[資訊安全]金融機構資訊安全技術面法規介紹與查核

Kuro Huang
資安工作者的學習之路
4 min readOct 5, 2019

--

金融業一直都是一個備受「關照」的產業,這次來簡單討論一下金融機構所受到的基本資安要求。

這是平常工作最常接觸到的法規,金融業最基本的資訊安全評估辦法:

金融機構辦理電腦系統資訊安全評估辦法:

為確保金融機構提供電腦系統具有一致性基本系統安全防護能力並遵循中華民國銀行商業同業公會全國聯合會制訂之「金融機構資訊系統安全基準」及「金融機構辦理電子銀行業務安全控管作業基準」,擬透過各項資訊安全評估作業,發現資安威脅與弱點,藉以實施技術面與管理面相關控制措施,以改善並提升網路與資訊系統安全防護能力,訂定本辦法。

技術檢測要求辦法面相眾多,包含了:

  1. 資訊架構檢視 — 看整個架構與資安設備配置是否妥適
  2. 網路封包分析 — 網路或資安設備相關的紀錄(LOG)檢視
  3. 網路設備、伺服器、端末設備及物聯網等設備檢測 — 對網路與伺服器做滲透測試、弱點掃描與惡意程式檢測。
  4. 客戶端應用程式檢測 — 針對Mobile APP做資安檢測。
  5. 安全設定檢視 — 針對伺服器、防火牆等等設備的設定值做確認。
  6. 社交工程演練 — 對你做信件釣魚演練。

法規查核類又包含了以下要求:

  1. 金融機構資訊系統安全基準
  2. 金融機構辦理電子銀行業務安全控管作業基準
  3. 金融機構提供行動裝置應用程式作業規範
  4. 金融機構提供自動櫃員機系統安全作業規範
  5. 金融機構運用新興科技作業規範
  6. 金融機構使用物聯網設備安全控管規範
  7. 主管機關及本會相關函文之要求
  8. SWIFT公布之Customer Security Programme

簡單介紹幾個法規:

  1. 金融機構資訊系統安全基準:

這份文件金融業只要查技術基準的技1~技51 ,是基本的查核項目。其他如「運」的項目就不在範圍內。但因為安全基準的要求寫的不是很清楚,所以也可以開缺失開的很依「主觀意識」開缺失,個人覺得這篇法規有很多都不適用且脫離現行資訊技術不少。

2. 金融機構辦理電子銀行業務安全控管作業基準:

電子銀行是針對金流交易相關等重要系統的要求,項目眾多且牽涉多許多加密演算法和業務流程的查核項目。

這份個人覺得很不好查,內容需要有基本的技術知識且有很多很多業務流程面的要求,查起來覺得很雜亂而且無條理,但卻是一個金檢很重視的法規之一,如果可以將業務流程與技術要求拆兩篇感覺會更好。

3. 金融機構運用新興科技作業規範:

包含了生物辨識、自攜設備、雲端服務、社群媒體四項的要求,但每一條的項目都不多。雖然這些項目沒有分開出一本規範,但都是未來可能會被重視的領域。

4. 金融機構使用物聯網設備安全控管規範:

物聯網設備安全控管是針對物聯網設備的要求,包含了資產盤點與弱點管理。個人覺得除了金融業以外各行各業都可以做斟酌參考,畢竟物聯網設備的使用已經非常廣泛,在資安上問題也愈來越多。

SUMMARY

金融業的資安要求遠比其他產業來要嚴格且繁雜,除了上面有主管機關金管會以外,金錢利益也是駭客長期關注的目標,一但出事除了財務上損失以外,名聲也會有所大傷。另外純網銀也會更加重視資安技術面的檢測,如果只依靠傳統的內外部稽核與制度規範,難以驗證資安是否有落實。

若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我來支持文章。

--

--

Kuro Huang
資安工作者的學習之路

對教育充滿期待的資安從業者,現任ISC2台北分會理監事會成員,喜歡用專業興趣交朋友建立友誼。曾擔任資安管理師與四大會計師事務所資安顧問,希望對資安社群盡一點心力,並期望自己與身旁的人能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。