资讯安全稽核.ppt

1,資訊安全稽核,賴溪松教授國立成功大學計算機與網路中心主任國立成功大學電機系及電腦與通訊研究所教授TEL:(06)2757575 ext 61020E-mail:laihcseembox.ncku.edu.twhttp:/www.icsc.ncku.edu.tw/FAX:(06)274-3533,2,大綱,何謂資訊安全資訊安全管理系統(ISMS)之重要資訊系統稽核歷史資訊安全系統的實施資訊安全稽核證照結論,3,何謂資訊安全,“資訊對組織而言就是一種資產，和其它重要的營運資產一樣有價值，因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅，確保持續營運，將營運損失降到最低，得到最豐厚的投資報酬率和商機。”BS 7799資訊安全管理系統(Information Security Management System)標準定義,4,資訊安全三要素,Confidentiality 機密性保護資訊不被非法存取或揭露Integrity完整性 確保資訊在任何階段沒有不適當的修改或損毀Availability 可用性經授權的使用者能適時的存取所需資訊,5,資訊安全的漏洞?,最傷腦筋的，已經不是技術性的問題一旦有一個使用者違反規定導致了資訊安全的漏洞，資訊安全人員所有的辛苦都是枉然防毒軟體?應該有吧，要更新什麼修補程式?你們資訊單位老是弄一些怪怪的名詞，我們user那知道那麼多我上個星期才買的最新款筆記型電腦，又可以無線上網，又可以接隨身碟，我就把舊電腦的網路線拔下來，插在新電腦上，好不容易可以接上公司網路,6,資訊安全管理系統(ISMS)的重要,根據FBI調查統計2001年的受訪者，有70%的比例危內部安全意識缺乏即不當使用所致英國官方統計報告2002年資訊安全入侵調查指出，在規模較小的公司裡，最重大的系統入侵案件有32%是內賊所為；在大企業，因內部員工所造成重大系統入侵案件更達到48%2002年9月偽卡集團涉嫌勾結財政部所屬的財金資訊公司工程師，盜取客戶信用卡內外碼資料高達一百萬筆以上及金融卡資料2002.9.21消基會批評財金公司無法掌控行政人員使用資料、管理資料的動作，消費者權益嚴重受損,7,ISMS的重要(cont.),2004年5月刑事局員警、中華電信、民營電信員工涉嫌將個人資料外洩販賣2004年12月台北市一家電腦資訊公司涉嫌利用職務之便，將四千多萬筆的客戶電話住址另外留存，轉售從中謀取兩百多萬元的暴利造成資訊安全事件的原因僅約25%是技術方案的解決，重要的是人性管理面上出現漏洞,8,資訊系統稽核歷史,資訊系統稽核在早期是傳統會計審計業務的一部分主要關注於被稽核單位的電子資料取得、分析與計算等資料處理業務對交易金額、帳戶、報表餘額進行檢查對客戶的電子化會計資料進行分析處理,9,資訊系統稽核歷史(cont.),隨著電腦技術應用範圍的擴展，資訊稽核所關注的內容也開始延伸到對電腦系統的可靠性、安全性進行了解和評估資訊稽核的業務範圍已經涵蓋審計業務的全部過程如今的資訊系統稽核的業務已經超出了爲財務報表審計提供服務的範圍很多大型會計公司內部，資訊系統稽核部門已經成爲一個獨立的對外提供多種服務的部門,10,資訊系統稽核歷史(cont.),國際會計公司、諮詢公司和專業服務提供廠商都將控制風險作爲管理諮詢和服務的重點尤其電腦環境風險和資訊系統運行風險大型跨國公司，常常高薪聘請資訊系統審計師進行內部審計,11,資訊安全的實施美國模式,12,資訊安全的實施加拿大模式,13,PDCA model in BS 7799,14,資訊安全的實施,無論美國或加拿大模式，大致上都包含了五階段風險評估(或風險管理分析)制定防範政策依政策進行系統維護與補強人員教育訓練稽核,風險評估,稽核,防範政策,教育訓練,系統維護,資通安全,15,資訊安全的實施-風險評估,資通安全開始必須先進行風險評估與分析利用風險評估方式來確定機關內的資產，評估這些資產的價值與可能潛在的弱點與威脅資通安全評估內容事先了解資產的價值掌握風險的所在降低風險的影響,16,事先了解資產的價值,資產價值一個金錢量化的數字風險指數針對特定資產可能產生之破壞性影響發生機率的預估代表預期可能發生的機會,17,風險意識,Accept MitigateAvoidTransfer,18,資訊安全的實施-風險評估,處理方式漠視風險漠視資訊危機的存在，遭受的風險損失將無法估計降低風險找出風險，使用適當的解決方法，降低可能的損失接受風險在可接受的範圍內，承擔風險所帶來的損失風險轉嫁將風險所帶來的損失轉移給第三者,19,風險評估表格(矩陣表),20,資產濫用,資料來源：中華民國電腦稽核協會,21,資產鑑別調查表,22,最大可能風險彙整表,23,風險評估與管理主要因素,24,資訊安全成本,虛擬成本=發生事故損失成本(L0)*發生機率(P0)實際成本=改善資通安全所花費之成本改善前資通安全成本(B)=L0*P0改善後資通安全成本(A)=L*P1P1(改善後發生機率)有效改善 B A,25,資訊安全成本(cont.),現存成本(A)=資產價值(W)X 資安事件可能發生的機率(P0)-)虛擬成本(B)=資產價值(W)X 改善後的機率(P1)+資安產品成本(Co)-(A)-(B)=(W)x(P0-P1)-(Co),26,資訊安全的實施-防範政策,評估完成後，便是政策與程序的制定防範政策的訂定與改善程序將直接影響資通安全成本政策制定後，並非一成不變，必須由風險改善程度而調整政策之內容,27,資訊安全的實施-防範政策,防範政策至少須具有以下內容：資訊使用政策網路管理政策系統維護政策帳號密碼管理原則備份計劃緊急應變計劃災難復原計畫,28,資訊安全的實施-防範政策,政策施行的先後順序政策訂定與施行前，應先確認風險評估的完成，依照風險嚴重程度進行政策的實施在許多情況下，因各部門的風險價值不同而有不同的優先順序，因此公司內部可能會有許多政策的制定會同時進行當風險已降低至可接受的安全程度內，則可召集相關人員共同討論，進行下一政策實施,29,應變計劃-xxx單位,30,資訊安全的實施-系統維護,系統維護內容應包含危機通報系統緊急應變通訊系統網路安全防範防火牆虛擬私人網路(VPN)等機制入侵偵測系統(IDS),人員身分管理系統加密金鑰管理演算法實體安全火災，高溫，斷電等事故的保護,31,資訊安全的實施-教育訓練,員工使其能對機關產生認知意識，並能保護機關內部機密資訊系統維護者提昇其資通安全之基本技能，了解最新的駭客技術、安全威脅、安全修補等資訊管理階層在教育訓練過程中了解各部門在資通安全中所扮演的角色實施資通安全的基礎課程，以能確切制定防範政策,32,資訊安全的實施-稽核,稽核的內容應包含員工對於安全政策的認知與遵守系統維護與操作程序教育訓練實施成果網路安全防護裝置的能力定期稽核的程序,33,安全技術與電腦稽核,電腦稽核:事先稽核：實際資料稽核，確保內部資料的正確性。事後稽核：歷史資料的稽核，發覺或追查可疑的事件及人員。目標:確保所有運作均按既定安全政策執行。確保所有存取資料皆獲得授權。確保所有資料均經適當處理及其正確性。,34,電腦稽核,目標:（以會計為例）所有交易運作皆按既定政策執行所有交易皆經授權所有交易皆經適當處理，以確保財務報表的正確性發展及使用審計軌跡確保稽核証據不被遺漏、更改及破壞利用稽核工具直接進入系統中查核稽核控制註：資訊系統管理與資訊系統稽核是完全獨立的個體,35,電腦稽核(cont.),假設：稽核程式軟體必須與系統程式獨立且無法被入侵(最好在系統開發時即加入)。稽核人員必須可被信任且被有效授權與認證,36,資訊安全的實施-稽核,國際與國內資訊安全標準與法令,37,BS 7799(CNS17799/17800),為目前國際上最知名的安全規範，而且已被ISO(International Organization for Standardization)接納成為國際標準台灣的國家標準CNS 17799、CNS 17800，就是參考BS7799的Part 1和Part2並加以中文化主要以ISMS風險評估管理架構進行安全管理，涵蓋所有的安全議題，是一套相當複雜的資訊安全應用與稽核的標準,38,BS 7799歷史,起源於90年代初期世界經濟合作開發組織(OECD)草擬的資訊系統安全指導方針1993年由英國DTI(英國貿易及產業局)公佈PD0005資訊安全管理實施要則，即為BS 7799 part 1前身1998年由BSi公佈BS 7799 part 21999年修訂驗證需求Part 1在2000年正式公告成為ISO 17799Part 2在2002年進行修訂為BS 7799-2:2002,39,BS 7799 part 1與part 2,BS 7799 part 1為資訊安全管理作業要點主要是作為參考文件，提供廣泛性的安全控制措施，作為現行資訊安全之最佳作業方法不作為評鑑與驗證標準BS 7799 part 2：2002為資訊安全管理系統要求提供資訊安全管理系統(ISMS)之建立實施與書面化之具體要求，依據個別組織的需求，規定要實施之安全控制措施的要求不是技術標準，而是管理標準,40,CNS17799/17800(BS 7799/ISO 17799)十項分析領域,資料來源：XiSEC Consultants,包含36個管理目標、127個控制方法,41,導入BS 7799之優點,提升內部資訊安全的保護等級對安全政策的要求與承諾加強員工對企業內資訊安全的認同與參與感客戶滿意度的提升與安全保證，提高企業競爭優勢是否要導入BS 7799?重要的是企業導入資訊安全管理系統的目的是什麼?目的不在拿證書，在於參考已有的國際標準，逐步建立適合企業需求的資安體系，透過不斷的訓練與推動，讓安全的觀念灌輸至每位員工中,42,BS 7799 台灣目前發展現況,2001年，台灣僅只有3家民間企業通過驗2002年，台灣共有7家民間企業通過驗證同年也正式公佈CNS-17799資訊技術-資訊安全管理之作業要點及CNS-17800資訊技術-資訊安全管理系統規範截至2004年9月20日止，全球有878家公司取得BS7799-2證照，其中台灣已有25家取得。在行政院國家資通安全會報積極推動資訊安全，要求A級單位需在2004年底率先通過BS7799認證。預估在未來三年之間將有數百家的公私立機構通過認證。,43,BS 7799台灣目前發展現況(cont.),目前全球共有十四家驗證機構可以執行ISMS驗證，在台灣有開設分支機構的只有五家目前發出過BS7799驗證的只有兩家(英國BSi和挪威DNV)國內中央標準檢驗局從2003年開始開放CNS17800的申請稽核驗證，目前有20位的稽核員，在學、經歷等資格皆符合國際要求，但在實際的經驗仍顯不足。2004年A級等政府單位導入、申請認證後，市場需求量大增，將再培訓人才,44,COBITControl Objectives for Information and related Technology,COBIT是國際電腦稽核協會（ISACA）完成之一套實用的資訊系統稽核與控制標準用以提供CISA(Certified Information Security Auditor)與CISM(Certified Information Security Manager)人員執行業務時之參考，COBIT目前最新的版本為第三版。,45,COBIT(cont.),主題為企業導向，不僅設計為使用者及稽核所用，更可供管理及業務營運主管使用的準則。COBIT之資訊技術控管架構分為4個階段的生命週期模式：規劃與組織、取得與建置、交付與支援、監控，與BS7799的PDCA在架構上有相似之處。依其作業程序可再細分為34項高層控管目標與。318項細部控管目標的資訊技術程序稽核準則，供業務營運主管與稽核人員參考。BS 7799涵蓋10個管理要項、36個管理目標、127個控制方法,46,資訊及相關技術的管理、控制與稽核(COBIT)架構,資料來源：中華民國電腦稽核協會,47,使用對象,管理階層：用以協助其在資訊技術的環境中如何平衡風險及控管投資。使用者：用以協助其獲得經由內部或外部的稽核，對資訊技術服務控管的保證。