江西电信信息安全管理培训.ppt

,江西电信安全管理培训,2007年5月,目的 使学员了解安全管理的生命周期过程和安全体系的基本元,Agenda,一、信息安全现状 二、信息安全管理体系标准介绍 三、信息安全管理体系的设计与实施 四、信息安全相关标准介绍,案例分析,在实施过程中，有个部门采购了一台设备准备用来安装某一软件，由于机房搬迁等各方面原因，造成实施延误。一切妥当后已经过去了大半年，但再来找这台设备的时候，却怎么也找不着了 事后的结果是这台设备可能发给地市去用了。最后是临时再找一台设备来安装产品,案例分析,为了加快项目的速度，花旗银行将他们呼叫中心的客户服务业务外包给印度的一个本地化团队，但是这个团队中有人泄漏了花旗银行在美国客户的密码和其他账户信息，从而导致了大量的欺骗性采购，花旗银行为此损失了425,000美金。 西藏入侵事件,案例分析,某公司技术部存在2个CTO，一个副CTO，一个主管 某公司员工离职，迟迟未收到人力行政部的通知，并且有设备的口令问了曾管理过的几个管理人员，都不知道口令是什么 在对机房进入的日志检查过程中，发现没有对清洁工的记录,案例分析,“88888帐户”毁了巴林银行，1995年2月26日，英国中央银行宣布了一条震惊世界的消息：巴林银行不得从事交易活动并将申请资产清理。10天后，这家拥有233年历史的银行以1英镑的象征性价格被荷兰国际集团收购。 88888错误帐户没有销掉。 巴林银行没有将交易与清算业务分开，允许里森既作首席交易员，又负责其交易的清算工作。 巴林银行的内部审计极其松散。,信息安全现状,重视技术，轻视管理 重视产品功能，轻视人为因素 重视对外安全，轻视内部安全 静态不变的观念 缺乏整体性信息安全体系的考虑,Agenda,一、信息安全现状 二、信息安全管理体系标准介绍 三、信息安全管理体系的设计与实施 四、信息安全相关标准介绍,信息定义,什么是信息？ 信息意味着什么?,“Information is an asset which,like other important business assets,has value to an organization and consequently needs to be suitably protected”.,信息是一种资产 象其它重要的业务资产一样，对组织具有价值 因此需要适当的保护,来源：BS7799/ISO17799,信息定义,信息安全,保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、防抵赖性。,C.I.A,信息安全特征,信息安全具有以下特征： 保密性：确保只有经过授权的人才能访问信息 完整性：保护信息和信息的处理方法准确而完整； 可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。,信息安全的相对性,安全没有100% ： 完美的健康状态永远也不能达到； 安全工作的目标： 通过保护信息免受大量威胁从而确保业务持续、最小化商业损失、最大的投资回报和获取更多的商业机会 安全应该与保护的事物的价值相称； 安全需要权衡 可用性与安全性 易用性与安全性 经济性与安全性,信息安全管理体系标准,什么是信息安全管理体系？ 信息安全管理体系是系统的对组织敏感信息进行管理，涉及到人，技术和管理。即： 安全管理是信息安全的关键； 人员是安全管理的核心，教育是提高人员安全意识和素质的最好方法； 技术是安全 运营支撑。 安全策略是依据,信息安全管理体系标准,企业为什么要实现信息安全？ 组织自身业务的需要 自身业务和利益的要求 客户的要求 合作伙伴的要求 投标要求 竞争优势，树立品牌 加强内部管理的要求 法律法规的要求 计算机信息系统安全保护条例 互联网安全管理办法 知识产权保护 信息安全等级保护 ,信息安全管理体系标准,信息安全管理的标准是什么？ BS7799:事实上的信息安全管理标准. BS7799 信息安全的英国国家标准，也是作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息安全治理的手段； 全面的信息安全控制，该标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架； 信息安全管理方面唯一被认可的商业标准。,BS7799发展过程,英国出版 BS7799-1:1995信息安全管理实施细则,英国出版 BS7799-2:1998信息安全管理体系规范,BS7799-1:1999与BS7799-2:1999经过修订后重新发布,BS7799-1:1999通过国际化标准组织ISO认可，12月正式成为国际标准ISO/IEC 17799-1:2000信息技术信息学安全管理实施细则,BSI对BS7799-2:1999进行了修订，正式引入PDCA过程模型。9月BS7799-2:2002公布发行。,2004年9月5号，BS7799-2:2002正式发布，提交ISO，可望近期成为国际标准。,率先由英国贸易工业部进行专案。,2005年10月，ISO27001：2005正式发布,BS7799发展过程,ISO/IEC 17799:2000,BS7799-2:2002,BS7799,BS7799-1,BS7799-2,BS7799,ISO/IEC 17799: 2005,ISO/IEC 27001: 2005,BS7799,BS7799原则,体现以下原则 定信息安全方针为信息安全管理提供导向和支持 控制目标和控制方式的选择建立在风险评估基础之上 预防控制为主的思想原则 全员参与原则 动态管理原则 遵循管理的一般循环模式PDCA持续改进模式 业务连续性原则,BS7799-2（ISO27001）内容,Chapter 0 : 简介 Chapter 1 : 范围 Chapter 2 : 强制性应用标准 Chapter 3 : 术语和定义 Chapter 4 : 信息安全管理体系 Chapter 5 : 管理责任 Chapter 6 : ISMS内部审核 Chapter 7 : ISMS管理评审 Chapter 8 : ISMS改善 附件A（强制性）控制目标和控制措施 附录B参考标准应用指南 附录C参考BS EN ISO 9001:2000ISO 14001:1996和 BS7799-2:2002章节间的对应关系 附录D参考内部编号的改变,BS7799-1 （ISO/IEC 17799）内容,BS7799的一些问题,10大类的结构性不够清晰 一些风险控制点的归类不妥 “加密”在开发与维护类中 “事故报告”在人员安全类中 操作与通信类中太杂乱 一些风险控制点的阐述不够 关于资产 关于业务安全,BS7799-1 （ISO/IEC 17799）内容,信息安全方针,为信息安全提供符合业务要求和相关法律法规的管理指导和支持 信息安全方针文档应经过管理层的批准，并向所有员工和外部相关方公布和沟通 应按策划的时间间隔或当发生重大变化时，对信息，安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性,信息安全组织,使组织内部信息安全 保证基础设施安全 管理信息安全委员会 信息安全协作 落实信息安全责任 控制第三方访问 确认第三方访问风险 第三方合同安全要求 控制外包 外包合同安全要求,资产管理,确保信息资产受到相应级别的保护 资产是组织认为有价值的东西，例如: 信息资产 纸上的文件 软件资产 物理资产 人 公司的形象和名誉 服务 一个组织必须确定哪些资产在损失之后对于本组织的产品及服务产生物质上的影响,人力资源安全,目标：减少人为的错误，偷盗，欺骗或错误使用设施带来的风险 就业申请审查 将安全责任写入合同，并在雇用期间进行监督 保密协议 教育与培训 -组织所有员工以及相关的第三方用户应该就组织策略和程序接受适当的培训并定期了解最新变化。还包括安全要求、法律责任和业务控制措施方面的内容，以及如何使用信息处理设备方面的培训 熟悉安全事故处理流程,物理与环境安全,防止未经授权的访问，破坏和干扰办公场所和信息 周边安全 进入控制 工作区安全 电力供应 设备整理,通讯与运作管理,保证信息处理设施的安全和正确运营 运营程序和责任 系统计划和接收 预防恶意软件 网络管理 媒介管理和安全 信息和软件交换的安全,访问控制,控制对信息的访问 业务要求对访问进行控制 用户访问管理 用户职责 网络访问控制 操作系统访问控制 应用访问控制 系统访问和使用监控 移动计算设备和通信,信息系统的获取、开发与维护,防止应用系统信息的错误、丢失、未授权的修改或误用 通过加密手段来保护细腻的保密性、真实性或完整性 确保系统文档的安全 开发和支持过程的安全，保持应用系统软件和信息的安全 减少由利用公开的技术漏洞带来的风险,信息系统的获取、开发与维护,需求阶段,系统开发和交付,系统部署实施,系统运行维护,系统废弃,系统敏感度评估,确定安全需求,将安全需求加入 到系统设计中,获得系统（开发 或购买）及安全功能,安装并使安全 控制有效,安全测试,鉴定合格,安全操作和管理,运作保证 （监控和审计）,变更管理,系统废弃审核,定期评估,信息安全事件管理,报告信息安全事件和弱点，确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施 信息安全事故的管理和改进，确保使用持续有效的方法管理信息安全事故,业务连续性管理,防止业务活动的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，并确保他们的及时恢复 连续性计划 业务连续性计划的框架 业务连续性计划的测试、维护和再评估,符合性,避免违反法律、法规、规章、合同要求和其他的安全要求 确认适用的法律 知识产权 保护组织的记录 数据保护和个人隐私信息 防止错误使用信息处理设施 加密控制规定 证据搜集,Agenda,一、信息安全现状 二、信息安全管理体系标准介绍 三、信息安全管理体系的设计与实施 四、信息安全相关标准介绍,风险概述,风险的定义 风险要素及要素之间的关系 资产、威胁和脆弱性对应关系,风险的定义,普通字典的解释 风险：遭受损害或损失的可能性 AS/NZS 4360：澳大利亚/新西兰国家标准 风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。 ISO/IEC TR 13335-1:1996 安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。 信息安全领域 信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。,风险的要素,资产及其价值 威胁 脆弱性 现有的和计划的控制措施(对策),风险的要素资产,资产是任何对组织有价值的东西 资产的分类 软件：基础应用软件（如数据库软件）、操作系统 硬件设施：主机、路由器、防火墙、交换机等 实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等 人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等 电子数据：所有通过网络能访问到的数据 服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等 其他：公司形象、公司信誉和客户关系,风险的要素威胁,威胁是可能导致信息安全事故和组织信息资产损失的活动，威胁是利用脆弱性来造成后果 威胁举例 自然威胁：洪水、地震、飓风、泥石流、雪崩、电风暴及其他类似事件。 人为威胁：由人激发或引发的事件，例如无意识行为（粗心的数据录入）或故意行为（网络攻击、恶意软件上传、对秘密信息的未授权访问） 环境威胁：长时间电力故障、污染、化学、液体泄漏等。,风险的要素脆弱性,与信息资产有关的弱点或安全隐患，脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。 脆弱性举例 系统漏洞 配置不当 程序Bug 专业人员缺乏 不良习惯 弱口令 缺乏安全意识 后门 ,风险要素之间的关系,资产、威胁和脆弱性对应关系,资产,威胁A,威胁B,来源A1,来源A2,来源B1,来源B2,脆弱点A1,脆弱点A2,。,。,。,脆弱点B1,脆弱点B2,。,每一项资产可能存在多个威胁；每一威胁可能利用一个或数个脆弱点,PDCA模型,阶段一 建立和管理ISMS,阶段二 实施和运作ISMS,阶段三 监督和检查ISMS,阶段四 维护和改进ISMS,Plan,Do,Check,设计与实施,Step1: 定义范围、安全方针和文件化 Step2: 管理层承诺 Step3: 风险评估 Step4: 风险处置 Step5: 实施和运作ISMS Step6: 监督、审查 Step7: 改进ISMS Step8: 完善ISMS文件体系,阶段一 建立和管理ISMS,阶段二 实施和运作ISMS,阶段三 监督和检查ISMS,阶段四 维护和改进ISMS,实施内容,文件化,按文件体系生命周期编写文件,文档体系结构,风险评估概述,风险评估定义 对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来确定信息系统的安全风险。 风险评估原则 不管使用哪一种风险评估的方法或工具，其内容都应包括风险的四个要素： 资产及其价值 威胁 脆弱性 现有的和计划的控制措施,风险评估常用术语,风险 一个规定威胁将利用一个或一组系统资源的弱点导致其损失或破坏的可能性 风险管理 以可接受的成本认证、控制、消灭或最小化不确定因素对系统资源的影响的过程 风险赋值 对照给定的风险准则和正在估计的风险，以确定风险严重程度的过程 风险评估 对信息和信息处理设施的危害、影响和弱点及三者发生的可能性的评估 剩余风险 风险处理后残留的风险 风险接受 接受一个风险的决定 风险处置 选择安全措施，转移、降低或消除风险的过程 风险降低 采取措施降低风险发生的可能性以及与风险相关的负面影响 风险转移 与另一方共同承担风险，从而减轻利益或财产损失的负担,定量的风险评估,当部分的公司资产已具有量化的价值 利用财务的手法算出风险造成的财务损失 再根据损失的大小决定风险等级,定性的风险评估,从风险发生可能性及造成的后果来考虑风险的等级 对于后果和可能性采用定性度量 并在最后阶段归纳出不同等级风险的方法,基于要素的风险评估,风险的函数表达： R = f（ a, v, t ） R：风险 a：资产的价值（资产价值用于反映某个资产 作为一个整体的价值，综合了机密性、完整性和可 用性三个属性） v：资产本身的脆弱性 t：资产所面临的威胁,为何需要风险评估,网络面临的最大威胁是什么？ 