CISSP EXAM Notes
NOTES
BCM 七步驟 :
- 內外部環境分析 --> 主要收集資訊, 最重要的資訊是利害關係人(利害關係方)
- 了解利害關係人相關業務關聯與需求
- 定義範圍(清單, 由組織單位與產品服務去交叉比對定義出來範圍, 利害關係人需求定義範圍)
- a structured analysis of the organization --> 組織的結構化分析 (內外部環境分析)
- the creation of a BCP team --> BCP 團隊的建立, CEO 通常不擔任 BCP 團隊中的高級管理人員
- an assessment of available resources --> 可用資源評估 (內外部環境分析)
- an analysis of the legal and regulatory landscape --> 法律和監管環境的分析 (內外部環境分析)
- BIA : Business Impact Analysis 業務影響分析, CISSP 用時間(天)來表現主要要先找出關鍵流程(MTD)與關鍵資源(RTO), 才有辦法定義相關的數值
- MTD : Max Tolerable Downtime 最大寬容停擺時間 (背後都是錢)
- RTO : Recovery Time Objectives 目標恢復時間, 用在資源
- RTO <= MTD
- RPO : Recovery Point Objectives 目標資料恢復, 定義恢復的資料點目標, 一般用在備份
- Hot Site : 熱站點 --> 設備要有, 軟體要有, 資料要很快, 機器是開啟來的狀態很快接手
- Cold Site : 冷站點 --> 基礎的水電網路都有, 但不一定有機器, 例如機房的事前選址
- Warm Site : 溫站點 --> 介於冷熱站點之間的範圍
- Mirrored Site : 鏡像站點 --> 幾乎是與主站點達到完全一模一樣的資料站點
- Reciprocal Site : 互惠站點 --> 沒啥鳥用
- SDO : Service Delivery Objectives 服務交付目標(CISSP 不考, CISM 用到)
- RA : Risk Assessment 風險評鑑
- RT : Risk Treatment 風險處置
- Test & Exercise : 測試與練習(要先有計畫書)
- 風險 : 影響目標達成的不確定因素, 所以先有目標, 透過管理達標, 管理即專案集成, 但空有計畫不足以達標, 故要進行風險管理, 所以先有專案後才會有風險管理
- BCP 初期的教育訓練 --> 每位員工
Everyone in the organization should receive basic training on the nature and scope of the business continuity program.
- Intellectual Property : 智慧財產權, 四個都很重要, 英文單字要記下來
- Copyright : 版權
- Patents : 專利, 有期限 (20 年), 過了進入公共領域(Public Domain)
- Trademarks : 商標
- USPTO : 美國專利商標局, US(美國)P(Patent專利)T(Trademark商標)O(Office)
- Trade Secrets : 商業機密
- PCI DSS : 信用卡行業標準法
- PCI SSC : 信用卡行業標準委員會, 制訂與發佈 PCI DSS 的機構
- 違反 PCI DSS 一般不構成刑事(criminal), 故不會由司法機構主動介入調查, 一般由銀行或法人進行調查
- 加密軟體 (Encryption Software ) 在美國有受到出口管制
- Security Champion 安全冠軍 : 指的是位於各個組織單位中擔任資安窗口的那個人
- The Digital Millennium Copyright Act (DMCA) : 數字千年版權法案 (DMCA) 規定了在線服務提供商在處理從第三方收到的版權投訴時的要求。
- The Risk Maturity Model (RMM) : 風險成熟度模型 --> 專為評估企業風險管理計畫而設計
- CMM & CMMI 主要用於評估軟體的能力成熟度模型
- Capability(能力) Maturity(成熟度) Model
- Capability(能力) Maturity(成熟度) Model Integration(集成)
- 相關法案 :
- FISMA : 美國資通法 --> 保護相關訊息系統, 常用於廠商與外包商的合約
- GLBA : 對象是美國金融機構, 類似台灣的金管會
- SOX : 財務欺詐(Fraud)事件破產暴露出來的公司和證券監管問題所立的監管法規
- HIPPA & HITECH : 醫療個資相關法
- CALEA (Communications Assistance to Law Enforcement Act) : 執法通訊協助法, 針對 ISP 業者的法案
- COPPA : 要求網站在收集 13 歲以下兒童的個人信息時事先徵得父母同意
- Economic Espionage Act : 《經濟間諜法》對任何因從美國公司竊取商業機密(Trade Secrets)而被判有罪的人處以罰款和監禁。
- 其他混淆常見單字 :
- COBIT : 是一套用於企業IT治理與管理的指引,其提供全球接受的原則、實務、分析工具及模式,可作為管理人員、審計人員及 IT 用戶的通用資訊治理架構及最佳實務,幫助企業和 IT 管理階層提高相關個人或團體對於企業資訊及科技資產的信任度,並從中獲得最大效益。
- SSAE-18 : Audit Standard 審計標準
- 風險分析中用到量化與質化
- 定量 --> Quantitative 量化, 定量方法 : Posibility (機率)
- 定性 --> Qualitative 質化, 定性方法 : Likelihood (可能性)
- 資料所有權 Data Ownership
- Data Subject 數據主體 : 信息所涉及的人。
- Data Owner 數據所有者 : 收集/創建 PII 並負有法律責任(accountable)和義務保護它,對數據進行分類並教育他人如何通過傳播智慧財產文件、政策和監管要求、保管者(Custodian )應採取的具體保護措施來保護數據的實體 和合規性要求。
- Data Controller 數據控制者 : 當真正的數據所有者不存在時,與數據所有者相同。
- Data Processor 數據處理者 : 通常是在所有者/控制者的指導下工作的實體,例如 IT 部門。
- Data Custodian 數據保管人執行日常任務以保護數據的完整性和安全性,其中包括備份數據。
- Data Steward 數據管家 : 一個與數據用戶相關的新概念; 那些將數據用於商業目的的人。
- NCA / NDA 簽署競業禁止或保密協議通常在招聘時完成, 不會在離職時簽署。
- residual risk 剩餘風險 : 是在應用控制措施以減輕風險後仍然存在的風險水平。
- 亦可稱為 remaining risk
- administrative law : 行政法, 查詢的地方是美國聯邦法規
- Code of Federal Regulations (CFR) : 負責美國聯邦機構頒布的所有行政法的文本。
- Code of Ethics :
- Canon I : Protect society, the commonwealth and the infrastructure.
