なぜセキュリティが自然災害のようなものをカバーするのですか?
CISSP認定 を念頭に置いて設計されたコースを受講しています。このクラスはソフトウェアエンジニアリングに分類されますが、物理的なセキュリティ、特に洪水、火災、地震、自動車などに遭遇しました。このセキュリティはどうですか?たとえば、データセンターは建物の真ん中で最も安全であると言われました。屋根が漏れていた場合、上部は安全ではなく、水が下がる傾向があるため、下の階が最初に氾濫するためです。
これは本当にセキュリティの問題ですか?たとえば、屋根に漏れがあった場合、セキュリティアナリストではなくエンジニアの責任です。屋根がしっかりしていることを確認するためにセキュリティアナリストを雇うことはできません。
更新:また、歩行者を車から保護するために建物の周りにボラードを設置するなど、このセキュリティはどうですか?これについてはまだ誰も説明していません。企業にとって最も価値のある資産は従業員であると言われましたが、このように考えれば、セキュリティとは何でしょうか。
可用性が非常に包括的である場合、セキュリティの一部は何ですか?
他のすべての答えは結構です。私はあなたに古典的なセキュリティの観点を提供します。
火災/洪水を開始することは、物理的な浸透/浸透の教科書シナリオです。ストレス下にある人々は、見知らぬ人に挑戦する可能性が低くなります。
火災は、特に内部関係者が関与している場合に、法医学的証拠を破壊するために使用できます。
法律や秩序が崩壊し、その醜い頭を後押しするため、地震、または実際に、(山火事などの)自然災害は、安全保障の潜在的な合併症です。
SVBIEDs に対する境界セキュリティは、特定の国および脅威環境では必要な考慮事項です。自爆車の爆撃機がデータセンターの壁の近くまで運転できる場合、それはセキュリティコンサルタントとしてのあなたの失敗です。したがって、ボラード、花壇、コンクリートの壁。
セキュリティは全体的な分野です。すべての専門家は企業の細かい部分に注意を払っており、生活の必然性によって全体を見失っています。自分の鳩の巣ではなく、敵の行動の観点から考える人が少なくとも一人はいるはずです。ちなみに、これはセキュリティコンサルタントの仕事の説明です。
それは、古典的なセキュリティトライアドに帰着します。完全性、機密性、可用性。最後のものは確かにあらゆるタイプの自然災害に苦しむ可能性があるため、継続計画に含める必要があります。
CISSPは情報セキュリティ認定ですコンピュータセキュリティ認定ではありません。
情報セキュリティは、情報の機密性、完全性、可用性を保護することです一般的に。情報はコンピューターに保存されるだけではありません。それらは印刷され、ファイリングキャビネットに保管されます。それらは記憶され、従業員の頭脳に保管されます。したがって、コンピューターネットワークのセキュリティを確保することとは別に、施設の物理的なセキュリティを確保する必要があります。これらの機密文書が災害で盗まれたり破壊されたりした場合も、可用性が失われます。従業員が情報を競合他社に販売した場合、機密性が失われたと見なされます。そのため、ポリシーと物理的なセキュリティ対策が重要です。
意図的な悪意のある攻撃の処理に限定されているとコンピューターのセキュリティを狭く見ている場合でも、システムが自然災害に対して脆弱である方法は、設備の整った(または巧妙な)攻撃者がユーザーを混乱させる可能性があることを表しますサービス。たとえば、データセンターが洪水に対して脆弱である場合、データセンターをオフラインにしたい人が建物のスプリンクラーパイプを切断する可能性があります。したがって、全体的なセキュリティ計画の一部として、自然災害のシナリオから保護することは理にかなっています。
災害は、サービス拒否攻撃を軽減するのと同じくらいセキュリティ上の問題です。 ISC2(CISSP)ドキュメントでは、セキュリティは多くの場合、CIAトライアド(機密性、整合性、可用性)で表されます。災害復旧戦略とDDOS緩和の両方は、可用性の確立と維持に関係しています。
私は自分の2cを投げて、他の人が具体的に言及していないことについて言及します:事業継続計画
BCPはセキュリティアナリストの仕事の重要な機能です。そのため、CISSPは、災害や停止に影響を与える可能性がある問題の概要を提供します。これらの高レベルの詳細を知ることは、CISSPがBCPを実行するために必要な知識と考え方の基盤を構築するのに役立ちます。
