Wondershare EdrawMind
Galerie de cartes mentales CISSP-1-Sécurité et gestion des risques
- 32
CISSP-1-Sécurité et gestion des risques
Carte mentale de certification professionnelle de sécurité des systèmes d'information CISSP, le contenu principal comprend les fondements de la sécurité de l'information et de la gestion des risques, la gouvernance de la sécurité et le cadre du système de sécurité, la stratégie de sécurité de l'information, la gestion des risques de sécurité organisationnelle et du personnel, la loi, l'éthique, la conformité, les exigences BCP et DRP.
Modifié à 2021-11-10 12:10:04
- bacteria
This is a mind map about bacteria, and its main contents include: overview, morphology, types, structure, reproduction, distribution, application, and expansion. The summary is comprehensive and meticulous, suitable as review materials.
- Plant asexual reproduction
This is a mind map about plant asexual reproduction, and its main contents include: concept, spore reproduction, vegetative reproduction, tissue culture, and buds. The summary is comprehensive and meticulous, suitable as review materials.
- Reproductive development of animals
This is a mind map about the reproductive development of animals, and its main contents include: insects, frogs, birds, sexual reproduction, and asexual reproduction. The summary is comprehensive and meticulous, suitable as review materials.
CISSP-1-Sécurité et gestion des risques
- bacteria
This is a mind map about bacteria, and its main contents include: overview, morphology, types, structure, reproduction, distribution, application, and expansion. The summary is comprehensive and meticulous, suitable as review materials.
- Plant asexual reproduction
This is a mind map about plant asexual reproduction, and its main contents include: concept, spore reproduction, vegetative reproduction, tissue culture, and buds. The summary is comprehensive and meticulous, suitable as review materials.
- Reproductive development of animals
This is a mind map about the reproductive development of animals, and its main contents include: insects, frogs, birds, sexual reproduction, and asexual reproduction. The summary is comprehensive and meticulous, suitable as review materials.
- Recommandé pour vous
- Contour
![Établissement et mise en œuvre d'un système de gestion de la sécurité des éléments de gestion de la sécurité [Version pratique]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594721/2024-5-29/1716942274/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Établissement et mise en œuvre d'un système de gestion de la sécurité des éléments de gestion de la sécurité [Version pratique]
- 20
![Établissement et mise en œuvre d'un système de gestion de la sécurité des éléments de gestion de la sécurité [Version pratique]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594721/2024-5-29/1716948596/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Établissement et mise en œuvre d'un système de gestion de la sécurité des éléments de gestion de la sécurité [Version pratique]
- 8
![Disques de rupture pour installations de sécurité [Résumé de la réglementation]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594721/2024-5-29/1716949545/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Soupape de sécurité pour installation de sécurité [version principe de fonctionnement]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594721/2024-5-29/1716949708/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Gouvernance de la sécurité de l’information et gestion des risques
la sécurité de l'information et Bases de la gestion des risques
information
définition
Gestion du cycle de vie
sécurité des informations Le principe de base
Confidentialité (confidentialité)
Veiller à ce que les informations soient stockées, utilisées et transmises Ne sera pas divulgué à des utilisateurs ou entités non autorisés
intégrité (intégrité)
Empêcher toute altération non autorisée ;
Empêcher les utilisateurs autorisés de modifier les informations de manière inappropriée
Assurer la cohérence interne et externe des informations
interne
externe
Disponibilité (disponibilité)
Assurer l’utilisation normale des informations et des ressources par les utilisateurs ou entités autorisés Ne se verra pas refuser les exceptions, permettant un accès fiable et rapide à l'information
Triplet opposé PAPA
Divulgation
Altération
Destruction
sécurité des informations Technologies liées à la CIA
Confidentialité,C
Cryptage des données (disque entier, cryptage de la base de données)
Cryptage des données de transmission (IPSec, SSL, PPTP, SSH)
Contrôle d'accès (contrôles physiques et techniques)
Intégrité, je
Hachage (données complètes)
signature de code
Gestion de la configuration (système complet)
Contrôle des modifications (processus terminé)
Contrôle d'accès (contrôles physiques et techniques)
Signature numérique logicielle
Fonction de contrôle CRC de transmission (peut être utilisé pour plusieurs couches de transmission réseau)
Disponibilité,A
Matrice redondante de disques (RAID)
grappe
l'équilibrage de charge
Données et lignes électriques redondantes
Sauvegarde de logiciels et de données
image disque
Emplacement et installations hors site
fonction de restauration
Configuration du basculement
contrôler en toute sécurité
Les moyens et les méthodes
contrôle administratif
Élaborer des stratégies, des normes, des mesures et des lignes directrices
