El blogger es uno de los primeros miembros del departamento de seguridad de graffiti. Aunque no es la persona a cargo de la seguridad, también es afortunado de participar y ser testigo desde cero del proceso de construcción del sistema de seguridad de graffiti. Este artículo es el pensamiento del blogger sobre el proceso de construcción del sistema de seguridad del Partido A, que se divide en tres partes:
1. Construcción del sistema de seguridad v1.0: gobierno rápido
2. Construcción del sistema de seguridad v2.0: construcción sistemática
3. Construcción del sistema de seguridad v3.0 : accesorio completamente perfecto
: administración del sistema de seguridad
Al mismo tiempo, para la construcción del sistema de seguridad de la Parte A, también escribí dos publicaciones de blog de práctica adjuntas:
la práctica de construcción de la plataforma de operación de seguridad básica de la Parte A, la práctica de
seguridad SDL y la práctica de aterrizaje de seguridad de la oficina empresarial
1. Construcción del sistema de seguridad v1.0: gobierno rápido
El desarrollo comercial de muchas compañías de Internet generalmente precede a la construcción de un equipo de seguridad. Solo cuando el negocio haya alcanzado una cierta escala y ocurra un incidente de seguridad se considerará invertir en seguridad, pero en este momento, cuando el estado del entorno de seguridad de la información de la empresa es muy pobre, la seguridad es el negocio. Los atributos básicos de la empresa se han quedado muy rezagados con respecto al rápido desarrollo del negocio.
Los problemas de seguridad que pueden ocurrir en este momento son: muchas contraseñas débiles y sistemas sin parches aparecen en la intranet de la empresa, hay muchas vulnerabilidades de seguridad comunes en los servicios en línea, los empleados tienen poca conciencia de seguridad y una grave fuga de datos ...
Para los riesgos de seguridad que enfrentan las empresas en este momento, se necesitan soluciones rápidas de lucha contra incendios, comenzando con efectos fáciles, de bajo costo y obvios.
1.1 Elija a la persona adecuada a cargo de la seguridad
El equipo de seguridad suele ser de 1 a 3 personas en los primeros días, por lo que la amplitud del conocimiento de la persona a cargo de la seguridad es extremadamente importante. La persona a cargo debe estar familiarizada con la tecnología de seguridad y las operaciones de seguridad, así como con la gestión de seguridad y el cumplimiento de la seguridad. La persona a cargo de la seguridad debe liderar el equipo de seguridad para llevar a cabo el trabajo, incluida la investigación y el desarrollo de seguridad (basado en el desarrollo secundario de código abierto), pruebas de penetración, endurecimiento de la seguridad, respuesta de emergencia, auditoría de seguridad, capacitación en seguridad, cumplimiento de la seguridad, gestión de seguridad y operaciones de seguridad.
1.2 Identificar los principales riesgos de seguridad
El objetivo principal de la fase de gobernanza rápida es utilizar el 20% de los recursos para resolver el 80% de los riesgos de seguridad, por lo que el primer paso es identificar los principales riesgos de seguridad. Las características de las empresas de Internet son que la tecnología empresarial es principalmente aplicaciones web y aplicaciones móviles (algunas de las cuales también incluyen software de escritorio, servicios en la nube, hardware de IoT, etc.), la iteración empresarial es rápida, los cambios de personal son grandes y la administración de la empresa es floja. La mayoría de los riesgos de seguridad de las compañías de Internet provienen de negocios en línea, y también enfrentan riesgos en cualquier momento.
1、在线业务
El riesgo de negocio en línea, incluyendo web安全风险, 业务自身的安全风险, 移动应用安全风险.
2、企业内部
Riesgos de seguridad dentro de la empresa, incluyendo 员工的安全风险, 口令的安全风险, 钓鱼攻击和社会工程学的安全风险, 安全合规风险. Además de estos riesgos de seguridad, existen muchos otros riesgos de seguridad, como DDoS en los negocios, dispositivos y herramientas sin parches, incluidos enrutadores, impresoras, computadoras personales y dispositivos BYOD (traiga sus propios dispositivos).
1.3 Implementar reducción rápida
Con el principio de manos y manos duras, la tecnología de seguridad y las operaciones de seguridad, por un lado, la gestión de seguridad y el cumplimiento de la seguridad, por otro lado. Enfoque doble para reducir rápidamente los problemas de seguridad.
