上一期我們說明了在雲端控制矩陣之中,有關法律議題與營運作業時應實施的安全要求,並且要從整體雲端服務的角度來評估可能的風險,本期將說明有關發行安全管理和災難回復能力之要求。
RM-05 未授權的軟體安裝
這項控制措施是要求應建立政策和程序,並且實施相關作法來限制未授權的軟體安全。
對此,可參照「A.10.4.1 對抗惡意碼的控制措施」之要求,制定正式政策來規範使用者不可任意自網路上下載安裝未經授權的軟體,並實施教育訓練讓使用者有足夠的認知,以避免來自網路和電子郵件等惡意程式的入侵。同時也可依據「A.11.6.1 資訊存取限制」之要求,遵守所制定的存取控制政策,確保只有符合擁有存取權限的人員才可存取系統。
災難回復之安全要求
雲端服務的運作,除了必要的安全管控措施之外,還需要更進一步思考可能發生的潛在危機和災難,藉此來提早防範於未然。在雲端控制矩陣之中,對於雲端服務的災難復原事項,也提出了以下8個的安全控制要求。
RS-01 災難復原之管理計畫
在實務方面,有關業務持續與災難復原的政策、流程和程序,應依據組織的業務、法令法規及合約的要求來制訂完成,將預期到的可能災難風險,降低至可接受的水準,並透過預防與復原的措施,減少災難對於組織的衝擊與影響。組織的復原管理計畫,應與組織業務所有相關人員進行溝通,並且發佈給這些人員,將它存放在災難發生時易於被取得的地方。
在標準方面,可以參照ISO 27001附錄「A.14.1.1 將資訊安全納入業務持續管理流程」,要求組織依照業務所需的資安要求,發展和維持整體的業務持續管理流程,也就是需要去識別和業務有關的關鍵活動,以及支持這些關鍵活動所需的資產,例如人員、場地、資訊、技術、供應商、利害關係人等,組織必須充分地了解這些資產所需的安全要求,以及這些資產可能引起營運中斷的風險,評估其可能造成的衝擊,然後再選擇適當的控制措施。
RS-02 衝擊分析
對於可能造成組織營運中斷的風險,必須以文件化方式來定義其可能的衝擊,這項控制措施提到的相關作法包括了:
- 識別關鍵產品與服務
- 識別支持關鍵活動所需的作業流程、應用程式、業
務夥伴及第三方的服務供應商
- 了解對關鍵產品與服務的威脅
- 對於計畫或非計畫中的中斷事件,依時間變化決定
其對組織的衝擊影響
- 建立最大可容忍的中斷時間(MTPD)
- 建立復原的優先順序
- 建立回復關鍵產品與服務的目標時間(RTO)
- 評估復原活動的所需資源
針對這項控制要求,可參照「A.14.1.2 業務持續與風險評鑑」,要求組織必須識別可能導致營運中斷的事件,研判其可能發生的機率,評估可能造成損害的等級,以及對組織的衝擊和影響。一般而言,由資安事件引發的系統錯誤、設備失效、天然災害等問題,多數能夠藉由風險評鑑加以識別,並且依其損壞程度和復原時程,判斷如何恢復至正常運作的水準。
所以在進行規劃時,建議最好由業務活動和資源的擁有者來參與,才能完整的識別出正常營運所需的資源、可容忍的中斷時間及復原的順序,如此也才能識別出各項風險,進而決定組織業務持續管理的整體作法,避免落入過度偏重在添購資訊設備的備援情境中。
RS-03 業務持續計畫
這個控制措施是要求雲端服務供應商,必須建立業務持續計畫的框架,並以文件化方式確保和組織的資訊安全要求維持一致。業務持續計畫的內容包括了:
- 定義目標和範圍,並與相關附屬要求保持一致
- 讓需要使用的人容易理解並取得
- 指定負責人以便進行更新、審查及核可
- 定義溝通的管道、人員角色與責任
- 詳細描述復原程序、人工作業方式與所需的資訊
對此,可參考「A.14.1.3 發展與實作包括資訊安全的持續計畫」之內容,要求針對各項可能造成營運中斷的風險,建立對應之維持或恢復運作的計畫,以確保在一定時間內達到資訊可用的要求等級。所以,建議組織在規劃時需考量可以接受的服務中斷時間,還有可供使用的人力、物力等各項資源。
另外,「A.14.1.4 業務持續計畫框架」中也提到, 業務持續計畫需要確保一致性,也就是實施時務必要依照組織的整體作法,例如在每一份計畫中都會涵蓋特定的計畫擁有人、聯絡清單、啟動條件、緊急程序等,這些就是所謂的框架,依照這些項目來建立各項業務持續計畫的內容,同時明訂測試與維護的優先順序。
RS-04 業務持續之測試
這個控制措施要求業務持續計畫必須在規劃時,或是組織與環境有重大變更時需進行測試,以確保計畫的有效性。在實務方面,可以依據「A.14.1.5 業務持續計畫的測試、維護及重新評鑑」,要求所有的業務持續計畫,都需要定期測試與更新,以確保計畫內容與作法,符合當下的真實環境。
因為對組織而言,或許無法同時完整測試所有計畫,但應規劃其測試時程和方法,再視情況選擇採取紙本演練、狀況模擬、技術測試或完整演練等,確保在災難發生時,能夠依照預先設想的步驟來執行,以達成業務持續的目標。
RS-05 環境的風險
這個控制措施是要求自然發生的災難或是蓄意的攻擊,都應該要進行事先的預測、規劃及實施對應的控制措施,對此,可參考「A.9.1.4 保護來自外部與環境的威脅」中提到,利用適當的實體防護,以降低外在的環境威脅,如火災、地震、水災等的侵襲影響。
RS-06 設備之所在地
這個控制措施是要求為了減少來自環境的威脅,以及未經授權存取的風險,針對設備的所在地需要實施控管,並且在合理的距離之外設置備援設備。針對設備的問題,在「A.9.2.1 設備的設置與保護」中提到,資訊相關設備應適當地進行安置、保護及監控,以降低環境威脅所造成的損害,或是受到未經授權的存取。舉例來說,像是電子產品須要受到良好的環境溫溼度監控;操作資訊系統時,應有適當的遮蔽來避免敏感資訊的外洩,例如機房就最好不要採用完全透明的玻璃作為隔間來使用。
RS-07 設備電力之失效
這個控制措施是要求對於設備運作所需的公用服務,例如電力失效和網路中斷等,需要採取安全防護和備援設施。對此,可參考「A.9.2.2 支援的公用事物」之要求,在機房部署不斷電系統。但要注意的是,若面臨長時間的電力中斷,不斷電系統應確保足以循序地將重要主機進行關機,若要確保能夠持續運作,則要考量是否有獨立的備援電力供應站,或是使用燃油發電機來運作,而除了電力之外,電信與網路系統也要有備援,以確保在中斷期間的通訊能夠正常運作。
RS-08 電力與通訊
這個控制措施是要求針對通訊線路和電力纜線應提供適當的保護,避免其受損而導致服務中斷,並且要設計替代的線路或取得其他的電力來源。對於電力與通訊的問題,在「A.9.2.3 佈線的安全」中提到,傳送資料與電力的纜線應有適當的標示、固定及保護,建議設於地下或其他已受到適當防護的管道,尤其要避免經過公共區域。另外,電力與網路線也要作適當的阻隔,以避免相互干擾而造成資料傳輸的問題,以上這些都是實務方面可以因應的參考做法。
<本文作者:花俊傑,曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>