Vanjska revizija informacijske sigurnosti državne institucije. Analiza revizijskih podataka

12.06.2019 Recenzije

Članak sažima praksu provođenja sigurnosne revizije informacijskih sustava (IS), daje koncept sigurnosne revizije, raspravlja o ciljevima njezine provedbe, metodama i fazama obavljenog posla, metodama analize i upravljanja rizicima koje koriste revizori. te načini njihove implementacije, aktualni standardi i sustavi certificiranja IS-a u okviru kojih se provodi sigurnosni audit.

Aleksandar Astahov, CISA, 2002
Epigraf
Pomoć u usklađivanju informacijskih sustava s prihvaćenim standardima i smjernicama;
Svoje aktivnosti obavlja u skladu sa standardima iz područja revizije informacijskih sustava koje je usvojila ISACA;
Djelujte u najboljem interesu poslodavaca, dioničara, kupaca i društva na marljiv, odan i pošten način;
svjesno ne sudjelovati u nezakonitim ili nepoštenim aktivnostima;
Poštivati povjerljivost informacija dobivenih u obavljanju službenih dužnosti;
Ne koristite povjerljive podatke za osobnu korist i nemojte ih prenositi trećim osobama bez dopuštenja vlasnika;
Obavljaju svoje poslovne obveze ostajući neovisni i nepristrani;
Izbjegavati aktivnosti koje ugrožavaju neovisnost revizora;
Održavati na odgovarajućoj razini svoju kompetenciju u područjima znanja vezanih uz reviziju informacijskih sustava sudjelovanjem na stručnim skupovima;
Budite revni u pribavljanju i dokumentiranju činjeničnih materijala na kojima se temelje zaključci i preporuke revizora;
Obavijestiti sve zainteresirane o rezultatima revizije;
Pomoći u podizanju svijesti o upravljanju organizacijama, klijentima i društvu u pitanjima koja se odnose na reviziju informacijskih sustava;
Ispunjavati visoke etičke standarde u profesionalnim i osobnim aktivnostima;
Poboljšajte svoje osobne kvalitete.

Etički kodeks revizora informacijskih sustava
(ISACA Kodeks profesionalne etike)

Koncept i svrha sigurnosne revizije

Revizija je neovisno ispitivanje specifičnih područja funkcioniranja organizacije. Razlikovati vanjsku i internu reviziju. Vanjska revizija je u pravilu jednokratni događaj koji iniciraju uprava ili dioničari organizacije. Preporuča se redovito provoditi vanjske revizije, a za, primjerice, mnoge financijske institucije i dionička društva to je obavezan uvjet. Unutarnja revizija je kontinuirana djelatnost koja se provodi na temelju "Pravila o unutarnjoj reviziji" iu skladu s planom, čiju izradu provodi odjel za unutarnju reviziju, a odobrava uprava organizacije. Revizija sigurnosti informacijskih sustava jedna je od komponenti IT revizije. Ciljevi sigurnosne revizije su:

analiza rizika povezanih s mogućnošću implementacije sigurnosnih prijetnji u odnosu na IP resurse

Bilješka:

Možda je to jedini skup ciljeva za provođenje sigurnosne revizije, ali samo ako je riječ o vanjskoj reviziji. Dodatni zadaci unutarnjeg revizora, osim pomoći vanjskim revizorima, također mogu uključivati:

izradu sigurnosnih politika i drugih organizacijskih i administrativnih dokumenata za zaštitu informacija i sudjelovanje u njihovoj provedbi u radu organizacije;
postavljanje zadataka informatičkom osoblju u vezi s informacijskom sigurnošću;
sudjelovanje u obuci korisnika i osoblja za održavanje IS-a o pitanjima informacijske sigurnosti;
sudjelovanje u analizi incidenata povezanih s kršenjem informacijske sigurnosti;
drugo.

Valja napomenuti da svi navedeni "dodatni" zadaci s kojima se unutarnji revizor susreće, s iznimkom sudjelovanja u edukaciji, zapravo nisu revizija. Revizor, po definiciji, mora provesti neovisno ispitivanje implementacije sigurnosnih mehanizama u organizaciji, što je jedno od temeljnih načela revizije. Ako revizor aktivno sudjeluje u implementaciji sigurnosnih mehanizama, tada se gubi revizorova neovisnost, a time i objektivnost njegovih prosudbi, budući da revizor ne može samostalno i objektivno kontrolirati vlastite aktivnosti. Međutim, u praksi unutarnji revizor, ponekad najkompetentniji stručnjak u organizaciji u pitanjima informacijske sigurnosti, ne može ostati po strani od implementacije zaštitnih mehanizama. (A ako on nije takav stručnjak, kakva je onda praktična korist od njega?) Osim toga, gotovo uvijek postoji nedostatak kvalificiranog osoblja na ovom području.

On barem može i treba aktivno sudjelovati u implementaciji istog podsustava sigurnosne revizije, koji bi revizoru mogao dati početne podatke za analizu postojećeg stanja. Naravno, u ovom slučaju revizor više neće moći objektivno procijeniti implementaciju ovog podsustava i on prirodno ispada iz plana revizije. Isto tako, unutarnji revizor može aktivno sudjelovati u razvoju sigurnosnih politika pružajući mogućnost vanjskim revizorima da ocijene kvalitetu ovih dokumenata.

Faze rada na provođenju sigurnosne revizije informacijskih sustava

Radovi na reviziji sigurnosti IS-a uključuju niz uzastopnih faza, koje općenito odgovaraju fazama sveobuhvatne IT revizije AU, što uključuje sljedeće:

Prikupljanje informacija o reviziji
Analiza revizijskih podataka
Izrada preporuka
Izrada revizorskog izvješća

Pokretanje postupka revizije

Revizija se ne provodi na inicijativu revizora, već na inicijativu uprave društva, koja je u ovom pitanju glavni dionik. Podrška menadžmenta tvrtke preduvjet je za reviziju.

Revizija je skup aktivnosti u koje su, osim samog revizora, uključeni predstavnici većine strukturnih odjela tvrtke. Djelovanje svih sudionika u ovom procesu mora biti usklađeno. Stoga je u fazi pokretanja postupka revizije potrebno riješiti sljedeća organizacijska pitanja:

prava i obveze revizora trebaju biti jasno definirane i dokumentirane u opisu njegovih poslova, kao i u propisu o unutarnjoj (vanjskoj) reviziji;
revizor treba pripremiti plan revizije i dogovoriti se s menadžmentom;
propisom o unutarnjoj reviziji treba posebno biti propisano da su zaposlenici društva obvezni pomagati revizoru i dati sve podatke potrebne za reviziju.

U fazi pokretanja postupka revizije potrebno je definirati opseg ankete. Neki od informacijskih podsustava tvrtke nisu dovoljno kritični i mogu se isključiti iz opsega istraživanja. Ostali podsustavi možda neće biti podvrgnuti reviziji zbog razloga povjerljivosti.

Opseg istraživanja definiran je u sljedećim terminima:

Popis pregledanih fizičkih, softverskih i informacijskih izvora;
Područja (prostorije) koja spadaju u granice istraživanja;
Glavne vrste sigurnosnih prijetnji koje se razmatraju tijekom revizije;
Organizacijski (zakonodavni, administrativni i proceduralni), fizički, softversko-tehnički i drugi aspekti sigurnosti koje je potrebno uzeti u obzir tijekom istraživanja, te njihovi prioriteti (u kojoj mjeri ih treba uzeti u obzir).

O planu i granicama revizije raspravlja se na radnom sastanku na kojem sudjeluju revizori, uprava tvrtke i voditelji strukturnih odjela.

Prikupljanje informacija o reviziji

Faza prikupljanja revizijskih informacija je najteža i dugotrajna. To je zbog nedostatka potrebne dokumentacije za informacijski sustav i potrebe za bliskom interakcijom revizora s mnogim službenicima organizacije.

Kompetentne zaključke o stanju u tvrtki s informacijskom sigurnošću revizor može donijeti samo ako su dostupni svi potrebni početni podaci za analizu. Dobivanje informacija o organizaciji, funkcioniranju i trenutnom stanju IP-a revizor provodi tijekom posebno organiziranih razgovora s odgovornim osobama društva, proučavanjem tehničke i organizacijske i administrativne dokumentacije, kao i istraživanjem IP-a. korištenjem specijaliziranih softverskih alata. Zadržimo se na tome koje su informacije revizoru potrebne za analizu.

