Revizija informacijske sigurnosti ne samo da može dati banci pravo na obavljanje određenih vrsta aktivnosti, već i otkriti slabosti u sustavima banke. Stoga je potrebno pažljivo pristupiti odluci o provođenju i odabrati oblik revizije.
Prema Federalnom zakonu br. 307-FZ od 30. prosinca 2008. „O revizijskim aktivnostima”, revizija je „neovisna provjera računovodstvenih (financijskih) izvještaja subjekta revizije kako bi se izrazilo mišljenje o pouzdanosti takvih izjava .” Ovaj izraz koji se spominje u ovom zakonu nema nikakve veze s informacijskom sigurnošću. Međutim, dogodilo se da ga stručnjaci za informacijsku sigurnost prilično aktivno koriste u svom govoru. U ovom slučaju, revizija se odnosi na proces neovisne evaluacije aktivnosti organizacije, sustava, procesa, projekta ili proizvoda. Pritom se mora razumjeti da se u raznim domaćim propisima izraz „revizija informacijske sigurnosti“ ne koristi uvijek – često se zamjenjuje ili izrazom „ocjenjivanje sukladnosti“ ili pomalo zastarjelim, ali još uvijek korištenim pojmom „atestiranje“ . Ponekad se koristi i izraz "certifikacija", ali u odnosu na međunarodne strane propise. Revizija informacijske sigurnosti provodi se ili radi provjere usklađenosti s propisima ili radi provjere valjanosti i sigurnosti primijenjenih rješenja. No, koji god se izraz koristio, zapravo se revizija informacijske sigurnosti provodi ili radi provjere usklađenosti s propisima, ili radi provjere valjanosti i sigurnosti primijenjenih rješenja. U drugom slučaju, revizija je dobrovoljna, a odluku o njenom provođenju donosi sama organizacija. U prvom slučaju nemoguće je odbiti provođenje revizije, jer to podrazumijeva kršenje zahtjeva utvrđenih regulatornim aktima, što dovodi do kažnjavanja u obliku novčane kazne, obustave aktivnosti ili drugih oblika kažnjavanja. Ako je revizija obvezna, može je provesti i sama organizacija, na primjer, u obliku samoprocjene (iako u ovom slučaju više nema govora o „nezavisnosti“ i termin „revizija“ nije sasvim ispravno koristiti ovdje), i od strane vanjskih neovisnih organizacija - revizora. Treća opcija za provođenje zakonske revizije je kontrola od strane regulatornih tijela koja imaju pravo obavljati odgovarajuće nadzorne aktivnosti. Ova se opcija često naziva ne revizijom, već inspekcijskom provjerom. Budući da se dobrovoljna revizija može provesti iz bilo kojeg razloga (provjera sigurnosti sustava daljinskog bankarstva, kontrola imovine stečene banke, provjera novootvorene poslovnice itd.), ovu opciju nećemo razmatrati. U tom slučaju nemoguće je jasno ocrtati njezine granice, niti opisati oblike izvješćivanja, niti govoriti o pravilnosti – o svemu tome odlučuje sporazum između revizora i revidirane organizacije. Stoga ćemo razmotriti samo oblike obvezne revizije svojstvene bankama.
Međunarodni standard ISO 27001
Ponekad možete čuti o određenoj banci koja prolazi reviziju za usklađenost sa zahtjevima međunarodnog standarda "ISO / IEC 27001: 2005" (njegov potpuni ruski pandan je "GOST R ISO / IEC 27001-2006 - Informacijska tehnologija - Metode i sredstva osiguravanja sigurnosti. Sustavi upravljanja informacijska sigurnost – Zahtjevi"). Zapravo, ovaj standard je skup najboljih praksi za upravljanje informacijskom sigurnošću u velikim organizacijama (male organizacije, uključujući banke, nisu uvijek u mogućnosti u potpunosti ispuniti zahtjeve ovog standarda). Kao i svaki standard u Rusiji, ISO 27001 je čisto dobrovoljan dokument, koji svaka banka odlučuje prihvatiti ili ne prihvatiti sama. No ISO 27001 je de facto standard u cijelom svijetu, a stručnjaci u mnogim zemljama koriste ovaj standard kao svojevrsni univerzalni jezik kojeg se treba pridržavati kada se radi o informacijskoj sigurnosti. Uz ISO 27001 postoji i nekoliko ne tako očitih i ne često spominjanih točaka. Međutim, ISO 27001 također ima nekoliko manje očitih i rjeđe spominjanih točaka. Prvo, ne podliježe reviziji prema ovom standardu cijeli sustav informacijske sigurnosti banke, već samo jedna ili više njegovih komponenti. Na primjer, sustav zaštite od daljinskog bankarstva, sustav zaštite centrale banke ili sustav zaštite procesa upravljanja osobljem. Drugim riječima, dobivanje potvrde o sukladnosti za jedan od procesa koji se ocjenjuju kao dio revizije ne jamči da su ostali procesi u istom stanju blizu idealnom. Druga točka povezana je s činjenicom da je ISO 27001 univerzalni standard, odnosno primjenjiv na bilo koju organizaciju, te stoga ne uzima u obzir specifičnosti određene industrije. To je dovelo do toga da se u okviru međunarodne organizacije za standardizaciju ISO već dugo govori o stvaranju norme ISO 27015, koja je proširenje ISO 27001/27002 na financijsku industriju. Banka Rusije također aktivno sudjeluje u razvoju ovog standarda. Međutim, Visa i MasterCard su protiv nacrta ovog standarda, koji je već razvijen. Prvi smatra da nacrt standarda sadrži premalo informacija potrebnih za financijsku industriju (primjerice, o platnim sustavima), a ako se tamo doda, onda standard treba prenijeti drugom ISO komitetu. MasterCard također predlaže zaustavljanje razvoja ISO 27015, no motivacija je drugačija - kažu, u financijskoj industriji dokumenti koji reguliraju temu informacijske sigurnosti već su toliko puni. Treće, potrebno je obratiti pozornost na činjenicu da mnogi prijedlozi koji se nalaze na ruskom tržištu ne govore o reviziji usklađenosti, već o pripremi za reviziju. Činjenica je da samo nekoliko organizacija u svijetu ima pravo certificirati usklađenost sa zahtjevima ISO 27001. Integratori samo pomažu tvrtkama da ispune zahtjeve standarda, koje će potom provjeravati službeni revizori (nazivaju se i registratori, certifikacijski tijeli itd.). Dok traje rasprava o tome trebaju li banke implementirati ISO 27001 ili ne, neki hrabri ljudi krenu na to i prolaze kroz 3 faze revizije usklađenosti:- Preliminarno neformalno proučavanje glavnih dokumenata od strane revizora (kako na teritoriju naručitelja revizije tako i izvan njega).
- Formalna i dublja revizija provedenih zaštitnih mjera, ocjena njihove učinkovitosti i proučavanje izrađenih potrebnih dokumenata. Ova faza obično završava potvrdom sukladnosti, a revizor izdaje odgovarajući certifikat, priznat u cijelom svijetu.
- Godišnje obavljanje nadzornog pregleda radi potvrđivanja prethodno dobivene potvrde o sukladnosti.
