Đang tải... (xem toàn văn)
bài dich
Xác định phần cứng, phần mềm và các tài nguyên mạng Sử dụng hệ thống kiểm kê tài sản mua để theo dõi các phần cứng, các mạng lưới, và có thể là các thành phần phần mềm. Nhiều gói có sẵn trên thị trường ngày hôm nay, và CISO hoặc CIO được xác định là gói máy chủ tốt nhất cho nhu cầu của tổ chức. Tổ chức không sử dụng hệ thống kiểm kê tự động mà phải tạo ra một quá trình thủ công tương đương. Cho dù tự động hay thủ công, quá trình kiểm kê đòi hỏi một số kế hoạch chắc chắn. Quan trọng nhất, bạn phải xác định các đặc trưng của mỗi tài sản thông tin cần được theo dõi. Quyết định đó sẽ phụ thuộc vào nhu cầu của các tổ chức và những nỗ lực quản lý rủi ro của nó, cũng như sở thích và nhu cầu của an ninh thông tin và cộng đồng công nghệ thông tin. Khi quyết định thuộc tính để theo dõi các tài sản thông tin, hãy xem xét danh sách sau đây của các thuộc tính tiềm năng: - Tên: một danh sách của tất cả các tên thường được sử dụng cho các thiết bị, chương trình, một số tổ chức có thể có nhiều tên cho cùng một sản phẩm, và một trong số chúng nên được tham khảo qua trong bản kê hàng. Dự phòng này có thể sử dụng trên toàn tổ chức và nó dễ tiếp cận cho tất cả mọi người. Không có vấn đề gì với bao nhiêu tên bạn theo dõi hoặc làm thế nào bạn chọn một tên, luôn luôn cung cấp một định nghĩa của các tài sản trong câu hỏi. Áp dụng các tiêu chuẩn đặt tên mà không truyền đạt thông tin quan trọng đối với những kẻ tấn công hệ thống tiềm năng. Ví dụ, một máy chủ có tên CASH1 hoặc HQ_FINANCE có thể lôi kéo những kẻ tấn công. - Thẻ tài sản: được sử dụng để tạo điều kiện theo dõi tài sản, thẻ tài sản là con số duy nhất được gán cho tài sản trong quá trình mua lại. - Địa chỉ IP: một thuộc tính hữu ích cho các thiết bị mạng và máy chủ nhưng hiếm khi áp dụng cho phần mềm, bạn có thể, tuy nhiên, sử dụng một cơ sở dữ liệu quan hệ và theo dõi các trường hợp phần mềm trên các máy chủ cụ thể hoặc các thiết bị mạng. Nhiều tổ chức lớn hơn sử dụng giao thức điều khiển máy chủ năng động trong giao thức TCP / IP, phân công lại các địa chỉ IP cho các thiết bị như cần thiết, làm cho việc sử dụng các địa chỉ IP là một phần của quá trình nhận dạng tài sản rất khó khăn. - Địa chỉ MAC: còn được gọi là số thứ tự điện tử hoặc địa chỉ phần cứng, theo các tiêu chuẩn TCP / IP, tất cả các thiết bị phần cứng giao diện mạng có một số duy nhất. Hệ điều hành mạng sử dụng con số này để xác định các thiết bị mạng cụ thể. Phần mềm mạng của khách hàng sử dụng số này nó nhận ra lưu lượng mà nó cần để xử lý. Trong hầu hết các thiết lập, địa chỉ MAC có thể là một cách hữu ích để theo dõi các kết nối, nhưng chúng có thể bị giả mạo bởi một số phần cứng / phần mềm kết hợp. - Loại tài sản: một thuộc tính mô tả chức năng của từng loại tài sản, đối với tài sản phần cứng, phát triển một danh sách các loại tài sản có thể bao gồm máy chủ, máy tính để