知识域1:安全和风险管理
内容概述
安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。该知识域涵盖了在企业信息安全中相关的基本概念和原则,包括:机密性、完整性和可用性等;还涵盖了信息安全治理的主要概念和方法,包括安全治理的概念、企业中安全相关的组织角色和责任、安全管理计划编制以及安全策略结构;信息安全专业人员需要参与到相关的安全管理活动中,主要包括制定和实施相关的策略来支持风险管理活动,最终符合法律、法规等要求,以及在出现不可预见的灾难情况下确保企业业务的连续运营。
安全和风险管理知识域在CISSP CBK中包括(源自于:CBK5):
**一、 理解和应用机密性、完整性和可用性的概念
**
- 理解由保密性、完整性和可用性组成的CIA三元组。保密性原则是指客体不会被泄露给未经授权的主体。完整性原则是指客体保持真实性且只被经过授权的主体进行有目的的修改。可用性原则指被授权的主体能实时和不间断地访问客体。了解这些原则为什么很重要,并了解支持它们的机制,以及针对每种原则的攻击和有效的控制措施。
- 能够解释身份标识是如何工作的。身份标识是下属部门承认身份和责任的过程。主体必须为系统提供标识,以便启动身份验证、授权和问责制的过程。
- 理解身份验证过程。身份验证是验证或测试声称的身份是否有效的过程。身份验证需要来自主体的信息,这些信息必须与指示的身份完全一致。
- 了解授权如何用于安全计划。一旦对主体进行了身份验证,就必须对其访问进行授权。授权过程确保所请求的活动或对象访问是可能的,前提是赋予已验证身份的权利和特权。
**二、评估和应用安全治理原则
**
- 理解安全治理。安全治理是与支持、定义和指导组织安全工作相关的实践集合。
能够解释审计过程。审计(或监控追踪和记录)主体的操作,以便在验证过的系统中让主体为其行为负责。审计也对系统中未经授权的或异常的活动进行检测。需要实施审计来检测主体的恶意行为、尝试的入侵和系统故障,以及重构事件、提供起诉证据、生成问题报告和分析结果。 - 理解问责制的重要性。组织安全策略只有在有问责制的情况下才能得到适当实施。换句话说,只有在主体对他们的行为负责时,才能保持安全性。有效的问责制依赖于检验主体身份及追踪其活动的能力。
- 能够解释不可否认性。不可否认性确保活动或事件的主体不能否认事件的发生。它防止主体声称没有发送过消息、没有执行过动作或没有导致事件的发生。
- 了解关键的安全角色。主要的安全角色有高级管理者、组织所有者、上层管理人员、安全专业人员、用户、数据所有者、数据托管员和审计人员。通过创建安全角色的层次结构,可以全面限制风险。
- 了解分层防御如何简化安全。分层防御使用一系列控制中的多个控制。使用多层防御解决方案允许使用许多不同的控制措施来抵御威胁。
- 能够解释抽象的概念。抽象用于将相似的元素放入组、类或角色中,作为集合被指派安全控制、限制或许可。抽象增加了安全计划的实施效率。
- 理解数据隐藏。顾名思义,数据隐藏指将数据存放在主体无法访问或读取的逻辑存储空间以防数据被泄露或访问。数据隐藏通常是安全控制和编程中的关键元素。
- 理解加密的必要性。加密是对非预期的接收者隐藏通信的真实含义和意图的艺术与科学。加密有多种形式,适用于各种类型的电子通信,包括文本、音频和视频文件及应用程序。加密是安全控制中的重要内容,特别是在系统间传输数据时。
- 理解如何管理安全功能。为管理安全功能,组织必须实现适当和充分的安全治理。通过风险评估来驱动安全策略的实施是最明显、最直接的管理安全功能的实例。这也与预算、测量、资源、信息安全策略以及评估安全计划的完整性和有效性相关。
**三、明确合规需求
**
- 了解COBIT的基础知识。COBIT是一种安全控制基础架构,用于为企业制定复合的安全解决方案。
- 解释全面合规程序的重要性。大多数组织都受制于与信息安全相关的各种法律和法规要求。构建合规性程序可确保你能实现并始终遵守这些经常重叠的合规需求。
**四、了解在全球背景下与信息安全相关的法律和监管问题
**
- 了解刑法、民法和行政法的区别。刑法保护社会免受违反我们所信仰的基本原则的行为的侵害。违反刑法的行为将由美国联邦和州*进行起诉。民法为人与组织之间的商业交易提供了框架。违反民法的行为将通过法庭,由受影响的当事人进行辩论。行政法是*机构有效地执行日常事务的法律。
- 了解版权、商标、专利和商业秘密之间的区别。版权保护创作者的原创作品,如书籍、文章、诗歌和歌曲。商标是标识公司、产品或服务的名称、标语和标志。专利为新发明的创造者提供保护。商业秘密法保护企业的经营秘密。
- 了解不同类型的软件许可协议。合同许可协议是软件供应商和用户之间的书面协议。开封生效协议写在软件包装上,当用户打开包装时生效。单击生效许可协议包含在软件包中,但要求用户在软件安装过程中接受这些条款。
- 理解美国和欧盟对管理个人信息隐私的主要法律。美国有许多隐私法律会影响*对信息的使用以及特定行业的信息使用,例如处理敏感信息的金融服务公司和医疗健康组织。欧盟有非常全面的《通用数据保护条例》来管理对个人信息的使用和交换。
- 了解如何将安全纳入采购和供应商管理流程。许多组织广泛使用云服务,需要在供应商选择过程中以及在持续供应商管理过程中对信息安全控制进行审查。
**五、理解、坚持和促进职业道德
**
(ISC)2道德规范准则:
保护社会、公共利益、必要的公共信任和信心、以及基础设施。
行为得体、诚实、公正、负责和遵守法律。
为委托人提供尽职的和胜任的服务工作。
发展和保护职业声誉。
**六、制定、记录和实施安全策略、标准、程序和指南
**
- 理解安全管理计划。安全管理基于三种类型的计划:战略计划、战术计划和操作计划。战略计划是相对稳定的长期计划,它定义了组织的目的、任务和目标。战术计划是中期计划,为实现战略计划中设定的目标提供更多细节。操作计划是基于战略和战术计划的短期和高度详细的计划。
- 了解规范化安全策略结构的组成要素。要创建一个全面的安全计划,需要具备以下内容:安全策略、标准基线、指南和程序。这些文件清楚地说明安全要求,并促使责任各方实施尽职审查。
**七、识别、分析和考虑业务连续性优先级
**
- 了解BCP过程的四个步骤。BCP包括四个不同阶段:项目范围和计划,业务影响评估,连续性计划,计划批准和实施。每项任务都有助于确保实现在紧急情况下业务保持持续运营的总体目标。
- 描述如何执行业务组织分析。在业务组织分析中,负责领导BCP过程的人员确定哪些部门和个人参与业务连续性计划。该分析是选择BCP团队的基础,经BCP团队确认后,用于指导BCP开发的后续阶段.
- 列出BCP团队的必要成员。BCP团队至少应包括:来自每个运营和支持部门的代表,IT部门的技术专家,具备BCP技能的物理和IT安全人员,熟悉公司法律、监管和合同责任的法律代表,以及高级管理层的代表。其他团队成员取决于组织的结构和性质。
- 了解BCP人员面临的法律和监管要求。企业领导必须实施尽职审查,以确保在灾难发生时保护股东的利益。某些行业还受制于联邦、州和地方法规对BCP程序的特定要求。许多企业在灾难发生前后都有履行客户合约的义务。
- 解释业务影响评估过程的步骤。业务影响评估过程的五个步骤是:确定优先级、风险识别、可能性评估、影响评估和资源优先级排序。
- 描述连续性策略的开发过程。在策略开发阶段,BCP团队确定要减轻哪些风险。在预备和处理阶段,设计可降低风险的机制和程序。然后,该计划必须得到高级管理层的批准并予以实施。人员还必须接受与他们在BCP过程中角色相关的培训。
- 解释对组织业务连续性计划进行全面文档化的重要性。将计划记录下来,可在灾难发生时给组织提供一个可遵守的书面程序。这可确保在紧急情况下有序实施计划。
**八、树立和实施人员安全策略和程序
**
- 理解雇用新员工对安全的影响。为实施恰当的安全计划,必须为职责描述、职位分类、工作任务、工作职责、防止串通、候选人筛选、背景调查、安全许可、雇佣协议和保密协议等设立标准。通过采用这些机制,可确保新员工了解所需的安全标准,从而保护组织的资产。
- 能够解释职责分离。职责分离的概念是将关键的、敏感的T作任务划分给多个人员。通过以这种方式划分职责,可确保没有能够危害系统安全的个人。
- 理解最小特权原则。最小特权原则要求在安全的环境中,用户应获得完成工作任务或工作职责所需的最小访问权限.通过将用户的访问限制在他们完成工作任务所需的资源上,就可以限制敏感信息的脆弱性。
- 了解岗位轮换和强制休假的必要性。岗位轮换有两个功能。它提供了一种知识备份,岗位轮换还可以降低欺诈、数据修改、盗窃、破坏和信息滥用的风险。
- 为了审计和核实员工的工作任务和特权,可使用一到两周的强制休假。强制休假能够轻易发现特权滥用、欺诈或疏忽。
- 能够解释恰当的解雇策略。解雇策略规定解雇员工的程序,应该包括有现场证人、禁用员工的网络访问权限和执行离职面谈等内容。解雇策略还应包括护送被解雇员工离开公司,并要求归还安全令牌、徽章和公司财产。
**九、理解和应用风险管理概念
**
- 能够定义整体的风险管理。风险管理过程包括识别可能造成数据损坏或泄露的因素,根据数据价值和控制措施的成本评估这些因素,并实施具有成本效益的解决方案来减轻风险。通过执行风险管理,为全面降低风险奠定基础。
- 理解风险分析和相关要素。风险分析是向高层管理人员提供详细信息以决定哪些风险应该缓解,哪些应该转移,哪些应该接受的过程。要全面评估风险并采取适当的预防措施,必须分析以下内容:资产、资产价值、威胁、脆弱性、暴露、风险、已实现风险、防护措施、控制措施、攻击和侵入。
- 知道如何评估威胁。威胁有许多来源,包括人类和自然。以团队形式评估威胁以便提供最广泛的视角。通过从各个角度全面评估风险可降低系统的脆弱性。
- 理解定量风险分析。定量风险分析聚焦于货币价值和百分比。全部使用定量分析是不可能的,因为风险的某些方面是无形的。定量风险分析包括资产估值和威胁识别,然后确定威胁的潜在发生频率和造成的损害,结果是防护措施的成本/效益分析。
- 能够解释暴露因子(EF)概念。暴露因子是定量风险分析的一个元素,表示如果已发生的风险对组织的某个特定资产造成破坏,组织将因此遭受的损失百分比。通过计算风险暴露因子,就能实施良好的风险管理策略。
- 了解单一损失期望(SLE)的含义和计算方式。SLE是定量风险分析的一个元素,代表已发生的单个风险给特定资产带来的损失。计算公式为:SLE=资产价值(AV)*暴露因子(EF) 。
- 理解年度发生率((ARO)。ARO是量化风险分析的一个元素,代表特定威胁或风险在一年内发生(或实现)的预期频率。进一步了解可帮助计算风险并采取适当的预防措施。
- 了解年度损失期望(ALE)的含义和计算方式。ALE是定量风险分析的一个元素,指的是针对特定资产的所有可发生的特定威胁,在年度内可能造成的损失成本。计算公式为:ALE=单一损失期望((SLE)*年度发生率(ARO)。
