一、安全管理功能
从广义上讲,安全管理功能需要在高级负责人的指导下建立、实施和监控信息安全程序(Information Security Program)。安全管理涉及多个层次,不同级别的管理利用各类专家的专业知识、权威和资源为整体安全计划做出贡献。
首席信息安全官(CISO):全面负责企业的信息安全程序,是执行管理层与信息安全程序之间的联络员。CISO还应与主要业务利益相关者进行密切的沟通和协调,以满足信息保护的需求。
信息安全经理(ISM):ISM负责管理信息安全工作。
CISO负责监督具有运营职责的ISM。
安全计划是由CISO进行负责的,其关键领域包括:
安全规划:安全规划包括战略安全规划。安全规划应该包括更详细的组织规划、协调和安全的实施,应该向组织内的主要参与者咨询,并将其意见纳入正在进行的规划过程。
资本规划:资本规划旨在促进和控制组织资金的支出。部分规划过程和CISO的部分职责是在分配可用资金时优先考虑的潜在的IT安全投资。
意识和培训:意识和培训计划确保组织各级人员了解其信息安全责任,以正确地使用和保护委托他们地信息资源。
信息安全治理:CISO应向C级管理人员和董事会提供有关安全治理发展的建议。
系统开发生命周期:这是开发、实施和淘汰信息系统的整个过程。
安全产品和服务采购:对与安全相关的产品和服务的采购进行管理监督。
风险管理:一个规范的、结构化的和灵活的组织资产评估过程,安全和隐私控制的选择、实施和评估,系统和控制授权,以及对系统进行持续的监控。
配置管理:CISO应采用配置管理,以确保充分考虑到信息系统或其周围环境的特定变化而可能产生的安全影响。
事件响应:检测到安全事件之后发生的事件响应,旨在最小化事件的损害并促进快速恢复。CISO应确保建立适当的事故响应系统并正常运行。
应急计划:系统系统应急计划涉及管理策略和程序。在发生紧急情况、系统故障或灾难时,管理策略和程序可能在备用位置维护或恢复业务操作。
绩效横向指标:CISO应确保定义和使用整个组织范围的绩效衡量指标。绩效衡量指标是有效信息安全程序的关键反馈机制。
4.1 安全规划
NIST SP 800-18《联邦信息系统开发安全计划指南》指出系统的安全计划的目的是提供信息安全需求的概述,并描述为满足这些需求而实施或计划的控制。系统安全计划还描述了访问系统的所有人员的责任和预期行为。系统安全计划基本上结构化过程的文档,为系统规划充分的、划算的安全保护。
系统安全计划:指一分正式的文档,文档概述了信息系统的安全需求,并描述了为满足这些安全需求而实施或规划的安全控制。
NIST SP 80019建议组织中的每个信息系统都要有一个单独的计划文档,其中包括以下元素:
信息系统名称/标识符:分配给每个系统唯一的名称或标识符。唯一标识符的分配应支持组织轻松地收集特定系统的信息和安全指标。标识符在系统的整个生命周期内应保持不变,并保留在与系统使用相关的审计日志中。
信息系统所有者:负责管理该资产的人员。
授权个人:有权正式承担对代理业务、代理资产或个人在可接受的风险水平上操作信息系统的高级管理人员或行政人员。
安全责任的分配:负责信息系统安全的人员。
安全分类:使用对机密性、完整性和可用性(必要时是对系统的每个不同元素)的可接受风险级别(低、中、高)进行分类。
信息系统运行状态:正在开发或发生重大改变的状态,如运营。
信息系统类型:类型,例如主要应用程序或支持系统。
描述/目的:简要说明系统的功能和目的。
系统环境:技术系统的一般性描述,包括主要硬件、软件和通信设备。
系统互联/信息共享:与信息系统交互的其他系统/信息资产。
相关法律/法规/政策:任何法律、法规或政策。对系统的机密性、完整性或可用性以及系统保留、传递或处理的信息建立特定要求。
现有的安全控制:每个控制的描述。
计划的安全控制:每个控制的描述以及实施计划。
信息系统安全计划完成日期:目标日期。
信息系统安全计划批准日期:计划批准日期。
系统安全计划文档使CISO能够监督整个组织的所有安全项目。CISO还应协调制定和批准这些计划的流程。《联邦企业架构安全和隐私描述文件》中提供了一个对这种流程,该流程包括三个步骤,每个步骤都有目的、目标、实施和产出,以便正式纳入代理企业架构和资本规划流程:
识别:包含必要的研究和文档活动,支持任务目标的安全性和隐私要求,以便同企业体系结构合并。
分析:涉及组织安全性和隐私性要求的分析,以及支持安全性和隐私要求的现有或计划功能的分析。
选择:涉及前一阶段提出的解决方案的企业评估和主要投资的选择。
1.2 资本规划
从IT安全投资中确定组织的利益是IT安全规划的关键要素。SP 800-65 Rev. 1 《关于将信息安全纳入资本规划和投资控制流程的建议》中指出,将资本规划方法集成到安全规划过程中非常重要。该文件提供了一个”选择-控制-评估“框架。
选择-控制-评估框架定义了一个循环过程,该过程由决定执行哪些项目或进行哪些投资的三个步骤组成:
选择:在将大量资金投入任何项目之前,确定并分析每个项目的风险和回报。然后,组织选择最能支持其任务需求的IT项目。每次将资金分配给项目时,组织都会重复此过程。
