BSI技術指引 TR-03183-1
| 適合一般產品及資訊安全產業界,具備基礎教育背景的亞洲讀者。 此文僅供個人參考與資訊喚回,尚非法律建議或符合性途徑。內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。後續修訂請查閱歐盟與德國的BSI官方網站、洽詢各家驗證公司、諮詢顧問等。 CC BY-SA 4。0。 |
(見前篇)
5 風險導向方法
5.1 (網路與資訊安全)風險的相關性
根據CRA第13條及附錄一的第一部分,製造商應確保其產品設計、開發及生產符合附錄I第一部分所列的網路與資訊安全基本要求,並根據風險確保適當的網路與資訊安全水準。為此;製造商應對凡是與PwDE相關的(網路與資訊安全)風險進行評鑑,並在產品規劃、設計、開發、生產、交付及維護階段(包含數位元素)中納入考量,以透過預防事件及降低(網路與資訊安全)衝擊來降低網路與資訊安全風險。
此處提供的方法為建立適合CRA涵蓋產品的網路與資訊安全層級,並使製造商能在整個產品生命週期中盡職運用,並依其特定使用情境採取適當的措施與流程。
風險評鑑係在不同應用情境中受到廣泛採用,因為每個決策本身就有風險。就該指引的範圍而言,「風險」一詞始終針對網路與資訊安全,目標是將對 PwDE、使用者、前後環節及連接至 PwDE 的網路的風險降低至可接受的水準。
法規中所述的「最小化minimizing」一詞不會在此份指引中予以使用,因為一般情況而言,將相關風險降至最低並非目標,這通常不可行,也非適當處理風險所必需。
5.2 風險術語/詞彙說明
風險評鑑時會使用資產、(網路與資訊安全)威脅、(網路與資訊安全)風險及(網路與資訊安全)事件」等詞彙。資產Asset:資產是指所有值得保護且由PwDE創造、處理、儲存或以其他方式影響的資產。這些內容可包括由PwDE產品所創造、傳輸、儲存或以其他方式處理的資料、PwDE產品提供、使用或影響的網路資源、實體或其他資產,以及PwDE產品本身的完整性與正常運作,以及PwDE產品使用者的隱私、安全與健康,以及所有受PwDE影響者。
(網路與資訊安全)事件Incident:根據CRA第三條,事件「是指對網路及資訊系統安全造成實際不利影響的任何情況」。接著(資安)事件發生的是指單一與資訊安全相關的情況,對PwDE的資產安全產生不利影響。
(網路與資訊安全)威脅Threat:根據CRA第三條,威脅指「任何可能損害、干擾或以其他方式不利衝擊網路與資訊系統、系統使用者及其他人的潛在情況、事件或措施」。威脅僅會認定存在事件的潛在可能性,並不包括威脅的可能性與潛在衝擊。這種衍生表述方式係屬必要,因為某個事件只能在該事件發生後予以處理,相較之下,威脅則可用來評估潛在的資安措施,以預防、偵測及修正事件。
(網路與資訊安全)風險Risk:根據CRA第三條,網路與資訊安全風險是指因事件所造成的損失或中斷的潛在損失,應以損失或中斷的規模與事件發生機率的綜合來表述。將可能性與衝擊(損失或中斷的規模)附加於威脅中,能規劃適當的安全措施以預防、偵測及修正事件,並優先執行。
由於該技術指引僅涵蓋與網路與資訊安全相關的風險,網路與資訊安全(Cybersecurity)一詞不會在此處與事件、威脅及風險給出說明。
5.3 風險導向方法的量身打造
適當的風險處理方式高度依賴於PwDE的類型及其預期目的及可預見的使用。該技術指引中的風險處理方式乃基於ISO 31000的風險管理過程,構成風險導向方法中共通的一般活動,適用於各種PwDE產品。為了簡化特定用例的風險處理,並讓導入流程更為順暢,活動以及輸入與產出通常都可以量身打造,只要符合該指引中所列的一般面向與要求。針對特定使用情境進行量身打造的做法稱為「量身打造化」,若以鼓勵考量,本文中會多處說明之。一般建議採用廣泛採用的標準與架構,以量身打造風險導向方法,納入現有產業對產品特定風險及其適當處理的知識。
該指引可單獨使用,或配合本章所述一般活動,與其他產業特定標準結合使用。
5.4 風險處理
