iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 5
0
Security

什麼都會一點的住海邊資安證照 cissp系列 第 5

盤點時,點不到帳上的東西 vs 點到帳上沒有的東西 哪個比較可怕?

上一篇說了資訊資產的分級,這一篇來說分類

資訊資產分類

站在攻擊者的角度想,一定是你手上有好東西,才會有人想害你,所以第一步就是盤點自己有哪些好東西,把這個行為稱為資訊資產盤點(初次盤點)

那盤出來了之後,可能會遇到一個問題
例如同一個投影筆,命名可能有 投影筆、羅技投影筆、灰色羅技投影筆、簡報筆
同一個筆,不同的盤點來人員初次盤點可能都會給不同的名稱,這邊建議使用這樣的分類原則

  • 名稱由企業自行決定,命名方式應該有一致的標準(企業內部決定即可)
  • 分類要明確,且應該有一致的標準(企業內部決定即可)

決定分類等級與準則

  • 辨識Owner與custodian
    ex:你是資訊人員,你管機房,財務系統主機你買的,更新你做的,你也有最高管理者AD帳號,所以Owner是你(?)
    錯誤,Owner應該是財務主管,因為是財務主管指示你做事和佈署系統,指揮權不在你身上。
    Owner可以決定這個系統或資產該怎麼用,但他並非資安專家,他可能不是自己親自操作,他只能拍板定案。
    custodian是照著Owner的指示去操作或管理

ex:你現在要去公司做盤點,Owner是有權的人,custodian是操作的人,要先找誰?

要先找custodian,他才知道到底有多少東西,再給Owner建議,請他決策

  • 辨識並決定每一分類所需之保護
    Owner在做這一步決定保護層級,但保護執行方案可能是custodian提供的

  • 建立變更,溝通與定期檢視流程
    做erp的時候是最好理解流程的時機

ex:如果你是資安人員在進行盤點,發現兩種情況,哪個比較嚴重

  1. 有物沒帳
  2. 有帳沒物

有物沒帳比較嚴重

有物沒帳,員工只會偷偷藏起多的物品 (或自己偷帶回家),出事沒人知道
有帳沒物,代表員工已經知道東西不見了,員工會拼命去找出來

所以,如果連物品的存在狀況都不清楚,代表連要保護什麼都不知道,站在資安的角度,必須跳脫基層保管者的思考方式才行。


上一篇
機房和機房操作人員哪個比較貴重?
下一篇
還是資訊資產盤點
系列文
什麼都會一點的住海邊資安證照 cissp11

尚未有邦友留言

立即登入留言