Osiguravanje informacijske sigurnosti organizacije složen je proces koji zahtijeva jasnu organizaciju i disciplinu. Trebalo bi započeti definiranjem uloga i dodjeljivanjem odgovornosti službenicima za informacijsku sigurnost. Stoga prva točka revizorskog istraživanja počinje dobivanjem informacija o organizacijskoj strukturi korisnika IP-a i uslužnih jedinica. U tom smislu revizor zahtijeva sljedeću dokumentaciju:

Organizacijska shema korisnika;
Dijagram organizacijske strukture uslužnih jedinica.

Obično tijekom intervjua revizor ispitanicima postavlja sljedeća pitanja:

Tko je vlasnik informacija?
Tko je korisnik (potrošač) informacija?
Tko je davatelj usluga?

Svrha i principi funkcioniranja IS-a uvelike određuju postojeće rizike i sigurnosne zahtjeve za sustav. Stoga, u sljedećoj fazi, revizora zanimaju informacije o namjeni i funkcioniranju IS-a. Revizor ispitanicima postavlja sljedeća pitanja:

Koje se usluge pružaju krajnjim korisnicima i kako?
Koje su glavne vrste aplikacija koje funkcioniraju u IS-u?
Broj i vrste korisnika koji koriste ove aplikacije?

Trebat će mu i sljedeća dokumentacija, naravno, ako je uopće ima (što se, općenito govoreći, ne događa često):

Funkcionalni dijagrami;
Opis automatiziranih funkcija;
Opis glavnih tehničkih rješenja;
Ostala projektna i radna dokumentacija za informacijski sustav.

Nadalje, revizoru su potrebne detaljnije informacije o strukturi IP-a. To će omogućiti razumijevanje načina na koji se provodi distribucija sigurnosnih mehanizama po strukturnim elementima i razinama funkcioniranja IS-a. Tipična pitanja o kojima se u tom smislu raspravlja tijekom intervjua uključuju:

Od kojih se komponenti (podsustava) sastoji IC?
Funkcionalnost pojedinih komponenti?
Gdje su granice sustava?
Koje ulazne točke postoje?
Kako IP komunicira s drugim sustavima?
Koji se komunikacijski kanali koriste za interakciju s drugim IS-ovima?
Koji se komunikacijski kanali koriste za komunikaciju između komponenti sustava?
Koji se protokoli koriste za komunikaciju?
Koje se softverske i hardverske platforme koriste za izgradnju sustava?

U ovoj fazi revizor se mora opskrbiti sljedećom dokumentacijom:

strukturni dijagram IC;
Dijagram toka informacija;
Opis strukture kompleksa tehničkih sredstava informacijskog sustava;
Opis strukture softvera;
Opis strukture informacijske potpore;
Postavljanje komponenti informacijskog sustava.

Izrada značajnog dijela IS dokumentacije obično se provodi već tijekom revizije. Kada su svi potrebni IP podaci, uključujući dokumentaciju, pripremljeni, možete pristupiti njihovoj analizi.

Analiza revizijskih podataka

Metode analize podataka koje koriste revizori određene su odabranim revizijskim pristupom, koji se može značajno razlikovati.

Prvi pristup, najsloženiji, temelji se na analizi rizika. Na temelju metoda analize rizika, revizor za ispitivani IS utvrđuje individualni skup sigurnosnih zahtjeva koji u najvećoj mjeri uzima u obzir značajke ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u tom okruženju. Ovaj pristup oduzima najviše vremena i zahtijeva najviše kvalifikacije revizora. Na kvalitetu rezultata revizije, u ovom slučaju, snažno utječe metodologija koja se koristi za analizu i upravljanje rizikom te njezina primjenjivost na ovu vrstu IP-a.

Drugi pristup, najpraktičniji, oslanja se na korištenje standarda informacijske sigurnosti. Standardi definiraju osnovni skup sigurnosnih zahtjeva za široku klasu IS-a, koja je nastala kao rezultat generalizacije svjetske prakse. Standardi mogu definirati različite skupove sigurnosnih zahtjeva, ovisno o razini sigurnosti IS-a koji treba osigurati, njegovoj pripadnosti (komercijalna organizacija ili državna agencija), kao i namjeni (financije, industrija, komunikacije, itd.). U tom slučaju od revizora se traži da ispravno utvrdi skup zahtjeva standarda, čija usklađenost mora biti osigurana za ovaj IS. Također je potrebna metodologija za procjenu ove sukladnosti. Zbog svoje jednostavnosti (standardni skup zahtjeva za reviziju već je unaprijed određen standardom) i pouzdanosti (standard je standard i nitko neće pokušati osporiti njegove zahtjeve), opisani pristup je najčešći u praksi (posebno kada provođenje eksterne revizije). Omogućuje donošenje razumnih zaključaka o stanju IS-a uz minimalne troškove resursa.

Treći pristup, najučinkovitiji, uključuje kombiniranje prva dva. Osnovni skup sigurnosnih zahtjeva za IC određen je standardom. Dodatni zahtjevi, uzimajući u obzir specifičnosti funkcioniranja ovog IS-a u najvećoj mogućoj mjeri, formiraju se na temelju analize rizika. Ovaj pristup je mnogo jednostavniji od prvog, jer većina sigurnosnih zahtjeva je već definirana normom, a ujedno nema nedostatak drugog pristupa, a to je da zahtjevi norme možda ne uzimaju u obzir specifičnosti provjerenog IS-a.

Što je analiza rizika i upravljanje rizikom?

Analiza rizika je mjesto gdje treba započeti izgradnju svakog informacijskog sigurnosnog sustava. Obuhvaća aktivnosti za ispitivanje IP sigurnosti, kako bi se utvrdilo koje resurse i od kojih prijetnji treba zaštititi, kao i u kojoj mjeri pojedine resurse treba zaštititi. Određivanje skupa odgovarajućih protumjera provodi se tijekom upravljanja rizicima. Rizik je određen vjerojatnošću štete i visinom štete na resursima IP-a, u slučaju sigurnosne prijetnje.

Analiza rizika sastoji se u identificiranju postojećih rizika i procjeni njihove veličine (davanje im kvalitativne ili kvantitativne procjene). Proces analize rizika može se podijeliti u nekoliko uzastopnih faza:

Identifikacija ključnih IP resursa;
Utvrđivanje važnosti određenih resursa za organizaciju;
Identifikacija postojećih sigurnosnih prijetnji i ranjivosti koje čine prijetnje mogućim;
Proračun rizika povezanih s provedbom sigurnosnih prijetnji.

IP resursi mogu se kategorizirati na sljedeći način:

Informacijski resursi;
Softver;
Tehnička sredstva (poslužitelji, radne stanice, aktivna mrežna oprema itd.);
Ljudski resursi.

Unutar svake kategorije resursi su podijeljeni u klase i podklase. Potrebno je identificirati samo one resurse koji određuju funkcionalnost IS-a i bitni su sa stajališta osiguranja sigurnosti.

Važnost (ili trošak) resursa određena je količinom štete nanesene u slučaju kršenja povjerljivosti, integriteta ili dostupnosti tog resursa. Obično se razmatraju sljedeće vrste oštećenja:

Podaci su objavljeni, izmijenjeni, izbrisani ili učinjeni nedostupnima;
Hardver je oštećen ili uništen;
Integritet softvera je ugrožen.

Šteta može nastati organizaciji kao rezultat uspješne implementacije sljedećih vrsta sigurnosnih prijetnji:

lokalni i udaljeni napadi na IP resurse;
prirodne katastrofe;
pogreške ili namjerne radnje osoblja IS-a;
Kvarovi IC-a uzrokovani greškama u softveru ili hardverskim kvarovima.

Ranjivosti se obično shvaćaju kao svojstva IS-a koja omogućuju uspješnu implementaciju sigurnosnih prijetnji.

Veličina rizika utvrđuje se na temelju cijene resursa, vjerojatnosti pojave prijetnje i veličine ranjivosti pomoću sljedeće formule:

Rizik = (cijena resursa * vjerojatnost prijetnje) / vrijednost ranjivosti

Izazov upravljanja rizikom je odabrati razuman skup protumjera za smanjenje razine rizika na prihvatljivu razinu. Trošak provedbe protumjera trebao bi biti manji od iznosa moguće štete. Razlika između cijene provedbe protumjera i iznosa moguće štete trebala bi biti obrnuto proporcionalna vjerojatnosti nanošenja štete.

