CISSP Capítulo 1: Puntos de conocimiento sobre seguridad y gestión de riesgos

News 2023-08-16 01:34:09 views: null

Use Xmind para hacer un mapa del sistema de conocimiento, exporte el formato de imagen png aquí para una fácil referencia (puede guardarlo localmente para ver la imagen original de alta definición).

 

 

1. Conceptos básicos de seguridad y gestión de riesgos

conocimiento básico

  • CIA
    • confidencialidad
      • Asegúrese de que la información no se divulgue a usuarios o entidades no autorizados durante el almacenamiento, uso y transmisión.
    • integridad
      • Evite la manipulación no autorizada, evite que los usuarios autorizados modifiquen la información de forma incorrecta y mantenga la coherencia interna y externa de la información
    • disponibilidad
      • Asegurar que el uso normal de la información y los recursos por parte de los usuarios o entidades autorizados no sea negado anormalmente, permitiendo un acceso confiable y oportuno a la información.
  • PAPÁ
    • Divulgación, manipulación, destrucción

tecnología relacionada con la CIA

  • confidencialidad
    • Cifrado de datos (cifrado de disco, cifrado de base de datos)
    • Confidencialidad de transporte (IPsec, SSL, TLS, SSH)
    • Control de Acceso (Controles Físicos y Técnicos)
  • integridad
    • hashing (integridad de datos)
    • Gestión de la configuración (integridad del sistema)
    • Gestión de cambios (proceso completo)
    • Control de Acceso (Controles Técnicos y Físicos)
    • Firma digital de software
      • Firma de código (la función principal es proteger la integridad del código, no el no repudio)
    • Función de verificación de CRC de transmisión (para múltiples capas de transmisión de red)
  • disponibilidad
    • Matriz redundante de discos (RAID)
    • grupo
    • balanceo de carga
    • Redundancia de datos y líneas eléctricas
    • Copia de seguridad de software y datos
    • imagen de disco
    • Ubicación y medidas fuera del sitio
    • función de reversión
    • configuración de conmutación por error

construcción en capas

  • defensa en profundidad
    • Combinación de múltiples métodos de control, la falla de un control no conducirá a la fuga de datos o del sistema

Gestión de riesgos

Se implementan tres mecanismos de control de seguridad de manera de defensa en profundidad. La gestión de riesgos es el contenido central del concepto central de seguridad de la información.

  • Clases de tipo de control 3
    • control administrativo
      • Políticas de seguridad organizacional y regulaciones legales Ejemplos de políticas y procedimientos: Políticas, procedimientos, prácticas de contratación, verificaciones de antecedentes, clasificación de datos, etiquetado de datos, capacitación en concientización sobre seguridad, registros de licencias, informes y revisión, vigilancia laboral, controles de personal y pruebas.
    • control técnico/control lógico
      • Ejemplos de controles de hardware y software: métodos de autenticación, cifrado, interfaces restringidas, listas de control de acceso, protocolos, cortafuegos, enrutadores, IDS y umbrales
    • Control físico
      • Ejemplos de medidas físicamente accesibles: guardias de seguridad, cercas, detectores de movimiento, puertas cerradas, ventanas selladas, luces, protección de cables, candados para computadoras portátiles, insignias, tarjetas magnéticas, perros guardianes, cámaras, trampas, alarmas
  • 6 tipos de funciones de control de seguridad
    • control de disuasión
    • control preventivo
    • control de detección
    • control de compensación
    • control correctivo
      • Respaldo, BCP, DRP
    • recuperar el control

GRC - Gobernanza, Riesgo y Cumplimiento

Gestión de la Seguridad de la Información - Modelo PDCA

  • Planificar Planificar, implementar Hacer, verificar Verificar, medir Acción
    • 1. Determinar los objetivos de control y las medidas de control con base en los resultados de la evaluación de riesgos, los requisitos legales y reglamentarios, el negocio de la organización y las necesidades operativas 2. Implementar las medidas de control de seguridad seleccionadas. Mejorar la conciencia de seguridad del personal 3. Verificar el cumplimiento de la implementación de medidas de seguridad de acuerdo con las políticas, procedimientos, estándares y leyes y reglamentos 4. Tomar contramedidas contra los resultados de limpiarse el sudor para mejorar la situación de seguridad

Clasificación de la Información Institucional

  • Empresa Comercial - Pública, Sensible, Privada, Confidencial (menor a mayor)
  • Organizaciones militares: sensibles pero no clasificadas, secretas, clasificadas, ultrasecretas (de menor a mayor)

2. Marco de control de seguridad

Desarrollo de Control de Seguridad

  • Control interno de TI de Cobit
    • Preparado por la Asociación de Auditoría y Control de Sistemas de Información (ISACA), dividido en dominios de gobierno y dominios de gestión
  • NST 800-53 Referencia de controles de seguridad

Desarrollo de soluciones empresariales

  • Sistema de gestión de seguridad de la información ISO/IEC 27001
    • Originado a partir de BS7799 BS7799-1 corresponde a ISO27002 BS7799-2 corresponde a ISO27001
  • ISO/IEC 27002 Mejores prácticas del sistema de gestión de seguridad de la información: marco objetivo ISO/IEC 27003 Pautas de implementación del sistema de gestión de seguridad de la información ISO/IEC 27005 Gestión de riesgos de seguridad de la información

