CISP培训授课知识要点串讲.pptx
《CISP培训授课知识要点串讲.pptx》由会员分享,可在线阅读,更多相关《CISP培训授课知识要点串讲.pptx(210页珍藏版)》请在冰豆网上搜索。
CISP培训课程知识总结,中国信息安全测评中心CISP运营中心沈传宁,2,知识体系关联,安全保障,技术,密码学基础,密码学应用,访问控制,软件安全开发,网络安全,系统安全,应用安全,恶意代码,安全攻防,管理,安全管理体系,安全风险管理,基本管理措施,重要管理过程,安全工程,法规政策与标准,3,知识体系关联,安全保障,技术,密码学基础,密码学应用,访问控制,软件安全开发,网络安全,系统安全,应用安全,恶意代码,安全攻防,管理,安全管理体系,安全风险管理,基本管理措施,重要管理过程,安全工程,法规政策与标准,4,课程知识关键点,5,信息安全发展阶段,6,信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
信息安全保障定义,7,信息安全保障的目标是支持业务!
国家标准:
GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分:
简介和一般模型,信息系统安全保障模型,8,PDR模型强调落实反应P2DR模型则更强调控制和对抗,即强调系统安全的动态性以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全特别考虑人为的管理因素,P2DR模型-分布式动态主动模型,9,IATF框架,10,国家信息安全保障工作要点,方针:
积极防御、综合防范基本原则:
立足国情,以我为主,坚持管理与技术并重。
正确处理安全与发展的关系,以安全保发展,在发展中求安全;统筹规划,突出重点,强化基础性工作;明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
等级保护制度我国信息安全保障建设主要内容,11,12,制定信息安全保障需求的作用制定信息系统安全保障需求的方法和原则信息安全保障解决方案确定安全保障解决方案的原则实施信息安全保障解决方案的原则信息安全测评信息安全测评的重要性国内外信息安全测评现状产品、人员、服务商、系统测评的方法和流程持续提高信息系统安全保障能力。
信息系统安全监护和维护,确定需求,制定方案,开展测评,持续改进,信息系统安全保障工作建设步骤,12,知识体系关联,安全保障,技术,密码学基础,密码学应用,访问控制,软件安全开发,网络安全,系统安全,应用安全,恶意代码,安全攻防,管理,安全管理体系,安全风险管理,基本管理措施,重要管理过程,安全工程,法规政策与标准,13,课程知识关键点,14,能力成熟度模型的概念,能力成熟度模型(CMM-CapabilityMaturityModel)由质量管理工作发展的“过程改进”过程能力的提高,过程变得可预测和可度量,控制或消除造成质量低劣和生产率不高现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品;所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程;CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”;,15,SSE-CMM体系结构,两维模型:
“域维”由所有定义的安全工程过程区构成。
“能力维”代表组织实施这一过程的能力。
16,SSE-CMM能力成熟度评价,通过设置这两个相互依赖的维,SSE-CMM在各个能力级别上覆盖了整个安全活动范围。
给每个PA赋予一个能力级别评分,所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程能力成熟度,也间接的反映其工作结果的质量及其安全上的可信度。
17,SSE-CMM的主要概念,过程区域(PA,ProcessArea)过程的一种单位是由一些基本实施(BP,BasePractice)组成的,这些BP共同实施以达到该PA的目标。
这些BP是强制性的,只有全部成功执行,才能满足PA规定的目标;SSE-CMM包含三类过程区域:
工程、项目和组织三类;,18,域维-22个PA分成三类,系统安全工程涉及到三类过程区域PA工程过程区域(EngineeringPA)组织过程区域(OrganizationPA)项目过程区域(ProjectPA)工程过程区域11个PA描述了系统安全工程中实施的与安全直接相关的活动组织和项目过程区域(共11个)并不直接同系统安全相关,但常与11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度,19,风险过程,PA04:
评估威胁,威胁信息threat,脆弱性信息vulnerability,影响信息impact,风险信息,PA05:
评估脆弱性,PA02:
评估影响,PA03:
评估安全风险,风险就是有害事件发生的可能性一个有害事件有三个部分组成:
威胁、脆弱性和影响。
20,工程过程,安全工程与其它科目一样,它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。
SSE-CMM强调安全工程是一个大的项目队伍中的一部分,需要与其它科目工程师的活动相互协调。
PA10确定安全需求,需求、策略等,配置信息,解决方案、指导等,风险信息,PA08监控安全态势,PA07协调安全,PA01管理安全控制,PA09提供安全输入,21,保证过程,证据,证据,保证论据,PA11验证和证实安全,指定安全要求,其他多个PA,PA06建立保证论据,保证是指安全需要得到满足的信任程度SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。
