《资讯安全之风险管理及评估教材.ppt》由会员分享,可在线阅读,更多相关《资讯安全之风险管理及评估教材.ppt(48页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、資訊安全之風險管理及評估資訊安全之風險管理及評估-以以BS7799BS7799為例為例組長:廖健智組長:廖健智組員:蔡宗軒、黃國聯、黃逸平、組員:蔡宗軒、黃國聯、黃逸平、蔡怡真、鄭雅招蔡怡真、鄭雅招指導老師:曹民和指導老師:曹民和 老師老師Agenda一、前言二、資訊安全三、資訊安全規範-BS7799四、誰適合BS7799五、資訊安全之風險評估六、資訊安全應用七、結語八、參考文獻一一、前言前言全球商業環境隨時面對有意圖性的資訊系統攻擊,評估每 大約損失150 億美元,且損失金額逐升高。2003 8 月全球各地上百萬台電腦在短短12 天內被接續出現的Blaster、Welchia 與Sobig.
2、F 三種新生病毒感染而遭受系統癱瘓或作業中斷的衝擊,評估這些威脅所造成的損失約為20 億美元。2004 5 月殺手病毒(Sasser)肆虐造成全台灣三分之一的郵局即430 個支局共約1,600 個工作站電腦當機影響金融業務的交易甚鉅。根據美國CERT/CC 統計資(Computer security incidents reported)顯示,2003 資訊安全事件共137,529 件較2002 增加67.5%(2002 82,094 件),成長速度急遽攀升足以揭示現今企業組織的資訊安全面日益升高的威脅。此類層出不窮的事件傳達一項明確的訊息不安全是昂貴的,資訊安全的風險阻礙經濟發展的潛能及嚴重
3、影響企業日常的運作。如何建構有效的資訊安全的風險管已是刻不容緩的議題。美國CERT/CC 資訊安全事件統計資 二二、資訊安全資訊安全何謂資訊資是指未經處之原始訊息,其內容可能包含值、文字、事件描述等多樣化格式之眾多呈現方式。資訊則是將眾多資藉由整或分析的過程,使其成為有意義之內容,具有價值及重要性之資訊也將成為決策制定之參考依據。為有效確保重要資訊的保存,防止非法存取、竄改或惡意毀損與破壞,資訊安全之維護成為個人、企業組織或國家相當重視的議題。資1資3資2工具/方法整理整理分析分析方針1方針2資料資料資訊資訊二二、資訊安全資訊安全 資訊的重要性隨著知識經濟時代的,資訊的收集與保護對企業組織與個
4、人都越越重要。資資訊知識智慧資料蒐集資料蒐集預測未來預測未來二二、資訊安全資訊安全 何謂資訊安全現今資訊安全重點強調的是由上而下的整體架構,重視的是管而非技術,單以密碼學的角度看資訊安全並不正確。機密機密010011001010111011010%$%$#%#$%$#$#$#$二二、資訊安全資訊安全 何謂資訊安全資訊安全,是管而非技術 妥善的資訊安全管是確保組織得以持續成長的 重要關鍵 資訊安全管議題中最重要的部分 人員管在過去一向被人所忽略不能僅以防火牆與入侵偵測系統的 技術面看資訊安全二二、資訊安全資訊安全 資訊安全之定義實體與技術安全實體與技術安全實體與技術安全實體與技術安全實體建築、文
5、件實體建築、文件 電腦軟、硬體電腦軟、硬體 網通訊網通訊 資儲存與傳送資儲存與傳送人員訓練與預防人員訓練與預防人員訓練與預防人員訓練與預防 安全操作觀念指導安全操作觀念指導 專業的教育訓專業的教育訓 預防人員犯罪預防人員犯罪資訊安全維護資訊安全維護考量因素考量因素二二、資訊安全資訊安全 資訊安全之定義資訊安全是防範資訊資產遭受各種安全威脅,目的在於確保企業持續營運、企業損失減至最小並且投資報酬率及商機增至最大,並以保護下三者為其特性:機密性(Confidentiality)確保只有被授權的人可以存取資訊完整性(Integrity)確保資訊及處方法的正確及完整可用性(Availability)確
