Eksterna revizija informacione bezbednosti državne institucije. Analiza revizorskih podataka

12.06.2019 Recenzije

Članak sumira praksu provođenja sigurnosne revizije informacionih sistema (IS), daje koncept revizije sigurnosti, razmatra ciljeve njene implementacije, metode i faze obavljenog posla, metode analize i upravljanja rizikom koje koriste revizori. i načini njihove implementacije, važeći standardi i sistemi IS sertifikacije u okviru kojih se vrši revizija bezbednosti.

Aleksandar Astahov, CISA, 2002
Epigraf
Da pomogne u dovođenju informacionih sistema u skladu sa prihvaćenim standardima i smernicama;
Svoje aktivnosti obavlja u skladu sa standardima iz oblasti revizije informacionih sistema koje je usvojila ISACA;
Djelujte u najboljem interesu poslodavaca, dioničara, kupaca i društva na marljiv, lojalan i pošten način;
svjesno da ne učestvuje u nezakonitim ili nepoštenim aktivnostima;
Poštuju povjerljivost informacija dobijenih u obavljanju službenih dužnosti;
Ne koristite povjerljive informacije za ličnu korist i ne prenosite ih trećim licima bez dozvole vlasnika;
Obavljaju svoje poslovne obaveze ostajući neovisni i nepristrasni;
Izbjegavati aktivnosti koje ugrožavaju neovisnost revizora;
Održavati na odgovarajućem nivou svoju kompetentnost u oblastima znanja vezanih za reviziju informacionih sistema učešćem na stručnim skupovima;
Budite marljivi u pribavljanju i dokumentovanju činjeničnih materijala na kojima se zasnivaju zaključci i preporuke revizora;
Informisati sve zainteresovane o rezultatima revizije;
Da pomogne u podizanju svijesti menadžmenta organizacija, klijenata i društva u pitanjima koja se odnose na reviziju informacionih sistema;
Ispunjavanje visokih etičkih standarda u profesionalnim i ličnim aktivnostima;
Poboljšajte svoje lične kvalitete.

Etički kodeks revizora informacionih sistema
(ISACA Kodeks profesionalne etike)

Koncept i svrha sigurnosne revizije

Revizija je nezavisno ispitivanje specifičnih oblasti funkcionisanja organizacije. Razlikovati eksternu i internu reviziju. Eksterna revizija je, po pravilu, jednokratni događaj koji iniciraju menadžment ili akcionari organizacije. Preporučuje se redovno obavljanje eksternih revizija, a, na primjer, za mnoge finansijske institucije i akcionarska društva to je obavezan zahtjev. Interna revizija je kontinuirana aktivnost, koja se obavlja na osnovu „Uredbe o internoj reviziji“ iu skladu sa planom, čiju izradu vrši odjel interne revizije, a odobrava rukovodstvo organizacije. Revizija sigurnosti informacionih sistema je jedna od komponenti IT revizije. Ciljevi sigurnosne revizije su:

analiza rizika povezanih sa mogućnošću implementacije sigurnosnih prijetnji u odnosu na IP resurse

Bilješka:

Možda je to jedini skup ciljeva za provođenje sigurnosne revizije, ali samo ako je riječ o eksternoj reviziji. Dodatni zadaci internog revizora, osim pomoći eksternim revizorima, mogu uključivati i:

izradu bezbednosnih politika i drugih organizacionih i administrativnih dokumenata za zaštitu informacija i učešće u njihovoj primeni u radu organizacije;
postavljanje zadataka IT osoblju u vezi sa sigurnošću informacija;
učešće u obuci korisnika i osoblja za održavanje IS-a o pitanjima sigurnosti informacija;
učešće u analizi incidenata vezanih za kršenje informacione sigurnosti;
ostalo.

Treba napomenuti da svi navedeni „dodatni“ zadaci koji stoje pred internim revizorom, izuzev učešća u obuci, zapravo nisu revizija. Revizor, po definiciji, mora izvršiti nezavisnu proveru implementacije sigurnosnih mehanizama u organizaciji, što je jedan od osnovnih principa revizije. Ukoliko revizor aktivno učestvuje u implementaciji sigurnosnih mehanizama, gubi se neovisnost revizora, a time i objektivnost njegovih prosudbi, budući da revizor ne može vršiti nezavisnu i objektivnu kontrolu vlastitih aktivnosti. Međutim, u praksi, interni revizor, ponekad najkompetentniji specijalista u organizaciji za pitanja informacione sigurnosti, ne može ostati po strani od implementacije zaštitnih mehanizama. (A ako nije takav specijalista, kakva je onda praktična korist od njega?) Osim toga, gotovo uvijek postoji nedostatak kvalifikovanog osoblja u ovoj oblasti.

U najmanju ruku, on može i treba aktivno učestvovati u implementaciji istog podsistema sigurnosne revizije, koji bi revizoru mogao dati početne podatke za analizu postojećeg stanja. Naravno, u ovom slučaju revizor više neće moći objektivno ocijeniti implementaciju ovog podsistema i on prirodno ispada iz plana revizije. Isto tako, interni revizor može aktivno učestvovati u razvoju bezbednosnih politika pružajući mogućnost eksternim revizorima da procene kvalitet ovih dokumenata.

Faze rada na provođenju sigurnosne revizije informacionih sistema

Radovi na reviziji IS sigurnosti uključuju niz uzastopnih faza, koje uglavnom odgovaraju fazama sveobuhvatne IT revizije AU, koja uključuje sljedeće:

Prikupljanje informacija o reviziji
Analiza revizorskih podataka
Izrada preporuka
Priprema revizorskog izvještaja

Pokretanje postupka revizije

Revizija se ne vrši na inicijativu revizora, već na inicijativu menadžmenta kompanije, koji je u ovom pitanju glavni dioničar. Podrška menadžmenta kompanije je preduslov za reviziju.

Revizija je skup aktivnosti u koje su, pored samog revizora, uključeni i predstavnici većine strukturnih odjela kompanije. Postupci svih učesnika u ovom procesu moraju biti koordinirani. Dakle, u fazi pokretanja postupka revizije treba riješiti sljedeća organizaciona pitanja:

prava i obaveze revizora treba da budu jasno definisani i dokumentovani u opisu njegovih poslova, kao iu propisu o internoj (eksternoj) reviziji;
revizor treba pripremiti i dogovoriti se sa rukovodstvom plana revizije;
propisom o internoj reviziji treba posebno da bude propisano da su zaposleni u društvu dužni da pomognu revizoru i da daju sve informacije potrebne za reviziju.

U fazi pokretanja postupka revizije treba definisati obim ankete. Neki od informacionih podsistema kompanije nisu dovoljno kritični i mogu biti isključeni iz opsega istraživanja. Drugi podsistemi možda neće biti podložni reviziji zbog razloga povjerljivosti.

Obim ankete je definisan u sledećim terminima:

Spisak pregledanih fizičkih, softverskih i informacionih resursa;
Površine (prostorije) koje spadaju u granice istraživanja;
Glavne vrste sigurnosnih prijetnji koje se razmatraju tokom revizije;
Organizacioni (zakonodavni, administrativni i proceduralni), fizički, softversko-tehnički i drugi aspekti bezbednosti koje je potrebno uzeti u obzir prilikom istraživanja i njihovi prioriteti (u kojoj meri ih treba uzeti u obzir).

Plan i granice revizije razmatraju se na radnom sastanku, kojem prisustvuju revizori, menadžment kompanije i rukovodioci strukturnih odjeljenja.

Prikupljanje informacija o reviziji

Faza prikupljanja revizorskih informacija je najteža i dugotrajna. To je zbog nedostatka potrebne dokumentacije za informacioni sistem i potrebe za bliskom interakcijom revizora sa mnogim službenicima organizacije.

Kompetentne zaključke o stanju u preduzeću sa informacionom bezbednošću revizor može doneti samo ako su dostupni svi potrebni početni podaci za analizu. Dobijanje informacija o organizaciji, funkcionisanju i trenutnom stanju IP revizor vrši u okviru posebno organizovanih razgovora sa odgovornim licima društva, proučavanjem tehničke i organizacione i administrativne dokumentacije, kao i istraživanjem IP. korišćenjem specijalizovanih softverskih alata. Hajde da se zadržimo na tome koje su informacije revizoru potrebne za analizu.

Osiguravanje informacione sigurnosti organizacije je složen proces koji zahtijeva jasnu organizaciju i disciplinu. Trebalo bi početi definiranjem uloga i dodjeljivanjem odgovornosti službenicima za sigurnost informacija. Dakle, prva tačka revizorskog istraživanja počinje dobijanjem informacija o organizacionoj strukturi korisnika IP-a i uslužnih jedinica. S tim u vezi, revizoru je potrebna sljedeća dokumentacija:

Organizaciona šema korisnika;
Dijagram organizacione strukture uslužnih jedinica.

Obično, tokom intervjua, revizor ispitanicima postavlja sljedeća pitanja:

Ko je vlasnik informacija?
Ko je korisnik (potrošač) informacija?
Ko je pružalac usluga?

Svrha i principi funkcionisanja IS-a u velikoj mjeri određuju postojeće rizike i sigurnosne zahtjeve za sistem. Stoga, u sljedećoj fazi, revizora zanimaju informacije o svrsi i funkcionisanju IS-a. Revizor postavlja ispitanike o sljedećim pitanjima:

Koje se usluge pružaju krajnjim korisnicima i kako?
Koje su glavne vrste aplikacija koje funkcionišu u IS-u?
Broj i tipovi korisnika koji koriste ove aplikacije?

Trebaće mu i sljedeća dokumentacija, naravno, ako je uopće ima (što se, općenito govoreći, ne događa često):

Funkcionalni dijagrami;
Opis automatiziranih funkcija;
Opis glavnih tehničkih rješenja;
Ostala projektna i radna dokumentacija za informacioni sistem.

Nadalje, revizoru su potrebne detaljnije informacije o strukturi IP. To će omogućiti razumijevanje načina na koji se vrši distribucija sigurnosnih mehanizama po strukturnim elementima i nivoima funkcionisanja IS. Tipična pitanja o kojima se raspravlja u vezi s tim tokom intervjua uključuju:

Od kojih komponenti (podsistema) se sastoji IC?
Funkcionalnost pojedinih komponenti?
Gdje su granice sistema?
Koje ulazne tačke postoje?
Kako IP komunicira sa drugim sistemima?
Koji se komunikacijski kanali koriste za interakciju s drugim IS-ovima?
Koji se komunikacijski kanali koriste za komunikaciju između komponenti sistema?
Koji se protokoli koriste za komunikaciju?
Koje softverske i hardverske platforme se koriste za izgradnju sistema?

U ovoj fazi, revizor treba da nabavi sljedeću dokumentaciju:

strukturni dijagram IC;
dijagram toka informacija;
Opis strukture kompleksa tehničkih sredstava informacionog sistema;
Opis strukture softvera;
Opis strukture informacione podrške;
Postavljanje komponenti informacionog sistema.

Priprema značajnog dijela IS dokumentacije obično se vrši već u toku revizije. Kada su svi potrebni IP podaci, uključujući dokumentaciju, pripremljeni, možete pristupiti njihovoj analizi.

Analiza revizorskih podataka

Metode analize podataka koje koriste revizori određene su odabranim pristupom revizije, koji može značajno varirati.

Prvi pristup, najsloženiji, zasniva se na analizi rizika. Na osnovu metoda analize rizika, revizor za anketirani IS utvrđuje individualni skup sigurnosnih zahtjeva, koji u najvećoj mjeri uzima u obzir karakteristike ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u tom okruženju. Ovaj pristup oduzima najviše vremena i zahtijeva najviše kvalifikacije revizora. Na kvalitet rezultata revizije, u ovom slučaju, snažno utiče metodologija koja se koristi za analizu i upravljanje rizikom i njena primjenjivost na ovu vrstu IP.

Drugi pristup, najpraktičniji, oslanja se na korištenje standarda sigurnosti informacija. Standardi definišu osnovni skup bezbednosnih zahteva za široku klasu IS-a, koji je formiran kao rezultat generalizacije svetske prakse. Standardi mogu definisati različite skupove bezbednosnih zahteva, u zavisnosti od nivoa bezbednosti IS-a koji treba da se obezbedi, njegove pripadnosti (komercijalna organizacija ili vladina agencija), kao i namene (finansije, industrija, komunikacije, itd.). U tom slučaju, od revizora se traži da pravilno odredi skup zahtjeva standarda, čiju usklađenost mora osigurati za ovaj IS. Takođe je potrebna metodologija za procjenu ove usklađenosti. Zbog svoje jednostavnosti (standardni skup zahtjeva za reviziju je već unaprijed određen standardom) i pouzdanosti (standard je standard i niko neće pokušati da ospori njegove zahtjeve), opisani pristup je najčešći u praksi (posebno kada vršenje eksterne revizije). Omogućava vam da izvučete razumne zaključke o stanju IS-a uz minimalnu cijenu resursa.

Treći pristup, najefikasniji, uključuje kombinovanje prva dva. Osnovni skup sigurnosnih zahtjeva za IC je određen standardom. Dodatni zahtjevi, uzimajući u obzir specifičnosti funkcionisanja ovog IS u najvećoj mogućoj mjeri, formiraju se na osnovu analize rizika. Ovaj pristup je mnogo jednostavniji od prvog, jer većina sigurnosnih zahtjeva je već definisana standardom, a istovremeno nema nedostatak drugog pristupa, a to je da zahtjevi standarda možda ne uzimaju u obzir specifičnosti IS koje se inspekuje.

Šta je analiza rizika i upravljanje rizikom?

Analiza rizika je mjesto gdje treba započeti izgradnju bilo kog sistema sigurnosti informacija. Uključuje aktivnosti na istraživanju sigurnosti IP-a, kako bi se utvrdilo koje resurse i od kojih prijetnji je potrebno zaštititi, kao i u kojoj mjeri određene resurse treba zaštititi. U toku upravljanja rizikom vrši se utvrđivanje skupa adekvatnih protumjera. Rizik je određen vjerovatnoćom štete i visinom štete na resursima IP-a, u slučaju sigurnosne prijetnje.

Analiza rizika se sastoji u identifikaciji postojećih rizika i procjeni njihove veličine (davanje im kvalitativne ili kvantitativne procjene). Proces analize rizika može se podijeliti u nekoliko uzastopnih faza:

Identifikacija ključnih IP resursa;
Utvrđivanje značaja određenih resursa za organizaciju;
Identifikacija postojećih sigurnosnih prijetnji i ranjivosti koje čine prijetnje mogućim;
Proračun rizika povezanih sa implementacijom sigurnosnih prijetnji.