Gestion des risques
sécurité du personnel
Formation de sensibilisation à la sécurité
contrôle technique (Contrôle logique)
Mettre en œuvre et maintenir des mécanismes de contrôle d’accès logique
Gestion des mots de passe et des ressources
Méthodes d'identification et d'authentification
équipement de sécurité
contrôle physique
Mesures de contrôle des accès individuels aux installations et aux différents services (contrôle d'accès, sécurité, serrures)
Périmètre de protection (clôtures, murs, éclairage)
Détection physique des intrusions
contrôle environnemental
effet
fonction de contrôle
Prévention (dissuasion), détection, correction/récupération (sauvegarde, BCP, DRP) Rémunération (Contrôle)
Bases de la gestion des risques liés à la sécurité de l’information
Gouvernance, gestion des risques et conformité (GRC)
Assurance
cadre de gestion des risques
Cadre de gouvernance de la sécurité et du système de sécurité
Cadre de référence du contrôle de sécurité
Contrôle informatique, COBIT
"Contrôle Interne - Cadre Global", COSO Cadre de gestion du contrôle interne de l'entreprise
défini pour satisfaire à l’information financière et Cinq types d’éléments de contrôle interne pour les objectifs de divulgation
environnement de contrôle
l'évaluation des risques
les activités de contrôle
Information et communication
moniteur
Un cadre permettant à de nombreuses organisations d'assurer la conformité à SOX 404
Gestion des services informatiques, ITIL (Best Practice Framework)
ITIL est un cadre de gestion des services informatiques personnalisable
Norme de gestion des services informatiques (ISO/IEC 20000)
5 grandes étapes
Stratégie de services
conception de services
Transition de service
Opération de service
Amélioration continue des services
Zachman
Cadre d'entreprise TOGAF
Cadre d'architecture de sécurité SABSA
Référence sur les contrôles de sécurité, NIST SP 800-53r4
Cadre de contrôle de la sécurité des infrastructures critiques 2014 : cadre de cybersécurité du NIST
Gestion du développement logiciel CMMI (Chapitre 8)
MMT
Initial, reproductible, défini, géré, optimisant
CMMI
Initial, géré, défini, géré quantitativement, optimisation
Gestion de la sécurité des informations
Deux facteurs de succès ou d’échec de la sécurité de l’information : la technologie et la gestion
ISO27001 (sécurité des informations normes du système de gestion)
Dérivé de BS7799, BS7799-1 correspond à ISO27002, BS7799-2 correspond à ISO27001
Un ensemble complet de contrôles comprenant les meilleures pratiques en matière de sécurité des informations
Version 2013, 14 domaines, 35 catégories, 114 contrôles
Modèle de gestion de la sécurité de l'information
Modèle PDCA
Plan
Sur la base des résultats de l'évaluation des risques, des exigences légales et réglementaires et des activités organisationnelles, Déterminer les objectifs de contrôle et les mesures de contrôle en fonction des besoins opérationnels
Mettre en œuvre, faire
Mettre en œuvre les contrôles de sécurité sélectionnés.
Vérifier
Conformément aux politiques, procédures, normes et lois et réglementations, Effectuer des contrôles de conformité sur la mise en œuvre des mesures de sécurité
Mesures, Loi
Prendre des contre-mesures basées sur les résultats de l'inspection pour améliorer les conditions de sécurité
performances en matière de sécurité de l'information
ISO27004
Politique de sécurité de l'information, sécurité de l'organisation et du personnel
stratégie de sécurité
Hiérarchie des documents de sécurité
politique (Les politiques changent moins fréquemment, les procédures changent plus fréquemment)
Déclaration la plus générale sur la sécurité de l'information
Un engagement de la haute direction à assumer la responsabilité de la sécurité de l’information
Décrivez ce que vous souhaitez protéger et ce que vous souhaitez réaliser
standard
Établir un mécanisme d’application pour la mise en œuvre des politiques
ligne directrice
À l’instar des normes, les méthodes permettant de renforcer la sécurité du système sont des recommandations.
Base de référence en matière de sécurité
Répondre au niveau minimum d’exigences de sécurité requis par la politique
Procédure (procédure/étapes/procédures)
Étapes détaillées pour effectuer une tâche spécifique (spécifique)
La procédure est une description détaillée (COMMENT) des étapes spécifiques pour effectuer la tâche de protection.
organisation de sécurité
Haute direction (direction exécutive/PDG, CFO, COO)
Entièrement responsable de la sécurité des informations et dernière personne en charge de la sécurité des informations
Planifier la sécurité des informations, déterminer les objectifs et les séquences limitées et déléguer les responsabilités en matière de sécurité des informations
Clarifier les objectifs et les politiques de sécurité de l'information pour guider l'orientation des activités de sécurité de l'information
Fournir des ressources pour les activités de sécurité de l’information
Prendre des décisions sur des sujets importants
Coordonner la relation entre les différents maillons dans les différentes unités de l'organisation
expert en sécurité de l'information
Responsable de la mise en œuvre et du maintien de la sécurité délégué par la haute direction (généralement au CIO)
Concevoir, mettre en œuvre, gérer et réviser les politiques, normes, lignes directrices et procédures de sécurité de l'organisation.