Desarrollo de arquitectura empresarial

  • Zachman, marco empresarial TOGAF

Desarrollo de arquitectura empresarial segura

  • Marco de la Agencia de Seguridad SABSA

Gobierno Corporativo

  • Marco de gestión de control interno empresarial de COSO Control interno: marco general
    • Cinco tipos de elementos de control interno: control ambiental, evaluación de riesgos, actividades de control, información y comunicación, pruebas
    • Marco para que muchas organizaciones aborden el cumplimiento de SOX404

gestión de proceso

  • Gestión de desarrollo de software CMMI
  • Gestión de servicios de TI ITIL
    • Cuatro procesos: estrategia de servicio, diseño de servicio, prestación de servicio, operación de servicio, mejora continua del servicio.
  • Gestión de Procesos de Negocio Seis Sigma

Cuidado necesario

(DC, diligencia debida, consideración cuidadosa, diligencia debida, diligencia debida, preocupación moderada, prudencia moderada) Diligencia debida (DD, diligencia debida, diligencia debida, diligencia debida, diligencia debida, diligencia debida, diligencia moderada)

3. Política de seguridad

Jerarquía de documentación de gestión de seguridad

  • política
    • 1. Al más alto nivel de estrategia 2. Un compromiso al más alto nivel para asumir la responsabilidad de la seguridad de la información 3. Explicar los objetos y objetivos a proteger
    • Tres tipos de pólizas
      • Política de Normatividad y Cumplimiento
      • política sugerente
      • Política Informativa, Instructiva
  • estándar
    • Establecer un mecanismo de cumplimiento para la implementación de políticas
  • Directrices/Directrices
    • Similar a los estándares, métodos para fortalecer la seguridad del sistema, es asesor
  • línea base de seguridad
    • Nivel mínimo de requisitos de seguridad para cumplir con los requisitos de la política
  • Procedimiento/Paso/Retorno
    • Pasos detallados para realizar una tarea específica
    • Un procedimiento es una descripción del proyecto de los pasos específicos involucrados en la realización de una tarea de protección.

Tipos de estrategias centradas en el contenido

  • estrategia organizacional
  • Estrategia funcional
  • política específica del sistema

Políticas y Prácticas de Seguridad de Adquisiciones/Cadena de Suministro

  • Control de riesgos y seguridad de la cadena de suministro
  • Adquisición de hardware, software y servicios
    • Desarrollar líneas de base de seguridad, aclarar los requisitos mínimos de seguridad para los productos y servicios adquiridos Realizar capacitación en seguridad para el personal del proveedor Formular estrategias de gestión de seguridad del proveedor y definir métodos comunes de control de seguridad Aumentar el control sobre los fabricantes, distribuidores e integradores OEM sobre la auditoría de riesgos de seguridad de las redes del proveedor
  • Requisitos mínimos de seguridad y requisitos de nivel de servicio
    • Defina los requisitos de nivel de servicio y los requisitos mínimos de seguridad a través de SLA
  • Informe SOC de auditoría de terceros (sexta área de conocimiento del plan de estudios)
    • Antes del SOC, muchos líderes de la organización usaban los estándares de auditoría del informe SAS70 Declaración sobre estándares de auditoría (SAS) para obtener la aprobación de las actividades de subcontratación.Sin embargo, SAS 70 se centró en el control del contenido del informe financiero (ICOFR) en lugar de la disponibilidad y seguridad del sistema.
      • Declaración sobre Normas de Auditoría (SAS) 70 La mayoría de las organizaciones utilizan áreas de servicio subcontratadas para exigir informes SAS70, pero solo desde una perspectiva financiera, muchos usuarios comienzan a centrarse en la seguridad, la disponibilidad y luego la privacidad
    • SOC1
      • El informe requiere que el proveedor de servicios describa su sistema y defina los objetivos y controles de control, que están relacionados con el control interno sobre la información financiera;
      • Los informes SOC1 generalmente no cubren aquellos servicios y controles que no son relevantes para el informe ICOFR del usuario.
      • Muchos proveedores de servicios han utilizado los informes SOC1 para servicios básicos de procesamiento financiero desde 2011;
    • Informe SOC2/SOC3
      • Informes que incluyen el diseño y la eficacia operativa
      • Los principios y directrices definen específicamente la seguridad, la disponibilidad, la confidencialidad, la integridad del procesamiento y la privacidad;
      • Proporcionar control interno sobre la información financiera (ICOFR);
      • Según las necesidades de los proveedores de servicios y sus usuarios, se puede adoptar un enfoque modular para facilitar que los informes SOC2/SOC3 cubran uno o más principios;
      • Si el proveedor de servicios de TI no afecta o afecta indirectamente el sistema financiero del usuario, utilice el informe SOC2;
      • Los informes SOC3 generalmente se utilizan para informar a una amplia gama de usuarios sobre su nivel de seguridad sin revelar controles detallados ni resultados de pruebas;
    • Tipo 1 y Tipo 2

modelado de amenazas

  • paso
    • identificar amenazas
      • modelo STRIDE
    • identificar posibles ataques
    • Realizar análisis simplificado
    • Licencias Prioritarias y Revocación

