[閒聊] iPas資訊安全工程師中級–DAY12

看板Marginalman作者 (超級帳本)時間2年前 (2023/03/22 12:45), 編輯推噓0(000)
留言0則, 0人參與, 最新討論串1/1
Day 12 ISO 27001 資訊安全管理系統, kachung (iThome) https://ithelp.ithome.com.tw/users/20145763/articles 關於 ISO 27001 覺得整理的最完整的是這些文章 繼續看 ISO 27001,風險管理(*這個章節很重要) 陸、風險管理 標準所敘述的風險規劃區分兩個部分: 一、與ISMS整體預期成果相關的風險與機會 將第四章分析的全景資訊做進一步地了解、決定在資訊安全管理系 統中所要面對的機會與風險、規劃因應之行動並監控這些行動的有效 性以確保這些行動預期的結果已經融入ISMS所要執行的事項中。 這個階段管理階層需決定可以接受風險之程度以及風險處理的結果 是否符合其預期的成果以及評估行動效果是否符合原先的預期成果。 導入 ISO 27001的過程中會檢視現有流程及相關介面,對於現有制度 可創造精進的機會,有時候甚至可引進新的技術達到營運的目標,這 就是所謂的機會。 .機會與風險並存。 .需要利用成本效益的概念來處理風險為組織效益達到最大化。 二、ISMS範圍內喪失機密性、完整性及可用性相關的資訊安全風險 風險是針對資訊安全管理系統範圍內的機密性、完整性及可用性 損害的風險( ISO 27005是根據 ISO 27001系列所發展的風險管理 指引,所以作法會完整符合條文的規範)。 ISO 27005 概論 風險是一種事情發生的機率資訊安全風險就是發生損害機密性、完 整性及可用性之事件的機率。觸發事件的因素有很多種,區分為內部 及外部因素,內部是事物本身的特性、外部則是事物之外的狀況。 *內部因素通常稱為弱點、外部因素通常稱為威脅、後果通常以衝擊 來說明。 風險 = f (威脅 * 弱點 * 衝擊) 弱點:物件或情境的內部 威脅:利用弱點造成事件發生的機率 衝擊:後果 以資訊安全風險來看,我們要分析的有資產、弱點及威脅。 (1)資訊資產: 資訊資產是單位的資源或產出,對單位具有重要價值,資產若受到 破壞時會影響業務進行,甚至造成中斷或癱瘓。 資訊資產區分: .有形資產:資訊設備、儲存媒體、人員、基礎設施…等。 .無形資產:應用系統、業務流程、知識、個人資料、單位聲譽…等。 (2)威脅(外來的) 足以造成資訊資產危害之狀況或事,例如:破壞、洩漏、篡改資料 及阻斷服務而危害。相對於資訊資產,威脅為外來的狀況。 威脅通常可以分為: .不可抗力因素:地震、颱風…。 .人為錯誤:資料輸入錯誤、設備操作錯誤…。 .惡意行動:駭客入侵、竊取資料…。 *通常以發生可能性或機率進行評估。 (3)弱點(內部的) 存在於資訊資產或其他組成元件的弱點,如果被威脅利用,會造成 危害,弱點存在於資訊資產本身,為資產之特性。例如軟體測試不足 硬體設計缺失、內部控制程序不足等。 https://i.imgur.com/HIqqtUU.png
ISO 27005資訊安全風險管理架構圖 https://i.imgur.com/hdu1yLu.png
(一)基本準則 要發展一套良好的風險管理方法,組織應該選用或開發一些基本準 則。根據風險管理的範圍和目標的不同,不同組織可能採用不同的方 法跟準則,組織須確保下列資源可用,以進行相關準則選用或開發: .執行風險評估和確定風險處置計畫。 .定義和實施方針和程序,包括實施已選擇的控制措施。 .監視控制措施。 .監視資訊安全風險管理過程。 (1) 風險評估準則:組織應定義用於評估風險重要性的準則,而這些 準則應反映組織的價值觀、目標和資源,其中某些準則可能是藉由法 律、監管要求以及組織其他要求產生。風險評估準則應與組織的管理 政策一致,在任何管理過程開始時定義並不斷進行審查、確保符合事 實且可用。 (2) 衝擊準則:為了充分了解所識別風險,組織應清楚地了解每個風 險事件中明顯的後果,這對於衡量這些風險事件、為風險評估其後果 和可能性提供資訊至關重要,此過程還將有助於決定已識別風險的優 先次序,並指導資源分配以減輕其影響。 (3) 風險接受準則:組織參考第四章全景分析後產出分析結果,分析 結果通常帶有風險期望目標級別的多項等級,提交給高層管理者接受 的風險應該與其等級相對應,對不同類型的風險可以採用不同的風險 接受準則。 (二)範圍範疇 規劃風險管理之前依樣要先行確認風險管理的界線,避免因範圍太 大造成無效的分析,也要避免侷限的範圍影響整體資訊安全,這個範 圍是以風險的角度出發,所有在ISMS範圍內的風險都要被分析及管理。 (三)資訊安全風險管理的組織架構 在執行資訊安全風險管理之前,相關組織、角色及權責應預先設置 ,相關授權需要明確區分。做好全景分析的準備工作後,就可以開始 進行風險評鑑的工作,在設計準則時必須確保重複的資訊安全風險評 鑑能產出一致的、有效的和可比較的結果,亦即不同的人在不同的時 機、使用相同的準則,盡量能有一致性的結果,避免差異過大造成評 鑑時的不確定性,影響風險管理的效能。 三、風險評鑑 從架構圖上來看,做完全景分析後就要執行風險評鑑,評鑑區分三 個部分:風險識別、風險分析及風險評估,其最終目標是產生風險的 優先順序清單,過程中應考量風險必須被完整識別、量化與質化的風 險描述、按風險評估準則和與組織有關的目標以訂定優先順序等事項 。 (1)風險識別 1.識別資產:識別範圍界線內的資產,目前比較好的做法是用流程 來識別,從組織的業務面去看會與業務相關的流程,從流程中找 出相關的資產。識別的項目應包含擁有者、位置、功能及特性。 資產是對組織有價值的任何東西,資產識別應該在適合的細節層 面進行,最終的清單應包含風險管理的資產清單,記載企業運作 時與這些資產的相關事項。 2.識別威脅:威脅是外來的,他必須配合資產才會產生風險,所以 資產與威脅是相互之間的關係。上一個步驟中我們找到資產清單 ,利用資產清單,可以找到相對應的威脅,還需要檢視曾經發生 過的事故或事件。 3.識別現有控制措施:清點資產並找到對應的威脅後,就要檢討目 前現有的控制措施,資訊安全的議題是持續性的,所以會不斷採 取對應的措施去應付威脅,這個階段就是要尋找已經採取的控制 措施。 4.識別弱點:從前面三項已經識別的資產、威脅及現有控制措施的 清單中,我們可以經由程序、例行的管理、個人行為、實體環境 、資訊系統的組態設定、軟硬體及通訊裝備等等事項去識別可能 被威脅利用以對資產或組織造成損害的弱點。 5.識別情景:結合前面所有的資訊,我們可以將威脅利用弱點損害 資產的機密性、可用性及完整性的情景重建與識別,以利進行後 續的評估,從資產與企業運作流程中去識別潛在的威脅與弱點並 包括相關資產及相互關係,確認這些威脅對於資產之機密性、完 整性及可用性的影響,這可能需要考量調查和修復時間、時間的 損失、機會的喪失、健康和人身安全、財務成本、信譽和形象, 最後產生與資產和業務過程相關的事件情景清單。 (2)風險分析 ISO 27005從一開始就強調不是方法論,此標準只是資訊安全風險 管理指引,所以方法論還是要由組織自行決定。 方法論區分定性法及定量法。 .定性法:使用量度尺標,針對重要的推論區分為低、中、高評等及 這些推論可能發生的機率。 .定量法:使用數值法則定義推論結果與發生機率,最後要推論的都 是發生的機率 1.