這個Domain 真的是麻雀雖小,但卻很貴
2.1 识别并分类信息和资产
識別 就是盤點
-
数据分类
- 商業組織或民間的信息敏感級別
- 軍事機構的信息敏感級別
- 個資,不屬於機密
-
资产分类
資產 跟資訊資產的差別?
資產 裡頭包含資訊資產 (資訊系統及資料)
- 資產分類是通過根據法律或監管要求、敏感性、關鍵性、影響或商業價值等標準將資產分配到指定類別(組、類別、層級或級別)來確定資產的系統安排的過程它的保護需要
- 有形: 包括人員、合作夥伴、設備、設施
- 無形: 聲譽、信息
- 分類方案是指用於分類的命名類、標準和程序
2.2 制定信息和资产处理要求
由於資源有限,所以要將資產做盤點、分類再保護。CISSP 考試中指的資產多數都是資訊資產為主,就是ISO 15288 裡頭提及的部分
- 盤點
- 分類
- 盤點後才有辦法做分類
- 做分類前需要先指派一個owner,由owner 去分類
- 分類的方式,可以以NIST RMF 最高水位的方式去做
- 使用美國的 NIST RMF 分出系統失效嚴重的高中低程度以C/I/A 三元素為依據,取最高水位
- 依照資產對業務衝擊的程度去做分類依據
- 依照機密性或敏感度做分類
- 依照業務價值或可能造成的營業損失做分類
- 保護 (簡單的說就是下控制措施)
- Domain 5,主體受到客體的資源存取時,需要受到安全核心3A的管控
- 要隨時寫LOG 及看LOG
- 出事要負責,要追究責任
R & R
-
行政管理
-
首席執行官(CEO)
-
首席財務官(CFO)
-
首席安全官(CSO)
- 負責了解組織面臨的風險和將這些風險緩解至可接受的級別
-
數據所有者
- 具有應盡關注職責,對特定信息子集的保護和應用負最終責任。
-
數據管家
-
系統所有者
-
安全管理員
-
主管
- 用戶管理者,最終負責所有用戶活動和由這些用戶創建和擁有的任何資產
引用自 CISSP 筆記
2.3 安全配置资源
2.4 管理数据生命周期
如何保留?
數據殘留
- 資料清洗程度判定標準
- NIST 指引 >> 可救回 -> 清洗(Clear) 透過指令 或 UI 操作 >> 專業實驗室不可救回 -> Purge
- degaussing 消磁
- Cryptographic-Erase 加密後並把金鑰刪除
2.5 确保适当的资产保留(例如,使用寿命结束 (EOL),支持结束 (EOS))
- End of Life,是臨終的意思
- 正式停止銷售,End of Sales
參考 品質筆記
2.6 确定数据安全控制和合规要求
- 数据状态(例如,使用中、传输中、静止)
資料三態
- Data in rest (躺在硬碟裡)
- Data in use (載入記憶體)
- Data in transit (網路串流傳輸)
- SSL/TLS、IPSec AH,主動型IKE、VPN
- 数据定界和定制
- 透過加密或加header的形式檢查數據傳輸前後是否符合一致性
- 标准选择
- 数据保护方法(例如,数字化权限管理 (DRM)、数据丢失防护 (DLP)、云访问安全代理 (CASB))
- 云访问安全代理 (CASB)
- 雲訪問安全代理是位於雲服務用戶和雲應用程序之間的本地軟件或基於雲的軟件,用於監視所有活動並強制執行安全策略。CASB可以提供諸如監視用戶活動,警告管理員有關潛在危險操作,強制執行安全策略合規性以及自動防止惡意軟件等服務。
參考CASB WiKi
- 数据丢失防护 (DLP)
- 網絡型 - DLP(NDLP):對運動中的數據應用保護
- 端點型 - DLP(EDLP):對靜態數據和使用中的數據保護。
- 数字化权限管理 (DRM)
- 數位版權管理是一系列存取控制技術,通常用於控制數位內容和裝置在被銷售之後的使用過程。
參考DRM - WiKi
參考 ISC2 - CISSP考試大綱