FineArt News

資安新知

用X-FORT協助ISO 27001 : 2022 資料外洩防護

附錄ISO 27002 8.12 資料外洩防護

距離ISO 27001上次更新是在2013年,在這接近10年的時間裡,網路的應用越來越廣,連網的設備越來越多,除了原本的電腦、手機連網以外,汽車、機器設備、家電等也都可以上網路,衍生而來的就是日益增加的網路攻擊,勒索軟體的肆虐,為了因應新興的網路威脅ISO 27001在2022年10月25日公布了資訊安全、網宇安全、隱私保護--資訊安全控制項目改版,此次的改版主條文新增6條,異動8條,附錄A控制領域從15個降為4個,新增11個控制措施,本文主要以介紹8.12 資料外洩防護為主,這也是ISO 27001改版中,資訊安全管理作業法規ISO 27002明確的指出要採取資料外洩防護的措施。

 

ISO 27002 8.12 資料外洩防護 DATA LEAKAGE PREVENTION

目標:偵測和防止個人或系統未經授權的揭露和萃取資訊。資料外洩防護措施應用於處理、儲存或傳輸敏感資訊的系統、網路和任何其他設備。

指導:組織應考慮以下事項以降低數據洩露的風險。

 

  1. 識別和分級資訊(Identify & Classifying)

    識別應防止洩漏之資訊,例如:個資、用戶隱私、營業秘密等。
    組織內的敏感資料非常的多,使用情境,傳輸情境,保存情境都不一樣,這些東西我們都需要識別出來,然後才有辦法從這些情境中去推導出來,資料可能會洩漏的管道有哪些,例如:資料可能從email被傳送出去,可能從隨身碟被帶出去,可能被上傳到雲端硬碟,知道這些資料外洩的管道,我們才有辦法對每個外洩管道進行過濾與管控。

  2. 監視與偵測資訊洩漏管道(Monitoring & Detecting)

    目前企業內部主要還是電腦在處理文件的比例是最高的,以電腦可能會造成洩漏的管道如下:包含常用的隨身碟、光碟、印表機、手機等各種實體裝置,以及經由網路通訊的網芳、雲端硬碟、即時通訊、網頁、郵件等。

  3. 採取措施防止資訊洩漏

    阻擋可能洩漏敏感資訊的使用者操作、網路存取或資料傳輸,例如:禁止複製含有個資網頁內容、檔案寫出到外接碟需要經過內容審核。同時條文內容也寫道
    “組織應確定是否有必要限制用戶向組織外部的服務、設備和存儲媒介複製和貼上或上傳資料的能力。如果是這種情況,組織應實施數據洩漏防護工具或配置允許用戶在組織內查看和操作遠端保存的數據但防止在組織控制之外複製和貼上,如果需要數據導出,應允許數據所有者批准導出並讓用戶對他們的行為負責。” 

 

X-FORT協助ISO 27001:2022 – 8.12 資料外洩防護

資料外洩防護工具(DLP:Data Leakage Prevention)旨在識別資訊、監控資訊的使用和移動,並採取措施防止資料洩漏(例如,提醒用戶注意他們的危險行為和阻止資料傳輸到便攜式存儲設備)。

除了用一般的行政作業來達到資料外洩防護外,以ISO 27001的建議就是使用資料外洩防護工具(DLP:Data Leakage Prevention),精品科技的X-FORT本身具有Data Leak Prevention、IT Asset Management、Data Protection、EDR等多種解決方案,可以控管各種洩密的管道,以下就列舉出X-FORT可協助管控的功能

   跟電腦本身或周邊設備可能洩漏的管道控管方式:

  • 外接式儲存裝置(隨身碟、外接硬碟)可禁止使用、唯讀、寫出檔案記錄與備份檔案。需要進行審核才可寫出,寫出檔案加密等功能。
  • MTP裝置(智慧手機、數位相機)禁止寫出檔案至MTP裝置、寫出檔案記錄與備份。
  • 列印控管:禁止列印至印表機、列印記錄與備份、列印時可強制加入浮水印。
  • 電腦本身的硬碟:支援MBR硬碟防護、BitLocker硬碟加密,防止硬碟被拔走複製資料。
  • 光碟控管: 禁止燒錄功能或者提供X-Burn燒錄軟體,燒錄記錄與備份。
  • 其他裝置控管:藍牙、無線網路卡、VM軟體、遙控軟體等可能外洩管道均可禁止使用。
  • 共用資料夾控管:防止外來電腦進入組織內部透過網路芳鄰竊取機密資料,提供網芳寫出。寫入記錄與備份。
  • 通訊控管:禁止用戶端連線到特定網段或特定服務,讓未具授權的電腦無法接觸到機敏資料所在的網段或服務。
  • 網頁控管:禁止瀏覽已被禁止的網站(例如:有資料外洩疑慮的網站Gmail、Google Drive)。
  • 特殊控管的網頁:對於工作而言,某些網站是必需使用,但是又怕有資料外洩疑慮,對特定網站進行細部的控管,例如:禁止上傳檔案,禁止複製貼上到網站上,禁止使用鍵盤,上傳檔案記錄、上傳檔案備份。
  • 雲端控管:禁止瀏覽雲端硬碟的網站、禁止雲端同步工具同步地端檔案至雲端、防止MS
  • Office直接儲存檔案到雲端硬碟。
  • 傳輸控管:即時通訊軟體控管(禁止使用即時通訊軟體、禁止上傳檔案、禁止分享桌面、上傳檔案記錄備份)、視訊會議軟體控管(禁止使用視訊會議軟體、禁止上傳檔案、上傳檔案記錄備份)、禁止連線到非公司允許的無線基地台、FTP上傳下載控管,FTP上傳記錄備份。
  • 郵件控管:僅能透過公司允許的SMTP進行發信,Outlook寄信記錄備份。

以上列舉項目僅是X-FORT眾多模組中的常見資料外洩管道的防護功能,也可見得資料外洩的管道眾多,對於有導入ISO 27001需求的企業來說,使用資料外洩防護工具(DLP:Data Leakage Prevention)可讓導入的工作達到事半功倍的效果。