22,SSE-CMM的主要概念,过程能力(ProcessCapability)一个过程是否可以达到预期效果的度量方法,即执行一个过程的成熟度级别划分;过程能力可帮助组织预见达到过程目标的能力,如果一个组织某个过程的能力级别低,意味着完成该过程投入的成本,实现的进度、功能和质量都是不稳定的;或者说过程能力越高则达到预定的成本、进度、功能和质量目标的就越有把握,23,计划执行规范化执行跟踪执行验证执行,定义标准过程协调安全实施执行已定义的过程,建立可测量的质量目标客观地管理过程的执行,1,非正规执行,2,计划与跟踪,3,充分定义,4,量化控制,5,连续改进,执行基本实施,改进组织能力改进过程的有效性,能力级别,公共特征,未实施,0,能力级别,24,信息系统安全工程ISSE,发掘信息保护需求,确定系统安全要求,设计系统安全体系结构,开展详细安全设计,实施系统安全,评估信息保护有效性,25,信息安全工程监理模型,信息安全工程监理阶段、监理管理和控制手段和监理支撑要素,知识体系关联,安全保障,技术,密码学基础,密码学应用,访问控制,软件安全开发,网络安全,系统安全,应用安全,恶意代码,安全攻防,管理,安全管理体系,安全风险管理,基本管理措施,重要管理过程,安全工程,法规政策与标准,27,课程知识关键点,28,信息安全管理,29,什么是信息安全管理组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动信息安全管理工作的对象,目标,组织,信息安全管理的基本概念,30,信息安全管理是基于风险的管理信息安全管理体系建立需要安全需求安全需求来源于风险评估风险处置的的最佳集合就是信息安全管理体系中的措施集合信息安全管理价值及实施成功的关键弥补技术之外的安全不足;技管并重是我国信息安全保障基本原则成功实施信息安全管理关键要素理解组织文化、高层支持等,信息安全管理国际标准:
ISO27000系列,31,ISO27000系列,2700027003,2700427007,27000信息安全管理体系原则和术语27001信息安全管理体系要求27002信息安全管理实践准则27003信息安全管理实施指南,27004信息安全管理的度量指标和衡量27005信息安全风险管理指南27006信息和通信技术灾难恢复服务指南27007XXX,信息安全管理体系基本原理和词汇,信息安全管理体系循环框架,32,GB/T22080-2008信息安全技术信息安全管理体系要.信息安全管理体系是PDCA动态持续改进的一个循环体。
相关方,信息安全要求和期望,相关方,受控的信息安全,信息安全管理体系建设,
(一)信息安全管理体系的规划和建立(P)
(二)信息安全管理体系的实施和运行(D)(三)信息安全管理体系的监视和评审(C)(四)信息安全管理体系的保持和改进(A),33,信息安全管理体系规划和建立,P1-定义ISMS范围P2-定义ISMS方针P3-确定风险评估方法P4-分析和评估信息安全风险P5-识别和评价风险处理的可选措施P6-为处理风险选择控制目标和控制措施P7-准备详细的适用性声明SoA,34,信息安全管理体系实施和运行,D1-开发风险处置计划D2-实施风险处置计划D3-实施安全控制措施D4-实施安全教育培训D5-管理ISMS的运行D6-管理ISMS的资源D7-执行检测安全事件程序D8-执行响应安全事故程序,35,信息安全管理体系监视和评审,C1-执行ISMS监视程序C2-执行ISMS评价程序C3-定期执行ISMS评审C4-测量控制措施的有效性C5-验证安全要求是否被满足C6-按计划进行风险评估C7-评审可接受残余风险C8-按计划进行内部审核C9-按计划进行管理评审C10-更新信息安全计划C11-记录对ISMS有影响的行动和事件,36,信息安全管理体系保持和改进,A1-实施已识别的ISMS改进措施A2-执行纠正性和预防性措施A3-通知相关人员ISMS的变更A4-从安全经验和教训中学习,37,信息安全管理控制规范,十一项条款
(一)信息安全策略
(二)信息安全组织(三)人力资源安全(四)信息资产分类与控制(五)信息安全访问控制(六)物理与环境安全(七)系统开发与维护(八)通信与运营安全(九)信息安全事故管理(十)业务持续性管理(十一)符合性,38,课程知识关键点,39,通用风险管理定义,定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。
风险管理包括对风险的量度、评估和应变策略。
理想的风险管理,是一连串排好优先次序的过程,使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。
40,什么是信息安全风险管理,定义一:
GB/Z24364信息安全风险管理指南信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。
定义二:
在组织机构内部识别、优化、管理风险,使风险降低到可接受水平的过程。
了解风险+控制风险=管理风险,41,为什么要做风险管理,成本与效益平衡好的风险管理过程可以让机构以最具有成本效益的方式运行,并且使已知的风险维持在可接受的水平工作条理化好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级,更好地管理风险。
而不是将保贵的资源用于解决所有可能的风险PDCA过程的要求风险管理是一个持续的PDCA管理过程,42,风险管理是信息安全保障工作有效工作方式,信息安全风险术语,资产(Asset)威胁源(ThreatAgent)威胁(Threat)脆弱性(Vunerability)控制措施(Countermeasure,safeguard,control)可能性(Likelihood,Probability)影响(Impact,loss)风险(Risk)残余风险(ResidentalRisk),43,信息安全风险管理工作内容,建立背景,风险评估,风险处理,批准监督,GB/Z24364信息安全风险管理指南四个阶段,两个贯穿。
-,44,信息系统风险评估,风险评估的政策要求风险评估的流程,45,风险分析,GB/T20984-2007信息安全风险评估规范给出信息安全风险分析思路,46,风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)。
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。
定量
升级会员 