觀點

資訊安全風險評鑑實作初探

2009 / 07 / 29
樊國楨、黃健誠
資訊安全風險評鑑實作初探
資訊安全風險管理國際標準提出之循環性取徑與資訊安全事故情境分析的風險評鑑方法論,以80/20之原則計,應能節省成本並增加有效性。本文提出一系統化方法並使用開放原始碼工具集,闡明實作的有效性。

  自2 0 0 2年11月,英國已驗證稽核員登錄機構IRCA正式要求將探討資訊安全管理系統(ISMS)風險管理之ISO/IEC TR 13335-3:1998-06-15與ISO/IEC TR13335-4:2000-03-11兩份標準納入ISMS稽核必須瞭解的知識及技能,風險管理已成為建立與改進ISMS之核心工作項目。

  ISO/IEC 27005:2008(E)(以下簡稱ISO27005)是ISO/IEC 27001之ISMS標準系列中規範資訊安全風險管理的標準,以下分別探討ISO 27005之實然與應然,最後探討資訊安全風險評鑑實作初探並代為結論。

資訊安全風險管理之框架-根基於ISO 27005

  2008年6月15日,自2002年10月起歷經6年8個月修訂前述ISO 13335:1998與2000年版之ISO 27005正式發行,於其標準化的旅程中,雖仍存在是否宜納入風險剖繪等議題未達成共識,惟其闡明之資訊安全管理風險管理實作之框架已成為建立ISMS的規範。

  資訊安全風險管理過程對風險評鑑或風險處理活動而言,於ISO 27005中闡明其實作宜為循環性,以循環方式實作風險評鑑得在每一循環中增加評鑑之深度與詳細程度。循環性取徑能在減少花費於識別控制措施的時間,以及能確保高風險被適當地評鑑,兩者之間取得良好平衡。

  風險管理工作項目首先要建立全景,其後進行風險評鑑。此時若能提供充分的資訊以有效決定修正風險到可接受等級所需的行動,則任務完成,隨即展開風險處理。若資訊不充分,則將實作另一有修訂全景(如風險評估準則、風險接受準則或衝擊準則)的風險評鑑循環,可能為整體範圍植根之關鍵部份。

  風險處理的有效性依風險評鑑結果而定。可能風險處理並不能立即導致剩餘風險的可接受等級。此種情況下,若需要,可能需要變更全景參數的另一風險評鑑循環(如風險評鑑、風險接受或衝擊準則),隨後有更進一步的風險處理。

  風險接受活動必須確保剩餘風險被組織管理者明顯地接受。這在控制項目的實作如因成本而被省略或延後的情形下,是特別重要的。

  整個資訊安全風險管理過程中,風險與其處理被溝通至適當的管理者和營運作業人員是重要的。即使是在風險處理之前,已識別的風險資訊對管理事故得為非常有價值,且可能有助於降低潛在的損害。管理者和工作人員對風險、減輕風險和對組織關切領域之控制措施性質的認知,可以最有效方式協助處理事故和未預期事件。資訊安全風險管理過程與來自二個風險決策的每一活動詳細結果,宜予以文件化。

資訊安全管理風險評鑑與情境分析

  CNS 27001規定ISMS範疇、界限與內容的實作控制措施宜植基於風險。資訊安全風險管理過程的應用得滿足此要求。有許多方法均可使過程在組織內成功地實施。組織宜對每一特定過程的應用,使用最適其環境的任何方法。

  在ISMS內,建立全景、風險評鑑、發展風險處理計畫和風險接受全屬「規劃」階段。在ISMS的「執行」階段,降低風險至可接受等級所需要行動和控制項目依據風險處理計畫實施。在ISMS的「檢查」階段,管理者將按照環境的事故和變更決定修改風險評鑑和風險處理的需要。在「行動」階段,包括額外資訊安全風險管理過程的應用在內,任何需要的行動均會被執行。

  綜整ISO 27005中之風險評鑑的工作項目,於威脅、資產與識別控制措施及其脆弱性識別完成後,將已分成如主要資產(業務流程與活動、資訊)及次要資產(硬體、軟體、網路、人員、場地、組織結構),運用情境分析的方法論完成風險識別、風險估計、風險評估之工作,表1是其脈絡的闡述。

  情境分析之源池可以上溯至1950年代,表2是其於風險評鑑中常用方法的比較說明;風險評鑑(Risk Assessment)實作框架請參考本刊第54期P.48,圖3。

  於實際進行作業項目時,於表2中的情境分析方法均欠缺資訊安全事故之建模;在此提出「風險評鑑組」就每一業務流程,整理資訊安全之可能性評估、脆弱性量測及風險層級預估的風險剖繪描述之資訊安全情境分析的「風險剖繪」雛型,再由業務流程組就其準備之事故情境,分就「資訊資產」的吸引力,其脆弱性之利用容易程度與其被利用的敏感性及威脅代理人之技術能力,逐步檢視可能發生的各項後果以及衝擊
程度。