Skup dokumenata Banke Rusije STO BR IBBS
Takav standard, odnosno skup standarda, skup je dokumenata Banke Rusije koji opisuje jedinstveni pristup izgradnji sustava informacijske sigurnosti za bankarske organizacije, uzimajući u obzir zahtjeve ruskog zakonodavstva. Ovaj skup dokumenata (u daljnjem tekstu STO BR IBBS), koji sadrži tri standarda i pet preporuka za standardizaciju, temelji se na ISO 27001 i nizu drugih međunarodnih standarda za upravljanje informacijskom tehnologijom i informacijsku sigurnost. Pitanja revizije i ocjene usklađenosti sa zahtjevima norme, kao i za ISO 27001, propisana su posebnim dokumentima - “STO BR IBBS-1.1-2007. Revizija informacijske sigurnosti”, “STO BR IBBS-1.2-2010. Metodologija za procjenu usklađenosti informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije sa zahtjevima STO BR IBBS-1.0-2010 "i" RS BR IBBS-2.1-2007. Smjernice o samoprocjeni usklađenosti informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije sa zahtjevima STO BR IBBS-1.0. Tijekom ocjenjivanja sukladnosti prema STO BR IBBS provjerava se ispunjenost 423 pojedinačna indikatora IS grupiranih u 34 grupna pokazatelja. Rezultat procjene je konačni pokazatelj, koji bi trebao biti na 4. ili 5. razini na ljestvici od pet stupnjeva koju je utvrdila Banka Rusije. To, inače, čini reviziju prema STO BR IBBS vrlo različitom od revizije prema drugim regulatornim aktima iz područja informacijske sigurnosti. U STO BR IBBS nema nedosljednosti, samo razina usklađenosti može biti različita: od nula do pet. I samo razine iznad 4 smatraju se pozitivnim. Do kraja 2011. oko 70-75% banaka je implementiralo ili je u procesu implementacije ovog skupa standarda. Unatoč svemu, one su de jure savjetodavne prirode, no de facto inspekcijske provjere Banke Rusije donedavno su se provodile upravo u skladu sa zahtjevima STO BR IBBS (iako to nikada nigdje nije eksplicitno navedeno). Situacija se promijenila od 1. srpnja 2012. godine, kada je zakon „O nacionalnom platnom sustavu” i regulatorni dokumenti Vlade Rusije i Banke Rusije izrađeni za njegovu provedbu stupili na snagu. Od tada je ponovno na dnevnom redu pitanje potrebe revizije usklađenosti sa zahtjevima STO BR IBBS. Činjenica je da se metodologija ocjenjivanja sukladnosti predložena u okviru zakonodavstva o nacionalnom platnom sustavu (NPS) i metodologija ocjenjivanja usklađenosti sa STO BR IBBS mogu uvelike razlikovati u konačnim vrijednostima. Istodobno je ocjenjivanje po prvoj metodi (za NPS) postalo obvezno, dok je ocjenjivanje prema STO BR IBBS i dalje de jure preporučljivo. A u vrijeme pisanja ovog teksta, sama Banka Rusije još nije donijela odluku o budućoj sudbini ove procjene. Ako su se ranije sve niti spajale u Glavnoj upravi za sigurnost i zaštitu informacija Banke Rusije (GUBZI), onda s podjelom ovlasti između GUBZI-a i Odjela za regulaciju nagodbe (LHH), pitanje i dalje ostaje otvoreno. Već sada je jasno da zakonodavni akti o NPS-u zahtijevaju obveznu ocjenu sukladnosti, odnosno reviziju.Zakonodavstvo o nacionalnom platnom sustavu
Zakonodavstvo o NPS-u tek je u osvitu formiranja, a čekamo puno novih dokumenata, uključujući i one o informacijskoj sigurnosti. Ali već je jasno da je Uredba 382-P, izdana i odobrena 9. lipnja 2012. „O zahtjevima za osiguranje zaštite informacija prilikom prijenosa novca i o postupku nadzora Banke Rusije u skladu sa zahtjevima za osiguranje zaštita informacija pri obavljanju prijenosa novca » zahtijeva u klauzuli 2.15 obveznu ocjenu sukladnosti, odnosno reviziju. Takva se procjena provodi samostalno ili uz sudjelovanje trećih strana. Kao što je već spomenuto, ocjenjivanje sukladnosti provedeno u okviru 382-P u biti je slično onome što je opisano u metodologiji ocjenjivanja sukladnosti STO BR IBBS, ali daje potpuno drugačije rezultate, što je povezano s uvođenjem posebnih korekcijski faktori koji određuju različite rezultate. Uredba 382-P ne postavlja nikakve posebne zahtjeve za organizacije uključene u reviziju, što je u suprotnosti s Uredbom Vlade Republike Hrvatske od 13. lipnja 2012. br. kontrole i ocjene usklađenosti sa zahtjevima zaštite informacija jednom svake 2 godine. Međutim, Vladina Uredba, koju je izradio FSTEC, zahtijeva da vanjske revizije provode samo organizacije koje imaju dozvolu za tehničku zaštitu povjerljivih informacija. Dodatni zahtjevi koje je teško pripisati jednom od oblika revizije, ali koji bankama nameću nove obveze, navedeni su u odjeljku 2.16 Uredbe 382-P. Prema ovim zahtjevima, operator platnog sustava dužan je razvijati se, a banke koje su pristupile ovom platnom sustavu dužne su se pridržavati zahtjeva za redovito informiranje operatora platnog sustava o raznim pitanjima sigurnosti informacija u banci: o usklađenosti s informacijama zahtjeve zaštite, o identificiranim incidentima, o provedenim samoprocjenama identificiranih prijetnji i ranjivosti. Uz reviziju koja se provodi na ugovornoj osnovi, FZ-161 o NPS također utvrđuje da se provode kontrola i nadzor nad poštivanjem zahtjeva koje je utvrdila Vlada Ruske Federacije 584. Rezolucijom i Banka Rusije 382. Uredbom. izdali FSB FSTEK i Banka Rusije, redom. U vrijeme pisanja ovog teksta, ni FSTEC ni FSB nisu imali razvijenu proceduru za provođenje takvog nadzora, za razliku od Banke Rusije, koja je donijela Uredbu br. 380-P od 31. svibnja 2012. „O postupku praćenja nacionalnog platnog sustava " (za kreditne institucije) i Uredba br. 381-P od 9. lipnja 2012. „O postupku nadzora usklađenosti operatera platnog sustava i operatera platne infrastrukture od strane nebankarskih institucija sa zahtjevima Federalnog zakona br. 161- FZ od 27. lipnja 2011. „O nacionalnom platnom sustavu”, usvojen u skladu s propisima Banke Rusije. Propisi u području informacijske sigurnosti u nacionalnom platnom prometu tek su na početku detaljnog razvoja. 1. srpnja 2012. Banka Rusije počela ih je testirati i prikupljati činjenice o praksi provedbe zakona. Stoga je danas preuranjeno govoriti o tome kako će se ovi propisi primjenjivati, kako će se provoditi nadzor prema 380-P, koji će se zaključci donijeti na temelju rezultata samoprocjene koja se provodi svake 2 godine i šalje Banci Rusije.PCI DSS sigurnosni standard platnih kartica
Standard za sigurnost podataka industrije platnih kartica (PCI DSS) je standard sigurnosti podataka o platnim karticama razvijen od strane Vijeća za sigurnosne standarde industrije platnih kartica (PCI SSC), a koji su uspostavili međunarodni platni sustavi Visa, MasterCard, American Express, JCB i Discover. PCI DSS standard je skup od 12 visokih i više od 200 detaljnih zahtjeva za osiguranje sigurnosti podataka o vlasnicima kartica koji se prenose, pohranjuju i obrađuju u informacijskim sustavima organizacija. Zahtjevi standarda odnose se na sve tvrtke koje rade s međunarodnim platnim sustavima Visa i MasterCard. Ovisno o broju obrađenih transakcija, svakoj tvrtki dodjeljuje se određena razina s odgovarajućim skupom zahtjeva koje te tvrtke moraju ispuniti. Ove se razine razlikuju ovisno o platnom sustavu. Uspješna revizija ne znači da je sve u redu sa bankovnom sigurnošću – postoji mnogo trikova koji revidiranoj organizaciji omogućuju da sakrije neke nedostatke u svom sigurnosnom sustavu. Provjera usklađenosti sa zahtjevima standarda PCI DSS provodi se u sklopu obveznog certificiranja čiji se zahtjevi razlikuju ovisno o vrsti tvrtke koja se provjerava - trgovačko-uslužno poduzeće koje prihvaća platne kartice za plaćanje roba i usluga, ili davatelj usluga koji pruža usluge trgovcima i bankama preuzimateljima, izdavateljima itd. (procesni centri, pristupnici za plaćanje itd.). Ova procjena može imati različite oblike:- godišnje revizije od strane akreditiranih tvrtki sa statusom kvalificiranog ocjenjivača sigurnosti (QSA);
- godišnja samoprocjena;
- Tromjesečno skeniranje mreža uz pomoć ovlaštenih organizacija sa statusom Approved Scanning Vendor (ASV).
Zakon o osobnim podacima
Posljednji regulatorni dokument koji je također relevantan za bankarsku industriju i utvrđuje zahtjeve za ocjenu sukladnosti je Savezni zakon „O osobnim podacima“. Međutim, još nisu utvrđeni ni oblik takve revizije, ni njezina učestalost, niti zahtjevi za organizaciju koja provodi takvu reviziju. Možda će ovo pitanje biti uklonjeno u jesen 2012., kada će biti objavljen sljedeći dio dokumenata Vlade Ruske Federacije, FSTEC-a i FSB-a, uvodeći nove standarde u području zaštite osobnih podataka. U međuvremenu banke mogu mirno spavati i samostalno određivati značajke revizije pitanja zaštite osobnih podataka. Kontrolu i nadzor nad provedbom organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka utvrđenih člankom 19. članka 152-FZ provode FSB i FSTEC, ali samo za državne informacijske sustave osobnih podataka. Nad poslovnim organizacijama u području osiguravanja informacijske sigurnosti osobnih podataka prema zakonu još uvijek nema tko vršiti nadzor. Što se ne može reći o zaštiti prava subjekata osobnih podataka, odnosno kupaca, suradnika i samo posjetitelja banke. Taj je zadatak preuzeo Roskomnadzor, koji je vrlo aktivan u svojim nadzornim funkcijama i smatra banke među najgorim kršiteljima zakona o osobnim podacima.Završne odredbe
Gore su razmotreni glavni regulatorni akti u području informacijske sigurnosti koji se odnose na kreditne institucije. Postoji mnogo tih propisa, a svaki od njih utvrđuje svoje zahtjeve za provođenje ocjenjivanja sukladnosti u ovom ili onom obliku - od samoocjenjivanja u obliku ispunjavanja upitnika (PCI DSS) do prolaska obvezne revizije jednom u dvije godine ( 382-P) ili jednom godišnje (ISO 27001). Između ovih najčešćih oblika procjene usklađenosti postoje i drugi - obavijesti operatera platnog sustava, tromjesečna skeniranja itd. Također je vrijedno zapamtiti i razumjeti da zemlji još uvijek nedostaje jedinstveni sustav stajališta ne samo o državnoj regulaciji procesa revizije informacijske sigurnosti u organizacijama i sustavima informacijske tehnologije, već i na temu revizije informacijske sigurnosti općenito. U Ruskoj Federaciji postoji niz odjela i organizacija (FSTEC, FSB, Banka Rusije, Roskomnadzor, PCI SSC, itd.) odgovornih za informacijsku sigurnost. I svi oni djeluju na temelju vlastitih propisa i smjernica. Različiti pristupi, različiti standardi, različite razine zrelosti... Sve to koči uspostavljanje jedinstvenih pravila igre. Sliku kvari i pojava jednodnevnih tvrtki koje u potrazi za profitom nude vrlo nekvalitetne usluge u području procjene usklađenosti sa zahtjevima informacijske sigurnosti. I malo je vjerojatno da će se situacija promijeniti na bolje. Kad postoji potreba, naći će se oni koji je žele zadovoljiti, a kvalificiranih revizora jednostavno nema dovoljno za sve. Uz njihov mali broj (prikazano u tablici) i trajanje revizije od nekoliko tjedana do nekoliko mjeseci, očito je da potrebe za revizijom ozbiljno nadilaze mogućnosti revizora. U „Konceptu revizije informacijske sigurnosti informacijskih sustava i organizacija“, koji FSTEC nikada nije usvojio, nalazila se sljedeća rečenica: „istovremeno, u nedostatku potrebnih nacionalnih regulatora, takve aktivnosti / na revizija koja nije zakonom regulirana od strane privatnih tvrtki / može prouzročiti nepopravljivu štetu organizacijama." Zaključno, autori Koncepta su predložili objedinjavanje pristupa reviziji i pravno utvrđivanje pravila igre, uključujući pravila za akreditaciju revizora, zahtjeve za njihovu kvalifikaciju, revizijske postupke itd., ali stvari još uvijek postoje. Iako, s obzirom na pozornost koju domaći regulatori u području informacijske sigurnosti (a imamo ih 9) posvećuju pitanjima informacijske sigurnosti (samo u protekloj kalendarskoj godini donesena su ili izrađena 52 propisa o pitanjima informacijske sigurnosti - jedan propis tjedno ! ), ne isključujem da će se ova tema uskoro vratiti.STANDARDI REVIZIJE SIGURNOSTI INFORMACIJA
MIŠLJENJE STRUČNJAKA
Dmitrij Markin, voditelj odjela revizije i savjetovanja, AMT-GROUP:
Donedavno, pitanja prolaska obvezne revizije stanja informacijske sigurnosti za kreditne institucije u okviru ruskog zakonodavstva bila su regulirana samo Saveznim zakonom-152 "O osobnim podacima" u smislu interne kontrole nad mjerama poduzetim za osiguranje sigurnost PD, kao i Uredba Središnje banke Ruske Federacije br. 242-P „O organizaciji interne kontrole u kreditnim institucijama i bankarskim grupama“. Nadalje, u skladu sa zahtjevima Uredbe br. 242-P, postupak praćenja osiguravanja informacijske sigurnosti utvrđuje se internim dokumentima kreditne institucije neovisno o posebnim zahtjevima za pružanje informacijske sigurnosti. U vezi sa stupanjem na snagu članka 27. Federalnog zakona-161 "O nacionalnom platnom sustavu", koji definira zahtjeve za zaštitu informacija u platnom sustavu, Uredba Vlade Ruske Federacije br. 584 " O odobrenju Pravilnika o zaštiti podataka u platnom sustavu" i Uredbe Centralne banke RF №382-P. Prema zahtjevima Uredbe br. 584 i Uredbe br. 382-P, zaštita informacija u platnom sustavu mora se provoditi u skladu sa zahtjevima ovih regulatornih akata i zahtjevima koje su operatori platnih sustava uključili u pravila platnih sustava. . Ovdje je ključna točka konsolidacija na razini nacionalnog zakonodavstva prava operatora platnih sustava (na primjer, Visa i MasterCard) da samostalno utvrđuju zahtjeve za zaštitu podataka. Uredba br. 382-P također utvrđuje obvezu kreditnih institucija da najmanje jednom svake 2 godine ocjenjuju usklađenost sa zahtjevima IS-a, jasno definira metodologiju ocjenjivanja usklađenosti, kriterije revizije i postupak dokumentiranja njezinih rezultata. Po našem mišljenju, pojava navedenih propisa trebala bi povećati statistiku kreditnih institucija koje prolaze certifikaciju prema zahtjevima standarda sigurnosti podataka industrije platnih kartica PCI DSS 2.0, koji je razvijen uz sudjelovanje vodećih međunarodnih platnih sustava Visa i MasterCard.
Uvod
Revizija je oblik neovisne, neutralne kontrole bilo kojeg područja djelatnosti trgovačkog poduzeća, koji se široko koristi u praksi tržišnog gospodarstva, posebno u području računovodstva. Jednako važna s gledišta cjelokupnog razvoja poduzeća je i njegova sigurnosna revizija, koja uključuje analizu rizika povezanih s mogućnošću implementacije sigurnosnih prijetnji, posebno u pogledu informacijskih resursa, procjenu trenutne razine informacija sigurnost sustava (IS), lokalizacija uskih grla u njihovom sustavu zaštite, procjena usklađenosti IS-a s postojećim standardima u području informacijske sigurnosti te izrada preporuka za uvođenje novih i poboljšanje učinkovitosti postojećih sigurnosnih mehanizama IS-a.
Ako govorimo o glavnom cilju revizije informacijske sigurnosti, onda se može definirati kao procjena razine sigurnosti informacijskog sustava poduzeća kako bi se njime upravljalo u cjelini, uzimajući u obzir izglede za njegov razvoj.
U suvremenim uvjetima, kada informacijski sustavi prožimaju sva područja poduzeća, a s obzirom na potrebu njihovog povezivanja s internetom, otvoreni su za implementaciju unutarnjih i vanjskih prijetnji, problem informacijske sigurnosti postaje ništa manje važan od ekonomske ili fizičke. sigurnost.
Unatoč važnosti problema koji se razmatra za izobrazbu stručnjaka za informacijsku sigurnost, on još nije uvršten kao zaseban predmet u postojeće nastavne planove i programe i nije razmatran u udžbenicima i priručnicima. Razlog tome je nedostatak potrebnog regulatornog okvira, nepripremljenost stručnjaka i nedovoljno praktično iskustvo u području revizije informacijske sigurnosti.
Opća struktura rada uključuje sljedeći slijed pitanja koja se razmatraju:
opisan je model izgradnje sustava informacijske sigurnosti (IS) koji uzima u obzir prijetnje, ranjivosti, rizike i protumjere poduzete za njihovo smanjenje ili sprječavanje;
razmatra metode analize i upravljanja rizicima;
iznosi osnovne koncepte sigurnosne revizije i opisuje ciljeve njezine provedbe;
analizira glavne međunarodne i ruske standarde koji se koriste u reviziji informacijske sigurnosti;
prikazane su mogućnosti korištenja softverskih alata za provođenje revizije IS-a;
Odabir opisane strukture udžbenika napravljen je kako bi se što bolje usmjerila studenta na praktičnu upotrebu gradiva koji se razmatra, prvo, prilikom izučavanja nastavnog kolegija, drugo, prilikom izvođenja industrijskih praksi (analiza stanja informacijske sigurnosti u poduzeću), seminarski radovi i disertacije.
Prezentirani materijal može biti koristan rukovoditeljima i zaposlenicima sigurnosnih službi i službi zaštite informacija poduzeća za pripremu i provođenje interne i potvrđivanja potrebe za eksternom revizijom informacijske sigurnosti.
Poglavlje I. Sigurnosna revizija i metode njezina provođenja
1 Koncept sigurnosne revizije
Revizija je neovisno ispitivanje određenih područja funkcioniranja organizacije. Razlikovati vanjsku i internu reviziju. Vanjska revizija je u pravilu jednokratni događaj koji se provodi na inicijativu uprave ili dioničara organizacije. Preporuča se redovito provoditi vanjsku reviziju, a primjerice za mnoge financijske institucije i dionička društva to je obvezan zahtjev od strane njihovih osnivača i dioničara. Unutarnja revizija je kontinuirana djelatnost koja se provodi na temelju "Pravila o unutarnjoj reviziji" iu skladu s planom čiju izradu provode jedinice sigurnosne službe, a odobrava uprava organizacije.
Ciljevi sigurnosne revizije su:
analiza rizika povezanih s mogućnošću sigurnosnih prijetnji resursima;
procjena postojeće razine sigurnosti IP-a;
lokalizacija uskih grla u sustavu zaštite IP;
procjena usklađenosti IS-a s postojećim standardima u području informacijske sigurnosti;
Sigurnosnu reviziju poduzeća (tvrtke, organizacije) treba smatrati povjerljivim alatom upravljanja koji isključuje, u svrhu tajnosti, mogućnost davanja informacija o rezultatima njegovih aktivnosti trećim stranama i organizacijama.
Za provođenje revizije sigurnosti poduzeća može se preporučiti sljedeći slijed radnji.
1. Priprema za sigurnosnu reviziju:
odabir objekta revizije (tvrtka, pojedinačne zgrade i prostori, pojedinačni sustavi ili njihove komponente);
sastavljanje tima revizora-stručnjaka;
određivanje opsega i opsega revizije te određivanje konkretnih rokova za rad.
2.Provođenje revizije: opća analiza sigurnosnog statusa revidiranog objekta; registraciju, prikupljanje i provjeru statističkih podataka i rezultata instrumentalnih mjerenja opasnosti i prijetnji; ocjena rezultata revizije; sastavljanje zapisnika o rezultatima provjere za pojedine komponente. 3.Završetak revizije: priprema završnog izvješća; izrada akcijskog plana za otklanjanje uskih grla i nedostataka u osiguranju sigurnosti poduzeća. Za uspješno provođenje sigurnosne revizije morate: aktivno sudjelovanje uprave društva u njegovoj provedbi; objektivnost i neovisnost revizora (stručnjaka), njihova kompetentnost i visoka profesionalnost; jasno strukturiran postupak provjere; aktivna provedba predloženih mjera za osiguranje i jačanje sigurnosti. Sigurnosna revizija je zauzvrat učinkovit alat za procjenu sigurnosti i upravljanje rizicima. Sprječavanje sigurnosnih prijetnji također znači zaštitu gospodarskih, društvenih i informacijskih interesa poduzeća. Iz ovoga možemo zaključiti da revizija sigurnosti postaje alat gospodarskog upravljanja. Ovisno o obujmu analiziranih objekata poduzeća, određuje se opseg revizije: -revizija sigurnosti cijelog poduzeća u kompleksu; -revizija sigurnosti pojedinih zgrada i prostora (namjenski prostori); -revizija opreme i tehničkih sredstava pojedinih vrsta i vrsta; -revizija pojedinih vrsta i područja djelatnosti: gospodarska, ekološka, informacijska, financijska i dr. Treba naglasiti da se revizija ne provodi na inicijativu revizora, već na inicijativu uprave poduzeća koja je u ovom pitanju glavna zainteresirana strana. Potpora menadžmenta poduzeća nužan je uvjet za reviziju. Revizija je skup aktivnosti u koje su, osim samog revizora, uključeni predstavnici većine strukturnih odjela tvrtke. Djelovanje svih sudionika u ovom procesu mora biti usklađeno. Stoga je u fazi pokretanja postupka revizije potrebno riješiti sljedeća organizacijska pitanja: prava i obveze revizora trebaju biti jasno definirane i dokumentirane u opisu njegovih poslova, kao i u propisu o unutarnjoj (vanjskoj) reviziji; revizor bi trebao pripremiti i dogovoriti s menadžmentom plan revizije; u propisu o unutarnjoj reviziji posebno treba odrediti da su zaposlenici poduzeća obvezni pomagati revizoru i dati sve podatke potrebne za reviziju. U fazi pokretanja revizijskog postupka potrebno je odrediti granice izvida. Ako neki informacijski podsustavi poduzeća nisu dovoljno kritični, mogu se isključiti iz granica istraživanja. Ostali podsustavi možda neće biti podvrgnuti reviziji zbog zabrinutosti za privatnost. Granice istraživanja definirane su u sljedećim kategorijama: Popis ispitanih fizičkih, softverskih i informacijskih izvora. 2.Mjesta (prostorije) koja spadaju u granice istraživanja. 3.Glavne vrste sigurnosnih prijetnji koje se razmatraju tijekom revizije. 4.Organizacijski (zakonodavni, administrativni i proceduralni), fizički, softverski i hardverski i drugi aspekti sigurnosti koje je potrebno uzeti u obzir tijekom istraživanja, te njihovi prioriteti (u kojoj mjeri ih treba uzeti u obzir). O planu i granicama revizije raspravlja se na radnom sastanku na kojem sudjeluju revizori, uprava društva i voditelji strukturnih odjela. Za razumijevanje revizije IS-a kao složenog sustava može se koristiti njegov konceptualni model prikazan na slici 1. 1.1. Ovdje su glavne komponente procesa: objekt revizije: svrha revizije: Riža. 1.1. Konceptualni model revizije informacijske sigurnosti zahtjevi; korištene metode; izvođači; red ponašanja. Sa stajališta organizacije rada tijekom revizije IS-a, postoje tri temeljne faze: 1.prikupljanje informacija; 2.Analiza podataka; 2 Metode analize podataka za reviziju IS-a Trenutno postoje tri glavne metode (pristupa) reviziji, koje se međusobno značajno razlikuju. Prva metoda, najsloženija, temelji se na analizi rizika. Na temelju metoda analize rizika, revizor za ispitivani IS utvrđuje pojedinačni skup sigurnosnih zahtjeva koji najbolje uzima u obzir značajke ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u tom okruženju. Ovaj pristup oduzima najviše vremena i zahtijeva najvišu kvalifikaciju revizora. Na kvalitetu rezultata revizije, u ovom slučaju, snažno utječu korištena metodologija analize i upravljanja rizikom te njezina primjenjivost na ovu vrstu IP-a. Druga metoda, najpraktičnija, oslanja se na korištenje standarda informacijske sigurnosti. Standardi definiraju osnovni skup sigurnosnih zahtjeva za široku klasu IS-a, koji nastaje kao rezultat generalizacije svjetske prakse. Standardi mogu definirati različite skupove sigurnosnih zahtjeva, ovisno o razini zaštite IP-a koja se zahtijeva, njenom vlasništvu (komercijalna organizacija ili vladina agencija) i namjeni (financije, industrija, komunikacije, itd.). U tom slučaju od revizora se traži da ispravno odredi skup standardnih zahtjeva koji moraju biti ispunjeni za ovaj IS. Također je potrebna metodologija za procjenu ove korespondencije. Zbog svoje jednostavnosti (standardni skup zahtjeva za provođenje revizije već je unaprijed određen standardom) i pouzdanosti (standard je standard i nitko neće pokušati osporiti njegove zahtjeve), opisani pristup najčešći je u praksi (posebno prilikom provođenja vanjske revizije). Omogućuje, uz minimalnu cijenu resursa, izvođenje razumnih zaključaka o stanju IS-a. Treća metoda, najučinkovitija, uključuje kombinaciju prve dvije. Ako se za provođenje sigurnosne revizije odabere pristup koji se temelji na riziku, tada se u fazi analize revizijskih podataka obično izvode sljedeće skupine zadataka: Analiza IP resursa, uključujući informacijske resurse, softver i hardver, te ljudske resurse. 