ممیزی خارجی امنیت اطلاعات یک نهاد دولتی. تجزیه و تحلیل داده های حسابرسی

12.06.2019 بررسی ها

این مقاله روش انجام ممیزی امنیتی سیستم های اطلاعاتی (IS) را خلاصه می کند، مفهوم ممیزی امنیتی را ارائه می دهد، اهداف انجام آن، روش های مورد استفاده و مراحل کار، روش های تجزیه و تحلیل و مدیریت ریسک مورد استفاده توسط حسابرسان را مورد بحث قرار می دهد. و ابزار اجرای آنها، استانداردهای فعلی و سیستم های صدور گواهینامه برای IS که در آن ممیزی امنیتی انجام می شود.

الکساندر آستاخوف، CISA، 2002
اپیگراف
مشارکت در تطبیق سیستم های اطلاعاتی با استانداردها و دستورالعمل های پذیرفته شده؛
انجام فعالیت های خود مطابق با استانداردهای مربوط به سیستم های اطلاعاتی حسابرسی مصوب ایساکا.
در راستای منافع کارفرمایان، سهامداران، مشتریان و جامعه به شیوه ای کوشا، وفادار و صادقانه عمل کنید.
آگاهانه در فعالیت های غیرقانونی یا غیر صادقانه شرکت نکنند.
به محرمانه بودن اطلاعات به دست آمده در انجام وظایف خود احترام بگذارند.
از اطلاعات محرمانه برای منافع شخصی استفاده نکنید و بدون اجازه مالک آن را به اشخاص ثالث منتقل نکنید.
وظایف خود را با حفظ استقلال و عینی انجام دهند.
اجتناب از فعالیت هایی که استقلال حسابرس را به خطر می اندازد.
صلاحیت خود را در زمینه های دانش مربوط به حسابرسی سیستم های اطلاعاتی با شرکت در رویدادهای حرفه ای در سطح مناسب حفظ کنند.
در به دست آوردن و مستندسازی مطالب واقعی که نتیجه‌گیری‌ها و توصیه‌های حسابرس مبتنی بر آن است، کوشا باشید.
به اطلاع کلیه اشخاص ذینفع در مورد نتایج حسابرسی.
کمک به افزایش آگاهی مدیریت سازمان ها، مشتریان و جامعه در امور مربوط به حسابرسی سیستم های اطلاعاتی؛
رعایت استانداردهای اخلاقی بالا در فعالیت های حرفه ای و شخصی؛
ویژگی های شخصی خود را بهبود بخشید.

منشور اخلاقی حسابرس سیستم های اطلاعاتی
(آیساکا کد اخلاق حرفه ای)

مفهوم ممیزی امنیتی و هدف از اجرای آن

حسابرسی یک بررسی مستقل از حوزه های خاصی از عملکرد سازمان است. تمایز بین حسابرسی خارجی و داخلی حسابرسی خارجی معمولاً رویدادی است که یک بار به ابتکار مدیریت یا سهامداران سازمان انجام می شود. انجام ممیزی خارجی به طور منظم توصیه می شود و به عنوان مثال، برای بسیاری از مؤسسات مالی و شرکت های سهامی این یک الزام اجباری است. حسابرسی داخلی فعالیت مستمری است که بر اساس «آیین نامه حسابرسی داخلی» و بر اساس برنامه ریزی انجام می شود که تهیه آن توسط واحد حسابرسی داخلی و به تأیید مدیریت سازمان می رسد. حسابرسی امنیت سیستم های اطلاعاتی یکی از اجزای ممیزی فناوری اطلاعات است. اهداف ممیزی امنیتی عبارتند از:

تجزیه و تحلیل خطرات مرتبط با احتمال تهدیدات امنیتی علیه منابع IP

توجه داشته باشید:

شاید این پایان مجموعه اهداف برای انجام ممیزی امنیتی باشد، اما به شرطی که ممیزی خارجی باشد. وظایف اضافی برای حسابرس داخلی، علاوه بر کمک به حسابرسان خارجی، ممکن است شامل موارد زیر نیز باشد:

توسعه سیاست های امنیتی و سایر اسناد سازمانی و اداری برای حفاظت از اطلاعات و مشارکت در اجرای آنها در کار سازمان.
تعیین وظایف برای پرسنل فناوری اطلاعات مرتبط با امنیت اطلاعات؛
مشارکت در آموزش کاربران IS و پرسنل تعمیر و نگهداری در مورد مسائل امنیت اطلاعات؛
مشارکت در تجزیه و تحلیل حوادث مربوط به نقض امنیت اطلاعات؛
و دیگران.

لازم به ذکر است که تمامی وظایف «اضافی» فوق که حسابرس داخلی با آن مواجه است، به استثنای شرکت در آموزش، اساساً حسابرسی نیست. حسابرس بنا به تعریف باید یک بررسی مستقل از اجرای مکانیزم های امنیتی در سازمان که یکی از اصول اصلی فعالیت حسابرسی است، انجام دهد. اگر حسابرس در اجرای مکانیزم های امنیتی مشارکت فعال داشته باشد، استقلال حسابرس از بین می رود و با آن عینیت قضاوت های وی از بین می رود، زیرا حسابرس نمی تواند کنترل مستقل و عینی بر فعالیت های خود اعمال کند. با این حال، در عمل، حسابرس داخلی، گاهی اوقات به عنوان شایسته ترین متخصص در سازمان در امور امنیت اطلاعات، نمی تواند از اجرای مکانیسم های حفاظتی غافل بماند. (و اگر چنین متخصصی نیست، پس چه کاربرد عملی می تواند داشته باشد؟) علاوه بر این، تقریباً همیشه کمبود نیروی متخصص در این زمینه خاص وجود دارد.

حداقل مشارکت فعال در اجرای همان زیرسیستم ممیزی امنیتی که بتواند داده های اولیه را برای تحلیل وضعیت فعلی در اختیار حسابرس قرار دهد، می تواند و باید بپذیرد. البته در این صورت حسابرس دیگر قادر به ارزیابی عینی اجرای این زیرسیستم نخواهد بود و طبیعتاً از طرح حسابرسی خارج می شود. به طور مشابه، حسابرس داخلی می تواند در توسعه سیاست های امنیتی مشارکت فعال داشته باشد و کیفیت این اسناد را به حسابرسان خارجی بسپارد تا ارزیابی کنند.

مراحل کار بر روی انجام ممیزی از امنیت سیستم های اطلاعاتی

کار بر روی ممیزی امنیت IS شامل تعدادی مراحل متوالی است که به طور کلی با مراحل ممیزی جامع فناوری اطلاعات AU مطابقت دارد که شامل موارد زیر است:

جمع آوری اطلاعات حسابرسی
تجزیه و تحلیل داده های حسابرسی
توسعه توصیه ها
تهیه گزارش حسابرسی

شروع روش حسابرسی

حسابرسی نه به ابتکار حسابرس، بلکه به ابتکار مدیریت شرکت که در این موضوع ذینفع اصلی است، انجام می شود. حمایت مدیریت شرکت پیش نیاز حسابرسی است.

حسابرسی مجموعه ای از فعالیت هاست که علاوه بر خود حسابرس، نمایندگان اکثر بخش های ساختاری شرکت در آن مشارکت دارند. اقدامات همه شرکت کنندگان در این فرآیند باید هماهنگ باشد. بنابراین، در مرحله شروع روش حسابرسی، مسائل سازمانی زیر باید حل شود:

حقوق و تعهدات حسابرس باید به وضوح در شرح وظایف وی و همچنین در مقررات مربوط به حسابرسی داخلی (خارجی) تعریف و مستند شود.
حسابرس باید برنامه حسابرسی را تهیه و با مدیریت موافقت کند.
در آیین نامه حسابرسی داخلی باید مشخص شود که کارکنان شرکت موظفند به حسابرس کمک کنند و کلیه اطلاعات لازم برای حسابرسی را ارائه دهند.

در مرحله شروع روش حسابرسی، حدود بررسی باید تعیین شود. برخی از زیرسیستم های اطلاعاتی شرکت به اندازه کافی حیاتی نیستند و می توان آنها را از مرزهای بررسی خارج کرد. سایر سیستم های فرعی ممکن است به دلیل نگرانی های حفظ حریم خصوصی قابل حسابرسی نباشند.

مرزهای نظرسنجی به شرح زیر تعریف می شود:

فهرست منابع فیزیکی، نرم افزاری و اطلاعاتی بررسی شده؛
سایت ها (امکان) که در محدوده بررسی قرار می گیرند.
انواع اصلی تهدیدات امنیتی در نظر گرفته شده در طول ممیزی؛
جنبه های سازمانی (قانونی، اداری و رویه ای)، فیزیکی، نرم افزاری و سخت افزاری و سایر جنبه های امنیتی که باید در نظرسنجی مورد توجه قرار گیرد و اولویت های آنها (تا چه حد باید در نظر گرفته شود).

طرح و حدود حسابرسی در یک جلسه کاری که با حضور حسابرسان، مدیریت شرکت و روسای بخش‌های ساختاری برگزار می‌شود، مورد بحث و بررسی قرار می‌گیرد.

جمع آوری اطلاعات حسابرسی

مرحله جمع آوری اطلاعات حسابرسی پیچیده ترین و طولانی ترین مرحله است. این امر به دلیل عدم وجود مستندات لازم برای سیستم اطلاعاتی و نیاز به تعامل نزدیک حسابرس و بسیاری از مسئولان سازمان است.

حسابرس تنها در صورتی می تواند نتیجه گیری شایسته در مورد وضعیت امور در یک شرکت با امنیت اطلاعات انجام دهد که تمام داده های اولیه لازم برای تجزیه و تحلیل موجود باشد. کسب اطلاعات در مورد سازمان، عملکرد و وضعیت فعلی IS توسط حسابرس در طی مصاحبه های سازماندهی شده ویژه با افراد مسئول شرکت و با مطالعه مستندات فنی و سازمانی و اداری و همچنین مطالعه IS انجام می شود. با استفاده از ابزارهای نرم افزاری تخصصی اجازه دهید در مورد اطلاعاتی که حسابرس برای تجزیه و تحلیل نیاز دارد صحبت کنیم.

تضمین امنیت اطلاعات یک سازمان فرآیند پیچیده ای است که نیازمند یک سازماندهی و نظم و انضباط روشن است. باید با تعریف نقش ها و تعیین مسئولیت ها به مقامات امنیت اطلاعات آغاز شود. بنابراین، اولین نکته بررسی حسابرسی با کسب اطلاعات در مورد ساختار سازمانی کاربران و واحدهای خدماتی IS آغاز می شود. در این راستا، حسابرس اسناد زیر را نیاز دارد:

طرح ساختار سازمانی کاربران؛
طرح ساختار سازمانی واحدهای خدماتی.

معمولاً در طول مصاحبه، حسابرس سؤالات زیر را از مصاحبه شوندگان می پرسد:

صاحب اطلاعات کیست؟
کاربر (مصرف کننده) اطلاعات کیست؟
ارائه دهنده خدمات کیست؟

هدف و اصول عملکرد IS تا حد زیادی خطرات و الزامات امنیتی موجود را برای سیستم تعیین می کند. بنابراین، در مرحله بعد، حسابرس به اطلاعاتی در مورد هدف و عملکرد IS علاقه مند است. حسابرس سوالات زیر را از مصاحبه شوندگان می پرسد:

چه خدماتی و چگونه به کاربران نهایی ارائه می شود؟
انواع اصلی برنامه هایی که در IS کار می کنند کدامند؟
تعداد و انواع کاربرانی که از این اپلیکیشن ها استفاده می کنند؟

او همچنین به مستندات زیر نیاز دارد، البته، اگر اصلاً در دسترس باشد (که، به طور کلی، به ندرت اتفاق می افتد):

نمودارهای عملکردی؛
شرح عملکردهای خودکار؛
شرح راه حل های فنی اصلی؛
سایر اسناد طراحی و کاری برای سیستم اطلاعاتی.

علاوه بر این، حسابرس به اطلاعات دقیق تری در مورد ساختار IP نیاز دارد. این امر درک چگونگی توزیع مکانیسم های امنیتی با توجه به عناصر ساختاری و سطوح عملکرد IS را ممکن می سازد. سوالات معمولی که در این رابطه در طول مصاحبه مورد بحث قرار می گیرند عبارتند از:

IS از چه اجزایی (زیر سیستم ها) تشکیل شده است؟
عملکرد اجزای جداگانه؟
مرزهای سیستم کجاست؟
نقاط ورود چیست؟
چگونه IS با سایر سیستم ها تعامل دارد؟
چه کانال های ارتباطی برای تعامل با سایر IS استفاده می شود؟
چه کانال های ارتباطی برای تعامل بین اجزای سیستم استفاده می شود؟
چه پروتکل هایی برای تعامل استفاده می شود؟
برای ساخت سیستم از چه پلتفرم های نرم افزاری و سخت افزاری استفاده می شود؟

در این مرحله، حسابرس باید مدارک زیر را تهیه کند:

نمودار ساختاری IS;
طرح جریان اطلاعات؛
شرح ساختار مجموعه ابزار فنی سیستم اطلاعات؛
شرح ساختار نرم افزار؛
شرح ساختار پشتیبانی اطلاعات؛
قرار دادن اجزای سیستم اطلاعاتی

تهیه بخش قابل توجهی از اسناد IP معمولاً در جریان حسابرسی انجام می شود. هنگامی که تمام داده های لازم در مورد IP، از جمله مستندات، آماده شد، می توانید به تجزیه و تحلیل آنها بروید.

تجزیه و تحلیل داده های حسابرسی

روش های تجزیه و تحلیل داده های مورد استفاده توسط حسابرسان با رویکردهای حسابرسی انتخاب شده تعیین می شود که می تواند به طور قابل توجهی متفاوت باشد.

اولین رویکرد، پیچیده ترین، مبتنی بر تحلیل ریسک است. بر اساس روش های تجزیه و تحلیل ریسک، حسابرس برای IS مورد بررسی مجموعه فردی از الزامات امنیتی را تعیین می کند که به بهترین وجه ویژگی های این IS، محیط عملیاتی آن و تهدیدات امنیتی موجود در این محیط را در نظر می گیرد. این رویکرد زمان‌برترین است و به بالاترین صلاحیت حسابرس نیاز دارد. کیفیت نتایج حسابرسی، در این مورد، به شدت تحت تأثیر روش تجزیه و تحلیل ریسک و مدیریت مورد استفاده و کاربرد آن در این نوع IP است.

رویکرد دوم، کاربردی ترین، بر استفاده از استانداردهای امنیت اطلاعات متکی است. استانداردها مجموعه ای اساسی از الزامات امنیتی را برای طبقه وسیعی از IS تعریف می کنند که در نتیجه تعمیم رویه جهانی شکل گرفته است. استانداردها بسته به سطح امنیت IP که باید ارائه شود، مالکیت آن (سازمان تجاری یا سازمان دولتی)، و هدف (مالی، صنعت، ارتباطات و غیره) مجموعه های مختلفی از الزامات امنیتی را تعریف می کنند. در این حالت، حسابرس موظف است مجموعه الزامات استانداردی را که باید برای این IS برآورده شود، به درستی تعیین کند. یک روش نیز برای ارزیابی این مکاتبات مورد نیاز است. به دلیل سادگی (مجموعه الزامات استاندارد برای انجام حسابرسی قبلاً توسط استاندارد از پیش تعیین شده است) و قابلیت اطمینان (استاندارد یک استاندارد است و هیچ کس سعی نمی کند الزامات آن را به چالش بکشد)، رویکرد توصیف شده در عمل رایج ترین است (به ویژه هنگام انجام ممیزی خارجی). این اجازه می دهد تا با حداقل هزینه منابع، نتایج معقولی در مورد وضعیت IS بدست آورید.

رویکرد سوم، مؤثرترین، شامل ترکیبی از دو مورد اول است. مجموعه اساسی الزامات امنیتی برای IS توسط استاندارد تعریف شده است. الزامات اضافی که ویژگی های عملکرد این IS را حداکثر در نظر می گیرد، بر اساس تجزیه و تحلیل ریسک شکل می گیرد. این رویکرد بسیار ساده تر از روش اول است، زیرا بیشتر الزامات امنیتی قبلاً توسط استاندارد تعریف شده است، و در عین حال، نقطه ضعف رویکرد دوم را ندارد، که شامل این واقعیت است که الزامات استاندارد ممکن است ویژگی های استاندارد را در نظر نگیرد. IS را بررسی کرد.

تحلیل ریسک و مدیریت ریسک چیست؟

تجزیه و تحلیل ریسک جایی است که ساخت هر سیستم امنیت اطلاعات باید آغاز شود. این شامل فعالیت های بررسی امنیت IP برای تعیین اینکه چه منابعی باید محافظت شوند و در برابر چه تهدیدهایی، و همچنین تا چه حد منابع خاصی نیاز به محافظت دارند، می شود. تعیین مجموعه ای از اقدامات متقابل کافی در دوره مدیریت ریسک انجام می شود. خطر با احتمال ایجاد خسارت و میزان آسیب وارد شده به منابع IS در صورت تهدید امنیتی تعیین می شود.

