Wondershare EdrawMind
Галерея диаграмм связей CISSP-1-Безопасность и управление рисками
- 3
CISSP-1-Безопасность и управление рисками
CISSP-Профессиональная сертификация безопасности информационных систем Mind Map, основное содержание включает в себя основу управления информационной безопасностью и управлением рисками, структуру управления безопасностью и системы безопасности, стратегию информационной безопасности, управление рисками организационной и кадровой безопасности, право, этику, соответствие, требования BCP и DRP.
Отредактировано в 2021-11-10 12:10:04
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Modèle de processus de gestion de projet
La gestion de projet est le processus qui consiste à appliquer des connaissances, des compétences, des outils et des méthodologies spécialisés aux activités du projet afin que celui-ci puisse atteindre ou dépasser les exigences et les attentes fixées dans le cadre de ressources limitées. Ce diagramme fournit une vue d'ensemble des 8 composantes du processus de gestion de projet et peut être utilisé comme modèle générique.
CISSP-1-Безопасность и управление рисками
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Modèle de processus de gestion de projet
La gestion de projet est le processus qui consiste à appliquer des connaissances, des compétences, des outils et des méthodologies spécialisés aux activités du projet afin que celui-ci puisse atteindre ou dépasser les exigences et les attentes fixées dans le cadre de ressources limitées. Ce diagramme fournit une vue d'ensemble des 8 composantes du processus de gestion de projet et peut être utilisé comme modèle générique.
- Рекомендовано вам
- Структура
![Создание и внедрение системы управления безопасностью элементов управления безопасностью [Практическая версия]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718871858/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Создание и внедрение системы управления безопасностью элементов управления безопасностью [Практическая версия]
- 2
![Создание и внедрение системы управления безопасностью элементов управления безопасностью [Практическая версия]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718877328/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Создание и внедрение системы управления безопасностью элементов управления безопасностью [Практическая версия]
- 3
![Разрывные мембраны для средств безопасности [Сводка правил]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718878055/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Предохранительный клапан предохранительного устройства [версия принципа работы]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718878190/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Предохранительные клапаны для средств безопасности [Сводка правил]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718878219/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Подготовка операционных процедур [Комплексная версия законов и нормативных актов]](https://edrawcloudpublicus.s3.amazonaws.com/work/5594754/2024-6-20/1718905427/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Управление информационной безопасностью и управление рисками
информационная безопасность и Основы управления рисками
информация
определение
Управление жизненным циклом
информационная безопасность Основной принцип
Конфиденциальность (конфиденциальность)
Обеспечивать хранение, использование и передачу информации. Не будет раскрыта неавторизованным пользователям или организациям
честность (честность)
Предотвратить несанкционированное вмешательство;
Запретить авторизованным пользователям несанкционированное изменение информации.
Поддерживать внутреннюю и внешнюю согласованность информации.
внутренний
внешний
Доступность (доступность)
Обеспечить нормальное использование информации и ресурсов авторизованными пользователями или организациями. Не будет ненормально отказано, что обеспечивает надежный и своевременный доступ к информации.
Противоположная тройка ПАПА
Раскрытие информации
Внесение изменений
Разрушение
информационная безопасность Технологии, связанные с ЦРУ
Конфиденциальность,С
Шифрование данных (весь диск, шифрование базы данных)
Шифрование передаваемых данных (IPSec, SSL, PPTP, SSH)
Контроль доступа (физический и технический контроль)
Честность, я
Хэш (данные завершены)
подписание кода
Управление конфигурацией (система завершена)
Контроль изменений (процесс завершен)
Контроль доступа (физический и технический контроль)
Программная цифровая подпись
Функция проверки CRC передачи (может использоваться для нескольких уровней сетевой передачи)
Наличие,А
Резервный массив дисков (RAID)
кластер
Балансировка нагрузки
Резервные линии передачи данных и электропередачи
Программное обеспечение и резервное копирование данных
образ диска
Расположение и внешняя инфраструктура
функция отката
Конфигурация аварийного переключения
безопасно контролировать
Пути и средства
административный контроль
Разрабатывать стратегии, стандарты, меры и руководящие принципы
Управление рисками
безопасность персонала
Обучение по вопросам безопасности
технический контроль (Логическое управление)
Внедрять и поддерживать логические механизмы контроля доступа.
