【CISSP学习笔记】1.安全与风险管理

引言：资产安全风险来源于人，可通过法律和道德来进行约束。安全是公司全体员工的责任，最终责任为CEO。

安全与风险管理知识领域涉及如下考点，具体内容分布于如下各个子章节：

理解、遵从与提升职业道德
理解和应用安全概念
评估和应用安全治理的原理
确定合规性和其他要求
理解在全球背景下与信息安全相关的法律和监管问题
理解调查类型的要求（即行政、刑事、民事、监管、行业标准）
制定、记录和实施安全政策、标准、程序和指南
对业务连续性 (BC) 要求进行识别、分析及优先级排序
协助制定和实施人员安全政策和程序
理解并应用风险管理概念
理解并应用威胁建模的概念和方法
应用供应链风险管理 (SCRM) 概念
制定并维护安全意识、教育和培训计划

1.1. 实现安全治理的原则和策略

1.1.1. 理解和应用CIA

CIA常被视为安全基础架构的安全目的和宗旨。

1.1.1.1. 保密性C

目标：阻止或最小化未授权的数据访问。
措施：加密、访问控制和隐写术。

1.1.1.2. 完整性I

保护数据可靠性和正确性，防止未授权的数据修改。

不可否认性：确保事件的主体或引发事件的人不能否认事件的发生，可通过身份标识、身份验证、授权、问责机制和审计使不可否认性成为可能。

1.1.1.3. 可用性A

对客体的有效的持续访问及抵御DoS攻击

1.1.1.4. 其他安全概念

DAD(Disclousure、Alternation、Destruction),与CIA相反
AAA（Authentication、Authoriztion、Auditing/Acounting）

1.1.1.4.1. 身份标识（Identification）

尝试访问安全系统时的身份，主体必须为系统提供身份标识来启动身份验证、授权和记账过程。IT系统通过身份标识来跟踪活动，而不是通过主体本身。

1.1.1.4.2. 身份认证（Authentication）

验证声明的身份是否有效的过程称为身份认证。常见的身份认证形式是使用密码。通常在一个流程中完成身份标识和身份认证两个步骤。

一个主体可提供多种类型的身份验证因子：

1类身份验证因素你知道的东西 - 密码
2类身份验证因素你拥有的东西 - 密钥、令牌、智能卡
3类身份验证因素你具备的东西 - 生物特征，如指纹、虹膜

使用第三方事实信息（第1类身份验证因素）验证个人应该了解的信息有时被称为动态知识型身份验证，是一种身份证明。带外身份验证将使用另一种联系用户的方式，如短信或电话，而密码验证需要密码。

1.1.1.4.3. 授权（Authorization）

一旦主体通过身份验证，就必须进行访问授权。通常使用访问控制模型来定义授权，例如

自主访问控制（Discretionary Access Control，DAC）
强制访问控制（Mandatory Access control，MAC）
基于角色的访问控制（RBAC）

1.1.1.4.4. 审计（Auditing）

审计是追踪和记录主体的操作，以便在系统中让主体为其行为负责。通常审计是OS、APP和服务内置的功能。

1.1.1.4.5. 记账（Acounting）

也称问责制，组织的安全策略只有在有问责机制的情况下才能得到适当实施。有效的问责制依赖于检验主机身份及追踪其活动的能力。通过安全服务和审计、身份验证、授权和身份标识等机制将人员与在线身份的活动联系起来，进而建立问责机制。

1.1.1.4.6. 纵深防御

以线性方式连续执行多个控制，一个控制失效不会导致系统或数据暴露

1.1.1.4.7. 数据隐藏

将数据存放在主机无法访问或读取的逻辑存储空间。

Note: 隐匿指不告知主体客体的存在，在安全上并没有提供任何形式的保护。

1.1.1.4.8. 加密

通过密码学算法对需要保护的数据进行加密，可有效避免数据泄露。

1.1.2. 评估和应用安全治理原则

1.1.2.1. 安全管理计划

安全管理计划确保正确地创建、执行和实施安全策略。安全管理计划使安全功能与业务战略、目标、使命和宗旨相一致。

1.1.2.1.1. 方法

能有效处理安全管理计划的方法是自上而下：

上层、高级或管理部门负责启动和定义组织的策略；
中层管理人员负责将安全策略落到标准、基线、指导方针和程序；
操作管理人员或安全专业人员必须实现安全管理文档中规定的配置；
最终用户必须遵守组织的所有安全策略。

1.1.2.1.2. 内容

定义安全角色
规定如何管理安全和由谁负责安全
检验安全的有效性
制定安全策略
执行风险分析
对员工进行安全教育

制定和执行安全策略体现了高级管理人员的应尽关心（Due care）与尽职审查（Due Diligence）。

安全管理计划团队应该开发三种类型的计划（战略计划、战术计划、操作计划）
在这里插入图片描述

1.1.2.2. 组织的流程

1.变更控制/变更管理

在受监控的环境中有序的实施更改
包含正式的测试过程
所有变更要能够撤销（或回退/回滚）
变更实施前通知用户，防止影响生产效率
对变更影响进行系统性分析，确定其是否会对安全或业务产生负面影响
最小化变更对能力、功能和性能方面的负面影响
变更顾问委员会（Change Advisory Board，CAB）评审和批准变更

2.数据分类
数据分类（数据分级）是基于数据的保密性、敏感性需求而对其进行保护的主要手断。有如下好处：

帮助组织确定最重要或最有价值的资产
给保护机制的选择提供了依据
法规或法律强制的要求
有助于定义访问级别、使用的授权类型及后续不再具有价值的资源销毁、降级方式
确定数据存储时间（保留时间）

两种常用的数据分类：

政府/军事：绝密、秘密、机密、敏感但未分类（Sensitive But Unclassfield，SBU）、未分类
商业/私营部门：机密、私有、敏感、公开

1.1.2.3. 组织的角色和责任

1.1.2.3.1. 高级管理者

高管最终负责安全，但很少直接实施安全解决方案，多数情况分配给组织内的安全专业人员

1.1.2.3.2. 安全专业人员

安全专业人员通常由一支团队组成，根据已批准的安全策略设计和实现安全解决方案。

1.1.2.3.3. 数据所有者

在安全解决方案中负责布署和保护信息分类的人员，通常将实际数据管理任务委托给数据托管员

1.1.2.3.4. 数据托管员

数据托管员(Custodians)负责执行安全策略，为实现数据的CIA提供充分的支撑，并履行上级管理部门委派的要求和责任。（如执行和测试备份、验证数据完整性等）

数据托管员对数据的完整性和安全性进行日常监控。数据所有者可以授予保管人权利，但不负责进行监控。

1.1.2.3.5. 用户

任何能访问安全系统的人员。

1.1.2.3.6. 审计人员

负责审查和验证安全策略是否正确执行，以及相关的安全解决方案是否完备。

1.1.2.4. 安全控制框架

在这里插入图片描述

内部控制框架(Committee of Sponsoring Organizations，COSO) 是美国证券交易委员会唯一推荐使用的内部控制框架。COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示。模型包括：

可操作的关键威胁、资产和脆弱性评估（Operationally Critial Threat，Asset，and Vulnerability ，OCTAVE）
信息风险因素分析（Factor Analysis of Information Risk，FAIR）
威胁代理风险评估（Thread Agent Risk Assessment，TARA）

应用广泛的安全控制框架是信息和相关技术控制目标（Control Objective for Information and Related technology，COBIT），COBIT是由信息系统审计和控制协会（Information Systems Audit and Control Association，ISACA）编制的一套记录最佳IT安全实践的文档。COBIT基于如下6个关键原则进行IT管理和治理：

满足利益相关方的需求
采用整体分析法
动态治理体系
把治理从管理中分离出来
根据企业需求量身定制
端到端治理系统

详细COBIT内容可访问ISACA，当然IT安全还有其他许多标准和指南，包括：

NIST 800-53 Rev. 5 信息系统和组织的安全和隐私控制，包含美国政府对组织安全的一般建议。
The Center for Internet Security，CIS) 提供了OS，应用和硬件的安全配置指导。
NIST Risk Management Framework，RMF 制定了对联邦机构的强制性要求。RMF有六个阶段：分类、选择、实施、评估、授权和监控。
NIST Cybersecurity Framework (CSF) NIST网络安全框架（CSF）专为关键基础设施和商业组织设计，由五项功能组成：识别、保护、检测、响应和恢复。
开源安全测试方法手册（Open Source Security Testing Methodology Manual，OSSTMM）
ISO/IEC 27002（取代ISO 17799）是一项专注于信息安全的国际标准，可作为实施组织信息安全及相关管理实践的基础。
信息技术基础设施库（Information Technology Infrastructure Library，ITIL），最初由英国政府设计，是一套IT安全和操作流程的最佳实践，但它不是本文件的唯一重点，ITIL安全部分源自ISO 27002。

1.1.2.5. 应尽关心和尽职审查

应尽关心 指用合理的关注来保护组织的利益，如制定一种正式的安全框架，包括安全策略、标准、基线、指南和程序。

个人或组织的法律责任被认为是一种应尽关心的场景。

尽职审查 指具体的实践活动，例如，

将安全框架持续应用到组织的IT基础设施上。
员工背景调查
信息系统安全评估
物理安全系统评估
用威胁情报检查公共论坛和云端可用的公司知识产权

1.1.3. 开发、记录和实施安全策略、标准、程序和指南

通过规范化过程可极大减少IT基础设施设计和实现的安全解决方案中的混乱和复杂性。
在这里插入图片描述

1.1.3.1. 安全策略

规范化的最高层文件是安全策略，它定义了主要的安全目标，对组织安全需求和框架进行了概述。
安全策略用于分配职责、定义角色、指定审计需求、概述实施过程、确定合规需求和定义可授受的风险级别，安全策略常用来证明高级管理者在保护组织免受入侵、攻击和灾难时已经给予了应尽关心。

