https://twcert2024.informationsecurity.com.tw/

觀點

ICT產業風險管理標準:ISO/IEC 27036

2012 / 10 / 12
樊國楨、黃健誠
ICT產業風險管理標準:ISO/IEC 27036

網路普及與系統程式功能日益強大,帶給使用者許多效益,但是伴隨而來之網路攻擊情境亦更形嚴峻,各種攻擊手法充斥著資訊社會,這些攻擊不僅會導致資安事件或毀損資訊系統,甚至癱瘓整個網路。

大部分網路攻擊均是利用資訊系統或應用程式的不良組態及未修補之弱點遂行其攻擊,因此,如何能有效防護惡意程式之終端安全護理,成為一個富於創造性的研究與發展領域。

美國歷經從國家弱點資料庫(National Vulnerability Database,簡稱NVD)到國家查檢表計畫(National Checklist Program,簡稱NCP),更進而整合規範安全內容自動協定(Security Content Automation Protocol,簡稱SCAP)並實作,已證實其有效性;之後,根基於SCAP等,美國正式提出以資訊安全護理為基石的「人員依恃技術進行操作(PeopleExecuting Operations Supported by Technology)」之資訊安全管理的實作並進行一連串之「軟體保證(Software Assurance)」的標準化工作項目。

軟體保證之概念可以上溯至美國白宮2000年1月公布的資訊系統保護國家計畫:「建立任何對資通訊系統『關鍵功能之中斷或操縱必須是短暫、罕見、易於處理、地理上可隔離、以及對美國社會繁榮最低限度之危害』的能力,以確保資訊安全。」

為落實前述計畫,2002年1月23日,美國參眾兩院通過數位安全研究與發展法(Cyber Security Research and Development Act,簡稱CSRDA),經由NVD與NCP計畫創建資訊產品弱點管理、安全性測量及其遵循之自動化致能標準,並經由2002年11月14日公布的聯邦資訊安全管理法(Federal Information Security Management Act,簡稱FISMA),責付美國國家標準與技術研究院(National Institute of Standards and Technology,簡稱NIST)制定相關標準系統。

2007年NIST完成NVD與NCP第一階段的工作,將成果交由國際標準組織
(International Organization for Standardization),分別完成ISO/IEC 31000系列標準、ISO/IEC 15026-1與ISO/IEC 15026-2、ISO/IEC 20000、ISO/IEC 27005等資訊安全之產品/過程/服務面向軟體保證的相關標準之修訂,並立項成立ISO/IEC TR24772、ISO/IECTR 29147、ISO/IEC TR 30111等相關新標準的計畫工作項目。

 

另外,面對資訊安全新興議題:要在0~2小時內,完成先進持續威脅(Advanced Persistent Threat,簡稱APT)等零時差攻擊之連續性監視的矯正控制措施,於上述標準化工作外,除了修訂產品之ISO/IEC 15408標準系列等,系統的ISO/IEC 15288 及ISO/IEC 16085等以及服務之ISO/IEC 20000標準系列與ISO/IEC 28000標準系列外,並要求規範ISO/IEC 27000標準系列以及擴增進行中的ISO/IEC 27036標準系列之工作計畫。2008年1月8日,前述2個「軟體保證」的標準化工作項目正式成為美國國家安全政策之一。

2011年5月16日,美國白宮公布了「數位空間國際策略」文件,共分成4大部分25項,包括制定數位空間政策、數位空間之未來、政策重點與持續前進,前述文件闡明美國政府在網路世界的7大政策,這也是國務卿希拉蕊所倡導網路外交的基石,在這7大政策中的第1項,就是「推動開放市場之國際標準與創新(Promoting International Standards and Innovative, Open Markets)」,此政策的源頭可以上溯自表1所示的CNCI 11。

CNCI全名為The Comprehensive National Cybersecurity Initiative。美國總統布希於2011年1月8日簽署2份機密文件,分別是第54號國家安全總統令(National Security
Presidential Directive,簡稱NSPD 54)與第23號國土安全總統令(Homeland
Security Presidential Directive,簡稱HSPD 23)。到了2010年3月2日,美國總統歐巴馬宣布HSPD 54/HSPD 23解密,公布共12項之美國國家數位安全綜合綱領,也就是CNCI。

CNCI綱領可分成3種目標,CNCI 1 ~ 4為建立防禦前沿,CNCI 5 ~ 8為展現美國數位空間安全與長程成功之條件集,CNCI 9 ~12則是闡明安全美國面對新威脅與防禦空間之未來環境的前瞻技術。以下列出CNCI的12項安全綱領:
1、在可信賴網際網路互連之基礎下,將聯邦網路視作單獨的企業網路來管理,由管理與預算辦公室(Office of Management and Budget,簡稱OMB)與國土安全部(Department of Homeland Security,簡稱DHS)主責。
2、在聯邦政府機構部署感應式入侵偵測系統(IDS),由DHS主責。
3、持續在整個聯邦政府機構部署入侵防護系統(IPS),由DHS與國防部(Department of Defense,簡稱DOD)主責。
4、協調、修正研究與發展之工作方向,由科學與技術政策辦公室(Office of Science and Technology Policy,簡稱OSTP)主責。
5、串連各虛擬運作中心,以強化情境感知能力,由國家情報總監辦公室(Office of the Director of National Intelligence,簡稱ODNI)主責。
6、發展並實作一項針對政府的數位反偵監計畫(wide cyber counterintelligence),由ODNI與司法部(Department of Justice,簡稱DOJ)主責。
7、增加機密網路的安全性,由DOD與ODNI 主責。
8、拓展數位教育,由DHS與DOD主責。
9、定義與發展持續性之「超越」的技術、戰略及方案,由OSTP主責。
10、定義並發展持續性之威攝(deterrence)戰略與方案,由國家安全局(National Security Council,簡稱NSC)主責。
11、發展一個多樣化之全面性供應鏈風險管理方法,由DHS與DOD主責。備考:全面性供應鏈風險管理是為防止骨牌效應之根基於相依性的能提前意識到潛在風險之研究項目。
12、定義聯邦政府的角色,將數位安全擴展至關鍵基礎建設領域中,由DHS主責。

 

為制定全面性的資訊與通信技術(ICT)產業供應鏈風險管理(Supply Chain Risk Management,簡稱SCRM)之系列標準,以ISO/IEC 27036的歷程為例,美國國家標準協會(American National Standards Institute,簡稱ANSI)數位安全1(Cyber Security 1,簡稱CS1),在Cisco、Microsoft、EMC、Intel、SAFECode、Boing、Symantee等業者之支持下,CS1/ANSI在2009年2月正式成立ICT SCRM工作組(以下簡稱ICT SCRM。

ICT SCRM分別在2009年2月~ 11月與2009年11月~2010年10月,二階段綜覽ISO/IEC 27001(已調和為CNS 27001)、ISO/IEC 27002(已調和為CNS 27002)及ISO/IEC 27034已有之標準草案,以及檢視ISO/IEC 27036已有標準草案宜重整(Restructure)與擴增(Expand)的部分,並提出研究報告,闡明(Address)除了產品、過程與服務之標準化外,類似食品的生產地(含時間)證明亦需規範至軟、硬體之各個模組內,方可完成前述連續性監視對零時差攻擊提出矯正控制措施的有效性要求,及此要求的供應商關係於SCRM標準化之攸關性。

2011年4月11~15日,美國成功獲得ISO/IEC JTC1/SC 27 WG 4票決同意,完成了如圖1所示之CNCI 11計畫修正的相關系列標準,ISO/IEC 27036-1~ISO/IEC 27036-3如表1所示預定於2013年完成,2013年計畫公布第1版之ISO/IEC 27036-1、ISO/IEC 27036-2與ISO/IEC 27036-3系列標準,2016年就實作之問題完成第1版的ISO/IEC 27036系列標準之修訂版及ISO/IEC 27036-4、ISO/IEC 27036-5以及ISO/IEC 27036-6,2016年修訂之ISO/IEC 27036標準系列的制定計畫工作項目如圖2與表1所示。

