iT邦幫忙

2024 iThome 鐵人賽

DAY 25
0

技術控制措施 (Technological Control) 共有34項,可以將它視為把其他三類控制措施「落地」的方法,技術控制措施所指引的是如果要某項要求要做「某個方法」時要如何執行的作法,它會比前三類更具體,因此在同一種技術控制措施可能會被許多組織、人員或實體控制措施交互或反覆使用,不過因所設計的管理制度範疇、對象等不同而可能會有不同的落地方式。

例如存取控制 (A.5.15),若組織是針對系統管理所訂的制度,那麼必定會包含特殊存取權限 (A.8.2)、資訊存取限制 (A.8.3)、安全鑑別 (A.8.5)、具特殊權限公用程式之使用 (A.8.18) 等技術控制措施;又例如實作威脅情資 (A.5.7),則可能會與技術脆弱性管理 (A.8.8) 及防範惡意軟體 (A.8.7) 有所關聯;又例如實作實體安全監視 (A.7.7) 時,會包含容量管理 (A.8.6)、存錄 (A.8.15)、監視活動 (A.8.16) 等控制措施;而實作紀錄之保護 (A.5.33) 則會一併實作存錄 (A.8.15) 與密碼技術之使用 (A.8.24) 等等。

技術控制措施通常會實作很多次,端看管理制度如何設計以及所引用的控制措施而定。

技術控制措施基本上能分為幾個大項:

  1. 存取控制相關,包含A.8.2、A.8.3、A.8.4、A.8.5、A.8.18
  2. 保護行為相關,包含A.8.1、A.8.6、A.8.7、A.8.8、A.8.10、A.8.11、A.8.12、A.8.13、A.8.14、A.8.16、A.8.23、A.8.34
  3. 組態控制相關,包含A.8.9、A.8.19、A.8.32
  4. 網路安全相關,包含A.8.9、A.8.14、A.8.16、A.8.17、A.8.20、A.8.21、A.8.22、A.8.23
  5. 日誌存錄相關,包含A.8.6、A.8.15、A.8.24
  6. 系統開發相關,包含A.8.4、A.8.24、A.8.25、A.8.26、A.8.27、A.8.28、A.8.29、A.8.30、A.8.31、A.8.32、A.8.33

以上分類是我自己的分法,ISO 27002:2022有針對控制措施以控制措施型式、資訊安全性質、網宇安全概念、運作能力與安全領域區分,亦可以其分法為準。

每一個技術控制措施基本上都是要能夠看到結果或有執行證據,才能證明它的有效性,例如存錄 (A.8.15),管理制度就必須要求執行事件存錄 (可能是應用程式日誌、作業系統事件日誌或是主機日誌等),並且要對其進行保護與分析;保護的方式可能是使用雜湊演算法計算雜湊 (這時又會和A.8.24有關)、分析則是要看方法、週期 (比如每季一次) 以及分析結果的報告,來證明存錄是有效的;又例如技術脆弱性管理 (A.8.15),管理制度必須要求定期蒐集對組織或系統可能導致風險之脆弱性資訊 (這時會和A.5.8有關),以及定期修補系統中所存在的弱點 (如Windows Update),或是定期執行弱點掃瞄及修補被偵測到的弱點等,而這些都要留存記錄 (更新記錄、掃瞄報告等) 以作為有效性的證據。

有些控制措施能使用硬體服務處理 (如A.8.12資料洩露預防、A.8.23網頁過濾),管理制度就只需要說明啟用硬體的服務,並定期檢視服務的運作正常就能符合,但有些硬體或服務的成本偏高 (如DLP),這時反而就要施加管理手段來符合控制措施的要求,並且在管理制度中說明如何執行以及留下可評量其執行有效性的證據。

有些控制措施可能沒有可用的工具,或是工具能施加的管制程度有限,或是一定要經過相關過程 (審查核定) 才能算是有效的控制措施時,則管理制度就需要介入、規劃制訂相關過程,如A.8.9 (組態管理)、A.8.10 (資訊刪除)、A.8.19 (運作中系統的軟體安裝) 及A.8.32 (變更管理) 等。

大多數的控制措施的目標都很明確,只要依照控制措施的要求實作即可,不過也有些控制措施需要參照其他的標準 (如A.8.9),可能難以確認要實作的範圍程度,這時可能就需要評估範圍的邊界,或與顧問討論適當的方式。


上一篇
[Day 24] 實體控制措施
下一篇
[Day 26] 組態管理
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言