iT邦幫忙

第 11 屆 iThome 鐵人賽

0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 29

[Day 29] 資訊系統營運

從前幾章IT治理到管理,產出各種規章,執行部門必須依據這些規章完成相應資安防護,以達到提升安全及符合稽核。

BaseLine

在執行各項稽核時需注意Baseline,確認是否達到規定的水準

  • RTO (Recovery Time Objective) 可容許服務中斷時間
  • RPO (Recovery Point Objective) 能容忍的最大數據丟失量
  • WRT (Work Recovery Time) 恢復時間
  • MTD (Maximum tolerable downtime) 最大可容忍的停機時間
    https://ithelp.ithome.com.tw/upload/images/20210217/20077752ZWmx2dgHtT.png
    圖片來源: https://tomtomtom456.pixnet.net/blog/post/47284725

外接空間

USB隨身碟常是各公司煩惱的項目,方便但有需多風險

  • 中毒問題 : 防毒保護(減輕)、禁止使用USB(避免)
  • 資料外洩 : 檔案權限控管(減輕)、加密(減輕)、禁止攜出入(避免)
  • 資料損壞 : 備份(減輕)

可以稽核是否有做到妥善的管控,並是否有教育訓練來提升使用者的意識、了解公司對於usb等相關的東西的規範

資源管理

預估未來業務增長所需要的效能、資源(CPU、Memory、Disk、人力...),不過多過少大致符合需求

曾經看過討論串:
工程師: 資源使用在50%以下,各系統的狀況都很健康
主管:為何資源用不到50%是健康的,還有50%都被浪費了

也許我們會反駁說要留一些資源做緩衝,但再想想是否能估算得更精確、或利用一些工具減少浪費(ex.虛擬化共用資源、雲端服務彈性擴展 ),資料保存生命週期(確定不會在用、已經有集中Log儲存)等等,可以去稽核是否有做到資源妥善利用。

網路

首先要確認是否有網路拓譜圖,並確定時常更新,如果可以的話到現場抽查一下,附屬機構或有內部互通的廠商也需要有拓譜圖,常常會看到自己的地盤防護得很好,結果其中一條線連到外部機關,結果對方被駭客打穿一路通近來。

從網路拓樸圖審核時,務必注意所有可能對外的連線,甚至還有一些明明圖上的網路設備只有接一條線道內網,到現場一看還多一條線到小烏龜出去外網,這部分也許能到現場巡視或整理電信帳單來找出問題。

接著傳輸的網路協定也是需關注的地方,例如使用未加密或加密強度極弱協定,明明有開加密的模式,卻因為效能或是相容問題採用並行的方式,對外宣稱已用安全方式處理,這部分可以用弱掃或是側錄封包的方式檢測。

結論

在稽核的時候有很多方向可以去看,可以依照風險、業務目標等方式查核,而在防護方面不可能全面都做到完美,以逐步提高標準的方式讓受稽單位達到應該符合需求的安全防護等級。

參考資源

https://www.enterprisestorageforum.com/backup-recovery/disaster-recovery-testing.html


上一篇
[Day 28] 系統開發導入(下)
下一篇
[Day 30] 保護資訊資產
系列文
資訊系統安全稽核與 CISA 的簡單應用30

尚未有邦友留言

立即登入留言