解决web安全风险可采取的处理方式按优先级排序依次为:
1. Limpie las puertas traseras de shell web en todo el sitio, compre o use WAF de código abierto para resolver rápidamente problemas comunes de seguridad web;
2. Use pruebas de seguridad de aplicaciones dinámicas, pruebas de seguridad de aplicaciones estáticas y productos de pruebas de seguridad de aplicaciones interactivas para realizar escaneo en caja negra y escaneo en caja blanca de servicios web Escaneo y pruebas de penetración manual para resolver las principales vulnerabilidades en línea
3. Los productos de autoprotección deben usarse para la protección de la inmunización de la web al implementar RASP (Runtime Application Self-Protection), como Prevoty, OpenRASP, etc.
4. Proporcionar una biblioteca de filtrado de códigos de seguridad Y capacitación en codificación de seguridad para mejorar la calidad de seguridad de los códigos, etc.
解决来自业务的安全风险可采取的处理方式按优先级排序依次为:
1. Seleccione inicialmente los productos de seguridad de control de riesgos de terceros adecuados según las características del negocio;
2. Una vez que el personal esté en su lugar, puede crear el suyo propio desde la capa de acceso (motor de consulta, motor de reglas, motor de modelo), capa de procesamiento y capa de datos Plataforma de control de riesgos de seguridad.
解决移动应用安全风险可采取的处理方式按优先级排序依次为:
1. Utilice soluciones empresariales (gratuitas / de pago) para realizar análisis de vulnerabilidades y endurecimiento de la seguridad de la APLICACIÓN para resolver problemas de seguridad comunes;
2. Los miembros del equipo de seguridad que están familiarizados con la tecnología de seguridad de aplicaciones móviles realizan pruebas de seguridad manuales en profundidad de las aplicaciones móviles;
3. Proporcionan Componentes básicos de seguridad móvil y capacitación en codificación de seguridad, especificaciones de codificación de seguridad.
解决来自员工的安全风险可采取的处理方式按优先级排序依次为:
1, el despliegue de productos de seguridad EDR se puede unificar la gestión unificada usando un bastión para la gestión de auditoría a distancia en un entorno de producción, el uso de sistemas de gestión de base de datos de acceso a la base de datos de auditoría;
2, entrenamiento de seguridad cuando se recluta a fondo de los empleados clave de pre-empleo Investigue y formule códigos de conducta de seguridad de la información de los empleados y realice exámenes de conducta. Cuando los empleados se vayan, deben informarles de sus instrucciones de seguridad y realizar auditorías de seguridad;
3. Establecer redes aisladas y controladas para equipos comerciales clave de empresas , y un servidor proxy para el acceso unificado a Internet para garantizar que se incluya HTTPS Se puede auditar la inclusión del tráfico de red;
4, el establecimiento de un sistema de descubrimiento de comportamiento anormal basado en el aprendizaje automático, como el módulo UEBA en los productos Splunk.
解决口令安全风险可采取的处理方式按优先级排序依次为:
1. Use el escáner de contraseña débil (Hydra / Medusa) para detectar todos los servicios del sistema relacionados con la contraseña de la cuenta de empleado y la intranet de la empresa (SSH, MySQL, RDP, fondo web, etc.), y solicite que se cambie la contraseña para resolver rápidamente el peligro oculto de contraseñas débiles;
2. Construya un sistema de inicio de sesión único unificado basado en OpenLDAP, y use una contraseña dinámica de autenticación de dos factores o una clave RSA basada en el esquema TOTP. Si se utiliza la tecnología Wi-Fi, la autenticación de dos factores se puede lograr a través del protocolo Radius;
3. Establezca una autenticación más estricta basada en Fido Sistema de inicio de sesión de clave de seguridad de entidad de protocolo de autenticación U2F y sistema de seguridad de cuenta BeyondCorp.
解决来自钓鱼攻击和社会工程学的安全风险可采取的处理方式按优先级排序依次为:
1. Lleve a cabo capacitaciones relevantes sobre conciencia de seguridad para los empleados y organice pruebas de simulacro relevantes de vez en cuando para verificar el efecto de la capacitación, fortalecer la gestión de la seguridad física y el control de las instalaciones de la oficina, evitar el uso de software de comunicación de terceros para establecer un grupo de trabajo;
2, fortalecer los ataques de phishing y utilizar la ingeniería social Realice un monitoreo técnico de los ataques (como el monitoreo de seguridad de la terminal). Si desea ver archivos de alto riesgo, puede usar la tecnología sandbox para aislar el acceso. Para operaciones de alto riesgo de navegar por la web, puede usar productos de navegación segura remota;
3. Fortalecer la administración de seguridad de los dispositivos BYOD .
解决安全合规认证可采取的处理方式按优先级排序依次为:
1. Lea los documentos oficiales de cumplimiento de seguridad para comprender los requisitos de cumplimiento de seguridad;
2. Enumere los documentos requeridos para el cumplimiento de seguridad y escriba los documentos de cumplimiento de seguridad;
3. Determine qué requisitos ya ha cumplido la empresa y cuáles no, No se pudo formular el plan de implementación
4. Regulaciones externas a las regulaciones internas, regulaciones internas a las inspecciones, inspecciones a la rectificación, rectificación a los principios de evaluación, para promover el aterrizaje
5. Pasar la certificación de cumplimiento, obtener un certificado de cumplimiento.
2. Construcción del sistema de seguridad v2.0: construcción sistemática
Después de la primera etapa de la gobernanza rápida de lucha contra incendios, la mayoría de los peligros ocultos en la empresa se han eliminado básicamente, por lo que la segunda etapa puede mejorar sistemáticamente la estructura de seguridad de la empresa e implementar el concepto de seguridad de "seguridad en el sistema".
2.1 Establecer un sistema de gestión de seguridad basado en el SGSI
ISMS se compone específicamente de la serie de estándares ISO 27001-ISO 27013, entre los cuales ISO 27001 es el más conocido en la industria. ISO 27001 estipula principalmente los requisitos del sistema de gestión de seguridad de la información, que es principalmente una introducción y una visión general de algunos conceptos, que generalmente se utilizan para la certificación. ISO 27002 es una práctica detallada correspondiente a ISO 27001. La norma cubre 14 campos y 113 medidas de control.
ISMS proporciona un marco de requisitos de orientación amplio y completo, que puede ayudar al equipo de seguridad empresarial de Internet a:
1. Proporcionar una visión de seguridad integral para evitar los puntos ciegos causados por una cobertura de seguridad insuficiente;
2. Dar a los ejecutivos una base de implementación de seguridad de la información responsable para facilitar la implementación de estrategias de seguridad;
3. Después de obtener la certificación ISO 27001, puede mejorar La popularidad y la confianza de la compañía hacen que los clientes confíen en ella.
El SGSI se basa en el principio del ciclo PDCA:
P即Plan(计划). Formular políticas, objetivos del SGSI, procesos y procedimientos relacionados con la gestión de riesgos y la mejora de la seguridad de la información para proporcionar resultados consistentes con las políticas y objetivos globales de la organización
D即Do(实施); Implementar y utilizar políticas de SGSI para controlar procesos y procedimientos
C即Check(检查). Durante el proceso de inspección, el proceso se evalúa en consecuencia, y el desempeño del proceso se mide de acuerdo con las políticas, los objetivos y la experiencia práctica cuando corresponde, y los resultados se informan a la gerencia para su revisión.
A即Act(行动). Con base en los resultados de las auditorías internas del SGSI y las revisiones de la administración u otra información relevante, se toman medidas correctivas y preventivas para mejorar continuamente el sistema anterior.
Para el sistema de gestión de seguridad 具体可以依照ISO 27001的14个控制领域开展, al proporcionar al SGSI un formulario de verificación, complete los módulos correspondientes uno por uno y verifíquese entre sí. Cuando la verificación esté casi completa, el sistema de gestión de seguridad se establecerá naturalmente.
Aunque la gestión de la seguridad es complicada, los cambios son inseparables. Es necesario comprender a fondo los requisitos de cumplimiento y las normas y reglamentos, y luego descubrir los riesgos y las deficiencias de la implementación de la compañía, y finalmente completar la rectificación y resolución de riesgos.