تجزیه و تحلیل ریسک برای شناسایی ریسک های موجود و ارزیابی بزرگی آنها (برای ارزیابی کمی یا کیفی آنها) است. فرآیند تحلیل ریسک را می توان به چند مرحله متوالی تقسیم کرد:

شناسایی منابع IP کلیدی؛
تعیین اهمیت برخی منابع برای سازمان؛
شناسایی تهدیدها و آسیب‌پذیری‌های امنیتی موجود که انجام تهدیدات را ممکن می‌سازد.
محاسبه خطرات مرتبط با اجرای تهدیدات امنیتی.

منابع IP را می توان به دسته های زیر تقسیم کرد:

منابع اطلاعاتی؛
نرم افزار؛
وسایل فنی (سرورها، ایستگاههای کاری، تجهیزات شبکه فعال و غیره)؛
منابع انسانی.

در هر دسته، منابع به کلاس ها و زیر کلاس ها تقسیم می شوند. شناسایی تنها منابعی ضروری است که عملکرد IS را تعیین می کنند و از نقطه نظر تضمین امنیت ضروری هستند.

اهمیت (یا هزینه) یک منبع بر اساس میزان آسیب ناشی از نقض محرمانه بودن، یکپارچگی یا در دسترس بودن این منبع تعیین می شود. معمولاً انواع آسیب های زیر در نظر گرفته می شود:

داده ها افشا شده، تغییر یافته، حذف شده یا غیرقابل دسترس شده است.
تجهیزات آسیب دیده یا از بین رفته است.
یکپارچگی نرم افزار نقض شده است.

در نتیجه اجرای موفقیت آمیز انواع تهدیدات امنیتی زیر می تواند به یک سازمان آسیب وارد شود:

حملات محلی و از راه دور به منابع IP؛
بلایای طبیعی؛
خطاها یا اقدامات عمدی کارکنان داعش؛
خرابی در عملکرد آی سی ناشی از خطا در نرم افزار یا نقص سخت افزار است.

آسیب‌پذیری‌ها معمولاً به‌عنوان ویژگی‌های IS شناخته می‌شوند که اجرای موفقیت‌آمیز تهدیدات امنیتی را ممکن می‌سازد.

ارزش ریسک بر اساس بهای تمام شده منبع، احتمال وقوع تهدید و ارزش آسیب پذیری طبق فرمول زیر تعیین می شود:

ریسک = (هزینه منابع * احتمال تهدید) / میزان آسیب پذیری

وظیفه مدیریت ریسک انتخاب مجموعه ای معقول از اقدامات متقابل برای کاهش سطوح ریسک به سطح قابل قبولی است. هزینه اجرای اقدامات متقابل باید کمتر از میزان خسارت احتمالی باشد. تفاوت بین هزینه اجرای اقدامات متقابل و میزان خسارت احتمالی باید با احتمال ایجاد خسارت نسبت معکوس داشته باشد.

استفاده از روش های تحلیل ریسک

اگر یک رویکرد مبتنی بر ریسک برای انجام ممیزی امنیتی انتخاب شود، گروه های زیر معمولاً در مرحله تجزیه و تحلیل داده های حسابرسی انجام می شوند:

تجزیه و تحلیل منابع IP شامل منابع اطلاعاتی، نرم افزار و سخت افزار و منابع انسانی
تجزیه و تحلیل گروه های وظیفه حل شده توسط سیستم و فرآیندهای تجاری
ساخت یک مدل (غیررسمی) از منابع IP که رابطه بین اطلاعات، نرم افزار، منابع فنی و انسانی، موقعیت نسبی آنها و راه های تعامل را تعریف می کند.
ارزیابی بحرانی بودن منابع اطلاعاتی و همچنین نرم افزار و سخت افزار
تعیین بحرانی بودن منابع با در نظر گرفتن وابستگی متقابل آنها
شناسایی محتمل‌ترین تهدیدات امنیتی برای منابع IP و آسیب‌پذیری‌های امنیتی که این تهدیدات را ممکن می‌سازد.
ارزیابی احتمال اجرای تهدیدات، میزان آسیب پذیری ها و آسیب های وارد شده به سازمان در صورت اجرای موفقیت آمیز تهدیدات.
تعیین میزان ریسک برای هر سه گانه: تهدید - گروه منبع - آسیب پذیری
مجموعه وظایف ذکر شده کاملاً کلی است. برای حل آنها می توان از تکنیک های مختلف رسمی و غیر رسمی، کمی و کیفی، دستی و تحلیل ریسک خودکار استفاده کرد. ماهیت رویکرد از این تغییر نمی کند.

ارزیابی ریسک را می توان با استفاده از مقیاس های کیفی و کمی مختلف انجام داد. نکته اصلی این است که ریسک های موجود به درستی شناسایی و بر اساس درجه اهمیت آنها برای سازمان رتبه بندی شوند. بر اساس چنین تحلیلی، سیستمی از اقدامات اولویت دار را می توان توسعه داد تا میزان خطرات را تا حد قابل قبولی کاهش دهد.

ارزیابی انطباق با الزامات استاندارد

در مورد ممیزی امنیتی برای رعایت الزامات استاندارد، حسابرس با تکیه بر تجربه خود، قابلیت کاربرد الزامات استاندارد را در IS مورد بررسی و انطباق آن با این الزامات ارزیابی می کند. داده های مربوط به انطباق حوزه های مختلف عملکرد IS با الزامات استاندارد معمولاً به صورت جدول ارائه می شود. جدول نشان می دهد که کدام الزامات امنیتی در سیستم پیاده سازی نشده اند. بر این اساس، نتیجه گیری در مورد انطباق IS مورد بررسی با الزامات استاندارد و توصیه هایی در مورد اجرای مکانیسم های امنیتی در سیستم برای اطمینان از این انطباق ارائه می شود.

توصیه های صادر شده توسط حسابرس بر اساس نتایج تجزیه و تحلیل وضعیت IP با رویکرد مورد استفاده، ویژگی های IP مورد بررسی، وضعیت امنیت اطلاعات و سطح جزئیات مورد استفاده در حسابرسی تعیین می شود.

در هر صورت، توصیه‌های حسابرس باید خاص و قابل اجرا برای این IS، توجیه اقتصادی، مستدل (تأیید شده توسط نتایج تجزیه و تحلیل) و طبقه‌بندی شده بر اساس اهمیت باشد. در عین حال، اقدامات برای اطمینان از حفاظت از سطح سازمانی تقریباً همیشه بر روش های حفاظتی خاص نرم افزاری و سخت افزاری اولویت دارد.

در عین حال، انتظار ساده لوحانه بودن از حسابرس در نتیجه حسابرسی، صدور یک پروژه فنی زیرسیستم امنیت اطلاعات یا توصیه های دقیق در مورد اجرای ابزارهای حفاظتی اطلاعات نرم افزاری و سخت افزاری خاص است. این امر مستلزم مطالعه دقیق تری از موضوعات خاص سازمان حفاظت است، اگرچه حسابرسان داخلی می توانند در این کارها مشارکت فعال داشته باشند.

تهیه اسناد گزارش

گزارش حسابرسی نتیجه اصلی حسابرسی است. کیفیت آن مشخص کننده کیفیت کار حسابرس است. ساختار گزارش ممکن است بسته به ماهیت و اهداف حسابرسی انجام شده به طور قابل توجهی متفاوت باشد. با این حال، بخش های خاصی باید در گزارش حسابرسی وجود داشته باشد. حداقل باید شامل توصیفی از اهداف حسابرسی، توصیفی از IS مورد بررسی، اشاره ای به مرزهای حسابرسی و روش های مورد استفاده، نتایج تجزیه و تحلیل داده های حسابرسی، نتیجه گیری های خلاصه کننده این نتایج و حاوی باشد. ارزیابی سطح امنیت AU یا مطابقت آن با الزامات استانداردها و البته توصیه های حسابرس برای رفع نواقص موجود و بهبود سیستم حفاظتی.

به عنوان مثال، اجازه دهید نمونه ای از ساختار یک گزارش حسابرسی را بر اساس نتایج تجزیه و تحلیل ریسک های مرتبط با اجرای تهدیدات امنیتی در رابطه با IS مورد بررسی ارائه دهیم.

ساختار گزارش در مورد نتایج ممیزی امنیت IP و تجزیه و تحلیل ریسک

1. معرفی

1.1 مقدمه
1.2 اهداف و مقاصد حسابرسی
1.3 شرح IP
1.3.1 هدف و وظایف اصلی سیستم
1.3.2 گروهی از وظایف حل شده در سیستم
1.3.3 طبقه بندی کاربران IP
1.3.4 ساختار سازمانی پرسنل خدمات IS
1.3.5 ساختار و ترکیب مجتمع نرم افزاری و سخت افزاری IS
1.3.6 انواع منابع اطلاعاتی ذخیره شده و پردازش شده در سیستم
1.3.7 ساختار جریان اطلاعات
1.3.8 ویژگی های کانال های تعامل با سایر سیستم ها و نقاط ورودی
1.4 دامنه حسابرسی
1.4.1 اجزاء و زیر سیستم های IS که در محدوده حسابرسی قرار می گیرند
1.4.2 قرار دادن مجتمع نرم افزاری و سخت افزاری IS توسط سایت ها (محل)
1.4.3 طبقات اصلی تهدیدات امنیتی در نظر گرفته شده در طول ممیزی
1.5 روش شناسی حسابرسی
1.5.1 روش تجزیه و تحلیل ریسک
1.5.2 داده های اولیه
1.5.3 کار صحنه دار
1.6 ساختار سند

2. ارزیابی بحرانی بودن منابع IP

2.1 معیارهای ارزیابی میزان آسیب احتمالی مرتبط با اجرای تهدیدات امنیتی
2.2 ارزیابی بحرانی بودن منابع اطلاعاتی
2.2.1 طبقه بندی منابع اطلاعاتی
2.2.2 ارزیابی بحرانی بودن توسط گروه های منابع اطلاعاتی
2.3 ارزیابی بحرانی بودن وسایل فنی
2.4 ارزیابی انتقادی نرم افزار
2.5 مدل منبع IS که توزیع منابع را بر اساس گروه های وظیفه توصیف می کند

3. تجزیه و تحلیل خطرات مرتبط با اجرای تهدیدات امنیتی در برابر منابع IP

3.1 مدل مهاجم امنیت اطلاعات
3.1.1 مدل خودی
3.1.2 مدل مزاحم خارجی
3.2 مدل تهدیدات امنیتی و آسیب پذیری منابع اطلاعاتی
3.2.1 تهدیدات امنیتی علیه منابع اطلاعاتی
3.2.1.1 تهدید دسترسی غیرمجاز به اطلاعات با استفاده از ابزارهای نرم افزاری
3.2.1.2 تهدیدهای انجام شده با استفاده از ابزارهای فنی استاندارد
3.2.1.3 تهدیدات مرتبط با نشت اطلاعات از طریق کانال های فنی
3.2.2 تهدیدات امنیتی در برابر نرم افزار
3.2.3 تهدیدات امنیتی علیه وسایل فنی
3.3 ارزیابی شدت تهدیدات امنیتی و میزان آسیب پذیری ها
3.3.1 معیارهای ارزیابی شدت تهدیدات امنیتی و میزان آسیب پذیری ها
3.3.2 ارزیابی شدت تهدیدات
3.3.3 برآورد میزان آسیب پذیری ها
3.4 ارزیابی ریسک برای هر کلاس تهدید و گروه منبع

4. یافته های نظرسنجی

5.1 اقدامات متقابل توصیه شده در سطح سازمانی
5.2 اقدامات متقابل نرم افزاری-سخت افزاری توصیه شده

مروری بر محصولات نرم افزاری طراحی شده برای تحلیل و مدیریت ریسک

در حال حاضر روش‌های بسیار متنوعی برای تجزیه و تحلیل و مدیریت ریسک‌ها و همچنین ابزارهای نرم‌افزاری برای پیاده‌سازی آنها وجود دارد. در اینجا چند نمونه، به گفته نویسنده، رایج ترین آنها است.

CRAMM

روش CRAMM (روش تجزیه و تحلیل و مدیریت ریسک دولت بریتانیا) توسط سرویس امنیتی بریتانیا بر اساس دستورالعمل دولت بریتانیا توسعه یافته و به عنوان یک استاندارد دولتی پذیرفته شده است. از سال 1985 توسط سازمان های دولتی و تجاری در انگلستان استفاده می شود. در این مدت، CRAMM در سراسر جهان محبوبیت پیدا کرده است. Insight Consulting Limited یک محصول نرم افزاری به همین نام را توسعه داده و نگهداری می کند که روش CRAMM را پیاده سازی می کند.

روش CRAMM توسط ما برای بررسی دقیق تر انتخاب شده است و این تصادفی نیست. در حال حاضر، CRAMM یک ابزار نسبتاً قدرتمند و همه کاره است که علاوه بر تجزیه و تحلیل ریسک، امکان حل تعدادی از وظایف حسابرسی دیگر از جمله:

انجام بررسی IP و صدور اسناد همراه در تمامی مراحل اجرای آن.

روش CRAMM بر اساس یک رویکرد یکپارچه برای ارزیابی ریسک، ترکیبی از روش های کمی و کیفی تجزیه و تحلیل است. این روش جهانی است و برای هر دو سازمان بزرگ و کوچک، اعم از دولتی و تجاری مناسب است. نسخه‌های نرم‌افزار CRAMM که انواع مختلف سازمان‌ها را هدف قرار می‌دهند، از نظر پایگاه‌های دانش (پروفایل) با یکدیگر متفاوت هستند. برای سازمان های تجاری یک نمایه تجاری، برای سازمان های دولتی یک نمایه دولتی وجود دارد. نسخه دولتی نمایه همچنین به شما امکان ممیزی برای مطابقت با الزامات استاندارد ITSEC آمریکایی ("کتاب نارنجی") را می دهد.

استفاده صحیح از روش CRAMM به شما امکان می دهد تا به نتایج بسیار خوبی دست یابید که شاید مهمترین آنها امکان توجیه اقتصادی هزینه های سازمان برای امنیت اطلاعات و تداوم کسب و کار باشد. یک استراتژی مدیریت ریسک از نظر اقتصادی مناسب، در پایان، امکان صرفه جویی در هزینه را با اجتناب از هزینه های غیر ضروری می دهد.

CRAMM شامل تقسیم کل فرآیند به سه مرحله متوالی است. وظیفه مرحله اول پاسخ به این سوال است: "آیا محافظت از سیستم با استفاده از ابزارهای سطح پایه که عملکردهای امنیتی سنتی را اجرا می کنند کافی است یا تجزیه و تحلیل دقیق تری لازم است؟" در مرحله دوم، خطرات شناسایی شده و بزرگی آنها برآورد می شود. در مرحله سوم، مسئله انتخاب اقدامات متقابل کافی تصمیم گیری می شود.

روش CRAMM برای هر مرحله مجموعه ای از داده های اولیه، توالی فعالیت ها، پرسشنامه های مصاحبه، چک لیست ها و مجموعه ای از اسناد گزارش را تعریف می کند.

اگر با توجه به نتایج مرحله اول مشخص شود که سطح بحرانی بودن منابع بسیار پایین است و خطرات موجود مطمئناً از سطح پایه معینی تجاوز نخواهد کرد، حداقل مجموعه ای از الزامات امنیتی بر سیستم تحمیل می شود. در این مورد، بیشتر فعالیت های مرحله دوم انجام نمی شود، اما انتقال به مرحله سوم انجام می شود، که در آن یک لیست استاندارد از اقدامات متقابل برای اطمینان از انطباق با مجموعه اساسی الزامات امنیتی ایجاد می شود.

در مرحله دوم، تحلیل تهدیدات و آسیب پذیری های امنیتی انجام می شود. حسابرس داده های اولیه را برای ارزیابی تهدیدها و آسیب پذیری ها از نمایندگان مجاز سازمان طی مصاحبه های مربوطه دریافت می کند. برای مصاحبه از پرسشنامه های تخصصی استفاده می شود.

در مرحله سوم، مشکل مدیریت ریسک حل می شود که شامل انتخاب اقدامات متقابل کافی است.

تصمیم برای معرفی مکانیسم‌های امنیتی جدید به سیستم و اصلاح مکانیسم‌های قدیمی توسط مدیریت سازمان با در نظر گرفتن هزینه‌های مرتبط، مقبولیت آنها و سود نهایی برای کسب‌وکار اتخاذ می‌شود. وظیفه حسابرس توجیه اقدامات متقابل توصیه شده برای مدیریت سازمان است.

اگر تصمیمی برای معرفی اقدامات متقابل جدید و اصلاح اقدامات قبلی گرفته شود، ممکن است حسابرس وظیفه تهیه طرحی برای معرفی اقدامات متقابل جدید و ارزیابی اثربخشی استفاده از آنها داشته باشد. حل این مشکلات خارج از محدوده روش CRAMM است.

طرح مفهومی برای انجام یک نظرسنجی با استفاده از روش CRAMM در شکل نشان داده شده است.

تجزیه و تحلیل ریسک CRAMM و فرآیند مدیریت

روش حسابرسی در روش CRAMM رسمیت یافته است. در هر مرحله، تعداد نسبتاً زیادی از گزارش های میانی و حاصل تولید می شود.

بنابراین، در مرحله اول، انواع گزارش های زیر ایجاد می شود:

یک مدل منبع حاوی توصیفی از منابعی که در محدوده مطالعه قرار می گیرند و روابط بین آنها.
ارزیابی بحرانی بودن منابع؛
گزارش حاصل از مرحله اول تجزیه و تحلیل ریسک که نتایج به دست آمده در طول بررسی را خلاصه می کند.

