621 likes | 867 Views
資訊安全稽核. 賴溪松教授 國立成功大學計算機與網路中心主任 國立成功大學電機系及電腦與通訊研究所 教授 TEL:(06)2757575 ext 61020 E-mail:laihcs@eembox.ncku.edu.tw http://www.icsc.ncku.edu.tw/ FAX:(06)274-3533. 大綱. 何謂資訊安全 資訊安全管理系統 (ISMS) 之重要 資訊系統稽核歷史 資訊安全系統的實施 資訊安全稽核證照 結論. 何謂資訊安全.
E N D
資訊安全稽核 賴溪松教授 國立成功大學計算機與網路中心主任 國立成功大學電機系及電腦與通訊研究所教授 TEL:(06)2757575 ext 61020 E-mail:laihcs@eembox.ncku.edu.tw http://www.icsc.ncku.edu.tw/ FAX:(06)274-3533
大綱 • 何謂資訊安全 • 資訊安全管理系統(ISMS)之重要 • 資訊系統稽核歷史 • 資訊安全系統的實施 • 資訊安全稽核證照 • 結論
何謂資訊安全 • “資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價值,因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅,確保持續營運,將營運損失降到最低,得到最豐厚的投資報酬率和商機。” — BS 7799資訊安全管理系統(Information Security Management System)標準定義
資訊安全三要素 • Confidentiality 機密性 • 保護資訊不被非法存取或揭露 • Integrity完整性 • 確保資訊在任何階段沒有不適當的修改或損毀 • Availability 可用性 • 經授權的使用者能適時的存取所需資訊
資訊安全的漏洞? • 最傷腦筋的,已經不是技術性的問題 • 一旦有一個使用者違反規定導致了資訊安全的漏洞,資訊安全人員所有的辛苦都是枉然 • 防毒軟體?應該有吧,要更新什麼修補程式?你們資訊單位老是弄一些怪怪的名詞,我們user那知道那麼多 • 我上個星期才買的最新款筆記型電腦,又可以無線上網,又可以接隨身碟,我就把舊電腦的網路線拔下來,插在新電腦上,好不容易可以接上公司網路
資訊安全管理系統(ISMS)的重要 • 根據FBI調查統計2001年的受訪者,有70%的比例危內部安全意識缺乏即不當使用所致 • 英國官方統計報告「2002年資訊安全入侵調查」指出,在規模較小的公司裡,最重大的系統入侵案件有32%是內賊所為;在大企業,因內部員工所造成重大系統入侵案件更達到48% • 2002年9月偽卡集團涉嫌勾結財政部所屬的財金資訊公司工程師,盜取客戶信用卡內外碼資料高達一百萬筆以上及金融卡資料 • 2002.9.21消基會批評財金公司無法掌控行政人員使用資料、管理資料的動作,消費者權益嚴重受損
ISMS的重要 (cont.) • 2004年5月刑事局員警、中華電信、民營電信員工涉嫌將個人資料外洩販賣 • 2004年12月台北市一家電腦資訊公司涉嫌利用職務之便,將四千多萬筆的客戶電話住址另外留存,轉售從中謀取兩百多萬元的暴利 • 造成資訊安全事件的原因僅約25%是技術方案的解決,重要的是人性管理面上出現漏洞
資訊系統稽核歷史 • 資訊系統稽核在早期是傳統會計審計業務的一部分 • 主要關注於被稽核單位的電子資料取得、分析與計算等資料處理業務 • 對交易金額、帳戶、報表餘額進行檢查 • 對客戶的電子化會計資料進行分析處理
資訊系統稽核歷史 (cont.) • 隨著電腦技術應用範圍的擴展,資訊稽核所關注的內容也開始延伸到對電腦系統的可靠性、安全性進行了解和評估 • 資訊稽核的業務範圍已經涵蓋審計業務的全部過程 • 如今的資訊系統稽核的業務已經超出了爲財務報表審計提供服務的範圍 • 很多大型會計公司內部,資訊系統稽核部門已經成爲一個獨立的對外提供多種服務的部門
資訊系統稽核歷史 (cont.) • 國際會計公司、諮詢公司和專業服務提供廠商都將控制風險作爲管理諮詢和服務的重點 • 尤其電腦環境風險和資訊系統運行風險 • 大型跨國公司 ,常常高薪聘請資訊系統審計師進行內部審計
資訊安全的實施 • 無論美國或加拿大模式,大致上都包含了五階段 • 風險評估(或風險管理分析) • 制定防範政策 • 依政策進行系統維護與補強 • 人員教育訓練 • 稽核 風險評估 稽核 資通安全 教育訓練 防範政策 系統維護
資訊安全的實施-風險評估 • 資通安全開始必須先進行風險評估與分析 • 利用風險評估方式來確定機關內的資產,評估這些資產的價值與可能潛在的弱點與威脅 • 資通安全評估內容 • 事先了解資產的價值 • 掌握風險的所在 • 降低風險的影響
事先了解資產的價值 • 資產價值 • 一個金錢量化的數字 • 風險指數 • 針對特定資產可能產生之破壞性影響 • 發生機率的預估 • 代表預期可能發生的機會
Vulnerabilities Decrease Vulnerabilities Threats Assets 風險意識 • Accept • Mitigate • Avoid • Transfer
資訊安全的實施-風險評估 • 處理方式 • 漠視風險漠視資訊危機的存在,遭受的風險損失將無法估計 • 降低風險找出風險,使用適當的解決方法,降低可能的損失 • 接受風險在可接受的範圍內,承擔風險所帶來的損失 • 風險轉嫁將風險所帶來的損失轉移給第三者
資產濫用 資料來源:中華民國電腦稽核協會
利用 威脅 脆弱性 阻止 增加 增加 暴露 安全措施 風險 資產 指出 增加 具有 導引 安全需求 價值 風險評估與管理主要因素
資訊安全成本 • 虛擬成本=發生事故損失成本(L0)*發生機率(P0) • 實際成本=改善資通安全所花費之成本 • 改善前資通安全成本(B)= L0*P0 • 改善後資通安全成本(A)= L *P1 • P1(改善後發生機率) • 有效改善 B > A
資訊安全成本(cont.) 現存成本(A) = 資產價值(W) X 資安事件可能發生的機率(P0) -) 虛擬成本(B) = 資產價值(W) X 改善後的機率(P1) + 資安產品成本(Co) -------------------------------------------------------------------------------------------- (A) - (B) = (W) x (P0-P1) - (Co)
資訊安全的實施-防範政策 • 評估完成後,便是政策與程序的制定 • 防範政策的訂定與改善程序將直接影響資通安全成本 • 政策制定後,並非一成不變,必須由風險改善程度而調整政策之內容
資訊安全的實施-防範政策 • 防範政策至少須具有以下內容: • 資訊使用政策 • 網路管理政策 • 系統維護政策 • 帳號密碼管理原則 • 備份計劃 • 緊急應變計劃 • 災難復原計畫
資訊安全的實施-防範政策 • 政策施行的先後順序 • 政策訂定與施行前,應先確認風險評估的完成,依照風險嚴重程度進行政策的實施 • 在許多情況下,因各部門的風險價值不同而有不同的優先順序,因此公司內部可能會有許多政策的制定會同時進行 • 當風險已降低至可接受的安全程度內,則可召集相關人員共同討論,進行下一政策實施
系統維護內容應包含 危機通報系統 緊急應變通訊系統 網路安全防範 防火牆 虛擬私人網路(VPN)等機制 入侵偵測系統(IDS) 人員身分管理系統 加密 金鑰管理 演算法 實體安全 火災,高溫,斷電等事故的保護 資訊安全的實施-系統維護
資訊安全的實施-教育訓練 • 員工 • 使其能對機關產生認知意識,並能保護機關內部機密資訊 • 系統維護者 • 提昇其資通安全之基本技能,了解最新的駭客技術、安全威脅、安全修補等資訊 • 管理階層 • 在教育訓練過程中了解各部門在資通安全中所扮演的角色 • 實施資通安全的基礎課程,以能確切制定防範政策
資訊安全的實施-稽核 • 稽核的內容應包含 • 員工對於安全政策的認知與遵守 • 系統維護與操作程序 • 教育訓練實施成果 • 網路安全防護裝置的能力 • 定期稽核的程序
安全技術與電腦稽核 • 電腦稽核: • 事先稽核: • 實際資料稽核,確保內部資料的正確性。 • 事後稽核: • 歷史資料的稽核,發覺或追查可疑的事件及人員。 • 目標: • 確保所有運作均按既定安全政策執行。 • 確保所有存取資料皆獲得授權。 • 確保所有資料均經適當處理及其正確性。
電腦稽核 • 目標:(以會計為例) • 所有交易運作皆按既定政策執行 • 所有交易皆經授權 • 所有交易皆經適當處理,以確保財務報表的正確性 • 發展及使用審計軌跡 • 確保稽核証據不被遺漏、更改及破壞 • 利用稽核工具直接進入系統中查核 • 稽核控制 註:資訊系統管理與資訊系統稽核是完全獨立的個體
電腦稽核(cont.) • 假設: • 稽核程式軟體必須與系統程式獨立且無法被入侵(最好在系統開發時即加入)。 • 稽核人員必須可被信任且被有效授權與認證
BS7799 / ISO17799 英國國家標準協會,資訊安全管理機制 http://www.bsi.org.uk/ COBIT 國際電腦稽核協會,資訊技術控制架構, http://www. isaca.org/ NIST 美國國家標準與技術協會, http://csrc.nist.gov/nistpubs/800-14.pdf BIS Basel II 國際清算銀行/新巴塞爾資本管理協定 New Basel Capital Accord 我國政府規範 『行政院所屬各機關資訊安全管理實施基準/要點』『財政部暨所屬機 關資訊安全管理基準』『金融機構辦理電子銀行業務安全控管作業基準』 我國法令要求 銀行法,營業秘密法,個資法,刑法電腦犯罪 Electronic Banking Control 美國聯邦存款保險公司電子銀行控制架構評估—稽核規範 資訊安全的實施-稽核 國際與國內資訊安全標準與法令
BS 7799(CNS17799/17800) • 為目前國際上最知名的安全規範,而且已被ISO (International Organization for Standardization) 接納成為國際標準 • 台灣的國家標準CNS 17799、CNS 17800,就是參考BS7799的Part 1和Part2並加以中文化 • 主要以ISMS風險評估管理架構進行安全管理,涵蓋所有的安全議題,是一套相當複雜的資訊安全應用與稽核的標準
BS 7799歷史 • 起源於90年代初期世界經濟合作開發組織(OECD)草擬的資訊系統安全指導方針 • 1993年由英國DTI(英國貿易及產業局)公佈PD0005資訊安全管理實施要則,即為BS 7799 part 1前身 • 1998年由BSi公佈BS 7799 part 2 • 1999年修訂驗證需求 • Part 1在2000年正式公告成為ISO 17799 • Part 2在2002年進行修訂為BS 7799-2:2002
BS 7799 part 1與part 2 • BS 7799 part 1為資訊安全管理作業要點 • 主要是作為參考文件,提供廣泛性的安全控制措施,作為現行資訊安全之最佳作業方法 • 不作為評鑑與驗證標準 • BS 7799 part 2:2002為資訊安全管理系統要求 • 提供資訊安全管理系統(ISMS)之建立實施與書面化之具體要求,依據個別組織的需求,規定要實施之安全控制措施的要求 • 不是技術標準,而是管理標準
CNS17799/17800(BS 7799/ ISO 17799 ) 十項分析領域 包含36個管理目標、127個控制方法 資料來源:XiSEC Consultants
導入BS 7799之優點 • 提升內部資訊安全的保護等級 • 對安全政策的要求與承諾 • 加強員工對企業內資訊安全的認同與參與感 • 客戶滿意度的提升與安全保證,提高企業競爭優勢 • 是否要導入BS 7799? • 重要的是企業導入資訊安全管理系統的目的是什麼? • 目的不在拿證書,在於參考已有的國際標準,逐步建立適合企業需求的資安體系,透過不斷的訓練與推動,讓安全的觀念灌輸至每位員工中
BS 7799 台灣目前發展現況 • 2001年,台灣僅只有3家民間企業通過驗 • 2002年,台灣共有7家民間企業通過驗證 • 同年也正式公佈CNS-17799資訊技術-資訊安全管理之作業要點及CNS-17800資訊技術-資訊安全管理系統規範 • 截至2004年9月20日止,全球有878家公司取得BS7799-2證照,其中台灣已有25家取得。 • 在行政院國家資通安全會報積極推動資訊安全,要求A級單位需在2004年底率先通過BS7799認證。 • 預估在未來三年之間將有數百家的公私立機構通過認證。
BS 7799台灣目前發展現況(cont.) • 目前全球共有十四家驗證機構可以執行ISMS驗證,在台灣有開設分支機構的只有五家 • 目前發出過BS7799驗證的只有兩家(英國BSi和挪威DNV) • 國內中央標準檢驗局從2003年開始開放CNS17800的申請稽核驗證,目前有20位的稽核員,在學、經歷等資格皆符合國際要求,但在實際的經驗仍顯不足。 • 2004年A級等政府單位導入、申請認證後,市場需求量大增,將再培訓人才
COBITControl Objectives for Information and related Technology • COBIT是國際電腦稽核協會(ISACA)完成之一套實用的資訊系統稽核與控制標準用以提供CISA(Certified Information Security Auditor)與CISM (Certified Information Security Manager)人員執行業務時之參考,COBIT目前最新的版本為第三版。
COBIT (cont.) • 主題為企業導向,不僅設計為使用者及稽核所用,更可供管理及業務營運主管使用的準則。 • COBIT之資訊技術控管架構分為4個階段的生命週期模式:規劃與組織、取得與建置、交付與支援、監控,與BS7799的PDCA在架構上有相似之處。 • 依其作業程序可再細分為34項高層控管目標與。 318項細部控管目標的資訊技術程序稽核準則,供業務營運主管與稽核人員參考。 • BS 7799涵蓋10個管理要項、36個管理目標、127個控制方法
資訊及相關技術的管理、控制與稽核(COBIT)架構資訊及相關技術的管理、控制與稽核(COBIT)架構 資料來源:中華民國電腦稽核協會
使用對象 • 管理階層:用以協助其在資訊技術的環境中如何平衡風險及控管投資。 • 使用者:用以協助其獲得經由內部或外部的稽核,對資訊技術服務控管的保證。 • 稽核人員:用以支持其對資訊安全及控管之意見與建議
資訊安全稽核證照 CISSP CISA BS 7799 Lead Auditor
國際資訊安全管理師CISSP • CISSP (Certification for Information Systems Security Professional)由國際資訊系統安全認證協會(ISC)2所頒發,是國際公認最具權威性的資訊安全專業人員證照 • (ISC)2 (www.isc2.org)成立於1989年,主要目標在於從事認證考試的培訓與管理。 • 1992年(ISC)2開始進行的CISSP認證,被認為是最佳投資報酬率的專業證照。
CISSP認證資格 • 必須遵守(ISC)2的道德規範(Code of Ethics) • 必須有 • 4年在資訊安全領域全職的工作經驗 • 或3年工作經驗外加學士學位 • 工作經驗定義為在CBK(Common Body of Knowledge)的10個專業領域中的一個或多個領域從事有薪資收入的工作 • 獲得證照後,在3年內必須累積120個CPE(Continuing Professional Education,進修點數,可通過從相關工作或研究獲得) ,否則必須重新參加考試才可保持CISSP資格 • 每年需支付85美元的CISSP維持費