ISO_IEC资讯安全管理模型.ppt

950320.pptCISMA(kjf),p1,一、前言二、ISO/IEC資訊安全管理模型三、ISO/IEC27001:2005(E)之演進四、ISO資訊安全標準與微軟營運架構(MicrosoftOperationFramework，簡稱MOF)之對應五、瞭解共同準則、選擇高安全度資安產品建置資訊系統安全六、結論七、附錄:1.資訊安全技術框架資源初探:以Microsoft為例2.資訊安全管理系統技術性控制措施之說明與實作以Microsoft修補程式作業為例,中華資訊安全管理協會長城安全網股份公司,企業資安標準規範與資安產品等級分類(CommonCriteria，CC)之發展狀況,樊國楨,中華民國九十五年三月二十日,950320.pptCISMA(kjf),p2,資訊社會威脅類型,950320.pptCISMA(kjf),p3,資訊社會攻擊類型,950320.pptCISMA(kjf),p4,美國通資訊安全發展簡史(一),1987年：ComputerSecurityAct。1990年：ClarkD.D.etal.:ComputeratRisk:SafeComputingintheInformationAge,NationalAcademyPress。1995年：3.1PresidentialDecisionDirective39(PDD-39)：PolicyonCounter-Terrorism(June21,1995)。3.2PaperworkReductionAct(PRA)：美國OMB(OfficeofManagementandBudget)據以頒布CircularNo-A-130(SpecificallyAppendixIII)規定聯邦機構建立包含指定元件之安全計畫，並適時修正。1996年：ThePresidentExecutiveOrder13010-CriticalInfrastructureProtection(July15,1996)1997年：MarchR.T.etal：TheReportofthePresidentsCommissiononCriticalInfrastructureProtection。1998年：PDD-63：CriticalInfrastructureProtection(May22,1998)NationalSecurityTelecommunicationsandInformationSystemsSecurityInstruction(NSTISSI)No.1000：NationalInformationAssuranceCertificationandAccreditationProcess(NIACAP)。,950320.pptCISMA(kjf),p5,美國通資訊安全發展簡史(二),2001年：USAPATRIOTAct：UnitingandStrengtheningAmericabyProvidingAppropriateToolsRequiredtoInterceptandObstructTerrorismAct。2002年：9.1：網路安全研究與發展法案（註：2002年2月7日，美國國會通過美國聯邦政府未來5年撥款8.78億美金，其中5.68億美金做為資訊安全專業學生之獎學金，由美國NSF執行；另外的3.1億美金做為博士後研究等研究計畫獎勵，由美國NIST執行之CyberSecurityResearchandDevelopmentAct(CSRDA)）。9.2：FederalInformationSecurityManagementAct(FISMA;December,2003)。2003年：10.1TheNationalStrategytoSecureCyberspace(February,2003)。10.2HomelandSecurityPresidentialDirective(HSPD7):CriticalInfrastructureIdentication,Prioritization,andProtection(December17,2003)。2004年：公布執行FISMA之聯邦資訊過程標準第199號(FIPS199)。2005年：公布執行FISMA之聯邦資訊過程標準第201號(FIPS201)。,950320.pptCISMA(kjf),p6,NSTISSC安全模式,備考：1.NSTISSC:NationalSecurityTelecommunicationsandInformationSystemSecurityCommittee。2.NSTISSI:NationalSecurityTelecommunicationsandInformationSystemSecurityInstruction。3.Source:NSTISSINo.4011。,950320.pptCISMA(kjf),p7,資訊安全的願景,建立任何對通資訊系統關鍵功能的中斷或操縱必須是短暫的、罕見的、易於處理的、地理上孤立的，以及對數位社會繁榮最低限度的危害。之能力，確保資訊安全。Anyinterruptionormanipulationofthesecriticalfunctionsmustbebrief,infrequent,manageablegeographicallyisolated,andminimallydetrimentaltothewelfareoftheUnitedStates.PresidentClintoninPDD-63.,950320.pptCISMA(kjf),p8,全面性方法-結合關鍵的評鑑行動,資料來源：Katzke,S.(2003)ProtectingFederalInformationSystemsandNetworks,InPresentationofthe4thInternationalCommonCriteriaConference,Sept.79,2003,Stockholm,Sweden.,950320.pptCISMA(kjf),p9,美國資訊保證認驗證過程之出版品,950320.pptCISMA(kjf),p10,美國聯邦政府資訊安全管理法案資訊安全管理系統之安全標準暨指導綱要的關連,950320.pptCISMA(kjf),p11,1.2003瑞士日內瓦召開之世界高峰會(WorldSummitontheInformationSociety，簡稱WSIS):提出原則性聲明(DeclarationforPrinciples)與行動計畫(PlanofAction)。