ISO 27001 ISO27001 SDLC 產品開發 系統開發 軟體開發

產品與專案SDLC導入ISO 27001之概念與方法 (上)

Charles 2022/09/12 15:55:35
583

    2021年網路釣魚攻擊的數量已幾乎是2020年的兩倍,其中有62%是垃圾郵件,其餘則是登入憑證網路釣魚郵件。疫情期間,政府機關、銀行及醫療產業遭受勒索病毒的嚴重襲擊。故自2021年開始,政府對於國內各產業領域的民間企業與單位組織,從上市櫃公司與金融業開始要求資安強化,促使一定營運規模的企業,必須開始推動資安,現今不肖駭客的病毒攻擊手法,越來越多以勒索為目的,不管是個人或是企業時有耳聞,目標也從以量取勝逐漸轉向關鍵產業,透過客制化的攻擊手法,以謀取更大的利益。

    台灣自從201911日正式施行《資通安全管理法》(簡稱資安法)後,於2021年第一季,將《資安法》的修正草案送交立法院審查,完成三讀程序。根據《資安法》規定,不論是 A 級、B 級和 C 級的公務或是特定非公務機關,都必須要在 2 年內取得臺版 CNS 27001 或是 ISO 27001 的資安認證。資安法遵議題在2022年成為國內各產業不得不面對的議題,ISO 27001 是目前國際上使用最廣泛,且最完整的檢驗資訊安全管理系統(Information Security Management System, ISMS) 標準,對於各機關產業有最直接的幫助。

IThome-2022要求台灣企業做好資安的七大法規
IThome-2022要求台灣企業做好資安的七大法規

 

    昕力資訊身為國內軟體系統開發領導品牌,對資訊安全的要求自然是高標準,透過導入符合國際ISMS認證標準的ISO27001,希望不斷提升產品和專案的開發流程,稽核精神不只是找出問題,更要「持續改善」。在軟體及系統的開發過程,從專案啟動到完成上線就像是下圖的軟體及系統開發生命週期SDLC(Software/ System Development Life Cycle),更進一步加入安全性概念,可稱之為SSDLC(Secure Software/ System Development Life Cycle)


SDLC軟體系統發展生命週期

 

    對照ISO27001的內容列舉如下表,相關流程應盡可能的文件化以留下紀錄,作為審核及稽核的依據。

 

SDLC

安全議題

ISO27001

條文列舉

控制項列舉

1

專案規劃

瞭解並分析安全性需求

4.2了解利害關係者的需求與期望

4.3決定資訊安全管理系統的適用範圍

7.5文件化資訊

A.6.1.5 專案管理的資訊安全

A.12.1.1 文件化作業程序

2

需求分析

審查安全需求,分析可能的風險威脅如何控制。

6.1.1 一般要求

6.1.2 資訊安全風險評鑑

7.5文件化資訊

A.14.1.1 資訊安全要求分析與規格

A.12.1.1 文件化作業程序

3

系統設計

設計適合的安全機制,並審查其安全性。

6.2資訊安全目標與達成之規劃

8.1運作的規劃與管控

7.5文件化資訊

A.12.1.4 開發、測試及作業環境的分隔

A.14.1.3 保護應用系統服務之交易

A.12.1.1 文件化作業程序

4

開發整合

程式安全教育訓練與規範,進行程式碼安全審查。

7.2人員能力

7.3認知

7.5文件化資訊

A.14.2.1安全開發政策

A.14.2.6 安全開發環境

A.12.1.1 文件化作業程序

5

品質測試

靜態分析與動態分析,檢測程式碼確保安全性。

9.1監督、量測、分析與評估

9.2內部稽核

10.1不符合事項與矯正措施

7.5文件化資訊

A.14.2.8系統安全測試

A.14.3.1測試資料的保護

A.12.1.1 文件化作業程序

6

佈署上線

弱點掃描及滲透測試,為軟體設計開發品質把關。

8.1運作的規劃與管控

9.1監督、量測、分析與評估

10.1不符合事項與矯正措施

7.5文件化資訊

A.14.2.9系統驗收測試

A.12.1.1 文件化作業程序

 

   

    所有開發成員應具備基本安全知識,針對特定專業的團隊成員則需有威脅、工具、技術相關知識,並定期審查軟體開發相關的安全要求,及時阻止不完整、有風險的軟體版本進入下一階段。因應不同的職務有不同的專業要求,定時安排適當的教育訓練,以符合工作上需達到的標準。譬如,ISO課程所有人員皆適合參與,但行政人員不適合程式開發課程。

    透過達到ISO27001的要求,提升軟體及系統開發的安全性,是符合國際標準的方法。在資訊安全管理系統ISMS中,首先要建立CIA的概念,機密性(Confidentiality)、完整性(Integrity)、可用性(Availability),讓所有成員清楚其定義。


CIA Triad (Hannah Lin)

 


CIA 原則 (Hannah Lin)

 

機密性Confidentiality

確保只有經過授權的人員及程序才可取用資訊。

一張含有 文字, 美工圖案 的圖片自動產生的描述  把公司專案開發的程式碼放到我的部落格和論壇衝人氣。

 下載程式碼到我公司的專案就可以用了耶!