  進行資訊安全事故情境分析之工作項目,若能參照已發生的案例,應能增進其有效性;取徑於生命財產安全事故彙編之方式編撰資訊安全事故,是值得探討的議題。

資訊安全風險評鑑實作初探

  如何識別組織資安之要求並創建ISMS,ISO27005提出之資訊安全風險管理的系統化方法,其工夫宜以有效與及時之方法在需要的時間以及地點處理風險。資訊安全事故情境分析是如圖2所示之ISMS風險評鑑中之礎石,有鑑於此,歐盟於2001~2007年完成之風險分析系統CORAS(Consultative Objective Risk Analysis System)已成為實作ISO 27005的最佳選項之一,圖6是CORAS的框架示意。

  CORAS是一個開放原始碼之軟體,以JAVA開發完成,可安裝在Windows作業系統及Linux作業系統,同時也是一個整合風險評鑑方法的平台。CORAS以國際標準風險管理程序為基準並遵循AS(澳洲)NZS(紐西蘭)4360、ISO 17799、ISO13335、ISO 27005等標準,系統風險說明文件的架構以RM-ODP (Reference Model for Open DistributedProcessing)為準。

  CORAS平台主要目的為改善傳統風險評估的方法論,提供表2中之Haz-Op、FMEA/FMECA,將其電腦化,達到更精準有效的風險評估。同時,CORAS的特殊格式和XML資料格式相容,以XML作為資料交換的模型,可攜性高,可作為風險評估工具的指標,表3是CORAS與ISO 27005之對照示意說明。

  CORAS已成為實作資訊安全風險管理廣為採用之工具集。在此計畫中,根基於ISO 27005與CORAS及氯氣處理系統的安全事故,在如圖7所示之範疇中,使用ETA計算方法完成資訊安全管理之風險評鑑工作。

  綜前所述,分別使用ETA、FMECA與FTA,闡明ISMS防護措施、後果及風險根因,圖9是其攻擊樹之風險估計的量化模型,因任一威脅經由ISMS脆弱性攻擊成功之可能性最多為1,故在此部分當其相加大於1時予以正規化處理。

  「工欲善其事,必先利其器」,Haz-Op、FMEA/FMECA與FTA等可以累積知識及經驗,本文提出之「可能性評估」、「脆弱性量測」及「風險層級預估」的「風險剖繪」雛型以及資訊安全風險管理情境分析作業,促使不同領域專業人員之知識與經驗交流,集思廣益,各盡所長,其應用在「循環性取徑風險評鑑作業」中,已見其有效性,如何擴增至敏感性分析與風險處理作業等,是繼續研究的方向。

表1 情境分析與風險評鑑之脈絡闡述
工作階段 工作項目 投入 產生
風險識別分析 識別後果
(8.2.1.6)
資產與業務流程清單及其適當地關連至資產,以及其相關性之威脅與脆弱性清單。 與資產及業務流程相關之事故情境及其後果的清單。
風險估計 評鑑後果
(8.2.2.2)
已識別之相關事故情境,包括威脅、脆弱性、受影響的資產、對資產與業務流程之後果的識別之清單。 以與資產及衝擊相關之準則表達已評鑑的事故後果。
評鑑事故可能
性(8.2.2.3)
已識別之相關事故情境清單,包括其對資產與業務流程的威脅、受影響之資產、被利用的脆弱性及後果等之識別。此外,所有現有以及規劃的控制措施、其有效性與使用狀況之清單。 事故情境之可能性。
風險等級預估
(8.2.2.4)
資產與業務流程之事故情境及其可能性的清單。 已指定數值等級之風險清單。
風險評估 風險評估(8.3) 已指定數值等級之風險與風險評估準則的清單。 依據會導致風險之事故情境有關的風險評估準則列出優先順序之風險清單。
風險處理 風險處理之一
般描述(9.1)
依據會導致風險之事故情境有關的風險評估準則列出優先秩序之風險清單。 受限於組織管理者之接受決策的風險處理計畫與殘餘風險。
說明:
1. 資料來源:ISO/IEC 27005:2008-06-15 Information technology – Security techniques – Information security management。
2. (m.n.p.q):ISO/IEC 27005條款之節碼。

表2 情境分析常用之風險評鑑方法比較
風險評鑑方法 特性 問題
危害與可操作分(Haz-Op,Hazard and Operability Analysis) 1. 系統性情境分析方法,可做為FMEA /FMECA之基礎。
2. 根基於製程偏離之系統性腦力激盪的定性分析方法。
3. 要求文件化之過程管理記錄。
1. 不易量化。
2. 需具經驗之專家參與工作。
失誤模式與影響分析( FMEA / F M E C A ,Failure Mode and Effect Analysis) 1. 全面性分析裝備之定性與半定量分析方法。
2. 可分析複雜系統。
1. 裝備間之相依性與人為失誤分析不易。
失誤樹分析( F T A , F a u l t Tree Analysis) 1. 全面與系統性之定性與定量分析方法。
2. 可分析複雜系統。
1. 故障率或人為失誤率資料取得不易。
2. 需具經驗之專家參與工作。
事件樹分析( E T A , E v e n t Tree Analysis) 1. 根基於事件(故)之歸納式之全面性分析方法。
2.可分析複雜系統。
1. 延時事件(故)分析不易。
2. 需具經驗之專家參與工作。
攻擊樹分析(ATA, Attack Tree Analysis) 1. 根基於滲透測試與整合ETA及FTA之因果分析方法。
2. 可分析複雜系統。
1. 圖形龐大,繪製不易。
2. 需具經驗之專家參與工作。