CISSP EXAM Outline - Domain 1
Security and Risk Management
安全與風險管理
1.1 理解、遵從與提升職業道德 Understand, adhere to, and promote professional ethics
• (ISC)2 職業道德規範 (Code of Professional Ethics)
- Canon I : Protect society, the commonwealth and the infrastructure.
- 保護社會、聯邦和基礎設施。
- Canon II : Act honorably, honestly, justly, responsibly and legally.
- 以光榮、誠實、公正、負責任和合法的方式行事。
- 任何人都可以提出違反第一或第二條規定的指控。
- Canon III : Provide diligent and competent service to principals.
- 為委託人提供勤奮和稱職的服務。
- 僅接受委託人提出違反指控
- Canon IV : Advance and protect the profession.
- 推進和保護職業。
- 允許任何簽署道德守則的認證或許可專業人士提出指控。
• 組織的道德規範 (Organizational code of ethics)
1.2 理解和應用安全概念 Understand and apply security concepts
- 保密性 Confidentiality
- 完整性 Integrity
- 可用性 Availability
- 真實性 Authenticity
- 不可否認性 Nonrepudiation
T3 : CIA
參考網址 : https://wentzwu.com/2020/10/05/cissp-practice-questions-20201006/
Authentication and Authenticity
It’s common for people to confuse authentication with authenticity. Authenticity is the result of authentication, as a process or security measures.
1.3 評估和應用安全治理的原理 Evaluate and apply security governance principles
- 將安全功能與業務戰略、目標、使命和宗旨相關聯 Alignment of the security function to business strategy, goals, mission, and objectives
- 組織過程(例如,收購、剝離、治理委員會) Organizational processes (e.g., acquisitions, divestitures, governance committees)
- 組織角色和職責 Organizational roles and responsibilities
- 信息安全計劃(Information security programs)的所有者可能不同於負責實施控制的個人。但此人應盡可能高級,能夠專注於安全程序的管理。CEO 不是一個合適的選擇,因為這個級別的高管不太可能有時間專注於安全。CIO 是一個好的選擇,屬於執行級別的強有力的擁護者。
- 謹慎人規則(prudent man rule)要求高級管理人員承擔個人責任,以確保普通、謹慎的個人在相同情況下會行使應有的謹慎。
- 安全控制框架 Security control frameworks
- 盡職調查(事前) / 應注意的義務(事中) : Due Diligence / Due Care
1.4 確定合規性和其他要求 Determine compliance and other requirements
- 合約、法律、行業標準和監管要求 Contractual, legal, industry standards, and regulatory requirements
- 隱私要求 Privacy requirements
- 告知目的
- 取得同意
- 收集最小化
- 開放修改 / 開放刪除
- 出事要告知
1.5 理解在全球背景下與信息安全相關的法律和監管問題 Understand legal and regulatory issues that pertain to information security in a holistic context
- 網絡犯罪( Cybercrimes )和數據洩露( data breach)
- 許可和知識產權 (IP) 要求 Licensing and Intellectual Property (IP) requirements
- Intellectual Property : 智慧財產權(IP)
- Copyright : 版權
- Patents : 專利, 有期限 (20 年), 過了進入公共領域(Public Domain)
- Trademarks : 商標
- USPTO : 美國專利商標局, US(美國)P(Patent專利)T(Trademark商標)O(Office)
- 商標權期間為10年,但期間屆滿後仍有繼續使用註冊商標的意思者,應依商標法規定申請延展註冊,每次延展為10年,且無延展次數的限制,使持續有使用的商標,得永續享有其註冊權益。
- Trade Secrets : 商業機密
- 進口/出口控制 Import/export controls
- 加密軟體 (Encryption Software ) 在美國有受到出口管制
- 跨境數據流 Transborder data flow
- FISMA : 美國資通法 --> 保護相關訊息系統
- 隱私 Privacy
- 相關法案 :
- FISMA : 美國資通法 --> 保護相關訊息系統, 常用於廠商與外包商的合約
- GLBA : 對象是美國金融機構, 類似台灣的金管會
- SOX : 財務欺詐(Fraud)事件破產暴露出來的公司和證券監管問題所立的監管法規
- HIPPA & HITECH : 醫療個資相關法
- HIPAA 要求代表 HIPAA 涵蓋的實體處理個人健康信息的任何人都必須遵守商業夥伴協議 (BAA) 的條款。
- 個人醫療隱私資料稱為 PHI。
