[資訊安全]金融機構資訊安全技術面法規介紹與查核

金融業一直都是一個備受「關照」的產業,這次來簡單討論一下金融機構所受到的基本資安要求。

這是平常工作最常接觸到的法規,金融業最基本的資訊安全評估辦法:

金融機構辦理電腦系統資訊安全評估辦法:

為確保金融機構提供電腦系統具有一致性基本系統安全防護能力並遵循中華民國銀行商業同業公會全國聯合會制訂之「金融機構資訊系統安全基準」及「金融機構辦理電子銀行業務安全控管作業基準」,擬透過各項資訊安全評估作業,發現資安威脅與弱點,藉以實施技術面與管理面相關控制措施,以改善並提升網路與資訊系統安全防護能力,訂定本辦法。

技術檢測要求辦法面相眾多,包含了:

  1. 資訊架構檢視 — 看整個架構與資安設備配置是否妥適
  2. 網路封包分析 — 網路或資安設備相關的紀錄(LOG)檢視
  3. 網路設備、伺服器、端末設備及物聯網等設備檢測 — 對網路與伺服器做滲透測試、弱點掃描與惡意程式檢測。
  4. 客戶端應用程式檢測 — 針對Mobile APP做資安檢測。
  5. 安全設定檢視 — 針對伺服器、防火牆等等設備的設定值做確認。
  6. 社交工程演練 — 對你做信件釣魚演練。

法規查核類又包含了以下要求:

  1. 金融機構資訊系統安全基準
  2. 金融機構辦理電子銀行業務安全控管作業基準
  3. 金融機構提供行動裝置應用程式作業規範
  4. 金融機構提供自動櫃員機系統安全作業規範
  5. 金融機構運用新興科技作業規範
  6. 金融機構使用物聯網設備安全控管規範
  7. 主管機關及本會相關函文之要求
  8. SWIFT公布之Customer Security Programme

簡單介紹幾個法規:

  1. 金融機構資訊系統安全基準:

這份文件金融業只要查技術基準的技1~技51 ,是基本的查核項目。其他如「運」的項目就不在範圍內。但因為安全基準的要求寫的不是很清楚,所以也可以開缺失開的很依「主觀意識」開缺失,個人覺得這篇法規有很多都不適用且脫離現行資訊技術不少。

2. 金融機構辦理電子銀行業務安全控管作業基準:

電子銀行是針對金流交易相關等重要系統的要求,項目眾多且牽涉多許多加密演算法和業務流程的查核項目。

這份個人覺得很不好查,內容需要有基本的技術知識且有很多很多業務流程面的要求,查起來覺得很雜亂而且無條理,但卻是一個金檢很重視的法規之一,如果可以將業務流程與技術要求拆兩篇感覺會更好。

3. 金融機構運用新興科技作業規範:

包含了生物辨識、自攜設備、雲端服務、社群媒體四項的要求,但每一條的項目都不多。雖然這些項目沒有分開出一本規範,但都是未來可能會被重視的領域。

4. 金融機構使用物聯網設備安全控管規範:

物聯網設備安全控管是針對物聯網設備的要求,包含了資產盤點與弱點管理。個人覺得除了金融業以外各行各業都可以做斟酌參考,畢竟物聯網設備的使用已經非常廣泛,在資安上問題也愈來越多。

SUMMARY

金融業的資安要求遠比其他產業來要嚴格且繁雜,除了上面有主管機關金管會以外,金錢利益也是駭客長期關注的目標,一但出事除了財務上損失以外,名聲也會有所大傷。另外純網銀也會更加重視資安技術面的檢測,如果只依靠傳統的內外部稽核與制度規範,難以驗證資安是否有落實。

若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我來支持文章。

--

--

--

業餘資安寫手,成員來自於四大會計師事務所、不同類型的資安與科技公司,希望透過紀錄所學的知識來回饋於社群上,互相學習分享。另提供企業資安顧問服務,依照企業規模與需求評估企業網路安全設計、基礎資訊安全防禦規劃。contact@kuronetwork.me

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Kuro Huang

Kuro Huang

充滿熱情的資安從業者,喜歡用專業興趣交朋友而非透過商業關係建立友誼。目前於安永 ( EY ) 擔任資訊安全顧問,希望對資安社群盡一點心力,並期望自己與身旁的人能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。 LinkedIn好友、文章目錄與個人介紹請參考 :https://kuronetwork.me

More from Medium

Security Invariants or GTFO

Hardly-Noticed Cost on Democracy of NOT Having Solid Identity Assurance Platform

Stop Training the Adversary with Authentic, Fine-Grained, Denial-Type Policy Enforcement

Archive Microsoft 365 Defender logs