在Bank3.0、第三方支付與亞洲盃等金融議題的浪潮之下,金融在資訊應用上進入了另一波的大改造期,除了資訊科技本身的演進之外,在資訊部門的技術管理、程序、人員三個面向也有一定程度的改造,以因應這波浪潮之後,有更強健的資訊服務體質,同時可提供更多樣化、數量激增的資訊應用需求下,加速如期地交付足夠品質的應用系統及服務。
資訊系統與平台走向委外,是其中重要的發展趨勢之一,在時間與功能需求的天平上資安防禦已經是一個位居於拉鋸戰之下經常容易被遺漏的項目。
常見的主要原因有幾個,委外管理者及業務面需求尚未將資安防禦功能當成規格或用錯規格,其次委外廠商不一定具備資安防禦概念及能力,例如委外設計操作介面,可能包含有問題的第三方套件;系統功能亦拆成多專案分包,防禦能力不一;缺乏有效、穩定結果的安全測試方法及要求;緊急變更功能的案例時有所聞,最怕的是變更功能後反而成為資安防禦上的例外通道。
從另一個角度來看,資訊安全已經是一種標準配備,因此,開發單位如何在持續交付( CI Continuous Delivery)、持續整合(CI, Continuous Integration)。的發展趨勢下,做好金融資訊系統的提升,如期達成業務面需求之下兼顧資訊安全防護亦是等同重要的目標。而資訊安全在金融機構辦理電腦系統資訊安全評估辦法的推波助瀾下,每年的週期性的檢測檢視循環亦加諸了開發及業務單位的重擔,資訊安全的要求造成時程及執行上的壓力不言而喻,而安全是完成拼圖必要的一塊,若少做了或做不周全,就枉費前面99%的努力。以下針對常見資安把關上的問題與挑戰進行探討。
Security In : 將安全要求融入作業流程
SDLC (Software Development Lifecycle) 安全軟體開發生命週期切入金融資訊開發單位與委外管理,在持續交付與持續整合下進行資安把關 ,可以將現有或將來要改造的 資訊系統開發流程與作業程序中,透過需求案例 、系統規格標準化、開發過程系統化管理之下,對應到各階段的資安把關條件,例如: 需求階段的資訊架構與資安風險審視,開發過程的共用安全規範與安全程式及組態的best practices (最佳典範),測試驗收的資安查檢表。尤其是在持續整合、交付的環節下,只要能夠把資安要求規則化、工具化,減少人為介入,方可有效地融入其流程中。
導入SDL (Software Development Lifecycle) 安全軟體開發生命週期幾個成功的關鍵建議參考
1. 人員及作業流程可以在系統需求到安全測試過程中加上安全把關的檢核,不要把安全把關都放在最後上線之前,避免影響交付時間。
2. 軟體委外規格與程序上的考量
* 廠商是否有原始碼
* 維護合約是否包含安全漏洞修補
* 修補時間、修補費用的計算
* 是否需要專業修補廠商協助
3. 委外廠商的安全要求
* 要求廠商人員具有基本資安防禦概念
* 委外的開發廠商是否有資訊安全的訓練
* 委外廠商本身的IT及管理上的安全防護
* 是否在合約中提示可配合金融檢查與定期外部稽核
4. 強化內部系統開發團隊對於安全修補的概念 : 如何落實在日常作業程序中而不造成人天數與工作
量增加?
敬請閱讀 下篇: 盲點與常見挑戰\歷史包袱; 委外資安把關時常見問題
優化金融資訊服務與資安成本權衡, 委外資安如何把關 ? (下篇)