信息安全手册之安全文档指南

admin
admin
admin
102327
文章
87
评论
2022年4月1日00:34:55评论46 views字数 2298阅读7分39秒阅读模式

1、安全文档的开发和维护

1)网络安全战略

网络安全战略规定了组织的网络安全指导原则,目标和优先事项,通常在三到五年内。此外,网络安全策略还可能涵盖组织的威胁环境、网络安全计划或组织计划作为其网络安全计划的一部分进行的投资。如果没有网络安全策略,组织就有可能无法充分规划和管理组织内的安全和业务风险。
为组织制定并实施网络安全策略。

2)批准安全文件

如果安全文件未获批准,工作人员将难以确保适当的政策、流程和程序到位。安全文档的批准不仅有助于政策,流程和程序的实施,还可以确保人员了解网络安全问题和安全风险。
组织级安全文档由首席信息安全官批准,而系统特定的安全文档由系统的授权官批准。

3)维护安全文档

威胁环境是动态的。如果安全文档不能保持最新以反映当前的威胁环境,则策略、流程和程序可能不再有效。在这种情况下,可以将资源用于降低有效性或不再相关的网络安全计划或投资。
安全文档至少每年审查一次,并包括"截至[日期]的当前"或等效声明。

4)安全文档的通信

重要的是,一旦安全文档获得批准,无论是最初还是在进行任何更改之后,都要发布并传达给所有利益相关者。如果未将安全文档传达给利益干系人,他们将不知道为系统实施了哪些策略和过程。
安全文档(包括后续更改的通知)将传达给所有利益相关者。

信息安全手册之安全文档指南

2、特定于系统的安全文档

1)特定于系统的安全文档

特定于系统的安全文档(如系统安全计划、事件响应计划、持续监控计划、安全评估报告以及行动计划和里程碑)支持准确、一致地应用系统的策略、流程和程序。因此,重要的是它们是由对安全问题,所使用的技术和组织的业务需求有充分了解的人员开发的。

特定于系统的安全文档可以以多种格式呈现,包括动态内容,如 wiki 或其他形式的文档存储库。此外,根据所使用的文档框架,多个系统通用的详细信息可以合并到更高级别的安全文档中。

2)系统安全计划

系统安全计划提供了对系统的描述,并包括一个附件,描述了已为该系统确定和实施的安全控制。
可能有许多利益相关者参与开发和维护系统安全计划。这可以包括来自以下方面的代表:

1.     组织内的网络安全团队

2.     交付能力的项目团队(包括承包商)

3.     支持运营和支持能力的团队

4.     系统处理、存储或通信的数据的数据所有者

5.     正在为其开发功能的用户。

系统具有系统安全计划,其中包括系统说明和附件,其中涵盖了本文档中适用的安全控制措施以及已确定的任何其他安全控制措施。

3)事件响应计划

制定事件响应计划可确保在发生网络安全事件时,制定计划以适当地应对情况。在大多数情况下,响应的目的是防止网络安全事件升级,恢复任何受影响的系统或数据,并保留任何证据。

系统具有涵盖以下内容的事件响应计划:

1. 关于网络安全事件构成的准则

2.  可能遇到的网络安全事件的类型以及对每种类型的预期响应

3.  如何向组织内部和外部相关机构报告网络安全事件

4.  在发生网络安全事件时需要通知的其他各方

5. 负责调查和应对网络安全事件的一个或多个当局

6. 要求执法机构、澳大利亚网络安全中心或其他相关机构对网络安全事件进行调查的标准

7. 确保与网络安全事件有关的证据完整性的必要步骤

8. 系统应急措施或提及此类详细信息(如果位于单独的文档中)。

4)持续监控计划

持续监控计划可以帮助组织主动识别、优先处理和响应安全漏洞。监视和管理系统中的安全漏洞的措施还可以为组织提供有关其暴露于网络威胁的大量有价值信息,并帮助他们确定与其系统运行相关的安全风险。进行持续的监控活动非常重要,因为网络威胁和安全控制的有效性将随着时间的推移而变化。
三种类型的持续监视活动是漏洞评估、漏洞扫描和渗透测试。漏洞评估通常包括对系统体系结构的审查或深入的实践评估,而漏洞扫描涉及使用软件工具对已知的安全漏洞进行自动检查。在每种情况下,目标都是识别尽可能多的安全漏洞。然而,渗透测试旨在执行现实世界中有针对性的网络入侵场景,以尝试实现特定目标,例如损害关键系统组件或数据。无论选择何种持续监测活动,都应由独立于所评估系统的适当熟练人员进行。这些人员可以是组织内部的,也可以是第三方的。这确保了不存在利益冲突,无论是感知的还是其他的,并且活动以客观的方式进行。

系统具有持续监控计划,其中包括:

1.     至少每月对系统进行漏洞扫描

2.     至少每年对系统进行漏洞评估或渗透测试

3.     分析已识别的安全漏洞,以确定其潜在影响

4.     使用基于风险的方法,根据有效性和成本确定缓解措施的实施优先级。

5)安全评估报告

在对系统进行安全评估结束时,评估员应生成一份安全评估报告。这将有助于系统所有者执行任何初始修复操作,并指导系统行动计划和里程碑的制定。
在对系统进行安全评估结束时,评估人员会生成一份安全评估报告,涵盖:

1.     安全评估的范围

2.     系统的优势和劣势

3.     与系统运行相关的安全风险

4.     实施安全控制的有效性

5.     任何建议补救措施。

6)行动计划和里程碑

在对系统进行安全评估结束时,以及在评估人员生成安全评估报告之后,系统所有者应制定行动计划和里程碑。这将有助于跟踪系统已识别的任何弱点,并在安全评估期间确定的建议补救措施。
在系统安全评估结束时,系统所有者会制定行动计划和里程碑。

注:本文档翻译参考来源为ACSC,部分词汇在本文中做了技术性调整


关注公众号

回复“220330”获取机翻版“网络态势感知小记”PDF版


信息安全手册之安全文档指南


原文始发于微信公众号(祺印说信安):信息安全手册之安全文档指南

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月1日00:34:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息安全手册之安全文档指南http://cn-sec.com/archives/860676.html

发表评论

匿名网友 填写信息