《资讯安全稽核.ppt》由会员分享,可在线阅读,更多相关《资讯安全稽核.ppt(60页珍藏版)》请在三一文库上搜索。
1、1,資訊安全稽核,賴溪松教授 國立成功大學計算機與網路中心主任 國立成功大學電機系及電腦與通訊研究所教授 TEL:(06)2757575 ext 61020 E-mail:laihcseembox.ncku.edu.tw http:/www.icsc.ncku.edu.tw/ FAX:(06)274-3533,2,大綱,何謂資訊安全 資訊安全管理系統(ISMS)之重要 資訊系統稽核歷史 資訊安全系統的實施 資訊安全稽核證照 結論,3,何謂資訊安全,“資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價值,因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅,確保持續營運,將營運損失降到
2、最低,得到最豐厚的投資報酬率和商機。” BS 7799資訊安全管理系統(Information Security Management System)標準定義,4,資訊安全三要素,Confidentiality 機密性 保護資訊不被非法存取或揭露 Integrity完整性 確保資訊在任何階段沒有不適當的修改或損毀 Availability 可用性 經授權的使用者能適時的存取所需資訊,5,資訊安全的漏洞?,最傷腦筋的,已經不是技術性的問題 一旦有一個使用者違反規定導致了資訊安全的漏洞,資訊安全人員所有的辛苦都是枉然 防毒軟體?應該有吧,要更新什麼修補程式?你們資訊單位老是弄一些怪怪的名詞,我們u
3、ser那知道那麼多 我上個星期才買的最新款筆記型電腦,又可以無線上網,又可以接隨身碟,我就把舊電腦的網路線拔下來,插在新電腦上,好不容易可以接上公司網路,6,資訊安全管理系統(ISMS)的重要,根據FBI調查統計2001年的受訪者,有70%的比例危內部安全意識缺乏即不當使用所致 英國官方統計報告2002年資訊安全入侵調查指出,在規模較小的公司裡,最重大的系統入侵案件有32%是內賊所為;在大企業,因內部員工所造成重大系統入侵案件更達到48% 2002年9月偽卡集團涉嫌勾結財政部所屬的財金資訊公司工程師,盜取客戶信用卡內外碼資料高達一百萬筆以上及金融卡資料 2002.9.21消基會批評財金公司無法
4、掌控行政人員使用資料、管理資料的動作,消費者權益嚴重受損,7,ISMS的重要 (cont.),2004年5月刑事局員警、中華電信、民營電信員工涉嫌將個人資料外洩販賣 2004年12月台北市一家電腦資訊公司涉嫌利用職務之便,將四千多萬筆的客戶電話住址另外留存,轉售從中謀取兩百多萬元的暴利 造成資訊安全事件的原因僅約25%是技術方案的解決,重要的是人性管理面上出現漏洞,8,資訊系統稽核歷史,資訊系統稽核在早期是傳統會計審計業務的一部分 主要關注於被稽核單位的電子資料取得、分析與計算等資料處理業務 對交易金額、帳戶、報表餘額進行檢查 對客戶的電子化會計資料進行分析處理,9,資訊系統稽核歷史 (con
5、t.),隨著電腦技術應用範圍的擴展,資訊稽核所關注的內容也開始延伸到對電腦系統的可靠性、安全性進行了解和評估 資訊稽核的業務範圍已經涵蓋審計業務的全部過程 如今的資訊系統稽核的業務已經超出了爲財務報表審計提供服務的範圍 很多大型會計公司內部,資訊系統稽核部門已經成爲一個獨立的對外提供多種服務的部門,10,資訊系統稽核歷史 (cont.),國際會計公司、諮詢公司和專業服務提供廠商都將控制風險作爲管理諮詢和服務的重點 尤其電腦環境風險和資訊系統運行風險 大型跨國公司 ,常常高薪聘請資訊系統審計師進行內部審計,11,資訊安全的實施美國模式,12,資訊安全的實施加拿大模式,13,PDCA model
6、in BS 7799,14,資訊安全的實施,無論美國或加拿大模式,大致上都包含了五階段 風險評估(或風險管理分析) 制定防範政策 依政策進行系統維護與補強 人員教育訓練 稽核,風險評估,稽核,防範政策,教育訓練,系統維護,資通安全,15,資訊安全的實施-風險評估,資通安全開始必須先進行風險評估與分析 利用風險評估方式來確定機關內的資產,評估這些資產的價值與可能潛在的弱點與威脅 資通安全評估內容 事先了解資產的價值 掌握風險的所在 降低風險的影響,16,事先了解資產的價值,資產價值 一個金錢量化的數字 風險指數 針對特定資產可能產生之破壞性影響 發生機率的預估 代表預期可能發生的機會,17,風險
7、意識,Accept Mitigate Avoid Transfer,18,資訊安全的實施-風險評估,處理方式 漠視風險 漠視資訊危機的存在,遭受的風險損失將無法估計 降低風險 找出風險,使用適當的解決方法,降低可能的損失 接受風險 在可接受的範圍內,承擔風險所帶來的損失 風險轉嫁 將風險所帶來的損失轉移給第三者,19,風險評估表格(矩陣表),20,資產濫用,資料來源:中華民國電腦稽核協會,21,資產鑑別調查表,22,最大可能風險彙整表,23,風險評估與管理主要因素,24,資訊安全成本,虛擬成本=發生事故損失成本(L0)*發生機率(P0) 實際成本=改善資通安全所花費之成本 改善前資通安全成本(
8、B)= L0*P0 改善後資通安全成本(A)= L *P1 P1(改善後發生機率) 有效改善 B A,25,資訊安全成本(cont.),現存成本(A) = 資產價值(W) X 資安事件可能發生的機率(P0) -) 虛擬成本(B) = 資產價值(W) X 改善後的機率(P1) + 資安產品成本(Co) - (A) - (B) = (W) x (P0-P1) - (Co),26,資訊安全的實施-防範政策,評估完成後,便是政策與程序的制定 防範政策的訂定與改善程序將直接影響資通安全成本 政策制定後,並非一成不變,必須由風險改善程度而調整政策之內容,27,資訊安全的實施-防範政策,防範政策至少須具有以
9、下內容: 資訊使用政策 網路管理政策 系統維護政策 帳號密碼管理原則 備份計劃 緊急應變計劃 災難復原計畫,28,資訊安全的實施-防範政策,政策施行的先後順序 政策訂定與施行前,應先確認風險評估的完成,依照風險嚴重程度進行政策的實施 在許多情況下,因各部門的風險價值不同而有不同的優先順序,因此公司內部可能會有許多政策的制定會同時進行 當風險已降低至可接受的安全程度內,則可召集相關人員共同討論,進行下一政策實施,29,應變計劃 - xxx單位,30,資訊安全的實施-系統維護,系統維護內容應包含 危機通報系統 緊急應變通訊系統 網路安全防範 防火牆 虛擬私人網路(VPN)等機制 入侵偵測系統(ID
10、S),人員身分管理系統 加密 金鑰管理 演算法 實體安全 火災,高溫,斷電等事故的保護,31,資訊安全的實施-教育訓練,員工 使其能對機關產生認知意識,並能保護機關內部機密資訊 系統維護者 提昇其資通安全之基本技能,了解最新的駭客技術、安全威脅、安全修補等資訊 管理階層 在教育訓練過程中了解各部門在資通安全中所扮演的角色 實施資通安全的基礎課程,以能確切制定防範政策,32,資訊安全的實施-稽核,稽核的內容應包含 員工對於安全政策的認知與遵守 系統維護與操作程序 教育訓練實施成果 網路安全防護裝置的能力 定期稽核的程序,33,安全技術與電腦稽核,電腦稽核: 事先稽核: 實際資料稽核,確保內部資料
11、的正確性。 事後稽核: 歷史資料的稽核,發覺或追查可疑的事件及人員。 目標: 確保所有運作均按既定安全政策執行。 確保所有存取資料皆獲得授權。 確保所有資料均經適當處理及其正確性。,34,電腦稽核,目標:(以會計為例) 所有交易運作皆按既定政策執行 所有交易皆經授權 所有交易皆經適當處理,以確保財務報表的正確性 發展及使用審計軌跡 確保稽核証據不被遺漏、更改及破壞 利用稽核工具直接進入系統中查核 稽核控制 註:資訊系統管理與資訊系統稽核是完全獨立的個體,35,電腦稽核(cont.),假設: 稽核程式軟體必須與系統程式獨立且無法被入侵(最好在系統開發時即加入)。 稽核人員必須可被信任且被有效授權
12、與認證,36,資訊安全的實施-稽核,國際與國內資訊安全標準與法令,37,BS 7799(CNS17799/17800),為目前國際上最知名的安全規範,而且已被ISO (International Organization for Standardization) 接納成為國際標準 台灣的國家標準CNS 17799、CNS 17800,就是參考BS7799的Part 1和Part2並加以中文化 主要以ISMS風險評估管理架構進行安全管理,涵蓋所有的安全議題,是一套相當複雜的資訊安全應用與稽核的標準,38,BS 7799歷史,起源於90年代初期世界經濟合作開發組織(OECD)草擬的資訊系統安全指導