Coordonner toutes les interactions liées à la sécurité entre les unités au sein de l'organisation
Directeur informatique, DSI
Superviser et être responsable des opérations techniques quotidiennes de l'entreprise
Directeur de la sécurité, CSO
Veiller à ce que les actifs d’information de l’entreprise soient correctement protégés
Jouer le rôle de coordonnateur et de facilitateur interne en matière de sécurité de l’information
Besoin de comprendre les objectifs d'affaires de l'organisation et de guider le processus de gestion des risques, Assurer le bon équilibre entre les opérations commerciales et les risques acceptables
Responsabilités spécifiques :
Budget pour les activités de sécurité de l'information
Élaboration de stratégies de développement, de procédures, de références, de normes et de lignes directrices
Développer un programme de sensibilisation à la sécurité
Participer aux réunions de direction
Assister aux audits internes et externes
Comité directeur de la sécurité
Les membres sont composés de personnes de tous les départements de l'organisation, y compris les dirigeants du PDG, le directeur financier, le directeur informatique, les chefs de département et les auditeurs internes en chef.
Se réunir au moins une fois par trimestre avec un ordre du jour clair
Responsabilités:
Définir le niveau de risque acceptable d’une organisation
Déterminer les objectifs et les stratégies de sécurité
La réponse aux besoins de l'entreprise détermine la priorité des activités de sécurité
Examiner les rapports d’évaluation des risques et d’audit
Surveiller l’impact commercial des risques de sécurité
Bilan des accidents nucléaires impliquant des violations majeures de la sûreté
Approuver tout changement important aux politiques et plans de sécurité
Le comité d'audit
Nommé par le conseil d'administration pour l'aider à examiner et évaluer les opérations internes de l'entreprise, les systèmes d'audit interne ainsi que la transparence et l'exactitude des états financiers.
Responsable:
L’intégrité des états financiers et de l’information financière de la société
Le système de contrôle interne de l'entreprise
Emploi et performance des auditeurs indépendants
Performance de la fonction d’audit interne
Se conformer aux exigences légales et aux politiques de l'entreprise liées à l'éthique
comité de gestion des risques
Comprendre les risques de l'organisation dans son ensemble et aider la haute direction à réduire les risques à des niveaux acceptables.
Étudiez les risques commerciaux globaux, et pas seulement les risques de sécurité informatique
plan de sécurité
La construction de la sécurité de l'information de l'organisation doit être réalisée conformément au plan, et le plan de gestion de la sécurité doit être descendant.
Responsabilités:
La haute direction définit la politique de sécurité de l'organisation
La couche intermédiaire complète les politiques de sécurité avec des normes, des lignes de base, des lignes directrices et des procédures, et surveille leur exécution.
Les chefs d'entreprise et les spécialistes de la sécurité sont chargés d'y mettre en œuvre les configurations développées dans la documentation de la cellule de sécurité.
Les utilisateurs finaux sont responsables du respect de toutes les politiques de sécurité de l'organisation
taper
Plan stratégique, plan stratégique
Plan à long terme, par exemple 5 ans
, relativement stable, définit les objectifs et la mission de l'organisation
plan tactique, plan tactique
Plan à moyen terme, par exemple 1 an
Une description détaillée des tâches et des progrès vers la réalisation des objectifs établis dans le plan stratégique, Tels que les plans d'emploi, les plans budgétaires, etc.
plan d'opération, plan opérationnel
Plans à court terme, très détaillés, fréquemment mis à jour
Mises à jour mensuelles ou trimestrielles telles que les plans de formation, les plans de déploiement du système, etc.
Sécurité du personnel (Chapitre 7)
Responsabilités du personnel
propriétaire des données
Responsable de la gestion d'un certain département commercial et responsable de la protection et de l'application d'informations spécifiques
Avoir un devoir de « diligence »
Responsabilités
Déterminer la classification des données
Définir les exigences de sécurité et les exigences de sauvegarde pour chaque classification
Définir les directives d'accès des utilisateurs
Rôle commercial plutôt que technique
Gestionnaire de données (dépositaire)
Le rôle du service informatique ou de sécurité
Responsabilités
Effectuer des sauvegardes régulières des données
Vérifier régulièrement l'intégrité des données
Sauvegarde pour restaurer les données
Mettre en œuvre les politiques, normes et directives de sécurité des informations de l'entreprise en matière de sécurité des informations et de protection des données.
propriétaire du système
Responsable d'un ou plusieurs systèmes, chacun pouvant contenir et traiter des données appartenant à différents propriétaires de données
Responsable de l'intégration des facteurs de sécurité dans les applications et les systèmes
S'assurer que les vulnérabilités du système sont évaluées
Adopter des mesures de sécurité adéquates pour assurer la sécurité du système
administrateur de sécurité
Responsable de la mise en œuvre, du suivi et de l’application des réglementations et politiques de sécurité
Rapport au comité de sécurité et au responsable de la sécurité de l'information
Auditeur des Systèmes d'Information
Vérifier le système pour déterminer si les exigences de sécurité sont respectées et si les contrôles de sécurité sont efficaces
Fournir une garantie indépendante pour la gestion des cibles de sécurité
analyste de sécurité
Aider à élaborer des politiques, des normes et des lignes directrices et à établir des références
Principalement au niveau de la conception, pas au niveau de la mise en œuvre
utilisateur
Être sensibilisé à la sécurité des applications, se conformer aux politiques de sécurité, utiliser le système de manière appropriée et signaler les incidents de sécurité
Contrôle du recrutement du personnel
vérification des antécédents
Réduisez les risques, réduisez les coûts de recrutement et réduisez le roulement du personnel
Évaluation des compétences
accord de confidentialité
Protéger les informations sensibles de l'entreprise
Contrôle du personnel sur le lieu de travail
Séparation des tâches
Personne ne devrait avoir le contrôle total d’une tâche sensible, précieuse ou critique du début à la fin.
