CISSP 法律法规和标准
目录
- CISSP 法律法规和标准
- STRIDE 威胁建模
- DREAD 风险评估模型
- ITIL - IT 服务管理标准
- COBIT 信息系统管理
- NIST
- NIST SP 800-34 - 应急计划
- NIST SP 800-37 Rev2 RMF 风险管理框架
- NIST SP 800-88 - 数据净化指南
- NIST SP 800-122 个人身份信息保密指南
- NIST SP 800-137 - 联邦系统和组织的信息安全持续监控(ICSM)
- NIST SP 800-145 - 定义云计算
- NIST SP 800-50 - 信息安全意识计划
- NIST SP 800-18 Rev1 联邦信息系统安全计划开发指南
- NIST SP 800-53 Rev.5 SCA 安全控制参考(基线)
- NIST SP 800-53B - 附录 B 信息系统和组织的控制基线
- NIST SP 800-207 零信任架构
- 安全评估
- 渗透测试标准
- SOC 审计标准
- IT 审计标准
- SCAP - 漏洞规范 NIST SP 800-126 Rev.3
- SOX 法案
- 隐私相关法案
- 数字千年版权法 DMCA
STRIDE 威胁建模
DREAD 风险评估模型
Disaster, Reproducibility, Exploitability, Affected Users, and Discoverability (DREAD)
DREAD 可以对风险进行评分,1~100 分。
DREAD 评分系统可以基于下面 5 个问题来分析威胁:
- 受破坏的可能性
- 复现率
- 漏洞可利用性
- 影响的用户数
- 漏洞发现难易度
ITIL - IT 服务管理标准
ITIL(IT Infrastructure Library)是CCTA(英国国家计算机和电信局)于20世纪80年代末开发的一套IT服务管理标准库,它把英国各个行业在IT管理方面的最佳实践归纳起来变成规范,旨在提高IT资源的利用率和服务质量。
ITIL关注方法和实施过程。由于它关注IT服务管理(ITSM),它的视野相对COBIT来说狭窄,它主要关注IT的战术和运营层面。但它对IT服务的提供和支持定义了更为详细和更易理解的过程集。它的“目标听众”是IT人员和服务管理人员。
COBIT 信息系统管理
Controlled Objectives for Information and Related Technology
COBIT 主要是帮助企业实施IT治理和管理,通过 COBIT 提供的工具可以分析评估组织中的流程绩效.
COBIT从战略、战术、运营层面给出了对IT的评测、量度和审计方法,它的“目标听众”是信息系统审计人员,企业高级管理人员以及高级IT管理人员,如CIO。
NIST
National Institute of Standards and Technology,NIST 是美国国家标准技术研究所,前身是美国国家标准局,目前是隶属于商务部的政府实验室。
NIST SP 800-34 - 应急计划
NIST SP 800-37 Rev2 RMF 风险管理框架
Risk Management Framework,风险框架用于评估、解决和监控风险的指南或方法。
NIST SP 800-88 - 数据净化指南
NIST SP 800-122 个人身份信息保密指南
NIST SP 800-122 提供了如何保护 PII 的信息。
NIST SP 800-137 - 联邦系统和组织的信息安全持续监控(ICSM)
描述构建和维护 ISCM 的过程
NIST SP 800-145 - 定义云计算
定义云计算
NIST SP 800-50 - 信息安全意识计划
信息安全意识计划
NIST SP 800-18 Rev1 联邦信息系统安全计划开发指南
描述数据所有者、系统所有者等的责任
NIST SP 800-53 Rev.5 SCA 安全控制参考(基线)
信息系统和组织的安全和控制措施。被 SCA(Security Control Assessment)安全控制评估使用
NIST SP 800-53B - 附录 B 信息系统和组织的控制基线
NIST SP 800-207 零信任架构
安全评估
NIST SP 800-53A - 附录 A 安全和隐私评估
渗透测试标准
NIST SP 800-115 渗透测试标准
NIST 800-115 信息安全测试和评估技术指南
NIST 的渗透测试过程:
- Planning
- Information Gathering and Discovery
- Vulnerability Scanning
- Exploitation
- Reporting
OSSTMM 渗透测试标准
Open Source Security Testing Methodology Manual
SOC 审计标准
目的:用于供应商安全能力的认证体系,比如针对微软 Azure 进行认证
价值:一个通用的标准,完成第三方评估后,可以复用结果
- SSAE 18 (Statement on Standards for Attestation Engagement document 18),由 AICPA 发布。
- ISAE 3402(鉴证业务国际准则第 3402 号)国际标准,可以在美国之外使用
AICPA: American Institute of Certified Public Accountants
SOC: System and Organization Controls,或 Service Organization Controls
SSAE 18 和 ISAE 统称为 SOC 审计。
SOC 有三种形式的声明:
- SOC 1 声明:使用 SSAE 18 执行标准,评估可能影响财务报告准确性的控制措施
- SOC 2 声明:评估可能影响 CIA 三性及隐私的措施,结果通常保密,根据 NDA 对外共享
- SOC 3 声明:评估可能影响 CIA 三性及隐私的措施,通常对外公开
SOC 1 根据 SSAE-16/SSAE-18 编写
SOC 1 根据 SSAE-16/SSAE-18 编写,SAS-70 已被 SOC 1/SSAE-16/SSAE-18 取代。