4. Estructura organizativa de la seguridad de la información

Altos directivos (CEO, CFO, COO)

  • El nivel de toma de decisiones o la alta dirección es totalmente responsable de la seguridad de la información y es la persona responsable en última instancia de la seguridad de la información.
    • Responsabilidades: 1. Aclarar los objetivos y lineamientos de seguridad de la información para guiar la dirección de las actividades de seguridad de la información 2. Proporcionar recursos para las actividades de seguridad de la información 3. Tomar decisiones sobre temas importantes 4. Coordinar y organizar la relación entre diferentes unidades y enlaces 5. El responsable final persona

Director de información (CIO)

  • Supervisar y ser responsable de las operaciones técnicas del día a día de la empresa.

Especialista en Seguridad de Sistemas de Información (CSO)

  • 1. El oficial de seguridad de la información o CSO es asignado por la alta gerencia (generalmente al CIO) para ser responsable de implementar y mantener la seguridad 2. Diseñar, implementar, administrar y revisar las políticas, estándares, pautas y procedimientos de seguridad de la organización 3. Coordinar varios unidades dentro de la organización Todas las interacciones con la seguridad
  • Responsabilidades de la OSC 1. Elaboración de presupuestos para actividades de seguridad de la información 2. Desarrollo de políticas, procedimientos, líneas de base, estándares y directrices 3. Desarrollo de un programa de concientización sobre seguridad 4. Evaluación de respuestas a incidentes de seguridad 5. Desarrollo de un programa de cumplimiento de seguridad 6. Participación en Reunión de gestión 7. Establecer un mecanismo de medición de la seguridad 8. Asistir a las auditorías internas y externas

Comité de Seguridad

  • 1. Los miembros provienen de: representantes de la alta gerencia, gerentes de TI, jefes de negocios y departamentos funcionales, oficiales de seguridad de la información, etc. 2. Toman decisiones y aprueban asuntos, políticas, estándares y directrices relacionados con la seguridad.

administrador de seguridad

  • 1. Responsable de implementar, monitorear y hacer cumplir las normas y políticas de seguridad 2. Cada departamento puede establecer su propio administrador de seguridad para que sea responsable de implementar los asuntos de gestión de seguridad del departamento 3. Reportar al comité de seguridad/oficial de seguridad de la información

Auditora de Sistemas de Información

  • 1. Proporcionar una garantía independiente para la gestión de objetivos de seguridad 2. Verificar el sistema para determinar si cumple con los requisitos de seguridad y si el control de seguridad es efectivo

Equipo del programa de seguridad

Tres tipos de planes

  • Plan Estratégico - plan a largo plazo, alrededor de cinco años, relativamente estable, define las metas y la misión de la organización
  • Plan táctico: plan a mediano plazo, como 1 año, descripción detallada de las tareas y el progreso para lograr los objetivos establecidos en el plan estratégico, como plan de empleo, plan presupuestario, etc.
  • Plan operativo: plan muy detallado a corto plazo, actualizado con frecuencia mensual o trimestralmente, como plan de capacitación, plan de implementación del sistema, etc.

5. Seguridad del personal

Gestión de seguridad de entrada

  • Verificación de antecedentes: reduzca los riesgos, reduzca los costos de contratación y reduzca la rotación de empleados
  • evaluación de habilidades
  • Acuerdo de confidencialidad o responsabilidad del empleado de ADN claro por la seguridad de la información de la organización, la confidencialidad y la responsabilidad legal por violaciones, aplicable a empleados en período de prueba, usuarios externos que utilizan el proceso de procesamiento de información, cambio del período del contrato del empleado y renuncia

Gestión de la seguridad en el trabajo

  • Separación de Funciones - Propósito: Menos posibilidades de fraude o transacciones. Patrón común: separación de conocimientos, control dual Para las organizaciones más pequeñas, la separación estricta de funciones es difícil y se pueden adoptar medidas compensatorias como el seguimiento y la auditoría.
  • Privilegio mínimo: los privilegios mínimos necesarios para asignar responsabilidades
  • Rotación de trabajo: no permita que una persona ocupe un puesto fijo durante un período prolongado de tiempo, para que la persona no obtenga demasiado control. Establezca una copia de seguridad del personal, lo que favorece la capacitación cruzada y la detección de fraudes (la capacitación cruzada se usa a menudo como una alternativa a la rotación de puestos)
  • Vacaciones obligatorias: obligar al personal sensible del departamento a tomar vacaciones puede detectar eficazmente el fraude, la modificación de datos y el abuso de recursos, etc.

Gestión de la seguridad de salida

  • Eliminar inmediatamente el acceso del personal anterior
  • Reciclaje de elementos identificables
  • Los renunciantes deben ir acompañados de la limpieza de sus pertenencias personales.

