教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第十章 資安事件管理

第十章 資安事件管理 簡介 10.1 資安法規之發展歷程 10.2 企業網路安全政策的擬定 10.3 進行威脅風險評估及落實資安守則 資訊時代的發達，讓許多厚重的文件漸漸數位化，變成檔案存放在儲存媒體中，雖然便利，卻也導致機密外洩的可能性大幅的提升。因此，資訊安全的管理更顯得重要。 本章將介紹資安法規的發展歷程，由BS7799/7800到現在的iso 27001，國內的法規也有CNS17799/CNS17800…等。 在資訊安全管理建置流程中，第一步便是，安全政策的擬定，在BS7799/7800中也都有相關的準則與建議。 10.3將會教各位如何評估威脅風險，因為要100%安全是極度困難的，因此我們可以設立一個目標，使風險值低到一定的程度，而在評估完後，可以提出相對應的對策，以減少風險值。 在擬好政策評估好風險，最重要的就是資安守則的落實，因此，也需要稽核來幫助公司同仁落實資安的實行，做好資安、保護資產，才能使企業永續經營。

第十章 資安事件管理 10.1資安法規之發展歷程 資訊是一種資產，就像其他的重要企業資產一樣，對組織具有價值，不管資訊藉由何種形式存在或共享以及儲存，它都應被適切的保護 何謂資訊： 存在於各種型式 不論有型或無形 使企業可以永續經營的有價資訊資產 資訊包含： 圖片、圖像 電腦磁帶、磁片等儲存媒體 電話之通話內容 傳真 電腦輸出之報表 語音留言 電子郵件 即時通訊 資訊的生命週期 創造處理儲存/傳輸使用遺失/破壞/損毀

C.I.A. 第十章 資安事件管理 10.1資安法規之發展歷程 Confidentiality Integrity Availability 資訊安全：資訊安全在保護企業的資訊資產，避免遭受各種威脅，確保企業持續營運，降低對企業之傷害，以及提升企業投資報酬率及商機。 保護資訊的鐵三角：機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)。 機密性(Confidentiality) ：保護資訊的內容，只有獲授權一方可取得其內容。(例如：使用加密法或其他方法以確保隱私受到保護。) 完整性(Integrity)：資訊沒有遭到未獲授權而作出的更改或毀壞的情況、資訊的現有狀態與之前的原本狀態相同。(例如：使用hash function對資訊進行摘要值的擷取) 可用性(Availability)：獲授權的一方可合理地接授及使用資訊或程序的狀態，包括及時 (real time) 和重要的運作。 C.I.A. Confidentiality Integrity Availability

第十章 資安事件管理 10.1資安法規之發展歷程 Impact? 災難 危急 最低限度 無關緊要 弱點 Probability? 威脅來源 資訊安全問題對企業的影響 影響公司的穫利或資產損失 關係著公司的法律相關責任 降低公司的競爭優勢 影響公司的形象 使公司失去生產力 降低服務品質 破壞隱私 降低管理決策能力 風險來源 自然威脅：颱風、地震 人員威脅：駭客、(有意或無意)人為疏失、… 環境威脅：電力中斷、網路不通、… 風險等級 -以金鑰憑證機構 (Certificate Authority, CA) 為例 災難 (Catastrophic)：驗證中心密鑰或使用者密鑰被破解 危急(Critical)：金鑰憑證被偽造 最低限度(Marginal)：電子信封秘密金鑰被破解 無關緊要(Negligible)：正確金鑰憑證被拒絕接受 威脅來源 自然威脅 人員威脅 環境威脅 Probability? Impact? 災難 危急 最低限度 無關緊要 弱點

第十章 資安事件管理 10.1資安法規之發展歷程 資訊安全管理系統(Information Security Management System，簡稱：ISMS) ISMS 可以有系統地分析和管理資訊安全風險的一套方法。 要能達到100% 的資訊安全是幾乎不可能的。因此，資訊安全管理系統的目標是希望透過控制方法，將資訊風險降低到可接受的程度內。 ISO/IEC 17799 / BS 7799 之沿革 1995：BS7799 Part 1 1998：BS7799 Part 2 1999：New issue of BS7799 Part 1 & 2 2000：BS7799 Part 1  ISO/IEC 17799:2000 2002：New BS7799 Part 2 2005/6 : ISO/IEC 17799 : 2005 2005/10 : ISO/IEC 27001 參考資料： http://www.bsi-emea.com/InformationSecurity/Overview/index.xalter

