基於僅需要知道【need-to-know】原則實施存取控管
根據正式的決策那位員工、電腦、應用系統基於其被核准的類別有需要與權限存取這些關鍵資訊資產(例如:資訊;資源;系統)並採用適當的流程與工具以追蹤、控管、預防、更正使用者對重要資訊資產的安全存取。
為什麼這是關鍵控制項目?
即使數據受到損害時數據加密提供了一定程度的保障,在沒有相當資源的情況下存取未加密數據是不切實際的,然而還是應該採取控制措施以首先減緩數據洩漏的威脅。
許多攻擊發生於跨越網路,而其他攻擊包含存放敏感資訊的筆記型電腦與其他設備的實體竊取。然而在許多情況下,受害者並不知道敏感數據正在離開他們的系統,因為他們沒有監控數據流出。必須仔細審查數據在電子與實體上跨越網路邊界的移動,以最大限度地減少其對攻擊者的暴露。
組織失去對受保護或敏感數據的控制是對業務運營的嚴重威脅,也是對國家安全的潛在威脅。雖然有一些數據因盜竊或間諜活動而洩露或丟失,但絕大多數問題都是由於數據管理實務知之甚少;缺乏有效的策略架構以及用戶錯誤造成的。數據丟失甚至可能由於訴訟期間的e-Discovery等合法活動而發生,特別是在記錄保留做法無效或不存在時。
在傳輸與靜止時採用數據加密可以緩解數據洩露。如果在與加密操作相關的過程和技術中採取了適當的關注確實如此。這方面的一個例子是管理保護數據的各種演算法所使用的加密的密鑰。產生;使用和銷毀密鑰的過程應基於NIST SP 800-57等標準中定義經過驗證的程序。還應注意確保企業內導入的產品實施NIST確定的知名與經過審查的加密算法。建議每年重新評估企業內使用的演算法以及密鑰大小,以確保組織不會在數據保護的能力上落後。
對於將數據遷移到雲的組織,了解應用於雲的多租戶環境中的數據的安全控制是非常重要的,並確定應用加密控制和密鑰安全性的最佳操作過程。如果可能密鑰應存儲在安全容器中,例如硬體安全模組(HSM)。
DLP是指涵蓋人員;流程和系統的綜合方法用以識別;監控以及保護使用中的數據(例如:端點操作);移動中的數據(例如:網路操作)還有靜態數據(例如:數據存儲)等通過深度內容檢查與集中管理的框架。在過去幾年中從保護網路到保護網路中的系統以及到保護數據本身,注意力和投資明顯轉移。DLP控制基於政策,包括對敏感數據進行分類;在整個企業中發現這些數據;實施控制以及報告並審核以確保政策合規性。