1.1.3.2. 标准、基线和指南

完成主要的安全策略后就可在其指导下编制安全文档。
标准对硬件、软件、技术和安全控制方法的一致性定义了强制性要求。
基线定义了整个组织中每个系统必须满足的最低安全级别，通常是系统特定的。
指南提供了关于如何实现标准和基线的建议，并作为安全专业人员和用户的操作指南，指南概述了方法，并非强制性的。

1.1.3.3. 程序

标准操作程序（Standard Operation Procedure，SOP）是详细的分步实施文档，描述了实现特定的安全机制、控制或解决方案所需的具体操作。

1.1.4. 理解与应用威胁建模的概念和方法

威胁建模是识别、分类和分析潜在威胁的安全过程。组织在进行系统设计过程早期就开始进行威胁建模，并持续贯穿于系统整个生命周期。

1.1.4.1. 识别威胁

1.1.4.1.1. 关注资产

以资产为中心，利用资产评估结果，试图识别价值资产的威胁。

1.1.4.1.2. 关注攻击者

根据攻击者的目标识别代表的威胁。

1.1.4.1.3. 关注软件

1. STRIDE
微软开发了STRIDE的威胁分类方案，通常用于评估对应用程序或操作系统的威胁：

欺骗（Spoofing）：使用伪造的身份获得对目标系统访问的攻击行为。欺骗可用于IP地址、MAC地址、用户名、系统名、无线网络标识符（SSID）、电子邮件等其他类型的逻辑标识。
篡改（Tampering）：对传输或存储中的数据进行未授权的更改或操纵。
抵赖（Repudiation）：用户或攻击者否认执行动作或活动
信息泄露（Information Disclosure）：将私有、机密或受控信息泄露或发送给外部或未授权的实体。
拒绝服务（DoS）：通过利用缺陷、过载连接或爆发流量来阻碍资源的有效使用
特权提升（Elevation of Privilege）：将权限有限的用户账户转换为具有更大特权的账户。

2. PASTA
攻击模拟和威胁分析过程（Process for Attack Simulation and Threat Analysis，PASTA）以风险为核心进行资产保护的防护措施：

为风险分析定义目标
定义技术范围（Definition of the Technical Scope，DTS）
分解和分析应用程序（Application Decomposition and - Analysis，ADA）
威胁分析（TA）
弱点和脆弱性分析（Weakness and Vulnerability - Analysis，WVA）
攻击建模与仿真（Attack Modeling & Simulation，AWS）
风险分析和管理（RAM）

3. Trike
Trike是另一种基于风险的威胁建模方法，Trike对每种资产的可接受风险水平进行评估，然后确定适当的风险响应行动。

4. VAST
VAST（Visual，Agile，and Simple Threat）是一种基于敏捷项目和编程原则的威胁建模概念。

1.1.4.2. 确定和绘制攻击路径

绘制数据流图，确定针对图表中每个元素的攻击

1.1.4.3. 执行简化分析

信任边界
数据流路径
输入点
特权操作
安全声明和方法的细节

1.1.4.4. 优先级排序和响应

通过以上活动汇总出威胁后需要对威胁进行排序或定级，可使用

概率*潜在损失

排序、

高/中/低评级

或

DREAD系统

。

概率*潜在损失：生成一个代表风险严重性的编号（1-100，100代表可能发生的最严重风险）
高/中/低评级：指定优先级标签
DREAD：对每个威胁的五个主要问题回答

潜在破坏(Damage Potential)
可再现性(Reproducibility)
可利用性(Exploitability)
受影响用户(Affected Users)
可发现性(Discoverability)（攻击者发现弱点的难度）

1.1.5. SCRM

供应链风险管理（Supply Chain Risk Management，SCRM）
在为安全集成而评估第三方时，需要考虑：

文件交换和审查
过程/策略审查
第三方审计

根据美国注册会计师协会（AICPA）定义，拥有独立的第三方审计机构可根据SOC(Service Organization Control)报告对实体的安全基础设施进行公正的审查。

SOC1审计侧重于根据安全机制的描述来评估其适用性；

SOC2审计侧重于实现与可用性、安全性、完整性、隐私性和保密性相关的安全控制； - Type 1：当前组织的安全控制与评估报告- Type 2：在运营期间该组织的安全控制与评估报告

SOC3 向公众公开的合规报告.

