Wondershare EdrawMind
Галерея диаграмм связей OSG9 Глава 2 Концепции безопасности персонала и управления рисками
- 2
OSG9 Глава 2 Концепции безопасности персонала и управления рисками
Глава 2. Концепция безопасности персонала и управления рисками. CISSP (Сертификация специалиста по безопасности информационных систем) — это профессиональная сертификация по безопасности информационных систем. Этот сертификат представляет собой авторитетную сертификацию международных специалистов по безопасности информационных систем.
Отредактировано в 2023-07-14 11:25:48
OSG9 Глава 2 Концепции безопасности персонала и управления рисками
- Рекомендовано вам
- Структура
Примечания к исследованию CISSP-21 (атаки с использованием вредоносного кода и приложений)
- 4
Глава 2. Концепции безопасности персонала и управления рисками
2.1 Политика и процедуры обеспечения безопасности персонала
2.1.1 Должностная инструкция и обязанности
Должностные обязанности (должностные обязанности) относятся к конкретным рабочим задачам, которые сотрудники регулярно выполняют.
Должностные инструкции не являются специфичными для процесса найма и должны сохраняться на протяжении всей жизни организации.
2.1.2 Отбор кандидатов и набор на работу
Отбор кандидатов на конкретные должности основан на уровнях чувствительности и классификации, определенных должностной инструкцией.
Проверка анкетных данных включает в себя
Узнайте о месте работы и образовании кандидата.
Проверьте ссылки
Подтвердить академическую квалификацию
Интервью коллег
Проверьте записи полиции и правительства об арестах или незаконной деятельности.
Подтвердите личность с помощью отпечатка пальца, водительских прав или свидетельства о рождении.
Просматривая онлайн-информацию в социальной сети человека, можно быстро составить общую картину отношения, интеллекта, лояльности, здравого смысла, усердия, честности, уважения, последовательности и соблюдения социальных норм и/или корпоративной культуры человека.
Проводить собеседования с квалифицированными претендентами на работу
Как набрать удовлетворительных сотрудников, необходимо подробно описать должностные обязанности
2.1.3 Адаптация: трудовой договор и стратегия
Онбординг — это процесс добавления новых сотрудников в организацию.
Подписать трудовой договор
Соглашение о неразглашении (NDA)
Соглашение о неконкуренции (NCD)
2.1.4 Надзор за сотрудниками
Менеджеры должны периодически пересматривать или проверять должностные инструкции, должностные обязанности, привилегии и обязанности каждого сотрудника на протяжении всего периода его работы.
Аналитика поведения пользователей (UBA)
Аналитика поведения пользователей и объектов (UEBA)
Информация, собранная в ходе мониторинга UBA/UEBA, может быть использована для улучшения политики, процедур, обучения и соответствующих программ по надзору за безопасностью персонала.
2.1.5 Процедуры отставки, перевода и увольнения
Оффбординг — это процесс, противоположный адаптации, когда сотрудник покидает компанию, а его личность удаляется из системы IAM.
Полный процесс увольнения: Это может включать в себя отключение и/или удаление учетных записей пользователей, отзыв сертификатов, отзыв кодов доступа и прекращение других специально предоставленных привилегий. Обычно учетную запись бывшего сотрудника отключают, чтобы его личность сохранялась в течение нескольких месяцев в целях аудита.
В процессе увольнения важно иметь прочные отношения между отделом безопасности и отделом кадров (HR), чтобы поддерживать контроль и минимизировать риск.
Вопросы безопасности отставки
Построение прочных отношений между ресурсными (HR) отделами важно для поддержания контроля и минимизации рисков.
Убедитесь, что сотрудники вернули все оборудование и расходные материалы компании из своих автомобилей в свои дома.
Организуйте охранника, который будет сопровождать уволенного сотрудника во время сбора личных вещей на рабочем месте.
Уведомите всех сотрудников службы безопасности, патрульных или лиц, контролирующих входы и выходы, чтобы бывшие сотрудники не могли повторно войти в здание без сопровождения.
подтема
Уволен: время решает все
ИТ-отдел попросил вернуть ноутбук.
Отключить сетевую учетную запись
Деактивировать персональные идентификационные номера или смарт-карты на входах на рабочие места
Отозвать разрешение на парковку
Распространить схему корпоративной реструктуризации
Разместите новых сотрудников в их кабинетах или на рабочих местах.
Допустить утечку информации об увольнении в СМИ
2.1.6 Соглашения и меры контроля с поставщиками, консультантами и подрядчиками
Соглашение об уровне обслуживания (SLA) — это метод, гарантирующий, что организация, предоставляющая услугу, поддерживает соответствующие уровни обслуживания на основе соглашения между поставщиком услуг, поставщиком или подрядчиком и организацией-заказчиком.
Соглашения об уровне обслуживания и меры контроля для поставщиков, консультантов и подрядчиков являются важной частью снижения и предотвращения рисков.
Система управления поставщиками (VMS): VMS — это программное решение, которое помогает управлять и закупать кадровые услуги, оборудование, программное обеспечение и другие необходимые продукты и услуги.
Аутсорсинг — это термин, который обычно относится к использованию сторонней третьей стороны, такой как поставщик, консультант или подрядчик, вместо выполнения задач или операций собственными силами. Аутсорсинг может быть вариантом реагирования на риск, известный как риск передачи или назначения.
2.1.7 Требования политики соответствия
Соблюдение требований — это акт соответствия или соблюдения правил, политики, положений, стандартов или требований.
Комплаенс — это административная или управленческая форма контроля безопасности.
Обеспечение соблюдения требований относится к санкциям или последствиям, налагаемым за несоблюдение политик, обучения, передового опыта и/или правил.
Соблюдение требований также является вопросом регулирования.
2.1.8 Требования политики конфиденциальности
Некоторые определения конфиденциальности
Проактивная защита от несанкционированного доступа к информации, позволяющей установить личность (т. е. данным, непосредственно связанным с физическим лицом или организацией), известной как информация, позволяющая установить личность (PII).
Предотвратите несанкционированный доступ к личной или конфиденциальной информации
Чтобы предотвратить наблюдение, мониторинг или проверку без согласия или ведома.
Персональная информация (PII)
номер телефона
электронная почта
почтовый адрес
номер социального страхования
Имя
IP и Mac (Германия и страны-члены ЕС в некоторых случаях также признаются PII)
Общий регламент ЕС по защите данных (GDPR) (Регламент [ЕС] 2016/679)
Законы и правила США о конфиденциальности
Закон о переносимости и подотчетности медицинского страхования (HIPAA),
Закон Сарбейнса-Оксли (SOX)
Закон о правах семьи на образование и конфиденциальности (FERPA)
Закон о модернизации финансовых услуг
2.2 Понимать и применять концепции управления рисками
концепция
Управление рисками — это детальный процесс
Определить факторы, которые могут привести к повреждению или утечке активов.
Оцените эти факторы в сравнении со стоимостью активов и стоимостью средств контроля.
Внедрение экономически эффективных решений для снижения рисков
Основная цель управления рисками – снизить риск до приемлемого уровня.
Риски для ИТ-инфраструктуры связаны не только с компьютерами
НЕСЧАСТНЫЙ СЛУЧАЙ
природная катастрофа
финансовые угрозы
гражданские беспорядки
Эпидемии, физические угрозы
использование технологий
социальная инженерия и т. д.
Два основных элемента управления рисками
Оценка рисков или анализ рисков: относится к изучению рисков в окружающей среде, оценке вероятности возникновения каждого опасного события и причиненных убытков, если оно действительно произойдет, а также оценке затрат на каждое из них и мер по контролю рисков.
Реагирование на риски: включает в себя использование анализа затрат/выгод для оценки средств управления рисками, защитных мер и мер безопасности, корректировку результатов оценки на основе других условий, проблем, приоритетов и ресурсов, а также внесение рекомендаций в отчет для плана реагирования высшего руководства.
Осведомленность о рисках — это работа, проводимая для повышения осведомленности о рисках внутри организации. Осведомленность о рисках помогает организации понять важность соблюдения политик безопасности и последствия сбоев в обеспечении безопасности.
толерантность к риску
2.2.1 Термины и концепции риска
Актив: активом может быть что угодно, используемое в бизнес-процессе или задаче. Основная задача — защитить активы и обеспечить экономическую эффективность.
Оценка активов: Оценка активов — это денежная стоимость, присвоенная активу на основе ряда факторов, включая важность для организации, использование в ключевых процессах, фактическую стоимость и неденежные затраты, такие как время, внимание, производительность, НИОКР и т. д. ).
Угроза: любое потенциальное событие, которое может произойти и вызвать неблагоприятные или неожиданные последствия для организации или конкретного актива, представляет собой угрозу.
Агент/агент угрозы: агент угрозы или субъект угрозы целенаправленно использует уязвимость.
Инциденты угроз. Инциденты угроз представляют собой случайное и преднамеренное использование уязвимостей.
Вектор угрозы: вектор угрозы или вектор атаки относится к пути или средствам, используемым атакой или злоумышленником для доступа к цели с целью причинения вреда. Внешние невозможно устранить, например, сами хакеры не могут это контролировать.
Уязвимость: Уязвимость — это слабость актива, слабость мер защиты или контроля или отсутствие мер безопасности или контроля/контроля, внутренних, и часто создающих ответственность (техническую или управленческую).
Подверженность: Подверженность — это вероятность того, что угроза нанесет ущерб активу.
Риск: Риск — это вероятность или вероятность того, что угроза воспользуется уязвимостью, чтобы нанести ущерб активу, а также серьезность ущерба, который может быть причинен.
