資訊安全防護機制 - ibat.org.t³‡訊安全防護機制_保經商會.pdf · 目錄...
TRANSCRIPT
-
資訊安全防護機制主講人:李延浚博士
-
自我介紹
2
個資、資安相關資格/證照:
ISO27001 主導稽核員
ISO20000 主導稽核員
BS10012 主導稽核員
BS25999 主導稽核員
朝陽科技大學ITDC攻防演練主講人
學歷 系所
碩士 美國橋港大學 企管所
碩士 華梵大學 資管所
碩士 開南大學 法研所
博士 朝陽科技大學 資管所
-
目錄
• 資訊安全重要嗎 & 個資法重要嗎
• 資訊設備安全防護
• 資訊安全風險評估與管理– 風險評估與管理基本概念
– 風險評估過程
• 個資導入流程– 個人應有的認知與作為
– 企業之因應作為
• 自律規範介紹
3
-
目錄
• 資訊安全重要嗎 & 個資法重要嗎
• 資訊設備安全防護
• 資訊安全風險評估與管理– 風險評估與管理基本概念
– 風險評估過程
• 個資導入流程– 個人應有的認知與作為
– 企業之因應作為
• 自律規範介紹
4
-
資訊安全重要嗎?
• 天會塌下來嗎?
– 影片欣賞
– 兆豐銀行
5
-
《蘋果日報》報導 2015-06-10
〔即時新聞/綜合報導〕永豐銀行日前寄錯近2萬筆帳單,造成客戶個資被看光光,金管會昨日表示,永豐銀已連續發生2次類似缺失,將開罰400萬元。
銀行局指出,永豐銀行的客戶房屋擔保借款繳息清單,是透過委外的永豐實業列印並寄送,但內部控制出錯,委外單位也沒有確實監督,導致今年2月有高達1萬9991名客戶都收到別人的房貸對帳單,房貸餘額、還款金額全都露。
銀行局表示,2013年永豐銀行就曾寄錯40多名客戶的扣繳憑單,當時永豐銀行認為情況不嚴重,並未回報金管會;銀行局認為,這一次這麼大規模的集體寄錯事件,可說是銀行業頭一遭,永豐銀又是累犯,因此開罰400萬元。
不過銀行局認為,本案不是舞弊案,已要求永豐銀行須自行懲處失職人員,金管會未直接處罰人員。
6
-
個資法重要嗎?
• 干擾企業 V.S. 協助企業
– 案例討論
• 擾民 V.S. 保護
7
-
目錄
• 資訊安全重要嗎 & 個資法重要嗎
• 資訊設備安全防護
• 資訊安全風險評估與管理– 風險評估與管理基本概念
– 風險評估過程
• 個資導入流程– 個人應有的認知與作為
– 企業之因應作為
• 自律規範介紹
8
-
基礎概念
(一)電子資料的特性
1. 資訊內容是:磁性物質的磁化狀態及半導體物質的電子狀態(0與1)電磁波或光、電訊號
2. 儲存媒體是:磁片或記憶體晶片、電纜線、光纖或大氣層(無線通信)
3. 在處理、儲存及傳輸過程中容易被篡改、變造而不留痕跡
9
-
基礎概念
(二)資訊安全技術的普及
1. 十九世紀末期,電報日益普及,於軍事、外交商業等需要注意資訊安全的環境中,已大量使用密碼技術處理例:清光緒五年(西元1879年),清朝已開始使用密電。
2. 隨著電子科技的一日千里,資訊設備已進入社會大眾的生活中,密碼技術的日益普及已指日可待。
3. 資訊安全是科學(數學)、工程、社會學等的「跨領域」整合技術。
10
-
基礎概念
(三)資訊犯罪的特性
1. 具有高度專業性
2. 與行為人職務關係密切
3. 具有經濟犯罪性質
4. 偵察困難、蒐證不易
5. 犯罪技術可遙控犯罪且犯罪行為人常甚少或無犯罪感
6. 智慧型犯罪
11
-
資訊世界的潛在威脅
1. 環境的威脅:15~17%:
˙火災(10%~12%)
˙水災(5%~7%)
˙意外性災害如地震(比例很低,但會釀成巨禍)
2. 人的威脅:佔83%~85%:
(1)內部人員(80~85%):
★人為疏忽及犯錯(約60%)。
★不誠實的員工(約10%)。
★心懷怨恨的員工(約10%)。
(2)外部人員(3%~5%)
★網路悍客(Hacker)。
★電腦病毒(Viruses)及其他惡意的軟體。
★網蟲(Worms)。
★從電子佈告欄上抄來的非法軟體、檔案資料。
★竊聽電波而譯出其上傳輸的訊息。12
-
電腦病毒
• 是一個寄居在其他程式上的小軟體,通常他只有兩大目的:傳染給別台電腦並讓受害電腦不能運作。
13
-
電腦病毒
電腦病毒傳染有三個途徑:
• 經由受感染的可移式媒體(removable media) 如軟碟、CD ROM、USB碟傳染給其他電腦。
• 經由電子郵件的附件傳染,這類病毒常再利用受害者的通訊錄傳送病毒給更多的潛在受害者。
• 附著在別的「正常」軟體上。尤其越來越多人肆意的從網路上下載軟體,卻未細究該軟體是否已受感染。
14
-
網路蠕蟲
• 雖然「蠕蟲」(worm)與「病毒」(virus)兩個名詞常被混用。
• 在正式定義上,兩者的差異在於:
• 蠕蟲可以自己存在,不需要寄生於別的程式或檔案。蠕蟲複製自己後,可以自行在網際網路上傳播,不需靠人的參與。
• 病毒則否。
15
-
網路蠕蟲
• 蠕蟲造成的傷害經常範圍極廣,因為蠕蟲在受害電腦上大量複製,再經由郵件通訊錄上的地址或TCP/IP位址傳播。
• 蠕蟲快速複製與傳播的能力常大規模地占用系統資源(如記憶體) 與網路頻寬,導致網站、網路服務、與電腦系統無法正常運作,形成阻斷服務(DoS) 的結果。
16
-
木馬程式
• 木馬程式可以自行存在,但不以複製或擴散為目的。它看似好的程式,卻暗藏惡意。例如一個網路上下載的電玩程式,卻同時在收集系統裡的密碼檔案。
• 偵測木馬程式有時並不容易,因為它執行起來像是一個正常的應用程式。
• 此外,較新的木馬程式也會使用躲避監視的手法。不同於病毒或蠕蟲只會產生破壞,木馬程式可能為攻擊者帶來利益,因此木馬攻擊似有凌駕前兩者的趨勢。 17
-
木馬程式
18
-
資訊安全弱點與威脅
• 弱點:
➢是導致威脅發生的原因,不會直接導致資訊資產的損害
• 常見的弱點:
➢未受訓練或未俱備安全認知的人員
➢錯誤的選擇及使用密碼
➢缺乏存取控制、資料沒有備份...
• 威脅:
➢任何會直接導致資訊資產受到損害的人事物
• 常見的威脅:
➢ 人員操作錯誤、惡意破壞資訊及設備
➢ 病毒感染、駭客入侵
➢ 社交工程
19
-
防毒軟體
• 為什麼我需要防毒軟體?
• 您的防毒軟體是否有定期更新病毒碼?
• 有了防毒軟體是否還需要個人防火牆?
20
-
密碼猜測攻擊
使用者名稱(username) 與密碼(password) 是時下電腦、系統、與網路身分認證最常用的方法。破解密碼的手法不外以下幾種:• 以電腦重複去試各種可能的密碼。• 以社交工程、網路釣魚、或使用中間監看工具來騙取密碼。• 由於許多使用者不願費心記憶密碼,故以直覺或觀察法也甚為
有效:• 可以先試8////9,812349, “ abcd9, “password”之類的懶人密碼;或
是輸入使用者名稱,許多人將這兩者設為相同。• 若可取得私人資料,則試其配偶、子女之姓名拼音或生日,或
以上合併。• 觀察當下環境裡是否有適合做為密碼的字,例如網址、網名、
廣告詞等。• 看看鍵盤下面、螢幕後面的小紙條,說不定會有意外的驚喜。
21
-
安全的密碼原則
22
-
設定密碼的小技巧
以注音輸入法按鍵來當成密碼:
➢你好嗎 → Su#cla#8&
以英文字或數字穿插:
➢Sister + 456789 → S4i5s6t7e8r9
將英文字母往前位移:
➢Birthday往前位移1個字母 → Ahqsgczx
以英文的一句諺語或一段歌詞取每個英文字字首當成密碼:
➢Best wishes for a happy New Year!→BwfahNY!
23
-
社交工程
• 利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法
• 早期社交工程是使用電話或其他非網路方式來詢問個人資料,而目前社交工程大都是利用電子郵件或網頁來進行攻擊
• 透過電子郵件進行攻擊之常見手法• 假冒寄件者• 使用讓人感興趣的主旨與內文• 含有惡意程式的附件• 利用應用程式之弱點(包括零時差攻擊)
24
-
社交工程攻擊模式
1. 駭客設計攻擊陷阱程式(如特殊Word 檔案)
2. 將攻擊程式埋入電子郵件中
3. 寄發電子郵件給特定的目標
4. 受害者開啟電子郵件
5. 啟動駭客設計的陷阱,並被植入後門程式
6. 後門程式逆向連接,向遠端駭客報到
Internet
-
網路釣魚
• 網路釣魚(Phishing)是常見的透過電子郵件手段的一種網路社交工程;籍由誘惑使用者點選網頁連結(利用預覽功能,甚至不必等使用者點選!)或打開副加檔案以植入惡意程式(例如:木馬、後門等)。
26
-
社交工程與網路釣魚之防範
避免人性弱點遭到利用的方式
• 提升自我資訊安全認知與警覺性。
• 重要資料或密碼輸入時,應注意是否有旁人窺視。
• 討論業務機密應注意場合。
• 透過網路或電話溝通時,應確認對方身分。
• 使用者代碼不借給別人。
• 密碼不洩漏給任何人。
27
-
社交工程與網路釣魚之防範
• 電子郵件防禦社交工程應注意事項。• 不隨意開啟郵件(注意陌生之寄件者)。• 取消郵件預覽•不隨意下載附件。• 確認寄件人與主旨的關係。• 非經查證,不可直接點選郵件中的超連結。• 善用密件收件人。• 不隨意留下郵件地址予他人。• 定期自我執行病毒與後門程式掃瞄。• 了解組織傳送郵件規定。• 熟悉社交工程的可能手法。• 通報相關單位。
28
-
網頁惡意掛馬
什麼是網頁惡意掛馬?
• 駭客入侵(知名的)網站
• 不更動原有的畫面下,修改網站內容,加入惡意程式碼
• 使瀏覽該網站的使用者被植入惡意程式
• 進而竊取個人資料或當成跳板主機
29
-
網頁惡意掛馬攻擊模式
網站server
掛馬
用戶
惡意程式網站
瀏覽網頁
導向惡意程式網站
下載並安裝惡意程式
遙控受害電腦
-
網頁惡意掛馬的危害
對網站擁有者而言
➢因管理不善導致他人被入侵而負上法律責任
➢商譽的損失
對一般使用者而言
➢資料失竊
隱私資料、信用卡資料、線上遊戲虛擬寶物等
➢被當跳板主機
可能面臨法律責任
31
-
• 病毒蠕蟲攻擊
• 網路癱瘓
• 垃圾郵件
• 機密外洩
• 非法入侵
• 即時通訊
• 點對點傳輸
網路安全面臨的問題
32
-
目錄
• 資訊安全重要嗎 & 個資法重要嗎
• 資訊設備安全防護
• 資訊安全風險評估與管理– 風險評估與管理基本概念
– 風險評估過程
• 個資導入流程– 個人應有的認知與作為
– 企業之因應作為
• 自律規範介紹
33
-
風險評估與管理基本概念
• 什麼時候才能阻止網路駭客入侵?人類文明已有四千年歷史,何時才能讓犯罪成為絕響?答案是:永遠不會。網路世界也是一樣的道理,我們最多能做的就是儘可能管理風險,將風險降到最低,一如在實體世界的做法。
34
-
與風險評估有關的概念
威脅(Threat)
➢是指可能對資產或組織造成損害事故的潛在原因。
弱點(Vulnerability)
➢是指資產或資產組中能被威脅利用的弱點。
風險(Risk)
➢是特定威脅事件發生的可能性與後果的結合。
風險評估(Risk Assessment)➢對資訊和資訊處理設施的威脅、影響和薄弱點及三者發生可能性的評估。
35
-
與風險管理有關的概念
風險管理(Risk Management)
➢以可接受的費用識別、控制、降低或消除可能影響資訊系統的安全風險的過程。
安全控制(Security Control)
➢降低安全風險的慣例、程序或機制。
剩餘風險(Residual Risk)
➢實施安全控制後,剩下的安全風險。
適用性聲明(Applicability Statement)
➢適用於組織需要的目標和控制的評述。36
-
風險評估過程
37
-
目錄
• 資訊安全重要嗎 & 個資法重要嗎
• 資訊設備安全防護
• 資訊安全風險評估與管理– 風險評估與管理基本概念
– 風險評估過程
• 個資導入流程– 個人應有的認知與作為
– 企業之因應作為
• 自律規範介紹
38
-
個資法基本概念
• 個資法基本名詞定義:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。 39
-
個資法基本概念
• 個資法基本名詞定義:
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。
40
-
個資法所稱之個人資料
個人資料
其他
特種資料
․姓名․出生年月日․國民身分證統一編號
․護照號碼․特徵․指紋․婚姻․家庭․教育․職業․病歷․聯絡方式․財務情況․社會活動
․醫療․基因․性生活․健康檢查․犯罪前科
得以直接或間接方式識別該個人之資料
-
個人資料保護法架構圖
第一章 總則(1~14)
第二章(15~18)公務機關對個人資料之蒐集、處理及利用
第三章(19~27)非公務機關對個人資料之蒐集、處理及利用
第四章 損害賠償及團體訴訟(28~40)
第五章 罰則(41~50)
第六章 附則(51~56)
-
個人資料保護法查詢
• 查詢網址:法務部主管法規查詢系統http://mojlaw.moj.gov.tw/LawQuery.aspx
43
http://mojlaw.moj.gov.tw/LawQuery.aspx
-
個資法損害賠償規定
• 要求機關與企業盡舉證責任,證明已經做好保護措施,才可以主張不負賠償責任。
• 個人資料保護法採取「舉證責任倒置原則」,若企業被指控涉嫌個人資料外洩則必須負舉證責任,提出具體證據來證明無故意或無過失責任,否則將面臨行政罰鍰、高額的賠償金與刑事責任。
44
-
個資管理架構
45
法律
資訊 流程
45
✓個資法教育訓練課程
✓個資法源鑑別與診斷
✓個資法法律諮詢服務
✓個資法之適法性評估
✓數位鑑識
✓評估與規劃個人資料管理保護技術方案
✓組成個人資料保護推動組織
✓執行個資清查
✓導入個人資料管理程序
✓舉行個資事件演練
✓實施內部稽核
✓持續改善
-
PIMS建置流程專案起始
個資流程
個資清查
風險評鑑
風險處理
內稽
管理審查
事件演練 管理文件
個資法源鑑別診斷
個資適法性評估46
-
個資清查及風險評估及管理應執行工作
• 個資清查作業– 流程鑑別– 個資清冊建立
• 風險評估– 衝擊分析– 風險評鑑– 風險評估報告
• 風險管理– 風險值決定– 風險處理計畫
47
-
◎常見的錯誤認知:
不會這麼倒楣
不要怕、嚇嚇人而已
被告的是企業,被關的是老闆
這不會發生在我身上
以前就是這樣做
面對個資法該如何因應
-
個人應有的認知與作為
49
-
應具備之個資保護認知
• 具備個資法及相關法律的基本認識
• 了解個人所經手各項個人資料及應用流程
• 熟悉企業相關規定及流程
• 對個資蒐集、處理、利用前先想一想:
– 有規定依規定辦理
– 沒規定判斷合法性或由管理階層決斷或請示專家,切勿自作聰明,私自處理或自創流程表單
• 所經手或交付各項個人資料應適度做好證據保存
50
-
個資蒐集、處理、利用原則
