1、資訊安全管理系統(ISMS)教育訓練,數聯資安/優易資訊/資安顧問陳勇君kevinsecure.idv.twBS7799 L.A. / CISSP,ISMS/BS7799 教育訓練簡報,2,內容綱要,前言資安事件層出不窮風險管理概念資訊資產、弱點、威脅、風險資訊安全管理系統(ISMS)的項目風險管理 ISMS BS 7799BS 7799 十大控制方法說明Part-(1) Part (4)問題與討論,前言,ISMS/BS7799 教育訓練簡報,4,駭客!無處不在?,重大網路安全事件1996/9:美國政府機關與軍事部門遭駭客入侵 2000/3:駭客利用 DDos 的網路攻擊方式,引起 Yahoo
2、、Amazon、CNN、eBay 等知名網站癱瘓 2001/7:A 旗下的 Bibliofind 遭駭客盜走1萬8千名顧客的 “信用卡” 資料 2001/5:東科大火燒出企業資料 “異地備援” 的重要性 2002/3:台積電高級主管涉嫌以 “電子郵件外洩” 晶圓製程相關機密文件2003/08:疾風病毒是在八月中旬,肆虐全球網路,是今年最嚴重的蟲災之一,造成數億美元的損失。2003/09:政府民間 88單位 遭中國網軍入侵,植入20多個木馬程式2003/10:一銀現金卡超貸案、台銀 ATM 盜領案、理律股票盜賣案、,危機是不會挑時間、不會分形式,只要你不警覺,駭客隨時都會盯上你!,5,前車之鑑
3、歷歷在目,【新聞】刑事局 93/05/03 上午首度證實,國內百大企業、科技、網路、金融、資訊及模具零件傳統產業、學校或個人電腦已經大規模遭駭客入侵,並遭植入多種惡意木馬程式竊取資料庫及帳號密碼,而且惡意攻擊程式有不斷擴散,交叉感染情形。【新聞】台灣警方 92/10 93/05 發現許多企業、政府機關主機遭到入侵、植入木馬程式,損失慘重。資訊安全公司表示,由於大陸的駭客全天無時無刻不在掃瞄台灣的主機,也確實有企業的主機被開啟後門。【新聞】台灣駭客與大陸駭客攜手合作,竊取網路銀行帳號密碼,盜匯巨額金額【新聞】如果洩漏一筆個人情資,罰款 NT 2 萬 10 萬不等【CNet 新聞】 2004/06
4、/17 EarthLink 和 Webroot 軟體掃瞄了大約42.1 萬台電腦,其中有 13.37 萬台電腦存在有 特洛伊病毒 或者 間諜軟體,占總數的三分之一,共發現了 1,130 萬個間諜軟體,平均一台機器上就有 26.9 個間諜軟體存在。,6,資訊安全的威脅來自-哪些人,企業內部員工MIS 人員離職員工/挖角同仁間諜員工維護廠商網路廠商主機廠商DB 廠商AP 廠商協力廠商B2B/上下游廠商,企業外部競爭對手商業間諜外國政府求名駭客地下組織Internet User,7,主管-資安心態的改變,過去既然是同仁、維護廠商,應該有忠誠度,應該不會現在雖然是同仁、維護廠商, “可能” 因為外部誘
5、惑 或者 內心不平,而,8,資訊資產(Assets)的種類,資訊資產(Information Assets)軟體資產(Software Assets)硬體資產(Hardware Assets)文件資產(Paper Document)服務(Service)公司形象(Company Image),識別,分類,鑑價,9,威脅來源 (1/3),駭客入侵有特殊目的-長期佈局、不易察覺、追查困難展示實力與惡作劇-篡改網頁惡意破壞-低程度駭客離職的員工挾怨報復或有機可圖有心同仁“忠誠/道義” 放兩旁、 “利” 字擺中間,10,威脅來源 (2/3),資訊專業承包廠商熟悉作業環境與系統價值具有使用權限專業知識高
6、於使用者預留 “後門” 容易使用者必須仰賴之網路、主機、AP、資安廠商最好不同、落實責任分離,11,威脅來源 (3/3),不當的使用習慣電子郵件濫用任意下載檔案網頁瀏覽未注意權限管控帳號與密碼資源分享設定錯誤防火牆 、防毒牆,12,13,14,離職員工竄改客戶資料詐財,15,內容綱要,前言資安事件層出不窮風險管理概念資訊資產、弱點、威脅、風險資訊安全管理系統(ISMS)的項目風險管理 ISMS BS 7799BS 7799 十大控制方法說明Part-(1) Part (4)問題與討論,風險管理弱點、威脅、風險,ISMS/BS7799 教育訓練簡報,17,資訊安全 = 風險管理與控制,需要一套完
7、整之政策,組織,標準,目標,程序與工具!,18,IT 價值以 “企業營運” 為基礎,為達成企業目標而引進的資訊技術包括:E-BusinessERP/MRPPDMIntranetsExtranets:,19,IT 價值以 “安全需求” 為本質,新的 IT 資訊技術必須確保資料與資訊的:保密性(Confidential)避免非法的人看到資料完整性(Integrity)避免非法的人竄改資料可用性(Available)讓合法的人想用就可以用,20,“弱點” 管理,何謂弱點?先天的不足很難改變以 SARS 為例如何弱點管理?建立系統安全政策(伺服器,個人電腦,資料庫系統,應用系統) 進行現有資訊環境的弱
8、點及威脅偵測擬定弱點偵測改善措施,21,Network Threats and Vulnerabilities,在入侵者之前找到漏洞或弱點,22,定期網路安全稽核,防火牆正常嗎?Web 上的 各種開發環境(ASP/CGI/Perl)有無安全漏洞?網路主機有無安全漏洞?作業系統的安全漏洞您修補了嗎?有工具來檢查嗎?是否定期實施網路安全檢查呢?,23,弱點檢查報告(1/2),24,弱點檢查報告(2/2),25,“威脅” 管理,何謂威脅?外在的因素破壞、洩漏、篡改資料、服務中斷的形式以 SARS 為例如何威脅管理?偵測入侵或誤觸安全政策之行為進行緊急應變措施以降低風險進行系統及網路行為的交叉比對以降
9、低事件誤判的發生,26,“風險” 管理,執行資訊資產風險評估(Risk Analysis)擬定風險改善計劃並追蹤執行成果進行安全狀態的趨勢分析建立企業資訊安全政策的管理機制,27,Threat Agent,Threat,Vulnerability,Risk,Asset,Exposure,Safeguard(Control),Give Rise to,Exploits,Leads to,Can Damage,And Causes an,Can be Countermeasured by a,Directly Affects,弱點, 威脅, 資產 與 風險 的關係,28,威脅、脆弱點、攻擊手法範例
10、,29,Security =,+,Vulnerabilities& Threats,Detect,Respond,風險分析 (R.A.)風險管理 (R.M.)風險審查,安全是一種 “不斷調整” 的過程,30,資訊安全 = 風險管理與控制,Exposure,Security Level,High,High,Low,$ Costs ofSecurity vs.Exposure,避免,降低,轉移,接受,Costs in balance,Security,31,風險管理流程,鑑別與評價資產(依存關係)分析與評鑑風險及衝擊鑑別與評鑑現存及規劃的安控機制評估與計算風險等級,制定範圍,決定可接受風險等級,監
11、督、審查與稽核計劃、開發與執行安控機制選取安控機制(限制因素),風險CIA,分析風險,減輕風險,32,內容綱要,前言資安事件層出不窮風險管理概念資訊資產、弱點、威脅、風險資訊安全管理系統(ISMS)風險管理 ISMS BS 7799BS 7799 十大控制方法說明Part-(1) Part (4)問題與討論,資訊安全管理系統(ISMS),ISMS/BS7799 教育訓練簡報,34,資訊安全管理之路,風險管理,ISMS,BS7799認證,BS 7799/CNS 17800 十大控制方法,ISMS/BS7799 教育訓練簡報,36,BS 7799-2 的 十大 控制方法,37,ISO/IEC 17
12、799 & BS 7799 - 2,BSi 制定 BS 7799 Part 1 & 2 標準BS 7799 1 : (施行細則)1999 在 2000年由 ISO 通過為國際標準ISO/IEC 17799ISMS 建置過程敘述BS 7799 2 : (真正標準)ISMS 標準規範和控制機制BS 7799-2 認證,38,全球 BS 7799 - 2 認證總數,Source : IUG web site, Oct.-2003,Total : 399 (OCT-2003),39,BS 7799 1 (ISO 17799),ISO/IEC 17799:2000 (BS 7799-1:1999)建立
13、ISMS 的參考文件提供完整的安全控制說明最佳的資訊安全作業圭臬包含10 種控制方法的 Code of Practice不能用來進行稽核評估或驗證,40,BS 7799-2: 1999,BS 7799-2: 1999基於 BS 7799-1:1999 所制定規定 ISMS 的各種 “要求(Requirement)”“建立”、“實施” 和 “文件化”針對個別組織的實際 “需求(Need)”, 規定其相對需要實施的 “資安控制項目(Security Controls)” 的 “要求”.10 種控制方法 (Control Clause)36 個控制目標 (Control Objectives)127
14、 個控制項目(Controls),41,CNS (國家標準),標 準 總 號: 17800 中 文 名 稱: 資訊技術資訊安全管理系統規範 英 文 名 稱: Information technology-Specification for information security management systems 標 準 類 號: X600041 國際分類碼: 35.040 公 布 日 期: 91/12/05 修 訂 日 期: 未修訂 廢 止 日 期: 未廢止 頁數: 中文頁數有:32頁/無英文版,42,資訊安全自我檢視,需要保護什麼 ? 需要防範什麼 ?造成什麼影響 ?如何防範 ?誰來防
15、範 ?防護措施有效嗎 ?,例如:Email ServerFile Server機房WWW ServerDatabase Server公文系統會計系統人事差勤系統,43,Physical Controls,控制項目(Security Controls),Technical Controls,Administrative Controls,Company Data and Assets,Administrative Controls,Policies, Standards, Procedures, Guidelines, Screening Personnel, Security Awarenes
16、s Training, System Act. Monitoring,Technical Controls,Logical Access Controls, Encryption, Security Devices, Identification and Authentication,Physical Controls,Facility Protection, Security Guards, Locks, Monitoring, Environmental Controls, Intrusion Detection,44,資訊安全管理架構,2.為 ISMS 之範圍下定義,45,資訊風險評估步
17、驟,46,風險審查範例-(業務需求),47,風險審查範例-(威脅與脆弱點),48,風險審查範例-(法令規章),49,執行風險審查、滲透測試,由特定一組人員執行資訊系統設備使用者資訊安全專家資訊安全管理代表委託外部專家執行滲透測試選取控制目標與細項,50,發展資訊安全文件體系,51,BS 7799-2 的 十大 控制方法,52,ISMS 範圍,貴單位,技術組,行政組,內稽小組,安控小組,資料處理,管理資訊,文件製作,總務,法務,稽核,人事,政風,53,A.3 (4.1) 安全政策 (1,2),資訊安全政策資訊安全政策文件核准、發行、並宣導審查及評鑑政策應定期審查如有影響變更時,應確保維持其 “適
18、切性”,54,A.4 (4.2) 安全組織 (3,10),建構 “資訊安全基礎框架(Infrastructure)”內部資訊安全管理委員會資訊安全之部門間協調、授權外部資訊安全專家執法機關、主管機關、資訊服務提供者,及通信業者外包廠商之資安要求第三者 (Third-Party)之資安要求“獨立” 的資訊安全審查稽核部門/資訊部門 的 “責任分離”,55,資訊安全管理委員會,高階主管,人事、行政管理(法務、總務、稽核),資訊中心,資訊安全專家,使用者單位(財會、業務單位),56,專案組織,57,A.5 (4.3) 資產分類及控制 (2,3),資產的保管責任 資產清單 明定責任 資訊分類 分類原則
19、/機密等級資訊標示與處理,58,資訊資產(Assets)的種類,資訊資產(Information Assets)軟體資產(Software Assets)硬體資產(Hardware Assets)文件資產(Paper Document)服務(Service)公司形象(Company Image),識別,分類,鑑價,59,資產分類的方式,Commercial ConfidentialPrivateSensitivePublicFocus on IntegrityAvailability,MilitaryTop SecretSecretConfidentialSensitive but uncla
20、ssified (SBU)UnclassifiedFocus onNon-Disclosure of Confidential,60,資訊資產清冊,61,A.6 (4.4) 人員安全 (3,10),工作說明及人力資源的安全“安全需求” 列入工作職掌人員篩選及政策使用者訓練因材施教 安全及失效事件的回應,62,人員管理,網路合法使用者正確的操作程序應負的安全責任資源存取的權利與範圍應遵守的安全政策與規定網路系統管理者正確的操作與管理程序應負的安全與管理責任資源管理、維護的權利與範圍應遵守的安全政策與規定安全政策的制定與執行.,身家調查背景、財務責任分工Separation of duties保密
21、條款Non-Disclosure Agreements工作輪調Job rotation離職處理Termination,彼得杜拉克強調:一個領導人所做的所有決定中,最重要的,莫過於有關人的決定。,63,落實安全教育訓練,包含主管與相關階層人員,分別接受一般性人員訓練資訊或網管專業人員訓練定期舉辦教育訓練,內容包含:安全須知與趨勢安全漏洞與攻擊種類可能遭受入侵的管道與破壞實例病毒種類與感染途徑緊急事故應變措施災害復原處理原則安全需求與責任.,危機意識,64,宣導實例,65,安全及失效事件的回應,定義權責, 通報流程, 通報機制與方法安全事件的通報安全弱點的通報軟體失效事件的通報從事件中學習懲處的流
22、程,66,標準作業程序(SOP) 的重要性,不要忘記 “SARS” 的教訓設備一流 沒用醫術一流 沒用為什麼 ?因為不會使用 如何讓任何人快速學會 ?因為沒有經驗 如何讓任何人快速傳承 ?因為沒有推演 如何讓任何人快速熟練 ?因為沒有抗體 如何讓任何人有抵抗力 ?,67,“演練” 與 “緊急應變” 的重要性,不要忘記 “納莉風災” 的教訓 !沒有演練 沒用到時候, 原先的承辦人是否一定當值 ?測試不夠 沒用平常都 “正常”, 到時候卻都 “異常” ?不會應變 沒用如何在時間內完成 應變程序 ?緊急應變程序是 “三頁” , 而不是 “三天三夜翻不完” ?,68,緊急事故應變與災害復原處理,網路設
23、備備援與系統備份不斷電系統雙機備援系統備份.緊急事故應變切斷網路連接關閉防火牆入侵通報紀錄與檢討.,災害復原備份回復備份主機上線.測試與演練事前防範事中應變事後改善,69,緊急應變-事前防範,建立安全防護系統硬體網路主機用戶端軟體作業系統應用程式資料庫,建立維護系統組織項目方法程序急救包紀錄演練稽核,70,緊急應變-事中應變,應變組織體系通報系統EmailPagerSNMP TrapTelephoneSMSMobile PhoneAlarm,應變與復原系統組織方法程序演練稽核紀錄正常異常,71,國家資通安全應變中心,網址 http:/www.ncert.nat.gov.tw/infosec/d
24、ata.asp組織職掌危機通報通報流程, 通報登錄, 通報資訊, 分類統計技術服務漏洞修護, 安全檢測, 技術文件, 工具軟體, 相關網站,72,緊急應變-事後改善,安全事件會議擬定改善計劃執行與追蹤紀錄,73,A.7 (4.5) 實體及環境安全 (3,13),安全區域實體安全邊界實體進出管制辦公處所及設備之保護隔離的遞送和裝載區域設備安全電源供應纜線傳輸安全設備維護,位置與保護設備報廢與再利用的安全防護組織以外的設備安全,一般性控制辦公桌面及電腦螢幕畫面淨空政策資產的移出組織所擁有的設備、資訊及軟體未經授權應不得移出。,74,接待處,實驗室,廚房,洗手間,門禁機房,財會處,會議室,展示室,經
25、理,總經理,副總,財務長,人力資源處,行政總務處,影印室,庫房,電腦機房,員工辦公區,A.6.3.14A.7.1.4A.7.2.16A.8.17A.9.18A.10.15A.11.1A.12.3.2,A.9.1.13,A.6.12A.6.3.5,A.5.1.1A.5.2.1,2A.7.13A.7.2.1,46A.7.3,A.8.7.2A.12.1.1A.12.2A.12.3.1,A.9.1.5,A.9.1.13,A.6.1.14A.6.2.1A.6.3.15A.7.2.5A.7.3.12A.8.3.1A.8.6.13A.9.1.14.9.2.13,A.9.3.12A.9.4.1,3,4A.9.
26、5.15.7.8A.9.6.1A.9.8.12A.10.3.24A.11.1.5A.12.1.27,A.7.1.4,A.7.1.13,A.7.1.13,A.7.1.13,47A.3A.4,A.7.1.13,實體環境、人員與控制點之關係圖,75,A.8 (4.6) 通訊與作業管理 (7,15),操作程序和責任(變動管理/文件)系統規劃與驗收(容量/效能)對 “惡意軟體” 的防範 日常事務處理(備份/Log/Event/Error)網路管理儲存媒體的處理與安全 資訊及軟體的交換,76,A.9 (4.7) 存取控制 (8,31),企業營運對存取控制的要求 使用者存取管理 使用者責任 網路存取控制 作
27、業系統存取控制 應用程式存取控制 系統存取及使用的監督 可攜式電腦環境及遠距通訊作業,77,A.10 (4.8) 系統開發及維護 (5,18),系統的安全要求分析與標準SA/SD 即導入資訊安全規劃應用系統中的安全 輸出入資料的檢驗與稽核紀錄的完整性密碼學的控制方法數位簽章、金鑰管理系統檔案的安全原始程式碼、測試資料、版本控制 開發和支援流程中的安全變更控制、秘密通道、特洛伊木馬(尤其是外包),78,A.11 (4.9) 業務持續性管理 (1,5),BCP/DRP業務持續性管理流程業務持續性及衝擊分析撰寫及執行 “業務持續性計畫(BCP)”“業務持續性計畫” 之架構“業務持續性計畫” 之測試、
28、維護與評鑑,79,A.12 (4.10) 符合性 (3,11),法規要求的符合性行規與法令, 智財權, 隱私權, 加密方法合法性, 證據的收集 安全政策及技術符合性的審查PDCA系統稽核的考量獨立性與完整性系統稽核工具與資料的保護,管理階層的責任,ISMS/BS7799 教育訓練簡報,81,管理階層審查責任,管理階層必須定期審查其 ISMS, 以確保其持續的適用, 足夠, 與有效該審查應包含評估 ISMS 及其安全政策與目標之改善機會與修正的必要性審查結果應明確的紀錄並妥善保存,82,管理者被動性防禦思考角度,被動性防禦:思考角度以防守為主問題發生後再反應相信人性本善重點放在外部周邊安全(Internet)。例如:外部防火牆(如同實體安全 警衛)、入侵偵測系統(IDS,如同實體安全CCD 監視器)、通訊加解密。,83,管理者主動性防禦思考角度,主動性防禦:思考角度以預防為主問題發生前就先反應預期人性本惡重點放在內部資訊安全(Intranet)、夥伴資訊安全(Extranet)與內容資訊安全(Content Security)。例如:內部防火牆、入侵預防系統(IPS)、文件發行安控系統與郵件內容過濾機制、資料庫/XML 欄位加解密 等等。,84,問題與討論,