2.Analiza grupa zadataka koje rješava sustav i poslovni procesi. 3.Izgradnja (neformalnog) modela IP resursa koji definira odnos između informacija, softvera, tehničkih i ljudskih resursa, njihov relativni položaj i načine interakcije. 4.Procjena kritičnosti informacijskih resursa, kao i softvera i hardvera. 5.Određivanje kritičnosti resursa, uzimajući u obzir njihove međuovisnosti. 6.Identifikacija najvjerojatnijih sigurnosnih prijetnji IP resursima i sigurnosnih ranjivosti koje te prijetnje čine mogućim. 7.Procjena vjerojatnosti prijetnji, veličine ranjivosti i štete za organizaciju u slučaju uspješne implementacije prijetnji. 8.Određivanje veličine rizika za svaku trojku: prijetnja - skupina resursa - ranjivost. Navedeni skup zadataka je prilično općenit. Za njihovo rješavanje mogu se koristiti različite formalne i neformalne, kvantitativne i kvalitativne, ručne i automatizirane tehnike analize rizika. Bit pristupa se od toga ne mijenja. Procjena rizika može se dati korištenjem različitih kvalitativnih i kvantitativnih ljestvica. Glavna stvar je da se postojeći rizici ispravno identificiraju i rangiraju u skladu sa stupnjem njihove kritičnosti za organizaciju. Na temelju takve analize može se razviti sustav prioritetnih mjera za smanjenje veličine rizika na prihvatljivu razinu. Prilikom provođenja sigurnosne revizije usklađenosti sa zahtjevima standarda, revizor, oslanjajući se na svoje iskustvo, ocjenjuje primjenjivost zahtjeva standarda na ispitivani IS i njegovu usklađenost s tim zahtjevima. Podaci o usklađenosti različitih područja djelovanja IS-a sa zahtjevima norme obično se prikazuju u obliku tablice. Tablica pokazuje koji sigurnosni zahtjevi nisu implementirani u sustav. Na temelju toga donose se zaključci o usklađenosti ispitivanog IS-a sa zahtjevima norme i daju se preporuke za implementaciju sigurnosnih mehanizama u sustavu za osiguranje takve usklađenosti. 3 Analiza informacijskih rizika poduzeća Analiza rizika je ono čime treba započeti izgradnju bilo kojeg sustava informacijske sigurnosti i što je potrebno za provođenje revizije informacijske sigurnosti. Obuhvaća aktivnosti za ispitivanje sigurnosti poduzeća kako bi se utvrdilo koje resurse i od kojih prijetnji treba zaštititi, kao i u kojoj mjeri je pojedinim resursima potrebna zaštita. Određivanje skupa odgovarajućih protumjera provodi se tijekom upravljanja rizicima. Rizik je određen vjerojatnošću nanošenja štete i visinom štete na resursima informacijskih sustava (IS) u slučaju sigurnosne prijetnje. Analiza rizika je identificiranje postojećih rizika i procjena njihove veličine (da im se da kvalitativna ili kvantitativna procjena). Proces analize rizika uključuje sljedeće zadatke: 1.Identifikacija ključnih IP resursa. 2.Utvrđivanje važnosti određenih resursa za organizaciju. 3.Identifikacija postojećih sigurnosnih prijetnji i ranjivosti koje omogućuju provedbu prijetnji. 4.Proračun rizika povezanih s provedbom sigurnosnih prijetnji. IP resursi mogu se podijeliti u sljedeće kategorije: informacijski resursi; softver; tehnička sredstva (poslužitelji, radne stanice, aktivna mrežna oprema itd.); ljudski resursi. Unutar svake kategorije resursi su podijeljeni u klase i podklase. Potrebno je identificirati samo one resurse koji određuju funkcionalnost IS-a i bitni su sa stajališta osiguranja sigurnosti. Važnost (ili trošak) nekog resursa određena je količinom štete uzrokovane ako se naruši povjerljivost, integritet ili dostupnost ovog resursa. Obično se razmatraju sljedeće vrste oštećenja: podaci su otkriveni, promijenjeni, izbrisani ili učinjeni nedostupnima; oprema je oštećena ili uništena; integritet softvera je narušen. Šteta može nastati organizaciji kao rezultat uspješne implementacije sljedećih vrsta sigurnosnih prijetnji: lokalni i udaljeni napadi na IP resurse; prirodne katastrofe; pogreške ili namjerne radnje osoblja IS-a; kvarovi u radu IC-a uzrokovani greškama u softveru ili hardverskim kvarovima. Veličina rizika može se odrediti na temelju cijene resursa, vjerojatnosti pojave prijetnje i veličine ranjivosti koristeći sljedeću formulu: cijena resursa x vjerojatnost prijetnje Rizik = veličina ranjivosti Zadatak upravljanja rizikom je odabrati razuman skup protumjera za smanjenje razine rizika na prihvatljivu razinu. Trošak provedbe protumjera trebao bi biti manji od iznosa moguće štete. Razlika između cijene provedbe protumjera i iznosa moguće štete trebala bi biti obrnuto proporcionalna vjerojatnosti nanošenja štete. Pristup temeljen na analizi informacijskih rizika poduzeća najznačajniji je za praksu osiguranja informacijske sigurnosti. To se objašnjava činjenicom da analiza rizika omogućuje učinkovito upravljanje informacijskom sigurnošću poduzeća. Za to je na početku analize rizika potrebno utvrditi što je točno predmet zaštite u poduzeću, kakvim je prijetnjama izloženo, te praksu zaštite. Analiza rizika provodi se na temelju neposrednih ciljeva i zadataka zaštite određene vrste povjerljivih informacija. Jedan od najvažnijih zadataka u okviru zaštite informacija je osigurati njihov integritet i dostupnost. Istodobno, treba imati na umu da se povrede integriteta mogu dogoditi ne samo kao rezultat namjernih radnji, već i iz niza drugih razloga: · kvarovi opreme koji dovode do gubitka ili izobličenja informacija; · fizički utjecaj, uključujući i kao rezultat prirodnih katastrofa; · pogreške u softveru (uključujući nedokumentirane značajke). Stoga je pojam "napad" obećavajući za razumijevanje ne samo ljudskog utjecaja na informacijske resurse, već i utjecaja okruženja u kojem funkcionira sustav za obradu informacija poduzeća. Prilikom provođenja analize rizika razvijaju se sljedeće: · opća strategija i taktika vođenja "ofenzivnih operacija i vojnih operacija" od strane potencijalnog prekršitelja; · mogući načini provođenja napada na sustav obrade i zaštite informacija; · scenarij provedbe nezakonitih radnji; · karakteristike kanala curenja informacija i UA; · vjerojatnost uspostavljanja informacijskog kontakta (provedba prijetnji); · popis mogućih informacijskih infekcija; · model uljeza; · metodologija procjene informacijske sigurnosti. Osim toga, za izgradnju pouzdanog poslovnog informacijskog sigurnosnog sustava potrebno je: · identificirati sve moguće prijetnje informacijskoj sigurnosti; · procijeniti posljedice njihovog očitovanja; · odrediti potrebne mjere i sredstva zaštite, uzimajući u obzir zahtjeve regulatornih dokumenata, ekonomske · ekspeditivnost, kompatibilnost i bez sukoba s korištenim softverom; · ocijeniti učinkovitost odabranih mjera i lijekova. Riža. 1.2. Scenarij analize informacijskih resursa Ovdje je prikazano svih 6 koraka analize rizika. U prvoj i drugoj fazi utvrđuju se podaci koji predstavljaju poslovnu tajnu poduzeća i koji se moraju zaštititi. Jasno je da se takve informacije pohranjuju na određenim mjestima i na određenim medijima, prenose komunikacijskim kanalima. Istodobno, odlučujući čimbenik u tehnologiji rukovanja informacijama