第二章、 資訊安全管理系統驗證作業研究
2.4 資訊安全事件及事故之管理
國際標準組織(ISO)已正視資訊威脅的重要性,ISO/IEC TR 13335 系列標準 強調唯有認清並分析其資訊應用的威脅,始可妥善擬定因應對策及降低運用上可 能造成的衝擊。隨著資訊的普及,在現行的資訊安全政策及保護措施下,面臨層 出不窮的威脅,仍可能存在殘餘弱點(Residual Weakness),使得資訊安全變得沒 效率;甚至伴隨的組織營運將衍生為具殺傷力的資安事故(Information security incident),造成難以評估的衝擊。有鑑於此,即將公布之 ISO/IEC TR 18044 中已 提及應對資安事件及事故管理須適當加以結構化並事先授權,因此,規劃適切、
有關圖 2.10 對資安事故管理程序中,共包含了 4 個階段(過程),各階段之主 要功能可敘述如下:
1.規劃及做好相關準備:
(1)明訂資安事故管理政策,並予以文件化。
(2)發展資安事故管理方案(或應變計畫),以支援資安事故管理政策;方案中應涵 蓋偵測、報告、評鑑及回應資安事故的表格、程序及支援工具等,另可顯示事 故嚴重性的程度。
(3)參考資安事故管理方案,更新組織內各個系統、服務及網路層級的資訊安全 及風險管理政策。
(4)建立資安事故的管理組織架構(如:資安事故應變小組(Information Security Incident Response Team,簡稱 ISIRT),諸如因應惡意碼(Malicious Code)攻擊的 應變小組,可藉由組織中資深的管理者帶領具備處置惡意碼攻擊相關領域的專 長人員,組成必要之團隊,以解決當前的問題。
(5)透過簡報或專業知識分享機制,使組織內的所有成員建立資安事故的管理共 識及加強資安事故的適切訓練。
(6)徹底的測試資安事故的管理方案。
2.使用:
(1)偵測並報告資安事件的發生。
(2)蒐整事件相關的資訊並予以評鑑,判斷各個事件(Event)應歸類為哪一類資安 事故。
(3)回應資安事故,針對回應採行的方式可區分為:
‧立即回應。
‧一旦資安事故已獲控制時,可能要花費較多的時間進行事故處置(如:從災 難事故中進行復原作業)。
‧若資安事故無法獲得控制時,須建置危機行動(如:建置營運持續計畫)。
‧將資安事故與相關細節通知內部及外部人員(或組織),俟需要可將事故情況 進行深入評鑑(或決策)。
‧將所有行動與決策予以記錄,並進行更進一步的分析。
‧提出解決方案後,再予以結案。
3.審查:當資安事故圓滿解決或結案後,進行下列的審查動作是有必要的。
(1)視需要得進行更進一步的鑑識分析(Forensic Analysis)。
(2)由資安事故中學習並記取教訓。
(3)由資安事故中所學習的教訓結果,識別資安保護措施實作上應改進的部份。
(4)在整個審查作業中重視品質(如:處理的過程、程序、報告表格與組織結構上 各項審查作業是確實有效的),將學習並記取教訓之結果作為不斷改進資安事 故管理方案的主要依據,以精益求精。
4.改進:資安事故的管理過程是相當強調緊密的互動,並定期改進(或補強)若干 資安元件,這些改進作法可歸納為以下 3 點。
(1)將組織內現行的資安風險分析與管理上的審查結果,做必要之修訂。
(2)將資安事故管理方案做一改進,並予以文件化。
(3)對資安保護措施實作上進行必要的改進,如:特別對起始的保護措施加以改 進。
圖 2.10 資安事故管理程序中之「使用」、「審查」及「改進」等 3 階段之關 連性及處理流程,可參考圖 2.11 之「資安事件及事故處理流程圖」加以更進一 步闡述說明,而對資安事件(或事故)範例應涵蓋基本的規範及執行作為,本論文 整理成表 2.14「資訊安全事件報告內容」及表 2.15「資訊安全事故報告內容」,
透過兩個表格將報告內容的主要重點做一綜述,將可作為組織中擬訂資安事件及 事故之管理方案實作上具體的參考。
事件
表 2.15: 資訊安全事故報告內容
項次 項目名稱及內涵
1 事故日期
2 事故編號,若適用相關事件或與某一事故有關可加註一識別編號 3 作業支援小組成員基本資料:含姓名、連絡地址、連絡電話及電子郵
件等基本資料
4 資安事故應變小組(ISIRT)成員基本資料:含姓名、連絡地址、連絡電 話及電子郵件等基本資料
5 資安事故描述:描述事件有關「發生什麼」、「如何發生」、「為何發生」、
「受影響之元件有哪些」、「造成營運上不利的衝擊有哪些」、「任何可 識別的脆弱性」等
6 資安事故細節:逐一對「事故發生的資料及時間」、「發現事故的資料 及時間」、「報告事故的資料及時間」及「事故是否結束」等做說明;
有關「事故是否結束」項目,若事故已結束則採“日/時/分"方式陳 述事故持續多久;若事故尚未結束則應陳述截至目前為止事故持續了 多久,就現況加以說明。
7 資安事故的類型做一區分:
(1)可分為「實際的」、「企圖的」、「有嫌疑的」等類型,依資安事故的 概況做一分類
(2)若屬「蓄意的」事故,可將事故型式再細分為「竊盜」、「駭客入侵」、