CISSP資料でカバーされているのは、トピックの広範囲で高レベルの概要であることに注意してください。 BCPプログラムを適切に作成および管理するために、セキュリティ専門家が知って検討する必要があることは、はるかに多くあります。
私はそれを好転させます:
セキュリティは災害計画の一部であるため、災害計画はセキュリティの一部ではありません。
災害防止と災害復旧で構成される災害計画には、セキュリティを含むさまざまなトピック(冗長性、バックアップなど)が含まれます。
dictionary を見ると、「セキュリティ」の二次的な意味の1つは次のとおりです。
何かが失敗したり失われたりする可能性が低いという事実
私たちは情報セキュリティを暗闇の中で警備員、銃、およびハッカーと考えることがよくありますが、それが本当に重要なのは、脅威からの情報の保護です。これらの脅威は次のとおりです。
- 外部の攻撃者-ハッカー
- 悪意のある内部関係者
- 自然災害
- 技術的な問題-リーク、停電
- 正直な間違い-データでいっぱいのCDを失うような
- もっとたくさん!
CISSPがこれらすべてをカバーする理由は、組織がこれらの問題の世話をする誰かを必要とするからです。脅威を防御するために行うことは非常に似ていることが判明したため、1つの部門が脅威に対処することは理にかなっています。
情報セキュリティとは、情報の整合性、機密性、可用性を保護することです。情報を保護できず、自然災害中でもそれを必要とする人が利用できるようにしないと、ビジネスが終了する可能性があります。
重要な要件の1つは、特定の情報を(法律により)24時間年中無休で利用できるようにする必要があるというビジネス継続性計画の開発を支援しました。恐ろしい地震などの自然災害の間でも、ダウンタイムは許されませんでした。
単純な解決策はありませんでした。ビジネスへの影響分析を実施する必要がありました。情報はコンピューターに保存されているだけではありません。多くの場合、1つの集中管理された場所に散在しているだけでなく、散在しています。ビジネスの機能を維持するために必要な重要な情報を特定することは非常に困難です。重要なシステムとコンポーネントの特定が完了し、確認されたら。実行する必要がある追加のリスク評価があります。
地震や大きな竜巻などの大規模な自然災害時には、物理的な建物がしばらくの間使用できなくなる可能性が高くなります。建物が残っていない、またはチームがアクセスを制限されて(15〜20分)、だれも建物に戻ることが許可される前に必要なものを収集する例さえありました。また、建物は誰でもアクセスできるほど十分に健全であると判断する必要があったため、遅延を計画することもできます。
大規模な災害の場合、どこに行くのか、または運用の継続性をどのように達成するのか。確かに地元の従業員も震災の影響を受けます。彼らが仕事に戻るために、彼らが何らかの立場になるまでには数週間かかる可能性があります。私が取り組んだ1つのBCPの場合、従業員は自宅が完全に破壊されることにも直面していました。多くの人が服や歯ブラシ、身分証明書をつかんで他の身の回り品を置いておかなければならないと私に言った。
したがって、技術戦略の一部は、リスク評価に応じて多数のオプションを開発することです。予算に応じて、コールドサイト、ウォームサイト、ホットサイトの計画があります。フォールトトレランスに重点を置いて、特定された重要なサーバーとハードウェアをRAID、クラスタリング、およびロードバランシングで保護するための戦略。もちろん、重要なデータをバックアップし、それをコールドサイト、ウォームサイト、ホットサイトで利用できるようにするためのバックアップと計画によるデータの保護があり、機密ドキュメントが保護され、常時。
導入後、これらの戦略、計画、およびポリシーはすべて、レビュー、維持、および検証する必要があります。多くの人員が関与し、意識する必要があります。変わらないのは変化です。新しいハードウェアとソフトウェアのソリューションが実装されています。ビジネス要件と法律が変更されています。なぜそれが言及されているのか私は確かに理解できます。情報セキュリティとは、情報の整合性、機密性、可用性を保護することです。