本篇是參與「資訊安全 SSCP 教育訓練」的心得筆記。
一、資訊安全的定義
是有價值的資訊資產要花多少錢保護、接受資訊損失的承受程度,公司需要保護的資產區分:
- 資產的價值(有形、無形)
- 公司形象、公司品牌的價值
企業必須對資產進行權責分級、歸類:
- Least Privilege 最小權限原則,不要賦予不必要的權限
- Accountability 找到負責的人
- Professional Ethics 職業道德、專業人士的責任與義務
- Business processes and activities 營運的流程和活動
- Data 資料的限制分級
二、資訊安全的原則
包含 – C:機密性、I:完整性、A:可用性
- 機密:阻擋未經授權的存取
- 完整:訊息的傳遞必須如預期般的正確,防止未授權的修改
- 可用:經授權存取的資料隨時可用
三、個資收集要件
目的、範圍、告知、同意
- 有限度收集原則
- 資料正確原則
- 目的限定原則
- 有限度使用原則
- 安全防護原則
- 開放性原則
- 個人參與原則
- 責任原則
四、定義風險:
威脅、利用弱點對資產造成影響的可能性,公司營運必須有策略性的控制風險,到可接受的程度。認識到風險必定會發生,將管控風險的策略區分為:
- 接受風險
- 減緩風險
- 移轉風險
- 避免風險
了解到風險後,必須找出:
- Risk Tolerance 風險耐受程度
- Risk assessment 風險評估(找出、計算)
風險評估流程、風險登記表、入侵指標
威脅塑形:以資料為中心的威脅模型、找出攻擊路線圖、採取措施
CAPEC Common Attack Pattern
spoofing假冒身分、tampering竄改、repudiation否認、information資訊外洩、disclosure可用性、denial of service、elevation of privilege
風險評估模型須具備定量、定性
定量分析:金額、數字
- SLE 單次預期損失
- SLE 計算出單次損失金額*曝險因子
- ARO 年度發生的次數
- ALE 年度預期損失
- RAR 風險評估報告 Risk Assessment Report
依據 ISO/IEC TR 13335-1 風險分析方法,資產(Asset)/威脅(Threat)/弱點 (Vulnerability)三者。風險之產生是因為資產弱點受到威脅,攻擊造成對資產價值的降低,若增加適當的防護措施則可降低風險。隨著外界威脅的產生,系統須適時增加防護措施。