CBK-D1-安全与风险管理
osg-ch2-人员安全和风险管理的概念
人员安全
人员经常被视为最脆弱的元素
招聘新员工的步骤
创建岗位描述
岗位描述并非专用于招聘过程,在组织的整个生命周期中进行维护
设置工作级别
筛选应聘者
候选人筛选
背景调查
####### 工作和教育背景
####### 检查推荐信
####### 验证学历
####### 访谈同事
####### 个人面试
####### 信用核查
####### 性格测试和评估
####### 在线背景调查
####### 社交网络账户审查
####### 背景调查遵循法律法规
推荐信调查
学历验证
安全调查验证
招聘和培训最适合的人
标准化的面试过程
入职签订雇佣协议
最小访问权限
可接受的使用策略AUP
保密协议NDA
####### 职责变化时签订额外的保密协议
####### 离职时提醒NDA或重新签署NDA
员工监管
定期审查或审计员工的岗位描述、工作任务、特权和职责
过多使用特权导致CIA破坏
心怀不满的破坏
接管员工账户的攻击者破坏
审查员工能力,并最小特权调整权限
金融行业–审查常使用强制休假1到2周时间
用户和员工的管理与评估技术
职责分离
岗位轮换
交叉培训
降低串通风险
职责分离
限制岗位职责
强制休假
岗位轮换
交叉培训
用户行为分析
用户与实体行为分析
将分析扩展到发生的实体活动,但不一定与用户的特定行为直接相关或有关联
离职、调动和解雇
通常禁用IAM账户,并保留几个月以进行审计
有问题的员工通道解雇,而不是调用其他部门
解雇-时间就是一切
外部人员控制
SLA
供应商、顾问和承包商的控制
VMS供应商管理系统
合规策略要求
组织依靠员工的合规性保持高质量、一致性、效率和节约成本
合规是一种行政或管理的安全控制形式
合规也是一个监管问题
隐私策略要求
主动防止未经授权访问PII个人身份信息
PII personally identifiable information
####### 电话号码
####### 电子邮件地址
####### 邮寄地址
####### 社会保险号
####### 姓名
####### MAC地址
####### IP地址
防止未授权访问个人的或机密的信息
防止未经同意或不知情的被观察、监视或检查
相关法律法规
健康保险流通与责任法案HIPAA
萨班斯-奥克斯利法案SOX
家庭教育权利和隐私法案 FERPA
金融服务现代化法案
通用数据保护条例 GDPR
组织安全策略必须提及在线隐私问题
风险管理
首次执行风险管理的结果是制定安全策略的依据。
主要目标是将风险降至可接受的水平
IT基础设施面临的风险来自多个方面
计算机方面
事故
自然灾害
金融威胁
内乱
流行病
物理威胁
技术利用
社会工程
风险管理的组成
风险评估
风险响应
风险意识
了解资产的价值
盘点可能损害资产的现有威胁
解决已识别的风险而选择和实施控制措施
资产估值
有形价值
无形价值
风险管理的过程
1.识别威胁和脆弱性
编制威胁列表
2.风险评估和分析
团队形式
高层管理人员的职责
####### 实际执行是IT和安全部门的团队
定性风险分析
####### 用主观的和无形的价值来表示资产损失,并考虑观点、感受、直觉、偏好、想法和直觉反应
######## 一般先定性再定量
######## 基于场景,而非基于计算
######### 基于判断、直觉和经验
######## 定性分析方法
######### 头脑风暴
######### 故事板
######### 焦点小组
######### 调查
######### 问卷
######### 检查清单
######### 一对一的会议
######### 采访
######### 场景
########## 对单个主要威胁的书面描述
######### Delphi技术
########## 匿名的反馈和响应过程
定量风险分析
####### 用实际的货币来计算资产损失
######## 1.编制资产清单,为每个资产分配资产价值AV
######## 2.列出资产-威胁组合
######## 3.对于每个资产组合,计算暴露因子 exposure factor EF
######## 4.对每个资产组合,计算单一损失期望 single loss expectancy SLE
######## 5.执行威胁分析,计算年度发生率 ARO
######## 6.计算年度损失期望 ALE
######## 7.研究每种威胁的控制措施,计算ARO\EF\ALE的变化
######## 8.进行成本\效益分析,为每个威胁选择最合适的防护措施
风险评估的目标是识别风险并按重要性进行优先级排序
外聘风险管理顾问
####### 书面上的评估和分析
####### 使用风险评估软件
####### 生成标准化报告
3.风险响应
降低或缓解
####### 实施加密措施
####### 使用防火墙
转让或转移
####### 购买网络安全或传统保险
####### 外包
威慑
####### 实施审计
####### 安全摄像头
####### 警告横幅
####### 使用安保人员
规避
版权归原作者 青葱味奶糖 所有, 如有侵权,请联系我们删除。