資訊安全 SSCP 教育訓練心得其一

本篇是參與「資訊安全 SSCP 教育訓練」的心得筆記。

一、資訊安全的定義

是有價值的資訊資產要花多少錢保護、接受資訊損失的承受程度,公司需要保護的資產區分:

  • 資產的價值(有形、無形)
  • 公司形象、公司品牌的價值

企業必須對資產進行權責分級、歸類:

  • Least Privilege 最小權限原則,不要賦予不必要的權限
  • Accountability 找到負責的人
  • Professional Ethics 職業道德、專業人士的責任與義務
  • Business processes and activities 營運的流程和活動
  • Data 資料的限制分級

 

二、資訊安全的原則

包含 – C:機密性、I:完整性、A:可用性

  • 機密:阻擋未經授權的存取
  • 完整:訊息的傳遞必須如預期般的正確,防止未授權的修改
  • 可用:經授權存取的資料隨時可用

 

三、個資收集要件

目的、範圍、告知、同意

  • 有限度收集原則
  • 資料正確原則
  • 目的限定原則
  • 有限度使用原則
  • 安全防護原則
  • 開放性原則
  • 個人參與原則
  • 責任原則

 

四、定義風險:

威脅、利用弱點對資產造成影響的可能性,公司營運必須有策略性的控制風險,到可接受的程度。認識到風險必定會發生,將管控風險的策略區分為:

  1. 接受風險
  2. 減緩風險
  3. 移轉風險
  4. 避免風險

 

了解到風險後,必須找出:

  • Risk Tolerance 風險耐受程度
  • Risk assessment 風險評估(找出、計算)

 

風險評估流程、風險登記表、入侵指標

sscp - 定義風險等級

威脅塑形:以資料為中心的威脅模型、找出攻擊路線圖、採取措施

CAPEC Common Attack Pattern

spoofing假冒身分、tampering竄改、repudiation否認、information資訊外洩、disclosure可用性、denial of service、elevation of privilege

 

風險評估模型須具備定量、定性

定量分析:金額、數字

  • SLE 單次預期損失
  • SLE 計算出單次損失金額*曝險因子
  • ARO 年度發生的次數
  • ALE 年度預期損失
  • RAR 風險評估報告 Risk Assessment Report

 

依據 ISO/IEC TR 13335-1 風險分析方法,資產(Asset)/威脅(Threat)/弱點 (Vulnerability)三者。風險之產生是因為資產弱點受到威脅,攻擊造成對資產價值的降低,若增加適當的防護措施則可降低風險。隨著外界威脅的產生,系統須適時增加防護措施。


發表迴響