任何对组织有价值的东西都可成为资产,包括人员、合作伙伴、设备、设施、声誉和信息。
1. 信息生命周期:获取、使用、存档、处置
安全活动:风险评估、安全设计|渗透测试|备份和恢复|销毁的流程
安全机制:策略机制|信息加密、访问控制|增量、差分备份|加密销毁、消磁、损毁
2. 数据分级:
商业公司的信息敏感级别:机密、隐私、敏感、公开
军事机构的信息敏感级别:绝密、秘密、机密、敏感但未分类、未分类
机密:Conifidential 秘密: Secret 绝密:Top secret
对每种分类执行何种控制取决于管理层和安全团队的决定的保护级别
数据聚合可能导致分类级别的增加,低分类数据项的组合可创建更高分类集合。
分类的目的都是量化一个组织丢失了信息后可能承受多少损失。
组织机构可能用于决定信息敏感度的一些准则参数:
- 数据的用途
- 数据的价值
- 数据的寿命
- 数据泄漏可能导致的损失级别
- 数据被修改或出现讹误可能导致的损失级别
- 保护数据的法律、法规或合约责任
- 数据对安全的影响
- 谁能够访问这些数据 由谁维护这些数据
- 谁能够重造这些数据
- 如果数据不可用或出现讹误,那么造成的机会损失 有多
正确分类计划的必要步骤:
- 定义分类级别。
- 指定确定如何分类数据的准则。
- 任命负责为数据分类的数据所有者。
- 任命负责维护数据及其安全级别的数据看管员。
- 制订每种分类级别所需的安全控制或保护机制。
- 记录上述分类问题的例外情况。
- 说明可用于将信息保管转交给其他数据所有者的方法。
- 建立一个定期审查信息分类和所有权的措施。向数据看管员通报任何变更。
- 指明信息解密措施。
- 将这些问题综合为安全意识计划,让所有员工都了解如何处理不同分类级别的数据
3. 责任分层
行政管理层:对组织中发生的一切负责。
首席执行官(CEO):负责组织机构的日常管理工作。
首席财务官(CFO):负责公司的账目和财务活动以及组织机构的总体财务结构。
首席信息官(CIO):处于公司组织结构的较低层。
首席隐私官(CPO):公司在保护各种类型数据方面面临日益增长的需求。
首席安全官(CSO):负责了解公司面临的风险和将这些风险缓解至可接受的级别。
数据所有者:具有应尽关注职责,对特定信息子集的保护和应用负最终责任。
数据看管员:负责数据的保护与维护工作
系统所有者:负责一个或多个系统,确保系统的脆弱性得到正确评估
安全管理员:负责实施和维护企业内具体的安全网络设备和软件
主管:用户管理者,最终负责所有用户活动和由这些用户创建和拥有的任何资产
变更控制分析员:负责批准或否决变更网络
数据分析员:负责保证以最佳方式存储数据
用户:拥有必要的数据访问级别,才能完成职权范围内的本职工作。
审计员:定期巡查,确保维护正确的控制措施。
4. 资产留存策略
法律和监管要求。
如何保留?分类法、分级、标准化、索引。
保留多长时间?数据类型和一般保留期限,参考最佳做法和案例。
保留什么数据?保留我们有意决定保留的数据,确保能够执行保留。
电子发现(ESI):识别、保存、收集、处理、检查、分析、生成、展示
5 保护隐私
消除数据残留的四种方法:覆盖、消磁、加密、物理损毁。
最好方法是简单地损毁物理介质,将其粉碎或使其暴露于腐蚀性化学品,甚至焚化。
隐私政策与用户协议,只收集所需的最少量个人数据,明确用户策略。
6 保护资产
数据安全控制
静态数据:硬盘、固态、光盘、磁带。—-加密静态数据
运动中的数据:传输层安全TLS或IPSec提供的加密,vpn建立安全连接。
使用中的数据:侧信道攻击,目前方法是对软件进行测试。
介质控制:擦除、消磁、重写、破坏。
7 数据泄露
数据泄露防护(DLP)
网络DLP(NDLP):对运动中的数据应用保护策略。
端点DLP(EDLP):对静态数据和使用中的数据应用保护策略。
混合DLP
8 保护其他资产
保护移动设备
纸质记录
保险箱