iT邦幫忙

2022 iThome 鐵人賽

DAY 8
0
Security

合規合規,合什麼規?系列 第 8

[Day 8] 被資安法管轄後,會發生什麼事?(之 4 - 資安情資分享)

  • 分享至 

  • xImage
  •  

由於目前政府在推動的資安政策中,基本上是以「資安聯防」為中心,希望各單位能互相分享資安的情資,讓所有單位在有遭受攻擊的跡象或可能時,有警示以及提前防範的效果,所以有《資通安全情資分享辦法》這項法規。
目前八大 CI 領域都有自己的資安資訊分享與分析中心(Information Sharing and Analysis Center,ISAC)以外,也有國家層級的 ISAC(National Information Sharing and Analysis Center,N-ISAC)。

資安情資定義

根據第二條的規定,包含以下任一的項目的資訊都被稱為資安情資:

  • 惡意偵察、情蒐活動。
  • 資安漏洞。
  • 使安全控制措施無效或利用安全漏洞之方法。
  • 與惡意程式相關資訊。
  • 資安事件造成實際損害、可能產生的負面影響。
  • 偵測、預防、因應前五款的情形,或降低其損害的相關措施。
  • 其他與資安事件相關技術性資訊。

資安情資分享

  • 公務機關、行政院應互相進行情資分享,中央目的事業主管機關也應與所管的特定非公務關互相分享情資。(第三條)

不得分享的情資

  • 涉及個人、法人、團體營業秘密、經營事業有關的資訊,公開或提供會侵害公務機關、個人、法人、團體的權利或其他正當利益。(第四條)
  • 其他依法為秘密、應限制、禁止公開情形。
  • 例外
  1. 法規另有規定。
  2. 對公益有必要。
  3. 保護人民生命、身體、健康有必要。
  4. 經當事人同意。

獲得情資後的動作

  • 獲得情資後,需規劃適當安全維護措施,避免情資、個資、或其他依法規不能分享的情資外洩、未經授權的存取或竄改。(第五條、第八條)
  • 辨識情資來源的可靠性、時效性,即時對威脅與弱點進行分析,研判潛在風險,採取預防或應變措施。(第六條)
  • 進行情資整合時,可依照情資來源、接收日期、可用期間、類別、威脅指標特性、其他項目等,與內部情資進關聯分析;若整合後發現新的情資,亦需進行分享。(第七條)

資安情資分享標準

因資安情資經常包含新發現的 0-day,或是其他尚未被公布的嚴重漏洞,若被任意公開將會造成重大衝擊,因此資安事件應變小組論壇(Forum of Incident Response and Security Teams,FIRST)訂定了紅綠燈協議(Traffic Light Protocol,TLP),將情資進行分級,以便情資的接收單位能輕易辨識情資的分享對象。
依照目前的 2.0 版本,共分為 4+1 種顏色等級:

  • 紅(TLP:RED):限與會人士得知,不得與任何人分享。
  • 黃(TLP:AMBER):只能和自身組織內成員、必須有此情資才能避免危害的用戶分享。
  • 黃(TLP:AMBER+Strict):不得和自身組織外的任何人分享。
  • 綠(TLP:GREEN):可和同一領域的人士或社群分享。
  • 白(TLP:WHITE):可公開與社會大眾。
    https://ithelp.ithome.com.tw/upload/images/20220923/201305125THLqQW4bL.png

資安情資分享方式

依照第九條規定,各機關應依照行政院或中央目的事業主管指定的方式分享情資,但因故無法依照規定方式分享,可以下列方式進行:

  • 書面。
  • 傳真。
  • E-mail。
  • 資訊系統。
  • 其他。

若不適用資安法規定的個人、法人或團體,經過行政院或中央目的事業主管機關同意後,亦可以進行情資分享,但仍然需要遵守本辦法的規定。

參考資料


上一篇
[Day 7] 被資安法管轄後,會發生什麼事?(之 3 - 資安事件通報應變)
下一篇
[Day 9] 被資安法管轄後,會發生什麼事?(之 5 - 資安責任等級)
系列文
合規合規,合什麼規?30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言