در مرحله دوم نظرسنجی، انواع گزارش های زیر تولید می شود:

نتایج ارزیابی سطح تهدیدات و آسیب پذیری ها؛
نتایج ارزیابی ریسک؛
گزارش حاصل از مرحله دوم تحلیل ریسک.

بر اساس نتایج مرحله سوم نظرسنجی، انواع گزارش های زیر تولید می شود:

اقدامات متقابل توصیه شده؛
مشخصات دقیق ایمنی؛
برآورد هزینه اقدامات متقابل توصیه شده؛
فهرست اقدامات متقابل که بر اساس اولویت آنها مرتب شده است.
گزارش حاصل از مرحله سوم نظرسنجی؛
سیاست امنیتی، که شامل شرح الزامات امنیتی، استراتژی ها و اصول حفاظت از IP است.
فهرست اقدامات امنیتی

فقط یک حسابرس با مهارت بالا که آموزش دیده باشد می تواند روش CRAMM را به درستی اعمال کند. اگر سازمان توان به کارگیری چنین متخصصی را ندارد، مناسب ترین راه حل دعوت از یک موسسه حسابرسی است که دارای کادری از متخصصان با تجربه عملی در به کارگیری روش CRAMM باشد.

با جمع بندی تجربیات عملی استفاده از روش CRAMM هنگام انجام ممیزی امنیتی، می توان نتایج زیر را در رابطه با نقاط قوت و ضعف این روش به دست آورد:

نقاط قوت روش CRAMM شامل موارد زیر است:

CRAMM یک روش تجزیه و تحلیل ریسک با ساختار و به طور گسترده آزمایش شده با نتایج عملی واقعی است.
ابزارهای نرم افزار CRAMM را می توان در تمام مراحل ممیزی امنیت IP استفاده کرد.
محصول نرم افزاری مبتنی بر یک پایگاه دانش نسبتاً بزرگ در زمینه اقدامات متقابل در زمینه امنیت اطلاعات، بر اساس توصیه های استاندارد BS 7799 است.
انعطاف پذیری و تطبیق پذیری روش CRAMM اجازه می دهد تا از آن برای ممیزی IP با هر سطح از پیچیدگی و هدف استفاده شود.
CRAMM می تواند به عنوان ابزاری برای توسعه برنامه تداوم کسب و کار سازمان و سیاست های امنیت اطلاعات استفاده شود.
CRAMM می تواند به عنوان وسیله ای برای مستندسازی مکانیسم های امنیتی IP استفاده شود.

معایب روش CRMM شامل موارد زیر است:

استفاده از روش CRAMM مستلزم آموزش خاص و صلاحیت بالای حسابرس است.
CRAMM برای ممیزی IS موجود در حال بهره برداری بسیار مناسب تر از IS در حال توسعه است.
حسابرسی با استفاده از روش CRAMM فرآیند نسبتاً پر زحمتی است و ممکن است نیازمند ماهها کار مداوم حسابرس باشد.
ابزار نرم افزار CRAMM مقدار زیادی اسناد کاغذی تولید می کند که همیشه در عمل مفید نیست.
CRAMM به شما اجازه نمی دهد که الگوهای گزارش خود را ایجاد کنید یا الگوهای موجود را تغییر دهید.
امکان افزودن به پایگاه دانش CRAMM در دسترس کاربران نیست، که باعث ایجاد مشکلات خاصی در انطباق این روش با نیازهای یک سازمان خاص می شود.

RiskWatch

نرم افزار RiskWatch که توسط شرکت آمریکایی RiskWatch, Inc. توسعه یافته است، ابزاری قدرتمند برای تحلیل و مدیریت ریسک است. خانواده RiskWatch شامل محصولات نرم افزاری برای انجام انواع ممیزی های امنیتی است. این شامل ابزارهای حسابرسی و تجزیه و تحلیل ریسک زیر است:

RiskWatch برای امنیت فیزیکی - برای روش های فیزیکی حفاظت از IP.
RiskWatch برای سیستم های اطلاعاتی - برای خطرات اطلاعاتی.
HIPAA-WATCH برای صنعت مراقبت های بهداشتی - برای ارزیابی انطباق با استاندارد HIPAA.
RiskWatch RW17799 برای ISO17799 - برای ارزیابی الزامات استاندارد ISO17799.

روش RiskWatch از انتظار زیان سالانه (ALE) و بازده سرمایه گذاری (ROI) به عنوان معیارهای ارزیابی و مدیریت ریسک استفاده می کند. خانواده محصولات نرم افزاری RiskWatch دارای مزایای زیادی هستند. از معایب این محصول می توان به قیمت نسبتا بالای آن اشاره کرد.

کبرا

سیستم COBRA (تجزیه و تحلیل ریسک مشاوره ای و دو عملکردی) که توسط Risk Associates توسعه یافته است، ابزاری برای تجزیه و تحلیل ریسک و ارزیابی انطباق IP با استاندارد ISO17799 است. COBRA روش هایی را برای ارزیابی کمی ریسک و همچنین ابزارهای مشاوره و بررسی امنیتی پیاده سازی می کند. هنگام توسعه جعبه ابزار COBRA، از اصول ساخت سیستم های خبره، یک پایگاه دانش گسترده در مورد تهدیدات و آسیب پذیری ها، و همچنین تعداد زیادی پرسشنامه که در عمل با موفقیت به کار می روند، استفاده شد. خانواده محصولات نرم افزاری COBRA شامل COBRA ISO17799 Security Consultant، COBRA Policy Compliance Analyst و COBRA Data Protection Consultant است.

سیستم دوستان

Buddy System که توسط Countermeasures Corporation توسعه یافته است، محصول نرم افزاری دیگری است که به شما امکان می دهد تحلیل کمی و کیفی ریسک را انجام دهید. این شامل ابزارهای گزارش گیری پیشرفته است. تاکید اصلی هنگام استفاده از سیستم دوستان بر روی خطرات اطلاعاتی مرتبط با نقض امنیت فیزیکی و مدیریت پروژه است.

استانداردهای مورد استفاده در ممیزی امنیت سیستم های اطلاعاتی

این بخش یک نمای کلی از استانداردهای امنیت اطلاعات را ارائه می دهد که از نظر استفاده از آنها برای انجام ممیزی امنیت IP مهم ترین و امیدوارکننده هستند.

نتیجه ممیزی، در سال های اخیر، به طور فزاینده ای تبدیل به گواهی نامه ای برای تأیید انطباق IP مورد بررسی با الزامات یک استاندارد بین المللی شناخته شده شده است. وجود چنین گواهینامه ای به سازمان اجازه می دهد تا مزیت های رقابتی مرتبط با اعتماد بیشتر مشتریان و شرکا را به دست آورد.

اهمیت استانداردهای بین المللی ISO17799 و ISO15408 را نمی توان دست بالا گرفت. این استانداردها به عنوان مبنایی برای هر کاری در زمینه امنیت اطلاعات از جمله حسابرسی عمل می کنند. ISO17799 بر سازماندهی و مدیریت امنیت تمرکز دارد، در حالی که ISO15408 الزامات دقیق برای نرم افزار امنیت اطلاعات و مکانیزم های سخت افزاری را تعریف می کند.

مشخصات SysTrust برای بررسی انتخاب شد زیرا در حال حاضر به طور گسترده توسط مؤسسات حسابرسی استفاده می شود که به طور سنتی حسابرسی مالی را برای مشتریان خود انجام می دهند و خدمات حسابرسی فناوری اطلاعات را به عنوان مکمل حسابرسی مالی ارائه می دهند.

استاندارد آلمانی "BSI \ IT Baseline Protection Manual" احتمالاً حاوی آموزنده ترین راهنمای امنیت فناوری اطلاعات است و برای همه متخصصان درگیر در امنیت اطلاعات بدون شک ارزش عملی دارد.

استانداردها و دستورالعمل‌های عملی برای تضمین امنیت اطلاعات، که در چارچوب پروژه SCORE ایجاد شده‌اند، بر متخصصان فنی متمرکز شده‌اند و از نظر فنی پیشرفته‌ترین در حال حاضر هستند.

برنامه صدور گواهینامه سایت های اینترنتی برای الزامات امنیت اطلاعات و مشخصات مربوطه "گواهی سایت SANS / GIAC"، پیشنهاد شده توسط موسسه SANS، در ارتباط با ارتباط روزافزون مسائل حفاظت از IP سازمان ها در برابر حملات، شایسته توجه است. از اینترنت و افزایش نسبت کار مرتبط هنگام انجام ممیزی امنیتی .

ISO 17799: آئین نامه عمل برای مدیریت امنیت اطلاعات

کامل ترین معیارها برای ارزیابی مکانیسم های امنیتی در سطح سازمانی در استاندارد بین المللی ISO 17799 ارائه شده است: کد عملکرد برای مدیریت امنیت اطلاعات (قوانین عملی برای مدیریت امنیت اطلاعات) که در سال 2000 به تصویب رسید. ISO 17799 از استاندارد بریتانیا BS 7799 توسعه یافته است.

ISO 17799 می تواند به عنوان معیاری برای ارزیابی مکانیسم های امنیتی سطح سازمانی، از جمله کنترل های اداری، رویه ای و فیزیکی استفاده شود.

قوانین سرانگشتی به 10 بخش زیر تقسیم می شوند:

راهبرد امنیتی
سازمان دفاع
طبقه بندی و کنترل منابع
ایمنی پرسنل
امنیت فیزیکی
مدیریت سیستم های کامپیوتری و شبکه های کامپیوتری
کنترل دسترسی
توسعه و نگهداری سیستم های اطلاعاتی
برنامهریزی تداوم کسبوکار
نظارت بر انطباق با الزامات سیاست امنیتی

ده کنترل پیشنهاد شده در ISO 17799 (اینها به عنوان کلید مشخص شده اند) از اهمیت ویژه ای برخوردار هستند. کنترل ها در این زمینه به مکانیزم های مدیریت امنیت اطلاعات سازمان اشاره دارد.

برخی از کنترل‌ها، مانند رمزگذاری داده‌ها، ممکن است به توصیه‌های امنیتی و ارزیابی ریسک نیاز داشته باشند تا مشخص شود که آیا به آنها نیاز است و چگونه باید اجرا شوند. برای ارائه سطح بالاتری از حفاظت برای منابع با ارزش خاص یا مقابله با تهدیدات امنیتی شدید، در برخی موارد، ممکن است به کنترل های قوی تری نیاز باشد که فراتر از محدوده ISO 17799 باشد.

ده کنترل کلیدی فهرست شده در زیر یا الزامات اجباری هستند، مانند مواردی که توسط قانون قابل اجرا مورد نیاز است، یا بلوک های اساسی امنیت اطلاعات در نظر گرفته می شوند، مانند آموزش امنیتی. این کنترل ها برای همه سازمان ها و محیط های عملیاتی AS مرتبط هستند و اساس سیستم مدیریت امنیت اطلاعات را تشکیل می دهند.

کنترل های زیر کلیدی هستند:

سند سیاست امنیت اطلاعات؛
توزیع مسئولیت ها برای تضمین امنیت اطلاعات؛
آموزش و آموزش پرسنل برای حفظ رژیم امنیت اطلاعات؛
اطلاع رسانی در مورد نقض امنیت؛
ابزار محافظت در برابر ویروس ها؛
برنامهریزی تداوم کسبوکار؛
کنترل بر کپی کردن نرم افزار محافظت شده توسط قانون کپی رایت؛
حفاظت از اسناد سازمان؛
حفاظت اطلاعات؛
کنترل انطباق با سیاست امنیتی

رویه ممیزی امنیت IP شامل بررسی در دسترس بودن کنترل های کلیدی فهرست شده، ارزیابی کامل و صحت اجرای آنها، و همچنین تجزیه و تحلیل کفایت آنها برای خطرات موجود در یک محیط عملیاتی معین است. بخشی جدایی ناپذیر از کار بر روی ممیزی امنیت IS نیز تجزیه و تحلیل و مدیریت ریسک است.

ISO 15408: معیارهای رایج برای ارزیابی امنیت فناوری اطلاعات

کامل ترین معیارهای ارزیابی مکانیزم های امنیتی در سطح نرم افزار و سخت افزار در استاندارد بین المللی ISO 15408: معیارهای رایج ارزیابی امنیت فناوری اطلاعات (معیارهای عمومی ارزیابی امنیت فناوری اطلاعات)، مصوب 1999 ارائه شده است.

معیارهای عمومی برای ارزیابی امنیت فناوری اطلاعات (که از این پس "معیارهای عمومی" نامیده می شود) الزامات عملکردی امنیتی و الزامات کفایت اجرای عملکردهای امنیتی (الزامات تضمین امنیت) را تعریف می کند.

هنگام انجام کار بر روی تجزیه و تحلیل امنیت IS، توصیه می شود از "معیارهای عمومی" به عنوان معیار اصلی برای ارزیابی سطح امنیت AS از نظر کامل بودن عملکردهای امنیتی اجرا شده در آن و قابلیت اطمینان اجرای این توابع

اگرچه کاربرد معیارهای عمومی به مکانیسم‌های امنیتی در سطح نرم‌افزار محدود می‌شود، اما آنها شامل مجموعه خاصی از الزامات امنیتی و حفاظت فیزیکی در سطح سازمانی هستند که مستقیماً با عملکردهای امنیتی شرح داده شده مرتبط هستند.

بخش اول «معیارهای عمومی» شامل تعریف مفاهیم کلی، مفاهیم، توصیف مدل و روش ارزیابی امنیت فناوری اطلاعات است. این دستگاه مفهومی را معرفی می کند و اصول رسمی سازی حوزه موضوعی را تعریف می کند.

الزامات مربوط به عملکرد ابزارهای امنیتی در بخش دوم "معیارهای عمومی" آورده شده است و می تواند به طور مستقیم در تجزیه و تحلیل امنیتی برای ارزیابی کامل بودن عملکردهای امنیتی پیاده سازی شده در IS استفاده شود.

بخش سوم "معیارهای عمومی"، همراه با سایر الزامات برای کفایت اجرای عملکردهای امنیتی، شامل یک کلاس از الزامات برای تجزیه و تحلیل آسیب پذیری ابزارها و مکانیسم های حفاظتی به نام AVA: ارزیابی آسیب پذیری است. این دسته از الزامات، روش‌هایی را که باید برای پیشگیری، شناسایی و کاهش انواع آسیب‌پذیری‌های زیر مورد استفاده قرار گیرند، تعریف می‌کنند:

وجود کانال های جانبی نشت اطلاعات؛
خطا در پیکربندی یا استفاده نادرست از سیستم که منجر به انتقال سیستم به حالت ناامن می شود.
قابلیت اطمینان (قدرت) ناکافی مکانیسم های امنیتی که عملکردهای امنیتی مربوطه را اجرا می کنند.
وجود آسیب‌پذیری‌ها ("حفره") در ابزارهای امنیت اطلاعات که به کاربران اجازه می‌دهد با دور زدن مکانیسم‌های امنیتی موجود، UA را به اطلاعات دریافت کنند.

هنگام انجام کار ممیزی امنیتی، این الزامات می توانند به عنوان دستورالعمل ها و معیارهایی برای تجزیه و تحلیل آسیب پذیری های IS مورد استفاده قرار گیرند.

SysTrust

به این ترتیب، حسابرسی فناوری اطلاعات، در حالی که به حسابرسی مالی مربوط نمی شود، اغلب مکمل آن به عنوان یک خدمات تجاری است که توسط مؤسسات حسابرسی به مشتریان خود ارائه می شود، زیرا به دلیل وابستگی فزاینده کسب و کار مشتریان به فناوری اطلاعات است. ایده این است که استفاده از سیستم های IT قابل اعتماد و مطمئن، تا حد معینی، قابلیت اطمینان صورت های مالی یک سازمان را تضمین می کند. نتایج خوب حسابرسی فناوری اطلاعات در برخی موارد امکان انجام ممیزی مالی را به صورت مختصر فراهم می کند و در زمان و هزینه مشتریان صرفه جویی می کند.

در پاسخ به نیازهای تجاری، مؤسسه حسابداران رسمی آمریکا (AICPA) و مؤسسه حسابداران خبره کانادا (CICA) استاندارد SysTrust را برای حسابرسی فناوری اطلاعات ایجاد کرده اند که مکمل حسابرسی مالی است. SysTrust به حسابرسان مالی این امکان را می دهد که با استفاده از مجموعه ای ساده و قابل درک از الزامات برای ارزیابی قابلیت اطمینان و امنیت IS دامنه کاری خود را گسترش دهند.

در استاندارد SysTrust، IP از نظر در دسترس بودن (Availability)، امنیت (Security)، یکپارچگی (Integrity) و قابلیت اطمینان عملیاتی (Maintainability) ارزیابی می شود.

در دسترس بودن به طور سنتی به عنوان توانایی یک IS برای ارائه خدمات اطلاعاتی در هر حالت عملیاتی و تحت هر باری که توسط شرایط عملکرد آن ارائه می شود، با تاخیرهایی که بیش از الزامات تعیین شده نباشد، درک می شود.

امنیت به محافظت از IS در برابر دسترسی غیرمجاز فیزیکی و منطقی اشاره دارد. به عنوان وسیله ای برای تضمین امنیت، ابزارهای محدود کردن دسترسی فیزیکی و منطقی به منابع IS عمدتاً در نظر گرفته می شود.