圖1、ICT供應鏈風險管理要求規範之系列標準舉隅


表1、ISO/IEC 27036
1. Part 1 – Overview and Concepts。
2. Part 2 – Generic Requirements。
3. Part 3 – ICT Supply Chain Security。
4. Part 4 – Outsourcing。
5. Part 5 – Cloud Computing。
6. Part 6 – TBD。
資料來源:ISO/IEC WD 27036-1:2011-06-21。

圖2、ICT SCRM標準化之產品/系統/服務的供給面關連(ISO/IEC 27036-6)示意圖及其角色說明


資料來源:本文作者整理,2012/10。

2ICT SCRM標準化之產品/系統/服務的供給面關連(ISO/IEC 27036-6)的角色說明

人員

扮演角色

客戶

與採購者同義

採購者

1.從供應商、供給者或整合者採購或採辦產品或服務的事件相關者。2.程序與整合組件、產品與服務以產生達到客戶要求之解決方案。3.下游客戶或整合者。

系統整合者

1.對客戶提供服務與解決方案。典型上用在處理多個提供者的大型專案。2.與採購者致力於有競爭力的提供過程。3.與提供者/採購者有聯盟。4.處理可作次組合體或併入組合體之組件技術的組件技術併入技術。5.上述組合體可為硬體組合體、軟體組合體或硬體與軟體之結合。

提供者

1.建立產品,完全自製或包括來自供應商之軟體及/或硬體組件。2.與採購者、整合者、供應商(軟體或硬體組件)與業務合夥人,包括散播管道合夥人有聯盟。3.亦可在發展其產品時利用開放原碼軟體組件。4.與標準機構致力於標準過程。5.與驗證/認證機構致力於驗證/認證過程。6.要求其供應商遵循ISO 27036-6 最佳實務並且經驗證/認證為信賴之技術提供者。7.建立可為驗證主體之產品。8.發展產品與管理供應鏈以提供採購者與整合者可信賴之產品。

供應商

1.供應商組件典型上類似提供者之業務合夥人。2.可能被要求證明其產品符合某些準則或經由廠商測試與文件化程序。3.與提供者有業務合夥關係。4.在其本身權利上亦可能為提供者。

標準機構

1.發展建立某些驗證準則的技術上之規格。2.與廠商、客戶與整合者致力於標準過程。3.與驗證/認證機構有聯盟。

驗證/認證機構

1.提供驗證/認證及/或測試服務,特別是涉及遵循驗證/認證及/或測試的部份。2.與標準機構有聯盟。3.與廠商致力於驗證/認證過程。

資料來源:本文作者整理,2012/10

以CNCI 11為例,自1993年起,歷經資訊安全產品(ISO/IEC 15408(已調和為CNS
15408)標準系列),管理(ISO/IEC 27001(已調和為CNS 27000)標準系列)至軟體保證等ICT供應鏈風險管理之系列標準,其目的在開發與應用相關之工具及資源,在資訊以及通訊產品/系統/服務的從開始到終止之生命週期,提供能有效減少風險的技術與採購政策及操作程序,以應對全球市場之複雜化,圖3及表3是其示意說明;與相關業者合作,制訂一套其供應鏈的風險管理標準及運作規範,期能提供更好之管理並減少風險。

囿於所學與時間,僅就「數位空間國際策略」中7大政策之第一項中SCRM標準化
的進程加以闡述於第一節;審時度勢,前述策略的內容宜深入瞭解並借鑑之。

圖3、ICT SCRM實作過程

資料來源:本文作者整理,2012/10。

表3、ICT SCRM分工機制

過程

風險行政管理功能

首席資訊長

首席資訊安全官

合約

法務

任務/

務擁有者

規劃採購

監督(Oversee)

監督

監督

領導(Lead)

建議(Advise)

領導

界定/發展要求

監督

監督

監督

領導

建議

領導

識別潛在供應商及/或執行市場分析

監督

監督

監督

建議

建議

領導

完成採購

監督

監督

核准(Approve)

領導

建議

領導

運作與維護

監督

監督

監督

建議

建議

領導

參考資料:NIST Draft TR 7622, Table 1, Page 12, March 2012

本文作者分別任職於國立臺灣大學資訊管理學研究所與異術科技股份有限公司。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com