Day4:Domain1安全原則─瞭解資訊安全確保
- 安全原則
在CNS27001的中文翻譯中,CyberSecurity被譯為網宇安全。ISO/IEC 27001:2022(Information security, cybersecurity and privacy protection — Information security management systems — Requirements)被譯為資訊安全、網宇安全及隱私保護-資訊安全管理系統─要求事項(ISMS)
在CC的考試裡面有5個領域(Domain),第一個領域是安全原則,出題佔比為26%。這個領域是資訊安全的概念性介紹,了解一些基本名詞、風險管理的做法、控制措施的種類、ISC的道德規範(必考),以及各種規定的位階(從法律、命令、內部規定、準則、指南、作業程序SOP等來談)
1.1. 瞭解資訊資產確保的安全概念(Understand the security concepts of information assurance)
如果,你有一幅世界名畫,你會把他鎖在保險箱。而知識經濟下的世界,遊戲規則有一點改變,你公司的營業機密,在被複製一份攜出公司時,除了紀錄檔上的一行紀錄,幾乎沒有任何異狀。
從服務的五種特性我們來看關鍵資訊資產:
1.無形性:資訊資產中伺服器、桌上型電腦是有形的資產,然而承載於其上的無形資產,例如研發部的研發機密、供應鏈的產品設計圖,這些關鍵資訊資產其價值遠高於硬體資產。
2.易逝性:電腦一重新開機,存在記憶體裡面的資料就會消失(重置),只要電源中斷(關閉),就難以取得數位證據用於法庭上的攻防。
3.不可分割性:檔案在傳輸中是以整個檔案為單位的,攔截其中的幾個封包並沒有意義,必須取得完整檔案才有價值。
4.異質性:對每個人而言,看到的資料視角不同,例如訪客能接觸到的資訊資產和系統管理員、一般員工、人事部人員、管理階層,雖然存取同一個資料庫,但是顯示的欄位會有很大的不同,資訊的取得具有異質性。
5.生產與消費的同時性:現代的資訊系統都強調動態網頁,從資料庫顯示給不同的使用者其權限相對應的資料。所以關鍵資訊資產的提供和使用者的使用是同一個時間發生的。(想像一下,你在台鐵的訂位系統上訂票,系統告訴你8小時後才能知道結果,你會有多崩潰)
CC考點
CIA三要素
保密性:保護需要保護的資料並允許授權個人訪問,同時防止未經授權的個人存取。
完整性:確保資料未被未經授權的方式更改。
(特性:1. 資料保持一致、相同2. 資料未經竄改)
可用性:確保授權使用者可以在需要的時間和地點存取數據,並採用所需的形式和格式。
注意在本書中,完整性包含資料被竊取,而CC的官方定義中是把竊取列於保密性(又稱機密性)