یکپارچگی به عنوان توانایی IS برای اطمینان از حفظ چنین ویژگی هایی از اطلاعات پردازش شده در سیستم مانند کامل بودن، دقت، ارتباط، به موقع بودن و صحت درک می شود.

قابلیت اطمینان عملیاتی یک IS با امکان تغییر پیکربندی و به روز رسانی سیستم برای اطمینان از ویژگی های آن مانند در دسترس بودن، امنیت و یکپارچگی تعیین می شود.

معیارهای ارزیابی چهار ویژگی توصیف شده IS در سند "AICPA / CICA SysTrust Principles and Criteria for Systems Reliability, Version 2.0" (اصول و معیارهای ارزیابی قابلیت اطمینان سیستم ها) تعریف شده است.

در جریان صدور گواهینامه بر اساس الزامات استاندارد SysTrust (تعهد SysTrust)، حسابرس انطباق IS را با معیارهای در دسترس بودن، امنیت، یکپارچگی و قابلیت اطمینان عملیاتی (اصول و معیارهای SysTrust) ارزیابی می کند و بررسی می کند که آیا سیستم مکانیسم های کنترلی لازم سپس حسابرس کنترل ها را برای تعیین عملکرد و اثربخشی آنها آزمایش می کند. اگر در نتیجه آزمایش، انطباق IP با معیارهای SysTrust تأیید شود، حسابرس یک گزارش گواهی بدون صلاحیت صادر می کند. این گزارش نتیجه گیری هایی را در مورد کامل بودن و اثربخشی اجرا توسط مدیریت سازمان مکانیسم های کنترل در IS تایید شده تدوین می کند. حسابرس علاوه بر گزارش تصدیق، شرح کلی IP مورد بررسی را تهیه می کند. در بسیاری از موارد، تأییدیه مدیریت سازمان (ادعای مدیریت) نیز در خصوص اثربخشی مکانیزم های کنترلی برای اطمینان از انطباق IP با معیارهای SysTrust در حال تهیه است، IP بررسی شده و انطباق آن با معیارهای SysTrust ارزیابی می شود. مطابق با "بیانیه استانداردهای تعهدات گواهینامه (SSAE) شماره 10، استانداردهای گواهینامه، بخش 101 AT "Attest Engagements"".)

راهنمای حفاظت از خط پایه BSI\IT

استاندارد آلمانی "راهنمای حفاظت از خط پایه فناوری اطلاعات" توسط آژانس امنیت اطلاعات آلمان (BSI - Bundesamt für Sicherheit in der Informationstechnik (آژانس امنیت اطلاعات آلمان) تهیه شده است.

این سند شاید آموزنده ترین راهنمای امنیت اطلاعات باشد و از بسیاری جهات از همه استانداردهای دیگر پیشی می گیرد. همچنین خوشایند است که این با ارزش ترین منبع اطلاعاتی برای حسابرس به صورت رایگان در اینترنت در دسترس است. این شامل راهنمایی دقیق در مورد امنیت اطلاعات در رابطه با جنبه های مختلف عملکرد IS و حوزه های مختلف فناوری اطلاعات است.

استاندارد در حال حاضر سه جلد را اشغال می کند و شامل حدود 1600 صفحه متن است.

BSI\IT Baseline Protection Manual به طور مداوم در حال بهبود است تا آن را با وضعیت فعلی هنر در امنیت فناوری اطلاعات به روز نگه دارد. تا به امروز، یک پایگاه دانش منحصربه‌فرد حاوی اطلاعاتی درباره تهدیدات و اقدامات متقابل به شکلی کاملاً ساختاریافته جمع‌آوری شده است.

استانداردهای تمرین SCORE و برنامه صدور گواهینامه سایت SANS/GIAC

SCORE (ارزیابی آمادگی عملیاتی اجماع امنیتی) یک پروژه مشترک بین موسسه SANS و مرکز امنیت اینترنت (CIS) است. متخصصان امنیت اطلاعات از سازمان‌های مختلف در پروژه SCORE گرد هم آمده‌اند تا مجموعه‌ای اصلی (حداقل مورد نیاز) از شیوه‌ها و دستورالعمل‌های امنیتی برای پلتفرم‌های عملیاتی مختلف ایجاد کنند. الزامات و توصیه های ارائه شده برای گنجاندن در استانداردها به طور گسترده توسط شرکت کنندگان پروژه SCORE مورد بحث و بررسی قرار می گیرد و تنها پس از تأیید آنها توسط همه شرکت کنندگان، آنها به CIS منتقل می شوند که درگیر رسمی سازی و طراحی آنها است و همچنین توسعه می دهد. ابزارهای نرم افزاری (معیارهای حداقل استانداردها) برای پلت فرم های عملیاتی ارزیابی انطباق با استانداردهای پیشنهادی.

استانداردهای پایه توسعه یافته، همراه با دستورالعمل هایی برای اطمینان از انطباق با این استانداردها و ابزارهای آزمایش، در وب سایت CIS منتشر شده است.

برنامه گواهینامه سایت GIAC SANS به سازمان ها اجازه می دهد تا امنیت بخش های شبکه رایانه ای را که مستقیماً به اینترنت متصل هستند مطابق با استانداردهای SCORE بررسی کنند.

برنامه GIAC Site Certification سه سطح امنیت را برای سایت های اینترنتی تعریف می کند. در عمل، در حال حاضر، تنها دو مورد اول استفاده می شود.

گواهی‌نامه سایت در سطح اول شامل بررسی آدرس‌های شبکه خارجی سازمان، قابل مشاهده از اینترنت، برای آسیب‌پذیری میزبان‌های مربوطه در برابر حملات شبکه است. در این سطح، سایت باید از متداول ترین حملات محافظت شود. مستلزم عدم وجود جدی ترین و متداول ترین آسیب پذیری های امنیتی است. همچنین الزامات خاصی برای سطح صلاحیت متخصصان مسئول تضمین امنیت سایت وجود دارد.

در سطح دوم کلیه ممیزی ها و رعایت کلیه الزامات سطح اول الزامی است و علاوه بر آن بازنگری دوره ای خط مشی و رویه ها برای اطمینان از امنیت شبکه الزامی است. همچنین در سطح دوم، با تلاش برای نفوذ و هک سیستم های متصل به اینترنت، سایت از نظر امنیت در برابر حملات شبکه بررسی می شود.

در سطح سوم، علاوه بر اطمینان از انطباق با کلیه الزامات سطح دوم، همچنین لازم است که به طور مرتب شبکه را از داخل اسکن کنید تا در برابر تهدیدات مزاحمان داخلی و همچنین مزاحمان خارجی که سعی در غلبه بر آن دارند محافظت شود. مکانیسم های حفاظتی محیط بیرونی شبکه با استفاده از روش های پیشرفته از جمله روش های مهندسی اجتماعی.

از سطحی به سطح دیگر، الزامات مربوط به صلاحیت متخصصان، ساختار سازمانی بخش هایی که با مسائل امنیتی سروکار دارند، وجود خط مشی ها و رویه های رسمی، و همچنین شدت و عمق آزمون های مورد استفاده برای بررسی مکانیسم های حفاظتی اینترنت یک سازمان. سایت، دقیق تر شود.

نتیجه گیری

حسابرسی یک بررسی مستقل از حوزه های خاصی از عملکرد سازمان است که به ابتکار مدیریت یا سهامداران آن یا مطابق با برنامه حسابرسی داخلی انجام می شود. اهداف اصلی انجام ممیزی امنیتی عبارتند از:

تجزیه و تحلیل خطرات مرتبط با امکان اجرای تهدیدات امنیتی علیه منابع IP؛
ارزیابی سطح فعلی امنیت IP؛
بومی سازی تنگناها در سیستم حفاظت IP؛
ارزیابی انطباق IS با استانداردهای موجود در زمینه امنیت اطلاعات؛
توسعه توصیه هایی برای معرفی مکانیسم های جدید و بهبود کارایی مکانیسم های امنیتی IS موجود.

کار ممیزی امنیت IP شامل تعدادی از مراحل متوالی است:

شروع نظرسنجی
مجموعه اطلاعات
تحلیل داده ها
توسعه توصیه ها
تهیه گزارش از نتایج نظرسنجی
رویکردهای حسابرسی امنیتی می تواند بر اساس تجزیه و تحلیل ریسک، تکیه بر استفاده از استانداردهای امنیت اطلاعات یا ترکیب هر دوی این رویکردها باشد.

در حال حاضر روش‌های بسیار متنوعی برای تجزیه و تحلیل و مدیریت ریسک‌ها و همچنین ابزارهای نرم‌افزاری برای پیاده‌سازی آنها وجود دارد. برخی از آنها در این مقاله مورد بحث قرار گرفته است.

یکی از قدرتمندترین و همه کاره ترین ابزارهای تحلیل ریسک، روش CRAMM است. نرم افزار CRAMM علاوه بر تجزیه و تحلیل و مدیریت ریسک، به شما امکان می دهد تعدادی از وظایف حسابرسی دیگر را نیز حل کنید، از جمله:

انجام یک نظرسنجی IP و صدور اسناد پشتیبانی در تمام مراحل بررسی.
انجام ممیزی مطابق با الزامات دولت بریتانیا و همچنین استاندارد BS 7799:1995 - آیین نامه عمل برای مدیریت امنیت اطلاعات BS7799.
یک خط مشی امنیتی و برنامه تداوم کسب و کار تهیه کنید.

استفاده صحیح از روش CRAMM به شما امکان می دهد تا به نتایج خوبی برسید که شاید مهمترین آنها امکان توجیه اقتصادی هزینه های سازمان برای امنیت اطلاعات و تداوم کسب و کار باشد.

نتیجه ممیزی، در سال های اخیر، به طور فزاینده ای تبدیل به گواهی نامه ای برای تأیید انطباق IP مورد بررسی با الزامات یک استاندارد بین المللی شناخته شده شده است. این مقاله چندین استاندارد و برنامه صدور گواهینامه را مورد بحث قرار می دهد که از اهمیت عملی برخوردار هستند.

استانداردهای بین المللی ISO17799 و ISO15408 به عنوان مبنایی برای هر کاری در زمینه امنیت اطلاعات از جمله ممیزی عمل می کنند. ISO17799 بر سازماندهی و مدیریت امنیت تمرکز دارد، در حالی که ISO15408 الزامات دقیق برای نرم افزار امنیت اطلاعات و مکانیزم های سخت افزاری را تعریف می کند.

مشخصات SysTrust در حال حاضر به طور گسترده توسط مؤسسات حسابرسی استفاده می شود که به طور سنتی حسابرسی مالی را برای مشتریان خود انجام می دهند و خدمات حسابرسی فناوری اطلاعات را به عنوان مکمل حسابرسی مالی ارائه می دهند.

استاندارد آلمانی "BSI \ IT Baseline Protection Manual" جامع ترین راهنمای امنیت فناوری اطلاعات است و برای همه متخصصان درگیر در امنیت اطلاعات ارزش عملی بدون شک دارد.

استانداردها و دستورالعمل های عملی برای تضمین امنیت اطلاعات، که در چارچوب پروژه SCORE توسعه یافته اند، بر متخصصان فنی متمرکز شده اند و از نظر فنی پیشرفته ترین هستند.

برنامه صدور گواهینامه سایت های اینترنتی برای الزامات امنیت اطلاعات و مشخصات مربوطه "گواهی سایت SANS / GIAC"، که اخیراً توسط موسسه SANS پیشنهاد شده است، قطعا به دلیل ارتباط روزافزون مسائل حفاظت از IP سازمان ها، شایسته توجه است. از حملات اینترنت و افزایش نسبت کارهای مربوطه هنگام انجام ممیزی امنیتی.

ادبیات و مراجع

فصل ISACA روسیه. دوره آمادگی آزمون CISA. آوریل-مه 2001.
راهنمای کاربر CRAMM نسخه 4.0.
CRAM چیست؟ http://www.gammassl.co.uk/topics/hot5.html
برنامه صدور گواهینامه سایت SANS/GIAC، http://www.sans.org/SCORE
خدمات SysTrust، http://www.aicpa.org/assurance/systrust/index.htm
Ernst & Young (CIS) Limited، گزارش حسابدار مستقل، https://processcertify.ey.com/vimpelcom2/vimpelcom_opinion.html
راهنمای حفاظت از خط پایه BSI/IT، http://www.bsi.bund.de/gshb/english/menue.htm
الکساندر آستاخوف. تجزیه و تحلیل امنیتی سیستم های خودکار، GLOBALTRUST.RU، 2002،

سازمان ممیزی امنیت اطلاعات سیستم اطلاعاتی

آکادمی اقتصاد آندروشکا ایگور مولداوی
TIE-238

معرفی

سیستم اطلاعاتی مدرن یک سازمان یک سیستم توزیع شده و ناهمگن است که از اجزای نرم افزاری و سخت افزاری مختلف استفاده می کند و دارای نقاط خروجی در یک شبکه عمومی است. (مثلا اینترنت). در این راستا، وظیفه پیکربندی صحیح و ایمن اجزا و اطمینان از تعامل امن بین آنها بسیار پیچیده‌تر می‌شود و در نتیجه، تعداد آسیب‌پذیری‌های سیستم افزایش می‌یابد.

وجود آسیب‌پذیری‌ها در سیستم این امکان را برای یک متجاوز احتمالی فراهم می‌کند که حمله موفقی را انجام دهد و به فعالیت‌های سازمان آسیب برساند. ظهور "نقاط ضعیف" می تواند به دلایل مختلف، هر دو عینی باشد (به عنوان مثال اشکالات در نرم افزار اصلی)و همچنین ذهنی (به عنوان مثال تنظیم سخت افزار نادرست) .

شناسایی و رفع آسیب‌پذیری‌ها و همچنین ارزیابی سطح کلی امنیت جزء فوق‌العاده مهم امنیت است که می‌تواند سطح امنیت اطلاعات و سایر منابع سیستم را به میزان قابل توجهی افزایش دهد.

برنج. 1 نقش ممیزی امنیت اطلاعات

اهداف و هدف حسابرسی

اهداف اصلی ممیزی امنیت اطلاعات شامل موارد زیر است:

· به دست آوردن ارزیابی عینی و مستقل از وضعیت فعلی امنیت منابع اطلاعاتی.

· کسب حداکثر بازده از وجوه سرمایه گذاری شده در ایجاد سیستم امنیت اطلاعات.

· ارزیابی خسارت احتمالی ناشی از اقدامات غیرمجاز.

· توسعه الزامات برای ساخت سیستم امنیت اطلاعات.

· تعریف حوزه های مسئولیت کارکنان بخش ها.

· محاسبه منابع لازم.

· توسعه نظم و ترتیب اجرای سیستم امنیت اطلاعات.

حسابرسی می تواند به روش های زیر انجام شود:

· ممیزی جامع- قبل از ایجاد یک سیستم امنیت اطلاعات

· خط چین- تشکیل الزامات برای نوسازی سیستم حفاظتی

· تناوبی– بررسی روتین خارجی سطح امنیت سیستم.

· چک کردن- بررسی و ارزیابی سیستم ها و راه حل های مورد استفاده یا برنامه ریزی شده برای استفاده.

مراحل حسابرسی

فرآیند حسابرسی سیستم های اطلاعاتی را می توان به عنوان نوعی وزن نشان داد (شکل 2)، جایی که سیستم های امنیتی دسترسی در یک کاسه در نظر گرفته می شوند، کنترل فرآیند کسب و کار از سوی دیگر، و زیرساخت فنی به عنوان یک پشتیبانی عمل می کند، که به نوبه خود بر اساس روش های پذیرفته شده مجوز، پیکربندی سیستم، و همچنین بر روی خط مشی ها و رویه ها است. در سازمان ها به تصویب رسید.

برنج. 2 فرآیند حسابرسی سیستم های اطلاعاتی

کار بر روی ممیزی امنیت IP شامل تعدادی مراحل متوالی است (شکل 3) که به طور کلی با مراحل یک ممیزی جامع IP مطابقت دارد که شامل موارد زیر است:

2. انجام یک ارزیابی امنیتی - شامل کار بر روی شناسایی آسیب پذیری های ابزار فنی، تجزیه و تحلیل امنیت فن آوری، و همچنین کفایت روش های سازمانی است. بر اساس کاستی های شناسایی شده، ارزیابی ریسک انجام می شود، از جمله راه های اصلی غلبه بر سیستم حفاظتی، درجه بحرانی بودن و امکان اجرا.

3. صدور گواهینامه سیستم - شامل فعالیت هایی برای بررسی (ارزیابی) اقدامات و اقدامات موجود برای محافظت از اطلاعات، ارزیابی کفایت آنها و همچنین انطباق با الزامات استانداردهای پیشرو است.

4. بر اساس نتایج حسابرسی، طرحی برای اصلاح نواقص شناسایی شده تهیه می شود. وظیفه برنامه ریزی تعیین اولویت ها برای اصلاح نواقص شناسایی شده، تدوین ترتیب و روش شناسی رفع آنهاست. علاوه بر این، برنامه ریزی شده است تا اسناد مفهومی و رویه ای مانند مفهوم امنیت اطلاعات، الزامات و توصیه های عمومی برای حفاظت از اطلاعات، سیاست امنیتی و غیره توسعه یابد.

شکل 3. مراحل ممیزی امنیت اطلاعات

با توجه به اهداف و روش انجام ممیزی امنیت اطلاعات، آغازگر این رویداد، همانطور که در بالا ذکر شد، علاقه‌مند است. متداول ترین آغازگر حسابرسی سازمانی است که توسط مدیریت آن نمایندگی می شود.

به عنوان یک قاعده، مسائل سازمانی زیر در مرحله نظرسنجی حل می شود:

حقوق و تعهدات حسابرس در شرح وظایف حسابرس و همچنین در مقررات داخلی به وضوح تعریف و مستند شده است. (خارجی)حسابرسی؛

حسابرس برنامه ای را برای انجام ممیزی امنیت اطلاعات تهیه و با مدیریت موافقت می کند.

مرحله نظرسنجی همچنین محدوده نظرسنجی را مشخص می کند. دامنه نظرسنجی معمولاً به این صورت تعریف می شود:

فهرست منابع فیزیکی، نرم افزاری و اطلاعاتی بررسی شده؛

بستر، زمینه (محل)قرار گرفتن در محدوده های نظرسنجی؛

انواع اصلی تهدیدات امنیتی در نظر گرفته شده در طول ممیزی؛

سازمانی (قانونی، اداری و رویه ای)، فیزیکی، نرم افزاری و سخت افزاری و سایر جنبه های امنیتی که باید در نظرسنجی در نظر گرفته شود و اولویت های آنها (تا چه حد باید در نظر گرفته شوند) .

پس از آن جمع آوری اطلاعات حسابرسی، که پیچیده ترین و طولانی ترین است، انجام می شود. این امر قاعدتاً به دلیل نبود مستندات لازم برای سیستم اطلاعاتی و نیاز به تعامل نزدیک حسابرس و بسیاری از مسئولان سازمان است.

هدف و اصول عملکرد IS تا حد زیادی خطرات و الزامات امنیتی موجود را برای سیستم تعیین می کند. بنابراین، در مرحله بعد، حسابرس به اطلاعاتی در مورد هدف و عملکرد IS علاقه مند است. در این مرحله، حسابرس ممکن است از اسنادی که حاوی اطلاعات زیر است استفاده کند:

شرح عملکردهای خودکار؛

طرح جریان اطلاعات؛

شرح ساختار مجموعه ابزارهای فنی سیستم اطلاعات؛

شرح ساختار نرم افزار؛

شرح ساختار پشتیبانی اطلاعات؛

شرح مشخصات فنی برنامه های مورد استفاده؛

علاوه بر این، حسابرس به اطلاعات دقیق تری در مورد ساختار IP نیاز دارد. این به شما امکان می دهد تا دریابید که چگونه توزیع مکانیسم های امنیتی با توجه به عناصر ساختاری و سطوح عملکرد IS انجام می شود.

تهیه بخش قابل توجهی از اسناد IP معمولاً در جریان حسابرسی انجام می شود. هنگامی که تمام داده های لازم در مورد IP، از جمله مستندات، آماده شد، می توانید به مرحله بعدی بروید - تجزیه و تحلیل آنها

روش های تجزیه و تحلیل داده های مورد استفاده توسط حسابرسان با رویکردهای حسابرسی انتخاب شده تعیین می شود که می تواند به طور قابل توجهی متفاوت باشد.اما به طور کلی 3 رویکرد وجود دارد:

رویکرد اولپیچیده ترین، بر اساس تجزیه و تحلیل ریسک است. بر اساس روش های تجزیه و تحلیل ریسک، حسابرس برای IS مورد بررسی مجموعه فردی از الزامات امنیتی را تعیین می کند که به بهترین وجه ویژگی های این IS، محیط عملیاتی آن و تهدیدات امنیتی موجود در این محیط را در نظر می گیرد. این رویکرد زمان‌برترین است و به بالاترین صلاحیت حسابرس نیاز دارد. کیفیت نتایج حسابرسی، در این مورد، به شدت تحت تأثیر روش تجزیه و تحلیل ریسک و مدیریت مورد استفاده و کاربرد آن در این نوع IP است.

ارسال کار خوب خود را در پایگاه دانش ساده است. از فرم زیر استفاده کنید

دانشجویان، دانشجویان تحصیلات تکمیلی، دانشمندان جوانی که از دانش پایه در تحصیل و کار خود استفاده می کنند از شما بسیار سپاسگزار خواهند بود.

نوشته شده در http://www.allbest.ru/

معرفی

حسابرسی نوعی کنترل مستقل و بی‌طرف بر هر حوزه از فعالیت یک شرکت تجاری است که به طور گسترده در عمل اقتصاد بازار به ویژه در زمینه حسابداری استفاده می‌شود. از منظر توسعه کلی یک شرکت، ممیزی امنیتی آن به همان اندازه مهم است که شامل تجزیه و تحلیل خطرات مرتبط با امکان اجرای تهدیدات امنیتی، به ویژه با توجه به منابع اطلاعاتی، ارزیابی سطح فعلی اطلاعات است. امنیت سیستم ها (IS)، بومی سازی گلوگاه ها در سیستم حفاظتی آنها، ارزیابی انطباق IS با استانداردهای موجود در زمینه امنیت اطلاعات و ارائه توصیه هایی برای معرفی مکانیسم های جدید و بهبود کارایی مکانیسم های امنیتی IS موجود.

اگر در مورد هدف اصلی ممیزی امنیت اطلاعات صحبت کنیم، می توان آن را به عنوان ارزیابی سطح امنیتی یک سیستم اطلاعات سازمانی برای مدیریت آن به طور کلی با در نظر گرفتن چشم انداز توسعه آن تعریف کرد.

در شرایط مدرن، زمانی که سیستم‌های اطلاعاتی در تمام حوزه‌های شرکت نفوذ می‌کنند و با توجه به نیاز به اتصال آنها به اینترنت، در معرض تهدیدهای داخلی و خارجی قرار می‌گیرند، مشکل امنیت اطلاعات کمتر از اهمیت اقتصادی یا فیزیکی نمی‌شود. امنیت.

با وجود اهمیت موضوع مورد بررسی برای تربیت متخصصان امنیت اطلاعات، هنوز به عنوان یک دوره مجزا در برنامه های درسی موجود گنجانده نشده است و در کتاب های درسی و راهنماها لحاظ نشده است. دلیل این امر فقدان چارچوب نظارتی لازم، عدم آمادگی متخصصان و تجربه عملی ناکافی در زمینه ممیزی امنیت اطلاعات بود.

ساختار کلی کار شامل دنباله ای از موضوعات زیر است:

مدلی برای ساخت یک سیستم امنیت اطلاعات (IS) با در نظر گرفتن تهدیدها، آسیب پذیری ها، خطرات و اقدامات متقابل اتخاذ شده برای کاهش یا جلوگیری از آنها توضیح داده شده است.

روش های تجزیه و تحلیل ریسک و مدیریت در نظر گرفته شده است.

مفاهیم اساسی ممیزی امنیتی تشریح شده و ویژگی های اهداف اجرای آن ارائه شده است.

استانداردهای اصلی بین المللی و روسی مورد استفاده در ممیزی امنیت اطلاعات را تجزیه و تحلیل می کند.

امکان استفاده از ابزارهای نرم افزاری برای انجام ممیزی IS نشان داده شده است.

انتخاب ساختار توصیف شده کتاب درسی به منظور به حداکثر رساندن جهت گیری دانش آموز برای استفاده عملی از مطالب مورد نظر، اولاً هنگام مطالعه دوره سخنرانی، ثانیاً هنگام گذراندن شیوه های صنعتی (تحلیل وضعیت امنیت اطلاعات) انجام شده است. در شرکت)، مقالات ترم و پایان نامه ها.

مطالب ارائه شده ممکن است برای مدیران و کارمندان خدمات امنیتی و خدمات حفاظت اطلاعات شرکت برای تهیه و اجرای داخلی و اثبات نیاز به ممیزی خارجی امنیت اطلاعات مفید باشد.

فصل اول. حسابرسی امنیتی و روشهای انجام آن

1.1 مفهوم ممیزی امنیتی

حسابرسی یک بررسی مستقل از حوزه های خاصی از عملکرد سازمان است. تمایز بین حسابرسی خارجی و داخلی حسابرسی خارجی معمولاً رویدادی است که یک بار به ابتکار مدیریت یا سهامداران سازمان انجام می شود. انجام ممیزی خارجی به طور منظم توصیه می شود و به عنوان مثال، برای بسیاری از مؤسسات مالی و شرکت های سهامی این یک الزام اجباری از سوی مؤسسان و سهامداران آنها است. حسابرسی داخلی فعالیت مستمری است که بر اساس «آیین نامه حسابرسی داخلی» و مطابق برنامه انجام می شود که تهیه آن توسط واحدهای خدمات حراست و به تأیید مدیریت سازمان می رسد.

اهداف ممیزی امنیتی عبارتند از:

تجزیه و تحلیل خطرات مرتبط با احتمال تهدیدات امنیتی علیه منابع؛

ارزیابی سطح فعلی امنیت IP؛

بومی سازی تنگناها در سیستم حفاظت IP؛

ارزیابی انطباق IP با استانداردهای موجود در زمینه امنیت اطلاعات.

ممیزی امنیتی یک شرکت (شرکت، سازمان) باید به عنوان یک ابزار مدیریتی محرمانه در نظر گرفته شود که به منظور محرمانه بودن، امکان ارائه اطلاعات در مورد نتایج فعالیت های آن به اشخاص و سازمان های ثالث را حذف می کند.

برای انجام ممیزی امنیت سازمانی، دنباله ای از اقدامات زیر را می توان توصیه کرد.

1. آماده شدن برای ممیزی امنیتی:

انتخاب موضوع حسابرسی (شرکت، ساختمان ها و اماکن فردی، سیستم های فردی یا اجزای آنها).

تشکیل تیمی از کارشناسان - حسابرسان

تعیین محدوده و محدوده ممیزی و تعیین مهلت های مشخص برای کار.

2. انجام ممیزی:

تجزیه و تحلیل کلی از وضعیت امنیتی شی ممیزی.

ثبت، جمع آوری و تأیید داده های آماری و نتایج اندازه گیری های ابزاری خطرات و تهدیدها.

ارزیابی نتایج حسابرسی؛

تهیه گزارش در مورد نتایج بررسی برای اجزای جداگانه.

3. تکمیل ممیزی:

تهیه گزارش نهایی؛

تدوین برنامه عملیاتی برای رفع تنگناها و کاستی ها در تامین امنیت شرکت.

برای انجام موفقیت آمیز ممیزی امنیتی، باید:

مشارکت فعال مدیریت شرکت در اجرای آن؛

عینیت و استقلال حسابرسان (کارشناسان)، شایستگی و حرفه ای بودن آنها.

رویه تأیید ساختاری واضح؛

اجرای فعال اقدامات پیشنهادی برای تضمین و افزایش امنیت.

ممیزی امنیتی نیز به نوبه خود ابزاری موثر برای ارزیابی امنیت و مدیریت ریسک است. جلوگیری از تهدیدات امنیتی نیز به معنای حفاظت از منافع اقتصادی، اجتماعی و اطلاعاتی شرکت است.

از اینجا می توان نتیجه گرفت که ممیزی ایمنی در حال تبدیل شدن به یک ابزار مدیریت اقتصادی است.

بسته به حجم اشیاء تجزیه و تحلیل شده شرکت، دامنه حسابرسی تعیین می شود:

ممیزی امنیتی کل شرکت در مجتمع؛

ممیزی امنیتی ساختمان ها و اماکن فردی (مکان های اختصاصی)؛

ممیزی تجهیزات و وسایل فنی انواع و اقسام خاص؛

ممیزی انواع و زمینه های خاص فعالیت: اقتصادی، زیست محیطی، اطلاعاتی، مالی و غیره.

لازم به تأکید است که حسابرسی به ابتکار حسابرس انجام نمی شود، بلکه به ابتکار مدیریت مؤسسه که در این موضوع ذینفع اصلی است، انجام می شود. حمایت مدیریت شرکت شرط لازم برای حسابرسی است.

حقوق و تعهدات حسابرس باید به وضوح در شرح وظایف وی و همچنین در مقررات مربوط به حسابرسی داخلی (خارجی) تعریف و مستند شود.

حسابرس باید برنامه حسابرسی را تهیه و با مدیریت موافقت کند.

مقررات مربوط به حسابرسی داخلی باید به ویژه تصریح کند که کارکنان مؤسسه موظفند به حسابرس کمک کنند و تمام اطلاعات لازم برای حسابرسی را ارائه دهند.

در مرحله شروع روش حسابرسی، حدود بررسی باید تعیین شود. اگر برخی از زیرسیستم های اطلاعاتی شرکت به اندازه کافی حیاتی نباشند، می توان آنها را از مرزهای بررسی حذف کرد.

سایر سیستم های فرعی ممکن است به دلیل نگرانی های حفظ حریم خصوصی قابل حسابرسی نباشند.

مرزهای نظرسنجی در دسته بندی های زیر تعریف می شود:

1. فهرست منابع فیزیکی، نرم افزاری و اطلاعاتی بررسی شده.

2. سایت ها (اتاق ها) که در محدوده های بررسی قرار می گیرند.

3. انواع اصلی تهدیدات امنیتی در نظر گرفته شده در طول ممیزی.

4. سازمانی (قانونی، اداری و رویه ای)، فیزیکی، نرم افزاری و سخت افزاری و سایر جنبه های امنیتی که لازم است در طول بررسی مورد توجه قرار گیرد و اولویت های آنها (تا چه حد باید در نظر گرفته شود).

برای درک حسابرسی IS به عنوان یک سیستم پیچیده، می توان از مدل مفهومی آن که در شکل 1 نشان داده شده است استفاده کرد. 1.1. در اینجا اجزای اصلی فرآیند ذکر شده است:

موضوع حسابرسی:

هدف حسابرسی:

برنج. 1.1. مدل مفهومی ممیزی امنیت اطلاعات

الزامات؛

روش های مورد استفاده؛

مقیاس:

مجریان؛

ترتیب رفتار.

از نقطه نظر سازماندهی کار در طول ممیزی IS، سه مرحله اساسی وجود دارد:

1. جمع آوری اطلاعات.

این مراحل در زیر با جزئیات بیشتر مورد بحث قرار گرفته است.

1.2 روش های تجزیه و تحلیل داده ها برای حسابرسی IS

در حال حاضر سه روش (رویکرد) اصلی برای حسابرسی وجود دارد که تفاوت های چشمگیری با یکدیگر دارند.

اولین روش، پیچیده ترین، مبتنی بر تجزیه و تحلیل ریسک است. بر اساس روش های تجزیه و تحلیل ریسک، حسابرس برای IS مورد بررسی مجموعه فردی از الزامات امنیتی را تعیین می کند که به بهترین وجه ویژگی های این IS، محیط عملیاتی آن و تهدیدات امنیتی موجود در این محیط را در نظر می گیرد. این رویکرد زمان‌برترین است و به بالاترین صلاحیت حسابرس نیاز دارد. کیفیت نتایج حسابرسی، در این مورد، به شدت تحت تأثیر روش تجزیه و تحلیل ریسک و مدیریت مورد استفاده و کاربرد آن در این نوع IP است.

روش دوم، کاربردی ترین، بر استفاده از استانداردهای امنیت اطلاعات متکی است. استانداردها مجموعه ای اساسی از الزامات امنیتی را برای طبقه وسیعی از IS تعریف می کنند که در نتیجه تعمیم رویه جهانی شکل گرفته است. استانداردها بسته به سطح امنیت IP که باید ارائه شود، مالکیت آن (سازمان تجاری یا سازمان دولتی)، و هدف (مالی، صنعت، ارتباطات و غیره) مجموعه های مختلفی از الزامات امنیتی را تعریف می کنند. در این حالت، حسابرس موظف است مجموعه الزامات استانداردی را که باید برای این IS برآورده شود، به درستی تعیین کند. یک روش نیز برای ارزیابی این مکاتبات مورد نیاز است. به دلیل سادگی (مجموعه الزامات استاندارد برای انجام حسابرسی قبلاً توسط استاندارد از پیش تعیین شده است) و قابلیت اطمینان (استاندارد یک استاندارد است و هیچ کس سعی نمی کند الزامات آن را به چالش بکشد)، رویکرد توصیف شده در عمل رایج ترین است (به ویژه هنگام انجام ممیزی خارجی). این اجازه می دهد تا با حداقل هزینه منابع، نتایج معقولی در مورد وضعیت IS بدست آورید.

روش سوم، مؤثرترین، شامل ترکیبی از دو روش اول است.

یکی . تجزیه و تحلیل منابع IP شامل منابع اطلاعاتی، نرم افزار و سخت افزار و منابع انسانی.

2. تجزیه و تحلیل گروه های وظیفه حل شده توسط سیستم و فرآیندهای تجاری.

3. ساخت یک مدل (غیررسمی) از منابع IP که رابطه بین اطلاعات، نرم افزار، منابع فنی و انسانی، موقعیت نسبی آنها و راه های تعامل را تعریف می کند.

4. ارزیابی بحرانی بودن منابع اطلاعاتی و همچنین نرم افزار و سخت افزار.

5. تعیین بحرانی بودن منابع با در نظر گرفتن وابستگی متقابل آنها.

6. شناسایی محتمل ترین تهدیدات امنیتی برای منابع IP و آسیب پذیری های امنیتی که این تهدیدات را ممکن می سازد.

7. ارزیابی احتمال اجرای تهدیدات، میزان آسیب پذیری ها و خسارت وارده به سازمان در صورت اجرای موفقیت آمیز تهدیدات.

8. تعیین میزان خطرات برای هر سه گانه: تهدید - گروه منابع - آسیب پذیری.

مجموعه وظایف ذکر شده کاملاً کلی است. برای حل آنها می توان از تکنیک های مختلف رسمی و غیر رسمی، کمی و کیفی، دستی و تحلیل ریسک خودکار استفاده کرد. ماهیت رویکرد از این تغییر نمی کند.

هنگام انجام ممیزی امنیتی برای انطباق با الزامات استاندارد، حسابرس با تکیه بر تجربیات خود، قابلیت کاربرد الزامات استاندارد را در IP مورد بررسی و انطباق آن با این الزامات ارزیابی می کند. داده های مربوط به انطباق مناطق مختلف عملیات IS با الزامات استاندارد معمولاً به صورت جدول ارائه می شود. جدول نشان می دهد که کدام الزامات امنیتی در سیستم پیاده سازی نشده اند. بر این اساس، نتیجه گیری در مورد انطباق IS مورد بررسی با الزامات استاندارد و توصیه هایی در مورد اجرای مکانیسم های امنیتی در سیستم برای اطمینان از این انطباق ارائه می شود.

1.3 تجزیه و تحلیل خطرات اطلاعات سازمانی

تجزیه و تحلیل ریسک عبارت است از آنچه ساخت هر سیستم امنیت اطلاعات باید با آن آغاز شود و آنچه برای انجام ممیزی امنیت اطلاعات ضروری است. این شامل فعالیت هایی برای بررسی امنیت شرکت به منظور تعیین اینکه چه منابعی و از چه تهدیداتی باید محافظت شوند، و همچنین تا چه حد منابع خاصی نیاز به حفاظت دارند، می شود. تعیین مجموعه ای از اقدامات متقابل کافی در دوره مدیریت ریسک انجام می شود. خطر با احتمال ایجاد آسیب و میزان آسیب وارد شده به منابع سیستم های اطلاعاتی (IS) در صورت تهدید امنیتی تعیین می شود.

تجزیه و تحلیل ریسک برای شناسایی ریسک های موجود و ارزیابی بزرگی آنها (برای ارزیابی کمی یا کیفی آنها) است. فرآیند تحلیل ریسک شامل وظایف زیر است:

1. شناسایی منابع IP کلیدی.

2. تعیین اهمیت برخی منابع برای سازمان.

3. شناسایی تهدیدات و آسیب پذیری های امنیتی موجود که اجرای تهدیدات را ممکن می سازد.

4. محاسبه خطرات مرتبط با اجرای تهدیدات امنیتی.

منابع IP را می توان به دسته های زیر تقسیم کرد:

منابع اطلاعاتی؛

نرم افزار؛

وسایل فنی (سرورها، ایستگاههای کاری، تجهیزات شبکه فعال و غیره)؛

منابع انسانی.

داده ها افشا شده، تغییر یافته، حذف شده یا غیرقابل دسترس شده است.

تجهیزات آسیب دیده یا از بین رفته است.

یکپارچگی نرم افزار نقض شده است.

در نتیجه اجرای موفقیت آمیز انواع تهدیدات امنیتی زیر می تواند به یک سازمان آسیب وارد شود:

حملات محلی و از راه دور به منابع IP؛

بلایای طبیعی؛

خطاها یا اقدامات عمدی کارکنان داعش؛

خرابی آی سی ناشی از خرابی نرم افزار یا سخت افزار.

میزان ریسک را می توان بر اساس هزینه منبع، احتمال وقوع تهدید و میزان آسیب پذیری با استفاده از فرمول زیر تعیین کرد:

هزینه منابعایکس خطر احتمال تهدید = وسعت آسیب پذیری

رویکرد مبتنی بر تجزیه و تحلیل ریسک های اطلاعات سازمانی مهم ترین روش برای تضمین امنیت اطلاعات است. این با این واقعیت توضیح داده می شود که تجزیه و تحلیل ریسک به شما امکان می دهد تا به طور موثر امنیت اطلاعات یک شرکت را مدیریت کنید. برای انجام این کار، در ابتدای تجزیه و تحلیل ریسک، باید مشخص شود که دقیقاً چه چیزی در شرکت تحت حمایت قرار می گیرد، در معرض چه تهدیداتی قرار دارد و عملکرد حفاظتی. تجزیه و تحلیل ریسک بر اساس اهداف و اهداف فوری حفاظت از نوع خاصی از اطلاعات محرمانه انجام می شود. یکی از مهمترین وظایف در چارچوب حفاظت از اطلاعات، اطمینان از یکپارچگی و در دسترس بودن آن است. در عین حال، باید در نظر داشت که نقض یکپارچگی نه تنها در نتیجه اقدامات عمدی، بلکه به دلایل دیگر نیز ممکن است رخ دهد:

خرابی تجهیزات منجر به از دست دادن یا تحریف اطلاعات می شود.

تأثیر فیزیکی، از جمله در نتیجه بلایای طبیعی؛

اشکالات در نرم افزار (از جمله ویژگی های غیر مستند).

بنابراین، اصطلاح «حمله» برای درک نه تنها تأثیر انسانی بر منابع اطلاعاتی، بلکه تأثیر محیطی که سیستم پردازش اطلاعات سازمانی در آن عمل می‌کند، امیدوارکننده‌تر است.

هنگام انجام تجزیه و تحلیل ریسک، موارد زیر ایجاد می شود:

استراتژی و تاکتیک های کلی اجرای «عملیات تهاجمی و عملیات نظامی» توسط متخلف احتمالی.

راه های ممکن برای انجام حملات به سیستم پردازش و حفاظت اطلاعات؛

سناریوی اجرای اقدامات غیرقانونی؛

ویژگی های کانال های نشت اطلاعات و دسترسی غیرمجاز؛

احتمال برقراری تماس اطلاعاتی (اجرای تهدیدات).

لیستی از عفونت های اطلاعاتی احتمالی؛

مدل مزاحم؛

· روش برای ارزیابی امنیت اطلاعات.

علاوه بر این، برای ایجاد یک سیستم امنیت اطلاعات سازمانی قابل اعتماد، لازم است:

شناسایی تمام تهدیدات احتمالی برای امنیت اطلاعات؛

ارزیابی عواقب تجلی آنها؛

با در نظر گرفتن الزامات اسناد نظارتی، اقتصادی، اقدامات و وسایل حفاظتی لازم را تعیین کنید

امکان سنجی، سازگاری و بدون درگیری با نرم افزار مورد استفاده؛

ارزیابی اثربخشی اقدامات و وسایل حفاظتی انتخاب شده.

برنج. 1.2. سناریوی تجزیه و تحلیل منابع اطلاعاتی

تمام 6 مرحله تجزیه و تحلیل ریسک در اینجا ارائه شده است. در مرحله اول و دوم، اطلاعاتی مشخص می شود که یک راز تجاری برای شرکت محسوب می شود و باید محافظت شود. واضح است که چنین اطلاعاتی در مکان های خاص و در رسانه های خاص ذخیره می شود و از طریق کانال های ارتباطی منتقل می شود. در عین حال، عامل تعیین کننده در فناوری مدیریت اطلاعات، معماری IS است که تا حد زیادی امنیت منابع اطلاعاتی شرکت را تعیین می کند. مرحله سوم تجزیه و تحلیل ریسک، ساخت کانال های دسترسی، نشت یا تأثیر بر منابع اطلاعاتی گره های اصلی IS است. هر کانال دسترسی با مجموعه ای از نقاط مشخص می شود که می توانید اطلاعات را از آنها "حذف کنید". آنها هستند که نشان دهنده آسیب پذیری ها هستند و نیاز به استفاده از ابزارهایی برای جلوگیری از اثرات نامطلوب بر اطلاعات دارند.

چهارمین مرحله از تجزیه و تحلیل راه های محافظت از تمام نقاط ممکن، بنابراین با اهداف حفاظت مطابقت دارد و نتیجه آن باید شرح شکاف های احتمالی در دفاع، از جمله به دلیل ترکیب نامطلوب شرایط باشد.

در مرحله پنجم، بر اساس روش ها و ابزارهای شناخته شده فعلی برای غلبه بر خطوط دفاعی، احتمال اجرای تهدیدات برای هر یک از نقاط حمله احتمالی مشخص می شود.

در مرحله ششم پایانی، آسیب‌های وارد شده به سازمان در صورت اجرای هر یک از حملات ارزیابی می‌شود که همراه با ارزیابی آسیب‌پذیری، امکان دستیابی به فهرست رتبه‌بندی تهدیدات منابع اطلاعاتی را فراهم می‌کند. نتایج کار به شکلی مناسب برای درک آنها و توسعه راه حل هایی برای اصلاح سیستم امنیت اطلاعات موجود ارائه شده است. علاوه بر این، هر منبع اطلاعاتی ممکن است در معرض چندین تهدید بالقوه قرار گیرد. احتمال کل دسترسی به منابع اطلاعاتی از اهمیت اساسی برخوردار است که از احتمالات ابتدایی دسترسی به نقاط جداگانه عبور اطلاعات تشکیل شده است.

ارزش ریسک اطلاعات برای هر منبع به عنوان حاصل ضرب احتمال حمله به منبع، احتمال اجرا و تهدید و آسیب ناشی از نفوذ اطلاعات تعیین می شود. در این کار می توان از روش های مختلف توزین اجزا استفاده کرد.

مجموع ریسک ها برای همه منابع، ارزش کل ریسک را با معماری IS اتخاذ شده و سیستم امنیت اطلاعات تعبیه شده در آن نشان می دهد.

بنابراین، با تغییر گزینه‌های ساخت یک سیستم امنیت اطلاعات و معماری IS، ارائه و در نظر گرفتن مقادیر مختلف ریسک کل به دلیل تغییر در احتمال اجرای تهدیدات امکان‌پذیر می‌شود. در اینجا یک مرحله بسیار مهم انتخاب یکی از گزینه ها مطابق با معیار تصمیم گیری انتخاب شده است. چنین معیاری ممکن است ریسک قابل قبول یا نسبت هزینه امنیت اطلاعات به ریسک باقیمانده باشد.

هنگام ساخت سیستم های امنیت اطلاعات، تعیین استراتژی مدیریت ریسک برای شرکت نیز ضروری است.

امروزه چندین رویکرد برای مدیریت ریسک وجود دارد.

یکی از رایج ترین آنها کاهش ریسک با استفاده از روش ها و وسایل حفاظتی مناسب است. در اصل رویکردی نزدیک به اجتناب از ریسک است. مشخص است که می توان از برخی از کلاس های خطرات اجتناب کرد: به عنوان مثال، انتقال وب سرور سازمان به خارج از شبکه محلی از خطر دسترسی غیرمجاز به شبکه محلی توسط مشتریان وب جلوگیری می کند.

در نهایت در برخی موارد پذیرش ریسک قابل قبول است. در اینجا مهم است که در مورد معضل زیر تصمیم بگیرید: چه چیزی برای شرکت سودآورتر است - مقابله با خطرات یا عواقب آنها. در این مورد، یک مشکل بهینه سازی باید حل شود.

پس از تعیین استراتژی مدیریت ریسک، ارزیابی نهایی اقدامات برای تضمین امنیت اطلاعات با تهیه نظر کارشناسی در خصوص امنیت منابع اطلاعاتی انجام می شود. نظر کارشناسی شامل کلیه مواد تجزیه و تحلیل ریسک و توصیه هایی برای کاهش آنها می باشد.

1.4 روش های ارزیابی ریسک های اطلاعاتی شرکت

در عمل از روش های مختلفی برای ارزیابی و مدیریت ریسک های اطلاعاتی در شرکت ها استفاده می شود. در عین حال، ارزیابی ریسک های اطلاعاتی شامل مراحل زیر است:

شناسایی و ارزیابی کمی منابع اطلاعاتی شرکت هایی که برای تجارت مهم هستند.

ارزیابی تهدیدات احتمالی؛

ارزیابی آسیب پذیری های موجود؛

ارزیابی اثربخشی ابزارهای امنیت اطلاعات.

فرض بر این است که منابع اطلاعاتی آسیب پذیر شرکت که برای کسب و کار مهم هستند در صورت وجود هرگونه تهدیدی در معرض خطر هستند. به عبارت دیگر، خطرات مشخص کننده خطری است که اجزای یک سیستم اینترنت/اینترانت شرکتی ممکن است در معرض آن قرار گیرند. در عین حال، ریسک های اطلاعاتی شرکت به موارد زیر بستگی دارد:

از شاخص های ارزش منابع اطلاعاتی؛

احتمال تحقق تهدیدات برای منابع؛

· اثربخشی ابزارهای موجود یا برنامه ریزی شده برای تضمین امنیت اطلاعات.

هدف از ارزیابی ریسک، تعیین ویژگی های ریسک سیستم اطلاعاتی شرکت و منابع آن است. در نتیجه ارزیابی ریسک، انتخاب ابزاری که سطح مطلوبی از امنیت اطلاعات سازمانی را فراهم می کند، امکان پذیر می شود. هنگام ارزیابی ریسک ها، ارزش منابع، اهمیت تهدیدات و آسیب پذیری ها، اثربخشی ابزارهای حفاظتی موجود و برنامه ریزی شده در نظر گرفته می شود. شاخص های خود منابع، اهمیت تهدیدات و آسیب پذیری ها، اثربخشی ابزارهای حفاظتی را می توان هم با روش های کمی، به عنوان مثال، در هنگام تعیین ویژگی های هزینه، و هم با روش های کیفی، به عنوان مثال، با در نظر گرفتن غیر طبیعی معمول یا بسیار خطرناک تعیین کرد. اثرات زیست محیطی

امکان تحقق یک تهدید با احتمال تحقق آن در یک دوره زمانی معین برای برخی منابع سازمانی برآورد می شود. در عین حال، احتمال تحقق تهدید توسط شاخص های اصلی زیر تعیین می شود:

هنگام در نظر گرفتن تهدید ناشی از تأثیر عمدی انسانی از جذابیت منبع استفاده می شود.

امکان استفاده از منبع برای تولید درآمد هنگام در نظر گرفتن تهدید ناشی از تأثیر عمدی انسانی؛

قابلیت های فنی اجرای تهدید در صورت تأثیر عمدی انسانی استفاده می شود.

درجه سهولتی که می توان با آن آسیب پذیری را مورد سوء استفاده قرار داد.

در حال حاضر روش های جدولی زیادی برای ارزیابی ریسک های اطلاعاتی یک شرکت وجود دارد. مهم است که پرسنل امنیتی روش مناسب را برای خود انتخاب کنند که نتایج قابل تکرار صحیح و قابل اعتمادی را ارائه دهد.

توصیه می‌شود شاخص‌های کمی منابع اطلاعاتی بر اساس نتایج نظرسنجی از کارکنان شرکت‌هایی که اطلاعات دارند، یعنی مقاماتی که می‌توانند ارزش اطلاعات، ویژگی‌های آن و درجه بحرانی بودن را بر اساس وضعیت واقعی تعیین کنند، ارزیابی شوند. امور بر اساس نتایج نظرسنجی، ارزیابی شاخص‌ها و میزان بحرانی بودن منابع اطلاعاتی برای بدترین سناریو تا در نظر گرفتن تأثیرات احتمالی بر فعالیت‌های تجاری شرکت در صورت دسترسی غیرمجاز احتمالی به اطلاعات محرمانه انجام می‌شود. اطلاعات، نقض یکپارچگی آن، در دسترس نبودن برای دوره های مختلف ناشی از انکار در نگهداری داده های سیستم های پردازش و حتی تخریب فیزیکی است. در عین حال، فرآیند به دست آوردن شاخص های کمی را می توان با روش های مناسب برای ارزیابی سایر منابع مهم سازمانی با در نظر گرفتن موارد زیر تکمیل کرد:

ایمنی پرسنل؛

افشای اطلاعات خصوصی؛

الزامات مربوط به انطباق با قوانین و مقررات؛

محدودیت های ناشی از قانون؛

منافع تجاری و اقتصادی؛

زیان مالی و اختلال در فعالیت های تولیدی؛

· روابط عمومی؛

سیاست تجاری و عملیات تجاری؛

از دست دادن شهرت شرکت

بعلاوه، در جاهایی که مجاز و موجه باشد از شاخص های کمی استفاده می شود و در مواردی که برآوردهای کمی به دلایلی دشوار است، از شاخص های کیفی استفاده می شود. در عین حال، بیشترین مورد استفاده، ارزیابی شاخص های کیفی با استفاده از مقیاس های نقطه ای است که به طور خاص برای این منظور توسعه یافته اند، به عنوان مثال، با مقیاس چهار نقطه ای.

مرحله بعدی پر کردن دو پرسشنامه است که در آن برای هر نوع تهدید و گروه منابع مرتبط با آن، سطوح تهدید به عنوان احتمال تحقق تهدیدات و سطوح آسیب پذیری به عنوان درجه سهولت ارزیابی می شود. تهدید متوجه شده می تواند به تأثیر منفی منجر شود. ارزیابی در مقیاس های کیفی انجام می شود. به عنوان مثال، سطح تهدیدات و آسیب پذیری ها در مقیاس بالا به پایین رتبه بندی می شود. اطلاعات لازم با مصاحبه با مدیران ارشد شرکت، کارکنان بخش های بازرگانی، فنی، پرسنلی و خدماتی، مراجعه به میدان و تجزیه و تحلیل مستندات شرکت جمع آوری می شود.

در کنار روش های جدولی برای ارزیابی ریسک های اطلاعاتی می توان از روش های ریاضی نوین به عنوان مثال روش دلفی و همچنین سیستم های خودکار خاص استفاده کرد که در ادامه به برخی از آنها پرداخته خواهد شد.

الگوریتم کلی فرآیند ارزیابی ریسک (شکل 1.3.) در این سیستم ها شامل مراحل زیر می باشد.

شرح شیء و اقدامات حفاظتی؛

شناسایی منبع و ارزیابی شاخص های کمی آن (تعیین تأثیر منفی بالقوه بر تجارت).

تجزیه و تحلیل تهدیدات امنیت اطلاعات؛

ارزیابی آسیب پذیری ها؛

ارزیابی ابزارهای موجود و پیشنهادی

تضمین امنیت اطلاعات؛

ارزیابی ریسک

1.5 مدیریت ریسک اطلاعات

در حال حاضر مدیریت ریسک اطلاعات یکی از مرتبط ترین و پویاترین حوزه های مدیریت استراتژیک و عملیاتی در حوزه امنیت اطلاعات است. وظیفه اصلی آن شناسایی و ارزیابی عینی مهم ترین ریسک های اطلاعاتی برای تجارت شرکت و همچنین کفایت ابزارهای کنترل ریسک مورد استفاده برای افزایش کارایی و سودآوری فعالیت اقتصادی شرکت است. بنابراین، اصطلاح "مدیریت ریسک اطلاعات" معمولاً به عنوان یک فرآیند سیستمی برای شناسایی، کنترل و کاهش خطرات اطلاعاتی شرکت ها مطابق با محدودیت های خاصی از چارچوب نظارتی روسیه در زمینه حفاظت از اطلاعات و خط مشی امنیتی شرکت خود درک می شود.

برنج. 1.3. الگوریتم ارزیابی ریسک

استفاده از سیستم های اطلاعاتی با مجموعه ای از خطرات همراه است. هنگامی که آسیب احتمالی به طور غیرقابل قبولی زیاد است، اقدامات حفاظتی مقرون به صرفه مورد نیاز است. ارزیابی دوره ای (دوباره) ریسک ها برای نظارت بر اثربخشی فعالیت های امنیتی و در نظر گرفتن تغییرات در محیط ضروری است.

ماهیت فعالیت های مدیریت ریسک این است که اندازه آنها را ارزیابی کنید، اقدامات موثر و مقرون به صرفه برای کاهش ریسک ایجاد کنید و سپس اطمینان حاصل کنید که ریسک ها در محدوده قابل قبول هستند (و همچنان باقی می مانند). بنابراین، مدیریت ریسک شامل دو نوع فعالیت است که به صورت دوره ای متناوب می شوند:

1) (دوباره) ارزیابی (اندازه گیری) خطرات؛

2) انتخاب وسایل حفاظتی موثر و اقتصادی (خنثی سازی خطر).

در رابطه با خطرات شناسایی شده، اقدامات زیر امکان پذیر است:

حذف خطر (به عنوان مثال، از بین بردن علت)؛

کاهش خطر (به عنوان مثال، از طریق استفاده از تجهیزات حفاظتی اضافی)؛

پذیرش ریسک (با تدوین برنامه اقدام در شرایط مناسب):

انتقال ریسک (مثلاً با انعقاد قرارداد بیمه).

فرآیند مدیریت ریسک را می توان به مراحل زیر تقسیم کرد:

1. انتخاب اشیاء تجزیه و تحلیل شده و سطح جزئیات در نظر گرفتن آنها.

2. انتخاب روش ارزیابی ریسک.

3. شناسایی دارایی ها.

4. تجزیه و تحلیل تهدیدات و پیامدهای آنها، شناسایی آسیب پذیری در حفاظت.

5. ارزیابی ریسک.

6. انتخاب اقدامات حفاظتی.

7. اجرا و تایید اقدامات انتخاب شده.

8. ارزیابی ریسک باقیمانده.

مراحل 6 و مربوط به انتخاب تجهیزات حفاظتی (خنثی سازی و خطرات)، بقیه - به ارزیابی خطر.

شمارش مراحل قبلاً نشان می دهد که مدیریت ریسک یک فرآیند چرخه ای است. در اصل، آخرین مرحله یک عبارت پایان حلقه است که به شما می گوید به ابتدا برگردید. ریسک ها باید دائماً پایش شوند و بطور دوره ای آنها را مجدداً ارزیابی کرد. لازم به ذکر است که یک ارزیابی مستند می تواند فعالیت های بعدی را تا حد زیادی ساده کند.

مدیریت ریسک، مانند هر فعالیت دیگر امنیت اطلاعات، باید در چرخه حیات IP ادغام شود. در این صورت تأثیر بیشترین مقدار است و هزینه ها حداقل است.

مدیریت ریسک باید در تمام مراحل چرخه حیات سیستم اطلاعاتی انجام شود: راه اندازی - توسعه - نصب - بهره برداری - دفع (از رده خارج کردن).

در مرحله شروع، هنگام توسعه الزامات برای سیستم به طور کلی و ابزارهای امنیتی به طور خاص، باید خطرات شناخته شده در نظر گرفته شود.

در مرحله توسعه، دانستن خطرات به شما کمک می کند تا راه حل های معماری مناسبی را انتخاب کنید که نقش کلیدی در تضمین امنیت دارند.

در مرحله نصب، خطرات شناسایی شده باید هنگام پیکربندی، آزمایش و تأیید فرمول قبلی در نظر گرفته شود.

الزامات، و یک چرخه کامل از مدیریت ریسک باید قبل از معرفی سیستم به بهره برداری برسد.

در طول مرحله عملیاتی، مدیریت ریسک باید با تمام تغییرات مهم در سیستم همراه باشد.

هنگامی که یک سیستم از کار افتاده است، مدیریت ریسک کمک می کند تا اطمینان حاصل شود که انتقال داده ها به شیوه ای ایمن انجام می شود.

فصل دوم. استانداردهای امنیت اطلاعات

2.1 پیش نیازهای ایجاد استانداردهای امنیت اطلاعات

انجام ممیزی امنیت اطلاعات مبتنی بر استفاده از توصیه های متعددی است که عمدتاً در استانداردهای بین المللی امنیت اطلاعات بیان شده است.

یکی از نتایج ممیزی در سالهای اخیر به طور فزاینده ای به گواهینامه ای تبدیل شده است که انطباق IS مورد بررسی را با یک استاندارد بین المللی شناخته شده خاص تأیید می کند. وجود چنین گواهینامه ای به سازمان اجازه می دهد تا مزیت های رقابتی مرتبط با اعتماد بیشتر مشتریان و شرکا را به دست آورد.

استفاده از استانداردها به پنج هدف زیر کمک می کند.

ابتدا، اهداف تضمین امنیت اطلاعات سیستم های کامپیوتری به طور دقیق تعریف شده است. دوم، یک سیستم مدیریت امنیت اطلاعات موثر در حال ایجاد است. ثالثاً، محاسبه مجموعه ای از شاخص های جزئی نه تنها کیفی، بلکه کمی را برای ارزیابی انطباق امنیت اطلاعات با اهداف اعلام شده ارائه می دهد. چهارم، شرایط برای استفاده از ابزار (نرم افزار) موجود برای تضمین امنیت اطلاعات و ارزیابی وضعیت فعلی آن فراهم می شود. پنجم، امکان استفاده از تکنیک های مدیریت امنیتی با یک سیستم معقول معیارها و اقدامات برای اطمینان از توسعه دهندگان سیستم های اطلاعاتی را باز می کند.

از ابتدای دهه 1980 ده ها استاندارد بین المللی و ملی در زمینه امنیت اطلاعات ایجاد شده است که تا حدی مکمل یکدیگر هستند. در زیر ما مشهورترین استانداردها را با توجه به گاهشماری ایجاد آنها در نظر خواهیم گرفت:

1) معیارهای ارزیابی قابلیت اطمینان سیستم های کامپیوتری "Orange Book" (ایالات متحده آمریکا)؛

2) معیارهای هماهنگ کشورهای اروپایی.

4) استاندارد آلمانی BSI.

5) استاندارد بریتانیا BS 7799;

6) استانداردISO 17799;

7) استاندارد "معیارهای عمومی" ISO 15408.

8) استاندارد COBIT

این استانداردها را می توان به دو نوع تقسیم کرد:

· استانداردهای ارزیابی با هدف طبقه بندی سیستم های اطلاعاتی و وسایل حفاظتی بر اساس الزامات امنیتی.

· مشخصات فنی حاکم بر جنبه های مختلف اجرای ویژگی های امنیتی.

توجه به این نکته ضروری است که هیچ دیوار خالی بین این نوع اسناد نظارتی وجود ندارد. استانداردهای ارزیابی مهمترین جنبه های IS را از نظر امنیت اطلاعات برجسته می کنند که نقش مشخصات معماری را ایفا می کند. سایر مشخصات فنی نحوه ساخت یک IC از یک معماری تجویز شده را تعریف می کند.

2.2 استاندارد "معیارهای ارزیابی قابلیت اطمینان سیستم های کامپیوتری" (کتاب نارنجی)

از نظر تاریخی، اولین استاندارد ارزیابی که فراگیر شده و تأثیر زیادی بر استانداردسازی امنیت اطلاعات در بسیاری از کشورها داشته است، استاندارد وزارت دفاع ایالات متحده "معیارهای ارزیابی سیستم های کامپیوتری مورد اعتماد" بود.

این اثر که اغلب با رنگ جلد آن به عنوان کتاب نارنجی شناخته می شود، اولین بار در اوت 1983 منتشر شد. نام آن به تنهایی نیاز به تفسیر دارد. این در مورد امن نیست، بلکه در مورد سیستم های قابل اعتماد است، یعنی سیستم هایی که می توان درجه خاصی از اعتماد به آنها داد.

کتاب نارنجی مفهوم یک سیستم امن را توضیح می دهد که "با ابزارهای مناسب، دسترسی به اطلاعات را کنترل می کند، به طوری که فقط افراد مجاز یا فرآیندهایی که از طرف آنها عمل می کنند مجاز به خواندن، نوشتن، ایجاد و حذف اطلاعات هستند."

با این حال، واضح است که سیستم های کاملاً ایمن وجود ندارند، این یک انتزاع است. منطقی است که فقط میزان اعتمادی را که می توان به یک سیستم خاص داد، ارزیابی کرد.

کتاب نارنجی سیستم قابل اعتماد را اینگونه تعریف می کند: «سیستمی که از سخت افزار و نرم افزار کافی استفاده می کند تا به گروهی از کاربران اجازه دهد اطلاعات با درجات مختلف امنیتی را به طور همزمان پردازش کنند، بدون اینکه حقوق دسترسی را نقض کنند».

لازم به ذکر است که در معیارهای مورد بررسی، هم امنیت و هم اعتماد صرفاً از نظر کنترل دسترسی به داده ها که یکی از ابزارهای اطمینان از محرمانه بودن و یکپارچگی اطلاعات است، ارزیابی می شود. در عین حال، کتاب نارنجی بر مسائل دسترسی تأثیری نمی گذارد.

درجه اعتماد بر اساس دو معیار اصلی ارزیابی می شود.

1. سیاست امنیتی - مجموعه ای از قوانین، قواعد و هنجارهای رفتاری که تعیین می کند سازمان چگونه اطلاعات را پردازش، محافظت و توزیع می کند. به طور خاص، قوانین تعیین می کنند که در چه مواردی کاربر می تواند بر روی مجموعه داده های خاص کار کند. هر چه میزان اعتماد به سیستم بالاتر باشد، سیاست امنیتی باید سختگیرتر و متنوع تر باشد. بسته به خط مشی تدوین شده، مکانیسم های امنیتی خاصی را می توان انتخاب کرد. سیاست امنیتی یک جنبه فعال حفاظت از جمله تجزیه و تحلیل تهدیدات احتمالی و انتخاب اقدامات متقابل است.

2. سطح اطمینان - معیار اطمینانی که می توان به معماری و اجرای IS داد. تضمین امنیت می تواند هم از تجزیه و تحلیل نتایج آزمایش و هم از تأیید (رسمی یا غیر رسمی) طراحی و اجرای کلی سیستم به عنوان یک کل و اجزای جداگانه آن حاصل شود. سطح اطمینان نشان می دهد که مکانیسم های مسئول اجرای سیاست امنیتی چقدر صحیح هستند. این جنبه انفعالی حفاظت است.

ابزار اصلی تضمین امنیت توسط مکانیسم پاسخگویی (logging) تعیین می شود. یک سیستم قابل اعتماد باید تمام رویدادهای مربوط به امنیت را ثبت کند. صورتجلسه باید با ممیزی، یعنی تجزیه و تحلیل اطلاعات ثبت تکمیل شود. مفهوم یک پایگاه محاسباتی قابل اعتماد برای ارزیابی درجه اعتماد امنیتی مرکزی است. یک پایگاه محاسباتی قابل اعتماد مجموعه ای از مکانیسم های حفاظتی IS (شامل سخت افزار و نرم افزار) است که مسئول اجرای یک خط مشی امنیتی است. کیفیت پایه محاسباتی صرفاً با اجرای آن و صحت داده های اولیه وارد شده توسط مدیر سیستم تعیین می شود.

ممکن است اجزای مورد نظر خارج از پایگاه محاسباتی قابل اعتماد نباشند، اما این نباید بر امنیت سیستم به عنوان یک کل تأثیر بگذارد. در نتیجه، برای ارزیابی اطمینان در امنیت IS، نویسندگان استاندارد توصیه می‌کنند که فقط پایه محاسباتی آن را در نظر بگیرید.

هدف اصلی یک پایگاه محاسباتی قابل اعتماد، انجام عملکردهای یک مانیتور تماس است، یعنی کنترل پذیرفتن افراد (کاربران) که عملیات خاصی را روی اشیا (موجودات غیرفعال) انجام می دهند. مانیتور دسترسی هر کاربر به برنامه ها یا داده ها را برای سازگاری با مجموعه اقدامات مجاز برای کاربر بررسی می کند.

یک مانیتور تماس باید سه ویژگی داشته باشد:

انزوا. لازم است در مورد امکان نظارت بر عملکرد مانیتور هشدار داده شود.

کامل بودن. مانیتور باید در هر تماسی فراخوانی شود، نباید راهی برای دور زدن آن وجود داشته باشد.

اثباتپذیری. مانیتور باید فشرده باشد تا بتوان آن را با اطمینان از کامل بودن تست آنالیز و تست کرد.

به پیاده سازی مانیتور مرجع، هسته امنیتی می گویند. هسته امنیتی پایه ای است که تمام مکانیسم های دفاعی بر آن ساخته شده است. علاوه بر ویژگی های مانیتور مرجع ذکر شده در بالا، هسته باید تغییر ناپذیری خود را تضمین کند.

مرز پایگاه محاسباتی قابل اعتماد، محیط امنیتی نامیده می شود. همانطور که قبلاً ذکر شد، اجزایی که خارج از محیط امنیتی قرار دارند، به طور کلی، ممکن است قابل اعتماد نباشند. با توسعه سیستم های توزیع شده، مفهوم "محیط امنیتی" به طور فزاینده ای معنای متفاوتی پیدا می کند که به معنای مرز دارایی های یک سازمان خاص است. آنچه در داخل دامنه است قابل اعتماد تلقی می شود، اما آنچه در خارج است قابل اعتماد نیست.

طبق کتاب نارنجی، یک سیاست امنیتی باید شامل عناصر زیر باشد:

کنترل دسترسی دلخواه؛

امنیت استفاده مجدد از شی

برچسب های امنیتی

کنترل دسترسی اجباری

کنترل دسترسی خودسرانه روشی برای محدود کردن دسترسی به اشیا بر اساس هویت سوژه یا گروهی است که موضوع به آن تعلق دارد. خودسری کنترل در این واقعیت نهفته است که شخصی (معمولاً صاحب شیء) می تواند به صلاحدید خود حقوق دسترسی به شی را به سایر افراد واگذار کند یا سلب کند.

امنیت استفاده مجدد از شیء افزودنی مهمی برای کنترل های دسترسی است که از استخراج تصادفی یا عمدی اطلاعات حساس از زباله ها جلوگیری می کند. امنیت استفاده مجدد باید برای مناطق رم (به ویژه برای بافرهایی با تصاویر صفحه، رمزهای رمزگشایی شده و غیره)، برای بلوک های دیسک و رسانه های مغناطیسی به طور کلی تضمین شود.

2.3 استاندارد BSI آلمان

در سال 1998، "راهنمای امنیت فناوری اطلاعات برای سطح پایه" در آلمان منتشر شد. دفترچه راهنما یک ابرمتن حدود 4 مگابایت (فرمت HTML) است. متعاقباً در قالب استاندارد BSI آلمان رسمیت یافت. این بر اساس متدولوژی کلی و اجزای مدیریت امنیت اطلاعات است:

· روش کلی مدیریت امنیت اطلاعات (سازمان مدیریت در حوزه امنیت اطلاعات، روش استفاده از راهنما).

· تشریح اجزای فناوری اطلاعات نوین.

· اجزای اصلی (سطح سازمانی IS، سطح رویه ای، سازماندهی حفاظت از داده ها، برنامه ریزی احتمالی).

· زیرساخت ها (ساختمان ها، محل ها، شبکه های کابلی، سازمان دسترسی از راه دور).

· اجزای کلاینت از انواع مختلف (داس، ویندوز، یونیکس، اجزای موبایل، انواع دیگر).

· انواع شبکه ها (اتصالات نقطه به نقطه، شبکه های Novell NetWare، شبکه های دارای OC ONIX و Windows، شبکه های ناهمگن).

· عناصر سیستم های انتقال داده (ایمیل، مودم، فایروال و ...).

· مخابرات (فکس، منشی تلفنی، سیستم های یکپارچه مبتنی بر ISDN، سایر سیستم های مخابراتی).

نرم افزار استاندارد

· پایگاه داده

· توضیحات اجزای اصلی سازماندهی رژیم امنیت اطلاعات (سطوح سازمانی و فنی حفاظت از داده ها، برنامه ریزی اضطراری، پشتیبانی تداوم کسب و کار).

· ویژگی های اشیاء اطلاعات سازی (ساختمان ها، اماکن، شبکه های کابلی، مناطق کنترل شده).

· ویژگی های دارایی های اطلاعاتی اصلی شرکت (شامل سخت افزار و نرم افزار، مانند ایستگاه های کاری و سرورهایی که سیستم عامل های خانواده های DOS، Windows و UNIX را اجرا می کنند).

· ویژگی های شبکه های کامپیوتری مبتنی بر فناوری های مختلف شبکه مانند شبکه های Novell Net Ware، شبکه های یونیکس و ویندوز).

· شناسایی تجهیزات مخابراتی فعال و غیرفعال از فروشندگان پیشرو، مانند سیسکو سیستمز.

· کاتالوگ های دقیق تهدیدات و کنترل های امنیتی (بیش از 600 عنوان در هر کاتالوگ).

انواع تهدیدات در استاندارد BSI به کلاس های زیر تقسیم می شوند:

· شرایط فورس ماژور.

· کاستی های اقدامات سازمانی.

خطای انسانی.

· مسائل فنی

اقدامات عمدی

اقدامات متقابل نیز به طور مشابه طبقه بندی می شوند:

· بهبود زیرساخت ها.

· اقدامات متقابل اداری؛

اقدامات متقابل رویه ای؛

· اقدامات متقابل نرم افزاری و سخت افزاری.

· کاهش آسیب پذیری ارتباطات. برنامه ریزی اضطراری

تمام اجزاء بر اساس طرح زیر در نظر گرفته و شرح داده می شوند:

1) توضیحات کلی؛

2) سناریوهای احتمالی تهدیدات امنیتی (تهدیدهای قابل اعمال برای این جزء از فهرست تهدیدات امنیتی ذکر شده است).

3) اقدامات متقابل احتمالی (تهدیدهای قابل اعمال برای این مؤلفه از فهرست تهدیدات امنیتی ذکر شده است).

2.4 استاندارد بریتانیا BS 7799

موسسه استاندارد بریتانیا (BSI) با مشارکت سازمان های تجاری مانند Shell، National Westminster Bank، Midland Bank، Unilever، British Telecommunications، Marks & Spencer، Logica و غیره، استاندارد امنیت اطلاعات را توسعه داد که در سال 1995 به تصویب رسید. به عنوان یک استاندارد ملی BS 7799 مدیریت امنیت اطلاعات یک سازمان، صرف نظر از محدوده شرکت.

مطابق با این استاندارد، هر سرویس امنیتی، بخش فناوری اطلاعات، مدیریت شرکت باید طبق مقررات عمومی شروع به کار کند. مهم نیست که ما در مورد حفاظت از اسناد کاغذی صحبت می کنیم یا داده های الکترونیکی. در حال حاضر، استاندارد بریتانیا BS 7799 در 27 کشور در سراسر جهان، از جمله کشورهای مشترک المنافع بریتانیا، و همچنین، به عنوان مثال، سوئد و هلند پشتیبانی می شود. در سال 2000، موسسه استانداردهای بین المللی ISO بر اساس BS 7799 بریتانیا استاندارد مدیریت امنیت بین المللی ISO / IEC 17799 را توسعه و منتشر کرد.

بنابراین امروزه می توان ادعا کرد که استانداردهای BS 7799 و ISO 17799 یک استاندارد هستند که امروزه دارای رسمیت جهانی و جایگاه یک استاندارد بین المللی ISO است.

با این حال، باید به محتوای اصلی استاندارد BS 7799 اشاره کرد که هنوز در تعدادی از کشورها استفاده می شود. از دو بخش تشکیل شده است.

· راهبرد امنیتی.

سازمان حفاظت.

· طبقه بندی و مدیریت منابع اطلاعاتی.

· مدیریت شخصی.

· امنیت فیزیکی.

· مدیریت سیستم ها و شبکه های کامپیوتری.

· مدیریت دسترسی به سیستم ها.

· توسعه و نگهداری سیستم ها.

برنامه ریزی برای عملکرد روان سازمان.

بررسی سیستم برای انطباق با الزامات IS.

"قسمت 2: مشخصات سیستم" (1998) همین جنبه ها را از نقطه نظر صدور گواهینامه یک سیستم اطلاعاتی در برابر الزامات استاندارد در نظر می گیرد.

این استاندارد مشخصات عملکردی احتمالی را برای سیستم های مدیریت امنیت اطلاعات شرکتی از نظر تأیید آنها در برابر الزامات قسمت اول این استاندارد تعریف می کند. مطابق با مفاد این استاندارد، روش حسابرسی سیستم های اطلاعات شرکت ها نیز تنظیم می شود.

· مدیریت امنیت اطلاعات: مقدمه.

· امکان صدور گواهینامه برای الزامات BS 7799 - آماده سازی برای گواهینامه BS 7799.

· راهنمای ارزیابی ریسک و مدیریت ریسک BS 7799.

آیا برای ممیزی BS 7799 آماده هستید؟

· راهنمای حسابرسی BS 7799.

امروزه کمیته فنی مشترک بین المللی ISO/IEC JTC 1 همراه با موسسه استاندارد بریتانیا (BSI) و به ویژه سرویس UKAS (سرویس معتبر انگلستان). سرویس نامبرده به سازمان ها برای حق ممیزی امنیت اطلاعات مطابق با استاندارد BS ISO/IEC 7799:2000 (BS 7799-1:2000) اعتبار می دهد. گواهی های صادر شده توسط این ارگان ها در بسیاری از کشورها به رسمیت شناخته شده است.

توجه داشته باشید که در مورد صدور گواهینامه یک شرکت بر اساس استانداردهای ISO 9001 یا ISO 9002، BS ISO/IEC 7799:2000 (BS 7799-1:2000) به شما امکان می دهد گواهینامه سیستم امنیت اطلاعات را با گواهی برای انطباق با ISO 9001 یا استانداردهای 9002 در مرحله اولیه و همچنین بررسی های کنترلی. برای انجام این کار، شما باید شرط شرکت در گواهینامه ترکیبی یک حسابرس ثبت شده بر اساس BS ISO/IEC 7799:2000 (BS 7799-1:2000) را داشته باشید. در عین حال، برنامه‌های آزمایش مشترک باید به وضوح رویه‌های بررسی سیستم امنیت اطلاعات را نشان دهد و نهادهای تأییدکننده باید از کامل بودن بررسی امنیت اطلاعات اطمینان حاصل کنند.

2.5 استاندارد بین المللی ISO 17799

یکی از پیشرفته ترین و پرکاربردترین آنها در تمام کشورهای جهان، استاندارد بین المللی ISO 17799 است:

آئین نامه عمل برای مدیریت امنیت اطلاعات، تصویب شده در سال 2000. ISO 17799 از استاندارد بریتانیا BS 7799 توسعه یافته است.

قوانین سرانگشتی به 10 بخش زیر تقسیم می شوند:

1. سیاست امنیتی.

2. سازمان حفاظت.

3. طبقه بندی منابع و کنترل آنها.

4. ایمنی پرسنل.

5. امنیت فیزیکی.

6. اداره سیستم های کامپیوتری و شبکه های کامپیوتری.

7. کنترل دسترسی.

8. توسعه و نگهداری سیستم های اطلاعاتی.

9. برنامه ریزی برای عملکرد روان سازمان.

10. نظارت بر رعایت الزامات خط مشی امنیتی.

ده کنترل پیشنهادی در ISO 17799 (اینها به عنوان کلید تعیین شده اند) اهمیت ویژه ای دارند. کنترل ها در این زمینه به مکانیزم های مدیریت امنیت اطلاعات سازمان اشاره دارد.

کنترل های زیر کلیدی هستند:

سندی در مورد سیاست امنیت اطلاعات؛

توزیع مسئولیت ها برای تضمین امنیت اطلاعات؛

آموزش و آموزش پرسنل برای حفظ رژیم امنیت اطلاعات؛

اطلاع رسانی در مورد نقض امنیت؛

ابزار محافظت در برابر ویروس ها؛

اسناد مشابه

وظایفی که در جریان ممیزی امنیت سیستم اطلاعاتی حل می شود. مراحل حسابرسی کارشناسی تست نفوذ (pentest) در سیستم اطلاعاتی: اشیاء، مراحل. هدف از ممیزی برنامه های کاربردی وب ممیزی برای انطباق با استانداردها.

گزارش تمرین، اضافه شده در 2011/09/22

دکترین امنیت اطلاعات فدراسیون روسیه. بررسی سیستم های اطلاعاتی مورد استفاده توسط شرکت با ارزیابی بعدی خطرات خرابی در عملکرد آنها. قانون "در مورد داده های شخصی". تقسیم حسابرسی فعال به خارجی و داخلی.

ارائه، اضافه شده در 2011/01/27

مفهوم حسابرسی سیستم های اطلاعاتی، اهداف آن. ریسک های مرتبط با سیستم اطلاعاتی واحد مورد حسابرسی، طبقه بندی و شاخص های ارزیابی آنها. کاهش خطرات هنگام انجام ممیزی سیستم های اطلاعاتی. منابع خطرات احتمالی

مقاله، اضافه شده در 12/05/2013

فعالیت های اصلی در زمینه ممیزی امنیت اطلاعات به عنوان تأیید انطباق سازمان و اثربخشی حفاظت از اطلاعات با الزامات و / یا استانداردهای تعیین شده است. مراحل حسابرسی کارشناسی مفهوم ممیزی اماکن اختصاص یافته

سخنرانی، اضافه شده در 10/08/2013

مبانی روش شناختی فعالیت حسابرس. روشهای سازماندهی حسابرسی طبقه بندی روش های حسابرسی انواع و منابع دریافت آنها. رویکردهای روش شناختی به تکنیک حسابرسی. روشهای هنجاری-حقوقی حسابرسی.

مقاله ترم، اضافه شده 06/17/2008

اهداف حسابرسی کیفیت مراحل حسابرسی داخلی اطمینان از کامل بودن حسابرسی. فناوری برای ممیزی سیستم کیفیت طبقه بندی عدم انطباق ها بر اساس اهمیت آنها. جلسات تعامل گروهی اقدامات بعدی پس از ممیزی

چکیده، اضافه شده در 2014/03/26

مفهوم و انواع حسابرسی محتوای طرح و برنامه کلی حسابرسی. مستندسازی و تهیه برنامه حسابرسی کلی. بررسی تهیه صورتهای مالی. بررسی صحت سیاست مالیاتی شرکت.

مقاله ترم، اضافه شده 12/04/2011

سازماندهی زیرساخت های اطلاعاتی تحلیل سطح اطلاع رسانی موسسات آموزشی. مشکلات، اهداف و روش شناسی حسابرسی زیرساخت فناوری اطلاعات. انجام تجزیه و تحلیل سطح مجوز نرم افزار در یک موسسه آموزشی.

مقاله ترم، اضافه شده 08/09/2012

جنبه های نظری حسابرسی دارایی های ثابت. مفهوم حسابرسی و روش اجرای آن برای دارایی های ثابت. اسناد اولیه برای بازرسی دارایی های ثابت. نمونه هایی از حسابرسی و چارچوب قانونی. بررسی روش های حسابرسی دارایی های ثابت.

پایان نامه، اضافه شده 09/01/2008

کنترل کیفیت حسابرسی داخلی الزامات برای اطمینان از کیفیت داخلی کار در طول حسابرسی. شکل و محتوای استانداردهای داخلی سازمان حسابرسی: فهرستی از استانداردها، مقررات مربوط به روش حسابرسی.

در دنیای امروز، سیستم های اطلاعاتی (IS) نقشی کلیدی در تضمین کارایی کسب و کار و سازمان های دولتی ایفا می کنند. سیستم های اطلاعاتی برای ذخیره، پردازش و انتقال اطلاعات استفاده می شوند. تعداد تهدیدات خارجی و داخلی برای امنیت اطلاعات (IS) هر روز در حال افزایش است که می تواند منجر به زیان های مالی و اعتباری قابل توجهی شود.

ممیزی امنیت اطلاعات (IS) فرآیند بسیار مهمی است که به شما امکان می دهد اطلاعات عینی در مورد وضعیت فعلی ابزارهای امنیت اطلاعات در یک شرکت به دست آورید، میزان امنیت داده ها و سیستم های فناوری اطلاعات و انطباق آنها با الزامات و معیارهای خاص را ارزیابی کنید. ممیزی IS هم به عنوان اولین مرحله در اجرای راه حل های امنیت اطلاعات و هم در برخی موارد خارج از پروژه انجام می شود، زمانی که نیاز به ارزیابی مستقل از امنیت واقعی سیستم ها است. انجام ممیزی امکان شناسایی تهدیدها و مشکلات را از قبل به منظور تعیین روش های رفع آنها در آینده فراهم می کند و می تواند سطح امنیت و انطباق ابزارهای حفاظتی با نیازهای واقعی کسب و کار را به میزان قابل توجهی افزایش دهد. بنابراین، به گفته کارشناسان، انجام ممیزی های برنامه ریزی نشده می تواند تا 20 درصد در زمان و 15 درصد از منابع مادی را برای اطمینان از امنیت اطلاعات، تعیین نقاط کاربرد تلاش ها و راه حل های بهینه صرفه جویی کند.

بر اساس تعیین هدف، AST خدماتی را برای انجام سه نوع اصلی ممیزی امنیت اطلاعات ارائه می دهد:

ممیزی تخصصی که وضعیت فعلی سیستم ها و وسایل حفاظتی را ارزیابی می کند، کاستی ها و آسیب پذیری ها را شناسایی می کند.
ممیزی انطباق، که انطباق تجهیزات حفاظتی را با استانداردهای بین المللی و صنعتی مورد نیاز ارزیابی می کند.
تست نفوذ، که اقدامات یک مهاجم را با هدف انجام یک حمله موفق شبیه سازی می کند. هدف از چنین ممیزی افزایش امنیت با شناسایی و سپس حذف بردارهای حمله واقعی است.

حسابرسی در چند مرحله انجام می شود:

تعریف اهداف پروژه. اطلاعات اولیه در مورد اشیاء محافظت شده، اطلاعات و معیارهای ارزیابی جمع آوری می شود، اقدامات سازمانی برای آماده شدن برای حسابرسی انجام می شود.
توافق در مورد شرایط و مرزهای تست نفوذ (خارجی / داخلی، جعبه سفید / جعبه سیاه، شرایط / زمان، مرزهای غوطه وری و سایر پارامترهای مهم)
بررسی و پردازش نتایج. جمع آوری کل مجموعه داده ها در مورد منابع، سیستم ها، وسایل حفاظتی، اقدامات سازمانی در زمینه امنیت اطلاعات و غیره انجام می شود. بر اساس نتایج، گزارش تلفیقی ایجاد می شود که مبنایی برای تجزیه و تحلیل ریسک، تجزیه و تحلیل انطباق و توسعه توصیه ها را تشکیل می دهد.
انجام تست نفوذ دستی
تحلیل ریسک. رویه ای جامع برای ارزیابی سطح امنیت سیستم های اطلاعاتی با در نظر گرفتن اطلاعات ارائه شده و نتایج تست نفوذ (بردارهای حمله واقعی). این رویه توسعه یک مدل تهدید و یک مدل ناقض را فراهم می کند.
تجزیه و تحلیل انطباق با استانداردها و الزامات استانداردها و اسناد نظارتی. در نتیجه، انطباق یا تایید می‌شود، یا در مرحله توسعه توصیه‌ها، راه‌هایی برای رساندن سیستم‌های IS به سطح امنیتی مورد نیاز تعیین می‌شود.
توسعه توصیه ها. آنها بر اساس کل مجموعه اطلاعات، تجزیه و تحلیل و نتیجه گیری به دست آمده در نتیجه نظرسنجی هستند. این توصیه ها طیف وسیعی از اقدامات سازمانی و فنی لازم را برای اطمینان از سطح مورد نیاز امنیت اطلاعات پوشش می دهد.

اهداف ممیزی IS می‌تواند هم اجزای منفرد سیستم‌ها و زیرساخت فناوری اطلاعات شرکت و هم طیف وسیعی از راه‌حل‌های فناوری اطلاعات حاوی اطلاعاتی باشد که تحت حفاظت هستند.