上一篇文章說明了在 ISO 27001:2022的附錄A中,有關技術面的「A.8.9 組態管理」 和「A.8.10 資訊刪除」,接下來說明剩下的5個控制措施中,有關「A.8.11 資料遮蔽 (Data masking)」和「A.8.12 資料洩露預防 (Data leakage prevention)」的要求和實施重點。
A.8.11 資料遮蔽
這項控制措施的要求是「應使用資料遮蔽,依組織關於存取控制之主題特定政策及其他相關的主題特定政策,以及營運要求事項,並將適用法令納入考量」。一般來說,需要進行遮蔽的資料,大多都是與個人資料 (PII) 有關,但實務上只要是敏感性資訊,都可以考量採取不同的技術來隱藏不想讓人得知的資料內容。
目前,針對資料遮蔽最常採取的做法有以下幾種方式:
- 擬匿名化 (pseudonymization) : 這種方式又叫做「假名化」,也就是使用別名或暱稱來取代原本可直接識別的當事人資訊。例如組織內部以員工編號取代姓名,或是在網路公開的討論區或社群媒體使用暱稱來替代真實的姓名。
- 匿名化 (anonymization):一般也稱之為「去識別化」,也就是採取不可逆轉的方式,讓資訊無法再直接或間接的識別到特定的當事人。例如有一筆記錄顯示王小明中午喜歡吃排骨便當,若將姓名取代成為王OO,並且不保留原始記錄的資料,也確認無法再用併湊或比對的方式知道,原來中午喜歡吃排骨便當的人就是王小明,即可達成不可逆的去識別化的結果。
另外,將資訊中的某些數值進行「替換 (replace)」也是常見的方法,例如將信用卡簽單中的卡號部份數值取代為「*」,但在實施時必須考量所採取資料遮蔽方法的強度,是否可達成不被反解或猜中的目的。以卡號遮蔽方式來說,目前業界主要是參照 PCIDSS 標準的要求,將16位數字的卡號僅顯示前6碼和後4碼的方式,也就是遮蔽中間6碼數字。
A.8.12 資料洩露預防
這項控制措施要求「應將資料洩露預防措施,套用至處理、儲存或傳輸敏感性資訊之系統、網路及所有其他裝置」。在實務方面,對於資安防禦者 (Blue team) 來說,防止資料洩露是件說來簡單,但實施起來極為挑戰的工作。以居家安全為例,出門前您必須確保家中每一扇大大小小門窗和進入管道都要上鎖,只要有一個地方遺漏了,入侵者就可能利用這個小地方入侵成功,而且即使已上鎖了,還要考量上鎖的強度,是否足以抵擋外力的破壞。
雖然要達成資料洩露預防是件不容易的事,但標準告訴我們可以從三個層面的預防角度出發,也就針對「處理」、「儲存」及「傳輸」的資料,對應採取防範的措施。
針對處理中的資料,大部份的組織都是透過資訊處理設施和端點裝置來進行,所以針對實體資料處理的埸域,像是辦公室、機房,都可以藉由ISO 27001 A.7 各項實體控制措施 (例如門禁、CCTV等) 來達成防護。針對使用者的端點裝置,也可利用 「A.8.1使用者端點裝置」 的控管要求,來防範資料的洩露。
至於儲存中的資料,組織需要透過資訊資產的盤點清查 (A.5.9 資訊及其他相關聯資產之清冊),了解有哪些資料儲存的地點和方式,包括線上儲存的資料庫、NAS、雲端儲存空間等,到離線儲存的資料 (例如磁帶、光碟等儲存媒體),再實施對應的保護機制 (例如存取權限、加密)。
而針對傳輸中的資料,則是要評估組織目前對內或對外,有哪些傳輸的管道和方式 (包括電子和實體傳輸),再依據「A.5.14 資訊傳送」控制措施的要求,確保資訊傳送過程中的安全。
最後,資料洩露預防單靠管理程序和人力是難以達成的,組織還可以考量使用資料洩露預防相關技術工具,進一步強化以下三個階段的防護措施 - 識別 (發生前保護)、偵測 (發生中得知) 及矯正 (發生後阻擋),才可以有足夠的能力達成資料洩露預防的目標。
(待續...)
沒有留言:
張貼留言