資安三階目標,從上到下可以分成三層
Tier 1:組織 (Organization) > 價值 (Value)、價值 (Value) & 願景 (Vision)
這一層是最上層也是最抽象的討論到資安如何讓最高階主管甚至是老闆可以了解資安在幹嘛,所以分別討論到價值 (Value),價值 (Value)以及願景 (Vision) ,因為老闆總是看價值(賺錢或省錢),然後資安同時也要對齊公司的願景以及使命。
其中有兩個文件在這一層,分別是:
Crisis Communication Plan : 危機溝通計畫通常在公司遭受資安事件時負責對外溝通或是對駭客溝通的計畫
Occupant Emergency Plan(OEP) : 當發生災害時,公司人員安置計畫,資安領域中,人命是最重要的資產
Tier 2:業務 (Business) > 流程 (Process)、產品 (Product) & 服務 (Service)
這一層主要就是在講說如何更具體地達成上一層的目標,那如何達到創造價值呢,就是要確保組織核心業務可以持續營運不中斷,也就是這一層的主要目標。
其中有兩個文件在這一層,分別是:
Continuity of operations plan : 美國聯邦政府的一項政府的宣導措施,被美國的PPD-40所要求,也是在講述如何確保組織營運可以持續不中斷
Business Continuity Plan(BCP) : 培養組織的持續交付產品及服務的能力之計畫需要好好搞懂考試重點
Tier 3:資訊系統 (Information System, IS) > 機密性+完整性+可用性 (CIA)
這一層就是一些更具體的方法來達成上一層的目標,就講到了CISSP中最重要的CIA, 最基本就是要達成CIA目標。
CIA <- 為什麼是CIA 因為是FISMA 定義的
機密性(Confidentiality):資料不被洩漏,資料避免被偷,保護機密性。
完整性(Integrity):資料不被竄改
真實性(Authenticity):資料來源(傳送方)是真的
不可否認性(Non-repudiation):收發雙方不能拒絕承認,法律上的定義
可用性(Availability):資料想取得隨時可取得,資料可用性以及系統可用性
這一層也有提到一些文件,分別是
Disaster Recovery Plan(DRP): 又稱災難還原計畫,是一個組織制定的計畫,旨在確保組織在遭受災難性事件後能夠快速恢復其關鍵業務功能和流程。DRP 是組織為應對不可預測事件而制定的一種戰略性計畫,例如自然災害、人為災害、硬件和軟件故障、恶意攻击等。
DRP 的主要目的是減少災難帶來的影響,降低停機時間,恢復至關重要的業務運營,確保業務連續性和資產保護。DRP 計畫通常包括一系列的步驟和程序,例如緊急響應、災難評估、業務連續性計畫(BCP)、災難還原策略、測試和演練等。
DRP 還涉及到一系列的技術和工具,例如備份和還原系統、雲服務、虛擬化、數據冗余等。組織可以利用這些技術和工具,實現其 DRP 計畫的目標,確保其業務運營的可持續性和恢復力。
Cyber Incident Response Plan(CIRP)網絡事件響應計劃是指組織為應對網絡安全事件而制定的計劃。網絡安全事件可以是任何對組織信息系統安全造成威脅或損害的事件,包括惡意攻擊、病毒感染、勒索軟體、數據洩露等。CIRP 是一個組織對於網絡安全事件的應急計劃,用於監測、檢測、評估和回應網絡安全事件。
CIRP 通常由一系列的步驟和程序構成,包括事件監測和檢測、事件評估、應急響應、後續處理和恢復。CIRP 還需要明確定義責任和權限,確定相關人員的聯繫方式和聯繫方法,制定有效的通訊計劃和通訊程序,以及提供相應的訓練和演練。
CIRP 的目標是減少網絡安全事件的影響,保護敏感信息和資產,最大限度地降低損失和恢復時間。對於組織而言,制定並實施 CIRP 是維護網絡安全的一個重要步驟。CIRP 可以幫助組織在遭受網絡安全事件時快速、有效地做出反應,減少事件的損失和影響,並提高其安全和風險管理能力。
Information System Contingency Plan(ISCP)是指一種資訊系統應急計劃,旨在確保當資訊系統面臨重大故障、損失或被攻擊時,組織能夠快速有效地恢復其關鍵業務功能。ISCP 考慮了各種可能的情況,包括自然災害、網絡攻擊、技術故障、人為疏忽等,制定了應對這些情況的程序和策略。
ISCP 主要包括以下幾個方面的內容:
應急響應程序:ISCP 包括制定應對緊急情況的程序和相應的應急響應計劃。
恢復策略:ISCP 應評估業務運營的需求和優先順序,制定相應的恢復策略,確保關鍵業務功能的迅速恢復。
系統監測:ISCP 包括系統監測程序和工具,用於及時發現並回應系統問題和故障。
訓練和演練:ISCP 包括定期訓練和演練,以提高組織對應急情況的反應能力和協調能力。
應急通訊:ISCP 包括制定應急通訊計劃和通訊程序,確保及時和有效地通訊和協調。
ISCP 的目的是幫助組織在資訊系統面臨故障或遭受攻擊時快速有效地做出反應,減少事件的損失和影響。ISCP 通常是組織安全和風險管理計劃中的一部分,並需要與其他安全措施和計劃協調一致,以確保組織的網絡安全和業務連續性。
以下是一些關於 Information System Contingency Plan(ISCP)資訊系統應急計劃的參考連結:
NIST SP 800-34 Rev. 1: Contingency Planning Guide for Federal Information Systems: https://csrc.nist.gov/publications/detail/sp/800-34/rev-1/final
FEMA’s Continuity Guidance Circular: https://www.fema.gov/continuity-guidance-circulars
Disaster Recovery Journal: https://www.drj.com/
這些參考連結提供了相關的文件和資源,包括指南、流程圖、範本等,可以幫助組織制定其自己的 ISCP 計劃。組織可以通過閱讀相關的文件和資源,了解 ISCP 計劃的制定原則、程序和步驟,並學習如何評估業務運營的需求和制定相應的恢復策略,以確保其資訊系統在面臨緊急情況時能夠迅速有效地恢復。
Critical Infrastructure Protection(CIP)Plan 是指一種保護關鍵基礎設施的計劃。關鍵基礎設施包括各種關鍵的物理和虛擬設施,例如能源設施、交通系統、電信網絡、金融機構、政府機構、醫療機構等。CIP Plan 旨在確保關鍵基礎設施在面臨各種威脅和攻擊時能夠得到保護。
CIP Plan 包括以下主要方面:
評估風險:評估關鍵基礎設施的風險,確定可能的威脅和攻擊方式。
制定計劃:制定相應的 CIP Plan,確定所需的資源和預算,指定相應的責任和權限。
實施安全措施:實施安全措施,例如安全設施、監測、防禦系統等,以保護關鍵基礎設施免受威脅和攻擊。
進行訓練和演練:訓練和演練相應的應急程序,以確保組織在面臨緊急情況時能夠迅速有效地做出反應。
監測和改進:定期監測 CIP Plan 的效果,並進行相應的改進,以確保其持續有效。
CIP Plan 的目標是確保關鍵基礎設施的安全,減少損失和影響。CIP Plan 需要根據特定的行業、環境和威脅情況進行定制化,並且需要與其他相關的計劃和措施協調一致,例如緊急應對計劃、風險管理計劃等。
以上就是資安的三階目標,資安主要就是在討論如何達成這三階目標來展示其價值