1 / 29

第十章 資安事件管理

教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心. 第十章 資安事件管理. 10.1 資安法規之發展歷程 10.2 企業網路安全政策的擬定 10.3 進行威脅風險評估及落實資安守則. 資訊時代的發達,讓許多厚重的文件漸漸數位化,變成檔案存放在儲存媒體中,雖然便利,卻也導致機密外洩的可能性大幅的提升。因此,資訊安全的管理更顯得重要。 本章將介紹資安法規的發展歷程,由 BS7799/7800 到現在的 iso 27001 ,國內的法規也有 CNS17799/CNS17800… 等。

isi
Download Presentation

第十章 資安事件管理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第十章 資安事件管理

  2. 10.1 資安法規之發展歷程 10.2 企業網路安全政策的擬定 10.3 進行威脅風險評估及落實資安守則 資訊時代的發達,讓許多厚重的文件漸漸數位化,變成檔案存放在儲存媒體中,雖然便利,卻也導致機密外洩的可能性大幅的提升。因此,資訊安全的管理更顯得重要。 本章將介紹資安法規的發展歷程,由BS7799/7800到現在的iso 27001,國內的法規也有CNS17799/CNS17800…等。 在資訊安全管理建置流程中,第一步便是,安全政策的擬定,在BS7799/7800中也都有相關的準則與建議。 10.3將會教各位如何評估威脅風險,因為要100%安全是極度困難的,因此我們可以設立一個目標,使風險值低到一定的程度,而在評估完後,可以提出相對應的對策,以減少風險值。 在擬好政策評估好風險,最重要的就是資安守則的落實,因此,也需要稽核來幫助公司同仁落實資安的實行,做好資安、保護資產,才能使企業永續經營。 簡介 第十章 資安事件管理

  3. 10.1資安法規之發展歷程 第十章 資安事件管理 • 資訊是一種資產,就像其他的重要企業資產一樣,對組織具有價值,不管資訊藉由何種形式存在或共享以及儲存,它都應被適切的保護 • 何謂資訊: • 存在於各種型式 • 不論有型或無形 • 使企業可以永續經營的有價資訊資產 • 資訊包含: • 圖片、圖像 • 電腦磁帶、磁片等儲存媒體 • 電話之通話內容 • 傳真 • 電腦輸出之報表 • 語音留言 • 電子郵件 • 即時通訊 • 資訊的生命週期 • 創造處理儲存/傳輸使用遺失/破壞/損毀

  4. Confidentiality C.I.A. Integrity Availability 10.1資安法規之發展歷程 第十章 資安事件管理 • 資訊安全:資訊安全在保護企業的資訊資產,避免遭受各種威脅,確保企業持續營運,降低對企業之傷害,以及提升企業投資報酬率及商機。 • 保護資訊的鐵三角:機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)。 • 機密性(Confidentiality) :保護資訊的內容,只有獲授權一方可取得其內容。(例如:使用加密法或其他方法以確保隱私受到保護。) • 完整性(Integrity):資訊沒有遭到未獲授權而作出的更改或毀壞的情況、資訊的現有狀態與之前的原本狀態相同。(例如:使用hash function對資訊進行摘要值的擷取) • 可用性(Availability):獲授權的一方可合理地接授及使用資訊或程序的狀態,包括及時 (real time) 和重要的運作。

  5. Impact? • 災難 • 危急 • 最低限度 • 無關緊要 弱點 Probability? 威脅來源 • 自然威脅 • 人員威脅 • 環境威脅 10.1資安法規之發展歷程 第十章 資安事件管理 • 資訊安全問題對企業的影響 • 影響公司的穫利或資產損失 • 關係著公司的法律相關責任 • 降低公司的競爭優勢 • 影響公司的形象 • 使公司失去生產力 • 降低服務品質 • 破壞隱私 • 降低管理決策能力 • 風險來源 • 自然威脅:颱風、地震 • 人員威脅:駭客、(有意或無意)人為疏失、… • 環境威脅:電力中斷、網路不通、… • 風險等級 -以金鑰憑證機構 (Certificate Authority, CA) 為例 • 災難 (Catastrophic):驗證中心密鑰或使用者密鑰被破解 • 危急(Critical):金鑰憑證被偽造 • 最低限度(Marginal):電子信封秘密金鑰被破解 • 無關緊要(Negligible):正確金鑰憑證被拒絕接受