第十章 資安事件管理 10.1資安法規之發展歷程 資訊安全管理系統的相關標準 ISO/IEC 17799:2005 – 資訊安全管理系統實務準則 參考文件 完整的最佳資訊安全管理範例 BS 7799-Part2:2002 – 資訊安全管理系統驗證規範 以ISO/IEC 17799 為基礎 規範建立執行和文件化資訊安全管理系統的要求 新版本為ISO/IEC 27001 11大管理要項，39執行目標，133種控制項目 CNS 17799 -資訊安全管理系統標準 CNS 17800 -資訊安全管理系統驗證標準 國家標準 CNS17799 及 CNS17800，已於91年12月5日由經濟部中央標準簡驗局公告，並開始接受驗證。 參考資料： http://www.bsmi.gov.tw/page/pagetype8.jsp?page=886&groupid=5

第十章 資安事件管理 10.1資安法規之發展歷程 ISO 未來將仿照ISO 9000 系列標準編號的精神，將所有資訊安全管理系統的標準，由27000 開始編號，包括： ISO 27000 資訊安全管理系統之原則與詞彙 (發展中) ISO 27001 資訊安全管理系統要求 (根據BS 7799-2 發展而來) ISO 27002 (從2007 年以後，ISO/IEC 17799 : 2005 將被重新編號成為27002，這段期間仍將維持大家習慣的17799 編號) ISO 27003 資訊安全管理系統實作指引 (Information security management system implementation guidance，預定2008年10月公布) ISO 27004 資訊安全管理測度與測量 (Information security management metrics and measurements) ISO 27005 (BS 7799-3) ISMS Risk Management (2005/12) 參考資料： http://www.bsi-emea.com/InformationSecurity/index.xalter

Plan Do Check Ack 第十章 資安事件管理 10.2 企業網路安全政策的擬定 在擬定安全政策之前，我們先介紹資訊安全管理的精神：PDCA 法則 Plan (計畫) 建立能控制風險並加強組織安全的政策、目標、控制措施及作業流程 Do (執行) 針對計畫所列項目確實執行 Check (檢查) 簡視執行結果是否與計畫相符 Act (行動) 檢查如發現不適用或不符合項目須執行矯正行動 Plan Do Check Ack

第十章 資安事件管理 資訊安全管理建置流程 10.2 企業網路安全政策的擬定 政策文件 制定資訊安全政策 資訊資產 ISMS 範圍文件 制定資訊安全管理系統範圍 ISMS 範圍文件 風險評估 評估文件 風險管理 管理過程文件 選擇控制目標與控制項目 控制目標與 項目文件 制定適用性聲明書 適用性聲明 文件 制定標準作業程序 標準作業 程序文件 資訊資產 威脅、弱點 、衝擊 組織可接受 之風險程度

第十章 資安事件管理 10.2 企業網路安全政策的擬定 政策擬定 政策實施 政策審查與修正 安全政策之生命週期 資訊安全政策擬定之準則 資訊安全政策文件 明確清楚的策略方向 管理階層的承諾 公佈與宣導的方式 簡要說明安全政策、原則、標準以及對組織的重要性 一般及特定權責的定義 支援政策的參考文件索引 審查資訊安全政策文件 政策須定期審查 於重大變更時能確保其適合性、恰當性和有效性 政策擬定 政策實施 政策審查與修正

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 在擬定完安全政策之後，便是要決定資訊安全的範圍 資訊安全的範圍分成三個部份 Outsource services Total organization Area covered by scope：企業所選定的安全範圍 資訊資產分類 電子化資訊資產 (Information Assets) 書面文件 (Paper Documents) 軟體資產(Software Assets) 實體資產(Physical Assets) 人員(People) 服務(Services) 公司形象(Company Reputation) Area covered by scope Total organization Outsource services

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 名詞定義： 風險評估的八大步驟： Step 1. 系統架構與運作模式 風險評估(Risk Assessment) 對資訊及資訊處理設施的威脅、衝擊及弱點及其發生可能性的評估 風險評估準則：以資產失效時造成單位衝擊影響之程度作為風險值之判斷 風險管理(Risk Management) 已可接受的成本，對可能影響資訊系統的安全風險進行鑑別、控制及降低或排除的過程 資產價值 由資產的機密性、完整性、可用性來評價 總風險值 = f(資產價值, 風險機率值, 風險衝擊值) 風險評估的八大步驟： Step 1. 系統架構與運作模式 Step 2. 威脅識別 Step 3. 弱點識別 Step 4. 控制措施分析 Step 5. 可能性評估 Step 6. 衝擊分析 Step 7. 風險判定 Step 8. 控制措施建議 第一階段 風險評估 ------ ----- 第一階段文件 第二階段 風險減輕

