https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

百廢待舉 個資法不能等:為資料的興衰起落做好安全把關

2009 / 07 / 06
Ernie Hayden 譯 ■ 夏客
百廢待舉 個資法不能等:為資料的興衰起落做好安全把關

想要資訊平和地流經每一道企業程序時,別忘了,安全要隨侍在側。

  現今資安長對於安全上面的認知,均是從資訊安全、CISSP、及CISM手冊當中,所習得的安全共通知識,並且,他們更是相當依賴所謂的安全框架,就好比ISO 27001,用匯集單一事件而非綜觀的角度,來處理整體安全問題。

  這些備受時間考驗的方略,無法從根本上去協助資安長們掌握已整合的資料流,更別說是去保護它了。但是,作為企業的執行長,他們必須想得更長遠一點,所以需要從整個企業營運程序和流程著手。這也就說明了,不論資料是處於從新生到老化的那一階段,還是依附在現有的企業流程當中,資安長更應想盡辦法對其作些試驗,整個營運周期要歷經檢視、分析和處理的過程。

  類似於經濟的加值分析方法論,資料生命週期安全模型會告訴我們資料是如何歷經蒐集、分類、儲存、使用、保存階段,乃至於到最後的消滅。它彰顯出企業的程序、變遷及其商業流程。

1.資料蒐集

  是資料輪迴的起始,同時也是資料最初始的資料流:資料蒐集。愈早在資料生命週期階段採取行動,最終修成正果的機會就愈大。比方說,可頒佈一道行政命令,停止蒐集那些無用的資料,或者是那些被認為要冒太大風險而無法蒐集的資料。

  除非營運上有絕對的必要,否則請考慮嚴禁蒐集社會安全碼、受保護之醫療資料、完整的信用卡資料,以及其餘一切機敏性資料。再不,假若是真有需要這些資訊,請務必將資料加密,或者至少讓它看起來像是有處理過的樣子。

2.資料用途

  另一資料流中的考量點,是資料與企業程序有相關否?利用行政力量去阻止那些非相關資料的蒐集,因為它是「最好有」的資料,或者只與接下來的案子有用處而已。再者,作為一位稱職的資安長,假若發生了資料遺失或外洩等情事,也要記得把後果一併考量進去。

3.資料分類

  整個作業程序最關鍵的立基,則是在於資料上的分類。換句話說,如果源源不絕的資料不斷地注入,企業怎麼知道資料受到什麼樣子的控制與規範?事實上,資料分類的處理與發展,已經被討論了一陣子。然而,考量可納入現行體制的,唯簡單和易用兩者。關鍵人物包含了資料的擁有者、資料的監督人、法務部門及資安長。並且,試著去規劃一個較簡單,只具有限量分類的程序,是重要的!它包含了以下幾個範疇:

.相關商業機密性的。

. 足可驗明個人身分之資訊─部份州立的資料外洩保護法,在定義這種分類上會有所助益,一般都是姓名搭配上社會安全碼、駕照編號、或者是信用卡/金? 融帳戶的號碼。

. HIPAA法案中所載明應受保護的醫療資訊(PHI, Protected Health Information)。

.不受限,或者是公開的資訊。資料的擁有者應當依企業的指導來分類資料文件,而資料的監督人更要注意,只有適切的人可依其角色和類別來調閱和處理資料。法務部門則要為了資料去留和法規遵循(像是e-Discovery電子蒐證)的關係,監控這些資訊。同時,資安長的職責,就是在這種分類下去監管資料儲存、資料處理,和資料披露等行為。

  資安長理應再會同法務部門制訂標識的標準,裡頭言明文件要如何進行標識,若萬一有必要的話,要如何變更其分類?

  每一項分類,都應當對資料建立起詳盡的處理、儲存,以及銷毀程序,逐步將安全導入到資料的生命週期當中。

4.資料掌握和儲存

  當資料在其整個生命週期中流動的時候,資料通常會存放在資料庫裡,一旦具商業用途,就能被拿來用或處理。這個階段不過是確保機敏性安全資料,有經過妥善的保存及處理,並且絕對不會外洩給那些未經授權的個人或組織知道。另外,政策存在的理由,為的就是保障一件事情:除非授權,否則無法以數位或實體的形式來處理或揭露機敏性資料。

以下幾項法則是需要被考慮到的:

. 為特定資料在傳輸程與靜止狀態下進行加密。

. 將資料進行雜湊運算,以確保其完整性。

. 存取控制可以確保只有經授權的人士才能接觸、調閱,以及處理資料。

.啟用稽核記錄的監控機制。

5.資料傳輸與運送

  這個過程所組成的要素,包含了電子傳輸和實體運送2種。

  舉例而言,考量資料保護的層面就會包含了S S L,或者TLS(Transport Layer Security)隧道加密,另外,還有電子郵件及其附檔加、電子郵件內容過濾或阻擋等。

  實體運送失敗所造成的影響,可藉由在傳遞過程中加密資料媒體把傷害降至最低,並且在資料媒體從一地移往他處時,除了落實追蹤外,還得作好領受管理,以致於企業可以掌握資料在預訂的時間內,抵達該送到的地方。若是遺失或錯置的資訊受到了加密,那麼,多數的州立資料外洩告示法也可減少企業頒佈行政命令的次數。

  不過,這兒有個關鍵考量點,就是確保對實際參與貨物快遞公司的契約支配內容,包含了快遞公司在運送過程中遺失資料所應負起對企業的賠償責任。雖然賠償並非是必須應允的承諾,但它的確反應出企業對身為受託人,為保護公司所善盡其義務的關心態度。