  6. 10.1資安法規之發展歷程 第十章 資安事件管理 • 資訊安全管理系統(Information Security Management System,簡稱:ISMS) • ISMS 可以有系統地分析和管理資訊安全風險的一套方法。 • 要能達到100% 的資訊安全是幾乎不可能的。因此,資訊安全管理系統的目標是希望透過控制方法,將資訊風險降低到可接受的程度內。 • ISO/IEC 17799 / BS 7799 之沿革 • 1995:BS7799 Part 1 • 1998:BS7799 Part 2 • 1999:New issue of BS7799 Part 1 & 2 • 2000:BS7799 Part 1  ISO/IEC 17799:2000 • 2002:New BS7799 Part 2 • 2005/6 : ISO/IEC 17799 : 2005 • 2005/10 : ISO/IEC 27001 參考資料: http://www.bsi-emea.com/InformationSecurity/Overview/index.xalter

  7. 10.1資安法規之發展歷程 第十章 資安事件管理 • 資訊安全管理系統的相關標準 • ISO/IEC 17799:2005 – 資訊安全管理系統實務準則 • 參考文件 • 完整的最佳資訊安全管理範例 • BS 7799-Part2:2002 – 資訊安全管理系統驗證規範 • 以ISO/IEC 17799 為基礎 • 規範建立執行和文件化資訊安全管理系統的要求 • 新版本為ISO/IEC 27001 • 11大管理要項,39執行目標,133種控制項目 • CNS 17799 -資訊安全管理系統標準 • CNS 17800 -資訊安全管理系統驗證標準 • 國家標準 CNS17799 及 CNS17800,已於91年12月5日由經濟部中央標準簡驗局公告,並開始接受驗證。 參考資料: http://www.bsmi.gov.tw/page/pagetype8.jsp?page=886&groupid=5

  8. 10.1資安法規之發展歷程 第十章 資安事件管理 • ISO 未來將仿照ISO 9000 系列標準編號的精神,將所有資訊安全管理系統的標準,由27000 開始編號,包括: • ISO 27000 資訊安全管理系統之原則與詞彙 (發展中) • ISO 27001 資訊安全管理系統要求 (根據BS 7799-2 發展而來) • ISO 27002 (從2007 年以後,ISO/IEC 17799 : 2005 將被重新編號成為27002,這段期間仍將維持大家習慣的17799 編號) • ISO 27003 資訊安全管理系統實作指引 (Information security management system implementation guidance,預定2008年10月公布) • ISO 27004 資訊安全管理測度與測量 (Information security management metrics and measurements) • ISO 27005 (BS 7799-3) ISMS Risk Management (2005/12) 參考資料: http://www.bsi-emea.com/InformationSecurity/index.xalter

  9. Plan Ack Do Check 10.2 企業網路安全政策的擬定 第十章 資安事件管理 • 在擬定安全政策之前,我們先介紹資訊安全管理的精神:PDCA 法則 • Plan (計畫) • 建立能控制風險並加強組織安全的政策、目標、控制措施及作業流程 • Do (執行) • 針對計畫所列項目確實執行 • Check (檢查) • 簡視執行結果是否與計畫相符 • Act (行動) • 檢查如發現不適用或不符合項目須執行矯正行動

  10. 政策文件 資訊資產 制定資訊安全政策 ISMS 範圍文件 制定資訊安全管理系統範圍 威脅、弱點 、衝擊 評估文件 風險評估 組織可接受 之風險程度 管理過程文件 風險管理 控制目標與 項目文件 選擇控制目標與控制項目 適用性聲明 文件 制定適用性聲明書 標準作業 程序文件 制定標準作業程序 10.2 企業網路安全政策的擬定 第十章 資安事件管理 • 資訊安全管理建置流程

  11. 政策擬定 政策實施 政策審查與修正 10.2 企業網路安全政策的擬定 第十章 資安事件管理 • 安全政策之生命週期 • 政策擬定 • 政策實施 • 政策審查與修正 • 資訊安全政策擬定之準則 • 資訊安全政策文件 • 明確清楚的策略方向 • 管理階層的承諾 • 公佈與宣導的方式 • 簡要說明安全政策、原則、標準以及對組織的重要性 • 一般及特定權責的定義 • 支援政策的參考文件索引 • 審查資訊安全政策文件 • 政策須定期審查 • 於重大變更時能確保其適合性、恰當性和有效性

  12. Outsource services Total organization Area covered by scope 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • 在擬定完安全政策之後,便是要決定資訊安全的範圍 • 資訊安全的範圍分成三個部份 • Outsource services • Total organization • Area covered by scope:企業所選定的安全範圍 • 資訊資產分類 • 電子化資訊資產 (Information Assets) • 書面文件 (Paper Documents) • 軟體資產(Software Assets) • 實體資產(Physical Assets) • 人員(People) • 服務(Services) • 公司形象(Company Reputation)