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 Step 2 威脅識別 Step 3 弱點識別 系統弱點相關資料收集 系統安全測試 安全需求核對清單：管理面、操作面、技術面 威 脅 來 源 動 機 威 脅 活 動 內部成員 (訓練不足、不爽、不誠實、粗心、惡意、離職) 好奇 情報 賄落 報復 真的不是故意的 勒索 受賄 輸入錯誤資料 植入惡意程式 販賣個人資訊 弱 點 威 脅 來 源 威 脅 活 動 離職員工之帳號密碼未即時移除 離職員工 由外部侵入組織內部網路並存取私密資料 例: 無線網路的存取未作控管 例: 公司的門禁管制

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 資產脆弱點 電子化資訊資產 (Information Assets) 缺乏使用者授權機制 缺乏密碼原則設定 缺乏異地備份紀錄 缺乏系統變更控制 缺乏密碼管控及保護機制 程式缺乏版本管控機制 資料量龐大 書面文件 (Paper Documents) 易攜帶、易損毀、易撕毀、易遺失、易被抽換、易受潮、缺乏文件管理機制、 …。 軟體資產(Software Assets) 缺乏使用者授權機制、缺乏密碼原則設定、缺乏系統變更控制、… 不可預期的bug、未知的漏洞、 … 缺乏稽核功能、缺乏病毒入侵的保護機制、 … 複雜的使用介面、缺乏完整測試程序、缺乏一致性的系統參數設定、…。

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 實體資產(Physical Assets) 易受外力破壞 缺乏適當的維護保養 缺乏安全保護的儲存環境 缺乏異地備援 攜帶方便未受管制 線路缺乏保護 缺乏門禁管制 易受溼度變化影響效能 人員(People) 人員缺席、缺乏對資安政策的傳遞、人員異動頻繁、缺乏委外作業人員監控、缺乏安全意識、缺乏員工教育訓練、…。 服務(Services) 停電、故障、卡片遭損毀、機械故障、偵測系統故障、缺乏連線規劃、缺乏足夠的安全防護、缺乏對外連線的防禦、… 。

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 Step 4 控制措施分析 Step 5 可能性分析 檢視目前已執行及計畫要執行的控制措施是否仍然有效與適當 控制措施的類別 預防性的控制措施 抑制違反資訊安全政策的企圖 存取控制、加密、身分鑑別 偵測性的控制措施 違反或企圖違反資訊安全政策的預先通知 入侵偵測 Step 5 可能性分析 威脅來源之動機與能力 系統弱點的本質 現有控制措施的運作情形與效能 程 度 說 明 高 威脅來源具有很強的動機與足夠的能力，而現有控制措施對此威脅不起作用 中 威脅來源具有動機與能力，但現有控制措施也許可以阻止系統的弱點被成功的運用 低 威脅來源缺少動機或能力，或現有控制措施可以預防或至少能明顯地阻止系統的弱點被運用

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 Step 6 衝擊分析 必要的資料 考慮層面 質化與量化 質化的分析 等 級 系統的任務 系統與資料的關鍵性 系統與資料的敏感性 考慮層面 機密性 完整性 可用性 質化與量化 區分重要性與急迫性 v.s. 成本效益分析 質化的分析 等 級 運用弱點所產生的衝擊 高 導致主要的實體資產或資源產生非常昂貴的損失嚴重違反、傷害或阻礙組織的任務、名聲或利益造成人員死亡或重傷 中 導致實體資產或資源產生昂貴的損失違反、傷害或阻礙組織的任務、名聲或利益造成人員受傷 低 導致一些實體資產或資源產生損失明顯影響組織的任務、名聲或利益

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 Step 7 風險判定 Step 7 控制措施建議 威 脅 可能性 衝 擊 高 > 50 to 100 中 > 10 to 50 低 1 to 10 等級可依情況再細分 Step 7 控制措施建議 將風險程度降低到可接受的程度 考慮因素 效能 相容性 法律規章 組織政策 營運衝擊 安全與可靠程度 威 脅 可能性 衝 擊 低 (10) 中 (50) 高 (100) 高(1.0) 10*1.0=10 50*1.0=50 100*1.0=100 中(0.5) 10*0.5= 5 50*0.5= 25 100*0.5= 50 低(0.1) 10*0.1= 1 50*0.1= 5 100*0.1= 10

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 風險減輕選項(Risk Mitigation Options) Risk Assumption To accept the potential risk and continue operating the IT system or to implement controls to lower the risk to an acceptable level Risk Avoidance To avoid the risk by eliminating the risk cause and/or consequence Risk Limitation To limit the risk by implementing controls that minimize the adverse impact of a threat’s exercising a vulnerability Risk Planning To manage risk by developing a risk mitigation plan that prioritizes, implements, and maintains controls Research and Acknowledgment To lower the risk of loss by acknowledging the vulnerability or flaw and researching controls to correct the vulnerability Risk Transference To transfer the risk by using other options to compensate for the loss, such as purchasing insurance

