最新的帖子

信息安全架构师相关资源

以下列出了我在我的环境中使用的是每日IT网络安全工作的内容。希望它将帮助其他网络安全管理员/分析员/架构与其环境进行比较。如果您确实看到我的列表中缺少一些主题,请给我留言。大多数产品和软件都可以在此博客的帖子中找到。请用 网站地图或搜索功能寻找相关帖子。
  1. 它服务
  2. 安全框架
  3. 安全模型
  4. 信息安全相关法律,行为(加拿大)
  5. 信息安全相关法律,行为(美国)
  6. 行业标准
  7. 数据中心标准
  8. 建筑工具
  9. 建筑框架
  10. 遵守
  11. 审计
  12. 隐私
  13. 调查
  14. 风险框架
  15. 事件响应
  16. 网络安全评估工具

本博客中还有其他相关帖子:

1.它服务
1.1 ITIL v3. :
  • ITIL服务策略 - 指定服务生命周期的每个阶段都必须重点关注商业案例,具有定义的业务目标,需求和服务管理原则。
  • ITIL服务设计 - 为IT策略,架构和文件的生产和维护提供指导。
  • ITIL Service Transition - 重点介绍更改管理角色和发布实践,为向业务环境转换服务提供指导和流程活动。
  • ITIL服务操作 - 根据服务支持和服务交付控制点的选择,专注于交付和控制过程活动。
  • ITIL持续服务改进 - 专注于识别和引入服务管理改进的过程元素,以及周边服务退休的问题。

1.2 IBM Maximo资产管理 : Maximo Asset Management是一家企业资产管理系统,可为资产,维护,资源和零件供应链管理需求提供全面的支持。视频关联 。包括以下模块:
  • 资产管理
  • 工作管理
  • 库存缺陷
  • 采购管理
  • 合同管理
  • 服务管理
  • KPIS /报告/分析
  • 安全/管理
  • 面向服务的架构平台
1.3 ServiceNOW. : 通过基于云的平台实现ETS服务和基础架构的结束转换。 ServiceNow®IT服务管理(ITSM)允许您在自动化服务管理进程时整合碎片工具和遗留系统。配置和快速部署很简单,因此您可以自信地快速直播,同时缩放您的业务需求。

1.4 Marval IT服务管理(ITSM)MSM软件:MSM是一家集成,创新的多级IT服务管理(ITSM)软件解决方案 - 一种安全,可靠,可扩展且稳定的ITSM技术,支持您组织的IT业务服务和增长策略。




2. 安全框架
信息安全框架是一系列记录的进程,用于定义在企业环境中信息安全控件的实现和持续管理周围的策略和过程。这些框架基本上是一个"蓝图"建立信息安全程序以管理风险并减少漏洞。信息安全专业人员可以利用这些框架来定义和优先考虑将安全性建立到组织所需的任务。

2.1 ISO27000
ISO 27000系列标准已被ISO专门用于信息安全问题。
  • ISO27001.:这是替换旧BS7799-2标准的信息安全管理系统(ISMS)的规范。
    • ISO / IEC 27001:2013年有十个短条款,加上一个很长的附件,其中封面:
      1.标准范围
      2.如何引用文档
      3.在ISO / IEC 27000中重用条款和定义
      4.组织背景和利益相关者
      5.信息安全领导和对政策的高级支持
      6.规划A.信息安全管理系统;风险评估;风险待遇
      7.支持信息安全管理系统
      8.制定信息安全管理系统运营
      9.审查系统's performance
      10.纠正措施
      附件A:列表控制及其目标
    • 14个条款和35个控制类别中有114个控件; 2005年标准在11组中有133个控件。
      A.5:信息安全策略(2个控件)
      A.6:信息安全组织(7个控件)
      A.7:人力资源安全 - 在就业前,期间或之后应用的6个控件
      A.8:资产管理(10个控件)
      A.9:访问控制(14个控件)
      A.10:加密(2个控件)
      A.11:物理和环境安全(15个控件)
      A.12:操作安全性(14个控件)
      A.13:通信安全性(7个控件)
      A.14:系统采集,开发和维护(13个控件)
      A.15:供应商关系(5个控件)
      A.16:信息安全事件管理(7个控件)
      A.17:业务连续性管理的信息安全方面(4个控件)
      A.18:遵守;具有内部要求,如政策,以及外部要求,如法律(8个控件)
  • ISO 27002:这是最初是ISO 17799标准的27000系列标准数量(其本身以前称为BS7799-1)..
  • ISO 27003:这将是旨在为实施ISMS实施指导(是管理系统)的新标准的官方数量。
  • ISO 27004:本标准涵盖信息安全系统管理测量和指标,包括建议的ISO27002对齐控制。
  • ISO 27005:这是信息安全风险管理的方法独立ISO标准。
  • ISO 27006:本标准提供了为提供ISMS认证的组织认证的准则。

2.2 cobit.
cobit.(信息和相关技术的控制目标)是由国际专业协会ISACA为信息技术(IT)管理和IT治理而创建的良好实践框架。 Cobit提供可实现的"关于信息技术的套件控制,并在与IT相关的流程和推动者的逻辑框架周围组织它们。"
Cobit 5是企业治理和管理的唯一商业框架。 ,提供企业治理的端到端商业观点,这反映了信息和技术在为企业创造价值方面的核心作用。 2012年4月,Cobit 5被释放。
Cobit组件包括:
  • 框架:由IT域和流程组织IT治理目标和良好做法,并将其与业务需求联系起来。
  • 流程描述:组织中每个人的参考流程模型和通用语言。流程映射到计划,构建,运行和监视器的责任区域。
  • 控制目标:提供一套完整的高级要求,以便管理管理,以便有效地控制每个IT过程。
  • 管理指南:有助于分配责任,同意目标,衡量性能,并说明与其他流程的相互关系。
  • 到期模型:评估每个过程的成熟度和能力,并有助于解决空白。


2.3 nist sp 800. - 网络安全框架(CSF) 

国家标准与技术研究院(美国商务部)
"联邦信息系统和组织的安全和隐私控件,"除了与国家安全相关的人之外,为所有美国联邦信息系统提供安全控制目录。网络安全框架由三个主要组件组成:核心,实施层和配置文件。

框架核心提供了一系列期望的网络安全活动和使用易于理解的语言的结果。核心指导组织在管理和降低网络安全风险的过程中,以一种补充组织现有的网络安全和风险管理流程。

框架实现层通过提供关于组织如何查看网络安全风险管理的背景来帮助组织。 Tiers指导组织考虑适​​当的Rigor为他们的网络安全计划,通常被用作讨论风险偏好,使命优先和预算的通信工具。

框架简介是一个组织的组织要求和目标,风险胃口和资源的独特对准,防止框架核心所需的成果。概况主要用于识别和优先考虑改善组织网络安全的机会。


---------------------------------------------------------------- ---------------------------------------------------------------- -----------------
这些框架之间存在重叠"人行横道"可以建立以显示遵守不同的监管标准。例如,ISO 27002在第5节中定义了信息安全策略; Cobit在该部分中定义它"计划和组织"; Sarbanes Oxley将其定义为"内部环境"; HIPAA将其定义为"分配安全责任";和PCI DSS将其定义为"维护信息安全策略。"通过使用ISO 27000等常见框架,一家公司可以使用这种人行横道流程来表现出符合HIPAA,Sarbanes Oxley,PCI DSS和GLBA等多种规定,以命名几个。

