iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 3
5
Security

CISSP 快速入門系列 第 3

[Day03]今天我是首席資安官

所以,我們現在有了管理面的思維與道德,不用多久我就會升職加薪,當上總經理,出任CEO,迎娶白富美走向人生巔峰 想想還有點小激動呢…
來源是這兒:我是王大鍾
不過我們接下來我們要當首席資安官開始…
以下完全不討論技術,因為技術交給資訊人員做就好啦…
哈哈哈… 哈哈… 哈… 嗚嗚嗚嗚嗚…

試問,今天如果讓你當首席資安官,你想做什麼?

滾!講等退休的人出去罰站啊!!! ((老公默默走出去

在等退休的路上,應該是會想知道目前公司的架構及現況吧?
不知道架構及現況的話,難以管理的吧?
請原諒我用問句,因為我也還沒當過首席資安官 XDDDD

=====.=====.=====.以下代入假設情境.=====.=====.=====

如果是我的話,應該會先摸清老闆的喜好吧? 口桀~口桀~口桀~
不過,不用想老闆的喜好都是「賺錢」。

那麼,讓資訊部輔助業務部門(老闆眼中的金雞母)使用系統正常營運就是資訊部門最主要的工作。
所以,首席資安官掌握了老闆所下的核心政策(Policy),並且訂定規範(Standard),資訊人員遵照程序(Procedure)及參考手冊(Guidelines)去操作。

為了成為一個能安全退休的首席資安官,不出事不上報是我的工作目標。
所以,這裡要來談到業務連續性計劃(Business continuity planning)。

業務連續性計劃(BCP)是確保災難事件發生之前、期間和之後業務持續運營的過程及重點完全在於業務延續,它確保業務的核心功能仍然在災難發生後執行。

業務連續性計劃(Business continuity planning)

BCP 步驟 1:計劃啟動

身為首席資安官就要評估所有可能會造成的風險,造成的危害影響及災難復原(Disaster Recovery)。
不過,在制定 BCP 之前…有件事情非常重要…

我們是做資安,不是做慈善。

做計劃,要錢,要人,都需要取得老闆或高階主管的支持,沒有取得高階長官的支持,那麼可能就會沒有資源。
在啟動計劃、計劃擬定、讓高階主管們滿意的跨部門溝通、最終批准計劃都需要老闆的支持。
所以老闆不支持的話,那就真的不用做啦,放棄你的待退計劃,快逃吧 XDDDDD

BCP 步驟 2:制定核心範圍

定義需要保護的確切資產,計劃將能夠解決的緊急事件類型,以擬定實施計劃所需的資源。
所以說那個生化危機或是外星人來襲之類的就不必考慮了。

這裡需要很多高階的角色必須參與BCP的範圍界定,以確保代表組織職能的所有方面。
這樣評估在實務上很困難,除了訂定哪些是資訊資產是核心以外,大部份的主管都會說自己家的資訊資產很重要…
我自己的經驗啦 … 估計這個是最花費時間的步驟了… … …

風險的計算:定性 & 定量

定性:主觀的計算風險分類,如我們常見的 Critical、High、Medium、Low…
定量:以明確數字計算,以上提供幾個風險計算公式:

SLE = EF x AV
ALE = SLE x ARO
單期預期損失 Single Loss Expectancy = 曝光因子 Exposure Factor x 資產價值 Asset Values
年度預期損失 Annualized Loss Expectancy = (SLE) x 年度發生率 Annualized rate of occurrence
年度發生率(ARO) => 一年發生幾次的百分比,一年兩次 = 2,半年一次 = 0.5

Countermeasure Value = ALE Previous - ALE Now - Countermeasure Cost
年度對策價值 = 實施對策之前 - ALE 實施對策後 - 對策的年度成本

剩餘風險 Residual Risk = 總風險 Total Risk x 對策 Conutermeasures
定性、定量用哪一種比較好呢?

看狀況。

像說我們在年度預算的時候,像說一筆個資罰 500 ,我們只有 100 個客戶,可能造成的損失只有 5 萬
在不考慮商譽及其他狀況的情況下,我們買個防火牆或資安設備要 10 萬,那
資料外洩 1 年 1 次 : 5 萬 - 10 萬 = -5 萬 => 不買。
資料外洩 1 年 10 次: 50 萬 - 10 萬 = 40 萬 => 買。
這個就是定量。

我們收到資安報告的時候,因為時間有限,所以會先將弱點分類,從嚴重等級的開始修,那麼這個就是定性。

BCP 步驟 3:業務影響分析

業務影響分析(BIA)是確定組織的資訊系統中斷時,核心作業會造成什麼樣的損害。

今天我們是貴婦百貨的首席資安官,那麼我們並不用參與特賣,但如果今天結帳櫃檯(核心範圍),發生停電、停水、人員請假…可能有許多的風險發生,難道我們就不營業嗎?

