資訊安全管理重要流程

資訊安全管理包含眾多工作，組織中有多少資訊系統，資訊設備，提供哪些資訊服務，自行開發或是委外開發時之系統之安全性，如何確保服務的正常運作及機敏資料的安全，當有資安事件時，是否有適當人員來處置與緊急應變，要如何監控資訊環境，這些工作需要有系統的規劃，每項工作都應有適當的流程與方法來管控，大致將重要的程序流程整理，提供參考。實務上需要一套管理制度來管控所有作業，包含策略面，管理面以及技術面。

1.    資產管理處理程序：(新增設備(採購流程)、使用中(變更、故障送修、故障更換)、終止使用(報廢流程)、資產盤點(資產清冊)

2.    風險評鑑：風險識別、風險分析、風險評估、風險處理、風險控制、風險關鍵績效指標；威脅建模

3.    安全量測：資安政策、資安目標、關績效指標(KPI)，關鍵風險指標(KRI)、SOC監控、電子郵件社交工程測試

4.    系統開發維運(軟體)：需求分析、系統設計、系統開發、系統測試、系統上線、系統維運(安全設置參考各項管理規範、變更管理)。DevOps

5.    支援系統維運(網路通訊及安全設備、伺服主機)：需求分析、系統設計、系統開發(建置)、系統測試、系統上線、系統維運(安全設置參考各項管理規範、變更管理)。DevOps

6.    實體環境維運(機房)：需求分析、系統設計、系統開發(建置)、系統測試、系統上線、系統維運(安全設置參考各項管理規範、變更管理)。DepOps

7.    使用者端(固定式工作站、可攜式設備)：帳號管理((一般、特權)安全設置參考各項管理規範、變更管理)、軟體管理((應用軟體，工具軟體)安全設置參考各項管理規範、變更管理)、教育訓練(資安認知宣導、資安專業技術)

8.    委外服務管理：資訊安全要求(管理性、技術性)、保障性要求(協助資安事故處理協議、依營運持續要求)

9.    緊急應變管理：應變小組、應變程序(識別事件、通報、事件分析、事件處理(備份還原、更換設備、異地備份還原、異地服務啟動)、恢復正常維運；若為資安事故應進行證據保存作業。

10.  備份管理(資訊系統與資料庫、網通暨資安設備組態、其他重要資料)：備份紀錄檢視、備份資料還原測試

11.  弱點漏洞管理(自行開發系統、套裝系統)：技術性檢測(弱點掃描、滲透測試、資安健診、源碼檢測)，安全性更新(病毒碼更新、系統軟體安全性更新)。

12.  法令法規遵循性：組織屬性及業務相關之法令法規符合調查

註：DepOps：Software Development and IT Operations and Quality Assurance

資訊安全管理系統導入架構

 