6、保資訊在被授權的人有需要時可以存取二二、資訊安全資訊安全 資訊安全防護措施的三大目標-CIA 機密性機密性(Confidentiality)真真確確性性或或完整性完整性(Integrity)可用性可用性(Availability)資訊安全防護措施的三大目標-CIAC 機密性(Confidentiality)機密性為資訊安全必須能確定唯有通過認證的使用者才得以存取資當不論任何人都可以輕易得知機密或極機密等級文件內容,這就形同沒有資訊安全。I 真確性或完整性(Integrity)完整性是指當資訊在經過保護及傳送的過程中,仍能確保資訊的正確性及真確性現今所指的資訊完整性,大多是發生在網際網的傳輸品質
7、以及加/解密技術上A 可用性(Availability)可用性即為通過認證的使用者隨時都可取得所需的資訊除了保護系統的安全外,更應考慮到讓使用者隨時都可使用的便利性二二、資訊安全資訊安全 資訊安全之威脅資訊安全威脅類型可能發生事件範例非人為因素天然災害天然災害火災、水災、地震、雷擊、冰雹等火災、水災、地震、雷擊、冰雹等颱風風災颱風風災基礎設施故障基礎設施故障軟體程式、硬體、網路通訊障礙軟體程式、硬體、網路通訊障礙硬碟壞軌硬碟壞軌人為因素人員疏失人員疏失操作、維護及管理等疏失操作、維護及管理等疏失電腦用畢未登出電腦用畢未登出蓄意性威脅蓄意性威脅資料破壞資料破壞電腦系統破壞電腦系統破壞資訊設備破壞
8、資訊設備破壞資料程式破壞資料程式破壞資料資料/程式竄改或毀損程式竄改或毀損病毒破壞病毒破壞資料濫用資料濫用擅自使用電腦設備擅自使用電腦設備不當使用資料或資訊服務不當使用資料或資訊服務透過社交手法獲得使用權限或資訊透過社交手法獲得使用權限或資訊駭客入侵駭客入侵違反隱私權違反隱私權不當之資料收集、使用或公開不當之資料收集、使用或公開犯罪者竊取他人犯罪者竊取他人信用卡資訊信用卡資訊二二、資訊安全資訊安全 資訊安全之相關標準COSOBS7799COBIT發源地歐洲(英國)歐洲(英國)北美(美國)制訂單位NABsi英國標準協會ISACA電腦稽核協會特點書面程序制度書面程序制度作業管理考照認證制度None
9、BS7799Lead AuditorCISACISM是否為國內標準公開發行公司建立內控制度處理準則資通安全外部稽核規範No三、資訊安全規範三、資訊安全規範-BS7799 BS7799是什麼BS7799-國際資訊安全稽核規範,全名是 BS7799 Code of Practice for Information Security,由英國標準協會在 1995 提出、修訂,為目前國際上最知名的安全規範,而且已被 ISO(International Organization for Standardization)接納成為國際標準稱為ISO-17799。三、資訊安全規範三、資訊安全規範-BS7799
10、BS7799是什麼起源資訊安全管規範(BS7799)是由英國標準協會(BSI;British Standards Institution)所制定之資訊安全標準目的在於確保企業組織資訊相關資產之安全,並在確保資訊機密性、完整性及可用性的基礎下建資訊安全管系統(ISMS;Information Security Management System)1995由英國標準協會(BSI)將資訊安全管實務準則(Code of practice for Information Security Management)訂為國家標準,即為BS7799-IBS7799是什麼1998英國標準協會(BSI)公佈資訊安全
11、管系統規範(ISMS;Information Security Management System),即為BS7799-II2000底由國際標準組織(ISO;International)將BS7799-I為國際標準,並命名為ISO 177992002BSI 再次修訂BS7799-II2005再次修定為BS7799:2005,ISO則納入PARTII成為ISO 17799與ISO 27001三、資訊安全規範三、資訊安全規範-BS7799三、資訊安全規範三、資訊安全規範-BS7799 BS7799是什麼三、資訊安全規範三、資訊安全規範-BS7799 BS7799是什麼內容內容BS7799 內容大致
12、上分成兩個部分:The code of practice for information security systems:設立了產業最佳的管理資訊安全準則設立了產業最佳的管理資訊安全準則 Specification for Information Security Management Systems-ISMS資訊安全管系統:詳述 IT 安全應用與稽核所應遵循的架構,包含 11 個控制領域與 44 個控管目標,它可以設置應用的時程,並以 135 個控管項目保證目標的達成。三、資訊安全規範三、資訊安全規範-BS7799 BS7799是什麼內容內容BS7799 包含了所有企業安全政策,從安全政策
13、的擬安全政策的擬定定、安全責任的歸屬安全責任的歸屬、風險的評估風險的評估、到定義與強化安定義與強化安全參數全參數及存取控制存取控制、防毒策略防毒策略。根據 BS7799 標準的風險評估包括了兩項系統化的考量:1.IT 安全的破壞造成可能的資訊保密性、真確性與可用性失效之後果,將會導致對企業的 傷害。2.對各種威脅的防範與合的控管都會影響這些破 壞發生的實際可能性。三、資訊安全規範三、資訊安全規範-BS7799 BS7799 Part I&Part IIPart I:Code of Practice 1,ISO 17799“明確”的”建議”要有哪些資訊安全控管 於2000通過成為ISO 1779
14、9:2000 於2005.06.10通過,發成為ISO 17799:2005 版Part II:Specification(Audit Guideline),BS7799認證規範,為英國之標準 200511月成為ISO之標準(ISO 27001)世界各國多已採用BS7799或ISO 17799之系規範,待ISO 27001 通過後,未會將ISO 17799 修改成為 ISO2700X 相關系三、資訊安全規範三、資訊安全規範-BS7799 BS7799是一套國際的標準發展一套各各業遵循資訊安全管系統的國際標準BS7799 Part1=ISO17799=CNS17799(我國經濟部標準局編號)Co
15、de of practice for information security management資訊安全管系統實務準則BS7799 Part2=CNS 17800(我國經濟部標準局編號)Specification for information Security Management Systems資訊安全管系統驗證規範三、資訊安全規範三、資訊安全規範-BS7799 ISMS是什麼ISMS利用風險分析管工具,結合企業資產表、威脅源的調查分析及系統安全弱點評估等結果,綜合評估影響企業整體的因素,以訂定適當的資訊安全政策與資訊安全作業準則降低潛在的風險危機。簡而言之:ISMS是一套管潛在資訊風
16、險的方法。三、資訊安全規範三、資訊安全規範-BS7799 ISMS是什麼藉由國際標準的規範,達到確保管性資訊安全的目標。BS7799是國際承認的衡量標準,用評斷企業內架構的ISMS系統是否能適當而有效地達成資訊安全的三個目標。建ISMS系統並不必然就得申請BS 7799認證,不過BS7799的135條控制標準是審查ISMS的最好方法,通過BS7799的審核代表著所建的ISMS系統具有可接受的有效性。三、資訊安全規範三、資訊安全規範-BS7799 ISMS導入模型(PDCA)PDCA視為ISMS一個完整的循環,與ISMS相關的決策、文件、定義、作業、流程、紀錄都需要符合PDCA的循環,以確保IS
17、MS每一個動作都遵循PDCA的順序。三、資訊安全規範三、資訊安全規範-BS7799BS7799的10大控管重點1.安全政策2.安全組織3.資產分類及控制4.人員安全5.設備及環境安全6.通訊及作業管7.存取控制8.系統開發及維護9.業務永續運作管10.符合性BS7799 十大控管重點三、資訊安全規範三、資訊安全規範-BS7799 BS7799的導入模式BSI採用ISO9001及ISO14001之規劃-執-確認-動 模型(PDCA;Plan-Do-Check-Act Model)於2005發展了BS7799-II:2005,從建置ISMS、實與操作ISMS、監控與檢視ISMS、維護與改善ISMS
18、等四部份定義必須注意之規範需求,因此BS7799-II:2005可謂是資訊安全管系統策略。三、資訊安全規範三、資訊安全規範-BS7799 BS7799的導入模式PDCA模型 實系統提升接受正確之系統活動應用課程學習與相關團隊進成果交流保證達到系統提升之目的 執監測程序定期執ISMS效能檢視檢視可接受之風險程度建構內部ISMS審查定期管檢視ISMS記錄影響ISMS之活動及事件評估風險威脅計畫實風險威脅計畫實控制項目完成訓執程序操作管資源管實偵測及回應安全事件之程序定義ISMS範圍定義ISMS策略定義風險評估步驟風險定義風險評估確認評估風險威脅之取捨選擇控制目標及控制項目預備適用性聲明(SOA)P
19、DCA模型模型1234確認確認 Check 活動活動 Act規劃規劃 Plan執行執行 Do三、資訊安全規範三、資訊安全規範-BS7799 BS7799的導入模式認證程序根據根據BS7799-IIBS7799-II之規範建符合企業需求之資訊安全架構之規範建符合企業需求之資訊安全架構步驟一:建立架構步驟一:建立架構由認證機構審查相關資,評估進驗證所需之人力、時間、由認證機構審查相關資,評估進驗證所需之人力、時間、成本及進度安排成本及進度安排步驟二:審核評估步驟二:審核評估若若企企業業同同意意認認證證機機構構提提供供之之報報價價資資,則則提提出出一一份份正正式式認認證證申請函申請函步驟三:註冊申請
20、步驟三:註冊申請步驟四:書面審查步驟四:書面審查完完成成書書面面審審查查後後安安排排時時間間至至企企業業進進現現場場稽稽核核,於於稽稽核核結結束束後再提出是否核可發證之聲明後再提出是否核可發證之聲明步驟五:現場稽核步驟五:現場稽核完完成成各各階階段段核核可可後後由由認認證證機機構構發發出出正正式式認認證證證證書書,證證書書有有效效期期限限為為三三,期期間間須須配配合合追追蹤蹤審審核核以以確確保保證證書書有有效效性性。當當有有效效期期限限到到期期時時需需透透過過正正式式審審核核活活動動進進驗驗證證並並延延續續證證書之有效性書之有效性步驟六:完成認證步驟六:完成認證認認證證機機構構在在所所定定之之
21、時時程程內內執執書書面面審審查查,內內容容包包括括:認認證證範範圍、資訊安全政策、風險審查、適用性聲明及相關文件等圍、資訊安全政策、風險審查、適用性聲明及相關文件等三、資訊安全規範三、資訊安全規範-BS7799 什麼是 CNS17799/CNS17800我國經濟部標準檢驗局於200212月公告資訊安全管系統驗證標準CNS 17799及CNS 17800。資訊安全管系統驗證標準其內容主要依據ISO 17799(原BS 7799-I:1999)轉定為國家標準CNS 17799,為提供組織作為建資訊安全管制度之指導綱要指導綱要。另依據BS 7799-II:2002轉定為國家標準CNS 17800,為
22、我國受資訊安全管制度之驗證標準驗證標準。三、資訊安全規範三、資訊安全規範-BS7799 什麼是 CNS17799/CNS17800BS 7799-I:1999BS 7799-I:1999 資訊安全管理實務準則資訊安全管理實務準則資訊安全管理實務準則資訊安全管理實務準則BS 7799-II:2002BS 7799-II:2002 資訊安全管理系統規範資訊安全管理系統規範資訊安全管理系統規範資訊安全管理系統規範CNS 17799CNS 17799建立資訊安全管理制度之指導綱要建立資訊安全管理制度之指導綱要建立資訊安全管理制度之指導綱要建立資訊安全管理制度之指導綱要CNS 17800CNS 1780
23、0受理資訊安全管理制度之驗證標準受理資訊安全管理制度之驗證標準受理資訊安全管理制度之驗證標準受理資訊安全管理制度之驗證標準英國標準協會英國標準協會(BSI)(British Standards Institution)經濟部標準檢驗局經濟部標準檢驗局(BSMI)(Bureau of Standards,Metrology and Inspection)英英 國國台台 灣灣ISO/IEC 27001資訊安全管理系統驗證規範資訊安全管理系統驗證規範 ISO/IEC 17799-III:2005資訊安全管理資訊安全管理執行執行 三、資訊安全規範三、資訊安全規範-BS7799 什麼是 CNS17799