2.4 CIS CSC.(互联网安全中心 - 关键安全控制)
有效网络防御的互联网安全性安全控制中心是一个公布的计算机安全性最佳实践指南。该项目于2008年初启动,作为对美国国防产业基地组织经历的极端数据损失的回应。[1]该出版物最初由SANS研究所制定,2013年将所有权转移到网络安全(CCS)委员会,然后于2015年转移到互联网安全中心(CIS)。它早期被称为共识审计指南,它是也称为CIS CSC,CIS 20,CCS CSC,SANS Top 20或CAG 20。CIS关键安全控制为每个组织提供了用于实施和评估的每个组织提供了高度实用和有用的框架。由于该控件由社区开发并根据实际威胁数据,他们是一个权威,行业友好的和供应商中立的评估和审计安全性的方法。 (v7.0)
  • CSC 1:授权和未经授权的设备库存
  • CSC 2:授权和未经授权的软件库存
  • CSC 3:在移动设备,笔记本电脑,工作站和服务器上的硬件和软件的安全配置
  • CSC 4:持续漏洞评估和修复
  • CSC 5:受控使用行政权限
  • CSC 6:审计日志的维护,监控和分析
  • CSC 7:电子邮件和Web浏览器保护
  • CSC 8:恶意软件防御
  • CSC 9:网络端口,协议和服务的限制和控制
  • CSC 10:数据恢复功能
  • CSC 11:保护诸如防火墙,路由器和交换机等网络设备的安全配置
  • CSC 12:边界防御
  • CSC 13:数据保护
  • CSC 14:基于需要了解的受控访问
  • CSC 15:无线访问控制
  • CSC 16:帐户监控和控制
  • CSC 17:安全技能评估和适当的培训填补空白
  • CSC 18:应用软件安全
  • CSC 19:事件响应和管理
  • CSC 20:渗透测试和红色团队练习

2.5 ISA(国际自动化协会)
国际自动化协会(ISA)志愿者长期以来努力调整国家 标准(NIST)用于信息技术(IT)系统的安全和操作要求 操作技术(OT)。 ISA99委员会在实施时制作了政策和做法 妥善,走向实现工业自动化控制系统所需的安全性。

ISA / IEC-62443是一系列标准,技术报告和相关信息,可定义实施电子保护工业自动化和控制系统(IACS)的程序。


3.安全模型
  • CIA Triad. : 机密性,完整性和可用性,也称为CIA Triadd,是一种旨在指导组织内信息安全的政策的型号。该模型也有时被称为AIC三合会(可用性,完整性和机密性),以避免与中央智能局混淆。三合会的要素被认为是安全的三个最重要的组成部分。机密性是一系列限制访问信息的规则,诚信是该信息值得信赖和准确的保证,并且可用性是通过授权人员可靠地访问信息的保证。
  • 思科提供综合安全解决方案,可提供以上和超越的服务"一个尺寸适合所有"模型。此外,思科服务旨在在整个网络生命周期中提供价值,包括准备,计划,设计,实施,操作和优化的阶段(ppdioo.)。 Cisco PPDIOO模型包括从网络视觉到优化的所有步骤,使思科能够为客户提供更广泛的支持组合和最终解决方案。
  • 思科网络安全设计步骤:在开发和实施网络安全时,遵循结构化的步骤,可以帮助您解决在安全设计中发挥作用的各种问题。许多安全策略已经以偶然的方式制定,并且实际上未能获得资产并满足客户'■安全的主要目标。将安全设计的过程分解为以下步骤将有助于您有效地计划和执行安全策略:
    1. 识别网络资产。
    2. 分析安全风险。
    3. 分析安全要求和权衡。
    4. 制定安全计划。
    5. 定义安全策略。
    6. 制定应用安全策略的程序。
    7. 制定技术实施策略。
    8. 从用户,管理人员和技术人员达到买入。
    9. 培训用户,经理和技术人员。
    10. 实施技术策略和安全程序。
    11. 如果找到任何问题,请测试安全性并更新。
    12. 保持安全性。
  • PDCA(计划 - 校务制):PDCA(计划 - 校验法,有时被视为计划Do-Check-Supdate)是商业流程管理中的连续改进(CI)的重复四阶段模型.pdca由美国工程师,统计日和管理顾问W.爱德华州德华博士推广。德明经常被认为是现代质量控制之父(QC)。

4.信息安全相关法律,行为,行业标准(加拿大)

对于在加拿大经营的企业,信息安全是必不可少的,就像其他任何其他业务一样。虽然数据泄露通知不是强制性的(艾伯塔省和安大略省,New Brunswick,NewFoundland为健康信息),这可能会随着数字隐私法的可能传递而变化,并且在PCI合规性是必须在线进行业务,信息安全是重要。

4.1联邦隐私法
  • 个人信息保护和电子文件法 (皮皮达) - 涵盖企业如何处理个人信息。
    • 皮皮达在加拿大跨利润,商业活动的过程中,设定私营部门组织如何收集,使用和披露个人信息的基础规则。它还适用于联邦监管业务员工的个人信息,如:银行,航空公司,电信公司。批准于2004年。
    • 2015年,加拿大政府通过了数字隐私法案(DPA)如果他们不坚持,加拿大企业强制违反通知要求和苛刻的惩罚。作为2018年11月1日,加拿大的组织受到了个人信息保护和电子文件法(Pipeda)关于任何数据安全保障违约,将面临严格且繁重的新隐私违约要求。在下面数字隐私法案,在加拿大的商业活动过程中收集,使用和披露个人信息的每个组织必须遵循新的强制性数据违约记录保存,报告和通知规则 - 或面临重大的不合规后果。
  • 隐私法案 - 涵盖联邦政府如何处理个人信息;隐私法仅适用于在机构隐私法附表所上市的联邦政府机构。它适用于联邦政府收集,使用和披露的所有个人信息。这包括有关联邦雇员的个人信息。
4.2与信息安全有关的其他联邦法律
  • 加拿大刑法
    • 未经授权使用计算机(S.342.1);
    • 身份盗窃(S56.1,S402.1);
    • 恶作剧。 430.(1.1);
    • 淫秽(第163条);腐蚀道德。 163);
    • 制作,分发,销售或拥有儿童色情制作。 163.1)。
    • 生育儿童(第172.1);
    • 雇用私人沟通(第184页);
    • 威胁(第264页);
    • 骚扰(第264.1);
    • 促进仇恨(第319页);
    • 盗窃电信服务(第326页)
    • 闯入计算机的设备(第342.2);
    • 拥有信用卡数据(第342.3)
    • 人物(S403);
    • 用计算机协助制作银行纸币的肖像(第457页);
    • 咨询犯罪委员会(第464次);和
    • 指导刑事组织的刑事罪(第467.13),
  • Copyright Act
  • Copyright Modernization Act

与之相关的立法政府安全政策包括以下内容:
与本政策有关的财政部董事会政策,指令和标准包括以下内容:


4.3安大略省隐私法
安大略省的信息和隐私专员负责监督和执行以下省级访问和隐私法:

  • Fippa. - 安大略省公共部门隐私法的信息法律自由和保护隐私法; Fippa(隐私法案的自由法案)于1988年1月1日生效。
  • mfippa. - 安大略省市公共部门隐私法,市政信息自由及保护自由法案; MFIPPA于1991年1月1日稍后再次成为法律
  • Phipa. - 个人健康信息保护法案,2004年,安大略省的隐私法与健康记录有关,这已被视为联邦私营部门隐私法律关于卫生资料监护人的“基本相似”。 Phipa包括A和B于2004年11月1日生效。

4.4安大略省的其他相关法律
4.5 安大略省政府信息技术标准
  1. 技术标准
  2. 建筑标准
  3. 信息标准
  4. 信息技术服务管理
  5. 绿色IT标准
  6. 网络标准
  7. 安全标准
  8. 企业产品
笔记:

5.信息安全相关法律,行为,行业标准(美国)

  • HIPAA(健康保险便携性和责任法案):HIPAA(1996年的健康保险携带和问责法)是美国立法,为维护医疗信息提供数据隐私和安全条款。
  • 2002年Sarbanes-Oxley法案,俗称袜子,也称为"公共公司会计改革与投资者保护法"(在参议院)和"公司和审计问责制,责任和透明度行为"(在房子里)和更常见的叫Sarbanes-oxley,Sarbox或SOX是美国联邦法律,为所有美国公共公司委员会,管理和公共会计师事务所制定了新的或扩大要求。还有许多规定涉及私营公司的行为;例如,故意破坏证据阻碍联邦调查。包含11个部分的法案作为对许多主要公司和会计丑闻的反应,包括安龙和世界。票据涵盖公共公司董事会职责的部分为某些不当行为增加了刑事处罚,并要求证券交易委员会制定法规,以确定公共公司如何遵守法律。

