iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 16
1

有天我在ithelp看到有這麼一篇:
資訊安全規範詢問

是個實況題沒錯吧?!
我就立馬把課本裡的筆記整理貼上來了 XDDDD
那我可以再貼一次嗎 =v=+++

資料分類(Data Classification)

  • 公開(Public):公開資訊,不需要特殊保護。
  • 僅供內部使用(Internal Use Only):僅供內部使用,客戶、供應商、內部自由使用的資源…
  • 受限(Restricted):資料保護的最高等級。
  • 機密(Confidential):商業秘密、知識產權或研究設計,及員工的薪資、健康資料…

■ 僅供內部使用:可在公司內部披露的信息,但如果在外部披露,可能會損害公司。,組織策略,標準和程序以及內部組織公告等信息需要基線安全保護,但不會作為機密信息達到保護級別。換句話說,這些信息可以在公司內部自由使用,但公司外部的任何未經批准的使用都可能造成傷害。

■ 受限制:需要最大程度保護的信息,或者如果未經授權的人員發現,將對組織造成不可挽回的損害的信息將具有最高級別的分類。在組織內可能存在這樣的信息很少,但是在該級別分類的數據需要組織可用的所有訪問控制和保護機制。即使存在這一級別的信息,也只有很少的副本

資料生命週期管理(Information Lifecycle Management)

1. 獲取

2. 使用

3. 存檔

4. 銷毀

在獲取之前,我們會先幫蒐集的資料做分類或分級,訂定機敏性
像說公開、敏感、隱私、機密、未分類、機密、絕密… (由公司管理層自行定義,像說首席隱私長 CPO或首席資安官 CSO 之類的,你不會要求首席執行長CEO來定義這些小事吧…?)

然後針對各分類做分類控制,像說在官方網站資訊,就是公開的,就不用處理;公司內部的通訊錄,算公司隱私,雖然不會直接造成公司損害,但是屬員工隱私,而可口可樂的祕方,就算絕密,流出去的話可口可樂公司就會有實際損失…之類的。

然後負責分類的人就是資料所有者(Data Owner),像說會計部的資料就會由會計經理負責,她想把會機部門的資料放多久,她會更懂得會計產業的相關資料,傳票要存放多久、收據什麼時候可以銷毀掉… 總之後續如果有問題,會由 Data Owner 負責,但一切資料的「最終負責人」,都是會是
CEO 出來負責(上電視道歉?)。

好哦,然後再回來談資料生命週期

1. 獲取

獲取資料
通常由其他來源提供,或是經由使用者同意,新增資料開始

收集資料的限制:
為什麼收集?如何處理?哪些單位來保存這些資料?跟哪些單位共享?
有什麼具體的法規定義?…
像說線上金流會符合PCI-DSS 12項,金融產業會需要參考沙賓SOX以提供交易完整性…

2. 使用

使用資料
蒐集來的資料,是必要性的,沒必要使用的資料就不用蒐集了。
並依資料分類做資料保護,並設定存取控管,哪些人可以讀\寫\改…

有什麼方式保護他們的安全?
靜態資料:儲存在硬碟?磁帶?光碟?是否加密或是有什麼限制存取的控管?
傳輸中的資料:是否有加TLS或是IPSec、VPN或隱密通道傳輸?
使用中的資料:有應用程式相關的漏洞,可以透過Buffer Overflow去造成目前執行的異常

3. 存檔

存檔\備份資料
應該會需要制定保留政策:
保存什麼?
保存多久?
放在哪裡?
依資料分類確認存取頻率、同步頻率、備份頻率、加密層級及是否即時銷毀…
因為放越久,放越多,成本越高,越不易管理、出事的機率也越高…

備份 3 2 1 原則:

至少備份三份
使用兩種不同形式
其中一份備份要存放異地
一般性準則(僅供參考):
業務文件:7 年
發票:5 年
應收應付帳款:7年
人資文件:離職 7 年 + 3 年 (未錄取的面談記錄)
稅務相關:繳完稅後 4 年
法律通訊:永久

4. 銷毀

銷毀資料
這裡的銷毀,是指讓其資料無法再使用,但銷毀之前要先評估銷毀後的影響風險。

覆蓋:刪除、格式化,美國國防部DoD 標準是要格式化7次…
消磁:使用強大磁力讓硬碟磁力失效,有機會救回來。
加密:加密萬無一失(?),但加密的Key要保存好…
物理損毀:物理性破壞

然後,如果公司有稽核會定期來稽查的話,也可以問一下他們的想法… 畢竟要符合公司規定…
但在台灣很常以上都是由資訊主管(兼資安官、隱私官、稽核員、系統管理者…)一個人決定這樣…

以上參考 CISSP AIOv7 Domain02…


上一篇
[Day16]番外篇-感謝文
下一篇
[Day17]資料銷毀
系列文
CISSP 快速入門32

1 則留言

0
Sergeyau
iT邦研究生 2 級 ‧ 2018-11-02 08:47:58

美國國防部DoD 標準是要格式化7次

不是「格式化」喔~是覆寫。

現在多半用NIST 800-88規範

我要留言

立即登入留言