Управление паролями и ресурсами
Методы идентификации и аутентификации
спасательное оборудование
физический контроль
Меры по контролю индивидуального доступа на объекты и в различные подразделения (контроль доступа, охрана, замки)
Защитный периметр (заборы, стены, освещение)
Физическое обнаружение вторжений
экологический контроль
эффект
функция управления
Предотвращение (сдерживание), обнаружение, коррекция/восстановление (резервное копирование, BCP, DRP) Компенсация (Контроль)
Основы управления рисками информационной безопасности
Управление, управление рисками и соблюдение требований (GRC)
Гарантия
система управления рисками
Управление безопасностью и структура системы безопасности
Эталонная структура управления безопасностью
ИТ-контроль, КОБИТ
«Внутренний контроль – общая основа», COSO Система управления внутренним контролем предприятия
определены для удовлетворения требований финансовой отчетности и Пять типов элементов внутреннего контроля для целей раскрытия информации
контрольная среда
оценка риска
контрольная деятельность
Информация и коммуникация
монитор
Система, позволяющая многим организациям обеспечить соответствие требованиям SOX 404.
Управление ИТ-услугами, ITIL (Best Practice Framework)
ITIL — это настраиваемая среда управления ИТ-услугами.
Стандарт управления услугами информационных технологий (ISO/IEC 20000)
5 основных этапов
Стратегия обслуживания
сервис-дизайн
переход службы
Сервисная операция
Постоянное улучшение сервиса
Захман
Корпоративная структура TOGAF
Структура архитектуры безопасности SABSA
Справочник по средствам управления безопасностью, NIST SP 800-53r4
Структура контроля безопасности критической инфраструктуры, 2014 г.: NIST CyberSecurity Framework.
Управление разработкой программного обеспечения CMMI (глава 8)
ШМ
Начальный, повторяемый, определенный, управляемый, оптимизирующий
CMMI
Начальный, управляемый, определенный, количественно управляемый, оптимизирующий
Управление информационной безопасностью
Два фактора успеха или провала информационной безопасности: технологии и управление
ИСО27001 (информационная безопасность стандарты системы менеджмента)
BS7799-1, созданный на основе BS7799, соответствует ISO27002, BS7799-2 соответствует ISO27001.
Комплексный набор средств контроля, состоящий из лучших практик информационной безопасности.
Версия 2013 года, 14 доменов, 35 категорий, 114 элементов управления.
Модель управления информационной безопасностью
Модель PDCA
План
На основе результатов оценки рисков, законодательных и нормативных требований, а также организационной деятельности, Определить цели контроля и меры контроля на основе оперативных потребностей.
Внедряйте, делайте
Внедрить выбранные меры безопасности.
Проверять
В соответствии с политикой, процедурами, стандартами, законами и правилами, Проводить проверки соблюдения мер безопасности.
Меры, Закон
Принять контрмеры на основе результатов проверок для улучшения условий безопасности.
эффективность информационной безопасности
ИСО27004
Стратегия информационной безопасности, организационная и кадровая безопасность
стратегия безопасности
Иерархия защищенных документов
политика (Политика меняется реже, процедуры меняются чаще)
Самое общее заявление об информационной безопасности
Обязательство высшего руководства взять на себя ответственность за информационную безопасность
Опишите, что и цели защищать
стандартный
Создать механизм обеспечения соблюдения политики
ориентир
Подобно стандартам, методы повышения безопасности системы являются рекомендациями.
Базовый уровень безопасности
Соответствовать минимальному уровню требований безопасности, требуемому политикой.
Процедура (процедура/шаги/процедуры)
Подробные шаги для выполнения конкретной задачи (конкретной)
Процедура представляет собой подробное описание (КАК) конкретных шагов по выполнению задачи защиты.
охранная организация
Старшее руководство (исполнительное руководство/генеральный директор, финансовый директор, операционный директор)
Полная ответственность за информационную безопасность и последнее лицо, отвечающее за информационную безопасность.
Планируйте информационную безопасность, определяйте цели и ограниченные последовательности, а также делегируйте обязанности по информационной безопасности.
Уточнить цели и политику информационной безопасности, чтобы определить направление деятельности по информационной безопасности.
Предоставление ресурсов для деятельности по информационной безопасности
Принимайте решения по важным вопросам
Координировать взаимоотношения между различными звеньями в разных подразделениях организации.
эксперт по информационной безопасности
Отвечает за внедрение и поддержание безопасности, делегированное высшим руководством (обычно ИТ-директору).
Проектирование, внедрение, управление и анализ политик, стандартов, руководств и процедур безопасности организации.
Координировать все связанные с безопасностью взаимодействия между подразделениями внутри организации.
Директор по информационным технологиям, CIO
Контролировать и нести ответственность за повседневную техническую деятельность компании.
Начальник службы безопасности, CSO
Обеспечьте должную защиту активов деловой информации.
Играть роль внутреннего координатора и координатора информационной безопасности.
Необходимо понимать бизнес-цели организации и направлять процесс управления рисками, Обеспечьте правильный баланс между бизнес-операциями и приемлемыми рисками.
Конкретные обязанности:
Бюджет на мероприятия по информационной безопасности
Разработка стратегий, процедур, базовых показателей, стандартов и руководств развития.
Разработать программу повышения осведомленности о безопасности
Участвовать в совещаниях руководства
Помощь в проведении внутреннего и внешнего аудита
Руководящий комитет по безопасности
Члены состоят из людей из всех отделов организации, включая руководство генерального директора, финансового директора, директора по информационным технологиям, менеджеров отделов и главных внутренних аудиторов.
Встречайтесь не реже одного раза в квартал с четкой повесткой дня.
Обязанности:
Определить приемлемый уровень риска организации
Определить цели и стратегии безопасности
Решение задач бизнеса определяет приоритет охранной деятельности.
Просмотр отчетов об оценке рисков и аудите
Мониторинг влияния рисков безопасности на бизнес
Рассмотрение ядерных аварий, связанных с серьезными нарушениями безопасности
Утвердить любые существенные изменения в политиках и планах безопасности.
Комитет по аудиту
Назначается Советом директоров для помощи в проверке и оценке внутренней деятельности компании, систем внутреннего аудита, а также прозрачности и точности финансовой отчетности.
Ответственный:
Целостность финансовой отчетности и финансовой информации компании.
Система внутреннего контроля компании
Наем и деятельность независимых аудиторов
Выполнение функции внутреннего аудита
Соблюдать требования законодательства и политики компании, связанные с этикой.
комитет по управлению рисками
Понять риски организации в целом и помочь высшему руководству снизить риски до приемлемого уровня.
Изучите общие бизнес-риски, а не только риски ИТ-безопасности.
план безопасности
Построение информационной безопасности организации должно осуществляться по плану, а план управления безопасностью должен быть нисходящим.
Обязанности:
Высшее руководство определяет политику безопасности организации.
Средний уровень дополняет политики безопасности стандартами, базовыми показателями, руководящими принципами и процедурами и контролирует их выполнение.
За реализацию там конфигураций, разработанных в документации подразделения безопасности, отвечают бизнес-менеджеры и специалисты по безопасности.
Конечные пользователи несут ответственность за соблюдение всех политик безопасности организации.
тип
Стратегический план, стратегический план
Долгосрочный план, например, 5 лет.
относительно стабильна, определяет цели и миссию организации
тактический план, тактический план
Среднесрочный план, например, 1 год.
Подробное описание задач и хода достижения целей, установленных в стратегическом плане, Например, планы занятости, бюджетные планы и т. д.
план операции, операционный план
Краткосрочные, очень подробные планы, часто обновляемые
Ежемесячные или ежеквартальные обновления, такие как планы обучения, планы развертывания системы и т. д.
Безопасность персонала (глава 7)
Обязанности персонала
владелец данных
Отвечает за управление определенным бизнес-отделом и отвечает за защиту и применение конкретной информации.
Обязан проявлять «должную заботу»
Обязанности
Определить классификацию данных
Определите требования безопасности и требования к резервному копированию для каждой классификации.
Определите правила доступа пользователей
Деловая роль, а не техническая роль
Менеджер данных (хранитель)
Роль отдела ИТ или безопасности
Обязанности
Выполняйте регулярное резервное копирование данных
Регулярно проверяйте целостность данных
Резервное копирование для восстановления данных
Внедрять политики, стандарты и рекомендации по информационной безопасности компании в области информационной безопасности и защиты данных.
владелец системы
Отвечает за одну или несколько систем, каждая из которых может хранить и обрабатывать данные, принадлежащие разным владельцам данных.
Отвечает за интеграцию факторов безопасности в приложения и системы.
Обеспечить оценку уязвимостей системы
Примите адекватные меры безопасности для обеспечения безопасности системы.
администратор безопасности
Отвечает за внедрение, мониторинг и обеспечение соблюдения правил и политик безопасности.
Отчет Комитету безопасности и сотруднику информационной безопасности
Аудитор информационных систем
Проверьте систему, чтобы определить, соблюдаются ли требования безопасности и эффективны ли меры безопасности.
Обеспечить независимую гарантию управления объектами безопасности
аналитик безопасности
Помогите разработать политику, стандарты и руководящие принципы и установить контрольные показатели.
В основном на уровне проектирования, а не уровня реализации.
пользователь
Иметь знания о безопасности приложений, соблюдать политики безопасности, использовать систему надлежащим образом и сообщать об инцидентах безопасности.
Контроль подбора персонала
проверка данных
Снизьте риски, сократите затраты на подбор персонала и сократите текучесть кадров.
Оценка навыков
соглашение о конфиденциальности
Защитите конфиденциальную информацию компании
Контроль персонала на рабочем месте
Разделение обязанностей
Ни один человек не должен иметь полный контроль над деликатной, ценной или важной задачей от начала до конца.
Цель: меньше возможностей для мошенничества или ошибок.
Пример:
При финансовых операциях один человек отвечает за ввод, второй — за проверку, а третий — за подтверждение окончательной транзакции.
Разработка/Обслуживание производства, Управление безопасностью/Эксплуатация/Аудит, Управление ключами шифрования/изменение ключей
сегментация знаний
наименьшая привилегия
Минимальные разрешения, необходимые для распределения обязанностей
ротация должностей
Не позволяйте одному человеку удерживать фиксированное положение слишком долго, чтобы избежать слишком большого контроля над другими людьми.
Настройте резервное копирование персонала для облегчения перекрестного обучения и выявления случаев мошенничества.
принудительный отпуск
Принуждение ответственных сотрудников отдела к отпуску может эффективно выявить мошенничество, изменение данных, злоупотребление ресурсами и т. д.
Контроль выезда персонала
Отключение прав доступа уволившимся сотрудникам
Переработка идентифицируемых предметов
Сторонний контроль персонала
Если третье лицо отсутствует, но имеет права администратора
Соглашения о конфиденциальности должны быть подписаны со сторонними организациями и частными лицами.
Контролировать всю рабочую деятельность третьих лиц
Убедитесь, что личность стороннего персонала проверена при доступе
Если присутствует третья сторона и имеет права администратора
На основании вышеуказанных мер проводятся дополнительные проверки биографических данных персонала.
Сторонний персонал покидает сайт, и ему необходимо забрать соответствующие разрешения.
Добавьте требования конфиденциальности и соответствующие деловые условия в условия контракта с третьими лицами.
Осведомленность в области безопасности, обучение и образование
Образование
Обеспечить специалистов по безопасности профессиональными навыками, необходимыми для работы.
Способ:
Теоретическое руководство, семинары, чтение и изучение, исследования
информация о безопасности
"Почему"
Обучение
Обучение навыкам работы, связанным с безопасностью, в основном персоналу по управлению и техническому обслуживанию информационных систем.
Способ:
Практическое руководство, лекции, кейсы, эксперименты
получать знания
"Как сделать"
Осведомленность
Общая коллективная осведомленность сотрудников организации о важности безопасности и контроля.
Способ:
Видео, медиа, плакаты и т. д.
Отправить сообщение
"Что это такое"
Управление рисками
концепция:
Выявлять и оценивать риски, снижать риски до приемлемого уровня, Внедрить соответствующие механизмы для поддержания этого уровня процесса.
100% безопасной среды не существует, управление рисками Баланс выгоды/затраты, безопасности/удобства использования
Риск = Угроза * Уязвимость * Стоимость актива
Риск = возможность * влияние
Связанные элементы
Активы: информационные активы, имеющие ценность для организации.
Может нанести ущерб активам или организации Возможные причины инцидента безопасности
угрожать
Моделирование угроз (ШАГ)
Моделирование угроз имеет структурированный подход к Угрозы, которые могут повлиять на систему, систематически выявляются и оцениваются.
Чтобы увидеть, кто, скорее всего, захочет на нас напасть, вы можете начать с мозгового штурма. Яростно подумайте о том, как они могут достичь своих целей, а затем Предложите контрмеры для предотвращения таких атак.
уязвимость (уязвимость)
Уязвимость или слабость, существующая в активе или группе активов, которая может быть использована угрозой. Слабые стороны, использование которых может привести к повреждению активов.
риск
Возможность того, что конкретная угроза может нанести ущерб активу или группе активов, используя слабые стороны актива.
возможность
Влияние
Последствия, прямой или косвенный ущерб или вред, причиненный организации непредвиденным событием.
Меры безопасности
Средства контроля или контрмеры, которые ограничивают непредвиденные события, предотвращая угрозы и минимизируя уязвимости. Механизмы, методы и меры снижения рисков за счет воздействия и других средств
остаточный риск
Риски, которые остаются после принятия мер безопасности
оценка риска (Оценка)
основная миссия:
Определить элементы, которые представляют риски
Оцените вероятность и влияние риска и, в конечном итоге, оцените уровень или размер риска.
Определить способность организации противостоять риску.
Определить стратегии, цели и приоритеты для снижения и контроля рисков.
Рекомендовать меры по снижению риска для реализации
метод
Оценка рисков (ISO27005)
Определить риски
Анализируйте риски
Оцените риск
НИСТ СП800-30 и СП800-66
Качественный подход RA с акцентом на ИТ-риски
1. Классификация системы 2. Идентификация слабых мест 3. Идентификация угроз; 4. Определение контрмер 5. Оценка возможности 6. Оценка воздействия; 7. Оценка риска. 8. Рекомендации по новым контрмерам. 9. Документальный отчет;
ОКТАВА
Спецификация автономной оценки рисков информационной безопасности, основанная на рисках информационных активов, В нем особое внимание уделяется активам, и он состоит из 3 этапов и 8 процессов.
Подход OCTAVE развертывает программы управления рисками в масштабах всей организации и интегрируется с планами безопасности.
КРАММ
Основные процессы: идентификация и оценка активов; оценка угроз и уязвимостей и рекомендации по противодействию;
ФРАП
Предварительный отбор, чтобы сосредоточиться только на тех системах, которые действительно требуют оценки, чтобы сократить затраты и время.
Ситуация с ограниченным бюджетом
СТА
Создайте дерево всех угроз, с которыми может столкнуться система. Ветви могут представлять собой такие вещи, как киберугрозы. Такие категории, как физические угрозы и сбои компонентов, требуют удаления неиспользуемых ветвей при выполнении RA.
ФЕМА
Получено на основе анализа оборудования. Изучите потенциальный отказ каждого компонента или модуля и изучите последствия отказа.
АС/НЗС 4360
Австралийский метод оценки риска, не используемый специально для обеспечения безопасности.
процесс оценки
Определить информационные активы
Определите владельца, хранителя и пользователя каждого актива.
Создайте список активов и определите информационные активы на основе бизнес-процессов.
Форма, в которой существуют информационные активы
Электронные данные: базы данных и файлы данных, руководства пользователя и т. д.
Письменные контракты: контракты, стратегические рекомендации, архивные документы, важные бизнес-результаты.
Программные активы: прикладное программное обеспечение, системное программное обеспечение, инструменты разработки, программное обеспечение.
Физические активы: магнитные носители, электропитание и кондиционирование воздуха, сетевая инфраструктура, серверы и т. д.
Персонал: человек или роль с конкретными способностями и обязанностями.
Услуги: Вычислительные и коммуникационные услуги, аутсорсинговые услуги, другие технические услуги.
Организационный имидж и репутация: нематериальные активы
Оценить информационные активы
Факторы оценки
прямой ущерб, причиненный ущербом
Стоимость восстановления активов, включая трудовые и физические затраты на обнаружение, контроль и ремонт.
Потеря общественного имиджа и репутации организации, потеря конкурентного преимущества
Другие убытки, такие как увеличение расходов на страхование
Классифицировать активы по важности (воздействию или последствиям), Также рассмотрите возможные последствия нарушения конфиденциальности, целостности и доступности.
Выявлять и оценивать угрозы
Актив может подвергаться множеству угроз, и угроза может затронуть несколько активов.
Определить источники угроз
Угроза персоналу
Системные угрозы
экологические угрозы
природные угрозы
При оценке вероятности угрозы учитываются мотивация и возможности источника угрозы.
Выявить и оценить слабые места
Возможные уязвимости для каждого актива
техническая слабость
эксплуатационные недостатки
управленческая слабость
путь идентификации
Отчеты об аудите, отчеты о практике, отчеты о проверках безопасности, отчеты о тестировании и оценке системы
Инструменты автоматического сканирования уязвимостей
Оценка риска (Оценка)
Влияние риска
возможность риска
стратегия управления рисками
Методы обработки рисков
Смягчить/уменьшить/ослабить риск (Смягчить/уменьшить риск) (верхние меры контроля)
уменьшить угрозы
Внедрить средства контроля вредоносного кода
уменьшить слабые стороны
Укрепить возможности безопасной эксплуатации посредством обучения технике безопасности.
уменьшить воздействие
Планирование аварийного восстановления и непрерывность бизнеса планировать и делать резервные копии
избегать риска (Избегать/Риск)
трансферный риск (Трансферный риск) (аутсорсинг/покупка страховки)
принять риск (Принять риск)
Стратегии выбора мер по контролю рисков
Анализ выгоды и затрат
Основные принципы: стоимость реализации мер безопасности Не должна превышать стоимость защищаемого актива.
Стоимость контрмер: стоимость приобретения, влияние на эффективность бизнеса , дополнительные трудовые и материальные ресурсы, затраты на обучение, затраты на техническое обслуживание и т. д.
Стоимость контроля = ALE до контроля - ALE после контроля - Годовая стоимость контроля
Ограничения
временные ограничения, технические ограничения, экологические ограничения
правовые ограничения, социальные ограничения
Основные функции и эффективность защитных мер
Оценить остаточный риск
Риски, которые остаются или остаются после внедрения мер безопасности
Остаточный риск Rr = первоначальный риск R0 – эффективность контроля R
Остаточный риск <= приемлемый риск Rt
Количественная оценка риска
Количественный анализ рисков пытается предусмотреть все элементы процесса анализа рисков. даны конкретные и значимые числа
Стоимость защитных мер, стоимость активов, влияние на бизнес, частота угроз Каждый элемент, включая эффективность защитных мер и вероятность эксплуатации уязвимости, оцениваются количественно, и, наконец, рассчитываются общий риск и остаточный риск.
Этапы количественного анализа:
Присвойте ценность активам
Оцените потенциальные потери для каждой угрозы
Оценить угрозы и уязвимости и оценить конкретные угрозы Влияние на конкретный актив, то есть EF (0% ~ 100%)
Выполните анализ угроз
Рассчитать годовой коэффициент возникновения (ARO)
Частота возникновения: ARO (ежегодная частота возникновения)
Рассчитывается для каждого актива и угрозы Ожидание единого убытка (SLE)
SLE (ожидание единичного убытка) = стоимость активов (стоимость активов) × EF (коэффициент риска)
Рассчитайте потенциальные годовые потери для каждой угрозы
Ожидаемый годовой ущерб (ALE), рассчитанный для каждой угрозы
ALE = SLE × ARO
Качественная оценка риска
Рассмотрите различные сценарии, в которых могут возникнуть риски, и оцените их с разных точек зрения. Ранжирование серьезности различных угроз и эффективности различных мер противодействия
методы качественного анализа
Суждение, лучшие практики, интуиция и опыт
Методы качественного анализа для сбора данных
Методы группового принятия решений, Delphi
вопросы опроса
исследовать
Интервью
Сравнение качественных и количественных методов
Качественные методы и результаты относительно субъективны.
Качественные методы не могут установить денежную стоимость для анализа затрат/выгод.
Количественные методы требуют большого количества вычислений и сложны в реализации.
Классификация информации и иерархическое управление
Цель: Описать уровень защиты конфиденциальности, целостности и доступности, необходимый для каждого набора данных.
В зависимости от конфиденциальности информации компания принимает различные меры контроля безопасности. Обеспечьте должную защиту информации и расставьте приоритеты в обеспечении безопасности (избегая при этом чрезмерной защиты).
деловая компания
конфиденциальный
конфиденциальность
чувствительный
общественный
военное учреждение
совершенно секретно (Совершенно секретно)
Секрет
конфиденциальный (Конфиденциально)
Чувствительно, но не классифицировано
без категории
Юридическое право, этика, соблюдение требований
компьютерное преступление
Характеристика компьютерной преступности:
Расследовать и собирать доказательства сложно, а доказательства легко уничтожить.
Соответствующие законы неполны
Межрегиональные характеристики
По статистике, инсайдеры чаще совершают преступления.
Пострадавшие учреждения иногда не сообщают об этом, опасаясь повлиять на нормальную работу учреждения и подорвать доверие пользователей к нему.
Виды компьютерных преступлений
преступление с помощью компьютера
Использование компьютера в качестве средства содействия совершению преступления; Компьютеры не являются необходимым фактором преступности, но служат инструментом помощи преступникам.
Компьютерная преступность
Преступления против компьютеров, сетей и информации, хранящейся в этих системах.
Компьютерные преступления
Компьютер не обязательно является злоумышленником или жертвой. Просто случайно участвовал в нападении, когда оно произошло.
законы, связанные с компьютером
Правовая система
общее право
гражданский закон
уголовное право
административное право
система гражданского права
система общего права
религиозная правовая система
смешанная правовая система
Закон об интеллектуальной собственности
Коммерческая тайна
Способность компании конкурировать или работать на рынке имеет решающее значение.
Неизвестно, компания вложила соответствующие ресурсы и усилия в развитие
Получите соответствующую защиту от компании от раскрытия или несанкционированного использования.
Пример:
распространение продукции
Исходный код программы
Алгоритм шифрования
Авторские права
Защищенные законом права публично публиковать, копировать, демонстрировать и изменять большинство произведений.
Он защищает не творчество произведения, а выражение творчества.
Пример:
Программный код, исходный код и исполняемые файлы, даже пользовательские интерфейсы.
литература
рисование
мелодия песни
товарный знак
Он защищает слова, имена, символы, формы, звуки и цвета, которые представляют имидж компании.
Товарные знаки обычно регистрируются в агентстве по регистрации товарных знаков.
Товарный знак — это знак качества и надежности, установленный компанией в ее деятельности на рынке.
патент
Юридическое признание права собственности на патент владельцем патента или компанией, запрещающее несанкционированное использование другими лицами или компаниями.
Патент действителен в течение 20 лет.
Пример:
лекарственные формы
Алгоритм шифрования
Классификация программного обеспечения
бесплатно программное обеспечение
условно-бесплатное ПО
программное обеспечение с открытым исходным кодом
коммерческое программное обеспечение
академическое программное обеспечение
конфиденциальность
цель обработки
Активно стремится защитить личную информацию граждан (PII)
Активно стремиться сбалансировать потребности правительства и бизнеса с проблемами безопасности в отношении сбора и использования личных данных.
личная конфиденциальность
тип:
право быть оставленным в покое
Защита от необоснованных прав физических лиц
Право решать, какая личная информация может быть распространена и кому
Проблемы, на которые следует обратить внимание:
Чтобы предотвратить необоснованные нарушения, основной задачей является информированное согласие и соответствующие защитные меры.
Чтобы предотвратить отсутствие соответствующих методов, сутью является «справедливость и справедливость» и существует механизм исправления ошибок.
Принципы использования личной информации
Обязанности Контролера персональных данных
Сбор персональных данных требует согласия субъекта данных и уведомления о цели.
Собирайте только данные, связанные с целью и использованием, и сохраняйте их только в течение периода, необходимого для этой цели.
Методы сбора данных Методы сбора данных
Принимать разумные меры, технические, управленческие и оперативные меры для предотвращения злонамеренного посягательства на личную информацию, Обеспечьте целостность и конфиденциальность данных, а также удалите устаревшие данные, чтобы предотвратить доступ к ним тех, кому не нужно выполнять соответствующую работу.
Обязанности и права субъектов персональных данных
Просмотрите собранную информацию и исправьте ошибки.
данные нарушения
За каждым инцидентом безопасности должно проводиться расследование на предмет того, произошла ли утечка данных.
этика
Кодекс этики ISC2
Защитить общество, общественные интересы и инфраструктуру и завоевать необходимое общественное доверие. Будьте честными, честными, справедливыми, ответственными и законопослушными Содействовать развитию отрасли и поддерживать профессиональную репутацию Добросовестный, ответственный и профессиональный
Ассоциация компьютерной этики
Комитет по исследованию интернет-архитектуры
миф о компьютерной преступности
Требования BCP и DRP
Обзор BCP/DRP (глава 7)
что такое катастрофа
Внезапные несчастные случаи, которые приводят к большим потерям.
включать:
Стихийные бедствия, такие как землетрясения, наводнения, природные пожары, извержения вулканов и суровая конвективная погода.
Системные/технические, такие как аппаратные, программные сбои, системные/программные ошибки.
Системы снабжения, перебои в связи, сбои в распределительных системах, разрывы труб
Искусственное воздействие, взрыв, пожар, вандализм, химическое загрязнение, вредный код
Политическая, террористическая деятельность, беспорядки, забастовки
организационная катастрофа
Для организации все, что приводит к выполнению критически важных бизнес-функций, Катастрофами считаются события, которые невозможно осуществить в течение определенного периода времени.
Функции:
Незапланированное отключение услуг
Длительный перерыв в обслуживании
Отключение невозможно устранить с помощью обычных процедур управления проблемами.
Сбои приводят к значительным потерям
два элемента
Критичность бизнес-функций, пострадавших в результате сбоя
продолжительность перерыва
План аварийного восстановления, DRP
Цели аварийного восстановления
Уменьшите последствия стихийных бедствий или перерывов в работе бизнеса
Примите необходимые меры для скорейшего восстановления ресурсов, людей и бизнес-процессов.
склонны уделять больше внимания уровню ИТ
План непрерывности бизнеса, BCP
цели непрерывности бизнеса
Убедитесь, что организация по-прежнему может поддерживать бизнес-операции в различных ситуациях.
Решать проблемы в долгосрочной перспективе, в основном предоставляя методы и меры для долгосрочных остановок производства и стихийных бедствий.
Цель цель
Обеспечить своевременное и адекватное реагирование в случае возникновения чрезвычайной ситуации.
Защитите жизни и обеспечьте безопасность
Уменьшить влияние на бизнес
Восстановите критически важные бизнес-функции
Уменьшите хаос во время стихийных бедствий
Обеспечить жизнеспособность бизнеса
Быстро приступить к работе после стихийного бедствия
BCP должен соответствовать бизнес-целям организации и быть частью общего процесса принятия решений.
BCP должен быть частью программы безопасности организации и координироваться с другими элементами программы безопасности.
Стандарты и лучшие практики
НИСТСП800-34
Разработать стратегию (политику) планирования непрерывности
Провести анализ влияния на бизнес (BIA)
Определить методы профилактического контроля
Разработайте стратегию восстановления
Разработать ПБП
Тест ППГ
Поддерживать план обеспечения непрерывности бизнеса
ИСО27031
ИСО22301
Планирование проекта ППГ
Подготовительные мероприятия перед запуском проекта ППГ
Определить потребности BCP, которые могут включать целевой анализ рисков выявлять возможные сбои в работе критически важных систем
Понимать соответствующие законы, правила, отраслевые нормы и бизнес организации. и требования к техническому планированию, чтобы гарантировать, что BCP соответствует
Назначьте руководителя проекта BCP и создайте команду BCP, включая представителей бизнеса и технических отделов.
