资讯安全之风险管理及评估-All

資訊安全之風險管理及評估-以BS7799為例組長：廖健智組員：蔡宗軒、黃國聯、黃逸平、蔡怡真、鄭雅招指導老師：曹民和老師Agenda一、前言二、資訊安全三、資訊安全規範-BS7799四、誰適合BS7799五、資訊安全之風險評估六、資訊安全應用七、結語八、參考文獻一、前言全球商業環境隨時面對有意圖性的資訊系統攻擊，評估每年大約損失150億美元，且損失金額逐年升高。2003年8月全球各地上百萬台電腦在短短12天內被接續出現的Blaster、Welchia與Sobig.F三種新生病毒感染而遭受系統癱瘓或作業中斷的衝擊，評估這些威脅所造成的損失約為20億美元。2004年5月殺手病毒（Sasser）肆虐造成全台灣三分之一的郵局即430個支局共約1,600個工作站電腦當機影響金融業務的交易甚鉅。根據美國CERT/CC統計資料（Computersecurityincidentsreported）顯示，2003年資訊安全事件共137,529件較2002年增加67.5%（2002年82,094件），成長速度急遽攀升足以揭示現今企業組織的資訊安全面臨日益升高的威脅。此類層出不窮的事件傳達一項明確的訊息－「不安全是昂貴的」，資訊安全的風險阻礙經濟發展的潛能及嚴重影響企業日常的運作。如何建構有效的資訊安全的風險管理已是刻不容緩的議題。美國CERT/CC資訊安全事件統計資料二、資訊安全何謂資訊「資料」是指未經處理之原始訊息，其內容可能包含數值、文字、事件描述等多樣化格式之眾多呈現方式。「資訊」則是將眾多資料藉由整理或分析的過程，使其成為有意義之內容，具有價值及重要性之資訊也將成為決策制定之參考依據。為有效確保重要資訊的保存，防止非法存取、竄改或惡意毀損與破壞，資訊安全之維護成為個人、企業組織或國家相當重視的議題。資料1資料3資料2工具/方法整理分析方針1方針2資料資訊二、資訊安全資訊的重要性隨著「知識經濟」時代的來臨，「資訊」的收集與保護對企業組織與個人都越來越重要。資料資訊知識智慧資料蒐集預測未來二、資訊安全何謂資訊安全現今資訊安全重點強調的是由上而下的整體架構，重視的是「管理」而非「技術」，單以密碼學的角度看資訊安全並不正確。機密010011001010111011010%$%$#%#$%$@#$@#$@#$二、資訊安全何謂資訊安全資訊安全，是管理而非技術妥善的資訊安全管理是確保組織得以持續成長的重要關鍵資訊安全管理議題中最重要的部分「人員管理」在過去一向被人所忽略不能僅以防火牆與入侵偵測系統的「技術面」來看「資訊安全」二、資訊安全資訊安全之定義實體與技術安全實體建築、文件電腦軟、硬體網路通訊資料儲存與傳送人員訓練與預防安全操作觀念指導專業的教育訓練預防人員犯罪資訊安全維護考量因素二、資訊安全資訊安全之定義資訊安全是防範資訊資產遭受各種安全威脅，目的在於確保企業持續營運、企業損失減至最小並且投資報酬率及商機增至最大，並以保護下列三者為其特性：機密性(Confidentiality)確保只有被授權的人可以存取資訊完整性(Integrity)確保資訊及處理方法的正確及完整可用性(Availability)確保資訊在被授權的人有需要時可以存取二、資訊安全資訊安全防護措施的三大目標-CIA機密性(Confidentiality)真確性或完整性(Integrity)可用性(Availability)資訊安全防護措施的三大目標-CIAC–機密性(Confidentiality)機密性為資訊安全必須能確定唯有通過認證的使用者才得以存取資料當不論任何人都可以輕易得知「機密」或「極機密」等級文件內容，這就形同沒有資訊安全。I–真確性或完整性(Integrity)完整性是指當資訊在經過保護及傳送的過程中，仍能確保資訊的正確性及真確性現今所指的資訊完整性，大多是發生在網際網路的傳輸品質以及加/解密技術上A–可用性(Availability)可用性即為通過認證的使用者隨時都可取得所需的資訊除了保護系統的安全外，更應考慮到讓使用者隨時都可使用的便利性二、資訊安全資訊安全之威脅資訊安全威脅類型可能發生事件範例非人為因素天然災害火災、水災、地震、雷擊、冰雹等颱風風災基礎設施故障軟體程式、硬體、網路通訊障礙硬碟壞軌人為因素人員疏失操作、維護及管理等疏失電腦用畢未登出蓄意性威脅資料破壞電腦系統破壞資訊設備破壞資料程式破壞資料/程式竄改或毀損病毒破壞資料濫用擅自使用電腦設備不當使用資料或資訊服務透過社交手法獲得使用權限或資訊駭客入侵違反隱私權不當之資料收集、使用或公開犯罪者竊取他人信用卡資訊二、資訊安全資訊安全之相關標準COSOBS7799COBIT發源地歐洲(英國)歐洲(英國)北美(美國)制訂單位NABsi英國標準協會ISACA電腦稽核協會特點書面程序制度書面程序制度作業管理考照認證制度NoneBS7799LeadAuditorCISACISM是否為國內標準公開發行公司建立內控制度處理準則資通安全外部稽核規範No三、資訊安全規範-BS7799BS7799是什麼BS7799-國際資訊安全稽核規範，全名是BS7799CodeofPracticeforInformationSecurity，由英國標準協會在1995年提出、修訂，為目前國際上最知名的安全規範，而且已被ISO(InternationalOrganizationforStandardization)接納成為國際標準稱為ISO-17799。三、資訊安全規範-BS7799BS7799是什麼起源「資訊安全管理規範」(BS7799)是由英國標準協會(BSI；BritishStandardsInstitution)所制定之資訊安全標準目的在於確保企業組織資訊相關資產之安全，並在確保資訊機密性、完整性及可用性的基礎下建立資訊安全管理系統(ISMS；InformationSecurityManagementSystem)1995年由英國標準協會(BSI)將「資訊安全管理實務準則」(CodeofpracticeforInformationSecurityManagement)訂為國家標準，即為BS7799-IBS7799是什麼1998年英國標準協會(BSI)公佈「資訊安全管理系統規範」(ISMS；InformationSecurityManagementSystem)，即為BS7799-II2000年底由國際標準組織(ISO；International)將BS7799-I列為國際標準，並命名為ISO177992002年BSI再次修訂BS7799-II2005年再次修定為BS7799：2005，ISO則納入PARTII成為ISO17799與ISO27001三、資訊安全規範-BS7799三、資訊安全規範-BS7799BS7799是什麼三、資訊安全規範-BS7799BS7799是什麼內容BS7799內容大致上分成兩個部分:Thecodeofpracticeforinformationsecuritysystems:設立了產業最佳的管理資訊安全準則「SpecificationforInformationSecurityManagementSystems-ISMS」資訊安全管理系統：詳述IT安全應用與稽核所應遵循的架構，包含11個控制領域與44個控管目標，它可以來設置應用的時程，並以135個控管項目來保證目標的達成。三、資訊安全規範-BS7799BS7799是什麼內容BS7799包含了所有企業安全政策，從安全政策的擬定、安全責任的歸屬、風險的評估、到定義與強化安全參數及存取控制、防毒策略。根據BS7799標準的風險評估包括了兩項系統化的考量：1.IT安全的破壞造成可能的資訊保密性、真確性與可用性失效之後果，將會導致對企業的傷害。2.對各種威脅的防範與合理的控管都會影響這些破壞發生的實際可能性。三、資訊安全規範-BS7799BS7799PartI&PartIIPartI:CodeofPractice1,ISO17799􀂾“明確”的”建議”要有哪些資訊安全控管􀂾於2000年通過成為ISO17799:2000􀂾於2005.06.10通過,發行成為ISO17799:2005年版􀂾PartII:Specification(AuditGuideline),BS7799􀂾認證規範，為英國之標準2005年11月成為ISO之標準(ISO27001)􀂾世界各國多已採用BS7799或ISO17799之系列規範,待ISO27001通過後,未來會將ISO17799修改成為ISO2700X相關系列三、資訊安全規範-BS7799BS7799是一套國際的標準發展一套各行各業遵循資訊安全管理系統的國際標準BS7799Part1=ISO17799=CNS17799(我國經濟部標準局編號)Codeofpracticeforinformationsecuritymanagement資訊安全管理系統實務準則BS7799Part2=CNS17800(我國經濟部標準局編號)SpecificationforinformationSecurityManagementSystems資訊安全管理系統驗證規範三、資訊安全規範-BS7799ISMS是什麼ISMS利用風險分析管理工具，結合企業資產列表、威脅來源的調查分析及系統安全弱點評估等結果，綜合評估影響企業整體的因素，以訂定適當的資訊安全政策與資訊安全作業準則來降低潛在的風險危機。簡而言之：ISMS是一套管理潛在資訊「風險」的方法。三、資訊安全規範-BS7799ISMS是什麼藉由國際標準的規範，達到確保管理性資訊安全的目標。BS7799是國際承認的衡量標準，用來評斷企業內架構的ISMS系統是否能適當而有效地達成資訊安全的三個目標。建立ISMS系統並不必然就得申請BS7799認證，不過BS7799的135條控制標準是審查ISMS的最好方法，通過BS7799的審核代表著所建立的ISMS系統具有可接受的有效性。三、資訊安全規範-BS7799ISMS導入模型（PDCA）PDCA視為ISMS一個完整的循環，與ISMS相關的決策、文件、定義、作業、流程、紀錄都需要符合PDCA的循環，以確保ISMS每一個動作都遵循PDCA的順序。三、資訊安全規範-BS7799BS7799的10大控管重點1.安全政策2.安全組織3.資產分類及控制4.人員安全5.設備及環境安全6.通訊及作業管理7.存取控制8.系統開發及維護9.業務永續運作管理10.符合性BS7799十大控管重點三、資訊安全規範-BS7799BS7799的導入模式BSI採用ISO9001及ISO14001之「規劃-執行-確認-行動模型」(PDCA；Plan-Do-Check-ActModel)於2005年發展了BS7799-II：2005，從建置ISMS、實行與操作ISMS、監控與檢視ISMS、維護與改善ISMS等四部份定義必須注意之規範需求，因此BS7799-II：2005可謂是「資訊安全管理系統策略」。三、資訊安全規範-BS7799BS7799的導入模式PDCA模型實行系統提升接受正確之系統活動應用課程學習與相關團隊進行成果交流保證達到系統提升之目的執行監測程序定期執行ISMS效能檢視檢視可接受之風險程度建構內部ISMS審查定期管理檢視ISMS記錄影響ISMS之活動及事件評估風險威脅計畫實行風險威脅計畫實行控制項目完成訓練執行程序操作管理資源管理實行偵測及回應安全事件之程序定義ISMS範圍定義ISMS策略定義風險評估步驟風險定義風險評估確認評估風險威脅之取捨選擇控制目標及控制項目預備適用性聲明(SOA)PDCA模型1234確認Check活動Act規劃Plan執行Do三、資訊安全規範-BS7799BS7799的導入模式認證程序根據BS7799-II之規範建立符合企業需求之資訊安全架構步驟一