bàn, mạng, các thiết bị và thiết bị kiểm tra. Đối với tài sản phần mềm, phát triển một danh sách bao gồm hệ điều hành, ứng dụng của khách hàng theo loại, và các ứng dụng đóng gói và / hoặc ứng dụng đặc biệt. Mức độ đặc hiệu được xác định bởi nhu cầu của tổ chức. Các loại tài sản có thể được ghi nhận tại hai hoặc nhiều hơn mức độ đặc hiệu bằng cách ghi âm đầu tiên thuộc tính một trong các phân loại các tài sản đó ở mức độ cao, và sau đó thêm thuộc tính để xem chi tiết hơn. Ví dụ, một máy chủ có thể được liệt kê như sau: lớp thiết bị (máy chủ) thiết bị hệ điều hành W2K = (Windows 2000) Công suất thiết bị = AS (máy chủ trước) - Số seri: một số nhận dạng duy nhất cho một thiết bị cụ thể, một số nhà cung cấp phần mềm cũng chỉ định một số phần mềm choviệc thể hiện của các chương trình được cấp giấy phép của tổ chức. - Tên Nhà sản xuất: một thuộc tính có thể hữu ích cho việc phân tích mối đe dọa bùng phát nhất định khi nhà sản xuất công bố lỗ hổng cụ thể. - Mô hình hoặc một phần số của nhà sản xuất: một số xác định chính xác những gì các tài sản , nó có thể rất hữu ích trong việc phân tích của lỗ hổng, bởi vì một số mối đe dọa chỉ áp dụng cho mô hình cụ thể của các thiết bị và / hoặc các thành phần phần mềm. - Phiên bản phần mềm, cập nhật sửa đổi, hoặc số FCO: thông tin hiện nay về phần mềm và phiên bản phần mềm và các thiết bị phần cứng, lĩnh vực thay đổi số thứ tự hiện tại (FCO); một trật tự thay đổi lĩnh vực xảy ra khi một nhà sản xuất thực hiện một nâng cấp cho thành phần phần cứng tại cơ sở của khách hàng. Theo dõi thông tin này là đặc biệt quan trọng khi kiểm kê các thiết bị mạng có chức năng chủ yếu là thông qua các phần mềm chạy trên chúng. Ví dụ, thiết bị tường lửa thường có ba phiên bản: một phiên bản hệ điều hành, một phiên bản phần mềm, và một đầu vào cơ bản / đầu ra hệ thống phiên bản firmware. Tùy thuộc vào nhu cầu của một tổ chức, bản kê tất cả hàng hóa có thể phải theo dõi từng những giá trị phiên bản cho từng tài sản. - Vị trí vật lý: một thuộc tính không áp dụng cho các thành phần phần mềm, tuy nhiên, một số tổ chức có thể có thời hạn giấy phép mà chỉ ra nơi phần mềm có thể được sử dụng. - Hợp lý vị trí: một thuộc tính xác định nơi một tài sản có thể được tìm thấy trên mạng của tổ chức, các vị trí hợp lý được áp dụng hầu hết các thiết bị mạng và chỉ ra đoạn mạng logic mà nhà thiết bị. - Kiểm soát thực thể: các đơn vị tổ chức kiểm soát tài sản, nhân viên trên trang web của một địa điểm từ xa của đôi khi có thể được đặt trong kiểm soát các thiết bị mạng, tại các tổ chức khác, một nhóm doanh nghiệp trung ương có thể kiểm soát tất cả các thiết bị mạng. BẢn kê hàng hóa nên xác định nhóm kiểm soát từng tài sản cụ thể, như các nhóm kiểm soát sẽ muốn có một tiếng nói quyết định bao nhiêu rủi ro mà thiết bị có thể chịu đựng và bao nhiêu chi phí đó có thể duy trì thêm khi điều khiển. Xác định con người, quy trình và các tài sản dữ liệu không giống như phần cứng và phần mềm, nguồn nhân lực, tài liệu và tài sản thông tin dữ liệu không phải là dễ dàng đươc xác định và tài liệu. Trách nhiệm trong việc xác định, mô tả, và xác định giá trị các tài sản thông tin phải được chỉ định cho những người quản lý có kiến thức cần thiết, kinh nghiệm, và phán xét. Như các tài sản này được xác định, họ nên được ghi lại thông qua một quá trình bàn giao dữ liệu đáng tin cậy trong việc sử dụng cho phần cứng và phần mềm. Hệ thống lưu trữ hồ sơ cần linh hoạt, cho phép bạn liên kết thuộc tính tài sản cho các lớp khác nhau của tài sản là: ¬ dân - Tên Chức vụ / CMND / số: tránh tên, quyền sử dụng vị trí, vai trò, hoặc chức năng. - Tên giám sát / CMND / số: tránh tên, quyền sử dụng vị trí, vai trò, hoặc chức năng. - Mức độ giải phóng mặt bằng an ninh - Kỹ năng đặc biệt Thủ tục - Mô tả - Mục đích - Phần mềm / phần cứng / mạng yếu tố mà nó được gắn - Địa điểm nơi mà nó là cửa hàng để tham khảo - Địa điểm nơi mà nó là cửa hàng cho mục đích cập nhật Dữ liệu - Phân loại - Chủ sở hữu / người sáng tạo / quản lý - Kích thước của cấu trúc dữ liệu - Cấu trúc dữ liệu được sử dụng, ví dụ, tuần tự hoặc quan hệ - Trực tuyến hoặc offline - Địa điểm - Thủ tục sao lưu Xem xét cẩn thận những gì cần được theo dõi cho mỗi tài sản cụ thể. Tổ chức lớn hơn thấy rằng họ có hiệu quả có thể theo dõi chỉ có một vài sự kiện có giá trị về tài sản thông tin quan trọng nhất. Ví dụ, một công ty chỉ có thể theo dõi địa chỉ IP, tên máy chủ, và các loại thiết bị cho các máy chủ nhiệm vụ quan trọng của nó. Các tổ chức có thể bỏ thêm theo dõi thuộc tính trên tất cả các thiết bị, và hoàn toàn bỏ qua việc theo dõi các hệ thống máy tính để bàn hoặc máy tính xách tay. Phân loại và phân loại tài sản Một khi bản kê hàng hóa ban đầu được hợp lại, bạn phải xác định xem loại tài sản của nó có ý nghĩa gì với chương trình quản lý rủi ro của tổ chức. Việc xem xét lại như vậy có thể khiến cho các nhà quản lý tiếp tục chia nhỏ các loại được liệt kê trong bảng 8-1 hoặc để tạo ra các loại mới đáp ứng tốt hơn nhu cầu của chương trình quản lý rủi ro. Ví dụ, nếu các thành phần Internet loại được coi là chung, nó có thể được chia thành các tiểu thể loại của các máy chủ, thiết bị mạng, thiết bị bảo vệ, và cáp. Việc kiểm kê cũng cần phản ánh sự nhạy cảm và ưu tiên bảo mật được gán cho mỗi tài sản thông tin. Đề án phân loại nên được phát triển để loại những tài sản thông tin dựa trên sự nhạy cảm của họ và nhu cầu bảo mật. Xem xét các sơ đồ phân loại sau đây cho một tài sản thông tin: bí mật, nội bộ, công cộng. Mỗi loại phân loại chỉ định mức độ bảo vệ cần thiết cho một tài sản thông tin cụ thể. Một số loại tài sản, chẳng hạn như nhân viên, có thể yêu cầu một chương trình phân loại thay thế có thể xác định các quy trình bảo mật thông tin được sử dụng bởi các loại tài sản. Ví dụ, dựa trên nhu cầu để biết và phải để cập