ISO 27001 ISO27001 SDLC 產品開發 系統開發 軟體開發 PDCA

產品與專案SDLC導入ISO 27001之概念與方法 (下)

Charles 2022/09/12 16:01:14
404

    資訊安全管理系統(ISMS)的目標是透過PDCA循環,不斷的檢視與改進資訊安全系統,將風險降至可接受的範圍,以保護資訊的機密性、完整性與可用性,ISO27001就是採用PDCA流程建構一套 ISMS的準則。

▲ PDCA品質管理循環示意圖

計畫Plan:建立所有與組織相關的資訊風險管理全景,透過風險評鑑評估可承受風險,及風險處理計畫,配合相關政策及控制措施,達成管理、改進資訊安全的目標。

執行Do:實際執行風險處理計畫,落實相關政策及控制措施。

查核Check:持續監測控制與觀測風險,依據執行狀況檢核與預期目標的差異。

行動Act:維持並持續改進資安風險的管理流程,修正不足之處以縮減成果與目標的差異,逐步完善資訊安全。

 

    為定義風險等級,必須先擬定明確的準則與方法,透過定性法的量度尺標評等低中高,或定量法的數值法則推論結果,並預估發生的機率來進行風險分析。而風險評估是風險分析的後續動作,針對風險分析的結果與內涵,決定處理的優先順序,及採取的預防措施。如下表例:

等級

機密性

完整性

可用性

1

公開

公開

每年一週無法使用

2

限制

限制修改

每年三天無法使用

3

機密

不能修改

每年一天無法使用

 

可能性

低影響

中影響

高影響

中等

嚴重

 

風險影響

定義範例

嚴重

立即會洩漏機敏資料,或暴露的漏洞嚴重影響運作。攻擊者可讀取或修改系統資料,執行管理員等級權限,影響大部分用戶。

立即受到的威脅有洩漏大規模資料的可能,攻擊者可讀取或修改系統部份資料影響大量用戶。

漏洞不易被利用或僅有小部分可能被利用,但仍有大規模洩漏資料的可能。攻擊者可讀取或修改有限的資料,僅影響小部份用戶。

漏洞難以被利用,或影響性極低,不會外洩資料。攻擊者無法讀取或修改資料,但仍可能在效能或穩定性方面造成影響,對用戶影響有限。

 

範圍

要求

內部

保護稽核日誌

防止資料遺失

監控系統流量

使用權限管控

外部

遵守外部義務

外部連結(例如API)的身分驗證及授權機制

內容過濾與代理

 

範例

安全原則

01

保護連接字串 (Connection String)

02

機敏資料須以加密 (Encryption)、遮罩 (Masking) 或雜湊 (Hashing) 等方式處理。

03

動態資料遮罩 (Data Masking),譬如信用卡號。

04

單一資料存取介面 (One Facade Interface)

05

區分使用者權限級別 (Privilege)

06

備份檔加密 (BAK)

07

儲存至第三方之資料一律加密 (Always Encrypted)

08

資料倉庫 (Data Warehousing),將多個資料庫「聯合」成一個大資料庫,資訊檢索和資料分析只查詢一個實體 (Entity)

09

資料採擷 (Data Mining)對資料倉庫中的資料,進行進一步處理得到更有用資訊,並生成中繼資料 (Metadata)

10

多資料庫集群 (Database Clustering),如果是單一資料庫負載問題可考慮使用 Transaction,連線交易處理 (Online Transaction Processing, OLTP) 用於多資料庫集群,以提供容錯和高性能的情況,可做負載均衡。

 

攻擊行為

監測動作

防禦方式

未經授權存取的程式碼或資源

l   作業系統是否有特別異常狀態

l   防毒軟體是否有出現危險警告

l   定時或自動檢視存取活動紀錄是否有不明行為

l   限制存取權限

l   因應職務、人員異動等即時調整權限

l   使用適當(自動化)工具協助管理開發及測試的活動

刪除或加密檔案

洩漏不可公開的機敏資料

暴力破解軟體或系統的漏洞

l   已知漏洞的歷史記錄

l   異常的行為頻率

l   關閉不必要的功能或元素

l   限制異常行為次數

l   增加即時告警機制

癱瘓網路活動或系統

l   異常的行為頻率

l   異常的主機資源

l   異常的網路流量

l   有經驗的資安人員

l   限制異常行為次數

l   增加即時告警機制

 

    對於軟體及系統開發流程的稽核範圍,要明確定義稽核的重點、程度及界線,例如某組織單位的什麼具體目標/位置。而稽核標準是可被認定、可被接受的某種依據,或適用的安全政策與程序,或某項政令法規,或某種管理系統/合約的要求,又或是特定產業的準則,例如資通安全管理法。


▲ 稽核標準與稽核範圍象限圖

 

    並且稽核流程應有明確的頻率,確保持續的、重複的改善循環,以明確、合理、嚴謹的方法,落實ISMS相關要求,確保稽核結果與報告的客觀、公正。妥善保存文件化資訊,作為整個稽核流程到結果的證據,也可檢視相較於先前的稽核,ISMS是否處於上升的趨勢。


▲ PDCA應用示意圖 (修改自網路圖)

 

事項

內部稽核

外部稽核

規費

 

V

公正第三方

 

V

稽核員資格

 

V

認證資格

 

V

認證週期

每年至少1

3年認證1次,認證後每年追蹤審查1次。

有效性

V

V

稽核週期

每年至少1次,視需求增加場次。

每年至少1次,視需求增加場次。

稽核內容

內部審查、審核監督

認證審核、再次認證審核

程式品質

每日排程監控檢測、釋出版本前使用軟體工具掃掃描程式

透過專業第三方取得OWASP等認證

 

    若以風險為導向的稽核方式,稽核人員可採用辨認、衡量、監視與控制風險曝露之技術與程序,盡所能的掌握組織的風險狀況,並依風險等級之高低順序實施差異化監督與稽核規劃,即對高風險項目投入高資源、低風險項目投入低資源,妥善利用分配其監督及稽核資源,以健全組織經營管理。

    在軟體系統開發流程或維護尚未發生不符合事項之前,即對潛在風險主動性管制,例如宣達版本控制規定、進出機房管制等等,做為降低風險的預防措施。當發現不符合事項則必須立即改善,以降低或排除風險,例如核對版本進行同步、機房門沒關馬上關上,以最短時間矯正缺失避免後續可能問題。而後續分析不符合事項的根本原因,從基本面矯正管控措施進行改善,才能避免再次發生。例如從強化測試流程督促版本控管、進出機房除了簽名可加裝門禁電子設備。

    唯有不斷的提升SDLC流程的品質及安全性,讓各環節步上軌道、井然有序,面對意外狀況也更能從容不迫,快速應變、解決危機,對內企業營運能更有效益的投入有限的資源,避免無謂的成本浪費,對外也能提升企業形象、獲得客戶信任、增加市場機會。

 

  參考資料:

(1) ISO27001:2013

(2) 從零開始學資安 — 什麼是資訊安全?

(3) 從根本認識 ISO 27001,各行各業都適用的資安架構介紹

(4) 資訊系統安全與 CISSP 的簡單應用

(5) 資安x系統x絕對領域

(6) 安全軟體開發生命週期(SSDLC)學習筆記

(7) 資訊安全制度建立與驗證

(8) 大數據公司ISO27001導入分享

(9) 網路新聞

 

Charles