1 資訊系統風險評鑑介紹 國家資通安全會報 技術服務中心 2010/09
1
資訊系統風險評鑑介紹
國家資通安全會報技術服務中心
2010/09
2
大綱
ü 目的
ü 風險管理架構
ü 風險評鑑作法
− 高階風險評鑑作法
− 詳細風險評鑑作法
ü 風險評鑑管理程序
ü 結論
3
目的ü 「行政院及所屬各機關資訊安全管理要點」第二章「通則」第三點說明
− 「各機關應依有關法令,考量施政目標,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保各機關資訊蒐集、處理、傳送、儲存及流通之安全」之內容
ü 發展「資訊系統風險評鑑參考指引」,協助政府機關內部資訊安全管理人員瞭解風險評鑑技術,用以評鑑機關內資訊系統的風險,以利於採取適當的安全防護控制措施,降低機關資安風險
− 參考 ISO/IEC 27005,提供高階、詳細兩種風險評鑑作法− 結合「資訊系統分類分級與鑑別機制」參考手冊
− 整合「安全控制措施參考指引」,進行風險處理
− 本指引係屬「建議性質」,政府機關得參考本指引,針對資訊系統與所屬資產進行風險評鑑,但不以此為限,以符合資安管理要點之要求
風險管理架構
5
名詞定義
ü 風險-當「威脅(Threat)」利用其相對應「脆弱性(Vulnerability)」直接或間接造成組織或政府機關一個或一群「資訊資產(Asset)」受到漏失或損害的「可能性」
ü 資產-乃是對組織有價值的任何事物,組織的「資訊資
產」有許多型式
ü 脆弱性-意指資訊資產先天具備的特質,但卻可能會被
威脅所利用而造成資訊系統或機關營運的衝擊傷害
ü 威脅-乃利用資訊資產既有存在的脆弱性,以便成功地
造成資訊資產的傷害或者損失
ü 衝擊(Impact)-乃是天然因素或者人為因素中「故意」或「意外」所導致「非預期」的資安事故結果
6
風險管理關係圖
風險
脆弱性威脅
防護措施普、中、高
資產
價值防護需求普、中、高
利用
暴露
有
降低
防止
被滿足指示
增加增加
增加
風險
脆弱性威脅
防護措施普、中、高
資產
價值防護需求普、中、高
利用
暴露
有
降低
防止
被滿足指示
增加增加
增加
7
資訊系統風險管理整體角度思考(美國政府機關 )
8
NIST 資訊系統風險管理架構
選擇控制措施選擇控制措施
資訊系統分類分級資訊系統分類分級
監控控制措施監控控制措施
執行控制措施執行控制措施
評鑑控制措施評鑑控制措施
授權資訊系統授權資訊系統
在新建資訊系統或原有的資訊系統上「執行/實作」所選擇之控制措施,進行
「安全設定」 根據「資訊系統安全等級」需求,評鑑「控制措施」實施的
「有效性」
在「可接受」的風險等級內選擇「足夠」控制措施,保護
資訊系統
依據「風險衝擊」損失,定義資訊系統安全「分類分級」
配合資訊系統的後續變化,「持續調整」控制措施,以確保資訊系統安全等級,落實安全保證
確認資訊系統與控制措施「安全保證」後,「授權」該資訊系
統上線運作
FIPS 200/SP800-53
FIPS 199/SP800-60
SP800-37/ SP800-53A
SP800-37
SP800-53A
SP800-70
週期起點1
2
34
5
6
資料來源:NIST SP800-39
9
ISO/IEC 27005資安風險管理
資料來源:ISO 27005
建立全景(C o n t e x t Es t a b lis h m e n t )
風險評鑑 (R is k A s s e s s m e n t )
風險分析 (R is k A n a ly s is )
風險識別(R is k Id e n t if ic a t io n )
風險預估(R is k Es t im a t io n )
風險評估(R is k Ev a lu t io n )
合意
風險處理(R is k T r e a t m e n t )
合意
風險接受(R is k A c c e p t a n c e )
風險溝通
風險監控與審查
是 (Ye s )
是 (Ye s )
否 (N o )
否 (N o )
決策點 (1 )風險評鑑是否「合意」?
決策點 (2 )風險處理是否「合意」?
10
ISMS與ISO/IEC 27005之資安風險管理程序對照表
7.維護與改進資安風險管理程序行動(維護與改進ISMS)4
6.持續監控與審查風險檢查(監控與審查ISMS)3
5.實施風險處理計畫執行(實作與操作ISMS)2
1.建立全景(考慮事項、基本準則、範疇、組織)
2.風險評鑑3.發展風險處理計畫4決定風險接受準則
規劃(建立ISMS)1
ISO/IEC 27005資安風險管理程序ISMS程序項次
風險評鑑作法
12
風險評鑑作法
ü 在 ISO/IEC 27005:2008內容中說明組織【自行】可以根據其風險評鑑目標來選擇其風險評鑑
作法
ü 同時在其【附錄 E】內容中舉例說明「高階風險評鑑作法」與「詳細風險評鑑」兩種作法。
ü 每種作法各有其特色、適用狀況與注意事項
13
ISO/IEC 27005風險評鑑作法
資料來源:ISO 27005
14
高階風險評鑑作法
ü 簡介:− 根據ISO/IEC 27005:2008【附錄 E】說明− 組織可能基於各種人力、預算與時間資源理由或限制− 首先針對其內部所有資訊系統與資訊資產,進行初步的「高階風險評鑑」,找出每個資訊系統在該組織的營運業務價值以及「高階衝擊影響」開始,例如:資訊系統分類分級鑑別機制
− 而【不用】以資產價值、威脅、脆弱性與後果等系統化的「詳細風險評鑑」開始ÿ 被識別為「重要」及/或【高風險/高衝擊影響】的資訊系統,組織可運用
「詳細風險評鑑作法」對其進行《下一個》風險評鑑循環ÿ 屬於「較不重要」或者【較低風險/較低衝擊影響】的資訊系統,組織則
可自行根據其安全要求與風險評鑑目標【自行選擇】適用的風險評鑑方法或者風險處理方式
ü 特色:− 迅速因應,把握時效
ÿ 該組織最關鍵且需受到保護的資訊系統將會被優先提出與實作− 資源預算,有效運用
ü 注意事項:− 如果初期的「高階風險評鑑」不精確,某些資訊系統可能被識別成不需要進行詳細風險評鑑。
15
詳細風險評鑑作法
ü 簡介:− 對機關(構)內所有資訊系統的資訊資產,逐一詳細清查風險− 包含深入的識別「資產」與其價值、「威脅」對資產的評鑑以及「脆弱性」的評鑑,據以分析風險所造成的「CIA衝擊」與其「可能性」。
ü 特色:− 能識別出【最完整適當】的防護控制措施。
− 詳細風險評鑑結果,可用於【安全變更】的異動管理參考。
ü 注意事項:− 如果所有資訊系統皆以詳細風險評鑑進行,將需要【大量】時間、人力、預算等資源投入,可能非一般政府機關所能負擔。
− 詳細風險評鑑結果,將產生【大量】風險評鑑資料,造成資料維護的負擔。
− 適用於「特定關鍵重要」的資訊系統。
16
詳細風險評鑑作法(續)ü 主要分成「風險分析(Risk Analysis)」及「風險評估(Risk
Evaluation)」兩項主要活動ü 風險分析
− 透過系統化的方式,找出資訊資產的風險,並用「半定性定量」方式,得出所有資訊資產風險的相對重要性
− 識別資訊資產、威脅發生的可能性、脆弱性被利用的難易度、現有控制措施及威脅與脆弱性結合發生事故對組織衝擊的後果,以瞭解資訊資產所處環境的資安狀況
− 識別後果的嚴重性予以分級並量化,藉由評鑑資訊資產的價值、評鑑後果對組織衝擊的嚴重性及評鑑事故發生的可能性來估算風險值
− 以資訊安全的「機密性」、「完整性」、「可用性」來鑑別資產的價值,即以事故發生時,在「機密性」、「完整性」、「可用性」造成的後果,對組織衝擊的嚴重性高低訂定資產價值
− 將威脅發生的可能性及資訊資產之脆弱性被利用的難易度與資產價值組合,計算出所有該資訊資產之風險值
17
詳細風險評鑑作法(續)ü 風險評估
− 主要是將「風險分析」的結果分等級,再依據「風險接受準則」,以決定需要管控的資訊資產
− 找出所有資訊資產的最大與最小風險值,以計算最大及最小風險值之區間,將之分為適當等級,例如:普、中、高三個等級
− 決定「可接受風險等級」,在比「可接受風險等級」值高的所有資訊資產即是需要進一步處理的清單,此資訊資產清單為「風險處理階段」的對象
18
風險評鑑管理程序
19
風險評鑑管理程序
20
建立全景
ü 識別機關內、外各方面的安全需求− 資訊安全政策
− 法令、法規、規章與合約
ü 規劃與定義「風險評估準則」、「衝擊準則」及「風險接受準則」等風險管理基本準則
ü 界定風險評鑑範圍,並清查盤點該範圍內所有相關的資訊系統
ü 若選用「詳細風險評鑑作法」,則需清查盤點該資訊系統的所有資訊資產,同時整合這些資訊系統與資訊資產可能涉及的跨部門業務成員,共同組成資訊系統風險評鑑組織
21
建立全景(續)
ü 風險評估準則(Risk Evaluation Criteria) :各機關依其所負責之業務性質,對「機密性」、「完整性」及「可用性」的要求− 機關所提供的業務其相關資訊流程的策略價值
− 機關所提供的業務所涉及資訊資產的重要性
− 業務相關法律和法規要求與契約義務
− 資訊安全之可用性、機密性和完整性的運作與業務的關係
− 機關對資訊安全的需求與期望
− 機關對信譽的負面後果的關切。
22
建立全景(續)
ü 衝擊準則(Impact Criteria):當威脅與脆弱性結合,破壞資訊資產的「機密性」、「完整性」及「可用性」,對組織衝擊的嚴重性− 可能包括營運的受損、信譽的損害、資訊安全的危害、業務和財務價值的損失及違法情事
− 建議將衝擊的嚴重性以「機密性」、「完整性」及「可用性」遭破壞的程度區分等級(如普/中/高),分別說明各等級對組織的影響
− 如「機密性」之「普」級:公開資訊缺乏機密性保護,所造成後果輕微或可忽視者
23
建立全景(續)
ü 風險接受準則(Risk Acceptable Criteria) :機關會因其所負責業務之類別與性質、服務對象、內部資源及經費預算等因素,影響其風險處理的範圍− 業務需求及目標
− 法律、法令、規章及合約方面的要求,如ÿ 國家機密保護法ÿ 個人資料保護法
− 智慧財產權(Intellectual Property Right, IPR)。− 資源分配狀況
− 技術成熟度
− 經費預算
− 社會與人道主義因素
24
建立全景(續)ü 資訊系統範疇與邊界− 運用「鑑別機制」的「識別資訊類別」程序,針對該機關的施政業務,清查出機關所有資訊系統與施政業務的關連對照關係
25
建立全景(續)ü 施政業務與資訊系統關連對照表
26
建立全景(續)ü 風險評鑑組織− 建議機關應該成立「跨部門」的風險評鑑組織
− 「風險評鑑小組」成員宜包含施政業務與支援該業務之資訊系統相關人員,不宜只交由資訊或資安人員負責,以避免產出結果過於主觀,不符合該機關的真實現況
− 建議分組為「執行小組」與「審查小組」ÿ「審查小組」:審核風險評鑑的結果與風險處理計畫;審核資通安全相關文件等
ÿ「執行小組」:定期執行風險評鑑;針對提列的資訊資產項目、鑑別其價值、安全需求與分析安控機制實施狀況;盤點與鑑別資訊資產價值等
27
風險評鑑程序
ü 資訊系統風險評鑑參考指引,顧名思義乃以「資訊系統」為輸入對象,並以「循環性」方式實施,作法可為高階風險評鑑、詳細風險評鑑或其他方式
ü 若機關選擇「高階風險評鑑作法」− 直接運用「鑑別機制」高階後果衝擊評鑑的理論基礎與方法論
− 將該資訊系統經由分類分級的結果訂為「普/中/高」− 作為該資訊系統的高階風險評鑑等級為「普/中/高」− 根據不同的結果,進行相對的處理程序ÿ 普風險(1):從「安全控制措施參考指引」中,選擇「適合」該資訊系統的「普防護等級」控制措施
ÿ 「中風險(2)」:從「安全控制措施參考指引」中,選擇「適合」該資訊系統的「中防護等級」控制措施
ÿ 「高風險(3)」:有兩種選擇,一為從「安全控制措施參考指引」中,選擇「適合」該資訊系統的「高防護等級」控制措施;另一為進入第二個風險評鑑循環,針對該資訊系統改採「詳細風險評鑑作法」
28
風險評鑑程序(續)
29
風險評鑑程序(續) ü 若機關選擇「詳細風險評鑑作法」− 針對「資訊系統」的所有資產,進行「弱點、威脅、可能性分析」
− 根據「風險接受準則(普/中/高)」,針對「未能接受」之風險,判斷風險處理的「資產」對象
− 根據「風險評估準則」,針對「未能接受」之風險,判斷風險處理的優先順序
− 根據不同的結果,進行相對的處理程序
30
風險評鑑程序(續)
31
風險評鑑程序(續) 「風險識別」是針對資訊系統鑑別出每個資訊資產、該資訊資產脆弱性被威脅利用的難易度及相關威脅發生的可能性、威脅與脆弱性結合發生事故時對組織衝擊的嚴重性及其資訊資產現有控制措施等
資訊資產相關的風險已識別完成,需要估算每一個資訊資產的相對風險大小,故需要藉由量化資訊資產的價值、後果對機關衝擊的嚴重性及事故發生的可能性,以估算風險值
因機關所負責之業務性質、資源分配不同,無法針對每項風險均採取相對應的安控措施,故需要訂定處理風險的優先順序。再依所訂之「風險接受準則」訂出「可接受風險等級」,機關即可針對「不可承受的風險」實施適切的安全控制措施
32
風險評鑑程序(續) ü 識別資產
− 舉凡業務流程活動中之資源保管人及所需使用之資源與
規範、執行關鍵活動中所產生的紀錄與最後之輸出及度
量標準等,均可視為「資訊資產」
33
風險評鑑程序(續) ü 威脅與脆弱性識別− 針對各項資訊資產分別鑑別其在使用或處理過程中,各項可能的威脅運用該資訊資產脆弱性對「機密性(C)」、「完整性(I)」及「可用性(A)」造成之衝擊
ü 現有控制措施識別− 瞭解現有控制措施之施行成效及已規劃的控制措施,並確切描述安控措施
ü 後果識別− 以事故發生後,可能對資訊資產之「機密性」、「完整性」與「可用性」破壞,而對組織造成衝擊的嚴重性描述「後果」,並依所訂定之「衝擊準則」,以不同等級(如普/中/高)代表後果的嚴重性
34
風險評鑑程序(續) ü 鑑別資訊資產價值
− 以資訊資產在事故發生時,破壞「機密性」、「完整性
」、「可用性」造成的後果,對組織衝擊的嚴重性,鑑
別資訊資產的價值
− 例如以後果識別(普/中/高)後的等級分別給予一個值,將每一資產的「機密性」、「完整性」、「可用性」代表
值相加,可得到該資訊資產的價值
ü 評鑑事故可能性
− 分析威脅發生的可能性及脆弱性被運用的難易度組合而
成,給予威脅發生的可能性及脆弱性被運用的難易度(如普/中/高)各一個值,分別代表「威脅等級」與「脆弱性等級」
35
風險評鑑程序(續) ü 估計風險等級
− 將量化的資訊資產價值、後果對組織衝擊的嚴重性及事
故發生的可能性結合,計算每一個資訊資產的價值與風
險值
− (範例)資訊資產風險值=資訊資產價值 ×威脅發生可能性 ×脆弱性利用難易度
ü 訂定風險等級
− 將所有資訊資產相關風險值,在其最大值與最小值區間
分為「普/中/高」 3 個等級
36
風險評鑑程序(續) ü 決定「可接受風險等級」
− 依據「風險接受準則」,再檢視資訊資產風險清單,訂
定組織可以承受的風險等級
ü 後續風險處理
− 當機關完成「詳細風險評鑑」後,可參酌「安全控制措
施參考指引」中選擇相同「防護等級(普/中/高)」的「適用」控制措施來進行該資訊資產的風險處理程序
− 另外,亦可運用其他參考指引之建議實作各項「控制措
施」
37
執行風險評鑑
ü 根據「風險評鑑程序階段」所選擇的風險評鑑
循環作法,進行相對風險評鑑作法程序的實作
− 以全球資訊網執行高階風險評鑑作法為例,本範例
資訊系統之安全等級為【中(2)】
38
執行風險評鑑(續) − 參酌「安全控制措施參考指引」中【相對】防護等
級的控制措施進行「風險處理」
39
執行風險評鑑(續) − 以全球資訊網執行詳細風險評鑑作法為例
執行「資產識別」
40
執行風險評鑑(續) 執行「威脅與脆弱性識別」
41
執行風險評鑑(續) 執行「現有控制措施識別」
42
執行風險評鑑(續) 執行「後果識別」
43
執行風險評鑑(續) 執行「鑑別資訊資產價值」
44
執行風險評鑑(續) 執行「評鑑事故可能性」
45
執行風險評鑑(續) 執行「估計風險等級」(資訊資產價值 ×威脅發生可能性 ×脆弱性利用難易度)
46
執行風險評鑑(續) 執行「訂定風險等級」
47
執行風險評鑑(續) 決定「可接受風險等級」:如風險值大於20者,納入控管
48
「安全控制措施參考指引」說明
ü 針對政府機關執行業務之資訊系統,提供安全控制措施「選擇」及「描述」的指導
ü 控制措施之分類架構− 融合ISO/IEC 27002:2005與NIST SP800-53 Rev3之分類方式
− 主分類:以ISO/IEC 27002:2005的11項安全控制領域− 次分類:以NIST SP800-53的16項安全控制類別
ü 控制措施的參考− 以NIST SP800-53 Rev3為【主】ÿ 配合「資訊系統分類分級與鑑別機制參考手冊」將資訊系統安全等級區分為「普、中、高」三級
− 以ISO/IEC 27002:2005為【輔】
49
「安全控制措施參考指引」說明(續)ü 安全控制措施的分類
管理類安全政策與標準的遵循性以及技術遵循性15.2管理類遵循適法性要求15.1遵循性15操作類緊急應變規劃14.1營運持續管理14操作類事故反應13.1資訊安全事故管理13管理類系統和服務獲取12.1資訊系統獲取、開發及維護12技術類稽核與可歸責性11.3
技術類存取控制11.2技術類識別與鑑別11.1存取控制11操作類媒體保護10.3
操作類系統與資訊完整10.2技術類系統與網路連線防護10.1通訊與作業管理10操作類維護9.2操作類實體與環境保護9.1實體與環境安全9操作類認知及訓練8.2操作類人力資源安全8.1人力資源安全8操作類組態管理7.1資產管理7管理類安全評估及授權6.4
管理類規劃6.3管理類外部團體6.2管理類內部組織6.1資訊安全的組織6管理類資訊安全政策與程序5.1安全政策與程序5類別次分類章節主分類章節
50
「安全控制措施參考指引」說明(續)ü 安全控制措施範例說明
51
考量「補償性控制措施」
補充其他所需控制措施
定義控制措施中的相關參數 選定之安全控制措施
資訊系統風險評鑑
後續實作 控制措施的實作(Web AP、Email等…安全參考指引)
「調整」初始安全控制措施
依「範圍原則」調整(目標、科技、法規、環境、規模、公開性)
「選擇」初始安全控制措施
安全控制措施防護基準表
(普、中、高)
程序步驟流程文件輸出及引用
初始安全控制措施
「安全控制措施參考指引」說明(續)
52
「安全控制措施參考指引」說明(續)
ü 依「範圍原則」調整:− 係提供機關在決定控制措施是否適用特定的條件與
情況,協助機關在特定任務/業務需求與特定營運環境下,確保只實作必要的控制措施提供適切層級的
資訊系統防護ÿ 安全目標相關考量ÿ 系統元件配置相關考量ÿ 科技相關考量ÿ 實體基礎建設相關考量ÿ 政策/法規相關考量ÿ 作業/環境相關考量ÿ 規模相關考量ÿ 公開存取相關考量
53
「安全控制措施參考指引」說明(續)
ü 考量「補償性控制措施」
− 因「特定資訊系統本質」或「作業環境」而導致無
法施作
− 控制措施「實作的成本效益太低」而導致無法施作
− 如機關評估採自動化的系統來維護資訊系統基準組
態,需要花費龐大的成本且成本效益太低,因此機
關可以考慮採用以人工維護基準組態的補償性控制
措施
54
「安全控制措施參考指引」說明(續)
ü 補充其他所需控制措施
− 重新審查其他未選用之安全控制措施,將需要的控
制措施納入
55
「安全控制措施參考指引」說明(續)ü 以「全球資訊網」為例,其資訊系統之安全等級為【中級(2)】,以存取控制為例,則直接選擇【中級(2)】防護等級之所有控制措施
11.2.711.2.711.2.7一系統使用通告11.2.711.2.611.2.611.2.6二失敗的嘗試登入11.2.611.2.5(1)(2)11.2.5(1)(2)不適用一最小權限11.2.511.2.411.2.4不適用一職務區隔11.2.411.2.311.2.3不適用一資料流管控機制11.2.311.2.211.2.211.2.2一存取控制機制11.2.211.2.1(1)(2)(3) (4)11.2.1(1)(2)(3) (4)11.2.1一帳號管理11.2.111.1.711.1.711.1.7一識別與鑑別(非機關使用者)11.1.7不適用不適用不適用一密碼模組鑑別
11.1.6
11.1.511.1.511.1.5一鑑別符回饋保護11.1.5
11.1.4(1)(2)(3)11.1.4(1)(2)(3)11.1.4(1)一鑑別符管理11.1.4
11.1.311.1.311.1.3一識別符之管理11.1.3
11.1.211.1.2不適用一設備識別與鑑別11.1.2
11.1.1(1)(2)(3) (4)(8)(9)
11.1.1(1)(2)(3) (8)11.1.1 (1)一識別與鑑別(機關使用者)11.1.1
存取控制
高中普
資訊系統安全等級基準優先序名稱編號
56
風險評鑑測試審查
ü 應定期審查或因應環境與資訊系統發生變更時
能及時檢視與更新,以確保風險評鑑報告成為
「動態文件」
ü 風險評鑑報告之變更管理是當資訊系統發生異
動或者當其操作的實體或者網路環境被改變時
,用來協助識別該資訊系統是否需要新安全需
求的過程
57
風險評鑑測試審查(續)
58
風險評鑑測試審查(續)ü 內部稽核
− 為確保安控措施實施之有效性,應定期檢視
− 建議每年執行 2次內部稽核
ü 外部稽核
− 透過獨立第三方執行外部稽核,也是機關確保安控
措施實施之有效性的方法
59
矯正預防
ü 依據「風險評鑑測試審查」階段之結果,加以
「持續改進」
ü 針對資訊系統風險評鑑不符合或者需要調整改
進之處,採行必要之「矯正控制措施」與「預
防控制措施」,以強化與落實資訊系統風險評
鑑的管理成效
60
矯正預防(續)ü 矯正控制措施
− 識別各項不符合事項
− 判定各項不符合之原因
− 評估控制措施之需求,以確保各項不符合事項不復發
− 決定及實作所需之矯正控制措施
− 記錄所採取控制措施的結果
− 審查所採取之矯正控制措施
61
矯正預防(續)ü 預防控制措施
− 識別潛在的各項不符合事項及其原因
− 評估控制措施的需求,以防止不符合事項的發生
− 決定及實作所需之預防控制措施
− 記錄所採取控制措施之結果
− 審查所採取之預防控制措施
62
結論ü 「威脅/脆弱之所在,風險之所在」
ü 如何決定一個由長短不同的木板構成的木桶之
「容水量大小」?(如同從中發現威脅/脆弱之所在)− (1) 木板長度?ÿ (X) 取決於其中「最長」的那塊木板
ÿ (X) 取決於全部木板長度的「平均值」
ÿ (O) 取決於其中「最短」的那塊木板
− (2) 這個木桶是否有堅實的「底板」?
− (3) 木板之間是否有「縫隙」?
ü 透過系統化的方法(風險評鑑管理程序),找出風險所在,以適時選擇控制措施加以處理
資訊安全管理系統
資訊安全領域
資安事件通報應變機制
資訊安全管理系統驗證