- CALEA (Communications Assistance to Law Enforcement Act) : 執法通訊協助法, 針對 ISP 業者的法案, 要求所有通訊運營商都允許對擁有適當法院命令的執法人員進行竊聽。
- COPPA : 要求網站在收集 13 歲以下兒童的個人信息時事先徵得父母同意。
- 要求從加州用戶那裡收集個人信息的商業網站顯著地張貼隱私政策。
- Economic Espionage Act : 《經濟間諜法》對任何因從美國公司竊取商業機密(Trade Secrets)而被判有罪的人處以罰款和監禁。
- FERPA : 家庭教育權利和隱私法案保護接受任何形式聯邦資助的任何教育機構中學生的隱私。
- GDPR 要求外洩個資,必須在 72 小時內通報資料保護主管機關。
- 《電子通信隱私法》(ECPA) 將侵犯個人電子隱私的行為定為犯罪。它禁止對電子郵件和語音郵件通信進行未經授權的監控。
- DMCA : 數字千年版權法案 (DMCA) 規定了在線服務提供商在處理從第三方收到的版權投訴時的要求。
- COBIT : 是一套用於企業 IT 治理與管理的指引,其提供全球接受的原則、實務、分析工具及模式,可作為管理人員、審計人員及 IT 用戶的通用資訊治理架構及最佳實務,幫助企業和 IT 管理階層提高相關個人或團體對於企業資訊及科技資產的信任度,並從中獲得最大效益。
- COBIT 治理過程或領域 :
- 評估 Evaluate
- 直接 Direct
- 監控 Monitor
1.6 理解調查類型的要求(即行政、刑事、民事、監管、行業標準) Understand requirements for investigation types (i.e., administrative, criminal, civil, regulatory, industry standards)
- 行政 administrative
- 組織內部用的
- 刑事案件 criminal case (beyond a reasonable doubt standard)
- 排除合理懷疑標準
- 民事案件 civil Case
- 強調優勢證據
- 監管 regulatory
- 行業標準 industry standards
1.7 制定、記錄和實施安全政策、標準、程序和指南 Develop, document, and implement security policy, standards, procedures, and guidelines
1.8 對業務連續性 (BC) 要求進行識別、分析及優先級排序 Identify, analyze, and prioritize Business Continuity (BC) requirements
- 業務影響分析 (BIA) Business Impact Analysis (BIA)
- 單次損失預期 (SLE) 是衡量每次風險發生時會發生多少損失的指標。它是衡量風險影響的指標。SLE = AV * EF
- ARO : 年度損失發生率 (百分比)
- ALE = SLE * ARO = AV * EF * ARO
- ACS : 防護措施成本
- 防護效益 : (ALE1 - ALE2) - ACS
- MTD : Max Tolerable Download 最大寬容停擺時間 (背後都是錢)
- RTO : Recovery Time Objectives 目標恢復時間, 用在資源
- DRP 目標 : RTO <= MTD
- RPO : Recovery Point Objectives 目標資料恢復, 定義恢復的資料點目標, 一般用在備份
- Hot Site : 熱站點 --> 設備要有, 軟體要有, 資料要很快, 機器是開啟來的狀態很快接手
- Cold Site : 冷站點 --> 基礎的水電網路都有, 但不一定有機器, 例如機房的事前選址
- Warm Site : 溫站點 --> 介於冷熱站點之間的範圍
- Mirrored Site : 鏡像站點 --> 幾乎是與主站點達到完全一模一樣的資料站點
- Reciprocal Site : 互惠站點 --> 沒啥鳥用
- 制定和記錄範圍和計劃 Develop and document the scope and the plan
- Project scope 跟 planning phase 有四個 action :
- a structured analysis of the organization --> 組織的結構化分析
- the creation of a BCP team --> BCP 團隊的建立, CEO 通常不擔任 BCP 團隊中的高級管理人員
- an assessment of available resources --> 可用資源評估
- an analysis of the legal and regulatory landscape --> 法律和監管環境的分析
1.9 協助制定和實施人員安全政策和程序 Contribute to and enforce personnel security policies and procedures
- 員工篩選與僱傭 Candidate screening and hiring
- 僱傭協議與政策 Employment agreements and policies
- 安全控制評估 (SCA) 通常是指用於評估安全控制的正式美國政府流程,並且通常與安全測試和評估 (ST&E) 流程配對使用。
- 簽訂 AUP (Acceptable Use Policy) : 用戶必須同意遵守才能訪問網路或 Internet 的策略。 為員工定義可接受的績效水平以及對行為和活動的期望政策。 不遵守該政策可能會導致工作行為警告、處罰或解僱。
- NCA / NDA 簽署競業禁止或保密協議通常在招聘時完成, 不會在離職時簽署。
- 員工入職、調動和離職流程 Onboarding, transfers, and termination processes
- 從人事的生命週期來看
- SPML ( Service Provisioning Markup Language) : 跨資訊系統服務供裝的一種語言
- 供應商、顧問與承包商協議與控制 Vendor, consultant, and contractor agreements and controls
- 甲乙丙
- Audit
- 合規策略要求 Compliance policy requirements