Риск = Угроза * Уязвимость
Риск = вероятность причинения вреда * тяжесть вреда
Риск = вероятность * влияние
Защитная мера: Защитная мера, контроль безопасности, механизм защиты или контроль — это все, что устраняет или уменьшает уязвимость или защищает от одной или нескольких конкретных угроз.
Атака. Под атакой подразумевается злоумышленник, намеренно пытающийся использовать уязвимость, чтобы вызвать повреждение, потерю или утечку активов.
Нарушение: Нарушение, вторжение или проникновение происходит, когда механизм безопасности обходит или блокирует злоумышленник.
2.2.2 Оценка активов
Анализ рисков начинается с инвентаризации всех активов организации. После завершения инвентаризации необходимо оценить каждый актив.
Годовые затраты на защитные меры < Ежегодные ожидания потерь производства
Методы оценки стоимости
стоимость покупки
Затраты на разработку
Административные или управленческие расходы
расходы на техническое обслуживание или содержание
Стоимость приобретения актива
Затраты на защиту или поддержание актива
Значение владельца и пользователя
ценность для конкурентов
Интеллектуальная собственность или стоимость акций
Рыночная оценка (устойчивая цена)
цена замены
Увеличение или снижение производительности
Запасы и операционные затраты на потери
Ответственность за ущерб активам
Практичность
отношения в области исследований и разработок
2.2.3 Выявление угроз и уязвимостей
Фундаментальной частью управления рисками является выявление и изучение угроз.
Это предполагает создание максимально полного списка угроз для выявленных активов организации. Список должен включать субъектов угроз, а также события угроз.
При составлении списка угроз обязательно учитывайте угрозы из различных источников.
Подробный и формальный список примеров, концепций и классификаций угроз.
НИСТ СП 800-30 Ред.I Приложение D «Источники угроз» и Приложение E «События угроз» в
В большинстве случаев оценку и анализ рисков выполняет команда.
2.2.4 Оценка/анализ рисков
Оценка/анализ рисков в первую очередь является обязанностью высшего руководства.
Старшее руководство несет ответственность за инициирование и поддержку анализа и оценки рисков путем определения объема и целей работы.
Риск индивидуален или, по крайней мере, специфичен для организации, в зависимости от ее активов, угроз, агентов угроз/субъектов угроз и их толерантности к риску.
методы оценки рисков
Количественный риск: анализ основан на математических расчетах, в которых используются фактические денежные значения для расчета потерь активов.
Качественный риск: анализирует субъективную и нематериальную ценность потерь активов и учитывает мнения, чувства, интуицию, предпочтения, мысли и внутренние реакции, высокий, средний и низкий.
Целью оценки рисков является выявление рисков (на основе комбинаций активов и угроз) и их приоритетность по важности.
Смешение количественного и качественного анализа в окончательном процессе оценки рисков организации называется гибридной оценкой или гибридным анализом.
Качественные методы анализа рисков
Мозговой штурм
Раскадровка
фокус-группа
расследование
Анкета
Контрольный список
встреча один на один
интервью
Сцены
Сценарий — это письменное описание одной серьезной угрозы.
Сосредоточьтесь на описании того, как возникают угрозы и какое влияние они могут оказать на организацию, ИТ-инфраструктуру и конкретные активы.
Технология Делфи
Техника Дельфи — это просто процесс анонимной обратной связи и ответов, используемый для анонимного достижения консенсуса в группе.
Цель состоит в том, чтобы получить честные и объективные отзывы от всех участников.
Экспертный, анонимный, несколько раундов
Количественные методы анализа риска
Количественный анализ риска может рассчитать конкретный индекс вероятности или численно указать вероятность связанного риска.
Основные этапы количественного анализа рисков
Подготовьте инвентаризацию активов и присвойте стоимость активов (AV) каждому активу.
Исследуйте каждый актив и составьте список всех возможных угроз для каждого актива. Формируйте комбинации активов и угроз
Для каждой комбинации активов и угроз рассчитайте коэффициент подверженности (EF).
Для каждой комбинации активов и угроз рассчитывается ожидание единого убытка (SLE).
Выполните анализ угроз и рассчитайте фактическую вероятность возникновения каждой угрозы в течение года, годовую частоту возникновения (ARO).
Получите общий ущерб, который может принести каждая угроза, рассчитав годовую ожидаемую потерю (ALE).
Изучите средства контроля для каждой угрозы, а затем рассчитайте изменения в ARO, EF и ALE на основе имеющихся средств контроля.
Проведите анализ затрат и выгод каждой защитной меры для каждой угрозы на каждом активе. Выберите наиболее подходящие меры защиты для каждой угрозы.
подтема
Коэффициент подверженности (EF): указывает процент потерь, которые понесет организация, если возникнет риск, нанесший ущерб конкретному активу организации.
Ожидание единичных потерь (SLE): потенциальные потери от единственной реальной угрозы конкретному активу.
SLE = стоимость актива (AV) * коэффициент риска (EF).
СЛЕ=АВ*EF
Годовая частота возникновения (ARO): ожидаемая частота возникновения (т. е. фактического возникновения) конкретной угрозы или риска в течение года.
Ожидаемые годовые потери (ALE): это возможная стоимость убытков, вызванная всеми случаями одной конкретной угрозы конкретному активу, фактически возникшей в течение года.
ALE = ожидание единичного убытка (SLE) * годовой коэффициент возникновения (ARO)
АЛЕ= СЛЕ * АРО
ALE = стоимость активов (AV) * коэффициент риска (EF) * годовая частота возникновения (ARO)
ALE =AV* EF* ARO
Сравнение количественного анализа рисков и качественного анализа рисков
2.2.5 Реагирование на риски
Смягчение риска, смягчение, уменьшение (смягчение риска): снижение риска или смягчение риска относится к реализации защитных мер, мерам безопасности.
Внедрить меры шифрования
брандмауэр
Передача риска. Передача риска или передача риска означает передачу убытков, вызванных рисками, на другое предприятие или организацию.
Купить страховку кибербезопасности
аутсорсинг
Сдерживание рисков: Сдерживание рисков – это процесс сдерживания потенциальных нарушителей безопасности и политики.
Провести аудит
камера безопасности
предупреждающий баннер
Используйте сотрудников службы безопасности
Уклонение от риска. Уклонение от риска — это процесс выбора альтернативных вариантов или действий, которые менее рискованны, чем вариант по умолчанию, общий, целесообразный или дешевый вариант. Например, выбор лететь до места назначения (а не ехать туда) — это способ избежать риска.
Принятие риска: Принятие риска или толерантность к риску является результатом анализа затрат и выгод, показывающего, что стоимость мер контроля превысит потенциальные потери, вызванные риском.
Отказ от риска. Реакция на неприемлемый, но возможный риск заключается в его отклонении или игнорировании.
Неотъемлемый риск (начальный/начальный риск): естественный, естественный или уровень риска по умолчанию, который существует в среде, системе или продукте до того, как будут предприняты какие-либо усилия по управлению рисками.
Пример: Пожарные обнаруживают, что риски пожара выше, чем у обычного персонала, и карьерные решения
Остаточный риск: риск, который руководство предпочитает принять, а не смягчать.
Общий риск: относится к общему риску, с которым сталкивается организация без принятия защитных мер.
Угроза * Уязвимость * Стоимость актива = Общий риск
Пробел в контроле: относится к риску, уменьшенному за счет принятия защитных мер.
Общий риск – пробел в контроле = остаточный риск
2.2.6 Затраты и выгоды от контроля безопасности
Для каждой комбинации актив-угроза (т. е. выявленного риска) необходимо составить список возможных и доступных защитных мер.
Факторы, влияющие на ежегодную стоимость защитных мероприятий (СКМ)
Затраты на приобретение, разработку и лицензирование
Стоимость внедрения и настройки
Ежегодные эксплуатационные, эксплуатационные, управленческие и другие расходы
Стоимость ежегодного ремонта и модернизации
Увеличение или снижение производительности
изменения в окружающей среде
Стоимость тестирования и оценки
Формула расчета затрат/выгод для конкретных мер защиты от конкретных рисков для конкретных активов
(ALE до внедрения защитных мер – ALE после реализации защитных мер)-ACS
(ALEl -ALE2)-ACS
Различные формулы, относящиеся к количественному анализу рисков
подтема
2.2.7 Выбор и реализация мер безопасности
Средства контроля безопасности, контрмеры безопасности и защитные меры могут быть административными, логическими/техническими или физическими. Эти три механизма безопасности должны быть реализованы в рамках многоуровневой концепции и подхода глубокоэшелонированной защиты, чтобы обеспечить максимальные преимущества (см. Рисунок 2.4). Трехсторонний подход
Административный контроль: политики и процедуры, определенные в соответствии с политикой безопасности организации и другими правилами или требованиями.
Стратегия
программа
Практика подбора персонала
проверка данных
Классификация и маркировка данных
Осведомленность о безопасности и усилия по обучению
отчетность и обзор
надзор за работой
Контроль и тестирование персонала
Логический/технический контроль. Меры включают аппаратные или программные механизмы, которые управляют доступом и обеспечивают безопасность ИТ-ресурсов и систем.
Методы аутентификации (такие как пароли, смарт-карты и биометрические данные). Технология идентификации
шифрование
Ограничить интерфейс
список контроля доступа
протокол
брандмауэр
маршрутизатор
Система обнаружения вторжений (IDS)
пороговый уровень
Физический контроль: механизмы безопасности, предназначенные для защиты объектов и объектов реального мира.
охранник
изгородь
датчик движения
запертая дверь
запечатанное окно
лампа
Защита кабеля
замок для ноутбука
значок
Проведите карту
сторожевая собака
камера
Фойе контроля доступа
Тревога
2.2.8 Применимые типы управления
«Контроль безопасности» означает выполнение различных задач контроля.
Превентивный контроль: заблаговременное развертывание превентивного контроля для предотвращения или предотвращения непреднамеренных или несанкционированных действий.
Заборы, замки, аутентификация, тамбуры контроля доступа, системы сигнализации, разделение обязанностей, ротация должностей, предотвращение потери данных (DLP)
Тестирование на проникновение, методы контроля доступа, шифрование, аудит, политики безопасности, обучение по вопросам безопасности, антивирусное программное обеспечение, межсетевые экраны и системы предотвращения вторжений (IPS).
Сдерживающие меры: заранее разверните сдерживающие меры для предотвращения нарушений политик безопасности.
Политика, обучение по вопросам безопасности, замки, заборы, знаки безопасности.
Охрана, контроль доступа в вестибюле и камеры видеонаблюдения.
Средства контроля обнаружения: развертывание элементов управления обнаружением для обнаружения или обнаружения непредвиденных или несанкционированных действий,
Охрана, детекторы движения, запись и просмотр событий, зафиксированных камерами видеонаблюдения или системой видеонаблюдения.
Ротация должностей, вынужденный отпуск, контрольные журналы, ловушки или сети-приманки
Системы обнаружения вторжений (IDS), отчеты о нарушениях, мониторинг и анализ пользователей, а также расследование инцидентов.
Компенсирующие элементы управления. Помогите улучшить и поддержать политики безопасности, предоставляя различные варианты других существующих элементов управления.
Например, если профилактические меры не позволяют предотвратить удаление файлов. поведение, то управление компенсацией в качестве запасного варианта может восстановить файл.
Корректирующие меры: небольшие события, которые изменяют среду для восстановления системы в нормальное состояние после возникновения непредвиденной или несанкционированной активности. после
Например, прекращение вредоносной активности или перезагрузка системы.
Резервное копирование данных, BCP, DRP
Антивирус обнаруживает карантин вируса
Восстановительный контроль: расширение корректирующего контроля, но с более продвинутыми и сложными возможностями постфактум.
Примеры средств управления восстановлением включают резервное копирование и восстановление, отказоустойчивые дисковые системы, образы систем, кластеры серверов, антивирусное программное обеспечение, образы баз данных или виртуальных машин.
Горячие сайты, теплые сайты, холодные сайты, средства резервного копирования, сервисные бюро, соглашения о взаимности, поставщики облачных услуг, мобильные мобильные операционные центры и многосайтовые решения
Контроль инструкций: используется для направления, ограничения или контроля поведения субъекта, чтобы заставить или побудить субъекта соблюдать политику безопасности.
Требования или стандарты политики безопасности, выпущенные уведомления, инструкции по безопасности, знаки выхода на пути эвакуации, мониторинг, надзор и процедуры.
2.2.9 Оценка мер безопасности
Оценка мер безопасности (SCA): формальная оценка различных механизмов инфраструктуры безопасности, основанная на базовых показателях или ожиданиях надежности.
Целями SCA являются обеспечение эффективности механизмов безопасности, оценка качества и тщательности процессов управления рисками организации, а также формирование отчетов о сильных и слабых сторонах развернутой инфраструктуры безопасности.
Федеральные агентства внедряют SCA на основе NIST SP 800-53 Rev.5 «Контроль безопасности и конфиденциальности для информационных систем и организаций».
SCA определяется как государственный процесс
2.2.10 Мониторинг и измерение
Выгоды, предоставляемые мерами безопасности, должны быть контролируемыми и измеримыми.
2.2.11 Отчетность и документация о рисках
Отчетность о рисках: включает подготовку отчета о рисках и представление отчета заинтересованным сторонам.
Реестр рисков или журнал рисков: представляет собой документ инвентаризации рисков, в котором перечислены все выявленные риски внутри организации, системы или в рамках одного проекта.
Выявленные риски
Оцените серьезность этих рисков и расставьте их приоритеты.
Разработать меры реагирования для снижения или устранения рисков
Отслеживайте прогресс в снижении рисков
Матрица рисков или тепловая карта рисков: это форма оценки риска, выполняемая на основе простого графика или диаграммы. Иногда это называют качественной оценкой риска.
Контрольные точки: какие стороны и аудитории следует учитывать?
Контрольные точки: рассмотрите содержание отчета, меры по улучшению или предложения по улучшению.
2.2.12 Постоянное улучшение
Безопасность постоянно меняется. Поэтому любое реализованное решение по обеспечению безопасности со временем необходимо будет обновлять.
Оцените программы управления рисками предприятия (ERM) с помощью модели зрелости рисков (RMM).
уровень РММ
Начальный уровень (специальный): хаотическое состояние, когда все организации начинают управлять рисками.
Предварительный: первоначальная попытка соблюдения процесса управления рисками, но оценка рисков, выполняемая каждым отделом, может различаться.
Определено: принять общую или стандартизированную систему управления рисками во всей организации.
Интегрированный уровень: операции по управлению рисками интегрированы в бизнес-процессы, собираются данные о показателях эффективности, а риск считается элементом стратегических бизнес-решений.
Оптимизировано: управление рисками фокусируется на достижении целей, а не просто на реагировании на внешние угрозы; улучшает стратегическое планирование для достижения успеха в бизнесе, а не просто на предотвращении несчастных случаев, и интегрирует извлеченные уроки обратно в процесс управления рисками;
Риски устаревшего оборудования
Окончание срока службы (EOL): относится к моменту времени, когда производитель больше не производит продукт.
Окончание срока службы (EOSL): относится к системам, которые больше не могут получать обновления и поддержку от поставщика.
2.2.13 Структура рисков
Структура рисков – это руководство или методология оценки, устранения и мониторинга рисков.
система управления рисками (RMF)
Федеральные агентства устанавливают обязательные требования
Он определен в NIST SP 800-37 Rev.2, структуре первичного риска, на которую ссылается экзамен.
В RMF шесть стадий цикла.
Подготовьтесь к выполнению RMF с точки зрения организации и системы, определив контекст и приоритеты для управления рисками безопасности и конфиденциальности.
Классификация Классифицирует системы и информацию, которую они обрабатывают, хранят и передают, на основе анализа воздействия потерь.
Выберите первоначальный набор средств контроля для системы и при необходимости настройте средства контроля, чтобы снизить риск до приемлемого уровня на основе оценки риска.
Внедрить Внедрить элемент управления и описать, как он будет использоваться в системе и ее операционной среде.
Оценка Оценить средства контроля, чтобы определить, правильно ли они реализованы, работают ли меры ожидаемым образом и дают ли ожидаемые результаты, соответствующие требованиям безопасности и конфиденциальности.
Авторизация Авторизует системы или общие средства контроля на основе определения того, что риски для операций и активов организации, отдельных лиц, других организаций и стран являются приемлемыми.
Мониторинг Непрерывный мониторинг систем и связанных с ними средств контроля, включая оценку эффективности средств контроля, документирование изменений в системе и операционной среде, проведение оценок рисков и анализ воздействия, а также составление отчетов о состоянии безопасности и конфиденциальности системы.
Моделирование угроз на этапе проектирования, безопасность задумана
Структура кибербезопасности (CSF)
Критическая инфраструктура и бизнес-организации
Пять функциональных компонентов
идентифицировать
Защищать
Обнаружение
ответ
восстанавливаться
Документ ISO/IEC 31000 «Управление рисками. Руководство».
любая организация
Руководящий документ - ISO/IEC31004 «Управление рисками. Внедрение ISO 31000». 61 Руководство по внедрению» и ISO/IEC27005 «Информационные технологии – Технология безопасности – Управление рисками информационной безопасности»
Другие фреймворки
Управление рисками предприятия COSO Комиссии Тредуэя – интегрированная структура
Система ИТ-рисков ISACA
Оценка операционных критических угроз, активов и уязвимостей (Оценка операционных критических угроз, активов и уязвимостей) Оценка уязвимости, ОКТАВА)
Факторный анализ информационного риска (FAIR)
Оценка риска агента угрозы (TARA)
2.3 Социальная инженерия
Социальная инженерия — это форма атаки, которая использует человеческую природу и поведение человека.
Атаки социальной инженерии бывают двух основных форм.
убедить кого-либо совершить несанкционированное действие
Убедите кого-нибудь раскрыть конфиденциальную информацию.
Способы защиты от атак социальной инженерии
Обучите персонал атакам социальной инженерии и распознаванию типичных сигнатур атак.
Аутентификация требуется при выполнении действий для людей по телефону.
Определяет ограниченную информацию, которую никогда нельзя передавать посредством текстовых сообщений, таких как телефонные звонки или стандартная электронная почта.
Всегда проверяйте учетные данные обслуживающего персонала и проверяйте, действительно ли уполномоченное лицо совершило вызов в службу поддержки.
Никогда не следуйте инструкциям по электронной почте, не проверив информацию как минимум с двумя независимыми и надежными источниками.
Будьте осторожны при общении с кем-либо, кого вы не знаете или кто не знает вас, лично, по телефону или через Интернет/онлайн.
Наиболее важной мерой защиты от атак социальной инженерии является обучение пользователей и повышение осведомленности.
2.3.1 Принципы социальной инженерии
Авторитет: это эффективный метод, поскольку большинство людей склонны покорно реагировать на авторитет. Главное — убедить цель, что злоумышленник — это человек с действительными внутренними или внешними разрешениями.