後果分析 2.情景發生可能性分析 3.風險等級分析 (3)風險評估 風險評鑑的最後一個步驟就是風險評估,把前面所有的資訊跟分析 的結果進行評估,將風險等級數值的風險清單與風險評價準則和風險 接受準則進行比較,以組織整體風險進行考量,必須了解分析出來的 結果,以決定採取的控制措施及程度,最後產生出一份根據事件情景 之風險評估標準排定優先順序的風險列表,以供後續風險處理的參考 ,並排定處理的優先順序,以利後續風險處理資源分配的順序。 https://i.imgur.com/WYnm2z7.png
(4)風險處理 根據事件情景之風險評估標準排定優先順序的風險列表,選擇風險 控制以降低、保持、迴避或轉移風險並確定風險處理計劃,最後提交 風險處置計畫和殘餘風險給組織管理者以進行風險接受決策。 1.風險降低: 透過選擇控制措施,風險級別應該被降低,使之可以 進行殘餘風險的再評估並決定是否可被接受。 2.風險保持: 風險等級滿足風險接受準則,則不需要實施額外的控 制措施。 3.風險迴避: 當所識別的風險,其控制措施成本太高,已超過資訊 資產價值或組織願意付出的水平時,則採取規避可能導致特定風險 之活動或條件的作法。 4.風險轉移: 根據風險評估結果,對於特定風險最有效的管理,可 能是將風險轉移給其他方。採取此種方式須考量涉及與外部分擔風 險的決策、會不會產生新的風險或改變現有的及已識別的風險。 (5)風險接受 將風險處置計畫和殘餘風險的評估提交給組織的管理者以進行接受 風險的決策,組織需正式記錄風險接受決策的發布和相關的決策責任 ,對於未能滿足正常風險接受準則但被接受的風險清單,應附帶接受 的理由,依照全景分析時所設定的資訊安全風險處理的組織及決策路 徑,執行風險接受的步驟,並記錄所有過程。 (6)溝通與諮詢 從風險管理活動中獲得的所有風險資訊,藉由在決策者和其他利害 關係者之間進行交換和或共用有關風險的資訊,以獲得對組織風險管 理過程和結果持續的了解。 *整個資訊安全風險管理的過程中應該持續溝通利害關係者、主管及 執行者之間的意見。 (7)監控與審查 執行監控可能導致修改或增加使用的方針、方法和工具,對於定義 的改變、過程的目的及對象及重複的風險評估都應監控與審查其有效 性,最後以持續改善的精神去執行相關的更新作業。 (8)適用性聲明書 適用性聲明書要敘述的重點是經過風險分析之後組織需要執行哪些 控制措施?執行的理由為何? (9)資訊安全目標 訂定資訊安全目標時需要考量適當時可以量測,所以在主管機關頒 布的資通安全維護計畫內就區分兩種類型:量化型及質化型的目標。 在資訊安全目標的陳述上可以參考下列做法: .數值以及它們的限制,例如:資訊安全事件數以及上限。 .資訊安全管理系統執行的量測,例如:內部稽核及管理審查的次數 .資訊安全管理系統有效性的量測(條文9.1),例如:不符合事項改 善的期限及百分比。 .ISO 27001標準的符合性,例如:定期對資訊安全政策進行審查。 .資訊安全管理系統內程序的符合性。 .計劃與行動的完成,例如:風險處理計畫完成的時限與完成度。 .風險準則接受度,例如:資訊安全事件造成損失。 https://i.imgur.com/n5bEZfW.png
◎小結:這一章非常重要。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.249.138.241 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1679460310.A.230.html
更多 Hyperledger 的文章
文章代碼(AID): #1a6eVM8m (Marginalman)