CISSP AIO7 Notas de estudio-Capítulo 1 Seguridad y gestión de riesgos 1.11-1.18

Others 2020-04-22 22:41:46 views: null

Consejos de examen 0x00

La evaluación de riesgos se utiliza para recopilar datos, y el análisis de riesgos estudia los datos recopilados para determinar qué acciones deben tomarse.

0x01 Gestión de riesgos

El riesgo en un entorno seguro se refiere a la posibilidad de destrucción y la situación derivada después de la destrucción.

风险管理(Risk Management)Es el proceso de identificación y evaluación de riesgos, reduciéndolos a un nivel aceptable y asegurando que este nivel se mantenga.

Los principales riesgos de la seguridad de la información:

  • Physical damageIncendios de destrucción física , inundaciones, destrucción deliberada, cortes de energía y desastres naturales.
  • Sabotear artificialmente el Human interactioncomportamiento accidental o intencional o la actitud de trabajo perezoso que puede reducir la eficiencia de la producción.
  • Falla del Equipment malfunctionsistema o falla del equipo periférico.
  • Ataques internos y externos contra Inside and outside attackshackers, crackers y ataques.
  • El uso indebido de datos Misuse of datacomparte secretos comerciales, fraude, espionaje y robo.
  • La pérdida de datos Loss of dataprovoca la pérdida de información, intencionalmente o no, a través de métodos destructivos.
  • Aplicación Application errorerrores de cálculo de error, los errores de entrada y desbordamiento de memoria intermedia.

NIST SP 800-39Se definen tres capas de gestión de riesgos:

  • A nivel organizacional, enfocarse en los riesgos de todo el negocio significa que construirá el resto de la sesión y establecerá parámetros importantes, como la
    tolerancia al riesgo .
  • A nivel de proceso de negocio, el procesamiento es arriesgado para las funciones principales de la organización, como definir
    la importancia del flujo de información entre la organización y sus socios o clientes . Esta es la capa inferior.
  • A nivel del sistema de información , los riesgos se resuelven desde la perspectiva de los sistemas de información.
Estrategia de gestión de riesgos del sistema de información

La gestión adecuada del riesgo requiere un compromiso firme de la alta gerencia y un proceso documentado que ISRMrespalde la misión de la organización , la estrategia de gestión del sistema de información ( ) y el equipo designado de ISRM. La empresa debe seleccionar un miembro para administrar el equipo en una organización grande, que debe dedicar del 50 al 70% del tiempo a la gestión de riesgos. La gerencia debe invertir fondos para proporcionar la capacitación necesaria a este miembro y proporcionar herramientas de análisis de riesgos para garantizar el buen progreso de la gestión de riesgos.

Proceso de gestión de riesgos
  • El marco de riesgo Frame riskdefine el contexto en el que ocurren todas las demás actividades de riesgo.
  • Para evaluar el riesgo Assess risk, debe evaluar el riesgo antes de tomar cualquier medida para reducirlo.
  • Respond to riskPara responder a los riesgos , para hacer frente a los riesgos, combine los recursos limitados con el control prioritario.
  • Para monitorear los riesgos Monitor risk, para estar a la vanguardia de los disruptores, necesitamos monitorear constantemente la efectividad de nuestras medidas de control diseñadas para los riesgos.

Modelado de amenazas 0x02

Modelado de amenazas: un proceso que describe los efectos adversos que una fuente de amenazas puede implementar en un activo.

Fragilidad

1. Información
El núcleo del sistema de información es 信息potencialmente el activo más valioso para la
computadora La información en el Sistema de información de la computadora (CIS) se expresa como 数据.

Clasificación de datos:

  • 静态数据, El personal interno copia estos datos en el disco U y los proporciona a personal no autorizado, comprometiendo así su confidencialidad.
  • 传输中的数据Los datos son interceptados y modificados por personal externo en la red, y luego continúan siendo transmitidos (llamados ataques de hombre en el medio), comprometiendo así su integridad.
  • 使用中的数据, Los procesos maliciosos utilizan vulnerabilidades "TOC / TOU" o "condiciones de carrera" para eliminar datos, lo que compromete su usabilidad.

2. Procesos Los
procesos de vulnerabilidades de proceso pueden considerarse como una vulnerabilidad de software específica.

3. Personal
Tratar a las personas como el eslabón más débil de la cadena de seguridad.

  • Ingenieria socialSocial engineering
  • Red socialSocial networks
  • ContraseñaPasswords
Amenazar

Las posibles causas de eventos adversos pueden causar daños al sistema u organización.
Clasificación de fuente de amenaza:

  • Atacante malicioso
  • Información privilegiada
  • Evento natural
Atacar

Tres componentes importantes que forman el núcleo del modelo de amenaza.

  • Escapatoria existente
  • Ataque viable
  • Amenaza capaz

Los términos 攻击链y 杀死链se refieren a un tipo específico de árbol de ataque sin ramas, solo de una etapa o acción a una etapa.

El árbol de ataque es más expresivo porque muestra las muchas formas en que un atacante puede lograr cada objetivo.
Inserte la descripción de la imagen aquí

Análisis sustractivoReduction Analysis

El árbol de ataque en sí también produce una técnica llamada "análisis sustractivo".

  • Reduzca la cantidad de ataques que debemos considerar. Para encontrar el terreno común para reducir el número de condiciones que deben reducirse.
  • Reduce la amenaza que representan los ataques. Cuando implementa técnicas de mitigación, cuanto más cerca esté del nodo raíz, más puede usar un control para mitigar los ataques de los nodos hoja.

0x03 Evaluación y análisis de riesgos.

Un método de evaluación de riesgos (en realidad, una herramienta de gestión de riesgos) puede identificar vulnerabilidades y amenazas y evaluar las posibles pérdidas, determinando así cómo implementar medidas de protección de seguridad. Después de evaluar el riesgo, se pueden analizar los resultados.

El análisis de riesgos tiene los siguientes 4 objetivos principales:

  • Identificar activos y su valor para la organización.
  • Identificar vulnerabilidades y amenazas.
  • Cuantifique la probabilidad de posibles amenazas y su impacto en el negocio.
  • Lograr un equilibrio presupuestario entre el impacto de las amenazas y el costo de las contramedidas.

El análisis de riesgos proporciona una relación costo / beneficio cost/benefit comparison, que es la relación entre el costo de las medidas de protección utilizadas para proteger a una empresa de las amenazas y el costo de la pérdida esperada.

La pregunta correcta planteada por el evaluador de riesgos

  • ¿Qué eventos (eventos de amenaza) pueden ocurrir?
  • ¿Cuál es el impacto potencial (riesgo)?
  • ¿Con qué frecuencia ocurren (frecuencia)?

Ejemplos de peligros comunes: el
Inserte la descripción de la imagen aquí
riesgo tiene 潜在损失(直接损失)y 延迟损失(次生灾害).

Método de evaluación de riesgos

NIST

  • (1) Preparación de evaluación
  • (2) Realizar una evaluación
    a. Identificar fuentes y eventos de
    amenazas b. Identificar amenazas y condiciones inducidas
    c. Determinar la probabilidad de ocurrencia
    d. Determinar la magnitud del impacto
    e. Determinar el riesgo
  • (3) Resultados de comunicación
  • (4) Evaluación de mantenimiento

El método de gestión de riesgos NIST se centra en los problemas de seguridad informática y del sistema informático. Es un método que se enfoca solo en el nivel operativo de la empresa en lugar del nivel estratégico superior.

FRAP
Para facilitar el proceso de análisis de riesgos Facilitated Risk Analysis Process, el núcleo de este enfoque cualitativo es enfocarse solo en aquellos sistemas que necesitan ser evaluados para reducir costos y tiempo.

OCTAVE
Operationally Critical Threat, Asset, and Vulnerability Evaluation操Las evaluaciones críticas de amenazas, activos y vulnerabilidades están diseñadas específicamente para aquellos que administran y guían las evaluaciones de riesgos de seguridad de la información dentro de la empresa. La mejor manera

AS/NZS4360
Se ha adoptado un enfoque más amplio para la gestión de riesgos. Este enfoque se centra en la salud de la empresa desde una perspectiva comercial en lugar de una perspectiva de seguridad.

ISO/IEC27005 ¿Es un estándar internacional? Establece cómo gestionar el riesgo en el marco del SGSI

FMEA
El modo de falla y el análisis de impacto Failure Modes and Effect Analysises un método para determinar funciones, identificar fallas de función y evaluar las causas y los efectos de las fallas a través de un proceso estructurado.

CRAMM
Análisis de riesgos y métodos de gestión de agencias centrales de informática y telecomunicaciones. El método se divide en 3diferentes etapas: definición de objetivos, evaluación de riesgos e identificación de contramedidas.

Inserte la descripción de la imagen aquí

Método de análisis de riesgos

Inserte la descripción de la imagen aquí
El análisis de riesgos tiene 定量y 定性los dos métodos.

  • El análisis cuantitativo de riesgos intenta asignar números específicos y significativos a todos los elementos del proceso de análisis de riesgos.
    Las fórmulas más utilizadas son las expectativas de pérdidas únicas SLEy las expectativas de pérdidas anuales.ALE

    • 资产价值*暴露因子=SLE
    • SLE*年发生比率=ALE

  • El análisis de riesgo cualitativo no presenta los resultados de mediciones específicas, sino que solo clasifica los riesgos, como rojo, amarillo y verde.
    Las técnicas de análisis cualitativos incluyen 判断, 最佳实践, 直觉y la 经验
    tecnología Ejemplos de recolección de datos cualitativos son Delphi, lluvia de ideas, storyboard, grupos focales, encuestas, cuestionarios, listas de control, reuniones individuales y entrevistas.

Comparación cualitativa y cuantitativa
Inserte la descripción de la imagen aquí

Desventajas de los métodos cuantitativos.

  • El cálculo es más complicado. ¿Puede la gerencia entender cómo se calculan estos valores?
  • No hay herramientas automatizadas disponibles, y este proceso requiere completamente la finalización manual.
  • Se necesita hacer mucho trabajo básico para recopilar información detallada relacionada con el medio ambiente.
  • No hay un estándar correspondiente. Cada proveedor interpreta su proceso de evaluación y resultados de manera diferente.

Desventajas de los métodos cualitativos.

  • Los métodos de evaluación y los resultados son relativamente subjetivos.
  • No se puede establecer el valor monetario para el análisis de costo / beneficio.
  • Es difícil rastrear la gestión de riesgos utilizando medidas subjetivas.
  • No hay un estándar correspondiente. Cada proveedor interpreta su proceso de evaluación y resultados de manera diferente.

Inserte la descripción de la imagen aquí

Mecanismo de protección

Identificar los mecanismos de seguridad actuales y evaluar su efectividad. El equipo de análisis de riesgos debe evaluar la función y la efectividad de las medidas de protección.

Una contramedida de seguridad debe tener un buen significado comercial, lo que significa que la contramedida es muy rentable (los beneficios superan a los costos). Esto requiere otro análisis: análisis de costo / beneficio.
(实现防护措施前的ALE)-(实现防护措施后的ALE)-(防护措施每年的成本)=防护措施对公司的价值

Riesgo total y riesgo residual

安全工作永无止境
Inserte la descripción de la imagen aquí

Lidiar con el riesgo

Hay cuatro formas básicas de lidiar con el riesgo:

  • Transferencia
  • Circunvalar
  • Facilidad
  • Aceptar
Outsourcing

Las funciones pueden subcontratarse, pero los riesgos no pueden subcontratarse.

Marco de gestión de riesgos 0x04

Un marco de gestión de riesgos se Risk Management Frameworks, RMFdefine como un proceso estructurado que permite a las organizaciones identificar y evaluar riesgos, reducirlos a un nivel aceptable y garantizar que se mantengan a ese nivel. En esencia, RMFes un enfoque estructurado para la gestión de riesgos.
Marco común:

  • NI8T RMF (SP 800-37r1)
  • ISO 31000: 2009
  • Riesgo de TI de ISACA
  • Marco integrado de gestión de riesgos empresariales COSO

Seis pasos de tráfico RMF

  • (1) Clasificación de los sistemas de información.
  • (2) Selección de control de seguridad
  • (3) Implementación de control de seguridad
  • (4) Evaluación del control de seguridad.
  • (5) Autorización del sistema de información
  • (6) Supervisión del control de seguridad.

0x05 continuidad del negocio y recuperación ante desastres

Como profesional de seguridad, debe desarrollar varios planes para situaciones inesperadas.

  • El objetivo de la recuperación ante desastres es minimizar el impacto de un desastre o interrupción.
  • El objetivo del plan de recuperación ante desastres es enfrentar el desastre y sus consecuencias después del desastre.
  • Los planes de recuperación ante desastres generalmente se centran en la tecnología de la información (TI).

灾难恢复计划(Disaster Recovery Plan, DRP)Es un plan que se implementa cuando todo todavía está en modo de emergencia, donde todos compiten para volver a poner en línea todos los sistemas críticos.

业务连续性规划(Business Continuity Plan,BCP)Tome una solución más amplia al problema. Puede incluir la restauración de sistemas clave en otro entorno mientras se repara la instalación original durante la implementación planificada, lo que permite a la persona adecuada regresar al lugar correcto durante este tiempo y realizar negocios en diferentes modos hasta que se restablezcan las condiciones normales Hasta ahora También implica tratar con clientes, socios y accionistas a través de diferentes canales, hasta que todo se restablezca a la
normalidad.
Inserte la descripción de la imagen aquí
La Gestión de Continuidad de Negocios (Business Continuity Managnent) BCMes el proceso de gestión general, que debe incluir DRPy BCP.
Inserte la descripción de la imagen aquí

