Choson資安大小事

關於資料治理中的安全性，適用於 歐盟的《通用數據保護條例》（GDPR） 和《 金融工具市場指令II》（MiFID II） ，以及US 31 USC 310，這是一項針對金融犯罪中的數據的法規。

在更大範圍內，《 美國多德-弗蘭克法案》 解決了保存記錄的透明度問題。在 美國首都的綜合分析和審查（CCAR） 的框架地址的資料質量和管理。在歐洲，MiFID II解決了資料收集過程，而巴塞爾協議III則包含了風險管理和資本充足性方面的資料治理規定。

在中國， 銀行和保險監督管理委員會（CBIRC） 於2018年5月發布了準則，其中包括針對金融公司的規定，分配建立資料治理系統，資料質量控制以及相關激勵和問責制的責任。在中國， 銀行和保險監督管理委員會（CBIRC）於2018年5月發布了準則，其中包括針對金融公司的規定，分配建立資料治理系統，資料質量控制以及相關激勵和問責制的責任。
儘管 針對風險資料匯總的MiFID II，Basel III和 BCBS 239規則來自歐洲，但它們確實會影響整個亞洲乃至全球的合規性。此外， 由國際會計準則理事會（IASB）創建 的 國際財務報告準則（IFRS ） 設置了可用於資料治理的分類和會計規則。任何形成其治理框架的公司都應了解這些規定。
因此，如果能夠很好地處理資料治理的特徵和規則，公司還可以部署 企業資料管理（EDM）和主資料管理（MDM） 系統，以執行資料治理中的規定。這些系統對資料進行清理，豐富和整理，以標準化資料定義方式，並生成元數據，該元數據以完整性，問責性和安全性幫助實施數據治理框架。
有了資料治理要素的知識，這既是公司本機工作的一部分，又是其合規要求的一部分，管理層將更有能力在市場上開展業務，並降低其運營和監管風險。
資料來源：GoldenSource

相關讀物
. 資料治理
. 什麼是資料治理？
. 什麼是資料治理，為什麼重要？
. 隱私，保密性和合規性資料治理指南
. 企業信息管理：資料治理的最佳實踐
. 如何創建資料治理計劃以控制您的資料資產
. 什麼是資料治理？管理資料資產的最佳實踐框架
. 資料治理的定義，挑戰和最佳實踐
. 什麼是資料治理（以及為什麼需要它）？
. 資料監管–為何，為什麼，如何，誰以及15種最佳做法

資料來源： Wentz Wu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

職位描述是職位設計的輸出之一，它考慮了“分工”的原則，需要人力資源部和研發部進行協作。職位描述是確定需要了解的最重要信息之一，因為它包含職位的職責和職責。
背景調查或安全檢查是在僱用之前進行的，通常對某些級別的員工或職位進行定期檢查。安全檢查是政府部門或機構的正式背景檢查程序；它支持基於標籤或網格的強制訪問控制（MAC）。此外，您的授權意味著根據需要知道的自由訪問控制（DAC）。

-職位描述內容（來源：Prachi M）
工作設計是將工作組織成執行特定工作所需的任務的過程。工作設計涉及將任務，職責和責任組織到一個工作單元中以實現某些目標的自覺努力。人力資源經理應該對組織內各個職位的設計和規格有濃厚的興趣。（拉傑古（K Rajguru））

-工作設計決策（來源：http : //www.whatishumanresource.com/job-design）
參考
. 工作設計
. 什麼是工作設計？
. 職位設計（WhatIsHumanreSource）
. 職位描述與職位規格

資料來源： Wentz Wu QOTD-20210219

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

跨站請求偽造（Cross-Site Request Forgery：CSRF）
跨站請求偽造（CSRF）是一個很好的選擇。傳統的CSRF攻擊會發生以下先決條件：

1. 受害用戶已登錄到系統（例如，在線銀行）。
2. 受害用戶單擊帶有偽造或操縱參數的惡意超鏈接。
3. 受害系統接受作為HTTP GET請求發送的URL。
   以下是緩解CSRF攻擊的技巧：
4. 系統不應接受通過GET進行的交易請求。而是應通過POST，PUT或DELETE完成事務。RESTful API通過以下方式使用HTTP動詞/方法：GET用於查詢，POST用於插入，PUT用於修改，DELETE用於刪除。
5. CSRF攻擊也可以通過iframe內的HTTP形式觸發。因此，應執行同源政策。現代Web瀏覽器默認情況下啟用同源策略。
6. 攻擊者可以從攻擊工具發送CSRF攻擊。減輕這種風險的最終方法是以每種HTTP形式實現存儲在隱藏輸入中的身份驗證代碼。Microsoft ASP.NET MVC很好地支持此功能。

重播(Replay)
重播可能由中間人，惡意用戶或無意行為觸發。重播消息可能會或可能不會被操縱。該問題並不建議緩解重放攻擊。
參考
. 跨站點腳本（XSS）
. 跨站請求偽造（CSRF）
. 防止ASP.NET MVC應用程序中的跨站點請求偽造（CSRF）攻擊
. 財務導向的Web應用程序中的常見安全問題
. 同源政策
. 同源策略：現代瀏覽器中的評估
. 現代瀏覽器中的原始策略執行
. 同源政策的權威指南
. 靜默提交POST表單（CSRF）的示例

資料來源： Wentz Wu QOTD-20200520

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

通用標準（ISO 15408）指定了評估IT產品而不是供應商資格的標準。

-通用標準評估

FOCI（外國所有權，控制權和影響力）
FOCI（外國所有權，控制權和影響力）是常見的法規要求，例如32 CFR§2004.34和4.30.30。在加拿大的外國所有權，控制權或影響力。CFR是美國聯邦法規（Code of Federal Regulations）的首字母縮寫。

CMMI（能力成熟度模型集成）
作為收單方，您可以通過有效地使用從供應商的CMMI-DEV的開發計劃中獲得的信息，從供應商的CMMI-DEV的使用中受益，並避免與不切實際的期望相關的陷阱。（Osiecki）
“ CMMI可以使用兩種不同的方法進行評估：分階段和連續。分階段方法得出的評估結果是五個成熟度級別之一。連續方法產生四個能力級別之一。” （維基百科）

-CMM和CMMI成熟度級別比較

OWASP SAMM（軟件保障成熟度模型）
鑑於ISACA收購了CMMI Institute，並且材料擁有版權，因此OWASP的SAMM（軟件保證成熟度模型）是一個開放項目。

-SAMM模型結構

參考
. 外國所有權控製或影響：FOCI補充數據表
. CMMI：國防部的觀點
. 什麼是CMMI？優化開發流程的模型
. 了解和利用供應商的CMMI®努力：收購者指南（V1.3修訂版）

資料來源： Wentz Wu QOTD-20210218

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

根據機密性，應將要求國家安全資訊的第12356號行政命令分類為“最高機密”，“機密”或“機密”只是對數據進行分類的一種方法。
計算機，軟體，網路等是資產。可以根據不同的標准或觀點對它們進行分類或分類。該問題介紹了FIPS 199所要求的方式。一般而言，可以根據“業務價值”對資產進行分類或分類。Wentz Wu的書 《有效的CISSP：安全和風險管理》中有詳細資訊。

-分類系統
如果您在NIST SP 800-60 V2 R1中查找有問題的資訊類型，則表明航空運輸的安全類別為“低”。但是，您可以證明評估的合理性並修改建議值。在這篇文章中，此航空運輸的可用性等級為“中等”僅用於演示目的。

NIST RMF中的“分類系統”步驟需要兩個文檔：FIPS 199和NIST SP 800-60。
. FIPS 199定義了確定資訊系統的安全類別及其處理的資訊類型的標準和過程。
.資訊類型的高水位標記(high water mark)確定了有關機密性，完整性和可用性的系統安全類別。
就機密性而言，“公共”和“機密”是常見的數據分類方案。這不是FIPS 199和RMF中採用的方式。“災難性”是用於評估潛在影響的因素。

-NIST RMF–風險管理框架（NIST SP 800-12 R1）

-安全目標的潛在影響定義（來源：FIPS 199）

-任務資訊的安全分類（來源：NIST SP 800-60 V2 R1）

資料來源： Wentz Wu QOTD-20210217

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-具有關鍵風險因素的通用風險模型（NIST SP 800-30 R1）

關鍵風險因素(Key Risk Factors)
風險(Risk)
風險是威脅事件發生的可能性(likelihood)以及事件發生時潛在不利影響(impact)的函數。

可能性(LIKEIHOOD)
在評估可能性，組織檢查的漏洞是威脅事件可以利用，也是使命/業務功能的敏感性，為其中沒有安全控件或安全控制的可行的實現存在的事件（例如，由於函數依賴，尤其是外部依賴性）。

影響(IMPACT)
威脅事件的影響程度是指由於未經授權披露信息，未經授權修改信息，未經授權破壞信息，或丟失信息或信息系統可用性而可能導致的危害程度。

風險模型(Risk Model)
風險模型(Risk Model)在識別威脅事件的詳細程度和復雜程度上有所不同。當威脅事件被高度明確地識別後，就可以對威脅情景進行建模，開發和分析。

威脅(Threat)
任何情況或事件(circumstance or event)都可能通過信息系統通過未經授權的訪問，破壞，披露，修改信息等對信息系統，組織資產，個人，其他組織或國家產生不利影響的 組織活動（包括使命，職能，形像或聲譽）和/或拒絕服務。威脅事件（Threat events ）是由威脅來源（threat sources.）引起的。

威脅來源（Threat Source）
旨在有意利用漏洞或可能偶然觸發漏洞的情況和方法的意圖和方法。威脅代理（threat agent.）的同義詞。

威脅演員（THREAT ACTOR）
構成威脅的個人或團體。

威脅事件（Threat Event）
可能導致不良後果或影響的事件或情況。

脆弱性（Vulnerability）
應用程序，系統，設備或服務的錯誤，缺陷，弱點或暴露，可能導致機密性，完整性或可用性失敗
NIST特殊出版物800-39提供了有關風險管理層次結構中所有三個級別的漏洞以及如果威脅利用此類漏洞可能發生的潛在不利影響的指南。

威脅場景（THREAT SCENARIO）
通常，風險是一系列威脅事件的結果，每個威脅事件都利用一個或多個漏洞。組織定義威脅情景，以描述由威脅源引起的事件如何造成或造成傷害。威脅情景的開發在分析上很有用，因為除非並且直到利用了其他漏洞，否則某些漏洞可能不會受到利用。
威脅情景講述了一個故事，因此對於風險交流和分析都非常有用。

預處置條件（Predisposing Condition）
預處置條件是組織，任務或業務流程，企業體系結構，信息系統或運營環境中存在的條件，該條件會影響（即增加或減少）威脅事件一旦引發就導致不利後果的可能性。對組織運營和資產，個人，其他組織或國家產生影響。
預處置的概念也與術語易感性或暴露有關。如果威脅無法利用漏洞來造成不利影響，則組織不會受到風險（或承受風險）的影響。例如，不使用數據庫管理系統的組織不容易受到SQL注入的威脅，因此不容易受到這種風險的影響。
資料來源
. NIST CSRC詞彙表
. NIST SP 800-30 R1

需要知道（Need-to-know）
授權的官方信息持有人做出的決定，即預期的接收者需要訪問特定的官方信息才能執行公務。

最低特權（Least privilege）
一種安全原則，將授權人員的訪問權限（例如，程序執行權限，文件修改權限）限制為執行其工作所需的最低限度。

職責分離（Separation of Duty ：SOD）
一種安全原則，將關鍵職能劃分給不同的工作人員，以確保沒有人擁有足夠的信息或訪問特權來進行破壞性欺詐。

雙重控制（Dual control）
使用兩個或多個單獨的實體（通常是個人）共同運行以保護敏感功能或信息的過程。沒有一個實體能夠訪問或使用這些材料，例如，加密密鑰。

拆分知識（Split knowledge）
將加密密鑰分為n個密鑰組件的過程，每個組件都不提供原始密鑰的知識。隨後可以組合這些組件以重新創建原始的加密密鑰。如果需要了解k個（其中k小於或等於n個）組成部分的知識來構造原始密鑰，則任何k – 1個密鑰組成部分的知識都不會提供有關原始密鑰的信息，但可能會提供其長度。注意，在本建議書中，拆分知識並不旨在涵蓋關鍵份額，例如門限或多方簽名中使用的份額。

取證（Forensics）
以保持數據完整性的方式收集、保留和分析計算機相關數據以用於調查目的的做法。

資料來源： Wentz Wu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

NIST SP 800-88 R1引入了三種清消方法：清理（clear），清除(Purge)和銷毀(destory)。“銷毀(Destory)”是一種清消方法，使用最先進的實驗室技術使數據恢復和媒體重用變得不可行。
物理破壞可以“破壞”介質，但“不能”完全破壞介質，從而無法恢復數據。切碎是物理破壞的一個很好的例子，但是可以恢復“一些”數據。
Sutapa Sarkar有一個很好的解釋，如下：

參考
. 盡職調查：16 CFR§682.3 –正確處理消費者信息。

資料來源： Wentz Wu QOTD-20210216

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

-什麼是風險？
選項B提供了最佳視角，但正確的版本應為“剩餘風險低於董事會的風險承受能力。”

基於風險的決策應在投資評估過程中行使。地震可能會頻繁發生，並導致電力和通信中斷，建築物毀壞，業務中斷，財產損失和人員傷亡等。
. “確保數據中心的可靠性”意味著要考慮並評估一些風險處理措施，以使數據中心能夠承受可接受的地震級別。它降低了風險，或更具體地說，降低了災難的可能性。
. 僅當災難恢復不會一次又一次地進行時，這項投資才是可行的。董事會對今年重建或恢復設施或服務不滿意，該公司將在來年再次這樣做。
. 此外，每個災難恢復都必須達到RTO，RPO（如果有）和SDO（服務交付目標）之類的目標；並且RTO“應”小於MTD。換句話說，選項C和D是必要的，但還不夠。從風險管理的角度來看，災難恢復減少了損失或影響；它不會處理可能性或可能性。

參考
. 環太平洋火山帶

資料來源： Wentz Wu QOTD-20210215

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

分類方案適用於整個組織。RD負責人定義一個是不合適的。此外，由於發布了資產分類準則，這意味著分類方案已作為組織標準得以實施。
. 資產的類型很多。數據只是其中之一。以一百萬美元的價格購買的資產顯然比兩千美元的資產更有價值，並且值得採取更多的保護措施。
. 可能造成一百萬美元損失的資產比具有兩千美元損失的資產需要更多的安全控制。
. 強制訪問控制（MAC）通常在政府部門中實施；很少或一些私營企業可以實施它。但是，在Windows Vista和更高版本中，Microsoft提供了強製完整性控制（MIC），這是一種強制實施完整性的MAC實現，其中，所有主題和對像都具有MIC標籤，如下圖所示。

-Windows 10中的強製完整性控制（來源：Windows Club）
“資產分類是資產的系統的安排的通過將資產分配給一個過程命名的類基於（組，類別，層，或水平）的標準，如法律或法規的要求，靈敏度，臨界，衝擊，或商業價值來確定其保護要求。一個分類方案指的是名為類標準，並用於分類程序“。（Wentz Wu，有效的CISSP：安全和風險管理）第12356號行政命令是機密性分類方案的一個很好的例子。

12356號行政命令
第1.1節分類級別。
（a）國家安全信息（以下稱“機密信息”）應分為以下三個級別之一：
（1）“最高機密”應應用於信息，未經許可的披露在合理情況下可能會導致異常嚴重的後果。損害國家安全。
（2）“秘密”應適用於可能被合理地預期對國家安全造成嚴重損害的未經授權的披露。
（3）“機密”應適用於可能會合理地預期對國家安全造成損害的未經授權的信息披露。

參考
. 有效的CISSP：安全和風險管理
. 第12356號行政命令–國家安全信息
. Windows 10中的強製完整性控制

資料來源： Wentz Wu QOTD-20210214

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文

一個調查是收集和用於特定目的的證據分析。
行政調查（Administrative Investigation）
. 行政調查是指對員工所謂的不當行為的內部調查。（法律內幕）
. 行政調查由當地管理層，當地人事代表和/或員工關係進行，以應對通常與人事有關且不屬於犯罪性質的投訴或疑慮。例如，可以響應以下任何條件或指控而發起行政調查。
–申訴或投訴
–財產濫用/損壞/盜竊
–行為不端
–禁止騷擾或歧視
–威脅，恐嚇或暴力行為
–違反大學政策，規則和/或行為標準，或
–違反法律。（北卡羅來納州立大學）

民事調查(Civil Investigation)
. 民事調查會發現並收集進行民事審判所需的證據。
民事審判是一種法院案件，涉及兩名個人公民，他們在與公民權利有關的問題上存在分歧。例如，如果一個人因家庭事故造成的損失提起訴訟，該案很可能會作為民事審判進行。民事調查人員有責任收集此類審判必不可少的證據。（PI NOW）
. 當發生民事事件時，無論是進行審判還是試圖在法院外和解，各方都有責任適當準備捍衛自己的立場。民事案件是指當事方或當事方未能履行協議，履行服務或履行其法律義務時，在兩方之間發生的爭端。（全球情報顧問）

監管調查(Regulatory Investigation)
. 監管調查是指由政府，監管，執法，專業或法定機構針對您發起的正式聽證會，官方調查，檢查，詢問，法律訴訟或任何其他類似程序。（法律內幕）

刑事偵察(Criminal Investigation)
. 刑事調查是一門應用科學，涉及對事實的研究，然後將這些事實用於刑事審判。（維基百科）
. 應用於犯罪領域的犯罪調查是指收集有關犯罪的信息（或證據）以達到以下目的的過程：
（1）確定是否犯罪。
（2）識別肇事者；
（3）逮捕肇事者；和
（4）提供的證據來支持一個信念在法庭上。（JRank）

調查標準，準則和協議(Investigation Standards, Guidelines, and Protocols)

1. 世衛組織–調查議定書
2. CHS聯盟–調查指南
3. 西澳大利亞州監察員–進行調查的準則
4. 統一調查準則
5. 澳大利亞政府調查標準（AGIS）
6. 難民署調查資源手冊
7. ISO / IEC 27043：2015 —信息技術—安全技術—事件調查的原理和過程
8. ISO / IEC 27041：2015 —信息技術—安全技術—確保事件調查方法的適用性和適當性的指南
9. 事故和事故徵候調查（ISO 9001：2015，ISO 14001：2015和ISO 45001：2018）

參考
. DOJ民事調查和DOJ刑事調查有什麼區別？
. 法律證據

資料來源： Wentz Wu網站

PS:此文章經過作者同意刊登 並且授權可以翻譯成中文