Objectif : Moins de possibilités de fraude ou d'erreur
Exemple:
Dans les transactions financières, une personne est responsable de la saisie, la seconde est chargée de la vérification et la troisième est chargée de confirmer la transaction finale.
Maintenance Développement/Production, Gestion de la Sécurité/Opérations/Audit, Gestion des clés de chiffrement/modifications des clés
segmentation des connaissances
moindre privilège
Autorisations minimales requises pour attribuer des responsabilités
rotation des postes
Ne laissez pas une personne occuper un poste fixe trop longtemps pour éviter que les individus n'obtiennent trop de contrôle.
Mettre en place un renfort du personnel pour faciliter la formation croisée et détecter la fraude
congé obligatoire
Forcer le personnel d'un service sensible à prendre congé peut détecter efficacement la fraude, la modification des données, l'abus des ressources, etc.
Contrôle des départs du personnel
Désactivation des droits d'accès pour le personnel démissionnaire
Recyclage d'objets identifiables
Contrôle du personnel par des tiers
Si le tiers n'est pas présent mais dispose des droits d'administrateur
Des accords de confidentialité doivent être signés avec des organisations tierces et des individus
Surveiller toutes les activités de travail de tiers
S'assurer que l'identité du personnel tiers est vérifiée lors de l'accès
Si un tiers est présent et dispose des droits d'administrateur
Sur la base des mesures ci-dessus, des vérifications supplémentaires des antécédents du personnel
Le personnel tiers quitte le site et doit reprendre les autorisations pertinentes
Ajoutez des exigences de confidentialité et des conditions commerciales associées aux conditions contractuelles avec des tiers.
Sensibilisation, formation et éducation à la sécurité
Éducation
Fournir aux professionnels de la sécurité les compétences professionnelles nécessaires à leur travail.
Chemin:
Orientation théorique, séminaires, lectures et études, recherche
informations sur la sécurité
"Pourquoi"
Entraînement
Enseigner les compétences professionnelles liées à la sécurité, principalement au personnel de gestion et de maintenance des systèmes d'information
Chemin:
Conseils pratiques, conférences, études de cas, expériences
acquérir des connaissances
"Comment faire"
Conscience
La conscience collective générale parmi les employés d'une organisation de l'importance de la sécurité et des contrôles
Chemin:
Vidéo, médias, affiches, etc.
Envoyer le message
"Qu'est-ce que c'est"
Gestion des risques
concept:
Identifier et évaluer les risques, réduire les risques à des niveaux acceptables, Mettre en œuvre des mécanismes appropriés pour maintenir ce niveau de processus
Un environnement 100% sûr n'existe pas, la gestion des risques est Équilibre bénéfice/coût, sécurité/utilisabilité
Risque = Menace * Vulnérabilité * Valeur de l'actif
Risque = possibilité * impact
Éléments associés
Actifs : actifs informationnels qui ont de la valeur pour l'organisation
Peut causer des dommages aux actifs ou à l'organisation Causes potentielles d'un incident de sécurité
menacer
Modélisation des menaces (FOULÉE)
La modélisation des menaces a une approche structurée pour Les menaces pouvant affecter le système sont systématiquement identifiées et évaluées.
Pour voir qui est le plus susceptible de vouloir nous attaquer, vous pouvez commencer par réfléchir Réfléchissez violemment à la façon dont ils peuvent atteindre leurs objectifs, puis Proposer des contre-mesures pour prévenir de telles attaques
vulnérabilité (vulnérabilité)
Une vulnérabilité ou une faiblesse qui existe dans un actif ou un groupe d'actifs et qui peut être exploitée par une menace. Faiblesses qui, une fois exploitées, peuvent causer des dommages aux actifs
risque
Possibilité qu'une menace spécifique cause des dommages à un actif ou à un groupe d'actifs en exploitant les faiblesses d'un actif.
possibilité
Influence
Conséquences, dommages ou préjudices directs ou indirects causés à une organisation par un événement inattendu
mesures de sécurité
Contrôles ou contre-mesures qui limitent les événements inattendus en empêchant les menaces et en minimisant les vulnérabilités Mécanismes, méthodes et mesures pour réduire les risques par l'impact et d'autres moyens
risque résiduel
Risques qui subsistent après la mise en œuvre des mesures de sécurité
l'évaluation des risques (Évaluation)
mission principale :
Identifier les éléments qui présentent un risque
Évaluer la probabilité et l'impact d'un risque, et finalement évaluer le niveau ou l'ampleur du risque
Déterminer la capacité de l'organisation à résister aux risques
Déterminer les stratégies, les objectifs et les priorités de réduction et de contrôle des risques
Recommander des contre-mesures d’atténuation des risques pour la mise en œuvre
méthode
Évaluation des risques (ISO27005)
Identifier les risques
Analyser les risques
Évaluer le risque
NIST SP800-30 et SP800-66
Approche RA qualitative, centrée sur les risques informatiques
1. Classification du système ; 2. Identification des faiblesses ; 3. Identification des menaces ; 4. Identification des contre-mesures ; 5. Évaluation des possibilités ; 6. Évaluation de l'impact ; 7. Évaluation des risques ; 8. Recommandation de nouvelles contre-mesures ; 9. Documenter le rapport ;
OCTAVE
Une spécification autonome d'évaluation des risques de sécurité de l'information basée sur les risques liés aux actifs informationnels, Il met l’accent sur les atouts et comprend 3 étapes et 8 processus.