有那些安全问题？ 什么是最关键的信息资产？ 网络设备是否安全？ 操作系统、数据库系统是否安全？ 在系统中采用了哪些安全措施？是否有效？ 您需要什么风险控制手段？ 您需要什么安全技术保障？ 对于安全事故，是否具备应急响应与恢复能力？ 面对这些问题，我们会自然地想到：对组织的信息系统，我们应该保护什么？应该如何保护？这些问题有的看似简单，但如果要准确回答这些问题-信息安全风险评估。,风险评估流程,风险矩阵表,风险管理,风险评估举例,吃鱼的时候，鱼刺可能刺伤喉咙。 资产 弱点 威胁 威胁发生的可能性 威胁的影响 风险 ,风险处置举例,吃鱼的时候，鱼刺可能刺伤喉咙： 拒绝风险：不吃鱼。 风险转移：医疗保险。 减少风险：（减少威胁）可以将鱼刺剔除，买鱼刺比较少的鱼， （减少脆弱性）吃的时候要小心，（检测意外事件）准备醋、馒头、大米饭|及时上医院救治。 接受风险：照常吃鱼（不能因为有鱼刺，一辈子不吃鱼吧），接受残余风险。,监督、审查,管理评审 高层参与，内部审核，外部审核等作为输入 一般以会议的方式进行 内部审核 依据BS7799-2:2002标准制订的信息安全管理体系文件 有关法律法规 相关方的要求（包括客户、消费者、政府信息安全主管机构、供应商等） 公司的信息安全管理承诺,内审方法,询问法 抽样法 查看文件 在实际审核中，一般是以上方法结合使用,改进、完善,纠正 采取措施，以消除与ISMS的实施、运作相关的不合格的原因，防止再次发生。 预防 确定措施，以消除潜在不合格的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。,认证,认证机构,认证机构,认证机构,权威部门,认证机构,产品、过程、服务等,认证机构,UKAS,认证公司BSI/DNV,公司或企业,咨询公司,Agenda,一、信息安全现状 二、信息安全管理体系标准介绍 三、信息安全管理体系的设计与实施 四、信息安全相关标准介绍,信息安全相关,COSO COBIT ISO20000 ISO27001 国家标准_信息安全风险评估指南 信息系统安全保障等级评估准则GB 17859 SOX ISO/IEC 15408（CC） 信息技术安全技术信息技术安全性评估准则 GB 18336 信息安全事件分类分级指南,COSO,标准名称 内部控制-整体框架 标准组织 发起组织委员会COSO 隶属机构 美国国会的反对虚假财务报告委员会 标准作用 研究导致虚假财务报告的偶发因素，并为上市公司及其独立审计师，SEC(美国证券交易委员会)和其他监管机构以及教育机构提供建议。 形成时间 形成于1985年，1992年发布报告,COSO组织,一个通过商业道德、有效的内部控制和公司治理结合以致力于改善财务报告的美国民间组织。研究导致虚假财务报告的偶发因素，并为上市公司及其独立审计师，SEC（美国证券交易委员会）和其他监管机构以及教育机构提供建议。该委员会由美国五个主要财务职业协会共同主办：AAA(美国会计学会)、AICPA(美国注册会计师协会)、FEI(财务经理协会)、IIA(内部审计师协会)和naa(全国会计师协会，现为IMA、管理会计师协会)。COSO完全独立于各主办组织。,COSO报告,1992年COSO委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布内部控制整体框架（Internal ControlIntegrated Framework）报告，即通称的COSO报告。 COSO报告提出内部控制由五部分组成： 控制环境：它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。 风险评估：是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。 控制活动：是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。 信息和交流：信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的尾部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通 监控：监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量，不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。,COBIT,标准名称 信息及相关技术的控制目标 隶属机构 美国IT治理研究院 标准作用 信息、IT以及相关风险控制方面的国际公认标准。 最新版本 CoBiT 4.0, CoBiT第一版于1994年推出,ISO2000（ITIL）,标准名称 IT基础机构库 隶属机构 英国商务部OGC(Office of Government