Estándares y mejores prácticas

NIST SP 800-34

ISO/IEC 27031 :2011

Good Practice Guidelines, GPG, Pautas de mejores prácticas para la Asociación de continuidad del negocio, Prácticas de
gestión de mejores prácticas de BCM :
-Estrategia y gestión de procedimientos
-Incrustación de
prácticas de tecnología de BCM en la cultura organizacional :
-Comprensión de la organización
-Determinación de la estrategia de BCM
-Formulación e implementación de la respuesta de BCM
-Perforación, mantenimiento Y revisión

DRI Asociación Internacional de Planificadores de Continuidad de Negocios Práctica Profesional Mejores Prácticas y Marco

Gestión de proyectos BCP

SWOTEl análisis representa fortalezas / debilidades / oportunidades / amenazas (Fortalezas / Debilidades / Oportunidades / amenazas τ),

  • Las características del equipo superior del proyecto hacen que tenga una mayor ventaja que otros equipos.
  • Las debilidades son características que ponen al equipo en desventaja en relación con otros equipos.
  • Las oportunidades pueden contribuir al éxito del proyecto.
  • Elementos que amenazan con hacer que un proyecto falle
    Inserte la descripción de la imagen aquí

业务影响分析(Business Impact Analysìs)Se considera un análisis funcional. En BIA, el equipo de BCP recopila datos a través de entrevistas y fuentes de literatura para documentar las funciones, actividades y transacciones comerciales de la empresa, dividir los niveles de función empresarial de la empresa y finalmente formular un esquema de clasificación para expresar El nivel de importancia de cada función individual El
Inserte la descripción de la imagen aquí
tiempo de interrupción que la empresa puede tolerar se refiere al tiempo de inactividad más largo ( Maximurn Tolerable Downtime,MTD) o al tiempo de interrupción máximo ( Maximum Period Time of Disruption, MPTD) que se puede tolerar

Cuanto más corto sea el MTD, mayor será la prioridad de restauración de la función en cuestión.

  • 30 días no esenciales
  • 7 dias
  • 72 horas importantes
  • Urgencias las 24 horas
  • Minutos clave a horas

La estrategia de BCP incluye principalmente 范围、任务说明、原则、指南和标准.

0x06 Seguridad del personal

  • 职责分离Separation of dutiesSe puede garantizar que una sola persona no complete una tarea importante. La separación es un control de gestión preventivo que se implementa para reducir posibles fraudes.

    • Segmentación del conocimiento
    • Control dual

  • 岗位轮换rotation of dutiesEs detección y control de gestión. Si se implementa, se pueden descubrir actividades fraudulentas.

  • 强制休假mandatory vacation, Los empleados que trabajan en áreas sensibles se ven obligados a irse de vacaciones y pueden detectar errores o actividades fraudulentas.

  • 招聘实践, Firmar acuerdo de confidencialidad, verificación de antecedentes.

  • 解雇

    • El empleado despedido debe abandonar la empresa inmediatamente bajo la supervisión de un gerente o guardia de seguridad.
    • El empleado despedido debe entregar todas las credenciales o claves de identificación, solicitar completar la conversación de renuncia y devolver la propiedad de la empresa.
    • La compañía deberá deshabilitar o modificar de inmediato la cuenta y la contraseña del empleado despedido.

  • 安全意识培训

    • La organización debería adoptar diferentes métodos para fortalecer el concepto de conciencia de seguridad.
    • Se pueden usar pancartas de pantalla, manuales de empleados e incluso carteles para recordar a los empleados sus responsabilidades y la necesidad de buenas prácticas de seguridad.

  • 学位或证书
    Inserte la descripción de la imagen aquí

0x07 Gobierno de seguridad

¿Qué es la gobernanza?

对管理的管理就是治理!

La gobernanza de seguridad es un marco que permite que la alta gerencia establezca y comunique los objetivos de seguridad de la organización, se comunica y se comunica en diferentes niveles de la organización, otorga autoridad a la entidad para implementar y hacer cumplir las medidas de seguridad, y proporciona un método para verificar estas Implementación de actividades de seguridad.
Inserte la descripción de la imagen aquí

0x08 moral

  • Para proteger la sociedad y los intereses públicos, la confianza pública necesaria y la confianza.
  • Actuar adecuadamente, ser honesto, justo, responsable y obedecer la ley.
  • Brindar a los clientes la debida diligencia y un servicio competente.
  • Desarrollar y proteger la reputación profesional.
baynk
Publicado 277 artículos originales · elogiado 313 · 40,000+ vistas
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/u014029795/article/details/105679288
Recomendado
Clasificación
Diario
Más
2024-05-23(34)
2024-05-22(10)
2024-05-21(34)
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)

Code World

© 2018 codetd.com