此篇筆記我們來探討一下安全控制框架:
安全管理框架是一種制定和實施安全政策和措施的系統化方法,旨在保護組織的資產,包括數據、人員、設施和聲譽等。它提供了一個結構化的方法來管理和維護組織的安全,並確保安全措施與組織目標相一致。
安全管理框架通常由一組相關的政策、程序和措施組成,旨在確保組織的安全總體能力。這些框架可以根據組織的規模、性質、風險和需求等因素進行定制,以確保其最大程度地符合組織的需求。
安全管理框架的實施通常包括以下幾個步驟:評估風險、制定政策和程序、執行措施、監督和審核措施、進行持續改進和修訂。通過這些步驟,組織可以不斷地加強其安全總體能力,以應對不斷變化的安全威脅和風險。
CISSP 中有提到四大類的安全控制框架分別是HIPPA, (ISC)2,NIST,ISO27002四種
1.Security Safeguards(HIPAA):
Security safeguards 是由 Health Insurance Portability and Accountability Act (HIPAA) 定義的管理、物理和技術措施,旨在保護電子受保護健康資訊 (ePHI) 的機密性、完整性和可用性。這些措施旨在防止未經授權的存取、使用、披露、修改或破壞 ePHI。主要分成以下3類
a. 行政類(Administrative):又稱管理類
b. 技術類(Technical):又稱邏輯類
c. 實體類(Physical)
這些保障措施可以包括:
身份驗證和訪問控制:這些措施用于確認用戶的身份,限制其訪問信息資產的權限。
加密:加密用于將敏感的信息資產轉換為不易理解的形式,以保護其機密性。
防火牆和入侵檢測系統:防火牆和入侵檢測系統用于監視網絡流量和識別潛在的威脅和攻擊。
安全培訓和意識:這些措施用于提高員工對信息安全風險的認識和教育,以減少人為錯誤和不當行為帶來的損失。
系統更新和漏洞管理:這些措施用于定期更新系統,修補漏洞,減少潛在的安全漏洞。
監控和審計:這些措施用于監視信息系統,追蹤安全事件,並記錄安全活動以供審計和調查。
2.(ISC)2以時間序列來看:7個存取控制類型:
- 事前
- 指示類(Directive):行政管理類,管理意圖的表現,重點是影響行為
- 嚇阻類(Deterren):告知你後果,不要這樣做,重點是打消動機(Ex: 警告標示)
- 預防措施(Preventive):重點是提高門檻 ex: 門禁管制
- 事中
- 偵測措施(Detective):ing的概念 ex: 一直測密碼、監視器
- 矯正措施(Corrective):偵測到問題發Alert後要進行矯正 ex: 保全來檢查
- 事後
- 復原措施(Recovery):已被破壞後進行復原
- 最後補上
- 補償措施(Compensating):現行的不好用,所以要補償修改
3.ISO 27002(ISO 27001 Annex A):分為14大類共114個控制措施
ISO 27002 是一項國際標準,定義了一套資訊安全管理系統 (ISMS) 的指南,旨在幫助組織確保資訊安全。它提供了一個關於資訊安全風險管理和實施安全措施的框架,並涵蓋了資訊安全管理、審核和評估、訓練和管理、以及技術和程序等方面的指南。 ISO 27002 是一個通用的標準,適用於任何類型和大小的組織。
4.NIST RMF:分為20個Families
NIST RMF (National Institute of Standards and Technology Risk Management Framework) 是由美國國家標準與技術研究所 (NIST) 所提出的一種風險管理框架,用於評估和管理風險,以保護組織的資訊系統和數據。NIST RMF 提供了一個系統和科學的方法來評估和管理風險,並確保組織的資訊系統符合法律、法規和政策的要求。