「邏輯滲透」、「詐欺」、「資源不當使用」、「實體損害」、「惡意碼」
及「其他」等類型,並補充說明
(3)若屬「意外的」事故,可將涉及的威脅型式再細分為「硬體失效」、
「軟體失效」、「通訊失效」、「水災」、「火災」、「其他自然事件」、「必 要服務的漏失」及「其他」等類型,並補充說明
(4)若屬「錯誤的」事故,可將涉及的威脅型式再細分為「作業造成錯 誤」、「硬體維護錯誤」、「軟體維護錯誤」、「使用者錯誤」、「設計錯誤」
及「其他失誤」等類型,並補充說明
8 受事故影響之資產描述,應包含「資訊/資料」、「硬體」、「軟體」、「通 訊」及「文件」等,對相關資產的序號、許可證號及版本編號做一說 明
9 事故對營運造成之衝擊及影響描述,應包含:
(1)考量資安事故對組織營運活動造成之不利結果,可分為「財務漏失 /營運活動作業中止」、「商業與經濟利益」、「個人資訊」、「法律與 管理義務」、「管理與營運活動作業」及「商譽受損」等“指導綱 要",依據“值"(可設定為 1 到 10 等級)來記錄事故對營運造成衝 擊之層級
(2)造成之衝擊影響可依「未授權的揭露資訊(違反機密性)」、「未授權 的修改資訊(違反完整性)」、「違反可用性」、「違反不可否認性」及
「資訊/服務的破壞」等類型,並填寫“值"、“指導綱要" 及其
“成本"等資料
(3)事故復原之成本,可將“值"、“指導綱要" 及其“實際成本"
等資料詳細填入
10 事故的解決,含「事故調查起始日期」、「事故調查者姓名」、「事故結 束日期」、「衝擊結束日期」、「事故調查完成日期」及「調查報告的參 考與位置」等基本資料
11 涉及的人員/犯罪者,可區分為「人」、「組織化的小組」、「合法建立 的組織/機構」、「意外」、「無犯罪者」等類型
12 犯罪者描述,可區分為「犯罪/財務的取得」、「政治/恐怖活動」、「消 遣/惡意入侵」、「報復」及「其他」等類型;並說明「解決事故所採 取的行動」、「規劃解決事件的動作」及「未解決動作(如:其他成員 仍要求繼續調查」等
13 資安事故報告結論:就事故整體復原所需總成本及事故的輕、重程 度,陳述簡明扼要的具體結論;並由報告起草者、報告起草者之管理 者、資訊安全管理者、資安事故應變小組(ISIRT)管理者、網站管理者、
資訊系統管理者、警察及其他 ISIRT 等人參與審查並簽章,以示負責,
另可彰顯報告之完整及真實性。
現針對圖 2.11 中「使用」階段部份核心的關鍵過程描述如下:
1.在資安事件發生時產生的偵測報告,將來自於系統的自動化或由組織成員、顧 客的反映等各種可能的來源;如:來自於防火牆的自動示警功能。
2.組織內的作業支援組可依資安事件的資訊收集結果進行首次評鑑作業,作業支
援組將必須依收集事件結果判斷是否為一資安事故,或是系統誤判所發出的警 告;而資安事故應變小組(ISIRT)可依收集事件結果進行再次評鑑作業,專業判 斷該事件足以成為一資安事故。一經確認為資安事故,則依立即回應機制處置,
並同時展開必要的鑑識分析及通訊行動作為。
3.一旦確認為資安事故,進行立即回應機制處置時,資安事故應變小組(ISIRT) 將須審查並判定資安事故是否已在控制之中:
(1)此時若事故已獲控制,則將進一步進行後續回應機制的處置,並同時掌握事 故所有資訊,以便辦理事故發生後的「審查」作業。
(2)若事故尚未能有效控制,則須啟動危機行動機制,將組織中相關的人員納編,
在集體、有條不紊的運作下,共同處理並控制事故,期使事故問題可有效收斂,
避免事故蔓延到一發不可收拾的窘境。
4.在整個資安事故的處理流程中,涉及的人、事、時、地、物皆須詳實的記錄,
以便日後可進行後續的深入分析;並確保相關證據被完整且安全的保存下來,
一旦未來要進行法律上的追訴或辦理懲罰時,讓證據說話。
5.為確保評鑑及決策作業的正確性,資訊收集及整個資安事故的資料庫須完整且 即時更新、備份,以利資安事故管理機制可發揮預期功效。
6.後續回應機制預期應達成之目標為:
(1)動員組織內、外相關的人員,藉由評鑑及決策作業機制,分配安全事故管理 行動的準據並律定有關責任。
(2)將正式的處置程序通知所有參與人員確實遵守,含安全事故報告的審查及修 改、評鑑損害等作為。
(3)利用指導綱要對資安事故作完整的記錄,後續回應的每項處理步驟須逐一交 代並詳實在報告內容中記錄,並同時更新整個資安事故的資料庫,確保資料可 達一致性。
國際標準組織(ISO)在面對當前資安事故問題時,亟待須將管理機制加以結 構化,因此提出了資安事故管理程序,預期將可達成以下 8 點效益,以健全資訊 安全管理體系,俾利安全事故應變及因應更加合理、可行並一體適用:
1.改進資訊安全,並達防患未然之實質解決方案。
2.降低不利的營運活動衝擊,透過結構化活絡的作法,使組織的財務損失、商譽 與信用的損害得以降至最低程度。
3.強化安全事故預防的重點,以便將有限的資源集中運用於事故的預防,扼止事
3.強化安全事故預防的重點,以便將有限的資源集中運用於事故的預防,扼止事