1.2. 人员安全和风险管理

由于硬件和软件控制的复杂性和重要性，在总体安全规划中经常忽略对人员的安全管理。

1.2.1. 人员安全策略和程序

在所有的安全解决方案中，人员都是最脆弱的元素。在拟定符合组织的职责描述时，重要元素有：

职责分离(Separation Of Duties，SOD)：将关键的、敏感的工作任务分给几个不同人。
工作职责：员工常规执行的具体工作任务
岗位轮换：提供一种知识备份，同时可降低欺诈等风险。

1.2.1.1. 候选人筛选及招聘

1.2.1.2. 雇佣协议及策略

聘用新员工时应该签署雇佣协议。除了雇佣协议还有其他安全相关文件，如

用于防止已离职员工泄露组织机密信息的NDA
非竞争协议（Noncompete Agreement，NCA）

1.2.1.3. 入职和离职程序

入职是在组织的IAM（Identity and Acess Management，身份和访问管理）系统中添加新员工的过程。
离职指员工离开公司后将其身份从IAM系统删除。

1.2.1.4. 供应商、顾问和承包商的协议和控制

SLA通过明确规定对外部各方的期望和惩罚。

1.2.1.5. 合规策略要求

合规是符合或遵守规则、策略、法规、标准或要求的行为。

1.2.1.6. 隐私策略要求

许多美国法案都有关于隐私的要求，如

健康保险流通与责任法案（Health Insurance Portability and Accountability Act，HIPPA）
通用数据保护条例(GDPR)
支付卡行业数据安全标准（Payemnt Card Industry Data Security Standard，PCI DSS）

1.2.2. 理解并应用风险管理概念

风险管理是制定和实施信息安全策略，目标是减少风险和支持组织的使命。

1.2.2.1. 风险术语

资产：AV
资产估值
威胁: 任何可能发生的、对组织或特定资产造成不良或非预期结果的潜在事件。威肋主体通常是人员，但也可能是程序、硬件或系统。威胁事件是对脆弱性的意外和有意利用。威胁事件可以是白发的或人为的，包括火灾、地震、洪水、系统故障、人为错误。
脆弱性（Vulnerability）：是资产中的弱点，是防护措施或控制措施的弱点，或缺乏防护/控制措施。
暴露：指脆弱性会被威胁主体（如恶意黑客）或威胁事件（如火灾）加以利用的可能性是存在的。
风险：是威胁利用脆弱性对资产造成损害的概率
防护措施（Safeguard）：任何能消除或减少脆弱性或能抵御一个或多个特定威胁的事物。（如安装补丁、雇佣保安、安全培训、给周边围栏通电）
攻击：任何故意利用组织安全基础设施的脆弱性并造成资产受损或泄露的行为。
破坏：安全机制被威胁主体绕过或阻止。
在这里插入图片描述

Note: 风险是威胁和脆弱性的结合。威胁是指试图破坏安全的外部力量，例如本案中的恶意黑客。脆弱性是可能使威胁得逞的内在弱点。在这种情况下，缺少的修补程序就是漏洞。在这种情况下，如果恶意黑客（威胁）试图对未修补的服务器（漏洞）进行SQL注入攻击，结果是网站被破坏

暴露因子（EF）：表示如果已发生的风险对组织某个特定资产造成破坏，组织将因此遭受的损失百分比。
举例：对于容易替换的资产（如硬件），EF通常较小；但对于不可替代或专用的资产（如产品设计或客户数据库），EF会很大。

单一损失期望（SLE）：特定资产发生单一风险的相关成本。计算公式：

SLE=资产价值（AV）*暴露因子（EF）

年度发生率（Annualized Rate of Occurrence，ARO）：一年内特定威胁或风险发生的预期频率。
举例：旧金山发生地震的ARO为0.03

年度损失期望（ALE）：针对特定资产的所有可发生的特定威胁，在年度内可能造成的损失成本。
计算公式：

ALE=单一损失期望（SLE）*年度发生率（ARO）

防护措施年度成本（Annual Cost of the Safeguard，ACS）

1.2.2.2. 识别威胁

风险管理的基础是识别与检查威胁

1.2.2.3. 风险评估/分析

风险评估/分析主要是高层管理人员的工作。所有IT系统都存在风险，无法消除全部风险，但高层管理人员必须决定哪些风险是可授受的，哪些是不可授受的。决定可授受哪些风险时就需要进行详细而复杂的资产和风险评估。

关键风险指标（KRI）通常用于监控建立持续风险管理计划的组织的风险。使用自动化的数据收集和允许消化和总结数据的工具，可以提供有关组织风险如何变化的预测信息

1.2.2.3.1. 定量风险分析

定量(Quantitative)风险分析可计算出具体概率。然而完全靠定量分析是不可行的，并不是所有分析元素都可量化。定量风险分析的六个主要步骤如下：

1.编制资产清单，为每个资产分配资产价值（Asset Valuation，AV）
2.研究每一项资产，列出可能面临的所有威胁。对每个列出的威胁计算暴露因子（Exposure Factor，EF）和单一损失期望（Single Loss Expectancy，SLE）。
3.执行威胁分析，计算每个威胁在一年之内实际发生的概率，即年度发生率（Annualized Rate of Occurrence，ARO）
4.通过计算年度损失期望（Annual Lost Expectancy，ALE）得到每个威胁可能带来的总损失
5.研究每种威胁的应对措施，然后基于已采用的控制措施计算ARO和ALE的变化
6.针对每项资产的每个威胁的每个防护措施进行成本/效益分析。为每个威胁选择最合适的防护措施。

