共資訊安全治理之二 美國電子化政府資訊安全目標及其量度初探
資訊安全治理
2007年4月12日,美國眾議院政府改革與監督委員會(Committee on Oversight and Government Reform)公布之2006財年(2005年7月1日~2006年6月30日)美國電子化政府資訊安全的總平均是「72.9」,自2000財年起,這是美國電子化政府資訊安全之年度評鑑第1次得到「C-」的評級。自1998年5月22日,美國白宮公布「第63號總統決策令(PDD63, Presidential Decision Directive 63)」起,美國資訊安全治理之第1階段「政府以身作則」的「聯邦資訊安全管理法(FISMA, Federal Information Security Management Act)」計畫(Project)即將在2007年完成。國家資通安全會報於2006年委託台灣經濟研究院研擬資訊安全指標中,根基於此,本文闡明為落實PDD63之FISMA計畫塑建之資訊安全目標及其2005財年公布的量度系統;「他山之石,可以攻玉」,美國聯邦政府已建立之資訊安全治理的指標系統,值得參考。
美國聯邦政府電子化政府的資訊安全建設成各全國各部門與「關鍵基礎建設資訊保護(CIIP, Critical Infrastructure Information Protection)」各行業之榜樣;並經由「政府資訊安全改革法(GISRA, Government Information Security Reform Act)」與「聯邦資訊安全管理法(FISMA, Federal Information Security Management Act)」授權管理與預算辦公室(OMB, Office Management and Budget)主責,以法律要求美國聯邦政府各個部門(以下簡稱各部會)之資訊安全負責人(註:一般是資訊安全長(CIOs, Chief Information Officers))與總檢查長(IGs, Inspectors General)資訊安全的年度審查,分別依規定向OMB報告,以確保其評鑑報告之可靠度。
OMB在每年夏季公布去年7月1日至今年6月30日(以下簡稱財年)之資訊安全管理實作報告指南,要求各部會資訊安全負責人及由美國審計總署委派,總統任命,獨立於各部門的IGs提交報告;OMB再根據前述2個來源之報告撰寫總報告,並提交國會審議。
美國資訊安全管理之工作將在今(2007)年完成第一階段的工作,並於2006年6月公布如表1所示之資訊安全治理(Information Security Governance)定義草案,其2000~2007年的歷程,值得鑑鏡。國家資通安全會報於2006年委託台灣經濟研究院研擬資訊安全指標中,根基於此,在第2節與第3節中,我們分別簡介其安全目標及宏觀之資訊安全評鑑的計分和評級以及其量度(Metrics)框架;
美國資訊安全管理系統安全目標初探
為落實資訊安全治理,美國國家標準與技術研究院(NIST, National Institute of Standards and Technology),根基於風險管理已完成之FISMA要求的標準及規範,而風險管理實作之標準與規範框架如下:從FIPS 199/SP 800-60安全類別(Security Categorization)開始,依可能的衝擊定義資訊系統與資訊分類,接著依序為FIPS 200/SP 800-53安全控制措施選擇(Security Control Selection),選擇最少的安全控制措施、SP 800-53 FIPS 200/SP 800-30安全控制措施區分(Security Control Refinement),使用風險評鑑去調整最少控制措施,基於本身狀況、威脅覆套需求及特定代理程式、SP 800-18安全控制措施文件化(Security Control Documentation),於系統安全計畫方面提供該安全控制措施計畫或適當的資訊系統及文件安全需求的概觀、SP 800-70安全控制措施實施(Security Control Implementation),在新的或既有的資訊系統實施安全控制措施,施行安全組態檢查表列、SP 800-53A/SP 800-26/SP 800-37安全控制措施評鑑(Security Control Assessment),決定控制措施實施的範圍,操作並製造出所需的結果以符合安全需求、SP 800-37系統授權(System Authorization),決定操作、資產或個代理之風險,若被接受,授權資訊系統運作、及SP 800-37/SP 800-53A安全控制措施監視(Security Control Monitoring),持續追蹤會影響安全控制措施及評鑑控制效度的資訊系統改變。圖1與圖2則是美國聯邦政府各部會資訊及資訊系統分級與分類作業流程以及說明。
美國OMB自2003年起要求各部會電子化政府進行其ISMS資訊資產組態應自動化,IG查證之資訊安全管理系統(ISMS, Information Security Management System)行動里程碑計畫(POA&M, Plan of Action and Milestone)部會數目與百分比,包含滲透測試在內之已執行驗證與認證,已完成應變計畫測試、已完成安全控制措施測試、已編列安全專用成本之系統數目是OBM設定的ISMS 5項目標,表2與表3分別是其2004~2006財年之成果彙紀及說明。
2007年3月1日,規範ISMS驗證稽核之國際標準ISO/IEC 27006正式公布,於此標準中已敘明之ISMS控制措施的系統測試(System Testing)與實地查證控制措施之虛擬檢驗(Visual Inspection)的要求,為落實ISMS稽核之實作,美國已於2000年4月公布的相關過程。
美國資訊安全管理系統之評分與評級
除了前述OMB提出之ISMS財年報告外,美國眾議院政府改革與監督委員會(Committee on Oversight and Government Reform),根據各部會提交之報告,依照2005年公布如表4所示的評分框架,每年春季提出各部會之計分與評級結果。
結論
資訊是一種資產,與其他重要之營運資產一樣,對組織管理是不可或缺的,因此應妥善保護。由於電子技術的一日千里,資訊及通信科技的結合,製造業分散式控制系統與組織營運規劃之整合增長的結果,使得已大量運用於製造業之工業控制系統(ICS, Industrial Control System)的資訊也暴露在日益成長及多樣的威脅與脆弱性中。2003年1月,美國俄亥俄(Ohio)州之Davis-Besse核能電廠的ICS被SQL Slammer網蟲攻入;近五小時之久,Davis-Besse核能電廠安全(Safety)監控系統處於失能狀態。由於諸如Davis-Besse核能電廠等事件的嚴重性,ICS之資訊安全議題,在日益互連的企業環境中,更顯重要。