Запугивание: иногда можно рассматривать как производное от принципа власти. При запугивании используются авторитет, доверие или даже угроза причинения вреда, чтобы подтолкнуть кого-либо к выполнению приказа или инструкции.
Консенсус: или социальное доказательство — это использование естественных склонностей человека. Люди склонны подражать тому, что другие делают или делали в прошлом.
Дефицит: метод, используемый для того, чтобы заставить кого-то оценить, что объект имеет более высокую ценность из-за его редкости. Это может быть связано с продуктами, которые производятся в небольших количествах или с ограниченными возможностями, или с немногими продуктами, которые остаются после продажи большей части запасов.
Знакомство: или симпатия — это принцип социальной инженерии, который пытается использовать врожденное доверие человека к знакомым вещам.
Доверие. Согласно этому принципу социальной инженерии, злоумышленник стремится построить отношения с жертвой.
Срочность: часто связана с дефицитом, поскольку дефицит представляет собой больший риск упустить выгоду, поэтому необходимость действовать быстро возрастает.
2.3.2 Получить информацию
Получение информации — это деятельность по сбору или агрегированию информации от систем или людей.
2.3.3 Предлоги
Предлог — это термин, выражение или фраза, добавляемая в начало или заголовок другого сообщения. Предлоги часто используются для дальнейшего уточнения или создания предлога для спланированных атак, таких как спам, мистификации и фишинг.
2.3.4 Фишинг
Фишинг — это форма инженерной атаки, направленная на кражу учетных данных или личных данных у любой потенциальной цели.
Загрузки с диска. Когда пользователи посещают веб-сайт, вредоносное ПО устанавливается без их ведома. Загрузки с диска используют уязвимости в браузерах или плагинах.
Защитные меры против фишинга
Будьте осторожны с неожиданными электронными письмами или письмами от неизвестных отправителей.
Не открывайте неожиданные вложения электронной почты.
Никогда не передавайте конфиденциальную информацию по электронной почте
Не нажимайте на ссылки, которые вы получаете в электронных письмах, мгновенных сообщениях или сообщениях в социальных сетях.
2.3.5 Целевой фишинг
Целенаправленный фишинг — это более целенаправленная форма фишинга, при которой сообщения создаются специально для определенной группы пользователей.
Защита от целевого фишинга
Обозначайте информацию, данные и активы с указанием их ценности, важности или конфиденциальности.
Обучите персонал правильно обращаться со связанными активами на основе тегов.
Попросите разъяснений или подтверждения любого поведения, которое кажется необычным, отклоняется от процесса или представляет неоправданный риск для организации.
2.3.6 Фишинг
Китобойный промысел — это вариант целевого фишинга, нацеленный на конкретных ценных лиц (по должности, отрасли, сообщениям в СМИ и т. д.), таких как генеральные директора и другие руководители высшего звена. Менеджер, администратор или состоятельный клиент.
2.3.7 SMS-фишинг
Фишинг или смишинг службы коротких сообщений (SMS) — это атака социальной инженерии, которая происходит в стандартных службах обмена текстовыми сообщениями или через них.
2.3.8 Голосовой фишинг
Вишинг (т. е. голосовой фишинг) или SplT (телефонный интернет-спам) — это фишинг, осуществляемый через любую телефонную или голосовую систему связи.
Способ
традиционные телефонные линии
Услуги передачи голоса по IP (VOIP)
мобильный телефон.
2.3.9 Спам
Спам – это любой тип нежелательной и/или нежелательной электронной почты.
2.3.10 Просмотр плеча
Серфинг через плечо — это тип атаки социальной инженерии, которая обычно происходит в реальном мире или лицом к лицу.
Сёрфинг через плечо происходит, когда кто-то может видеть клавиатуру или монитор пользователя.
2.3.11 Мошенничество со счетами
Мошенничество со счетами — это атака социальной инженерии, которая обычно включает в себя предоставление фальшивого счета и последующее сильное выманивание платежа в попытке украсть средства у организации или частного лица.
2.3.12 Пранк
Мистификация — это форма социальной инженерии, предназначенная для того, чтобы заставить цель выполнить действия, которые вызовут проблемы или ухудшат ее ИТ-безопасность.
2.3.13 Подделка и маскировка
Олицетворение – это принятие чужой личности
Вы можете войти в систему через личный кабинет, телефон, электронную почту или счет лица или через любые другие средства связи. Выдачу себя за другое лицо также можно назвать маскировкой, обманом или даже мошенничеством с личными данными.
2.3.14 Трейлинг и контрейлерное соединение
Слежение происходит, когда неавторизованная организация использует разрешение законного сотрудника для входа на объект без ведома сотрудника.
Проблема, похожая на хвостохранилище, - это контрейлерная перевозка. Совмещение происходит, когда неавторизованная организация получает согласие жертвы путем обмана и проникает в учреждение с разрешения законного персонала.