如圖六所示,最小風險處理活動包括風險評鑑,包括識別、分析與評估潛在風險,並進行風險處理以降低風險至可接受水準。這兩項活動皆基於描述PwDE的風險前後環節及風險分析與評鑑準則。ISO 31000 使用風險管理一詞,同時包含「溝通與諮詢」活動,用於與利害關係人溝通與協調風險;「審查與監督」,用於審查現有風險評鑑並回應新風險;以及「記錄與報告」,用於風險文件化。這些活動也部分包含在製造商更新風險評鑑與風險報告的義務中,若有需要,將另行說明。
圖六:風險處理概觀
5.5 風險處理作為一個流程
風險處理流程會根據組織的具體需求而個別化。一般來說,有幾個方面需要考慮:- 風險處理是反覆進行的:無法一次性處理所有相關風險,因為即使風險評鑑最嚴謹,仍很可能仍有未被評估的風險,因為現實複雜且外部因素常常變動,風險緩解措施將引入新的或影響患者內既有的互動, 這些必須重新評估。因此,透過實施可用且結構化的流程來應對變化與不確定性,保持彈性非常重要。這不僅適用於上市前,也適用於上市後。
- 風險處理是多層次的:風險處理是 PwDE 生命週期中每個環節的一部分,根據治理、設計、開發、生產及營運等相關利害關係人,有不同層次的細緻度。這種多層次的做法將確保適當的利害關係人參與,以及多元觀點以達成良好成果。此指引將保持在產品設計的細緻度上,旨在協助技術專家準備CRA考試,同時給予他們具體實施的自由。
- 風險處理是溝通:成功風險處理的關鍵在於溝通,因為所有參與 PwDE 的人員都能提供有價值的見解與資訊,以妥善處理風險。因此,對風險保持透明並與相關利害關係人溝通非常重要。
5.6 風險處理的展望
風險處理基於參與者的專業知識及其觀點。風險處理必須在不同觀點間找到適當的平衡。風險處理的常見觀點包括:- 資安觀點:防護與環境必須保護使用者或其他利害關係人。資安試圖評估 PwDE 中哪些面向有價值,以及如何保護它們。此觀點旨在代表使用者或其他受受 PwDE 影響實體的資安需求,並盡可能降低資安風險。
- 開發者觀點:PwDE 必須為使用者提供一個功能。開發商以功能為核心,因此風險必須與PwDE的預期目的一致評估與處理。這種觀點是為了確保 PwDE 對使用者來說仍可使用且功能正常。
- 攻擊者觀點:PwDE 會受到潛在攻擊者的威脅。攻擊者會試圖評估一個患有多重的DE是否值得攻擊,以及如何進行。這種觀點對平衡很重要,因為它實際上損害了使用者的利益。通常產品開發中沒有真正的攻擊者參與,因此這可以透過內部攻擊性安全專家(例如滲透測試員或其他資安專家)來模擬。
5.7 風險背景
風險前後環節包含執行風險評鑑所需的所有資訊。風險前後環節對特定數位元素產品高度個人化,包含以下組成部分。5.7.1 預期目的與可預見使用
僅影響製造商的風險,例如必要的資安措施成本或資安措施對潛在商機的影響,通常不會被考慮,由製造商自行決定。為了評估風險評鑑的範圍,有必要定義 PwDE 在網路與資訊安全的背景下。根據第13條第1款,帶有數位元素的產品僅在符合附錄一第一部分所列基本網路與資訊安全要求時,且須妥善安裝、維護、用於其預期用途或合理可預見的條件下使用,且在適用情況下已安裝必要的安全更新;製造商所制定的流程符合附錄一第一部分所列的基本資安要求。
這表示製造商可以假設其產品已用於其預期用途或其他合理可預見的使用情境。「合理可預見使用」指的使用不一定是製造商所提供的預期目的,但很可能因合理可預見的人類行為或技術操作或互動而產生的使用。
CRA也涵蓋合理可預見的濫用,這通常不屬於風險評鑑範圍,但當構成重大安全風險時,必須依第8章進行文件記錄。「合理可預見的誤用」指的是帶有數位元素的產品,其使用方式不符合其預期目的,但可能因可合理預見的人類行為或與其他系統互動而產生。使用者故意惡意或有害行為,故意危害 PwDE 或其他系統的安全,例如越獄裝置或故意設定產品不安全,通常不屬於預期目的或可預見使用範圍。
基於此假設,製造商可根據產品的預期用途及合理可預見使用來建立風險評鑑。依據第13條第3款,該規定包括多項事項
• 產品的功能性,以達成預期目的
• 可用於合理可預見用途(但不包含於預期目的)的潛在自由度
• 產品將被使用的(操作)環境(室內或室外、私人或辦公室或其他)
• 預期的目標使用者與使用情境(一般使用者或專業使用者,單人或多用戶或其他)
• 產品預期使用的時長
5.7.2 產品架構
除了預期目的與可預見用途外,產品架構對於有效風險評鑑也很重要。架構是產品的高階技術描述,應包含:• PwDE的連接能力(廣域網、藍牙、無線區域網或其他)
• PwDE與遠端資料處理解決方案之間的(潛在)關聯與通訊
• 與其他身心障礙者(PwDE)之間的(潛在)關係與溝通
• 殘疾與環境(PwDE)的邊界
一般而言,風險前後環節也包含被評估的受害人(PwDE)範圍,因為風險評鑑,尤其是風險處理,往往只能對製造商負責的產品或零件進行充分執行。與PwDE外元件相關的風險,可能必須由其他實體處理。對於CRA範圍內的組件來說,這通常不是問題,因為它們必須以符合預期目的風險的方式設計、開發及生產,以確保適當的網路與資訊安全水準。
製造商通常對由製造商自行整合的第三方元件負責,並依據《加拿大稅務法》第13條第5款行使盡職調查。如何處理製造商整合的第三方元件相關風險,將於第5.9節討論。
5.7.3 決策準則
風險評鑑旨在識別必須處理的風險。是否需要治療風險的決定取決於該風險的潛在影響及其他因素。為了建立一個可理解且一致的評估,決策所用的因素與標準必須納入風險脈絡中。一般建議採用現有的具體標準,基於現有的產業知識與最佳實務。
該指引所述的風險評鑑將採用三種標準:
- 影響標準包含資產類型及事件預期基礎影響的資訊,基於受影響資產類型及機密性、完整性與可用性的喪失。基礎影響可依事件持續時間、受影響資產數量或其他因素而提高。
- 似然標準包含根據產品情境所提供的既有補償,估算事件發生的可能性資訊。
- 接受準則根據潛在影響及風險發生的可能性,定義哪些風險是可接受的。
5.8 RH_RA.1 - 風險評鑑
根據PwDE的情境,可以識別並分析PwDE潛在的資安風險。以下要求是基於ISO 31000的一般方法,旨在一般評估PwDE的網路與資訊安全風險。風險評鑑包括風險識別、風險分析與風險評鑑。5.8.1 RH_RA.1.1 - 風險識別
5.8.1.1 RH_RA.1.1.1 - 資產識別(活動)5.8.1.1.1 一般
為了識別產品潛在風險,必須確定因風險實現而可能受影響的受害人資產。資產是PwDE中值得保護的一切。
其中包括:
• PwDE、其組成部分與功能
• 由PwDE收集、儲存或處理的資料資產
資產清單不應包含 PwDE 以外的物件,因為這些物件無法被 PwDE 直接保護,且會變得多餘,因為所有可能受到 PwDE 影響的外部物件,在 PwDE 中都有相應的資產。
為了讓已識別的資產清單易於管理,建議根據使用情境及資產目錄的一般類型將資產分組。影響標準中的資產清單可作為資產管理的基礎。
5.8.1.1.2 輸入
• 產品具備基於預期目的及合理可預見使用方式的數位元素的功能性
• 建議:共同資產及資產類型目錄
5.8.1.1.3 控制
製造商必須識別所有 PwDE 的資產
5.8.1.1.4 輸出
• (分類)PwDE資產列表
5.8.1.1.5 參考CRA
• CRA附錄一 第一部分(1)
5.8.1.2 RH_RA.1.1.2 - 威脅建模(活動)
5.8.1.2.1 一般
這包括所有可能對PwDE資產造成不利影響的威脅。這與威脅引發事件的可能性或影響無關,因為在分析與評估待識別風險時,會考慮這些因素。
一般而言,威脅取決於PwDE的預期目的及合理可預見的使用,而不考慮特定威脅行為者。一般建議採用基於現有威脅目錄的結構化威脅識別方法。
由於威脅可能影響 PwDE 的不同組成部分及其關係,威脅識別可透過資料流模型補充,以便更容易定位受影響的 PwDE 組成部分。
若 PwDE 的元件或 RDPS 被重複用於其他 PwDE,例如用於多個物聯網裝置的伴隨應用程式,或製造商用於多個 PwDE 的 RDPS,通常建議將威脅建模及風險評鑑拆分成組件,以便更方便重複使用。
如此一來,共用元件的風險處理可以在一處完成,且只需在必要時針對每個新產品更新。
5.8.1.2.2 輸入
• 預期目的及合理可預見使用
• 產品架構
• 資產列表
• (可選:威脅目錄)
5.8.1.2.3 控制
製造商必須識別對資產及可能受影響的 PwDE 元件的威脅。
5.8.1.2.4 輸出
• 已識別風險清單,包括對資產及可能受影響組件的威脅PwDE。
5.8.1.2.5 參考CRA
• CRA附錄一 第一部分(1)
5.8.2 RH_RA.1.2 - 風險分析(活動)
對已識別風險的分析是評估風險的必要條件,並包括事故(影響)所造成的損失或干擾的規模,以及事故發生的可能性。影響主要透過受影響資產的價值來定義,因為對重要資產產生負面影響的事件,其影響高於影響較不重要資產的事件。影響可根據受影響資產的影響標準及其他放大因素來判斷,這些因素可能包括受影響資產的數量及不利影響的持續時間。通常,資產的價值及其潛在影響取決於產品的使用情況及相關利害關係人的利益,因為企業作為消費者可能有其他優先事項。
事故發生的可能性受多種因素影響,可能包括
• 攻擊者動機(有價值資產會提高事件發生的可能性,因為更有資格的攻擊者會有更高的動機)
• PwDE的通訊能力與溝通關係(根據外部行為者可存取的通訊能力與功能,產品可能更容易發生事件)
• 透過現有漏洞可能曝露PwDE
• 透過作業環境可能曝露於PwDE- 已實施或設計的安全控管
一般而言,判斷風險可能性需具備具體經驗,以及適用的統計數據與威脅情報。為了保持可能性的估算可理解,必須建立適當的可能性標準。若無法評估已識別風險的影響或可能性,因為該風險依賴其他參數,例如攻擊者潛力、事件持續時間、受影響產品數量,則應依參數將已識別風險拆分為多個風險。這將導致更多已識別的風險,擴展RH_RA 1.1.2所產生的清單。
註:影響與可能性的佐證理由說明
可能性與影響的評估可透過量化、定性方法或兩者混合進行。通常建議採用符合特定使用情境的產業適當方法進行風險分析。
一般而言,風險分析是主觀的,並基於執行風險分析者的經驗。額外資訊用於限定或量化風險的影響或可能性,能提升風險分析的可靠性,但也會增加風險分析的複雜度與工作量。
由於通常無法完全、精確且客觀地評估風險的可能性與影響,因此應將用於風險分析的努力與努力相比較
治療潛在風險。風險分析的結果是判斷是否必須處理風險
- 是或不是。
因此,處理潛在風險可能比承擔風險更可靠且容易努力精確評估其影響與可能性。為了支持這個說法,本技術指引將採用基於資產類型及作業環境,並未採用量化方法,故非給出錯誤地認為數值準確,
5.8.2.2 輸入
• 已識別風險清單
• 根據可能性標準判斷事件發生的可能性
• 根據影響標準評估潛在事件的影響
5.8.2.3 控制
製造商必須分析 PwDE 的風險,包括其可能性及潛在影響。
5.8.2.4 輸出
• (已分析的)風險清單,包括影響與可能性
5.8.2.5 參考CRA
• CRA附錄一 第一部分(1)
5.8.3 RH_RA.1.3 - 風險評估(活動)
5.8.3.1 一般
風險分析完成後,製造商需評估是否需處理該風險,或是否能基於風險的衝擊與可能性接受。此活動依賴於包含風險接受規則的接受準則。與其他決策準則一樣,這些準則可以是一般性的、產業、組織或產品的特定準則。一般來說,凡是有可能發生且會對使用者造成明顯不良效應的風險,都應該受到處理。
註解:關於接受的理由
通常可以定義多層次的驗收準則,並針對不同使用情境定義風險接受度。為不同使用情境(例如消費者、企業、政府)建立風險接受度,以處理多個情境並識別出一組風險,並更方便溝通產品的預期用途,這可能很有用。該指引未採用此方法,以保持風險評鑑的彈性與普遍適用性。概念上兩者無差別,因為每一個用於評估風險接受度的額外參數都可以簡化為衝擊與可能性。
5.8.3.2 輸入
• 分析風險清單
• 驗收準則
5.8.3.3 控制
製造商必須評估 PwDE 分析中的風險是否可以接受。
5.8.3.4 輸出
• (評估風險)清單,必須處理或已可接受
5.8.3.5 參考CRA
• CRA附錄一 第一部分(1)
(未完,見次篇)













