在51CTO安全頻道特別策劃的系列的上一篇文章《》里,J0ker給大家簡(jiǎn)單介紹了風(fēng)險(xiǎn)分析和評(píng)估的一些要點(diǎn)。我們都知道,如果同時(shí)做多個(gè)事情,就需要按照事情的輕重緩急來安排好執(zhí)行的順序和投入,實(shí)施信息安全項(xiàng)目時(shí)也必須如此,需要根據(jù)所要保護(hù)的信息資產(chǎn)的價(jià)值,來部署不同的安全方案,進(jìn)行費(fèi)效比評(píng)估,本文J0ker將向大家介紹的Information Classification(信息分級(jí)),便是這樣一個(gè)幫助組織更有效的進(jìn)行安全項(xiàng)目的重要工具。
什么是信息分級(jí)?
信息分級(jí)是組織根據(jù)信息的業(yè)務(wù)風(fēng)險(xiǎn)(Business Risk)、數(shù)據(jù)本身價(jià)值和其他的標(biāo)準(zhǔn),對(duì)信息進(jìn)行等級(jí)的劃分。組織可以通過信息分級(jí),發(fā)現(xiàn)影響影響組織業(yè)務(wù)的最顯著因素,并根據(jù)信息等級(jí)對(duì)信息實(shí)施不同的保護(hù)、備份恢復(fù)等方案。信息分級(jí)的目的在于降低組織保護(hù)自身所有信息的成本,同時(shí),信息分級(jí)對(duì)關(guān)鍵信息的標(biāo)識(shí),也可以增強(qiáng)組織的決策能力。
組織實(shí)施信息分級(jí)有什么好處?
信息分級(jí)應(yīng)該在組織級(jí)的層次上進(jìn)行實(shí)施,如果在部門級(jí)別或更低的層次上進(jìn)行實(shí)施,則體現(xiàn)不出它的優(yōu)勢(shì)。組織實(shí)施信息分級(jí)的好處有:
1、組織范圍的所有數(shù)據(jù)因?yàn)閷?shí)施了正確的保護(hù)措施而提高了保密性、完整性和可用性
2、組織可以盡可能有效的利用信息保護(hù)的預(yù)算,因?yàn)榻M織可以根據(jù)信息等級(jí)設(shè)計(jì)和部署最合適的保護(hù)方案
3、組織的決策能力和準(zhǔn)確性得以通過信息分級(jí)來增強(qiáng)
此外,組織還能通過信息分級(jí)的處理過程,重新整理自身的業(yè)務(wù)流程和信息處理需求。
信息分級(jí)的一般流程
各個(gè)組織因?yàn)樽陨淼那闆r不同,信息分級(jí)項(xiàng)目的流程都各不相同。CISSP Official Guide中提供了一個(gè)比較有效通用的流程,J0ker將要把它列在下面,并簡(jiǎn)單說一下CISSP考試中常見的題型和考察的重點(diǎn),同時(shí),這些知識(shí)點(diǎn)也是一個(gè)CISSP應(yīng)該精通的內(nèi)容。
一個(gè)標(biāo)準(zhǔn)信息分級(jí)項(xiàng)目的流程有:
1、初始準(zhǔn)備,Official Guide里面把這個(gè)階段概括為”Question to ask“,并提供了若干問題,信息分級(jí)項(xiàng)目的主管應(yīng)保證這個(gè)階段的問題都得到滿意解答才繼續(xù)項(xiàng)目。這些問題分別是:
管理層是否支持這個(gè)信息分級(jí)項(xiàng)目,不管信息分級(jí)項(xiàng)目還是其他更大的安全項(xiàng)目,管理層對(duì)項(xiàng)目的支持是項(xiàng)目成功的首要因素,CISSP CBK一直貫徹這個(gè)觀點(diǎn),也反映在CISSP考試的試卷上;
要保護(hù)的信息對(duì)象和風(fēng)險(xiǎn)因素是什么,這可以通過接下去的風(fēng)險(xiǎn)分析步驟來得到解答;
是否有法律法規(guī)上的要求,信息分級(jí)項(xiàng)目主管在實(shí)施項(xiàng)目時(shí)要優(yōu)先考慮法律法規(guī)方面的因素;
組織的信息是否為整個(gè)業(yè)務(wù)流程所擁有(Has the business accepted owner shipre sponsibility for the data),按J0ker的理解,這個(gè)問題問的應(yīng)該是組織是否已經(jīng)意識(shí)到,信息是來自于并用于組織的整個(gè)業(yè)務(wù)流程,而非只存在于各種IT設(shè)施中。
是否已經(jīng)準(zhǔn)備好進(jìn)行項(xiàng)目所需的各種資源,這些資源包括項(xiàng)目各步驟的規(guī)劃和準(zhǔn)備、人員的培訓(xùn)等
2、制定指導(dǎo)信息分級(jí)項(xiàng)目的各種策略,包括:
信息安全策略(Information Security Policy),規(guī)定了組織對(duì)自身所有數(shù)據(jù)的所有權(quán)、數(shù)據(jù)的保護(hù)需求、管理層對(duì)信息安全項(xiàng)目的支持等。信息安全策略是一個(gè)從總體上而非細(xì)節(jié)上確定組織信息安全需求的文檔,組織的所有安全項(xiàng)目都圍繞它來進(jìn)行。
數(shù)據(jù)管理策略(Data Management Policy),規(guī)定信息分級(jí)是保護(hù)信息資產(chǎn)的一個(gè)處理流程,并確定了每一個(gè)信息分級(jí)的定義、安全需求以及各角色對(duì)分級(jí)信息的責(zé)任。
信息管理策略(Information Management Policy),作為信息安全策略的補(bǔ)充,信息管理策略規(guī)定了以下幾點(diǎn):
①信息是其所屬業(yè)務(wù)單元的資產(chǎn);
②業(yè)務(wù)單元的管理者是信息的所有者;
③IT設(shè)施和部門是信息的持有人;
④定義信息分級(jí)和所有權(quán)之中使用到的各種角色和責(zé)任;
⑤定義各信息等級(jí)和其對(duì)應(yīng)的標(biāo)準(zhǔn);
⑥定義每個(gè)信息等級(jí)的最小安全需求范圍。
其中,第一、第二點(diǎn)是CISSP考試中常考察到的點(diǎn),信息分級(jí)中的各種角色和責(zé)任也是CISSP內(nèi)容中一個(gè)重要的內(nèi)容,好幾個(gè)CBK中的知識(shí)體系都與它有直接的關(guān)系。
3、風(fēng)險(xiǎn)分析:制定好信息分級(jí)項(xiàng)目所需的各種策略和流程之后,項(xiàng)目就可以進(jìn)入到下一個(gè)階段——風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)分析需要組織的各個(gè)部門的代表組成一個(gè)聯(lián)合工作小組進(jìn)行操作,如果資源或其他原因不允許,也應(yīng)該由對(duì)組織中最重要的部門的代表組成工作小組。J0ker在這次再次提醒一下,風(fēng)險(xiǎn)分析步驟成功的一個(gè)最重要因素依然是來自管理層的支持,CISSP考試中也經(jīng)常考察這點(diǎn)。
4、實(shí)施信息分級(jí):在信息分級(jí)標(biāo)準(zhǔn)確定和風(fēng)險(xiǎn)分析完成后,項(xiàng)目就進(jìn)入到信息分級(jí)的實(shí)施階段。從成本和控制難度的角度來說,一個(gè)組織對(duì)其信息使用太多的信息等級(jí)是不明智的,這樣除了會(huì)增加部署、管理成本和控制的難度外,也會(huì)因?yàn)榉旨?jí)太多而導(dǎo)致人員責(zé)任不清、效率低下等弊端,所以可以采用適當(dāng)數(shù)量的信息等級(jí)并給每個(gè)等級(jí)賦予簡(jiǎn)單易記的名字。
Official Guide中提供的信息分級(jí)示例可供參考,在一個(gè)公司里面,信息可以根據(jù)業(yè)務(wù)和風(fēng)險(xiǎn)分為3個(gè)等級(jí):Public,可公開的信息;
Internal Use Only,僅限公司內(nèi)部使用的各種信息(但不保密);
Company Confidential,公司機(jī)密文檔。
此外,在復(fù)習(xí)信息分級(jí)這個(gè)部分時(shí),還有角色及責(zé)任的定義這個(gè)知識(shí)點(diǎn)也需要著重復(fù)習(xí)一下,信息分級(jí)中的角色可以根據(jù)組織的具體情況來定義,最常見的有:
(1)、Information Owner,組織中信息所屬部門的經(jīng)理或管理者
(2)、Information Custodian,通常是IT部門,負(fù)責(zé)進(jìn)行信息的日常維護(hù)
(3)、Application Owner,組織中擁有某個(gè)處理信息的應(yīng)用程序的部門的經(jīng)理或管理者
(4)、User Manager,組織中對(duì)用戶和員工進(jìn)行管理的部門或人,HR部門便是一個(gè)例子
(5)、Security Administrator,負(fù)責(zé)管理組織中人員的系統(tǒng)帳戶等使用情況的人員,通常是組織中的網(wǎng)管
(6)、Security Analyst,負(fù)責(zé)制定組織的各種級(jí)別的信息安全計(jì)劃、各種安全文檔等,通常是CIO、CISO、CSO之類的人物
(7)、Data Analyst,負(fù)責(zé)根據(jù)組織業(yè)務(wù)進(jìn)行數(shù)據(jù)結(jié)構(gòu)或類型的設(shè)計(jì)、維護(hù)等操作的人員
(8)、Solution Provider和DataAnalyst協(xié)作,提供數(shù)據(jù)處理方案的人員
(9)、End User,最終用戶
關(guān)于各角色及其責(zé)任的定義可以在CISSPOfficialGuide中找到更詳細(xì)的解釋。根據(jù)J0ker的復(fù)習(xí)經(jīng)驗(yàn),角色1、2、4、5的定義和責(zé)任在CBK復(fù)習(xí)時(shí)是需要著重看一下。
下篇預(yù)告:《Information Security Management(4)》,J0ker將向大家介紹Policy/Standard/Guideline/Procedure等安全文檔及部署流程,還將給大家總結(jié)一下本CBK,敬請(qǐng)期待!