IT 审计标准
目的:查看企业的 IT 控制是否正确实施
COBIT:Control Objectives for Information and Related Technologies 信息和相关技术控制目标。由 ISACA 维护。
ISO 27001 :信息安全管理系统的标准办法(ISMS),企业可以使用这种标准进行认证。
ISO 27002:介绍信息安全控制措施的更多细节。
ISO 27001
描述 information security management system (ISMS) 的要求,专注于维持 CIA,属于风险管理的一部分。
ISO 27001是管理标准,而不是安全标准。它为组织内的安全管理提供了一个框架,但它没有像SOC 2一样提供安全的“黄金标准”以确保组织的安全性。
ISO 27001采用基于风险评估的方法。信息安全风险评估用于识别组织的安全要求,然后识别将风险控制在组织可接受的安全控制水平。按照 ISO 27001 实施并不表示系统一定是安全的,SOC2 则可以确保系统按照规范的进行实施,可以保证系统的 CIA。
SCAP - 漏洞规范 NIST SP 800-126 Rev.3
Security Content Automation Protocol
SCAP 安全内容自动化协议(主要关注 CVE)
漏洞描述的标准 SCAP(由 NIST 提供,Security Content Automation Protocol):
- CVE(Common Vulnerabilities and Exposures):漏洞描述(命名系统)
- CVSS(Common Vulnerability Scoring System):漏洞严重性的标准化评分,0~10 分,7 以上为严重
- CCE(Common Configuration Enumeration):系统配置问题的描述(命名系统)
- CPE(Common Platform Enumeration):提供一种操作系统、应用程序及设备的命名系统
- XCCDF(Extensible Configuration Checklist Description Format):提供一种描述安全检查表 checklist 的语言
- OVAL(Open Vulnerability and Assessment Language):描述安全测试步骤
SOX 法案
萨班斯法案,设计会计职业监管和保护投资者的法律
隐私相关法案
美国宪法第四修正案
不得在人员未同意或者没有搜查证的情况下进行搜查。
美国 1974 隐私法案 - 仅适合联邦政府
限制联邦政府机构在没有事先得到当事人书面同意的情况下向其他人或机构透露隐私信息的能力。
电子通信隐私法 ECPA
Electronic Communications Privacy Act
适用于非法窃听、非授权访问电子数据的行为。 针对手机的窃听,处以最多 500 美元和 5 年监禁。
通信执法协助法案 CALEA
Communications Assistance for Law Enforcement Act
修正了 ECPA,允许在法院同意的情况下由执法人员进行窃听。
美国 1999 GLBA 金融现代化法
金融现代化法(GLBA)对金融机构制定了严格的隐私法规,包括向客户提供隐私书面通知。涉及金融、保险等行业
FERPA 家庭教育权利和隐私法案
学生相关的数据
COPPA 儿童在线隐私保护法
COPPA 对关注儿童或有意收集儿童信息的网站提出一系列要求:
网站必须有隐私声明,明确说明所收集信息的类型和用途,包括是否有任何信息泄露 给第三方。隐私通知还必须包含网站运营商的联系信息
必须向父母提供机会,使其能够复查从孩子那里收集的任何信息,并可从网站记录中永久删除这些信息
如果儿童的年龄小于 13 岁,那么在收集任何信息前,必须征得其父母的同意。法律中有例外情况,允许网站为获得父母的同意而收集最少量的信息
GDPR 通用数据保护条例
European Union’s General Data Protection Regulation (GDPR)
第 107 条规定,禁止将个人数据转让给第三国或国际组织。
数据泄露后 72 小时上报
GDPR 用于替换之前颁布的 DPD。
GDPR 的一些主要规则:
- 合法、公平、透明:必须对数据处理活动保持公开和诚实的态度
- 目的限制:必须清楚记录和披露使用数据的目的,而且按照披露来使用数据
- 数据最小化:确保处理的数据可以满足既定目的,并且仅限于你使用这些数据
- 准确性
- 存储限制:仅在合法、公开目的所需的时间内保留数据,遵守“遗忘权”,允许人们在不需要时删除这些信息
- 安全性
- 问责性
美国 HIPAA 健康保险流通和责任法案
指定了一系列如何处理健康信息的规定:
在确保私密性的情况下保存病人信息档案 6 年
新法规强制要求:第三方商业伙伴与数据所有者(实体)一样,直接受到 HIPAA 和 HIPAA 执法活动的约束,
两个公司需要签署商业伙伴协议(BAA)的书面合同约束。
美国 HITECH
HITECH 是 HIPAA 的修订,新增了泄露通知,如果发生泄露,则必须讲信息告知受影响的个人,当信息泄露超过 500 人时,必须通知卫生与社会服务部门和媒体。
加拿大隐私法 PIPEDA
Personal Information Protection and Electronic Documents Act
PIPEDA 不适合于非营利组织、市政府、学校和医院。
包含下列个人数据:
- 种族、民族、宗教
- 年龄、婚姻情况
- 医疗、教育、工作经历、财务信息
- DNA
- 身份证
- 员工绩效记录
数字千年版权法 DMCA
受保护的类型:
- 文学作品(计算机软件属于此分类)
- 音乐作品
- 戏剧作品
- 哑剧和舞蹈作品
- 绘画、图形、雕刻作品
- 电影和其他音响作品
- 声音录音
- 建筑作品
版权的保护期:
- 单个或多个作者:最后一位作者去世后 70 年内
- 因受雇而创作的作品:作品第一次发表 95 年,或者创建之日起 120 年,其中较短的一个
数字化相关:
- 针对 DVD 等违权最高判处 100w 美元和 10 年监禁
- 使用 ISP 线路违权时,ISP 承担责任。但是对于用户的临时性活动不负责(比如临时发送一些东西,不知道目标人)