When(步驟)	What(工作內容)	Who(權責人員)	How(做法)	Input(輸入)	Process(流程)	Output(輸出)
前置作業 Step_1	現況訪查	單位主管 系統管理者	透過問卷調查表方式了解組織現況	問卷調查表設計1-1	組織先行填寫問卷，或以訪談方式進行	組織現況調查表
初始階段 Step_2	ISMS管理制度建置	資安承辦	1.  依據組織現況修訂ISMS管理制度 2.  建置ISMS管理制度簡述與應辦事項說明	ISMS管理制度應辦事項清單2-1	ISMS管理制度與應辦事項說明會(2~3小時)	ISMS文件發行
執行階段 Step_3	資訊資產盤點與鑑價作業	機房/網路/系統/設備管理者	資訊資產盤點與鑑價方式說明	資訊資產盤點與鑑價作業手冊3-1	資訊資產盤點與鑑價說明	資訊資產清冊
執行階段 Step_4	風險評鑑作業	機房/網路/系統/設備管理者	風險評鑑作業說明	風險評鑑作業手冊4-1	風險評鑑作業說明	風險評估表 風險評鑑彙整表 風險評鑑報告 風險處理計畫表
執行階段 Step_5	營運持續演練作業	系統管理者	提供營運持續演練相關範本與步驟	營運持續演練作業手冊5-1	桌上演練或 實際演練	營運衝擊分析表 營運持續演練計畫 營運持續演練步驟，報告等
執行階段 Step_6	資安教育訓練	導入範圍內人員	提供資安教育訓練授課	資安教育訓練簡報6-1 教育訓練課後評量6-2	實體授課/線上授課或提供教材自行研讀	教育訓練簡報 簽到表 課後評量
運作階段 Step_7	管理維運紀錄產出	導入範圍內人員	From Step1階段第2項進行作業	ISMS活動相關紀錄(範本)7-N， 紀錄參考2-1	相關承辦依(紀錄範本)產生組織之維運紀錄	ISMS四階表單紀錄
審查階段 Step_8	資安內部稽核	導入範圍內人員	針對管理制度與相關活動查核	資安稽核計畫8-1	資安實地稽核	內部稽核報告8-2 稽核查檢表
審查階段 Step_9	內稽矯正措施	稽核發現相關權責單位人員	針對稽核報告之稽核發現進行矯正	From Step_8 output	針對稽核報告之稽核發現進行矯正建議	矯正措施單9-1 矯正佐證紀錄
審查階段 Step_10	管理審查會議整備	資安長，導入範圍相關人員	針對管理審查會議議題資料準備	利害關係人與內外部議題 資安政策，風險評鑑，稽核，營運持續演練，教育訓練，量測記錄等資料整備10-1	管理審查會議議程彙整	管理審查會議議程與會議報告相關資料
審查階段 Step_11	管理審查會議	資安長，導入範圍相關人員	陪同召開管理審查會議	From Step_10 Output	陪同召開管理審查會議擔任報告人	管理審查會議記錄11-1 會議簽到表11-2
驗證階段 Step_12	第三方驗證	資安長，導入範圍相關人員	協助填寫第三方驗證申請書	驗證公司提供第三方驗證稽核計畫	陪同第三方驗證	第三方稽核報告12-1 通過證明函 ISO27001證書
Final Step_13	外稽核矯正措施	稽核發現相關權責單位人員	針對稽核報告之稽核發現進行矯正	From Step_12 output 第三方稽核報告	針對稽核報告之稽核發現進行矯正建議	矯正措施單 矯正佐證紀錄

威脅建模

 

Basics of Data-Centric System Threat Modeling

Step 1: Identify and Characterize the System and Data of Interest

l   The authorized locations for the data within the system.

Storage: all places where data may be at rest within the system boundaries;

Transmission: all ways in which data may transit over networks between system components 

and across the system’s boundaries;

Execution environment: e.g., data held in local memory during runtime, data processed by

virtual CPUs, etc.

Input: e.g., data typed in using the keyboard; and

Output: e.g., data printed to a physically attached printer, data displayed on the laptop screen

l   A basic understanding of how the data moves within the system between authorized locations

l   The security objectives (e.g., confidentiality, integrity, availability) for the data

l   The people and processes who are authorized to access the data in a way that could affect  the security objectives.

Example Scenario

Summary The data of interest is a spreadsheet containing personally identifiable information (PII) for employees who have received workers’ compensation.

The system of interest comprises

The authorized locations for the data of interest are as follows Storage: Transmission: Execution environment: Input: Output:

Description:

 

Step 2: Identify and Select the Attack Vectors to Be Included in the Model

Location 1: Stored in a spreadsheet on the local hard drive. l   Vector 1a: Attacker gains unauthorized physical access to the laptop, uses forensic tools or other utilities to copy the file (without authenticating to the OS). l   Vector 1b: Attacker gains unauthorized physical access to the laptop, exploits vulnerabilities to gain OS access (impersonating user/admin). l   Vector 1c: Attacker steals and reuses user/admin/service credentials. l   Vector 1d: Attacker gains access to/control over user’s session/device. l   Vector 1e: User forwards the file to an unauthorized recipient (user was tricked via social  engineering, user is malicious, user made a mistake, etc.) l   Vector 1f: Attacker accesses unsecured network service (e.g., connects to unsecured file share) and gains access to the file.

Location 2: Stored in a spreadsheet on a flash drive backup. l   Vector 2a: Attacker gains unauthorized physical access to the flash drive, mounts the drive and copies the file l   Vector 2b: Attacker steals and reuses user/admin/service credentials for laptop while flash drive is mounted.   l   Vector 2c: Attacker gains access to/control over user’s session/device while flash drive is mounted. l   Vector 2d: User forwards the file to an unauthorized recipient.

Location 3: Printed to a nearby printer over a wireless network connection. l   Vector 3a: Attacker monitors unencrypted or weakly encrypted wireless network communications and captures the data being sent to the printer l   Vector 3b: Attacker views a printout of the spreadsheet.

Location 4: Processed locally.  l   Vector 4a: Attacker gains access to/control over user’s session/device.

Location 5: Input locally l   Vector 5a: Attacker watches the information being typed in to the laptop. l   Vector 5b: Attacker uses keystroke logger on laptop to monitor keystrokes.

Location 6: Output locally. l   Vector 6a: Attacker views the information on the laptop screen l   Vector 6b: Attacker uses malware on laptop to take screen shots.

Selected attack vectors (based on the possibility and the likelihood of each attack vector being used to completely compromise confidentiality) l   Vector 1c: Data is stored in a spreadsheet on the local hard drive; attacker steals and reuses user/admin/service credentials. l   Vector 1d: Data is stored in a spreadsheet on the local hard drive; attacker gains access to/control over user’s session/device. l   Vector 2b: Data is stored in a spreadsheet on a flash drive backup; attacker steals and reuses user/admin/service credentials for laptop while flash drive is mounted. l   Vector 2c: Data is stored in a spreadsheet on a flash drive backup; attacker gains access to/control over user’s session/device while flash drive is mounted. l   Vector 4a: Data is processed locally; attacker gains access to/control over user’s session/device.

 

 

 

Step 3: Characterize the Security Controls for Mitigating the Attack Vectors

Feasible security control alterations: 1.        Require strong password with strongly encrypted password hash (vectors 1c and 2b). l   Effectiveness: Low l   Acquisition and implementation costs: Low  l   Annual management/maintenance costs: Low  l   Impact on functionality: Low  l   Impact on usability: Low  l   Impact on performance: Low   2.  Require multifactor authentication (vectors 1c and 2b) l  Effectiveness: High  l  Acquisition and implementation costs: Moderate  l  Annual management/maintenance costs: Moderate  l  Impact on functionality: Low  l  Impact on usability: Moderate  l  Impact on performance: Low  3.          Use antivirus software, spam filtering, real-time blacklists, user awareness, web reputation software, etc. (vectors 1c, 1d, 2b, 2c, and 4a) l   Effectiveness: Moderate  l   Acquisition and implementation costs: Moderate  l   Annual management/maintenance costs: Moderate  l   Impact on functionality: Moderate   l   Impact on usability: Moderate  l   Impact on performance: Moderate  4.          Patch vulnerabilities (vectors 1c, 1d, 2b, 2c, and 4a) l   Effectiveness: Low  l   Acquisition and implementation costs: Moderate  l   Annual management/maintenance costs: Moderate   l   Impact on functionality: Moderate   l   Impact on usability: Low    l   Impact on performance: Moderate

 

Step 4: Analyze the Threat Model

After much debate, the organization decides to set the following scores for the characteristics and weigh them all evenly: l   No security control effectiveness = 0  l   Security control effectiveness of low = 1   l   Security control effectiveness of moderate = 2 l   Security control effectiveness of high = 3    l   Negative implication of high = 1 l   Negative implication of moderate = 2  l   Negative implication of low = 3

 

 

Possible Security Controls	Acquisition and Implementation Costs	Annual Management/ Maintenance Costs	Impact on Functionality	Impact on Usability	Impact on Performance	Total for Security Control
Require strong password with strongly encrypted password hash	3	3	3	3	3	15
Require multifactor authentication	2	2	3	2	3	12
Use antivirus software, spam filtering, real-time blacklists, user awareness, web reputation software,	2	2	2	2	2	10
Patch vulnerabilities	2	2	2	3	2	11

 

Possible Security Controls	Security Control Effectiveness Per Attack Vector 每個攻擊媒介的安全控制有效性					Negative Implication Total	Security Control Effectiveness Times Negative Implication Total Per Attack Vector 安全控制有效性 乘以負面影響 每個攻擊媒介的總影響
	1c	1d	2b	2c	4a		1c	1d	2b	2c	4a
Require strong password with strongly encrypted password hash	1	0	1	0	0	15	15	0	15	0	0
Require multifactor authentication	3	0	3	0	0	12	36	0	36	0	0
Use antivirus software, spam filtering, real-time blacklists, user awareness, web reputation software, etc.	2	2	2	2	2	10	20	20	20	20	20
Patch vulnerabilities	1	1	1	1	1	11	11	11	11	11	11

 

自訂以數據為中心的系統威脅建模方法

 

本出版物主要介紹了以數據為中心的系統威脅建模定性方法。定量方法將比定性方法帶來更精確和準確的結果，但定量方法也將更加資源密集，並且除非指標和方法大多是自動化的，否則無法很好地擴展大型複雜系統的建模。  由於這種自動化尚未廣泛使用，如果有的話，本出版物側重於定性

建模，這仍然非常有益。將來，隨著更多自動化定量指標和方法的出現，組織應該重新考慮使用定量建模的可行性。

 

方法中的大多數操作都可以在內容（捕獲哪些資訊）和格式/結構（如何捕獲資訊）方面以多種方式進行處理。沒有“正確”的方法，這些例子純粹是說明性的。重要的是記錄足夠的資訊，以便為後續步驟提供必要的輸入，併為提出可操作的建議奠定基礎。

 

該方法靈活性的一個主要例子是步驟2。步驟 2 使用步驟 1 中的授權位置清單來獲取感興趣的數據。在示例中，每個攻擊媒介都以敘述方式定義，例如「攻擊者獲得了對筆記型電腦的未經授權的物理訪問，使用取證工具或其他實用程式複製檔（無需對操作系統進行身份驗證）」。。這個單一的語句實際上傳達了三條數據：1）惡意內容的來源，2）該惡意內容的潛在易受攻擊的處理器，以及3）惡意內容本身的性質。

 

一些組織可能更喜歡使用更具敘述性的方法來定義攻擊向量，因為其他人更容易理解，而其他組織可能希望採用更徹底或基於技術的方法，因此希望將威脅後果和操作作為識別攻擊向量的分類法。當然，由於現有的流程和工具或其他原因，還有許多其他方法來定義攻擊媒介，各個組織可能更喜歡使用。 另一個要考慮的因素是攻擊媒介的粒度;一個組織可能只有資源在真正高層次上考慮攻擊向量，而另一個組織可能希望進行深入研究，並使攻擊向量盡可能窄。Organizations may also want 確定其威脅建模的範圍，從而減少工作量。以步驟 2 為例，組織可以決定消除任何不值得進一步考慮的攻擊媒介。例如，組織可能決定忽略相對可能性最低的攻擊向量，因為有太多其他攻擊向量需要考慮。

同樣，組織可能只對可能導致機密性、完整性和可用性完全受損的攻擊媒介感興趣（至少在最初階段）。另一種可能性是消除沒有任何可行緩解措施的攻擊媒介。理想情況下，組織應該在篩選出任何攻擊向量之前分析所有攻擊向量 - 例如，一個不太可能的攻擊向量可能變得非常容易且便宜地緩解，或者單個緩解措施可以解決多個攻擊向量 - 但實際上，在某些情況下這可能不可行。

 

當然，組織可以跳過方法中與特定情況或環境無關的任何元素，同樣，如果其他因素對組織也很重要，組織也可以添加特徵。