CISSP-D2资产安全
2021-07-17 16:04:18 0 举报AI智能生成
登录查看完整内容
CISSP八大领域之资产安全
作者其他创作
大纲/内容
一、资产安全概述:D2-1~3
二、保护信息:D2-4~7
D2:资产安全
D2-1-信息生命周期
理解什么是信息生命周期
生命周期模型描述了:一个实体在其生命周期中,所经历的变化。企业去管理和控制,对他们的信息访问,是非常重要的。如果企业不能很好地理解信息处置过程以及存储位置等方面内容,那么相关的防护手段,例如防火墙等手段,是无法起到很好的作用。
掌握信息生命周期的四个阶段
获取
组织从其他地方复制或从头创建。
采取一些步骤使之有价值,并应用一些策略性的控制。
使用
需确保其机密性、完整性和可用性的最大挑战
设置访问级别、正确的授权
由于信息被使用,我们必须确保其内部一致性。一致性也是一个策略和法规遵从性的问题。
存档
授权控制、确保备份数据被保护、保留数据时长。
处置
数据是否真正的被销毁、是否被正确的销毁。
D2-2-信息分类
了解信息分类的基本概念
为了量化一个组织如果丢失了信息后可能承受多少的损失。
了解数据分类级别
商业公司数据分类级别
机密
隐私
敏感
公开
军事机构的数据分类级别
绝密
秘密
敏感但未分类
未分类
了解数据分类的准则
数据的用途
数据的价值
数据的寿命
数据泄露可能导致的损失级别
数据被修改或出现讹误可能导致的损失级别
保护数据的法律、法规或合约责任
数据对安全的影响
谁能访问这些数据
由谁维护这些数据
谁能够重造这些数据
如果数据不可用或出现讹误,那么造成的机会损失有多少
掌握数据分类计划的步骤
定义分类级别
指定确定如何分类数据的准则
任命负责为数据分类的数据所有者
任命负责维护数据及其安全级别的数据看管员
制定每种分类级别所需的安全控制或保护机制
记录上述分类问题的例外情况
说明可用于将信息保管转交给其他数据所有者的方法
建立一个定期审查信息分类和所有权的措施。向数据看管员通报任何变更。
指明信息解密措施。
将这些问题综合为安全意识计划,让所有员工都了解如何处理不同分类级别的数据。
D2-3-信息相关的角色和责任
理解高级管理层的责任
负有最终责任,应尽职责
制定长远规划、业务目标和目的
确保组织在信息安全方面采取适当的应尽注意和应尽责任
理解数据所有者的责任
信息所有者,通常是一名管理人员,负责管理某个业务部门,对特定信息子集的保护和应用负有最终责任
数据所有者具有“应尽关注”职责
决定其负责的数据的分类
负责确保实施必要的安全控制
理解数据监管员的责任
信息监管员,负责数据的保护与维护工作。
角色通常用IT或安全部门员工担任
实施和维护安全控制措施
执行数据的常规备份
定期验证数据的完整性
从备份介质还原数据,保存活动记录
实现公司关于信息安全和数据保护的信息安全策略、标准和指南所指定的需求。
理解安全管理员的责任
负责实施和维护企业内具体的安全网络设备和软件
必须确保为用户授予的访问权限支持公司策略和数据所有者的指示。
D2-4-适当的数据保留
目的:完整性、可用性
保留策略制定的相关概念
保存什么数据
具有并遵循文档化的数据保留策略。
保留时长
哪里保存
保留的方法
分类法
分级
标准化
索引
应该保留什么数据,保留时长
业务文档:7年
发票:5年
应付与应收账款:7年
人力资源文件:7年(离职)或3年(未雇佣的候选人)
法律通信:永久
电子发现(ESI)的概念
电子存储信息的发现(ESI)或称电子发现是被法院或外部律师所制定的,与法律程序有关的所有ESI的过程
电子发现参考模型(EDRM)八个步骤
识别
保存
收集
处理
审查
分析
生成
展示
D2-5-保护隐私
隐私数据相关人员和责任
数据所有者一个责任就是数据分类和批准披露的请求
数据所有者间接或直接决定谁可以访问特定数据
数据处理者保护着数据隐私,对于这个群体的隐私保护方面的关键问题是培训和审计
正确处理隐私数据残留的方法
覆盖
消磁
加密
物理损毁
隐私数据收集的限制
了解组织所在地的特定隐私法律
组织收集的个人数据类型及生命周期必须有明确的书面策略
编写策略需回答
收集个人的什么数据
为什么收集这些数据,以及如何使用
与谁共享此数据
谁拥有收集的数据
这些数据的主体
什么时候销毁这些数据
有什么具体的法律或法规与这些数据相关
D2-6-保护资产
数据安全控制的方法
数据三种状态
静止的数据
简单且普遍的解决方案:加密
运动中的数据
强加密(TLS、IPSec)
在关键节点之间使用信任的信道(VPN)
使用中的数据
确保软件测试,解决共享存储器信道攻击问题
电子介质的控制方法
清楚的标记和记录
不再需要时能被正确擦除
介质的生命周期管理
追踪(审计日志记录)
有效访问控制
追踪备份版本的数量和位置
对介质变更的历史记录归档
确保环境条件不会危及介质安全
确保介质的完整性
定期清查介质
执行安全处置活动
标记内部和外部标签
保护其他资产
移动设备
纸质记录
保险箱
D2-7-防止数据泄露
数据泄露的原因
转移信息不恰当
笔记本电脑或介质丢失、被盗
残余数据
意识培训不足
。。。
数据泄露防护(DLP)的相关方法
网络DLP
对运动中的数据应用数据保护策略
通常是一些网络周边的设备
端点DLP
对静态的数据和使用中的数据应用保护策略
部署在每个受保护的端点上以软件形式运行
混合DLP
在整个企业中部署NDLP和EDLP
昂贵且复杂
提供最好的安全覆盖
0 条评论
回复 删除
下一页
