# 一、資安個資風險管理 * 什麼是威脅? 原本就存在 * 什麼是風險? 威脅相應弱點，而組織有弱點 * 什麼是目標? ## 風險定義 * 依據ISO 31000定義，影響目標達成的不確定因素 * 風險是威脅機率與衝擊影響的組合 * 不確定因素 * 正面:機會 * 負面:威脅 * 出門所面臨的風險是什麼? * 車禍、... * 目標是什麼? ## 目標 * 資安目標: 合規並達成CIA * 個資目標: 保護隱私權並促進個人資料合理利用 ## 怎麼做? * 盤點:盤點資訊資產(8大資產) * 資料: 個資及企業專有資料 * 企業專有資料:可樂配方、營業秘密 * 個人資料 * 分類 * 依資產價值分類 * 第一類系統、第二類系統、第三類系統 * 保護 * 控制措施(管理、技術、實體) * NIST RMF(高中低)、ISO 27001 ## 資訊資產 * 資料 * 電腦系統 * 作業系統 * 軟體 * 網路 * 資料中心 * 人員 * 業務流程 ## 個資 * 可直接或間接識別個人的資料 * 特種個資: 醫療、病歷(保險業) ## 威脅(外來的)定義 * 影響目標達成的負面不確定因素 * 影響資訊系統造成資料洩漏、竄改或中斷服務等 * 威脅有哪些? * 天然災害: 地震颱風 * 人為錯誤: iRent * 惡意行為: 駭客入侵 * 評估方式: 發生機率(probability)及可能性(likelihood) ## 弱點(本身存在)定義 * 威脅與弱點是相伴 * 在某方面視為優點，在另一方面可能是弱點 * USB優點是可攜、轉移檔案方便，對電腦病毒來說就是弱點 * 弱點可被威脅所利用 * 人員(資安意識不足) * 技術(軟硬體設計缺失) * 流程(流程設計不當) * 被威脅利用(exploit)的難易程度 * 家裡的威脅與弱點 * 火災:消防 * 小偷:門窗 (治安風水師) ## 風險定義 * 威脅源: 駭客 * 威脅事件: DDOS、惡意程式、釣魚郵件 * 弱點: 嚴重程度 * **P(風險)= P(威脅) * P(弱點)** ## 風險管理 * 1大目標: 管到高層可以接受層度 * 2大程序: 風險評鑑(assessment)與風險處置(treatment) * 3大步驟: 風險識別、風險分析及風險評估(evaluation) * 4大方法(風險處置): 避免、降低、轉移、接受 ## 風險評鑑與風險處理 ## 威脅識別: CIA + Compliance * 資訊系統威脅 * 實體: 設備、機房破壞、灰塵 * 天然災害: 地震、火災、水災 * 必要服務: 水、電、空調、網路 * 放射線干擾: 電磁輻射影響通訊 * 資訊破壞: 通訊被攔截或被監控 * 技術錯誤: 設備發生錯誤、軟體功能失效 * 未經授權行為: 盜版軟體、未經授權安裝使用 * 功能破壞: 使用錯誤(設定錯誤)、拒絕行動(不執行)、濫用權利 * 個資威脅 * 合規(生命週期) ## 威脅識別:攻擊樹 * 使用邏輯圖顯示所有可能影響系統的攻擊。 ## 風險分析 * 量化: 期望值法 * 質化: 德爾菲法(Delphi) * SLE= AV * EF * 根據過去紀錄，台北地區每50年發生3次6級以上大地震，機房價值為2000萬，一旦發生6級以上大地震，可能導致機房1200萬損失，請問年化損失期望為?(1)1200萬(2)120萬(3)72萬(4)2000萬 ## 風險處置 * 避免 * 降低 * 轉移:保險 * 接受 ## 安全控制措施 * 降低風險發生 * 實體類、邏輯類、組織類 # 二、法規與政策方向 ## 資安相關法令 ### 資通安全管理法 ### 金融機構辦理電腦系統資訊安全*評估*辦法 * 整體 * 目標:一致性基本安全防護 * 風險評鑑:發現資安威脅與弱點 * 風險處置:控制措施 * 評估範圍 * 資產重要分類: * 第一類:直接提供客戶自動化服務或對營運重大影響(每年評估一次) * 第二類:經人工介入以直接或間接堤供客戶服務之系統(每三年評估一次) * 第三類 * 抽樣 * 遇到重大資安事件，應於三個月內重新評估 * 評估項目 * 資訊架構 * 網路活動 * 網路設備、終端設備 * 網路安全檢測 * 安全設定 * 合規檢視 * 個資保護要求(第5條) #### 金融機構資通安全防護基準 * 設備基準 * 營運基準 * 技術基準 #### 金融機構辦理電子銀行業務安全控管作業基準 * 交易類別及風險 * 電子轉帳及交易指示類 * 非電子轉帳及交易指示類 ## 個資相關法令 ### 個資法整體框架 * 生命週期:蒐集、處理、利用、銷毀 * 最小蒐集原則、蒐集同意、出事告知 ### 個資法(27條) * 適當安全措施 * 安全維護計畫及業務終止後個人資料處理方法 * 金管會指定非公務機關個人資料檔案維護辦法 * 資料共享指引 ### 個資法施行細則(第12條) * 安全維護措施、安全維護事項、適當之安全措施 * 技術上、組織上之措施 * 前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則 * 11項 ### 金管會指定非公務機關個人資料檔案維護辦法(第10條) * 電子商務服務系統:透過網路進行產品或服務之廣告、行銷、供應、遞送等商業交易活動 * 使用者身分確認及保護措施(帳號密碼登入) * 隱碼機制(陳*昌) * 傳輸安全加密機制(TLS、SSL) * SDLC驗證、確認 * 個人資料檔案及資料庫存取控制與保護監控措施 * 防止外部網路入侵對策(演練改善) * 非法與異常使用之監控與因應機制(演練改善) ### 個資法(12條)通知當事人 * 個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。 ### 個資外洩告知方式(個資法施行細則第22條) * 適當通知方式 * 言詞 * 書面 * 電話 * 簡訊 * 電子郵件 * 傳真 * 電子文件或其他足使當事人知悉 ### 金管會指定非公務機關個人資料檔案維護辦法(第6條) * 事故應變通報及預防機制 * 應變措施 * 控制損害 * 通知當事人 * 通知當事人內容 * 通報措施 * 通報對象及方式 * 於七十二小時內通報 * 預防措施 * 矯正預防措施 * 應經公正、獨立且取得相關公認認證資格之專家，進行整體診斷及檢視 ### 個資法(29條)免責 * 非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。 ### 案例 * 雄獅旅行社(Good) * EZ訂(Bad) ### 個資法新修正法條(48條) * 非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。 * 非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，其情節重大者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。 # 三、資安事件應變處置 ## NIST 1. 準備: 管理政策、計畫、團隊、意識 2. 偵測與分析: 偵測分析、排定優先順序、通報、記錄 3. 隔離、根除與復原: 隔離、移除、復原 4. 事後活動: 反省檢討、持續改善 ## 1.事前準備階段(Preparation) 1. 訂立企業資安策略 2. 定期風險評鑑 3. 定義企業核心資產及應關注事件 4. 組建CSIRT團隊: 供應商、資安公司、司法人員 5. 事件處理目標: RTO、RPO、MTD 6. 訂定復原策略與計畫 7. 演練及檢討 ### 事件應變團隊 * 原則 * 跨部門領導 * 尋找關鍵角色 * 團隊共同責任 * 技能角色互補 * 成員 * 供應鏈 * 資安公司或司法人員 ### 事件處理目標 * MTD: 最大可容忍中斷時間 * RTO: 事件發生後回復至最小服務水準之時間目標 * RPO: 事故發生時與上次備份資料之資料落差 #### 事件復原策略與應變計畫 * 事件分級 * 衝擊程度: CIA、影響客戶數、資產重要程度 * 處理程序 * 團隊啟動條件 * 職責分工 * 緊急、備援、復原程序 * 通報窗口與程序 #### 演練方式 * CheckList * 桌密演練 * 模擬演練 * 平行演練 * 全中斷演練 #### 演練情境 * 桌面演練 * 電子銀行業務安全控管作業基準 * 檢視資安應變計劃優缺點，強化參與者能力與處理過程 * 通報演練及應變演練 * 通報窗口資料正確性 * 社交工程演練 * 資安意識 * 紅藍隊演練 * 防護有效性 ## 2.偵測分析階段(Identification) * 監控系統異常事件 * 分析事件實際影響層級 * 確認事件後收集證據、紀錄實際狀況 * 優先順序 * 通知紀錄 ### 蒐集內外部數據情資 * 資訊設備 * 認證錯誤 * 網路異常 * 日誌問題 * 異常事件 * 員工回報 * 第三方回報 ### 事件分流過濾與分析 * 事件分類 * 事件關聯 * 優先次序 * 指派工作 ### 事件指派與回報 * 確認真偽 * 確認範圍 * 調查事件影響情形 * 啟動應變控制程序 * 回報或通報 ## 3.應變隔離程序(Containment) * 啟動安全應變團隊 * 肇事點隔離控制 * 暫停伺服器與網路連線 * 暫停使用者存取 * 防火牆中斷連線 * 保存證物 * 權衡營運與取證 ### 蒐集及保存證據原則 * 證物監管鏈 * 處理人員具資格 * 注意 * 製作2份 * 保存原件 * 營運取證權衡 * 重點取證(系統過大) ## 4.根除程序(Eradication) ### 控制後作為 * 技術面 * 事件相關資訊 * 分析稽核日誌 * 進階技術支援 * 部署解決方案 * 確認事件根源 * 清理確認或疑似受駭系統 * 透過資安設備阻擋事件IoCs * 管裡面 * 利害關係人溝通 * 上級管理層干預 * 跨部門指揮調度 * 法律面 * 訴訟責任歸屬 * 隱私保護規定(事件發生後通知) * 法規衍生問題 ## 5.復原程序(Recovery) * 復原後系統完整性 * 提升系統安全性 * 持續監控異常事件 ### 復原程序 1. 識別與解決漏洞 2. 回復服務與資料 3. 回復信心 ### 回復系統 1. 重建系統 2. 補丁與防毒 3. 更改密碼 4. 強化安全管控 5. 重新檢測分析漏洞 ## 6.事後檢討(Lesson Learned) * 紀錄事件發生詳細狀況 * 檢視事件處理流程是否完善 * 依據事件根因規劃未來改善方向 ### 事件分析報告 * W5W1H ### 事件feedback * 事件報告內容 * 處理優缺點 * 改進事項 * 損失估算 * 避免再次發生 ### 應變計畫修訂與更新 * 定期或不定期檢討 # 四、案例討論 ## DDOS攻擊 ## 華航個資外洩事件 ## 戶役政系統資料外洩事件