Revizija informacione sigurnosti ne samo da može dati banci pravo da obavlja određene vrste aktivnosti, već može i pokazati slabosti u sistemima banke. Stoga je potrebno uravnoteženo pristupiti odluci o provođenju i izboru oblika revizije.
Prema Federalnom zakonu br. 307-FZ od 30.12.2008. „O reviziji“, revizija je „nezavisna provjera računovodstvenih (finansijskih) izvještaja subjekta revizije kako bi se izrazilo mišljenje o pouzdanosti takvih izvještaja“. Ovaj pojam koji se spominje u ovom zakonu nema nikakve veze sa sigurnošću informacija. Međutim, dogodilo se da stručnjaci za informacijsku sigurnost to aktivno koriste u svom govoru. U ovom slučaju, revizija se odnosi na proces nezavisne procjene aktivnosti organizacije, sistema, procesa, projekta ili proizvoda. Istovremeno, treba imati na umu da se u raznim domaćim propisima termin „revizija sigurnosti informacija“ ne koristi uvijek – često se zamjenjuje ili terminom „ocjenjivanje usklađenosti“ ili pomalo zastarjelim, ali još uvijek korištenim terminom „certifikacija“. . Ponekad se još uvijek koristi termin "certifikacija", ali u odnosu na međunarodne strane propise. Revizija informacione sigurnosti se vrši ili radi provjere usklađenosti sa propisima, ili radi provjere valjanosti i sigurnosti primijenjenih rješenja. Ali bez obzira na to koji se termin koristi, u stvari, revizija informacione sigurnosti se vrši ili radi provjere usklađenosti sa propisima, ili radi provjere valjanosti i sigurnosti primijenjenih rješenja. U drugom slučaju, revizija je dobrovoljna, a odluku o njenom sprovođenju donosi sama organizacija. U prvom slučaju, nemoguće je odbiti sprovođenje revizije, jer to povlači za sobom povredu uslova utvrđenih podzakonskim aktima, što dovodi do kažnjavanja u vidu novčane kazne, obustave aktivnosti ili drugih oblika kažnjavanja. U slučaju obavezne revizije, može je izvršiti i sama organizacija, na primjer, u obliku samoprocjene (iako u ovom slučaju više nema govora o „nezavisnosti“ i pojmu „revizija“ ovdje nije sasvim ispravno koristiti), ili od strane vanjskih nezavisnih organizacija – revizora. Treća opcija za provođenje zakonske revizije je kontrola od strane regulatornih tijela ovlaštenih za obavljanje odgovarajućih nadzornih aktivnosti. Ova opcija se češće naziva ne revizijom, već inspekcijskom provjerom. S obzirom da se dobrovoljna revizija može sprovesti apsolutno iz bilo kog razloga (provera bezbednosti RBS sistema, kontrola imovine preuzete banke, provera novootvorene ekspoziture itd.), ovu opciju nećemo razmatrati. U ovom slučaju, nemoguće je ni jasno ocrtati njene granice, ni opisati oblike njenog izvještavanja, niti govoriti o pravilnosti – o svemu tome odlučuje sporazum između revizora i revidirane organizacije. Stoga ćemo razmotriti samo oblike zakonske revizije svojstvene specifično bankama.
Međunarodni standard ISO 27001
Ponekad možete čuti o prolasku jedne ili druge banke na reviziju usklađenosti sa zahtjevima međunarodnog standarda "ISO / IEC 27001: 2005" (njegov puni ruski analog - "GOST R ISO / IEC 27001-2006 - Informacijska tehnologija - Metode i sredstva osiguranja sigurnosti Sistemi upravljanja informacijskom sigurnošću - Zahtjevi"). U stvari, ovaj standard je skup najboljih praksi za upravljanje sigurnošću informacija u velikim organizacijama (male organizacije, uključujući banke, nisu uvijek u mogućnosti da u potpunosti ispune zahtjeve ovog standarda). Kao i svaki standard u Rusiji, ISO 27001 je čisto dobrovoljan dokument, koji svaka banka odlučuje da prihvati ili ne prihvati. Ali ISO 27001 je de facto standard u cijelom svijetu, a stručnjaci u mnogim zemljama koriste ovaj standard kao neku vrstu univerzalnog jezika kojeg treba slijediti kada se radi o informacionoj sigurnosti. Postoji nekoliko ne tako očiglednih i često spominjanih tačaka povezanih sa ISO 27001. Međutim, postoji nekoliko ne tako očiglednih i ne često spominjanih tačaka povezanih sa ISO 27001. Prvo, reviziji u skladu sa ovim standardom ne podleže ceo sistem informacione bezbednosti banke, već samo jedan ili više njegovih sastavnih delova. Na primjer, sistem zaštite RBS-a, sistem zaštite centrale banke ili sistem zaštite procesa upravljanja osobljem. Drugim riječima, dobijanje certifikata o usklađenosti za jedan od procesa ocijenjenih u okviru revizije ne garantuje da su ostali procesi u istom stanju, blizu idealnom. Druga stvar se odnosi na činjenicu da je ISO 27001 univerzalni standard, odnosno primjenjiv na bilo koju organizaciju, što znači da ne uzima u obzir specifičnosti određene industrije. To je dovelo do toga da se u okviru međunarodne organizacije za standardizaciju ISO već dugo govori o stvaranju standarda ISO 27015, koji je transpozicija ISO 27001/27002 za finansijsku industriju. Banka Rusije je takođe aktivno uključena u razvoj ovog standarda. Međutim, Visa i MasterCard su protiv nacrta ovog standarda, koji je već razvijen. Prvi smatra da nacrt standarda sadrži premalo informacija potrebnih za finansijsku industriju (na primjer, o platnim sistemima), a ako se tamo doda, onda standard treba prenijeti na drugi ISO komitet. MasterCard takođe predlaže da se zaustavi razvoj ISO 27015, ali motivacija je drugačija - kažu, u finansijskoj industriji, pa se tako u potpunosti reguliše tema dokumenata bezbednosti informacija. Treće, potrebno je obratiti pažnju na činjenicu da mnogi prijedlozi koji se nalaze na ruskom tržištu ne govore o reviziji usklađenosti, već o pripremi za reviziju. Činjenica je da samo nekoliko organizacija u svijetu ima pravo da izvrši certifikaciju usklađenosti sa zahtjevima ISO 27001. Integratori, s druge strane, samo pomažu kompanijama da ispune zahtjeve standarda, koje će potom verifikovati zvanični revizori (nazivaju se i registratori, sertifikacioni organi itd.). Dok se debata nastavlja o tome da li banke treba da implementiraju ISO 27001 ili ne, neki odvažnici to rade i prolaze kroz 3 faze revizije usklađenosti:- Preliminarna neformalna studija od strane revizora o glavnim dokumentima (kako na teritoriji klijenta revizije tako i van njega).
- Formalna i detaljna revizija sprovedenih zaštitnih mjera, procjena njihove djelotvornosti i studija izrađene potrebne dokumentacije. Ova faza se obično završava potvrdom usklađenosti, a revizor izdaje odgovarajući certifikat priznat u cijelom svijetu.
- Godišnje izvođenje inspekcijskog pregleda radi potvrđivanja prethodno pribavljenog sertifikata o usklađenosti.