L'approche OCTAVE déploie des programmes de gestion des risques à l'échelle de l'organisation et s'intègre aux plans de sécurité
CRAMMM
Processus de base : identification et évaluation des actifs ; évaluation des menaces et de la vulnérabilité et recommandations ;
FRAP
Présélectionné pour se concentrer uniquement sur les systèmes qui nécessitent réellement une évaluation afin de réduire les coûts et les délais
Situation budgétaire limitée
STA
Créez une arborescence de toutes les menaces auxquelles un système peut être confronté. Les branches peuvent représenter des éléments tels que les cybermenaces, Les catégories telles que les menaces physiques et les pannes de composants nécessitent l'élagage des branches inutilisées lors de l'exécution de l'évaluation des risques.
FEMA
Dérivé de l'analyse du matériel. Examiner la défaillance potentielle de chaque composant ou module et examiner l'impact de la défaillance
AS/NZS4360
Une méthode australienne d’évaluation des risques non utilisée spécifiquement pour la sécurité
processus d'évaluation
Identifier les actifs informationnels
Identifier le propriétaire, le dépositaire et l'utilisateur de chaque actif
Établir une liste d'actifs et identifier les actifs informationnels en fonction des processus métiers
La forme sous laquelle les actifs informationnels existent
Données électroniques : bases de données et fichiers de données, manuels d'utilisation, etc.
Contrats écrits : contrats, orientations stratégiques, documents archivés, résultats commerciaux importants
Actifs logiciels : logiciels d'application, logiciels système, outils de développement, logiciels
Actifs physiques : supports magnétiques, électricité et climatisation, infrastructure réseau, serveurs, etc.
Personnel : une personne ou un rôle doté de capacités et de responsabilités spécifiques
Services : services informatiques et de communication, services d'externalisation, autres services techniques
Image organisationnelle et réputation : actifs incorporels
Évaluer les actifs informationnels
Facteurs d'évaluation
perte directe causée par un dommage
Le coût du recouvrement des actifs, y compris les coûts de main-d'œuvre et physiques de détection, de contrôle et de réparation
Perte d'image publique et de réputation de l'organisation, perte d'avantage concurrentiel
Autres pertes, telles que l'augmentation des coûts d'assurance
Classer les actifs en fonction de leur importance (impact ou conséquences), Tenez également compte des conséquences possibles d’une confidentialité, d’une intégrité et d’une disponibilité compromises.
Identifier et évaluer les menaces
Un actif peut faire face à plusieurs menaces, et une menace peut affecter plusieurs actifs.
Identifier les sources de menaces
Menace pour le personnel
Menaces système
menaces environnementales
menaces naturelles
L'évaluation de la probabilité d'une menace prend en compte la motivation et les capacités de la source de la menace.
Identifier et évaluer les faiblesses
Vulnérabilités exploitables possibles pour chaque actif
faiblesse technique
faiblesses opérationnelles
faiblesse managériale
voie d'identification
Rapports d'audit, rapports de pratique, rapports d'inspection de sécurité, rapports de test et d'évaluation du système
Outils automatisés d'analyse des vulnérabilités
L'évaluation des risques (Évaluation)
Impact du risque
probabilité de risque
stratégie de gestion des risques
Méthodes de traitement des risques
Atténuer/réduire/affaiblir le risque (Atténuer/Réduire les risques) (mesures de contrôle supérieures)
réduire les menaces
Implémenter des contrôles de code malveillant
réduire les faiblesses
Renforcer les capacités d’exploitation en toute sécurité grâce à une formation de sensibilisation à la sécurité
réduire l'impact
Planification de reprise après sinistre et continuité des activités planifier et faire des sauvegardes
éviter le risque (Éviter/Risque)
risque de transfert (Risque de transfert) (externalisation/achat d'assurance)
accepter le risque (Accepter le risque)
Stratégies de sélection des mesures de contrôle des risques
L'analyse coûts-avantages
Principe de base : le coût de la mise en œuvre des mesures de sécurité Ne doit pas être supérieur à la valeur du bien à protéger
Coût des contre-mesures : coût d’achat, impact sur l’efficacité de l’entreprise , ressources humaines et matérielles supplémentaires, frais de formation, frais de maintenance, etc.
Valeur du contrôle = ALE avant contrôle - ALE après contrôle - Coût annuel du contrôle
Restrictions
contraintes de temps, contraintes techniques, contraintes environnementales
contraintes juridiques, contraintes sociales
Fonctions de base et efficacité des mesures de protection
Évaluer le risque résiduel
Risques qui subsistent ou subsistent après la mise en œuvre des contrôles de sécurité
Risque résiduel Rr = risque initial R0 - efficacité du contrôle R
Risque résiduel <= risque acceptable Rt
Évaluation quantitative des risques
L'analyse quantitative des risques tente de fournir tous les éléments du processus d'analyse des risques reçoivent des chiffres spécifiques et significatifs
Coût des mesures de protection, valeur des actifs, impact commercial, fréquence des menaces Chaque élément, y compris l'efficacité des mesures de protection et la probabilité d'exploitation de la vulnérabilité, sont quantifiés, et enfin le risque total et le risque résiduel sont calculés
Étapes d’analyse quantitative :
Attribuer de la valeur aux actifs
Estimer les pertes potentielles pour chaque menace
Évaluer les menaces et les vulnérabilités et évaluer les menaces spécifiques L'impact sur un actif spécifique, c'est-à-dire EF (0 % ~ 100 %)
Effectuer une analyse des menaces
Calculer le taux d'occurrence annuel (ARO)
Fréquence d'occurrence : ARO (Taux Annuel d'Occurrence)
Calculé pour chaque actif et menace Espérance de perte unique (SLE) de
SLE (espérance de perte unique) = valeur de l'actif (valeur de l'actif) × EF (facteur d'exposition)
Calculer les pertes annuelles potentielles pour chaque menace
Espérance de perte annuelle (ALE) calculée par menace
ALE = SLE × ARO
Évaluation qualitative des risques
Considérez divers scénarios dans lesquels des risques peuvent survenir et évaluez-les en fonction de différentes perspectives. Classement de la gravité de diverses menaces et de l'efficacité de diverses contre-mesures
techniques d'analyse qualitative
Jugement, bonnes pratiques, intuition et expérience
Techniques d'analyse qualitative pour la collecte de données
Méthodes de prise de décision en groupe, Delphi
questions de l'enquête
examiner
Entretien
Comparaison des méthodes qualitatives et quantitatives
Les méthodes et résultats qualitatifs sont relativement subjectifs
Les méthodes qualitatives ne peuvent pas établir une valeur monétaire pour l'analyse coûts/avantages
Les méthodes quantitatives nécessitent beaucoup de calculs et sont difficiles à mettre en œuvre
Classification de l'information et gestion hiérarchique
Objectif : Décrire le niveau de protection de la confidentialité, de l'intégrité et de la disponibilité requis pour chaque ensemble de données.
En fonction de la sensibilité des informations, l'entreprise adopte différentes mesures de contrôle de sécurité. Veiller à ce que les informations soient protégées de manière appropriée et donner la priorité à la protection de la sécurité (tout en évitant la surprotection)
société commerciale
confidentiel
confidentialité
sensible
publique
établissement militaire
Top secret (Top secret)
Secrète
confidentiel (Confidentiel)
Sensible mais non classé
non classé
Juridique, Éthique, Conformité
crime d'ordinateur
Caractéristiques de la criminalité informatique :
Il est difficile d’enquêter et de recueillir des preuves, et celles-ci sont facilement détruites.
Les lois pertinentes sont incomplètes
Caractéristiques interrégionales
Statistiquement parlant, les initiés sont plus susceptibles de commettre des crimes
Les institutions victimisées omettent parfois de faire rapport, de peur d'affecter le fonctionnement normal de l'institution et de nuire à la confiance des utilisateurs dans l'institution.
Types de délits informatiques
criminalité assistée par ordinateur
Utilisation d'un ordinateur comme outil d'aide à la commission d'un crime ; Les ordinateurs ne sont pas un facteur nécessaire de criminalité, mais servent d'outils pour aider les criminels.
Crime ciblé par ordinateur
Crimes contre les ordinateurs, les réseaux et les informations stockées sur ces systèmes
Crime informatique
L'ordinateur n'est pas nécessairement l'attaquant ou la victime, Il se trouve qu'il était impliqué dans l'attaque lorsqu'elle s'est produite.
lois relatives à l'informatique
Système légal
loi commune
droit civil
Loi criminelle
loi administrative
système de droit civil
système de common law
système juridique religieux
système juridique mixte
Loi sur la propriété intellectuelle
secret de commerce
La capacité de l'entreprise à être compétitive ou à commercialiser est essentielle
Peu connue, l'entreprise a investi des ressources et des efforts pertinents pour développer
Bénéficiez d’une protection appropriée de la part de l’entreprise pour empêcher toute divulgation ou utilisation non autorisée
Exemple:
distribution de produits
Code source du programme
Algorithme de cryptage
droits d'auteur
Droits légalement protégés de publier, copier, afficher et modifier publiquement la plupart des œuvres
Elle ne protège pas la créativité de l’œuvre, mais l’expression de la créativité.
Exemple:
Code de programme, code source et fichiers exécutables, même interfaces utilisateur
littérature
peinture
mélodie de la chanson
marque déposée
Il protège les mots, noms, symboles, formes, sons, couleurs qui représentent l'image de l'entreprise.
Les marques sont généralement enregistrées auprès d'une agence d'enregistrement des marques
Une marque est une marque de qualité et de crédibilité établie par une entreprise dans ses opérations sur le marché.
brevet
Reconnaissance juridique de la propriété d'un brevet par un titulaire de brevet ou une entreprise, interdisant toute utilisation non autorisée par des tiers ou des entreprises
Le brevet est valable 20 ans
Exemple:
formulations médicamenteuses
Algorithme de cryptage
Classement des logiciels
logiciel gratuit
partagiciel
logiciels open source
logiciel commercial
logiciel académique
confidentialité
cible de traitement
Cherche de manière proactive à protéger les informations personnelles identifiables (PII) des citoyens
Rechercher de manière proactive un équilibre entre les besoins du gouvernement et des entreprises et les problèmes de sécurité concernant la collecte et l'utilisation des informations personnelles.
la vie privée
taper:
le droit d'être laissé seul
Protection contre les droits déraisonnables contre les individus
Le droit de décider quelles informations personnelles peuvent être divulguées et à qui
Points à noter :
Pour éviter toute atteinte déraisonnable, l’essentiel est le consentement éclairé et les mesures de protection appropriées.
Pour éviter le manque de méthodes appropriées, l'objectif ultime est « l'équité et la justice » et il existe un mécanisme de correction des erreurs.
Principes d'utilisation des informations personnelles
Obligations du responsable du traitement des données personnelles
La collecte de données personnelles nécessite le consentement de la personne concernée et la notification de la finalité
Ne collectez que les données liées à la finalité et à l’utilisation et ne les conservez que pendant la durée nécessaire à la finalité.
Modalités de collecte des données Modalités de finalité des données
Prendre des mesures raisonnables, techniques, de gestion et opérationnelles, pour empêcher toute violation malveillante des informations personnelles, Garantir l’intégrité et la confidentialité des données, et éliminer les données obsolètes pour empêcher l’accès à ceux qui n’ont pas besoin d’effectuer le travail pertinent.
Obligations et droits des personnes concernées
Vérifier les informations collectées et corriger les erreurs
violation de données
Chaque incident de sécurité doit être suivi d’une enquête visant à déterminer s’il y a eu une violation de données.
éthique
Code d'éthique ISC2
Protéger la société, les intérêts publics et les infrastructures, et gagner la confiance du public nécessaire Agir avec intégrité, honnêteté, équité, responsabilité et respect des lois Promouvoir le développement de l’industrie et maintenir la réputation professionnelle Rigoureux, responsable et professionnel
Association d'éthique informatique
Comité de recherche sur l'architecture Internet
mythe de la criminalité informatique
Exigences PCA et DRP
Présentation du BCP/DRP (Chapitre 7)
qu'est-ce qu'un désastre
Des accidents soudains et malheureux qui entraînent de lourdes pertes.
inclure:
Catastrophes naturelles, telles que tremblements de terre, inondations, incendies naturels, éruptions volcaniques et conditions convectives sévères
Système/technique, comme le matériel, les interruptions logicielles, les erreurs système/de programmation
Systèmes d'approvisionnement, pannes de communication, pannes du système de distribution, ruptures de canalisations
Artificiel, explosion, incendie, vandalisme, contamination chimique, code nocif
Activités politiques, terroristes, émeutes, grèves
désastre organisationnel
Pour une organisation, tout ce qui entraîne l'abandon de fonctions commerciales critiques. Les événements qui ne peuvent être réalisés dans un certain délai sont considérés comme des catastrophes.
Caractéristiques:
Panne de service imprévue
Interruption de service prolongée
La panne ne peut pas être résolue par les procédures normales de gestion des problèmes.
Les perturbations entraînent des pertes importantes
deux éléments
La criticité des fonctions métiers impactées par la panne
durée de l'interruption
Plan de reprise après sinistre, DRP
Objectifs de reprise après sinistre
Réduire l’impact d’un sinistre ou d’une interruption d’activité
Prendre les mesures nécessaires pour garantir que les ressources, les personnes et les processus commerciaux soient rétablis le plus rapidement possible
ont tendance à accorder plus d'attention au niveau informatique
Plan de Continuité d'Activité, PCA
objectifs de continuité des activités
S'assurer que l'organisation peut toujours maintenir ses opérations commerciales face à diverses situations
Résoudre les problèmes dans une perspective à plus long terme, en fournissant principalement des méthodes et des mesures en cas d'arrêts de production à long terme et de catastrophes.
Cible objectif
Fournir une réponse rapide et appropriée en cas d’urgence
Protéger les vies et assurer la sécurité
Réduire l’impact sur les entreprises
Restaurer les fonctions commerciales critiques
Réduire le chaos lors de catastrophes
Assurer la viabilité de l’entreprise
Soyez « opérationnel » rapidement après un sinistre
Le PCA doit être cohérent avec les objectifs commerciaux de l'organisation et faire partie du processus décisionnel global.
Le PCA doit faire partie du programme de sécurité de l'organisation et être coordonné avec d'autres éléments du programme de sécurité.
Normes et bonnes pratiques
NISTSP800-34
Élaborer une stratégie de planification de la continuité (politique)
Réaliser une analyse d’impact business (BIA)
Déterminer les méthodes de contrôle préventif
Élaborer une stratégie de rétablissement
Développer le PCA
Tester le PCA
Maintenir le plan de continuité des activités
ISO27031
ISO22301
Planification du projet PCA
Activités préparatoires avant le lancement du projet BCP
Déterminer les besoins en PCA, qui peuvent inclure une analyse des risques ciblée pour identifier les perturbations possibles des systèmes critiques
Comprendre les lois, réglementations, normes industrielles pertinentes et les activités de l'organisation et les exigences de planification technique pour garantir que le PCA est cohérent avec
Nommer un chef de projet PCA et constituer une équipe PCA comprenant des représentants des services métiers et techniques
Élaborer un plan de gestion de projet, qui doit définir clairement la portée du projet, ses objectifs, Méthodes, responsabilités, tâches et progrès
Organiser une réunion de lancement du projet pour obtenir le soutien de la direction
Déterminer les outils d'automatisation nécessaires à la collecte de données
Formation aux compétences nécessaires et activités de sensibilisation pour les installations
Chef de projet PCA
En tant que chef de projet PCA, le coordonnateur de la continuité des affaires est entièrement responsable de la planification du projet, Préparation, formation et autres travaux
Tâches de travail
Communication et liaison entre l'équipe de développement du programme et la direction
Le droit de contacter et de communiquer directement avec toutes les personnes impliquées dans le plan
Comprendre parfaitement l'impact d'une interruption d'activité sur les activités de l'organisation
Familier avec les besoins et les opérations de l'organisation et la capacité d'équilibrer les différents besoins des départements concernés de l'organisation
Un accès facilité à la haute direction
Comprendre l’orientation commerciale de l’organisation et les intentions de la haute direction
Capacité à influencer les décisions de la haute direction
Rôles clés dans le projet BCP
Équipe de récupération, plusieurs équipes qui effectuent l'évaluation, la récupération, la restauration et d'autres travaux connexes après une catastrophe
Les représentants des unités commerciales identifient les fonctions commerciales critiques de l'organisation et aident à la sélection et au développement de stratégies de rétablissement.
Département IT
service de communication
Département de la sécurité de l'information
représentant légal
Stratégie PCA
Le plan BCP devrait à terme former un cadre stratégique de continuité des activités. Les modalités inscrites dans le PCA
objectifs, portée, besoins
Principes de base et lignes directrices
Devoirs et responsabilités
Exigences de base pour les liens clés
Les termes de la politique doivent être formellement approuvés par la haute direction et publiés en tant que politique organisationnelle pour guider les efforts de continuité des activités.
Analyse d’impact sur les activités BIA
Présentation de l’analyse d’impact sur les activités
Identifier les zones qui pourraient causer des dommages importants ou une perturbation opérationnelle en cas de catastrophe
Méthode d'analyse BIA
Analyse qualitative pour déterminer l'impact d'une catastrophe ou d'un événement de perturbation en termes de gravité
Analyse quantitative de l'impact d'une catastrophe ou d'un événement perturbateur en termes monétaires
Objectif LFI
Aider la direction à comprendre les impacts potentiels des perturbations
Identifier les fonctions commerciales clés et les ressources informatiques qui prennent en charge ces fonctions
Aider les gestionnaires à identifier les lacunes dans le soutien fonctionnel organisationnel
Séquencer la récupération des ressources informatiques
Analyser l'impact des pannes
Déterminer les fenêtres de récupération pour chaque fonction commerciale
Processus BIA
Identifier les techniques de collecte d'informations
Sélectionnez les répondants
Identifier les fonctions commerciales critiques et leurs ressources de soutien
Déterminer combien de temps ces fonctionnalités survivraient si le support de ces ressources était perdu
Identifier les faiblesses et les menaces
Calculer le risque pour chaque fonction commerciale
Préparez-vous à soumettre le rapport BIA
Problèmes
Suggestions de réponses
Analyse des informations BIA
Organiser, corréler, analyser et confirmer
Outils automatisés qualitatifs et quantitatifs Aider à l’intégration et à l’analyse des informations
Le représentant de l'entreprise vérifie et confirme les résultats de l'analyse des informations
Déterminer le temps d'interruption autorisé MTD
La tâche principale de l'analyse d'impact sur l'entreprise est d'identifier les fonctions commerciales clés et Le temps d'interruption maximum autorisé MTDs de ses ressources prises en charge
Les ressources qui prennent en charge plusieurs fonctions commerciales sont plus critiques
Le temps d'interruption dépasse le temps d'interruption maximum autorisé (Temps d'arrêt maximum tolérable) rendra difficile la restauration de l’activité, plus les fonctions ou ressources sont critiques
Séquencer la récupération des fonctions métier critiques et de leurs ressources de support en fonction des MTD
Détermination des ressources de soutien
Identifier toutes les ressources de support pour les fonctions critiques (y compris les ressources non informatiques), La durée d'utilisation de la ressource et l'impact du manque de ressource sur la fonction et interdépendances entre les ressources
Mesures de reprise après sinistre
Temps de récupération du travail, WRT
Le temps de récupération du travail est relativement fixe
Objectif de temps de récupération, objet de temps de récupération, RTO
Avant que l’indisponibilité du système n’affecte sérieusement l’organisation Le temps maximum autorisé à être consommé
Objectifs de point de récupération, objectifs de point de récupération, RPO
Le moment auquel les données doivent être récupérées afin de poursuivre le traitement. Autrement dit, la quantité maximale de perte de données autorisée
RTO WRT = MTD