13、方針 1993年由英國DTI(英國貿易及產業局)公佈PD0005資訊安全管理實施要則,即為BS 7799 part 1前身 1998年由BSi公佈BS 7799 part 2 1999年修訂驗證需求 Part 1在2000年正式公告成為ISO 17799 Part 2在2002年進行修訂為BS 7799-2:2002,39,BS 7799 part 1與part 2,BS 7799 part 1為資訊安全管理作業要點 主要是作為參考文件,提供廣泛性的安全控制措施,作為現行資訊安全之最佳作業方法 不作為評鑑與驗證標準 BS 7799 part 2:2002為資訊安全管理系統要求 提供資訊安全管理
14、系統(ISMS)之建立實施與書面化之具體要求,依據個別組織的需求,規定要實施之安全控制措施的要求 不是技術標準,而是管理標準,40,CNS17799/17800 (BS 7799/ ISO 17799 ) 十項分析領域,資料來源:XiSEC Consultants,包含36個管理目標、127個控制方法,41,導入BS 7799之優點,提升內部資訊安全的保護等級 對安全政策的要求與承諾 加強員工對企業內資訊安全的認同與參與感 客戶滿意度的提升與安全保證,提高企業競爭優勢 是否要導入BS 7799? 重要的是企業導入資訊安全管理系統的目的是什麼? 目的不在拿證書,在於參考已有的國際標準,逐步建立適
15、合企業需求的資安體系,透過不斷的訓練與推動,讓安全的觀念灌輸至每位員工中,42,BS 7799 台灣目前發展現況,2001年,台灣僅只有3家民間企業通過驗 2002年,台灣共有7家民間企業通過驗證 同年也正式公佈CNS-17799資訊技術-資訊安全管理之作業要點及CNS-17800資訊技術-資訊安全管理系統規範 截至2004年9月20日止,全球有878家公司取得BS7799-2證照,其中台灣已有25家取得。 在行政院國家資通安全會報積極推動資訊安全,要求A級單位需在2004年底率先通過BS7799認證。 預估在未來三年之間將有數百家的公私立機構通過認證。,43,BS 7799台灣目前發展現況(
16、cont.),目前全球共有十四家驗證機構可以執行ISMS驗證,在台灣有開設分支機構的只有五家 目前發出過BS7799驗證的只有兩家(英國BSi和挪威DNV) 國內中央標準檢驗局從2003年開始開放CNS17800的申請稽核驗證,目前有20位的稽核員,在學、經歷等資格皆符合國際要求,但在實際的經驗仍顯不足。 2004年A級等政府單位導入、申請認證後,市場需求量大增,將再培訓人才,44,COBIT Control Objectives for Information and related Technology,COBIT是國際電腦稽核協會(ISACA)完成之一套實用的資訊系統稽核與控制標準用以提
17、供CISA(Certified Information Security Auditor)與CISM (Certified Information Security Manager)人員執行業務時之參考,COBIT目前最新的版本為第三版。,45,COBIT (cont.),主題為企業導向,不僅設計為使用者及稽核所用,更可供管理及業務營運主管使用的準則。 COBIT之資訊技術控管架構分為4個階段的生命週期模式:規劃與組織、取得與建置、交付與支援、監控,與BS7799的PDCA在架構上有相似之處。 依其作業程序可再細分為34項高層控管目標與。 318項細部控管目標的資訊技術程序稽核準則,供業務營運
18、主管與稽核人員參考。 BS 7799涵蓋10個管理要項、36個管理目標、127個控制方法,46,資訊及相關技術的管理、控制與稽核(COBIT)架構,資料來源:中華民國電腦稽核協會,47,使用對象,管理階層:用以協助其在資訊技術的環境中如何平衡風險及控管投資。 使用者:用以協助其獲得經由內部或外部的稽核,對資訊技術服務控管的保證。 稽核人員:用以支持其對資訊安全及控管之意見與建議,48,資訊安全稽核證照,CISSP CISA BS 7799 Lead Auditor,49,國際資訊安全管理師 CISSP,CISSP (Certification for Information Systems S
19、ecurity Professional)由國際資訊系統安全認證協會(ISC)2所頒發,是國際公認最具權威性的資訊安全專業人員證照 (ISC)2 (www.isc2.org)成立於1989年,主要目標在於從事認證考試的培訓與管理。 1992年(ISC)2開始進行的CISSP認證,被認為是最佳投資報酬率的專業證照。,50,CISSP認證資格,必須遵守(ISC)2的道德規範(Code of Ethics) 必須有 4年在資訊安全領域全職的工作經驗 或3年工作經驗外加學士學位 工作經驗定義為在CBK(Common Body of Knowledge)的10個專業領域中的一個或多個領域從事有薪資收入的
20、工作 獲得證照後,在3年內必須累積120個CPE(Continuing Professional Education,進修點數,可通過從相關工作或研究獲得) ,否則必須重新參加考試才可保持CISSP資格 每年需支付85美元的CISSP維持費,51,CISSP認證考試內容,CISSP認證涵蓋的範圍包括 存取控制系統與方法 應用程式與系統開發 業務營運持續規畫 密碼學 資訊法律、電腦犯罪調查與電腦倫理 作業安全 實體安全 安全組織與架構 資訊安全管理實作 通訊與網路安全,考試題目為250題單選題,均為英文試題,所有考題必須在6小時之內作答完畢,52,國際電腦稽核師 CISA,1978年由國際電腦稽
21、核協會(ISACA)發起的國際電腦稽核師(CISA)認證已經成爲持證人在資訊系統稽核、控制與安全等專業領域中取得成績的象徵 首次CISA考試係於1981年舉行,應考人數為659人,其中有417人通過考試 目前世界各地已有150個地方舉辦CISA考試,並有18,000個專業人員通過檢定考試 在台灣,中華民國電腦稽核協會已是ISACA台灣分會,因此可在台灣舉辦考試。若考試人數超過100人,可選擇中文試題應試,53,CISA認證資格,遵守國際資訊系統稽核與控制協會的職業道德規範 提供從事資訊系統稽核、控制與安全之工作5年以上之證明 準學士或學士學位可抵算為一至二年之資訊系統稽核、控制或安全有關之工作
22、經驗 擔任二年專任大學相關科系(如電腦科學、會計、資訊系統稽核)之講師經驗,可抵算為一年之資訊系統稽核、控制或安全有關之經驗。,54,CISA認證資格(cont.),所有的工作經驗必須在考試日前10年內獲得 申請人在通過考試後5年內必須取得上述經驗 所有的工作經驗必須由僱主確認,55,CISA考試內容,資訊系統稽核標準及資訊系統安全與控制(8%) 資訊系統組織及管理(15%) 資訊系統處理過程(22%) 資訊系統完整性、機密性、可用性(29%) 資訊系統發展、取得及維護(26%),56,CISA證照維護,每年完成至少20個小時之教育學分 每3年完成至少120個小時之教育學分 每年支付CISA維
23、持費(US$50) 遵守ISACA職業道德標準,57,BS7799 Lead Auditor,負責稽核的人員最基本的就是需取得BS7799 Lead Auditor主導稽核員之證照 五天40小時,最後一天下午考試,費用約5-6萬元 課程內容: BS7799:2002資訊安全管理系統 BS7799系統稽核技巧 管理和主導BS7799稽核小組 現場稽核技巧 如何建立一個完整的資訊安全管理系統 資訊安全風險管理等,58,BS7799 Lead Auditor考試,4種題型:選擇題、簡答題、詳答題與情境題 情境題如:描繪辦公室內員工的種種行為,讓應試者去判斷哪些行為違反了資安規定等 採取Open Book,不過若是對課本內容不夠熟悉,可能就無法在時間內完成所有考題,59,英國BSi BS7799/ISO 主導稽核員證照,60,結論,資訊安全 說起來重要! 做起來次要! 忙起來不要! 由全球推動ISMS的過程經驗中,最基礎且最重要的便是人員的資安觀念與管理知識 資通安全技術+管理+稽核 應達到“均衡”管理 “七分管理,二分技術,一分稽核”,