2.WSIS與資訊安全管理模型相關之原則性聲明主要原則:建立通資訊技術的信賴與安全建立各層面足以發展的環境3.2005年10月15日出版之資訊安全管理系統需求(ISO/IEC27001:2005(E)成為ISO/IEC27000系列標準之第一分標準。,ISO資訊安全管理模型與WSIS,950320.pptCISMA(kjf),p12,ISO/IECJTC1/SC27安全管理模型觀點之CNS標準對照,950320.pptCISMA(kjf),p13,資訊安全管理系統驗證之ISO觀點,950320.pptCISMA(kjf),p14,ISO/IEC27000系列標準簡述,1.ISO/IEC27000：資訊安全管理系統之原則與詞彙。1.ISO/IEC27001：資訊安全管理系統要求，已於2005-10-15公布。2.ISO/IEC27002：ISO/IEC17799：2005(E)於頒布時說明2007年將改版成為ISO/IEC27002。4.ISO/IEC27003：資訊安全管理系統實作指引(Informationsecuritymanagementsystemimplementationguidance)，預定2008年10月公布。5.ISO/IEC27004：資訊安全管理測度與測量(Informationsecuritymanagementmetricsandmeasurements)，預定2006年11月公布。6.ISO/IEC27005：風險管理之原則與實作的通用指導綱要(Generalguidelinesforprinciplesandimplementationofriskmanagement)，2005年09月5-7日召開第1次工作小組會議。7.ISO/IEC27006：資訊與通訊技術災害回復指導綱要(Guidelinesforinformationandcommunicationstechnologydisasterrecoveryservices)，預定2007年11月公布。參考資料：IRCA/299/05/01：2005-12-09，暨作者自行整理。,950320.pptCISMA(kjf),p15,ISO/IEC17799:2005(E)之資訊安全用語釋義,950320.pptCISMA(kjf),p16,共同準則要求之缺點修補程序的證據內容和表現元件,950320.pptCISMA(kjf),p17,共同準則要求之缺點修補程序的證據內容和表現元件(續),950320.pptCISMA(kjf),p18,共同準則要求之缺點修補程序的證據內容和表現元件(續),950320.pptCISMA(kjf),p19,微軟(Microsoft)WSSRA(WindowsServerSystemReferenceArchitecture)發展示意,950320.pptCISMA(kjf),p20,資訊安全管理系統控制措施框架示意說明,950320.pptCISMA(kjf),p21,可信賴資訊系統安全評估準則簡史,950320.pptCISMA(kjf),p22,共同準則3.1版(ISO/IEC15408:2006(E)?與ISO/IEC18045:2006(E)?)預定時程,2005年07月04日：共同準則3.0版之公開審查與試用開始。2005年11月01日：意見收件截止。2006年05月：共同準則3.1版發行。2006年07月：相關成員背書。2008年01月：無共同準則2.1版(ISO/IEC15408:1999(E)之評估。,950320.pptCISMA(kjf),p23,安全概念與關係,資料來源：ISO/IECJTC1/SC27WG3(2005)ISO/IECWD15408-1Figure1,p.10。,950320.pptCISMA(kjf),p24,脆弱性評比(RatingofVulnerabilities),資料來源：ISO/IECJTC1/SC27WG3(2005)ISO/IECWD18045：2005(E),p294。,950320.pptCISMA(kjf),p25,開採花費時間(Timetakentoidentityandexploit，簡稱PAV_TTE)：6組件。專業技能需求(Specialisttechnicalexpertiserequired，簡稱PAV_STE)：3組件。評估標的設計與操作之知識(KnowledgeoftheTOEdesignandoperation，簡稱PAV_KNO)：4組件。機會之窗(Windowofopportunity，簡稱PAV_WOP)：5組件。開採所需之資訊技術硬體與軟體或其他設備(IThardware/softwareorotherequipmentrequiredforexploitation，簡稱PAV_HSW)：3組件。,潛在脆弱性開採類別(AttemptedExploitationofPotentialVulnerabilities，簡稱PAV)之屬別(Families)與組件(Components),950320.pptCISMA(kjf),p26,潛在入侵(AttackPotential)計算對照表(*代表超越高度困難之潛在入侵，*代表幾不存在可開採之潛在入侵路徑),資料來源：ISO/IECJTC1/SC27WG3(2005)ISO/IECWD18045：2005(E)p.293。,花費時間,專業技術層次,需具有之評估標的相關知識,機會之窗,所需之相關設備,950320.pptCISMA(kjf),p27,共同準則對可信賴資訊使用環境之衝擊-以微軟可信賴資訊使用環境生命週期為例,950320.pptCISMA(kjf),p28,MicrosoftWindow2000之似亂數產生器架構,950320.pptCISMA(kjf),p29,微軟公司通過資訊安全評估共同準則產品列表(2005-12-31),950320.pptCISMA(kjf),p30,微軟公司通過資訊安全評估共同準則產品列表(2005-12-31)(續),950320.pptCISMA(kjf),p31,美國Cstrategyisbasedonconceptthatattacksmustpenetratemultipleprotectionsthathavebeenplacedthroughoutthesystemtobesuccessful.,950320.pptCISMA(kjf),p39,說明：1.公開金鑰基礎建設(PublicKeyInfrastructure，簡稱PKI)/金鑰管理基礎建設(KeyManagementInfrastructure，簡稱KMI)。2.偵測與回應。,深度防禦示意說明,950320.pptCISMA(kjf),p40,微軟公司2002提出之深度防禦資訊安全解決方案,資料來源：,950320.pptCISMA(kjf),p41,結論,1.可信賴之網路社會其資訊安全保證之達成，已成為數位空間安全基礎建設的礎石。2.資訊安全管理系統之標的在於：從確保資訊資源的合法存取，到在所有可能遭受資訊攻擊之階段，提供完整、未中斷的資訊系統運行。3.資訊技術一日千里，建構數位社會資訊安全之情境：運籌於虛擬實境之外，決勝在網頁方寸之內；因人員依侍技術操作，故應根基於技術控制、作業控制、意外控制與管理控制等4個構面實作。,950320.pptCISMA(kjf),p42,敬請指教ThankYou,950320.pptCISMA(kjf),p43,附錄1:資訊安全管理控制框架與ISO/IEC27001:2005(E)規範性控制措施，可符合相對應微軟資訊安全管理之產品與文件資源對照,950320.pptCISMA(kjf),p44,附錄1:資訊安全管理控制框架與ISO/IEC27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.pptCISMA(kjf),p45,附錄1:資訊安全管理控制框架與ISO/IEC27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.pptCISMA(kjf),p46,附錄1:資訊安全管理控制框架與ISO/IEC27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.pptCISMA(kjf),p47,附錄1:資訊安全管理控制框架與ISO/IEC27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.pptCISMA(kjf),p48,附錄1:資訊安全管理控制框架與ISO/IEC27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.pptCISMA(kjf),p49,附錄1:資訊安全管理控制框架與ISO/IEC27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.pptCISMA(kjf),p50,附錄1:資訊安全管理控制框架與ISO/IEC27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.pptCISMA(kjf),p51,附錄1:資訊安全管理控制框架與ISO/IEC27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.pptCISMA(kjf),p52,附錄1:資訊安全管理控制框架與ISO/IEC27001:2005(E)規範性控制措施的對照，可符合相對應微軟資訊安全管理之產品與文件資源（續）,950320.pptCISMA(kjf),p53,附錄2:資訊安全管理系統技術性控制措施之說明與實作以Microsoft修補程式作業為例,12.6技術脆弱性管理目標：降低來自於利用已公佈的技術脆弱性導致的風險。技術脆弱性管理宜以有效的、系統化的、及可重覆的方式實施，並加以量測以確認其有效性。宜考慮作業系統，以及其它使用中的應用。12.6.1技術脆弱性的控制控制取得關於使用中資訊系統的技術脆弱性之及時資訊，評估組織對該脆弱性的曝露，以及採取適當的量測以處理相關的風險。,950320.pptCISMA(kjf),p54,實作指引有效的技術脆弱性管理的前提是一份目前與完整的資產清冊（見7.1節）。需要支援技術脆弱性管理的特定資料包括軟體供應商、版本號碼、目前的部署狀態（例如哪些軟體安裝在哪些系統上）、及組織內負責該軟體的人員。採取適當與及時的行動以因應識別出的潛在技術脆弱性。遵循下列指引以建立有效的技術脆弱性管理程序：組織宜定義與建立與技術脆弱性管理相關的角色與職責，包括脆弱性監控、脆弱性風險評鑑、修補、資產追蹤、及所需的協調責任；用來識別相關技術脆弱性與維持認知的資訊資源宜識別其軟體與其它技術（依資產清冊清單，見7.1.1）；這些資訊資源在清冊變更，或發現其它新的或有用的資源時更新；,附錄2:資訊安全管理系統技術性控制措施之說明與實作以Microsoft修補程式作業為例(續),950320.pptCISMA(kjf),p55,定義反應潛在的相關潛在技術脆弱性通知的時間表；一旦確定有潛在技術脆弱性，組織宜確認相關的風險與將採取的行動，可能包括修補脆弱的系統，以及/或者採用其它控制；依據技術脆弱性需要處理的緊急程度，依據變更管理（見12.5.1）相關的控制，或採用資訊全事件反應程序（見13.2），實施需採取的行動；若有可用的修補程式，則評鑑安裝修補程式相關的風險（比較脆弱性造成的風險與安裝修補程式的風險）；在修補程式安裝之前需測試評估，以保證其有效性與不導致無法容許的副作用；若無可用的修補程式，則考慮其他的控制，如:關閉與脆弱性相關的服務或功能；採用或增加存取控制，如：防火牆、網路邊界（見11.4.5）；增加監控以偵測或預防實際的攻擊；提昇脆弱性的認知；記錄採取的所有程序的稽核日誌；定期監控與評估技術脆弱性管理程序，以保證其有效性與效率。先處理高風險的系統,附錄2:資訊安全管理系統技術性控制措施之說明與實作以Microsoft修補程式作業為例(續),950320.pptCISMA(kjf),p56,其它資訊技術脆弱性管理程序的正確運作對許多組織是不可或缺的，因此需要經常的監控。精確的財產清冊對確保識別潛在