- 了解评估防护措施的公式。除了确定防护措施的年度成本外,还需要为资产计算防护措施实施后的ALE。可使用这个计算公式:防护措施实施前的ALE-防护措施实施后的ALE-防护措施的年度成本=防护措施对公司的价值,或(ALE1-ALE2) - ACS。
- 理解定性风险分析。定性风险分析更多的是基于场景而不是基于计算。这种方式不用货币价值表示可能的损失,而对威胁进行分级,以评估其风险、成本和影响。这种分析方式可帮助那些负责制定适当的风险管理策略的人员。
- 理解Delphi技术。Delphi技术是一个简单的匿名反馈和响应过程,用来达成共识。这样的共识让各责任方有机会正确评估风险并实施解决方案。
- 了解处理风险的方法。风险降低(即风险缓解)就是实施防护措施和控制措施。风险转让或风险转移是将风险造成的损失成本转嫁给另一个实体或组织;购买保险是风险转移的一种形式。
- 风险接受意味着管理层已经对可能的防护措施进行了成本/效益分析,并确定了防护措施的成本远大于风险可能造成的损失成本。这也意味着管理层同意承担风险发生后的结果和损失。
- 能够解释总风险、残余风险和控制间隙。总风险是指如果不实施防护措施,组织将面临的风险。可用这个公式计算总风险:威胁脆弱性资产价值=总风险。残余风险是管理层选择接受而不再进行减轻的风险。总风险和残余风险之间的差额是控制间隙,即通过实施防护措施而减少的风险。残余风险的计算公式为:总风险一控制间隙=残余风险。
- 理解控制类型。术语“控制”指广泛控制,执行诸如确保只有授权用户可以登录和防止未授权用户访问资源等任务。控制类型包括预防、检测、纠正、威慑、恢复、指示和补偿控制。控制也可分为管理性、逻辑性或物理性控制。
- 理解如何管理安全功能。为管理安全功能,组织必须实现适当和充分的安全治理。通过风险评估来驱动安全策略的实施是最明显、最直接的管理安全功能的实例。这也与预算、测量、资源、信息安全策略以及评估安全计划的完整性和有效性相关。
- 了解风险管理框架的六个步骤。风险管理框架的六个步骤是:安全分类、选择安全控制、实施安全控制、评估安全控制、授权信息系统和监视安全控制。
**十、理解和应用威胁建模概念和方法
**
- 了解威胁建模的基础知识。威胁建模是识别、分类和分析潜在威胁的安全过程。威胁建模可当成设计和开发期间的一种主动措施执行,也可作为产品部署后的一种被动措施执行。关键概念包括资产攻击者/软件、STRIDE、PASTA、Trike、VAST、图表、简化/分解和DREAD。
**十一、将基于风险管理的概念应用于供应链
**
- 理解将基于风险的管理理念应用于供应链的必要性。将基于风险的管理理念应用到供应链中,可确保所有规模的组织都具有更加可靠和成功的安全策略。若收购时未考虑安全因素,这些产品的固有风险在整个部署生命周期中都存在。
- 理解供应商、顾问和承包商的控制。供应商、顾问和承包商的控制用来确定组织主要的外部实体、人员或组织的绩效水平、期望、薪酬和影响。通常,这些控制条款在SLA文档或策略中规定。
- 能够讨论第三方安全治理。第三方安全治理是由法律、法规、行业标准、合同义务或许可要求强制规定的监督制度。
**十二、建立并维护安全意识、教育和培训计划
**
- 了解如何实施安全意识培训。在接受真正的培训前,必须让用户树立已认可的安全意识。一旦树立了安全意识,就可以开始培训或教导员工执行他们的工作任务并遵守安全策略。所有新员工都需要一定程度的培训以便他们遵守安全策略中规定的所有标准、指南和程序。教育是一项更详细的工作,学生/用户学习的内容比他们完成工作任务实际需要知道的要多得多。教育通常与用户参加认证或寻求工作晋升关联。
测一测,看看您掌握了多少?
D1:安全和风险管理的相关测试:
以下源自AIO8:
测试题链接(D1):https://jinshuju.net/f/AP8apf
以下源自OSG8:
测试题链接(第1章):https://jinshuju.net/f/theEKQ
测试题链接(第2章):https://jinshuju.net/f/X4IqYU
测试题链接(第3章):https://jinshuju.net/f/PmA5JZ
测试题链接(第4章):https://jinshuju.net/f/Eh7hpD