  13. ------ ------ ----- ------ ------ ----- ------ 第一階段文件 ----- 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • 名詞定義: • 風險評估(Risk Assessment) • 對資訊及資訊處理設施的威脅、衝擊及弱點及其發生可能性的評估 • 風險評估準則:以資產失效時造成單位衝擊影響之程度作為風險值之判斷 • 風險管理(Risk Management) • 已可接受的成本,對可能影響資訊系統的安全風險進行鑑別、控制及降低或排除的過程 • 資產價值 • 由資產的機密性、完整性、可用性來評價 • 總風險值 = f(資產價值, 風險機率值, 風險衝擊值) • 風險評估的八大步驟: Step 1. 系統架構與運作模式 Step 2. 威脅識別 Step 3. 弱點識別 Step 4. 控制措施分析 Step 5. 可能性評估 Step 6. 衝擊分析 Step 7. 風險判定 Step 8. 控制措施建議 第一階段 風險評估 第二階段 風險減輕

  14. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • Step 2 威脅識別 • Step 3 弱點識別 • 系統弱點相關資料收集 • 系統安全測試 • 安全需求核對清單:管理面、操作面、技術面 例: 無線網路的存取未作控管 例: 公司的門禁管制

  15. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • 資產脆弱點 • 電子化資訊資產 (Information Assets) • 缺乏使用者授權機制 • 缺乏密碼原則設定 • 缺乏異地備份紀錄 • 缺乏系統變更控制 • 缺乏密碼管控及保護機制 • 程式缺乏版本管控機制 • 資料量龐大 • 書面文件 (Paper Documents) • 易攜帶、易損毀、易撕毀、易遺失、易被抽換、易受潮、缺乏文件管理機制、 …。 • 軟體資產(Software Assets) • 缺乏使用者授權機制、缺乏密碼原則設定、缺乏系統變更控制、… • 不可預期的bug、未知的漏洞、 … • 缺乏稽核功能、缺乏病毒入侵的保護機制、 … • 複雜的使用介面、缺乏完整測試程序、缺乏一致性的系統參數設定、…。

  16. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • 實體資產(Physical Assets) • 易受外力破壞 • 缺乏適當的維護保養 • 缺乏安全保護的儲存環境 • 缺乏異地備援 • 攜帶方便未受管制 • 線路缺乏保護 • 缺乏門禁管制 • 易受溼度變化影響效能 • 人員(People) • 人員缺席、缺乏對資安政策的傳遞、人員異動頻繁、缺乏委外作業人員監控、缺乏安全意識、缺乏員工教育訓練、…。 • 服務(Services) • 停電、故障、卡片遭損毀、機械故障、偵測系統故障、缺乏連線規劃、缺乏足夠的安全防護、缺乏對外連線的防禦、… 。

  17. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • Step 4 控制措施分析 • 檢視目前已執行及計畫要執行的控制措施是否仍然有效與適當 • 控制措施的類別 • 預防性的控制措施 • 抑制違反資訊安全政策的企圖 • 存取控制、加密、身分鑑別 • 偵測性的控制措施 • 違反或企圖違反資訊安全政策的預先通知 • 入侵偵測 • Step 5 可能性分析 • 威脅來源之動機與能力 • 系統弱點的本質 • 現有控制措施的運作情形與效能

  18. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • Step 6 衝擊分析 • 必要的資料 • 系統的任務 • 系統與資料的關鍵性 • 系統與資料的敏感性 • 考慮層面 • 機密性 • 完整性 • 可用性 • 質化與量化 • 區分重要性與急迫性 v.s. 成本效益分析 • 質化的分析

  19. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • Step 7 風險判定 • 高 > 50 to 100 • 中 > 10 to 50 • 低 1 to 10 等級可依情況再細分 • Step 7 控制措施建議 • 將風險程度降低到可接受的程度 • 考慮因素 • 效能 • 相容性 • 法律規章 • 組織政策 • 營運衝擊 • 安全與可靠程度

  20. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • 風險減輕選項(Risk Mitigation Options) • Risk Assumption • To accept the potential risk and continue operating the IT system or to implement controls to lower the risk to an acceptable level • Risk Avoidance • To avoid the risk by eliminating the risk cause and/or consequence • Risk Limitation • To limit the risk by implementing controls that minimize the adverse impact of a threat’s exercising a vulnerability • Risk Planning • To manage risk by developing a risk mitigation plan that prioritizes, implements, and maintains controls • Research and Acknowledgment • To lower the risk of loss by acknowledging the vulnerability or flaw and researching controls to correct the vulnerability • Risk Transference • To transfer the risk by using other options to compensate for the loss, such as purchasing insurance

  21. Vulnerability to Attack Exists Threat Source System Design Exploitable? Vulnerable? No Risk No Risk Risk Exists Lost Anticipated > Threshold Unacceptable Risk Attacker’s Cost < Gain? Risk Accept Risk Accept 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • Risk Mitigation Strategy

  22. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • Approach for Control Implementation • Address the greatest risks • Strive for sufficient risk mitigation at the lowest cost • With minimal impact on other mission capabilities • Control Categories • Technical security controls • Management security controls • Operational security controls

  23. Technical Security Controls Support Identification Cryptographic Key Management Security Administration System Protections Prevent Authentication Authorization Access Control Enforcement Non-repudiation Protected Communications Transaction Privacy Detect and Recover Audit Intrusion Detection and Containment Proof of Wholeness Restore Secure State Virus Detection and Eradication 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理

  24. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • Management Security Controls • Preventive • Assign security responsibility • Develop and maintain system security plans • Implement personnel security controls, including separation of duties, least privilege, and user computer access registration and termination • Conduct security awareness and technical training • Detection • Implement personnel security controls • Conduct periodic review of security controls , including personnel clearance, background investigations, rotation of duties • Perform periodic system audits • Conduct ongoing risk management to assess and mitigate risk • Authorize IT systems to address and accept residual risk • Recovery • Provide continuity of support and develop, test, and maintain the continuity of operations plan to provide for business resumption and ensure continuity of operations during emergencies or disasters • Establish an incident response capability to prepare for, recognize, report, and respond to the incident and return the IT system to operational status

  25. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • Operational Security Controls • Preventive Operational Controls • Control data media access and disposal • Limit external data distribution • Control software viruses • Safeguard computing facility • Secure wiring closets that house hubs and cables • Provide backup capability • Establish off-site storage procedures and security • Protect laptops, personal computers (PC), workstations • Protect IT assets from fire damage • Provide emergency power source • Control the humidity and temperature of the computing facility • Detection Operational Controls • Provide physical security • Ensure environmental security

  26. Reduce Number of Flaws and Errors New or Enhanced Controls Residual Risk Add a Targeted Control Reduce Magnitude Of Impact 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • Residual Risk

  27. 10.3 進行威脅風險評估及落實資安守則 第十章 資安事件管理 • 當完成安全政策的制定、風險評估之後,接著便是資訊安全的實施,包含: • 教育訓練 • 企業內部必需對員工進行教育訓練,使其瞭解資訊安全之重要性,並且認同資安政策,以保護企業內部之機密資訊。 • 針對企業內部的系統管理者,必需提升資安相關之基本知識,包含入侵、安全漏洞與修補…等,以使內部機密資訊不會受到駭客入侵、系統漏洞等之影響。 • 針對管理階層的管理者而言,必需瞭解自己的部門該扮演的角色,並且提出各部門中可能的風險,接著制定各種防範措施。 • 企業必需定期實施稽核,需確認: • 員工對於資安政策的認知與遵守程度 • 教育訓練的成效

  28. 總結 第十章 資安事件管理 • 隨著數位時代的來臨,企業許多保貴的資產也漸漸數位化,因此在資訊安全的管理上也顯得更為重要,在BS7799/7800與ISO27001中,有提到資訊管理的生命週期PDCA,資安是需要隨著時間的變化而稍做修正,以滿足不同狀況的需求。 • 國內近年來大力推行資訊安全管理系統,各企業單位、國家單位也都開始重視資安,也有不少企業完成了資安認證,而每個不同的單位其政策不同,要保護的資產也有所不同,因此,在資安政策的擬定也不盡相同,但其目的皆在於保護屬於自己的資產。 • 在擬定政策與決定好將被保護的資產後,就要開始進行風險的評估,針對每個資產可能發生的風險進行評估,並計算風險值,再想對應策略降低風險值,使風險值可以被壓制在可以接受的範圍。 • 最後便是進行政策的落實,對公司內部的主管、系統管理者、員工進行教育訓練,提升資安意識,也可藉由稽核來檢視成效與缺陷,並加以改進,如此不斷,以保企業之永續經營。

  29. 參考資料 第十章 資安事件管理 • BSI Management Systems , http://www.bsi-emea.com/InformationSecurity/index.xalter. • Information standard, http://www.informationstandards.com/resources_glossary.htm. • RiskINFO, http://www.riskinfo.com/. • 經濟部標準檢驗局,http://www.bsmi.gov.tw/page/pagetype8.jsp?page=886&groupid=5。 • ISC資通安全聯盟,http://www.isc.ntust.edu.tw/。 • 資通安全資訊網,http://ics.stpi.org.tw/。 • 資安人科技網,http://www.isecutech.com.tw/。 • 中華民國風險管理學會 ,http://www.rmst.org.tw/。

More Related