法規(guī)遵從與風(fēng)險(xiǎn)管理

1、 2007 McAfee, Inc.法規(guī)遵從與安全風(fēng)險(xiǎn)管理法規(guī)遵從與安全風(fēng)險(xiǎn)管理王昊華南區(qū)銷(xiāo)售工程師CISSP/CISA/CCNPCIO 確保風(fēng)險(xiǎn)處于可接受確保風(fēng)險(xiǎn)處于可接受的范圍的范圍 將業(yè)務(wù)中斷降至最小將業(yè)務(wù)中斷降至最小 保護(hù)數(shù)據(jù)資源保護(hù)數(shù)據(jù)資源 降低安全和法規(guī)遵從降低安全和法規(guī)遵從的成本的成本審核審核 降低審核成本降低審核成本 自動(dòng)訪問(wèn)安全數(shù)據(jù)自動(dòng)訪問(wèn)安全數(shù)據(jù) 自動(dòng)的風(fēng)險(xiǎn)和法規(guī)報(bào)自動(dòng)的風(fēng)險(xiǎn)和法規(guī)報(bào)告功能告功能 提高可視性和精確性提高可視性和精確性IT 操作人員操作人員 將網(wǎng)絡(luò)和系統(tǒng)中斷的將網(wǎng)絡(luò)和系統(tǒng)中斷的時(shí)間降至最短時(shí)間降至最短 確定計(jì)劃和修復(fù)漏洞確定計(jì)劃和修復(fù)漏洞的優(yōu)先級(jí)的優(yōu)先級(jí) 提高

2、資源效率提高資源效率 改善工作流程改善工作流程 確保遵從內(nèi)外部策略確保遵從內(nèi)外部策略 前瞻性地預(yù)防身份信前瞻性地預(yù)防身份信息被盜息被盜 確定風(fēng)險(xiǎn)和應(yīng)對(duì)措施確定風(fēng)險(xiǎn)和應(yīng)對(duì)措施的優(yōu)先級(jí)的優(yōu)先級(jí) 提供指標(biāo)提供指標(biāo)CSO業(yè)務(wù)面臨的挑戰(zhàn)業(yè)務(wù)面臨的挑戰(zhàn)來(lái)自于安全威脅方面的風(fēng)險(xiǎn)？來(lái)自于安全威脅方面的風(fēng)險(xiǎn)？由于未遵從法規(guī)所產(chǎn)生的風(fēng)險(xiǎn)？由于未遵從法規(guī)所產(chǎn)生的風(fēng)險(xiǎn)？我的企業(yè)面臨什么樣的風(fēng)險(xiǎn)？我的企業(yè)面臨什么樣的風(fēng)險(xiǎn)？2022-2-272法規(guī)遵從丑聞法規(guī)遵從丑聞?dòng)?guó)財(cái)政部11月20號(hào)證實(shí)，英國(guó)皇家稅務(wù)及海關(guān)總署丟失兩張重要數(shù)據(jù)光盤(pán)，其中包括2500萬(wàn)人的敏感個(gè)人信息，署長(zhǎng)保羅格雷已經(jīng)宣布引咎辭職，并表示這是“稅務(wù)部

3、門(mén)重大的操作失誤”；2005年美國(guó)萬(wàn)事達(dá)卡國(guó)際組織承認(rèn)包括萬(wàn)事達(dá)、維薩、運(yùn)通等在內(nèi)高達(dá)4000多萬(wàn)信用卡用戶的銀行資料存在泄密風(fēng)險(xiǎn) ； 2006年之前中國(guó)人民建設(shè)銀行網(wǎng)站公積金信息泄露，任何人只需要通過(guò)輸入身份證號(hào)碼即可以查出賬戶余額和每月扣款額度； 中國(guó)信息保密法規(guī)處于“一張白紙”狀態(tài)。2022-2-273法規(guī)遵從現(xiàn)狀法規(guī)遵從現(xiàn)狀 A recent CSO Magazine survey revealed that regulations and compliance were the top drivers for security investments. Security risk a

4、ssessment was the top security initiative, while threat and risk management were the top concerns keeping CSOs up at night.“Security Sensor X” Feb. 2006 多數(shù)企業(yè)的法規(guī)遵從措施是分散的(de-centralized)，被動(dòng)的(reactive)，隨機(jī)的(ad-hoc)； 企業(yè)受約束的法規(guī)太多，成本很高，效率很低； 實(shí)現(xiàn)法規(guī)遵從過(guò)多的依賴技術(shù)手段，忽略了管理手段。2022-2-274法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)每個(gè)人都必須

5、有所付出每個(gè)人都必須有所付出J-SOXSarbanes-OxleyBasel IIPIPEDAEUDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPCArt. 43FFIECCPASolvency IIDPASA-PLR-DPL1.54M22-30M$3MSW 349M $30M$10+ M ISO/IEC 27001:2005運(yùn)營(yíng)運(yùn)營(yíng)管理管理安全安全2022-2-275法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)每個(gè)人都必須有所付出每個(gè)人都必須有所付出（續(xù)）（續(xù)） 企業(yè)面臨的法規(guī)太多法律的兩個(gè)屬性（屬人性/屬地性） 每個(gè)法規(guī)的流程完全不同（Dis-joint

6、ed Response） 法規(guī)遵從的延續(xù)性GLBA，HIPPA，SOX，COBIT，ISO17799/27001 管理層對(duì)實(shí)現(xiàn)法規(guī)遵從的要求行業(yè)最佳實(shí)踐（Best-practice）成本收益分析（Cost-benefit analysis）2022-2-276IT治理（法規(guī)遵從的起點(diǎn)）治理（法規(guī)遵從的起點(diǎn)） IT治理的5大目標(biāo)（Control objective）戰(zhàn)略一致性（Strategic Alignment）價(jià)值交付（Value Delivery）資源管理（Resource Management）風(fēng)險(xiǎn)管理（Risk Management）績(jī)效管理（Performance Manageme

7、nt） 4類IT資源人（People），信息（Information），應(yīng)用（Application），設(shè)施（Infrastructure） CIAA（Confidentiality/Integrity/Availability/Accountability） 3種控制手段（Physical/Technical/Operational）2022-2-277COBITIT管理規(guī)范管理規(guī)范 Cobit信息準(zhǔn)則Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability 4大類流程Plan

8、 and Organize/Acquire and Implement/Deliver and Support/Monitor and Evaluate（34個(gè)子流程） 4類控制目標(biāo)Activity Goal/Process Goal/IT Goal/Business Goal 2類考核指標(biāo)KGI（關(guān)鍵目標(biāo)指示），KPI（關(guān)鍵績(jī)效指示） 管理評(píng)價(jià)體系（CMM模型）Initial/Repeatable/Defined/Managed/Optimized2022-2-278SOX公司治理規(guī)范公司治理規(guī)范 SOX：美國(guó)證監(jiān)會(huì)對(duì)于上市公司的公司治理規(guī)范要求 Section 306除了極特殊的情況外，對(duì)

9、于發(fā)行權(quán)益性證券公司的所有董事、經(jīng)理因任職而獲得的其所任職公司的權(quán)益證券，在該權(quán)益證券的管制期間，這些董事、經(jīng)理直接或間接買(mǎi)賣(mài)或獲取、轉(zhuǎn)讓這些權(quán)益證券的行為是非法的。 Section 404內(nèi)部控制報(bào)告必須要指明公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任和包括發(fā)行人管理層最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序有效性的評(píng)價(jià)。擔(dān)任公司年報(bào)審計(jì)的會(huì)計(jì)公司應(yīng)當(dāng)對(duì)其進(jìn)行測(cè)試和評(píng)價(jià)，并出具評(píng)價(jià)報(bào)告(第404款)。 第404條款是SOX法案中最為嚴(yán)厲和最具高昂執(zhí)行成本的條款。2022-2-279ISO27001ISO安全標(biāo)準(zhǔn)安全標(biāo)準(zhǔn) A7：Asset Management（資產(chǎn)管理） A1