Korištenje metoda analize rizika

Ako se za provođenje sigurnosne revizije odabere pristup koji se temelji na riziku, tada se u fazi analize revizijskih podataka obično izvode sljedeće skupine zadataka:

Analiza IP resursa, uključujući informacijske resurse, softver i hardver, te ljudske resurse
Analiza skupina zadataka koje rješava sustav i poslovni procesi
Izgradnja (neformalnog) modela IP resursa, koji određuje odnos između informacija, softvera, tehničkih i ljudskih resursa, njihov međusobni raspored i metode interakcije
Procjena kritičnosti informacijskih resursa, kao i softvera i hardvera
Određivanje kritičnosti resursa uzimajući u obzir njihove međuovisnosti
Određivanje najvjerojatnijih sigurnosnih prijetnji u odnosu na IP resurse i sigurnosne ranjivosti koje omogućuju nastanak tih prijetnji
Procjena vjerojatnosti provedbe prijetnji, veličine ranjivosti i štete za organizaciju u slučaju uspješne provedbe prijetnji
Određivanje veličine rizika za svaku trojku: prijetnja - skupina resursa - ranjivost
Navedeni skup zadataka je prilično općenit. Za njihovo rješavanje mogu se koristiti različite formalne i neformalne, kvantitativne i kvalitativne, ručne i automatizirane tehnike analize rizika. To ne mijenja bit pristupa.

Procjena rizika može se dati korištenjem raznih kvalitativnih i kvantitativnih ljestvica. Glavna stvar je da se postojeći rizici ispravno identificiraju i rangiraju u skladu sa stupnjem njihove kritičnosti za organizaciju. Na temelju ove analize može se razviti sustav prioritetnih mjera za smanjenje veličine rizika na prihvatljivu razinu.

Procjena usklađenosti sa zahtjevima norme

U slučaju sigurnosne revizije usklađenosti sa zahtjevima standarda, revizor, oslanjajući se na svoje iskustvo, ocjenjuje primjenjivost zahtjeva standarda na IS koji se kontrolira i njegovu usklađenost s tim zahtjevima. Podaci o usklađenosti različitih područja funkcioniranja IS-a sa zahtjevima norme obično se prikazuju u tabličnom obliku. Tablica pokazuje koji sigurnosni zahtjevi nisu implementirani u sustav. Na temelju toga izvode se zaključci o usklađenosti ispitivanog IS-a sa zahtjevima standarda i daju preporuke o implementaciji sigurnosnih mehanizama u sustav za osiguranje takve usklađenosti.

Preporuke koje revizor izdaje na temelju rezultata analize stanja IS-a određuju se upotrijebljenim pristupom, karakteristikama provjerenog IS-a, stanjem informacijske sigurnosti i stupnjem detaljnosti korištene tijekom revizije.

U svakom slučaju, revizorove preporuke trebaju biti specifične i primjenjive na ovaj IS, ekonomski opravdane, obrazložene (potkrijepljene rezultatima analize) i razvrstane prema stupnju važnosti. Istodobno, mjere za osiguranje zaštite organizacijske razine gotovo uvijek imaju prednost u odnosu na specifične softverske i hardverske metode zaštite.

Istodobno, naivno je očekivati od revizora, kao rezultat revizije, izdavanje tehničkog projekta podsustava informacijske sigurnosti, odnosno detaljne preporuke o implementaciji specifičnih softverskih i hardverskih alata za informacijsku sigurnost. To zahtijeva detaljnije proučavanje pojedinih pitanja organizacije zaštite, iako u tim poslovima mogu aktivno sudjelovati unutarnji revizori.

Priprema izvještajne dokumentacije

Revizijsko izvješće je glavni rezultat revizije. Njegova kvaliteta karakterizira kvalitetu rada revizora. Struktura izvješća može značajno varirati ovisno o prirodi i ciljevima revizije. Međutim, određeni dijelovi moraju biti prisutni u revizorskom izvješću. Trebao bi barem sadržavati opis ciljeva revizije, karakteristike pregledanog IS-a, naznaku opsega revizije i korištenih metoda, rezultate analize revizijskih podataka, zaključke koji sažimaju te rezultate i koji sadrže ocjenu razina sigurnosti AU ili njezina usklađenost sa zahtjevima standarda, te, naravno, preporuke revizora za otklanjanje postojećih nedostataka i poboljšanje sustava zaštite.

Kao primjer dat ćemo uzorak strukture revizorskog izvješća na temelju rezultata analize rizika povezanih s provedbom sigurnosnih prijetnji u odnosu na provjerenu IP.