防护措施对公司的价值=防护措施实施前的ALE-防护措施实施后ALE-防护措施的年度成本（ACS）

概念公式Asset value (AV)$Exposure factor (EF)%Single loss expectancy (SLE)SLE = AV * EFAnnualized rate of occurrence (ARO) Annualized loss# / yearexpectancy (ALE)ALE = SLE * ARO or ALE = AV * EF * ARO $ / yearAnnual cost of the safeguard (ACS)$ / yearValue or benefit of a safeguard (i.e., cost/benefit equation)(ALE1 – ALE2) – ACS

1.2.2.3.2. 定性风险分析

定性（qualitative）风险分析更多的是基于场景而不是基于计算。相关定性风险分析技术如下：

头脑风暴
Delphi技术：匿名的反馈和响应过程，用于在一个小组中匿名达成共识。
故事板
调查问卷
检查清单
面谈

1.2.2.4. 风险响应

风险缓解（Risk Mitigation）:比如关闭FTP服务
风险接受
风险威慑（Risk Deterrence）：指对可能违反安全和策略的违规者实施威慑的过程。例如，实施审计、安全摄像头。
风险规避：选择替代的选项或活动的过程。比如选择飞行而不是火车。
风险拒绝：不认风险存在并希望永远不会发生，并不是合法的、正确的风险响应方式。

总风险=威胁*脆弱性*资产价值 *这里表示联合

残余风险=总风险-控制间隙(controls gap )

1.2.2.5. 选择与实施控制措施

1.2.2.5.1. 访问控制步骤

(1)识别并验证尝试访问资源的用户或其他主体。
(2) 确定访问是否已获得授权
(3)根据主体的身份授予或限制访问权限
(4)监控和记录访问尝试

1.2.2.5.2. 访问控制分类

1、一般分类

预防控制：试图阻止违反安全策略。如防火墙、闭路电视、栅栏、SOD、IPS、渗透测试等
威慑控制：试图阻止违反安全策略，但威慑控制往往取决于个人决定不采取不必要行动，而预防性控制阻止了该动作。策略、安全意识培训、保安、陷阱、安全摄像头
检测控制：试图发现或检测不必要或未经授权的活动。如岗位轮换、IDS、蜜罐
补偿控制（Compensating）：补偿控制是对其他控制的补充或替代。如加密
纠正控制：使环境在出现问题后恢复到原始状态。终止恶意活动、重启等
恢复控制：试图在安全策略违反后修复或恢复资源和功能。如镜像、热站点、冷站点等
指示控制：试图指导、限制或控制主体的操作，以强拆同或鼓励遵守安全策略。如安全策略、逃生出口标记、监控等

一个由一对门组成的捕捉区是一个预防性访问控制的例子，该捕捉区的访问机制一次只允许一扇门打开，因为它可以通过阻止入侵者因打开的门或跟随合法工作人员进入设施而阻止不必要的访问。

2、按实现方式分类
技术性控制措施 也称逻辑访问控制，依靠硬件或软件来保护系统和数据，如：

身份验证
加密
访问控制列表
防火墙
IDS
剪切级
…

管理性控制措施 基于法规、要求和组织自己的政策，如：

策略
招聘实践
数据分类和标记
安全意识培训
…

物理性控制措施，比如：

保安
栅栏
看门狗
报警器
刷卡
…

1.2.2.6. 安全控制评估

安全控制评估（SCA）根据基线或可靠性对安全基础设施的各个机制进行的正式评估

1.2.2.7. 监测和测量

安全控制提供的收益应该是可被监视和测量的。

1.2.2.8. 资产估值与报告

风险分析的一个重要步骤是估算组织资产的价值，最后一个步骤是风险报告。

1.2.2.9. 持续改进

安全在不断变化，所以需要CI

1.2.2.10. 风险框架

风险框架是关于如何评估、解决和监控风险指南或方法。在联邦信息系统中实施风险管理框架（RMF）包括6个步骤：

安全分类(数据所有者) 对信息系统和根据影响分析将被该系统处理、存储和传输的数据进行分类；
选择安全控制(系统所有者) 基于安全分类为信息系统选择初始化安全控制基线，可基于风险评估在情况调整和补充。
实施安全控制(数据托管员) 使用安全控制
评估安全控制
授权信息系统
监视安全控制