稽核人員：用以支持其對資訊安全及控管之意見與建議,48,資訊安全稽核證照,CISSPCISABS 7799 Lead Auditor,49,國際資訊安全管理師CISSP,CISSP(Certification for Information Systems Security Professional)由國際資訊系統安全認證協會(ISC)2所頒發，是國際公認最具權威性的資訊安全專業人員證照(ISC)2(www.isc2.org)成立於1989年，主要目標在於從事認證考試的培訓與管理。1992年(ISC)2開始進行的CISSP認證，被認為是最佳投資報酬率的專業證照。,50,CISSP認證資格,必須遵守(ISC)2的道德規範(Code of Ethics)必須有4年在資訊安全領域全職的工作經驗或3年工作經驗外加學士學位工作經驗定義為在CBK(Common Body of Knowledge)的10個專業領域中的一個或多個領域從事有薪資收入的工作獲得證照後，在3年內必須累積120個CPE(Continuing Professional Education，進修點數，可通過從相關工作或研究獲得)，否則必須重新參加考試才可保持CISSP資格每年需支付85美元的CISSP維持費,51,CISSP認證考試內容,CISSP認證涵蓋的範圍包括存取控制系統與方法應用程式與系統開發業務營運持續規畫密碼學資訊法律、電腦犯罪調查與電腦倫理作業安全實體安全安全組織與架構資訊安全管理實作通訊與網路安全,考試題目為250題單選題，均為英文試題，所有考題必須在6小時之內作答完畢,52,國際電腦稽核師 CISA,1978年由國際電腦稽核協會(ISACA)發起的國際電腦稽核師(CISA)認證已經成爲持證人在資訊系統稽核、控制與安全等專業領域中取得成績的象徵首次CISA考試係於1981年舉行，應考人數為659人，其中有417人通過考試目前世界各地已有150個地方舉辦CISA考試，並有18,000個專業人員通過檢定考試在台灣，中華民國電腦稽核協會已是ISACA台灣分會，因此可在台灣舉辦考試。若考試人數超過100人，可選擇中文試題應試,53,CISA認證資格,遵守國際資訊系統稽核與控制協會的職業道德規範提供從事資訊系統稽核、控制與安全之工作5年以上之證明準學士或學士學位可抵算為一至二年之資訊系統稽核、控制或安全有關之工作經驗擔任二年專任大學相關科系(如電腦科學、會計、資訊系統稽核)之講師經驗，可抵算為一年之資訊系統稽核、控制或安全有關之經驗。,54,CISA認證資格(cont.),所有的工作經驗必須在考試日前10年內獲得申請人在通過考試後5年內必須取得上述經驗所有的工作經驗必須由僱主確認,55,CISA考試內容,資訊系統稽核標準及資訊系統安全與控制(8%)資訊系統組織及管理(15%)資訊系統處理過程(22%)資訊系統完整性、機密性、可用性(29%)資訊系統發展、取得及維護(26%),56,CISA證照維護,每年完成至少20個小時之教育學分每3年完成至少120個小時之教育學分每年支付CISA維持費(US$50)遵守ISACA職業道德標準,57,BS7799 Lead Auditor,負責稽核的人員最基本的就是需取得BS7799 Lead Auditor主導稽核員之證照五天40小時，最後一天下午考試，費用約5-6萬元課程內容：BS7799：2002資訊安全管理系統BS7799系統稽核技巧 管理和主導BS7799稽核小組現場稽核技巧 如何建立一個完整的資訊安全管理系統 資訊安全風險管理等,58,BS7799 Lead Auditor考試,4種題型：選擇題、簡答題、詳答題與情境題情境題如：描繪辦公室內員工的種種行為，讓應試者去判斷哪些行為違反了資安規定等採取Open Book，不過若是對課本內容不夠熟悉，可能就無法在時間內完成所有考題,59,英國BSi BS7799/ISO主導稽核員證照,60,結論,資訊安全說起來重要!做起來次要!忙起來不要!由全球推動ISMS的過程經驗中，最基礎且最重要的便是人員的資安觀念與管理知識資通安全技術+管理+稽核應達到“均衡”管理“七分管理，二分技術，一分稽核”,