ISO 27001在2022年10月25日公布了資訊安全管理系統改版,此次的改版主條文新增6條,異動8條,附錄A控制領域從15個降為4個,新增11個控制措施,其中以附錄A的異動是較大的,總共有4個安全控管框架,A5屬於組織面的控制措施,A6屬於人員面的控制措施,A7屬於實體面的控制措施,A8屬於技術面的控制措施,這四大框架的控制措施除了8.12有明確指出採用資料外洩防護(DLP)進行防護外,其餘控制措施皆未說明需使用何種工具,本文將從附錄A找出X-FORT可協助的控制措施進行說明,讓ISO 27001的導入能更事半功倍。
A.5.13 資訊之標示
控制措施:應依據組織所採用之資訊分級方案,發展及實作一套適切的資訊標示程序。
依據機密性、完整性、可用性對公司文件進行分級,分級後再進行資訊之標示,文件需要標示的原因在於,不同人對於同一份文件可能認知會有差異,有人會認為這份文件不是機密,有人認為這份文件是機密,因此有必要對文件進行標示,以減少認知上的差異,那如何認定該文件為機密或極機密呢?可以用以下來分類,例如該份文件洩漏會影響整個部門的就視為機密,該份文件洩漏會影響整間公司的就視為極機密。
只要對文件資料進行分級並標示機密等級,該公司就等於開始實施營業秘密保護法了,一旦機密文件被外洩,就會有法律責任,營業秘密法是公司必須要對文件進行標示,使用者才不能隨意拿取,若沒有標示,萬一發生資安事件有可能無法提告成功。
當然內部一般文件是可以不用標示的,只有機密等級以上的文件才標示也是可以。
X-FORT協助發展實作的標示方式:
- 列印控管模組:列印成紙張時強制加上浮水印。
- 軟體安控模組:開啟特定軟體顯示螢幕浮水印。
A.5.14 資訊傳送
控制措施:應備妥正式之資訊傳送規則、程序或協議於組織內部及組織與其他團體之間所有類型之傳送設施。
資訊的產生、使用、儲存、傳遞,這裡講的是傳遞的概念,本控制措施的規則、程序、協議,三種意義是一樣的,就是資訊傳送管理的方式,重點在於所有類型的傳送設施,資訊的傳送可以分為兩類一為實體傳送:如紙張;另一為電子傳輸:如Email、IM軟體、網路、隨身碟等。
因此資訊傳送規則建立好後,可利用X-FORT的相對應的模組進行實際的管控。
例如:絕對禁止透過LINE傳送文件,就可搭配使用X-FORT的傳輸控管模組,讓Line無法傳送文件,又或者除了公司網站外,其他網站一律不能上傳檔案,就可使用特殊網頁控管進行管制。
A.6.7 遠距工作
控制措施:當員工遠距工作,應實作安全措施,以保護存取、處理或儲存於組織場所外之資訊。
員工遠距工作情境有很多種,常見的是攜帶公司筆電外出工作,必要時會VPN連線回公司,又或者至分公司、家裡上班因為場所的不同而需要不同的控管政策,X-FORT提供自適應政策,會依據電腦所在的地點不同自動套用相對應的政策,例如:在公司內部套用A政策,離開公司套用B政策,透過VPN連線回公司套用C政策。
甚至透過家裡電腦連線回公司有安裝X-FORT電腦,該被控電腦亦可自動套用自適應政策。
A.8.1 使用者端點設備
控制措施:應保護經由使用者端點設備所儲存、處理或可存取之資訊。
端點設備如:PC、NB、平板、手機等會儲存、處理、存取資訊的設備一律需要被保護,這裡講的保護是指邏輯上的保護,意思是指這些端點設備上的資料必須防範未經授權的使用。
以平板與PC為例,平板與PC都要設定密碼,讓不知密碼的人員無法進入系統。
以PC上的文件為例,X-FORT的File Locker檔案加密模組可把PC裡面的文件加密,加密後的文件沒有權限的人拿到這份文件將無法開啟,同理文件被外洩出去,沒有權限的電腦與人亦無法開啟該加密文件。
A.8.7 防範惡意軟體之保護
控制措施:應經由適切之使用者認知支持下實作防範惡意軟體之保護
資訊安全管理員必須把惡意軟體最大的來源為何?通常從何種管道進來?會經由誰攜帶進來?等這些資訊教育使用者,讓使用者對惡意軟體擁有基本的認知,並且讓他們知道公司中了惡意軟體會有何影響?但是認知教育在現在惡意軟體橫行的時代是必要的,但是強度可能不足,以勒索軟體來講X-FORT的應用程式控管也可用來防範勒索軟體的攻擊,把電腦裡面的執行檔掃描成白名單,該電腦就只能執行白名單軟體,其他不在白名單裡的軟體,例如:來路不明的免安裝軟體、破解版軟體、Email裡的執行檔將無法執行,若要執行或安裝必須跟X-FORT管理員申請,應用程式控管也可以說是防毒軟體後面的另一道防護機制。 A.8.8 技術脆弱性管理控制措施:應取得關於使用中之資訊系統的技術脆弱性資訊,並應評估組織對此等脆弱性之暴露,且應採取適當措施。此措施主要是要標示出技術面的脆弱性有哪些?例如:軟體漏洞、滲透測試,就是要提早發現系統漏洞進而修補,X-FORT的軟體資產模組可協助更新用戶端Windows Hotfix功能,軟體資產底下的CPE模組,可將電腦所安裝的軟體透過CPE字典檔找出軟體的重大漏洞進而更新軟體版本修復漏洞。
A.8.12 數據/資料洩漏預防
控制措施:應對系統、網路及任何其他設備處理、儲存、或傳輸敏感資訊應用數據/資料洩漏預防措施。
資料外洩防護工具(DLP:Data Leakage Prevention)旨在識別資訊、監控資訊的使用和移動,並採取措施防止資料洩漏(例如,提醒用戶注意他們的危險行為和阻止資料傳輸到便攜式存儲設備)。
除了用一般的行政作業來達到資料外洩防護外,以ISO 27001的建議就是使用資料外洩防護工具(DLP:Data Leakage Prevention),精品科技的X-FORT本身具有Data Leak Prevention、IT Asset Management、Data Protection、EDR等多種解決方案,可以控管各種洩密的管道,以下就列舉出X-FORT可協助管控的功能
跟電腦本身或周邊設備可能洩漏的管道控管方式:
- 外接式儲存裝置(隨身碟、外接硬碟):可禁止使用、唯讀、寫出檔案記錄與備份寫出檔案案需要進行審核才可寫出,寫出檔案加密等功能。
- MTP裝置(智慧手機、數位相機):禁止寫出檔案至MTP裝置、寫出檔案記錄與備份。
- 列印控管:禁止列印至印表機、列印記錄與備份、列印時可強制加入浮水印。
- 電腦本身的硬碟:支援MBR硬碟防護、BitLocker硬碟加密,防止硬碟被拔走複製資料。
- 光碟控管: 禁止燒錄功能或者提供X-Burn燒錄軟體,燒錄紀錄與備份。
- 其他裝置控管:藍牙、無線網路卡、VM軟體、遙控軟體等可能外洩管道均可禁止使用。
- 共用資料夾控管:防止外來電腦進入組織內部,透過網路芳鄰竊取機密資料,提供網芳寫出寫入紀錄與備份。
- 通訊控管:禁止用戶端連線到特定網段或特定服務,讓未具授權的電腦無法接觸到機敏資料所在的網段或服務。
- 網頁控管:禁止瀏覽已被禁止的網站(例如:有資料外洩疑慮的網站Gmail、Google Drive)。
- 特殊控管的網頁:對於工作而言,某些網站是必需使用,但是又怕有資料外洩疑慮,對特定網站進行細部的控管,例如:禁止上傳檔案,禁止複製貼上到網站上,禁止使用鍵盤,上傳檔案紀錄、上傳檔案備份。
- 雲端控管:禁止瀏覽雲端硬碟的網站、禁止雲端同步工具同步地端檔案至雲端、防止MSOffice直接儲存檔案到雲端硬碟。
- 傳輸控管:即時通訊軟體控管(禁止使用即時通訊軟體、禁止上傳檔案、禁止分享桌面、上傳檔案紀錄備份)、視訊會議軟體控管(禁止使用視訊會議軟體、禁止上傳檔案、上傳檔案記錄備份)、禁止連線到非公司允許的無線基地台、FTP上傳下載控管,FTP上傳記錄備份。
- 郵件控管:僅能透過公司允許的SMTP進行發信,Outlook寄信記錄備份。
A.8.13 資訊備份
控制措施:應依據議定之特定主題備份政策定期維護資訊,軟體及系統之備份複本,並測試之。
資訊備份主要是要降低營運中斷的風險,如果是以防範勒索病毒造成的營運中斷的面向制定備份政策,那麼X-FORT軟體安控模組 > 資料夾防護除了防止病毒攻擊外,亦可設定備份政策,把電腦裡面的檔案備份到特定資料夾存放,並且設定資料夾保護,萬一中了勒索病毒,備份的資料夾因為有X-FORT的保護不被攻擊,可讓文件不會全部被勒索病毒加密。
A.8.23 網頁過濾
控制措施:應管理對外部網站之存取,以減少接觸惡意內容。
大部分的企業都有防火牆來達到網頁過濾、網頁禁止的功能,X-FORT本身為端點防護系統,如果筆電帶出公司,所有的網頁過濾控管都還存在,不會因為電腦帶出公司外面而失去保護能力。
以上控制措施是此次ISO 27001:2022 年版本改版後選出X-FORT能夠協助上的項目,當然有工具的幫忙導入ISO 27001將會是一個更有效率容易的做法。