其他风险管理框架

可操作的关键威胁、资产和脆弱性评估（Operationally Critial Threat，Asset，and Vulnerability ，OCTAVE）
信息风险因素分析（Factor Analysis of Information Risk，FAIR）
威胁代理风险评估（Thread Agent Risk Assessment，TARA）

1.2.3. 建立和维护安全意识、教育和培训计划

安全意识建立了对安全理解的最小化最能标准或基础，所有人员都应充分认识到自身的安全责任、义务（知道该做什么、不该做什么）。

培训是教导员工执行他们的工作任务和遵守安全策略

教育是一项更详细的工作，员工学习的内容比他们完成工作实际需要知道的内容多得多，教育是个人成为安全专家的典型要求（如参加认证）。

Note：安全意识和培训通常是内部提供的，而教育通常是从外部第三方获得的。

1.2.4. 管理安全功能

管理安全功能包括：安全策略的开发和实现。
要管理安全功能，组织必须实现适当和充分的安全治理。执行风险评估以驱动安全策略的行为是安全功能管理最显著直接的示例。

安全必须是成本有效的
安全必须是可测量的
安全机制本身与安全治理过程都会消耗资源。

1.3. 业务连续性计划

不管愿望多美好，总会有灾难降临到每个组织。
BCP与DRP之间的区别在于视角。BCP通常战略性地关注上层，以业务流程和运营为中心，DRP更具战术性，描述恢复站点、备分和容错等技术活动。

1.3.1. BCP简介

BCP涉及评估组织流程的风险，并创建策略、计划和程序，以最大限度地降低这些风险发生时能组织产生的不良影响。BCP流程有四个主要阶段：

项目范围和计划
业务影响评估
连续性计划
计划批准和实施

1.3.2. 项目范围和计划

1.3.2.1. 业务组织分析

考虑范围如下：

负责向客户提供核心服务业务的运营部门
关键支持服务部门、设施和维护人员以及负责维护支持运营系统的其他团队
负责物理安全的公司安全团队
高级管理人员和对组织持续运营来说至关重要的其他人员

1.3.2.2. 选择BCP团队

团队至少包括下列人员：

负责执行业务核心服务的每个组织部门的代表
根据组织分析确定的来自不同职能区域的业务单元团队成员
BCP所涉及领域内拥有技术主专长的IT专家
掌握BCP流程知识的网络安全团队成员
负责物理安全的公司安全团队
熟悉公司法规、监管和合同责任的律师
可解决人员配置问题及对员工个人产生影响的人力资源团队成员
需要制定在发生中断时如何与利益相关方和公众进行沟通的公共关系团队成员
高级管理层代表，负责设定愿景、确定优先级和分配资源

1.3.2.3. 资源需求

以下活动需要人力资源

开发
测试、培训和维护
实施

1.3.2.4. 法律和法规要求

许多国家、金融机构都受到严格的政府法规及国际银行和证券法规的约束。

1.3.3. 业务影响评估

BCP团队完成准备创建BCP的四个阶段后就进入工作的核心部分：业务影响评估（BIA）。BIA纯粹是定性分析。BCP团队不应关注每种风险实际发生的概率。

准备：在开发了一个资产列表之后，业务影响分析团队应该为每个资产分配价值。

1.3.3.1. 确定优先级

第一个BIA任务是确定业务优先级，涉及三个量化指标：

AV：Asset Value，资产价值；
MTD：是IT服务或组件不可用而不会对组织造成严重损害的最长时间,这种措施有时也称为最大容许停运(MTO)；
RTO：恢复时间目标(Recovery Time Objective，RTO)，RTO是一项职能，用于评估灾难扰乱正常运营的程度和灾难在单位时间里所造成的收入损失。这些因素又取决于受影响的设备和应用程序。恢复时间目标(RTO)是以秒、分钟、小时或天数来衡量的，它是灾难恢复规划(DRP)中的一个重要考虑因素。