24、/CNS17800CNS 17800之PDCA模式實施與操作建ISMS監控與審查維持及改進開開發發維維護護及及改改進進循循環環計畫計畫執行執行行動行動檢查檢查利害相關團體資 訊 安 全要 求/期 望利害相關團體管 式 資訊安全四、誰適合四、誰適合 BS7799?政府單位發生的資安案例:在台灣,我們常常可以看到報章雜誌以及電視新聞的報導,各大網站受到駭客入侵,可說是頗不平靜,關於這些駭客的狀況,雖然報導很多,但大部分都只是曇花一現。對於台灣常出現的駭客入侵議題,以下做一個簡單且較深入回顧及探討。駭客入侵仍是台灣資訊安全所面最大的問題。四、誰適合四、誰適合 BS7799?以學術單位為例:國內教育環
25、境的資安挑戰與對策:教育體系資安作業推動目標建完備之教育體系資安作業體系建深化之教育體系資安認知宣導作業建完整之教育體系資安人才培訓作業建符合資安需求之各級機關學校資訊系統平台架構及作業規範建各級學校資安教育學程。分級實施A A級(重要核心)負責教育政策審定機關(如教育部),凡涉及各相關部會委託研究具國家安全機密性或重要敏感性之位資之執單位。教學醫院B級(核心)凡涉及社會秩序運作及民眾隱私等機敏系統之學研機關,各大學(含科技大學)(98)、台灣學術網各區域網中心(12)及縣市教育網中心(25)各技術學院(57)及專科學校(17)(159所大專院校(145所大學校院+專科學校)高中職以下學校(4
26、73所高中職(312高中+161高職),3369所國中小學(2646國小+723國中)。C級(重要)D級(一般)輔導重於管制強調認証輔以稽核(自主重於被動)依實際需求建適性化資安作業規範成輔導團協助導入作業規範及準則加強日常演強化認知宣導實素養培訓。四、誰適合四、誰適合 BS7799?淡江大學成功導入BS 7799:200410月11日,淡江大學獲英國標準協會頒發BSI(British Standards)7799資訊安全證書,成為台灣第一個通過此認證的學術單位。這項殊榮不僅使淡江的知名度更加響亮,也肯定淡江大學資訊中心在安全政策、制度管、資維護及意外事件防範等流程都符合國際標準,強化資訊安全
27、達到機密、完整、可用的目標。成為國內第一家通過並取得該認證的學術單位,這對相當強調資訊安全的淡江大學說,應是實至名歸,不僅對日後在管學校資訊上有更實質幫助,同時,對於該校的資訊安全課程教授上也挹注了更大的助力。注重安全引發取證動機相對於一般外面企業說,取得BS7799認證是刻不容緩的,但對學術單位說,似乎並不是那麼急迫,因此,淡大資訊中心能取得該項認證,在學術界說,算是個異,也成為首家取得BS7799認證的學術單位!四、誰適合四、誰適合 BS7799?以電信單位為例:Seednet位聯合電信通過高標準國際BS7799認證民營電信業者Seednet位聯合電信,提出管才是資安服務的真功夫!Seed
28、net歷經半的嚴格審核,於20045月正式通過英國標準協會(British Standards Institute,BSI)的BS7799資訊安全管系統認證審核,並於今日舉授證儀式。儀式中英國標準協會台灣分公司總經高毅民博士特別親自蒞Seednet授證,見證這難能可貴的一刻。過程中,Seednet也同時宣佈IDC二樓機房正式啟用。通過此項認證,無疑是宣告IDC正式進入服務至上的戰國時代,Seednet則率先邁向資安管的更高層級!Seednet總經程嘉君表示,資訊安全管最重要的宗旨就是確保企業營運不中斷,這也正與Seednet對企業客戶的Business Continuity Support服務
29、承諾相呼應。翻開Seednet申請BS7799認證的內容,有關電力、設備、人員等等的管細項看似瑣碎,但讓企業正確無誤維持運轉的力量就在這些管細節之中。他感概地說,企業資會流失中斷,絕大多都是人為因素造成的。以今國內陸續發生的幾起電信、金融業客戶資外洩的案子為例,均是由於人為刻意或疏失所導致,這不僅突顯資安管不被重視,更造成客戶對企業的不信任,是一種無形的嚴重傷害。四、誰適合四、誰適合 BS7799?以金融業為例:新巴賽爾協定(Basel II),預計2006開始實施,銀金融機構將為了有效降低作業風險、加強風險控管,勢必要加強資訊安全管,參考BS7799標準,建自我的資訊安全管系統,有效管人 加
