《资讯安全之风险管理及评估》由会员分享,可在线阅读,更多相关《资讯安全之风险管理及评估(48页珍藏版)》请在金锄头文库上搜索。
1、整理课件,資訊安全之風險管理及評估-以BS7799為例,組長:廖健智 組員:蔡宗軒、黃國聯、黃逸平、 蔡怡真、鄭雅招,指導老師:曹民和 老師,整理课件,Agenda,一、前言 二、資訊安全 三、資訊安全規範 - BS7799 四、誰適合BS7799 五、資訊安全之風險評估 六、資訊安全應用 七、結語 八、參考文獻,整理课件,一、前言,全球商業環境隨時面對有意圖性的資訊系統攻擊,評估每年 大約損失150 億美元,且損失金額逐年升高。2003 年8 月全球各地上百萬台電腦在短短12 天內被接續出現的Blaster、Welchia 與Sobig.F 三種新生病毒感染而遭受系統癱瘓或作業中斷的衝擊,評
2、估這些威脅所造成的損失約為20 億美元。2004 年5 月殺手病毒(Sasser)肆虐造成全台灣三分之一的郵局即430 個支局共約1,600 個工作站電腦當機影響金融業務的交易甚鉅。根據美國CERT/CC 統計資料(Computer security incidents reported )顯示,2003 年資訊安全事件共137,529 件較2002 年增加67.5%(2002 年82,094 件),成長速度急遽攀升足以揭示現今企業組織的資訊安全面臨日益升高的威脅。此類層出不窮的事件傳達一項明確的訊息不安全是昂貴的,資訊安全的風險阻礙的潛能及嚴重影響企業日常的運作。如何建構有效的資訊安全的風險
3、管理已是刻不容緩的議題。,美國CERT/CC 資訊安全事件統計資料,整理课件,二、資訊安全,何謂資訊 資料是指未經處理之原始訊息,其內容可能包含數值、文字、事件描述等多樣化格式之眾多呈現方式。 資訊則是將眾多資料藉由整理或分析的過程,使其成為有意義之內容,具有價值及重要性之資訊也將成為決策制定之參考依據。為有效確保重要資訊的保存,防止非法存取、竄改或惡意毀損與破壞,資訊安全之維護成為個人、企業組織或國家相當重視的議題。,整理课件,二、資訊安全,資訊的重要性 隨著知識經濟時代的來臨,資訊的收集與保護對企業組織與個人都越來越重要。,整理课件,二、資訊安全,何謂資訊安全 現今資訊安全重點強調的是由上
4、而下的整體架構,重視的是管理而非技術,單以密碼學的角度看資訊安全並不正確。,整理课件,二、資訊安全,何謂資訊安全 資訊安全,是管理而非技術 妥善的資訊安全管理是確保組織得以持續成長的 重要關鍵 資訊安全管理議題中最重要的部分 人員管理在過去一向被人所忽略 不能僅以防火牆與入侵偵測系統的 技術面來看資訊安全,整理课件,二、資訊安全,資訊安全之定義,整理课件,二、資訊安全,資訊安全之定義 資訊安全是防範資訊資產遭受各種安全威脅,目的在於確保企業持續營運、企業損失減至最小並且投資報酬率及商機增至最大,並以保護下列三者為其特性: 機密性(Confidentiality) 確保只有被授權的人可以存取資訊
5、 完整性(Integrity) 確保資訊及處理方法的正確及完整 可用性(Availability) 確保資訊在被授權的人有需要時可以存取,整理课件,二、資訊安全,資訊安全防護措施的三大目標 - CIA,資訊安全防護措施的三大目標 - CIA C 機密性(Confidentiality) 機密性為資訊安全必須能確定唯有通過認證的使用者才得以存取資料 當不論任何人都可以輕易得知機密或極機密等級文件內容,這就形同沒有資訊安全。 I 真確性或完整性(Integrity) 完整性是指當資訊在經過保護及傳送的過程中,仍能確保資訊的正確性及真確性 現今所指的資訊完整性,大多是發生在網際網路的傳輸品質以及加/
6、解密技術上 A 可用性(Availability) 可用性即為通過認證的使用者隨時都可取得所需的資訊 除了保護系統的安全外,更應考慮到讓使用者隨時都可使用的便利性,整理课件,二、資訊安全,資訊安全之威脅,整理课件,二、資訊安全,資訊安全之相關標準,整理课件,三、資訊安全規範 - BS7799,BS7799是什麼 BS7799 - 國際資訊安全稽核規範,全名是 BS7799 Code of Practice for Information Security,由英國標準協會在 1995 年提出、修訂,為目前國際上最知名的安全規範,而且已被 ISO (International Organizati
7、on for Standardization) 接納成為國際標準稱為ISO-17799。,整理课件,三、資訊安全規範 - BS7799,BS7799是什麼 起源 資訊安全管理規範(BS7799)是由英國標準協會(BSI;British Standards Institution)所制定之資訊安全標準 目的在於確保企業組織資訊相關資產之安全,並在確保資訊機密性、完整性及可用性的基礎下建立資訊安全管理系統(ISMS;Information Security Management System) 1995年由英國標準協會(BSI)將資訊安全管理實務準則(Code of practice for In
8、formation Security Management)訂為國家標準,即為BS7799-I,整理课件,BS7799是什麼 1998年英國標準協會(BSI)公佈資訊安全管理系統規範(ISMS;Information Security Management System),即為BS7799-II 2000年底由國際標準組織(ISO;International )將BS7799-I列為國際標準,並命名為ISO 17799 2002年BSI 再次修訂BS7799-II 2005年再次修定為BS7799:2005,ISO則納入PARTII成為ISO 17799與ISO 27001,三、資訊安全規範
9、- BS7799,整理课件,三、資訊安全規範 - BS7799,BS7799是什麼,整理课件,三、資訊安全規範 - BS7799,BS7799是什麼 內容 BS7799 內容大致上分成兩個部分: The code of practice for information security systems: 設立了產業最佳的管理資訊安全準則 Specification for Information Security Management Systems - ISMS資訊安全管理系統:詳述 IT 安全應用與稽核所應遵循的架構,包含 11 個控制領域與 44 個控管目標,它可以來設置應用的時程,並以
10、 135 個控管項目來保證目標的達成。,整理课件,三、資訊安全規範 - BS7799,BS7799是什麼 內容 BS7799 包含了所有企業安全政策,從安全政策的擬定、安全責任的歸屬、風險的評估、到定義與強化安全參數及存取控制、防毒策略。 根據 BS7799 標準的風險評估包括了兩項系統化的考量: 1.IT 安全的破壞造成可能的資訊保密性、 真確性與可用性失效之後果,將會導致對企業的 傷害。 2.對各種威脅的防範與合理的控管都會影響這些破 壞發生的實際可能性。,整理课件,三、資訊安全規範 - BS7799,BS7799 Part I & Part II Part I : Code of Pra
11、ctice 1 , ISO 17799“明確”的”建議”要有哪些資訊安全控管 於2000通過成為ISO 17799:2000 於2005.06.10通過, 發成為ISO 17799 :2005 版 Part II : Specification (Audit Guideline), BS7799認證規範,為英國之標準 200511月成為ISO之標準( ISO 27001)世界各國多已採用BS7799或ISO 17799之系規範, 待ISO 27001 通過後, 未會將ISO 17799 修改成為 ISO2700X 相關系,整理课件,三、資訊安全規範 - BS7799,BS7799是一套國際的標
12、準 發展一套各行各業遵循資訊安全管理系統的國際標準 BS7799 Part1 = ISO17799 = CNS17799 (我國經濟部標準局編號) Code of practice for information security management 資訊安全管理系統實務準則 BS7799 Part2 = CNS 17800 (我國經濟部標準局編號) Specification for information Security Management Systems 資訊安全管理系統驗證規範,整理课件,三、資訊安全規範 - BS7799,ISMS是什麼 ISMS利用風險分析管理工具,結合企業資
13、產列表、威脅來源的調查分析及系統安全弱點評估等結果,綜合評估影響企業整體的因素,以訂定適當的資訊安全政策與資訊安全作業準則來降低潛在的風險危機。 簡而言之:ISMS是一套管理潛在資訊風險的方法。,整理课件,三、資訊安全規範 - BS7799,ISMS是什麼 藉由國際標準的規範,達到確保管理性資訊安全的目標。BS7799是國際承認的衡量標準,用來評斷企業內架構的ISMS系統是否能適當而有效地達成資訊安全的三個目標。 建立ISMS系統並不必然就得申請BS 7799認證,不過BS7799的135條控制標準是審查ISMS的最好方法,通過BS7799的審核代表著所建立的ISMS系統具有可接受的有效性。,
14、整理课件,三、資訊安全規範 - BS7799,ISMS導入模型(PDCA) PDCA視為ISMS一個完整的循環,與ISMS相關的決策、文件、定義、作業、流程、紀錄都需要符合PDCA的循環,以確保ISMS每一個動作都遵循PDCA的順序。,整理课件,三、資訊安全規範 - BS7799,BS7799的10大控管重點,整理课件,三、資訊安全規範 - BS7799,BS7799的導入模式 BSI採用ISO9001及ISO14001之規劃-執行-確認-行動 模型(PDCA;Plan-Do-Check-Act Model) 於2005年發展了BS7799-II:2005,從建置ISMS、實行與操作ISMS、
15、監控與檢視ISMS、維護與改善ISMS等四部份定義必須注意之規範需求,因此BS7799-II:2005可謂是資訊安全管理系統策略。,整理课件,三、資訊安全規範 - BS7799,BS7799的導入模式 PDCA模型,整理课件,三、資訊安全規範 - BS7799,BS7799的導入模式 認證程序,整理课件,三、資訊安全規範 - BS7799,什麼是 CNS17799 / CNS17800 我國經濟部標準檢驗局於2002年12月公告資訊安全管理系統驗證標準CNS 17799及CNS 17800。資訊安全管理系統驗證標準其內容主要依據ISO 17799(原BS 7799-I:1999)轉定為國家標準
16、CNS 17799,為提供組織作為建立資訊安全管理制度之指導綱要。 另依據BS 7799-II:2002轉定為國家標準CNS 17800,為我國受理資訊安全管理制度之驗證標準。,整理课件,三、資訊安全規範 - BS7799,什麼是 CNS17799 / CNS17800,ISO/IEC 27001 資訊安全管理系統驗證規範,ISO/IEC 17799-III:2005 資訊安全管理執行,整理课件,三、資訊安全規範 - BS7799,什麼是 CNS17799 / CNS17800 CNS 17800之PDCA模式,整理课件,四、誰適合 BS7799?,政府單位發生的資安案例 : 在台灣,我們常常可以看到報章雜誌以及電視新聞的報導,各大網站受到駭客入侵,可說是頗不平靜,關於這些駭客的狀況,雖然報導很多,但大部分都只是曇花一現。 對於台灣常出現的駭客入侵議題,以下做一個簡單且較深入回顧及探討。駭客入侵仍是台灣資訊安全所面臨最大的問題。,整理课件,四、誰適合 BS7799?,以學術單位為例: 國內教育環境的資安挑戰與對策 : 教育體系資安作業推動目標建完備之教育體系資安作業體系建深化之