Control de Proveedores, Consultores y Contratistas

  • No trabaja en el sitio, pero tiene privilegios de administrador
    • 1. Firmar un acuerdo de confidencialidad con organizaciones e individuos de terceros 2. Supervisar todos los comportamientos laborales del tercero 3. Asegurarse de que se verifique la identidad del personal de terceros al acceder
  • Trabaje en el sitio y tenga privilegios de administrador
    • 1. Sobre la base de las medidas anteriores (1-3), aumentar la investigación de antecedentes del personal 2. Cuando el personal de terceros abandone el sitio, se debe retirar la autoridad pertinente
  • Agregar requisitos de confidencialidad y términos comerciales relacionados a los términos del contrato con el tercero

Seguridad necesaria (concienciación, formación, educación)

  • 1. Los empleados deben ser conscientes de la protección de los activos de información de la organización 2. Los operadores deben estar capacitados en las habilidades para realizar sus funciones de forma segura 3. Los profesionales de la seguridad deben estar capacitados para implementar y mantener los controles de seguridad necesarios

6. Gestión de riesgos

Objetivo

  • El proceso de identificar y evaluar los riesgos, reducirlos a un nivel aceptable e implementar los mecanismos apropiados para mantener este nivel.
  • El balance de costo y beneficio ROI ROI = (beneficio después de implementar el control + beneficio de recuperar la pérdida de datos) / costo del control

Elementos relacionados con la gestión de riesgos

  • activos
    • Valoración de Activos de Información Activos de Valor para la Organización: Indica el valor monetario asignado al activo en términos de costo real y no monetario.
  • amenazar
    • Una posible causa de un incidente de seguridad que podría causar daños a un activo u organización
  • vulnerabilidad
    • Vulnerabilidades o debilidades, es decir, debilidades en un activo o grupo de activos que pueden ser explotadas por amenazas y, una vez explotadas, pueden causar daños a los activos.
  • riesgo
    • El potencial de una amenaza específica para explotar la debilidad de un activo para causar daño a un activo o grupo de activos
  • posibilidad
    • Descripción cualitativa de la frecuencia de las amenazas
  • impacto/consecuencia
    • daño o perjuicio directo o indirecto a una organización causado por un accidente
  • medidas de seguridad
    • Controles o contramedidas, es decir, mecanismos, métodos y medidas para reducir los riesgos mediante la prevención de amenazas, la reducción de vulnerabilidades y la limitación del impacto de eventos inesperados.
  • riesgo residual
    • Riesgos que quedan después de implementar medidas de seguridad

Evaluación de riesgos

  • concepto
    • Una evaluación de los activos de información y su valor, amenazas, debilidades y el tamaño o nivel de riesgo provocado por la acción combinada de los tres
  • Objetivo
  • Método de evaluación de riesgos
    • AS/NZS4360
      • Adopta un enfoque más amplio para la gestión de riesgos (NZS se aplica a los riesgos financieros, de capital, de seguridad del personal y de toma de decisiones comerciales de una empresa, no específicamente para uso de seguridad).
    • NIST SP800-30 y SP800-66
      • Método cualitativo RA
      • 1. Clasificación del sistema, 2. Identificación de debilidades, 3. Identificación de amenazas, 4. Identificación de contramedidas, 5. Evaluación de posibilidades, 6. Evaluación de impacto, 7. Evaluación de riesgos, 8. Recomendación de nuevas contramedidas, 9. Informe de documentación
    • OCTAVA
      • Una especificación de evaluación de riesgos de seguridad de la información autónoma basada en el riesgo de activos de información, enfatizando la impulsada por activos, que consta de 3 etapas y 8 procesos
    • CRAMM
      • Procesos básicos: identificación y evaluación de activos, evaluación de amenazas y vulnerabilidades, selección y recomendación de contramedidas
    • ESTA
      • Cree un árbol de todas las amenazas a las que se puede enfrentar el sistema. Las ramas pueden representar categorías como amenazas de red, amenazas físicas y fallas de componentes. Al realizar RA, las ramas no utilizadas deben cortarse
    • FEMA
      • Del análisis de hardware. Investigue la falla potencial de cada componente o módulo y examine los efectos de la falla
  • análisis cuantitativo
    • Definición: Asignar un monto numérico o monetario a cada elemento que constituye un riesgo y el nivel de pérdida potencial.
    • Conceptos básicos: factor de exposición EF, expectativa de pérdida única SLE, tasa de incidencia anual ARO, expectativa de pérdida anual ALE
    • Proceso de análisis cuantitativo
      • Identificar activos y asignar valores a los activos
      • Evaluar amenazas y debilidades, y evaluar el impacto de amenazas específicas en activos específicos, es decir, EF (0% a 100%)
      • Cuenta el número de ocurrencias (frecuencia) de una amenaza en particular, es decir, ARO
      • Calcular el SLE de un activo SLE (Expectativa de Pérdida Única) = VA Valor del Activo × EF (Factor de Exposición) Corto: SLE = AV * EF
      • Calcular el ALE de un activo ALE (Expectativa de Pérdida Anual) = SLE (Expectativa de Pérdida Única) x Tasa Anual de Ocurrencia (ARO) Corto: ALE=SLE ARO o ALE=AV EF*ARO
    • Calcular el costo/beneficio de la salvaguarda = ALE antes de la salvaguarda - ALE después de la salvaguarda - costo anual de la salvaguarda ACS = valor real de la salvaguarda para la empresa Corto: (ALE1 - ALE2) - ACS
  • analisis cualitativo
    • Definición: El modelo más utilizado en la actualidad, con fuerte subjetividad. A menudo es necesario confiar en la experiencia y la intuición del analista, o en la práctica y los estándares de la industria, para calificar cualitativamente el tamaño o el nivel de los elementos de gestión de riesgos, como "alto, medio, bajo".
    • método de análisis cualitativo
      • enfoque de consenso/delphi
      • Lista de Verificación
      • cuestionario
      • entrevista personal
  • Comparación de métodos de análisis cualitativo y cuantitativo
    • Los métodos cualitativos y los resultados son relativamente subjetivos.
    • Los métodos cualitativos no logran establecer el valor monetario para el análisis de costo/beneficio
    • Los métodos cuantitativos son computacionalmente intensivos y difíciles de implementar.

Proceso de evaluación/análisis de riesgos

  • 1. Identificar los activos de información
    • 1. Identificar el propietario, custodio y usuario de cada activo 2. Establecer una lista de activos e identificar los activos de información de acuerdo con los procesos de negocio 3. Activos físicos, lógicos e intangibles
  • 2. Evaluar los activos de información
    • 1. Considerar los factores de evaluación 2. Clasificar los activos según su importancia (impacto o consecuencia), y considerar las posibles consecuencias causadas por el daño a la confidencialidad, integridad y usabilidad 3. Métodos de evaluación de activos intangibles
  • 3. Identificar y evaluar las amenazas
    • 1. Un activo puede enfrentar múltiples amenazas, y una amenaza también puede afectar múltiples activos 2. Identificar las fuentes de amenazas: amenazas humanas, amenazas del sistema, amenazas ambientales y amenazas naturales 3. Las fuentes de amenazas deben ser consideradas al evaluar la posibilidad de amenazas Factores de motivación y capacidad
  • 4. Identificar y evaluar las debilidades
    • 1. Encuentre las debilidades que pueden explotarse para cada activo. Debilidades técnicas, debilidades del sistema operativo y debilidades de gestión 2. Métodos de identificación de debilidades Informes de auditoría, informes de eventos, informes de inspección de seguridad, informes de prueba y evaluación del sistema Información de vulnerabilidad publicada por organizaciones profesionales es una prueba de penetración de escáner de vulnerabilidad automatizada
  • 5. Activos, amenazas y debilidades
  • 6. Evaluación de riesgos
    • Indicadores clave 1. Impacto del riesgo 2. Probabilidad del riesgo
  • 7. Consideración de las medidas de control existentes
    • Tres categorías de pertinencia y métodos de implementación 1. Gestión: 2. Operativa 3. Técnica
    • En términos de función, los tipos de medidas de control incluyen: 1. Disuasivo 2. Preventivo 3. Detectivo 4. Correctivo 5. Restaurativo 6. Compensatorio
  • 8. Estrategia de gestión de riesgos
    • Confirmar la estrategia de tratamiento del riesgo: 1. Reducir el riesgo 2. Evitar el riesgo 3. Transferir el riesgo 4. Aceptar el riesgo
    • Medidas de control de riesgos Selección de contramedidas 1. Análisis de costo/beneficio: Principio básico: el costo de implementar medidas de seguridad no debe ser mayor que el valor de los activos a proteger. Costos de contramedidas: costos de compra, mano de obra adicional y recursos materiales, costos de capacitación, costos de mantenimiento, etc. Impacto en la eficiencia empresarial. Valor de control = ALE antes de la implementación del control - costo anual del control - ALE después de la implementación del control 2. Restricciones: restricciones de tiempo, restricciones técnicas, restricciones ambientales\restricciones legales, restricciones sociales 3. Funciones básicas y eficacia de las medidas de protección
  • 9. Evaluar el riesgo residual
    • Riesgo residual o residual después de implementar el control de seguridad Riesgo residual Rr = riesgo original R0 - eficacia del control R Riesgo residual <= riesgo aceptable Rt

7. Cumplimiento de leyes y reglamentos y ética profesional

relacionados con delitos informáticos

  • crimen asistido por computadora
    • Las computadoras no son un factor necesario en el crimen, pero se usan como una herramienta para asistir a los criminales.
  • delitos dirigidos a computadoras
    • Delitos contra los ordenadores, las redes y la información almacenada en estos sistemas
  • delitos informáticos
    • La computadora no es necesariamente el atacante o la víctima, simplemente está involucrada en el ataque cuando ocurre.
  • Para entender el "por qué" en el crimen, muchas veces es necesario entender a MAMÁ
    • significa manera
    • Oportunidades
      • B. Oportunidades
    • Motivación

Clasificación de la ley

  • derecho penal
  • ley civil
  • ley administrativa

Características de los delitos informáticos.

  • Es difícil investigar y recopilar pruebas, lo que requiere tecnología profesional y las pruebas se destruyen fácilmente. En comparación con otras pruebas, es más difícil que el tribunal las reconozca.
  • Las leyes pertinentes son imperfectas, y las leyes no pueden mantenerse al día con el desarrollo y el progreso tecnológico, lo que dificulta que los delincuentes sean castigados por la ley.
  • Rasgos a través de los territorios
  • Estadísticamente, los iniciados tienen más probabilidades de cometer delitos
  • Las víctimas a veces no denuncian por temor a que el funcionamiento normal de la organización se vea afectado y se dañe la confianza de los usuarios en la organización.

propiedad intelectual

  • Secreto comercial
    • 1. No muy conocido, desarrollado por la empresa con recursos y esfuerzos relevantes 2. Recibió la protección adecuada de la empresa para evitar fugas o uso no autorizado 3. Competitividad o comerciabilidad con la empresa es fundamental
    • Ejemplos: fórmula del producto, código fuente del programa, algoritmo de cifrado
  • Autoría / Copyright
    • 1. El derecho a la publicación pública, reproducción, exhibición y modificación de la mayoría de las obras está legalmente protegido 2. No protege la creatividad de la obra, pero protege la expresión de la creatividad
    • Ejemplos: código de programa, código fuente y archivos ejecutables, incluso interfaces de usuario, literatura, pinturas, melodías de canciones
  • marca comercial
    • 1. Protege las palabras, nombres, símbolos, formas, sonidos y colores que representan la imagen de la empresa 2. Las marcas generalmente se registran en la agencia de registro de marcas 3. Las marcas son signos de calidad y reputación establecidos por las empresas en el curso de operaciones de mercado
  • patentar
    • 1. Reconocimiento legal de la propiedad de la patente del registrante de la patente o de la empresa, prohibiendo el uso no autorizado por parte de terceros o empresas 2. La patente es válida por 20 años
    • Ejemplos: fórmulas de medicamentos, algoritmos de cifrado, etc.

piratería de software

  • 1. Software libre 2. Shareware 3. Software comercial 4. Software académico
  • Organizaciones internacionales contra la piratería: Software Protection Association SPA, Anti-Software Theft Alliance Leyes pertinentes: Array Millennium Copyright Act DMCA

leyes y regulaciones

Centrarse en el RGPD

  • 1. Ley Sarbanes-Oxley, SOX 2, Ley de Responsabilidad y Conveniencia del Seguro Médico, HIPPA 3, Ley Federal de Privacidad 4, Basilea II 5, Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago PCL DSS 6, Ley Federal de Seguridad de la Información 7, Ley de Espionaje Económico 8, Reglamento general de protección de datos de la UE RGPD
  • RGPD Reglamento General de Protección de Datos
    • información personal
      • cualquier dato relacionado con una persona física identificada o identificable ('sujeto de datos')
    • Categorías especiales de datos personales (datos sensibles)
    • Principios del procesamiento de datos personales
      • legal, justo y transparente
        • Los datos personales deben ser tratados de manera lícita, leal y transparente en lo que respecta al interesado.
      • Minimizar datos
        • El alcance de los datos personales recopilados por los controladores y procesadores debe limitarse al alcance necesario para lograr el propósito, y las actividades de procesamiento de datos personales deben garantizar el nivel mínimo necesario para lograr el propósito.
          • no cobrar en exceso
      • limitación de propósito
        • Los controladores y procesadores deben recopilar datos personales para fines claros, claros y lícitos, y el procesamiento de datos personales no debe exceder los fines establecidos en el momento de la recopilación.
          • No se puede utilizar como secundario.
      • exactitud
      • límite de almacenamiento
      • Integridad y Confidencialidad
    • sujeto de datos
      • Una persona física identificable; una persona física que puede ser identificada directa o indirectamente.
      • Derechos de los sujetos de datos
        • disponible
        • puede oponerse
        • revocable
        • Restringible
        • se puede corregir
        • Portátil
        • borrable (poder de ser olvidado)
    • controlador de datos
      • Determinación de la finalidad y los medios del tratamiento de datos personales
    • procesador de datos
      • Procesamiento de datos de acuerdo con los requisitos del controlador de datos
    • desidentificación
      • seudonimización
        • La seudonimización de datos es el procesamiento de datos personales de tal manera que los datos personales no se pueden atribuir a un sujeto de datos específico sin el uso de información adicional. Este proceso es reversible (siempre que exista una clave correspondiente) y sigue siendo considerado un dato personal.
      • hashing, encriptación
    • anonimización
      • Los datos ya no se pueden asociar con personas
      • Los datos anonimizados ya no son datos personales
    • Notificación de violación de datos personales
      • Notificación al regulador "dentro de las 72 horas"
        • Informar a la autoridad de control si existe riesgo para los derechos y libertades de las personas físicas
        • Los interesados ​​también deben ser notificados si existe un alto riesgo para los derechos y libertades de las personas físicas.
    • Privacidad por diseño (PbD)
      • “La privacidad por diseño plantea el punto de que el futuro de la privacidad no puede garantizarse mediante el cumplimiento de los marcos regulatorios, sino que, idealmente, la garantía de la privacidad debe convertirse en el modo de operación predeterminado para las organizaciones.
        • 1. Sea proactivo en lugar de reactivo, preventivo en lugar de correctivo
          1. Privacidad por defecto
          1. Privacidad integrada por diseño
          1. Funcionalidad completa: suma positiva, no suma cero
          1. Seguridad de extremo a extremo: protección completa del ciclo de vida
          1. Visibilidad y transparencia: permanezca abierto
          1. Respetar la privacidad del usuario: centrado en el usuario
    • Flujo de datos transfronterizo (nuevos puntos de conocimiento en el esquema)
      • Países adecuadamente reconocidos
      • BCR (regla de cooperación vinculante)
        • Transferencia transnacional de datos dentro de una empresa del grupo
      • Transferencias de datos entre la Unión Europea y Estados Unidos
        • Acuerdo de puerto seguro (abandonado en 2015)
        • Acuerdo de protección de la privacidad (obsoleto en 2020)