Komplet dokumenata Banke Rusije STO BR IBBS
Takav standard, odnosno skup standarda, je skup dokumenata Banke Rusije, koji opisuju jedinstveni pristup izgradnji sistema sigurnosti informacija za bankarske organizacije, uzimajući u obzir zahtjeve ruskog zakonodavstva. Ovaj set dokumenata (u daljem tekstu STO BR IBBS), koji sadrži tri standarda i pet preporuka za standardizaciju, baziran je na ISO 27001 i nizu drugih međunarodnih standarda za upravljanje informacionim tehnologijama i sigurnost informacija. Pitanja revizije i ocjenjivanja usklađenosti sa zahtjevima standarda, kao i za ISO 27001, precizirana su u posebnim dokumentima - „STO BR IBBS-1.1-2007. Revizija informacione sigurnosti”,“ STO BR IBBS-1.2-2010. Metodologija za procjenu usklađenosti informacione sigurnosti organizacija bankarskog sistema Ruske Federacije sa zahtjevima STO BR IBBS-1.0-2010 "i" RS BR IBBS-2.1-2007. Smjernice za samoprocjenu usklađenosti informacione sigurnosti organizacija bankarskog sistema Ruske Federacije sa zahtjevima STO BR IBBS-1.0”. Prilikom ocjenjivanja usklađenosti prema STO BR IBBS provjerava se ispunjenost 423 privatna indikatora IS grupisanih u 34 grupna indikatora. Rezultat procene je konačni indikator, koji bi trebalo da bude na 4. ili 5. nivou na skali od pet tačaka koju je utvrdila Banka Rusije. To, inače, umnogome razlikuje reviziju prema STO BR IBBS od revizije prema drugim normativnim aktima iz oblasti informacione sigurnosti. U STO BR IBBS nema nekonzistentnosti, samo nivo usklađenosti može biti različit: od nula do pet. I samo nivoi iznad 4. smatraju se pozitivnim. Do kraja 2011. godine, oko 70-75% banaka je implementiralo ili je u procesu implementacije ovog skupa standarda. Uprkos svemu, one su de jure preporučljivog karaktera, ali su de facto inspekcije Banke Rusije donedavno vršene u skladu sa zahtjevima STO BR IBBS (iako se to očito nigdje nije čulo). Situacija se promijenila od 1. jula 2012. godine, kada je zakon „O nacionalnom platnom sistemu“ i regulatorni dokumenti Vlade Rusije i Banke Rusije izrađeni za njegovu primjenu stupili na snagu. Od tog trenutka ponovo se na dnevni red pojavilo pitanje potrebe revizije usklađenosti sa zahtjevima STO BR IBBS. Činjenica je da metodologija ocjenjivanja usklađenosti predložena u okviru zakonodavstva o nacionalnom platnom sistemu (NPS) i metodologija za ocjenu usaglašenosti STO BR IBBS mogu se značajno razlikovati u konačnim vrijednostima. Istovremeno, ocjenjivanje po prvom metodu (za NPS) postalo je obavezno, dok je ocjenjivanje prema STO BR IBBS i dalje de jure preporučljivog karaktera. I u vrijeme pisanja ovog teksta, sama Banka Rusije još nije donijela odluku o budućnosti ove procjene. Ako su se ranije sve niti spajale u Glavnoj upravi za sigurnost i zaštitu informacija Banke Rusije (GUBZI), onda s podjelom ovlasti između GUBZI-a i Odjeljenja za regulaciju poravnanja (LHH), pitanje ostaje otvoreno. Već sada je jasno da zakonodavni akti o NPS-u zahtevaju obaveznu ocenu usaglašenosti, odnosno reviziju.Zakonodavstvo o nacionalnom platnom sistemu
Zakonodavstvo o NPS-u tek je na početku svog formiranja, a čekaju nas mnogi novi dokumenti, uključujući i one o informacionoj bezbednosti. Ali već sada je jasno da Uredba 382-P, izdata i odobrena 9. juna 2012. godine, „O zahtjevima za osiguranje informacione sigurnosti pri obavljanju transfera novca i »u klauzuli 2.15 zahtijeva obaveznu ocjenu usklađenosti, odnosno reviziju. Takva procjena se vrši samostalno ili uz uključivanje organizacija trećih strana. Kao što je već spomenuto, ocjenjivanje usklađenosti provedeno u okviru 382-P u suštini je slično onome što je opisano u metodologiji ocjenjivanja usklađenosti STO BR IBBS, ali daje potpuno drugačije rezultate, što je povezano sa uvođenjem posebnih faktori korekcije koji određuju različite rezultate. Uredba 382-P ne postavlja nikakve posebne zahtjeve za organizacije uključene u reviziju, što je u suprotnosti sa Uredbom Vlade od 13. juna 2012. br. kontrolu i ocjenu ispunjenosti zahtjeva za zaštitu informacija jednom u 2 godine. Međutim, Vladina uredba koju je izradio FSTEC zahtijeva da eksternu reviziju sprovode samo organizacije licencirane za pružanje tehničke zaštite povjerljivih informacija. Dodatni zahtjevi koji se teško mogu pripisati jednom od oblika revizije, ali koji bankama nameću nove odgovornosti, navedeni su u odjeljku 2.16 Uredbe 382-P. Prema ovim zahtjevima, operater platnog sistema je dužan da se razvija, a banke koje su pristupile ovom platnom sistemu dužne su se pridržavati zahtjeva za redovno obavještavanje operatora platnog sistema o različitim pitanjima sigurnosti informacija u banci: usklađenosti sa zahtjevima zaštite informacija , identifikovane incidente, samoprocene, o identifikovanim pretnjama i ranjivostima. Pored revizije sprovedene na osnovu ugovora, FZ-161 o NPS-u takođe utvrđuje da se vrši kontrola i nadzor nad ispunjavanjem uslova koje je utvrdila Vlada Ruske Federacije Rezolucijom 584 i Banka Rusije Uredbom 382. FSB FSTEC i Banka Rusije, respektivno. ... U vreme pisanja ovog teksta, ni FSTEC ni FSB nisu imali razvijenu proceduru za takav nadzor, za razliku od Banke Rusije, koja je donela Uredbu br. “ (za kreditne institucije) i Pravilnika od 9. juna 2012. godine broj 381-P „O postupku nadzora poštivanja od strane operatora platnog prometa, operatera platnih infrastrukturnih usluga, zahtjeva Federalnog zakona od 27. juna 2011. godine br. 161-FZ" O nacionalnom platnom sistemu, "usvojen od strane u skladu sa propisima Banke Rusije". Normativni akti iz oblasti zaštite informacija u nacionalnom platnom prometu tek su na početku svoje detaljne razrade. Banka Rusije je 1. jula 2012. počela da ih testira i prikuplja činjenice o praksi sprovođenja zakona. Stoga je danas preuranjeno govoriti o tome kako će se ovi propisi primjenjivati, kako će se nadzirati 380-P, koji će zaključci biti doneseni na osnovu rezultata samoprocjene koja se vrši svake 2 godine i šalje Banci Rusija.PCI DSS standard sigurnosti platnih kartica
Standard za sigurnost podataka industrije platnih kartica (PCI DSS) je standard sigurnosti podataka o platnim karticama koji je razvio Vijeće za standarde sigurnosti industrije platnih kartica (PCI SSC), koji su uspostavili međunarodni platni sistemi Visa, MasterCard, American Express, JCB i Discover. PCI DSS standard je skup od 12 visokih i preko 200 detaljnih zahtjeva za osiguranje sigurnosti podataka o vlasnicima platnih kartica koji se prenose, čuvaju i obrađuju u informacionim sistemima organizacija. Zahtjevi standarda odnose se na sve kompanije koje rade sa međunarodnim platnim sistemima Visa i MasterCard. U zavisnosti od broja obrađenih transakcija, svakoj kompaniji se dodeljuje određeni nivo sa odgovarajućim skupom zahteva koje ta preduzeća moraju ispuniti. Ovi nivoi se razlikuju u zavisnosti od platnog sistema. Uspješno obavljena revizija ne znači da je sa obezbjeđenjem u banci sve u redu – postoji mnogo trikova koji omogućavaju subjektu revizije da sakrije neke nedostatke u svom sigurnosnom sistemu. Provjera usaglašenosti sa zahtjevima PCI DSS standarda vrši se u okviru obavezne sertifikacije, za koju se zahtjevi razlikuju u zavisnosti od vrste revidirane kompanije – trgovca koji prihvata platne kartice za plaćanje roba i usluga ili pružaoca usluga koji pruža usluge trgovcima, bankama preuzimateljima, emitentima itd. (procesni centri, platni prolazi, itd.). Takva procjena može se provesti u različitim oblicima:- godišnje revizije uz pomoć akreditovanih kompanija sa statusom Kvalifikovanih ocjenjivača sigurnosti (QSA);
- godišnja samoprocjena;
- Skeniranje mreža na tromjesečnoj osnovi od strane ovlaštenih organizacija sa statusom odobrenog dobavljača skeniranja (ASV).
Zakon o ličnim podacima
Najnoviji regulatorni dokument, koji se takođe odnosi na bankarsku industriju i koji utvrđuje zahtjeve za ocjenu usklađenosti, je Federalni zakon „O ličnim podacima“. Međutim, još nisu utvrđeni ni oblik takve revizije, ni njena učestalost, ni zahtjevi za organizaciju koja sprovodi takvu reviziju. Možda će ovo pitanje biti otklonjeno u jesen 2012. godine, kada će biti objavljen sljedeći dio dokumenata Vlade Ruske Federacije, FSTEC-a i FSB-a, koji uvode nove standarde u oblasti zaštite ličnih podataka. U međuvremenu, banke mogu dobro spavati i samostalno određivati karakteristike revizije pitanja zaštite ličnih podataka. Kontrolu i nadzor nad sprovođenjem organizacionih i tehničkih mjera za osiguranje sigurnosti ličnih podataka, utvrđenih 19. članom 152-FZ, sprovode FSB i FSTEC, ali samo za državne informacione sisteme ličnih podataka. Prema zakonu, nema ko da kontroliše komercijalne organizacije u oblasti obezbeđivanja informacione bezbednosti ličnih podataka. Isto se ne može reći za pitanja zaštite prava subjekata ličnih podataka, odnosno klijenata, suradnika i jednostavno posjetitelja banke. Ovaj zadatak je preuzeo Roskomnadzor, koji je veoma aktivan u svojim nadzornim funkcijama i smatra banke jednim od najgorih prekršitelja zakona o ličnim podacima.Završne odredbe
Iznad smo razmotrili glavne propise u oblasti informacione sigurnosti koji se tiču kreditnih institucija. Postoji mnogo ovih propisa, a svaki od njih postavlja svoje zahtjeve za provođenje ocjene usaglašenosti u ovom ili onom obliku - od samoprocjene u obliku popunjavanja upitnika (PCI DSS) do prolaska zakonske revizije jednom u dvije godine ( 382-P) ili jednom godišnje (ISO 27001). Između ovih najčešćih oblika ocjenjivanja usklađenosti postoje i drugi - obavještenja operatera platnog sistema, tromjesečna skeniranja itd. Također je vrijedno zapamtiti i razumjeti da zemlji još uvijek nedostaje jedinstven sistem gledišta, ne samo o državnoj regulaciji procesa revizije informacione sigurnosti za organizacije i sisteme informacionih tehnologija, već općenito na temu same revizije informacione sigurnosti. U Ruskoj Federaciji postoji niz odjela i organizacija (FSTEC, FSB, Banka Rusije, Roskomnadzor, PCI SSC, itd.) odgovornih za sigurnost informacija. I svi oni rade na osnovu vlastitih propisa i smjernica. Različiti pristupi, različiti standardi, različiti nivoi zrelosti... Sve to koči uspostavljanje jedinstvenih pravila igre. Sliku kvari i pojava letećih firmi, koje u potrazi za profitom nude veoma nekvalitetne usluge u oblasti procene usklađenosti sa zahtevima informacione bezbednosti. I malo je vjerovatno da će se situacija promijeniti na bolje. Pošto postoji potreba, biće onih koji žele da je zadovolje, a kvalifikovanih revizora jednostavno neće biti dovoljno za sve. Uz njihov mali broj (prikazano u tabeli) i trajanje revizije od nekoliko sedmica do nekoliko mjeseci, očigledno je da potrebe revizije znatno premašuju mogućnosti revizora. „Koncept revizije informacione sigurnosti sistema i organizacija informacionih tehnologija“, koji FSTEC još nije usvojio, sadržavao je sljedeću frazu: „istovremeno, u nedostatku potrebnih nacionalnih regulatora, takva aktivnost / na neregulisanu reviziju od strane privatnih firmi / može nanijeti nepopravljivu štetu organizacijama”. U zaključku, autori Koncepta su predložili da se objedine pristupi reviziji i da se zakonski utvrde pravila igre, uključujući pravila za akreditaciju revizora, uslove za njihovu kvalifikaciju, proceduru za obavljanje revizije itd. su još uvijek tamo. Iako, s obzirom na pažnju koju domaći regulatori u oblasti informacione bezbednosti (a imamo ih 9) posvećuju pitanjima informacione bezbednosti (samo u protekloj kalendarskoj godini doneta su ili izrađena 52 regulatorna akta o pitanjima informacione bezbednosti - jedan regulatorni akt po tjednu! ), ne isključujem da će se uskoro vratiti ovoj temi.STANDARDI REVIZIJE SIGURNOSTI INFORMACIJA
STRUČNO MIŠLJENJE
Dmitrij Markin, šef odjela revizije i konsaltinga, AMT-GROUP:
Donedavno, pitanja prolaska obavezne revizije stanja informacione sigurnosti za kreditne institucije u okviru ruskog zakonodavstva bila su regulisana samo FZ-152 „O ličnim podacima“ u smislu sprovođenja interne kontrole nad merama preduzetim za osigurati sigurnost ličnih podataka, kao i Uredbom Centralne banke Ruske Federacije br. 242-P „O tijelu unutrašnje kontrole u kreditnim institucijama i bankarskim grupama“. Štaviše, u skladu sa zahtjevima Uredbe br. 242-P, postupak praćenja sigurnosti informacija utvrđuje se internim dokumentima kreditne institucije samostalno, bez upućivanja na posebne zahtjeve za obezbjeđenje sigurnosti informacija. U vezi sa stupanjem na snagu člana 27. FZ-161 "O nacionalnom platnom sistemu", koji definiše zahtjeve za zaštitu informacija u platnom sistemu, Rezolucija Vlade Ruske Federacije br. 584 "O odobrenju Uredbe o zaštiti informacija u platnom sistemu" i Uredbe Centralne banke RF br. 382-P. U skladu sa zahtjevima Rezolucije br. 584 i Uredbe br. 382-P, zaštita informacija u platnom sistemu mora se vršiti u skladu sa zahtjevima ovih regulatornih akata i zahtjevima koje operateri platnih sistema uključuju u pravila. platnih sistema. Ključna stvar ovdje je konsolidacija na nivou nacionalnog zakonodavstva prava operatora platnih sistema (na primjer, Visa i MasterCard) da samostalno utvrđuju zahtjeve za zaštitu informacija. Uredba br. 382-P takođe precizira obavezu kreditnih institucija da najmanje jednom svake 2 godine ocjenjuju usklađenost sa zahtjevima IS-a, jasno su definisani metodologija za procjenu usklađenosti, kriterijumi revizije i procedura za dokumentovanje njenih rezultata. Po našem mišljenju, pojavom navedenih propisa trebalo bi da se poveća statistika kreditnih institucija koje prolaze sertifikaciju u skladu sa zahtjevima standarda sigurnosti podataka industrije platnih kartica PCI DSS 2.0, koji je razvijen uz učešće vodećih međunarodnih platnih sistema Visa i MasterCard.
Uvod
Revizija je oblik nezavisne, neutralne kontrole bilo koje delatnosti komercijalnog preduzeća, koja se široko koristi u praksi tržišne ekonomije, posebno u oblasti računovodstva. Jednako važna sa stanovišta ukupnog razvoja preduzeća je i njegova bezbednosna revizija, koja uključuje analizu rizika povezanih sa mogućnošću bezbednosnih pretnji, posebno u vezi sa informacionim resursima, procenu trenutnog nivoa bezbednosti preduzeća. informacioni sistemi (IS), lokalizacija uskih grla u njihovom sistemu zaštite, procena usklađenosti IS sa postojećim standardima u oblasti informacione bezbednosti i izrada preporuka za implementaciju novih i povećanje efikasnosti postojećih mehanizama bezbednosti IS.
Ako govorimo o glavnom cilju revizije bezbednosti informacija, onda se on može definisati kao procena nivoa bezbednosti informacionog sistema preduzeća za upravljanje njime u celini, uzimajući u obzir izglede za njegov razvoj.
U savremenim uslovima, kada informacioni sistemi prodiru u sve sfere poslovanja preduzeća, a uzimajući u obzir potrebu za njihovom vezom sa Internetom, ispostavljaju se otvorenim za implementaciju unutrašnjih i eksternih pretnji, problem informacione sigurnosti postaje ništa manji. važnije od ekonomske ili fizičke sigurnosti.
Uprkos važnosti problema koji se razmatra za obuku stručnjaka za informacionu bezbednost, on još uvek nije uvršten kao poseban predmet u postojeće nastavne planove i programe i nije razmatran u udžbenicima i nastavnim sredstvima. Razlog tome je nedostatak potrebnog regulatornog okvira, nepripremljenost stručnjaka i nedovoljno praktično iskustvo u oblasti revizije informacione sigurnosti.
Opća struktura rada uključuje sljedeći niz pitanja koja se razmatraju:
opisuje model za izgradnju sustava informacijske sigurnosti (IS) koji uzima u obzir prijetnje, ranjivosti, rizike i protumjere poduzete za njihovo smanjenje ili sprječavanje;
razmatraju se metode analize i upravljanja rizikom;
iznosi osnovne koncepte revizije bezbednosti i daje opis ciljeva njene implementacije;
analizira glavne međunarodne i ruske standarde koji se koriste u reviziji IS;
prikazane su mogućnosti korišćenja softverskih alata za sprovođenje revizije IS;
Odabir opisane strukture udžbenika napravljen je s ciljem maksimiziranja orijentacije studenta na praktičnu upotrebu predmetnog materijala, prvo, prilikom izučavanja nastavnog predmeta, drugo, prilikom polaganja industrijske prakse (analiza stanja informacija sigurnost u preduzeću), i treće, prilikom izvođenja seminarskih i diplomskih radova.
Predstavljeni materijal može biti od koristi rukovodiocima i zaposlenima službi bezbednosti i službi zaštite informacija preduzeća za pripremu i sprovođenje interne i opravdavanje potrebe eksterne revizije informacione bezbednosti.
Poglavlje I. Revizija sigurnosti i metode njenog sprovođenja
1 Koncept sigurnosne revizije
Revizija je nezavisno ispitivanje specifičnih oblasti funkcionisanja organizacije. Razlikovati eksternu i internu reviziju. Eksterna revizija je, po pravilu, jednokratni događaj koji iniciraju menadžment ili akcionari organizacije. Preporučuje se redovno obavljanje eksternih revizija, a, na primjer, za mnoge finansijske organizacije i akcionarska društva to je obavezan zahtjev od strane njihovih osnivača i dioničara. Interna revizija je kontinuirana aktivnost, koja se sprovodi na osnovu „Pravilnika o internoj reviziji“ iu skladu sa planom, čiju izradu sprovode službe bezbednosti i odobrava rukovodstvo organizacije.
Ciljevi sigurnosne revizije su:
analiza rizika povezanih sa mogućnošću implementacije sigurnosnih prijetnji u odnosu na resurse;
procjena trenutnog nivoa sigurnosti IP-a;
lokalizacija uskih grla u sistemu zaštite IP;
procjena usklađenosti IS-a sa postojećim standardima u oblasti informacione sigurnosti;
Sigurnosnu reviziju preduzeća (firme, organizacije) treba smatrati povjerljivim alatom upravljanja, isključujući mogućnost pružanja informacija o rezultatima njegovih aktivnosti trećim licima i organizacijama u svrhu tajnosti.
Sljedeći slijed radnji se može preporučiti za provođenje revizije sigurnosti preduzeća.
1. Priprema za sigurnosnu reviziju:
izbor objekta revizije (preduzeće, pojedinačne zgrade i prostorije, pojedinačni sistemi ili njihove komponente);
izgradnja tima stručnih revizora;
definisanje obima i obima revizije i određivanje konkretnih rokova.
2.revizija: opšta analiza bezbednosnog statusa objekta revizije; registraciju, prikupljanje i provjeru statističkih podataka i rezultata instrumentalnih mjerenja opasnosti i prijetnji; procjena rezultata ispitivanja; priprema izvještaja o rezultatima provjere po pojedinim komponentama. 3.Završetak revizije: izrada završnog izvještaja; izradu akcionog plana za otklanjanje uskih grla i nedostataka u osiguranju sigurnosti preduzeća. Da biste uspješno obavili sigurnosnu reviziju, morate: aktivno učešće menadžmenta kompanije u njegovom vođenju; objektivnost i nezavisnost revizora (eksperata), njihova kompetentnost i visok profesionalizam; jasno strukturiran postupak verifikacije; aktivna implementacija predloženih mjera za osiguranje i unapređenje sigurnosti. Sigurnosna revizija je, zauzvrat, efikasan alat za procjenu sigurnosti i upravljanje rizikom. Sprečavanje sigurnosnih prijetnji također znači zaštitu ekonomskih, društvenih i informacionih interesa preduzeća. Dakle, možemo zaključiti da revizija sigurnosti postaje instrument ekonomskog upravljanja. U zavisnosti od obima analiziranih objekata preduzeća, određuje se obim revizije: -revizija bezbednosti čitavog preduzeća u kompleksu; -revizija sigurnosti pojedinačnih zgrada i prostorija (namjenski prostori); -revizija opreme i tehničkih sredstava pojedinih vrsta i tipova; -revizija pojedinih vrsta i oblasti delatnosti: ekonomske, ekološke, informacione, finansijske itd. Treba naglasiti da se revizija ne vrši na inicijativu revizora, već na inicijativu menadžmenta kompanije, koji je u ovom pitanju glavni stejkholder. Podrška menadžmenta kompanije je preduslov za reviziju. Revizija je skup aktivnosti u koje su, pored samog revizora, uključeni i predstavnici većine strukturnih odjela kompanije. Postupci svih učesnika u ovom procesu moraju biti koordinirani. Dakle, u fazi pokretanja postupka revizije treba riješiti sljedeća organizaciona pitanja: prava i obaveze revizora treba da budu jasno definisani i dokumentovani u opisu njegovih poslova, kao iu propisu o internoj (eksternoj) reviziji; revizor treba pripremiti i dogovoriti se sa rukovodstvom plana revizije; propisom o internoj reviziji treba posebno da bude propisano da su zaposleni u preduzeću dužni da pomognu revizoru i da daju sve informacije potrebne za reviziju. U fazi pokretanja postupka revizije treba definisati obim ankete. Ukoliko neki informacioni podsistemi preduzeća nisu dovoljno kritični, mogu se isključiti iz obima istraživanja. Drugi podsistemi možda neće biti podložni reviziji zbog razloga povjerljivosti. Obim istraživanja je definisan u sledećim kategorijama: Spisak ispitanih fizičkih, softverskih i informacionih resursa. 2.Područja (prostorije) koja spadaju u granice istraživanja. 3.Glavne vrste sigurnosnih prijetnji koje se razmatraju tokom revizije. 4.Organizacioni (zakonodavni, administrativni i proceduralni), fizički, softversko-tehnički i drugi aspekti bezbednosti koje je potrebno uzeti u obzir prilikom istraživanja i njihovi prioriteti (u kojoj meri ih treba uzeti u obzir). Plan i granice revizije razmatraju se na radnom sastanku, kojem prisustvuju revizori, menadžment kompanije i rukovodioci strukturnih odjeljenja. Da bi se revizija IS-a shvatila kao složen sistem, njen konceptualni model, prikazan na sl. 1.1. Ovdje su istaknute glavne komponente procesa: objekt revizije: svrha revizije: Rice. 1.1. Konceptualni model revizije sigurnosti informacija zahtjevi koje treba ispuniti; korištene metode; izvođači; red ponašanja. Sa stanovišta organizacije rada tokom revizije IS-a, postoje tri osnovne faze: 1.prikupljanje informacija; 2.Analiza podataka; 2 Metode analize podataka u reviziji informacione sigurnosti Trenutno postoje tri glavne metode (pristupa) za provođenje revizije, koje se međusobno značajno razlikuju. Prva metoda, najkompleksnija, zasnovana je na analizi rizika. Na osnovu metoda analize rizika, revizor za anketirani IS utvrđuje individualni skup sigurnosnih zahtjeva, koji u najvećoj mjeri uzima u obzir karakteristike ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u ovom okruženju. Ovaj pristup oduzima najviše vremena i zahtijeva najviše kvalifikacije revizora. Na kvalitet rezultata revizije, u ovom slučaju, snažno utiče metodologija koja se koristi za analizu i upravljanje rizikom i njena primjenjivost na ovu vrstu IP. Druga metoda, najpraktičnija, oslanja se na korištenje standarda sigurnosti informacija. Standardi definišu osnovni skup bezbednosnih zahteva za široku klasu IS-a, koji je formiran kao rezultat generalizacije svetske prakse. Standardi mogu definisati različite skupove bezbednosnih zahteva, u zavisnosti od nivoa bezbednosti IS-a koji treba da se obezbedi, njegove pripadnosti (komercijalna organizacija ili vladina agencija), kao i namene (finansije, industrija, komunikacije, itd.). U tom slučaju, od revizora se traži da pravilno odredi skup zahtjeva standarda, čiju usklađenost mora osigurati za ovaj IS. Takođe je potrebna metodologija za procjenu ove usklađenosti. Zbog svoje jednostavnosti (standardni skup zahtjeva za reviziju je već unaprijed određen standardom) i pouzdanosti (standard je standard i niko neće pokušati da ospori njegove zahtjeve), opisani pristup je najčešći u praksi (posebno kada vršenje eksterne revizije). Omogućava vam da izvučete razumne zaključke o stanju IS-a uz minimalnu cijenu resursa. Treća metoda, najefikasnija, uključuje kombinovanje prve dvije. Ako se za provođenje revizije sigurnosti odabere pristup zasnovan na riziku, tada se u fazi analize podataka revizije obično obavljaju sljedeće grupe zadataka: Analiza IP resursa, uključujući informacione resurse, softver i hardver, i ljudske resurse. 