CISSP 学习笔记 第四章 框架
CISSP 学习笔记 第四章 框架
第四章 框架
框架可以视为构建风险管理计划、安全控制措施(Security Control)以及其他安全计划的坚实基础。4.1框架总览
所谓框架(Framework),是指体系、概念或文本的基础结构。因此,信息技术和网络安全框架的目的是为安全专家管理风险、制定企业架构和保护组织内所有资产提供一套结构化的方法论。框架是关于安全专家应如何处理安全管理相关问题的各种共识和最佳实践。4.2 风险框架
风险管理框架(Risk Management Framework,RMF)可以被定义为允许组织识别和评估风险,将风险降低到(并保持在)可接受水平的结构化流程。从本质上讲,RMF是一种结构化的风险管理方法。4.2.1 NIST 风险管理框架
NIST RMF描述了风险管理流程的七个步骤,由于组织的信息系统不断演变,风险管理的循环过程也将永无止境。安全专家需要分析系统的每个更改以确定是否应触发新的风险管理循环。NIST 风险管理框架的第一步是确保战略和运营层面的顶级管理层和高级领导们在整个组织中保持同步,包括就角色、优先级、约束条件和风险容忍度(RiskTolerance)等方面达成一致。NIST 风险管理框架的第二步是基于由组织内的信息系统所处理、存储或传输信息的关键和敏感程度,对组织的信息系统分类。描述此客户关系管理系统CRM安全类别(SecurityCategory,SC)的格式如下:SC(crm)={(机密性,高), (完整性,低), (可用性,低)}基于最高安全目标类别确定系统的全局类别,所以称这种分类方法为“高水位标记法(HighWater Mark)”。NIST RMF定义了三种安全控制措施类型:通用控制措施、系统特定控制措施和混合控制措施。系统特定控制措施(System-Specific Controls)在特定系统边界内实施,而且显然只保护该特定系统。实施安全控制措施这一步骤有两个关键任务:实施(Implementation)和文档记录(Documentation)。首先,文档让组织了解当前安全控制措施的内容、位置和原因。文档记录工作之所以重要的第二个原因在于文档记录可将安全控制措施完全集成到全局评估和持续监测计划中。组织实施的安全控制措施只在可评估时才对全局风险管理工作有用。注意:对安全控制措施的评估也称为审计。在风险管理框架的授权阶段,信息系统的风险和控制评估结果将呈送给适当的决策方,以获得将该系统连接到组织全局架构中运行的批准。4.2.2 ISO/IEC 27005 信息安全风险管理指南
风险处理(Risk Treatment)类似于NIST RMF中选择和实施控制措施步骤,但范围更广。ISO/IEC 27005 并不专注于降低风险的控制措施,而是描述了处理风险的以下四种对策。- 缓解(Mitigate):通过实施控制措施将风险降至可接受的水平以缓解风险。
- 接受(Accept):如果风险发生后产生的影响小于实施安全控制的成本,则选择接受风险并寄希望于该风险不会发生。
- 转移(Transfer):将风险转移给其他实体(包括保险公司或业务合作伙伴等)。
- 规避(Avoid):通过放弃实施造成风险的信息系统以规避风险,或通过改变业务实践以消除风险的存在或降低到可接受的水平。
注意:NIST RMF也在其风险管理框架流程内的授权步骤中简要介绍了上述处理对策。ISO/IEC 27005中的风险接受(Risk Acceptance)与NIST RMF中的授权(Authorize)步骤非常相似,两者的风险监测(Risk Monitoring)步骤也很类似。另一方面,这两套风险管理框架之间的一项显著差异是ISO/IEC 27005明确将风险沟通(Risk Communication)确定为重要过程。当然,尽管顶层设计有相似之处,但NIST RMF和ISO/IEC 27005这两套基于风险的框架在实施方式上并不一致。应将ISO/IEC 27005风险管理与ISO/IEC27001安全计划结合起来以获得最佳效果。4.2.3 OCTAVE