BIA 風險分析:
停電 => 錢一樣要收,貨一樣要賣,記錄可以用手寫,但如果有備用電力就更好了
停水 => 並非直接影響營收,故列入次等影響
人員請假 => 為了臨時狀況,所以平常要有兩個以上站櫃
怪獸襲來 => 風險太低不列入考慮

BIA的主要組成部分如下:

  1. 確定核心資產(Critical Assets)
  2. 進行風險評估(Risk Assessment)
  3. 確定最大容許停機時間(Maximum Tolerable Downtime)
  4. 失敗和恢復指標(Failure and Recovery Metrics)

DR 災難回復:
確定資訊確定其優先等級,主要目標是降低容許停機時間(MTD),當然As Soon As Possiable,所以
BIA 在執行的時候還能改進業務流程,因為如果效率太低或無效,那也是會被檢討的。

BCP 步驟 4:確定預防控制(Identify Preventive Controls)

說到風險控制的對策,不免俗的提到:
3 種 Control Type :

  • 管理面向的(Administrtrative)
  • 技術面向的(Technical)
  • 物理面向的(Physical)

6 種 Control functions:

  • 預防性(Preventive) => 列出所有可能的風險去做預防,也就是為什麼上個步驟是 BIA 了。
  • 偵測性(Detective)
  • 糾正性(Corrective)
  • 威嚇性(Deterrent)
  • 回復性(Recovery)
  • 補償性(Compensating)

「我要颱風天出門找奶奶。」
應對風險的方式:

  • 降低風險:戴安全帽、請老司機載
  • 轉讓風險:先上網保個旅行平安險
  • 接受風險:我相信我能平平安安到奶奶家
  • 拒絕風險:不出門了,奶奶Byebye

BCP 步驟 5:恢復策略(Recovery Strategy)

需要預估最大可容忍停機時間(Maximum Tolerable Downtime)、恢復點目標(Recovery Point Objective)和恢復時間目標等指標(Recovery Time Objective)用於確定災難恢復策略。

一張圖說明一句話,感謝敦陽馬汀大大的神支援~
https://ithelp.ithome.com.tw/upload/images/20181018/2010364791ZvnlPBzI.png

BCP 步驟 6:計劃核准(Plan Approval)

以上都是計劃,經過一連串的跨部門討論評估過後,統合整理後,計劃還是需要老闆點頭的 :)

BCP 步驟 7:實作、訓練和測試(Implementation, Training, Testing)

真的有在實作災難回復的舉手…(?)
因為,真實的停機跟中斷服務會造成損失,所以公司企業實作困難,這個部份就是最重要的,沒有實作,災難發生就會很糟糕~

BCP 步驟 8:後續維護(BCP Maintenance)

  • 變更管理流程(Change management)
  • 版本控制(Version control)
  • 異常追蹤(Accounting for mistakes)

但這個實作的最多就是至機房簽名,後續會再提供給稽核這樣(?)

其實去年安總裁也有寫過 CISSP,完整並且專業多了!延伸閱讀:[Day 04] 安全與風險管理 (Business Continuity Planning)
不過,也是要自己用自己的話寫完,然後再去比對安總裁的內容,才知道自己準備的內容漏掉哪些重點啊嗚…

=====.=====.=====.=====.=====.=====

另外,偷分享一下昨天鐵人賽團隊的討論:
之前遇過來稽核的團隊裡有一位年輕的成員,與我們溝通上出現很大分岐,從他提問中不難發現他太年輕缺乏相關IT工作經驗,他也是年輕氣盛最後嗆道「我有 CISSP,是資安專家」
主管回嗆:也許你該再回去重考一次
因為CISSP並不是考過筆試就拿到證照了,還要有相關工作經驗,準備一些資料,有另一位成員背書,向ISC2提出申請,審核通過才發證照。

沒錯!忘了跟大家說這張證照需要有五年工作經驗!並且還需要熟悉兩個以上CISSP領域
而且考取後還需要有ISC2成員幫你背書…
審核還蠻嚴謹的,所以算是台灣 2018 年初成員才兩百多人的原因。


上一篇
[Day02]藏在書本裡的倫理與道德
下一篇
[Day05]角色與職責
系列文
CISSP 快速入門31
0
Sergeyau
iT邦研究生 4 級 ‧ 2018-10-18 13:22:42

升職加薪,當上總經理,出任CEO,迎娶白富美走向人生巔峰!!!
啊?不能等退休? (默默轉身)

補充一下,五年工作經驗是要在CISSP領域裡面才算的。如果在不相關行業,或者同是IT卻不在CISSP領域,那不計算在內。
持有資安相關的大學或研究所學位可以抵一年經驗(什麼樣的大學也是有規定,野雞大學的學位不算),但是只能抵一年。所以就算研究所讀完仍然需要四年相關經驗。

0
Kathy Lai
iT邦新手 5 級 ‧ 2018-10-18 15:01:26

感謝學姊分享 ~

0
raytracy
iT邦大神 1 級 ‧ 2018-10-18 17:20:58

現在才 200 多人喔?...
那我 2002 年考上 CISSP 的時候不就...(低頭數手指...)

看更多先前的回應...收起先前的回應...

可能還不到3位數

就酷 iT邦新手 5 級‧ 2018-10-18 22:34:25 檢舉

老前輩好!

虎虎 iT邦新手 4 級‧ 2018-10-18 23:00:16 檢舉

可能是台灣前幾名吧…
年初的CSSLP 好像還不到 10 位…

Sergeyau iT邦研究生 4 級‧ 2018-10-21 00:02:16 檢舉

我要留言

立即登入留言