在2014年2月,美國政府正式提出了一項可強化資訊安全的網路安全框架 (NIST Cybersecurity Framework),它主要是來自於2013年美國總統歐巴馬所頒佈的總統執行命令,要求必須著手改善有關網路安全的重要基礎設施。這項框架不但 透過了政府部門與民間產業的攜手合作,利用一年的時間來彼此交流各項最佳實務,更結合了國際上有關資訊安全的標準與作法,除了可以協助已導入其他標準的組織最佳化其安全實務之外,更可提供缺少安全計畫的企業,一項可以完整實施的參考藍圖。
網路安全框架是一項自願性的參與計畫,主要是希望美國聯邦機構和地方政府,同時也包括電力、運輸等重要的基礎產業,能夠強化自身的網路安全,以避免受到來自網路的重大威脅,並且結合了業界標準與最佳實務,幫助企業組織能夠有效地管理網路安全風險。此一框架並非要取代組織中現有的資訊安全與風險管理架構,而是希望能夠與現有的流程結合並互補,以便組織能夠持續地改善以達到更高的安全目標。
網路安全框架的架構與組成
網路安全框架主要有三項組成的元件,分別說明如下:
- 框架核心(Framework Core):針對關鍵基礎設施共通的安全問題,它具有一系列的網路安全活動和參考實施作法,網路安全活動可區分為五個功能,分別是識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)、及復原(Recover),能夠協助組織管理安全風險,並提供高層良好的視野。在每個功能之中,又可以向下展開為各項活動分類,例如在保護功能中,就包括了存取控制(Access Control)、認知與訓練(Awareness and Training)、資料安全(Data Security)、資訊保護流程與程序(Information Protection Processes and Procedures)、維護(Maintenance)及保護的技術(Protective Technology)六項分類。在每項分類中,又可更細分出各項可採行的資安措施與安全活動,以便落實在關鍵的基礎設施之中,同時還提供了許多參考資訊,可以對應到國際共通的標準與指引。
- 組織側寫(Profiles):透過組織側寫能夠描繪出組織的網路安全活動,使其和本身的業務營運要求、風險容忍度、所需要的資源能夠趨於一致。企業也能夠藉由此一組織側寫來了解其網路安全的現況、支援活動的優先順序,以及達到目標理想狀況所需要採取的措施。透過現況與目標理想狀況的比較,就可以進行差異分析,使組織可以決定改善安全現況所需的資源與實施順序。
- 實施層級(Tiers):實施層級為組織提供了一種途徑,能夠檢視其網路風險的方法和流程,實施層級的範圍從部份實施(Tier 1)、察覺風險(Tier 2)、察覺風險且重複評估(Tier 3),到完全適合並實施(Tier 4)共區分為四個等級。藉由檢視實施層級來嚴格地描述網路安全的風險管理,了解安全工作是否依據了業務需求,並且已經整合至組織整體的風險管理實務之中。
網路安全框架核心組成 (資料來源:Cybersecurity Framework)
實施與建立網路安全框架
對企業組織而言,想要建立並實施網路安全框架,由上而下至少需要經過最高管理層、業務流程層和實施運作層等三個階層的互相合作。一開始,最高管理層需要與業務流程層的相關人員進行溝通,以確認任務的優先順序、風險偏好及所需的預算。業務流程層再依據最高管理層的決定,進行組織框架的側寫,將現況與目標理想的差距告知實施運作層,實施運作層的相關人員則可藉此來訂定行動計畫,針對所有風險來源的資產、威脅與弱點,實施所需要的改變與控制措施,並將實行的結果回報給業務流程層,業務流程層再將實施之後的變化與可能仍未消除的風險向最高管理層報告,以便制定下一階段的風險管理要求與決定。
