法规遵从与风险管理

©2007McAfee,Inc.法规遵从与安全风险管理王昊华南区销售工程师CISSP/CISA/CCNP22019/8/25CIO•确保风险处于可接受的范围•将业务中断降至最小•保护数据资源•降低安全和法规遵从的成本审核•降低审核成本•自动访问安全数据•自动的风险和法规报告功能•提高可视性和精确性IT操作人员•将网络和系统中断的时间降至最短•确定计划和修复漏洞的优先级•提高资源效率•改善工作流程•确保遵从内外部策略•前瞻性地预防身份信息被盗•确定风险和应对措施的优先级•提供指标CSO业务面临的挑战来自于安全威胁方面的风险？由于未遵从法规所产生的风险？我的企业面临什么样的风险？32019/8/25法规遵从丑闻•英国财政部11月20号证实，英国皇家税务及海关总署丢失两张重要数据光盘，其中包括2500万人的敏感个人信息，署长保罗•格雷已经宣布引咎辞职，并表示这是“税务部门重大的操作失误”；•2005年美国万事达卡国际组织承认包括万事达、维萨、运通等在内高达4000多万信用卡用户的银行资料存在泄密风险；•2006年之前中国人民建设银行网站公积金信息泄露，任何人只需要通过输入身份证号码即可以查出账户余额和每月扣款额度；•中国信息保密法规处于“一张白纸”状态。42019/8/25法规遵从现状•ArecentCSOMagazinesurveyrevealedthatregulationsandcompliancewerethetopdriversforsecurityinvestments.Securityriskassessmentwasthetopsecurityinitiative,whilethreatandriskmanagementwerethetopconcernskeepingCSOsupatnight.—“SecuritySensorX”Feb.2006•多数企业的法规遵从措施是分散的(de-centralized)，被动的(reactive)，随机的(ad-hoc)；•企业受约束的法规太多，成本很高，效率很低；•实现法规遵从过多的依赖技术手段，忽略了管理手段。52019/8/25法规遵从是一个全球性的挑战……每个人都必须有所付出……J-SOXSarbanes-OxleyBaselIIPIPEDAEUDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPCArt.43FFIECCPASolvencyIIDPASA-PLR-DPL₤1.54M€22-30M$3MSW¥349M$30M$10+MISO/IEC27001:2005运营管理安全62019/8/25法规遵从是一个全球性的挑战……每个人都必须有所付出……（续）•企业面临的法规太多—法律的两个属性（属人性/属地性）•每个法规的流程完全不同（Dis-jointedResponse）•法规遵从的延续性—GLBA，HIPPA，SOX，COBIT，ISO17799/27001•管理层对实现法规遵从的要求—行业最佳实践（Best-practice）—成本收益分析（Cost-benefitanalysis）72019/8/25IT治理（法规遵从的起点）•IT治理的5大目标（Controlobjective）—战略一致性（StrategicAlignment）—价值交付（ValueDelivery）—资源管理（ResourceManagement）—风险管理（RiskManagement）—绩效管理（PerformanceManagement）•4类IT资源—人（People），信息（Information），应用（Application），设施（Infrastructure）•CIAA（Confidentiality/Integrity/Availability/Accountability）•3种控制手段（Physical/Technical/Operational）82019/8/25COBIT——IT管理规范•Cobit信息准则—Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability•4大类流程—PlanandOrganize/AcquireandImplement/DeliverandSupport/MonitorandEvaluate（34个子流程）•4类控制目标—ActivityGoal/ProcessGoal/ITGoal/BusinessGoal•2类考核指标—KGI（关键目标指示），KPI（关键绩效指示）•管理评价体系（CMM模型）—Initial/Repeatable/Defined/Managed/Optimized92019/8/25SOX——公司治理规范•SOX：美国证监会对于上市公司的公司治理规范要求•Section306—除了极特殊的情况外，对于发行权益性证券公司的所有董事、经理因任职而获得的其所任职公司的权益证券，在该权益证券的管制期间，这些董事、经理直接或间接买卖或获取、转让这些权益证券的行为是非法的。•Section404—内部控制报告必须要指明公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任和包括发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告(第404款)。—第404条款是SOX法案中最为严厉和最具高昂执行成本的条款。102019/8/25ISO27001——ISO安全标准•A7：AssetManagement（资产管理）•A10：CommunicationandOperationManagement（通信与操作管理）•A11：AccessControl（访问控制）•A13：InformationSecurityIncidentManagement（信息安全突发事件管理）•A15：Compliance（遵从性）112019/8/25安全风险的三个维度安全风险=资产(重要性)弱点(严重性)威胁(严重性)xxCM1CM2CM3•认证Authentication•备份Back-up•负载均衡LoadBalance•监控Monitoring•加密Encryption•弱点管理VulnerabilityManagement•修补管理PatchManagement•防火墙Firewall•防毒Anti-Virus•入侵探测/防护IDS/IPS防护对策:•软件漏洞SoftwareBug•不必要的网络风险UnnecessaryServices•不恰当的密码设定WeakPasswords•错误的配置Mis-configurations•木马/后门Trojan/backdoor•病毒VirusSpreading•蠕虫WormOutbreak•黑客程序ExploitCodes•黑客工具HackerTools•黑客攻击HackerAttacks•服务器Workstation/Server•无线设备WirelessLANs/Devices•网络设备NetworkDevices•数据库Database•应用程序Applications122019/8/25安全风险成本收益分析•资产价值（AssetValue）•暴露因子（ExposureFactor，某种风险造成资产损失的百分比，实施安全方案之前EF1与实施安全方案之后EF2会显著不同）•年发生率（AnnualRateofOccurrence）•对策成本（CountermeasureCost）•对策价值（Benefit）•Benefit=AV*EF1*ARO-AV*EF2*ARO-CC132019/8/25McAfee安全风险模型142019/8/25McAfeeSRM安全风险管理方法论ProtectionandComplianceIntegration=KeyBenefits减少成本，降低复杂度增加运作效率更快的实现防护和法规遵从+威胁保护McAfeeFoundstoneMcAfeePolicyAuditorMcAfeeDLPMcAfeeNACMcAfeeIntruShieldMcAfeeTotalProtectionMcAfeeSecureInternetGateway风险&法规遵从性SRMSolution集成McAfeePreventsys152019/8/25McAfee法规审计工具——Preventsys•Preventsys可以根据某些规章制度或行业认证（如SOX、PCI）专门定制和设计•PolicyLab通过技术的支持，报告现有控制架构的有效性©2007McAfee,Inc.©2007McAfee,Inc.谢谢！