BCP目标是确保
RTO < MTD
，这使一个业务功能不可用的时间永远不会超过最大允许中断时间。

1.3.3.2. 风险识别

风险有两种形式：自然风险和人为风险。

1.3.3.3. 可能性评估

进行威胁分析，计算每种威胁在一年内实现的可能性，即年化发生率（Annualized Rate of Occurrence，ARO）。

1.3.3.4. 影响评估

SLE = AV * EF
ALE = SLE * ARO

1.3.3.5. 资源优先级排序

BIA最后一步是划分针对不同风险所分配的业务连续性资源的优先级。

1.3.4. BCP计划

1.3.4.1. 策略开发

在业务影响评估与BCP开发之间架起桥梁。确定哪些风险需要缓解以及将为每个缓解任务提供的资源水平。

1.3.4.2. 预备和处理

1.3.4.2.1. 人员

人是最宝贵的资产，人员的安全必须优先于组织的商业目标。应该为人员提供完成分配任务必须的全部资产。如果需加班，还必须安排好住所和食物。

1.3.4.2.2. 建筑和设施

加固预防措施（如安装防火墙）
备用站点（如果无法通过加固设施来抵御风险，则需要考虑备用站点）

1.3.4.2.3. 基础设施

物理性加固系统（灭火系统、UPS）
备用系统（冗余组件）

1.3.5. 计划批准和实施

1.3.5.1. 计划批准

尝试让企业高层领导批准该计划。

1.3.5.2. 计划实施

1.3.5.3. 培训和教育

培训和教育是BCP实施的基本要素。

注意：BCP任务至少培训1名备用人员，确保在紧急情况下人员受伤或无法到达工作场所时的备用人员。具有特定业务连续性角色的个人应至少每年接受一次培训。

1.3.5.4. BCP文档化

文档应包括：

1.连续性计划的目标
2.重要性声明
3.优先级声明
4.组织职责声明
5.紧急程序和时限声明
6.风险评估
7.风险授/风险缓解
8.重要记录计划（对业务真正关键的重要记录）
9.应急响应指南
10.维护
11.测试和演练

1.4. 法律、法规和合规

1.4.1. 法律分类

1.4.1.1. 刑法

刑法是维护和平、保障社会安全的法律体系的基石。如谋杀、抢劫等行为。

1.4.1.2. 民法

民法是法律体系的主体，用于维护社会失序，管理不属于犯罪行为但需要由公正的仲裁者解决的人人和组织间的问题。如合同纠纷、财产/遗嘱公证程序。

1.4.1.3. 行政法

政府行政部门要求许多机构对保证政府的有效运作承担广泛责任。

1.4.2. 4.2 法律

1.4.2.1. 计算机犯罪

1.《计算机欺诈和滥用法案》（CFAA）
CFAA是美国针对网络犯罪的第一项重要立法（1984）。

《计算机欺诈和滥用法案》（CFAA）规定，在任何一年内，恶意对联邦计算机系统造成超过5000美元的损害都是联邦犯罪。
2. 《计算机滥用修正案》
1994、1996、2001及之后对CFAA的修正

3. 联邦量刑指南 1991

要求高级管理员为"应尽关心"承担个人责任
允许组织和高管通过证明他胶在履行信息安全职责时实施了尽职审查，将对违规行为的惩罚降到最低。
概述了对疏忽的三种举证责任

4. 《国家信息基础设施保护法案》

5. 联邦信息安全管理法案（FISMA）2002
要求联邦机构实施涵盖机构运营的信息安全程序，FISMA还要求政府机构将合同商(contractors)的活动纳入安全管理程序。NIST负责制定FISMA实施指南。

《联邦信息安全管理法》适用于联邦政府机构和承包商。在列出的实体中，国防承包商最有可能与政府签订受FISMA约束的合同。

6. 2014年的联邦网络安全法案
2014年的FISMA修改了规则，将联邦网络安全责任集中到美国国国土安全部，其次通过了《网络安全增强法案》
以下是NIST常用标准：

NIST SP 800-53：联邦信息系统和组织的安全和隐私控制。
NIST SP 800-171：保护非联邦信息系统和组织中受控的非分类信息。
NIST网络安全框架（CSF）

《国家网络安全保护法》：要求美国国土安全部建立集中的国家网络安全和通信中心，充当联邦机构和民间组织之间的接口，共享网络安全风险、事件、分析和警告。

1.4.2.2. 知识产权

无形资产统称为知识产权，并有一整套保护保护知识产权所有权益的法律。常见有4种类型：版权、商标、专利和商业秘密。

1.4.2.2.1. 版权和数字千年版权法(Digital Millennium Copyright Act ,DMCA)

版权法保护原创作品的创作者，防止创作者的作品遭受未经授权的复制，有资格受到版权保护的作品有八大类：

文学作品
音乐作品
戏剧作品
哑剧和舞蹈作品
绘画、图形和雕刻作品
电影和其他音像作品
声音录音
建筑作品

计算机版权属于文学作品范畴。

版权法只保护计算机软件固有的表现形式，即源代码，不保护软件背后的思想和过程。
版权默认归作品的创作者所有，员工在日常工作中创造出来的作品被认为是因受雇佣而创作的作品。
DMCA规定，提供商不对其用户的临时活动负责。通过网络传输信息符合这一豁免条件。

版权法提供了相当长的保护期:

一个或多个作者的作品：被保护的时间是最后一位去世作者离世后的70年。
雇佣作品：min（第一次发表日期后的95年，或从创建之日起的120年）

1998年美国国会认识到数字领域正在延伸到再有版权法的范围，颁布了《数字千年版权法》（DMCA），主要条款：

利用ISP线路从事违反版权法活动时ISP应承担的责任

1.4.2.2.2. 商标

如果想要官方认可商标，可向美国专利商标局（ United States Patent and Trademark Office ,USPTO）注册。此过程需要律师对已经存在的商标进行一次全面的尽职审查，排队注册障碍。
使用®表示是已经注册的商标。

