第188期 / June 5, 2013

資安前哨站

分享到臉書!分享到維特!分享到噗浪!分享到Google+!分享到微博!轉寄友人友善列印

個人/機敏資料自動化盤點方法概述(下)

作者/林信忠

[發表日期:2013/6/5]

前言

筆者於上一期的文章中已對中小型企業等資源較為不充足的組織其個人/機敏資料自動化盤點方法做過簡介,本期則以大型的企業為主角,探討這些資源相對充足的組織該如何執行個人/機敏資料自動化盤點作業。

中小型企業執行自動化盤點可採行花費少,但需具備人員技術能力頗強的解決方案,這也符合中小型企業的特質,資訊人員十八般武藝都需要有所涉獵。大型企業則不相同,人員技術能力不差,但受階層式組織架構分層負責明顯,跨部門整合不夠彈性等因素限制影響,故即使人員具備中小企業資訊人員的能力,通常還是會希望個人/機敏資料自動化盤點的工具人為介入越少越好,只要有個管理介面能設定權限,印出所要的報表就好,其餘部分則要求要全自動化處理,拿兩者做法比較,就好像半自動武器vs全自動武器一樣。特別是凌群電腦主要的客戶許多為金融或電信業者,上述所說這種現象就益發明顯。

既然這些大型企業採購個人/機敏資料自動化盤點工具是以功能齊全為主要的考量,而這些組織預算資源亦算充足,故除了達到個人/機敏資料盤點的基本功能外,該工具產品應可要求有額外附加加值,能夠未雨綢繆,看看能否滿足個資法第十八條等條文所規定的防止個人資料被竊取、竄改、毀損、滅失或洩漏或是施行細則中所要求的其他保護措施的要求?正因為這些原因,對大型企業個人/機敏資料自動化盤點工具的規劃就應朝單一系列(如同一品牌)或能無縫整合式的產品方向發展,即產品儘量單純,功能儘可能齊全的角度來考量,接下來筆者就從規劃與產品功能兩個層面對大型企業盤點工具做一介紹。

規劃面方法介紹

iThome雜誌曾針對個資法做調查,台灣多數業主認為「個資分散各部門」是最困難克服的項目,特別是對金融業與服務業尤其明顯,該雜誌列出了幾個個資盤點原則:

一、個資盤點需涵蓋所有業務流程

個資法對於違反規定所做的處罰,除特定情形外,是以告訴乃論為主,也就是說只要有人提起法律訴訟,企業就會面臨賠償的風險。故以宏觀的角度觀之,企業應趁著法律要求,好好的審視所有的業務流程,盤點出來是否有個人/機敏資料?在很多情況下,公司員工或老闆並不清楚整個業務流程,往往只熟悉某個業務片段。這和ISO/IEC 27001資產盤點概念有些許的不同,資產盤點會先盤組織重要的資產或核心業務,針對不重要的資產或業務極可能被歸類到可接受的風險水準內;又或者ISO/IEC 27001僅針對其範疇(scope)內的資產做盤點而忽略了範疇外的資產與業務流程,這樣的做法對個資盤點可能不是十分妥當的,是故個資盤點需涵蓋所有業務流程。

二、個資類別比數量更為重要

個資盤點時,掌握個資的類別比掌握個資的數量更為重要。因找到的個資類別越多,表示企業進行個資盤點的流程拆解的越細緻,越不容易因為遺漏的業務流程而漏盤相關的個資。

三、個資盤點是持續性工作

只要企業的組織有異動,人員業務有調整,營運項目有新的增減,對於個資法規定的個資盤點而言,經歷過類似上述業務、組織或作業流程上的變動時,企業就必須再進行一次個資盤點。

以上是個資盤點,特別是大型企業採行個資盤點所要特別注意的規劃原則,接下來我們就從規劃面與前期文章所提之中小型企業個人/機敏資料自動化盤點方法的缺陷來切入大型企業個人/機敏資料自動化盤點工具/產品的功能需求。

工具/產品功能面方法介紹

筆者將產品功能分為基本(即必要)與附加加值(有會更好)兩個構面說明:

一、基本功能構面

在前期文章中曾提到, 中小型企業個人/機敏資料自動化盤點方法的不便處在於要用好幾種方法來解決不同資料散布在不同作業系統與平台的問題,大型企業採行的方法則無此種考量,故其可於服務建議書(Request for Porposal)中要求其工具產品具
  • 可檢測不同作業系統(例:Windows、Linux/Unix)是否有個人/機敏資料的能力。中小型企業盤點方法有無法判別二進位檔(binary files)內容的缺憾,為彌補此缺點可於服務建議書(Request for Porposal)中要求其工具產品具。

  • 可用指紋(Fingerprint)的方式檢測非結構化資料內容。中小型企業盤點方法對資料庫內容的判斷需搭配Script撰寫,大型企業則無此必要,故可對組織現有的資料庫要求此工具產品具。

  • 可檢查出資料庫(例:MS SQL,Oracle...)是否有個人/機敏資料的能力。在前期文章中沒有提到如何對存放在NAS/SAN當中的個人/機敏資料做盤點,真實情況中,有許多包含個資的檔案是儲存在NAS/SAN等存儲媒體上,可要求此工具產品具。

  • 可直接進行NAS/SAN等存儲媒體之個人/機敏資料盤點作業。在工具/產品的規劃面章節曾提到除了發現到個資的數量外,個資類別的數量更顯重要, 一般市面上個資盤點產品已將個資法中所定義的個人資料類別(例: 姓名、出生年月日、國民身分證統一編號、護照號碼、聯絡方式)等可直接識別的欄位,除此之外服務建議書可加入。

  • 除個資法要求外必要欄位外尚有其他可間接識別的個人資料欄位。其他與產品/工具基本檢測能力較無關的功能,如可識別的檔案型態、可自定義識別規則、是否可排程化掃描?使用者權限管理、報表的客製化能力等來衡量工具/產品的好壞,這些均可做更細緻的要求,上述所提可歸屬產品/工具的基本功能。


二、附加加值功能構面

介紹完基本功能後,接著談談附加加值的構面。大型企業雖然經費充分,但相同類別(如個資盤點屬個資保護的先期作業,兩者歸為同個類別)較難分批申請多次預算,故既然有了一筆充足費用就希望能盡量做足,避免後續還要再申請的麻煩,也就是說如果在個資盤點的同時能夠做到資料外洩的防護,豈非對公司更為有利?

我們先想想盤點後的可能要求?如如何防止個人/機敏資料外洩?好的資料外洩防護解決方法需達到下列功能:
  • 能夠掌握企業內部所認定個人/機敏資料的檔案位置(如存放路徑等)。

  • 能夠查出遭不當曝露的資料內容與筆數。

  • 需要個人/機敏資料的檔案位置不當的存取權限設計以及存取資訊(如個人/機敏資料被存取的時間等)。


前面第一點與第二點目前市面上主流的資料外洩防護產品大都可達成,而第一點正是資料盤點的功能(基本要有的)。換言之,可用資料外洩防護產品來滿足個資法與施行細則的盤點與防範外洩的要求,即基本功能與未雨綢繆。但是第三點呢?俗話說「治標先治本」,綜觀電子式個人/機敏資料外洩的原因,許多都是因為檔案存取權限設定不正確所造成,如果有個自動化機制能預先檢查哪些人存取個人/機敏資料檔案?他/她是否有這些權限存取?能夠列出檔案/資料夾所有人的存取權限甚而判定何者不適當與修正權限後對整體權限設定的關聯性影響豈不是更佳?

基於上述觀點,在預算許可的範圍內,大型企業個人/機敏資料自動化盤點招標案其服務建議書可斟酌增加下列功能需求:
  • 存取日誌稽核:即使用者存取哪些個人/機敏資料檔案(含人,時,地,事,物等資訊)?

  • 權限檢視: 對個人/機敏資料檔案不同角度(例:資料夾、人員、群組等)的權限檢視,藉此避免因過多權限導致違反法律或組織安全政策的事件發生。

  • 權限建議:可由檔案或資料夾存取情形來判斷權限是否賦與適當?如某人長期或從未存取檔案/資料夾,是否考慮收回該員的存取權限等。

  • 權限異動模擬:如果異動權限,會對系統造成何種影響?

  • 其他:如自訂敏感性資料夾風險指數與彈性的報表制定等。


簡而言之,針對大型企業自動化盤點方法,筆者建議可採同時達成基本盤點功能+資料外洩防護+存取稽核與權限管理這種一魚三吃的方式進行。

結論

上述介紹的個資/機敏資料盤點的方法最大特色是自動化與功能涵蓋面超出單純的盤點需求且希望能用單一或能無縫式整合的產品完成,此時預算就不應是首要的考量;此法較適合特別是金融、電信等大型業者。當然也可採行人工盤點的方法,唯因盤點是項需持續多次進行的工作,若能加入自動化因子協助,將會使得整個過程更加順暢,亦能大量減少組織人員時間與精力上的耗費。

參考資料

格網管之資訊安全暨網通筆記部落格
‧個資法與個資法施行細則
aronis 檔案存取記錄與權限管理軟體介紹