2.Analiza grupa zadataka koje rješava sistem i poslovni procesi. 3.Izgradnja (neformalnog) modela IP resursa, koji određuje odnos između informacija, softvera, tehničkih i ljudskih resursa, njihov međusobni raspored i metode interakcije. 4.Procjena kritičnosti informacionih resursa, kao i softvera i hardvera. 5.Određivanje kritičnosti resursa, uzimajući u obzir njihove međuzavisnosti. 6.Određivanje najvjerovatnijih sigurnosnih prijetnji u odnosu na IP resurse i sigurnosne ranjivosti koje omogućavaju nastanak ovih prijetnji. 7.Procjena vjerovatnoće implementacije prijetnji, veličine ranjivosti i štete za organizaciju u slučaju uspješne implementacije prijetnji. 8.Određivanje veličine rizika za svaku trojku: prijetnja - grupa resursa - ranjivost. Navedeni skup zadataka je prilično uopšten. Za njihovo rješavanje mogu se koristiti različite formalne i neformalne, kvantitativne i kvalitativne, ručne i automatizirane tehnike analize rizika. Ovo ne mijenja suštinu pristupa. Procjena rizika se može dati korištenjem raznih kvalitativnih i kvantitativnih skala. Najvažnije je da se postojeći rizici pravilno identifikuju i rangiraju u skladu sa stepenom njihove kritičnosti za organizaciju. Na osnovu ove analize može se razviti sistem prioritetnih mjera za smanjenje veličine rizika na prihvatljiv nivo. Prilikom obavljanja sigurnosne revizije usklađenosti sa zahtjevima standarda, revizor, oslanjajući se na svoje iskustvo, ocjenjuje primjenjivost zahtjeva standarda na inspekcijski IS i njegovu usklađenost sa ovim zahtjevima. Podaci o usklađenosti različitih oblasti funkcionisanja IS-a sa zahtjevima standarda obično se prikazuju u obliku tabele. Tabela pokazuje koji sigurnosni zahtjevi nisu implementirani u sistemu. Na osnovu toga se donose zaključci o usklađenosti anketiranog IS-a sa zahtjevima standarda i daju preporuke o implementaciji sigurnosnih mehanizama u sistemu kako bi se obezbijedila takva usklađenost. 3 Analiza informacionih rizika preduzeća Analiza rizika je ono što treba da počne sa izgradnjom bilo kog sistema bezbednosti informacija i šta je potrebno za sprovođenje revizije bezbednosti informacija. Obuhvata aktivnosti na istraživanju bezbednosti preduzeća kako bi se utvrdilo koje resurse i od kojih pretnji treba zaštititi, kao i u kojoj meri određene resurse treba zaštititi. U toku upravljanja rizikom vrši se utvrđivanje skupa adekvatnih protumjera. Rizik je određen vjerovatnoćom štete i visinom štete na resursima informacionih sistema (IS) u slučaju prijetnje sigurnosti. Analiza rizika se sastoji u identifikaciji postojećih rizika i procjeni njihove veličine (davanje im kvalitativne ili kvantitativne procjene). Proces analize rizika uključuje rješavanje sljedećih zadataka: 1.Identifikacija ključnih IP resursa. 2.Utvrđivanje značaja određenih resursa za organizaciju. 3.Identifikacija postojećih sigurnosnih prijetnji i ranjivosti koje čine prijetnje mogućim. 4.Proračun rizika povezanih sa implementacijom sigurnosnih prijetnji. IP resursi se mogu kategorizirati na sljedeći način: informacioni resursi; softver; tehnička sredstva (serveri, radne stanice, aktivna mrežna oprema itd.); ljudski resursi. Unutar svake kategorije, resursi su podijeljeni u klase i podklase. Potrebno je identifikovati samo one resurse koji određuju funkcionalnost IS-a i koji su od suštinskog značaja sa stanovišta obezbeđivanja bezbednosti. Važnost (ili trošak) nekog resursa određena je količinom štete koja je nanesena u slučaju kršenja povjerljivosti, integriteta ili dostupnosti tog resursa. Obično se razmatraju sljedeće vrste oštećenja: podaci su otkriveni, promijenjeni, izbrisani ili učinjeni nedostupnima; oprema je oštećena ili uništena; integritet softvera je narušen. Šteta može nastati organizaciji kao rezultat uspješne implementacije sljedećih vrsta sigurnosnih prijetnji: lokalni i udaljeni napadi na IP resurse; prirodnih katastrofa; greške ili namjerne radnje osoblja IS; Kvarovi IC-a uzrokovani greškama u softveru ili hardverskim kvarovima. Veličina rizika može se odrediti na osnovu cijene resursa, vjerovatnoće da će se prijetnja pojaviti i veličine ranjivosti koristeći sljedeću formulu: cijena resursa x vjerovatnoća prijetnje Rizik = veličina ranjivosti Izazov upravljanja rizikom je odabrati razuman skup protumjera za smanjenje nivoa rizika na prihvatljiv nivo. Trošak implementacije protumjera trebao bi biti manji od iznosa moguće štete. Razlika između troškova implementacije protumjera i iznosa moguće štete treba biti obrnuto proporcionalna vjerovatnoći nanošenja štete. Pristup zasnovan na analizi informacionih rizika preduzeća je najznačajniji za praksu obezbeđenja informacione bezbednosti. To je zbog činjenice da vam analiza rizika omogućava da efikasno upravljate sigurnošću informacija preduzeća. Da bi se to postiglo, na početku analize rizika potrebno je utvrditi šta je tačno predmet zaštite u preduzeću, kojim pretnjama je izloženo, a prema praksi zaštite. Analiza rizika se vrši na osnovu neposrednih ciljeva i zadataka zaštite određene vrste informacija povjerljive prirode. Jedan od najvažnijih zadataka u zaštiti informacija je osigurati njihov integritet i dostupnost. Treba imati na umu da se povreda integriteta može dogoditi ne samo kao rezultat namjernih radnji, već i iz niza drugih razloga: · kvarovi opreme koji dovode do gubitka ili izobličenja informacija; · fizički uticaj, uključujući i kao rezultat prirodnih katastrofa; · greške u softveru (uključujući nedokumentovane funkcije). Stoga je pod pojmom "napad" više obećavajuće razumijevanje ne samo utjecaja čovjeka na informacione resurse, već i uticaja okruženja u kojem funkcioniše sistem za obradu informacija preduzeća. Prilikom provođenja analize rizika razvijaju se sljedeće: · opšta strategija i taktika izvođenja "ofanzivnih operacija i borbenih dejstava" od strane potencijalnog nasilnika; · mogući načini izvođenja napada na sistem obrade i zaštite informacija; · scenario nezakonitih radnji; · karakteristike kanala curenja informacija i neovlašćenog servisa; · vjerovatnoća uspostavljanja informativnog kontakta (sprovođenje prijetnji); · spisak mogućih infekcija informacija; · model uljeza; · metoda procjene sigurnosti informacija. Osim toga, za izgradnju pouzdanog sistema za zaštitu informacija preduzeća potrebno je: · identificirati sve moguće prijetnje sigurnosti informacija; · procijeniti posljedice njihovog ispoljavanja; · odrediti potrebne mjere i sredstva zaštite, uzimajući u obzir zahtjeve regulatornih dokumenata, ekonomske · ekspeditivnost, kompatibilnost i nekonfliktnost sa softverom koji se koristi; · ocijeniti djelotvornost odabranih mjera i sredstava zaštite. Rice. 1.2. Skripta za analizu resursa informacija Ovdje je prikazano svih 6 faza analize rizika. U prvoj i drugoj fazi utvrđuju se podaci koji predstavljaju poslovnu tajnu preduzeća i koje treba zaštititi. Jasno je da se takve informacije pohranjuju na određenim mjestima i na određenim medijima, prenose komunikacijskim kanalima. Istovremeno, odlučujući faktor u