tratamiento de privacidad

  • Objetivos: 1. Buscar activamente proteger la información de identificación personal (PII) de los ciudadanos 2. Buscar activamente un equilibrio entre las necesidades del gobierno y las empresas y las preocupaciones de seguridad para considerar la recopilación y el uso de PII
  • información de identificación personal
    • Número de DNI, dirección IP, número de placa, número de licencia de conducir, rostro, huella dactilar o manuscrita, número de tarjeta de crédito, identidad digital, fecha de nacimiento, lugar de nacimiento, información genética, etc.
  • Principios de uso de la información personal
    • Obligaciones del responsable del tratamiento de datos personales 1. La recogida de datos personales requiere el consentimiento del interesado y la finalidad de la notificación 2. Recoger únicamente datos relacionados con la finalidad, y utilizarlos y conservarlos únicamente durante el plazo necesario para la finalidad. 3. El método de recopilación de datos y el propósito de los datos Cumplir con la ley 4. Tomar medidas razonables, técnicas, administrativas y operativas para evitar la infracción maliciosa de la información personal, garantizar la integridad y confidencialidad de los datos, y borrar los datos obsoletos para evitar el acceso por personas que no tienen ningún uso para el trabajo relacionado
    • Obligaciones de los interesados ​​de revisar la información recopilada y corregir la información incorrecta

Código de Ética ISC2 (Folleto P71)

Sociedad para la Ética Informática (Folleto P72)

Comité de Arquitectura de Internet (Folleto P73)

8. Requisitos de BCP y DRP

desastre

  • definicion de desastre
    • Evento repentino, desafortunado e inesperado que resulta en una pérdida sustancial.
  • desastre organizacional
    • Para una institución, cualquier evento que resulte en la incapacidad de una función comercial crítica durante un cierto período de tiempo se considera un desastre.
    • Características del desastre: 1. Interrupción no planificada del servicio 2. Interrupción prolongada del servicio 3. La interrupción no se puede resolver a través de los procedimientos normales de gestión de problemas 4. La interrupción provoca grandes pérdidas
    • Si un evento de interrupción se considera una catástrofe depende de: 1. La criticidad de las funciones comerciales afectadas por la interrupción 2. La duración de la interrupción

Plan de Recuperación de Desastres (DRP)

  • El objetivo principal del plan de recuperación ante desastres: 1. Cuando ocurre un desastre, manejar adecuadamente el desastre y sus consecuencias catastróficas, y prestar más atención al nivel de tecnología de la información de TI.
  • 2. La ejecución del plan de recuperación ante desastres es cuando todo está en estado de emergencia y todos están ocupados restaurando el sistema crítico 2

