Tko priprema plan revizije informacijske sigurnosti. Pojam sigurnosne revizije i svrha njezine provedbe

19.06.2019 Programi

Revizija informacijske sigurnosti ne samo da može dati banci pravo na obavljanje određenih vrsta aktivnosti, već i pokazati slabe točke u bankovnim sustavima. Stoga je potrebno uravnoteženo pristupiti odluci o provođenju i izboru oblika revizije.

Prema Saveznom zakonu od 30. prosinca 2008. br. 307-FZ "O revizijskim aktivnostima", revizija je "neovisna provjera računovodstvenih (financijskih) izvještaja subjekta revizije kako bi se izrazilo mišljenje o pouzdanosti takvih izjave.” Ovaj pojam koji se spominje u ovom zakonu nema nikakve veze s informacijskom sigurnošću. Međutim, događa se da ga stručnjaci za informacijsku sigurnost prilično aktivno koriste u svom govoru. U ovom slučaju revizija se odnosi na proces neovisne procjene aktivnosti organizacije, sustava, procesa, projekta ili proizvoda. Pritom valja imati na umu da se u raznim domaćim propisima ne koristi uvijek pojam “revizija informacijske sigurnosti” – često se zamjenjuje ili pojmom “ocjena sukladnosti” ili pomalo zastarjelim, ali još uvijek korištenim pojmom “certifikacija”. Ponekad se koristi i izraz “certifikacija”, ali u odnosu na međunarodne inozemne propise. Revizija informacijske sigurnosti provodi se ili radi provjere usklađenosti s propisima ili radi provjere valjanosti i sigurnosti korištenih rješenja. No bez obzira na to koji se izraz koristi, u biti se revizija informacijske sigurnosti provodi ili radi provjere usklađenosti s propisima ili radi provjere valjanosti i sigurnosti korištenih rješenja. U drugom slučaju, audit je dobrovoljan, a odluku o njegovom provođenju donosi sama organizacija. U prvom slučaju nemoguće je odbiti provođenje revizije, jer to podrazumijeva kršenje zahtjeva utvrđenih propisima, što dovodi do kažnjavanja u obliku novčane kazne, obustave aktivnosti ili drugih oblika kažnjavanja. Ako je revizija obavezna, može je provesti i sama organizacija, na primjer, u obliku samoprocjene (međutim, u ovom slučaju nema govora o "neovisnosti" i termin "revizija" nije u potpunosti ispravno koristiti ovdje), ili od strane vanjskih neovisnih organizacija - revizora. Treća mogućnost provođenja obvezne revizije je kontrola regulatornih tijela ovlaštenih za provođenje odgovarajućih nadzornih aktivnosti. Ova se opcija često naziva inspekcija, a ne revizija. Budući da se dobrovoljna revizija može provesti iz apsolutno bilo kojeg razloga (za provjeru sigurnosti sustava daljinskog bankarstva, kontrolu imovine kupljene banke, provjeru novootvorene poslovnice itd.), ovu opciju nećemo razmatrati. U ovom slučaju nemoguće je jasno ocrtati njegove granice, niti opisati oblike njegova izvještavanja, niti govoriti o pravilnosti - o svemu tome odlučuje se sporazumom između revizora i revidirane organizacije. Stoga ćemo razmotriti samo one oblike obvezne revizije koji su specifični za banke.

Međunarodni standard ISO 27001

Ponekad možete čuti da određena banka prolazi reviziju usklađenosti sa zahtjevima međunarodnog standarda “ISO/IEC 27001:2005” (njegov puni ruski ekvivalent je “GOST R ISO/IEC 27001-2006 - Informacijska tehnologija - Metode i sredstva) osiguranja sigurnosti sustava upravljanja - Zahtjevi"). U biti, ovaj standard je skup najboljih praksi za upravljanje informacijskom sigurnošću u velikim organizacijama (male organizacije, uključujući banke, nisu uvijek u mogućnosti u potpunosti ispuniti zahtjeve ovog standarda). Kao i svaki standard u Rusiji, ISO 27001 je čisto dobrovoljni dokument, koji svaka banka samostalno odlučuje hoće li prihvatiti ili neće. Ali ISO 27001 je de facto standard u cijelom svijetu, a stručnjaci u mnogim zemljama koriste ovaj standard kao neku vrstu univerzalni jezik kojih se treba pridržavati kada se radi o informacijskoj sigurnosti. ISO 27001 također je povezan s nekoliko ne tako očitih i rijetko spominjanih točaka. Međutim, ISO 27001 također uključuje nekoliko manje očitih i rjeđe spominjanih točaka. Prvo, reviziji prema ovom standardu ne podliježe cijeli sustav informacijske sigurnosti banke, već samo jedna ili više njegovih komponenti. Na primjer, sigurnosni sustav daljinskog bankarstva, sigurnosni sustav glavnog ureda banke ili sigurnosni sustav procesa upravljanja osobljem. Drugim riječima, dobivanje potvrde o sukladnosti za jedan od procesa ocijenjenih u sklopu revizije ne jamči da su preostali procesi u istom stanju bliskom idealnom. Druga točka je povezana s činjenicom da je ISO 27001 univerzalna norma, odnosno primjenjiva na bilo koju organizaciju, te stoga ne uzima u obzir specifičnosti određene industrije. To je dovelo do toga da se u okviru međunarodne organizacije za standardizaciju ISO već dugo govori o izradi standarda ISO 27015, koji je prijevod ISO 27001/27002 za financijsku industriju. Banka Rusije također aktivno sudjeluje u razvoju ovog standarda. Međutim, Visa i MasterCard su protiv nacrta ovog standarda, koji je već razvijen. Prvi smatra da nacrt standarda sadrži premalo informacija potrebnih za financijsku industriju (na primjer, o sustavima plaćanja), a ako se ondje doda, standard treba prenijeti na drugi ISO odbor. MasterCard također predlaže da se zaustavi razvoj ISO 27015, ali motivacija je drugačija - kažu da je financijska industrija već puna dokumenata koji reguliraju temu informacijske sigurnosti. Treće, potrebno je obratiti pozornost da mnogi prijedlozi koji se nalaze na ruskom tržištu ne govore o reviziji usklađenosti, već o pripremi za reviziju. Činjenica je da samo nekoliko organizacija u svijetu ima pravo certificirati sukladnost sa zahtjevima ISO 27001. Integratori samo pomažu tvrtkama da ispune zahtjeve standarda, što će potom provjeriti službeni revizori (također se nazivaju registrari, certifikacijska tijela itd.). Dok se nastavlja rasprava o tome trebaju li banke implementirati ISO 27001 ili ne, neki se hrabri ljudi odlučuju za to i podvrgavaju se 3 stupnja revizije usklađenosti:

Preliminarno neformalno ispitivanje ključnih dokumenata od strane revizora (na i izvan mjesta klijenta revizije).
Formalna i dublja revizija provedenih zaštitnih mjera, procjena njihove učinkovitosti i studija razvijenih potrebne dokumente. Ova faza obično završava potvrdom usklađenosti, a revizor izdaje odgovarajući certifikat priznat u cijelom svijetu.
Provođenje godišnjeg inspekcijskog audita za potvrdu prethodno dobivenog certifikata o sukladnosti.

Kome treba ISO 27001 u Rusiji? Ako ovaj standard smatramo ne samo skupom najboljih praksi koje se mogu implementirati bez podvrgavanja reviziji, već i kao proces certificiranja koji označava potvrdu usklađenosti banke s međunarodno priznatim sigurnosnim zahtjevima, tada ISO 27001 ima smisla implementirati ili od strane banaka koje su članice međunarodnih bankarskih grupacija, gdje je standard ISO 27001, ili za banke koje planiraju izaći na međunarodnu scenu. U drugim slučajevima, audit usklađenosti s ISO 27001 i dobivanje certifikata, po mom mišljenju, nije potrebno. Ali samo za banku i samo u Rusiji. A sve zato što imamo vlastite standarde, izgrađene na temelju ISO 27001. De facto, inspekcije Banke Rusije provodile su se donedavno upravo u skladu sa zahtjevima STO BR IBBS.

Komplet dokumenata Banke Rusije STO BR IBBS

Takav standard, odnosno skup standarda, skup je dokumenata Banke Rusije koji opisuje jedinstveni pristup izgradnji sustava informacijske sigurnosti za bankarske organizacije uzimajući u obzir zahtjeve ruskog zakonodavstva. U srži ovaj skup dokumenata (u daljnjem tekstu STO BR IBBS), koji sadrže tri norme i pet preporuka za normizaciju, leži ISO 27001 i niz drugih međunarodnih normi za upravljanje informacijskom tehnologijom i informacijsku sigurnost. Pitanja revizije i ocjenjivanja usklađenosti sa zahtjevima standarda, kao i za ISO 27001, navedena su u posebnim dokumentima - „STO BR IBBS-1.1-2007. Revizija informacijske sigurnosti", "STO BR IBBS-1.2-2010. Metodologija za procjenu usklađenosti informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije sa zahtjevima STO BR IBBS-1.0-2010" i "RS BR IBBS-2.1-2007. Smjernice za samoprocjenu usklađenosti informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije sa zahtjevima STO BR IBBS-1.0.” Tijekom ocjene usklađenosti prema STO BR IBBS provjerava se provedba 423 indikatora privatne informacijske sigurnosti grupiranih u 34 grupna indikatora. Rezultat procjene je konačni pokazatelj, koji bi trebao biti na 4. ili 5. razini na ljestvici od pet točaka koju je uspostavila Banka Rusije. To, inače, uvelike razlikuje reviziju prema STO BR IBBS od revizije prema drugim propisima iz područja informacijske sigurnosti. U STO BR IBBS nema nedosljednosti, samo razina usklađenosti može biti različita: od nula do pet. I samo se razine iznad 4 smatraju pozitivnima. Do kraja 2011. otprilike 70-75% banaka implementiralo je ili je u procesu implementacije ovog skupa standarda. Unatoč svemu, one su de jure savjetodavne prirode, no de facto inspekcije Banke Rusije su se donedavno provodile upravo u skladu sa zahtjevima STO BR IBBS (iako to nigdje nikada nije eksplicitno navedeno). Situacija se promijenila od 1. srpnja 2012., kada je zakon "O nacionalnom platnom sustavu" i regulatorni dokumenti ruske vlade i Banke Rusije razvijeni za njegovu provedbu stupili na snagu. Od ovog trenutka ponovno se na dnevnom redu pojavilo pitanje potrebe provođenja revizije usklađenosti sa zahtjevima STO BR IBBS. Činjenica je da se metodologija za ocjenu usklađenosti, predložena u okviru zakonodavstva o nacionalnom platnom prometu (NPS), i metodologija za ocjenu usklađenosti sa STO BR IBBS mogu jako razlikovati u konačnim vrijednostima. Pritom je procjena prvom metodom (za NPS) postala obvezna, dok je procjena STO BR IBBS-om i dalje de jure preporučljive naravi. A u vrijeme pisanja, sama Banka Rusije još nije donijela odluku o budućoj sudbini ove procjene. Ako su se prije sve niti spajale u Glavnoj upravi za sigurnost i zaštitu informacija Banke Rusije (GUBZI), tada je podjela ovlasti između GUBZI-ja i Odjela za regulaciju naselja (LHH) još uvijek otvoreno pitanje. Već sada je jasno da zakonski akti o NPS zahtijevaju obveznu ocjenu sukladnosti, odnosno reviziju.

Propisi o nacionalnom platnom prometu

Zakonodavstvo o NPS-u tek je u zoru svog formiranja, a čekaju nas mnogi novi dokumenti, uključujući i one o pitanjima osiguranja informacijske sigurnosti. Ali već je jasno da Uredba 382-P, izdana i odobrena 9. lipnja 2012., „O zahtjevima za osiguravanje zaštite podataka prilikom prijenosa Novac i o postupku za Banku Rusije da prati usklađenost sa zahtjevima za sigurnost informacija prilikom prijenosa novca” zahtijeva u stavku 2.15 obveznu procjenu usklađenosti, odnosno reviziju. Takva se procjena provodi neovisno ili uz sudjelovanje trećih strana. Kao što je gore spomenuto, ocjenjivanje sukladnosti provedeno u okviru 382-P u biti je slično onome što je opisano u metodologiji ocjenjivanja sukladnosti STO BR IBBS, ali daje potpuno drugačije rezultate, što je povezano s uvođenjem posebnih faktora korekcije, koji određuju različite rezultate. Nijedan posebni zahtjevi Uredba 382-P ne primjenjuje se na organizacije uključene u reviziju, što je u suprotnosti s Vladinom Uredbom br. 584 od 13. lipnja 2012. „O zaštiti informacija u platnom sustavu“, koja također zahtijeva organizaciju i provođenje nadzora te procjena usklađenosti sa zahtjevima zaštite informacija jednom svake 2 godine. Međutim, Vladina Uredba koju je izradio FSTEC zahtijeva da vanjske revizije provode samo organizacije ovlaštene za rad u tehničkoj zaštiti povjerljivih informacija. Dodatni zahtjevi koje je teško klasificirati kao jedan oblik revizije, ali koji nameću nove odgovornosti bankama, navedeni su u odjeljku 2.16 Uredbe 382-P. Sukladno ovim zahtjevima, operator platnog sustava dužan je razviti, a banke koje su pristupile ovom platnom sustavu obvezne su ispuniti zahtjeve za redovitim informiranjem operatora platnog sustava o različitim pitanjima informacijske sigurnosti u banci: o usklađenosti sa zahtjevima informacijske sigurnosti; , o identificiranim incidentima, o provedenim samoprocjenama, o identificiranim prijetnjama i ranjivostima. Uz reviziju koja se provodi na ugovornoj osnovi, Savezni zakon br. 161 o NPS-u također utvrđuje da se provodi kontrola i nadzor usklađenosti sa zahtjevima koje je utvrdila Vlada Ruske Federacije u Rezoluciji 584 i Banka Rusije u Uredbi 382. od strane FSB FSTEC i Banke Rusije. U vrijeme pisanja ovog teksta, ni FSTEC ni FSB nisu imali razvijenu proceduru za provođenje takvog nadzora, za razliku od Banke Rusije, koja je izdala Uredbu br. 380-P od 31. svibnja 2012. „O postupku praćenja nacionalnog platnog sustava“ (za kreditne institucije) i Uredbe od 9. lipnja 2012. br. 381-P „O postupku nadzora usklađenosti operatora platnih sustava i operatera usluga platne infrastrukture koji nisu kreditne institucije sa zahtjevima Saveznog zakona od 27. lipnja 2011. br. 161-FZ "O nacionalnom platnom sustavu" usvojenom u skladu s propisima Banke Rusije." Regulatorni akti iz područja zaštite informacija u nacionalnom platnom prometu tek su na početku detaljne izrade. 1. srpnja 2012. Banka Rusije počela ih je testirati i prikupljati činjenice o praksi provedbe zakona. Stoga je danas preuranjeno govoriti o tome kako će se ti propisi primjenjivati, kako će se provoditi nadzor prema 380-P, kakvi će se zaključci donositi na temelju rezultata samoprocjene koja se provodi svake 2 godine i šalje Banci. Rusije.

PCI DSS sigurnosni standard platnih kartica

Payment Card Industry Data Security Standard (PCI DSS) je standard sigurnosti podataka o platnim karticama razvijen od strane Payment Card Industry Security Standards Council (PCI SSC), a koji su uspostavili međunarodni sustavi plaćanja Visa, MasterCard, American Express, JCB i Discover. PCI DSS standard je skup od 12 visokih i preko 200 detaljnih zahtjeva za osiguranje sigurnosti podataka o vlasnicima platnih kartica koji se prenose, pohranjuju i obrađuju u informacijskim sustavima organizacija. Zahtjevi standarda odnose se na sve tvrtke koje rade s međunarodnim sustavima plaćanja Visa i MasterCard. Ovisno o broju obrađenih transakcija, svakoj tvrtki se dodjeljuje određena razina s pripadajućim skupom zahtjeva koje te tvrtke moraju ispuniti. Te se razine razlikuju ovisno o sustavu plaćanja. Uspješno prolaženje revizije ne znači da je sa sigurnošću u banci sve u redu - postoje mnogi trikovi koji revidiranoj organizaciji omogućuju da sakrije neke nedostatke u svom sigurnosnom sustavu. Provjera usklađenosti sa zahtjevima standarda PCI DSS provodi se u okviru obvezne certifikacije, čiji se zahtjevi razlikuju ovisno o vrsti poduzeća koje se kontrolira - trgovac i uslužno poduzeće koje prihvaća platne kartice za plaćanje robe i usluga , ili pružatelj usluga koji pruža usluge trgovcima i bankama prihvatiteljima, izdavateljima itd. (centri za obradu, pristupnici plaćanja itd.). Ova procjena može imati različite oblike:

godišnje revizije od strane akreditiranih tvrtki sa statusom kvalificiranih sigurnosnih procjenitelja (QSA);
godišnje samoocjenjivanje;
tromjesečno skeniranje mreže uz pomoć ovlaštenih organizacija sa statusom Approved Scanning Vendor (ASV).

Zakonodavstvo o osobnim podacima

Najnoviji regulatorni dokument, također relevantan za bankarsku industriju i uspostavljanje zahtjeva za ocjenu sukladnosti, je Savezni zakon "O osobnim podacima". Međutim, niti oblik takve revizije, niti njezina učestalost, niti zahtjevi za organizaciju koja provodi takvu reviziju još uvijek nisu utvrđeni. Možda će se ovo pitanje riješiti u jesen 2012., kada bude objavljena sljedeća serija dokumenata Vlade Ruske Federacije, FSTEC-a i FSB-a, koji uvode nove standarde u području zaštite osobnih podataka. U međuvremenu, banke mogu mirno spavati i samostalno odrediti specifičnosti revizije pitanja zaštite osobnih podataka. Kontrolu i nadzor nad provedbom organizacijskih i tehničkih mjera za osiguranje sigurnosti osobnih podataka utvrđenih člankom 19. 152-FZ provode FSB i FSTEC, ali samo za državne informacijske sustave osobnih podataka. Prema zakonu, nema tko vršiti nadzor nad komercijalnim organizacijama u području osiguravanja informacijske sigurnosti osobnih podataka. Isto se ne može reći o pitanjima zaštite prava subjekata osobnih podataka, odnosno klijenata, ugovornih strana i jednostavno posjetitelja banke. Taj je zadatak preuzeo Roskomnadzor, koji vrlo aktivno obavlja svoje nadzorne funkcije i banke smatra jednim od najgorih prekršitelja zakona o osobnim podacima.

Završne odredbe

Gore su razmotreni glavni propisi u području informacijske sigurnosti koji se odnose na kreditne institucije. Postoji mnogo ovih propisa, a svaki od njih uspostavlja vlastite zahtjeve za provođenje ocjene sukladnosti u ovom ili onom obliku - od samoocjenjivanja u obliku ispunjavanja upitnika (PCI DSS) do prolaska obvezne revizije jednom svake dvije godine ( 382-P) ili jednom godišnje (ISO 27001). Između ovih najčešćih oblika procjene usklađenosti postoje i drugi - obavijesti operatera platnog sustava, tromjesečna skeniranja itd. Također je vrijedno zapamtiti i razumjeti da zemlji još uvijek nedostaje jedinstveni sustav pogleda ne samo na Vladina uredba procesi revizije informacijske sigurnosti organizacija i informacijsko-tehnoloških sustava, ali i sama tema revizije informacijske sigurnosti općenito. U Ruskoj Federaciji postoji niz odjela i organizacija (FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC, itd.) odgovornih za informacijsku sigurnost. I svi oni rade na temelju svojih propisa i smjernica. Različiti pristupi, različiti standardi, različite razine zrelost... Sve to smeta uspostavljanju jedinstvenih pravila igre. Sliku kvari i pojava preletačkih tvrtki koje u jurnjavi za profitom nude vrlo nekvalitetne usluge u području procjene usklađenosti sa zahtjevima informacijske sigurnosti. I malo je vjerojatno da će se situacija promijeniti na bolje. Bude li potreba, bit će i onih koji će joj udovoljiti, dok kvalificiranih revizora jednostavno nema dovoljno za sve. Uz njihov mali broj (prikazano u tablici) i trajanje revizije od nekoliko tjedana do nekoliko mjeseci, očito je da potrebe za revizijom ozbiljno nadilaze mogućnosti revizora. U „Konceptu revizije informacijske sigurnosti sustava i organizacija informacijske tehnologije“, koji FSTEC nikada nije usvojio, postojao je sljedeći izraz: „istodobno, u nedostatku potrebnih nacionalnih regulatora, takve aktivnosti / neregulirane revizije od strane privatne tvrtke / mogu nanijeti nepopravljivu štetu organizacijama.” Zaključno, autori Koncepta su predložili da se ujednače pristupi reviziji i zakonski utvrde pravila igre, uključujući pravila za akreditaciju revizora, zahtjeve za njihovu osposobljenost, revizijske postupke i sl., ali stvari i dalje stoje. Iako, s obzirom na pozornost koju domaći regulatori u području informacijske sigurnosti (a imamo ih 9) posvećuju pitanjima informacijske sigurnosti (samo u protekloj kalendarskoj godini donesena su ili izrađena 52 propisa o pitanjima informacijske sigurnosti - jedan propis tjedno, !), ne isključujem da će se ova tema uskoro ponovno vratiti.

STANDARDI REVIZIJE INFORMACIJSKE SIGURNOSTI

U takvim uvjetima, nažalost, moramo priznati da je glavni cilj revizije informacijske sigurnosti banke – povećanje povjerenja u njezine aktivnosti – nedostižan u Rusiji. Rijetki naši klijenti banke obraćaju pozornost na razinu njezine sigurnosti ili na rezultate revizije provedene u banci. Reviziji se obraćamo ili u slučaju utvrđivanja vrlo ozbiljnog incidenta koji je doveo do ozbiljne materijalne štete za banku (ili njezine dioničare i vlasnike), ili u slučaju zakonskih zahtjeva, od kojih, kao što je gore prikazano, imamo puno. I sljedećih šest mjeseci, zahtjev br. 1, za koji vrijedi obratiti pozornost na reviziju sigurnosti, je propis Banke Rusije 382-P. Već postoje prvi presedani za zahtjeve izvana teritorijalni odjeli Središnja banka informacija o razini sigurnosti banaka i usklađenosti sa zahtjevima 382-P, a te informacije se dobivaju upravo kao rezultat vanjska revizija ili samoprocjena. Na drugo mjesto stavio bih reviziju poštivanja zahtjeva iz Zakona o osobnim podacima. Ali takvu reviziju treba provesti najkasnije u proljeće, kada će svi dokumenti koje su obećali FSTEC i FSB biti objavljeni i kada sudbina STO BR IBBS postane jasna. Tada će biti moguće pokrenuti pitanje provođenja revizije usklađenosti sa zahtjevima STO BR IBBS. Postat će jasno ne samo budućnost kompleksa dokumenata Banke Rusije, već i njegov status u odnosu na sličan, ali ipak drugačiji 382-P, kao i hoće li STO BR IBBS nastaviti pokrivati pitanja zaštite osobnih podataka . Uspješno prolaženje revizije ne znači da je sa sigurnošću u banci sve u redu - postoje mnogi trikovi koji revidiranoj organizaciji omogućuju da sakrije neke nedostatke u svom sigurnosnom sustavu. A puno toga ovisi o kvalifikacijama i neovisnosti revizora. Iskustvo proteklih godina pokazuje da čak iu organizacijama koje su uspješno prošle audit usklađenosti sa standardima PCI DSS, ISO 27001 ili STO BR IBBS, dolazi do incidenata, i to ozbiljnih incidenata.

MIŠLJENJE STRUČNJAKA

Dmitrij Markin, voditelj odjela za reviziju i savjetovanje AMT-GROUP:

Donedavno su pitanja prolaska obvezne revizije statusa informacijske sigurnosti za kreditne institucije u okviru ruskog zakonodavstva bila regulirana samo Saveznim zakonom-152 „O osobnim podacima” u smislu unutarnje kontrole nad mjerama poduzetim za osiguranje sigurnost osobnih podataka, kao i Uredbom Središnje banke Ruske Federacije br. 242-P „O organizaciji interne kontrole u kreditnim institucijama i bankarskim grupama.” Štoviše, u skladu sa zahtjevima Uredbe br. 242-P, postupak praćenja podrške informacijskoj sigurnosti utvrđuje se neovisno internim dokumentima kreditne organizacije bez pozivanja na posebne zahtjeve za podršku informacijskoj sigurnosti. U vezi sa stupanjem na snagu članka 27. Saveznog zakona br. 161 "O nacionalnom platnom sustavu", koji definira zahtjeve za zaštitu podataka u platnom sustavu, Uredba Vlade Ruske Federacije br. 584 „O odobrenju Pravilnika o zaštiti informacija u platnom sustavu” i Pravilnika Središnje banke objavljeni su RF br. 382-P. Prema zahtjevima Rezolucije br. 584 i Uredbe br. 382-P, zaštita informacija u platnom sustavu mora se provoditi u skladu sa zahtjevima ovih propisa i zahtjevima koje operateri platnog sustava uključuju u pravila plaćanja sustava. Ključna točka ovdje je konsolidacija na razini nacionalnog zakonodavstva prava operatera platnih sustava (na primjer, Visa i MasterCard) da samostalno utvrđuju zahtjeve za zaštitu informacija. Uredba br. 382-P također utvrđuje obvezu kreditnih institucija da najmanje jednom svake 2 godine ocjenjuju usklađenost sa zahtjevima informacijske sigurnosti, jasno definira metodologiju za ocjenu usklađenosti, kriterije revizije i postupak dokumentiranja njezinih rezultata. Po našem mišljenju, pojava gore navedenih propisa trebala bi povećati statistiku certificiranja kreditnih institucija prema zahtjevima standarda sigurnosti podataka industrije platnih kartica PCI DSS 2.0, koji je razvijen uz sudjelovanje vodećih međunarodnih platnih sustava Visa i MasterCard.

Mnogi su vjerojatno postavili pitanje "kako provesti reviziju informacijske sigurnosti?" gdje početi? koju tehniku trebam koristiti? postoji li specijalizirani softver za to? koji besplatni programi ima li za ovo?

Danas ćemo vam predstaviti proizvod iz Microsoft koji vam omogućuje reviziju informacija Microsoftova sigurnost Alat za procjenu sigurnosti (MSAT). Proizvod vam omogućuje prepoznavanje rizika informacijske sigurnosti u postojećem sustavu i pružanje preporuka za njihovo uklanjanje. Prema kreatorima, aplikacija je dizajnirana za organizacije s manje od 1000 zaposlenika, a također će vam pomoći da bolje razumijete osoblje, procese, resurse i tehnologije s ciljem osiguravanja učinkovitog planiranja sigurnosnih aktivnosti i implementacije metoda smanjenja rizika u organizacija. Najbolje od svega, aplikacija je besplatna i može se preuzeti s web stranice razvojnog programera. Ovaj proizvod se može koristiti kao upitnik za IT stručnjake, HR i stručnjake za informacijsku sigurnost.

Tijekom postupka procjene rizika, na temelju odgovora na pitanja, IT okruženje će se provjeravati na glavna područja informacijske sigurnosti prijetnji. Evaluacija koristi koncept dubinske obrane (DiD) za određivanje učinkovitosti sigurnosne strategije. Koncept "dubinske obrane" odnosi se na provedbu višeslojne obrane, uključujući tehničke, organizacijske i operativne kontrole. Alat za procjenu temelji se na općeprihvaćenim standardima i najboljim praksama osmišljenim za smanjenje rizika u sustavima informacijske tehnologije. Proces procjene može se ponavljati i također se može koristiti za provjeru napretka prema organizacijskim sigurnosnim ciljevima u IT infrastrukturi.

Da biste identificirali sigurnosne prijetnje u IT sustavu vaše organizacije, posebna područja analize će procijeniti politike u vezi s rizikom za poslovanje, tehnologiju, procese i ljude. Nakon što procjena bude dovršena, dat će se preporuke za upravljanje tim rizicima na temelju najbolje prakse priznate u industriji. Ove preporuke imaju za cilj pružiti preliminarne upute pomoći vašoj organizaciji u implementaciji najbolje IT prakse priznate u industriji.

Procjena rizika sastoji se od dva dijela: profila poslovnog rizika (BRP) i procjene (sadrži četiri područja analize). PSR predstavljaju uobičajene opasnosti s kojima se tvrtka suočava. Nakon što se ova procjena završi, ostaje nepromijenjena sve dok se ne izvrše temeljne promjene u IT sustavu tvrtke. Možete ispuniti i spremiti više procjena. Ove se procjene mogu i trebaju mijenjati s vremenom kako se uvode napredne sigurnosne mjere.

Pa da vidimo, prvo napravite profil:

I ispunite odgovore na pitanja; dok ih ispunjavate, gumbi postaju zeleni:

Nakon popunjavanja prvog bloka pitanja o parametrima tvrtke kliknite na: “Kreiranje nove procjene”

Nakon toga ispunjavamo pitanja o IT infrastrukturi, upravljanju kadrovima i poslovnim procesima:

Nakon odgovora pričekajte ikonu “Izvješća”.

Izvješće se može spremiti kao *.docs ili pogledati u aplikaciji. Čitamo sve zaključke, dajemo preporuke temeljene na najboljim svjetskim praksama i prezentiramo ih menadžmentu kako bismo dogovorili plan rada ili opravdali nabavku opreme za informacijsku sigurnost)))))

Do danas automatizirani sustavi(AS) igraju ključnu ulogu u osiguravanju učinkovitog izvođenja poslovnih procesa komercijalnih i državnih poduzeća. U isto vrijeme široku upotrebu AS za pohranu, obradu i prijenos informacija dovodi do povećanja važnosti problema povezanih s njihovom zaštitom. To potvrđuje činjenica da je u posljednjih nekoliko godina, kako u Rusiji tako iu vodećim stranim zemljama, postojala tendencija povećanja broja informacijskih napada, što je dovelo do značajnih financijskih i materijalnih gubitaka. U cilju jamstva učinkovitu zaštitu od informacijskih napada kibernetičkih kriminalaca, tvrtke moraju imati objektivnu procjenu trenutne razine sigurnosti svojih sustava. U te svrhe koristi se revizija sigurnosti, čiji se različiti aspekti razmatraju u okviru ovog članka.

1. Što je revizija sigurnosti?

Unatoč činjenici da trenutno ne postoji utvrđena definicija sigurnosne revizije, generalno se može predstaviti kao proces prikupljanja i analize informacija o AS-u potrebnih za naknadnu kvalitativnu ili kvantitativnu procjenu razine zaštite od napada uljeza. Postoji mnogo slučajeva u kojima je prikladno provesti reviziju sigurnosti. Ovdje su samo neki od njih:

revizija AS-a radi pripreme tehničkih specifikacija za projektiranje i razvoj sustava informacijske sigurnosti;
revizija postrojenja nakon implementacije sigurnosnog sustava radi procjene razine njegove učinkovitosti;
revizija usmjerena na dovođenje trenutni sustav sigurnost u skladu sa zahtjevima ruskog ili međunarodnog zakonodavstva;
revizija osmišljena da sistematizira i usmjeri postojeće mjere informacijske sigurnosti;
revizija za istraživanje incidenta koji uključuje kršenje informacijske sigurnosti.

Za provođenje revizije u pravilu se angažiraju vanjske tvrtke koje pružaju konzultantske usluge u području informacijske sigurnosti. Inicijator postupka revizije može biti uprava poduzeća, služba za automatizaciju ili služba za informacijsku sigurnost. U nekim slučajevima, revizije se također mogu provesti na zahtjev osiguravajućih društava ili regulatornih tijela. Reviziju sigurnosti provodi skupina stručnjaka čiji broj i sastav ovisi o ciljevima i zadacima izvida, kao i složenosti predmeta koji se procjenjuje.

2. Vrste revizija sigurnosti

Trenutno se mogu razlikovati sljedeće glavne vrste revizije informacijske sigurnosti:

stručni sigurnosni audit, tijekom kojeg se utvrđuju nedostaci u sustavu mjera informacijske sigurnosti na temelju postojećeg iskustva stručnjaka koji sudjeluju u postupku ispitivanja;
ocjenu usklađenosti s preporukama međunarodne norme ISO 17799, kao i zahtjevima upravljačkih dokumenata FSTEC-a (Državna tehnička komisija);
instrumentalna analiza sigurnosti AS-a usmjerena na prepoznavanje i uklanjanje ranjivosti softvera i hardvera sustava;
sveobuhvatnu reviziju, koja uključuje sve gore navedene oblike istraživanja.

Svaka od navedenih vrsta revizije može se provoditi zasebno ili u kombinaciji, ovisno o zadacima koje poduzeće treba riješiti. Predmet revizije može biti kako automatizirani sustav tvrtke u cjelini, tako i njegovi pojedinačni segmenti u kojima se provodi obrada informacija koje su predmet zaštite.

3. Opseg rada za provođenje sigurnosne revizije

Općenito, revizija sigurnosti, bez obzira na oblik provedbe, sastoji se od četiri glavne faze, od kojih svaka uključuje provedbu određenog niza zadataka (slika 1).

Slika 1: Glavne faze rada pri provođenju sigurnosne revizije

U prvoj fazi, zajedno s Kupcem, razvijaju se propisi koji utvrđuju sastav i postupak za izvođenje radova. Glavna zadaća pravilnika je određivanje granica unutar kojih će se izvid provoditi. Pravilnik je dokument koji vam omogućuje da izbjegnete međusobna potraživanja nakon završetka revizije, jer jasno definira odgovornosti stranaka. Propisi u pravilu sadrže sljedeće osnovne podatke:

sastav radnih skupina Izvođača i Naručitelja koje sudjeluju u procesu revizije;
popis informacija koje će se dostaviti izvođaču za reviziju;
popis i lokaciju kupčevih objekata koji su predmet revizije;
popis resursa koji se smatraju predmetima zaštite (informacijski resursi, programski resursi, fizički resursi i dr.);
model prijetnje informacijskoj sigurnosti na temelju kojeg se provodi revizija;
kategorije korisnika koji se smatraju potencijalnim prekršiteljima;
postupak i vrijeme provođenja instrumentalnog pregleda automatiziranog sustava Naručitelja.

U drugoj fazi, u skladu s dogovorenim propisima, prikupljaju se početne informacije. Metode prikupljanja informacija uključuju intervjuiranje zaposlenika Naručitelja, ispunjavanje upitnika, analizu dostavljene organizacijske, administrativne i tehničke dokumentacije te korištenje specijaliziranih alata.

Treća faza rada uključuje analizu prikupljenih informacija kako bi se procijenila trenutna razina sigurnosti AS-a Korisnika. Na temelju rezultata analize, u četvrtoj fazi, razvijaju se preporuke za povećanje razine zaštite AS-a od prijetnji informacijskoj sigurnosti.

U nastavku detaljnije razmatramo faze revizije vezane uz prikupljanje informacija, njihovu analizu i izradu preporuka za povećanje razine zaštite postrojenja.

4. Prikupljanje početnih podataka za reviziju

Kvaliteta provedenog sigurnosnog audita uvelike ovisi o potpunosti i točnosti informacija dobivenih tijekom prikupljanja početnih podataka. Stoga bi informacije trebale uključivati: postojeću organizacijsku i administrativnu dokumentaciju vezanu uz pitanja informacijske sigurnosti, podatke o softveru i hardveru AS-a, podatke o sigurnosnim mjerama instaliranim u AS-u itd. Više detaljan popis početni podaci prikazani su u tablici 1.

Tablica 1: Popis početnih podataka potrebnih za provedbu sigurnosne revizije

№	Vrsta informacije	Opis sastava izvornih podataka
1	Organizacijska i upravna dokumentacija o pitanjima informacijske sigurnosti	1. Politika informacijske sigurnosti AS-a; 2. upravni akti (naredbe, upute, upute) o pitanjima čuvanja, pristupa i prijenosa informacija; 3. pravila za rad korisnika s AS informacijskim resursima.
2	Informacije o hardveru glavnog računala	1. popis poslužitelja, radnih stanica i komunikacijske opreme instalirane u AS; 2. podatke o hardverskoj konfiguraciji poslužitelja i radnih stanica; 3. informacije o periferne opreme ugrađen u zvučnik.
3	Informacije o softveru za cijeli sustav	1. podatke o operativnim sustavima instaliranim na radnim stanicama i AS poslužiteljima; 2. podatke o DBMS-u instaliranom u AS.
4	Informacije o aplikacijskom softveru	1. popis aplikativnog softvera opće i posebne namjene instaliranog u sustavu; 2. opis funkcionalnih zadataka koji se rješavaju pomoću aplikativnog softvera instaliranog u sustavu.
5	Podaci o zaštitnoj opremi ugrađenoj u zvučnike	1. podatke o proizvođaču zaštitne opreme; 2. konfiguracijske postavke sigurnosnog alata; 3. dijagram ugradnje zaštitne opreme.
6	Informacije o topologiji zvučnika	1. karta lokalne računalne mreže, uključujući dijagram raspodjele poslužitelja i radnih stanica po mrežnim segmentima; 2. podatke o vrstama komunikacijskih kanala koji se koriste u AS-u; 3. podaci o korištenim zvučnicima mrežni protokoli; 4. dijagram informacijskih tokova AS-a.

Kao što je gore navedeno, početno prikupljanje podataka može se provesti pomoću sljedećih metoda:

intervjuiranje zaposlenika Naručitelja koji imaju potrebne informacije. U ovom slučaju, intervjui se obično provode s tehničkim stručnjacima i predstavnicima uprave tvrtke. Popis pitanja o kojima se planira raspravljati tijekom intervjua dogovara se unaprijed;
pružanje upitnika o određenim temama, koje samostalno ispunjavaju zaposlenici Kupca. U slučajevima kada prezentirani materijali ne odgovaraju u potpunosti na potrebna pitanja, provode se dodatni intervjui;
analiza postojeće organizacijske i tehničke dokumentacije koju koristi Naručitelj;
korištenje specijaliziranog softvera koji vam omogućuje dobivanje potrebnih informacija o sastavu i postavkama softvera i hardvera kupčevog automatiziranog sustava. Na primjer, tijekom postupka revizije mogu se koristiti sustavi sigurnosne analize (Sigurnosni skeneri), koji vam omogućuju da napravite popis dostupnih mrežnih resursa i identificirate ranjivosti u njima. Primjeri takvih sustava su Internet Scanner (poduzeće ISS) i XSpider (poduzeće Positive Technologies).

5. Ocjena stupnja sigurnosti NEK

Nakon prikupljanja potrebnih informacija, iste se analiziraju kako bi se procijenila trenutna razina sigurnosti sustava. U procesu takve analize utvrđuju se rizici informacijske sigurnosti kojima tvrtka može biti izložena. Zapravo, rizik je integralna procjena koliko učinkovito postojeće sigurnosne mjere mogu odoljeti informacijskim napadima.

Obično postoje dvije glavne skupine metoda za izračun sigurnosnih rizika. Prva skupina omogućuje vam da utvrdite razinu rizika procjenom stupnja usklađenosti s određenim skupom zahtjeva za informacijsku sigurnost. Izvori takvih zahtjeva mogu biti (slika 2):

Regulatorni dokumenti poduzeća koji se odnose na pitanja informacijske sigurnosti;
Zahtjevi važećeg ruskog zakonodavstva - smjernice FSTEC-a (Državna tehnička komisija), STR-K, zahtjevi FSB-a Ruske Federacije, GOST-ovi itd.;
Preporuke međunarodnih normi - ISO 17799, OCTAVE, CoBIT i dr.;
Preporuke tvrtki za proizvodnju softvera i hardvera - Microsoft, Oracle, Cisco itd.

Slika 2: Izvori zahtjeva informacijske sigurnosti na temelju kojih se može provesti procjena rizika

Druga skupina metoda za procjenu rizika informacijske sigurnosti temelji se na utvrđivanju vjerojatnosti nastanka napada, kao i razine njihove štete. U u ovom slučaju vrijednost rizika izračunava se zasebno za svaki napad i općenito se prikazuje kao umnožak vjerojatnosti napada i iznosa moguće štete od tog napada. Vrijednost štete utvrđuje vlasnik informacijskog izvora, a vjerojatnost napada izračunava skupina stručnjaka koja provodi postupak revizije.

Metode prve i druge skupine mogu koristiti kvantitativne ili kvalitativne ljestvice za određivanje količine rizika informacijske sigurnosti. U prvom slučaju rizik i svi njegovi parametri izraženi su brojčanim vrijednostima. Tako, na primjer, kada se koriste kvantitativne ljestvice, vjerojatnost napada može se izraziti kao broj u intervalu, a šteta od napada može se specificirati kao novčani ekvivalent materijalnih gubitaka koje organizacija može pretrpjeti ako napad je uspješan. Kada se koriste kvalitativne ljestvice, numeričke vrijednosti zamjenjuju se ekvivalentnim konceptualnim razinama. U tom će slučaju svaka konceptualna razina odgovarati određenom intervalu kvantitativne ljestvice ocjena. Broj razina može varirati ovisno o korištenim tehnikama procjene rizika. Tablice 2 i 3 daju primjere kvalitativnih ljestvica procjene rizika informacijske sigurnosti, koje koriste pet konceptualnih razina za procjenu razina štete i vjerojatnosti napada.

Tablica 2: Kvalitativna ljestvica za procjenu stupnja oštećenja

№	Razina oštećenja	Opis
1	Manja oštećenja	Dovode do manjih gubitaka materijalne imovine koji se brzo nadoknađuju ili imaju manji utjecaj na reputaciju tvrtke
2	Umjereno oštećenje	Uzrokuje značajan gubitak materijalne imovine ili umjereni utjecaj na ugled tvrtke
3	Umjereno oštećenje	Dovodi do značajnih gubitaka materijalne imovine ili značajne štete za ugled tvrtke
4	Velika šteta	Uzrokuje velike gubitke materijalne imovine i nanosi veliku štetu ugledu poduzeća
5	Kritična šteta	Dovodi do kritičnih gubitaka materijalne imovine ili potpunog gubitka ugleda tvrtke na tržištu, što onemogućuje daljnje aktivnosti organizacije

Tablica 3: Kvalitativna ljestvica za procjenu vjerojatnosti napada

№	Razina vjerojatnosti napada	Opis
1	Vrlo nisko	Napad gotovo nikada neće biti izveden. Razina odgovara numeričkom intervalu vjerojatnosti
5	Vrlo visoko	Napad će gotovo sigurno biti izveden. Razina odgovara numeričkom intervalu vjerojatnosti (0,75, 1]

Pri korištenju kvalitativnih ljestvica za izračun razine rizika koriste se posebne tablice u kojima su u prvom stupcu navedene pojmovne razine štete, a u prvom retku razine vjerojatnosti napada. Ćelije tablice koje se nalaze na sjecištu prvog retka i stupca sadrže razinu sigurnosnog rizika. Dimenzija tablice ovisi o broju konceptualnih razina vjerojatnosti napada i štete. U nastavku je dan primjer tablice na temelju koje se može odrediti razina rizika.

Tablica 4: Primjer tablice za određivanje razine rizika informacijske sigurnosti

Mogućnost napada	Vrlo nisko	Niska	Prosjek	visoko	Vrlo visoko
Šteta	Vrlo nisko	Niska	Prosjek	visoko	Vrlo visoko
Mali šteta	Niski rizik	Niski rizik	Niski rizik	Srednji rizik	Srednji rizik
Umjereno šteta	Niski rizik	Niski rizik	Srednji rizik	Srednji rizik	Visokog rizika
Umjereno oštećenje	Niski rizik	Srednji rizik	Srednji rizik	Srednji rizik	Visokog rizika
Velik šteta	Srednji rizik	Srednji rizik	Srednji rizik	Srednji rizik	Visokog rizika
Kritično šteta	Srednji rizik	Visokog rizika	Visokog rizika	Visokog rizika	Visokog rizika

Pri proračunu vjerojatnosti napada, kao i razine moguće štete, mogu se koristiti statističke metode, metode ekspertne procjene ili elementi teorije odlučivanja. Statističke metode uključuju analizu već prikupljenih podataka o stvarnim incidentima koji se odnose na povrede informacijske sigurnosti. Na temelju rezultata ove analize donose se pretpostavke o vjerojatnosti napada i razinama štete od njih u drugim sustavima. Međutim, korištenje statističkih metoda nije uvijek moguće zbog nedostatka potpunih statističkih podataka o prethodno izvedenim napadima na informacijske resurse AS-a sličnog onome koji se procjenjuje.

Pri korištenju aparata stručnih procjena analiziraju se rezultati rada skupine stručnjaka kompetentnih u području informacijske sigurnosti, koji na temelju svog iskustva utvrđuju kvantitativne ili kvalitativne razine rizika. Elementi teorije odlučivanja omogućuju korištenje složenijih algoritama za obradu rezultata skupine stručnjaka za izračun vrijednosti sigurnosnog rizika.

U procesu provođenja sigurnosne revizije mogu se koristiti specijalizirani softverski sustavi za automatizaciju procesa analize izvornih podataka i izračuna vrijednosti rizika. Primjeri takvih kompleksa su “Grif” i “Condor” (tvrtke za digitalnu sigurnost), kao i “AvanGard” (Institut za analizu sustava Ruske akademije znanosti).

6. Rezultati sigurnosne revizije

U posljednjoj fazi revizije informacijske sigurnosti razvijaju se preporuke za poboljšanje organizacijske i tehničke podrške poduzeća. Takve preporuke mogu uključivati sljedeće vrste radnji čiji je cilj minimiziranje identificiranih rizika:

smanjenje rizika primjenom dodatnih organizacijskih i tehničkih sredstava zaštite kako bi se smanjila vjerojatnost napada ili smanjila moguća šteta od njega. Na primjer, instaliranje vatrozida na mjestu gdje se sustav spaja na Internet može značajno smanjiti vjerojatnost uspješnog napada na javne informacijske resurse sustava, kao što su web poslužitelji, poslužitelji pošte itd.;
izbjegavanje rizika promjenom arhitekture ili sheme protoka informacija AS-a čime se eliminira mogućnost izvođenja pojedinog napada. Na primjer, fizičkim isključivanjem AS segmenta u kojem se obrađuju povjerljive informacije s Interneta moguće je eliminirati napade na povjerljive informacije s ove mreže;
promjena prirode rizika kao rezultat poduzimanja mjera osiguranja. Primjeri takve promjene u prirodi rizika uključuju osiguranje opreme nuklearne elektrane ili osiguranje od požara izvori informacija od moguće povrede njihove povjerljivosti, cjelovitosti ili dostupnosti. Trenutno ruske tvrtke već nude usluge osiguranja informacijski rizici;
prihvaćanje rizika ako se smanji na razinu na kojoj ne predstavlja opasnost za postrojenje.

Izrađene preporuke u pravilu nisu usmjerene na potpuno uklanjanje svih identificiranih rizika, već samo na njihovo smanjenje na prihvatljivu rezidualnu razinu. Prilikom odabira mjera za povećanje razine zaštite AS-a, jedno temeljno ograničenje se uzima u obzir - trošak njihove provedbe ne smije premašiti trošak zaštićenih informacijskih resursa.

Na kraju postupka revizije, njegovi se rezultati formaliziraju u obliku dokumenta izvješća koji se dostavlja Naručitelju. Općenito, ovaj se dokument sastoji od sljedećih glavnih odjeljaka:

opis granica unutar kojih je provedena sigurnosna revizija;
opis Kupčeve AS strukture;
metode i alati koji su korišteni u procesu revizije;
opis identificiranih ranjivosti i nedostataka, uključujući njihovu razinu rizika;
preporuke za unapređenje cjelovitog sustava informacijske sigurnosti;
prijedloge plana provedbe prioritetnih mjera za minimiziranje identificiranih rizika.

7. Zaključak

Revizija informacijske sigurnosti danas je jedna od naj učinkoviti alati dobiti neovisnu i objektivnu procjenu trenutne razine sigurnosti poduzeća od prijetnji informacijskoj sigurnosti. Osim toga, rezultati revizije temelj su za formiranje strategije razvoja sustava informacijske sigurnosti organizacije.

Međutim, mora se shvatiti da revizija sigurnosti nije jednokratan postupak, već se mora provoditi redovito. Samo u ovom slučaju revizija će donijeti stvarne koristi i pomoći u poboljšanju razine informacijske sigurnosti tvrtke.

8. Literatura

Vikhorev S.V., Kobtsev R.Yu., Kako saznati odakle dolazi napad ili odakle dolazi prijetnja informacijskoj sigurnosti // Confident, br. 2, 2001.
Simonov S. Analiza rizika, upravljanje rizikom // Jet Info Newsletter br. 1(68). 1999. str. 1-28 (prikaz, stručni).
ISO/IEC 17799, Informacijska tehnologija – Kodeks prakse za upravljanje sigurnošću informacija, 2000
Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) – procjena sigurnosnog rizika – www.cert.org/octave.
Vodič za upravljanje rizikom za sustave informacijske tehnologije, NIST, posebna publikacija 800-30.

Danas svi znaju gotovo svetu rečenicu da onaj tko posjeduje informacije posjeduje svijet. Zato u naše vrijeme svi pokušavaju ukrasti. U tom smislu poduzimaju se dosad neviđeni koraci za uvođenje zaštite od mogućih napada. Međutim, ponekad može biti potrebno provesti reviziju poduzeća. Što je to i zašto je sve to potrebno? Pokušajmo sada shvatiti.

Što je revizija informacijske sigurnosti u općoj definiciji?

Sada se nećemo doticati nejasnih znanstvenih pojmova, već ćemo pokušati sami definirati osnovne pojmove, opisujući ih najjednostavnijim jezikom (popularno bi se to moglo nazvati revizijom za "lutke").

Naziv ovog skupa događaja govori sam za sebe. Revizija informacijske sigurnosti je neovisna provjera ili osiguranje sigurnosti informacijskog sustava (IS) bilo kojeg poduzeća, ustanove ili organizacije na temelju posebno razvijenih kriterija i pokazatelja.

Jednostavnim rječnikom, primjerice, revizija informacijske sigurnosti banke svodi se na procjenu razine zaštite baza podataka klijenata, tekućeg bankovnog poslovanja, sigurnosti elektroničkih sredstava, sigurnosti bankovne tajne itd. u slučaju uplitanja u aktivnosti ustanove od strane neovlaštenih osoba izvana korištenjem elektroničkih i računalnih sredstava.

Zasigurno će se među čitateljima naći barem netko tko je dobio poziv kod kuće ili na mobitel s ponudom da podnese zahtjev za kredit ili depozit, i to iz banke s kojom nije ni na koji način povezan. Isto vrijedi i za ponude kupnje iz nekih trgovina. Odakle ti broj?

Jednostavno je. Ako je osoba prethodno podigla kredit ili položila novac na depozitni račun, njegovi su podaci, naravno, bili spremljeni na jednom. Prilikom poziva iz druge banke ili trgovine može se izvući jedini zaključak: podaci o njemu nezakonito su dospjeli u treće ruke . Kako? Općenito, mogu se razlikovati dvije mogućnosti: ili je ukraden ili su ga zaposlenici banke svjesno prenijeli trećim osobama. Da se takve stvari ne bi događale, potrebno je pravovremeno provesti reviziju informacijske sigurnosti banke, a to se ne odnosi samo na računalne ili “hardverske” sigurnosne mjere, već na cjelokupno osoblje bankarske institucije.

Glavni pravci revizije informacijske sigurnosti

Što se tiče opsega primjene takve revizije, u pravilu postoji nekoliko razlika:

puna provjera objekti uključeni u procese informatizacije (računalni automatizirani sustavi, sredstva komunikacije, prijema, prijenosa i obrade informacijskih podataka, tehnička sredstva, prostori za povjerljive sastanke, sustavi nadzora i dr.);
provjera pouzdanosti zaštite povjerljivih podataka sa ograničen pristup(identifikacija mogućih kanala curenja i potencijalnih rupa u sigurnosnom sustavu, omogućavanje pristupa izvana standardnim i nestandardnim metodama);
provjera sve elektroničke tehničke opreme i lokalne računalni sustavi u pogledu utjecaja na njih elektromagnetska radijacija i savjete koji vam omogućuju da ih isključite ili učinite neupotrebljivima;
projektantski dio koji uključuje rad na izradi sigurnosnog koncepta i njegovoj primjeni u praksi (zaštita računalnih sustava, prostora, komunikacija i sl.).

Kada je potrebno provesti reviziju?

Da ne govorimo o kritičnim situacijama kada je zaštita već narušena, revizija informacijske sigurnosti u organizaciji može se provesti iu nekim drugim slučajevima.

U pravilu, to uključuje širenje poduzeća, spajanja, akvizicije, osnivanje od strane drugih poduzeća, promjene u konceptu poslovanja ili upravljanja, promjene u međunarodnom zakonodavstvu ili pravnim aktima unutar određene zemlje, te prilično ozbiljne promjene u informacijskoj infrastrukturi.

Vrste revizije

Danas sama klasifikacija ove vrste revizije, prema mnogim analitičarima i stručnjacima, nije utvrđena. Stoga podjela na klase u nekim slučajevima može biti vrlo uvjetna. Međutim, općenito, revizije informacijske sigurnosti mogu se podijeliti na vanjske i unutarnje.

Vanjska revizija, koju provode neovisni stručnjaci koji na to imaju pravo, obično je jednokratna inspekcija koju mogu pokrenuti uprava poduzeća, dioničari, agencije za provedbu zakona itd. Smatra se da je vanjsku reviziju informacijske sigurnosti preporučljivo (nije potrebno) provoditi redovito u određenom vremenskom razdoblju. Ali za neke organizacije i poduzeća, prema zakonu, to je obavezno (na primjer, financijske institucije i organizacije, dionička društva itd.).

Informacijska sigurnost je stalan proces. Temelji se na posebnom “Pravilniku o unutarnjoj reviziji”. Što je? U biti, to su događaji certifikacije koji se provode u organizaciji unutar vremenskog okvira koji je odobrila uprava. Revizije informacijske sigurnosti provode posebne strukturne jedinice poduzeća.

Alternativna klasifikacija vrsta revizije

Osim gore opisane podjele na klase u općem slučaju, možemo razlikovati još nekoliko komponenti usvojenih u međunarodnoj klasifikaciji:

stručna provjera stanja sigurnosti informacija i informacijskih sustava na temelju osobnog iskustva stručnjaka koji je provode;
certificiranje sustava i sigurnosnih mjera za usklađenost s međunarodnim standardima (ISO 17799) i državnim pravnim dokumentima koji reguliraju ovo područje djelatnosti;
analiza sigurnosti informacijskih sustava korištenjem tehničkih sredstava, usmjerena na identifikaciju potencijalnih ranjivosti u sklopu hardvera i softvera.

Ponekad se može koristiti takozvana sveobuhvatna revizija koja uključuje sve gore navedene vrste. Usput, on je taj koji daje najobjektivnije rezultate.

Postavljanje ciljeva i zadataka

Svaka revizija, interna ili eksterna, počinje postavljanjem ciljeva. Pojednostavljeno rečeno, treba odrediti zašto, što i kako će se provjeravati. To će unaprijed odrediti daljnju metodologiju provođenja cijelog procesa.

Dodijeljeni zadaci, ovisno o specifičnoj strukturi samog poduzeća, organizacije, institucije i njezinih djelatnosti, mogu biti brojni. Međutim, u svemu tome izdvajaju se jedinstveni ciljevi revizije informacijske sigurnosti:

procjena stanja sigurnosti informacija i informacijskih sustava;
analizu mogućih rizika povezanih s prijetnjom prodora u IP izvana, te moguće metode za provođenje takvog ometanja;
lokalizacija rupa i praznina u sigurnosnom sustavu;
analiza usklađenosti razine sigurnosti informacijskih sustava s važećim standardima i propisima;
izrada i izdavanje preporuka koje uključuju otklanjanje postojećih problema, kao i poboljšanje postojećih sredstava zaštite i uvođenje novih dostignuća.

Metodologija i sredstva provođenja revizije

Sada nekoliko riječi o tome kako se provjera odvija te koje faze i sredstva uključuje.

Provođenje revizije informacijske sigurnosti sastoji se od nekoliko glavnih faza:

pokretanje postupka revizije (jasno definiranje prava i odgovornosti revizora, izrada plana revizije od strane revizora i dogovor s menadžmentom, rješavanje pitanja granica studije, nametanje obveze zaposlenicima organizacije da pomognu i pravodobno pruže potrebne informacije);
prikupljanje inicijalnih podataka (struktura sigurnosnog sustava, raspodjela sigurnosnih sredstava, razine djelovanja sigurnosnog sustava, analiza načina dobivanja i pružanja informacija, određivanje komunikacijskih kanala i interakcija IS-a s drugim strukturama, hijerarhija korisnika računalne mreže, hijerarhija korisnika računalne mreže). definicija protokola, itd.);
provođenje cjelovitog ili djelomičnog inspekcijskog nadzora;
analiza primljenih podataka (analiza rizika bilo koje vrste i usklađenost sa standardima);
izdavanje preporuka za otklanjanje mogućih problema;
izrada izvještajne dokumentacije.

Prva faza je najjednostavnija, jer se odluka o njoj donosi isključivo između uprave poduzeća i revizora. O opsegu analize može se raspravljati na glavnoj skupštini zaposlenika ili dioničara. Sve se to u većoj mjeri odnosi na pravno područje.

Druga faza prikupljanja početnih podataka, bilo da se radi o internoj reviziji informacijske sigurnosti ili eksternoj neovisnoj certifikaciji, resursno je najintenzivnija. To je zbog činjenice da je u ovoj fazi potrebno ne samo proučiti tehničku dokumentaciju koja se odnosi na cijeli softverski i hardverski kompleks, već i provesti usko usmjerene intervjue zaposlenika tvrtke, au većini slučajeva čak i uz ispunjavanje posebnih upitnika. odnosno upitnike.

Što se tiče tehničke dokumentacije, važno je pribaviti podatke o strukturi informacijskog sustava i razinama prioriteta prava pristupa za zaposlenike, kako bi se odredila cjelokupnost sustava i aplikacija. softver(korišteni operativni sustavi, aplikacije za poslovanje, vođenje i računovodstvo), kao i instalirani softverski i nesoftverski zaštitni alati (antivirusi, vatrozidi i dr.). Osim toga, to uključuje potpunu provjeru mreža i pružatelja komunikacijskih usluga (organizacija mreže, protokoli koji se koriste za povezivanje, vrste komunikacijskih kanala, načini prijenosa i primanja tokova informacija i još mnogo toga). Kao što je već jasno, za to je potrebno dosta vremena.

U sljedećoj fazi utvrđuju se metode revizije informacijske sigurnosti. Ima ih tri:

analiza rizika (najsloženija tehnika koja se temelji na tome da revizor utvrđuje mogućnost prodora u IP i narušava njegov integritet koristeći sve moguće metode i sredstva);
procjena usklađenosti sa standardima i zakonodavstvom (najjednostavnija i najpraktičnija metoda, temeljena na usporedbi postojećeg stanja i zahtjeva međunarodnih normi i domaćih dokumenata iz područja informacijske sigurnosti);
kombinirana metoda koja kombinira prve dvije.

Nakon primitka rezultata ispitivanja počinje njihova analiza. Alati revizije informacijske sigurnosti koji se koriste za analizu mogu biti vrlo raznoliki. Sve ovisi o specifičnostima aktivnosti poduzeća, vrsti informacija, softveru koji se koristi, sigurnosnim alatima itd. Međutim, kao što se može vidjeti iz prve metode, revizor će se uglavnom morati osloniti na vlastito iskustvo.

To samo znači da mora imati odgovarajuće kvalifikacije u području informacijske tehnologije i zaštite podataka. Na temelju te analize revizor izračunava moguće rizike.

Imajte na umu da mora razumjeti ne samo operacijske sustave ili programe koji se koriste, primjerice, za poslovanje ili računovodstvo, već i jasno razumjeti kako napadač može prodrijeti u informacijski sustav s ciljem krađe, oštećenja i uništavanja podataka, stvarajući preduvjete za kršenja u radu računala, širenju virusa ili malwarea.

Na temelju analize stručnjak donosi zaključak o stanju zaštite te daje preporuke za otklanjanje postojećih ili mogućih problema, nadogradnju sigurnosnog sustava i sl. U isto vrijeme, preporuke ne bi trebale biti samo objektivne, već i jasno vezane uz specifične stvarnosti poduzeća. Drugim riječima, savjeti o nadogradnji računalnih konfiguracija ili softvera neće biti prihvaćeni. To se podjednako odnosi i na savjete o otpuštanju “nepouzdanih” zaposlenika, ugradnji novih sustava za praćenje bez posebnog navođenja njihove namjene, mjesta ugradnje i izvedivosti.

Na temelju analize u pravilu se razlikuje nekoliko skupina rizika. U ovom slučaju, za sastavljanje sažetog izvješća koriste se dva glavna pokazatelja: vjerojatnost napada i šteta koja je kao rezultat nastala tvrtki (gubitak imovine, pad ugleda, gubitak imidža itd.). Međutim, pokazatelji za skupine nisu isti. Tako je, na primjer, indikator niske razine za vjerojatnost napada najbolji. Za štetu je obrnuto.

Tek nakon toga se sastavlja izvješće u kojem se detaljno navode sve faze, metode i sredstva provedenog istraživanja. Dogovara se s upravom i potpisuju dvije strane - poduzeće i revizor. Ako je revizija unutarnja, takvo izvješće sastavlja voditelj odgovarajuće strukturne jedinice, nakon čega ga, opet, potpisuje voditelj.

Revizija informacijske sigurnosti: primjer

Na kraju, pogledajmo najjednostavniji primjer situacije koja se već dogodila. Usput, mnogima se može činiti vrlo poznatim.

Na primjer, određeni zaposlenik tvrtke koja se bavi nabavom u SAD-u instalirao je na svoje računalo ICQ glasnik(ime zaposlenika i naziv tvrtke nisu navedeni iz očitih razloga). Pregovori su vođeni upravo kroz ovaj program. Ali ICQ je prilično ranjiv u smislu sigurnosti. Prilikom registracije broja, djelatnik u tom trenutku ili nije imao e-mail adresu, ili je jednostavno nije htio dati. Umjesto toga, naznačio je nešto slično e-mailu, čak i s nepostojećom domenom.

Što bi napadač učinio? Kako je pokazala revizija informacijske sigurnosti, on bi registrirao točno istu domenu i u njoj napravio još jedan terminal za registraciju, nakon čega bi mogao poslati poruku tvrtki Mirabilis, koja je vlasnik usluge ICQ, sa zahtjevom za vraćanje lozinke do na njegov gubitak (što bi bilo učinjeno). Budući da poslužitelj primatelja nije bio mail server, na njemu je bio omogućen redirect - preusmjeravanje na postojeću poštu napadača.

Kao rezultat toga, on dobiva pristup korespondenciji s navedenim ICQ broj te obavještava dobavljača o promjeni adrese primatelja robe u određenoj zemlji. Tako se teret šalje na nepoznato odredište. A ovo je najbezazleniji primjer. Da, sitni huliganizam. Što tek reći za ozbiljnije hakere koji su sposobni puno više...

Zaključak

To je ukratko sve što se tiče revizija IP sigurnosti. Naravno, ovdje se ne dotiču svi njegovi aspekti. Jedini razlog je taj što na postavljanje zadataka i metode njegove provedbe utječu mnogi čimbenici, pa je pristup u svakom konkretnom slučaju strogo individualan. Osim toga, metode i sredstva revizije informacijske sigurnosti mogu se razlikovati za različite informacijske sustave. No, čini se da će opći principi takvih provjera mnogima postati jasni barem na početnoj razini.

Uvod

Revizija je oblik neovisne, neutralne kontrole bilo kojeg područja djelatnosti trgovačkog poduzeća, koji se široko koristi u praksi tržišnog gospodarstva, osobito u području računovodstva. Ne manje važan sa stajališta cjelokupnog razvoja poduzeća je njegova sigurnosna revizija, koja uključuje analizu rizika povezanih s mogućnošću sigurnosnih prijetnji, posebno u odnosu na informacijske resurse, procjenu trenutne razine sigurnosti informacija. sustavi (IS), lokalizacija uska grla u sustavu njihove zaštite, procjena usklađenosti IP-a s postojećim standardima u području informacijske sigurnosti te izrada preporuka za uvođenje novih i poboljšanje učinkovitosti postojećih sigurnosnih mehanizama IP-a.

Ako govorimo o glavnom cilju revizije informacijske sigurnosti, onda se može definirati kao procjena razine sigurnosti informacijskog sustava poduzeća kako bi se njime upravljalo u cjelini, uzimajući u obzir izglede za njegov razvoj.

U suvremenim uvjetima, kada informacijski sustavi prožimaju sva područja djelovanja poduzeća, a uzimajući u obzir potrebu njihove povezanosti s internetom, otvoreni su za implementaciju internih i vanjske prijetnje, problem informacijske sigurnosti postaje ništa manje važan od ekonomske ili fizičke sigurnosti.

Unatoč važnosti problema koji se razmatra za obuku stručnjaka za informacijsku sigurnost, on još nije uključen kao zaseban kolegij u postojeće obrazovni planovi a nije bila obrađena u udžbenicima i nastavnim pomagalima. To je bilo zbog nedostatka potrebnog regulatornog okvira, neobučenih stručnjaka i nedovoljno praktično iskustvo u području revizije informacijske sigurnosti.

Opća struktura rada uključuje sljedeći slijed razmatranih pitanja:

opisuje model za izgradnju sustava informacijske sigurnosti (IS) koji uzima u obzir prijetnje, ranjivosti, rizike i protumjere poduzete za njihovo smanjenje ili sprječavanje;

razmatraju se metode analize i upravljanja rizicima;

su postavljeni Osnovni koncepti reviziju sigurnosti i opisuje svrhe njezine provedbe;

analizira glavne međunarodne i ruske standarde koji se koriste u provođenju revizija informacijske sigurnosti;

prikazuje mogućnosti korištenja softvera za provođenje revizija informacijske sigurnosti;

Odabir opisane strukture udžbenika napravljen je s ciljem maksimalne usmjerenosti studenta na praktičnu upotrebu predmetnog gradiva, prvo, prilikom proučavanja predavanja, a drugo, prilikom polaganja proizvodne prakse(analiza stanja informacijske sigurnosti u poduzeću), treće, prilikom izrade kolegija i disertacija.

Predstavljeni materijal može biti koristan rukovoditeljima i zaposlenicima sigurnosnih službi i službi za zaštitu informacija poduzeća za pripremu i provođenje interne i opravdavanje potrebe eksterne revizije informacijske sigurnosti.

Poglavlje I. Revizija sigurnosti i metode za njezino provođenje

1 Koncept sigurnosne revizije

Audit je neovisno ispitivanje određenih područja funkcioniranja organizacije. Postoje eksterne i interne revizije. Eksterna revizija je u pravilu jednokratni događaj koji se provodi na inicijativu uprave ili dioničara organizacije. Preporuča se redovito provođenje vanjskih revizija, a npr. za mnoge financijske organizacije i dionička društva ovo je obvezan zahtjev od strane njihovih osnivača i dioničara. Unutarnja revizija je kontinuirana aktivnost koja se provodi na temelju “Pravilnika o unutarnjoj reviziji” iu skladu s planom čiju izradu provode jedinice zaštitarske službe, a odobrava uprava organizacije.

Ciljevi sigurnosne revizije su:

analiza rizika povezanih s mogućnošću sigurnosnih prijetnji u odnosu na resurse;

procjena trenutne razine IP sigurnosti;

lokalizacija uskih grla u sustavu IP zaštite;

ocjenu usklađenosti IP-a s postojećim standardima u području informacijske sigurnosti;

Reviziju sigurnosti poduzeća (tvrtke, organizacije) treba smatrati povjerljivim alatom za upravljanje koji isključuje, u svrhu zavjere, mogućnost davanja informacija o rezultatima svojih aktivnosti trećim stranama i organizacijama.

Za provođenje revizije sigurnosti poduzeća može se preporučiti sljedeći slijed radnji.

1. Priprema za reviziju sigurnosti:

izbor predmeta revizije (tvrtka, pojedinačne zgrade i prostori, pojedinačni sustavi ili njihove komponente);

sastavljanje tima stručnih revizora;

određivanje opsega i opsega revizije i utvrđivanje konkretnih vremenskih okvira za rad.

2.Provođenje revizije:

opća analiza stanja sigurnosti revidiranog objekta;

evidentiranje, prikupljanje i verifikacija statističkih podataka i rezultata instrumentalnih mjerenja opasnosti i prijetnji;

evaluacija rezultata inspekcije;

sastavljanje zapisnika o rezultatima pregleda za pojedine sastavnice.

3.Završetak revizije:

izrada završnog izvješća;

izrada akcijskog plana za otklanjanje uskih grla i nedostataka u osiguranju sigurnosti poduzeća.

Za uspješno provođenje sigurnosne revizije morate:

aktivno sudjelovanje uprave poduzeća u njegovoj provedbi;

objektivnost i neovisnost revizora (vještaka), njihova kompetentnost i visoka profesionalnost;

jasno strukturiran postupak provjere;

aktivno provođenje predloženih mjera za osiguranje i jačanje sigurnosti.

Revizija sigurnosti je pak učinkovit alat za procjenu sigurnosti i upravljanje rizicima. Sprječavanje sigurnosnih prijetnji znači i zaštitu gospodarskih, društvenih i informacijske interese poduzeća.

Iz ovoga možemo zaključiti da revizija sigurnosti postaje alat gospodarskog upravljanja.

Ovisno o količini analiziranih objekata poduzeća, određuje se opseg revizije:

-revizija sigurnosti cijelog poduzeća;

-revizija sigurnosti pojedinih građevina i prostora (namjenskih prostora);

-revizija opreme i tehničkih sredstava pojedinih vrsta i vrsta;

-revizija pojedine vrste i područja djelovanja: gospodarsko, ekološko, informacijsko, financijsko itd.

Treba naglasiti da se revizija ne provodi na inicijativu revizora, već na inicijativu uprave poduzeća, koja je glavna zainteresirana strana u ovom pitanju. Podrška menadžmenta poduzeća nužan je uvjet za provođenje revizije.

Revizija je skup aktivnosti u kojima su, osim samog revizora, uključeni predstavnici većine strukturnih odjela poduzeća. Radnje svih sudionika u ovom procesu moraju biti usklađene. Stoga se u fazi pokretanja postupka revizije moraju riješiti sljedeća organizacijska pitanja:

prava i odgovornosti revizora moraju biti jasno definirani i dokumentirani u njegovom opis posla, kao i u pravilniku o unutarnjoj (vanjskoj) reviziji;

revizor mora pripremiti i dogovoriti s upravom plan revizije;

Propisima o unutarnjoj reviziji posebno treba propisati da su zaposlenici poduzeća dužni pomagati revizoru i pružiti sve podatke potrebne za reviziju.

U fazi pokretanja postupka revizije moraju se odrediti granice istraživanja. Ako neki informacijski podsustavi poduzeća nisu dovoljno kritični, mogu se isključiti iz opsega istraživanja.

Drugi podsustavi možda neće biti podložni reviziji zbog zabrinutosti u vezi s povjerljivošću.

Granice istraživanja određene su u sljedećim kategorijama:

Popis pregledanih fizičkih, programskih i informacijskih izvora.

2.Mjesta (prostorije) koja ulaze u granice istraživanja.

3.Glavne vrste sigurnosnih prijetnji koje se razmatraju tijekom revizije.

4.Organizacijski (zakonodavni, administrativni i proceduralni), fizički, programski, hardverski i drugi aspekti sigurnosti koje je potrebno uzeti u obzir tijekom istraživanja te njihove prioritete (u kojoj mjeri ih treba uzeti u obzir).

Plan i granice revizije razmatraju se na radnom sastanku na kojem sudjeluju revizori, uprava društva i voditelji strukturnih odjela.

Za razumijevanje revizije informacijske sigurnosti kao složenog sustava, njen konceptualni model prikazan na Sl. 1.1. Ovdje su istaknute glavne komponente procesa:

predmet revizije:

svrha revizije:

Riža. 1.1. Konceptualni model revizija IS-a

zahtjevi;

korištene metode;

izvođači;

red ponašanja.

Sa stajališta organizacije rada pri provođenju revizije informacijske sigurnosti postoje tri temeljne faze:

1.prikupljanje informacija;

2.Analiza podataka;

2 Metode analize podataka tijekom revizije IS-a

Trenutno se koriste tri glavne metode (pristupi) provođenju revizije, koje se međusobno značajno razlikuju.

Prva metoda, najsloženija, temelji se na analizi rizika. Na temelju metoda analize rizika, revizor za ispitivani IS utvrđuje pojedinačni skup sigurnosnih zahtjeva, koji u najvećoj mjeri uzima u obzir karakteristike ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u tom okruženju. Ovaj pristup je najzahtjevniji i zahtijeva najviše kvalifikacije revizora. Na kvalitetu rezultata revizije, u ovom slučaju, snažno utječe metodologija koja se koristi za analizu i upravljanje rizikom te njezina primjenjivost na ovu vrstu IS-a.

Druga metoda, najpraktičnija, oslanja se na korištenje standarda informacijske sigurnosti. Norme definiraju osnovni skup sigurnosnih zahtjeva za široku klasu IP-a, koja je nastala kao rezultat generalizacije svjetske prakse. Standardi mogu definirati različite skupove sigurnosnih zahtjeva, ovisno o razini IP sigurnosti koju je potrebno osigurati, njegovoj pripadnosti (komercijalna organizacija ili državna agencija) i namjeni (financije, industrija, komunikacije itd.). U ovom slučaju, revizor je dužan ispravno odrediti skup standardnih zahtjeva koji moraju biti ispunjeni za ovaj IS. Potrebna je i metodologija za procjenu ove usklađenosti. Zbog svoje jednostavnosti (standardni skup zahtjeva za provođenje revizije standard je već unaprijed određen) i pouzdanosti (standard je standard i nitko neće pokušati osporiti njegove zahtjeve), opisani pristup je najčešći u praksi (osobito prilikom provođenja eksterne revizije). Omogućuje, uz minimalan utrošak resursa, izvlačenje informiranih zaključaka o stanju IP-a.

Treća metoda, najučinkovitija, uključuje kombiniranje prve dvije.

Ako se za provođenje sigurnosne revizije odabere pristup koji se temelji na analizi rizika, tada se u fazi analize revizijskih podataka obično izvode sljedeće grupe zadataka:

Analiza IP resursa, uključujući informacijske resurse, softver i hardver te ljudske resurse.

2.Analiza grupa zadataka koje rješava sustav i poslovni procesi.

3.Izrada (neformalnog) modela resursa IS-a koji definira odnose između informacijskih, softverskih, tehničkih i ljudskih resursa, njihovu relativnu lokaciju i metode interakcije.

4.Procjena kritičnosti informacijskih izvora, kao i softvera i hardvera.

5.Određivanje kritičnosti resursa, uzimajući u obzir njihovu međuovisnost.

6.Utvrđivanje najvjerojatnijih sigurnosnih prijetnji IP resursima i sigurnosnih ranjivosti koje te prijetnje čine mogućima.

7.Procjena vjerojatnosti prijetnji, veličine ranjivosti i štete nanesene organizaciji u slučaju uspješne implementacije prijetnji.

8.Određivanje veličine rizika za svaki triplet: prijetnja - grupa resursa - ranjivost.

Navedeni skup zadataka prilično je općenit. Za njihovo rješavanje mogu se koristiti različite formalne i neformalne, kvantitativne i kvalitativne, ručne i automatizirane tehnike analize rizika. Suština pristupa se ne mijenja.

Procjena rizika može se napraviti pomoću različitih kvalitativnih i kvantitativnih ljestvica. Glavno je da se postojeći rizici ispravno identificiraju i rangiraju prema stupnju njihove kritičnosti za organizaciju. Na temelju takve analize može se razviti sustav prioritetnih mjera za smanjenje veličine rizika na prihvatljivu razinu.

Prilikom provođenja sigurnosne revizije usklađenosti sa zahtjevima norme, auditor, oslanjajući se na svoje iskustvo, ocjenjuje primjenjivost zahtjeva norme na ispitivani IP i njegovu usklađenost s tim zahtjevima. Podaci o sukladnosti razna područja Zahtjevi standarda za funkcioniranje IS-a obično su prikazani u tablični oblik. Tablica pokazuje koji sigurnosni zahtjevi nisu implementirani u sustav. Na temelju toga izvode se zaključci o usklađenosti ispitivanog IP-a sa zahtjevima norme te se daju preporuke za implementaciju sigurnosnih mehanizama u sustav za osiguranje te usklađenosti.

3. Analiza informacijskih rizika poduzeća

Analiza rizika je mjesto gdje bi trebala započeti izgradnja svakog sustava informacijske sigurnosti i ono što je potrebno za provođenje revizije informacijske sigurnosti. Uključuje aktivnosti na ispitivanju sigurnosti poduzeća kako bi se utvrdilo koje resurse i od kojih prijetnji treba zaštititi, kao i u kojoj je mjeri pojedine resurse potrebno zaštititi. Određivanje skupa odgovarajućih protumjera provodi se tijekom upravljanja rizicima. Rizik je određen vjerojatnošću štete i količinom štete nanesene resursima informacijskog sustava (IS) u slučaju sigurnosne prijetnje.

Analiza rizika sastoji se od utvrđivanja postojećih rizika i procjene njihove veličine (dajući im kvalitativno ili kvantitativno ocjenjivanje). Proces analize rizika uključuje rješavanje sljedećih zadataka:

1.Identifikacija ključnih IP izvora.

2.Utvrđivanje važnosti pojedinih resursa za organizaciju.

3.Identifikacija postojećih sigurnosnih prijetnji i ranjivosti koje prijetnje čine mogućima.

4.Proračun rizika povezanih s implementacijom sigurnosnih prijetnji.

IP resursi se mogu podijeliti u sljedeće kategorije:

informativni resursi;

softver;

tehnička sredstva (poslužitelji, radne stanice, aktivna mrežna oprema i sl.);

ljudski resursi.

Unutar svake kategorije resursi su podijeljeni u klase i podklase. Potrebno je identificirati samo one resurse koji određuju funkcionalnost IS-a i značajni su sa sigurnosnog gledišta.

Važnost (ili vrijednost) izvora određena je količinom štete prouzročene ako je povjerljivost, cjelovitost ili dostupnost tog izvora ugrožena. Obično se razmatraju sljedeće vrste oštećenja:

podaci su otkriveni, promijenjeni, obrisani ili postali nedostupni;

oprema je oštećena ili uništena;

integritet softvera je ugrožen.

Šteta može nastati organizaciji kao rezultat uspješne implementacije sljedećih vrsta sigurnosnih prijetnji:

lokalni i udaljeni napadi na resurse IS-a;

prirodne katastrofe;

pogreške ili namjerne radnje osoblja IS-a;

Kvarovi IC-a uzrokovani greškama softvera ili kvarovima hardvera.

Veličina rizika može se odrediti na temelju vrijednosti resursa, vjerojatnosti nastanka prijetnje i veličine ranjivosti pomoću sljedeće formule:

cijena resursa x vjerojatnost prijetnje Rizik = veličina ranjivosti

Zadatak upravljanja rizikom je odabrati razuman skup protumjera za smanjenje razine rizika na prihvatljivu razinu. Trošak provođenja protumjera mora biti manji od iznosa moguće štete. Razlika između troškova provođenja protumjera i veličine moguće štete trebala bi biti obrnuto proporcionalna vjerojatnosti nanošenja štete.

Za praksu osiguranja informacijske sigurnosti najznačajniji je pristup koji se temelji na analizi informacijskih rizika poduzeća. To se objašnjava činjenicom da vam analiza rizika omogućuje učinkovito upravljanje informacijskom sigurnošću poduzeća. Da bi se to postiglo, na početku rada na analizi rizika potrebno je utvrditi što je točno podložno zaštiti u poduzeću, kojim prijetnjama je izloženo i prakse zaštite. Analiza rizika provodi se na temelju neposrednih ciljeva i zadataka zaštite određene vrste povjerljivih podataka. Jedna od najvažnijih zadaća u okviru zaštite informacija je osiguranje njihove cjelovitosti i dostupnosti. Treba imati na umu da se povreda integriteta može dogoditi ne samo kao rezultat namjernih radnji, već i iz niza drugih razloga:

· kvarovi opreme koji dovode do gubitka ili oštećenja informacija;

· fizički utjecaj, uključujući kao rezultat prirodnih katastrofa;

· pogreške u softveru (uključujući nedokumentirane značajke).

Stoga pojam "napad" više obećava za razumijevanje ne samo ljudskih utjecaja na informacijske resurse, već i utjecaja okoline u kojoj funkcionira sustav obrade informacija poduzeća.

Prilikom provođenja analize rizika razvijaju se:

· opća strategija i taktika potencijalnog prekršitelja za izvođenje "napadnih operacija i borbenih operacija";

· mogući načini izvođenja napada na sustav obrade i zaštite informacija;

· scenarij provedbe nezakonite radnje;

· karakteristike kanala curenja informacija i neovlaštenog pristupa;

· vjerojatnost uspostavljanja informacijskog kontakta (realizacija prijetnji);

· popis mogućih infekcija informacijama;

· model uljeza;

· metodologija procjene informacijske sigurnosti.

Osim toga, za izgradnju pouzdanog sustava informacijske sigurnosti poduzeća potrebno je:

· identificirati sve moguće prijetnje informacijskoj sigurnosti;

· procijeniti posljedice njihova očitovanja;

· odrediti potrebne mjere i sredstva zaštite, uzimajući u obzir zahtjeve regulatornih dokumenata, ekonomske

· izvedivost, kompatibilnost i nekonfliktnost s korištenim softverom;

· ocijeniti učinkovitost odabranih mjera i sredstava zaštite.

Riža. 1.2. Scenarij analize resursa informacija

Ovdje je prikazano svih 6 faza analize rizika. U prvoj i drugoj fazi utvrđuju se informacije koje za poduzeće predstavljaju poslovnu tajnu i koje je potrebno zaštititi. Jasno je da se takve informacije pohranjuju na određenim mjestima i na određenim medijima te se prenose komunikacijskim kanalima. Istodobno, odlučujući čimbenik u tehnologiji rukovanja informacijama je arhitektura IS-a, koja uvelike određuje sigurnost informacijskih resursa poduzeća. Treća faza analize rizika je izgradnja pristupnih kanala, curenja ili utjecaja na informacijske resurse glavnih IS čvorova. Svaki pristupni kanal karakterizira mnogo točaka s kojih se informacije mogu "dohvatiti". Upravo oni predstavljaju ranjivost i zahtijevaju korištenje sredstava za sprječavanje neželjenih utjecaja na informacije.

Četvrta faza analize metoda zaštite svih mogućih točaka odgovara ciljevima zaštite, a njen rezultat bi trebala biti karakterizacija mogućih nedostataka u obrani, uključujući i zbog nepovoljnog spleta okolnosti.

U petoj fazi, na temelju poznatog ovaj trenutak načini i sredstva svladavanja obrambenih linija određeni su vjerojatnošću realizacije prijetnji na svakoj od mogućih točaka napada.

U posljednjoj, šestoj fazi, procjenjuje se šteta za organizaciju u slučaju svakog napada, što zajedno s procjenama ranjivosti omogućuje dobivanje rangirane liste prijetnji informacijskim resursima. Rezultati rada prikazani su u obliku pogodnom za njihovu percepciju i razvoj rješenja za korekciju postojećeg sustava informacijske sigurnosti. Štoviše, svaki informacijski resurs može biti izložen nekoliko potencijalnih prijetnji. Od temeljne je važnosti ukupna vjerojatnost pristupa informacijskim resursima, koja se sastoji od elementarnih vjerojatnosti pristupa pojedinačne točke prosljeđivanje informacija.

Količina informacijskog rizika za svaki resurs određena je kao umnožak vjerojatnosti napada na resurs, vjerojatnosti implementacije te prijetnje i štete od informacijske invazije. Ovaj rad može koristiti različite načine vaganja komponenti.

Zbrajanje rizika za sve resurse daje vrijednost ukupnog rizika za usvojenu arhitekturu IS-a i sustav informacijske sigurnosti implementiran u njoj.

Dakle, variranjem opcija za izgradnju sustava informacijske sigurnosti i arhitekture IS-a, postaje moguće zamisliti i razmotriti različite vrijednosti ukupnog rizika mijenjajući vjerojatnost pojave prijetnji. Ovdje je vrlo važan korak odabir jedne od opcija u skladu s odabranim kriterijem odlučivanja. Takav kriterij može biti prihvatljiva količina rizika ili omjer troškova osiguranja informacijske sigurnosti i preostalog rizika.

Prilikom izgradnje sustava informacijske sigurnosti također je potrebno odrediti strategiju upravljanja rizicima za poduzeće.

Danas postoji nekoliko pristupa upravljanju rizikom.

Jedan od najčešćih je smanjenje rizika primjenom odgovarajućih metoda i sredstava zaštite. Sličan je u biti pristup povezan s averzijom prema riziku. Poznato je da se neke klase rizika mogu izbjeći: na primjer, premještanjem web poslužitelja organizacije izvan lokalne mreže izbjegava se rizik od neovlaštenog pristupa lokalna mreža od web klijenata.

Konačno, u nekim je slučajevima prihvatljivo prihvatiti rizik. Ovdje je važno odlučiti se o sljedećoj dilemi: što je isplativije za poduzeće - nositi se s rizicima ili s njihovim posljedicama. U ovom slučaju moramo riješiti problem optimizacije.

Nakon utvrđivanja strategije upravljanja rizicima provodi se konačna procjena mjera informacijske sigurnosti uz izradu stručnog mišljenja o sigurnosti informacijskih izvora. Stručno mišljenje uključuje sve materijale analize rizika i preporuke za njihovo smanjenje.

1.4 Metode za procjenu rizika informacija poduzeća

U praksi se koriste različite metode za procjenu i upravljanje informacijskim rizicima u poduzećima. U ovom slučaju procjena informacijskih rizika uključuje sljedeće faze:

· utvrđivanje i kvantitativna procjena informacijskih resursa poduzeća značajnih za poslovanje;

· procjena moguće prijetnje;

· procjena postojećih ranjivosti;

· procjena učinkovitosti sredstava informacijske sigurnosti.

Pretpostavlja se da su poslovno značajni ranjivi informacijski resursi poduzeća u riziku ako postoje bilo kakve prijetnje za njih. Drugim riječima, rizici karakteriziraju opasnost kojoj mogu biti izložene komponente korporativnog Internet/Intranet sustava. Istovremeno, informacijski rizici tvrtke ovise o:

· o pokazateljima vrijednosti informacijskih resursa;

· vjerojatnost realizacije prijetnji resursima;

· učinkovitost postojećih ili planiranih sredstava informacijske sigurnosti.

Svrha procjene rizika je utvrditi karakteristike rizika korporativnog informacijskog sustava i njegovih resursa. Kao rezultat procjene rizika, postaje moguće odabrati alate koji osiguravaju željenu razinu informacijske sigurnosti poduzeća. Pri procjeni rizika uzimaju se u obzir vrijednost resursa, značaj prijetnji i ranjivosti te učinkovitost postojećih i planiranih sredstava zaštite. Sami pokazatelji resursa, značaj prijetnji i ranjivosti te učinkovitost zaštitnih mjera mogu se odrediti kako kvantitativnim metodama, na primjer, pri određivanju troškovnih karakteristika, tako i kvalitativnim metodama, na primjer, uzimajući u obzir normalne ili iznimno opasne abnormalni utjecaji vanjske okoline.

Mogućnost realizacije prijetnje procjenjuje se vjerojatnošću njezine implementacije u određenom vremenskom razdoblju za određeni resurs poduzeća. U ovom slučaju, vjerojatnost da će se prijetnja realizirati određena je sljedećim glavnim pokazateljima:

· atraktivnost resursa koristi se pri razmatranju prijetnje od namjernog ljudskog utjecaja;

· mogućnost korištenja resursa za stvaranje prihoda kada se uzme u obzir prijetnja od namjernog ljudskog utjecaja;

· tehničke mogućnosti provedbe prijetnje koriste se s namjernim utjecajem od strane osobe;

· stupanj lakoće s kojom se ranjivost može iskoristiti.

Trenutno postoji mnogo tabelarnih metoda za procjenu informacijskih rizika poduzeća. Važno je da sigurnosno osoblje odabere odgovarajuću metodu koja daje točne i pouzdane ponovljive rezultate.

Preporuča se vrednovanje kvantitativnih pokazatelja informacijskih resursa na temelju rezultata anketiranja zaposlenika poduzeća koji posjeduju informacije, tj. dužnosnici, koji može odrediti vrijednost informacije, njezine karakteristike i stupanj kritičnosti, na temelju stvarnog stanja stvari. Na temelju rezultata ankete procjenjuju se pokazatelji i stupanj kritičnosti informacijskih izvora za najgori mogući scenarij, sve do razmatranja mogućih utjecaja na poslovanje poduzeća u slučaju mogućeg neovlaštenog pristupa povjerljivim informacijama, kršenja njegove cjelovitosti, nedostupnosti kroz različita razdoblja uzrokovane kvarovima u servisiranju podataka sustava za obradu podataka, pa čak i fizičko uništenje. Istodobno, proces dobivanja kvantitativnih pokazatelja može se nadopuniti odgovarajućim metodama za procjenu drugih kritičnih resursa poduzeća, uzimajući u obzir:

· sigurnost osoblja;

· razotkrivanje privatne informacije;

· zahtjevi zakonske i regulatorne usklađenosti;

· ograničenja koja proizlaze iz zakonodavstva;

· komercijalni i ekonomski interesi;

· financijski gubici i poremećaji u proizvodnim aktivnostima;

· odnosi s javnošću;

· trgovačka politika i trgovačko poslovanje;

· gubitak ugleda tvrtke.

Nadalje, kvantitativni pokazatelji koriste se tamo gdje je to dopušteno i opravdano, a kvalitativni pokazatelji koriste se tamo gdje je kvantitativna procjena teška iz niza razloga. Istodobno, najraširenija je procjena pokazatelja kvalitete pomoću bodovnih ljestvica posebno razvijenih za te svrhe, na primjer, s ljestvicom od četiri točke.

Sljedeća operacija je ispunjavanje parova upitnika u kojima se, za svaku vrstu prijetnje i povezanu grupu resursa, razine prijetnje procjenjuju kao vjerojatnost realizacije prijetnji, a razine ranjivosti kao stupanj lakoće s kojom realizirana prijetnja može dovesti do negativnog utjecaja. Procjena se provodi na kvalitativnim ljestvicama. Na primjer, razina prijetnji i ranjivosti procjenjuje se na ljestvici "visoko-nisko". Potrebne informacije prikupljeni intervjuiranjem vodećih menadžera tvrtke, komercijalnih, tehničkih, kadrovskih i servisni odjeli, odlazak na teren i analiza dokumentacije poduzeća.

Uz tablične metode procjene informacijskih rizika, suvremene matematičke metode, na primjer, metoda tipa Delphi, kao i posebni automatizirani sustavi, od kojih će neki biti razmatrani u nastavku.

Opći algoritam procesa procjene rizika (slika 1.3.) u ovim sustavima uključuje sljedeće faze.

· opis objekta i mjere zaštite;

· identifikacija resursa i procjena njegovih kvantitativnih pokazatelja (identifikacija potencijalnog negativnog utjecaja na poslovanje);

· analiza prijetnji informacijskoj sigurnosti;

· procjena ranjivosti;

· procjena postojećih i predloženih sredstava

osiguranje informacijske sigurnosti;

· procjena rizika.

5 Upravljanje informacijskim rizikom

Upravljanje informacijskim rizikom trenutno je jedno od najrelevantnijih i najdinamičnijih područja strateškog i operativnog upravljanja u području informacijske sigurnosti. Njegova glavna zadaća je objektivno identificirati i procijeniti najznačajnije poslovne informacijske rizike tvrtke, kao i primjerenost alata za kontrolu rizika koji se koriste za povećanje učinkovitosti i profitabilnosti gospodarskih aktivnosti poduzeća. Stoga pojam "upravljanje informacijskim rizikom" obično znači proces sustava identifikaciju, kontrolu i smanjenje informacijskih rizika tvrtki u skladu s određenim ograničenjima ruskog regulatornog okvira u području zaštite informacija i vlastitih korporativna politika sigurnosti.

Riža. 1.3. Algoritam procjene rizika

Korištenje informacijskih sustava povezano je s određenim skupom rizika. Kada su potencijalne štete nedopustivo velike, potrebne su ekonomski isplative mjere zaštite. Periodična (ponovna) procjena rizika nužna je za praćenje učinkovitosti sigurnosnih aktivnosti i uvažavanje promjena u okruženju.

Bit upravljanja rizikom je procijeniti veličinu rizika, razviti učinkovite i troškovno učinkovite mjere za smanjenje rizika, a zatim osigurati da rizici budu ograničeni (i ostanu takvi) unutar prihvatljivih granica. Posljedično, upravljanje rizikom uključuje dvije vrste aktivnosti koje se ciklički izmjenjuju:

)(ponovna) procjena (mjerenje) rizika;

)izbor učinkovite i ekonomične zaštitne opreme (neutralizacija rizika).

U odnosu na identificirane rizike moguće su sljedeće radnje:

· otklanjanje rizika (na primjer, uklanjanjem uzroka);

· smanjenje rizika (na primjer, korištenjem dodatne zaštitne opreme);

· prihvaćanje rizika (izradom plana djelovanja u odgovarajućim uvjetima):

· preusmjeravanje rizika (primjerice sklapanjem ugovora o osiguranju).

Proces upravljanja rizikom može se podijeliti u sljedeće faze:

1.Odabir objekata za analizu i stupanj detalja njihovog razmatranja.

2.Odabir metodologije procjene rizika.

.Identifikacija imovine.

.Analiza prijetnji i njihovih posljedica, identifikacija sigurnosnih propusta.

.Procjena rizika.

.Izbor zaštitnih mjera.

.Provedba i testiranje odabranih mjera.

.Procjena zaostalog rizika.

Faze 6 odnose se na izbor zaštitne opreme (neutralizacija rizika), ostalo - na procjenu rizika.

Već nabrajanje faza pokazuje da je upravljanje rizikom ciklički proces. U biti, posljednji korak je naredba o kraju petlje koja vas upućuje da se vratite na početak. Rizike je potrebno stalno pratiti, povremeno ih ponovno procjenjujući. Treba napomenuti da dovršena i pažljivo dokumentirana procjena može znatno pojednostaviti daljnje aktivnosti.

Upravljanje rizikom, kao i svaka druga aktivnost informacijske sigurnosti, mora biti integrirano u životni ciklus IS-a. Tada je učinak najveći, a troškovi minimalni.

Upravljanje rizikom mora se provoditi u svim fazama životni ciklus informacijski sustav: početak-razvoj-instalacija rad-zbrinjavanje (razgradnja).

U početnoj fazi treba uzeti u obzir poznate rizike pri razvoju zahtjeva za sustav općenito, a posebno za sigurnosne značajke.

Tijekom faze razvoja, poznavanje rizika pomaže u odabiru odgovarajućih arhitektonskih rješenja koja imaju ključnu ulogu u osiguravanju sigurnosti.

Tijekom faze instalacije treba uzeti u obzir identificirane rizike prilikom konfiguriranja, testiranja i provjere prethodno formuliranog

zahtjeva, a puni ciklus upravljanja rizicima mora prethoditi implementaciji sustava u rad.

Tijekom operativne faze, upravljanje rizicima treba pratiti sve značajne promjene u sustavu.

Prilikom stavljanja sustava izvan pogona, upravljanje rizikom pomaže osigurati da se migracija podataka odvija na siguran način.

Poglavlje II. Standardi informacijske sigurnosti

1 Preduvjeti za stvaranje standarda informacijske sigurnosti

Provođenje revizije informacijske sigurnosti temelji se na korištenju brojnih preporuka, koje su sadržane prvenstveno u međunarodnim standardima informacijske sigurnosti.

Jedan od rezultata revizije u U zadnje vrijeme Sve češće postoji certifikat koji potvrđuje usklađenost IP-a koji se ispituje s određenim priznatim međunarodni standard. Prisutnost takvog certifikata omogućuje organizaciji da dobije konkurentsku prednost povezanu s većim povjerenjem klijenata i partnera.

Korištenje standarda pomaže u postizanju sljedećih pet ciljeva.

Prvo, striktno su definirani ciljevi osiguranja informacijske sigurnosti računalnih sustava. Drugo, stvara se učinkovit sustav upravljanja sigurnošću informacija. Treće, pruža izračun skupa detaljnih, ne samo kvalitativnih, već i kvantitativnih pokazatelja za procjenu usklađenosti informacijske sigurnosti s navedenim ciljevima. Četvrto, stvaraju se uvjeti za korištenje postojećih informacijskih sigurnosnih alata (softvera) i ocjenu njihovog trenutnog stanja. Peto, otvara mogućnost korištenja tehnika upravljanja sigurnošću s dobro utemeljenim sustavom metrike i mjera koje osiguravaju razvijači informacijskih sustava.

Od ranih 80-ih godina stvoreni su deseci međunarodnih i nacionalnih standarda u području informacijske sigurnosti koji se u određenoj mjeri nadopunjuju. U nastavku ćemo razmotriti najpoznatije standarde prema kronologiji njihovog nastanka:

)Kriterij za ocjenu pouzdanosti računalnih sustava “Orange Book” (SAD);

)Usklađeni kriteriji europskih zemalja;

)Preporuke X.800;

)njemački standard BSI;

)britanski standard BS 7799;

)ISO 17799 standard;

)Standard "Opći kriteriji" ISO 15408;

)COBIT standard

Ovi standardi se mogu podijeliti u dvije vrste:

· Standardi ocjenjivanja s ciljem klasifikacije informacijskih sustava i sigurnosnih mjera prema sigurnosnim zahtjevima;

· Tehničke specifikacije koje reguliraju različite aspekte provedbe sigurnosnih mjera.

Važno je napomenuti da ne postoji prazan zid između ovih vrsta propisa. Standardi ocjenjivanja ističu najvažnije aspekte informacijske sigurnosti sa stajališta informacijske sigurnosti, igrajući ulogu arhitektonskih specifikacija. ostalo Tehničke specifikacije odrediti kako izgraditi IS propisane arhitekture.

2 Standard “Kriteriji za ocjenu pouzdanosti računalnih sustava” (Narančasta knjiga)

Povijesno gledano, prvi standard ocjenjivanja koji je postao široko rasprostranjen i imao veliki utjecaj na bazu standardizacije informacijske sigurnosti u mnogim zemljama bio je standard američkog Ministarstva obrane “Kriteriji ocjenjivanja za pouzdane računalne sustave”.

Ovo djelo, najčešće nazivano “Narančastom knjigom” po boji korica, prvi put je objavljeno u kolovozu 1983. godine. Samo njegovo ime zahtijeva komentar. Ne govorimo o sigurnim sustavima, već o pouzdanim sustavima, odnosno sustavima kojima se može dati određeni stupanj povjerenja.

Narančasta knjiga objašnjava koncept sigurnog sustava koji "kontrolira, odgovarajućim sredstvima, pristup informacijama tako da su samo propisno ovlašteni pojedinci ili procesi koji djeluju u njihovo ime ovlašteni čitati, pisati, stvarati i brisati informacije."

Očito je međutim da apsolutno sigurni sustavi ne postoji, to je apstrakcija. Ima smisla ocjenjivati samo stupanj povjerenja koji se može dati pojedinom sustavu.

Narančasta knjiga definira sustav od povjerenja kao "sustav koji koristi dovoljno hardvera i softver kako bi se osigurala istovremena obrada informacija različitih stupnjeva tajnosti od strane skupine korisnika bez kršenja prava pristupa.”

Treba napomenuti da se u razmatranim kriterijima i sigurnost i povjerenje ocjenjuju isključivo sa stajališta kontrole pristupa podacima, što je jedan od načina osiguranja povjerljivosti i cjelovitosti informacija. Međutim, Narančasta knjiga ne rješava pitanja pristupačnosti.

Stupanj povjerenja procjenjuje se prema dva glavna kriterija.

.Sigurnosna politika je skup zakona, pravila i kodeksa ponašanja koji definiraju kako organizacija obrađuje, štiti i širi informacije. Konkretno, pravila određuju kada korisnik može raditi na određenim skupovima podataka. Što je veći stupanj povjerenja u sustav, to bi sigurnosna politika trebala biti stroža i raznovrsnija. Ovisno o formuliranoj politici, mogu se odabrati specifični sigurnosni mehanizmi. Sigurnosna politika je aktivni aspekt zaštite, uključujući analizu mogućih prijetnji i odabir protumjera.

.Razina sigurnosti je mjera povjerenja koja se može postaviti u arhitekturu i implementaciju IS-a. Sigurnosno povjerenje može proizaći iz analize rezultata testiranja i verifikacije (službene ili ne) cjelokupnog dizajna i implementacije sustava kao cjeline i njegovih pojedinačnih komponenti. Razina sigurnosti pokazuje koliko su ispravni mehanizmi odgovorni za provedbu sigurnosne politike. Ovo je pasivni aspekt zaštite.

Glavni način osiguranja sigurnosti određen je mehanizmom odgovornosti (logiranje). Sustav od povjerenja mora bilježiti sve sigurnosne događaje. Evidentiranje treba dopuniti revizijom, odnosno analizom registracijskih podataka. Koncept pouzdane računalne baze središnji je za procjenu stupnja sigurnosnog povjerenja. Pouzdana računalna baza skup je sigurnosnih mehanizama IS-a (uključujući hardver i softver) odgovornih za provođenje sigurnosne politike. Kvaliteta računske baze određena je isključivo njenom implementacijom i ispravnošću početnih podataka koje unosi administrator sustava.

Dotičnim komponentama izvan računalne baze možda se ne vjeruje, ali to ne bi trebalo utjecati na sigurnost sustava u cjelini. Kao rezultat toga, za procjenu pouzdanosti sigurnosti informacijskog sustava, autori standarda preporučuju razmatranje samo njegove računalne baze.

Osnovna namjena računalne baze od povjerenja je obavljanje funkcija nadzora poziva, odnosno kontrola dopuštenosti subjekata (korisnika) obavljanja određenih operacija na objektima (pasivni entiteti). Monitor provjerava dosljednost pristupa svakog korisnika programima ili podacima sa skupom radnji dopuštenih korisniku.

Monitor poziva mora imati tri kvalitete:

Izolacija. Potrebno je spriječiti praćenje monitora.

Potpunost. Monitor se mora pozvati pri svakom pozivu; ne smije postojati način da ga se zaobiđe.

Provjerljivost. Monitor mora biti kompaktan kako bi se mogao analizirati i testirati s povjerenjem da će testiranje biti potpuno.

Implementacija hit monitora naziva se sigurnosna jezgra. Sigurnosna jezgra je temelj na kojem se grade svi sigurnosni mehanizmi. Uz gore navedena svojstva nadzora pristupa, kernel mora jamčiti vlastitu nepromjenjivost.

Granica pouzdane računalne baze naziva se sigurnosni perimetar. Kao što je već rečeno, komponente izvan sigurnosnog perimetra općenito se ne smiju smatrati pouzdanima. S razvojem distribuirani sustavi Konceptu “sigurnosnog perimetra” sve se više pridaje drugačije značenje, označavajući granicu posjeda određene organizacije. Ono što je unutar imovine smatra se pouzdanim, ali ono što je izvan nije.

Prema Narančastoj knjizi, sigurnosna politika mora nužno uključivati sljedeće elemente:

· kontrola slučajnog pristupa;

· sigurnost ponovne uporabe predmeta;

· sigurnosne naljepnice;

· prisilna kontrola pristupa.

Kontrola slučajnog pristupa je metoda ograničavanja pristupa objektima, koja se temelji na uzimanju u obzir identiteta subjekta ili skupine kojoj subjekt pripada. Arbitrarnost kontrole je da određena osoba (najčešće vlasnik objekta) može prema vlastitom nahođenju dati ili oduzeti drugim subjektima prava pristupa objektu.

Sigurnost ponovne upotrebe objekata važan je dodatak kontrolama pristupa koji sprječava da se osjetljive informacije slučajno ili namjerno izvuku iz smeća. Sigurnost ponovne upotrebe mora biti zajamčena za područja RAM-a (osobito za međuspremnike sa slikama zaslona, dešifriranim lozinkama itd.), za blokove diskova i općenito magnetske medije.

3 njemački BSI standard

Godine 1998. u Njemačkoj je objavljen “Basic Level Information Technology Security Guide”. Priručnik je hipertekst od približno 4 MB (HTML format). Kasnije je formaliziran kao njemački BSI standard. Temelji se na općoj metodologiji i komponentama upravljanja informacijskom sigurnošću:

· Opći način upravljanja informacijskom sigurnošću (organizacija upravljanja u području informacijske sigurnosti, metodologija korištenja priručnika).

· Opisi sastavnica suvremenih informacijskih tehnologija.

· Glavne komponente (organizacijska razina informacijske sigurnosti, proceduralna razina, organizacija zaštite podataka, planiranje u slučaju opasnosti).

· Infrastruktura (zgrade, prostori, kabelske mreže, organizacija daljinskog pristupa).

· Klijentske komponente raznih vrsta (DOS, Windows, UNIX, mobilne komponente, druge vrste).

· Mreže raznih vrsta (point-to-point veze, Novell NetWare mreže, mreže s OC ONIX i Windows, heterogene mreže).

· Elementi sustava za prijenos podataka ( E-mail, modemi, vatrozidi itd.).

· Telekomunikacije (faksovi, telefonske sekretarice, integrirani sustavi bazirani na ISDN-u, ostali telekomunikacijski sustavi).

· Standardni softver.

· Baza podataka.

· Opisi glavnih komponenti organiziranja režima informacijske sigurnosti (organizacijske i tehničke razine zaštite podataka, planiranje u hitnim slučajevima, podrška kontinuitetu poslovanja).

· Obilježja informacijskih objekata (zgrade, prostori, kabelske mreže, kontrolirani prostori).

· Karakteristike glavne informacijske imovine tvrtke (uključujući hardver i softver, kao što su radne stanice i poslužitelji s operativnim sustavima DOS, Windows i UNIX).

· Karakteristike računalnih mreža temeljenih na različitim mrežnim tehnologijama, kao što su Novell Net Ware mreže, UNIX i Windows mreže).

· Karakteristike aktivne i pasivne telekomunikacijske opreme vodećih proizvođača, primjerice Cisco Systems.

· Detaljni katalozi sigurnosnih prijetnji i mjera kontrole (više od 600 artikala u svakom katalogu).

Sve vrste prijetnji u BSI standardu podijeljene su u sljedeće klase:

· Okolnosti više sile.

· Nedostaci organizacijskih mjera.

· Ljudske greške.

· Tehnički problemi.

· Namjerne radnje.

Protumjere su klasificirane na sličan način:

· Poboljšanje infrastrukture;

· Administrativne protumjere;

· Proceduralne protumjere;

· Softverske i hardverske protumjere;

· Smanjenje ranjivosti komunikacija; planiranje u slučaju nužde.

Sve komponente razmatraju se i opisuju prema sljedećem planu:

)Opći opis;

)mogući scenariji sigurnosnih prijetnji (prijetnje primjenjive na ovu komponentu navedene su iz kataloga sigurnosnih prijetnji);

)moguće protumjere (navedene su prijetnje primjenjive na ovu komponentu iz kataloga sigurnosnih prijetnji);

4 Britanski standard BS 7799