2.2 Capacidad para construir ingeniería de seguridad basada en BSIMM
1. Introducción a BSIMM
BSIMM es una escala para medir si el software es seguro. Puede implementar su propio desarrollo y construcción de seguridad a través del estándar BSIMM. BSIMM consta de tres partes principales:
1. Marco de seguridad de software (SSF): la infraestructura que soporta BSIMM consta de 12 módulos prácticos divididos en 4 áreas:
2. Grupo de seguridad de software (SSG): un grupo de trabajo interno responsable de implementar y promover la seguridad del software;
3. Plan de seguridad de software (SSI): un proyecto que cubre a toda la organización para inculcar, evaluar, administrar y desarrollar actividades de seguridad de software de manera coordinada.
12 módulos prácticos en 4 áreas del marco de seguridad de software:
| Gobernanza | Inteligencia | Contactos SSDL | Implementar |
|---|---|---|---|
| Estrategia e Indicadores (SM) | Modelo de ataque (TM) | Análisis de arquitectura (AA) | Pruebas de penetración (PT) |
| Cumplimiento y política (CP) | Función y diseño de seguridad (SFD) | Auditoría de Código (CR) | Entorno de software (SE) |
| Entrenamiento (T) | Estándares y requisitos (SR) | Prueba de seguridad (ST) | Configuración y gestión de vulnerabilidades de seguridad (CMVM) |
治理:Las prácticas utilizadas para ayudar en la organización, gestión y evaluación de programas de seguridad de software, y la capacitación del personal también son prácticas centrales en el campo de la gobernanza.
情报:La orientación de seguridad prospectiva y el modelado de amenazas son prácticas que se utilizan para recopilar conocimiento corporativo en empresas para llevar a cabo actividades de seguridad de software.
SSDL触点:Analizar y salvaguardar las prácticas relacionadas con el trabajo y los procesos específicos de desarrollo de software.
部署:En la práctica de tratar con la seguridad de la red tradicional y las organizaciones de mantenimiento de software, la configuración del software, el mantenimiento y otros problemas ambientales tienen un impacto directo en la seguridad del software.
2. Soluciones a problemas comunes en el desarrollo de capacidades de ingeniería de seguridad
Pregunta 1: El tiempo para los servicios en línea es escaso y la presión es alta, y el tiempo necesario para reparar las vulnerabilidades de seguridad lleva demasiado tiempo, lo que afecta el progreso de los servicios en línea.
Para evitar que el trabajo de seguridad se convierta en un cuello de botella en el desarrollo, las técnicas de prueba de seguridad deben integrarse con los sistemas existentes tanto como sea posible. Por ejemplo, si el complemento SpotBugs está integrado directamente en el IDE, se puede solicitar a los desarrolladores que modifiquen el código de vulnerabilidad al compilar; al administrar vulnerabilidades de componentes de terceros, los repositorios BlackDuck y Maven se pueden combinar. Problemas de seguridad; al enviar código a GitLab, agregue Gitrob para escanear automáticamente claves, contraseñas y otros problemas de fuga de información confidencial; integre Facebook Infer en plataformas CI (como Jenkins) para formar un clúster de escaneo para detectar automáticamente vulnerabilidades de código y escribir scripts Python Envíe la información de vulnerabilidad a JIRA para recordarle al personal de I + D que la arregle y realice un seguimiento del progreso de la corrección de errores.
Pregunta 2: Demasiados falsos positivos con respecto a las violaciones de seguridad
Cualquier sistema automatizado de prueba de seguridad puede tener problemas de falsa alarma cuando se inicia por primera vez. Para tales problemas, puede diseñar una función de retroalimentación falsa positiva, configurar un equipo de seguridad a tiempo completo para proporcionar soporte técnico de seguridad y hacer que participe en la optimización continua de las reglas de detección. Después de varias iteraciones, el problema de los falsos positivos se puede resolver básicamente.
Pregunta 3: La empresa no tiene indicadores cuantitativos del trabajo de los empleados, y algunos miembros del equipo de I + D tienen un sentido insuficiente de responsabilidad y no les importan las correcciones de errores, lo que deja muchos riesgos de seguridad ocultos.
Establezca un sistema de proceso relacionado con la reparación de vulnerabilidades, la calidad del código de enlace con KPI y castigue a los empleados que tienen riesgos de seguridad ocultos debido a la violación del sistema de procesos de acuerdo con el nivel de vulnerabilidad. En combinación con el equipo de garantía de calidad que envía regularmente informes de calidad del proyecto, los datos de vulnerabilidad de seguridad finalmente se agregan a la plataforma de gestión de calidad del código. Ponga correcciones de errores en los indicadores de KPI para promover el entusiasmo de los desarrolladores para corregir las vulnerabilidades de seguridad.
Pregunta 4: Las soluciones y requisitos de seguridad a menudo dificultan el desarrollo empresarial
Al diseñar planes y requisitos de seguridad, el equipo de seguridad no debe comenzar con el equipo de seguridad ahorrando tiempo y esfuerzo y asumiendo menos responsabilidades, lo que dificultará el desarrollo del negocio y reducirá la eficiencia. Un conjunto de esquemas y requisitos de seguridad debería ser capaz de garantizar la seguridad, incluso si el desarrollo del negocio se reduce o no se reduce, solo el equipo del negocio y el equipo de desarrollo y mantenimiento pueden aceptar dichos esquemas y requisitos.
3. Construir una arquitectura de tecnología de seguridad universal
Capa de red:
en el análisis de tráfico de red NTA, hay código abierto de AOL Molochy así sucesivamente redborder, y en defensa del engaño, Thinkst OpenCanaryyCanarytokens
Capa de host:
los productos de código abierto tienen FacebookOsquery
Capa de aplicación:
productos de código abierto de BaiduOpenRASP
Gestión de identidad y derechos de acceso:
los productos de código abierto songluu
Seguridad y privacidad de datos:
productos de código abierto con gestión de derechos detallada, productos de código abierto con Apache Rangerseguridad de big data y análisis de rendimiento Apache Eagle, y sistemas de gestión de claves de código abiertoVault
Operación segura: los
productos de código abierto incluyen la plataforma SIEM de código abierto de MozillaMozDef
3. Construcción del sistema de seguridad v3.0: mejora completa
Después de la segunda etapa de la construcción de la seguridad del sistema, la empresa básicamente ha formado un sistema de seguridad completo, por lo que la tercera etapa del trabajo de construcción del sistema de seguridad consiste principalmente en mejorarlo de manera integral.
3.1 Fortalecer la construcción de la cultura de seguridad.
¿Cómo construir una cultura de seguridad empresarial? La seguridad debe incorporarse a los valores de la empresa y evaluarse junto con el rendimiento. Si la cultura corporativa se publica en el muro y no sabe cómo evaluarla, entonces la cultura corporativa tiene poco efecto. Solo cuando se establezca la cultura de seguridad de una empresa, la empresa no diluirá gradualmente sus valores de seguridad debido a los cambios de personal.
3.2 Mejorar el marco de seguridad y resiliencia
La arquitectura de seguridad y resistencia implementa principalmente 4 capacidades:
1. La capacidad de anticipar y mantener una preparación informada para la intrusión;
2. La capacidad de resistir, incluso si se invade, puede continuar realizando tareas básicas o funciones comerciales;
3. Resiliencia, restaurar tareas o funciones comerciales durante y después de la invasión;
4. Adaptación Capacidad para modificar las capacidades de soporte de tareas o funciones comerciales para predecir cambios en tecnología, operaciones y entornos de amenazas.
Adjunto: Gestión del sistema de seguridad
El sistema generalmente se muestra en forma de artículos, y el nombre generalmente se titula políticas, regulaciones, métodos, procedimientos, reglas, pautas, etc.; el sistema puede ajustarse, complementarse y mejorarse mediante parches del sistema, que pueden mostrarse en forma de artículos o no artículos, Generalmente se refleja en títulos como aviso de revisión, aviso complementario y aviso de gestión de fortalecimiento.
1. Sistema institucional
El sistema debe seguir los principios de estructura razonable, jerarquía clara y cobertura integral.El sistema generalmente incluye tres niveles:
1. El sistema a nivel de política se refiere al sistema utilizado para regular los asuntos básicos de las responsabilidades de operación y administración de las líneas de negocios, y el uso general de los nombres es el sistema, las regulaciones, las políticas, las regulaciones, etc.
2. El sistema a nivel de método se refiere al sistema utilizado para estandarizar los métodos de trabajo y los contenidos específicos de las líneas de negocio. El nombre generalmente utiliza métodos de gestión y procedimientos de gestión.
3. El sistema de nivel de regulación se utiliza para estandarizar el contenido específico de la operación.El nombre generalmente usa las regulaciones de operación, reglas de operación, reglas de implementación, pautas, etc.
2. Redacción del sistema.
En el proceso de redacción del sistema, se deben realizar investigaciones e investigaciones para solicitar ampliamente las opiniones del personal del departamento de implementación del sistema y del personal relevante dentro del departamento para demostrar la necesidad, efectividad, racionalidad y operabilidad del sistema. La solicitud de opiniones puede llevarse a cabo enviando correos electrónicos de solicitud o celebrando reuniones de discusión del sistema.
El contenido del sistema generalmente incluye: reglas generales (incluyendo base de propósito, alcance de aplicación, principios de administración, división de responsabilidades, definiciones, etc.), procesos de administración, supervisión, inspección y reglas de castigo, y reglas complementarias (incluyendo requisitos para reglas detalladas, departamentos de interpretación, fechas de implementación, declaraciones de invalidación, etc.) .
3. Revisión del sistema
La revisión del sistema incluye principalmente lo siguiente:
1. Si cumple con las leyes, reglas, pautas y requisitos reglamentarios;
2. Si está coordinado con los sistemas relevantes de la compañía y la interfaz es clara;
3. Si afecta la racionalidad y la claridad de la estructura general del sistema de la compañía;
4. Si el proceso de descripción del sistema Claridad y operatividad
5. Si cumple con los requisitos normativos del sistema de la compañía
6. El revisor puede presentar opiniones de revisión sobre otros problemas del sistema que considere.
4. Lanzamiento del sistema
El sistema que ha sido revisado, revisado o aprobado se emite en forma de un aviso para todos los empleados.Para facilitar el mantenimiento y la administración del sistema, el sistema emitido debe corresponder en principio a un sistema con un símbolo. El organizador debe determinar razonablemente la fecha de implementación del sistema y dejarlo claro en el sistema. Se recomienda aclarar la fecha de implementación directamente en lugar de "implementación desde la fecha de publicación de este artículo".
5. Mantenimiento del sistema
El mantenimiento del sistema incluye la posterior evaluación y mejora del sistema. La evaluación de seguimiento del sistema se refiere a la autoevaluación del efecto de gestión real del sistema por parte del departamento patrocinador, cuyo objetivo es descubrir los problemas del sistema y evaluar si el sistema necesita ser rectificado. La evaluación de seguimiento incluye lo siguiente:
1. Si hay problemas del sistema, como el cumplimiento, la efectividad, la operatividad y la estandarización;
2. Si hay duplicaciones y conflictos entre los
sistemas ; 3. Si faltan sistemas y puntos ciegos de gestión;
4. Clasifique los sistemas y descubra Situación del parche del sistema, evaluar la viabilidad y la necesidad de implementar la integración.
Para un sistema que refleja muchas opiniones a nivel ejecutivo, el patrocinador debe realizar una evaluación de seguimiento de manera oportuna. Al mismo tiempo, el departamento anfitrión debe recopilar y organizar la información del sistema de manera oportuna para mejorar la eficiencia y la calidad de la evaluación posterior del sistema. La información del sistema incluye: cambios en las políticas externas, comentarios de los operadores de base, vulnerabilidades de gestión encontradas en las inspecciones comerciales, vulnerabilidades de gestión reflejadas en casos externos o similares, estructura organizativa interna, gestión y ajustes de procesos de negocio.
La mejora del sistema se refiere al trabajo de agregar, cambiar, revisar, complementar e integrar el sistema implementado por el departamento anfitrión de acuerdo con los resultados de la evaluación de seguimiento del sistema y las necesidades de gestión empresarial. Antes de implementar el trabajo de mejora del sistema, el departamento anfitrión debe evaluar el costo de la mejora del sistema, teniendo en cuenta la estabilidad del sistema y la conveniencia de la implementación, y elegir emitir parches del sistema, agregar nuevos sistemas y cambiar la versión para mejorar el sistema. Si hay muchos parches en el sistema, el departamento patrocinador integrará el sistema con la disposición de la estructura del sistema departamental.
6. Gestión diaria del sistema.
El sistema debe explicar claramente el departamento. En principio, el departamento patrocinador del sistema es responsable de la interpretación. En casos especiales, el alcance de la interpretación de cada departamento debe ser claro. Cuando el sistema de bajo nivel entre en conflicto con las regulaciones del sistema de alto nivel, prevalecerán las disposiciones del sistema de alto nivel, a menos que el departamento de interpretación del sistema haya aprobado o respondido formalmente.