30、強單位內部的資安意識:取得BS7799提升銀公信力教育每個人使其了解在資安中扮演的角色金融機構資訊系統安全基準供各單位參考以案例分享提高警覺性以案例分享提高警覺性:如何確認委外不洩密?委外之後該如何持續經營?五、資訊安全之風險評估五、資訊安全之風險評估?外在風險、內在風險:環境的威脅。如天然災害,像是颱風、地震、水火災等。人的威脅。又可分為內部人員與外部人員。內部人員造成的威脅原因,有可能是使用錯誤或是受外部誘惑賄賂,也有可能是離職員工挾怨報復。外部人員造成的威脅原因,大部分是我們熟知的各類病毒及網駭客。五、資訊安全之風險評估五、資訊安全之風險評估?安全威脅評估(一)評估安全威脅發生之可能性評
31、估方法確認安全威脅的目標:那些資產將受到影響確認安全威脅的源:由誰產生確認安全威脅的影響:影響程度及嚴重性等安全弱點評估安全弱點評估(二二)計算風險值計算風險值風險風險=資產價值資產價值+安全威脅安全威脅+安全弱點安全弱點六、資訊安全應用:六、資訊安全應用:駭客、蠕蟲對資訊環境損毀(B)攻擊無攻擊政府及民間單位是否實施資訊安全建置(A)是(2,2)(10,0)否(0,10)(5,5)在這個賽局中,假定參賽者 A 與參賽者 B 以彼此所做出的策略為回應。當參賽都錐交出下策略時:資安建置與否 A 是 B在自身利益極大化下將回應攻擊 A 否 B在自身利益極大化下將回應攻擊 當參賽者 B 做出下策略時
32、:駭客、蠕蟲對資誕勛貍受損 B 攻擊 A 在自身利益極大化下將回應是 B 無攻擊 A在自身利益極大化下將回應是 政府及民問單位是否實施資訊安全建置 六、資訊安全應用:六、資訊安全應用:設備買進前後期的成本(當資安事件存在),並分析何種條件下花費是有利可圖。我們推測網環境存在資安的威脅,因此資訊單位購買資安產品以維護自身資訊安全。假設未購買設備時,資安事件可能發生機率為:(Po),現存成本(改善前成本)為(A);設備購買後,資安事件發生機率變為(Pl),虛擬成本(改善後成本)為(B)。資訊單位總資產價值為(w),資安產品成本為(Co),已確定損害成本為(Cl),我們將同做如下推論 現存成本大於虛
33、擬成本的決策樹(出處:資安人雜誌,2005)現存成本大於虛擬成本時,資訊單位選擇採用資安產品有利可圖,決策者將決定購買資安產品。然而若損害成本(C1)為可負擔成本,資訊單位將選擇不購買資安產品。六、資訊安全應用:六、資訊安全應用:規劃資訊安全:Gateway SolutionSpam Mail&Mail Server Firewall/IPS/IDS/IM/P2P Content Security Solution資產清點管 為控管 文件控管 Storage&Backup Solution直接損失間接損失其它損失 Wireless Application&Security Solution 校
34、園及廠區的應用 醫診所應用 證券公司的應用 動辦公室的應用 時性集會場所的應用 七、結語七、結語:處於資訊科技快速變化的今天,各種資訊系統衍然而生,而資訊化的社會,改變了人們資處的習慣,然而隨著資訊便利而的則是令人擔憂的資訊安全問題,因此,我們必須做好資訊安全防護措施,唯有在確保資訊安全之前提下享受資訊便利,才是面對資訊世紀的正確態度。任何系統最薄弱的一環是人,安全警覺訓是投資報酬率最高的反制對策。利用資訊及保護資訊同等重要;一分事前的預防重於十分的事後的補救;面對位政時代的,各級人員對機關資訊機密維護負有重要責任。世上沒有完美無瑕的安全,任何政府機構或私人企業都可能發生資安事件。取得機關上下的支持,讓安全成為政文化的精髓之一;營造機關上下齊心維護安全的組織氣候是最好的安全對策。八、參考文獻八、參考文獻:八、參考文獻八、參考文獻:八、參考文獻八、參考文獻:八、參考文獻八、參考文獻:資訊安全攻防戰,http:/
黑公网安备:91230400333293403D