- CSA 聯盟認證的 STAR(星星) : 雲廠商的認證, Level-1 / Level-2
- CASB : 一種軟體, 用於 Client 存取雲端資源時可以符合組織政策
- 隱私策略要求 Privacy policy requirements
1.10 理解並應用風險管理概念 Understand and apply risk management concepts
- 識別威脅與漏洞 Identify threats and vulnerabilities
- 風險評鑑/分析 Risk assessment/analysis
- 風險分析中用到量化與質化
- 定量 --> Quantitative 量化, 定量方法 : Posibility (機率)
- (期望值法)
- 定性 --> Qualitative 質化, 定性方法 : Likelihood (可能性)
- 德爾菲法 (匿名)
- 定性風險評估的兩個最重要的要素是確定每個風險對組織的概率和影響。
- 風險響應 Risk response
- Avoid 避免
- Transfer 轉移 --> 關鍵字 "insurance (保險)"
- Mitigation 減輕 --> 例如防火牆或入侵防禦設備
- Accept 接受
- 對策選擇與實施 Countermeasure selection and implementation
- 關鍵風險指標 Key risk indicators (KRI) 通常用於監控建立持續風險管理計劃的組織風險。使用允許對數據進行消化和匯總的自動化數據收集和工具可以提供有關組織風險如何變化的預測信息。
- 適用的控制類型(如預防、檢測、糾正) Applicable types of controls (e.g., preventive, detective, corrective)
- 控制評估(安全與隱私) Control assessments (security and privacy)
- 安全 : 有效性, 符合性
- 監控與測量(measurement) Monitoring and measurement
- 報告 Reporting
- 持續改善(如風險成熟度模型) Continuous improvement (e.g., Risk maturity modeling)
- 風險框架 Risk frameworks
- RMM : 風險成熟度模型
- CMM & CMMI : 用於軟體的能力成熟度模型
- Capability(能力) Maturity(成熟度) Model
- Capability(能力) Maturity(成熟度) Model Integration(集成)
- NIST RMF( 1 事前準備 + 6 大步驟 )
1.11 理解並應用威脅建模的概念和方法 Understand and apply threat modeling concepts and methodologies
- 微軟威脅塑模 : STRIDE
1.12 應用供應鏈風險管理 (SCRM) 概念 Apply Supply Chain Risk Management (SCRM) concepts
- 與硬件、軟件和服務相關的風險 Risks associated with hardware, software, and services
- 第三方評估和監控 Third-party assessment and monitoring
- 最低安全要求 Minimum security requirements
- 評估供應商時用作基準的最合適的標準是確定供應商的安全控制是否符合組織自己的標準。
- 基線(Baseline)提供了整個組織中的每個系統都必須滿足的最低安全級別。
- 服務水平要求 Service level requirements
- 供應鏈管理主要看 32 CFR § 117.56 covers , 簡稱 (FOCI)
- foreign ownership - 所有權
- foreign control - 控制
- foreign influence - 影響
1.13 制定並維護安全意識、教育和培訓計劃 Establish and maintain a security awareness, education, and training program
- 安全意識宣貫與培訓的方法和技術(例如,社會工程、網絡釣魚、安全冠軍、遊戲化)Methods and techniques to present awareness and training (e.g., social engineering, phishing, security champions, gamification)
- Social engineering 社交工程
- phishing 網路釣魚
- Security Champions 安全冠軍 : 指的是位於各個組織單位中擔任資安窗口的那個人
- Gamification 遊戲化 : 一種策略或一套技術,可以讓人們參與進來
- 定期內容審查 Periodic content reviews
- 技術的變化可能會使內容過時,可以採取內容審查控制措施來防範這種風險。
- 方案效果評估 Program effectiveness evaluation
還原分析(reduction analysis) 示意圖如下, 當中安全專家將系統分解為五個核心要素 :
- 信任邊界
- 數據流路徑
- 輸入點
- 特權操作
- 安全控制
PCIDSS : 六項原則和十二條附加規定
- 建置與維護安全的網路
- 規定 1:安裝並維護防火牆設定以保護持卡人資料。
- 規定 2:勿使用廠商提供的預設系統密碼和其他安全參數。
- 保護持卡人資料
- 規定 3:保護儲存的持卡人資料。
- 規定 4:加密於開放式公用網路上進行的持卡人資料傳輸。
- 維護弱點管理計畫
- 規定 5:使用並定期更新防毒軟體。
- 規定 6:開發並維護安全的系統和應用程式。
- 實作增強式存取控制措施
- 規定 7:將持卡人資料存取限制為業務須知。
- 規定 8:為每個具有電腦存取權限的人員指派唯一的 ID。
- 規定 9:限制持卡人資料的實體存取。
- 定期監視和測試網路
- 規定 10:追蹤和監視所有網路資源和持卡人資料的存取。
- 規定 11:定期測試安全性系統和程序。
- 維護資訊安全性原則
- 規定 12:維護處理資訊安全性的原則。
ISC2 連結 : CISSP Exam Outline (isc2.org)
留言
張貼留言