲学信仰或工会会员身份
- 基因数据
- 生物特征数据
- 有关健康的数据
- 有关自然人的性生活或性取向的数据
- 处理个人数据的原则
- 合法、公平和透明:个人数据应该以合法、公正、透明的方式进行涉及数据主体的处理。
- 数据最小化(不能过度收集):控制者及处理者收集个人数据的范围应当仅限于为实现目的所必须得范围内,对个人数据进行的处理活动应当保证为实现目的所必须得最低程度。
- 目的限制(不能做二级使用):控制者及处理者收集个人数据必须出于明确、清晰和合法的目的,且对个人数据的处理不得超出收集时所明确的目的。
- 准确性
- 存储限制
- 完整性与机密性
- 数据主体
- 一个可识别的自然人;一个可以被直接或间接标识身份的自然人。
- 数据主体的权利:
可获取
可反对
可撤销
可限制
可纠正
可携带
可擦除(被遗忘的权利)
- 数据控制者
决定个人数据处理目的与方式 - 数据处理者
按照数据控制者的要求处理数据 - 匿名化
数据无法再和个人进行关联
匿名化后的数据不再是个人数据 - 假名化
- 数据假名化是指使个人数据在不使用额外信息的情况下就无法指向特定数据主体的个人数据处理方式。这个过程是可逆的(只要有对应的key)这时仍然被认为是个人数据。
- 我国《个人信息保护法》里相似的概念
是去标识化(de-identification)—— 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。
- 发生个人数据泄露的通知
- 如果对自然人的权利和自由造成风险,需通知监管机构。“72小时内”通知监管机构。
(OSG,p.103 里说的24小时是错误的!不严重的就不用通知了,严重的是72小时内,GDPR里根本就没有24小时的说法) - 如果对自然人的权利和自由造成高风险,还需通知数据主体。
- 低风险不需要通知。
- 如果对自然人的权利和自由造成风险,需通知监管机构。“72小时内”通知监管机构。
- 通过设计保护隐私
- “基于设计的隐私提出了这样一种观点,即不能仅通过遵守监管框架来确保隐私的未来;
- 相反理想情况下,隐私保障必须成为组织的默认操作模式。
1.主动而非被动,预防而非补救;
2.隐私作为默认设置;
3.隐私嵌入设计;
4.完整功能,正和而非零和;
5.端到端安全性,完整的生命周期保护
6.可见性和透明度,保持开放
7.尊重用户隐私,以用户为中心
- 跨境数据流动
- 经充分性认定的国家,等同于在欧盟境内的跨境传输
- 经批准的BCR(绑定公司规则),适用于集团企业内跨国的数据传输
- 使用SCC(标准合同模板)
- 欧盟和美国之间的数据传输:
安全港协议(2015年被废弃)、隐私盾协议(2020年已被废弃)
- HIPAA
- 健康保险携带与责任法案
- 该法案制定了一系列安全标准,就保健计划、供应商以及结算中心如何以电子文件的形式来传送、访问和存储受保护的健康信息做出详细的规定。法案规定在确保私密性的情况下保存病人信息档案六年,还详细规定了医疗机构处理病人信息规范,以及违法保密原则、通过电子邮件或未授权的网络注销病人档案的处置方案。
- 涵盖的实体HIPAA涵盖的实体包括健康计划、医疗保健提供者等。健康计划包括健康保险公司、健康维护组织、支付医疗保健费用的政府计划(例如医疗保险)以及军队或退伍军人健康计划。
- COPPA
- 儿童在线隐私保护法
- 美国儿童在线隐私权保护法于2000年4月21日生效,主要针对在线收集13岁以下儿童个人信息的行为。它规定网站管理者要遵守隐私规则,必须说明何时和如何以一种可以验证的方式向儿童家长索求同意,并且网站管理者必须保护儿童在线隐私和安全。
- 爱国者法案
- FERPA
(3)合规
- PCI DSS全称Payment Card Industry Data Security Standard,第三方支付行业(支付卡行业PCI DSS)数据安全标准,是由PCI安全标准委员会(PCI SSC)的创始成员,共同组件的支付卡产业安全标准委员会制定。
- SOX法案“上市公司会计改造与投资者保护法案”。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”《萨班斯-奥克斯利法案》(sarbanes-oxley-act)对在美国上市的公司提供了合规性要求,使上市公司不得不考虑控制IT风险在内的各种风险。
(4)道德规范
- ISC2道德规范
- 体面、诚实、公正、负责并合法地行事,保护社会;
- 勤奋工作,称职服务,推进安全事业;
- 鼓励研究的发展—-教育、指导,并实现证书的价值;
- 防止不必要的恐惧或怀疑,不同意任何不良行为;
- 阻止不安全行为,保护并加强公共基础设施的完整性;
- 遵守所有明确或隐含的合同,并给出谨慎的建议;
- 避免任何利益冲突,尊重并信任其他人向您提出的问题,并只承担那些您有能力执行的工作;
- 保持在技术前沿,并且不参加任何可能伤害其他安全从业人员声誉的行为;
- 保护社会、公共利益与基础设施、赢得必要的公众信息与信任;
- 行事端正、诚实、公正、负责、守法、推动行业发展、维护职业声誉、勤奋尽责、专业胜任。