缓解内部威胁:明确记录并持续执行控制措施

admin 2022年12月1日11:23:06企业安全评论38 views4505字阅读15分1秒阅读模式

回复“221122”中获得“缓解内部威胁:了解并保护关键资产”PDF版

缓解内部威胁:了解并保护关键资产

缓解内部威胁:制定正式的内部风险管理计划

缓解内部威胁:明确记录并持续执行控制措施

最佳实践:明确记录并持续执行控制措施

对所有的组织行政控制(如政策和程序)有一个一致的、明确的信息, 可以减少员工在无意中损害他们的组织,或因认为的不公正而对组织或其他员工大发雷霆的机会。

各组织必须确保其政策和控制是

1.公平,包括对任何违反行为的相称后果

2.传达给组织的全体员工

3.始终如一地执行

缓解内部威胁:明确记录并持续执行控制措施

保护性措施
被误解的、未被沟通的、或执行不一致的行政控制会在工作团队成员中滋生怨恨,并可能导致有害的内部人员行动。在CERT内部威胁事件库中,有多个此类行动的例子。在这些例子中,由于员工不了解组织拥有他们创造的知识产权(IP),他们将该知识产权带到他们的新工作中,违反了组织政策。当这些人因他们不知道自己犯下的罪行而被逮捕时,他们感到很惊讶。

组织应确保行政控制提供以下内容。

-简洁和连贯的文件,包括政策或程序的理由(如果需要)。

-对员工进行一致和定期的政策培训,包括政策的理由、实施和执行。

该组织应特别明确有关以下方面的行政控制。

-对组织的系统、信息和资源的使用和披露

-特权账户或管理员账户的使用

-对作为工作成果的信息的所有权

-对员工绩效的评估,包括对晋升和财务奖金的要求

-处理员工申诉的过程和程序

-规定可接受的工作场所行为的政策和程序

缓解内部威胁:明确记录并持续执行控制措施

IRMP是一个全组织的计划,有一个既定的愿景,并为其参与者确定了角色和责任。所有参与者必须接受基于角色的专门培训。该计划必须建立标准和门槛,以确定内部人员的风险,进行调查,提交给调查人员,并建议缓解措施。
当个人加入组织时,他们应该收到一份组织的政策,明确规定(1)作为员工的一员,对他们的期望是什么;(2)如果他们违反这些政策,可以预期的后果。组织应收集并保留每个人阅读并同意组织政策的证据。
系统管理员和其他可以不受限制地访问信息系统的人(即特权用户)给组织带来了独特的挑战。组织应考虑为特权用户建立一个关于可接受的使用或行为规则的特殊政策。组织应至少每年与特权用户重申这一政策,并考虑实施解决方案来管理相关类型的特权账 户。(见最佳实践10)。
员工的不满情绪是内部人员妥协的一个经常性因素,特别是在内部信息技术(IT)破坏和工作场所暴力 案件中。在每个案例中,员工的不满是由一些未满足的期望引起的,包括以下几点。
· 加薪或奖金不足
· 对组织资源使用的限制
· 权力或责任减少
· 认为有不公平的工作要求
· 认为受到同事、主管或组织的恶劣对待
清楚地记录政策和控制措施可以防止误解,从而导致期望的不满足。始终如一地执行政策可以确保工作团队成员不认为他们受到与其他工作团队成员不同或更差的待遇。组织还必须确保其管理层不被豁免于政策和程序。否则,就会出现以下情况:(1)组织中并非每个人都被要求遵守同样的标准,(2)管理层不完全支持政策或程序。
组织不是静态的实体;它们不可避免地会改变其政策和程序。
一个组织应定期审查其行政文件,以确保这些文件继续为其预期目的服务,并且是最新的。劳动力成员的限制、特权和责任也会发生变化。组织必须采取以下措施,以应对变化对其员工队伍的影响。

· 认识到变化对工作团队成员来说是特别紧张的。

· 认识到与这些压力点相关的风险增加。

· 通过清楚地传达员工队伍在未来可以期待什么来减轻风险。

挑战

组织在实施这一最佳实践时可能面临以下挑战。

.设计良好的政策-制定清晰、灵活、公平、合法和适当的组织政策和控制措施可能是困难的。

.执行政策-组织必须平衡政策执行的一致性和公平性,特别是在情有可原的情况下(如自然灾害、个人医疗事件)。

.管理政策-组织必须定期审查和更新其政策,以确保它们继续满足组织的需要,并确保将更新的政策分发给所有员工。

- 维护和执行计划时间表,根据正在进行的经验教训(包括内部和外部)、最佳做法和利益相关者的意见,更新章程指南、程序和政策。

案例研究:申诉报复

一家政府机构聘用该内线为首席软件工程师。该内部人员领导的团队正在开发一个软件套件。在发现该软件套件的首次实施存在重大问题后,机构管理层要求内部人员记录所有源代码,并实施配置管理和开发过程的中央控制。

该内部人员后来得知,该组织正计划将该套软件的未来开发工作外包出去,将她降职、减薪,并将她调到另一个办公室。当该项目仍在该内部人员的控制之下时,她以一种隐晦的方式编写代码,以破坏项目的过渡。

该内部人员提出申诉并请了假。该组织拒绝了申诉,而该内部人员辞职了。在辞职之前,该内部人员将源代码复制到可移动媒体上,并用密码进行了加密。然后,该内部人员从她的笔记本电脑中删除了源代码,她在辞职时交出了该笔记本电脑。她解释说,她故意删除了源代码,作为上交前擦拭笔记本电脑的一部分,但她没有透露她保留了一份源代码的副本。

该组织发现,她删除了该系统唯一已知的源代码副本--当时正在生产中使用的安全相关系统。该系统的可执行程序继续运行,但由于源代码丢失,该组织无法修复错误或进行改进。

调查人员最终在内部人员的家中发现了该软件的加密副本。9个月后,该内部人员终于承认了她的罪 行,并提供了该加密软件的密码钥匙。她被逮捕,被定罪,被判处一年监禁,并被命令支付13,000美元的罚款和赔偿金。

在这个案例中,组织应该为软件开发建立、分发和执行明确的政策、程序和流程。如果该组织让所有的软件项目都遵守这些要求,那么这个事件就可以避免,因为开发者会知道她的雇主期望什么。此外,由于这是一个关键任务系统,该组织应该有一个变更管理计划,要求将源代码提交给变更管理计划经理, 以维护软件基线。这些措施可以确保内部人员以外的人拥有源代码的副本。
案例研究:联合动力


一家政府实体的IT部门雇用该内线为网络管理员。该内部人员建立了该组织的网络,是唯一拥有网络密码并真正了解网络运作方式的人。他拒绝授权给其他管理员。该组织因其表现不佳而对其进行了训斥。该内部人员在被一名同事撞见后威胁该同事;随后该内部人员被重新分配到另一个项目。该内部人员拒绝交出网络密码,因此该组织终止了他的工作并将其逮捕。结果,该组织的主要计算机网络被锁定了近两个星期。

该内部人员被捕后,他的同事发现他在隐蔽的地方安装了流氓接入点

并设置了该组织的系统,如果有人试图在没有适当密码的情况下重置系统,就会失败。该内部人士向警方提供了密码,但没有一个成功。后来,他在与一名政府官员会面时交出了真正的密码,而这名官员是该内部人士唯一信任的人。该内部人士为自己的行为辩护,声称这些行为符合标准的网络安全做法。该内部人员被定罪并被判处四年监禁,目前正在等待经济处罚听证会。该组织的事件相关损失在20万至90 万美元之间。


这个案例说明了一个组织需要持续执行政策和程序。内部人员能够在几乎没有监督的情况下控制该组织的网络,并成为一个单点故障。一个组织中应该有一个以上的人了解和访问其网络。这种冗余减少了由于雇员的损失或恶意行为而导致的系统故障的可能性。它还实现了一个检查和平衡系统,由其他管理员监控网络的硬件或软件变化。

快速赢利和高影响力的解决方案

所有组织

本小节中的建议适用于所有组织。

有些组织可能没有专门负责安全的部门(例如,物理安全、IT安全)。然而,这一最佳实践的基本主题仍然适用。

 

²确保高级管理层倡导、执行和遵守所有的组织政策。没有管理层支持的政策将不会被平等地执行,并且会失败。所有级别的管理层都必须遵守政策。如果管理层不遵守,下属就会认为这种不遵守是政策不重要的表现,或者他们的标准与管理层不同。组织还应该把政策的例外情况清楚地传达给全体员 工。

²确保管理层向全体员工介绍所有政策和程序。雇员、受信任的外部实体和临时工应在被雇用时签署可接受的使用政策和可接受的工作场所行为政策,此后每年签署一次,或在发生重大变化时签署。签字。签署这些政策也是组织及其员工、承包商和重申任何保密协议的机会。

²确保管理层让所有部门的工作成员都能轻松获取组织的政策。在组织的内部网站上发布政策可以促进政策的广泛传播,确保每个人都能获得最新的政策信息。

²确保管理层强制要求对全体员工进行年度复习培训。复习培训应涵盖组织的所有方面,而不仅仅是信息安全。培训应包括人力资源、法律、物理安全和其他感兴趣的领域。培训内容可以包括但不限于政策的变化、过去一年中出现的问题以及信息安全趋势。

²确保管理层在整个员工队伍中一致地执行政策,以防止出现偏袒或不公正的现象。组织的人力资源部门应制定政策和程序,明确规定违反特定政策的后果。这种方法使组织更容易明确和简洁地执行其政策。

缓解内部威胁:明确记录并持续执行控制措施

详情更新也可以“阅读原文”

本文整理自:卡内基梅隆的第七版《缓解内部威胁的常识指南》

缓解内部威胁:明确记录并持续执行控制措施


  1. >>>等级保护<<<
  2. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  3. 网络安全等级保护:等级保护测评过程及各方责任
  4. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  5. 网络安全等级保护:什么是等级保护?
  6. 网络安全等级保护:信息技术服务过程一般要求
  7. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  8. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  9. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  10. 闲话等级保护:测评师能力要求思维导图
  11. 闲话等级保护:应急响应计划规范思维导图
  12. 闲话等级保护:浅谈应急响应与保障
  13. 闲话等级保护:如何做好网络总体安全规划
  14. 闲话等级保护:如何做好网络安全设计与实施
  15. 闲话等级保护:要做好网络安全运行与维护
  16. 闲话等级保护:人员离岗管理的参考实践
  17. 信息安全服务与信息系统生命周期的对应关系
  18. >>>工控安全<<<
  19. 工业控制系统安全:信息安全防护指南
  20. 工业控制系统安全:工控系统信息安全分级规范思维导图
  21. 工业控制系统安全:DCS防护要求思维导图
  22. 工业控制系统安全:DCS管理要求思维导图
  23. 工业控制系统安全:DCS评估指南思维导图
  24. 工业控制安全:工业控制系统风险评估实施指南思维导图
  25. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  26. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  27. >>>数据安全<<<
  28. 数据安全风险评估清单

  29. 成功执行数据安全风险评估的3个步骤

  30. 美国关键信息基础设施数据泄露的成本

  31. VMware 发布9.8分高危漏洞补丁

  32. 备份:网络和数据安全的最后一道防线

  33. 数据安全:数据安全能力成熟度模型

  34. 数据安全知识:什么是数据保护以及数据保护为何重要?

  35. 信息安全技术:健康医疗数据安全指南思维导图

  36. >>>供应链安全<<<

  37. 美国政府为客户发布软件供应链安全指南

  38. OpenSSF 采用微软内置的供应链安全框架

  39. 供应链安全指南:了解组织为何应关注供应链网络安全

  40. 供应链安全指南:确定组织中的关键参与者和评估风险

  41. 供应链安全指南:了解关心的内容并确定其优先级

  42. 供应链安全指南:为方法创建关键组件

  43. 供应链安全指南:将方法整合到现有供应商合同中

  44. 供应链安全指南:将方法应用于新的供应商关系

  45. 供应链安全指南:建立基础,持续改进。
  46. 思维导图:ICT供应链安全风险管理指南思维导图
  47. 英国的供应链网络安全评估

原文始发于微信公众号(祺印说信安):缓解内部威胁:明确记录并持续执行控制措施

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月1日11:23:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  缓解内部威胁:明确记录并持续执行控制措施 http://cn-sec.com/archives/1436755.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: