資訊安全SSCP教育訓練心得

資訊安全SSCP教育訓練心

資訊安全SSCP教育訓練心得(一)

一、資訊安全的定義是有價值的資訊資產要花多少錢保護、接受資訊損失的承受程度。

公司需要保護的資產區分:

資產的價值(有形、無形)

公司形象、公司品牌的價值

企業必須對資產進行權責分級、歸類

Least Privilege 最小權限原則,不要賦予不必要的權限

Accountability 找到負責的人

Professional Ethics 職業道德、專業人士的責任與義務

Business processes and activities 營運的流程和活動

Data 資料的限制分級

 

二、資訊安全的原則C:機密性、I:完整性、A:可用性

機密:阻擋未經授權的存取

完整:訊息的傳遞必須如預期般的正確,防止未授權的修改

可用:經授權存取的資料隨時可用

 

三、個資收集要件:目的、範圍、告知、同意

有限度收集原則

資料正確原則

目的限定原則

有限度使用原則

安全防護原則

開放性原則

個人參與原則

責任原則

 

四、定義風險:威脅、利用弱點對資產造成影響的可能性

公司營運必須有策略性的控制風險,到可接受的程度

認識到風險必定會發生,將管控風險的策略區分為:

  1. 接受風險
  2. 減緩風險
  3. 移轉風險
  4. 避免風險

 

了解到風險後,必須找出

Risk Tolerance 風險耐受程度

Risk assessment 風險評估(找出、計算)

 

風險評估流程、風險登記表、入侵指標

資訊安全SSCP教育訓練心

威脅塑形:已資料為中心的威脅模型、找出攻擊路線圖、採取措施

CAPEC Common Attack Pattern

spoofing假冒身分、tampering竄改、repudiation否認、information資訊外洩、disclosure可用性、denial of service、elevation of privilege

 

風險評估模型須具備定量、定性

定量分析:金額、數字

SLE單次預期損失

SLE 計算出單次損失金額*曝險因子

ARO 年度發生的次數

ALE 年度預期損失

RAR風險評估報告 Risk Assessment Report

 

依據 ISO/IEC TR 13335-1 風險分析方法,資產(Asset)/威脅(Threat)/弱點 (Vulnerability)三者。風險之產生是因為資產弱點受到威脅,攻擊造成對資產價值的降低,若增加適當的防護措施則可降低風險。隨著外界威脅的產生,系統須適時增加防護措施。

 

以上是SSCP 教育訓練心得第一篇


發佈留言

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料