Приманками являются случаи, когда злоумышленники размещают USB-накопители, диски или даже кошельки в местах, где сотрудники могут с ними столкнуться.
Доступны двойные двери для предотвращения
2.3.15 Поиск мусора
Погружение в мусорные контейнеры — это копание в мусоре, брошенном оборудовании или заброшенных местах с целью получения информации о целевой организации или физическом лице.
Типичные коллекции включают старые календари, листы вызовов, рукописные протоколы встреч, бланки для утилизации, коробки с продуктами, руководства пользователя, стикеры, распечатанные отчеты или тестовые листы принтера.
2.3.16 Мошенничество с личными данными
Кража личных данных и мошенничество с личными данными относятся ко всем видам преступлений, которые связаны с незаконным получением и использованием личных данных другого лица мошенническим или вводящим в заблуждение способом, обычно с целью получения финансовой выгоды.
Мошенничество: Назвать что-то ложное правдой. Мошенничество с личными данными — это когда вы ложно выдаете себя за кого-то другого, используя информацию, украденную у жертвы.
Использование чужого номера социального страхования для трудоустройства
Использование чужого имени для открытия телефонной связи или общественных учреждений
Использование чужой медицинской страховки для получения медицинской помощи
Обман: относится к любому акту сокрытия действительной личности, Обычно это достигается с помощью другого удостоверения.
Хакеры часто подделывают адреса электронной почты, IP-адреса, адреса управления доступом к среде (MAC), адреса Анализируйте протокол связи (A Yangxun), сети Wi-Fi, веб-сайты, мобильные приложения и т. д.
2.3.17 Неправильно расположенное доменное имя.
Опечатка — это практика захвата и перенаправления трафика, когда пользователь неправильно вводит доменное имя или 1P-адрес целевого ресурса.
Неправильное написание доменного имени
Взлом URL-адреса
2.3.18 Движения влияния
Кампания влияния — это атака социальной инженерии, целью которой является направлять, формировать или изменять общественное мнение. Хакеры могут совершать такие атаки против отдельных лиц или организаций, но большинство кампаний влияния, похоже, проводятся национальными государствами против своих реальных или предполагаемых внешних врагов.
гибридная война
Интегрируйте традиционную военную стратегию с современными возможностями, включая социальную инженерию, кампании цифрового влияния, психологическую войну, политическую тактику и возможности кибервойны. Это называется гибридная война
социальные медиа
Социальные сети стали оружием в руках национальных государств, которые ведут гибридную войну против своих целей.
Самый эффективный способ предотвратить социальную работу, обучение технике безопасности
2.4 Создание и поддержание программ повышения осведомленности, образования и подготовки в области безопасности
Успешное внедрение решений безопасности требует изменения поведения пользователей. Эти изменения в первую очередь включают изменения в повседневной рабочей деятельности для соответствия стандартам, руководящим принципам и процедурам, изложенным в политике безопасности.
2.4.1 Осведомленность о безопасности
Обязательным условием проведения обучения по технике безопасности является повышение осведомленности о технике безопасности. Цель повышения осведомленности о безопасности — заставить пользователей поставить безопасность на первое место и признать это.
Весь персонал должен полностью осознавать свои обязанности и обязанности по обеспечению безопасности. Они обучены знать, что делать, а чего не делать.
2.4.2 Обучение
Под обучением подразумевается обучение сотрудников выполнению своих рабочих задач и соблюдению политик безопасности. Обучение обычно организуется организацией и ориентировано на группы сотрудников со схожими должностными функциями.
2.4.3 Образование
Обучение — это более детальная работа, в ходе которой учащиеся/пользователи узнают гораздо больше, чем им на самом деле необходимо знать для выполнения своих рабочих задач.
2.4.4 Улучшения
Измените фокус целей обучения. Иногда внимание сосредоточено на человеке, иногда на клиенте, иногда на организации.
Измените порядок или направленность тем обучения. Вы можете посвятить одно обучение социальной инженерии, следующее — мобильной безопасности, а следующее — безопасности дома и путешествий.
Используйте различные методы презентации, такие как живые презентации, предварительно записанные видеоролики, компьютерное программное обеспечение/программное обеспечение для моделирования, виртуальную реальность (VR), дистанционное обучение, интерактивные веб-сайты или назначенное чтение из подготовленных учебных программ или готовых книг.
В ходе ролевой игры участники играют нападающих и защитников, а разные люди могут высказывать идеи, связанные с защитой или ответом на нападение.
2.4.5 Оценка эффективности
Важно, чтобы все учебные материалы регулярно проходили проверку содержания. Отзывы помогают обеспечить соответствие учебных материалов и презентаций бизнес-целям, миссии организации и целям безопасности.
Самый эффективный способ выявления и оценки социальной работы
Обучение требует участия каждого