CISSP-D2资产安全
2021-07-17 16:04:18 0 举报AI智能生成
CISSP八大领域之资产安全
作者其他创作
大纲/内容
一、资产安全概述:D2-1~3
二、保护信息:D2-4~7
D2-1-信息生命周期
理解什么是信息生命周期
生命周期模型描述了:一个实体在其生命周期中,所经历的变化。企业去管理<br>和控制,对他们的信息访问,是非常重要的。如果企业不能很好地理解信息处<br>置过程以及存储位置等方面内容,那么相关的防护手段,例如防火墙等手段,<br>是无法起到很好的作用。
掌握信息生命周期的四个阶段
获取
组织从其他地方复制或从头创建。
采取一些步骤使之有价值,并应用一些策略性的控制。
使用
需确保其机密性、完整性和可用性的最大挑战
设置访问级别、正确的授权
由于信息被使用,我们必须确保其内部一致性。<br>一致性也是一个策略和法规遵从性的问题。
存档
授权控制、确保备份数据被保护、保留数据时长。<br>
处置
数据是否真正的被销毁、是否被正确的销毁。<br>
D2-2-信息分类
了解信息分类的基本概念
为了量化一个组织如果丢失了信息后可能承受多少的损失。
了解数据分类级别
商业公司数据分类级别
机密
隐私
敏感
公开
军事机构的数据分类级别
绝密
秘密
机密
敏感但未分类
未分类
了解数据分类的准则
数据的用途
数据的价值
数据的寿命
数据泄露可能导致的损失级别
数据被修改或出现讹误可能导致的损失级别
保护数据的法律、法规或合约责任<br>
数据对安全的影响
谁能访问这些数据
由谁维护这些数据
谁能够重造这些数据
如果数据不可用或出现讹误,那么造成的机会损失有多少
掌握数据分类计划的步骤
定义分类级别
指定确定如何分类数据的准则
任命负责为数据分类的数据所有者
任命负责维护数据及其安全级别的数据看管员
制定每种分类级别所需的安全控制或保护机制<br>
记录上述分类问题的例外情况
说明可用于将信息保管转交给其他数据所有者的方法
建立一个定期审查信息分类和所有权的措施。向数据看管员通报任何变更。
指明信息解密措施。
将这些问题综合为安全意识计划,让所有员工都了解如何处理不同分类级别的数据。
D2-3-信息相关的角色和责任
理解高级管理层的责任
负有最终责任,<b>应尽职责</b>
制定长远规划、业务目标和目的<br>
确保组织在信息安全方面采取适当的应尽注意和应尽责任
理解数据所有者的责任
信息所有者,通常是一名管理人员,负责管理某个业务部门,对特定信息子集的保护和应用负有最终责任
数据所有者具有“<b>应尽关注</b>”职责
决定其负责的数据的分类
负责确保实施必要的安全控制
理解数据监管员的责任
信息监管员,负责数据的保护与维护工作。
角色通常用IT或安全部门员工担任
实施和维护安全控制措施
执行数据的常规备份
定期验证数据的完整性
从备份介质还原数据,保存活动记录
实现公司关于信息安全和数据保护的信息安全策略、标准和指南所指定的需求。
理解安全管理员的责任
负责实施和维护企业内具体的安全网络设备和软件
必须确保为用户授予的访问权限支持公司策略和数据所有者的指示。
D2-4-适当的数据保留<br>
目的:完整性、可用性
保留策略制定的相关概念
保存什么数据
具有并遵循文档化的数据保留策略。
保留时长
哪里保存
保留的方法
分类法
分级
标准化
索引
应该保留什么数据,保留时长
业务文档:7年
发票:5年
应付与应收账款:7年
人力资源文件:7年(离职)或3年(未雇佣的候选人)
法律通信:永久
电子发现(ESI)的概念
电子存储信息的发现(ESI)或称电子发现是被法院或外部律师所制定的,与法律程序有关的所有ESI的过程
电子发现参考模型(EDRM)八个步骤
识别
保存
收集
处理
审查
分析
生成
展示
D2-5-保护隐私
隐私数据相关人员和责任<br>
数据所有者一个责任就是数据分类和批准披露的请求
数据所有者间接或直接决定谁可以访问特定数据
数据处理者保护着数据隐私,对于这个群体的隐私保护方面的关键问题是培训和审计
正确处理隐私数据残留的方法
覆盖
正确处理隐私数据残留的方法
覆盖
消磁
加密
物理损毁
隐私数据收集的限制
了解组织所在地的特定隐私法律<br>
组织收集的个人数据类型及生命周期必须有明确的书面策略
编写策略需回答
收集个人的什么数据
为什么收集这些数据,以及如何使用
与谁共享此数据<br>
谁拥有收集的数据
这些数据的主体
什么时候销毁这些数据
有什么具体的法律或法规与这些数据相关
D2-6-保护资产
数据安全控制的方法
数据三种状态
静止的数据
简单且普遍的解决方案:加密<br>
运动中的数据
强加密(TLS、IPSec)
在关键节点之间使用信任的信道(VPN)
使用中的数据
确保软件测试,解决共享存储器信道攻击问题
电子介质的控制方法
清楚的标记和记录<br>
不再需要时能被正确擦除
介质的生命周期管理
追踪(审计日志记录)
有效访问控制
追踪备份版本的数量和位置
对介质变更的历史记录归档
确保环境条件不会危及介质安全
确保介质的完整性
定期清查介质
执行安全处置活动
标记内部和外部标签
保护其他资产
移动设备
纸质记录
保险箱
D2-7-防止数据泄露
数据泄露的原因
转移信息不恰当
笔记本电脑或介质丢失、被盗
残余数据
意识培训不足
。。。
数据泄露防护(DLP)的相关方法
网络DLP
对运动中的数据应用数据保护策略
通常是一些网络周边的设备
端点DLP<br>
对静态的数据和使用中的数据应用保护策略
部署在每个受保护的端点上以软件形式运行
混合DLP
在整个企业中部署NDLP和EDLP
昂贵且复杂
提供最好的安全覆盖<br>
0 条评论
下一页