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation,运营关键威胁、资产和漏洞评价)并不是一套真正的框架,而是由Caregie Mellon University创建的一种风险评估方法。OCTAVE由组织内的IT部门代表和业务部门代表组成的小型团队实施分析,是自我指导的团队方法。OCTAVE在风险分析中聚焦于最关键资产,对关注领域的优先级予以排序,并遵循二八定律(80/20Pareto Principle)将80%的结果归结于20%的原因。专注于速度是OCTAVE的主要优势之一,毕竟对大多数企业而言时间就是金钱。OCTAVE风险评估方法分为三个阶段。第一阶段是组织化视图,分析团队基于对业务至关重要的资产定义威胁概况(Threat Profile)。然后第二阶段查看组织的技术基础架构,识别可能遭这些威胁利用的漏洞。最后,在第三阶段,团队分析每个风险并将这些风险划分为高、中或低三类后,为每个风险制定缓解策略。这种分类模式掩盖了OCTAVE本质上是一种定性风险评估方法的事实,至于这是优点还是缺点,就见仁见智了。4.2.4 信息风险要素分析
FAIR是用于理解、分析和衡量信息风险的专有框架。事实上,如果想寻求一种定量的风险管理方法,FAIR几乎是唯一可用的国际标准框架。使用FAIR有一个主要前提条件:相比于威胁发生的可能性,安全专家更应关注威胁发生的量化概率。在FAIR框架中,将风险定义为“未来损失的可能频率和度量”,可将损失量化为生产效率降低、更换或响应成本、罚款或失去竞争优势等。4.3 信息安全框架
信息安全框架可分为两大类:从全局审视整个安全计划的框架和专注于安全控制措施的框架。框架的美妙之处就在于安全专家可挑选出对各自组织最有意义的部分,然后基于特定的组织需求定制。4.3.1 安全计划框架
安全计划(Security Program)是由众多组件构成的框架(Framework),包括逻辑性(技术性)、行政性和物理性保护机制,也包括工作程序、业务流程及人员;所有组件共同发挥作用,为业务环境提供特定安全水平的保护。每个组件在框架中都占据一席之地,某个组件的缺失或不完整将影响整个框架。安全计划是一项层次化工作:每一层为上层提供支持,同时为下层提供保护。安全计划仅是一套框架,因此,组织在运用该框架时,可自由灵活地组合不同类型的技术、方法和工作程序,实现必要的保护水平。国际标准化组织(International Organization for Standardization,ISO)和国际电工委员会(International Electrotechnical Commission,IEC)的 ISO/IEC27000系列是世界上通盘考虑安全控制措施管理的行业最佳实践,构成这一系列标准的清单每年都在变长。ISO 27001是这些标准中最重要的。不仅需要实施,还需要审核、认证。- 实施层级(Implementation Tiers)
框架核心将网络安全活动归纳为安全专家们应熟悉的五个高度概括的职能。安全专家的所有工作都可归纳到下列职能之一:- 识别(Identity)了解组织的业务环境、资源和风险。
- 保护(Protect)制定适当的控制措施,以合理的方式降低风险。
- 检测(Detect)及时发现对组织信息安全产生威胁的事情。
- 响应(Respond)快速遏制对组织信息安全产生威胁的影响。
- 恢复(Recover)在事故发生后恢复到能帮助业务活动运行的安全状态(SecureState)。
4.3.2 安全控制措施框架
如何实施控制目标,以达成安全计划和企业安全架构所列出的目标。这就是安全控制措施框架(Security Control Framework)的用武之地了。本节介绍三个常见框架:NIST SP800-53、CIS控制措施(CIS Controls)和COBIT(信息系统和技术控制目标)。NIST SP 800-53,即《信息系统和组织的安全和隐私控制措施(Security and Privacy Controlsfor Information Systems and Organizations)》,描述了美国联邦机构为符合美国联邦信息处理标准(Federal Information Processing Standards,FIPS)需要实施的控制措施。其规定了实施安全控制措施的四个步骤:(1) 选择适当的安全控制措施基线(Baseline)。CIS知道并非每个组织都拥有实施所有控制措施所需的资源,也不是每个组织都面临所有的风险。因此,将CIS控制措施分为以下三个类别。- 基本类(Basic):每个组织都应实施基本类的关键控制措施,实现最低限度的必要安全。
- 基础类(Foundational):基础类控制措施体现了提升组织安全水平的技术最佳实践。
- 组织类(Organizational):组织类控制措施侧重于维护和改进网络安全的人员和流程。
实施组(Implementation Group,IG)是帮助组织将各控制措施的实施程度与资源水平匹配的工具。CIS控制措施框架7.1版描述了以下三个IG。IG1的组织试图保护的数据的敏感程度很低,主要围绕员工和财务信息。IG2的组织经常存储和处理敏感的客户或公司信息,并可能有监管和合规方面的担忧。发生违规行为所导致的公众信心丧失是这类组织的主要的关注点之一。IG3组织的系统和数据包含受监管的敏感信息或功能。对此类组织的成功攻击可能对公共福祉造成重大损害。COBIT 2019,即信息系统和技术控制目标(Control Objectives for Information and relatedTechnology,COBIT)2019版,该框架通过平衡资源利用率、风险水平和收益实现以帮助组织优化IT价值,是一种基于治理体系六项关键原则的全局方法:COBIT 框架中的每项内容都通过一系列“自上而下”的目标转换,最终与各利益相关方关联。概念很简单:在IT治理或管理过程的所有节点上,组织都应自问“为什么要这样做?”而答案则应是某项与企业目标相关联的IT目标,这个企业目标也相应联系着利益相关方的某项具体需求。COBIT 框架包括企业治理和管理。两者的差异在于:治理是一套更高层面的流程,旨在平衡利益相关方的价值主张;而管理则是实现企业目标的一系列活动。简而言之,可认为治理是XO级别的领导层所做的事,而管理则是组织内其他领导层所做的事。在行业中,目前使用的大部分安全合规性审计实践都基于COBIT。4.4 企业架构框架
架构是一种概念性结构,是一种帮助组织以“化整为零”的方式理解像企业那种复杂事物的工具。企业架构(Enterprise Architecture)中包含组织的基本组件及一体化组件。企业架构表达了企业结构(形式)和行为(功能),包含各项企业组件、彼此间的关系以及与环境的关系。在制定架构时,首先要识别关注和使用这个架构的利益相关方(Stakcholder)。然后需要确认各利益相关方所关注的视图(View),视图能以最有效的方式解释不同利益相关方最关注的信息。管理层人员需要从业务运营角度理解公司,制定业务流程的人员要理解需要收集什么类型的信息用于支撑业务活动,应用程序研发人员需要理解维护和处理信息的系统需求,数据建模人员需要理解如何构建数据元素,技术团队人员则需要理解支撑各层面的网络组件。企业架构(Enterprise Architecture,EA)不仅提供用于理解公司的各种视图,还说明当公司的某个层面发生变化时将如何影响其他层面。4.4.1 为何需要企业架构框架?
企业架构框架(Enterprise Architecture Framework,EAF)提供了类似的功能:从不同视角关注同一事物。4.4.2 Zachman框架
Zachman框架(Zachman Framework)是最早出现的企业架构框架,该框架是由六个基本的疑问词(什么问题、如何解决、何地、谁、何时及为何;What、How、Where、Who、When及Why)与不同角色(高级管理人员、业务经理、系统架构师、工程师、技术人员和企业员工)的角度相交所组成的二维模型,提供对企业的全局理解。4.4.3 TOGAF
TOGAF (The Open Group Architecture Framework,The Open Group架构框架)是最初由美国国防部制定的企业架构框架,提供了设计、实施和治理企业信息架构的方法。TOGAF 架构框架用于研发以下架构类型:组织可通过TOGAF架构框架及其架构开发方法(Architecture Development Method,ADM)创建单个架构类型。ADM是一个迭代和循环过程,允许不断地反复审视需求,按需更新单个架构。这些不同的架构允许技术架构师通过四张不同的视图(业务、数据、应用程序和技术)全面理解企业,确保研发出环境及组件所需的技术,最终实现业务需求。4.4.4 面向军事的架构框架
美国国防部架构框架(Department of Defense Architecture Framework, DoDAF)的焦点集中在指令、控制、通信、计算机、情报、监视和侦察系统与过程。重要的是,保证不同设备之间使用同一协议类型的可互操作组件通信,而且使用一致的数据元素。DoDAF架构框架不仅支持军事任务,也适用于商业领域的扩张和革新。各种企业架构框架的主要差异在于各自能提供什么类型的信息以及如何提供信息。4.5 其他框架
确保部署适当的控制措施后,组织往往还希望以结构化和可控的方式,逐步构造和不断完善组织的业务运营、IT运维以及安全保护的有关流程。可将安全控制措施视作“工具”,而流程则是使用这些工具的方法。组织希望可正确、有效和高效地使用这些安全控制措施和流程。4.5.1 ITIL
信息技术基础架构库(Information Technology Infrastructure Library,ITIL)是由英国政府中央计算机与电信管理中心制定的。ITIL 使用的围绕利益相关方价值概念构建的四维模型融合了组织的方方面面。该模型中的四个维度分别是组织和人员(Organizations and People)、价值流和流程(ValueStreams and Processes)、信息和技术(Information and Technology)以及合作伙伴和供应商(Partners and Suppliers)。这些维度在大环境下受政治、经济、社会、技术、法律或环境等要素的影响。4.5.2 六西格玛
六西格玛(SixSigma)是一种过程改进方法论,目标是通过使用统计学测量运营效率,减少变异、缺陷和浪费,改善过程质量。4.5.3 能力成熟度模型
“更好”是一个模糊和不可计量的概念。可真正得到提高的唯一方法是:知道从什么程度开始,需要达到什么程度,以及需要在这两者之间采取的步骤。CMM模型里的每个成熟度等级代表一个改进阶段。有些安全计划是混乱的、临时的、不可预测的,而且通常是不安全的。有些安全计划创建了文档,但在实际流程中并没有生效。而另一些安全计划却非常先进、精简和高效。安全计划应采用自上而下的方法(Top-downApproach),这意味着启动、支持和指导都来自于最高管理层(TopManagement);中级管理层(MiddleManagement)传达最高层意图,最后下达到一线工作人员。CMM的关键是制定出可遵循的结构化步骤,依据这些步骤,组织就可从一个层次提升到下一层次,并不断改进流程和安全态势(Security Posture)。4.6 各类框架的集成
- 业务持续规划(Business Continuity Planning,BCP)
- 每个蓝图的实施解决方案(行政性、技术性和物理性控制措施)
- 为每个蓝图建立目标、服务水平协议(SLA)和度量指标
- 审查日志、审计结果、收集的度量值和每个蓝图的SLA
4.7 本章回顾
考生不必知道每个框架的各个细节也能通过考试,但知道每个框架的至少一两个关键点以区分各种框架还是十分必要的。本章的第二个目的是为安全专家们的职业生涯提供一份参考。本章将讨论的重点集中在最可能出现于安全专家日常工作中的各种框架上,以便安全专家从容应对关于其中某一套框架的咨询。4.8 快速回顾
4.9 问题(这一章纯死记硬背)
C √(看了上文参考“行业最佳:ISO/IEC 27000系列”)D √(参考上文:安全计划框架包括ISO/IEC 27000以及NIST,安全控制措施框架包括NIST SP 800-53、CIS以及COBIT)D √(再次提到:安全控制措施框架包括NIST SP 800-53,其中列出1000多项安全控制措施。27005和SP 800-37是风险管理,27001侧重信息安全管理体系ISMS)C ×(OCTAVE只关注风险评估->是对的,但它不是定量方法,唯一的定量方法是FAIR)A.确保所有系统、流程和人员可互操作,以协同努力完成组织任务->DoDAFB.使用迭代和循环架构开发方法(Architecture Development Method,ADM)->TOGAFC.关注 IT 部门与其服务的“客户”之间的内部服务水平协议->ITILD.允许组织内的不同类型的人员从不同的视角理解组织->Zachman7.以下哪项描述了Internet安全中心(Center for Internet Security,CIS)控制措施框架?A.由1000多个项控制措施组成,分为20个系列,映射到信息系统的安全类别->NIST SP 800-53B.通过明确地将利益相关方需求、组织目标以及IT目标依次联系起来,平衡资源利用率、风险水平和收益实现->COBIT 2019C.为确定组织过程的成熟度而制定->能力成熟度模型D.由20项控制措施组成并分为三组以帮助组织逐步改善其安全态势->CISB √(NIST步骤.. 好像没提到设置场景。场景设置存在于27005中)A ×(风险管理框架一共四个,NSIT有七个步骤,27005有四种对策,OCTAVE是聚焦分析,FAIR是国际标准,量化概率,需要大量知识和资源因此不适用入门)B ×(..11题题干说选NIST RMF,所以12题NIST SP 800-53是最佳答案..)有需要文中涉及到的文件的小伙伴直接后台留言,有就发哈~ 下次见~
本文来自网友投稿或网络内容,如有侵犯您的权益请联系我们删除,联系邮箱:wyl860211@qq.com 。