IP resursi se mogu kategorizirati na sljedeći način:

Informativni resursi;
softver;
Tehnička sredstva (serveri, radne stanice, aktivna mrežna oprema itd.);
Ljudski resursi.

Unutar svake kategorije, resursi su podijeljeni u klase i podklase. Potrebno je identifikovati samo one resurse koji određuju funkcionalnost IS-a i koji su od suštinskog značaja sa stanovišta obezbeđivanja bezbednosti.

Važnost (ili trošak) resursa određena je količinom štete koja je nanesena u slučaju kršenja povjerljivosti, integriteta ili dostupnosti tog resursa. Obično se razmatraju sljedeće vrste oštećenja:

Podaci su otkriveni, izmijenjeni, izbrisani ili učinjeni nedostupnima;
Hardver je oštećen ili uništen;
Integritet softvera je ugrožen.

Šteta može nastati organizaciji kao rezultat uspješne implementacije sljedećih vrsta sigurnosnih prijetnji:

lokalni i udaljeni napadi na IP resurse;
prirodnih katastrofa;
greške ili namjerne radnje osoblja IS;
Kvarovi IC-a uzrokovani greškama u softveru ili hardverskim kvarovima.

Ranjivosti se obično shvataju kao svojstva IS-a koja omogućavaju uspešnu implementaciju bezbednosnih pretnji.

Veličina rizika se određuje na osnovu cijene resursa, vjerovatnoće da će se prijetnja pojaviti i veličine ranjivosti koristeći sljedeću formulu:

Rizik = (cijena resursa * vjerovatnoća prijetnje) / vrijednost ranjivosti

Izazov upravljanja rizikom je odabrati razuman skup protumjera za smanjenje nivoa rizika na prihvatljiv nivo. Trošak implementacije protumjera trebao bi biti manji od iznosa moguće štete. Razlika između troškova implementacije protumjera i iznosa moguće štete treba biti obrnuto proporcionalna vjerovatnoći nanošenja štete.

Korištenje metoda analize rizika

Ako se za provođenje revizije sigurnosti odabere pristup zasnovan na riziku, tada se u fazi analize podataka revizije obično obavljaju sljedeće grupe zadataka:

Analiza IP resursa, uključujući informacione resurse, softver i hardver, i ljudske resurse
Analiza grupa zadataka koje rješava sistem i poslovni procesi
Izgradnja (neformalnog) modela IP resursa, koji određuje odnos između informacija, softvera, tehničkih i ljudskih resursa, njihov međusobni raspored i metode interakcije
Procjena kritičnosti informacionih resursa, kao i softvera i hardvera
Određivanje kritičnosti resursa uzimajući u obzir njihovu međuzavisnost
Određivanje najvjerovatnijih sigurnosnih prijetnji u odnosu na IP resurse i sigurnosne ranjivosti koje omogućavaju nastanak ovih prijetnji
Procjena vjerovatnoće implementacije prijetnji, veličine ranjivosti i štete za organizaciju u slučaju uspješne implementacije prijetnji
Određivanje veličine rizika za svaku trojku: prijetnja - grupa resursa - ranjivost
Navedeni skup zadataka je prilično uopšten. Za njihovo rješavanje mogu se koristiti različite formalne i neformalne, kvantitativne i kvalitativne, ručne i automatizirane tehnike analize rizika. Ovo ne mijenja suštinu pristupa.

Procjena rizika se može dati korištenjem raznih kvalitativnih i kvantitativnih skala. Najvažnije je da se postojeći rizici pravilno identifikuju i rangiraju u skladu sa stepenom njihove kritičnosti za organizaciju. Na osnovu ove analize može se razviti sistem prioritetnih mjera za smanjenje veličine rizika na prihvatljiv nivo.

Procjena usklađenosti sa zahtjevima standarda

U slučaju bezbednosne provere usaglašenosti sa zahtevima standarda, revizor, oslanjajući se na svoje iskustvo, ocenjuje primenljivost zahteva standarda na provereni IS i njegovu usklađenost sa ovim zahtevima. Podaci o usklađenosti različitih oblasti funkcionisanja IS-a sa zahtjevima standarda obično se prikazuju u obliku tabele. Tabela pokazuje koji sigurnosni zahtjevi nisu implementirani u sistemu. Na osnovu toga se donose zaključci o usklađenosti anketiranog IS-a sa zahtjevima standarda i daju preporuke o implementaciji sigurnosnih mehanizama u sistemu za obezbjeđivanje takve usklađenosti.

Preporuke koje revizor izdaje na osnovu rezultata analize stanja IS-a određuju se pristupom koji se koristi, karakteristikama IS koji se kontroliše, stanjem informacione sigurnosti i stepenom detaljnosti korišćenog tokom revizije.

U svakom slučaju, preporuke revizora trebaju biti specifične i primjenjive na ovaj IS, ekonomski opravdane, obrazložene (potkrijepljene rezultatima analize) i sortirane po stepenu važnosti. Istovremeno, mjere koje osiguravaju zaštitu organizacijskog nivoa gotovo uvijek imaju prednost nad specifičnim softverskim i hardverskim metodama zaštite.

Istovremeno, naivno je očekivati od revizora, kao rezultat revizije, izdavanje tehničkog projekta podsistema informacione sigurnosti, ili detaljne preporuke o implementaciji specifičnih softverskih i hardverskih alata za sigurnost informacija. Ovo zahtijeva detaljnije proučavanje konkretnih pitanja organizacije zaštite, iako interni revizori mogu aktivno učestvovati u ovim poslovima.

Priprema izvještajne dokumentacije

Revizorski izvještaj je glavni rezultat revizije. Njegov kvalitet karakteriše kvalitet rada revizora. Struktura izvještaja može značajno varirati u zavisnosti od prirode i ciljeva revizije. Međutim, određeni dijelovi moraju biti prisutni u revizorskom izvještaju. Trebao bi barem sadržavati opis ciljeva revizije, karakteristike inspekcirane IS, naznaku obima revizije i korištenih metoda, rezultate analize revizijskih podataka, zaključke koji sumiraju ove rezultate i koji sadrže ocjenu nivo sigurnosti AU ili njegovu usklađenost sa zahtjevima standarda i, naravno, preporuke revizora za otklanjanje postojećih nedostataka i unapređenje sistema zaštite.

Kao primjer daćemo uzorak strukture revizorskog izvještaja na osnovu rezultata analize rizika povezanih sa implementacijom sigurnosnih prijetnji u odnosu na provjerenu IP.

Struktura izvještaja o rezultatima revizije sigurnosti IS i analize rizika

1. Uvodni dio

1.1 Uvod
1.2 Ciljevi i zadaci revizije
1.3 Opis IC-a
1.3.1 Svrha i glavne funkcije sistema
1.3.2 Grupe zadataka koje se rješavaju u sistemu
1.3.3 Klasifikacija IP korisnika
1.3.4 Organizaciona struktura osoblja službe IS
1.3.5 Struktura i sastav kompleksa softverskih i hardverskih IS
1.3.6 Vrste informacionih resursa koji se čuvaju i obrađuju u sistemu
1.3.7 Struktura tokova informacija
1.3.8 Karakteristike kanala interakcije sa drugim sistemima i tačkama ulaska
1.4 Obim revizije
1.4.1 Komponente i podsistemi IS koji spadaju u djelokrug revizije
1.4.2 Postavljanje kompleksa softverskih i hardverskih sredstava IS-a na lokacije (prostorije)
1.4.3 Glavne klase sigurnosnih prijetnji koje se razmatraju tokom revizije
1.5 Metodologija revizije
1.5.1 Metodologija za analizu rizika
1.5.2 Početni podaci
1.5.3 Faza rada
1.6 Struktura dokumenta

2. Procjena kritičnosti IP resursa

2.1 Kriterijumi za procenu visine moguće štete povezane sa implementacijom bezbednosnih pretnji
2.2 Procjena kritičnosti informacionih resursa
2.2.1 Klasifikacija izvora informacija
2.2.2 Procjena kritičnosti po grupama izvora informacija
2.3 Procjena kritičnosti tehničkih sredstava
2.4 Procjena kritičnosti softvera
2.5 IS model resursa koji opisuje distribuciju resursa po grupama zadataka

3. Analiza rizika povezanih sa implementacijom sigurnosnih prijetnji u odnosu na IP resurse

3.1 Model uljeza za sigurnost informacija
3.1.1 Insajderski model
3.1.2 Model vanjskog uljeza
3.2 Model sigurnosnih prijetnji i ranjivosti informacionih resursa
3.2.1 Sigurnosne prijetnje po informacijske resurse
3.2.1.1 Pretnje od neovlašćenog pristupa informacijama korišćenjem softverskih alata
3.2.1.2 Prijetnje izvedene korištenjem standardnih tehničkih sredstava
3.2.1.3 Prijetnje u vezi sa curenjem informacija kroz tehničke kanale
3.2.2 Sigurnosne prijetnje softveru
3.2.3 Sigurnosne prijetnje tehničkim sredstvima
3.3 Procjena ozbiljnosti sigurnosnih prijetnji i veličine ranjivosti
3.3.1 Kriterijumi za procjenu ozbiljnosti sigurnosnih prijetnji i veličine ranjivosti
3.3.2 Procjena ozbiljnosti prijetnje
3.3.3 Procjena veličine ranjivosti
3.4 Procjena rizika za svaku klasu prijetnji i grupu resursa

4. Zaključci na osnovu rezultata ankete

5.1 Preporučene protumjere na organizacionom nivou
5.2 Preporučene hardversko-softverske kontramjere

Pregled softverskih proizvoda dizajniranih za analizu i upravljanje rizicima

Trenutno postoji veliki izbor metoda analize i upravljanja rizikom, kao i softvera koji ih implementira. Evo nekoliko primjera onoga što autor smatra najčešćim.

CRAMM

CRAMM (engl. UK Goverment Risk Analysis and Managment Method) razvijen je od strane Službe sigurnosti Ujedinjenog Kraljevstva u ime britanske vlade i usvojen kao državni standard. Koriste ga od 1985. godine vladine i komercijalne organizacije u Velikoj Britaniji. Za to vrijeme CRAMM je stekao popularnost u cijelom svijetu. Insight Consulting Limited razvija i održava istoimeni softverski proizvod koji implementira CRAMM metodu.

Odabrali smo CRAMM metodu za detaljnije razmatranje i to nije slučajno. Trenutno je CRAMM prilično moćan i svestran alat koji omogućava, pored analize rizika, rješavanje niza drugih revizorskih zadataka, uključujući:

Sprovođenje IP istraživanja i izdavanje prateće dokumentacije u svim fazama njegovog sprovođenja;

CRAMM metoda se zasniva na integrisanom pristupu proceni rizika, kombinujući kvantitativne i kvalitativne metode analize. Metoda je univerzalna i pogodna za velike i male organizacije, kako za državni tako i za komercijalni sektor. Verzije CRAMM softvera za različite tipove organizacija razlikuju se jedna od druge po bazama znanja (profilima). Postoji Komercijalni profil za komercijalne organizacije i Vladin profil za vladine organizacije. Državna verzija profila također omogućava reviziju usklađenosti sa zahtjevima američkog ITSEC standarda („Orange Book“).

Kompetentna upotreba CRAMM metode omogućava vam da dobijete vrlo dobre rezultate, od kojih je možda najvažniji sposobnost da se ekonomski opravdaju troškovi organizacije za osiguranje informacione sigurnosti i kontinuiteta poslovanja. Ekonomski zdrava strategija upravljanja rizikom na kraju štedi novac izbjegavanjem nepotrebnih troškova.

CRAMM uključuje podjelu cijele procedure u tri uzastopne faze. Zadatak prve faze je odgovoriti na pitanje: "Da li je dovoljno zaštititi sistem korištenjem alata osnovnog nivoa koji implementiraju tradicionalne sigurnosne funkcije ili je potrebno provesti detaljniju analizu?" U drugoj fazi se identifikuju rizici i procjenjuje njihova veličina. U trećoj fazi rješava se pitanje izbora adekvatnih protumjera.

CRAMM metodologija za svaku fazu definiše skup početnih podataka, redoslijed aktivnosti, upitnike za intervjue, kontrolne liste i set izvještajnih dokumenata.

Ako se prema rezultatima prve faze utvrdi da je nivo kritičnosti resursa veoma nizak i da postojeći rizici sigurno neće preći određeni osnovni nivo, tada se sistemu nameće minimalni set sigurnosnih zahtjeva. U ovom slučaju se većina aktivnosti druge faze ne provodi, a vrši se prijelaz na treću fazu, u kojoj se generira standardna lista protumjera kako bi se osigurala usklađenost sa osnovnim skupom sigurnosnih zahtjeva.

Druga faza je analiza sigurnosnih prijetnji i ranjivosti. Revizor dobija početne podatke za procjenu prijetnji i ranjivosti od ovlaštenih predstavnika organizacije tokom odgovarajućih intervjua. Za obavljanje intervjua koriste se specijalizovani upitnici.

U trećoj fazi rješava se problem upravljanja rizikom koji se sastoji u odabiru adekvatnih protumjera.

Odluku o uvođenju novih sigurnosnih mehanizama u sistem i modificiranju starih donosi menadžment organizacije, uzimajući u obzir povezane troškove, njihovu prihvatljivost i krajnju korist za poslovanje. Zadatak revizora je da opravda preporučene kontramjere za menadžment organizacije.

Ako se donese odluka o uvođenju novih protumjera i izmjeni starih, revizor može dobiti zadatak da pripremi plan za implementaciju novih protumjera i ocjeni efikasnost njihove primjene. Rješenje ovih problema je izvan okvira CRAMM metode.

Konceptualni dijagram CRAMM istraživanja prikazan je na slici.

CRAMM analiza rizika i proces upravljanja

Procedura revizije u CRAMM metodi je formalizovana. U svakoj fazi generira se prilično veliki broj srednjih i završnih izvještaja.

Dakle, u prvoj fazi kreiraju se sljedeće vrste izvještaja:

Model resursa koji sadrži opis resursa koji spadaju u granice studije i odnosa između njih;
Procjena kritičnosti resursa;
Rezultirajući izvještaj o prvoj fazi analize rizika, koji sumira rezultate dobijene tokom ankete.

U drugoj fazi istraživanja kreiraju se sljedeće vrste izvještaja:

Rezultati procjene nivoa prijetnji i ranjivosti;
Rezultati procjene veličine rizika;
Rezultirajući izvještaj o drugoj fazi analize rizika.