Разработайте план управления проектом, который должен четко определить масштаб проекта, его цели, Методы, обязанности, задачи и прогресс
Проведите стартовое совещание по проекту, чтобы заручиться поддержкой руководства
Определите инструменты автоматизации, необходимые для сбора данных
Обучение необходимым навыкам и мероприятия по повышению осведомленности для учреждений
Руководитель проекта БЦП
Как руководитель проекта BCP, координатор по обеспечению непрерывности бизнеса несет полную ответственность за планирование проекта. Подготовка, обучение и другая работа
рабочие задачи
Коммуникация и связь между командой разработки программы и руководством
Право на прямой контакт и общение со всеми участниками плана.
Полностью понимать влияние перерыва в работе бизнеса на бизнес организации.
Знание потребностей и деятельности организации, а также способность сбалансировать различные потребности соответствующих отделов организации.
Более легкий доступ к высшему руководству
Понять направление деятельности организации и намерения высшего руководства.
Возможность влиять на решения высшего руководства
Ключевые роли в проекте BCP
Команда восстановления, несколько команд, которые выполняют оценку, восстановление, восстановление и другие связанные работы после катастрофы.
Представители бизнес-подразделений определяют критические бизнес-функции организации и помогают в выборе и разработке стратегий восстановления.
ИТ отдел
отдел связи
Отдел информационной безопасности
законный представитель
Стратегия ППГ
План BCP в конечном итоге должен стать основой стратегии обеспечения непрерывности бизнеса. Условия, зафиксированные в BCP
цели, возможности, потребности
Основные принципы и рекомендации
Обязанности и ответственность
Основные требования к ключевым ссылкам
Условия политики должны быть официально одобрены высшим руководством и опубликованы в качестве организационной политики для руководства усилиями по обеспечению непрерывности бизнеса.
Анализ влияния на бизнес BIA
Обзор анализа влияния на бизнес
Определить области, которые могут нанести значительный ущерб или сбой в работе в случае стихийного бедствия.
Метод анализа BIA
Качественный анализ для определения воздействия катастрофы или сбоя с точки зрения серьезности.
Количественный анализ воздействия катастрофы или сбоя в денежном выражении
Цель BIA
Помогите руководству понять потенциальные последствия сбоев.
Определите ключевые бизнес-функции и ИТ-ресурсы, поддерживающие эти функции.
Помощь менеджерам в выявлении пробелов в организационной функциональной поддержке.
Последовательность восстановления ИТ-ресурсов
Анализируйте последствия сбоев
Определите окна восстановления для каждой бизнес-функции.
Процесс BIA
Определить методы сбора информации
Выберите респондентов
Определить критически важные бизнес-функции и их вспомогательные ресурсы.
Определите, как долго эти функции сохранятся, если поддержка со стороны этих ресурсов будет потеряна.
Выявить слабые места и угрозы
Рассчитайте риск для каждой бизнес-функции
Подготовьтесь предоставить отчет BIA
Проблемы
Предложения по ответам
Анализ информации BIA
Организуйте, сопоставьте, проанализируйте и подтвердите
Качественные и количественные автоматизированные инструменты Помощь в интеграции и анализе информации.
Представитель бизнеса проверяет и подтверждает результаты анализа информации
Определить разрешенное время прерывания MTD
Основная задача анализа воздействия на бизнес – определить ключевые бизнес-функции и Максимально допустимое время прерывания MTD поддерживаемых ресурсов.
Ресурсы, поддерживающие несколько бизнес-функций, более важны.
Время прерывания превышает максимально допустимое время прерывания (Максимально допустимое время простоя) затруднит восстановление бизнеса, тем более критические функции или ресурсы
Последовательность восстановления критически важных бизнес-функций и их вспомогательных ресурсов на основе MTD.
Определение ресурсов поддержки
Определить все вспомогательные ресурсы для критических функций (включая некомпьютерные ресурсы), Период использования ресурса и влияние отсутствия ресурса на функцию и взаимозависимости между ресурсами
Показатели аварийного восстановления
Время восстановления работы, WRT
Время восстановления работы относительно фиксировано
Целевое время восстановления, Целевое время восстановления, RTO
Прежде чем недоступность системы серьезно повлияет на организацию Максимальное время, разрешенное для употребления
Цели точки восстановления, Цели точки восстановления, RPO
Точка, в которой данные необходимо восстановить, чтобы продолжить обработку. То есть максимально допустимый объем потери данных
RTO WRT=MTD