Cissp 2024 Domain 2

# Cissp 2024 Domain 2 資產安全 ## Outline P3 2.3 Provision resources securely 其中 resources就是指Asset ## Assets, Supplies and Materials P6 圖片中最重要的就是Assets(包括people process know-how, facilities, Equipment, Retained Knowledge) ## 資產價值 P7 老師覺得這一塊感覺是生產製造的觀念編寫的 ## IT Asset Management Life cycle P8 圖沒畫完 ```mermaid flowchart 1(Plan)-->2( 最重要的 AssignSecurityNeeds * 分級 * 歸類 ) 2-->3(Acquire * Build,buy,or mix ) 3-->4(4 Deploy) 4-->5 5-->6 subgraph Discovery identity-->align-->decide(decide to manage?) end ``` Planned 是要經驗豐富才會走到這一塊 Plan 中的Goal 是Business Goal(組織目標) > 我是當上爸媽才學會當爸媽。沒有小孩前是學不會的 --- ## Information Asset Inventory P9 Relate a business or organizational 這個最重要 --- ## 2.2 2.4 2.5 資料生命週期 P16 * Create 建立 * Store 儲存 * USE 使用 * Share 分享 * Archive 封存 * Destory 銷毀在資料中，CIA哪個最重要? I最重要，正確建立正確銷毀 Create及Destory 是CIA中的I Store及Archive 是CIA中的A Use及Share是CIA都有 --- ## Information Asset Ownership 找出擁有者 P17 Owner = 負最終責任的人當資產遭受損害時，Owner 會付出代價，這個就是 Owner --- ```mermaid flowchart LR 1(1Data Subject) 2(2Data Collector/Controller) 3(3Data Processor) 4(4Data User) 5(Owner Accountability ) 6(Custodian保管者 Steward管家 Resistibility ) 5-->6-->|保管|4 1-->2 2-->3 3-->4 ``` --- ### 如何識別資安神棍養套殺製造恐懼心生畏懼需要我們的XXX --- ## Roles of Managing the Data Security Lifecycle P18 活動收集處理利用流程Data subjcec --(personaldata) ->Data collector/controller ->data user 角色 owner(Accountability) custodian/steward(Resiposibility) 有role就要想到Resposbility --- ## Data Security Policy Needs P21 Data Security Policy **不是** 總綱的Policy，而是具有明確方向的Policy，次一級 policy分為General policy(指導總綱)跟functional policy(主題明確的policy如Data Security Policy) 這種已經冠上功能(Data Security)的，主題明確的是Functional Policy 看到 XXX Policy 就是 Functional Policy 要給你明確的原則、方法 1. 要有 labels 和 levels 2. 誰可以存取 3. 如何正確地使用 1. 存取限制 2. 加密 3. 作業流程 4. 保存方法 5. 銷毀方法 --- ## Data LifeCyle Considerations P28 跟前面一樣 ## Data States 資料三態 * 儲存中 Data at rest * 移動中 Data in motion/transit 透過網路傳輸 * 使用中 Data in use 三種狀態都要有對應的保護 --- ## Data Retention 保存/封存 P30 使用頻率變成0，需要保存資料不用就銷毀嗎? 有些資料不能銷毀法律規定的，例如交易資料保存10年 --- ## Data Disposal 資料刪除銷毀 P32 刪除救得回來清除救不回來怎麼分呢? 想想excel按鍵盤上的刪除delete，它會清除文字、公式、數字和日期。但它不會清除格式，也不會刪除您選擇的儲存格。要徹底消掉要按清除格式 ![](https://hackmd.io/_uploads/ByoEJF7K6.png) * Clearning overwriting 覆蓋 * Purging degaussing, crypto-erase * Destruction 銷毀 * 美國資料銷毀標準 NIST SP 800-88r1 --- ## Solid-State Drives (SSDs) 清除 P33 SSD 使用快閃式記憶體，讀取一次壽命就少一次(底層運作是平均寫入在記憶體空間)，所以其運作機制類似陣列寫入，清除時無法用消磁或覆蓋方式。清除方式: * Purging: 加密刪除法、特殊媒體刪除指令 * Destruction: 實體破壞實體破壞在歐盟的環保法規是不允許的，必需分解成可回收的零件 --- ## 雲端資料保存議題 Cloud-Based Data Remanence P34 雲端資料刪除並非真正清除，仍然可能被回溯、甚至外洩。 [Google Drive檔案無故消失](https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwjGvfmYleGDAxXHr1YBHee7CuQQFnoECAwQAQ&url=https%3A%2F%2Ftw.news.yahoo.com%2Fgoogle%25E9%259B%25B2%25E7%25AB%25AF%25E7%25A1%25AC%25E7%25A2%259F%25E5%2582%25B3%25E7%2581%25BD%25E6%2583%2585-%25E6%25AA%2594%25E6%25A1%2588%25E7%2584%25A1%25E6%2595%2585%25E6%25B6%2588%25E5%25A4%25B1-%25E5%25AE%2598%25E6%2596%25B9%25E8%25AD%2589%25E5%25AF%25A6%25E4%25BA%2586-%25E5%25BF%25AB%25E5%2581%259A3%25E5%258B%2595%25E4%25BD%259C%25E8%2587%25AA%25E4%25BF%259D-070424998.html&usg=AOvVaw2SJoczqkjwXAVR0Iv9mHkU&opi=89978449) ## 儲存媒體 EOL/EOS P36 第三方服務提供商若終止服務，無法提供原本的使用習慣，也會造成可用性的維護。 * 使用時要考慮封存資料保存問題 * 社群媒體資料自行該保存的還是要備份 [無名小站消失](https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwjp5q7MleGDAxWkjVYBHazoB3gQFnoECBYQAQ&url=https%3A%2F%2Ftw.news.yahoo.com%2F%25E7%2584%25A1%25E5%2590%258D%25E5%25B0%258F%25E7%25AB%2599%25E5%2588%25B0%25E5%25BA%2595%25E6%2580%258E%25E9%25BA%25BC%25E6%25B6%2588%25E5%25A4%25B1-3%25E6%259A%2597%25E9%25BB%2591%25E9%2597%259C%25E9%258D%25B5-%25E6%259B%259D-%25E6%2583%25B3%25E7%2595%2599%25E8%2591%2597%25E4%25B9%259F%25E9%259B%25A3-230019744.html&usg=AOvVaw0EYRO6uYX-CpWgTxR38eJc&opi=89978449) --- ## 控制框架 Standard and Framework P41 * NIST 800-53(美國國家標準局→政府) * ENISA * ITU * ISO * 信用卡 * CIS CSC(Critical Security Control)美國民間組織 Center for Internet Security提供資安管理相關規範大部分 ISO標準是英國提出來的，美國會自己另外提出來的 --- ## Baseline Tailoring 標準剪裁→量身訂做 P43 標準是訂製還是成衣? 大多是成衣非量身訂做使用標準框架時，不見得能夠和組織文化相符，容易產生不適應問題一般標準框架不會提供實際做法，自行拿捏做到什麼程度， Tailoring:設計流程時符合標準框架的精神，適當調整。 * Scoping: 用到的留下來，不適用的拿掉。 * Compensatings control: 不適合的措施替換掉 * Altering baselines: 做一些更改或調整，但是會碰到保守稽核員挑戰標準框架條文的問題。