組織的資訊與決策流程概念 (資料來源:Cybersecurity Framework)
因此,組織在制定一項新的網路安全計畫或是針對現有的計畫進行改善時,建議可以參考以下的步驟來進行,並且還需要重複地實施以不斷地改善強化組織的資訊安全。
- 步驟一:決定優先順序與範圍 組織應了解其業務目標和最高管理層對於風險管理的期待,藉此才能夠制定因應資訊安全的策略和決定實施的範圍。在決定範圍時,需要考量的是有哪些資產和資訊系統是和業務流程有關的,在導入網路安全框架與實施計畫時,也可因應不同業務流程的需要與風險的高低,決定所需要採取的整體做法與個別的控制措施。
- 步驟二:確認目標與方向 一旦組織依據其業務流程決定了網路安全實施計畫的範圍之後,組織就可以識別其相關的資產和系統、法律法規的要求及整體的風險管理做法。接下來即可針對這些資產和系統,識別其可能存在的威脅與弱點,以確認實施計畫的目標與方向。
- 步驟三:建立組織現況的側寫 組織可以參考網路安全框架核心中所明列的安全活動,以及每個活動中的功能和分類,來剖析組織目前的安全現況。
- 步驟四:實施風險評鑑 組織可以藉由整體風險管理過程的引導,針對業務運作的環境進行分析,以了解資安事件發生的可能性和其可能帶來的衝擊,在這個過程中必須充分考量風險中的各項威脅與弱點資料,才可促進組織對於資安事件的可能性與衝擊能夠有充分的掌握。
- 步驟五:建立理想目標的側寫 組織同樣可以參考網路安全框架核心中的安全活動,以及每個活動中的功能和分類,來建立理想的安全狀態與目標,藉由與組織現況的側寫的相互比較,就可以了解其中差距,以便採取必要的改善行動。除了參照網路安全框架之外,組織也可以考量來自外部利害關係人如客戶、商業夥伴對於資訊安全的期望,將其一併納入未來的目標之中。
- 步驟六:針對差距進行分析及確認優先順序 組織針對現況和理想目標進行比較之後,即可得知其安全差距,為了消除安全差距,接下來就是要制定一項可行的行動計畫,在計畫之中,必須針對成本、效益以及達成的風險結果進行分析,以便決定行動的優先順序和所需要的資源,同時也可藉此一計畫讓管理階層明白相關的安全活動,以獲得有效改善與達到目標的各項支持。
- 步驟七:實施行動計畫 一旦建立行動計畫之後,就需要依據其內容來逐步實施,在過程之中,除了可參考網路安全框架核心中所明列的安全活動和分類之外,組織也能決定還需要搭配哪些國際標準、安全準則和最佳實務做法,以便符合其實際的需要並且達到更好的效果。最後,針對行動計畫的實施過程,還必須持續地加以監控,以確認達成預期的目標。
透過以上的實施步驟,組織就可以依據其需要,不斷地重複進行分析與改善其資訊安全,在這個過程中,最高管理層所關注的是組織的整體風險,業務流程層則關注與其有關的關鍵基礎設施,再交由實施運作層的人員來執行改善的行動計畫。基本上,無論組織的規模大小與風險等級,只要運用此一網路安全框架就可以改善資訊安全的現況,並且能夠管理關鍵基礎設施所面臨的安全風險,更由於此一網路安全框架參考了國際認可的安全標準,因此也同樣適用於美國以外的其他地區,可成為一項國際通用的安全準則。
對組織而言,今日的資安風險是多變且多樣化存在的,並沒有一項單一的作法,可以因應所有的安全問題,因此,組織必須持續地以文件化和風險管理方式來更新改善,以確保關鍵基礎設施可能面臨的各項新的風險,都能夠即時動態地被有效管理因應,以降低對組織可能造成的損失與衝擊。如果您的組織還缺少一套足以因應網路風險的管理作法,網路安全框架是相當適合用來作為改善資訊安全的基礎藍圖。(本文刊載於2014年4月號網管人雜誌)
沒有留言:
張貼留言