控制:确保随着项目的发展和投资的继续支出,项目继续满足预期的任务需求成本和风险。如果项目不符合预期或出现了问题,必须迅速采取措施加以解决。如果任务需求发生了变化,组织需要调整项目目标并适当修改预期的项目成果。
评估:项目完成实施后,比较实际结果和预期结果。这样做的原因如下:
评估项目对任务绩效的影响。
确定对项目的任何必要的更改或修改。
根据经验教训修订投资管理流程。
将这一过程应用于组织中与安全相关的每项投资。实际产生的我或预期的成本通常分为以下三类:
1、为特定IT投资提供IT安全性的直接成本,
2、具有特定IT投资的附带的或完整的组件或可量化的收益的产品、程序和人员的成本。
3、为相关应用程序提供部分或全部必要安全控制的网络,需要为其分配安全控制成本。
请注意,投资选择不仅涉及硬件和软件,还涉及组织内的流程或程序。
二、安全政策
信息安全策略是规定组织管理、保护和分配信息的指导、规则和实践的集合。我们需要四类所需文档:
信息安全战略计划:与维护资产安全的长期目标相关;
安全计划:与安全控制相关并计划实现战略安全目标;
安全政策:与实施安全性的规则和实践相关;
可接受的使用政策:与允许用户使用资产的方式相关;
信息安全政策的目的是确保组织中的所有员工,尤其是那些负责一种或多种资产的员工,了解其使用的安全原则以及与安全相关的个人责任。信息安全政策是组织为整个组织的信息安全提供管理指导和支持的手段。安全政策文档定义了员工以及可能在组织中担任不同角色的其他人员的期望。
2.1 安全政策类别
组织可以采用的一些安全政策,包括以下内容:
访问控制政策:如果访问信息。
应急计划政策:24小时全天候提供数据的可用性。
数据分类政策:任何对数据进行分类。
更改控制政策:如何对目标或文件服务器进行更改。
无线政策:如果配置无线基础设施设备。
事件响应政策:如何报告和调查事件。
终止访问政策:如何在终止期间处理员工对组织资产的访问权限。
备份政策:如何备份数据。
病毒政策:如何处理病毒感染。
保留政策:如何存储数据。
物理访问政策:如何获取对物理区域的访问权限。
安全意识政策:如何提高安全意识。
审计跟踪政策:如何分析审计跟踪。
防火墙政策:如何命名、配置防火墙等。
网络安全政策:网络系统的安全性。
加密政策:如何加密数据、使用加密方法等。
BYOD政策:员工可以在内部和外部使用哪些设备来访问组织资产。
云计算政策:使用云计算资源和服务的安全性方面。
最终,CISO和安全经理负责制定这些政策。通常,安全分析师会分析师团队负责政策的制定,然后由高级管理层批准。
2.2 安全政策文档内容
无论是一个文档还是一组文件,每个安全政策文档都应包含以下部分:
概述:有关政策针对的背景信息。
目的:为何创建政策。
范围:政策涵盖的领域。
目标受众:该政策适用于谁。
政策:对政策的完整而简明的描述。
违规:违反政策的后果。
定义:文档中使用的技术术语。
版本:用于跟踪对文档所作更改的版本号。
制定政策文件的良好指导来源是SANS研究所提供的一套政策文件模板——《SANS信息安全政策模板》。
2.3 安全政策管理指南
SOGP为安全策略文档的创建、内容和使用提供了一套有用的指导原则,可以分为以下几类:
职责:确定以下内容:
负责批准政策文件的人员。
所有相关人员遵守政策的责任。
负责保护特定资产的人员。
所有人都必须理解、接受和遵守相关则会观测,了解纪律处分会随着政策的违法而发生。
原则:指定以下内容:
所有相关资产按价值或重要性识别和分类。
所有受CIA(机密性、完整性和可用性)保护的资产和其他安全要求。
符合所有法律、法规和标准。
操作:指定以下内容:
所有人都了解安全政策及其责任。
所有资产都需要定期进行风险评估,在重大变更之前也要进行风险评估。
所有违规行为都要以系统的方式报告。
根据需要定期进行审计。
根据需要定期审查政策文件。
可接受的使用:包含以下策略:
记录有关各种资产需要、接受和禁止的行为的文档。
建立、批准和监控可接受使用政策的职责。
2.4 监控政策
CISO应指定负责监控安全政策实施的个人或团体。负责实体应定期审查政策并进行必要的更改,以反映组织环境、资产套件或业务流程的变化。需要建立违纪举报机制,鼓励员工举报。
三、可接受的使用政策
可接受的使用政策(AUP)是一种针对可访问一个或多个组织资产的所有员工的安全政策。它定义了哪些行为是可接受的,哪些行为是不可接受的。该政策应该清晰简洁,每名员工的就职条件应该是签署一份表格,表明他已阅读并理解该政策并同意遵守其条件。以下是开发AUO的过程:
1、进行风险评估以确定关注的领域:作为风险评估过程的一部分,确定需要进入AUP的要素。
2、创建政策:该政策应根据确定的具体风险量身定制,包括责任成本。
3、分发AUP:包括教育员工为什么需要AUP。
4、监控合规性:需要一个程序来监控和报告AUP的合规性。
5、执行政策:当违规时,必须始终如一地公平执行AUP。
AUP模板示例也由SANS研究所提供。