Na osnovu rezultata treće faze ankete, generišu se sledeće vrste izveštaja:

Preporučene protumjere;
Detaljna sigurnosna specifikacija;
Procjena troškova preporučenih protumjera;
Spisak kontramera sortiranih prema njihovim prioritetima;
Rezultirajući izvještaj o trećoj fazi istraživanja;
Sigurnosna politika, koja uključuje opis sigurnosnih zahtjeva, strategija i principa zaštite IP;
Spisak sigurnosnih mjera.

Samo visokokvalifikovani revizor koji je prošao obuku može pravilno primijeniti CRAMM metodu. Ako organizacija ne može sebi priuštiti da zadrži takvog stručnjaka u osoblju, tada bi najispravnije rješenje bilo da pozove revizorsku firmu sa osobljem stručnjaka s praktičnim iskustvom u primjeni CRAMM metode.

Sumirajući praktična iskustva korištenja CRAMM metode prilikom provođenja sigurnosne revizije, mogu se izvući sljedeći zaključci u vezi sa prednostima i slabostima ove metode:

Jake strane CRAMM metode uključuju sljedeće:

CRAMM je dobro strukturirana i široko testirana metoda analize rizika koja vam omogućava da dobijete stvarne praktične rezultate;
CRAMM softverski alati se mogu koristiti u svim fazama revizije sigurnosti IS-a;
Softverski proizvod se zasniva na prilično obimnoj bazi znanja o kontramerama u oblasti informacione bezbednosti, na osnovu preporuka standarda BS 7799;
Fleksibilnost i svestranost CRAMM metode omogućava da se koristi za reviziju IS bilo kojeg nivoa složenosti i svrhe;
CRAMM se može koristiti kao alat za razvoj plana kontinuiteta poslovanja organizacije i politike informacione sigurnosti;
CRAMM se može koristiti kao sredstvo za dokumentovanje sigurnosnih mehanizama IC.

Nedostaci CRAMM metode uključuju sljedeće:

Upotreba CRAMM metode zahtijeva posebnu obuku i visoke kvalifikacije revizora;
CRAMM je mnogo pogodniji za reviziju već postojećih IS u operativnoj fazi nego za IS u fazi razvoja;
CRAMM revizija je prilično naporan proces i može zahtijevati mjeseci kontinuiranog rada revizora;
CRAMM softverski alat generira veliku količinu papirne dokumentacije, što nije uvijek korisno u praksi;
CRAMM vam ne dozvoljava da kreirate sopstvene šablone izveštaja ili da modifikujete postojeće;
Mogućnost dopune CRAMM baze znanja nije dostupna korisnicima, što uzrokuje određene poteškoće u prilagođavanju ove metode potrebama određene organizacije.

RiskWatch

RiskWatch softver, razvijen od strane američke kompanije RiskWatch, Inc., moćan je alat za analizu i upravljanje rizicima. Porodica RiskWatch uključuje softverske proizvode za različite vrste sigurnosnih revizija. Uključuje sljedeće alate revizije i analize rizika:

RiskWatch za fizičku sigurnost - za fizičke metode zaštite IP-a;
RiskWatch za informacione sisteme - za informacione rizike;
HIPAA-SAT za zdravstvenu industriju - za procjenu usklađenosti sa zahtjevima HIPAA standarda;
RiskWatch RW17799 za ISO17799 - za procjenu zahtjeva standarda ISO17799.

Metoda RiskWatch-a koristi „očekivani godišnji gubitak (ALE)“ i „povrat na ulaganje (ROI)“ kao kriterijume za procenu i upravljanje rizikom. Porodica softverskih proizvoda RiskWatch ima mnoge prednosti. Nedostaci ovog proizvoda uključuju njegovu relativno visoku cijenu.

COBRA

COBRA (Consultative Objective and Bi-Functional Risk Analysis), razvijen od strane Risk Associates, je alat za analizu i procjenu rizika za usklađenost IP sa ISO17799. COBRA implementira kvantitativne metode procjene rizika, kao i alate za savjetovanje i pregled sigurnosti. Prilikom razvoja COBRA alata korišćeni su principi izgradnje ekspertskih sistema, obimna baza znanja o pretnjama i ranjivostima, kao i veliki broj upitnika koji su uspešno primenjeni u praksi. COBRA familija softverskih proizvoda uključuje COBRA ISO17799 savjetnika za sigurnost, COBRA analitičara usklađenosti s pravilima i COBRA savjetnika za zaštitu podataka.

Sistem prijatelja

Softverski proizvod Buddy System koji je razvila Countermeasures Corporation je još jedan softverski proizvod koji omogućava i kvantitativnu i kvalitativnu analizu rizika. Sadrži napredne alate za izvještavanje. Glavni naglasak pri korištenju Buddy sistema stavljen je na informacijske rizike povezane sa kršenjem fizičke sigurnosti i upravljanja projektom.

Standardi koji se koriste u obavljanju sigurnosnih revizija informacionih sistema

U ovom odeljku dat je pregled standarda bezbednosti informacija, koji su najznačajniji i najperspektivniji sa stanovišta njihove upotrebe za sprovođenje revizije bezbednosti IS.

U posljednje vrijeme rezultat revizije sve više postaje certifikat koji potvrđuje usklađenost provjerene IP sa zahtjevima priznatog međunarodnog standarda. Prisustvo takvog certifikata omogućava organizaciji da dobije konkurentske prednosti povezane s većim povjerenjem kupaca i partnera.

Važnost međunarodnih standarda ISO17799 i ISO15408 teško se može precijeniti. Ovi standardi služe kao osnova za svaki rad u oblasti informacione sigurnosti, uključujući i reviziju. ISO17799 se fokusira na organizaciju i upravljanje bezbednošću, dok ISO15408 definiše detaljne zahteve za softverske i hardverske mehanizme za zaštitu informacija.

Specifikacija SysTrust je odabrana za pregled jer sada ga široko koriste revizorske kompanije koje tradicionalno obavljaju finansijske revizije za svoje klijente i nude usluge IT revizije kao dopunu finansijskim revizijama.

Njemački standard "BSI \ IT Baseline Protection Manual" sadrži, možda, najinformativniji vodič za IT sigurnost i od nesumnjive je praktične vrijednosti za sve profesionalce koji se bave sigurnošću informacija.

SCORE standardi i smjernice za informatičku sigurnost namijenjeni su tehničkim profesionalcima i danas su tehnički najnapredniji.

Program za certifikaciju internetskih stranica za zahtjeve informacione sigurnosti i odgovarajuću specifikaciju "SANS / GIAC Site Certification" koju je predložio Institut SANS zaslužuje razmatranje u vezi sa sve većom aktuelnošću pitanja zaštite IP-a organizacija od napada sa Interneta. i povećanje udjela relevantnih poslova tokom sigurnosnih revizija. ...

ISO 17799: Kodeks prakse za upravljanje sigurnošću informacija

Najpotpuniji kriterijumi za procenu bezbednosnih mehanizama na organizacionom nivou predstavljeni su u međunarodnom standardu ISO 17799: Kodeks prakse za upravljanje bezbednošću informacija, usvojenom 2000. godine. ISO 17799 razvijen je iz britanskog standarda BS 7799.

ISO 17799 se može koristiti kao kriterijum za procenu bezbednosnih mehanizama na organizacionom nivou, uključujući administrativne, proceduralne i fizičke zaštite.

Osnovna pravila su podijeljena u sljedećih 10 dijelova:

Sigurnosna politika
Organizacija zaštite
Klasifikacija i kontrola resursa
Sigurnost osoblja
Fizička sigurnost
Administracija računarskih sistema i računarskih mreža
Kontrole pristupa
Razvoj i održavanje informacionih sistema
Planiranje kontinuiteta poslovanja
Nadgledanje usklađenosti sa zahtjevima sigurnosne politike

Deset kontrola predloženih u ISO 17799 (identificiranih kao ključne) smatraju se od posebne važnosti. Kontrole se u ovom kontekstu shvataju kao mehanizmi za upravljanje bezbednošću informacija organizacije.

Neke od kontrola, kao što je šifrovanje podataka, mogu zahtevati bezbednosne savete i procenu rizika kako bi se utvrdilo da li su potrebne i kako ih treba primeniti. Da bi se obezbedio viši nivo zaštite za posebno vredna sredstva ili da bi se suprotstavili posebno ozbiljnim bezbednosnim pretnjama, u nekim slučajevima mogu biti potrebne jače kontrole koje prevazilaze opseg ISO 17799.

Deset ključnih kontrola navedenih u nastavku su ili obavezni zahtjevi, kao što su zakonski zahtjevi, ili se smatraju bitnim građevinskim blokovima sigurnosti informacija, kao što je obuka o sigurnosti. Ove kontrole su relevantne za sve organizacije i okruženja u kojima radi NPP i čine osnovu sistema upravljanja bezbednošću informacija.

Sljedeće kontrole su ključne:

dokument politike sigurnosti informacija;
raspodjela odgovornosti za sigurnost informacija;
obuka i priprema osoblja za održavanje režima informacione bezbednosti;
obavještavanje o kršenju sigurnosti;
sredstva za zaštitu od virusa;
planiranje nesmetanog rada organizacije;
kontrolu nad kopiranjem softvera zaštićenog zakonom o autorskim pravima;
zaštita dokumenata organizacije;
zaštita podataka;
kontrola usklađenosti sa sigurnosnom politikom.

Procedura revizije sigurnosti IS-a uključuje provjeru dostupnosti navedenih ključnih kontrola, ocjenu potpunosti i ispravnosti njihove implementacije, kao i analizu njihove adekvatnosti rizicima koji postoje u ovom operativnom okruženju. Analiza i upravljanje rizicima je takođe sastavni deo revizije bezbednosti IS.

ISO 15408: Zajednički kriterijumi za procenu bezbednosti informacionih tehnologija

Najpotpuniji kriterijumi za procenu bezbednosnih mehanizama softversko-tehničkog nivoa predstavljeni su u međunarodnom standardu ISO 15408: Common Criteria for Information Technology Security Evaluation, usvojenom 1999. godine.

Opšti kriterijumi za procenu bezbednosti informacionih tehnologija (u daljem tekstu „Opšti kriterijumi“) definišu bezbednosne funkcionalne zahteve i zahteve za obezbeđenje bezbednosti.

Prilikom izvođenja radova na analizi sigurnosti IS-a, preporučljivo je koristiti „Opće kriterije“ kao glavne kriterije za procjenu nivoa sigurnosti NEU sa stanovišta potpunosti implementiranih sigurnosnih funkcija u njoj i pouzdanosti. implementacije ovih funkcija.

Dok je primjenjivost Zajedničkih kriterija ograničena na sigurnosne mehanizme na nivou softvera, oni sadrže specifičan skup sigurnosnih zahtjeva na nivou organizacije i zahtjeva fizičke zaštite koji su direktno povezani sa opisanim sigurnosnim funkcijama.

Prvi dio „Općih kriterija“ sadrži definiciju općih pojmova, koncepata, opis modela i metodologije za procjenu IT sigurnosti. Uvodi konceptualni aparat i definiše principe formalizacije predmetne oblasti.

Zahtjevi za funkcionalnost zaštitne opreme dati su u drugom dijelu „Opštih kriterija“ i mogu se direktno koristiti u analizi sigurnosti za procjenu kompletnosti sigurnosnih funkcija implementiranih u IS.

Treći dio „Opštih kriterija“, uz ostale zahtjeve za adekvatnost implementacije sigurnosnih funkcija, sadrži klasu zahtjeva za analizu ranjivosti zaštitnih alata i mehanizama pod nazivom AVA: Procjena ranjivosti. Ova klasa zahtjeva definira metode koje treba koristiti za sprječavanje, identifikaciju i eliminaciju sljedećih vrsta ranjivosti:

Prisustvo sporednih kanala curenja informacija;
Greške u konfiguraciji, ili zloupotreba sistema, što dovodi do prelaska sistema u nesigurno stanje;
Nedovoljna pouzdanost (trajnost) sigurnosnih mehanizama koji implementiraju odgovarajuće sigurnosne funkcije;
Prisustvo ranjivosti („rupa“) u sredstvima zaštite informacija, omogućavajući korisnicima da dobiju neovlašćeni pristup informacijama zaobilazeći postojeće mehanizme zaštite.

Prilikom obavljanja poslova revizije sigurnosti, ovi zahtjevi se mogu koristiti kao vodič i kriterij za analizu ranjivosti IS-a.

SysTrust

Kao takva, revizija informacionih tehnologija, iako nije povezana sa finansijskom revizijom, često je dodatak njoj kao komercijalnoj usluzi koju revizorske firme nude svojim klijentima zbog sve veće zavisnosti poslovanja klijenata od IT-a. Ideja je da korišćenje pouzdanih i sigurnih IT sistema u određenoj meri garantuje pouzdanost finansijskih izveštaja organizacije. Dobri rezultati IT revizije u nekim slučajevima omogućavaju da se finansijska revizija obavi u skraćenom obliku, čime se klijentima štedi vrijeme i novac.

Kao odgovor na poslovne potrebe, Američki institut ovlaštenih računovođa (AICPA) i Kanadski institut ovlaštenih računovođa (CICA) razvili su SysTrust standard za IT reviziju, koji dopunjuje finansijsku reviziju. SysTrust omogućava finansijskim revizorima da prošire svoj delokrug korišćenjem jednostavnog i razumljivog skupa zahteva za procenu pouzdanosti i bezbednosti IP.

U SysTrust standardu, IS se procjenjuje u smislu njegove dostupnosti, sigurnosti, integriteta i mogućnosti održavanja.

Pristupačnost se tradicionalno shvata kao sposobnost IS-a da pruži informacijske usluge u bilo kom načinu rada i pod bilo kojim opterećenjem predviđenim uslovima njegovog rada, uz kašnjenja koja ne prelaze utvrđene zahteve.

Sigurnost se podrazumijeva kao zaštita IS-a od fizičkog i logičkog neovlaštenog pristupa. Sredstva za razgraničenje fizičkog i logičkog pristupa IS resursima se uglavnom smatraju sredstvom za osiguranje sigurnosti.

Integritet se shvata kao sposobnost IS-a da obezbedi očuvanje takvih svojstava informacija koje se obrađuju u sistemu kao što su potpunost, tačnost, relevantnost, pravovremenost i autentičnost.

Operativna pouzdanost IS-a određena je sposobnošću promjene konfiguracije i ažuriranja sistema kako bi se osigurala njegova svojstva kao što su dostupnost, sigurnost i integritet.

Kriterijumi za vrednovanje opisana četiri svojstva IS-a definisani su u dokumentu AICPA/CICA SysTrust principi i kriterijumi za pouzdanost sistema, verzija 2.0.

U toku sertifikacije prema zahtjevima SysTrust standarda (SysTrust angažman), revizor ocjenjuje usklađenost IP-a sa kriterijima dostupnosti, sigurnosti, integriteta i operativne pouzdanosti (SysTrust principi i kriteriji), provjeravajući da li sistem posjeduje neophodne kontrole. Revizor zatim testira kontrole kako bi utvrdio da li rade i efikasne. Ako, kao rezultat testiranja, IS ispunjava kriterije SysTrust, revizor izdaje nekvalifikovani izvještaj o atestiranju. U izvještaju se formulišu zaključci u vezi sa potpunošću i efektivnošću implementacije od strane menadžmenta organizacije kontrolnih mehanizama u sertifikovanom IS. Pored izvještaja o atestiranju, revizor priprema opći opis inspekcirane IP. U mnogim slučajevima, tvrdnja menadžmenta se takođe priprema u vezi sa efektivnošću kontrola kako bi se osiguralo da IP ispunjava kriterijume SysTrust. Angažovanja atestiranja (SSAE) br. 10, Standardi atestiranja, AT odeljak 101 „Angažmani atestiranja“”.)

BSI \ IT Baseline Protection Manual

Njemački standard "IT Baseline Protection Manual" razvila je Njemačka agencija za sigurnost informacija (BSI - Bundesamt für Sicherheit in der Informationstechnik (Njemačka agencija za sigurnost informacija).

Ovaj dokument je možda najsveobuhvatniji vodič za sigurnost informacija i po mnogo čemu nadmašuje sve ostale standarde. Prijatno je i to što je ovaj izvor informacija, najvredniji za revizora, slobodno dostupan na internetu. Sadrži detaljna uputstva o sigurnosti informacija u vezi sa različitim aspektima funkcionisanja IS-a i različitih oblasti IT-a.

Standard je trenutno u tri toma i sadrži oko 1600 stranica teksta.

BSI \ IT Baseline Protection Manual se stalno poboljšava kako bi bio u toku sa trenutnim stanjem tehnike u IT sigurnosti. Do danas je akumulirana jedinstvena baza znanja koja sadrži informacije o prijetnjama i protumjerama u dobro strukturiranom obliku.

SCORE standardi prakse i SANS / GIAC program sertifikacije lokacija

SCORE (Security Consensus Operational Readiness Evaluation) zajednički je projekat Instituta SANS i Centra za internet sigurnost (CIS). Stručnjaci za sigurnost informacija iz različitih organizacija okupili su se u okviru projekta SCORE kako bi razvili osnovni (minimalno potrebni) skup sigurnosnih praksi i smjernica za različite operativne platforme. Zahtjevi i preporuke predložene za uključivanje u standarde se naširoko raspravljaju i provjeravaju od strane učesnika SCORE projekta, a tek nakon njihovog odobrenja od strane svih učesnika prenose se u CIS, koji se bavi njihovom formalizacijom i dizajnom, a također razvija softverske alate (minimalno mjerila standarda) za operativne platforme za ocjenu usklađenosti s predloženim standardima.

Razvijeni osnovni standardi, zajedno sa smjernicama za osiguranje usklađenosti sa ovim standardima i alatima za testiranje, objavljeni su na web stranici CIS-a.

Program GIAC Site Certification Programa Instituta SANS omogućava organizacijama da sprovode sigurnosne revizije na internet povezanim segmentima računarske mreže u skladu sa SCORE standardima.

Program GIAC Site Certification definiše tri nivoa sigurnosti za internet stranice. U praksi se trenutno koriste samo prva dva od njih.

Certifikacija lokacije na prvom nivou uključuje provjeru vanjskih mrežnih adresa organizacije, vidljivih sa Interneta, radi ranjivosti odgovarajućih hostova na mrežne napade. Na ovom nivou, sajt treba da bude zaštićen od najčešćih napada. Neophodno je odsustvo najozbiljnijih i najčešćih sigurnosnih propusta. Postoje i određeni zahtjevi za nivo kvalifikacija stručnjaka odgovornih za osiguranje sigurnosti lokacije.

Drugi nivo zahteva sve provere i poštovanje svih zahteva prvog nivoa, a takođe zahteva periodično preispitivanje politika i procedura mrežne bezbednosti. Takođe na drugom nivou, sajt se proverava da li je zaštićen od mrežnih napada pokušajem prodiranja i hakovanja sistema povezanih na Internet.

Na trećem nivou, osim osiguravanja usklađenosti sa svim zahtjevima drugog nivoa, potrebno je i redovno skeniranje mreže iznutra u cilju zaštite od prijetnji insajdera, kao i vanjskih napadača koji pokušavaju savladati sigurnosne mehanizme. perimetra vanjske mreže korištenjem naprednih metoda, uključujući društveni inženjering. ...

Od nivoa do nivoa, zahtjevi za profesionalnim kvalifikacijama, organizaciona struktura sigurnosnih jedinica, postojanje formalnih politika i procedura, te ozbiljnost i dubina testova koji se koriste za testiranje sigurnosnih mehanizama internet stranice organizacije postaju sve stroži.

zaključci

Revizija je nezavisno ispitivanje određenih oblasti funkcionisanja organizacije, koje se sprovodi na inicijativu njenog menadžmenta ili akcionara, ili u skladu sa planom interne revizije. Glavni ciljevi sigurnosne revizije su:

analiza rizika povezanih s mogućnošću sigurnosnih prijetnji u odnosu na IS resurse;
procjena trenutnog nivoa sigurnosti IP-a;
lokalizacija uskih grla u sistemu zaštite IP;
procjena usklađenosti IS-a sa postojećim standardima u oblasti informacione sigurnosti;
razvoj preporuka za implementaciju novih i povećanje efikasnosti postojećih mehanizama za sigurnost IS.

Radovi revizije sigurnosti IS-a uključuju nekoliko uzastopnih faza:

Pokretanje ankete
Prikupljanje informacija
Analiza primljenih podataka
Izrada preporuka
Izrada izvještaja o rezultatima ankete
Pristupi revizije sigurnosti mogu se zasnivati na analizi rizika, oslanjati se na korištenje standarda sigurnosti informacija ili kombinovati oba ova pristupa.

Trenutno postoji veliki izbor metoda analize i upravljanja rizikom, kao i softvera koji ih implementira. Neki od njih su razmatrani u ovom članku.

Jedan od najmoćnijih i najsvestranijih alata za analizu rizika je CRAMM metoda. CRAMM softver, osim analize i upravljanja rizicima, također vam omogućava rješavanje niza drugih revizorskih zadataka, uključujući:

Sprovođenje IP istraživanja i izdavanje prateće dokumentacije u svim fazama istraživanja;
Revizija u skladu sa zahtjevima britanske vlade, kao i BS 7799: 1995 - Kodeks prakse za upravljanje sigurnošću informacija BS7799;
Izrada sigurnosne politike i plana kontinuiteta poslovanja.

Ispravna upotreba CRAMM metode omogućava postizanje dobrih rezultata, od kojih je možda najvažniji mogućnost ekonomske opravdanosti troškova organizacije za osiguranje informacione sigurnosti i kontinuiteta poslovanja.

U posljednje vrijeme rezultat revizije sve više postaje certifikat koji potvrđuje usklađenost provjerene IP sa zahtjevima priznatog međunarodnog standarda. Ovaj članak govori o nekoliko standarda i programa sertifikacije koji su od praktične vrijednosti.

Međunarodni standardi ISO17799 i ISO15408 služe kao osnova za svaki rad u oblasti sigurnosti informacija, uključujući i reviziju. ISO17799 se fokusira na organizaciju i upravljanje bezbednošću, dok ISO15408 definiše detaljne zahteve za softverske i hardverske mehanizme za zaštitu informacija.

SysTrust specifikaciju trenutno široko koriste revizorske kompanije koje tradicionalno obavljaju finansijske revizije za svoje klijente i nude usluge IT revizije kao dopunu finansijskim revizijama.

Njemački standard "BSI \ IT Baseline Protection Manual" je najsveobuhvatniji vodič za IT sigurnost i od nesumnjive je praktične vrijednosti za sve profesionalce uključene u informatičku sigurnost.

SCORE-ove prakse i smjernice za sigurnost informacija usmjerene su na tehničare i tehnički su najnaprednije.

Program sertifikacije za internet stranice za zahtjeve informacione sigurnosti i odgovarajuću specifikaciju "SANS/GIAC Site Certification", koju je nedavno predložio Institut SANS, nesumnjivo zaslužuje pažnju zbog stalno sve veće važnosti pitanja zaštite IP-a organizacija od napada sa Interneta. i povećanje udjela relevantnih poslova.prilikom vršenja revizije sigurnosti.

Literatura i linkovi

ISACA Russia Chapter. CISA kurs pripreme za ispit. april-maj 2001.
CRAMM v.4.0 Korisnički vodič.
Šta je CRAMM? http://www.gammassl.co.uk/topics/hot5.html
SANS / GIAC program sertifikacije sajtova, http://www.sans.org/SCORE
SysTrust Services, http://www.aicpa.org/assurance/systrust/index.htm
Ernst & Young (CIS) Limited, Izvještaj nezavisnog računovođe, https://processcertify.ey.com/vimpelcom2/vimpelcom_opinion.html
BSI / IT Baseline Protection Manual, http://www.bsi.bund.de/gshb/english/menue.htm
Aleksandar Astahov. Analiza sigurnosti automatizovanih sistema, GLOBALTRUST.RU, 2002,

Organizacija revizije informacione sigurnosti informacionog sistema

Andrushka Igor Moldavska ekonomska akademija
VEZA - 238

Uvod

Savremeni informacioni sistem organizacije je distribuiran i heterogen sistem koji koristi različite softverske i hardverske komponente i ima izlazne tačke u javnoj mreži. (npr. internet)... U tom smislu, zadatak ispravne i bezbedne konfiguracije komponenti i obezbeđivanja sigurne interakcije između njih postaje mnogo komplikovaniji, a kao rezultat toga, povećava se broj ranjivosti u sistemu.

Prisustvo ranjivosti u sistemu omogućava potencijalnom uljezu da izvrši uspješan napad i ošteti aktivnosti organizacije. Pojava "slabih tačaka" može biti uzrokovana različitim razlozima, kao objektivnim (npr. nedostaci u osnovnom softveru) i subjektivno (na primjer, pogrešna konfiguracija hardvera) .

Identifikovanje i eliminisanje ranjivosti, kao i procena ukupnog nivoa bezbednosti je izuzetno važna komponenta bezbednosti, koja vam omogućava da značajno povećate nivo bezbednosti informacija i drugih resursa sistema.

Rice. 1 Uloga revizije sigurnosti informacija

Ciljevi i svrha revizije

Glavni ciljevi revizije sigurnosti informacija uključuju sljedeće:

· Dobijanje objektivne i nezavisne procjene trenutnog stanja sigurnosti informacionih resursa.

· Dobivanje maksimalnog povrata sredstava uloženih u kreiranje sistema informacione bezbednosti.

· Procjena moguće štete od neovlaštenih radnji.

· Razvoj zahtjeva za izgradnju sistema informacione sigurnosti.

· Određivanje područja odgovornosti zaposlenih u odjeljenjima.

· Proračun potrebnih resursa.

· Izrada redosleda i redosleda implementacije sistema informacione bezbednosti.

Revizija se može izvršiti na sljedeće načine:

· Sveobuhvatna revizija- prije kreiranja sistema sigurnosti informacija

· Poenta- formiranje zahtjeva za modernizaciju sistema zaštite

· Periodično- eksterna rutinska provjera nivoa sigurnosti sistema.

· Verifikacija- ispitivanje i procena korišćenih ili planiranih sistema i rešenja.

Faze revizije

Proces revizije informacionih sistema može se predstaviti u obliku neke vrste pondera (sl. 2), gdje se s jedne strane smatraju sistemi sigurnosti pristupa, s druge kontrola poslovnih procesa, a tehnička infrastruktura služi kao podrška, koja se pak zasniva na prihvaćenim metodama autorizacije, konfiguraciji sistema, kao i na politike i procedure usvojene u organizacijama.

Rice. 2 Proces revizije informacionih sistema

Radovi na reviziji IS bezbednosti obuhvataju niz uzastopnih faza (slika 3), koje generalno odgovaraju fazama sveobuhvatne revizije IS, koja uključuje sledeće:

2. Sprovođenje bezbednosne procene – obuhvata rad na otkrivanju ranjivosti tehničke opreme, analizu tehnološke bezbednosti, kao i adekvatnosti organizacionih procedura. Na osnovu uočenih nedostataka vrši se procjena rizika, uključujući glavne načine za prevazilaženje sistema zaštite, stepen kritičnosti i mogućnost implementacije;

3. atestiranje sistema - obuhvata mjere za ispitivanje (ocjenu) postojećih mjera i mjera zaštite informacija, ocjenu njihove adekvatnosti, kao i usklađenosti sa zahtjevima vodećih standarda;

4. Na osnovu rezultata revizije izrađuje se plan za otklanjanje uočenih nedostataka. Zadatak planiranja je utvrđivanje prioriteta za otklanjanje uočenih nedostataka, razvoj redoslijeda i metodologije za njihovo otklanjanje. Dodatno, planirana je izrada konceptualnih i proceduralnih dokumenata, kao što su Koncept informacione sigurnosti, Opšti zahtjevi i preporuke za zaštitu informacija, Sigurnosna politika itd.

Slika 3. Faze revizije sigurnosti informacija

U zavisnosti od ciljeva i načina sprovođenja revizije bezbednosti informacija, inicijator ovog događaja, kao što je već navedeno, je zainteresovana strana. Najčešći pokretač revizije je organizacija koju predstavlja njen menadžment.

U pravilu se u fazi anketiranja rješavaju sljedeća organizaciona pitanja:

Prava i obaveze revizora jasno su definisana i dokumentovana u opisu poslova, kao i u odredbi o internim (vanjski) revizija;

· Revizor priprema i slaže se sa menadžmentom plana revizije sigurnosti informacija.

Faza ankete takođe definiše obim istraživanja. Granice istraživanja se obično definiraju na sljedeći način:

· Spisak pregledanih fizičkih, softverskih i informacionih resursa;

Platforme (prostorije) koji spadaju u delokrug istraživanja;

· Glavne vrste sigurnosnih prijetnji koje se razmatraju tokom revizije;

Organizacijski (zakonodavna, administrativna i proceduralna) fizičke, softverske i hardverske i druge sigurnosne aspekte koje je potrebno uzeti u obzir tokom istraživanja i njihove prioritete (u kojoj meri ih treba uzeti u obzir) .

Nakon toga slijedi prikupljanje revizorskih informacija, koje je najteže i dugotrajno. Ovo je, po pravilu, povezano sa nedostatkom potrebne dokumentacije za informacioni sistem i sa potrebom za bliskom interakcijom revizora sa mnogim službenicima organizacije.

Svrha i principi funkcionisanja IS-a u velikoj mjeri određuju postojeće rizike i sigurnosne zahtjeve za sistem. Stoga, u sljedećoj fazi, revizora zanimaju informacije o svrsi i funkcionisanju IS-a. U ovoj fazi revizor može koristiti dokumentaciju koja sadrži sljedeće podatke:

· Opis automatizovanih funkcija;

· Šema tokova informacija;

· Opis strukture kompleksa tehničkih sredstava informacionog sistema;

· Opis strukture softvera;

· Opis strukture informacione podrške;

· Opis tehničkih specifikacija korištenih aplikacija;

Nadalje, revizoru su potrebne detaljnije informacije o strukturi IP. Ovo omogućava da se sazna kako se distribucija sigurnosnih mehanizama vrši po strukturnim elementima i nivoima funkcionisanja IS-a.

Priprema značajnog dijela IS dokumentacije obično se vrši već u toku revizije. Kada su svi potrebni IP podaci, uključujući dokumentaciju, pripremljeni, možete preći na sljedeću fazu - njihovu analizu

Metode analize podataka koje koriste revizori određene su odabranim pristupom revizije, koji može značajno varirati. Ali općenito se mogu razlikovati 3 pristupa:

Prvi pristup, najteže, zasniva se na analizi rizika. Na osnovu metoda analize rizika, revizor za anketirani IS utvrđuje individualni skup sigurnosnih zahtjeva, koji u najvećoj mjeri uzima u obzir karakteristike ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u tom okruženju. Ovaj pristup oduzima najviše vremena i zahtijeva najviše kvalifikacije revizora. Na kvalitet rezultata revizije, u ovom slučaju, snažno utiče metodologija koja se koristi za analizu i upravljanje rizikom i njena primjenjivost na ovu vrstu IP.

Pošaljite svoj dobar rad u bazu znanja je jednostavno. Koristite obrazac ispod

Studenti, postdiplomci, mladi naučnici koji koriste bazu znanja u svom studiranju i radu biće vam veoma zahvalni.

Objavljeno na http://www.allbest.ru/

Uvod

Revizija je oblik nezavisne, neutralne kontrole bilo koje delatnosti komercijalnog preduzeća, koja se široko koristi u praksi tržišne ekonomije, posebno u oblasti računovodstva. Jednako važna sa stanovišta ukupnog razvoja preduzeća je i njegova bezbednosna revizija, koja uključuje analizu rizika povezanih sa mogućnošću bezbednosnih pretnji, posebno u vezi sa informacionim resursima, procenu trenutnog nivoa bezbednosti preduzeća. informacioni sistemi (IS), lokalizacija uskih grla u njihovom sistemu zaštite, procena usklađenosti IS sa postojećim standardima u oblasti informacione bezbednosti i izrada preporuka za implementaciju novih i povećanje efikasnosti postojećih mehanizama bezbednosti IS.

Ako govorimo o glavnom cilju revizije bezbednosti informacija, onda se on može definisati kao procena nivoa bezbednosti informacionog sistema preduzeća za upravljanje njime u celini, uzimajući u obzir izglede za njegov razvoj.

U savremenim uslovima, kada informacioni sistemi prodiru u sve sfere poslovanja preduzeća, a uzimajući u obzir potrebu za njihovom vezom sa Internetom, ispostavljaju se otvorenim za implementaciju unutrašnjih i eksternih pretnji, problem informacione sigurnosti postaje ništa manji. važnije od ekonomske ili fizičke sigurnosti.

Uprkos važnosti problema koji se razmatra za obuku stručnjaka za informacionu bezbednost, on još uvek nije uvršten kao poseban predmet u postojeće nastavne planove i programe i nije razmatran u udžbenicima i nastavnim sredstvima. Razlog tome je nedostatak potrebnog regulatornog okvira, nepripremljenost stručnjaka i nedovoljno praktično iskustvo u oblasti revizije informacione sigurnosti.

Opća struktura rada uključuje sljedeći niz pitanja koja se razmatraju:

Opisan je model izgradnje sistema informacione bezbednosti (IS) koji uzima u obzir pretnje, ranjivosti, rizike i kontramere koje se preduzimaju za njihovo smanjenje ili sprečavanje;

Razmatraju se metode analize i upravljanja rizikom;

Prikazani su osnovni koncepti revizije bezbednosti i date karakteristike ciljeva njene implementacije;

Analizira glavne međunarodne i ruske standarde koji se koriste u reviziji IS;

Prikazane su mogućnosti korišćenja softverskih alata za sprovođenje revizije IS;

Odabir opisane strukture udžbenika napravljen je s ciljem maksimiziranja orijentacije studenta na praktičnu upotrebu predmetnog materijala, prvo, prilikom izučavanja nastavnog predmeta, drugo, prilikom polaganja industrijske prakse (analiza stanja informacija sigurnost u preduzeću), i treće, prilikom izvođenja seminarskih i diplomskih radova.

Predstavljeni materijal može biti od koristi rukovodiocima i zaposlenima službi bezbednosti i službi zaštite informacija preduzeća za pripremu i sprovođenje interne i opravdavanje potrebe eksterne revizije informacione bezbednosti.

Poglavlje I. Revizija sigurnosti i metode njenog sprovođenja

1.1 Koncept sigurnosne revizije

Revizija je nezavisno ispitivanje specifičnih oblasti funkcionisanja organizacije. Razlikovati eksternu i internu reviziju. Eksterna revizija je, po pravilu, jednokratni događaj koji iniciraju menadžment ili akcionari organizacije. Preporučuje se redovno obavljanje eksternih revizija, a, na primjer, za mnoge finansijske organizacije i akcionarska društva to je obavezan zahtjev od strane njihovih osnivača i dioničara. Interna revizija je kontinuirana aktivnost, koja se sprovodi na osnovu „Pravilnika o internoj reviziji“ iu skladu sa planom, čiju izradu sprovode službe bezbednosti i odobrava rukovodstvo organizacije.

Ciljevi sigurnosne revizije su:

analiza rizika povezanih sa mogućnošću implementacije sigurnosnih prijetnji u odnosu na resurse;

Procjena trenutnog nivoa sigurnosti IP-a;

Lokalizacija uskih grla u sistemu zaštite IP;

Procjena usklađenosti IS-a sa postojećim standardima u oblasti informacione sigurnosti;

Sigurnosnu reviziju preduzeća (firme, organizacije) treba smatrati povjerljivim alatom upravljanja, isključujući mogućnost pružanja informacija o rezultatima njegovih aktivnosti trećim licima i organizacijama u svrhu tajnosti.

Sljedeći slijed radnji se može preporučiti za provođenje revizije sigurnosti preduzeća.

1. Priprema za sigurnosnu reviziju:

izbor objekta revizije (preduzeće, pojedinačne zgrade i prostorije, pojedinačni sistemi ili njihove komponente);

Stvaranje tima stručnih revizora;

Određivanje obima i obima revizije i određivanje konkretnih rokova.

2. Sprovođenje revizije:

opšta analiza bezbednosnog statusa objekta revizije;

Registracija, prikupljanje i verifikacija statističkih podataka i rezultata instrumentalnih mjerenja opasnosti i prijetnji;

Procjena rezultata ispitivanja;

Izrada izvještaja o rezultatima provjere po pojedinim komponentama.

3. Završetak revizije:

izrada završnog izvještaja;

Izrada akcionog plana za otklanjanje uskih grla i nedostataka u osiguranju sigurnosti kompanije.

Da biste uspješno obavili sigurnosnu reviziju, morate:

Aktivno učešće menadžmenta kompanije u njegovom vođenju;

Objektivnost i nezavisnost revizora (eksperata), njihova kompetentnost i visok profesionalizam;

Jasno strukturiran postupak verifikacije;

Aktivna implementacija predloženih mjera za osiguranje i unapređenje sigurnosti.

Sigurnosna revizija je, zauzvrat, efikasan alat za procjenu sigurnosti i upravljanje rizikom. Sprečavanje sigurnosnih prijetnji također znači zaštitu ekonomskih, društvenih i informacionih interesa preduzeća.

Dakle, možemo zaključiti da revizija sigurnosti postaje instrument ekonomskog upravljanja.

U zavisnosti od obima analiziranih objekata preduzeća, određuje se obim revizije:

Sigurnosna revizija cijelog preduzeća u cjelini;

Sigurnosna revizija pojedinačnih zgrada i prostorija (namjenski prostori);

Revizija opreme i tehničkih sredstava pojedinih vrsta i tipova;

Revizija pojedinih vrsta i oblasti delatnosti: ekonomske, ekološke, informacione, finansijske itd.

Treba naglasiti da se revizija ne vrši na inicijativu revizora, već na inicijativu menadžmenta kompanije, koji je u ovom pitanju glavni stejkholder. Podrška menadžmenta kompanije je preduslov za reviziju.

Prava i obaveze revizora treba da budu jasno definisane i dokumentovane u opisu njegovih poslova, kao iu propisu o internoj (eksternoj) reviziji;

Revizor treba pripremiti i dogovoriti se sa menadžmentom plana revizije;

Uredbom o internoj reviziji treba posebno da bude propisano da su zaposleni u preduzeću dužni da pomognu revizoru i da daju sve informacije potrebne za reviziju.

U fazi pokretanja postupka revizije treba definisati obim ankete. Ukoliko neki informacioni podsistemi preduzeća nisu dovoljno kritični, mogu se isključiti iz obima istraživanja.

Drugi podsistemi možda neće biti podložni reviziji zbog razloga povjerljivosti.

Obim ankete je definisan u sledećim kategorijama:

1. Spisak ispitanih fizičkih, softverskih i informacionih resursa.

2. Lokacije (prostorije) koje spadaju u granice istraživanja.

3. Glavne vrste sigurnosnih prijetnji koje se razmatraju tokom revizije.

4. Organizacioni (zakonodavni, administrativni i proceduralni), fizički, softversko-tehnički i drugi aspekti bezbednosti koje je potrebno uzeti u obzir prilikom istraživanja, i njihovi prioriteti (u kojoj meri ih treba uzeti u obzir).

Plan i granice revizije razmatraju se na radnom sastanku, kojem prisustvuju revizori, menadžment kompanije i rukovodioci strukturnih odjeljenja.

Da bi se revizija IS-a shvatila kao složen sistem, njen konceptualni model, prikazan na sl. 1.1. Ovdje su istaknute glavne komponente procesa:

Objekt revizije:

Svrha revizije:

Rice. 1.1. Konceptualni model revizije sigurnosti informacija

zahtjevi koje treba ispuniti;

Korištene metode;

Skala:

Izvođači;

Red ponašanja.

Sa stanovišta organizacije rada tokom revizije IS-a, postoje tri osnovne faze:

1. prikupljanje informacija;

Ovi koraci su detaljnije razmotreni u nastavku.

1.2 Metode analize podataka u reviziji informacione sigurnosti

Trenutno postoje tri glavne metode (pristupa) za provođenje revizije, koje se međusobno značajno razlikuju.

Prva metoda, najkompleksnija, zasnovana je na analizi rizika. Na osnovu metoda analize rizika, revizor za anketirani IS utvrđuje individualni skup sigurnosnih zahtjeva, koji u najvećoj mjeri uzima u obzir karakteristike ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u tom okruženju. Ovaj pristup oduzima najviše vremena i zahtijeva najviše kvalifikacije revizora. Na kvalitet rezultata revizije, u ovom slučaju, snažno utiče metodologija koja se koristi za analizu i upravljanje rizikom i njena primjenjivost na ovu vrstu IP.

Druga metoda, najpraktičnija, oslanja se na korištenje standarda sigurnosti informacija. Standardi definišu osnovni skup bezbednosnih zahteva za široku klasu IS-a, koji je formiran kao rezultat generalizacije svetske prakse. Standardi mogu definisati različite skupove bezbednosnih zahteva, u zavisnosti od nivoa bezbednosti IS-a koji treba da se obezbedi, njegove pripadnosti (komercijalna organizacija ili vladina agencija), kao i namene (finansije, industrija, komunikacije, itd.). U tom slučaju, od revizora se traži da pravilno odredi skup zahtjeva standarda, čiju usklađenost mora osigurati za ovaj IS. Takođe je potrebna metodologija za procjenu ove usklađenosti. Zbog svoje jednostavnosti (standardni skup zahtjeva za reviziju je već unaprijed određen standardom) i pouzdanosti (standard je standard i niko neće pokušati da ospori njegove zahtjeve), opisani pristup je najčešći u praksi (posebno kada vršenje eksterne revizije). Omogućava vam da izvučete razumne zaključke o stanju IS-a uz minimalnu cijenu resursa.

Treća metoda, najefikasnija, uključuje kombinovanje prve dvije.

Ako se za provođenje revizije sigurnosti odabere pristup zasnovan na riziku, tada se u fazi analize podataka revizije obično obavljaju sljedeće grupe zadataka:

jedan . Analiza IP resursa, uključujući informacione resurse, softver i hardver, i ljudske resurse.

2. Analiza grupa zadataka koje rješava sistem i poslovni procesi.

3. Izgradnja (neformalnog) modela IP resursa, koji određuje odnos između informacija, softvera, tehničkih i ljudskih resursa, njihov međusobni raspored i metode interakcije.

4. Procjena kritičnosti informacionih resursa, kao i softvera i hardvera.

5. Određivanje kritičnosti resursa, uzimajući u obzir njihove međuzavisnosti.

6. Određivanje najvjerovatnijih sigurnosnih prijetnji u odnosu na IP resurse i sigurnosne ranjivosti koje omogućavaju implementaciju ovih prijetnji.

7. Procjena vjerovatnoće implementacije prijetnji, veličine ranjivosti i štete za organizaciju u slučaju uspješne implementacije prijetnji.

8. Određivanje veličine rizika za svaku trojku: prijetnja - grupa resursa - ranjivost.

Navedeni skup zadataka je prilično uopšten. Za njihovo rješavanje mogu se koristiti različite formalne i neformalne, kvantitativne i kvalitativne, ručne i automatizirane tehnike analize rizika. Ovo ne mijenja suštinu pristupa.

Prilikom obavljanja sigurnosne revizije usklađenosti sa zahtjevima standarda, revizor, oslanjajući se na svoje iskustvo, ocjenjuje primjenjivost zahtjeva standarda na inspekcijski IS i njegovu usklađenost sa ovim zahtjevima. Podaci o usklađenosti različitih oblasti funkcionisanja IS-a sa zahtjevima standarda obično se prikazuju u obliku tabele. Tabela pokazuje koji sigurnosni zahtjevi nisu implementirani u sistemu. Na osnovu toga se donose zaključci o usklađenosti anketiranog IS-a sa zahtjevima standarda i daju preporuke o implementaciji sigurnosnih mehanizama u sistemu za obezbjeđivanje takve usklađenosti.

1.3 Analiza informacionih rizika preduzeća

Analiza rizika je ono što treba da počne sa izgradnjom bilo kog sistema bezbednosti informacija i šta je potrebno za sprovođenje revizije bezbednosti informacija. Obuhvata aktivnosti na istraživanju bezbednosti preduzeća kako bi se utvrdilo koje resurse i od kojih pretnji treba zaštititi, kao i u kojoj meri određene resurse treba zaštititi. U toku upravljanja rizikom vrši se utvrđivanje skupa adekvatnih protumjera. Rizik je određen vjerovatnoćom štete i visinom štete na resursima informacionih sistema (IS) u slučaju prijetnje sigurnosti.

Analiza rizika se sastoji u identifikaciji postojećih rizika i procjeni njihove veličine (davanje im kvalitativne ili kvantitativne procjene). Proces analize rizika uključuje rješavanje sljedećih zadataka:

1. Identifikacija ključnih IP resursa.

2. Utvrđivanje značaja određenih resursa za organizaciju.

3. Identifikacija postojećih sigurnosnih prijetnji i ranjivosti koje čine prijetnje mogućim.

4. Proračun rizika povezanih sa implementacijom sigurnosnih prijetnji.

IP resursi se mogu kategorizirati na sljedeći način:

Informativni resursi;

softver;

Tehnička sredstva (serveri, radne stanice, aktivna mrežna oprema itd.);

Ljudski resursi.

Podaci su otkriveni, izmijenjeni, izbrisani ili učinjeni nedostupnima;

Hardver je oštećen ili uništen;

Integritet softvera je ugrožen.

Šteta može nastati organizaciji kao rezultat uspješne implementacije sljedećih vrsta sigurnosnih prijetnji:

Lokalni i udaljeni napadi na IP resurse;

Prirodnih katastrofa;

Greške ili namjerne radnje osoblja IS-a;

Kvarovi IC-a uzrokovani greškama u softveru ili hardverskim kvarovima.

Veličina rizika može se odrediti na osnovu cijene resursa, vjerovatnoće da će se prijetnja pojaviti i veličine ranjivosti koristeći sljedeću formulu:

trošak resursa X vjerovatnoća prijetnje Rizik = veličina ranjivosti

Pristup zasnovan na analizi informacionih rizika preduzeća je najznačajniji za praksu obezbeđenja informacione bezbednosti. To je zbog činjenice da vam analiza rizika omogućava da efikasno upravljate sigurnošću informacija preduzeća. Da bi se to postiglo, na početku analize rizika potrebno je utvrditi šta je tačno predmet zaštite u preduzeću, kojim pretnjama je izloženo, a prema praksi zaštite. Analiza rizika se vrši na osnovu neposrednih ciljeva i zadataka zaštite određene vrste informacija povjerljive prirode. Jedan od najvažnijih zadataka u zaštiti informacija je osigurati njihov integritet i dostupnost. Treba imati na umu da se povreda integriteta može dogoditi ne samo kao rezultat namjernih radnji, već i iz niza drugih razloga:

· Kvarovi opreme koji dovode do gubitka ili izobličenja informacija;

· Fizički uticaj, uključujući i kao rezultat prirodnih katastrofa;

· Greške u softveru (uključujući nedokumentovane funkcije).

Stoga je pod pojmom "napad" više obećavajuće razumijevanje ne samo utjecaja čovjeka na informacione resurse, već i uticaja okruženja u kojem funkcioniše sistem za obradu informacija preduzeća.

Prilikom provođenja analize rizika razvijaju se sljedeće:

· Opšta strategija i taktika izvođenja "ofanzivnih operacija i neprijateljstava" od strane potencijalnog nasilnika;

· Mogući načini izvođenja napada na sistem obrade i zaštite informacija;

· Scenario nezakonitih radnji;

· Karakteristike kanala curenja informacija i neovlašćenog servisa;

· Vjerovatnoća uspostavljanja informativnog kontakta (sprovođenje prijetnji);

· Spisak mogućih infekcija informacija;

· Model počinioca;

· Metodologija za procjenu sigurnosti informacija.

Osim toga, za izgradnju pouzdanog sistema za zaštitu informacija preduzeća potrebno je:

· Identificirati sve moguće prijetnje sigurnosti informacija;

· Procijeniti posljedice njihovog ispoljavanja;

Odrediti potrebne mjere i sredstva zaštite, uzimajući u obzir zahtjeve regulatornih dokumenata, ekonomske

· Ekspeditivnost, kompatibilnost i nekonfliktnost sa softverom koji se koristi;

· Ocijeniti efikasnost odabranih mjera i sredstava zaštite.

Rice. 1.2. Skripta za analizu resursa informacija

Ovdje je prikazano svih 6 faza analize rizika. U prvoj i drugoj fazi utvrđuju se podaci koji predstavljaju poslovnu tajnu preduzeća i koje treba zaštititi. Jasno je da se takve informacije pohranjuju na određenim mjestima i na određenim medijima, prenose komunikacijskim kanalima. Istovremeno, odlučujući faktor u tehnologiji rukovanja informacijama je arhitektura IS-a, koja u velikoj mjeri određuje sigurnost informacionih resursa preduzeća. Treća faza analize rizika je izgradnja pristupnih kanala, curenje ili uticaj na informacione resurse glavnih IS čvorova. Svaki pristupni kanal karakteriše mnoštvo tačaka sa kojih se informacije mogu „ukloniti“. Oni su ti koji predstavljaju ranjivost i zahtijevaju korištenje sredstava za sprječavanje neželjenih utjecaja na informacije.

Četvrta faza analize načina odbrane svih mogućih poena tako odgovara ciljevima odbrane i njen rezultat treba da bude karakteristika mogućih propusta u odbrani, uključujući i zbog nepovoljnog spleta okolnosti.

U petoj fazi, polazeći od trenutno poznatih metoda i sredstava savladavanja odbrambenih linija, određuju se vjerovatnoće realizacije prijetnji za svaku od mogućih tačaka napada.

U završnoj, šestoj, fazi, procjenjuje se šteta za organizaciju u slučaju implementacije svakog od napada, što, zajedno sa procjenama ranjivosti, omogućava dobijanje rangirane liste prijetnji informacionim resursima. Rezultati rada su predstavljeni u formi koja je pogodna za njihovu percepciju i donošenje odluka o korekciji postojećeg sistema zaštite informacija. Štaviše, svaki informacioni resurs može biti izložen nekoliko potencijalnih prijetnji. Od fundamentalnog značaja je ukupna vjerovatnoća pristupa informacijskim resursima, koja je zbir elementarnih vjerovatnoća pristupa pojedinim tačkama prolaska informacija.

Količina informacijskog rizika za svaki resurs definira se kao proizvod vjerovatnoće napada na resurs, vjerovatnoće implementacije i prijetnje i štete od upada informacija. Ovaj proizvod može koristiti različite metode ponderiranja sastojaka.

Sumiranje rizika za sve resurse daje vrijednost ukupnog rizika za usvojenu arhitekturu IS-a i sistem sigurnosti informacija koji je u njoj implementiran.

Dakle, variranjem opcija za izgradnju sistema zaštite informacija i arhitekture IS, postaje moguće prikazati i razmotriti različite vrijednosti ukupnog rizika zbog promjene vjerovatnoće implementacije prijetnji. Ovdje je vrlo važan korak izbor jedne od opcija u skladu sa odabranim kriterijem odluke. Takav kriterijum može biti dozvoljena vrednost rizika ili odnos troškova obezbeđenja informacione bezbednosti i preostalog rizika.

Kada gradite sisteme informacione bezbednosti, takođe morate da definišete strategiju upravljanja rizikom za preduzeće.

Danas je poznato nekoliko pristupa upravljanju rizicima.

Jedan od najčešćih je smanjenje rizika korištenjem odgovarajućih metoda i sredstava zaštite. U suštini sličan je pristup povezan sa averzijom prema riziku. Poznato je da se neke klase rizika mogu izbjeći: na primjer, premještanjem web servera organizacije izvan lokalne mreže izbjegava se rizik od neovlaštenog pristupa lokalnoj mreži od strane Web klijenata.

Konačno, u nekim slučajevima, preuzimanje rizika je prihvatljivo. Ovdje je važno utvrditi sljedeću dilemu: šta je za preduzeće isplativije - nositi se sa rizicima ili sa njihovim posljedicama. U ovom slučaju potrebno je riješiti problem optimizacije.

Nakon utvrđivanja strategije upravljanja rizicima, vrši se konačna procena mera za obezbeđenje informacione bezbednosti uz izradu stručnog mišljenja o bezbednosti informacionih resursa. Stručno mišljenje uključuje sve materijale analize rizika i preporuke za njihovo smanjenje.

1.4 Metode za procjenu informacionih rizika preduzeća

U praksi se koriste različite metode procjene i upravljanja informacionim rizicima u preduzećima. Istovremeno, procjena informatičkih rizika predviđa sljedeće faze:

· Identifikacija i kvantitativna procjena informacionih resursa preduzeća značajnih za poslovanje;

· Procjena mogućih prijetnji;

· Procjena postojećih ranjivosti;

· Procjena djelotvornosti alata za sigurnost informacija.

Pretpostavlja se da su ranjivi informacioni resursi preduzeća koji su relevantni za poslovanje izloženi riziku ako za njih postoje bilo kakve pretnje. Drugim riječima, rizici karakterišu opasnost kojoj mogu biti izložene komponente korporativnog Internet/Intranet sistema. Istovremeno, informacioni rizici kompanije zavise od:

· Iz indikatora vrijednosti informacionih resursa;

· Vjerovatnoća implementacije prijetnji resursima;

· Učinkovitost postojećih ili planiranih sredstava informacione sigurnosti.

Svrha procene rizika je utvrđivanje karakteristika rizika korporativnog informacionog sistema i njegovih resursa. Kao rezultat procjene rizika, postaje moguće odabrati sredstva koja osiguravaju željeni nivo informacione sigurnosti preduzeća. Procjena rizika uzima u obzir vrijednost resursa, značaj prijetnji i ranjivosti, te efikasnost postojeće i planirane odbrane. Indikatori samih resursa, značaj prijetnji i ranjivosti, djelotvornost zaštitnih sredstava mogu se odrediti i kvantitativno, na primjer, prilikom određivanja troškovnih karakteristika, i kvalitativno, na primjer, uzimajući u obzir standardne ili izuzetno opasne abnormalne utjecaje okoline.

Mogućnost realizacije pretnje procenjuje se verovatnoćom njenog ostvarenja u datom vremenskom periodu za određeni resurs preduzeća. Istovremeno, vjerovatnoća da se prijetnja realizuje određena je sljedećim glavnim pokazateljima:

· Privlačnost resursa se koristi kada se razmatra opasnost od namjernog ljudskog uticaja;

· Mogućnost korišćenja resursa za generisanje prihoda kada se uzme u obzir pretnja od namernog ljudskog uticaja;

· Tehničke mogućnosti implementacije prijetnje se koriste u slučaju namjernog ljudskog uticaja;

· Stepen lakoće sa kojom se ranjivost može iskoristiti.

Trenutno postoji mnogo tabelarnih metoda za procjenu informacionih rizika kompanije. Važno je da osoblje sigurnosti odabere odgovarajuću metodu za sebe koja će pružiti ispravne i pouzdane ponovljive rezultate.

Kvantitativni pokazatelji informacionih resursa se preporučuju da se procenjuju na osnovu rezultata anketiranja zaposlenih u preduzeću - vlasnika informacija, odnosno službenika koji mogu da utvrde vrednost informacije, njene karakteristike i stepen kritičnosti, na osnovu stvarnih podataka. stanje stvari. Na osnovu rezultata ankete procjenjuju se indikatori i stepen kritičnosti informacionih resursa za najgori scenario do razmatranja potencijalnih uticaja na poslovne aktivnosti preduzeća u slučaju mogućeg neovlašćenog upoznavanja sa poverljivim informacijama, narušavanja njihovog integriteta. , nedostupnost u različitim periodima uzrokovana kvarovima u servisu obrade podataka sistema, pa čak i fizičkim uništenjem. Istovremeno, proces dobijanja kvantitativnih indikatora može biti dopunjen odgovarajućim metodama za procenu drugih kritičnih resursa preduzeća, uzimajući u obzir:

· Sigurnost osoblja;

· Otkrivanje privatnih informacija;

· Zahtjevi za usklađenost sa zakonima i propisima;

· Ograničenja koja proizilaze iz zakonodavstva;

· Komercijalni i ekonomski interesi;

· Finansijski gubici i poremećaji u proizvodnim aktivnostima;

· javni odnosi;

· Komercijalna politika i komercijalno poslovanje;

· Gubitak reputacije kompanije.

Nadalje, kvantitativni indikatori se koriste tamo gdje je to dozvoljeno i opravdano, a kvalitativni - gdje su kvantitativne procjene teške iz više razloga. Istovremeno, najrasprostranjenija je procjena indikatora kvaliteta pomoću skala bodova posebno dizajniranih za ove svrhe, na primjer, sa skalom od četiri tačke.

Sljedeća operacija je popunjavanje parova upitnika, u kojima se, za svaku od vrsta prijetnji i pripadajuću grupu resursa, nivoi prijetnji procjenjuju kao vjerovatnoća realizacije prijetnji, a nivoi ranjivosti kao stepen lakoće ostvarena prijetnja može dovesti do negativnog utjecaja. Procjena se vrši na kvalitativnim skalama. Na primjer, nivo prijetnji i ranjivosti se ocjenjuje na skali visoko-nisko. Potrebne informacije prikupljaju se intervjuisanjem TOP menadžera kompanije, zaposlenih u komercijalnim, tehničkim, kadrovskim i servisnim službama, obilaskom terena i analizom dokumentacije kompanije.

Zajedno sa tabelarnim metodama za procenu informacionih rizika, mogu se koristiti i savremene matematičke metode, na primer, metoda Delphi tipa, kao i specijalni automatizovani sistemi, od kojih će neki biti reči u nastavku.

Opšti algoritam procesa procjene rizika (Slika 1.3.) U ovim sistemima uključuje sljedeće faze.

· Opis objekta i mjera zaštite;

· Identifikacija resursa i procjena njegovih kvantitativnih pokazatelja (utvrđivanje potencijalnog negativnog uticaja na poslovanje);

· Analiza prijetnji informacijskoj sigurnosti;

· Procjena ranjivosti;

Procjena postojećih i predloženih sredstava

osiguranje sigurnosti informacija;

· Procjena rizika.

1.5 Upravljanje informacijskim rizikom

Trenutno je upravljanje informacionim rizikom jedno od najrelevantnijih i najdinamičnije razvijajućih oblasti strateškog i operativnog upravljanja u oblasti informacione bezbednosti. Njegov osnovni zadatak je objektivno identifikovanje i procena informacionih rizika kompanije koji su najznačajniji za poslovanje, kao i adekvatnosti kontrola rizika koje se koriste za povećanje efikasnosti i profitabilnosti privredne delatnosti preduzeća. Stoga se pod pojmom „upravljanje informacionim rizikom“ obično podrazumeva sistematski proces identifikacije, kontrole i ublažavanja informacionih rizika kompanija u skladu sa određenim ograničenjima ruskog regulatornog okvira u oblasti zaštite informacija i sopstvene politike korporativne bezbednosti.

Rice. 1.3. Algoritam procjene rizika

Upotreba informacionih sistema povezana je sa određenim skupom rizika. Kada je potencijalna šteta neprihvatljivo velika, potrebne su ekonomski opravdane mjere zaštite. Periodična (ponovna) procena rizika je neophodna da bi se pratila efikasnost bezbednosnih aktivnosti i da bi se uzele u obzir promene u okruženju.

Suština aktivnosti upravljanja rizicima je procijeniti njihovu veličinu, razviti efikasne i isplative mjere za ublažavanje rizika, a zatim osigurati da rizici budu sadržani u prihvatljivim granicama (i da tako ostanu). Shodno tome, upravljanje rizikom uključuje dvije vrste aktivnosti koje se ciklički izmjenjuju:

1) (ponovno) procena (merenje) rizika;

2) izbor efikasne i ekonomične zaštitne opreme (neutralizacija rizika).

U vezi sa identifikovanim rizicima moguće su sledeće radnje:

· Otklanjanje rizika (na primjer, uklanjanjem uzroka);

· Smanjenje rizika (na primjer, korištenjem dodatne zaštitne opreme);

Prihvatanje rizika (razvijanjem akcionog plana pod odgovarajućim uslovima):

· Preusmjeravanje rizika (na primjer, sklapanjem ugovora o osiguranju).

Proces upravljanja rizikom može se podijeliti u sljedeće faze:

1. Izbor analiziranih objekata i stepen detaljnosti njihovog razmatranja.

2. Izbor metodologije procjene rizika.

3. Identifikacija imovine.

4. Analiza prijetnji i njihovih posljedica, identifikacija ranjivosti u zaštiti.

5. Procjena rizika.

6. Izbor zaštitnih mjera.

7. Implementacija i verifikacija odabranih mjera.

8. Procjena preostalog rizika.

Faze6 i odnose se na izbor zaštitne opreme (neutralizacija rizika), ostalo - na procjenu rizika.

Već nabrajanje faza pokazuje da je upravljanje rizikom cikličan proces. U suštini, posljednji korak je izjava kraja petlje koja vam govori da se vratite na početak. Rizike je potrebno stalno pratiti, periodično ih ponovo procjenjivati. Treba napomenuti da završena i dobro dokumentovana procjena može uvelike pojednostaviti aktivnosti praćenja.

Upravljanje rizikom, kao i svaka druga aktivnost u oblasti informacione bezbednosti, treba da bude integrisano u životni ciklus IS. Tada se učinak ispostavlja najvećim, a troškovi minimalni.

Upravljanje rizikom se mora provoditi u svim fazama životnog ciklusa informacionog sistema: pokretanje-razvoj-instalacija, rad-odlaganje (prestanak rada).

U početnoj fazi treba uzeti u obzir poznate rizike kada se razvijaju zahtjevi za sistem općenito i sigurnosnu opremu posebno.

U fazi razvoja, poznavanje rizika pomaže u odabiru odgovarajućih arhitektonskih rješenja, koja igraju ključnu ulogu u osiguranju sigurnosti.

Tokom faze instalacije, identifikovane rizike treba uzeti u obzir prilikom konfigurisanja, testiranja i verifikacije prethodno formulisanog

zahtjevima, a pun ciklus upravljanja rizicima treba da prethodi puštanju sistema u rad.

Tokom operativne faze, upravljanje rizikom treba da prati sve značajne promjene u sistemu.

Kada se sistem stavlja iz pogona, upravljanje rizikom pomaže da se osigura da se podaci migriraju na bezbedan način.

Poglavlje II. Standardi sigurnosti informacija

2.1 Preduslovi za kreiranje standarda bezbednosti informacija

Revizija informacione sigurnosti zasniva se na korištenju brojnih preporuka, koje su uglavnom navedene u međunarodnim standardima informacione sigurnosti.

U posljednje vrijeme jedan od rezultata revizije sve više postaje certifikat kojim se potvrđuje usklađenost ispitivanog IP-a sa određenim priznatim međunarodnim standardom. Prisustvo takvog certifikata omogućava organizaciji da dobije konkurentske prednosti povezane s većim povjerenjem kupaca i partnera.

Upotreba standarda doprinosi rješavanju sljedećih pet zadataka.

Prvo, striktno su definisani ciljevi osiguranja informacione sigurnosti računarskih sistema. Drugo, stvara se efikasan sistem upravljanja sigurnošću informacija. Treće, omogućava izračunavanje skupa detaljnih ne samo kvalitativnih, već i kvantitativnih indikatora za procjenu usklađenosti informacione sigurnosti sa navedenim ciljevima. Četvrto, stvaraju se uslovi za korišćenje postojećih alata (softvera) za obezbeđivanje bezbednosti informacija i procenu njihovog trenutnog stanja. Peto, postaje moguće koristiti tehnike upravljanja bezbednošću sa dobro utemeljenim sistemom metrike i merama podrške za programere informacionih sistema.

Od ranih 1980-ih stvoreno je na desetine međunarodnih i nacionalnih standarda u oblasti informacione sigurnosti, koji se u određenoj mjeri dopunjuju. U nastavku će se razmatrati najpoznatiji standardi za hronologiju njihovog stvaranja:

1) Kriterijum za ocenu pouzdanosti računarskih sistema "Orange Book" (SAD);

2) Harmonizovani kriterijumi evropskih zemalja;

4) nemački standard BSI;

5) Britanski standard BS 7799;

6) standard ISO 17799;

7) Standard "Opšti kriterijumi" ISO 15408;

8) COBIT Standard

Ovi standardi se mogu podijeliti u dvije vrste:

· Standardi evaluacije u cilju klasifikacije informacionih sistema i mjera sigurnosti prema zahtjevima sigurnosti;

· Tehničke specifikacije koje regulišu različite aspekte sprovođenja bezbednosnih kontrola.

Važno je napomenuti da između ovih vrsta regulatornih dokumenata nema praznog zida. Standardi evaluacije ističu najvažnije, sa stanovišta informacione sigurnosti, aspekte IS-a, koji igraju ulogu arhitektonskih specifikacija. Ostale tehničke specifikacije definiraju kako izgraditi IS propisane arhitekture.

2.2 Standard "Kriterijumi za procjenu pouzdanosti računarskih sistema" (Orange Book)

Istorijski gledano, „Kriterijumi za procenu pouzdanih kompjuterskih sistema“ Ministarstva odbrane SAD postali su prvi standard za procenu koji je postao široko rasprostranjen i imao ogroman uticaj na osnovu standardizacije bezbednosti informacija u mnogim zemljama.

Ovo djelo, koje se najčešće naziva "Narandžasta knjiga" zbog boje korica, prvi put je objavljeno u avgustu 1983. godine. Samo njegovo ime zahtijeva komentar. Ne govorimo o sigurnim, već o pouzdanim sistemima, odnosno sistemima kojima se može dati određeni stepen povjerenja.

Orange Book pojašnjava koncept sigurnog sistema koji "upravlja, na odgovarajuća sredstva, pristup informacijama tako da samo propisno ovlaštene osobe ili procesi koji djeluju u njihovo ime imaju pravo čitati, pisati, kreirati i brisati informacije."

Očigledno je, međutim, da apsolutno sigurni sistemi ne postoje, ovo je apstrakcija. Ima smisla procijeniti samo stepen povjerenja koji se može dati određenom sistemu.

Orange Book definiše pouzdani sistem kao “sistem koji koristi dovoljno hardvera i softvera da omogući grupi korisnika da istovremeno obrađuje informacije različitog stepena tajnosti bez kršenja prava pristupa.”

Treba napomenuti da se u razmatranim kriterijumima i sigurnost i povjerenje ocjenjuju isključivo sa stanovišta kontrole pristupa podacima, što je jedno od sredstava osiguranja povjerljivosti i integriteta informacija. Međutim, Orange Book ne rješava probleme pristupačnosti.

Stepen povjerenja se ocjenjuje prema dva glavna kriterija.

1. Sigurnosna politika – skup zakona, pravila i kodeksa ponašanja koji regulišu način na koji organizacija obrađuje, štiti i širi informacije. Konkretno, pravila određuju u kojim slučajevima korisnik može raditi na određenim skupovima podataka. Što je veći stepen povjerenja u sistem, to bi sigurnosna politika trebala biti stroža i raznovrsnija. Ovisno o formuliranoj politici, možete odabrati određene sigurnosne mehanizme. Sigurnosna politika je aktivan aspekt zaštite, uključujući analizu mogućih prijetnji i izbor protumjera.

2. Nivo sigurnosti je mjera povjerenja koja se može pružiti arhitekturi i implementaciji IS-a. Povjerenje u sigurnost može proizaći i iz analize rezultata testiranja i iz verifikacije (formalne ili ne) cjelokupnog dizajna i implementacije sistema u cjelini i njegovih pojedinačnih komponenti. Nivo sigurnosti pokazuje koliko su ispravni mehanizmi odgovorni za implementaciju sigurnosne politike. Ovo je pasivni aspekt odbrane.

Mehanizam odgovornosti (logiranja) je definisan kao glavna sigurnosna mjera. Pouzdani sistem mora zabilježiti sve sigurnosne događaje. Vođenje evidencije treba da bude dopunjeno revizijom, odnosno analizom podataka o registraciji. Koncept pouzdane računarske baze je centralni za procjenu stepena sigurnosnog povjerenja. Trusted Computing Base je kolekcija sigurnosnih mehanizama IC (uključujući hardver i softver) koji su odgovorni za provođenje sigurnosnih politika. Kvalitet računarske baze određuje se isključivo njenom implementacijom i ispravnošću početnih podataka koje je unio administrator sistema.

Komponentama koje se razmatraju izvan računske baze možda nema povjerenja, ali to ne bi trebalo utjecati na sigurnost sistema u cjelini. Kao rezultat toga, autori standarda preporučuju razmatranje samo njegove računske baze za procjenu povjerenja u sigurnost IS-a.

Osnovna svrha pouzdane računarske baze je da obavlja funkcije referentnog monitora, odnosno da kontroliše prihvatljivost određenih operacija nad objektima (pasivnim entitetima) od strane subjekata (korisnika). Monitor provjerava konzistentnost pristupa svakog korisnika programima ili podacima sa skupom radnji koje je korisniku dozvoljeno.

Monitor pogodaka mora imati tri kvalitete:

Izolacija. Neophodno je spriječiti mogućnost praćenja monitora.

Kompletnost. Monitor treba pozvati na svaki poziv, ne bi trebalo postojati način da ga se zaobiđe.

Provjerljivost. Monitor mora biti kompaktan kako bi se mogao analizirati i testirati s povjerenjem u potpunost testiranja.

Implementacija referentnog monitora naziva se sigurnosni kernel. Sigurnosno jezgro je temelj na kojem su izgrađeni svi odbrambeni mehanizmi. Pored gore navedenih svojstava referentnog monitora, kernel mora garantirati vlastitu nepromjenjivost.

Granica pouzdane računarske baze naziva se sigurnosni perimetar. Kao što je napomenuto, komponentama izvan sigurnosnog perimetra općenito se ne može vjerovati. Sa razvojem distribuiranih sistema, konceptu "sigurnosnog perimetra" se sve više pridaje drugačije značenje, što znači granicu vlasništva određene organizacije. Ono što je unutar posjeda smatra se pouzdanim, a ono što je izvan nije.

Prema Orange Book, sigurnosna politika mora nužno uključivati sljedeće elemente:

· Arbitrarna kontrola pristupa;

· Sigurnost ponovne upotrebe predmeta;

· Sigurnosne naljepnice;

· Prisilna kontrola pristupa.

Proizvoljna kontrola pristupa je metoda razlikovanja pristupa objektima na osnovu računa identiteta subjekta ili grupe kojoj subjekt pripada. Arbitrarnost kontrole je u tome što određena osoba (najčešće vlasnik objekta) može po svom nahođenju dodijeliti drugim subjektima ili im oduzeti prava pristupa objektu.

Sigurnost ponovne upotrebe objekata važan je dodatak kontrolama pristupa kako bi se spriječilo slučajno ili namjerno izvlačenje povjerljivih informacija iz smeća. Sigurnost ponovne upotrebe mora biti zagarantovana za područja memorije sa slučajnim pristupom (posebno za bafere sa slikama ekrana, dešifrovane lozinke, itd.), za disk blokove i magnetne medije općenito.

2.3 Njemački BSI standard

Njemačka je 1998. objavila "Vodič za sigurnost informacionih tehnologija za osnovni nivo". Priručnik je hipertekst od oko 4 MB (u HTML formatu). Kasnije je formaliziran u obliku njemačkog BSI standarda. Zasnovan je na opštoj metodologiji i komponentama upravljanja sigurnošću informacija:

· Opšti način upravljanja bezbednošću informacija (organizacija upravljanja u oblasti informacione bezbednosti, metodologija korišćenja priručnika).

· Opisi komponenti moderne informacione tehnologije.

· Glavne komponente (organizacijski nivo informacione sigurnosti, proceduralni nivo, organizacija zaštite podataka, planiranje akcija u vanrednim situacijama).

· Infrastruktura (zgrade, prostorije, kablovske mreže, organizacija daljinskog pristupa).

· Klijentske komponente raznih tipova (DOS, Windows, UNIX, mobilne komponente, drugi tipovi).

· Mreže različitih tipova (point-to-point veze, Novell NetWare mreže, mreže sa OC ONIX i Windows, heterogene mreže).

· Elementi sistema za prenos podataka (e-mail, modemi, firewall, itd.).

· Telekomunikacije (faksovi, telefonske sekretarice, integrisani sistemi bazirani na ISDN-u, drugi telekomunikacioni sistemi).

· Standardni softver.

· Baza podataka.

· Opisi glavnih komponenti organizacije režima informacione bezbednosti (organizacijski i tehnički nivoi zaštite podataka, planiranje vanrednih situacija, podrška kontinuitetu poslovanja).

· Karakteristike objekata informatizacije (zgrade, prostorije, kablovske mreže, kontrolisane površine).

· Karakteristike glavne informacione imovine kompanije (uključujući hardver i softver, kao što su radne stanice i serveri koji koriste DOS, Windows i UNIX operativne sisteme).

· Karakteristike računarskih mreža zasnovanih na različitim mrežnim tehnologijama, kao što su Novell Net Ware mreže, UNIX i Windows mreže).

· Karakteristike aktivne i pasivne telekomunikacione opreme vodećih proizvođača, kao što je Cisco Systems.

· Detaljni katalozi sigurnosnih prijetnji i mjera kontrole (više od 600 artikala u svakom katalogu).

Sve vrste prijetnji u BSI standardu podijeljene su u sljedeće klase:

· Viša sila.

· Nedostatak organizacionih mjera.

· Ljudske greške.

· Tehnički problemi.

· Namjerne radnje.

Protumjere se slično klasificiraju:

· Unapređenje infrastrukture;

· Administrativne protivmjere;

· Proceduralne protumjere;

· Softverske i tehničke protumjere;

· Smanjenje ranjivosti komunikacija; planiranje za vanredne situacije.

Sve komponente se razmatraju i opisuju prema sljedećem planu:

1) opšti opis;

2) mogući scenariji bezbednosnih pretnji (lista pretnji koje se primenjuju na ovu komponentu iz kataloga bezbednosnih pretnji);

3) moguće kontramere (navodi pretnje iz kataloga bezbednosnih pretnji koje se primenjuju na ovu komponentu);

2.4 Britanski standard BS 7799

Britanski institut za standarde (BSI), uz učešće komercijalnih organizacija kao što su Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica, itd., razvio je standard informacione sigurnosti koji je usvojen 1995. kao nacionalni standard BS 7799 upravljanje bezbednošću informacija organizacije bez obzira na delokrug kompanije.

U skladu sa ovim standardom, svaka služba obezbeđenja, IT odeljenje, menadžment kompanije moraju početi sa radom u skladu sa opštim propisima. Nije bitno da li se radi o zaštiti papirnih dokumenata ili elektronskih podataka. Trenutno je britanski standard BS 7799 podržan u 27 zemalja svijeta, uključujući zemlje Britanskog Commonwealtha, kao i, na primjer, Švedsku i Holandiju. 2000. godine Međunarodni institut za standarde ISO, zasnovan na britanskom BS 7799, razvio je i izdao međunarodni standard za upravljanje sigurnošću ISO/IEC 17799.

Stoga se danas može tvrditi da su BS 7799 i ISO 17799 jedan te isti standard, koji danas ima svjetsko priznanje i status međunarodnog ISO standarda.

Istovremeno, treba istaći originalni sadržaj standarda BS 7799, koji se još uvijek koristi u velikom broju zemalja. Ima dva dijela.

· Sigurnosna politika.

· Organizacija zaštite.

· Klasifikacija i upravljanje informacionim resursima.

· Upravljanje osobljem.

· Fizička sigurnost.

· Administracija kompjuterskih sistema i mreža.

· Kontrolisanje pristupa sistemima.

· Razvoj i održavanje sistema.

· Planiranje nesmetanog rada organizacije.

· Provjera usklađenosti sistema sa zahtjevima IS-a.

Dio 2: Specifikacije sistema (1998) bavi se istim tim aspektima sa stanovišta certifikacije informacionog sistema za usklađenost sa zahtjevima standarda.

Definiše moguće funkcionalne specifikacije korporativnih sistema upravljanja bezbednošću informacija sa stanovišta njihove verifikacije usklađenosti sa zahtevima prvog dela ovog standarda. U skladu sa odredbama ovog standarda uređuje se i postupak revizije informacionih korporativnih sistema.

· Upravljanje sigurnošću informacija: uvod.

· Mogućnosti za sertifikaciju za zahtjeve BS 7799 -Priprema za BS 7799 sertifikaciju.

· Vodič za BS 7799 procjenu rizika i upravljanje rizikom.

· Da li ste spremni za BS 7799 reviziju - Da li ste spremni za BS 7799 reviziju?

· Vodič za reviziju za zahtjeve standarda - BS 7799 Vodič za BS 7799 reviziju.

Danas je međunarodni komitet Zajednički tehnički komitet ISO/IEC JTC 1 zajedno sa Britanskom institucijom za standarde (BSI), a posebno UKAS servisom (Ujedinjeno Kraljevstvo Akreditovana služba). Navedena služba akredituje organizacije za reviziju bezbednosti informacija u skladu sa BS ISO / IEC 7799: 2000 (BS 7799-1: 2000). Sertifikati koje izdaju ova tijela su priznati u mnogim zemljama.

Imajte na umu da u slučaju sertifikacije kompanije prema ISO 9001 ili ISO 9002 standardima, BS ISO / IEC 7799: 2000 (BS 7799-1: 2000) standard vam omogućava da kombinujete sertifikaciju sistema bezbednosti informacija sa sertifikacijom za usklađenost sa ISO 9001 ili standarda 9002 kao u početnoj fazi i tokom kontrolnih provjera. Za to je potrebno ispuniti uslov učešća u kombinovanoj sertifikaciji registrovanog revizora prema BS ISO / IEC 7799: 2000 (BS 7799-1: 2000). Istovremeno, zajednički planovi testiranja treba da jasno naznače procedure za reviziju sistema informacione bezbednosti, a autoriteti za sertifikaciju treba da obezbede da revizije bezbednosti informacija budu temeljno revidirane.

2.5 Međunarodni standard ISO 17799

Jedan od najrazvijenijih i najšire korištenih u svim zemljama svijeta je međunarodni standard ISO 17799:

Kodeks prakse za upravljanje sigurnošću informacija, usvojen 2000. godine. ISO 17799 razvijen je iz britanskog standarda BS 7799.

ISO 17799 se može koristiti kao kriterijum za procenu bezbednosnih mehanizama na organizacionom nivou, uključujući administrativne, proceduralne i fizičke zaštite.

Osnovna pravila su podijeljena u sljedećih 10 dijelova:

1. Sigurnosna politika.

2. Organizacija zaštite.

3. Klasifikacija resursa i njihova kontrola.

4. Sigurnost osoblja.

5. Fizička sigurnost.

6. Administracija računarskih sistema i računarskih mreža.

7. Kontrola pristupa.

8. Razvoj i održavanje informacionih sistema.

9. Planiranje nesmetanog rada organizacije.

10. Nadgledanje usklađenosti sa zahtjevima sigurnosne politike.

Deset kontrola predloženih u ISO 17799 (identificiranih kao ključne) smatraju se posebno važnima. Kontrole se u ovom kontekstu shvataju kao mehanizmi za upravljanje bezbednošću informacija organizacije.

Neke od kontrola, kao što je šifrovanje podataka, mogu zahtevati bezbednosne savete i procenu rizika kako bi se utvrdilo da li su potrebne i kako ih treba primeniti. Kako bi se obezbijedio viši nivo zaštite za posebno vrijedne resurse ili kako bi se suprotstavili posebno ozbiljnim sigurnosnim prijetnjama, u nekim slučajevima mogu biti potrebne jače kontrole koje nadilaze opseg ISO 17799.

Sljedeće kontrole su ključne:

· Dokument o politici informacione sigurnosti;

· Raspodjela odgovornosti za osiguranje informacione sigurnosti;

· Edukacija i obuka osoblja za održavanje režima informacione sigurnosti;

· Obavještavanje o slučajevima kršenja zaštite;

· Sredstva za zaštitu od virusa;

Slični dokumenti

Zadaci koji se rješavaju tokom revizije sigurnosti informacionog sistema. Faze stručne revizije. Test penetracije (pentest) u informacioni sistem: objekti, faze. Ciljevi revizije web aplikacija. Revizija usklađenosti sa standardima.

izvještaj o praksi, dodan 22.09.2011

Doktrina informacione sigurnosti Ruske Federacije. Provjera informacionih sistema koje koristi kompanija uz naknadnu procjenu rizika od kvarova u njihovom funkcionisanju. Zakon o ličnim podacima. Podjela aktivne revizije na eksternu i internu.

prezentacija dodata 27.01.2011

Koncept revizije informacionih sistema, njegovi objekti. Rizici povezani sa informacionim sistemom subjekta revizije, njihova klasifikacija i indikatori procjene. Smanjenje rizika pri reviziji informacionih sistema. Izvori potencijalnih opasnosti.

članak dodan 12/05/2013

Glavni pravci aktivnosti u oblasti revizije bezbednosti informacija su provera usklađenosti organizacije i efikasnosti zaštite informacija sa utvrđenim zahtevima i/ili standardima. Faze stručne revizije. Koncept revizije dodijeljenih prostorija.

predavanje dodato 10.08.2013

Metodološke osnove revizije. Metode za organizovanje revizija. Klasifikacija metoda revizije. Vrste i izvori njihovog prijema. Metodološki pristupi tehnikama revizije. Regulatorne metode revizije.

seminarski rad, dodan 17.06.2008

Ciljevi revizije kvaliteta. Faze interne revizije. Osiguravanje kompletnosti revizije. Tehnologija revizije sistema kvaliteta. Klasifikacija neusaglašenosti prema njihovoj važnosti. Grupni sastanci angažovanja. Prateće radnje nakon revizije.

sažetak, dodan 26.03.2014

Pojam i vrste revizije. Sadržaj ukupnog plana i programa revizije. Dokumentovanje i priprema sveukupnog plana revizije. Provjera sastavljanja finansijskih izvještaja. Revizija ispravnosti poreske politike preduzeća.

seminarski rad, dodan 04.12.2011

Organizacija informacione infrastrukture. Analiza stepena informatizacije obrazovnih institucija. Problemi, ciljevi i metode revizije IT infrastrukture. Analiza nivoa licenciranja softvera u obrazovnoj ustanovi.

seminarski rad, dodan 09.08.2012

Teorijski aspekti revizije osnovnih sredstava. Koncept revizije i postupak njenog sprovođenja za osnovna sredstva. Primarna dokumenta za verifikaciju osnovnih sredstava. Primjeri revizije i zakonskog okvira. Pregled metoda revizije osnovnih sredstava.

teza, dodana 01.09.2008

Kontrola kvaliteta interne revizije. Uslovi za osiguranje internog kvaliteta rada tokom revizije. Oblik i sadržaj internih standarda revizorske organizacije: lista standarda, odredbe o metodologiji revizije.

U savremenom svijetu informacioni sistemi (IS) igraju ključnu ulogu u osiguravanju efikasnosti komercijalnih i državnih organizacija. IC se koriste za pohranjivanje, obradu i prijenos informacija. Svakim danom raste broj vanjskih i internih prijetnji informacionoj sigurnosti (IS), što može dovesti do značajnih finansijskih i reputacijskih gubitaka.

Revizija informacione bezbednosti (IS) je izuzetno važan proces koji vam omogućava da dobijete objektivne informacije o trenutnom stanju alata za bezbednost informacija u preduzeću, procenite stepen zaštite podataka i IT sistema, njihovu usklađenost sa određenim zahtevima i kriterijumima. IS revizija se sprovodi kako kao prva faza u implementaciji rješenja za informatičku sigurnost, tako iu nekim slučajevima i van projekta, kada je potrebna nezavisna procjena stvarne sigurnosti sistema. Revizija omogućava da se unaprijed identifikuju prijetnje i problemi u cilju daljeg utvrđivanja metoda za njihovo otklanjanje, a može značajno povećati nivo sigurnosti i usklađenost zaštitnih alata sa stvarnim poslovnim potrebama. Dakle, prema mišljenju stručnjaka, provođenje neplaniranih revizija može uštedjeti do 20% vremena i 15% materijalnih resursa za sigurnost informacija, određivanje tačaka primjene napora i optimalnih rješenja.

Na osnovu postavljanja ciljeva, AST pruža usluge za provođenje tri glavne vrste revizije sigurnosti informacija:

Stručna revizija, u okviru koje se ocjenjuje postojeće stanje sistema i zaštitnih sredstava, utvrđuju nedostaci i ranjivosti.
Revizija usklađenosti, kojom se ocjenjuje usklađenost sigurnosnih kontrola sa potrebnim međunarodnim i industrijskim standardima.
Testiranje penetracije, tokom kojeg se simuliraju radnje napadača u cilju uspješnog napada. Svrha takve revizije je povećanje sigurnosti identifikacijom i eliminacijom stvarnih vektora napada.

Revizija se provodi u nekoliko faza:

Definiranje ciljeva projekta. Prikupljaju se početne informacije o zaštićenim objektima, informacije i kriterijumi evaluacije, preduzimaju se organizacione radnje za pripremu revizije.
Dogovor o uslovima i granicama penetracionog testiranja (eksterno/interno, whitebox/blackbox, tajming/vreme, granice uranjanja i drugi važni parametri)
Anketa i obrada rezultata. Prikupljanje celokupnog kompleksa podataka o resursima, sistemima sredstava zaštite, organizacionim merama u oblasti informacione bezbednosti itd. Na osnovu rezultata izrađuje se konsolidovano izvještavanje koje čini osnovu za provođenje analize rizika, analizu usklađenosti sa zahtjevima i izradu preporuka.
Provođenje ručnog testiranja penetracije.
Analiza rizika. Sveobuhvatan postupak za procjenu nivoa sigurnosti informacionih sistema, uzimajući u obzir i date informacije i rezultate testiranja penetracije (stvarni vektori napada). Procedura predviđa razvoj modela prijetnje i modela uljeza.
Analiza usklađenosti sa standardima i zahtjevima standarda i regulatornih dokumenata. Kao rezultat, ili se potvrđuje usklađenost, ili se u fazi izrade preporuka određuju načini za fino podešavanje sistema informacione bezbednosti na potreban nivo bezbednosti.
Izrada preporuka. Oni se zasnivaju na čitavom kompleksu informacija, analitike i zaključaka dobijenih kao rezultat ankete. Preporuke pokrivaju čitav niz neophodnih organizacionih i tehničkih mjera za osiguranje potrebnog nivoa sigurnosti informacija.

Objekti IS revizije mogu biti kako pojedinačne komponente IT sistema i infrastrukture kompanije, tako i čitav kompleks IT rješenja koja sadrže informacije koje su podložne zaštiti.