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 Risk Mitigation Strategy Threat Source System Design Vulnerable? Exploitable? Attacker’s Cost < Gain? Lost Anticipated > Threshold Vulnerability to Attack Exists Risk Exists Unacceptable No Accept

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 Approach for Control Implementation Address the greatest risks Strive for sufficient risk mitigation at the lowest cost With minimal impact on other mission capabilities Control Categories Technical security controls Management security controls Operational security controls

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 Technical Security Controls Support Identification Cryptographic Key Management Security Administration System Protections Prevent Authentication Authorization Access Control Enforcement Non-repudiation Protected Communications Transaction Privacy Detect and Recover Audit Intrusion Detection and Containment Proof of Wholeness Restore Secure State Virus Detection and Eradication

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 Management Security Controls Preventive Assign security responsibility Develop and maintain system security plans Implement personnel security controls, including separation of duties, least privilege, and user computer access registration and termination Conduct security awareness and technical training Detection Implement personnel security controls Conduct periodic review of security controls , including personnel clearance, background investigations, rotation of duties Perform periodic system audits Conduct ongoing risk management to assess and mitigate risk Authorize IT systems to address and accept residual risk Recovery Provide continuity of support and develop, test, and maintain the continuity of operations plan to provide for business resumption and ensure continuity of operations during emergencies or disasters Establish an incident response capability to prepare for, recognize, report, and respond to the incident and return the IT system to operational status

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 Operational Security Controls Preventive Operational Controls Control data media access and disposal Limit external data distribution Control software viruses Safeguard computing facility Secure wiring closets that house hubs and cables Provide backup capability Establish off-site storage procedures and security Protect laptops, personal computers (PC), workstations Protect IT assets from fire damage Provide emergency power source Control the humidity and temperature of the computing facility Detection Operational Controls Provide physical security Ensure environmental security

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 Residual Risk Reduce Number of New or Enhanced Controls Reduce Number of Flaws and Errors Add a Targeted Control Reduce Magnitude Of Impact Residual Risk

第十章 資安事件管理 10.3 進行威脅風險評估及落實資安守則 當完成安全政策的制定、風險評估之後，接著便是資訊安全的實施，包含： 教育訓練 企業內部必需對員工進行教育訓練，使其瞭解資訊安全之重要性，並且認同資安政策，以保護企業內部之機密資訊。 針對企業內部的系統管理者，必需提升資安相關之基本知識，包含入侵、安全漏洞與修補…等，以使內部機密資訊不會受到駭客入侵、系統漏洞等之影響。 針對管理階層的管理者而言，必需瞭解自己的部門該扮演的角色，並且提出各部門中可能的風險，接著制定各種防範措施。 企業必需定期實施稽核，需確認： 員工對於資安政策的認知與遵守程度 教育訓練的成效

第十章 資安事件管理 總結 隨著數位時代的來臨，企業許多保貴的資產也漸漸數位化，因此在資訊安全的管理上也顯得更為重要，在BS7799/7800與ISO27001中，有提到資訊管理的生命週期PDCA，資安是需要隨著時間的變化而稍做修正，以滿足不同狀況的需求。 國內近年來大力推行資訊安全管理系統，各企業單位、國家單位也都開始重視資安，也有不少企業完成了資安認證，而每個不同的單位其政策不同，要保護的資產也有所不同，因此，在資安政策的擬定也不盡相同，但其目的皆在於保護屬於自己的資產。 在擬定政策與決定好將被保護的資產後，就要開始進行風險的評估，針對每個資產可能發生的風險進行評估，並計算風險值，再想對應策略降低風險值，使風險值可以被壓制在可以接受的範圍。 最後便是進行政策的落實，對公司內部的主管、系統管理者、員工進行教育訓練，提升資安意識，也可藉由稽核來檢視成效與缺陷，並加以改進，如此不斷，以保企業之永續經營。

第十章 資安事件管理 參考資料 BSI Management Systems , http://www.bsi-emea.com/InformationSecurity/index.xalter. Information standard, http://www.informationstandards.com/resources_glossary.htm. RiskINFO, http://www.riskinfo.com/. 經濟部標準檢驗局，http://www.bsmi.gov.tw/page/pagetype8.jsp?page=886&groupid=5。 ISC資通安全聯盟，http://www.isc.ntust.edu.tw/。 資通安全資訊網，http://ics.stpi.org.tw/。 資安人科技網，http://www.isecutech.com.tw/。 中華民國風險管理學會 ，http://www.rmst.org.tw/。