法规遵从与风险管理.ppt

2007McAfee,Inc.,法规遵从与安全风险管理,华南区销售工程师CISSP/CISA/CCNP,来自于安全威胁方面的风险？由于未遵从法规所产生的风险？,我的企业面临什么样的风险？,法规遵从丑闻,英国财政部11月20号证实，英国皇家税务及海关总署丢失两张重要数据光盘，其中包括2500万人的敏感个人信息，署长保罗格雷已经宣布引咎辞职，并表示这是“税务部门重大的操作失误”；2005年美国万事达卡国际组织承认包括万事达、维萨、运通等在内高达4000多万信用卡用户的银行资料存在泄密风险；2006年之前中国人民建设银行网站公积金信息泄露，任何人只需要通过输入身份证号码即可以查出账户余额和每月扣款额度；中国信息保密法规处于“一张白纸”状态。,法规遵从现状,ArecentCSOMagazinesurveyrevealedthatregulationsandcompliancewerethetopdriversforsecurityinvestments.Securityriskassessmentwasthetopsecurityinitiative,whilethreatandriskmanagementwerethetopconcernskeepingCSOsupatnight.“SecuritySensorX”Feb.2006多数企业的法规遵从措施是分散的(de-centralized)，被动的(reactive)，随机的(ad-hoc)；企业受约束的法规太多，成本很高，效率很低；实现法规遵从过多的依赖技术手段，忽略了管理手段。,法规遵从是一个全球性的挑战每个人都必须有所付出,ISO/IEC27001:2005,法规遵从是一个全球性的挑战每个人都必须有所付出（续）,企业面临的法规太多法律的两个属性（属人性/属地性）每个法规的流程完全不同（Dis-jointedResponse）法规遵从的延续性GLBA，HIPPA，SOX，COBIT，ISO17799/27001管理层对实现法规遵从的要求行业最佳实践（Best-practice）成本收益分析（Cost-benefitanalysis）,IT治理（法规遵从的起点）,IT治理的5大目标（Controlobjective）战略一致性（StrategicAlignment）价值交付（ValueDelivery）资源管理（ResourceManagement）风险管理（RiskManagement）绩效管理（PerformanceManagement）4类IT资源人（People），信息（Information），应用（Application），设施（Infrastructure）CIAA（Confidentiality/Integrity/Availability/Accountability）3种控制手段（Physical/Technical/Operational）,COBITIT管理规范,Cobit信息准则Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability4大类流程PlanandOrganize/AcquireandImplement/DeliverandSupport/MonitorandEvaluate（34个子流程）4类控制目标ActivityGoal/ProcessGoal/ITGoal/BusinessGoal2类考核指标KGI（关键目标指示），KPI（关键绩效指示）管理评价体系（CMM模型）Initial/Repeatable/Defined/Managed/Optimized,SOX公司治理规范,SOX：美国证监会对于上市公司的公司治理规范要求Section306除了极特殊的情况外，对于发行权益性证券公司的所有董事、经理因任职而获得的其所任职公司的权益证券，在该权益证券的管制期间，这些董事、经理直接或间接买卖或获取、转让这些权益证券的行为是非法的。Section404内部控制报告必须要指明公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任和包括发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告(第404款)。第404条款是SOX法案中最为严厉和最具高昂执行成本的条款。,ISO27001ISO安全标准,A7：AssetManagement（资产管理）A10：CommunicationandOperationManagement（通信与操作管理）A11：AccessControl（访问控制）A13：InformationSecurityIncidentManagement（信息安全突发事件管理）A15：Compliance（遵从性）,安全风险的三个维度,安全风险成本收益分析,资产价值（AssetValue）暴露因子（ExposureFactor，某种风险造成资产损失的百分比，实施安全方案之前EF1与实施安全方案之后EF2会显著不同）年发生率（AnnualRateofOccurrence）对策成本（CountermeasureCost）对策价值（Benefit）Benefit=AV*EF1*ARO-AV*EF2*ARO-CC,McAfee安全风险模型,McAfeeSRM安全风险管理方法论ProtectionandComplianceIntegration,=,KeyBenefits减少成本，降低复杂度增加运作效率更快的实现防护和法规遵从,+,威胁保护,McAfeeFoundstone,McAfeePolicyAuditor,McAfeeDLP,McAfeeNAC,McAfeeIntruShield,McAfeeTotalProtection,McAfeeSecureInternetGateway,风险&法规遵从性,SRMSolution集成,M