違反機密性!

管控機制 遵守版本控管,程式加入授權聲明及驗證。

授權身份 程式碼只有相關人員可從版控取用,取用後辨識使用者。

使用時機 開發或有維護需求時,相關人員才能進版控。

 

完整性Integrity

確保資訊的完全性與準確性。

一張含有 美工圖案 的圖片自動產生的描述  這系統開啟後我的電腦就會越來越慢!

一張含有 文字, 美工圖案 的圖片自動產生的描述 糟糕!忘記把測試的程式拿掉還有無窮迴圈趕快拿掉就不會被發現是我的疏失。

違反完整性!

管控機制 遵守版本控管,程式落實品質檢測流程,比對Production環境版本。

授權身份 程式碼只有相關人員可從版控取用,每次新增/修改/刪除均有紀錄。

使用時機 開發或有維護需求時,相關人員留下版控紀錄並要求備註說明。

 

可用性Availability

確保在需要時可以存取經授權的資訊或服務。

一張含有 美工圖案 的圖片自動產生的描述 我今天無法登入系統沒辦法做事情!

一張含有 文字, 美工圖案 的圖片自動產生的描述 抱歉!驗證機制目前異常,已在處理中

一張含有 文字, 美工圖案 的圖片自動產生的描述 原來是有惡意攻擊在嘗試登入!

違反可用性!

管控機制 程式落實品質檢測流程,系統除了人工監控增加告警條件。

授權身份 程式碼只有相關人員可從版控取用,使用者端驗證帳號有效性。

使用時機 系統異常時主動告警相關人員並開啟版控授權,處理人員留下版控紀錄並備註說明。

 

以上舉例又衍生另外三個安全性要件,不可否認性(Non-repudiation)、鑑別性 (Authentication)Access Control (Authority)存取權限控制。


CIA 其他三個安全性要素 (Hannah Lin)

 

不可否認性Non-repudiation

不論是資料傳送方或接收方,都無法否認發生過的行為。

一張含有 美工圖案 的圖片自動產生的描述 為什麼我的聯絡電話是錯的?

一張含有 文字, 美工圖案 的圖片自動產生的描述 根據紀錄最後一次是您前天早上九點二十六分修改。

一張含有 美工圖案 的圖片自動產生的描述 那我可能自己不小心輸入錯誤

 

鑑別性 Authentication

資訊的使用者都能辨識身份。

一張含有 美工圖案 的圖片自動產生的描述 客戶Sara反應最近一直接到同位業務的推銷電話,請他不要再打還一直打。

一張含有 文字, 美工圖案 的圖片自動產生的描述 根據紀錄最近Nick一直查看此客戶的資料。

 

存取權限控制 Access Control (Authority)

使用者只能依照權限取得及使用資訊或服務。

一張含有 美工圖案 的圖片自動產生的描述 為什麼我不能查到Hanson的個人資料和訂購紀錄。

一張含有 文字, 美工圖案 的圖片自動產生的描述 因為Hanson的服務業務是Olivia哦!

 

軟體系統安全防護的三個面向 (AAA),認證 (Authentication)、授權 (Authorization)、紀錄 (Accounting),透過識別機制認證身份、管理身份,並授權認證的用戶方可使用的功能及可存取的資料,同時所有行為動作留下紀錄,以達到要求的安全等級。

 

(下) 篇將繼續以PDCA的角度來進行說明。

 

  參考資料:

(1) ISO27001:2013

(2) 從零開始學資安 — 什麼是資訊安全?

(3) 從根本認識 ISO 27001,各行各業都適用的資安架構介紹

(4) 資訊系統安全與 CISSP 的簡單應用

(5) 資安x系統x絕對領域

(6) 安全軟體開發生命週期(SSDLC)學習筆記

(7) 資訊安全制度建立與驗證

(8) 大數據公司ISO27001導入分享

(9) 網路新聞

 

 

 

 

Charles