10、0：Communication and Operation Management（通信與操作管理） A11：Access Control（訪問(wèn)控制） A13：Information Security Incident Management（信息安全突發(fā)事件管理） A15：Compliance（遵從性）2022-2-2710安全風(fēng)險(xiǎn)的三個(gè)維度安全風(fēng)險(xiǎn)的三個(gè)維度 認(rèn)證認(rèn)證 Authentication 備份備份Back-up 負(fù)載均衡負(fù)載均衡Load Balance 監(jiān)控監(jiān)控 Monitoring 加密加密 Encryption 弱點(diǎn)弱點(diǎn)管理管理 Vulnerability Management

11、修修補(bǔ)補(bǔ)管理管理 Patch Management 防火防火墻墻 Firewall 防毒防毒 Anti-Virus 入侵入侵探測(cè)探測(cè)/防護(hù)防護(hù) IDS / IPS防防護(hù)對(duì)護(hù)對(duì)策策: 軟件漏洞軟件漏洞 Software Bug Software Bug 不必要的不必要的網(wǎng)絡(luò)風(fēng)險(xiǎn)網(wǎng)絡(luò)風(fēng)險(xiǎn) Unnecessary Services Unnecessary Services 不不恰當(dāng)?shù)拿艽a設(shè)定恰當(dāng)?shù)拿艽a設(shè)定 Weak Passwords Weak Passwords 錯(cuò)誤的配置錯(cuò)誤的配置 Mis-configurations Mis-configurations 木馬木馬/ /后門(mén)后門(mén) Trojan/

12、backdoorTrojan/backdoor 病毒病毒 Virus Spreading 蠕蟲(chóng)蠕蟲(chóng) Worm Outbreak 黑客程序黑客程序 Exploit Codes 黑客工具黑客工具 Hacker Tools 黑客攻擊黑客攻擊 Hacker Attacks 服務(wù)器服務(wù)器Workstation / Server 無(wú)線設(shè)備無(wú)線設(shè)備Wireless LANs / Devices 網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備N(xiāo)etwork Devices 數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù) Database 應(yīng)用程序應(yīng)用程序Applications2022-2-2711安全風(fēng)險(xiǎn)成本收益分析安全風(fēng)險(xiǎn)成本收益分析 資產(chǎn)價(jià)值（Asset Value

13、） 暴露因子（Exposure Factor，某種風(fēng)險(xiǎn)造成資產(chǎn)損失的百分比，實(shí)施安全方案之前EF1與實(shí)施安全方案之后EF2會(huì)顯著不同） 年發(fā)生率（Annual Rate of Occurrence） 對(duì)策成本（Countermeasure Cost） 對(duì)策價(jià)值（Benefit） Benefit = AV*EF1*ARO - AV*EF2*ARO - CC2022-2-2712McAfee安全風(fēng)險(xiǎn)模型2022-2-2713McAfee SRM安全風(fēng)險(xiǎn)管理方法論P(yáng)rotection and Compliance Integration=Key Benefits 減少成本，降低復(fù)雜度減少成本，降低復(fù)雜度增加運(yùn)作效率增加運(yùn)作效率更快的實(shí)現(xiàn)防護(hù)和法規(guī)遵從更快的實(shí)現(xiàn)防護(hù)和法規(guī)遵從+威脅保護(hù)威脅保護(hù)McAfee FoundstoneMcAfee Policy Auditor McAfee DLPMcAfee NACMcAfee IntruShieldMcAfee Total ProtectionMcAfee Secure Internet Gateway風(fēng)險(xiǎn)風(fēng)險(xiǎn) & 法規(guī)遵從性法規(guī)遵從性McAfee Preventsys