在美国商标批准后的初始有效期是10年，到期后可按每次10年的有效期延续无数次。

1.4.2.2.3. 专利

专利提供20年的保护期限。专利有三个重点要求：

新颖
实用
创造

1.4.2.2.4. 商业秘密

被泄露给竞争对手或公众，将造成重大损失的知识产权，如可口可乐的秘密配方。
商业秘密不必身任何人登记而是自己持有，为保护商业秘密，可以：

最小化授权
NDA

1.4.2.3. 许可证

四种常见许可协议类型：

合同许可协议使用书面合同
开封生效许可协议被写在软件包装的外部
单击生效许可协议
云服务许可协议

1.4.2.4. 进口/出口控制

1. 计算机出口控制
目前美国企业可向几乎所有国家出口高性能计算机系统，而不必事先得到政府的批准
2. 加密技术出口控制
对美国而言，加密的出口受其《出口管理法规》(Export Administration Regulations, EAR)限制。出口密码技术和密码产品的长度、强度以及一些特殊加密功能都受到限制。

1.4.2.5. 隐私

1.4.2.5.1. 美国隐私法

第四修正案 隐私权的基础是美国宪法的第四修正案。《第四修正案》部分规定，“人民的人身、房屋、文件和物品不受不合理搜查和扣押的权利不应受到侵犯，除非有可能的理由，并有宣誓或肯定的支持，特别是描述要搜查的地方和要扣押的人或物，否则不得签发搜查令。

“第一修正案包含了与言论自由有关的保护措施。第五修正案确保任何人都不需要充当针对自己的证人。第十五修正案保护公民的投票权

1974年《隐私法案》 是对美国联邦政府处理公民个人隐私信息的方式进行限制的王总最重要的隐私法。
1986年《电子通信隐私法案》（ECPA） 将侵犯个人电子隐私的德庄国定义为犯罪
1994年《通信执行协助法案》（Communications Assistance to Law Enforcement Act，CALEA） 要求所有通信运营商，无论使用何种技术，都要允许持有适当法院判决的执行人员进行窃听。
1996年《经济间谍法案》
1996年《健康保险流通与责任法案》（HIPAA） 要求医院、医生、保险公司和其他处理或存储私人医疗信息的组织采取严格的安全措施
1998年《儿童在线隐私保护法》（Children’s Online Privacy Protection Act, COPPA）

COPPA要求网站收集13岁以下儿童的个人信息必须事先征得家长同意

1988年《身份占用与侵占防治法》
1999年《Gramm-Leach-Billey法案》（GLBA） 对金融机构有了严格监管规定
2001年《美国爱国者法案》 对2001年911恐怖袭击的直接回应，提供了拦截和阻止恐怖主义所需的适当法律工具
2009年《健康信息技术促进经常和临床健康法案》（HITECH） 是通过修订HIPAA得来，新增了数据泄露通知要求
《家庭教育权利和隐私法案》（FERPA）

1.4.2.5.2. 欧盟隐私法

在欧洲开展业务的美国公司在处理个人信息时必须满足以下七项要求：

告知个人数据处理情况
提供免费和易用的纠纷解决方案
与美国商务部合作
维护数据完整性和目的限制
确保数据被转移给第三方的责任
执行行动的透明度
确保承诺在持有数据期间都有效

美国商务部和联邦贸易委员会FTC对遵守规定的企业进行认证，并为他们提供安全港免遭诉讼。

1.4.2.5.3. 欧盟《通用数据保护条例》（GDPR）

2016年欧盟通过了一项涵盖个人信息保护的综合性法律GDPR，并于2018年5月25日生效。一些主要规定如下：

数据泄露通知 要求公司在24小时内将严重的数据泄露情况通知官方机构
在每个欧盟成员国建立集中化数据保护机构
规定个人可访问自己的数据
数据可移植性 规定将根据个人要求促进服务提供商之间的个人信息传输
遗忘权 允许人们要求公司删除不再需要的个人信息
公平处理、安全维护和准确维护数据的要求

GDPR确实包括为特定、明确和合法目的收集信息的需要；需要确保收集的信息仅限于实现既定目的所需的信息；以及保护数据免受意外破坏的必要性。它不包括对静止信息进行加密的特定要求。

1.4.3. 合规

常听说的PCI DSS。
组织可能要接受合规审计。
除了正式审计外，组织通常还必须向一些内部和外部股东报告法律合规情况。

1.4.4. 合同和采购

安全专业人员应当审查供应商实施的安全控制，包括最初的供应商选择和评估流程，以及持续管理审查。

前期章节回顾：

【CISSP学习笔记】0.开篇

标签：学习笔记安全

本文转载自: https://blog.csdn.net/u013129300/article/details/135048832
版权归原作者 筑梦之月 所有，如有侵权，请联系我们删除。