ISO 27001 资讯安全管理系统 【解析】(一)

本篇解析断断续续写了将近一年的时间,一直没有下定决心到底要写成甚麽样子,在一些外在因素影响下,终於努力地将它完整写完,其中内容引用了很多的法规、条文及参考资料,有些有标注,有些因为融合了自己的概念,就没有完整标示,所以还是用「整理」来说明整篇文章之撰写方式。本篇的目的是引导从未接触过但是又需要开始执行 ISMS 导入工作的人,当然如果对资讯安全有一些基本的认识後,再来阅读应该有或多或少的收获。如同前面所述,大部分的内容是我个人对资讯安全的一些看法,如果有不认同的,欢迎提出来一起讨论

壹、 资讯安全简介

一、 定义
「资讯安全」到底是甚麽?我们可以从ISO 27000的定义来看:
ISO 27000 Clause 2.33 资讯安全:

  1. 保护资讯的机密性、完整性及可用性。
  2. 附注:另外其他属性也可能会有关联,如真实性、责任、不可否认性、可靠性。
    简单来说,机密性就是不该看到资讯的人无法看到;完整性就是资料内容没有缺漏;可用性就是当可以使用的时候就能使用。附注提到的真实性等都可以跟以上三特性有所关联,比如说真实性跟完整性是相关的,只是ISO在定义的时候把这些特性再做一个详细的区分,大致上都以机密性、完整性及可用性来说明资讯安全。
    https://ithelp.ithome.com.tw/upload/images/20220207/201457633UsVEAVRNn.png
    二、 基本要素
    资讯安全管理的基本要素,可以区分为软件、硬体、人员、网路及环境设施。

(一) 软件:软件是一系列按照特定顺序架构的电脑资料和指令的集合,通常区分为作业系统及应用系统,作业系统是指管理电脑硬体与软件资源的系统软件,例如WINDOWS、LINUX等为特定厂商开发让硬体能顺利运作的系统;应用系统是为了特定目的所开发的系统,例如ERP、OFFICE等,其与资讯安全相关的议题如下:

  1. 软件设计人员设计以满足功能需求为优先。换言之,资讯安全本来就没有放入功能需求的话,设计人员并不会主动考量其安全性,只会有基础的资讯安全功能。
  2. 资讯安全虽然由来已久,但是在近代才逐渐成为显学,原先软件开发人员并不会主动考量安全性的议题,直到这几年层出不穷的资讯安全问题发生,才开始正视这个议题,通常都是当问题发生後才去寻找解决的方法,比如说软件的资料传输及交换,一开始考量的是资料要如何正确传输及交换,一旦发生资料被截取或监听後,才会考量传输及交换间的安全性。
  3. 资讯安全代表要花更多的成本。软件开发时如果将资讯安全需求纳入考量,设计开发及设计验证的时间及人员花费势必增加,开发的经费一定会比原先多很多,愈安全的软件代表价格昂贵,组织可能难以负担。
  4. 作业系统漏洞永远存在。现在使用的作业系统例如WINDOWS、LINUX、MACOS等在设计上是为了使硬体设备能正常运作,在这个前提下必须考量使用上的方便性。遗憾的是方便通常代表不够安全,所以漏洞是永远存在的,只是有没有被人发现如何运用而已。
    应用系统生命周期也会影响资讯安全。应用系统设计是为了特定的需求,通常会配合特定的设备或功能。在设计之初,如果没有考量生命周期以及所配合的作业系统,其安全性会受到很大的影响,例如一些工控软件,目前还是架设在旧的作业系统上(WIN XP),旧的作业系统因为安全性的因素已经停止後续更新及支援,但是为了配合特殊的应用系统及设备,也只能继续使用下去,对於安全性无法获得一定程度上的保护。

(二) 硬体:硬体是一种实体装置,包含有形的物件或元件,常由软件指示以执行任何命令或指令,其与资讯安全相关的议题如下:

  1. 因为成本的关系,硬体对於安全性的考量也是不足,通常硬体的漏洞是配合软件所发生的,在软件及硬体之间还有韧体,韧体是在软硬体之间负责沟通两者,三者之一如果有漏洞便可轻易地运用,当然三者也可互相配合以防止资讯安全问题。
  2. 行动设备近年来在效能、速度及容量有长足的进步,行动设备的优点在於其便利性,这种便利性也带来资讯安全隐忧,如何在方便及安全下保护资讯,成为近年来各组织重大且优先的议题,所以优点也可能变成缺点,端看组织如何运用这些设备。
  3. IoT设备,因为网路速度的增加,很多网路上的设备例如摄影机、智慧家电等如雨後春笋般地冒了出来,这种类型的设备经常因为简单的设计,仅运用韧体及简易的软件进行资讯处理及交换,造成相对应的资讯安全议题。
  4. 工控设备,通常因为控制机械设备的需要会有一些硬体执行控制作业,有些是特殊制造出来适应相关环境及需求的,因为这类型的设备属於控制类型,资安议题通常会影响其所控制的设备,例如捷运的行车控制等。

(三) 人员:人员是影响资讯安全的重要因素,软硬体需要人员来设定操作才能发挥其功能,相关资讯也是由人员来处理後续工作,人员的议题如下:

  1. 骇客:早期骇客以成名或追求理念为主,近期骇客多以利益为主,希望藉由资讯安全的漏洞造成破坏,进而谋取相关利益,所以在防堵上也有所不同。骇客技术日新月异,并有专业化、服务化的趋势,利用新技术达成快速寻找漏洞并进行破坏,可以说资讯技术与骇客技术是同步发展,例如近期的AI、大数据等也都成为骇客所运用的工具。另外还有一个趋势,骇客本身已经不见得需具备有相关专业技能,朝向Hacking as a Service的方向发展,只要找到相关具备技术的人提供服务,非专业人员一样能够发动骇客攻击,在早期的风险分析中所谓事件发生机率会参考人员具备的能力这个部分,已经有所变化
  2. 恶意的员工:人是最难分析的因素,组织内如果有存在恶意的员工,对於资讯安全上会有极大的风险。有一些分析或监控的设备或软件可以协助组织找到恶意的行为,并针对这些行为进行分析研判员工是否属於恶意,对於这类型的员工除了要分析外还需要留存相关的证据,对未来可能发生的诉讼进行预先准备,尤其组织内处理高敏感度的资讯时,更需要特别注意。
  3. 疏忽的员工:疏忽的员工通常不具备恶意,但对於资讯安全也是有相当的影响,可能在无意的情况下对资讯造成机密性、完整性及可用性的破坏。对於此类型的员工应有相对应的教育训练及协议,以充分协助员工认知并遵守相关资讯安全事宜。
  4. 访客(外部人员):组织外部人员不论是访客或者是协力厂商等,如果会使用到组织的内部资讯及资源,其对资讯安全之影响应该视其所存取或使用的资讯程度加以分类管制,并有一定之规范及约束力,在出现问题时才能有所对应。
    整体而言,人员具有高度复杂性,其行为并非以约束就可以制止的,以资讯安全的角度来看,这是最重要的一个环节,不可轻忽。
    https://ithelp.ithome.com.tw/upload/images/20220207/201457639yvp4CnT59.png

(四) 网路及通信:网路对於资讯安全来说是相对重要的,肩负着传输及交换等作用,其相关的资讯安全议题如下:

  1. 网路开始的设计是用来交换资料,安全议题并没有纳入考量,因为早期网路速度较慢,所以设计的交换协定只是考量如何快速地交换资料,近期因为网路传输资料大量被窃取,相关组织已经开始注意资料传输间的安全性。
  2. 无线网路安全性更是需要被注意的一项议题,在移动式设备的应用上,无线网路是解决资料传送的最佳方案,例如:医院应用行动式平板进行医生巡视病房纪录病患的情况,就是藉由无线网路进行传输,其相关的管控及作法应有一定的安全性考量。
  3. VPN的安全性,大多数组织或企业采取VPN的方式来确保外部连线或各部门间连线的安全性,但VPN就一定能保证连线的安全吗?随着愈来愈多的案例发生,我们可以认知到VPN并不一定能完整地保护网路,如果运用不当反而更容易造成危害。
  4. 网路区隔,目前在政府机关所颁布的指引中,希望将组织内部的网路做好区分,典型的区分方式为外部网路以防火墙作为阻隔,内部网路区分三个部分,DMZ、伺服主机群、使用者等三个网路并以防火墙、路由器限制各区域间的资讯交换。整体网路规划绝对是资讯安全重要的一环,可以避免不同等级及重要性的电脑间彼此的影响程度,有些重要且无法更新的电脑甚至被限制以单向传输的方式进行连网。

(五) 环境设施:以往的资讯安全仅考量环境设施的实体安全性,但因为环境因素变化会对资讯安全产生重大影响,例如:停电、天然灾害等,这类型的情况对於资讯安全的冲击是重大且期程较长的,必须有完整的规画才能减轻其所造成的结果。

  1. 实体区域安全:设置及存放重要设备的场地其相关安全的维护,对於设备内所存放的资料安全性而言是相对应的,例如机房或研发场所,理应对进出人员做出管制,并记录各项证据。
  2. BYOD(Bring Your Own Device):对於环境设施,BYOD绝对是影响安全性的事项,现今行动设备有愈来愈方便携带且储存容量愈来愈大的趋势,小小的一部行动装置可以照相、录音、录影、储存大量档案,对於环境安全有关键性的影响。
  3. 基础关键设施:网路、电力、水等相关关键设施及来源,对资讯安全的可用性会造成一定的损害,尤其电力的供应,如果不稳定或者有分区供电的情况,更应及早规划因应。

<<:  WUSON的CISSP学习资源

>>:  2022 年您应该准备的 6 大商业风险~综合风险管理 (IRM) 已被证明可以提供稳健且结构化的风险缓解方法。

GitHub 时程与版本管理 - Milestone, Tag 与 Release

在这一篇文章,我们要来谈,GitHub 中另外几个进阶的功能: Milestone (里程碑)、Ta...

DAY 23 Big Data 5Vs – Variety(速度) Kinesis (3)

接续串流处理相关的服务介绍: Kinesis Data Firehose(KDF): KDF是可以方...

[Day12] Firestore

前几天总共介绍了4种不同的储存方式,今天要来介绍最後一种: Cloud FireStore。 Fir...

Day 18 — To Do List (5) 新增 To Do Event

昨天我们快乐 (?) 的把资料 render 到网页上(虽然会有点 Delay,对 UX 不好…不过...

【I Love Vue 】 Day 28 爱荷华博弈任务(九) - 结算画面

离完成就只差最後一个结算画面了... 咱们废话不多说,直接继续开发下去。 结算画面 先来看看昨天完成...