資訊安全控制措施

資安事故管理與營運持續

2011-09-28
上一期談到ISO 27001中有關資訊系統的安全規格要求,以及在系統開發時,如何導入適當的安全控制來降低系統的安全風險,本期將說明接下來的資安事故管理與營運持續的控制措施。
在資訊安全的世界裡,無法達到所謂百分之百的安全,能夠做到的只有相對的安全,這是組織務必要體認的實際情況,因此,難免會有一些資安事件,像是電腦中毒、駭客入侵、資料損毀等狀況發生。既然無法保證絕對不會發生資安事件,那麼在事件發生時,為了要降低可能的損害,就需要事先建立處理應變的方式,才能將衝擊降到最低,甚至還要進一步擬定營運持續計畫,以便在災害擴大時,仍能保持業務營運的正常水準。

資訊安全事故管理

在ISO 27001附錄A.13中提到的是資訊安全事故管理的資安要求,它有兩個控制項目,「A.13.1是通報資訊安全事件與弱點」,目標是要確保和資訊系統有關的資安事件與弱點,都擁有相對應的處理程序,並且能夠正確及時地被傳達通報。這也就是說,只要是和資訊系統有關的人員,包括系統管理者、供應商及使用者,都必須要了解這些不同種類事件和弱點的通報程序、聯絡方式和正確的聯絡窗口,這個項目具有兩項控制措施,說明如下:

A.13.1.1通報資訊安全事件

這項控制措施是要求組織建立正式的資安事件通報程序,以便相關人員能夠採用適切的管道,快速將資安事件回報給管理人員,以便及時因應和處理。通常一個完整的通報程序,包括要指定一個正式的聯絡人和代理人,並提供文件化的資安事件通報程序和表單,讓通報人員能夠依照事件通報指示,記錄和事件有關的重要細節,像是發生的時間、地點、系統錯誤訊息、監控指數,以及其他主觀判定異常的行為,以作為事件處理的依據參考。

為了要讓人員熟悉資安事件通報的作業流程,建議組織應定期舉辦教育訓練,讓新進人員都能具備必要的認知,或是定期地實施事件模擬演練,以便在事件真正發生時不會因手忙腳亂而忽略了訊息通報。

A.13.1.2通報安全弱點

這項控制措施是在組織已建立了適切的通報程序之後,要求和資訊系統有關的人員、供應商和使用者,務必要遵守通報的要求,只要是發現或觀察到可疑的安全弱點,就需要將這些事件盡快告知管理人員,以避免進一步的損害發生。

至於在「A.13.2資訊安全事故與改進管理」的項目中,目標是要確保組織中具有一致的事件通報與處理程序,並且能夠持續地進行評估、監控,並且改善整體的安全事件管理,以達到事故管理的有效性。在這個項目中,一共有三項控制措施,分別說明如下:

A.13.2.1 責任與程序

在資安事件發生時,到底要由誰來負責通報?該如何進行呢?這些都有賴於事前建立完整的作法,因此,這項控制措施即是要求組織需要建立適當的責任區分和作業程序,才能夠迅速有效地回應資安事件。

所以在實務上,我們需要針對事件區分不同的等級或型式,才能夠分別建立不同的因應辦法,例如針對單機的電腦中毒,就會有其需要通報的內容說明和處置,而針對來自網路的阻絕服務攻擊,在通報層級和處置方面,也會有顯著的不同。

至於整體的事故管理程序,建議還要包括事件的原因分析與鑑別、如何進行事件預防與矯正措施的規劃,以及是否需要蒐集相關證據,以便向主管機關進行通報,或是作為損害求償的證明。

A.13.2.2 從資訊安全事故中學習

所謂亡羊補牢尚未晚,一旦資安事件效應擴大,演變成為對於組織營運有害的事故,我們就必須要有足夠的資訊,針對事件發生的頻率、損害情形、營業損失,來選擇額外的控制措施,以防止事件的再次發生。這項控制措施即是要求組織應有適當的機制,評估和監控資安事故的過程以及所造成的衝擊,作為因應未來事件的依據參考。

A.13.2.3 證據的蒐集

如果資安事故涉及到法律問題,組織就必須採取相關的法律行動,證明自己並無故意過失,或是對於惡意行為進行損害求償。這項控制措施要求應針對資安事故本身,蒐集、保存和提交相關的證據,以符合法庭在審判時的佐證要求。在實務方面,數位證據的蒐集是相當專業且不易進行的,因為數位證據本身很容易受到破壞和竄改,進而損及到數位證據應有的證明力和證據力法則。

所謂證明力是指證據是否可明確反映事件發生的原貌,而證據力則是在蒐集的過程中,是否依照標準的程序來進行採集,並且可持續一致地維持證據的正確性和完整性,確保其品質可被法庭所採納。

對組織來說,證據的來源通常有兩種型式,一種是紙本文件,它記錄事件的發生時間、地點和過程,這些原始文件必須要確保其不會遺失或受到竄改;另一種則是存在於資訊系統上的電磁記錄,需要透過鑑識人員使用相關的鑑識工具進行蒐集、檢驗、分析和報告,在這個過程中,需要依照法庭或業界認可的標準流程來進行,原始存有電磁記錄的媒體則必須受到妥善的保護,以避免損及證據應具有的兩項法則。

營運持續管理

組織想要做好資訊安全的目的,就是不希望資安事故的發生,影響到日常的業務營運,所以A.14營運持續管理的目標就是希望組織能夠未雨綢繆,事先擬定各項的應對策略,以避免營運中斷的情況發生。

營運持續策略的擬定,主要是透過營運衝擊分析來找出組織重要的業務關鍵活動,再透過針對關鍵活動的風險評鑑,評估可能的潛藏風險,並擬定出對應的營運持續計畫,藉由計畫的實現來達成營運持續的目標。

因此,A.14.1「營運持續管理的資訊安全層面」的控制目標,就是希望透過營運持續管理的流程,配合實施各項預防和復原措施,來對抗可能的營運中斷,確保重要的核心營運系統和業務流程,不會受到災害事故的影響而能夠持續進行,在這個項目中一共有五項控制措施,分別說明如下:

A.14.1.1 將資訊安全納入營運持續管理流程

這項控制措施要求組織需要依照業務所需的資安要求,發展和維持整體的營運持續管理流程,也就是需要識別和業務有關的關鍵活動,以及支持這些關鍵活動所需的資產,包括了人員、場地、資訊、技術、供應商、利害關係人等,組織必須充分地了解這些資產所需的安全要求,以及這些資產可能引起營運中斷的風險,評估其可能造成的衝擊,然後再選擇適當的控制措施。

舉例來說,像是火災可能對於營運場地包括機房和辦公室,造成營運中斷的衝擊,所以組織就需要配置消防系統,作為對抗火災的控制措施,如果認為此災害對於營運的衝擊過大,甚至可預備另外的營運據點,或進一步購買適當的保險,來降低整體的營運風險。

A.14.1.2 營運持續與風險評鑑

組織若已將資安納入營運持續過程的考量,接下來就要展開實際行動來找出可能造成營運中斷的風險,這項控制措施就是要求組織必須識別可能導致營運中斷的事件,研判其可能發生的機率,評估可能造成損害的等級,以及對組織的衝擊和影響。

一般而言,由資安事件引發的系統錯誤、設備失效、天然災害等問題,多數能夠藉由風險評鑑加以識別,並且依其損壞程度和復原時程,判斷如何恢復至正常運作的水準。因此在進行規劃時,建議最好由業務活動和資源的擁有者來參與,才能完整的識別出正常營運所需的資源、可允許的中斷時間及復原的順序,如此也才能識別出各項風險,進而決定組織營運持續管理的整體作法,避免落入過度偏重在添購資訊設備的備援情境中。

A.14.1.3 發展與實作包括資訊安全的持續計畫

組織應依據營運衝擊分析和風險評鑑的結果,來建立所需的營運持續計畫,這項控制措施就是要求針對各項可能造成營運中斷的風險,應該建立對應之維持或恢復運作的計畫,以確保在一定時間內達到資訊可用的要求等級。對此,建議組織在規劃時,需要考量可以接受的服務中斷時間,以及可使用的人力、物力等各項資源。

A.14.1.4 營運持續計畫框架

這項控制措施是要求營運持續計畫需要確保一致性,也就是在實施上務必要依照組織的整體作法,例如在每一份計畫中都會涵蓋特定的計畫擁有人、聯絡清單、啟動條件、緊急程序等,這些就是所謂的框架,需要依照這些項目來建立各項營運持續計畫的內容,同時明訂測試與維護的優先順序。

A.14.1.5 營運持續計畫的測試、維護及重新評鑑

關於營運持續管理,實務方面需要注意的是,計畫本身的建立並不困難,重點在於如何維持計畫的有效性,因此這項控制措施要求所有的營運持續計畫,都需要定期的測試與更新,以確保計畫的內容與作法,符合當下真實的環境。

對組織而言,或許無法同時完整測試所有計畫,但應該要規劃其測試時程和方法,視情況選擇採取紙本演練、狀況模擬、技術測試及完整演練等,請務必明白計畫的目的只有一個,就是要確保在災難發生時,能夠依照預先設想的步驟來執行,以達到營運持續的目標。

(本文原載於網管人第68期)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!