- 保護社會、聯邦和基礎設施。
- Canon II : Act honorably, honestly, justly, responsibly and legally.
- 以光榮、誠實、公正、負責任和合法的方式行事。
- 任何人都可以提出違反第一或第二條規定的指控。
- Canon III : Provide diligent and competent service to principals.
- 為委託人提供勤奮和稱職的服務。
- 僅接受委託人提出違反指控
- Canon IV : Advance and protect the profession.
- 推進和保護職業。
- 允許任何簽署道德守則的認證或許可專業人士提出指控。
- Project Life Cycle
Business Case
--> Project Charter --> Authorized(Signed) --> Project Management Plan
圖片來源 : https://i0.wp.com/wentzwu.com/wp-content/uploads/2020/03/project-life-cycle.jpg?ssl=1
- 供應鏈管理主要看 32 CFR § 117.56 covers , 簡稱 (FOCI)
- foreign ownership - 所有權
- foreign control - 控制
- foreign influence - 影響
- 美國軍方資料分類等級
- Top Secret 絕密
- Secret 秘密
- Confidential 機密
- Unclassified 未分類無損害
- 私人企業資料分類等級
- Confidential/Proprietary 機密/專有
- Private 私有
- Sensitive 敏感
- Public 公開
- layered security : 典型代表 “Defense in depth” (縱深防禦)
縱深防禦創建了一系列屏障,通常是串行的,而不是並(平 parallel )行的,以防止、延遲或阻止攻擊。
深度防禦通常但並非總是比使用的單個安全組件獲得更高的可信度。
- AV : Asset Value 資產價值
- EF : Expose Factor 曝險因子
- SLE : Single Loss Expectancy 單一預期損失, 即發生一次損失的金額
- SLE = AV * EF
- ARO : Annual Rate of Occurrence 年度發生率
- ALE : Annualized Loss Expectancy 年度預期損失
- ALE = ARO * SLE = ARO * (AV*EF) = ARO * AV * EF
- value of a safeguard
- ALE before safeguard - ALE after implementing the safeguard - annual cost of safeguard
- ( ALE1 - ALE2 ) - ACS
- Shrink-wrap agreement : 開封生效許可協議
Does not require that the user acknowledge that they have read the agreement
不需要使用者在執行之前確認他們已閱讀該協議
- USA PATRIOT Act : 美國愛國者法案
權。
- Privacy Shield : 隱私盾
- Computer Fraud and Abuse Act : 計算機欺詐和濫用法。
對那些因使用病毒、蠕蟲、特洛伊木馬和其他類型的惡意代碼對計算機系統造成損害而被定罪的個人規定了刑事和民事處罰。
- The Digital Millennium Copyright Act : 數字千年版權法
- the service provider must not determine the recipients of the material
- 服務提供商不得確定材料的接收者
- the material must be transmitted with no modification to its content.
- 材料必須在不修改其內容的情況下傳輸。
- The transmission, routing, provision of connections, or copying must be carried out by an automated technical process without selection of material by the service provider.
- 傳輸、路由、提供連接或複制必須通過自動化技術流程執行,無需服務提供商選擇材料。
- Any intermediate copies must not ordinarily be accessible to anyone other than anticipated recipients and must not be retained for longer than reasonably necessary.
- 任何中間副本通常不得被預期接收者以外的任何人訪問,並且不得保留超過合理必要的時間。
- The transmission must be originated by a person other than the provider.
- 傳輸必須由提供商以外的人發起。
- Meet-in-the-middle 是針對 2DES 加密的加密攻擊。
- PASTA 的七個步驟:
- 定義風險分析的目標(DO)
- 定義技術範圍(DTS)
- 應用程序分解和分析(ADA)
- 威脅分析(TA)
- 弱點和漏洞分析(WVA)
- 攻擊建模和模擬 (AMS)
- 以及風險分析和管理 (RAM)
- 國家信息保障認證和認可程序 (NIACAP) 提供的三種認可形式
- 站點 Site
- 類型 Type
- 系統 System
- 路過式下載 drive-by download : 路過式下載是在用戶不知情的情況下下載並安裝在用戶系統上的代碼。攻擊者修改網頁上的代碼,當用戶訪問時,代碼會在用戶不知情或不同意的情況下下載並在用戶系統上安裝惡意軟件。
留言
張貼留言