觀點

參考BS 10012 規劃DLP事半功倍

2012 / 06 / 19
林文腕
參考BS 10012  規劃DLP事半功倍

個資法細則在2011年十一月出來了,各企業在觀看內容時也發現了一些問題,那就是到底怎麼執行?等到主管機關公佈管理計劃也需要一段時間,該如何提前進行?會不會來不及?如果仍在進行中會不會被告?諸多疑慮也讓許多廠商推出了不少與個資法相關的解決方案,今年的資安話題大家腦筋一閃只想到三個字-”DLP”。

由於個資法的議題,DLP今年在台灣被炒的很火熱,企業詢問度也高,而廠商更是運用這個議題作為行銷銷售產品,但一套完整的DLP,最重要的關鍵便在於後端資料庫,尤其是為了完整的保存證據。DLP在建置的過程中,除了佈署環境的差別外,使用者數及個人資料的存放地也有極大差異。許多企業常會問「該買多大的硬碟空間來存放?」,在企業間這部份的觀念有很大的落差,原因就在於DLP是發生外洩事件時,才會記錄並警告,但不少企業把DLP規劃成Mail Archive,結果所有事件都要記錄,卻不管是否發生事件,雖然這樣是相當方便,既可備份郵件又可抓出外洩事件,但硬碟容量的規劃就很重要,例如就曾經看過某企業的DLP規劃了TB級的空間, 甚至直接規劃成SAN的架構可無限線上擴充。

事件偵測:正確建立指紋檔

然而,這樣規劃是對的嗎?其實DLP的設計精神在於事件的偵測與通知,所以對於政策的制訂才是明智之舉, 但到底哪些才是正確的政策呢?雖然個資法的施行細則還未正式公告,但仍可參考一些國際規範進行參考,包括了ISO 27001與BS 10012,很多企業在訂定台灣身分證資料時,對於到底是外洩幾筆才算是個資外洩?一筆?二筆?還是三筆呢?建議各位可以參考在BS 10012的4.2.1 組織應維護一份個人資料分類清冊,及4.2.2鑑別高風險之個人資料,把這些真正屬於企業目的個人資料,進行指紋檔建立並隨時進行更新及偵測,如此一來,對於員工在企業內部進行私人行為,如網路購物、網銀登入,DLP就不會發出警告,企業也不需要逐條檢視,造成管理上負擔。

而其實個資清冊是一件苦差事,尤其是電子檔,真可謂是藏在雲深不知處,很多承辦人根本不知哪些檔案裡面有個人資料,而資料庫中卻可以經由DBA來清查,所以在這部份DLP解決方案的功能廠商大多都能達到要求,只要授權DLP可以進入存放文件的伺服器中(檔案伺服器,NAS),便可進行個人資料清查,所以對於使用者誤把個資放在其他文件,亦可進行檢查及處置,這部份也可以參考BS10012裡4.9 確保個人資料為適當,相關及不過度之處置之作法,不過,透過指紋檔來進行個資清查時,還是必須確保個人資料的正確性才能免於做白工,這部份做法可參考BS10012之4.10正確性要求之做法。

而除了指紋檔建立避免個人資料外洩外,相關的配套政策也必須考量,所以DLP的解決方案若能內建台灣個資法相關政策,也可減輕企業在設定政策的負擔。不過說穿了,目前各家廠商所謂的台灣個資法內建政策,不外乎包含了台灣身分證格式、信用卡格式、地址清單、電話格式、支援的檔案清單…等,當然個人相關資訊除了一些會變化的格式,如身分證字號、信用卡號,可透過演算法進行真偽,其他皆是採用字串進行偵測判定,而其實這樣作的誤判率會很高,所以建議此項可透過二組欄位資料進行組合比對,以利提高個人資料外洩正確性,減少假警報的產生,此外,對於檔案格式支援的程度,DLP廠商都提供為數不少的列表,唯獨有自行開發的格式檔案,是否可以自行產生檔案特徵碼或是必須送原廠客製化?這點需注意是否有額外的費用發生。

事件反應:彈性自訂示警方式

而政策的制定,伴隨而來的就是事件發動的反應,在實際建置的情況裡,通常會先進行事件觀察,除了剛所提之事件的正確性外,還有就是收集外洩事件的情況及當事人,是否為故意及失誤,通常觀察時間三個月到六個月不等,可能有些比較大的企業,觀察時間會更久,以確保事件皆能判定無誤,才進行下一步,也就是主動警告當事人,這階段的衝擊一定是更大,所以在BS10012中4.6通告裡有對於觸發通報的程序可以進行參考,但若讀者不知該如何施作,建議企業若已導入ISO 27001,也可參考引用A.13.1通報安全事件與弱點相關程序,最好通報事件除系統產生外,也必須要有紙本記錄,甚至要在管理階層中進行討論(詳附件)。而各家廠商對於通報方式原則上大致相同,例如透過電子郵件通知主管、當事人或稽核主管,另外對於外洩的郵件或檔案,將內容進行移除及警告內容,這些都是可以對當事人最有效的警告方法,此外有些廠商可以自訂在當事人電腦發出阻止警告並強制選擇違反事由,甚至自訂理由的彈性作法,都是可以減低當事人對於這些突如其來的警告,所產生的抗拒心理。

事件保存:注意備份完整度與證據公信力

再來就是當DLP系統執行了一段時間,由於各事件都保存所有的附件檔案,資料庫便有可能開始因資料量效能不佳,或發生系統硬碟空間不足的問題。其實目前各家的DLP產品,均是針對DLP功能進行研發與加強,但對於事件的保存,卻不像Log Management產品考慮週全,除了可將資料定時Archive, 對於Archive檔也能直接掛載系統進行Log檔案分析,並且透過備份軟體進行全備份,而且後端也有資料庫可支援備份完整度,以避免未來法院在提證據保全時有所遺漏。

因此目前的做法多半只能對於事件匯出保存,但這樣匯出後的檔案卻沒有加密的機制,證據公信力全失,所以可能要搭配其他加密機制來運作。不過,這並非此次本文討論重點,所以如本文前面所提到的,最好的做法是只能用動態硬碟一直往上加,雖然不是最好的做法,但卻可以一直保存且可以馬上查到資料的做法,但若政策設定得宜,事件量必會縮小,即可減少這樣的情況發生。

表一、個人資料外洩事件報告單

 

 

本文作者任職於資訊服務廠商。如對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com