信息安全法案
- 联邦信息安全管理法案: 【FISMA】政府信息安全改革法案是这个法案的前身,适用于政府外包商;
- 支付卡行业数据安全标准:【PCI DSS】适用于金融信用卡客户身份信息保护[PII];
- 健康保险流通和责任法案:【HIPAA】适用于医疗、保险客户健康档案保护[PHI];
- 儿童联机隐私保护法案: 【COPPA】关于13岁以下的儿童连接网站的隐私信息保护;
- 通讯协助执法法案: 【CALEA】要求所有通信运营商配合执法人员的工作;
- Gramm-Leach-Bliley: 银行、 保险公司和贷款提供商受到对他们所能提供的服务和相互共享的信息的严格限制;
- 萨斯班法案: 管理上市公司公开的财务报告,包括确保该信息完整性的安全控制要求;
公司信息安全策略
- 功能:明确必须要实现的主要安全目标和满足业务目标的安全构架;
- 高级安全策略: 高层管理人员支持资讯安全网的意图的陈述;
COBIT 信息及相关技术控制目标
- 发布: 国际信息系统审计协会(Information System Audit and Control Association ISACA)
- 功能: 规定了安全控制的目标和要求,鼓励将IT的理想安全目标映射到商业目标中;
- 原则1:满足利益相关者的需求;
- 原则2:对企业做到端到端的覆盖:
- 原则3:使用单一的集成框架;
- 原则4:使用整合处理法:
- 原则5: 把治理从管理中分离出来。
标准-基准-指南-程序
- 标准:硬件、软件、技术、安全控制方法的统一使用定义了强制性要求,提供实现技术或者措施的操作过程;
- 战术文档, 定义了达到安全策略指定的 目标和总体方向的步骤或方法。
- 基准: 特定系统或者特定行业的 定义安全性的最低级别,若未达标基准的资产需要进行隔离。
- 指南: 提供了如何实现标准和基准的 非强制性建议,作为安全专家与用户的操作指南;
- 应当部署哪些安全机制, 而不是规定特定的产品或控制以及详细的配置设置。
- 程序:规范化安全策略结构的最后一个要素;
- 详细的、 按部就班的指导文档,描述了实现特定安全机制、 控制或解决方案所需的确切行动;
- 遵守强制性的标准的一步步的指示。
可接受使用策略
- 【Acceptable Usage Policy AUP】NIST SP 800 概括了这个概念为行为准则;
- 概括了责任和个体的预期行为,以及陈述和规划可接受使用策略不一致的后果;
- 定义了个人角色和职责的分配;
- 允许使用者告知他们已经理解并同意遵守。
业务影响评估[BIA]
- 选择单个人员进行访谈完成数据收集;
- 创建数据收集方法;
- 确定公司关键业务功能;
- 确定这些功能所依赖的资源;
- 计算没有这些资源生存时限;
- 确定这些功能的漏洞和所面临的威胁;
- 计算不同业务功能所面临的风险;
- 将发现结果形式文档并报告发送给管理层。
安全机制的功能
- 提供可用性 控住主体是否可以访问对应资源、数据、对象;
风险管理机制的不同方法
- 概念:识别可能造成数据损坏或者泄露的因素的详细过程,基于价值评估和应对措施的成本,实施有成本效益的解决方案;
- 目标:进行风险分析是过程的关键,完成后基于分析结果对风险进行响应;
- 基于技术部门:OCTAVE[组织结构中建立的风险评估] 、ASINZS 4360[理解公司财务、资本、人身安全、商业决策风险];
- 基于公司业务:NIST SP800-30美联邦标准风险评估指南;
资产
- 描述:业务流程中或者任务中使用的任何东西;
文档审查
- 描述:对业务流程和组织策略的逻辑和实际调查,阅读交换材料并利用 标准和期望对其进行检验的过程 ;
- 定期执行的业务任务、系统和方法是可行的,有效的;
- 通过减少脆弱性和避免、减少或者风险缓解来支持安全;
数据分类
- 基本目标:根据分配给数据的重要性和敏感性标签进行数据分类保护过程进行规范化和分层;
- 根据对应目标实施访问控制措施;
应尽关注与应尽职责
- 应尽调查:调查或者理解公司的风险面;
- 应尽关注:通过合理的关注保护组织的利益;
- 例如:开发规范化的安全结构, 这个结构会包含安全策略、 标准、 基线、 指导方针和程序:
- 应尽职责:不断实践能够维持应尽关注成果的活动;
- 例如: 来源于应尽关注的安全架构,持续有效的应用机构的IT基础架构中;
不可否认与身份验证的区别
- 不可否认性:确保活动或事件的主体无法否认所发生的事件,防止主体宣称自己没有发送过消息;
- 身份验证:当用户需要获得某个系统中权限时,由系统验证并标识用户为可识别ID;
来源:CSDN
作者:/etc/rc.local
链接:https://blog.csdn.net/god1992/article/details/103447679