促进人员安全策略
在任何安全解决方案中,人都是最薄弱的部分。
雇佣新员工通常涉及几个明确的步骤:创建工作描述、设置工作分类、帅选候选人、雇佣和培训最适合这项工作的人,其中创建工作描述是第一步工作。
职责分离:阻止任何一个人具备破坏或削弱重要安全机制的能力;职责分离可以防止共谋。
工作职责:按照最小特权原则分配访问权限。
岗位轮换:通过让员工在不同的工作岗位间轮换职位来提高整体安全性。
1.提供一种知识的冗余,在许多员工中的每一位都有能力胜任所要求的若干工作岗位时,如果因为疾病或其它事件导致一位或多位员工在较长事件内无法工作,那么组织遭受严重停工或生产效率降低的可能性就较小。
2.人员流动可以减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险。当一个人在特定岗位上工作时间越长,就越有可能分配到额外的任务,从而会扩展他们的特权和访问权限。若该人员因为个人利益对公司进行恶意报复,那么就很容易被另一位了解该工作岗位和工作职责的员工发现,因此,岗位轮换也是一种同级的审计形式,并且能够防止共谋。
帅选候选人
背景调查:获得候选人的教育历史记录、工作历史记录、与候选人邻居、同时进行会面、向公安局获得候选人的拘捕或违法记录....
在线调查:社交账户审查
雇佣协议和策略
NDA(NonDisclosure Agreement)保密协议
NCA(NonCompete Agreement)竞业禁止协议
经理应当定期审计每一位员工的工作描述、工作任务和特权
明确解雇员工流程
离职面谈的主要目的是:根据前雇员签署的雇佣协议、保密协议和其它安全相关文档来审查责任和约束条件。
大多数情况下,应该在通知员工被解雇繁荣同时或之前就禁止词员工对系统的访问权限。
供应商、顾问和承包商控制
合规性
合规是符合或遵守规则、策略、标准或要求的行为,合规性相对于安全治理来说是一个重要的问题。
隐私
安全治理
文档审查是阅读交换材料并利用标准和期望对其进行检验的过程。
文档审查一部分是对业务流程和组织策略的逻辑和实际调查。这一审查确保声明和实施的业务任务以及系统的方法是使用、高笑和成本有效的,最重要的是它们可以通过减少漏洞以及避免、减少或缓解风险来支持安全目标。风险管理、风险评估和风险解决都是在执行流程/策略评估中涉及的方法和技术。
理解和应用风险管理概念
风险分析包括:分析缓解中的风险;评估每种风险发生的可能性和造成的损失;评估各种风险对策的成本,以及生产安全措施的成本/效益报告并呈交给上级管理者。
风险相关术语
资产:是指环境中应该加以保护的任何事物。
资产估值:根据实际的成本和非货币支出为资产分配货币价值。
威胁:任何可能发生、为组织或某种特定资产所代理不希望的或不想要的结果的事情都被称为威胁。
脆弱性:资产中的弱点或防护措施/对策的缺乏被称为脆弱性。
暴露:由于威胁二容易造成资产损失,脆弱性会被或将被威胁主体或威胁事件加以利用的可能性是存在的。
风险:风险是某种威胁利用脆弱性并导致资产损毁的可能性,是对可能性、概率或偶然性的评估。暴露的每个实例都是一种风险,风险=威胁*脆弱性。
防护措施:防护措施或对策是指能够消除脆弱性或对付一种或多种特定威胁的任何方法。防护措施可以是通过消除或减少组织内任何位置的威胁或脆弱性来降低风险的任何行为或产品。
攻击:攻击指的是威胁主体对脆弱性的利用。
破坏:破坏是指发生安全机制被威胁主体绕过或阻挠的事情。
威胁利用脆弱性,脆弱性导致暴露,暴露就是风险,风险又被防护措施减轻。防护措施保护被威胁危及安全的资产。
识别威胁和脆弱性
风险评估/分析
定量风险分析:把真实的货币价值分配给损失的资产。
定性风险分析:把主管的和无形的价值分配给损失的资产。
定量分析主要步骤:
1.列出资产清单和分配资产价值
2.研究每项资产,生成每个资产所有可能威胁的列表,并计算暴露因袭和单一损失期望值。
3.执行威胁分析,计算每种风险的年发生比率
4.计算年度损失期望,得到每个威胁可能的总损失
5.研究每个威胁对策,然后基于应用的对策,计算ARO和ALE的变化
6.针对每个资产进行成本/效益分析,选择每个威胁最适用的对策。
分配资产价值(AV)-->计算暴露因子(EF)-->计算单一损失期望值(SLE)-->评价年发生比率(ARO)-->算出年度损失期望值(ALE)-->执行对策的成本/效益分析
单一损失期望值SLE=资产价值AV * 暴露因子 EF
SLE=AVEF
年度损失期望ALE=单一损失期望值SLE * 年发生比率 ARO
ALE=SLEARO
防护措施的目的是减少ARO,也就是说防护措施应该减少攻击对资产造成成功损害的次数。
如果防护措施的成本超过资产的价值(也就是风险的成本),那么就只能接受风险。
计算防护措施成本/效益:采取对策前的ALE-采取对策后的ALE-ACS(防护措施年度成本),无论如何,结果为正数时是合理的。
风险分配/接受
针对风险的处理,有4中可能的反应:
降低风险、转让风险、接受风险、拒绝风险
总风险=威胁&脆弱性&资产价值
总风险-控制间隙=剩余风险
对策的选择和评估
风险控制的实施
安全控制、对策和防护措施可以通过行政管理性、逻辑/技术性或物理性控制来实现。
控制的类型
威慑、预防、检测、补偿、纠正、恢复、指令
监控和质量
资产评估
持续改进
遵从成本/效益原则
风险框架
风险框架是关于如何评估风险、解决风险和监管风险的指南或诀窍。
风险管理系统包括6步:安全分类、安全控制选择、安全控制测实现、安全控制的评估、信息系统的授权和安全控制的监管。
建立和管理信息安全教育、培训和意识
三种公认的学习层次是:意识、培训和教育
培训通常由组织主持进行。
管理安全功能
组织的安全管理功能可能包括经济能力(预算)、度量、资源、信息安全策略、评估安全系统的完整性、有效性等等。