nhật, một nhân viên có thể được phép sử dụng. Một cuộc thảo luận chi tiết hơn về chương trình phân loại được cung cấp sau trong chương này trong phần "mô hình phân loại dữ liệu". Loại thông tin phải đầy đủ và loại trừ lẫn nhau. Đầy đủ có nghĩa là tất cả bản kê khai tài sản phù hợp với một thể loại, có nghĩa là loại trừ lẫn nhau mà mỗi tài sản được tìm thấy chỉ có một loại. Ví dụ, một tổ chức có thể có một giấy chứng nhận quyền sở hạ tầng công cộng, đó là một ứng dụng phần mềm cung cấp dịch vụ quản lý mật mã chủ chốt. Sử dụng một tiêu chuẩn kỹ thuật thuần túy, một người quản lý có thể loại ứng dụng trong danh sách tài sản của bảng 8-1 như các phần mềm, một nhóm chung với không có ưu tiên phân loại đặc biệt. Bởi vì các chứng nhận cơ quan phải được bảo vệ cẩn thận như một phần của cơ sở hạ tầng an ninh thông tin, nó sẽ được phân loại thành một phân loại ưu tiên cao hơn, chẳng hạn như phần mềm / phần bảo mật / mật mã, và nó cần được xác nhận rằng không thể loại chồng chéo tồn tại, chẳng hạn như phần mềm / thành phần / PKI an ninh. Giá trị đánh giá đối với tài sản thông tin Như các tài sản thông tin được xác định, danh mục và phân loại, một giá trị tương đối cũng phải được gán cho nó. Giá trị tương đối là so sánh bản án nhằm đảm bảo rằng các tài sản thông tin có giá trị nhất được ưu tiên cao nhất khi quản lý rủi ro. Nó có thể là không biết trước - tuyệt đối về mặt kinh tế - những gì thiệt hại sẽ được phát sinh nếu một tài sản bị tổn hại, tuy nhiên, một đánh giá tương đối giúp đảm bảo rằng các tài sản có giá trị cao được bảo vệ đầu tiên. Như các tài sản thông tin được phân loại thích hợp , đặt ra những câu hỏi cơ bản sau đây có thể giúp bạn phát triển các tiêu chuẩn trọng để được sử dụng cho giá trị tài sản thông tin hoặc đánh giá tác động. Nó có thể là thông tin hữu ích để tham khảo trong quá trình thu thập các BIA để giúp bạn đánh giá một giá trị cho một tài sản. Bạn có thể sử dụng một bảng tính, chẳng hạn như trong hình 8-2 để thu thập các câu trả lời để phân tích sau. - Những tài sản thông tin nào là quan trọng nhất cho sự thành công của tổ chức? Khi xác định tầm quan trọng tương đối của các tài sản quan trọng, hãy tham khảo tuyên bố nhiệm vụ của tổ chức, tuyên bố các mục tiêu. Từ nguồn này, xác định tài sản là rất cần thiết để đáp ứng các mục tiêu của tổ chức, trong đó tài sản hỗ trợ các mục tiêu . Ví dụ, một công ty sản xuất mà làm cho động cơ máy bay có thể quyết định hệ thống điều khiển quá trình. Thông tin tài sản phân loại dữ liệu tác động đến lợi nhuận Thông tin truyền: Tài liệu EDI thiết lập 1-hậu cần BOL để đăng việc bảo mật cao Tài liệu EDI thiết lập 2 - nhà cung cấp bảo mật cao Tài liệu EDI thiết lập 2 - nhà cung cấp thực hiện tư vấn bảo mật trung bình Đơn đặt hàng thông qua SSL bảo mật quan trọng Yêu cầu dịch vụ khách hàng qua emai quan trọng trung bình DMZ tài sản: Edge router công cộng quan trọng Máy chủ web # 1 - trang chủ và trang web chính công cộng quan trọng Máy chủ web # 2 - máy chủ ứng dụng Bí mậ t quan trọng - BOL: vận đơn - DMZ: khu phi quân sự - EDI: trao đổi dữ liệu điện tử - SSL: lớp ổ cắm an toàn Kiểm soát các máy công cụ trên dây chuyền lắp ráp là thứ tự đầu tiên quan trọng. Trong khi vận chuyển và nhận dữ liệu nhập bàn giao là quan trọng đối với những chức năng, chúng có thể ít quan trọng nếu lựa chọn thay thế có sẵn hoặc có thể dễ dàng sắp xếp. Một quảng cáo sản phẩm của công ty và nhận được đặt trong 24 giờ một ngày là rất cần thiết, trong khi các hệ thống máy tính để bàn được sử dụng bởi các bộ phận dịch vụ khách hàng để trả lời email của khách hàng là ít quan trọng. - Những tài sản thông tin nào tạo ra doanh thu nhiều nhất? giá trị tương đối của một tài sản thông tin phụ thuộc vào bao nhiêu doanh thu nó tạo ra , trong trường hợp của một tổ chức phi lợi nhuận, làm thế nào để cung cấp dịch vụ là quan trọng. Một số tổ chức có hệ thống khác nhau cho từng ngành nghề kinh doanh hoặc dịch vụ mà họ cung cấp. Mà các tài sản nào đóng vai trò lớn nhất trong việc tạo ra doanh thu hoặc cung cấp dịch vụ? - Những tài sản thông tin nào tạo ra lợi nhuận cao nhất? Quản lý nên đánh giá bao nhiêu lợi nhuận phụ thuộc vào một tài sản cụ thể. Ví dụ, tại amazon.com, một số máy chủ hỗ trợ các hoạt động bán sách, những người khác hỗ trợ quá trình bán đấu giá, và vẫn còn những người khác hỗ trợ cơ sở dữ liệu đánh giá cuốn sách của khách hàng. Những máy chủ nào đóng góp nhiều nhất cho lợi nhuận của doanh nghiệp? mặc dù quan trọng, các máy chủ cơ sở dữ liệu đánh giá không trực tiếp tạo ra lợi nhuận. Lưu ý sự khác biệt giữa doanh thu và lợi nhuận: một số hệ thống trên đó các khoản thu phụ thuộc hoạt động trên lề mỏng hoặc không tồn tại và không tạo ra lợi nhuận. Trong tổ chức phi lợi nhuận, bạn có thể xác định bao nhiêu phần trăm khách hàng của cơ quan nhận được các dịch vụ từ các tài sản thông tin được đánh giá. - Những tài sản thông tin nào là đắt nhất để thay thế? Đôi khi một tài sản thông tin mua lại có giá trị đặc biệt vì nó là duy nhất. Nếu doanh nghiệp vẫn còn sử dụng một mô hình 129 máy keypunch để tạo ra các mục punch-card đặc biệt cho một lô chạy rất quan trọng, ví dụ, máy có thể có giá trị hơn chi phí của nó, bởi vì phụ tùng thay thế hoặc các nhà cung cấp dịch vụ có thể không còn có sẵn. Một ví dụ khác, là một thiết bị đặc biệt với một khung thời gian giao hàng lâu vì sản xuất, giao thông vận tải yêu cầu. Tổ chức phải kiểm soát nguy cơ mất mát hoặc hư hỏng tài sản , ví dụ, bằng cách mua và lưu trữ một thiết bị sao lưu. - Những tài sản thông tin nào là đắt nhất để bảo vệ? Một số tài sản là do bản chất của họ khó khăn để bảo vệ và xây dựng một câu trả lời hoàn chỉnh cho câu hỏi này có thể không được cho đến khi giai đoạn xác định rủi ro là hoàn thành, bởi vì chi phí điều khiển không có thể được tính cho đến khi kiểm soát