je arhitektura IS-a, koja uvelike određuje sigurnost informacijskih resursa poduzeća. Treća faza analize rizika je izgradnja pristupnih kanala, curenje ili utjecaj na informacijske resurse glavnih IS čvorova. Svaki pristupni kanal karakterizira skup točaka s kojih možete "ukloniti" informacije. Oni su ti koji predstavljaju ranjivost i zahtijevaju korištenje sredstava za sprječavanje neželjenih učinaka na informacije. Četvrta faza analize načina zaštite svih mogućih točaka tako odgovara ciljevima zaštite, a rezultat bi trebao biti opis mogućih nedostataka u obrani, uključujući i zbog nepovoljnog spleta okolnosti. U petoj fazi, na temelju trenutno poznatih metoda i sredstava prevladavanja obrambenih linija, određuju se vjerojatnosti realizacije prijetnje za svaku od mogućih točaka napada. U završnoj, šestoj fazi, procjenjuje se šteta za organizaciju u slučaju provedbe svakog od napada, što zajedno s procjenama ranjivosti omogućuje dobivanje rangirane liste prijetnji informacijskim resursima. Rezultati rada prikazani su u obliku prikladnom za njihovu percepciju i razvoj rješenja za korekciju postojećeg informacijskog sigurnosnog sustava. Osim toga, svaki informacijski resurs može biti izložen nekoliko potencijalnih prijetnji. Od temeljne važnosti je ukupna vjerojatnost pristupa informacijskim resursima, koja se sastoji od elementarnih vjerojatnosti pristupa pojedinim točkama prolaska informacija. Vrijednost informacijskog rizika za svaki resurs utvrđuje se kao umnožak vjerojatnosti napada na resurs, vjerojatnosti implementacije te prijetnje i štete od upada informacija. U ovom radu mogu se koristiti različiti načini vaganja komponenti. Zbrajanjem rizika za sve resurse dobiva se vrijednost ukupnog rizika s usvojenom arhitekturom IS-a i u nju ugrađenim sustavom informacijske sigurnosti. Dakle, variranjem mogućnosti izgradnje informacijskog sigurnosnog sustava i arhitekture IS-a, postaje moguće prikazati i razmotriti različite vrijednosti ukupnog rizika promjenom vjerojatnosti realizacije prijetnji. Ovdje je vrlo važan korak odabir jedne od opcija u skladu s odabranim kriterijem odluke. Takav kriterij može biti prihvatljiv rizik ili omjer cijene informacijske sigurnosti i preostalog rizika. Prilikom izgradnje sustava informacijske sigurnosti također je potrebno odrediti strategiju upravljanja rizicima za poduzeće. Danas postoji nekoliko pristupa upravljanju rizicima. Jedan od najčešćih je smanjenje rizika korištenjem odgovarajućih metoda i sredstava zaštite. Blizu u suštini je pristup povezan sa izbjegavanjem rizika. Poznato je da se neke klase rizika mogu izbjeći: na primjer, premještanjem web poslužitelja organizacije izvan lokalne mreže izbjegava se rizik neovlaštenog pristupa lokalnoj mreži od strane web klijenata. Konačno, u nekim slučajevima prihvaćanje rizika je prihvatljivo. Ovdje je važno odlučiti se o sljedećoj dilemi: što je za poduzeće isplativije - nositi se s rizicima ili s njihovim posljedicama. U ovom slučaju potrebno je riješiti problem optimizacije. Nakon utvrđivanja strategije upravljanja rizicima, provodi se konačna procjena mjera za osiguranje informacijske sigurnosti uz izradu stručnog mišljenja o sigurnosti informacijskih resursa. Stručno mišljenje uključuje sve materijale za analizu rizika i preporuke za njihovo smanjenje. 1.4 Metode za procjenu informacijskih rizika poduzeća U praksi se koriste različite metode procjene i upravljanja informacijskim rizicima u poduzećima. Istodobno, procjena informacijskog rizika uključuje sljedeće korake: · identifikacija i kvantitativna procjena informacijskih resursa poduzeća značajnih za poslovanje; · procjena mogućih prijetnji; · procjena postojećih ranjivosti; · ocjenjivanje učinkovitosti alata za informacijsku sigurnost. Pretpostavlja se da su ranjivi informacijski resursi tvrtke koji su značajni za poslovanje izloženi riziku ako za njih postoje prijetnje. Drugim riječima, rizici karakteriziraju opasnost kojoj komponente korporativnog Internet/Intranet sustava mogu biti izložene. Istodobno, informacijski rizici tvrtke ovise o: · iz pokazatelja vrijednosti informacijskih resursa; · vjerojatnost realizacije prijetnji resursima; · učinkovitost postojećih ili planiranih sredstava osiguranja informacijske sigurnosti. Svrha procjene rizika je utvrditi karakteristike rizika korporativnog informacijskog sustava i njegovih resursa. Kao rezultat procjene rizika, postaje moguće odabrati sredstva koja osiguravaju željenu razinu informacijske sigurnosti poduzeća. Prilikom procjene rizika uzimaju se u obzir vrijednost resursa, značaj prijetnji i ranjivosti, učinkovitost postojećih i planiranih sredstava zaštite. Pokazatelji samih resursa, značaj prijetnji i ranjivosti, učinkovitost zaštitnih alata mogu se odrediti i kvantitativnim metodama, na primjer, pri određivanju karakteristika troškova, i kvalitativnim, na primjer, uzimajući u obzir redovite ili iznimno opasne abnormalne utjecaji na okoliš. Mogućnost realizacije prijetnje procjenjuje se vjerojatnošću njezine realizacije u određenom vremenskom razdoblju za neki resurs poduzeća. Istodobno, vjerojatnost realizacije prijetnje određena je sljedećim glavnim pokazateljima: · privlačnost resursa koristi se kada se razmatra prijetnja od namjernog ljudskog utjecaja; · mogućnost korištenja resursa za generiranje prihoda kada se uzme u obzir prijetnja od namjernog ljudskog utjecaja; · koriste se tehničke mogućnosti provedbe prijetnje uz namjerni ljudski utjecaj; · stupanj lakoće s kojim se ranjivost može iskoristiti. Trenutno postoji mnogo tabličnih metoda za procjenu informacijskih rizika poduzeća. Važno je da osoblje sigurnosti odabere odgovarajuću metodu za sebe, koja će dati ispravne i pouzdane ponovljive rezultate. Kvantitativne pokazatelje informacijskih resursa preporučuje se ocjenjivati na temelju rezultata anketiranja zaposlenika poduzeća koja posjeduju informacije, odnosno službenika koji na temelju stvarnog stanja informacija mogu odrediti vrijednost informacija, njihove karakteristike i stupanj kritičnosti. poslovima. Na temelju rezultata ankete provodi se procjena pokazatelja i stupnja kritičnosti informacijskih resursa za najgori scenarij do razmatranja mogućih utjecaja na poslovne aktivnosti poduzeća u slučaju mogućeg neovlaštenog pristupa povjerljivim podacima. informacije, kršenje njihova integriteta, nedostupnost za različita razdoblja uzrokovana uskraćivanjem u održavanju sustava obrade podataka, pa čak i fizičkim uništenjem. Istodobno, proces dobivanja kvantitativnih pokazatelja može se nadopuniti odgovarajućim metodama za procjenu drugih kritičnih resursa poduzeća, uzimajući u obzir: · sigurnost osoblja; · otkrivanje privatnih podataka; · zahtjevi za poštivanje zakona i propisa; · ograničenja koja proizlaze iz zakona; · trgovački i gospodarski interesi; · financijski gubici i poremećaji u proizvodnim aktivnostima; · odnosi s javnošću; · komercijalna politika i trgovačko poslovanje; · gubitak ugleda tvrtke. Nadalje, kvantitativni pokazatelji se koriste tamo gdje je to dopušteno i opravdano, a kvalitativni indikatori kada su kvantitativne procjene otežane iz više razloga. Istodobno, najšire se koristi procjena kvalitativnih pokazatelja korištenjem bodovnih ljestvica posebno razvijenih za tu svrhu, na primjer, s ljestvicom od četiri točke. Sljedeći korak je popunjavanje parova upitnika, u kojima se za svaku vrstu prijetnje i s njom pridruženu skupinu resursa procjenjuju razine prijetnje kao vjerojatnost realizacije prijetnji, a razine ranjivosti kao stupanj lakoće realizirana prijetnja može dovesti do negativnog utjecaja. Ocjenjivanje se vrši na kvalitativnim ljestvicama. Na primjer, razina prijetnji i ranjivosti ocjenjuje se na ljestvici visoko-nisko. Potrebne informacije prikupljaju se razgovorom s TOP menadžerima tvrtke, djelatnicima komercijalnih, tehničkih, kadrovskih i servisnih odjela, izlaskom na teren i analizom dokumentacije tvrtke. Uz tablične metode za procjenu informacijskih rizika, mogu se koristiti suvremene matematičke metode, na primjer, metoda tipa Delphi, kao i posebni automatizirani sustavi, od kojih će neki biti riječi u nastavku. Opći algoritam procesa procjene rizika (slika 1.3.) u ovim sustavima uključuje sljedeće korake. · opis objekta i mjera zaštite; · utvrđivanje resursa i procjena njegovih kvantitativnih pokazatelja (utvrđivanje potencijalnog negativnog utjecaja na poslovanje); · analiza prijetnji informacijskoj sigurnosti; · procjena ranjivosti; · evaluacija postojećih i predloženih sredstava osiguranje informacijske sigurnosti; · procjena rizika. 5 Upravljanje informacijskim rizikom Trenutno je upravljanje informacijskim rizikom jedno od najrelevantnijih i najdinamičnije razvijajućih područja strateškog i operativnog upravljanja u području informacijske sigurnosti. Njegova je glavna zadaća objektivno identificirati i ocijeniti najznačajnije informacijske rizike za poslovanje poduzeća, kao i primjerenost alata za kontrolu rizika koji se koriste za povećanje učinkovitosti i profitabilnosti gospodarske aktivnosti poduzeća. Stoga se pod pojmom "upravljanje informacijskim rizikom" obično podrazumijeva sustavni proces identificiranja, kontrole i smanjenja informacijskih rizika tvrtki u skladu s određenim ograničenjima ruskog regulatornog okvira u području zaštite informacija i vlastite korporativne sigurnosne politike. Riža. 1.3. Algoritam procjene rizika Korištenje informacijskih sustava povezano je s određenim skupom rizika. Kada je potencijalna šteta neprihvatljivo visoka, potrebne su isplative zaštitne mjere. Periodična (ponovna) procjena rizika nužna je za praćenje učinkovitosti sigurnosnih aktivnosti i uvažavanje promjena u okolišu. Bit aktivnosti upravljanja rizicima je procijeniti njihovu veličinu, razviti učinkovite i isplative mjere za smanjenje rizika, a zatim osigurati da rizici budu u prihvatljivim granicama (i da tako i ostanu). Stoga upravljanje rizikom uključuje dvije vrste aktivnosti koje se ciklički izmjenjuju: )(ponovnu) procjenu (mjerenje) rizika; )odabir učinkovitih i ekonomičnih zaštitnih sredstava (smanjenje rizika). U odnosu na identificirane rizike moguće su sljedeće radnje: · otklanjanje rizika (na primjer, uklanjanjem uzroka); · smanjenje rizika (na primjer, korištenjem dodatne zaštitne opreme); · prihvaćanje rizika (razvijanjem plana djelovanja u odgovarajućim uvjetima): · prijenos rizika (na primjer, sklapanjem ugovora o osiguranju). Proces upravljanja rizicima može se podijeliti u sljedeće korake: 1.Izbor analiziranih objekata i razina detaljnosti njihova razmatranja. 2.Izbor metodologije procjene rizika. .Identifikacija imovine. .Analiza prijetnji i njihovih posljedica, identifikacija ranjivosti u zaštiti. .Procjena rizika. .Izbor zaštitnih mjera. .Provedba i verifikacija odabranih mjera. .Procjena preostalog rizika. Faze 6 i odnose se na izbor zaštitne opreme (neutralizacija i rizici), ostalo - na procjenu rizika. Već nabrajanje faza pokazuje da je upravljanje rizikom cikličan proces. U suštini, posljednji korak je izjava kraja petlje koja vam govori da se vratite na početak. Rizike je potrebno stalno pratiti, povremeno ih ponovno procjenjivati. Treba napomenuti da dobro dokumentirana evaluacija može uvelike pojednostaviti aktivnosti praćenja. Upravljanje rizikom, kao i svaka druga aktivnost sigurnosti informacija, mora biti integrirano u životni ciklus IP-a. Tada je učinak najveći, a troškovi minimalni. Upravljanje rizicima mora se provoditi u svim fazama životnog ciklusa informacijskog sustava: pokretanje - razvoj - instalacija - rad - zbrinjavanje (prestanak rada). U početnoj fazi potrebno je uzeti u obzir poznate rizike pri razvoju zahtjeva za sustav općenito, a posebno za sigurnosne alate. Tijekom faze razvoja, poznavanje rizika pomaže vam da odaberete odgovarajuća arhitektonska rješenja koja imaju ključnu ulogu u osiguravanju sigurnosti. Tijekom faze instalacije identificirane rizike treba uzeti u obzir prilikom konfiguriranja, testiranja i provjere prethodno formuliranih zahtjevima, a puštanju sustava u rad trebao bi prethoditi puni ciklus upravljanja rizicima. Tijekom operativne faze, upravljanje rizicima treba pratiti sve značajne promjene u sustavu. Kada se sustav stavi iz pogona, upravljanje rizikom pomaže osigurati da se migracija podataka odvija na siguran način. Poglavlje II. Standardi informacijske sigurnosti 1 Preduvjeti za izradu standarda informacijske sigurnosti Provođenje revizije informacijske sigurnosti temelji se na korištenju brojnih preporuka, koje su uglavnom navedene u međunarodnim standardima informacijske sigurnosti. Jedan od rezultata revizije posljednjih godina sve više postaje certifikat koji potvrđuje usklađenost ispitivanog IS-a s određenim priznatim međunarodnim standardom. Prisutnost takvog certifikata omogućuje organizaciji stjecanje konkurentskih prednosti povezanih s većim povjerenjem kupaca i partnera. Korištenje standarda doprinosi sljedećih pet ciljeva. Prvo, strogo su definirani ciljevi osiguranja informacijske sigurnosti računalnih sustava. Drugo, stvara se učinkovit sustav upravljanja sigurnošću informacija. Treće, predviđen je izračun skupa detaljnih ne samo kvalitativnih, već i kvantitativnih pokazatelja za procjenu usklađenosti informacijske sigurnosti s navedenim ciljevima. Četvrto, stvaraju se uvjeti za korištenje raspoloživih alata (softvera) za osiguranje informacijske sigurnosti i procjenu njenog trenutnog stanja. Peto, otvara se mogućnost korištenja tehnika upravljanja sigurnošću s razumnim sustavom metrike i mjera koje osiguravaju programerima informacijskih sustava. Od početka 80-ih godina stvoreni su deseci međunarodnih i nacionalnih standarda u području informacijske sigurnosti koji se u određenoj mjeri nadopunjuju. U nastavku ćemo razmotriti najpoznatije standarde prema kronologiji njihovog stvaranja: )Kriteriji za ocjenu pouzdanosti računalnih sustava "Orange Book" (SAD); )Usklađeni kriteriji europskih zemalja; )X.800 Preporuke; )njemački standard BSI; )Britanski standard BS 7799; )Standard ISO 17799; )Standard "Opći kriteriji" ISO 15408; )COBIT standard Ovi standardi se mogu podijeliti u dvije vrste: · Standardi ocjenjivanja usmjereni na razvrstavanje informacijskih sustava i sredstava zaštite prema sigurnosnim zahtjevima; · Tehničke specifikacije koje reguliraju različite aspekte implementacije sigurnosnih značajki. Važno je napomenuti da između ovih vrsta regulatornih dokumenata nema praznog zida. Standardi ocjenjivanja ističu najvažnije, sa stajališta informacijske sigurnosti, aspekte IS-a koji igraju ulogu arhitektonskih specifikacija. Druge tehničke specifikacije definiraju kako izgraditi IC propisane arhitekture. 2 Standard "Kriteriji za ocjenjivanje pouzdanosti računalnih sustava" (Narančasta knjiga) Povijesno gledano, prvi standard evaluacije koji je postao široko rasprostranjen i koji je imao ogroman utjecaj na standardizaciju informacijske sigurnosti u mnogim zemljama bio je standard Ministarstva obrane SAD-a “Kriteriji za ocjenu pouzdanih računalnih sustava”. Ovo djelo, koje se po boji korica često naziva Narančasta knjiga, prvi put je objavljeno u kolovozu 1983. Samo njegovo ime zahtijeva komentar. Ovdje se ne radi o sigurnim, već o pouzdanim sustavima, odnosno sustavima kojima se može dati određeni stupanj povjerenja. Orange Book objašnjava koncept sigurnog sustava koji "na odgovarajući način kontrolira pristup informacijama tako da su samo propisno ovlaštene osobe ili procesi koji djeluju u njihovo ime ovlašteni čitati, pisati, kreirati i brisati informacije." Očito je, međutim, da apsolutno sigurni sustavi ne postoje, ovo je apstrakcija. Ima smisla procijeniti samo stupanj povjerenja koji se može dati određenom sustavu. Orange Book definira pouzdani sustav kao "sustav koji koristi dovoljno hardvera i softvera da omogući grupi korisnika da istovremeno obrađuje osjetljive informacije bez kršenja prava pristupa." Treba napomenuti da se u razmatranim kriterijima i sigurnost i povjerenje ocjenjuju isključivo u smislu kontrole pristupa podacima, što je jedno od sredstava osiguranja povjerljivosti i integriteta informacija. Istodobno, Orange Book ne utječe na probleme pristupačnosti. Stupanj povjerenja ocjenjuje se prema dva glavna kriterija. .Sigurnosna politika je skup zakona, pravila i kodeksa ponašanja koji reguliraju način na koji organizacija obrađuje, štiti i distribuira informacije. Konkretno, pravila određuju u kojim slučajevima korisnik može raditi s određenim skupovima podataka. Što je veći stupanj povjerenja u sustav, to bi sigurnosna politika trebala biti stroža i raznolikija. Ovisno o formuliranoj politici, mogu se odabrati specifični sigurnosni mehanizmi. Sigurnosna politika je aktivan aspekt zaštite, uključujući analizu mogućih prijetnji i izbor protumjera. .Razina sigurnosti je mjera povjerenja koja se može dati arhitekturi i implementaciji IS-a. Sigurnosno osiguranje može proizaći iz analize rezultata testiranja i iz provjere (formalne ili ne) cjelokupnog dizajna i implementacije sustava u cjelini i njegovih pojedinačnih komponenti. Razina jamstva pokazuje koliko su ispravni mehanizmi odgovorni za provedbu sigurnosne politike. Ovo je pasivni aspekt zaštite. Glavno sredstvo osiguravanja sigurnosti određeno je mehanizmom odgovornosti (prijavom). Pouzdani sustav mora bilježiti sve sigurnosne događaje. Vođenje zapisnika treba nadopuniti revizijom, odnosno analizom podataka o registraciji. Koncept pouzdane računalne baze središnji je za procjenu stupnja sigurnosnog povjerenja. Pouzdana računalna baza je skup mehanizama zaštite IS-a (uključujući hardver i softver) odgovornih za provođenje sigurnosne politike. Kvaliteta računalne baze određena je isključivo njenom implementacijom i ispravnošću početnih podataka koje je unio administrator sustava. Dotičnim komponentama izvan računalne baze možda se ne vjeruje, ali to ne bi trebalo utjecati na sigurnost sustava u cjelini. Kao rezultat toga, za procjenu povjerenja u sigurnost IS-a, autori standarda preporučuju razmatranje samo njegove računalne baze. Glavna svrha pouzdane računalne baze je obavljanje funkcija nadzora poziva, odnosno kontrola dopuštenosti subjekata (korisnika) koji izvode određene operacije nad objektima (pasivni entiteti). Monitor provjerava dosljednost pristupa svakom korisniku programima ili podacima sa skupom radnji dopuštenih korisniku. Monitor poziva trebao bi imati tri kvalitete: Izolacija. Potrebno je upozoriti na mogućnost praćenja rada monitora. Potpunost. Monitor se mora pozivati na svaki poziv, ne smije se zaobići. Provjerljivost. Monitor mora biti kompaktan kako bi se mogao analizirati i testirati s povjerenjem u potpunost ispitivanja. Implementacija referentnog monitora naziva se sigurnosna jezgra. Sigurnosna jezgra je temelj na kojem su izgrađeni svi obrambeni mehanizmi. Uz gore navedena svojstva referentnog monitora, kernel mora jamčiti vlastitu nepromjenjivost. Granica pouzdane računalne baze naziva se sigurnosni perimetar. Kao što je već spomenuto, komponentama koje se nalaze izvan sigurnosnog perimetra općenito se ne može vjerovati. S razvojem distribuiranih sustava, konceptu "sigurnosnog perimetra" sve više se pridaje drugačije značenje, što znači granica posjeda određene organizacije. Ono što je unutar domene smatra se pouzdanim, ali ono što je izvan nije. Prema Orange Book, sigurnosna politika mora uključivati sljedeće elemente: · arbitrarna kontrola pristupa; · sigurnost ponovne upotrebe objekata; · sigurnosne naljepnice; · prisilna kontrola pristupa. Proizvoljna kontrola pristupa je metoda ograničavanja pristupa objektima na temelju identiteta subjekta ili grupe kojoj subjekt pripada. Arbitrarnost kontrole leži u činjenici da neka osoba (najčešće vlasnik objekta) može po vlastitom nahođenju dodijeliti ili oduzeti prava pristupa objektu drugim subjektima. Sigurnost ponovne upotrebe objekata važan je dodatak kontrolama pristupa koji sprječava slučajno ili namjerno vađenje osjetljivih informacija iz smeća. Sigurnost ponovne upotrebe mora biti zajamčena za područja RAM-a (posebno za međuspremnike sa slikama zaslona, dešifrirane lozinke itd.), za diskovne blokove i magnetske medije općenito. 3 Njemački BSI standard Godine 1998. u Njemačkoj je objavljen "Vodič za sigurnost informacijske tehnologije za osnovnu razinu". Priručnik je hipertekst od oko 4 MB (HTML format). Nakon toga je formaliziran u obliku njemačkog BSI standarda. Temelji se na općoj metodologiji i komponentama upravljanja informacijskom sigurnošću: · Opća metoda upravljanja informacijskom sigurnošću (organizacija upravljanja informacijskom sigurnošću, metodologija korištenja priručnika). · Opisi sastavnica suvremenih informacijskih tehnologija. · Glavne komponente (organizacijska razina informacijske sigurnosti, proceduralna razina, organizacija zaštite podataka, planiranje nepredviđenih situacija). · Infrastruktura (zgrade, prostori, kabelske mreže, organizacija udaljenog pristupa). · Komponente klijenta raznih vrsta (DOS, Windows, UNIX, mobilne komponente, druge vrste). · Mreže raznih vrsta (od točke do točke veze, Novell NetWare mreže, mreže s OC ONIX i Windows, heterogene mreže). · Elementi sustava prijenosa podataka (e-pošta, modemi, vatrozidovi itd.). · Telekomunikacije (faksovi, telefonske sekretarice, integrirani sustavi temeljeni na ISDN-u, ostali telekomunikacijski sustavi). · Standardni softver. · Baza podataka. · Opisi glavnih sastavnica organizacije režima informacijske sigurnosti (organizacijske i tehničke razine zaštite podataka, planiranje nepredviđenih situacija, podrška kontinuitetu poslovanja). · Karakteristike objekata informatizacije (zgrade, prostori, kabelske mreže, kontrolirani prostori). · Karakteristike glavne informacijske imovine tvrtke (uključujući hardver i softver, kao što su radne stanice i poslužitelji s operativnim sustavima DOS, Windows i UNIX obitelji). · Karakteristike računalnih mreža temeljenih na različitim mrežnim tehnologijama, kao što su mreže Novell Net Ware, UNIX i Windows mreže). · Karakteristike aktivne i pasivne telekomunikacijske opreme vodećih dobavljača, kao što je Cisco Systems. · Detaljni katalozi sigurnosnih prijetnji i kontrola (više od 600 stavki u svakom katalogu). Sve vrste prijetnji u BSI standardu podijeljene su u sljedeće klase: · Okolnosti više sile. · Nedostaci organizacijskih mjera. · Ljudske pogreške. · Tehnički problemi. · Namjerne radnje. Protumjere se slično klasificiraju: · Poboljšanje infrastrukture; · Administrativne protumjere; · Proceduralne protumjere; · Softverske i hardverske protumjere; · Smanjenje ranjivosti komunikacija; planiranje izvanrednih situacija. Sve komponente se razmatraju i opisuju prema sljedećem planu: )Opći opis; )mogući scenariji sigurnosnih prijetnji (navedene su prijetnje primjenjive na ovu komponentu iz kataloga sigurnosnih prijetnji); )moguće protumjere (navodi prijetnje primjenjive na ovu komponentu iz kataloga sigurnosnih prijetnji); 4 Britanski standard BS 7799