6.資料處理、轉換及改變

  到目前為止,這階段可能會是資料生命週期所遭遇到的最大危機。因為真的很難限制用戶去複製資料,亦不容易阻止對程序當中的資料進行快照,甚至是禁止將資料貼到個人試算表或匯入到資料庫裡。

  比方說,資料個人化,也就是所謂的個人資料集合方案,在本質上會提高企業的風險結構。舉例來說,員工可能會因為個人用途,或應付未來案子,從公司不同的資料庫和快照裡蓄積資訊。所以,也就造成資料生命週期受到了嚴重地阻礙。

  這種情形之下,就要考量到採取技術性手段來達到資料管控的目的,而除非資料經過加密,否則就要極力避免企業資料不當外流。此外,電子郵件內容亦要受到檢視和管理,並嚴禁攜帶個人的移動式儲存媒體到公司。再者,行政管控也該包含政策和程序2種,規定員工該或不該使用或擁有資料?並且限制員工下班後,不得有使用公司電腦的行為。當然,專注在第一步─資料蒐集,也有助於減少這個階段所帶來的風險。

7.資料披露
 
  2003年,JetBlue航空的商譽受到嚴重損害,原因在於該公司所持有的旅客資料,不當地洩露給運輸安全管理局。該事件突顯了一件事:生命週期裡的資料,不管是如何或者在什麼時間下遭到洩露的,都必須受到嚴密的管制。有關資料生命週期的各個面向,應包含如下:

.訂出有權在公司外部披露資料的人士。

. 再次確認,並非所有資料,只因受到單方面的要求,就可披露出來。

. 除非經過企業同意,並只在合法,且受到適當控制的情況下,否則不能公佈資料內容。

  不過,有些關於資料披露的更微小細節需要再經過測試。比方說,企業需要合作廠商將分析資料當成是合約當中的一部份。在合作之中所牽涉到的資料共享、資料控制,以及資料管控部份,協力廠有何管控措施?為了弱化企業所要承擔的資料風險結構,應於合約當中強烈載明,萬一協力廠商遺失資料,或有不當使用的情況,對方所要負起之賠償事宜。

8.資料備援

  這塊的確是安全產業中較為成熟的部份。然而,我們仍會聽聞未經加密之備份磁帶,在運送過程途中遺失的情況發生。請查看自身的資料生命週期程序,以確保該程序對安全真有貢獻,並的確作好資料的備份工作。

9.資料保存

  有時候企業握有資料,是為了遵照法定程序作資料蒐證之用。由於2006年12月所訂定之新的聯邦民事訴訟法條的關係,合法持有資料也因更重視電子蒐證而顯得日益重要。

  資料生命週期應該更確保資料受到有效率和適當地保存,以便將來進行電子蒐證時,可以快速地定位並被找到。然而,你也要確保資料在適當時機下已經被銷毀掉了,這樣,才不致於在子蒐證的過程中,看到原本那些被認定該「死掉」或「消失」的資料卻還依然存在,這樣一來,反而會為我們製造出「意外」驚喜。

10.資料銷毀

  資料生命週期的最終段-就是資料的「滅亡」,指的就是銷毀資料的程序。

  這的確是另一個傷腦筋的地方,要是沒有處理完全或受到恰當地管控,可是會為資安長惹出不少麻煩。若是必須該抹除資料,就應該完全被銷毀。再者,你不會想聽到,公司所汰換下來的設備裡頭滿是機密,還到處流傳。所以,應進行一些關鍵的演練,如下:

  以物理性破壞或撕裂的手段去摧毀磁碟,這都是因為太多的風險,都是殘留著「不乾淨」所造成的後果。每磅重量只消花25分錢,就可以輕易地清潔溜溜。當然,你也可以使用清除磁碟的工具,但是要再多花一些力氣去確保磁碟是否清理乾淨?整個過程所花掉的實際費用,會較實體毀壞的總費用還要來得多。

  請用碎裂的方式銷毀紙類文件。該程序應該每隔一段時間就要進行一次,並且,企業還需要於合約條文中規範,如果協力廠未能完成該程序,我方可以求償。不要破壞因訴訟而合法持有之資訊,意即資料是因受法律檢視或傳審的緣故而持有,也不要在資料保存期間太早進行銷毀作業。

  請確定員工們知道如何妥善處理被歸類為內部機密或商業機密等級的資料和文件,像這類的文件不會出現在公眾的掩埋場,而是應該要碎掉或銷毀掉。

資料生命週期所對應之風險問題

  現在,雖然資料已經被銷毀了,但卻不代表資料生命週期就此終止不動。這項檢視資料生與死的新途徑,可以取得額外的分析資訊。每個資料生命週期階段的風險值,都會對應到一個想像試驗(thought experiment)(譯注1),不過,卻沒有任何科學證據可以在根本上支持這種對應理論,不過,當在看待企業內的資料生命週期安全時,我們能夠用它來找出所遭遇到的相關風險。

  最大的風險還是在於資料的處理,轉換及改變階段。因為去複製和蒐集資料作為他用是件很簡單的事,不過,後果是資料不但會散落在企業各處,而且也無法很輕易地受到控制。資料流的動向是去引導資安專家專心,投注時間和精力的一種全新體驗。他們不僅能夠把這個看待成是保護資料的新方法,而且還能循此道向管理階層解釋風險和相關議題。

  這個資料生命週期安全的作法,同時也是建立起安全計畫、程序和策略的新途徑。再者,或許它也是在企業某些重要領域裡,像是安全、法律和營運等,扮演起將費用合理化的新角色。

譯注:thought experiment-想像試驗是針對某種假設或學說所進行的測試,但事實上,試驗會因為諸多現實環境的限制因素,而無法真正地實行。
Ernie Hayden曾任職醫療機構的資安官,同時也是西雅圖港埠的前資安長。