2014年1月21日 星期二

[專欄] 雲端控制矩陣安全措施簡介(四) - 資訊安全管理與控制措施(2)

上一次,我們說明了雲端控制矩陣中針對資訊安全管理與控制的要求,並且解說了對應至ISO 27001的各項安全措施,由於此一項目所包含的控制措施內容較多,所以將分成三篇文章來說明介紹,本文將繼續解說在雲端控制矩陣中,有關資安管理控制的各項要求。 

在雲端控制矩陣中的第五項「資訊安全」,它是整體雲端服務的管理重點,一共包含了34個控制措施。在這些控制措施之中,從高階管理階層的要求開始,同時也兼顧了技術面的安全要求,因此它能夠協助組織建立整體的資安管理架構,以強化所提供雲端服務的資訊安全,以下將說明第11至21個控制措施的要求和所對應ISO 27001標準的內容。

IS-11 資安教育訓練與宣導 
從實務上來看,資訊安全的重點之一是要確保所有相關人員,都已具備足夠的安全知識來對抗可能的威脅,這個控制措施就是要求雲端服務應針對所有合約承包商、第三方的使用者和本身的員工,建立一項資訊安全教育訓練與宣導的計劃,尤其是針對有能力存取組織資料的人員,應要求其接受必要的安全訓練,並且定期地更新組織或職務有關的政策、程序及作業流程。

如果組織已導入ISO 27001標準,則可參照本文「5.2.2 訓練、認知及能力」之要求,確保和雲端服務有關的所有人員,都能接受適當的訓練以具備勝任其職務的必要能力,同時也要維持各項和教育訓練有關的記錄。另外,在附錄「A.8.2.2 資訊安全認知、教育與訓練」也提到,組織應定期依照員工所擔負的不同職務,實施一般性或專業的資訊安全教育訓練,協助員工能夠針對可能的資安事件作出適當反應,並且可採取問卷或考試評量方式,以確認教育訓練的有效性。 

IS-12 業界知識與基準評價
雲端服務是一項新興的熱門產業,許多有關資訊安全的做法,不見得在所有的組織都已一一地實踐,因此,有效取得業界相關的安全訊息就顯得十分重要。這個控制措施即是要求組織應透過業者之間的從業關係、專業的安全論壇,或是有許多專家參與的協會,取得業界有關雲端安全的知識與評價方式,確保雲端服務能夠滿足業界的基準與使用者的期待。

在實務方面,建議組織可以加入業界的雲端產業聯盟,並且選派適合的人員參與定期舉辦的研討會活動。在ISO 27001則可參考附錄「A.6.1.7 與特殊利害相關團體的連繫」之要求,由於資訊安全的技術日新月異,所以組織需要經常聽取專家的意見,或是參與專業論壇以取得更新的資訊,盡可能與各種和資訊安全有關的利害團體、專家協會等,保持適當的連繫管道。 

IS-13 資訊安全角色與責任 
不同的雲端服務,將會有不同的人員牽涉其中,這個控制措施是要求包括合約承包商、員工及第三方的使用者,都要採取文件化方式,記錄和其相關的資訊資產和安全要求。 在「ISO 27001本文5.1 (c)」中提到,管理階層應承諾建立資訊安全之各種角色與責任,另外,也可參考附錄「A.6.1.3資訊安全責任的配置」,管理階層需要指定各部門主管和個人的安全責任,並且界定各項資產的保護與作業流程,唯有執掌角色的定義清楚,才能夠履行所賦予的各項任務。

還有附錄「A.8.1.1 角色與責任」中也要求以書面的方式,說明新進人員的資訊安全責任,例如告知所需遵守的組織資訊安全政策、個人資料保護法、智慧財產權等相關規範,以及資安事件發生時的通報方式等。 

IS-14 管理階層之監督 
針對管理階層的責任,部門主管或經理對於所負責區域有關的安全政策、作業程序及標準要求,應負起宣導和要求共同遵守的責任。針對這項要求,ISO 27001本文「5.2.2 訓練、認知及能力」中提到,組織應確保被指定責任的管理人員,有能力去要求、評估工作人員足以履行其職務相關的各項工作,同時也要維持教育訓練、技能資格等之記錄。另外,附錄「A.8.2.1 管理階層責任」也提到,應要求員工、承包商和第三方使用者,依照組織所建立的政策和程序來履行安全事項。

在實務方面,也可參照「A.11.2.4 使用者存取權限的審查」,要求管理階層定期地針對使用者的存取權限進行正式的審查,因此,建議在存取控制政策中即明訂組織將定期(例如三個月或半年一次)在人員的職務變更之後,實施權限審查與重新配置,以維持對於資訊和系統服務存取的有效控制。 

IS-15 資訊安全之權責區分
這個控制措施是要求在安全政策、流程及作業程序中,應納入實施和確保適當的職責區分要求,如果在某些情況中存在使用者角色的利益衝突,就必須要實施相關的技術控制,以消除組織的資訊資產,可能受到未經授權的更改與誤用濫用的風險。

在ISO 27001方面,可參照「A.10.1.3 職務區隔」之要求,避免某些工作職務皆由同一個人來進行(例如會計和出納),以確保不會有人可以一手遮天,有能力侵佔款項後同時竄改紀錄。在實務方面,如果公司規模不大且人員數量不多,可能很難作到完全的職務劃分,這時候可以選擇其他的配套方法,像是妥善保存作業活動上的監視紀錄,以及經常實施獨立的安全稽核,並且配合實施人員的教育訓練等,盡可能的來降低資訊安全風險。 

IS-16 資訊安全之使用者責任 
除了管理階層的監督與要求之外,使用者也有其應盡的安全責任,在這個控制措施中提到,應該讓使用者意識並察覺其應有的安全責任,包括了遵守適用的法令法律與工作規定,維持一個安全的工作環境,以及離開工作區域時應妥善保護所持有的資訊資產。

在實務方面,可以參考ISO 27001附錄「A.11.3.1 密碼的使用」,要求使用者一旦獲得其系統使用的帳號密碼,在使用方面就必須按照組織要求的安全規定,像是避免使用不安全的懶人密碼,選用一定長度以上、大小寫數字混合的嚴謹密碼,並要求定期進行密碼的變更。 

IS-17 資訊安全之工作區域 
一般而言,工作區域屬於所有員工都要負起共同安全責任的地方,這項控制措施要求保護工作區域中可見並包含敏感資料的文件,以及所使用的資訊系統在閒置或未使用時應登出,並且也要明訂相關的安全政策與作業程序。對於此項要求,可依據ISO 27001附錄「A.9.1.5 在安全區域工作」,對於組織所劃分出的安全區域,制訂所需的安全工作規則,並對員工提供適當的說明,依職務了解其可以進行的相關活動。

此外,對於需要使用的無人看管設備,可依照「A.11.3.2 無人看管的使用者設備」來要求實施適當的保護,例如一些公共區域使用的電腦,在一定閒置時間或結束使用時會強制終止其現有連線,或是設定有密碼保護的螢幕保護程式,以避免受到未經授權的使用。 

IS-18 資訊安全之加密
在雲端服務之中,資料本身的安全防護是無法忽視的重點,這個控制措施是要求對於儲存在資訊設備或媒體中的資料(例如檔案伺服器和行動裝置),以及跨越不同系統或公用網路的資料傳輸時,必須依照訂定的安全政策與作業程序來實施加密。

對此,可參照ISO 27001的「A.10.8.3運送中的實體媒體」,要求對於含有敏感資訊的媒體,在進行運送時需要依照安全程序來進行,例如確認運送人員的身分、保留運送過程的紀錄、使用安全的運送方式等。另外,也可參照「A.10.9.2 線上交易」,在網路連線過程中採用SSL加密機制或其他的加密通訊管道,必須使用安全的通訊協定,以避免所傳輸的資訊會受到來自其他公眾網路的存取。

至於加密的政策方面,可參考「A.12.3.1 使用加密控制措施的政策」,針對與營運或是個人隱私有關的敏感資訊,依照組織的風險評鑑結果,制訂統一的加密政策,說明將會採取何種加密技術或控制方法來保護這些資訊。例如包括智慧型手機等行動裝置,或是可移除式的媒體像是行動硬碟、隨身碟等,針對這些設備的使用、授權方式及加密作法,都應該在相關政策或作業程序中加以說明。

IS-19 加密之金鑰管理 
為了確保組織的加密機制能有效落實,這個控制措施是要求建立金鑰管理的相關政策和作業程序,實務方面可參考ISO 27001附錄「A.10.7.3資訊處置程序」,要求在組織之中,只要是和營運活動相關或敏感性的資訊需要處理,就應該建立其處理和儲存程序,以確保資訊不會受到不當的揭露和誤用。

另外,也可參照附錄「A.12.3.2 金鑰管理」,要求在金鑰管理的生命周期中,從金鑰產生、分派、儲存、更新、廢止到銷毀等,都要有完整的作業程序作為基礎,同時,只要是和金鑰有關的作業活動,都需要保留完整的記錄,以便進行後續的安全稽核。 

IS-20 弱點與漏洞修補管理
針對應用系統和網路設備可能的安全弱點,這個控制措施要求應基於風險管理的作法,定期地評估並且及時地採取修補行動,以降低可能的安全風險,相關的實施作法,也應明訂在安全政策和作業程序之中。

在ISO 27001方面,可以參照「A.12.6.1技術脆弱性控制」的內容,要求組織能夠及時取得和弱點有關的資訊,並採取對應行動來降低因被公開的安全弱點而遭受到不必要的攻擊。實務的作法為建立一份完整的資訊資產清冊,詳細記載應用系統和網路設備的相關資訊,例如版本、廠商、部署狀態、負責人員等,並與廠商保持溝通連繫,以掌握可能的安全風險與現況。至於在作業程序方面,可參考「A.12.5.1 變更控制程序」,針對資訊系統的變更,必須制訂正式的變更程序才可進行,並且要求整個修補的過程,都需要有適當的監控並且留下記錄。

IS-21 防毒程式與惡意軟體
針對常見的病毒事件,這個控制措施是要求必須確保所有的防毒程式,都有能力去偵測、移除、保護未知的惡意攻擊,並且需要在每12個小時內,更新防毒程式的病毒碼。

在ISO 27001方面,則可參照「A.10.4.1 對抗惡意碼的控制措施」,在系統上安裝防毒軟體並定期地更新病毒碼,以確保防毒軟體能夠有效運作。此外,在政策方面,可要求使用者不可任意自網路下載未經授權的軟體並進行安裝,也要實施教育訓練讓使用者有足夠的安全認知,降低來自網路和電子郵件等惡意程式的入侵風險。(本文刊載於2013年10月號網管人雜誌)

沒有留言: