2014年4月6日 星期日

[專欄] 雲端控制矩陣安全措施簡介(五) - 小心處理資安事故 管理與技術雙管齊下

上一期,我們說明了雲端控制矩陣中,關於資安教育訓練、管理者與使用者安全責任、加密與金鑰管理,以及漏洞修補和防範惡意程式等控制措施,本期將繼續說明在資安管理控制項目中,剩下的各項安全要求。 

在雲端控制矩陣中的第五項「資訊安全」,它是整體雲端服務的管理重點,一共包含了34個控制措施,以下將說明第22至34個控制措施的要求,以及其所對應的ISO 27001標準內容和實務建議。

IS-22 資安事故管理
對組織而言,面臨和資訊安全有關的事故時,勢必要有適當的應變處理方法,這項控制措施即是要求與資安相關的事件,應建立政策和作業程序,並且進行分類和及時因應,以建立起完整的事故管理機制。

如果組織已導入ISO 27001標準,則可參照「A.13.1.1 資訊安全事件通報」之要求,建立正式的資安事件通報程序,以便相關人員能透過適當的管道,快速將資安事件回報給管理人員,以便及時因應與指示處理。通常一個完整的通報程序,包括要指定一個正式的聯絡人和代理人,並提供文件化的資安事件通報程序和表單,讓相關人員能夠依照事件通報指示,記錄和事件有關的重要細節,例如發生的時間、地點、系統錯誤訊息、監控指數,以及其他主觀判定異常的行為,以作為事件處理的依據參考。 

IS-23 資安事故通報
一旦資安事件發生的時候,到底該由誰來負責通報?應該如何進行呢?其實這都有賴於事前建立完整的做法,在雲端服務中,這項控制措施要求針對合約承包商、員工和第三方的使用者,需要讓他們了解應即時通報安全事件的責任,並且要透過預設的溝通管道,符合法令、法規及合約的要求。

因此,組織需要建立適當的責任區分和作業程序,才能夠迅速有效地回應資安事件,對此,可參考ISO 27001附錄「A.13.2.1責任與程序」之要求,針對事件區分不同的等級型式,分別建立不同的因應辦法,例如針對單機的電腦中毒,就會有其需要通報的內容說明和處置,而針對來自網路的阻絕服務攻擊,在通報層級和處置方面,則會有顯著的不同。 

IS-24 事故回應與法律準備 
如果資安事故涉及到法律問題,組織就必須採取相關的法律行動,證明自己並無故意過失,或是對於惡意行為準備進行損害求償。在事故的後續處理方面,這個控制措施是要求針對可能採取的法律行動,應該要有適當的鑑識流程以保全證據,確認證據的蒐集、保存、報告皆能支持所採取的法律行動。

實務方面,可以參照ISO 27001附錄「A.13.2.3 證據的蒐集」的做法,針對資安事故過程進行蒐集、保存和提交相關的證據,以符合法庭在審判時的佐證要求。基本上,數位證據的蒐集是相當專業且不易進行的,因為數位證據本身很容易受到破壞和竄改,進而損及到證據應具有的證明力和證據力,所以可能需要委由刑事鑑識單位或合格的民間業者來進行。 

IS-25 事故回應方法
這個控制措施是要求針對資安事故的類型、數量和損失,應建立可實施與監控的作法。針對這項要求,可參照ISO 27001附錄「A.13.2.2 從資訊安全事故中學習」,避免資安事故的效應擴大,在事先採取監督機制,監控資安事故的過程和所造成的衝擊,作為因應未來事故的依據參考。 

IS-26 合理使用 
這個控制措施是要求針對資訊資產的合理使用,應建立相關的政策和作業程序。 對此,可參照ISO 27001附錄「A.7.1.3 可被接受使用的資產」之要求,對於和資訊處理設施有關的所有資產,其可被接受使用的方式規則,都應被識別、文件化和實施,並制訂相關的規範,例如網路和電子郵件的使用辦法、行動裝置的使用規定,以及USB隨身碟的申請與使用作業辦法等。 

IS-27 資產歸還 
這個控制措施要求組織在人員的異動和聘雇關係終止時,應事先定義適當的期間之內,要求員工、合約承包商和第三方使用者歸還因工作所持有的各項資產。在實務方面,可以依據ISO 27001附錄「A.8.3.2 資產歸還」,針對應歸還的資產,以清單檢核的方式來確認人員已歸還像是組織的門禁卡、電腦設備、軟體、作業手冊等,如果人員是使用自己的設備進行作業,也要確保其所儲存的資料已經交回,並且執行資料的清除。 

IS-28 電子商務交易 
如果雲端服務牽涉到電子商務的交易行為,這項控制措施要求針對經過公眾網路的交易資料,必須實施適當的加密防護,以避免資料受到未經授權的修改或揭露,防止詐騙事件的發生。

對於此項要求,可依據ISO 27001附錄「A.10.9.1 電子商務」,保護所有透過公眾網路所進行的電子商務活動,在實務方面,可以採用強健的身分驗證機制如雙因素認證,以及導入網站身分識別標章,讓消費者能夠清楚地識別。至於交易過程中所產生的資料,包括訂單、付款資訊、寄送地址等,這些客戶資料的存取方面也要有完整的授權流程,以避免資料受到不當的存取與利用。最後在網路傳輸方面,則可參考「A.10.9.2 線上交易」之要求,在連線過程中採用SSL加密機制或其他的加密通訊管道,要求使用安全的通訊協定,以避免交易資訊可能受到來自其他公眾網路的不當存取。

IS-29 稽核工具之存取 
對於可使用在組織資訊系統的稽核工具,這項控制措施要求應有適當的限制和區隔,以避免系統存錄資料(log)受到不當的損害和濫用。

在實務方面,建議參照ISO 27001附錄的「A.15.3.2 資訊系統稽核工具的保護」,要求所有系統所使用的稽核工具,都必須要有適當的保護,以避免濫用或受到破解的情況發生。針對組織負責資訊系統稽核的人員,也必須要求具有獨立性,使用的工具也要和開發或運作中的系統分開,並且實施權限控管,必要時甚至可先從運作中的系統移除,以避免受到誤用。 

IS-30 診斷與組態埠之存取 
現今的資訊設備或系統,大都需要廠商提供定期的支援與維護,因此許多網路設備和電腦主機,都能設定組態埠並提供遠端診斷服務,如果其開放的組態埠沒有實施任何安全防護,就容易受到外來的入侵和未授權的存取。

為了防止系統診斷和組態埠受到不當利用,這個控制措施要求應限制只有經過授權的個人和應用程式,才能進行存取。實務方面可參考ISO 27001附錄「A.11.4.4 遠端診斷與組態埠保護」之要求,在設備方面採取上鎖和移除等方式進行,若是邏輯上的存取使用,則可透過文件化的作業程序,要求事先申請並確認身分之後才開放使用,而在診斷完成時,也應及時關閉相關的組態埠和服務。 

IS-31 網路與基礎建設服務 
針對網路和基礎建設服務方面,無論是自營或外包,這個控制措施要求包括安全控制、容量與服務等級,以及業務和客戶之需要,都要有清楚的文件化服務等級協議。

在ISO 27001方面,此項控制可參照附錄「A.6.2.3 第三方協議中的安全說明」,也就是在與第三方所簽定的協議與合約之中,必須明訂組織的資訊安全要求、應遵守的相關法規,以及違反時應負的法律責任等;也可參考「A.10.6.2 網路服務的安全」的內容,要求相關網路服務都需要識別其安全等級、使用程序及管理要求,包括了申請使用程序、連線方式、身分識別及所採取的加密措施等。 

IS-32 可攜式與行動裝置 
隨著可攜式與行動裝置使用的普及,也成為雲端資安的隱憂之一,這項控制措施是針對常見的設備包括筆記型電腦、行動電話、PDA等,以及高風險的資訊設備,都需要建立政策與作業程序,嚴格限制其有能力存取組織的敏感性資料。

在ISO 27001方面,可以參考附錄「A.11.7.1 行動運算與通訊」的要求,針對行動運算設施採取適當的安全控管,例如筆記型電腦等行動裝置採取硬碟加密,並避免留置在無人看管的地點。實務方面,雲端服務供應商也可明文禁止這一類的行動裝置可直接連接或存取與雲端有關的服務,以降低不必要的風險。

IS-33 原始碼存取之限制 
對雲端服務供應商而言,應用程式或雲端資源原始碼的重要性無庸置疑,因此需要嚴格的限制原始碼的存取行為,這個控制措施是要求應限制只有職務上需要,並且已經過授權的人員才可進行,同時對於其申請存取的原因、方式和所存取的原始碼版本,都必須留下完整的記錄。

在ISO 27001方面,可以參照附錄「A.12.4.3 程式原始碼的存取控制」,針對原始碼所儲存的特定地點,建議做法包括了建立存取作業程序、設定存取權限、定期評估存放環境的安全等,即使是程式開發人員本身需要取得程式原始碼,也應事先經過授權,依照作業程序並保存相關記錄才可進行。 

IS-34 工具程式之存取 
針對系統的工具程式,這個控制措施要求可能越過系統、網路、物件及虛擬主機的控制行為,應該都要受到限制。對此,可參照ISO 27001附錄「A.11.5.4 系統公用程式的使用」,要求嚴格限制能夠跨越系統和既有應用服務等公用程式的使用。實務方面的建議是直接在使用者的電腦上移除這些工具,如果是系統管理人員,也需要經過授權才可使用工具程式,並且保留相關的變更記錄。

資安管理是雲端控制的基本功 

在規劃有關資訊安全管理的策略時,經常會提到一個俗稱為「PPT」的思考架構,它是指人員(People)、流程(Process)和技術(Technology),也就是說在資安管理的要求方面,基本上皆會涵蓋此三個層面,包括需要依照組織營運目標與資訊安全政策,透過教育訓練來讓所有員工了解並落實其應有的安全責任;依照各單位業務屬性不同,訂立各項安全的作業流程,並留下相關的作業記錄;以及透過各項資安技術的協助,來偵測防禦可能來自內部與外部的各項威脅。 

即使如今組織已採取了先進的雲端服務,這些基本的控制要求仍是不可或缺的,因為面對可能來自於內部與外部的各項風險,唯有審慎評估並提高警覺,才能夠防範於未然。換句話說,組織需要事先練好了基本功,擁有了良好的體質,才能夠有效因應各項資安事件的發生,這一點請組織管理階層務必牢記在心。(本文刊載於2013年11月號網管人雜誌)

沒有留言: