چه کسی طرح ممیزی امنیت اطلاعات را تهیه می کند. مفهوم ممیزی امنیتی و هدف از اجرای آن

ممیزی امنیت اطلاعات نه تنها می تواند به بانک حق انجام انواع خاصی از فعالیت ها را بدهد، بلکه نقاط ضعف سیستم های بانک را نیز آشکار می کند. بنابراین لازم است در تصمیم گیری برای انجام و انتخاب شکل حسابرسی دقت شود.

طبق قانون فدرال 30 دسامبر 2008 شماره 307-FZ "در مورد فعالیت های حسابرسی"، حسابرسی عبارت است از "تأیید مستقل از صورت های حسابداری (مالی) یک واحد حسابرسی شده به منظور اظهار نظر در مورد قابلیت اطمینان چنین مواردی. بیانیه." این عبارت ذکر شده در این قانون ربطی به امنیت اطلاعات ندارد. با این حال، این اتفاق افتاد که متخصصان امنیت اطلاعات کاملاً فعالانه از آن در سخنرانی خود استفاده می کنند. در این حالت، ممیزی به فرآیند ارزیابی مستقل فعالیت های یک سازمان، سیستم، فرآیند، پروژه یا محصول اطلاق می شود. در عین حال، باید درک کرد که در مقررات داخلی مختلف از اصطلاح "ممیزی امنیت اطلاعات" همیشه استفاده نمی شود - اغلب با عبارت "ارزیابی انطباق" یا اصطلاح کمی قدیمی، اما همچنان استفاده می شود "تصدیق" جایگزین می شود. . گاهی اوقات از اصطلاح "گواهینامه" نیز استفاده می شود، اما در رابطه با مقررات بین المللی خارجی. ممیزی امنیت اطلاعات یا برای تأیید انطباق با مقررات یا برای تأیید اعتبار و امنیت راه حل های اعمال شده انجام می شود. اما از هر اصطلاحی که استفاده شود، در واقع ممیزی امنیت اطلاعات یا برای تایید اجرای مقررات و یا برای تایید اعتبار و امنیت راه حل های کاربردی انجام می شود. در حالت دوم، حسابرسی داوطلبانه است و تصمیم گیری برای انجام آن توسط خود سازمان گرفته می شود. در مورد اول، امتناع از انجام ممیزی غیرممکن است، زیرا این مستلزم نقض الزامات تعیین شده توسط مقررات نظارتی است که منجر به مجازات در قالب جریمه، تعلیق فعالیت ها یا سایر اشکال مجازات می شود. اگر ممیزی اجباری باشد، می‌تواند هم توسط خود سازمان انجام شود، مثلاً به صورت خودارزیابی (البته در این مورد دیگر صحبتی از «استقلال» نیست و اصطلاح «حسابرسی» وجود ندارد. استفاده در اینجا کاملاً صحیح است) و توسط سازمان های مستقل خارجی - حسابرسان. گزینه سوم برای انجام حسابرسی قانونی، کنترل توسط نهادهای نظارتی است که حق انجام فعالیت های نظارتی مناسب را دارند. این گزینه اغلب نه ممیزی، بلکه یک چک بازرسی نامیده می شود. از آنجایی که حسابرسی داوطلبانه می تواند کاملاً به هر دلیلی (برای بررسی امنیت سیستم بانکداری از راه دور، کنترل دارایی های یک بانک خریداری شده، بررسی شعبه تازه افتتاح شده و غیره) انجام شود، ما این گزینه را در نظر نخواهیم گرفت. در این مورد، نمی توان به وضوح مرزهای آن را ترسیم کرد، یا اشکال گزارش آن را توصیف کرد، یا در مورد منظم بودن صحبت کرد - همه اینها با توافق بین حسابرس و سازمان حسابرسی شده تصمیم گیری می شود. بنابراین، ما فقط اشکال حسابرسی اجباری ذاتی بانک ها را در نظر خواهیم گرفت.

استاندارد بین المللی ISO 27001

گاهی اوقات می توانید در مورد یک بانک خاص بشنوید که برای مطابقت با الزامات استاندارد بین المللی "ISO / IEC 27001: 2005" تحت حسابرسی قرار می گیرد (همتای کامل روسی آن "GOST R ISO / IEC 27001-2006 - فناوری اطلاعات - روش ها و ابزارها" است. امنیت اطلاعات سیستم های مدیریت - الزامات"). در واقع این استاندارد مجموعه ای از بهترین روش ها برای مدیریت امنیت اطلاعات در سازمان های بزرگ است (سازمان های کوچک از جمله بانک ها همیشه قادر به رعایت کامل الزامات این استاندارد نیستند). مانند هر استاندارد دیگری در روسیه، ISO 27001 یک سند کاملاً داوطلبانه است که هر بانک تصمیم می گیرد آن را بپذیرد یا نپذیرد. اما ISO 27001 استاندارد دوفاکتو در سراسر جهان است و متخصصان بسیاری از کشورها از این استاندارد به عنوان نوعی زبان جهانی استفاده می کنند که باید در هنگام برخورد با امنیت اطلاعات رعایت شود. در ISO 27001 نیز چندین نکته نه چندان واضح و نه چندان واضح وجود دارد. با این حال، ISO 27001 همچنین دارای چند نکته کمتر آشکار و کمتر ذکر شده است. اولاً، نه کل سیستم امنیت اطلاعات یک بانک، بلکه فقط یک یا چند جزء آن طبق این استاندارد مورد حسابرسی قرار می گیرد. به عنوان مثال، سیستم حفاظت بانکی از راه دور، سیستم حفاظت از دفتر مرکزی بانک یا سیستم حفاظت از فرآیند مدیریت پرسنل. به عبارت دیگر، اخذ گواهی انطباق برای یکی از فرآیندهای ارزیابی شده به عنوان بخشی از حسابرسی تضمین نمی کند که سایر فرآیندها در همان وضعیت نزدیک به ایده آل هستند. نکته دوم مربوط به این است که ISO 27001 یک استاندارد جهانی است، یعنی برای هر سازمانی قابل اجرا است و بنابراین ویژگی های یک صنعت خاص را در نظر نمی گیرد. این امر منجر به این واقعیت شده است که در چارچوب سازمان بین المللی استاندارد ISO، مدت ها صحبت از ایجاد استاندارد ISO 27015 شده است که توسعه ایزو 27001/27002 به صنعت مالی است. بانک روسیه نیز در توسعه این استاندارد مشارکت فعال دارد. اما ویزا و مسترکارت مخالف پیش نویس این استاندارد هستند که قبلا توسعه یافته است. اولی معتقد است که پیش نویس استاندارد حاوی اطلاعات بسیار کمی است که برای صنعت مالی لازم است (مثلاً در مورد سیستم های پرداخت) و اگر در آنجا اضافه شود، استاندارد باید به کمیته ISO دیگری منتقل شود. مسترکارت همچنین پیشنهاد می کند که توسعه ISO 27015 متوقف شود، اما انگیزه متفاوت است - آنها می گویند، در صنعت مالی، اسنادی که موضوع امنیت اطلاعات را تنظیم می کنند، در حال حاضر بسیار پر هستند. ثالثاً، توجه به این واقعیت ضروری است که بسیاری از پیشنهادات موجود در بازار روسیه از ممیزی انطباق صحبت نمی کنند، بلکه از آمادگی برای ممیزی صحبت می کنند. واقعیت این است که تنها تعداد کمی از سازمان ها در جهان حق دارند که مطابقت با الزامات ISO 27001 را تأیید کنند. یکپارچه‌کننده‌ها فقط به شرکت‌ها کمک می‌کنند تا الزامات استاندارد را برآورده کنند، که سپس توسط حسابرسان رسمی تأیید می‌شود (به آن‌ها ثبت‌کننده، نهادهای صدور گواهی و غیره نیز گفته می‌شود). در حالی که بحث در مورد اینکه آیا بانک ها باید ISO 27001 را اجرا کنند یا خیر ادامه دارد، برخی از افراد شجاع به دنبال آن هستند و 3 مرحله ممیزی انطباق را پشت سر می گذارند:

• مطالعه غیررسمی اولیه توسط حسابرس اسناد اصلی (هم در قلمرو مشتری حسابرسی و هم در خارج از آن).
• ممیزی رسمی و عمیق تر اقدامات حفاظتی اجرا شده، ارزیابی اثربخشی آنها و مطالعه مستندات لازم تدوین شده. این مرحله معمولاً با تأیید انطباق به پایان می رسد و حسابرس گواهی مناسب را صادر می کند که در سراسر جهان به رسمیت شناخته شده است.
• انجام سالانه ممیزی نظارتی برای تأیید گواهی انطباق که قبلاً به دست آمده است.

چه کسی در روسیه به ISO 27001 نیاز دارد؟ اگر این استاندارد را نه تنها به عنوان مجموعه‌ای از بهترین روش‌ها که می‌توان بدون گذراندن حسابرسی اجرا کرد، بلکه به‌عنوان یک فرآیند صدور گواهینامه که نشان‌دهنده تأیید انطباق بانک با الزامات امنیتی شناخته‌شده بین‌المللی است، در نظر بگیریم، در آن صورت اجرای ISO 27001 منطقی است. بانک‌هایی که عضو گروه‌های بانکی بین‌المللی هستند که استاندارد ISO 27001 آنها است یا بانک‌هایی که قصد ورود به عرصه بین‌المللی را دارند. در سایر موارد ممیزی انطباق با ISO 27001 و اخذ گواهی به نظر من ضروری نیست. اما فقط برای بانک و فقط در روسیه. و همه به این دلیل است که ما استانداردهای خود را داریم که بر اساس ISO 27001 ساخته شده اند. بازرسی های عملی بانک روسیه تا همین اواخر دقیقاً مطابق با الزامات STO BR IBBS انجام می شد.

مجموعه اسناد بانک روسیه STO BR IBBS

چنین استاندارد یا بهتر بگوییم مجموعه ای از استانداردها مجموعه ای از اسناد بانک روسیه است که با در نظر گرفتن الزامات قانون روسیه رویکردی واحد برای ایجاد یک سیستم امنیت اطلاعات برای سازمان های بانکی را توصیف می کند. این مجموعه از اسناد (از این پس STO BR IBBS)، شامل سه استاندارد و پنج توصیه برای استانداردسازی، بر اساس ISO 27001 و تعدادی دیگر از استانداردهای بین المللی برای مدیریت فناوری اطلاعات و امنیت اطلاعات است. مسائل ممیزی و ارزیابی انطباق با الزامات استاندارد، و همچنین برای ISO 27001، در اسناد جداگانه - "STO BR IBBS-1.1-2007" تجویز می شود. ممیزی امنیت اطلاعات، "STO BR IBBS-1.2-2010. روش ارزیابی انطباق امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه با الزامات STO BR IBBS-1.0-2010 "و" RS BR IBBS-2.1-2007. راهنمای خود ارزیابی انطباق امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه با الزامات STO BR IBBS-1.0. در طی ارزیابی انطباق طبق STO BR IBBS، تحقق 423 شاخص IS خاص، که در 34 شاخص گروه گروه بندی شده اند، بررسی می شود. نتیجه ارزیابی، شاخص نهایی است که باید در سطح 4 یا 5 در مقیاس پنج نقطه ای ایجاد شده توسط بانک روسیه باشد. این، به هر حال، حسابرسی طبق STO BR IBBS را بسیار متفاوت از حسابرسی طبق سایر اقدامات نظارتی در زمینه امنیت اطلاعات می کند. در STO BR IBBS هیچ تناقضی وجود ندارد، فقط سطح انطباق می تواند متفاوت باشد: از صفر تا پنج. و فقط سطوح بالای 4 مثبت تلقی می شوند. تا پایان سال 2011، حدود 70 تا 75 درصد از بانک ها این مجموعه استانداردها را اجرا کرده و یا در حال اجرای آن هستند. علیرغم همه چیز، آنها ماهیت مشاوره ای قانونی دارند، اما چک های بازرسی عملی بانک روسیه تا همین اواخر دقیقاً مطابق با الزامات STO BR IBBS انجام می شد (اگرچه این هرگز به صراحت در هیچ کجا بیان نشده است). وضعیت از 1 ژوئیه 2012، زمانی که قانون "در مورد سیستم پرداخت ملی" و اسناد نظارتی دولت روسیه و بانک روسیه برای اجرای آن به اجرا درآمد، تغییر کرده است. از آن زمان، موضوع لزوم ممیزی تطابق با الزامات STO BR IBBS دوباره در دستور کار قرار گرفت. واقعیت این است که روش ارزیابی انطباق پیشنهاد شده در چارچوب قانون سیستم پرداخت ملی (NPS) و روش ارزیابی انطباق با STO BR IBBS می تواند در مقادیر نهایی بسیار متفاوت باشد. در همان زمان، ارزیابی طبق روش اول (برای NPS) اجباری شد، در حالی که ارزیابی بر اساس STO BR IBBS هنوز قانونی توصیه می شود. و در زمان نگارش این مقاله، خود بانک روسیه هنوز تصمیمی در مورد سرنوشت آینده این ارزیابی نگرفته بود. اگر قبلاً همه موضوعات در اداره اصلی امنیت و حفاظت از اطلاعات بانک روسیه (GUBZI) همگرایی داشتند، پس با تقسیم اختیارات بین GUBZI و بخش تنظیم تسویه حساب (LHH)، این موضوع همچنان باز است. قبلاً واضح است که اقدامات قانونی در مورد NPS به ارزیابی انطباق اجباری ، یعنی ممیزی نیاز دارد.

قانون نظام پرداخت ملی

قانون NPS تنها در ابتدای شکل گیری خود است و ما منتظر اسناد جدید زیادی از جمله اسناد امنیت اطلاعات هستیم. اما در حال حاضر واضح است که مقررات 382-P، صادر و تصویب شده در 9 ژوئن 2012، "در مورد الزامات اطمینان از حفاظت از اطلاعات هنگام انجام نقل و انتقال پول و رویه نظارت بانک روسیه بر انطباق با الزامات مربوط به حصول اطمینان از حفاظت از اطلاعات هنگام انجام نقل و انتقال پول » در بند 2.15 نیاز به ارزیابی انطباق اجباری، یعنی حسابرسی دارد. چنین ارزیابی یا به طور مستقل یا با مشارکت اشخاص ثالث انجام می شود. همانطور که در بالا ذکر شد، ارزیابی انطباق انجام شده در چارچوب 382-P در اصل مشابه آنچه در روش ارزیابی انطباق STO BR IBBS شرح داده شده است، اما نتایج کاملاً متفاوتی را به دست می دهد که با معرفی ویژه مرتبط است. عوامل اصلاحی که نتایج متفاوتی را تعیین می کنند. مقررات 382-P هیچگونه الزامات خاصی را برای سازمانهای درگیر در حسابرسی ایجاد نمی کند، که در تضاد با مصوبه دولت 13 ژوئن 2012 شماره 584 "در مورد حفاظت از اطلاعات در سیستم پرداخت" است، که همچنین سازمان و رفتار را ملزم می کند. کنترل و ارزیابی انطباق با الزامات حفاظت از اطلاعات هر 2 سال یک بار. با این حال، فرمان دولت که توسط FSTEC تهیه شده است، ایجاب می کند که ممیزی های خارجی فقط توسط سازمان هایی انجام شود که دارای مجوز برای حفاظت فنی از اطلاعات محرمانه هستند. الزامات اضافی که به سختی می توان به یکی از اشکال حسابرسی نسبت داد، اما تعهدات جدیدی را بر بانک ها تحمیل می کند، در بخش 2.16 مقررات 382-P فهرست شده است. بر اساس این الزامات، اپراتور سیستم پرداخت موظف به توسعه است و بانک هایی که به این سیستم پرداخت ملحق شده اند، موظف به رعایت الزامات اطلاع رسانی منظم به اپراتور سیستم پرداخت در مورد مسائل مختلف امنیت اطلاعات در بانک هستند: در مورد رعایت اطلاعات. الزامات حفاظتی، در مورد حوادث شناسایی شده، در مورد خود ارزیابی های انجام شده در مورد تهدیدات و آسیب پذیری های شناسایی شده. علاوه بر ممیزی انجام شده بر اساس قرارداد، FZ-161 بر روی NPS همچنین تعیین می کند که کنترل و نظارت بر مطابقت با الزامات تعیین شده توسط دولت فدراسیون روسیه در قطعنامه 584 و بانک روسیه در مقررات 382 انجام می شود. توسط FSB FSTEK و بانک روسیه به ترتیب. در زمان نگارش این مقاله، نه FSTEC و نه FSB، برخلاف بانک روسیه که مقررات شماره 380-P مورخ 31 مه 2012 «در مورد رویه نظارت بر سیستم پرداخت ملی» را صادر کرد، رویه ای توسعه یافته برای انجام چنین نظارتی نداشتند. (برای مؤسسات اعتباری) و مقررات شماره 381-P مورخ 9 ژوئن 2012 «در مورد رویه نظارت بر انطباق با اپراتورهای سیستم پرداخت و اپراتورهای خدمات زیرساخت پرداخت مطابق با الزامات قانون فدرال شماره 161-FZ مورخ 27 ژوئن، 2011 "در مورد سیستم پرداخت ملی" مطابق با مقررات بانک روسیه به تصویب رسید. مقررات حوزه امنیت اطلاعات در نظام پرداخت ملی تنها در ابتدای توسعه تفصیلی است. در 1 ژوئیه 2012، بانک روسیه شروع به آزمایش آنها و جمع آوری حقایق در مورد عملکرد اجرای قانون کرد. بنابراین، امروز زود است که در مورد نحوه اعمال این مقررات، نحوه نظارت بر 380-P صحبت کنیم، بر اساس نتایج خود ارزیابی که هر 2 سال یک بار انجام می شود و به بانک ارسال می شود، چه نتایجی گرفته می شود. روسیه

استاندارد امنیتی کارت پرداخت PCI DSS

استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) یک استاندارد امنیت داده کارت پرداخت است که توسط شورای استانداردهای امنیتی صنعت کارت پرداخت (PCI SSC) ایجاد شده است که توسط سیستم های پرداخت بین المللی Visa، MasterCard، American Express، JCB و Discover ایجاد شده است. استاندارد PCI DSS مجموعه ای از 12 الزامات سطح بالا و بیش از 200 الزامات دقیق برای اطمینان از امنیت داده های دارندگان کارت پرداخت است که در سیستم های اطلاعاتی سازمان ها منتقل، ذخیره و پردازش می شوند. الزامات این استاندارد برای کلیه شرکت هایی که با سیستم های پرداخت بین المللی ویزا و مسترکارت کار می کنند اعمال می شود. بسته به تعداد تراکنش های پردازش شده، به هر شرکت یک سطح مشخص با مجموعه ای از الزامات مربوطه اختصاص می یابد که این شرکت ها باید آنها را برآورده کنند. این سطوح بسته به سیستم پرداخت متفاوت است. حسابرسی موفق به این معنی نیست که همه چیز با امنیت بانک خوب است - ترفندهای زیادی وجود دارد که به سازمان حسابرسی شده اجازه می دهد برخی از کاستی ها را در سیستم امنیتی خود پنهان کند. تأیید انطباق با الزامات استاندارد PCI DSS به عنوان بخشی از صدور گواهینامه اجباری انجام می شود که الزامات آن بسته به نوع شرکتی که بررسی می شود متفاوت است - تاجری که کارت های پرداخت را برای پرداخت کالا و خدمات یا خدمات می پذیرد. ارائه دهنده ای که به بازرگانان خدمات ارائه می دهد و بانک ها، ناشران و غیره را خریداری می کند. (مراکز پردازش، درگاه های پرداخت و غیره). این ارزیابی می تواند اشکال مختلفی داشته باشد:

• ممیزی سالانه توسط شرکت های معتبر با وضعیت ارزیاب های امنیتی واجد شرایط (QSA)؛
• خود ارزیابی سالانه؛
• اسکن سه ماهه شبکه ها با کمک سازمان های مجاز با وضعیت تایید شده اسکن فروشنده (ASV).

قانون داده های شخصی

آخرین سند نظارتی که به صنعت بانکداری نیز مربوط است و الزامات ارزیابی انطباق را تعیین می کند، قانون فدرال "در مورد داده های شخصی" است. با این حال، نه شکل چنین ممیزی، نه فراوانی آن، و نه الزامات سازمانی که چنین حسابرسی را انجام می دهد هنوز مشخص نشده است. شاید این موضوع در پاییز 2012 حذف شود، زمانی که بخش بعدی اسناد دولت فدراسیون روسیه، FSTEC و FSB منتشر شود و استانداردهای جدیدی در زمینه حفاظت از داده های شخصی معرفی شود. در این بین، بانک ها می توانند با آرامش بخوابند و به طور مستقل ویژگی های حسابرسی مسائل مربوط به حفاظت از داده های شخصی را تعیین کنند. کنترل و نظارت بر اجرای اقدامات سازمانی و فنی برای اطمینان از امنیت داده های شخصی تعیین شده توسط ماده 19 152-FZ توسط FSB و FSTEC انجام می شود، اما فقط برای سیستم های اطلاعات شخصی اطلاعات دولتی. هنوز کسی برای اعمال کنترل بر سازمان های تجاری در زمینه تضمین امنیت اطلاعات داده های شخصی طبق قانون وجود ندارد. چیزی که نمی توان در مورد حمایت از حقوق افراد داده های شخصی، یعنی مشتریان، طرفین و فقط بازدیدکنندگان بانک گفت. این وظیفه توسط Roskomnadzor انجام شده است که در وظایف نظارتی خود بسیار فعال است و بانک ها را در زمره بدترین ناقضان قانون در مورد داده های شخصی می داند.

مقررات نهایی

اقدامات نظارتی اصلی در زمینه امنیت اطلاعات مربوط به موسسات اعتباری در بالا مورد بحث قرار گرفته است. بسیاری از این مقررات وجود دارد و هر یک از آنها الزامات خاص خود را برای انجام ارزیابی انطباق به یک شکل یا شکل دیگر - از خود ارزیابی در قالب پر کردن پرسشنامه ها (PCI DSS) گرفته تا گذراندن ممیزی اجباری هر دو سال یکبار ( 382-P) یا یک بار در سال (ISO 27001). بین این رایج‌ترین اشکال ارزیابی انطباق، موارد دیگری وجود دارد - اعلان‌های اپراتور سیستم پرداخت، اسکن‌های فصلی و غیره. همچنین لازم به یادآوری و درک است که کشور هنوز فاقد یک سیستم واحد از دیدگاه ها است نه تنها در مورد مقررات دولتی فرآیندهای ممیزی امنیت اطلاعات سازمان ها و سیستم های فناوری اطلاعات، بلکه در مورد موضوع حسابرسی امنیت اطلاعات به طور کلی. در فدراسیون روسیه تعدادی بخش و سازمان (FSTEC، FSB، Bank of Russia، Roskomnadzor، PCI SSC و غیره) مسئول امنیت اطلاعات هستند. و همه آنها بر اساس مقررات و دستورالعمل های خود عمل می کنند. رویکردهای مختلف، استانداردهای مختلف، سطوح مختلف بلوغ... همه اینها مانع از ایجاد قوانین یکسان بازی می شود. این تصویر همچنین با ظهور شرکت های یک روزه ای که به دنبال سود، خدمات بسیار کم کیفیتی را در زمینه ارزیابی انطباق با الزامات امنیت اطلاعات ارائه می دهند، خراب می شود. و بعید است که وضعیت به سمت بهتر شدن تغییر کند. به محض وجود نیاز، کسانی خواهند بود که می خواهند آن را برآورده کنند، در حالی که حسابرسان واجد شرایط کافی برای همه وجود ندارد. با تعداد کمی از آنها (در جدول نشان داده شده) و مدت زمان حسابرسی از چند هفته تا چند ماه، بدیهی است که نیازهای حسابرسی به طور جدی بیش از توانایی حسابرسان است. در مفهوم ممیزی امنیت اطلاعات سیستم‌ها و سازمان‌های فناوری اطلاعات که هرگز توسط FSTEC پذیرفته نشد، این عبارت وجود داشت: «در عین حال، در غیاب تنظیم‌کننده‌های ملی لازم، چنین فعالیت‌هایی / بر روی حسابرسی غیرقانونی توسط شرکت های خصوصی/ می تواند صدمات جبران ناپذیری به سازمان ها وارد کند. در پایان، نویسندگان مفهوم پیشنهاد کردند رویکردهای حسابرسی را متحد کنند و قوانین بازی را به طور قانونی ایجاد کنند، از جمله قوانین اعتبارسنجی حسابرسان، الزامات صلاحیت آنها، روش های حسابرسی و غیره، اما چیزهایی هنوز وجود دارد. اگرچه با توجه به توجهی که رگولاتورهای داخلی در حوزه امنیت اطلاعات (و ما 9 مورد از آنها داریم) به مسائل امنیت اطلاعات می پردازند (تنها در سال گذشته 52 آیین نامه در مورد مسائل امنیت اطلاعات تصویب یا تدوین شده است - یک آیین نامه در هفته. ! ) بعید می دانم که این موضوع به زودی به آن بازگردد.

استانداردهای حسابرسی امنیت اطلاعات

در چنین شرایطی، متأسفانه، باید بپذیریم که هدف اصلی ممیزی امنیت اطلاعات یک بانک - افزایش اعتماد به فعالیت های آن - در روسیه دست نیافتنی است. تعداد کمی از مشتریان بانک ما به سطح امنیت آن یا به نتایج حسابرسی انجام شده در بانک توجه می کنند. ما یا در صورت وقوع یک حادثه بسیار جدی که منجر به خسارت مادی جدی به بانک (یا سهامداران و صاحبان آن) شده است، یا در مورد الزامات قانونی که همانطور که در بالا نشان داده شد، ما به حسابرسی مراجعه می کنیم. و برای شش ماه آینده، نیاز شماره 1، که برای آن ارزش توجه به ممیزی امنیتی را دارد، ارائه بانک روسیه 382-P است. در حال حاضر اولین سوابق برای درخواست اطلاعات از ادارات منطقه ای بانک مرکزی در مورد سطح حفاظت از بانک ها و رعایت الزامات 382-P وجود دارد و این اطلاعات دقیقاً در نتیجه یک حسابرسی خارجی یا خود به دست آمده است. ارزیابی در وهله دوم، من حسابرسی انطباق با الزامات قانون "در مورد داده های شخصی" را قرار می دهم. اما تا بهار که تمام اسناد وعده داده شده توسط FSTEC و FSB منتشر می شود و سرنوشت STO BR IBBS مشخص می شود، نباید چنین ممیزی انجام شود. سپس می توان موضوع انجام ممیزی از انطباق با الزامات STO BR IBBS را مطرح کرد. نه تنها آینده مجموعه اسناد بانک روسیه، بلکه وضعیت آن در رابطه با 382-P مشابه، اما همچنان عالی، و همچنین اینکه آیا STO BR IBBS همچنان مسائل حفاظت از داده های شخصی را پوشش خواهد داد، مشخص خواهد شد. . حسابرسی موفق به این معنی نیست که همه چیز با امنیت بانک خوب است - ترفندهای زیادی وجود دارد که به سازمان حسابرسی شده اجازه می دهد برخی از کاستی ها را در سیستم امنیتی خود پنهان کند. و خیلی به صلاحیت و استقلال حسابرسان بستگی دارد. تجربه سال‌های گذشته نشان می‌دهد که حتی در سازمان‌هایی که ممیزی انطباق با PCI DSS، ISO 27001 یا STO BR IBBS را با موفقیت پشت سر گذاشته‌اند، حوادث و حوادث جدی وجود دارد.

نظر متخصص

دیمیتری مارکین، رئیس بخش حسابرسی و مشاوره، AMT-GROUP:

تا همین اواخر، مسائل مربوط به گذراندن ممیزی اجباری از وضعیت امنیت اطلاعات برای موسسات اعتباری در چارچوب قوانین روسیه فقط توسط قانون فدرال-152 "در مورد داده های شخصی" از نظر کنترل داخلی بر اقدامات انجام شده برای اطمینان از امنیت PD، و همچنین مقررات بانک مرکزی فدراسیون روسیه شماره 242-P "در مورد سازماندهی کنترل داخلی در موسسات اعتباری و گروه های بانکی". علاوه بر این، مطابق با الزامات آیین نامه شماره 242-P، روش نظارت بر تأمین امنیت اطلاعات توسط اسناد داخلی مؤسسه اعتباری به طور مستقل بدون اشاره به الزامات خاص برای تأمین امنیت اطلاعات ایجاد می شود. در رابطه با لازم الاجرا شدن ماده 27 قانون فدرال-161 "در مورد سیستم پرداخت ملی" که الزامات حفاظت از اطلاعات در سیستم پرداخت را تعریف می کند، فرمان شماره 584 دولت فدراسیون روسیه " در مورد تصویب آیین نامه حفاظت از اطلاعات در سیستم پرداخت" و مقررات بانک مرکزی RF №382-P. بر اساس الزامات مصوبه شماره 584 و آیین نامه شماره 382-P، حفاظت از اطلاعات در سیستم پرداخت باید مطابق با الزامات این قوانین نظارتی و الزامات مندرج توسط اپراتورهای سیستم پرداخت در مقررات انجام شود. سیستم های پرداخت نکته کلیدی در اینجا ادغام در سطح قوانین ملی حق اپراتورهای سیستم پرداخت (به عنوان مثال ویزا و مسترکارت) برای ایجاد مستقل الزامات حفاظت از اطلاعات است. آیین نامه شماره 382-P همچنین تعهد مؤسسات اعتباری را برای ارزیابی انطباق با الزامات IS حداقل هر 2 سال یک بار مشخص می کند، روش شناسی ارزیابی انطباق، معیارهای حسابرسی و روش مستندسازی نتایج آن را به وضوح تعریف می کند. به نظر ما، ظاهر مقررات فوق باید آمار موسسات اعتباری را که گواهینامه را بر اساس الزامات استاندارد امنیت داده صنعت کارت پرداخت PCI DSS 2.0 که با مشارکت سیستم های پرداخت بین المللی پیشرو Visa و MasterCard تهیه شده است، افزایش دهد.

احتمالاً بسیاری از خود می‌پرسند: «چگونه یک ممیزی امنیت اطلاعات انجام دهیم؟ از کجا شروع کنم از کدام روش استفاده کنم آیا نرم افزار تخصصی برای این کار وجود دارد؟ چه برنامه های رایگانی برای این کار وجود دارد؟

امروز محصولی از مایکروسافت را به شما معرفی می کنیم که به شما امکان می دهد امنیت اطلاعات ابزار ارزیابی امنیت مایکروسافت (MSAT) را بررسی کنید. این محصول به شما امکان می دهد خطرات IS را در یک سیستم موجود شناسایی کنید و توصیه هایی برای حذف آنها ارائه دهید. این اپلیکیشن که برای سازمان‌هایی با کمتر از 1000 کارمند طراحی شده است، ادعا می‌کند که به شما کمک می‌کند افراد، فرآیندها، منابع و فناوری‌ها را بشناسید تا از برنامه‌ریزی امنیتی موثر و کاهش ریسک در یک سازمان اطمینان حاصل کنید. بهتر از همه، این برنامه رایگان است و می توانید آن را از وب سایت توسعه دهنده دانلود کنید. این محصول می تواند به عنوان یک پرسشنامه برای متخصصان فناوری اطلاعات، پرسنل، متخصصان امنیت اطلاعات استفاده شود.

در طی فرآیند ارزیابی ریسک، بر اساس پاسخ به سوالات، محیط فناوری اطلاعات برای حوزه های اصلی تهدیدات امنیت اطلاعات بررسی می شود. ارزیابی از مفهوم دفاع در عمق (DiD) برای تعیین اثربخشی استراتژی امنیتی استفاده می کند. مفهوم «دفاع در عمق» به اجرای دفاع چندلایه شامل کنترل های فنی، سازمانی و عملیاتی اشاره دارد. ابزار ارزیابی مبتنی بر استانداردهای پذیرفته شده عمومی و بهترین شیوه های طراحی شده برای کاهش خطرات در سیستم های فناوری اطلاعات است. فرآیند ارزیابی می تواند تکرار شود و همچنین می تواند برای بررسی پیشرفت به سمت اهداف امنیتی سازمانی در زیرساخت فناوری اطلاعات مورد استفاده قرار گیرد.

سیاست‌های ریسک کسب‌وکار، فناوری، فرآیند و افراد در حوزه‌های خاصی از تجزیه و تحلیل برای شناسایی تهدیدات امنیتی سیستم فناوری اطلاعات سازمان شما ارزیابی می‌شوند. پس از تکمیل ارزیابی، توصیه هایی برای مدیریت این ریسک ها بر اساس بهترین شیوه های شناخته شده صنعت ارائه خواهد شد. هدف از این دستورالعمل‌ها ارائه راهنمایی‌های اولیه برای کمک به سازمان شما در اجرای بهترین شیوه‌های فناوری اطلاعات شناخته شده در صنعت است.

ارزیابی ریسک از دو بخش تشکیل شده است: نمایه ریسک تجاری (BRP) و ارزیابی (شامل چهار حوزه تحلیل). PSR خطرات رایجی هستند که یک شرکت با آن مواجه است. پس از تکمیل این ارزیابی، تا زمانی که تغییرات اساسی در سیستم IT شرکت ایجاد نشود، بدون تغییر باقی می ماند. می توانید چندین ارزیابی انجام دهید و ذخیره کنید. این تخمین‌ها می‌توانند و باید در طول زمان با اتخاذ اقدامات امنیتی افزایش یافته تغییر کنند.

پس بیایید ببینیم، ابتدا یک نمایه ایجاد می کنیم:

و پاسخ سوالات را پر کنید، با پر شدن دکمه ها سبز می شوند:

پس از پر کردن اولین بلوک سوالات در مورد پارامترهای شرکت، کسب درآمد می کنیم: "ایجاد ارزیابی جدید"

پس از آن، سؤالات زیرساخت فناوری اطلاعات، پرسنل و مدیریت فرآیند کسب و کار را پر می کنیم:

پس از پاسخ ها منتظر نماد "گزارش ها" هستیم

گزارش را می توان در *.docs ذخیره کرد یا در برنامه مشاهده کرد. همه ما نتیجه گیری ها را می خوانیم، توصیه هایی را بر اساس بهترین شیوه های جهانی ارائه می دهیم، مدیریت را برای توافق بر سر یک برنامه کاری یا توجیه خرید تجهیزات امنیت اطلاعات انجام می دهیم)))))

امروزه سیستم‌های خودکار (AS) نقش کلیدی در تضمین اجرای کارآمد فرآیندهای تجاری شرکت‌های تجاری و دولتی دارند. در عین حال، استفاده گسترده از AS برای ذخیره، پردازش و انتقال اطلاعات منجر به افزایش فوریت مشکلات مرتبط با حفاظت از آنها می شود. این امر با این واقعیت تأیید می شود که طی چند سال گذشته، هم در روسیه و هم در کشورهای پیشرو خارجی، تمایل به افزایش تعداد حملات اطلاعاتی وجود داشته است که منجر به خسارات مالی و مادی قابل توجهی شده است. به منظور تضمین حفاظت موثر در برابر حملات اطلاعاتی توسط متجاوزان، شرکت ها نیاز به ارزیابی عینی از سطح فعلی امنیت AS دارند. برای این اهداف است که از ممیزی امنیتی استفاده می شود که جنبه های مختلف آن در چارچوب این مقاله در نظر گرفته شده است.

1. ممیزی امنیتی چیست؟

علیرغم این واقعیت که هنوز تعریف ثابتی از ممیزی امنیتی شکل نگرفته است، در حالت کلی می توان آن را به عنوان فرآیند جمع آوری و تجزیه و تحلیل اطلاعات در مورد AS، که برای ارزیابی کیفی یا کمی بعدی ضروری است، نشان داد. سطح حفاظت در برابر حملات متجاوزان موارد زیادی وجود دارد که انجام ممیزی امنیتی مناسب است. اینجا تنها تعداد کمی از آنها هستند:

• ممیزی NPP به منظور تهیه شرایط مرجع برای طراحی و توسعه یک سیستم امنیت اطلاعات؛
• ممیزی NPP پس از اجرای سیستم امنیتی برای ارزیابی سطح اثربخشی آن؛
• ممیزی با هدف تطبیق سیستم امنیتی فعلی با الزامات قوانین روسیه یا بین المللی؛
• ممیزی طراحی شده برای نظام‌بندی و ساده‌سازی اقدامات موجود امنیت اطلاعات؛
• حسابرسی به منظور بررسی یک حادثه مرتبط با نقض امنیت اطلاعات.

به عنوان یک قاعده، شرکت های خارجی که خدمات مشاوره ای در زمینه امنیت اطلاعات ارائه می دهند، در حسابرسی شرکت دارند. آغازگر روش حسابرسی ممکن است مدیریت شرکت، خدمات اتوماسیون یا سرویس امنیت اطلاعات باشد. در برخی موارد، حسابرسی ممکن است به درخواست شرکت های بیمه یا مراجع نظارتی نیز انجام شود. ممیزی امنیتی توسط گروهی از کارشناسان انجام می شود که تعداد و ترکیب آنها به اهداف و اهداف بررسی و همچنین پیچیدگی موضوع ارزیابی بستگی دارد.

2. انواع ممیزی امنیتی

در حال حاضر، انواع اصلی ممیزی امنیت اطلاعات زیر قابل تشخیص است:

• ممیزی امنیتی متخصص، که طی آن کاستی ها در سیستم اقدامات حفاظت از اطلاعات بر اساس تجربه موجود کارشناسان شرکت کننده در روند بازرسی شناسایی می شوند.
• ارزیابی انطباق با توصیه‌های استاندارد بین‌المللی ISO 17799، و همچنین الزامات دستورالعمل‌های FSTEC (کمیسیون فنی دولتی).
• تجزیه و تحلیل ابزاری امنیت AS، با هدف شناسایی و از بین بردن آسیب پذیری ها در نرم افزار و سخت افزار سیستم؛
• یک حسابرسی جامع که شامل تمام اشکال فوق برای انجام یک نظرسنجی می باشد.

هر یک از انواع ممیزی فوق، بسته به وظایفی که شرکت باید حل کند، می تواند به صورت جداگانه یا ترکیبی انجام شود. هدف حسابرسی می تواند هم AS شرکت به عنوان یک کل و هم بخش های جداگانه آن باشد که در آن پردازش اطلاعات مشمول حفاظت انجام می شود.

3. محدوده کار برای انجام ممیزی امنیتی

به طور کلی، ممیزی امنیتی، صرف نظر از شکل اجرای آن، از چهار مرحله اصلی تشکیل شده است که هر یک از این مرحله ها، اجرای طیف خاصی از وظایف را فراهم می کند (شکل 1).

شکل 1: مراحل کلیدی در انجام ممیزی امنیتی

در مرحله اول، همراه با مشتری، مقرراتی تدوین می شود که ترکیب و رویه کار را تعیین می کند. وظیفه اصلی آیین نامه تعیین حدودی است که در آن بررسی انجام می شود. مقررات سندی است که به شما امکان می دهد پس از اتمام حسابرسی از ادعاهای متقابل اجتناب کنید، زیرا به وضوح تعهدات طرفین را مشخص می کند. به عنوان یک قاعده، مقررات حاوی اطلاعات اساسی زیر است:

• ترکیب گروه های کاری از پیمانکار و مشتری شرکت کننده در فرآیند حسابرسی؛
• فهرستی از اطلاعاتی که برای حسابرسی در اختیار پیمانکار قرار خواهد گرفت.
• لیست و مکان امکانات مشتری مشمول ممیزی؛
• فهرستی از منابعی که به عنوان اهداف حفاظتی در نظر گرفته می شوند (منابع اطلاعاتی، منابع نرم افزاری، منابع فیزیکی و غیره)؛
• مدل تهدیدات امنیت اطلاعات که ممیزی بر اساس آن انجام می شود.
• دسته هایی از کاربران که به عنوان متخلفان احتمالی در نظر گرفته می شوند.
• روش و زمان انجام یک بررسی ابزاری از سیستم خودکار مشتری.

در مرحله دوم، طبق مقررات توافق شده، اطلاعات اولیه جمع آوری می شود. روش های جمع آوری اطلاعات شامل مصاحبه با کارکنان مشتری، تکمیل پرسشنامه، تجزیه و تحلیل اسناد سازمانی، اداری و فنی ارائه شده و استفاده از ابزارهای تخصصی می باشد.

مرحله سوم کار شامل تجزیه و تحلیل اطلاعات جمع آوری شده به منظور ارزیابی سطح فعلی امنیت AS مشتری است. بر اساس نتایج تجزیه و تحلیل، در مرحله چهارم، توصیه هایی برای افزایش سطح حفاظت از AU در برابر تهدیدات امنیت اطلاعات در حال توسعه است.

در زیر، در نسخه دقیق تر، مراحل ممیزی مربوط به جمع آوری اطلاعات، تجزیه و تحلیل آن و تدوین توصیه هایی برای افزایش سطح حفاظت از NPP در نظر گرفته شده است.

4. جمع آوری داده های اولیه برای حسابرسی

کیفیت ممیزی امنیتی انجام شده تا حد زیادی به کامل بودن و صحت اطلاعاتی که در فرآیند جمع آوری داده های اولیه به دست آمده است بستگی دارد. بنابراین، اطلاعات باید شامل موارد زیر باشد: اسناد سازمانی و اداری موجود مربوط به مسائل امنیت اطلاعات، اطلاعات مربوط به سخت افزار و نرم افزار AS، اطلاعات مربوط به ویژگی های امنیتی نصب شده در AS و غیره. فهرست دقیق تری از داده های اولیه در جدول 1 ارائه شده است.

جدول 1: فهرست داده های ورودی مورد نیاز برای انجام ممیزی امنیتی

№ نوع اطلاعات شرح ترکیب داده های اولیه 1 اسناد سازمانی و اداری در مورد مسائل امنیت اطلاعات 1. سیاست امنیت اطلاعات AS; 2. اسناد حاکم (دستورالعمل ها، دستورالعمل ها) در مورد مسائل ذخیره سازی، دسترسی و انتقال اطلاعات. 3. مقررات مربوط به کار کاربران با منابع اطلاعاتی AS. 2 اطلاعات سخت افزار میزبان 1. لیست سرورها، ایستگاه های کاری و تجهیزات ارتباطی نصب شده در AU. 2. اطلاعات در مورد پیکربندی سخت افزار سرورها و ایستگاه های کاری. 3. اطلاعات در مورد تجهیزات جانبی نصب شده در AU. 3 اطلاعات عمومی نرم افزار سیستم 1. اطلاعات در مورد سیستم عامل های نصب شده بر روی ایستگاه های کاری و سرورهای AS. 2. داده های DBMS نصب شده در AS. 4 اطلاعات نرم افزار کاربردی 1. فهرستی از نرم افزارهای کاربردی برای مقاصد عمومی و ویژه نصب شده در AU. 2. شرح وظایف عملکردی حل شده با کمک نرم افزار کاربردی نصب شده در AU. 5 اطلاعات در مورد وسایل حفاظتی نصب شده در AU 1. اطلاعات مربوط به سازنده تجهیزات حفاظتی؛ 2. تنظیمات پیکربندی ابزار امنیتی. 3. طرح نصب تجهیزات حفاظتی. 6 اطلاعات توپولوژی AS 1. نقشه یک شبکه محلی، شامل طرحی برای توزیع سرورها و ایستگاه های کاری در بخش های شبکه. 2. اطلاعات در مورد انواع کانال های ارتباطی مورد استفاده در AU. 3. اطلاعات در مورد پروتکل های شبکه مورد استفاده در AU. 4. نمودار جریان اطلاعات AS.

همانطور که در بالا ذکر شد، جمع آوری داده های اولیه را می توان با استفاده از روش های زیر انجام داد:

• مصاحبه با کارکنان مشتری که اطلاعات لازم را دارند. در این مورد، مصاحبه، به عنوان یک قاعده، هم با متخصصان فنی و هم با نمایندگان مدیریت شرکت انجام می شود. لیست سوالاتی که در طول مصاحبه مورد بحث قرار می گیرند از قبل توافق شده است.
• ارائه پرسشنامه در مورد یک موضوع خاص که به طور مستقل توسط کارمندان مشتری پر می شود. در مواردی که مطالب ارسالی به طور کامل به سوالات لازم پاسخ نمی دهد، مصاحبه های تکمیلی انجام می شود.
• تجزیه و تحلیل اسناد سازمانی و فنی موجود مورد استفاده توسط مشتری؛
• استفاده از ابزارهای نرم افزاری تخصصی که امکان کسب اطلاعات لازم در مورد ترکیب و تنظیمات نرم افزار و سخت افزار سیستم خودکار مشتری را فراهم می کند. بنابراین، به عنوان مثال، در طول فرآیند ممیزی، می توان از سیستم های تجزیه و تحلیل امنیتی (Security Scanners) استفاده کرد که به شما امکان می دهد منابع شبکه موجود را موجودی کنید و آسیب پذیری های موجود در آنها را شناسایی کنید. نمونه هایی از این سیستم ها عبارتند از Internet Scanner (توسط ISS) و XSpider (توسط Positive Technologies).

5. ارزیابی سطح ایمنی NPP

پس از جمع آوری اطلاعات لازم، به منظور ارزیابی سطح فعلی امنیت سیستم مورد تجزیه و تحلیل قرار می گیرد. در فرآیند چنین تحلیلی، خطرات امنیت اطلاعاتی که ممکن است شرکت در معرض آن قرار گیرد، تعیین می شود. در واقع، ریسک ارزیابی یکپارچه از این است که چگونه ابزارهای حفاظتی موجود به طور موثر قادر به مقاومت در برابر حملات اطلاعاتی هستند.

معمولاً دو گروه اصلی از روش ها برای محاسبه ریسک های امنیتی وجود دارد. گروه اول به شما امکان می دهد با ارزیابی میزان انطباق با مجموعه خاصی از الزامات امنیت اطلاعات، سطح ریسک را تعیین کنید. منابع چنین الزاماتی می تواند باشد (شکل 2):

• اسناد نظارتی شرکت مربوط به مسائل امنیت اطلاعات؛
• الزامات قانون فعلی روسیه - اسناد حاکم FSTEC (کمیسیون فنی دولتی)، STR-K، الزامات سرویس امنیت فدرال فدراسیون روسیه، GOST ها و غیره؛
• توصیه های استانداردهای بین المللی - ISO 17799، OCTAVE، CoBIT، و غیره؛
• توصیه هایی از تولید کنندگان نرم افزار و سخت افزار - مایکروسافت، اوراکل، سیسکو و غیره.

شکل 2: منابع الزامات امنیت اطلاعات که ارزیابی ریسک را می توان بر اساس آنها انجام داد

گروه دوم از روش های ارزیابی ریسک امنیت اطلاعات بر اساس تعیین احتمال حملات و همچنین میزان آسیب آنها است. در این حالت، مقدار ریسک برای هر حمله به طور جداگانه محاسبه می شود و به طور کلی به عنوان حاصل ضرب احتمال حمله با میزان آسیب احتمالی این حمله ارائه می شود. ارزش خسارت توسط صاحب منبع اطلاعاتی تعیین می شود و احتمال حمله توسط گروهی از کارشناسان که روش حسابرسی را انجام می دهند محاسبه می شود.

روش‌های گروه اول و دوم می‌توانند از مقیاس‌های کمی یا کیفی برای تعیین میزان ریسک امنیت اطلاعات استفاده کنند. در حالت اول، ریسک و تمام پارامترهای آن در مقادیر عددی بیان می شود. بنابراین، به عنوان مثال، هنگام استفاده از مقیاس های کمی، احتمال حمله را می توان به عنوان یک عدد در بازه بیان کرد، و خسارت یک حمله را می توان به عنوان معادل پولی خسارات مادی که ممکن است یک سازمان در صورت وقوع آن متحمل شود، تعیین کرد. یک حمله موفق هنگام استفاده از مقیاس های کیفی، مقادیر عددی با سطوح مفهومی معادل جایگزین می شوند. در این حالت، هر سطح مفهومی با فاصله معینی از مقیاس ارزیابی کمی مطابقت دارد. تعداد سطوح ممکن است بسته به روش های ارزیابی ریسک اعمال شده متفاوت باشد. جداول 2 و 3 نمونه هایی از مقیاس های ارزیابی ریسک امنیت اطلاعات کیفی را ارائه می دهند که در آنها از پنج سطح مفهومی برای ارزیابی سطوح آسیب و احتمال حمله استفاده می شود.

جدول 2: مقیاس کیفی برای ارزیابی سطح خسارت

№ سطح آسیب شرح 1 آسیب کوچک منجر به از دست دادن جزئی دارایی های مشهودی می شود که به سرعت بازیافت می شوند یا تأثیر ناچیزی بر شهرت شرکت دارد. 2 آسیب متوسط باعث از دست دادن قابل توجه دارایی های مشهود یا تأثیر متوسطی بر شهرت شرکت می شود. 3 آسیب متوسط منجر به از دست دادن قابل توجه دارایی های مشهود یا آسیب قابل توجهی به شهرت شرکت می شود 4 خسارت بزرگ باعث از بین رفتن زیاد دارایی های مشهود می شود و به اعتبار شرکت آسیب زیادی وارد می کند 5 خسارت شدید منجر به زیان های بحرانی دارایی های مشهود یا از بین رفتن کامل شهرت شرکت در بازار می شود که ادامه فعالیت های سازمان را غیرممکن می کند.

جدول 3: مقیاس کیفی برای ارزیابی احتمال حمله

№ سطح احتمال حمله شرح 1 خیلی کم حمله تقریباً هرگز انجام نخواهد شد. سطح مربوط به فاصله عددی احتمال است 5 خیلی بالا حمله تقریباً به طور قطع انجام خواهد شد. سطح مربوط به فاصله عددی احتمال است (0.75, 1]

هنگام استفاده از مقیاس های کیفی برای محاسبه سطح ریسک، جداول خاصی استفاده می شود که در ستون اول سطوح مفهومی آسیب و ردیف اول سطوح احتمال حمله را مشخص می کند. سلول های جدول، واقع در تقاطع ردیف و ستون اول، حاوی سطح خطر امنیتی هستند. ابعاد جدول به تعداد سطوح مفهومی حمله و احتمال آسیب بستگی دارد. نمونه ای از جدولی که بر اساس آن می توان سطح ریسک را تعیین کرد در زیر نشان داده شده است.

جدول 4: نمونه ای از جدول تعیین خطر امنیت اطلاعات

احتمال حمله خیلی کم کم متوسط بالا خیلی بالا خسارت کم اهمیت خسارت ریسک کم ریسک کم ریسک کم ریسک متوسط ریسک متوسط در حد متوسط خسارت ریسک کم ریسک کم ریسک متوسط ریسک متوسط ریسک بالا آسیب متوسط ریسک کم ریسک متوسط ریسک متوسط ریسک متوسط ریسک بالا بزرگ خسارت ریسک متوسط ریسک متوسط ریسک متوسط ریسک متوسط ریسک بالا بحرانی خسارت ریسک متوسط ریسک بالا ریسک بالا ریسک بالا ریسک بالا

هنگام محاسبه مقادیر احتمال حمله و همچنین میزان آسیب احتمالی، می توان از روش های آماری، روش های ارزیابی کارشناسان یا عناصر تئوری تصمیم استفاده کرد. روش های آماری شامل تجزیه و تحلیل داده های انباشته شده در مورد حوادث واقعی مربوط به نقض امنیت اطلاعات است. بر اساس نتایج چنین تحلیلی، مفروضاتی در مورد احتمال حملات و میزان آسیب ناشی از آنها در سایر AS ها ساخته شده است. با این حال، استفاده از روش های آماری به دلیل عدم وجود داده های آماری کامل در مورد حملات قبلی به منابع اطلاعاتی AS، مشابه آنچه که به عنوان هدف ارزیابی عمل می کند، همیشه امکان پذیر نیست.

هنگام استفاده از دستگاه ارزیابی کارشناسان، تجزیه و تحلیل نتایج کار گروهی از کارشناسان متخصص در زمینه امنیت اطلاعات انجام می شود که بر اساس تجربه آنها، سطوح کمی یا کیفی ریسک را تعیین می کنند. عناصر تئوری تصمیم گیری امکان اعمال الگوریتم های پیچیده تری را برای پردازش نتایج کار گروهی از متخصصان برای محاسبه ارزش ریسک امنیتی فراهم می کند.

در فرآیند انجام ممیزی امنیتی، می توان از سیستم های نرم افزاری تخصصی برای خودکارسازی فرآیند تجزیه و تحلیل داده های اولیه و محاسبه مقادیر ریسک استفاده کرد. نمونه هایی از این مجتمع ها عبارتند از Grif و Condor (شرکت های امنیت دیجیتال) و همچنین Avangard (موسسه تحلیل سیستم آکادمی علوم روسیه).

6. نتایج ممیزی امنیتی

در آخرین مرحله ممیزی امنیت اطلاعات، توصیه هایی برای بهبود پشتیبانی سازمانی و فنی شرکت ایجاد می شود. چنین توصیه هایی ممکن است شامل انواع اقدامات زیر با هدف به حداقل رساندن خطرات شناسایی شده باشد:

• کاهش خطر به دلیل استفاده از ابزارهای حفاظتی سازمانی و فنی اضافی که احتمال حمله را کاهش می دهد یا آسیب های احتمالی ناشی از آن را کاهش می دهد. به عنوان مثال، نصب فایروال در نقطه اتصال AS به اینترنت می تواند احتمال حمله موفقیت آمیز به منابع اطلاعات عمومی AS مانند سرورهای وب، سرورهای پست الکترونیکی و غیره را به میزان قابل توجهی کاهش دهد.
• اجتناب از خطر با تغییر معماری یا طرح جریان اطلاعات AS، که امکان رد امکان انجام یک یا آن حمله را فراهم می کند. بنابراین، به عنوان مثال، قطع ارتباط فیزیکی از اینترنت بخش AS، که در آن اطلاعات محرمانه پردازش می شود، امکان حذف حملات به اطلاعات محرمانه از این شبکه را فراهم می کند.
• تغییر در ماهیت ریسک در نتیجه اتخاذ تدابیر بیمه. نمونه هایی از چنین تغییری در ماهیت خطر شامل بیمه تجهیزات NPP در برابر آتش سوزی یا بیمه منابع اطلاعاتی در برابر نقض احتمالی محرمانه بودن، یکپارچگی یا در دسترس بودن آنها است. در حال حاضر، شرکت های روسی در حال حاضر خدمات بیمه ریسک اطلاعات را ارائه می دهند.
• پذیرش ریسک در صورتی که به سطحی کاهش یابد که خطری برای AU ایجاد نکند.

به عنوان یک قاعده، توصیه های توسعه یافته با هدف حذف کامل همه خطرات شناسایی شده نیست، بلکه فقط کاهش آنها به سطح باقیمانده قابل قبول است. هنگام انتخاب اقدامات برای افزایش سطح حفاظت از AS، یک محدودیت اساسی در نظر گرفته می شود - هزینه اجرای آنها نباید از هزینه منابع اطلاعات محافظت شده تجاوز کند.

در پایان روش حسابرسی، نتایج آن در قالب یک سند گزارش تهیه می شود که در اختیار مشتری قرار می گیرد. به طور کلی، این سند شامل بخش های اصلی زیر است:

• شرح مرزهایی که ممیزی امنیتی در آن انجام شده است.
• شرح ساختار AS مشتری؛
• روشها و ابزارهایی که در فرآیند حسابرسی مورد استفاده قرار گرفت.
• شرحی از آسیب‌پذیری‌ها و ضعف‌های شناسایی‌شده، از جمله سطح ریسک آن‌ها؛
• توصیه هایی برای بهبود سیستم یکپارچه امنیت اطلاعات؛
• پیشنهادهایی برای طرحی برای اجرای اقدامات اولویت دار با هدف به حداقل رساندن خطرات شناسایی شده.

7. نتیجه گیری

ممیزی امنیت اطلاعات امروزه یکی از مؤثرترین ابزارها برای به دست آوردن ارزیابی مستقل و عینی از سطح فعلی امنیت شرکت در برابر تهدیدات امنیت اطلاعات است. علاوه بر این، نتایج ممیزی مبنای شکل گیری استراتژی توسعه سیستم امنیت اطلاعات سازمان است.

با این حال، باید درک کرد که ممیزی امنیتی یک رویه یک بار نیست، بلکه باید به طور منظم انجام شود. تنها در این صورت، حسابرسی بازده واقعی را به همراه خواهد داشت و به بهبود سطح امنیت اطلاعات شرکت کمک می کند.

8. مراجع

1. Vikhorev S.V.، Kobtsev R.Yu.، چگونه بفهمیم از کجا حمله کنیم یا تهدید امنیت اطلاعات از کجا می آید // Confident، شماره 2، 2001.
2. Simonov S. تجزیه و تحلیل ریسک، مدیریت ریسک // خبرنامه جت اطلاعات شماره 1 (68). 1999. ص. 1-28.
3. ISO/IEC 17799، فناوری اطلاعات - آیین نامه عملکرد مدیریت امنیت اطلاعات، 2000
4. ارزیابی عملیاتی حیاتی تهدید، دارایی و آسیب پذیری (OCTAVE) – ارزیابی ریسک امنیتی – www.cert.org/octave.
5. راهنمای مدیریت ریسک برای سیستم‌های فناوری اطلاعات، NIST، انتشارات ویژه 800-30.

امروزه همه تقریباً یک عبارت مقدس را می شناسند که صاحب اطلاعات صاحب جهان است. به همین دلیل است که در زمان ما همه در صدد دزدی هستند. در این راستا اقدامات بی سابقه ای برای معرفی وسایل حفاظتی در برابر حملات احتمالی در حال انجام است. با این حال، گاهی اوقات ممکن است نیاز به حسابرسی شرکت باشد. چیست و چرا همه اینها مورد نیاز است، اکنون سعی خواهیم کرد آن را بفهمیم.

ممیزی امنیت اطلاعات به طور کلی چیست؟

اکنون ما به اصطلاحات علمی مبهم دست نخواهیم زد ، اما سعی خواهیم کرد مفاهیم اساسی را برای خود تعریف کنیم و آنها را به ساده ترین زبان توصیف کنیم (در مردم می توان آن را ممیزی برای "قلمک ها" نامید).

نام این مجموعه از رویدادها برای خود صحبت می کند. ممیزی امنیت اطلاعات یک تأیید مستقل یا امنیت یک سیستم اطلاعاتی (IS) یک شرکت، مؤسسه یا سازمان بر اساس معیارها و شاخص های ویژه توسعه یافته است.

به عبارت ساده، به عنوان مثال، ممیزی امنیت اطلاعات یک بانک به ارزیابی سطح حفاظت از پایگاه‌های اطلاعاتی مشتریان، عملیات بانکی در حال انجام، ایمنی پول الکترونیکی، ایمنی اسرار بانکی و غیره در صورت تداخل در فعالیت مؤسسه توسط افراد غیرمجاز با استفاده از وسایل الکترونیکی و رایانه ای.

مطمئناً در بین خوانندگان حداقل یک نفر خواهد بود که در خانه یا تلفن همراه با پیشنهاد درخواست وام یا سپرده و از بانکی که با آن کاری ندارد تماس گرفته شود. همین امر در مورد پیشنهادهای خرید از برخی فروشگاه ها نیز صدق می کند. شماره شما از کجا آمده است؟

همه چیز ساده است. اگر شخصی قبلاً وام گرفته یا در یک حساب سپرده سرمایه گذاری کرده باشد، طبیعتاً داده های او در یک حساب ذخیره می شود. هنگام تماس از بانک یا فروشگاه دیگر، تنها نتیجه می توان گرفت: اطلاعات مربوط به او به طور غیرقانونی به دست ثالث افتاد. چگونه؟ در حالت کلی، دو گزینه قابل تشخیص است: یا به سرقت رفته است یا عمداً توسط کارمندان بانک به اشخاص ثالث منتقل شده است. برای جلوگیری از وقوع چنین مواردی، لازم است به موقع حسابرسی امنیت اطلاعات بانک انجام شود و این امر نه تنها در مورد ابزارهای امنیتی رایانه ای یا «آهنی»، بلکه برای همه پرسنل مؤسسه بانکی صدق می کند.

حوزه های اصلی ممیزی امنیت اطلاعات

با توجه به دامنه چنین حسابرسی، به عنوان یک قاعده، آنها با چندین مورد متمایز می شوند:

• تأیید کامل اشیاء درگیر در فرآیندهای اطلاعاتی (سیستم های خودکار رایانه ای، وسایل ارتباطی، دریافت، انتقال و پردازش داده های اطلاعاتی، وسایل فنی، محل برگزاری جلسات محرمانه، سیستم های نظارت و غیره).
• بررسی قابلیت اطمینان حفاظت از اطلاعات محرمانه با دسترسی محدود (تعیین کانال های نشت احتمالی و حفره های احتمالی در سیستم امنیتی، امکان دسترسی به آن از خارج با استفاده از روش های استاندارد و غیر استاندارد).
• بررسی تمام ابزارهای فنی الکترونیکی و سیستم‌های رایانه‌ای محلی برای قرار گرفتن در معرض تابش الکترومغناطیسی و پیکاپ‌ها، اجازه خاموش شدن یا غیرقابل استفاده شدن آنها.
• بخش طراحی، که شامل کار بر روی ایجاد یک مفهوم امنیتی و به کارگیری آن در عمل (حفاظت از سیستم های کامپیوتری، اماکن، ارتباطات و غیره) است.

چه زمانی ممیزی لازم است؟

بدون ذکر شرایط بحرانی که حفاظت قبلا نقض شده است، ممیزی امنیت اطلاعات در یک سازمان می تواند در برخی موارد دیگر انجام شود.

به عنوان یک قاعده، این شامل گسترش شرکت، ادغام، تملک، تصاحب توسط سایر شرکت ها، تغییر در مفهوم کسب و کار یا مدیریت، تغییر در قوانین بین المللی یا در قوانین حقوقی در یک کشور واحد، تغییرات کاملا جدی در زیرساخت اطلاعاتی است. .

انواع حسابرسی

امروزه طبقه بندی این نوع حسابرسی، به گفته بسیاری از تحلیلگران و کارشناسان، به خوبی تثبیت نشده است. بنابراین، تقسیم به کلاس ها در برخی موارد می تواند بسیار مشروط باشد. با این وجود، در حالت کلی، ممیزی امنیت اطلاعات را می توان به خارجی و داخلی تقسیم کرد.

حسابرسی خارجی، که توسط کارشناسان مستقلی که حق انجام آن را دارند، انجام می شود، معمولاً یک حسابرسی یکباره است که می تواند توسط مدیریت شرکت، سهامداران، سازمان های مجری قانون و غیره آغاز شود. در نظر گرفته شده است که ممیزی امنیت اطلاعات خارجی توصیه می شود (به جای اجباری) به طور منظم برای یک دوره زمانی مشخص انجام شود. اما برای برخی از سازمان ها و بنگاه ها طبق قانون اجباری است (مثلاً مؤسسات و سازمان های مالی، شرکت های سهامی و ...).

امنیت اطلاعات یک فرآیند مداوم است. این بر اساس "مقررات حسابرسی داخلی" ویژه است. آن چیست؟ در واقع اینها فعالیت های گواهی است که در سازمان و در محدوده زمانی مصوب مدیریت انجام می شود. انجام ممیزی امنیت اطلاعات توسط زیرمجموعه های ساختاری ویژه شرکت ارائه می شود.

طبقه بندی جایگزین انواع حسابرسی

علاوه بر تقسیم بندی فوق به طبقات در حالت کلی، چندین مؤلفه دیگر نیز در طبقه بندی بین المللی پذیرفته شده است:

• بررسی تخصصی وضعیت امنیت اطلاعات و سیستم های اطلاعاتی بر اساس تجربه شخصی کارشناسان انجام دهنده آن؛
• صدور گواهینامه سیستم ها و اقدامات امنیتی برای انطباق با استانداردهای بین المللی (ISO 17799) و اسناد قانونی دولتی تنظیم کننده این حوزه فعالیت.
• تجزیه و تحلیل امنیتی سیستم های اطلاعاتی با استفاده از ابزارهای فنی، با هدف شناسایی آسیب پذیری های احتمالی در مجموعه نرم افزاری و سخت افزاری.

گاهی اوقات می توان از ممیزی به اصطلاح پیچیده که شامل تمامی انواع فوق می باشد نیز استفاده کرد. به هر حال، این اوست که عینی ترین نتایج را می دهد.

تعیین اهداف و مقاصد

هر راستی آزمایی، چه داخلی و چه خارجی، با تعیین اهداف و مقاصد آغاز می شود. به بیان ساده، باید مشخص کنید که چرا، چه چیزی و چگونه بررسی می شود. این روش شناسی بعدی را برای کل فرآیند از پیش تعیین می کند.

وظایف تعیین شده، بسته به ویژگی های ساختار خود شرکت، سازمان، موسسه و فعالیت های آن، می تواند بسیار زیاد باشد. با این حال، در میان همه اینها، اهداف یکپارچه ممیزی امنیت اطلاعات متمایز می شود:

• ارزیابی وضعیت امنیت اطلاعات و سیستم های اطلاعاتی؛
• تجزیه و تحلیل خطرات احتمالی مرتبط با تهدید نفوذ به IP از خارج و روش های ممکن برای اجرای چنین تداخلی.
• محلی سازی سوراخ ها و شکاف ها در سیستم امنیتی؛
• تجزیه و تحلیل انطباق سطح امنیت سیستم های اطلاعاتی با استانداردهای فعلی و قوانین قانونی نظارتی؛
• توسعه و صدور توصیه هایی شامل رفع مشکلات موجود و همچنین بهبود وسایل حفاظتی موجود و معرفی پیشرفت های جدید.

روش و ابزار انجام حسابرسی

حال چند کلمه در مورد نحوه انجام چک و اینکه شامل چه مراحل و ابزاری می شود.

انجام ممیزی امنیت اطلاعات شامل چندین مرحله اصلی است:

• شروع روش حسابرسی (تعریف روشن حقوق و تعهدات حسابرس، تهیه برنامه حسابرسی توسط حسابرس و هماهنگی آن با مدیریت، حل مسئله حدود مطالعه، تحمیل به کارکنان سازمان تعهد به کمک و ارائه اطلاعات لازم به موقع)؛
• جمع آوری داده های اولیه (ساختار سیستم امنیتی، توزیع ابزارهای امنیتی، سطوح عملکرد سیستم امنیتی، تجزیه و تحلیل روش های کسب و ارائه اطلاعات، تعیین کانال های ارتباطی و تعامل IS با سایر ساختارها، سلسله مراتب کاربران شبکه های کامپیوتری، تعریف پروتکل ها و غیره)؛
• انجام ممیزی جامع یا جزئی؛
• تجزیه و تحلیل داده های دریافتی (تجزیه و تحلیل خطرات از هر نوع و مطابقت با استانداردها)؛
• ارائه توصیه هایی برای رفع مشکلات احتمالی؛
• ایجاد اسناد گزارشگری

مرحله اول ساده ترین است، زیرا تصمیم گیری آن منحصراً بین مدیریت شرکت و حسابرس اتخاذ می شود. مرزهای تجزیه و تحلیل را می توان در مجمع عمومی کارکنان یا سهامداران در نظر گرفت. همه اینها بیشتر به حوزه حقوقی مربوط می شود.

مرحله دوم جمع‌آوری داده‌های اولیه، خواه ممیزی امنیت اطلاعات داخلی یا صدور گواهینامه مستقل خارجی باشد، بیشترین منابع را به خود اختصاص می‌دهد. این امر به این دلیل است که در این مرحله نه تنها باید مدارک فنی مربوط به کل مجموعه نرم افزاری و سخت افزاری را مطالعه کرد، بلکه باید یک مصاحبه متمرکز با کارکنان شرکت انجام داد و در بیشتر موارد حتی با پر کردن موارد خاص. پرسشنامه یا پرسشنامه

در مورد مستندات فنی، به دست آوردن اطلاعات در مورد ساختار IP و سطوح اولویت حقوق دسترسی به آن برای کارکنان، تعیین سیستم عمومی و نرم افزار کاربردی (سیستم عامل های مورد استفاده، برنامه های کاربردی برای انجام تجارت، مدیریت آن و حسابداری) مهم است. همچنین ابزارهای حفاظتی نرم افزاری نصب شده و نوع غیر نرم افزاری (آنتی ویروس، فایروال و غیره) علاوه بر این، این شامل بررسی کامل شبکه‌ها و ارائه دهندگان ارائه خدمات ارتباطی (سازمان شبکه، پروتکل‌های مورد استفاده برای اتصال، انواع کانال‌های ارتباطی، روش‌های انتقال و دریافت جریان اطلاعات و موارد دیگر) می‌شود. همانطور که می بینید، این کار زمان زیادی می برد.

مرحله بعدی تعریف روش های ممیزی امنیت اطلاعات است. آنها با سه متمایز می شوند:

• تجزیه و تحلیل ریسک (پیچیده ترین تکنیک، بر اساس تشخیص حسابرس از امکان نفوذ به سیستم اطلاعاتی و نقض یکپارچگی آن با استفاده از تمام روش ها و ابزارهای ممکن).
• ارزیابی انطباق با استانداردها و قوانین قانونی (ساده ترین و کاربردی ترین روش مبتنی بر مقایسه وضعیت فعلی و الزامات استانداردهای بین المللی و اسناد داخلی در زمینه امنیت اطلاعات).
• یک روش ترکیبی که دو روش اول را ترکیب می کند.

پس از دریافت نتایج آزمایش، تجزیه و تحلیل آنها آغاز می شود. ابزارهای ممیزی امنیت اطلاعات که برای تجزیه و تحلیل استفاده می شوند می توانند بسیار متنوع باشند. همه چیز به مشخصات شرکت، نوع اطلاعات، نرم افزار مورد استفاده، ابزارهای امنیتی و غیره بستگی دارد. با این حال، همانطور که از روش اول می بینید، حسابرس عمدتاً باید به تجربه خود تکیه کند.

و این تنها به این معنی است که او باید دارای صلاحیت های مناسب در زمینه فناوری اطلاعات و حفاظت از داده ها باشد. بر اساس این تحلیل، حسابرس خطرات احتمالی را محاسبه می کند.

توجه داشته باشید که او نه تنها باید سیستم‌های عامل یا برنامه‌هایی را که به‌عنوان مثال برای انجام امور تجاری یا حسابداری استفاده می‌شوند، درک کند، بلکه باید به وضوح بفهمد که چگونه یک مهاجم می‌تواند به یک سیستم اطلاعاتی نفوذ کند تا داده‌ها را سرقت، فاسد و از بین ببرد، پیش‌نیازهایی برای نقض در عملکرد رایانه ها، انتشار ویروس ها یا بدافزارها.

بر اساس تجزیه و تحلیل، کارشناس در مورد وضعیت حفاظت نتیجه گیری می کند و توصیه هایی را برای رفع مشکلات موجود یا احتمالی، ارتقاء سیستم امنیتی و غیره ارائه می دهد. در عین حال، توصیه ها باید نه تنها عینی باشند، بلکه باید به وضوح با واقعیت های خصوصیات شرکت مرتبط باشند. به عبارت دیگر، مشاوره در مورد ارتقاء پیکربندی رایانه یا نرم افزار پذیرفته نمی شود. این به همان اندازه در مورد مشاوره در مورد اخراج کارکنان "غیر قابل اعتماد" ، نصب سیستم های ردیابی جدید بدون اشاره خاصی به هدف ، محل نصب و مصلحت آنها صدق می کند.

بر اساس تجزیه و تحلیل، به عنوان یک قاعده، چندین گروه از خطرات متمایز می شوند. در عین حال، از دو شاخص اصلی برای تهیه گزارش خلاصه استفاده می شود: احتمال حمله و آسیب وارد شده به شرکت در نتیجه (از دست دادن دارایی، از دست دادن شهرت، از دست دادن تصویر و غیره). با این حال، امتیازات گروه ها مطابقت ندارد. بنابراین، برای مثال، امتیاز پایین برای احتمال حمله بهترین است. برای آسیب، برعکس است.

تنها پس از آن گزارشی تهیه می شود که در آن تمام مراحل، روش ها و ابزار تحقیق انجام شده به تفصیل شرح داده می شود. با مدیریت توافق شده و توسط دو طرف - شرکت و حسابرس امضا می شود. در صورتی که حسابرسی داخلی باشد، رئیس واحد ساختاری مربوطه چنین گزارشی را تنظیم و پس از آن مجدداً به امضای رئیس می رسد.

ممیزی امنیت اطلاعات: یک مثال

در نهایت، ساده ترین مثال از موقعیتی را که قبلاً اتفاق افتاده است در نظر بگیرید. اتفاقاً برای بسیاری ممکن است بسیار آشنا به نظر برسد.

بنابراین، به عنوان مثال، یک کارمند خاص از یک شرکت که در ایالات متحده مشغول خرید است، پیام رسان ICQ را روی رایانه خود نصب کرد (نام کارمند و نام شرکت به دلایل واضح ذکر نشده است). مذاکرات از طریق این برنامه انجام شد. اما «ICQ» از نظر امنیتی کاملاً آسیب پذیر است. خود کارمند هنگام ثبت شماره در آن زمان یا آدرس ایمیلی نداشت یا به سادگی نمی خواست آن را بدهد. در عوض، او چیزی را نشان داد که شبیه یک ایمیل بود، حتی با دامنه‌ای که وجود ندارد.

مهاجم چه خواهد کرد؟ همانطور که ممیزی امنیت اطلاعات نشان داد، او دقیقاً همان دامنه را ثبت می کرد و ترمینال ثبت دیگری را در آن ایجاد می کرد و پس از آن می توانست پیامی به Mirabilis که مالک سرویس ICQ است با درخواست بازیابی رمز عبور به دلیل مفقود شدن آن ارسال کند. (که انجام خواهد شد). از آنجایی که سرور گیرنده یک سرور ایمیل نبود، یک تغییر مسیر در آن فعال شد - هدایت مجدد به ایمیل موجود مهاجم.

در نتیجه به مکاتبات با شماره ICQ مشخص شده دسترسی پیدا می کند و تغییر آدرس گیرنده کالا در کشور خاصی را به اطلاع تامین کننده می رساند. بنابراین، محموله به جایی ارسال می شود که کسی نمی داند کجاست. و این بی ضررترین مثال است. بله، قلدری کوچک. و در مورد هکرهای جدی تری که قادر به کارهای بسیار بیشتر هستند چه می توان گفت ...

نتیجه

همه اینها به طور خلاصه در مورد ممیزی امنیت IP است. البته در اینجا به تمام جنبه های آن پرداخته نمی شود. دلیل آن فقط این است که عوامل زیادی بر تعیین وظایف و روش های اجرای آن تأثیر می گذارند، بنابراین رویکرد در هر مورد خاص کاملاً فردی است. علاوه بر این، روش ها و ابزارهای حسابرسی امنیت اطلاعات ممکن است برای IS های مختلف متفاوت باشد. با این حال، به نظر می رسد که اصول کلی چنین چک هایی حداقل در سطح اولیه برای بسیاری روشن شود.

مقدمه

حسابرسی نوعی کنترل مستقل و خنثی بر هر حوزه از فعالیت یک شرکت تجاری است که به طور گسترده در عمل اقتصاد بازار به ویژه در زمینه حسابداری استفاده می شود. از نقطه نظر توسعه کلی یک شرکت، ممیزی امنیتی آن کم اهمیت نیست، که شامل تجزیه و تحلیل خطرات مرتبط با امکان اجرای تهدیدات امنیتی، به ویژه با توجه به منابع اطلاعاتی، ارزیابی سطح فعلی امنیت سیستم‌های اطلاعاتی (IS)، بومی‌سازی گلوگاه‌ها در سیستم حفاظتی آن‌ها، ارزیابی انطباق IS با استانداردهای موجود در زمینه امنیت اطلاعات و ارائه توصیه‌هایی برای معرفی مکانیسم‌های جدید و بهبود اثربخشی مکانیسم‌های امنیتی IS موجود.

اگر در مورد هدف اصلی ممیزی امنیت اطلاعات صحبت کنیم، می توان آن را به عنوان ارزیابی سطح امنیتی یک سیستم اطلاعاتی سازمانی برای مدیریت آن به عنوان یک کل با در نظر گرفتن چشم انداز توسعه آن تعریف کرد.

در شرایط مدرن، زمانی که سیستم‌های اطلاعاتی در تمام حوزه‌های شرکت نفوذ می‌کنند و با توجه به نیاز به اتصال آنها به اینترنت، در معرض تهدیدهای داخلی و خارجی قرار می‌گیرند، مشکل امنیت اطلاعات کمتر از اقتصادی یا فیزیکی نمی‌شود. امنیت.

با وجود اهمیت موضوع مورد بررسی برای آموزش متخصصان امنیت اطلاعات، هنوز به عنوان یک دوره مجزا در برنامه های درسی موجود قرار نگرفته و در کتاب های درسی و راهنماها لحاظ نشده است. دلیل این امر فقدان چارچوب نظارتی لازم، عدم آمادگی متخصصان و تجربه عملی ناکافی در زمینه ممیزی امنیت اطلاعات بود.

ساختار کلی کار شامل دنباله ای از موضوعات زیر است:

مدلی برای ساخت یک سیستم امنیت اطلاعات (IS) توصیف شده است که تهدیدها، آسیب پذیری ها، خطرات و اقدامات متقابل اتخاذ شده برای کاهش یا جلوگیری از آنها را در نظر می گیرد.

روش های تحلیل و مدیریت ریسک را در نظر می گیرد.

مفاهیم اساسی ممیزی امنیتی را تشریح می کند و اهداف اجرای آن را تشریح می کند.

استانداردهای اصلی بین المللی و روسی مورد استفاده در ممیزی امنیت اطلاعات را تجزیه و تحلیل می کند.

امکان استفاده از ابزارهای نرم افزاری برای انجام ممیزی IS نشان داده شده است.

انتخاب ساختار توصیف شده کتاب درسی به منظور به حداکثر رساندن جهت گیری دانش آموز برای استفاده عملی از مطالب مورد نظر، اولاً هنگام مطالعه دوره سخنرانی، ثانیاً هنگام گذراندن شیوه های صنعتی (تحلیل وضعیت امنیت اطلاعات) انجام شده است. در شرکت)، مقالات ترم و پایان نامه ها.

مطالب ارائه شده ممکن است برای مدیران و کارمندان خدمات امنیتی و خدمات حفاظت اطلاعات شرکت برای تهیه و اجرای داخلی و اثبات نیاز به ممیزی خارجی امنیت اطلاعات مفید باشد.

فصل اول. حسابرسی امنیتی و روشهای انجام آن

1 مفهوم ممیزی امنیتی

حسابرسی یک بررسی مستقل از حوزه های خاصی از عملکرد سازمان است. تمایز بین حسابرسی خارجی و داخلی حسابرسی خارجی معمولاً یک رویداد یکباره است که به ابتکار مدیریت یا سهامداران سازمان انجام می شود. انجام ممیزی خارجی به طور منظم توصیه می شود و به عنوان مثال، برای بسیاری از مؤسسات مالی و شرکت های سهامی، این یک الزام اجباری از طرف مؤسسان و سهامداران آنها است. حسابرسی داخلی فعالیت مستمری است که بر اساس «آیین نامه حسابرسی داخلی» و بر اساس برنامه ریزی انجام می شود که تهیه آن توسط واحدهای خدمات حراست و به تأیید مدیریت سازمان می رسد.

اهداف ممیزی امنیتی عبارتند از:

تجزیه و تحلیل خطرات مرتبط با احتمال تهدیدات امنیتی علیه منابع؛

ارزیابی سطح فعلی امنیت IP؛

بومی سازی تنگناها در سیستم حفاظت IP؛

ارزیابی انطباق IS با استانداردهای موجود در زمینه امنیت اطلاعات؛

ممیزی امنیتی یک شرکت (شرکت، سازمان) باید به عنوان یک ابزار مدیریتی محرمانه در نظر گرفته شود که به منظور محرمانه بودن، امکان ارائه اطلاعات در مورد نتایج فعالیت های خود را به اشخاص و سازمان های ثالث منتفی می کند.

برای انجام ممیزی امنیت سازمانی، دنباله اقدامات زیر را می توان توصیه کرد.

1. آماده شدن برای ممیزی امنیتی:

انتخاب موضوع حسابرسی (شرکت، ساختمان ها و اماکن فردی، سیستم های فردی یا اجزای آنها).

تشکیل تیمی متشکل از کارشناسان - حسابرسان؛

تعیین دامنه و دامنه ممیزی و تعیین مهلت های مشخص برای کار.

2.انجام ممیزی:

تجزیه و تحلیل کلی از وضعیت امنیتی شی ممیزی.

ثبت، جمع آوری و تأیید داده های آماری و نتایج اندازه گیری های ابزاری خطرات و تهدیدها.

ارزیابی نتایج حسابرسی؛

تهیه گزارشی در مورد نتایج بررسی برای اجزای جداگانه.

3.اتمام ممیزی:

تهیه گزارش نهایی؛

توسعه یک برنامه عملیاتی برای رفع تنگناها و کاستی ها در تضمین امنیت شرکت.

برای انجام موفقیت آمیز ممیزی امنیتی، باید:

مشارکت فعال مدیریت شرکت در اجرای آن؛

عینیت و استقلال حسابرسان (کارشناسان)، شایستگی و حرفه ای بودن آنها؛

رویه راستی آزمایی ساختار یافته به وضوح؛

اجرای فعال اقدامات پیشنهادی برای تضمین و افزایش امنیت.

ممیزی امنیتی نیز به نوبه خود ابزاری مؤثر برای ارزیابی امنیت و مدیریت ریسک است. جلوگیری از تهدیدات امنیتی همچنین به معنای حفاظت از منافع اقتصادی، اجتماعی و اطلاعاتی شرکت است.

از اینجا می توان نتیجه گرفت که ممیزی ایمنی در حال تبدیل شدن به یک ابزار مدیریت اقتصادی است.

بسته به حجم اشیاء تجزیه و تحلیل شده شرکت، دامنه حسابرسی تعیین می شود:

-ممیزی امنیتی کل شرکت در مجتمع؛

-ممیزی امنیتی ساختمان ها و اماکن فردی (امکان اختصاصی)؛

-ممیزی تجهیزات و وسایل فنی انواع و اقسام خاص؛

-ممیزی انواع و زمینه های خاص فعالیت: اقتصادی، زیست محیطی، اطلاعاتی، مالی و غیره.

لازم به تأکید است که حسابرسی به ابتکار حسابرس انجام نمی شود، بلکه به ابتکار مدیریت مؤسسه که در این موضوع ذینفع اصلی است، انجام می شود. حمایت مدیریت شرکت شرط لازم برای حسابرسی است.

حسابرسی مجموعه ای از فعالیت هایی است که علاوه بر خود حسابرس، نمایندگان اکثر بخش های ساختاری شرکت در آن مشارکت دارند. اقدامات همه شرکت کنندگان در این فرآیند باید هماهنگ باشد. بنابراین، در مرحله شروع روش حسابرسی، مسائل سازمانی زیر باید حل شود:

حقوق و تعهدات حسابرس باید به وضوح در شرح وظایف وی و همچنین در مقررات مربوط به حسابرسی داخلی (خارجی) تعریف و مستند شود.

حسابرس باید برنامه حسابرسی را تهیه و با مدیریت موافقت کند.

در مقررات مربوط به حسابرسی داخلی باید مشخص شود، به ویژه اینکه کارکنان مؤسسه موظف به کمک به حسابرس و ارائه کلیه اطلاعات لازم برای حسابرسی هستند.

در مرحله شروع روش حسابرسی، حدود بررسی باید تعیین شود. اگر برخی از زیرسیستم های اطلاعاتی شرکت به اندازه کافی حیاتی نباشند، می توان آنها را از مرزهای بررسی حذف کرد.

سایر سیستم های فرعی ممکن است به دلیل نگرانی های حفظ حریم خصوصی قابل حسابرسی نباشند.

مرزهای نظرسنجی در دسته بندی های زیر تعریف می شود:

فهرست منابع فیزیکی، نرم افزاری و اطلاعاتی بررسی شده.

2.سایت‌ها (اتاق‌هایی) که در محدوده‌های بررسی قرار می‌گیرند.

3.انواع اصلی تهدیدات امنیتی در نظر گرفته شده در طول ممیزی.

4.جنبه های سازمانی (قانونی، اداری و رویه ای)، فیزیکی، نرم افزاری و سخت افزاری و سایر جنبه های امنیتی که باید در نظرسنجی مورد توجه قرار گیرد و اولویت های آنها (تا چه حد باید در نظر گرفته شود).

طرح و حدود حسابرسی در یک جلسه کاری که با حضور حسابرسان، مدیریت شرکت و روسای بخش‌های ساختاری برگزار می‌شود، مورد بحث و بررسی قرار می‌گیرد.

برای درک حسابرسی IS به عنوان یک سیستم پیچیده، می توان از مدل مفهومی آن که در شکل 1 نشان داده شده است استفاده کرد. 1.1. در اینجا اجزای اصلی فرآیند ذکر شده است:

موضوع حسابرسی:

هدف حسابرسی:

برنج. 1.1. مدل مفهومی ممیزی امنیت اطلاعات

الزامات؛

روش های مورد استفاده؛

مجریان؛

ترتیب رفتار

از نقطه نظر سازماندهی کار در طول ممیزی IS، سه مرحله اساسی وجود دارد:

1.جمع آوری اطلاعات؛

2.تحلیل داده ها؛

2 روش های تجزیه و تحلیل داده ها برای حسابرسی IS

در حال حاضر سه روش (رویکرد) اصلی برای حسابرسی وجود دارد که تفاوت های چشمگیری با یکدیگر دارند.

اولین روش، پیچیده ترین، مبتنی بر تجزیه و تحلیل ریسک است. بر اساس روش‌های تحلیل ریسک، حسابرس برای IS مورد بررسی مجموعه‌ای از الزامات امنیتی را تعیین می‌کند که به بهترین وجه ویژگی‌های این IS، محیط عملیاتی آن و تهدیدات امنیتی موجود در این محیط را در نظر می‌گیرد. این رویکرد زمان‌برترین است و به بالاترین صلاحیت حسابرس نیاز دارد. کیفیت نتایج حسابرسی، در این مورد، به شدت تحت تأثیر روش تجزیه و تحلیل ریسک و مدیریت مورد استفاده و کاربرد آن در این نوع IP است.

روش دوم، کاربردی ترین، بر استفاده از استانداردهای امنیت اطلاعات متکی است. استانداردها مجموعه ای اساسی از الزامات امنیتی را برای طبقه وسیعی از IS تعریف می کنند که در نتیجه تعمیم رویه جهانی شکل گرفته است. استانداردها ممکن است بسته به سطح امنیت IP که باید ارائه شود، مالکیت آن (سازمان تجاری یا سازمان دولتی)، و هدف (مالی، صنعت، ارتباطات و غیره) مجموعه های مختلفی از الزامات امنیتی را تعریف کنند. در این حالت، حسابرس موظف است مجموعه الزامات استانداردی را که باید برای این IS برآورده شود، به درستی تعیین کند. یک روش نیز برای ارزیابی این مکاتبات مورد نیاز است. به دلیل سادگی (مجموعه الزامات استاندارد برای انجام ممیزی قبلاً توسط استاندارد از پیش تعیین شده است) و قابلیت اطمینان (استاندارد یک استاندارد است و هیچ کس سعی نمی کند الزامات آن را به چالش بکشد)، رویکرد توصیف شده در عمل رایج ترین است (به ویژه هنگام انجام ممیزی خارجی). این اجازه می دهد تا با حداقل هزینه منابع، نتایج معقولی در مورد وضعیت IS بدست آورید.

روش سوم، مؤثرترین، شامل ترکیبی از دو روش اول است.

اگر یک رویکرد مبتنی بر ریسک برای انجام ممیزی امنیتی انتخاب شود، گروه های زیر معمولاً در مرحله تجزیه و تحلیل داده های حسابرسی انجام می شوند:

تجزیه و تحلیل منابع IP شامل منابع اطلاعاتی، نرم افزار و سخت افزار و منابع انسانی.

2.تجزیه و تحلیل گروه های وظیفه حل شده توسط سیستم و فرآیندهای تجاری.

3.ساخت یک مدل (غیررسمی) از منابع IS که رابطه بین اطلاعات، نرم افزار، منابع فنی و انسانی، موقعیت نسبی آنها و راه های تعامل را تعریف می کند.

4.ارزیابی بحرانی بودن منابع اطلاعاتی و همچنین نرم افزار و سخت افزار.

5.تعیین بحرانی بودن منابع با در نظر گرفتن وابستگی متقابل آنها.

6.شناسایی محتمل‌ترین تهدیدات امنیتی برای منابع IP و آسیب‌پذیری‌های امنیتی که این تهدیدات را ممکن می‌سازد.

7.ارزیابی احتمال تهدیدات، میزان آسیب پذیری ها و آسیب به سازمان در صورت اجرای موفقیت آمیز تهدیدات.

8.تعیین میزان ریسک برای هر سه گانه: تهدید - گروه منابع - آسیب پذیری.

مجموعه وظایف ذکر شده کاملاً کلی است. برای حل آنها می توان از تکنیک های مختلف رسمی و غیررسمی، کمی و کیفی، دستی و تحلیل ریسک خودکار استفاده کرد. ماهیت رویکرد از این تغییر نمی کند.

ارزیابی ریسک را می توان با استفاده از مقیاس های کیفی و کمی مختلف انجام داد. نکته اصلی این است که ریسک های موجود به درستی شناسایی و بر اساس درجه اهمیت آنها برای سازمان رتبه بندی شوند. بر اساس چنین تحلیلی، می توان سیستمی از اقدامات اولویت دار ایجاد کرد تا میزان خطرات را تا حد قابل قبولی کاهش دهد.

هنگام انجام ممیزی امنیتی برای انطباق با الزامات استاندارد، حسابرس با اتکا به تجربه خود، قابلیت کاربرد الزامات استاندارد را در IS مورد بررسی و انطباق آن با این الزامات ارزیابی می کند. داده های مربوط به انطباق مناطق مختلف عملیات IS با الزامات استاندارد معمولاً به صورت جدول ارائه می شود. جدول نشان می دهد که کدام الزامات امنیتی در سیستم پیاده سازی نشده اند. بر این اساس، نتیجه گیری در مورد انطباق IS مورد بررسی با الزامات استاندارد و توصیه هایی در مورد اجرای مکانیسم های امنیتی در سیستم برای اطمینان از این انطباق ارائه می شود.

3 تجزیه و تحلیل ریسک های اطلاعات سازمانی

تجزیه و تحلیل ریسک عبارت است از آنچه که ساخت هر سیستم امنیت اطلاعات باید با آن آغاز شود و آنچه برای انجام ممیزی امنیت اطلاعات ضروری است. این شامل فعالیت هایی برای بررسی امنیت شرکت به منظور تعیین اینکه چه منابع و از چه تهدیداتی باید محافظت شوند، و همچنین تا چه حد منابع خاصی نیاز به حفاظت دارند. تعیین مجموعه ای از اقدامات متقابل کافی در دوره مدیریت ریسک انجام می شود. خطر با احتمال ایجاد آسیب و میزان آسیب وارد شده به منابع سیستم های اطلاعاتی (IS) در صورت تهدید امنیتی تعیین می شود.

تجزیه و تحلیل ریسک برای شناسایی ریسک های موجود و ارزیابی بزرگی آنها (برای ارزیابی کمی یا کیفی آنها) است. فرآیند تحلیل ریسک شامل وظایف زیر است:

1.شناسایی منابع IP کلیدی

2.تعیین اهمیت برخی منابع برای سازمان.

3.شناسایی تهدیدها و آسیب پذیری های امنیتی موجود که امکان اجرای تهدیدات را فراهم می کند.

4.محاسبه خطرات مرتبط با اجرای تهدیدات امنیتی.

منابع IP را می توان به دسته های زیر تقسیم کرد:

منابع اطلاعاتی؛

نرم افزار؛

وسایل فنی (سرورها، ایستگاه های کاری، تجهیزات شبکه فعال و غیره)؛

منابع انسانی.

در هر دسته، منابع به کلاس ها و زیر کلاس ها تقسیم می شوند. شناسایی تنها منابعی ضروری است که عملکرد IS را تعیین می کنند و از نقطه نظر تضمین امنیت ضروری هستند.

اهمیت (یا هزینه) یک منبع بر اساس میزان آسیب ناشی از نقض محرمانه بودن، یکپارچگی یا در دسترس بودن این منبع تعیین می شود. معمولاً انواع آسیب های زیر در نظر گرفته می شود:

داده ها افشا، تغییر، حذف یا غیرقابل دسترس شده است.

تجهیزات آسیب دیده یا از بین رفته است؛

یکپارچگی نرم افزار نقض شده است.

در نتیجه اجرای موفقیت آمیز انواع تهدیدات امنیتی زیر می تواند به یک سازمان آسیب وارد شود:

حملات محلی و از راه دور به منابع IP؛

بلایای طبیعی؛

خطاها یا اقدامات عمدی کارکنان داعش؛

خرابی در عملکرد آی سی ناشی از خطا در نرم افزار یا نقص سخت افزار است.

میزان ریسک را می توان بر اساس هزینه منبع، احتمال وقوع تهدید و میزان آسیب پذیری با استفاده از فرمول زیر تعیین کرد:

هزینه منبع x احتمال تهدید ریسک = میزان آسیب پذیری

وظیفه مدیریت ریسک انتخاب مجموعه ای معقول از اقدامات متقابل برای کاهش سطح ریسک به سطح قابل قبولی است. هزینه اجرای اقدامات متقابل باید کمتر از میزان خسارت احتمالی باشد. تفاوت بین هزینه اجرای اقدامات متقابل و میزان خسارت احتمالی باید با احتمال ایجاد خسارت نسبت معکوس داشته باشد.

رویکرد مبتنی بر تجزیه و تحلیل ریسک های اطلاعات سازمانی مهم ترین روش برای تضمین امنیت اطلاعات است. این با این واقعیت توضیح داده می شود که تجزیه و تحلیل ریسک به شما امکان می دهد تا به طور موثر امنیت اطلاعات یک شرکت را مدیریت کنید. برای انجام این کار، در ابتدای تجزیه و تحلیل ریسک، باید مشخص شود که دقیقاً چه چیزی در شرکت تحت حمایت قرار می گیرد، در معرض چه تهدیدهایی قرار دارد و عملکرد حفاظتی. تجزیه و تحلیل ریسک بر اساس اهداف و اهداف فوری حفاظت از نوع خاصی از اطلاعات محرمانه انجام می شود. یکی از مهمترین وظایف در چارچوب حفاظت از اطلاعات، اطمینان از یکپارچگی و در دسترس بودن آن است. در عین حال، باید در نظر داشت که نقض یکپارچگی نه تنها در نتیجه اقدامات عمدی، بلکه به دلایل دیگر نیز ممکن است رخ دهد:

· خرابی تجهیزات منجر به از دست دادن یا تحریف اطلاعات می شود.

· تأثیر فیزیکی، از جمله در نتیجه بلایای طبیعی؛

· خطاهای نرم افزار (از جمله ویژگی های غیر مستند).

بنابراین، اصطلاح «حمله» برای درک نه تنها تأثیر انسانی بر منابع اطلاعاتی، بلکه تأثیر محیطی که سیستم پردازش اطلاعات سازمانی در آن عمل می‌کند، امیدوارکننده‌تر است.

هنگام انجام تجزیه و تحلیل ریسک، موارد زیر ایجاد می شود:

· استراتژی و تاکتیک های کلی انجام "عملیات تهاجمی و عملیات نظامی" توسط متخلف احتمالی؛

· راه های ممکن برای انجام حملات به سیستم پردازش و حفاظت اطلاعات؛

· سناریوی اجرای اقدامات غیرقانونی؛

· ویژگی های کانال های نشت اطلاعات و UA؛

· احتمال برقراری تماس اطلاعاتی (اجرای تهدیدات)؛

· لیست عفونت های اطلاعاتی احتمالی؛

· مدل مزاحم;

· روش برای ارزیابی امنیت اطلاعات

علاوه بر این، برای ایجاد یک سیستم امنیت اطلاعات سازمانی قابل اعتماد، لازم است:

· شناسایی تمام تهدیدات احتمالی برای امنیت اطلاعات؛

· ارزیابی عواقب تظاهرات آنها؛

· با در نظر گرفتن الزامات اسناد نظارتی، اقتصادی، اقدامات و وسایل حفاظتی لازم را تعیین کنید

· مصلحت، سازگاری و بدون درگیری با نرم افزار مورد استفاده؛

· ارزیابی اثربخشی اقدامات و راه حل های انتخاب شده.

برنج. 1.2. سناریوی تجزیه و تحلیل منابع اطلاعاتی

تمام 6 مرحله تحلیل ریسک در اینجا ارائه شده است. در مرحله اول و دوم، اطلاعاتی مشخص می شود که یک راز تجاری برای شرکت محسوب می شود و باید محافظت شود. واضح است که چنین اطلاعاتی در مکان های خاص و در رسانه های خاص ذخیره می شود و از طریق کانال های ارتباطی مخابره می شود. در عین حال، عامل تعیین کننده در فناوری مدیریت اطلاعات، معماری IS است که تا حد زیادی امنیت منابع اطلاعاتی شرکت را تعیین می کند. مرحله سوم تحلیل ریسک، ساخت کانال های دسترسی، نشت یا تاثیر بر منابع اطلاعاتی گره های اصلی IS است. هر کانال دسترسی با مجموعه ای از نقاط مشخص می شود که می توانید اطلاعات را از آنها "حذف کنید". آنها هستند که نشان دهنده آسیب پذیری ها هستند و نیاز به استفاده از وسایلی برای جلوگیری از اثرات نامطلوب بر اطلاعات دارند.

چهارمین مرحله از تجزیه و تحلیل روش های محافظت از تمام نقاط ممکن است تا با اهداف حفاظت مطابقت داشته باشد و نتیجه آن باید شرح شکاف های احتمالی در دفاع از جمله به دلیل ترکیب نامطلوب شرایط باشد.

در مرحله پنجم بر اساس روش ها و ابزارهای شناخته شده فعلی برای غلبه بر خطوط دفاعی، احتمال تحقق تهدید برای هر یک از نقاط حمله احتمالی تعیین می شود.

در مرحله ششم پایانی، آسیب‌های وارد شده به سازمان در صورت اجرای هر یک از حملات ارزیابی می‌شود که همراه با ارزیابی آسیب‌پذیری، امکان دستیابی به فهرست رتبه‌بندی تهدیدات منابع اطلاعاتی را فراهم می‌کند. نتایج کار به شکلی مناسب برای درک آنها و توسعه راه حل هایی برای اصلاح سیستم امنیت اطلاعات موجود ارائه شده است. علاوه بر این، هر منبع اطلاعاتی ممکن است در معرض چندین تهدید بالقوه قرار گیرد. احتمال کل دسترسی به منابع اطلاعاتی از اهمیت اساسی برخوردار است که از احتمالات ابتدایی دسترسی به نقاط جداگانه عبور اطلاعات تشکیل شده است.

ارزش ریسک اطلاعات برای هر منبع به عنوان حاصل ضرب احتمال حمله به منبع، احتمال اجرا و تهدید و آسیب ناشی از نفوذ اطلاعات تعیین می شود. در این کار می توان از روش های مختلف توزین اجزا استفاده کرد.

مجموع ریسک ها برای همه منابع، ارزش کل ریسک را با معماری IS پذیرفته شده و سیستم امنیت اطلاعات تعبیه شده در آن نشان می دهد.

بنابراین، با تغییر گزینه‌های ساخت یک سیستم امنیت اطلاعات و معماری IS، ارائه و در نظر گرفتن مقادیر مختلف ریسک کل با تغییر احتمال تحقق تهدیدها امکان‌پذیر می‌شود. در اینجا یک مرحله بسیار مهم انتخاب یکی از گزینه ها مطابق با معیار تصمیم گیری انتخاب شده است. چنین معیاری ممکن است ریسک قابل قبول یا نسبت هزینه امنیت اطلاعات به ریسک باقیمانده باشد.

هنگام ساخت سیستم های امنیت اطلاعات، تعیین استراتژی مدیریت ریسک برای شرکت نیز ضروری است.

امروزه رویکردهای مختلفی برای مدیریت ریسک وجود دارد.

یکی از رایج ترین آنها کاهش ریسک از طریق استفاده از روش ها و وسایل حفاظتی مناسب است. در اصل رویکرد مرتبط با اجتناب از ریسک است. مشخص است که می توان از برخی از کلاس های خطرات اجتناب کرد: به عنوان مثال، انتقال وب سرور سازمان به خارج از شبکه محلی از خطر دسترسی غیرمجاز به شبکه محلی توسط مشتریان وب جلوگیری می کند.

در نهایت در برخی موارد پذیرش ریسک قابل قبول است. در اینجا مهم است که در مورد معضل زیر تصمیم بگیرید: چه چیزی برای شرکت سودآورتر است - مقابله با خطرات یا عواقب آنها. در این مورد، یک مشکل بهینه سازی باید حل شود.

پس از تعیین استراتژی مدیریت ریسک، ارزیابی نهایی اقدامات برای تضمین امنیت اطلاعات با تهیه نظر کارشناسی در مورد امنیت منابع اطلاعاتی انجام می شود. نظر کارشناسی شامل کلیه مواد تحلیل ریسک و توصیه هایی برای کاهش آنها می باشد.

1.4 روش های ارزیابی ریسک های اطلاعات سازمانی

در عمل از روش های مختلفی برای ارزیابی و مدیریت ریسک های اطلاعاتی در شرکت ها استفاده می شود. در عین حال، ارزیابی ریسک های اطلاعاتی شامل مراحل زیر است:

· شناسایی و ارزیابی کمی منابع اطلاعاتی شرکت هایی که برای تجارت مهم هستند.

· ارزیابی تهدیدات احتمالی؛

· ارزیابی آسیب پذیری های موجود؛

· ارزیابی اثربخشی ابزارهای امنیت اطلاعات

فرض بر این است که منابع اطلاعاتی آسیب پذیر شرکت که برای کسب و کار مهم هستند در صورت وجود هرگونه تهدیدی در معرض خطر هستند. به عبارت دیگر، خطرات خطری را مشخص می کند که اجزای یک سیستم اینترنت/اینترانت شرکتی ممکن است در معرض آن قرار گیرند. در عین حال، ریسک های اطلاعاتی شرکت به موارد زیر بستگی دارد:

· از شاخص های ارزش منابع اطلاعاتی؛

· احتمال تحقق تهدیدات برای منابع؛

· اثربخشی ابزارهای موجود یا برنامه ریزی شده برای تضمین امنیت اطلاعات.

هدف از ارزیابی ریسک تعیین ویژگی های ریسک سیستم اطلاعات شرکت و منابع آن است. در نتیجه ارزیابی ریسک، انتخاب ابزاری که سطح مطلوبی از امنیت اطلاعات سازمانی را فراهم می کند، ممکن می شود. هنگام ارزیابی ریسک ها، ارزش منابع، اهمیت تهدیدات و آسیب پذیری ها، اثربخشی ابزارهای حفاظتی موجود و برنامه ریزی شده در نظر گرفته می شود. خود شاخص های منابع، اهمیت تهدیدات و آسیب پذیری ها، اثربخشی ابزارهای حفاظتی را می توان هم با روش های کمی، به عنوان مثال، هنگام تعیین ویژگی های هزینه، و هم با روش های کیفی، به عنوان مثال، با در نظر گرفتن غیر طبیعی معمول یا بسیار خطرناک تعیین کرد. اثرات زیست محیطی

امکان تحقق یک تهدید با احتمال تحقق آن در یک دوره زمانی معین برای برخی منابع سازمانی برآورد می شود. در عین حال، احتمال تحقق تهدید توسط شاخص های اصلی زیر تعیین می شود:

· هنگام در نظر گرفتن تهدید ناشی از تأثیر عمدی انسانی از جذابیت منبع استفاده می شود.

· امکان استفاده از منبع برای تولید درآمد هنگام در نظر گرفتن تهدید ناشی از تأثیر عمدی انسانی؛

· از قابلیت های فنی اجرای تهدید با تأثیر عمدی انسانی استفاده می شود.

· درجه سهولتی که می توان با آن آسیب پذیری را مورد سوء استفاده قرار داد.

در حال حاضر روش های جدولی زیادی برای ارزیابی ریسک های اطلاعاتی یک شرکت وجود دارد. مهم است که پرسنل امنیتی روش مناسب را برای خود انتخاب کنند که نتایج قابل تکرار صحیح و قابل اعتمادی را ارائه دهد.

توصیه می شود شاخص های کمی منابع اطلاعاتی بر اساس نتایج نظرسنجی از کارمندان شرکت ها - صاحبان اطلاعات ارزیابی شوند، یعنی مقاماتی که می توانند ارزش اطلاعات، ویژگی های آن و درجه بحرانی بودن را بر اساس وضعیت واقعی تعیین کنند. از امور بر اساس نتایج نظرسنجی، ارزیابی شاخص‌ها و میزان بحرانی بودن منابع اطلاعاتی برای بدترین سناریو تا در نظر گرفتن تأثیرات احتمالی بر فعالیت‌های تجاری شرکت در صورت دسترسی غیرمجاز احتمالی به اطلاعات محرمانه انجام می‌شود. اطلاعات، نقض یکپارچگی آن، در دسترس نبودن برای دوره های مختلف ناشی از انکار در نگهداری داده های پردازشی سیستم ها و حتی تخریب فیزیکی است. در عین حال، فرآیند به دست آوردن شاخص های کمی را می توان با روش های مناسب برای ارزیابی سایر منابع مهم سازمانی با در نظر گرفتن موارد زیر تکمیل کرد:

· ایمنی پرسنل؛

· افشای اطلاعات خصوصی؛

· الزامات مربوط به انطباق با قوانین و مقررات؛

· محدودیت های ناشی از قانون؛

· منافع تجاری و اقتصادی؛

· زیان مالی و اختلال در فعالیت های تولیدی؛

· روابط عمومی؛

· سیاست تجاری و عملیات تجاری؛

· از دست دادن شهرت شرکت

بعلاوه، در جاهایی که مجاز و موجه باشد از شاخص های کمی استفاده می شود و در مواردی که برآوردهای کمی به دلایلی دشوار است، از شاخص های کیفی استفاده می شود. در عین حال، بیشترین مورد استفاده، ارزیابی شاخص های کیفی با استفاده از مقیاس های نقطه ای است که به طور خاص برای این منظور توسعه یافته اند، به عنوان مثال، با مقیاس چهار نقطه ای.

مرحله بعدی پر کردن دو پرسشنامه است که در آن، برای هر نوع تهدید و گروه منابع مرتبط با آن، سطوح تهدید به عنوان احتمال تحقق تهدیدات و سطوح آسیب پذیری به عنوان درجه سهولت یک تهدید تحقق یافته ارزیابی می شود. می تواند منجر به تأثیر منفی شود. ارزیابی در مقیاس های کیفی انجام می شود. به عنوان مثال، سطح تهدیدات و آسیب پذیری ها در مقیاس بالا به پایین رتبه بندی می شود. اطلاعات لازم با مصاحبه با مدیران ارشد شرکت، کارکنان بخش های بازرگانی، فنی، پرسنلی و خدماتی، مراجعه به میدان و تجزیه و تحلیل مستندات شرکت جمع آوری می شود.

در کنار روش های جدولی برای ارزیابی ریسک های اطلاعاتی می توان از روش های نوین ریاضی برای مثال روش دلفی و همچنین سیستم های خودکار خاص استفاده کرد که در ادامه به برخی از آنها پرداخته خواهد شد.

الگوریتم کلی فرآیند ارزیابی ریسک (شکل 1.3.) در این سیستم ها شامل مراحل زیر می باشد.

· شرح شیء و اقدامات حفاظتی؛

· شناسایی منبع و ارزیابی شاخص های کمی آن (تعیین تأثیر منفی بالقوه بر تجارت).

· تجزیه و تحلیل تهدیدات امنیت اطلاعات؛

· ارزیابی آسیب پذیری؛

· ارزیابی ابزارهای موجود و پیشنهادی

تضمین امنیت اطلاعات؛

· ارزیابی ریسک

5 مدیریت ریسک اطلاعات

در حال حاضر مدیریت ریسک اطلاعات یکی از مرتبط ترین و پویاترین حوزه های مدیریت استراتژیک و عملیاتی در حوزه امنیت اطلاعات است. وظیفه اصلی آن شناسایی و ارزیابی عینی مهم ترین ریسک های اطلاعاتی برای تجارت شرکت و همچنین کفایت کنترل های ریسک مورد استفاده برای افزایش کارایی و سودآوری فعالیت اقتصادی شرکت است. بنابراین، اصطلاح "مدیریت ریسک اطلاعات" معمولاً به عنوان یک فرآیند سیستمی برای شناسایی، کنترل و کاهش خطرات اطلاعاتی شرکت ها مطابق با محدودیت های خاص چارچوب نظارتی روسیه در زمینه حفاظت از اطلاعات و خط مشی امنیتی شرکت خود درک می شود.

برنج. 1.3. الگوریتم ارزیابی ریسک

استفاده از سیستم های اطلاعاتی با مجموعه ای از خطرات همراه است. هنگامی که آسیب احتمالی به طور غیرقابل قبولی بالا باشد، اقدامات حفاظتی مقرون به صرفه مورد نیاز است. ارزیابی دوره ای (دوباره) خطرات برای نظارت بر اثربخشی فعالیت های امنیتی و در نظر گرفتن تغییرات در محیط ضروری است.

ماهیت فعالیت های مدیریت ریسک این است که اندازه آنها را ارزیابی کنید، اقدامات موثر و مقرون به صرفه برای کاهش ریسک ایجاد کنید و سپس اطمینان حاصل کنید که ریسک ها در محدوده قابل قبول هستند (و همچنان باقی می مانند). بنابراین، مدیریت ریسک شامل دو نوع فعالیت است که به صورت دوره ای متناوب می شوند:

)(دوباره) ارزیابی (اندازه گیری) خطرات؛

)انتخاب ابزار حفاظتی موثر و اقتصادی (کاهش خطر).

در رابطه با خطرات شناسایی شده، اقدامات زیر امکان پذیر است:

· از بین بردن خطر (به عنوان مثال، با از بین بردن علت)؛

· کاهش خطر (به عنوان مثال، از طریق استفاده از تجهیزات حفاظتی اضافی)؛

· پذیرش ریسک (با تدوین برنامه اقدام در شرایط مناسب):

· انتقال ریسک (مثلاً با انعقاد قرارداد بیمه).

فرآیند مدیریت ریسک را می توان به مراحل زیر تقسیم کرد:

1.انتخاب اشیاء تجزیه و تحلیل شده و سطح جزئیات در نظر گرفتن آنها.

2.انتخاب روش ارزیابی ریسک

.شناسایی دارایی

.تحلیل تهدیدها و پیامدهای آن، شناسایی آسیب‌پذیری‌ها در حفاظت.

.ارزیابی ریسک

.انتخاب اقدامات حفاظتی

.اجرا و تایید اقدامات انتخاب شده.

.ارزیابی ریسک باقیمانده

مراحل 6 و مربوط به انتخاب تجهیزات حفاظتی (خنثی سازی و خطرات)، بقیه - به ارزیابی خطر.

شمارش مراحل قبلاً نشان می دهد که مدیریت ریسک یک فرآیند چرخه ای است. در اصل، آخرین مرحله یک عبارت پایان حلقه است که به شما می گوید به ابتدا برگردید. ریسک ها باید دائماً پایش شوند و به صورت دوره ای آنها را مجدداً ارزیابی کرد. لازم به ذکر است که یک ارزیابی مستند می تواند فعالیت های بعدی را تا حد زیادی ساده کند.

مدیریت ریسک، مانند هر فعالیت دیگر امنیت اطلاعات، باید در چرخه حیات IP ادغام شود. در این صورت تأثیر بیشترین مقدار است و هزینه ها حداقل است.

مدیریت ریسک باید در تمام مراحل چرخه حیات سیستم اطلاعاتی انجام شود: راه اندازی - توسعه - نصب - بهره برداری - دفع (از رده خارج کردن).

در مرحله شروع، هنگام توسعه الزامات برای سیستم به طور کلی و ابزارهای امنیتی به طور خاص، باید خطرات شناخته شده در نظر گرفته شود.

در مرحله توسعه، دانستن خطرات به شما کمک می کند تا راه حل های معماری مناسبی را انتخاب کنید که نقش کلیدی در تضمین امنیت دارند.

در مرحله نصب، خطرات شناسایی شده باید هنگام پیکربندی، آزمایش و تأیید فرمول قبلی در نظر گرفته شود.

الزامات، و یک چرخه کامل از مدیریت ریسک باید قبل از معرفی سیستم به بهره برداری باشد.

در طول مرحله عملیاتی، مدیریت ریسک باید با تمام تغییرات مهم در سیستم همراه باشد.

هنگامی که یک سیستم از کار افتاده است، مدیریت ریسک کمک می کند تا اطمینان حاصل شود که انتقال داده ها به شیوه ای ایمن انجام می شود.

فصل دوم. استانداردهای امنیت اطلاعات

1 پیش نیازهای ایجاد استانداردهای امنیت اطلاعات

انجام ممیزی امنیت اطلاعات مبتنی بر استفاده از توصیه های متعددی است که عمدتاً در استانداردهای بین المللی امنیت اطلاعات بیان شده است.

یکی از نتایج ممیزی در سالهای اخیر به طور فزاینده ای به گواهینامه ای تبدیل شده است که انطباق IS مورد بررسی را با یک استاندارد بین المللی شناخته شده خاص تأیید می کند. وجود چنین گواهینامه ای به سازمان اجازه می دهد تا مزیت های رقابتی مرتبط با اعتماد بیشتر مشتریان و شرکا را به دست آورد.

استفاده از استانداردها به پنج هدف زیر کمک می کند.

ابتدا، اهداف تضمین امنیت اطلاعات سیستم های کامپیوتری به طور دقیق تعریف شده است. دوم، یک سیستم مدیریت امنیت اطلاعات موثر در حال ایجاد است. ثالثاً، محاسبه مجموعه ای از شاخص های جزئی نه تنها کیفی، بلکه کمی نیز برای ارزیابی انطباق امنیت اطلاعات با اهداف بیان شده ارائه شده است. چهارم، شرایط برای استفاده از ابزار (نرم افزار) موجود برای تضمین امنیت اطلاعات و ارزیابی وضعیت فعلی آن ایجاد می شود. پنجم، امکان استفاده از تکنیک های مدیریت امنیتی با یک سیستم معقول از معیارها و اقدامات برای اطمینان از توسعه دهندگان سیستم های اطلاعاتی را باز می کند.

از ابتدای دهه 80 ده ها استاندارد بین المللی و ملی در زمینه امنیت اطلاعات ایجاد شده است که تا حدی مکمل یکدیگر هستند. در زیر مشهورترین استانداردها را با توجه به گاهشماری ایجاد آنها در نظر خواهیم گرفت:

)معیارهای ارزیابی قابلیت اطمینان سیستم های کامپیوتری "Orange Book" (USA);

)معیارهای هماهنگ کشورهای اروپایی؛

)X.800 توصیه ها;

)استاندارد آلمانی BSI;

)استاندارد بریتانیا BS 7799;

)استاندارد ISO 17799;

)استاندارد "معیارهای عمومی" ISO 15408;

)استاندارد COBIT

این استانداردها را می توان به دو نوع تقسیم کرد:

· استانداردهای ارزیابی با هدف طبقه بندی سیستم های اطلاعاتی و وسایل حفاظتی بر اساس الزامات امنیتی؛

· مشخصات فنی حاکم بر جنبه های مختلف اجرای ویژگی های امنیتی.

توجه به این نکته ضروری است که هیچ دیوار خالی بین این نوع اسناد نظارتی وجود ندارد. استانداردهای ارزیابی مهمترین جنبه های IS را از نظر امنیت اطلاعات برجسته می کنند که نقش مشخصات معماری را ایفا می کند. سایر مشخصات فنی نحوه ساخت یک IC از یک معماری تجویز شده را تعریف می کند.

2 استاندارد "معیارهای ارزیابی قابلیت اطمینان سیستم های کامپیوتری" (کتاب نارنجی)

از لحاظ تاریخی، اولین استاندارد ارزیابی که فراگیر شد و تأثیر زیادی بر پایگاه استانداردسازی امنیت اطلاعات در بسیاری از کشورها داشت، استاندارد وزارت دفاع ایالات متحده «معیارهای ارزیابی سیستم های رایانه ای مورد اعتماد» بود.

این اثر که اغلب با رنگ جلد آن به عنوان کتاب نارنجی شناخته می شود، اولین بار در اوت 1983 منتشر شد. نام آن به تنهایی نیاز به تفسیر دارد. این در مورد امن نیست، بلکه در مورد سیستم های قابل اعتماد است، یعنی سیستم هایی که می توان درجه خاصی از اعتماد به آنها داد.

کتاب نارنجی مفهوم یک سیستم امن را توضیح می دهد که "با ابزارهای مناسب، دسترسی به اطلاعات را کنترل می کند، به طوری که فقط افراد یا فرآیندهایی که از طرف آنها مجاز هستند مجاز به خواندن، نوشتن، ایجاد و حذف اطلاعات باشند."

با این حال، واضح است که سیستم های کاملاً ایمن وجود ندارند، این یک انتزاع است. منطقی است که فقط میزان اعتمادی را که می توان به یک سیستم خاص داد، ارزیابی کرد.

کتاب نارنجی سیستم قابل اعتماد را اینگونه تعریف می کند: «سیستمی که از سخت افزار و نرم افزار کافی استفاده می کند تا به گروهی از کاربران اجازه دهد تا اطلاعات با درجات مختلف امنیتی را به طور همزمان پردازش کنند، بدون اینکه حقوق دسترسی را نقض کنند».

لازم به ذکر است که در معیارهای مورد بررسی، هم امنیت و هم اعتماد صرفاً از منظر کنترل دسترسی به داده ها که یکی از ابزارهای اطمینان از محرمانه بودن و یکپارچگی اطلاعات است، ارزیابی می شود. در عین حال، کتاب نارنجی بر مسائل دسترسی تأثیری نمی گذارد.

درجه اعتماد بر اساس دو معیار اصلی ارزیابی می شود.

.خط مشی امنیتی مجموعه ای از قوانین، قوانین و آیین نامه های رفتاری است که بر نحوه پردازش، حفاظت و توزیع اطلاعات توسط یک سازمان نظارت می کند. به طور خاص، قوانین تعیین می کنند که در چه مواردی کاربر می تواند بر روی مجموعه داده های خاص کار کند. هر چه میزان اعتماد به سیستم بالاتر باشد، سیاست امنیتی باید سخت‌گیرانه‌تر و متنوع‌تر باشد. بسته به خط مشی تدوین شده، مکانیسم های امنیتی خاصی را می توان انتخاب کرد. سیاست امنیتی یک جنبه فعال حفاظت از جمله تجزیه و تحلیل تهدیدات احتمالی و انتخاب اقدامات متقابل است.

.سطح اطمینان معیاری از اطمینان است که می توان به معماری و اجرای یک IS داد. تضمین امنیت می تواند هم از تجزیه و تحلیل نتایج آزمایش و هم از تأیید (رسمی یا غیر رسمی) طراحی و اجرای کلی سیستم به عنوان یک کل و اجزای جداگانه آن حاصل شود. سطح اطمینان نشان می دهد که مکانیسم های مسئول اجرای سیاست امنیتی چقدر صحیح هستند. این جنبه انفعالی حفاظت است.

ابزار اصلی تضمین امنیت با مکانیسم پاسخگویی (logging) تعیین می شود. یک سیستم قابل اعتماد باید تمام رویدادهای مربوط به امنیت را ثبت کند. صورتجلسه باید با حسابرسی، یعنی تجزیه و تحلیل اطلاعات ثبت تکمیل شود. مفهوم یک پایگاه محاسباتی قابل اعتماد برای ارزیابی درجه اعتماد امنیتی مرکزی است. یک پایگاه محاسباتی قابل اعتماد مجموعه ای از مکانیسم های حفاظتی IS (شامل سخت افزار و نرم افزار) است که مسئول اجرای یک خط مشی امنیتی است. کیفیت پایه محاسباتی صرفاً با اجرای آن و صحت داده های اولیه وارد شده توسط مدیر سیستم تعیین می شود.

ممکن است اجزای مورد نظر خارج از پایگاه محاسباتی قابل اعتماد نباشند، اما این نباید بر امنیت سیستم به عنوان یک کل تأثیر بگذارد. در نتیجه، برای ارزیابی اطمینان در امنیت IS، نویسندگان استاندارد توصیه می‌کنند که فقط پایه محاسباتی آن را در نظر بگیرید.

هدف اصلی یک پایگاه محاسباتی قابل اعتماد، انجام عملکردهای یک مانیتور تماس است، یعنی کنترل پذیرفتن افراد (کاربران) که عملیات خاصی را بر روی اشیا (موجودات غیرفعال) انجام می دهند. مانیتور دسترسی هر کاربر به برنامه ها یا داده ها را برای سازگاری با مجموعه اقدامات مجاز برای کاربر بررسی می کند.

یک مانیتور تماس باید سه ویژگی داشته باشد:

انزوا. لازم به ذکر است که امکان نظارت بر عملکرد مانیتور وجود دارد.

کامل بودن. مانیتور باید در هر تماسی فراخوانی شود، نباید راهی برای دور زدن آن وجود داشته باشد.

اثباتپذیری. مانیتور باید فشرده باشد تا بتوان آن را با اطمینان از کامل بودن تست آنالیز و تست کرد.

به پیاده سازی مانیتور مرجع، هسته امنیتی می گویند. هسته امنیتی پایه ای است که تمام مکانیسم های دفاعی بر روی آن ساخته شده است. علاوه بر ویژگی های مانیتور مرجع ذکر شده در بالا، هسته باید تغییر ناپذیری خود را تضمین کند.

مرز پایگاه محاسباتی قابل اعتماد، محیط امنیتی نامیده می شود. همانطور که قبلا ذکر شد، اجزایی که خارج از محیط امنیتی قرار دارند، به طور کلی، ممکن است قابل اعتماد نباشند. با توسعه سیستم های توزیع شده، مفهوم "محیط امنیتی" به طور فزاینده ای معنای متفاوتی پیدا می کند که به معنای مرز دارایی های یک سازمان خاص است. آنچه در داخل دامنه است قابل اعتماد در نظر گرفته می شود، اما آنچه در خارج است قابل اعتماد نیست.

طبق کتاب نارنجی، یک سیاست امنیتی باید شامل عناصر زیر باشد:

· کنترل دسترسی دلخواه؛

· امنیت استفاده مجدد از شی.

· برچسب های امنیتی؛

· کنترل دسترسی اجباری

کنترل دسترسی خودسرانه روشی برای محدود کردن دسترسی به اشیا بر اساس هویت سوژه یا گروهی است که موضوع به آن تعلق دارد. خودسری کنترل در این واقعیت نهفته است که شخصی (معمولاً صاحب شیء) می تواند به صلاحدید خود حقوق دسترسی به شی را به سایر افراد واگذار کند یا سلب کند.

امنیت استفاده مجدد از شیء افزودنی مهمی برای کنترل های دسترسی است که از استخراج تصادفی یا عمدی اطلاعات حساس از زباله ها جلوگیری می کند. امنیت استفاده مجدد باید برای مناطق رم (به ویژه برای بافرهایی با تصاویر صفحه، رمزهای رمزگشایی شده و غیره)، برای بلوک های دیسک و رسانه های مغناطیسی به طور کلی تضمین شود.

3 استاندارد BSI آلمان

در سال 1998 "راهنمای امنیت فناوری اطلاعات برای سطح پایه" در آلمان منتشر شد. دفترچه راهنما یک ابرمتن حدود 4 مگابایت (فرمت HTML) است. متعاقباً در قالب استاندارد BSI آلمان رسمیت یافت. بر اساس متدولوژی و اجزای کلی مدیریت امنیت اطلاعات است:

· روش کلی مدیریت امنیت اطلاعات (سازمان مدیریت امنیت اطلاعات، روش استفاده از راهنما).

· توضیحات اجزای فناوری اطلاعات نوین.

· اجزای اصلی (سطح سازمانی امنیت اطلاعات، سطح رویه ای، سازماندهی حفاظت از داده ها، برنامه ریزی اضطراری).

· زیرساخت (ساختمان ها، اماکن، شبکه های کابلی، سازمان دسترسی از راه دور).

· اجزای کلاینت از انواع مختلف (DOS، Windows، UNIX، اجزای موبایل، انواع دیگر).

· انواع شبکه ها (اتصالات نقطه به نقطه، شبکه های Novell NetWare، شبکه های دارای OC ONIX و Windows، شبکه های ناهمگن).

· عناصر سیستم های انتقال داده (ایمیل، مودم، فایروال و غیره).

· مخابرات (فکس، منشی تلفنی، سیستم های یکپارچه مبتنی بر ISDN، سایر سیستم های مخابراتی).

· نرم افزار استاندارد

· پایگاه داده.

· توضیحات اجزای اصلی سازماندهی رژیم امنیت اطلاعات (سطوح سازمانی و فنی حفاظت از داده ها، برنامه ریزی اضطراری، پشتیبانی تداوم کسب و کار).

· ویژگی های اشیاء اطلاعات سازی (ساختمان ها، اماکن، شبکه های کابلی، مناطق کنترل شده).

· ویژگی‌های دارایی‌های اطلاعاتی اصلی شرکت (شامل سخت‌افزار و نرم‌افزار، مانند ایستگاه‌های کاری و سرورهایی که سیستم‌عامل‌های خانواده‌های DOS، Windows و UNIX را اجرا می‌کنند).

· ویژگی های شبکه های کامپیوتری مبتنی بر فناوری های مختلف شبکه مانند شبکه های Novell Net Ware، شبکه های یونیکس و ویندوز).

· ویژگی های تجهیزات مخابراتی فعال و غیرفعال از فروشندگان پیشرو مانند سیسکو سیستمز.

· کاتالوگ های دقیق تهدیدات و کنترل های امنیتی (بیش از 600 مورد در هر کاتالوگ).

انواع تهدیدات در استاندارد BSI به کلاس های زیر تقسیم می شوند:

· شرایط فورس ماژور

· معایب اقدامات سازمانی.

· اشتباهات انسانی

· مسائل فنی

· اقدامات عمدی

اقدامات متقابل به طور مشابه طبقه بندی می شوند:

· بهبود زیرساخت ها؛

· اقدامات متقابل اداری؛

· اقدامات متقابل رویه ای؛

· اقدامات متقابل نرم افزاری و سخت افزاری؛

· کاهش آسیب پذیری ارتباطات؛ برنامه ریزی اضطراری

تمامی اجزاء بر اساس طرح زیر در نظر گرفته و شرح داده می شوند:

)توضیحات کلی؛

)سناریوهای احتمالی تهدیدات امنیتی (تهدیدهای قابل اعمال برای این مؤلفه از فهرست تهدیدات امنیتی ذکر شده است).

)اقدامات متقابل احتمالی (تهدیدهای قابل اعمال برای این جزء را از فهرست تهدیدات امنیتی فهرست می کند).

4 استاندارد بریتانیا BS 7799