được xác định. Tuy nhiên, bạn vẫn có thể thực hiện một đánh giá sơ bộ những khó khăn tương đối của việc kiểm soát cho từng tài sản. - Những thông tin mất tài sản hoặc sự thỏa hiệp nào sẽ là đáng xấu hổ nhất hoặc có trách nhiệm lớn nhất? Hầu hết các tổ chức nhận thức được hình ảnh của mình trong các địa phương, quốc gia, lĩnh vực quốc tế. Mất mát hoặc tiếp xúc với một số tài sản sẽ chứng minh đặc biệt là xấu hổ. Hình ảnh của Microsoft, ví dụ, đã bị hoen ố khi hệ thống máy tính của một nhân viên đã trở thành một nạn nhân của trojan qaz, và phiên bản mới nhất của văn phòng của Microsoft đã bị đánh cắp. Bạn cũng có thể cần phải xác định và đặt thêm câu hỏi cụ thể khác về quá trình đánh giá. Toàn bộ chương này để thảo luận về ví dụ để minh họa cho khái niệm tài sản . Điều này nhấn mạnh một trong những vấn đề thách thức trong quản lý rủi ro. Trong khi các ngành công nghiệp khác sử dụng cách thống kê có nguồn gốc để lập dự toán, quản lý rủi ro an ninh thông tin thiếu dữ liệu đó. Nhiều tổ chức sử dụng sử dụng nhiều phương pháp tính toán để đánh giá giá trị. Một số trong những câu hỏi ngành công nghiệp sử dụng đoán tại các giá trị trong tính toán với giá trị ước tính khác, nói rằng mức độ này không chắc chắn sẽ làm suy yếu toàn bộ nỗ lực quản lý rủi ro. Nghiên cứu trong lĩnh vực này đang diễn ra và bạn đang khuyến khích nghiên cứu những phần của chương 9, nơi thay thế, kỹ thuật quản lý rủi ro về chất lượng được thảo luận. Liệt kê Tài sản theo thứ tự tầm quan trọng Bước cuối cùng trong quá trình xác định rủi ro là để liệt kê tài sản theo thứ tự tầm quan trọng. Mục tiêu này có thể đạt được bằng cách sử dụng một yếu tố trọng phân tích bảng tính tương tự như trình bày trong bảng 8-2. một quá trình này, các tài sản thông tin được phân công một số điểm cho mỗi yếu tố quan trọng. Bảng 8-2 sử dụng NIST SP 800-30 giá trị đề nghị của 0,1-1,0. mỗi tiêu chí có trọng lượng được phân công cho thấy tầm quan trọng tương đối của nó trong tổ chức. Một đánh giá nhanh chóng của bảng 8-2 cho thấy các đơn đặt hàng thông qua lưu lượng dữ liệu SSL là tài sản quan trọng nhất trên bảng tính này, và các tài liệu EDI thiết lập 2 - nguồn cung cấp lời khuyên thực hiện là tài sản quan trọng nhất. thông tin tài sản Tiêu chí 1:tác động đến doanh thu Tiêu chí 2: tác động đến lợi nhuận Tiêu chí 2: tác động đến hình ảnh công cộng Điểm trọng Tiêu chuẩn trọng lượng (1-100); phải tổng số 30 40 30 Tài liệu EDI thiết lập hóa đơn 1-hậu cần, vận đơn để thuê ngoài 0.8 0.9 0.5 75 Tài liệu EDI thiết lập đơn đặt hàng 2 nhà cung cấp 0.8 0.9 0.6 78 Tài liệu EDI 0.4 0.5 0.3 41 . Xác định phần cứng, phần mềm và các tài nguyên mạng Sử dụng hệ thống kiểm kê tài sản mua để theo dõi các phần cứng, các mạng lưới, và có thể là các. các thiết bị và / hoặc các thành phần phần mềm. - Phiên bản phần mềm, cập nhật sửa đổi, hoặc số FCO: thông tin hiện nay về phần mềm và phiên bản phần mềm