一、信息分类和处理
开发保护信息的安全控制和政策的必要基本步骤是,必须根据信息资产的重要性和信息信息安全受到破坏时对组织的影响,对组织的所有信息资产进行分类。此外,组织需要有明确的程序,以确保在信息的整个生命周期内保持该类型的信息与其分类之间的联系,并且这个程序应指明如何处理信息。基于ISO 27001《信息安全管理体系(ISMS)要求》,我们将这些需求归于信息分类的通用安全控制的范畴,具体如下:
信息分类:分类方案应考虑法律要求、价值、关键性以及对未经授权的信息的披露或修改的敏感性;
信息标注:组织应根据信息分类方案,制定和实施一套合适的信息标注程序。
资产处理:组织应该根据信息分类方案,制定和实施资产处理程序。
1.1 信息分类
在信息分类的整体背景下,信息的分类和处理是非常重要的。NIST制定的NIST SP 800-37《信息系统和组织的风险管理框架:安全和隐私的系统生命周期方法》定义的一个风险管理框架,其风险 管理过程由六个步骤组成:
分类:组织需要识别系统要传输、处理或存储的信息,并在分析信息的影响的基础上,定义可用的信息分类级别。分类时应考虑PII的处理和保护。分类的目的时通过确定组织资产的损失可能对组织造成的不利影响或后果,指导和预告后续的风险管理过程和任务。
选择:组织需要根据安全类为系统选择一组安全控制初始基线(baseline),并根据对风险和本地条件的评估,修订和补充安全控制基线。
实施:组织需要实施安全控制,并记录如何在系统及其操作环境中使用这些控制。
评估:组织需要使用合适的评估程序评估安全控制。还必须确定控制被正确实施、按预期运行以及产生满足系统安全的预期结果。
授权:管理层根据安全控制评估的结果正式授权系统开始运行或继续运行。他们应在确定系统操作对组织运营和资产造成的风险,并在确认该风险可被接受之后做出该授权决定。
监控:组织需要持续监控安全控制,以确保系统及其运行环境随时间发生变化时,安全控制仍具有有效性。
1.体系结构描述和组织输入
作为分类步骤的输入,体系结构是分类步骤考量的一部分,它包括如下因素:
信息安全体系结构:它被定义为对且安全流程、信息安全系统、人员和组织子单元的结构和行为的描述,这与企业的任务和战略规划一致。
任务和业务流程:指组织所作的工作、已知的任务以及完成任务所涉及的业务流程。
信息系统边界:确定了组织信息系统的保护范围,包括人员、流程和信息技术,它们支持组织任务和业务流程系统的一部分。
分类步骤的另一个主要输入是组织输入,包括
法律、指令和政策指南。
战略目标和具体目标。
优先事项和资源可用性。
供应链的考虑因素。
2.信息分类
信息分类相关概念:
信息类型:组织对特定类别的信息定义。在某些情况下,它们也可由特定的法律、政策或规章定义。
安全目标:要实现的安全性特征,包括机密性、完整性和可用性。
影响:不利于达到业务目标水平的变化,也称为冲击水平和冲击值。通常由高、中、低进行表示。
安全等级:将信息按照价值和所需的保护程序华为安全等级,也成为安全归类。
分类为处理信息的人员提供了如何处理和保护信息的简明指示。将具有相似保护需求的信息归为一组,并制定适用于每个组中所有信息的信息安全流程,有助于实现信息保护。
处理分类的方式因标准而异。ISO 27001指出,需要根据法律要求、价值、关键性以及对未经授权的信息披露或修改的敏感性对信息进行分类。ISO 27002《信息安全控制实践准则》提供了进一步的指导,指出分类结果应该表明资产的价值,这取决于它们的敏感性对组织的关键性。
NIST SP 800-60《信息和信息系统类型映射到安全类别的指南》定义了安全分类过程由四个步骤组成:
识别信息类型:安全分类过程的第一步是定义待分类信息的信息类型。该步骤应该得到一个信息类型目录。参与安全管理的人员应基于组织规模、活动范围和总体风险等级等因素,对目录的详细程度或细粒度做出确定。
选择和检查影响级别:安全分类过程的第二步是为识别的信息类型定义安全影响级别。第三步是检查临时影响级别,这一过程允许所有管理人员和信息所有者参与。
指定安全类型:安全分类的最后一步是为每种信息类型制定安全等级。
1.2 信息标注
一个标注应当与信息类型下的每个实例相关联,以便清楚地表明其分类。标准方法要确保标准不与信息分离,并且标注地内容需时安全地,以防未经授权地修改。考虑到便携性和有效性,组织可以选择不标记非机密信息。
1.3 信息处理
信息处理是指对信息进行地操作、存储、传输或以其他符合其分类的方式处理。
ISO 27002列出了以下相关注意事项:
支持符合各级分类保护要求的访问限制。
保存资产授权接收人的正式记录。
保护临时或永久的信息副本,使其达到与原始信息一致的保护水平。
按照制造商的规格存储IT资产。
清晰地标记所有介质副本,以便其他授权人读取。
在可能情况下,使用自动化工具,根据信息分类级别强制正确地处理信息。
二、隐私
ISO 7498-2《信息处理系统-开放系统互连-基本参考模型-第2部分:安全体系结构》将隐私定义为个人有对与之相关地信息进行控制或影响的权利,包括控制或影响可能被收集和存储的信息的内容、信息披露者和披露对象。
隐私和信息安全这两个概念密切相关。一方面,在执法、国家安全和经济刺激下,信息系统中收集和存储的个人信息的规模和互联性显著增加,其中经济刺激是主要动力。另一方面,民众越来越深刻地意识到政府机构、企业甚至互联网用户可以在很大程度上访问他们的个人信息,以及有关他们生活和活动的私人信息。网络安全,或信息安全,是保护隐私的。
认识到隐私和安全之间的界限和重叠是确定何时可以应用现有安全风险模型和以安全为中心的指导来解决隐私问题的关键,也是确定何时需要填补空白以实现隐私工程方法的关键。
2.1 隐私威胁
《Solove的隐私分类法》是最全面的隐私威胁列表之一。该分类法描述了影响隐私的各种活动。它有四组基本的有害活动组成:信息收集、信息处理、信息传播和侵犯。
信息收集(Information collection)::不一定是有害的,但在某些轻盔昂下可能带来隐私威胁。它主要是发生以下两种威胁:
监视(Sureillance):观察、收听或记录个人的活动。这种行为可能带来问题,并且侵犯个人隐私的隐私权,特别是在被监视者对监视并不知悉的情况下。
讯问(Interrogation):指对个人施加吐露信息的压力。例如,在线注册过程中需要填写表单的字段后才能注册成功或进行下一步,此时个人会被迫或受到压力从而透露本人不愿透露的信息。
信息处理(Information processing):是指对收据的数据的使用、存储和操作。与信息处理相关的隐私问题取决于处理数据的方式,以及将结果与之相关人关联的能力。该领域隐私威胁包括:
聚合(Aggregation):在各种不同的数据库中对个人的数据进行聚合。
识别(Identification):有了足够的数据,就有可能聚合各种来源的数据,并使用这些数据识别出数据集中没有其他标记的人员。
不安全使用(Insecurity):指对PII地不当保护和处理。不安全使用的潜在后果是身份盗窃以及通过改变该人的记录来传播虚假信息。
二次使用(Secondary use):未经许可地将用于某一目的地个人信息用于其他目的。
排除(Exclusion):未能向个人提供有关其记录的通知和输入。
信息传播(Information dissemination)包括对个人信息的揭和这些揭露所带来的危害。潜在隐私威胁包括:
披露(Disclosure):指发布个人的相关真是信息。这可能以某种形式损害个人的声誉或地位。
违法机密性(Breach of confidentiality):在《Solove的隐私分类法》中区分了披露和违法机密性,并将后者定义为一种违法信任关系的披露。披露本应是当事人新人的实体,即使披露的信息本身无害,但这仍然违反了机密性。
泄露(Exposure):涉及向他人泄露某人的某些身体和情感特征。
增加可访问性(Increased accessibility):随着可访问性的增加,已经公开的可访问的信息变得更加容易被访问。增加可访问性不会产生新的危害,但会增加发生危害的可能性,从而增加风险。
勒索(Blackmail):信息披露可能带来勒索的威胁。
挪用(Appropriation):指将当事人的身份或身份特征作于它用。
失真(Distortion):指操纵一个人并影响其被他人感知和判断的方式,使受害者不能再公众准确地展示自我。信息失真可以通过修改个人相关记录来实现。
侵犯(invasions)涉及对个人地直接侵犯。它包括:
入侵(Intrusion):一般而言,入侵涉及个人生活或个人空间。在网络安全的语境下,入侵指入侵网络或计算机系统,并在某种程度上获得访问权限。入侵是安全威胁的一种,但也可能导致隐私威胁。
决策干预(Decisional interference):这是一种广发的法律概念。表现为影响个人披露信息的决定。
2.2 隐私原则和政策
ISO 29100《隐私框架》、GDPR等等
2.3 隐私控制
为了应对隐私威胁并遵守政府法律法规,组织需要一套包含其隐私要求的,并响应法律要求的隐私控制措施。NIST SP 800-53提供了一套有效且全面的控制措施。在意识和培训方面,NIST SP 800-122也提供了相关需要涵盖的主题。
三、文档和记录管理
文档和记录属于一种特殊的信息类别。该领域中没有标准的、普遍使用的定义,我们对于当前语境可以定义为:
文档:一组与某个主题相关的信息,根据人的理解组织起来,由各种符号表示,并作为一个单元存储被存储和处理。文档可以被修改。
记录:文档的一个子类,清楚地描述条款和条件、生命和要求,或提供正式记录。记录创建后,通常不会被修改。
3.1 文档管理
文档管理是一项关键的业务功能。虽然文档管理和文档管理系统的重点在于创建和使用文档的便捷性,但安全性也是不可缺失的。文档生命周期的管理是一个关键要素,包括文件创建、分类、存储、检索、修改和销毁。组织需要实施安全机制以确保文档在生命的每个阶段都满足安全目标。如下是典型文档管理生命周期实例:
收集(Capture):从各种来源捕获文档并将其放入文档管理系统。
分类(Classify):对文档进行分类,为其提供业务语境并 指定元数据。
分发(Distribute):允许文档持续整个生命周期,收集需要审查和批准的附加信息。
管理(Manage):通过各种界面和应用程序向用户呈现文档,尽可能地实现无缝传递。
留存(Retain):在存档或销毁之前,将文档保留在分类时定义的一段时间内。
文档管理的一个重要的安全策略考因素是文档保留。根据法律和法规的要求,文档保留按类型对文档进行分类,定义第三方访问文档的流程,指定每类文档的保留期限。将不可修改的文档重新分为,作为记录无限期保留。
3.2 记录管理
记录管理是一项至关重要的业务功能,需要比文档管理更强的安全措施。我们应将哪些具有重大商业价值或在相关法律法规范围内的文档视为记录。记录管理的一般过程如下所示:
保护记录的重要指南包括:
制定明确而详细的政策,确定哪些文档应归类为记录。
仅存储文档的单个实例,无论是物理的还是电子的。
尽可能严格地定义访问限制。
监控每条记录以确保它们符合组织的记录保留策略。
保留到期后,确保记录安全销毁或安全存档。
记录管理的一个重要方面是保留和处置策略。记录的生命周i其分为三个状态:
活动:当前用于支持组织的功能和报告要求。通常,活动记录是指在正常业务过程中经常用到的记录。
半活动:当前活动不再需要但仍必须保留,以满足组织的行政、财政、法律或历史要求。这些记录可以存储在不易访问的存储器中。
不活动:不再需要为其创建管理或操作功能,并且不再被检索或访问的记录。这些记录可以存档或销毁。
四、敏感物理信息
以物理形式保存的敏感信息(即敏感物理信息)需要受到的保护,防止其受到是损坏、丢失和未经授权的披露。COBIT-5总结了保护敏感的物理信息的要求:为以非数字形式存在的数据和信息提供充足、具体的信息安全措施,包括文档、媒体、设施、物理边界和运输。
保护物理信息生命周期中的关键问题包括:
识别和记录:需要正确识别每一项物理信息,并记录其存在。
分类:应该使用与所有其他组织资产相同的安全类别对每个物理文档或其他类型的媒体进行分类。
标签:必须在文档中附加或包含响应的安全等级标签。
存储:需要安全存储。可以设置设备安全区域,或使用其他限制访问的物理手段。
安全运输:如果敏感信息由第三方运输,则必须制定政策和程序以确保该操作安全地完成。携带文档地员工必须拥有维护安全所需的指导和技术手段。
清理:制定保留和清理政策,并且必须遵循销毁物理信息的安全方法。