• 蒐集原則
– 沒有特定目的不要去問,去蒐集
– 最小化原則
– 不得逾越特定目的之必要範圍
– 應與蒐集的目的具有正當合理之關聯
– 逾越特定目的的一般個資必須盡告知義務並取得書面同意,特種資料不得逾越特定目的
– 間接取得資料在處理、利用前須取得當事人書面同意
51
-
個資蒐集、處理、利用原則
• 處理原則
– 經手之個資不交付予不相干人員處理或保存
– 確保資料之正確性(因個人疏失導致當事人權益受損仍是可向疏失者究責的)
– 使用資訊系統、設施確實遵守企業之資安規定
– 養成桌面淨空之習慣
– 廢棄個資文件或電子資料應徹底銷毀不做他用
– 遞送之個資文件或電子資料應作安全保護
– 個資文件收存應安全妥適
52
-
個資蒐集、處理、利用原則
• 利用原則– 個資利用不得逾越特定目的之範圍,如有逾越特定目的,就必須補行告知並取得當事人書面同意,醫療等特種個資不得逾越特定目的。
– 其他機關索取個資須要求其述明其利用目的及法令依據,不合法一律拒絕給予,資料交付需取簽收證明。
– 資料交付應符合最小化原則或去識別化原則。– 請求個人權益須由本人或代理人出具授權證明,並填寫申請單或簽收單據
– 公務盡量不家辦,如有特需將個資攜出處理,須遵守相關規定。
53
-
企業之因應作為
54
-
個資法施行細則明訂安全維護事項
一、配置管理之人員及相當資源:成立個資保護組織(個資管理委
員會)、設置個資保護聯繫窗口並指定各單位個資保護專人、
提供足夠之個資保護資源及承諾。
二、界定個人資料之範圍:先進行個資盤點,必須要知道誰用了
哪些資料並且存放在什麼地方,這包括紙本和電子個資。
三、個人資料之風險評估及管理機制:
四、事故之預防、通報及應變機制:事故發生時包含內部通報、
主管機關通報、當事人的權益通報程序都應該明訂。
五、個人資料蒐集、處理及利用之內部管理程序:應訂定及實施
個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理:應建立及實施個人資料保護管理
機制及人員安全管理。
55
-
個資法施行細則明訂安全維護事項
七、認知宣導及教育訓練:應辦理個資認知宣導及相關專業訓練。
八、設備安全管理:主要是針對各種保存個資的設備或系統,應
該要做完善的安全保護及定期的維護與更新(資訊安全作
業)。
九、資料安全稽核機制:應定期實施個資安全稽核。
十、使用紀錄、軌跡資料及證據保存: IT設備或紙本資料個資存
取、使用、流向的記錄、日誌檔(Log)等,都必須完整保
留,因為這些都是舉證的證據力(善盡保管之責任 )。。
十一、個人資料安全維護之整體持續改善:針對個資保護不足之
處持續更新(PDCA)。
56
-
目錄
• 資訊安全重要嗎 & 個資法重要嗎
• 資訊設備安全防護
• 資訊安全風險評估與管理– 風險評估與管理基本概念
– 風險評估過程
• 個資導入流程– 個人應有的認知與作為
– 企業之因應作為
• 自律規範介紹
57
-
保險經紀人資訊安全作業控管自律規範條文_1060815
58
-
保險經紀人資訊安全作業控管自律規範條文_1060815
59
-
保險經紀人資訊安全作業控管自律規範條文_1060815
60
-
「保險經紀人辦理電腦系統資訊安全評估作業原則」條文
61
-
「保險經紀人辦理電腦系統資訊安全評估作業原則」條文
62
-
「保險經紀人辦理電腦系統資訊安全評估作業原則」條文
63
-
「保險經紀人辦理電腦系統資訊安全評估作業原則」條文
64
-
「保險經紀人辦理電腦系統資訊安全評估作業原則」條文
65
-
保險經紀人公司辦理行動投保業務自律規範條文_106.10.23
66