資訊安全SSCP教育訓練心得(一)
一、資訊安全的定義是有價值的資訊資產要花多少錢保護、接受資訊損失的承受程度。
公司需要保護的資產區分:
資產的價值(有形、無形)
公司形象、公司品牌的價值
企業必須對資產進行權責分級、歸類
Least Privilege 最小權限原則,不要賦予不必要的權限
Accountability 找到負責的人
Professional Ethics 職業道德、專業人士的責任與義務
Business processes and activities 營運的流程和活動
Data 資料的限制分級
二、資訊安全的原則C:機密性、I:完整性、A:可用性
機密:阻擋未經授權的存取
完整:訊息的傳遞必須如預期般的正確,防止未授權的修改
可用:經授權存取的資料隨時可用
三、個資收集要件:目的、範圍、告知、同意
有限度收集原則
資料正確原則
目的限定原則
有限度使用原則
安全防護原則
開放性原則
個人參與原則
責任原則
四、定義風險:威脅、利用弱點對資產造成影響的可能性
公司營運必須有策略性的控制風險,到可接受的程度
認識到風險必定會發生,將管控風險的策略區分為:
- 接受風險
- 減緩風險
- 移轉風險
- 避免風險
了解到風險後,必須找出
Risk Tolerance 風險耐受程度
Risk assessment 風險評估(找出、計算)
風險評估流程、風險登記表、入侵指標
威脅塑形:已資料為中心的威脅模型、找出攻擊路線圖、採取措施
CAPEC Common Attack Pattern
spoofing假冒身分、tampering竄改、repudiation否認、information資訊外洩、disclosure可用性、denial of service、elevation of privilege
風險評估模型須具備定量、定性
定量分析:金額、數字
SLE單次預期損失
SLE 計算出單次損失金額*曝險因子
ARO 年度發生的次數
ALE 年度預期損失
RAR風險評估報告 Risk Assessment Report
依據 ISO/IEC TR 13335-1 風險分析方法,資產(Asset)/威脅(Threat)/弱點 (Vulnerability)三者。風險之產生是因為資產弱點受到威脅,攻擊造成對資產價值的降低,若增加適當的防護措施則可降低風險。隨著外界威脅的產生,系統須適時增加防護措施。
以上是SSCP 教育訓練心得第一篇