6.行业标准
  • 付款卡行业数据安全标准(PCI DSS.) - 支付卡行业数据安全标准(PCI DSS)是一组广泛接受的一系列政策和程序,旨在优化信贷,借记卡和现金卡交易的安全性,并保护持卡人免受滥用其个人信息。 PCI DSS由四家主要信用卡公司共同创建:Visa,Mastercard,Discover和American Express。
  • 服务组织控制(SOC.)2 - SoC 2是一种审计程序,可确保您的服务提供商安全地管理您的数据,以保护您组织的利益和客户的隐私。对于安全意识的企业,SoC 2合规是在考虑SaaS提供商时的最低要求。 SOC 2报告侧重于业务的非财务报告控制,因为它们与系统的安全,可用性,处理完整性,机密性和隐私相关,而不是专注于财务报告控制的SoC 1 / SSAE 16。
  • GDP.(欧洲联盟) - 当一般数据保护规例(GDPR)于2018年5月25日生效时,所有与欧盟个人业务的公司都必须遵守法律的深远的数据隐私条款。


7.数据中心标准

  • SAS 70 - 审计标准第70号的陈述是衡量数据中心财务报告和记录控制的原始审计。
  • SSAE 16. - 2011年6月更换了关于认证订购标准的陈述.SSAE 16审计衡量与财务报告有关的控制。
  • SOC. 1 - 三个新的服务组织控制由AICPA开发的报告中的报告,该报告衡量数据中心的控制与财务报告相关。它与SSAE 16审计基本相同。
  • SOC. 2 - 本报告和审核与前一个完全不同。 SOC 2措施对具体相关的控制IT和数据中心服务提供商。五个控件是安全性,可用性,处理完整性(确保系统准确性,完成和授权),机密性和隐私。有两种类型:
    • 1型 - 数据中心的系统和适用于公司的设计,如公司报道。
    • 类型2 - 包括1型中的所有内容,并添加审核员的验证'对控制的运营效能的看法。
  • SOC. 3 - 本报告包括审计师对SoC 2组件的意见,并在网站和其他文件上使用额外的批准印章。该报告不如SOC 2报告更少详细和技术。
  • 欧盟 - 美国。隐私盾牌 - 什么是eu-u.s。隐私盾牌?隐私盾取代了安全的港口作为维护个人数据隐私和完整性的新法律。不同于HIPAA,PCI和SOX合规性要求,美国商务部开发了隐私盾牌以及欧洲数据保护委员会。





8.架构工具
9.建筑框架

框架描述
开放组架构框架版本9(TOGAF 9) 该框架提供产品。
扎克曼框架该框架提供产品。
国防部架构框架版本2.0(Dodaf 2.0)来自美国联邦政府的这一框架需要DODAF许可证。
国防部架构框架1.5版(Dodaf 1.5)该产品支持Dodaf 1.5的标准版本和基于活动的方法(ABM)版本。
国防部建筑框架版本1.2(MODAF 1.2)来自英国联邦政府的这一框架需要MODAF许可证。
北约架构框架版本3.0(NAF 3.0)此框架需要NAF许可证。
综合建筑框架(IAF)Capgemini的此框架需要额外的许可和安装。
联邦企业架构(FEA)参考模型这些型号需要FEA许可证。
供应链操作参考(SCOR)参考模型这些参考模型需要额外的许可证和安装百科全书。
Telemanagement(TM)论坛参考模型这些参考模型包括增强电信操作图(ETOM)模型和新的



10. 合规性,文件MGMT,Project MGMT
独立验证的合规:
  • ISO27001.
  • ISO27018
  • SOC. 1,2,3类型2
  • CSA星1.
特定于德语的遵守:
  • PCI DSS.级别1
  • HIPAA BAA.
  • Ferpa.
  • CDSA
没有把握:
  • 袜子
  • FFIEC,CAT.
  • nerc cip.
  • nist sp 800.-37和800-53

工具:
  • 符合套利是一个强大,非常灵活的基于网络的合规软件系统,用于主动管理遵守各种法规和标准。该软件提供核心功能,以管理通信,监控和记录各种合规活动的流程。
  • //www.sciforma.com/ - 计划和投资组合管理
  • OpeNext.
  • Upland Eclipse PPM.:Eclipse PPM是最好的在线项目管理解决方案之一,以帮助您在多个项目中实现战略对齐。




11.审计
  • SSAE 16.
  • SOC. 2
  • ISO 27001.
  • Fedramp.
    • 联邦风险和授权管理方案或FEDRAMP是美国联邦政府确定云产品和服务是否足够安全的计划,以便联邦机构使用。菲律德拉姆是一个风险管理计划。它是为了支持联邦云的第一政策,该政策于2011年推出,旨在合理化联邦政府'S爬行,通过将大部分移动到云端的IT基础设施分段。 FEDRAMP计划旨在清楚地清楚FISMA'S要求适用于云服务。
  • 佛罗斯卡
    • 联邦信息安全管理法(2002年)为各机构分配责任,以确保联邦政府中的数据安全。该法案要求计划官员和每个机构的负责人进行信息安全计划的年度审查,以便以成本效益,及时高效的方式保持在特定的可接受水平或低于规定的可接受水平的风险。国家标准与技术研究所(NIST)概述了符合FISMA的九个步骤:
      • 将要保护的信息分类。
      • 选择最小基线控件。
      • 使用风险评估程序进行细化控制。
      • 记录系统安全计划中的控件。
      • 在适当的信息系统中实现安全控制。
      • 一旦实施,就评估了安全控制的有效性。
      • 确定特派团或商业案例的代理水平风险。
      • 授权信息系统进行处理。
      • 连续监控安全控制。
  • nist sp 800-53a.
  • COSO-内部控制引导:COSO框架有三个维度:
    • 控制目标的性质即。
      • 运营,
      • 财务报告,
      • 遵守
    • 公司的组织宽度,即,
      • 企业级,
      • 业务单位水平,
      • 活动/流程级别
    • 有效内部控制的五个组成部分。
      • 控制环境,
      • 风险评估,
      • 控制活动,
      • 信息和沟通和监控


12.隐私
  • 隐私盾牌
  • 欧盟GDPR.


13.调查
  • ediscovery
  • 法医学


14.风险框架
企业风险对技术风险的技术风险运行风险



TRA(威胁和风险评估)
  • 协调的TRA方法(TRA-1)
  • 协调的TRA(HTRA)方法(威胁和风险评估工具)
    1. 识别资产
    2. 识别威胁
    3. 识别漏洞
    4. 计算残留风险
    5. 监控和报告
  • 信息风险评估方法2(IRAM2)
    IRAM2组件审查
    1. 范围
      • 制定环境的个人资料
      • 制定评估的范围
    2. 业务影响评估
      • 确定信息资产
      • 评估业务影响
    3. 威胁分析
      • 填充威胁景观
      • 概况威胁
      • 产生优先突出的威胁景观
      • 范围和地图威胁事件
      • 识别和地图资产影响威胁事件
    4. 漏洞评估
      • 识别漏洞和相关控制
      • 评估鉴定控制的有效性
      • 确定威胁事件和组件的每个组合的控制强度
    5. 风险评估
      • 衍生成功的可能性
      • 衍生剩余的可能性
      • 确定剩余业务影响额定值
      • 衍生剩余风险评级
    6. 风险待遇
      • 评估对抗风险偏好的风险
      • 创造风险处理计划
      • 执行风险处理计划并验证结果


15.事件响应


16.网络安全评估工具




1条评论: