ISO 27000 Clause 2.33 資訊安全
簡單的來說,機密性就是不該看到資訊的人無法看到、完整性就是資料內容沒有缺漏、可用性就是應該要可以使用的時候就可以使用,附註提到的真實性等都可以跟以上三特性有所關聯,比如說真實性跟完整性是相關的,只是ISO在定義的時候把這些特性再做一個詳細的區分,大致上都以機密性、完整性及可用性來說明資訊安全。
資訊安全管理的基本要素,可以區分為軟體、硬體、人員、網路及環境設施。
軟體是一系列按照特定順序組織的電腦資料和指令的集合。 軟體設計人員設計以滿足功能需求為優先,換言之,資訊安全本來就沒有放入功能需求的話,設計人員並不會主動考量其安全性,只會有基礎的資訊安全功能。 資訊安全的議題,是在近幾年才加入的,原先軟體開發人員並不會主動考量安全性的議題,直到近幾年層出不斷的資訊安全問題發生,才開始正視這個議題,通常都是問題發生後才去尋找解決的方法,比如說軟體的資料傳輸及交換,開始考量的是資料要如何正確的傳輸及交換,發生資料被截取或監聽後,才會考量傳輸及交換間的安全性。 作業系統漏洞永遠存在,現在使用的作業系統例如WIODOWS、LINUX、MACOS等在設計上是為了使硬體設備能正常運作,在這個前提下必須考量使用上的方便性,遺憾的是方便通常代表不安全,所以漏洞適永遠存在的,只是有沒有被人發現如何運用而已。 應用系統生命週期影響安全,應用系統設計是為了特定的需求,通常會配合特定的設備或功能。舊的作業系統因為安全性的因素已經停止後續更新及支援,但是為了配合特殊的應用系統及設備,也只能繼續使用下去,對於安全性無法獲得一定的保障。
硬體是一種實體裝置,包含有形的物件或組件,常由軟體指示以執行任何命令或指令。 因為成本的關係,硬體對於安全性的考量也是不足,通常硬體的漏洞是配合軟體所發生的,在軟體及硬體之間還有韌體,韌體是在軟硬體之間負責溝通兩者,三者之一如果有漏洞便可輕易地運用,當然在資訊安全考量方面,三者也可互相配合防止相關的安全問題。 行動設備近年來在效能、速度及容量有長足的進步,行動設備的優點在於其便利性,這種便利性也帶來相關資訊安全隱憂,如何在方便及安全下保護資訊,成為近年來各組織重大且優先的議題。 IoT設備,因為網路速度的增加,很多網路上的設備例如攝影機、智慧家電等如雨後春筍般地冒了出來,這種類型的設備經常因為簡單的設計,僅運用韌體及簡易的軟體進行資訊處理及交換,造成相對應的資訊安全議題。 工控設備,通常因為控制機械設備的需要會有一些硬體執行控制作業,有些是特殊製造出來適應相關環境及需求的,因為這類型的設備屬於控制類型,資安議題通常會影響其所控制的設備,例如捷運的行車控制等。
人員是影響資訊安全的重要因素,軟硬體需要人原來設定操作才能發揮其功能,相關資訊也是由人員來處理後續工作。 駭客:早期駭客以成名或追求理念為主,造成的破壞性比較巨大,近期駭客多以利益為主,希望藉由資訊安全的漏洞造成破壞,進而謀取相關利益,所以在防堵上也有所不同,駭客技術日新月異隨著軟硬體進行變化,並有專業化、服務化的趨勢,利用相關資訊新技術達成快速尋找漏洞進行破壞,可以說資訊技術與駭客技術有同步發展的趨勢,例如近期的AI、大數據等也都成為駭客所運用的工具,另外還有一個趨勢,駭客本身已經不需具備有相關專業技能,朝向Hacking as a Service的方向發展,只要找到相關具備技術的人提供服務,非專業人員一樣能夠發動駭客攻擊,在早期的風險分析中所謂事件發生機率會參考具備的能力這個部分,已經有所變化。 惡意的員工:人是最難分析的因素,組織內如果有存在惡意的員工,對於資訊安全上會有極大的風險,有一些分析或監控的設備或軟體可以協助組織找到惡意的行為,並針對這些行為進行分析研判員工是否屬於惡意,對於這類型的員工除了要分析外還需要留存相關的證據,對外來可能發生的訴訟進行預先的準備,尤其組織內處理高敏感度的資訊時,更需要特別注意。 疏忽的員工:疏忽的員工通常不具備惡意,但對於資訊安全也是有相當的影響,在無異的情況下造成資訊的機密性、完整性及可用性的破壞,對於此類型的員工應有相對應的教育訓練及協議,以充分協助員工認知並遵守相關資訊安全事宜。 訪客(外部人員):組織外部人員不論是訪客或者是協力廠商等,如果會使用到組織的內部資訊資源,其對資訊安全影響應該視其所存取或使用的資訊程度加以分類管制,並有一定之規範及約束力,在出現問題時,才能有所對應。 整體而言,人員具有高度複雜性,其行為並非以約束就可以制止的,以資訊安全的角度來看,這是最重要的一個環節,不可輕忽。
網路對於資訊安全來說是相對重要的,肩負著傳輸及交換等作用。 網路一開始的設計是用來交換資料,安全的議題並沒有納入考量,因為早期網路速度較慢,所以設計的交換協定只是考量如何快速的交換資料,近期因為網路傳輸資料大量被竊取,已經開始注意資料傳輸間的安全性。 無線網路安全性更是需要被注意的一項議題,在移動式設備的應用上,無線網路是最佳的解決資料傳送的方案,例如:醫院應用行動式平板進行醫生巡視病房紀錄病患的情況,就是藉由無線網路進行傳輸,其相關的管控及作法應有一定的安全性考量。 VPN的安全性,大多數組織或企業採取VPN的方式來確保外部連線或各部門間連線的安全性,但VPN就能一定保證連線的安全嗎?隨著愈來愈多的案例發生,我們可以認知VPN並不一定能完整的保護網路,如果運用不當,反而更容易造成危害。 網路區隔,目前在政府機關所頒布的指引中,希望將組織內部的網路做好區分,典型的區分方式為外部網路以防火牆作為阻隔,內部網路區分三個部分,DMZ、伺服主機群、使用者等三個網路並以防火牆、路由器限制各區域間的資訊交換,整體網路規劃絕對是資訊安全重要的一環,可以避免不同等級及重要性的電腦間彼此的影響程度,有些重要的且無法更新的電腦甚至以單向傳輸的方式進行聯網。
以往的資訊安全僅考量環境設施的實體安全性,但因為環境因素變化對資訊安全產生重大影響,例如:停電、天然災害等,這類型的情況對於資訊安全的衝擊是重大且期程較長的,必須有完整的規畫才能減輕其所造成的結果: 實體區域安全:設置及存放重要設備的場地其相關安全的維護,對於設備內所存放的資料而言是相對應的,例如機房或研發場所,理應對進出人員做出管制,並記錄各項證據。 BYOD(bring your own device):對於環境設施BYOD絕對是影響安全性的事項,現今行動設備有愈來愈方便攜帶且儲存容量愈來愈大的趨勢,小小的一部行動裝置可以照相、錄音、錄影、儲存大量檔案,對於環境安全有關鍵性的影響。 基礎關鍵設施:網路、電力、水等相關關鍵設施及來源,對資訊安全的可用性會造成一定的損害,尤其電力的供應,如果不穩定或者有分區供電的情況,更應及早規劃因應。
威脅是屬於一種外部事件或狀態,對於基本要素會產生破壞。威脅會隨著時間、技術及社會造成變化,並非一成不變的,更準確地說,資訊安全管理系統就是在管理如何對應這些威脅,降低這些威脅對資訊安全造成的衝擊和影響。
不意外的威脅第一位應該是駭客,從資訊開始發展以來,駭客是伴隨著資訊一起成長的,有些時候甚至超越資訊本身,早期的駭客以成名或宣揚理念為主,所製造的病毒以破壞性著稱,例如:紅色警戒造成數以百萬計的電腦無法運作,隨著時代轉變,現今的駭客以營利為主,所製造的病毒以封鎖資訊為主,如果對方肯付錢,可以解除其封鎖,例如勒索病毒加密檔案。
最堅固的堡壘通常是從內部開始破壞的,就如同前面基本因素的分析,就算做好各項防範措施,如果是內部人員將可輕易繞過這些措施,對所要保護的目標造成損失。
在複雜的因素下,各個組織均專注於本身的業務,大量運用委外或供應鏈的模式節省自身人力及相關專業性的負荷,但這些委外的必三方或者是供應鏈本身就是一種威脅,近期發生半導體工廠資訊安全事件,其威脅就是來自於委外廠商,另外雲端也是另一種委外模式,雲端的威脅也是一種新的模式。
不知道是為了保護人民,還是執政者發現資訊安全對政治有一定的影響力,各國政府不約而同對有關資訊安全法令日趨嚴謹,對組織與企業來看,威脅又增加一項是有關違反法令要求後,要面對的行政處罰,資料外洩的案例層出不窮,威脅有與日俱增的趨勢。
資訊技術進步也會被視為一種威脅,近期大數據及AI技術有長足的進展,水能載舟亦能覆舟,這些進展也可被利用來破壞資訊安全,AI被駭客應用在入侵方面的案例已經有相當程度展現。
ISO組織針對資訊安全管理方面開發了一系列的標準,因為認知上的關係,國內通常只參考一部分標準,事實上與資訊安全管理系統相關的標準可運用在主條文及各個控制項的執行參考依據。
ISO 27001 :2022版已經發布,本公司顧問特別整理相關資訊,欲知詳情細節請盡速聯絡本公司,將有專人為您服務!
咨安資訊-ISO2700-2022改版簡介.pdf