tehnologiji rukovanja informacijama je arhitektura IS-a, koja u velikoj mjeri određuje sigurnost informacionih resursa preduzeća. Treća faza analize rizika je izgradnja pristupnih kanala, curenje ili uticaj na informacione resurse glavnih IS čvorova. Svaki pristupni kanal karakteriše mnoštvo tačaka sa kojih se informacije mogu „ukloniti“. Oni su ti koji predstavljaju ranjivost i zahtijevaju korištenje sredstava za sprječavanje neželjenih utjecaja na informacije. Četvrta faza analize načina odbrane svih mogućih poena tako odgovara ciljevima odbrane i njen rezultat treba da bude karakteristika mogućih propusta u odbrani, uključujući i zbog nepovoljnog spleta okolnosti. U petoj fazi, polazeći od trenutno poznatih metoda i sredstava savladavanja odbrambenih linija, određuju se vjerovatnoće realizacije prijetnji za svaku od mogućih tačaka napada. U završnoj, šestoj, fazi, procjenjuje se šteta za organizaciju u slučaju implementacije svakog od napada, što, zajedno sa procjenama ranjivosti, omogućava dobijanje rangirane liste prijetnji informacionim resursima. Rezultati rada su predstavljeni u formi koja je pogodna za njihovu percepciju i donošenje odluka o korekciji postojećeg sistema zaštite informacija. Štaviše, svaki informacioni resurs može biti izložen nekoliko potencijalnih prijetnji. Od fundamentalnog značaja je ukupna vjerovatnoća pristupa informacijskim resursima, koja je zbir elementarnih vjerovatnoća pristupa pojedinim tačkama prolaska informacija. Količina informacijskog rizika za svaki resurs definira se kao proizvod vjerovatnoće napada na resurs, vjerovatnoće implementacije i prijetnje i štete od upada informacija. Ovaj proizvod može koristiti različite metode ponderiranja sastojaka. Sumiranje rizika za sve resurse daje vrijednost ukupnog rizika za usvojenu arhitekturu IS-a i sistem sigurnosti informacija koji je u njoj implementiran. Dakle, variranjem opcija za izgradnju sistema zaštite informacija i arhitekture IS, postaje moguće prikazati i razmotriti različite vrijednosti ukupnog rizika zbog promjene vjerovatnoće implementacije prijetnji. Ovdje je vrlo važan korak izbor jedne od opcija u skladu sa odabranim kriterijem odluke. Takav kriterijum može biti dozvoljena vrednost rizika ili odnos troškova obezbeđenja informacione bezbednosti i preostalog rizika. Kada gradite sisteme informacione bezbednosti, takođe morate da definišete strategiju upravljanja rizikom za preduzeće. Danas je poznato nekoliko pristupa upravljanju rizicima. Jedan od najčešćih je smanjenje rizika korištenjem odgovarajućih metoda i sredstava zaštite. U suštini sličan je pristup povezan sa averzijom prema riziku. Poznato je da se neke klase rizika mogu izbjeći: na primjer, premještanje Web servera organizacije izvan lokalne mreže izbjegava rizik od neovlaštenog pristupa lokalnoj mreži od strane Web klijenata. Konačno, u nekim slučajevima, preuzimanje rizika je prihvatljivo. Ovdje je važno utvrditi sljedeću dilemu: šta je za preduzeće isplativije - nositi se sa rizicima ili sa njihovim posljedicama. U ovom slučaju potrebno je riješiti problem optimizacije. Nakon utvrđivanja strategije upravljanja rizicima, vrši se konačna procena mera za obezbeđenje informacione bezbednosti uz izradu stručnog mišljenja o bezbednosti informacionih resursa. Stručno mišljenje uključuje sve materijale analize rizika i preporuke za njihovo smanjenje. 1.4 Metode za procjenu informacionih rizika preduzeća U praksi se koriste različite metode procjene i upravljanja informacionim rizicima u preduzećima. Istovremeno, procjena informatičkih rizika predviđa sljedeće faze: · identifikaciju i kvantitativnu procenu informacionih resursa preduzeća značajnih za poslovanje; · procjena mogućih prijetnji; · procjena postojećih ranjivosti; · procjenu efikasnosti alata za sigurnost informacija. Pretpostavlja se da su ranjivi informacioni resursi preduzeća koji su relevantni za poslovanje izloženi riziku ako za njih postoje bilo kakve pretnje. Drugim riječima, rizici karakterišu opasnost kojoj mogu biti izložene komponente korporativnog Internet/Intranet sistema. Istovremeno, informacioni rizici kompanije zavise od: · od indikatora vrijednosti informacionih resursa; · vjerovatnoća implementacije prijetnji resursima; · efektivnost postojećih ili planiranih sredstava za osiguranje informacione sigurnosti. Svrha procene rizika je utvrđivanje karakteristika rizika korporativnog informacionog sistema i njegovih resursa. Kao rezultat procjene rizika, postaje moguće odabrati sredstva koja osiguravaju željeni nivo informacione sigurnosti preduzeća. Procjena rizika uzima u obzir vrijednost resursa, značaj prijetnji i ranjivosti, te efikasnost postojeće i planirane odbrane. Indikatori samih resursa, značaj prijetnji i ranjivosti, djelotvornost zaštitnih sredstava mogu se odrediti i kvantitativno, na primjer, prilikom određivanja troškovnih karakteristika, i kvalitativno, na primjer, uzimajući u obzir standardne ili izuzetno opasne abnormalne utjecaje okoline. Mogućnost realizacije pretnje procenjuje se verovatnoćom njene realizacije u datom vremenskom periodu za određeni resurs preduzeća. Istovremeno, vjerovatnoća da se prijetnja realizuje određena je sljedećim glavnim pokazateljima: · privlačnost resursa se koristi kada se uzme u obzir prijetnja od namjernog ljudskog utjecaja; · mogućnost korišćenja resursa za generisanje prihoda kada se uzme u obzir pretnja od namernog ljudskog uticaja; · tehničke mogućnosti prijetnje se koriste u slučaju namjernog ljudskog uticaja; · lakoću sa kojom se ranjivost može iskoristiti. Trenutno postoji mnogo tabelarnih metoda za procjenu informacionih rizika kompanije. Važno je da osoblje sigurnosti odabere odgovarajuću metodu za sebe koja će pružiti ispravne i pouzdane ponovljive rezultate. Kvantitativni pokazatelji informacionih resursa se preporučuju da se procenjuju na osnovu rezultata anketiranja zaposlenih u preduzeću - vlasnika informacija, odnosno službenika koji mogu da utvrde vrednost informacije, njene karakteristike i stepen kritičnosti, na osnovu stvarnih podataka. stanje stvari. Na osnovu rezultata ankete procjenjuju se indikatori i stepen kritičnosti informacionih resursa za najgori scenario do razmatranja potencijalnih uticaja na poslovne aktivnosti preduzeća u slučaju mogućeg neovlašćenog upoznavanja sa poverljivim informacijama, narušavanja njihovog integriteta. , nedostupnost u različitim periodima uzrokovana kvarovima u servisu obrade podataka sistema, pa čak i fizičkim uništenjem. Istovremeno, proces dobijanja kvantitativnih indikatora može biti dopunjen odgovarajućim metodama za procenu drugih kritičnih resursa preduzeća, uzimajući u obzir: · sigurnost osoblja; · otkrivanje privatnih informacija; · zakonski i regulatorni zahtjevi usklađenosti; · ograničenja koja proizilaze iz zakonodavstva; · komercijalni i ekonomski interesi; · finansijski gubici i poremećaji u proizvodnim aktivnostima; · javni odnosi; · komercijalna politika i komercijalno poslovanje; · gubitak ugleda kompanije. Nadalje, kvantitativni indikatori se koriste tamo gdje je to dozvoljeno i opravdano, a kvalitativni - gdje su kvantitativne procjene teške iz više razloga. Istovremeno, najrasprostranjenija je procjena indikatora kvaliteta pomoću skala bodova posebno razvijenih za ove svrhe, na primjer, sa skalom od četiri tačke. Sljedeća operacija je popunjavanje parova upitnika, u kojima se, za svaku od vrsta prijetnji i pripadajuću grupu resursa, nivoi prijetnji procjenjuju kao vjerovatnoća realizacije prijetnji, a nivoi ranjivosti kao stepen lakoće ostvarena prijetnja može dovesti do negativnog utjecaja. Procjena se vrši na kvalitativnim skalama. Na primjer, nivo prijetnji i ranjivosti se ocjenjuje na skali visoko-nisko. Potrebne informacije prikupljaju se intervjuisanjem TOP menadžera kompanije, zaposlenih u komercijalnim, tehničkim, kadrovskim i servisnim službama, obilaskom terena i analizom dokumentacije kompanije. Zajedno sa tabelarnim metodama za procenu informacionih rizika, mogu se koristiti i savremene matematičke metode, na primer, metoda Delphi tipa, kao i specijalni automatizovani sistemi, od kojih će neki biti reči u nastavku. Opšti algoritam procesa procjene rizika (Slika 1.3.) U ovim sistemima uključuje sljedeće faze. · opis objekta i mjere zaštite; · identifikacija resursa i procjena njegovih kvantitativnih pokazatelja (utvrđivanje potencijalnog negativnog uticaja na poslovanje); · analiza prijetnji sigurnosti informacija; · procjenu ranjivosti; · procjena postojećih i predloženih sredstava osiguranje sigurnosti informacija; · procjena rizika. 5 Upravljanje informacijskim rizikom Trenutno je upravljanje informacionim rizikom jedno od najrelevantnijih i najdinamičnije razvijajućih oblasti strateškog i operativnog upravljanja u oblasti informacione bezbednosti. Njegov osnovni zadatak je objektivno identifikovanje i procena informacionih rizika kompanije koji su najznačajniji za poslovanje, kao i adekvatnosti kontrola rizika koje se koriste za povećanje efikasnosti i profitabilnosti privredne delatnosti preduzeća. Stoga se pod pojmom „upravljanje informacionim rizikom“ obično podrazumeva sistematski proces identifikacije, kontrole i ublažavanja informacionih rizika kompanija u skladu sa određenim ograničenjima ruskog regulatornog okvira u oblasti zaštite informacija i sopstvene politike korporativne bezbednosti. Rice. 1.3. Algoritam procjene rizika Upotreba informacionih sistema povezana je sa određenim skupom rizika. Kada je potencijalna šteta neprihvatljivo velika, potrebne su ekonomski opravdane mjere zaštite. Periodična (ponovna) procena rizika je neophodna da bi se pratila efikasnost bezbednosnih aktivnosti i da bi se uzele u obzir promene u okruženju. Suština aktivnosti upravljanja rizicima je procijeniti njihovu veličinu, razviti efikasne i isplative mjere za ublažavanje rizika, a zatim osigurati da rizici budu sadržani u prihvatljivim granicama (i da tako ostanu). Shodno tome, upravljanje rizikom uključuje dvije vrste aktivnosti koje se ciklički izmjenjuju: )(ponovno) procjenu (mjerenje) rizika; )izbor efikasne i ekonomične zaštitne opreme (neutralizacija rizika). U vezi sa identifikovanim rizicima moguće su sledeće radnje: · otklanjanje rizika (na primjer, uklanjanjem uzroka); · smanjenje rizika (na primjer, korištenjem dodatne zaštitne opreme); · prihvatanje rizika (izradom akcionog plana pod odgovarajućim uslovima): · preusmjeravanje rizika (na primjer, sklapanjem ugovora o osiguranju). Proces upravljanja rizikom može se podijeliti u sljedeće faze: 1.Izbor analiziranih objekata i stepen detaljnosti njihovog razmatranja. 2.Izbor metodologije procjene rizika. .Identifikacija imovine. .Analiza prijetnji i njihovih posljedica, identifikacija ranjivosti u zaštiti. .Procjena rizika. .Izbor zaštitnih mjera. .Implementacija i verifikacija odabranih mjera. .Procjena rezidualnog rizika. Faze6 i odnose se na izbor zaštitne opreme (neutralizacija rizika), ostalo - na procjenu rizika. Već nabrajanje faza pokazuje da je upravljanje rizikom cikličan proces. U suštini, posljednji korak je izjava kraja petlje koja vam govori da se vratite na početak. Rizike je potrebno stalno pratiti, periodično ih ponovo procjenjivati. Treba napomenuti da završena i dobro dokumentovana procjena može uvelike pojednostaviti aktivnosti praćenja. Upravljanje rizikom, kao i svaka druga aktivnost u oblasti informacione bezbednosti, treba da bude integrisano u životni ciklus IS. Tada se učinak ispostavlja najvećim, a troškovi minimalni. Upravljanje rizikom se mora provoditi u svim fazama životnog ciklusa informacionog sistema: pokretanje-razvoj-instalacija, rad-odlaganje (prestanak rada). U početnoj fazi treba uzeti u obzir poznate rizike kada se razvijaju zahtjevi za sistem općenito i sigurnosnu opremu posebno. U fazi razvoja, poznavanje rizika pomaže u odabiru odgovarajućih arhitektonskih rješenja, koja igraju ključnu ulogu u osiguranju sigurnosti. Tokom faze instalacije, identifikovane rizike treba uzeti u obzir prilikom konfigurisanja, testiranja i verifikacije prethodno formulisanog zahtjevima, a pun ciklus upravljanja rizicima treba da prethodi puštanju sistema u rad. Tokom operativne faze, upravljanje rizikom treba da prati sve značajne promjene u sistemu. Kada se sistem stavlja iz pogona, upravljanje rizikom pomaže da se osigura da se podaci migriraju na bezbedan način. Poglavlje II. Standardi sigurnosti informacija 1 Preduslovi za kreiranje standarda bezbednosti informacija Revizija informacione sigurnosti zasniva se na korištenju brojnih preporuka, koje su uglavnom navedene u međunarodnim standardima informacione sigurnosti. U posljednje vrijeme jedan od rezultata revizije sve više postaje certifikat kojim se potvrđuje usklađenost ispitivanog IP-a sa određenim priznatim međunarodnim standardom. Prisustvo takvog certifikata omogućava organizaciji da dobije konkurentske prednosti povezane s većim povjerenjem kupaca i partnera. Upotreba standarda doprinosi rješavanju sljedećih pet zadataka. Prvo, striktno su definisani ciljevi osiguranja informacione sigurnosti računarskih sistema. Drugo, stvara se efikasan sistem upravljanja sigurnošću informacija. Treće, omogućava izračunavanje skupa detaljnih ne samo kvalitativnih, već i kvantitativnih indikatora za procjenu usklađenosti informacione sigurnosti sa navedenim ciljevima. Četvrto, stvaraju se uslovi za korišćenje postojećih alata (softvera) za obezbeđivanje bezbednosti informacija i procenu njihovog trenutnog stanja. Peto, postaje moguće koristiti tehnike upravljanja bezbednošću sa dobro utemeljenim sistemom metrike i merama podrške za programere informacionih sistema. Od ranih 1980-ih stvoreno je na desetine međunarodnih i nacionalnih standarda u oblasti informacione sigurnosti, koji se u određenoj mjeri dopunjuju. U nastavku će se razmatrati najpoznatiji standardi za hronologiju njihovog stvaranja: )Kriterijum za ocjenu pouzdanosti računarskih sistema "Orange Book" (SAD); )Harmonizovani kriterijumi za evropske zemlje; )X.800 Preporuke; )njemački standard BSI; )Britanski standard BS 7799; )ISO 17799 standard; )Standard "Opšti kriterijumi" ISO 15408; )Standardni COBIT Ovi standardi se mogu podijeliti u dvije vrste: · Standardi ocjenjivanja u cilju klasifikacije informacionih sistema i mjera sigurnosti prema zahtjevima sigurnosti; · Tehničke specifikacije koje regulišu različite aspekte implementacije sigurnosnih kontrola. Važno je napomenuti da između ovih vrsta regulatornih dokumenata nema praznog zida. Standardi evaluacije ističu najvažnije, sa stanovišta informacione sigurnosti, aspekte IS-a, koji igraju ulogu arhitektonskih specifikacija. Ostale tehničke specifikacije definiraju kako izgraditi IS propisane arhitekture. 2 Standard "Kriterijumi za procjenu pouzdanosti računarskih sistema" (Orange Book) Istorijski gledano, „Kriterijumi za procenu pouzdanih kompjuterskih sistema“ Ministarstva odbrane SAD postali su prvi standard za procenu koji je postao široko rasprostranjen i imao ogroman uticaj na osnovu standardizacije bezbednosti informacija u mnogim zemljama. Ovo djelo, koje se najčešće naziva "Narandžasta knjiga" zbog boje korica, prvi put je objavljeno u avgustu 1983. godine. Samo njegovo ime zahtijeva komentar. Ne govorimo o sigurnim, već o pouzdanim sistemima, odnosno sistemima kojima se može dati određeni stepen povjerenja. Orange Book pojašnjava koncept sigurnog sistema koji "upravlja, na odgovarajuća sredstva, pristup informacijama tako da samo propisno ovlaštene osobe ili procesi koji djeluju u njihovo ime imaju pravo čitati, pisati, kreirati i brisati informacije." Očigledno je, međutim, da apsolutno sigurni sistemi ne postoje, ovo je apstrakcija. Ima smisla procijeniti samo stepen povjerenja koji se može dati određenom sistemu. Orange Book definiše pouzdani sistem kao „sistem koji koristi dovoljno hardvera i softvera da omogući grupi korisnika da istovremeno obrađuje informacije različitog stepena tajnosti bez kršenja prava pristupa“. Treba napomenuti da se u razmatranim kriterijumima i sigurnost i povjerenje ocjenjuju isključivo sa stanovišta kontrole pristupa podacima, što je jedno od sredstava osiguranja povjerljivosti i integriteta informacija. Međutim, Orange Book ne rješava probleme pristupačnosti. Stepen povjerenja se ocjenjuje prema dva glavna kriterija. .Sigurnosna politika je skup zakona, pravila i kodeksa ponašanja koji regulišu način na koji organizacija obrađuje, štiti i širi informacije. Konkretno, pravila određuju u kojim slučajevima korisnik može raditi na određenim skupovima podataka. Što je veći stepen povjerenja u sistem, to bi sigurnosna politika trebala biti stroža i raznovrsnija. Ovisno o formuliranoj politici, možete odabrati određene sigurnosne mehanizme. Sigurnosna politika je aktivan aspekt zaštite, uključujući analizu mogućih prijetnji i izbor protumjera. .Nivo sigurnosti je mjera povjerenja koja se može pružiti arhitekturi i implementaciji IS-a. Povjerenje u sigurnost može proizaći i iz analize rezultata testiranja i iz verifikacije (formalne ili ne) cjelokupnog dizajna i implementacije sistema u cjelini i njegovih pojedinačnih komponenti. Nivo sigurnosti pokazuje koliko su ispravni mehanizmi odgovorni za implementaciju sigurnosne politike. Ovo je pasivni aspekt odbrane. Mehanizam odgovornosti (logiranja) je definisan kao glavna sigurnosna mjera. Pouzdani sistem mora zabilježiti sve sigurnosne događaje. Vođenje evidencije treba da bude dopunjeno revizijom, odnosno analizom podataka o registraciji. Koncept pouzdane računarske baze je centralni za procjenu stepena sigurnosnog povjerenja. Trusted Computing Base je kolekcija sigurnosnih mehanizama IC (uključujući hardver i softver) koji su odgovorni za provođenje sigurnosnih politika. Kvalitet računarske baze određuje se isključivo njenom implementacijom i ispravnošću početnih podataka koje je unio administrator sistema. Komponentama koje se razmatraju izvan računske baze možda nema povjerenja, ali to ne bi trebalo utjecati na sigurnost sistema u cjelini. Kao rezultat toga, autori standarda preporučuju razmatranje samo njegove računske baze za procjenu povjerenja u sigurnost IS-a. Osnovna svrha pouzdane računarske baze je da obavlja funkcije referentnog monitora, odnosno da kontroliše prihvatljivost određenih operacija nad objektima (pasivnim entitetima) od strane subjekata (korisnika). Monitor provjerava konzistentnost pristupa svakog korisnika programima ili podacima sa skupom radnji koje je korisniku dozvoljeno. Monitor pogodaka mora imati tri kvalitete: Izolacija. Neophodno je spriječiti mogućnost praćenja monitora. Kompletnost. Monitor treba pozvati na svaki poziv, ne bi trebalo postojati način da ga se zaobiđe. Provjerljivost. Monitor mora biti kompaktan kako bi se mogao analizirati i testirati s povjerenjem u potpunost testiranja. Implementacija referentnog monitora naziva se sigurnosni kernel. Sigurnosno jezgro je temelj na kojem su izgrađeni svi odbrambeni mehanizmi. Pored gore navedenih svojstava referentnog monitora, kernel mora garantirati vlastitu nepromjenjivost. Rub pouzdane računarske baze naziva se sigurnosni perimetar. Kao što je napomenuto, komponentama izvan sigurnosnog perimetra općenito se ne može vjerovati. Sa razvojem distribuiranih sistema, konceptu "sigurnosnog perimetra" se sve više pridaje drugačije značenje, što znači granicu vlasništva određene organizacije. Ono što je unutar posjeda smatra se pouzdanim, a ono što je izvan nije. Prema Orange Book, sigurnosna politika mora nužno uključivati sljedeće elemente: · arbitrarna kontrola pristupa; · sigurnost ponovne upotrebe predmeta; · sigurnosne naljepnice; · prisilna kontrola pristupa. Proizvoljna kontrola pristupa je metoda razlikovanja pristupa objektima na osnovu računa identiteta subjekta ili grupe kojoj subjekt pripada. Arbitrarnost kontrole je u tome što određena osoba (najčešće vlasnik objekta) može po svom nahođenju dodijeliti drugim subjektima ili im oduzeti prava pristupa objektu. Sigurnost ponovne upotrebe objekata važan je dodatak kontrolama pristupa kako bi se spriječilo slučajno ili namjerno izvlačenje povjerljivih informacija iz smeća. Sigurnost ponovne upotrebe mora biti zagarantovana za područja memorije sa slučajnim pristupom (posebno za bafere sa slikama ekrana, dešifrovane lozinke, itd.), za disk blokove i magnetne medije općenito. 3 Njemački BSI standard Njemačka je 1998. objavila "Vodič za sigurnost informacionih tehnologija za osnovni nivo". Priručnik je hipertekst od oko 4 MB (u HTML formatu). Kasnije je formaliziran u obliku njemačkog BSI standarda. Zasnovan je na opštoj metodologiji i komponentama upravljanja sigurnošću informacija: · Opšti način upravljanja bezbednošću informacija (organizacija upravljanja u oblasti informacione bezbednosti, metodologija korišćenja priručnika). · Opisi komponenti savremenih informacionih tehnologija. · Glavne komponente (organizacijski nivo informacione sigurnosti, proceduralni nivo, organizacija zaštite podataka, planiranje akcija u vanrednim situacijama). · Infrastruktura (zgrade, prostori, kablovske mreže, organizacija daljinskog pristupa). · Klijentske komponente raznih tipova (DOS, Windows, UNIX, mobilne komponente, drugi tipovi). · Mreže različitih tipova (point-to-point veze, Novell NetWare mreže, mreže sa OC ONIX i Windows, heterogene mreže). · Elementi sistema za prenos podataka (e-mail, modemi, firewall, itd.). · Telekomunikacije (faksovi, telefonske sekretarice, integrisani sistemi bazirani na ISDN-u, drugi telekomunikacioni sistemi). · Standardni softver. · Baza podataka. · Opisi glavnih komponenti organizacije režima informacione bezbednosti (organizacijski i tehnički nivoi zaštite podataka, planiranje vanrednih situacija, podrška kontinuitetu poslovanja). · Karakteristike objekata informatizacije (zgrade, prostorije, kablovske mreže, kontrolisana područja). · Karakteristike glavne informacione imovine kompanije (uključujući hardver i softver, kao što su radne stanice i serveri koji koriste DOS, Windows i UNIX operativne sisteme). · Karakteristike računarskih mreža zasnovanih na različitim mrežnim tehnologijama, kao što su Novell Net Ware, UNIX i Windows mreže). · Karakteristike aktivne i pasivne telekomunikacione opreme vodećih proizvođača, kao što je Cisco Systems. · Detaljni katalozi sigurnosnih prijetnji i mjera kontrole (preko 600 artikala u svakom katalogu). Sve vrste prijetnji u BSI standardu podijeljene su u sljedeće klase: · Okolnosti više sile. · Nedostaci organizacionih mjera. · Ljudske greške. · Tehnički problemi. · Namjerne radnje. Protumjere se slično klasificiraju: · Poboljšanje infrastrukture; · Administrativne protumjere; · Proceduralne protumjere; · Softverske i hardverske protumjere; · Smanjenje ranjivosti komunikacija; planiranje za vanredne situacije. Sve komponente se razmatraju i opisuju prema sljedećem planu: )opći opis; )mogući scenariji sigurnosnih prijetnji (navodi prijetnje koje su primjenjive na ovu komponentu iz kataloga sigurnosnih prijetnji); )moguće protumjere (navodi prijetnje koje su primjenjive na ovu komponentu iz kataloga sigurnosnih prijetnji); 4 Britanski standard BS 7799