Plan de Continuidad de Negocios BCP

  • El objetivo principal del plan de continuidad del negocio: 1. Centrarse en la disponibilidad de los sistemas de información 2. BCP adopta un enfoque más amplio para hacer frente a los problemas, incluida la migración de los sistemas clave a otros entornos seguros cuando se repara la instalación original Durante este período, las personas adecuadas ingresan en los puestos correctos para mantener el negocio en funcionamiento hasta que vuelva a la normalidad.
  • Estándares y mejores prácticas de BCP
    • 1. "Especificación de recuperación ante desastres del sistema de información de tecnología de seguridad de la información" GB/T20988-2007 2. "Guía de continuidad del sistema de TI de tecnología de la información" NISTSP800-34 3. Estándar de gestión de continuidad comercial de la institución británica de estándares (BIS) BS 25999 4. Estándar internacional de continuidad comercial ISO 22301 para sistemas de gestión de sexo (reemplaza a BS25999)
    • NIST SP800-34 Mejores prácticas para las pautas de continuidad del sistema de TI
      • 1. Desarrollar una declaración de estrategia de planificación de continuidad 2. Realizar un análisis de impacto comercial BIA 3. Determinar controles preventivos 4. Desarrollar una estrategia de recuperación 5. Desarrollar planes de contingencia 6. Probar el plan y realizar capacitaciones y simulacros 7. Mantener el plan
  • Actividades preparatorias antes del lanzamiento de BCP
    • 1. Determinar las necesidades de BCP, que pueden incluir un análisis de riesgo específico para identificar posibles interrupciones en los sistemas críticos 2. Comprender los requisitos de las leyes, los reglamentos y las normas de la industria pertinentes y la planificación comercial y técnica de la organización para garantizar que el BCP sea coherente con él 3 Designar al líder del proyecto BCP, establecer un equipo BCP, incluidos los representantes de los departamentos comerciales y técnicos 4. Desarrollar un plan de gestión del proyecto, que debe aclarar el alcance, los objetivos, los métodos, las responsabilidades, las tareas y el progreso del proyecto 5. Los líderes sénior deben tener un reunión de cobertura formal Reunión de lanzamiento del proyecto para demostrar el apoyo de alto nivel 6. Las actividades de concientización pueden educar a los empleados sobre BCP Generar apoyo desde dentro 7. Implementar la capacitación de habilidades de BCP necesaria para respaldar el éxito de BCP 7. Identificar las herramientas de automatización necesarias para recopilar datos y comenzar Recopilar datos en toda la organización para ayudar en varios planes de continuidad
  • Responsabilidades del líder del proyecto BCP
    • 1. El coordinador de continuidad del negocio, como la persona a cargo del proyecto BCP, es totalmente responsable de la planificación, preparación, capacitación y otros trabajos del proyecto 2. Comunicación y enlace entre el equipo de desarrollo planificado y el equipo de gestión 4 Comprender completamente el impacto de la interrupción del negocio en el negocio de la organización 5. Familiarizarse con las necesidades y operaciones de la organización, y tener la capacidad de equilibrar las diferentes necesidades de los departamentos relevantes de la organización 6. Acceso relativamente fácil a la alta dirección 7. Comprender las necesidades de la organización dirección comercial y alta dirección 8. Capacidad para influir en las decisiones de la alta dirección
  • Funciones clave en el proyecto BCP
    • 1. Departamento comercial: identifica las funciones comerciales clave de la organización, ayuda en la selección y formulación de estrategias de recuperación 2. Departamento de TI: brinda orientación y asesoramiento profesional 3. Departamento de seguridad de la información 4. Departamento legal 5. Departamento de comunicación
  • Análisis de impacto empresarial BIA
    • Descripción general de BIA: identifique áreas que probablemente experimenten pérdidas significativas o interrupción de las operaciones en un desastre, identifique los sistemas críticos utilizados para el inventario de una organización después de un desastre y cuánto tiempo la organización puede tolerar la interrupción.
    • método de análisis BIA
      • Análisis cualitativo del impacto de un desastre o evento disruptivo en términos de severidad
      • Análisis cuantitativo del impacto de un evento de desastre o interrupción en términos monetarios
    • Propósito de los BIA
      • 1. Ayudar a los administradores a comprender los impactos potenciales de las interrupciones 2. Identificar las funciones comerciales clave y los recursos de TI que las respaldan 3. Ayudar a los administradores a identificar las deficiencias en el soporte funcional institucional 4. Programar la recuperación de los recursos de TI: analizar el impacto de las interrupciones, determinar las ventanas de recuperación para cada función comercial
    • El proceso BIA
      • 1. Identificar técnicas de recopilación de información 2. Seleccionar encuestados para realizar entrevistas para recopilar datos 3. Identificar funciones comerciales clave de la empresa y sus recursos de apoyo 4. Determinar el tiempo máximo permitido hasta la interrupción (MTD) 5. Identificar debilidades y amenazas 6. Calcular el riesgo análisis 7, documentar estos hallazgos e informar el BIA a la gerencia
    • Diseño del Cuestionario BIA
    • Análisis de información de BIA
    • Aumentar el tiempo de interrupción permitido MTD
      • Si el tiempo de interrupción excede el tiempo de interrupción máximo permitido, será difícil recuperar el negocio.Cuanto más crítica sea la función o el recurso, más corto debe ser el MTD. Crítico: Dentro de 1 hora Urgente: 24 horas Importante: 72 horas General: 7 días No esencial: 30 días
      • Secuenciar la recuperación de funciones comerciales críticas y sus recursos de apoyo de acuerdo con MTD
  • Selección de estrategia BCP
    • Métricas y especificaciones para la recuperación ante desastres
      • Tiempo de recuperación del trabajo WRT El tiempo de recuperación del trabajo es relativamente fijo
      • Objetivo de tiempo de recuperación RTO: RTO<MTD es el tiempo máximo que puede transcurrir antes de que la indisponibilidad del sistema afecte seriamente a la organización
      • Punto de recuperación Objetivo RPO El punto en el que se deben recuperar los datos para continuar con el procesamiento, que es la cantidad máxima de pérdida de datos permitida
      • RTO+WRT<=MTD

Supongo que te gusta

Origin blog.csdn.net/qq_18209847/article/details/126821189
Recomendado
Clasificación
Diario
Más
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)

Code World

© 2018 codetd.com