Struktura izvješća o rezultatima revizije sigurnosti IS-a i analize rizika

1. Uvodni dio

1.1 Uvod
1.2 Ciljevi i zadaci revizije
1.3 Opis IC-a
1.3.1 Svrha i glavne funkcije sustava
1.3.2 Grupe zadataka riješenih u sustavu
1.3.3 Klasifikacija IP korisnika
1.3.4 Organizacijska struktura službenika IS-a
1.3.5 Struktura i sastav kompleksa softversko-hardverskih IS-a
1.3.6 Vrste informacijskih resursa pohranjenih i obrađenih u sustavu
1.3.7 Struktura tokova informacija
1.3.8 Karakteristike kanala interakcije s drugim sustavima i točkama ulaska
1.4 Opseg revizije
1.4.1 Komponente i podsustavi IS-a koji spadaju u opseg revizije
1.4.2 Postavljanje kompleksa softverskih i hardverskih sredstava IS-a na mjesta (sobe)
1.4.3 Glavne klase sigurnosnih prijetnji koje se razmatraju tijekom revizije
1.5 Metodologija revizije
1.5.1 Metodologija za analizu rizika
1.5.2 Početni podaci
1.5.3 Faza rada
1.6 Struktura dokumenta

2. Procjena kritičnosti IP resursa

2.1 Kriteriji za procjenu visine moguće štete povezane s provedbom sigurnosnih prijetnji
2.2 Procjena kritičnosti informacijskih izvora
2.2.1 Klasifikacija informacijskih izvora
2.2.2 Procjena kritičnosti po skupinama informacijskih izvora
2.3. Ocjena kritičnosti tehničkih sredstava
2.4 Procjena kritičnosti softvera
2.5 IS model resursa koji opisuje raspodjelu resursa po grupama zadataka

3. Analiza rizika povezanih s provedbom sigurnosnih prijetnji u odnosu na IP resurse

3.1 Model uljeza za informacijsku sigurnost
3.1.1 Insider model
3.1.2 Model vanjskog uljeza
3.2 Model sigurnosnih prijetnji i ranjivosti informacijskih resursa
3.2.1 Sigurnosne prijetnje informacijskim resursima
3.2.1.1 Prijetnje neovlaštenog pristupa informacijama korištenjem softverskih alata
3.2.1.2 Prijetnje izvedene standardnim tehničkim sredstvima
3.2.1.3 Prijetnje povezane s curenjem informacija kroz tehničke kanale
3.2.2 Sigurnosne prijetnje softveru
3.2.3 Sigurnosne prijetnje tehničkim sredstvima
3.3 Procjena ozbiljnosti sigurnosnih prijetnji i veličine ranjivosti
3.3.1 Kriteriji za procjenu ozbiljnosti sigurnosnih prijetnji i veličine ranjivosti
3.3.2 Procjena ozbiljnosti prijetnje
3.3.3 Procjena veličine ranjivosti
3.4 Procjena rizika za svaku klasu prijetnji i grupu resursa

4. Zaključci na temelju rezultata ankete

5.1 Preporučene protumjere na organizacijskoj razini
5.2 Preporučene hardversko-softverske protumjere

Pregled softverskih proizvoda dizajniranih za analizu i upravljanje rizicima

Trenutno postoji širok izbor metoda analize i upravljanja rizicima te softvera koji ih implementira. Evo nekoliko primjera za ono što autor smatra najčešćim.

CRAMM

CRAMM (engl. UK Goverment Risk Analysis and Managment Method) razvila je Služba sigurnosti Ujedinjenog Kraljevstva u ime britanske vlade i usvojila ga kao državni standard. Koriste ga od 1985. godine vladine i komercijalne organizacije u Velikoj Britaniji. Tijekom tog vremena CRAMM je stekao popularnost u cijelom svijetu. Insight Consulting Limited razvija i održava istoimeni softverski proizvod koji implementira CRAMM metodu.

Odabrali smo CRAMM metodu za detaljnije razmatranje, a to nije slučajno. Trenutačno je CRAMM prilično moćan i svestran alat koji omogućuje, osim analize rizika, rješavanje niza drugih revizijskih zadataka, uključujući:

Provođenje IP istraživanja i izdavanje prateće dokumentacije u svim fazama njegovog provođenja;

CRAMM metoda temelji se na integriranom pristupu procjeni rizika, kombinirajući kvantitativne i kvalitativne metode analize. Metoda je univerzalna i prikladna kako za velike tako i za male organizacije, kako državni tako i komercijalni sektor. Verzije CRAMM softvera koje ciljaju različite vrste organizacija razlikuju se jedna od druge po bazama znanja (profilima). Postoji komercijalni profil za komercijalne organizacije i državni profil za vladine organizacije. Državna verzija profila također omogućuje reviziju usklađenosti sa zahtjevima američkog ITSEC standarda ("Narančasta knjiga").

Kompetentna uporaba CRAMM metode omogućuje vam postizanje vrlo dobrih rezultata, od kojih je možda najvažniji sposobnost ekonomskog opravdanja troškova organizacije za osiguranje informacijske sigurnosti i kontinuiteta poslovanja. Ekonomski razumna strategija upravljanja rizikom u konačnici štedi novac izbjegavajući nepotrebne troškove.

CRAMM uključuje podjelu cijelog postupka u tri uzastopne faze. Zadatak prve faze je odgovoriti na pitanje: "Je li dovoljno zaštititi sustav pomoću alata osnovne razine koji implementiraju tradicionalne sigurnosne funkcije ili je potrebno provesti detaljniju analizu?" U drugoj fazi identificiraju se rizici i procjenjuje njihova veličina. U trećoj fazi rješava se pitanje odabira adekvatnih protumjera.

CRAMM metodologija za svaku fazu definira skup početnih podataka, slijed aktivnosti, upitnike za intervjue, kontrolne liste i skup izvještajnih dokumenata.

Ako se prema rezultatima prve faze utvrdi da je razina kritičnosti resursa vrlo niska i da postojeći rizici sigurno neće prijeći određenu osnovnu razinu, tada se sustavu nameće minimalni skup sigurnosnih zahtjeva. U tom slučaju se većina aktivnosti druge faze ne provodi, a provodi se prijelaz na treću fazu, u kojoj se generira standardni popis protumjera kako bi se osigurala usklađenost s osnovnim skupom sigurnosnih zahtjeva.

Druga faza je analiza sigurnosnih prijetnji i ranjivosti. Početne podatke za procjenu prijetnji i ranjivosti revizor dobiva od ovlaštenih predstavnika organizacije tijekom odgovarajućih intervjua. Za vođenje intervjua koriste se specijalizirani upitnici.

U trećoj fazi rješava se problem upravljanja rizikom koji se sastoji u odabiru adekvatnih protumjera.

Odluku o uvođenju novih sigurnosnih mehanizama u sustav i modificiranju starih donosi menadžment organizacije, uzimajući u obzir povezane troškove, njihovu prihvatljivost i krajnju korist za poslovanje. Zadatak revizora je opravdati preporučene protumjere za upravljanje organizacijom.

Ako se donese odluka o uvođenju novih protumjera i izmjeni starih, revizor može dobiti zadatak da pripremi plan za provedbu novih protumjera i ocjeni učinkovitost njihove primjene. Rješenje ovih problema je izvan dosega CRAMM metode.

Konceptualni dijagram CRAMM ankete prikazan je na slici.

CRAMM analiza rizika i proces upravljanja

Revizijski postupak u CRAMM metodi je formaliziran. U svakoj fazi generira se prilično velik broj srednjih i završnih izvješća.

Dakle, u prvoj fazi kreiraju se sljedeće vrste izvješća:

Model resursa koji sadrži opis resursa koji spadaju u granice studije i odnosa između njih;
Procjena kritičnosti resursa;
Rezultirajuće izvješće o prvoj fazi analize rizika, koje sažima rezultate dobivene tijekom ankete.

U drugoj fazi ankete izrađuju se sljedeće vrste izvješća:

Rezultati procjene razine prijetnji i ranjivosti;
Rezultati procjene veličine rizika;
Rezultirajuće izvješće o drugoj fazi analize rizika.

Na temelju rezultata treće faze ankete generiraju se sljedeće vrste izvješća:

Preporučene protumjere;
Detaljna sigurnosna specifikacija;
Procjena troškova preporučenih protumjera;
Popis protumjera poredanih prema njihovim prioritetima;
Rezultirajuće izvješće o trećoj fazi ankete;
Sigurnosna politika, koja uključuje opis sigurnosnih zahtjeva, strategija i principa zaštite IP-a;
Popis sigurnosnih mjera.

Samo visokokvalificirani revizor koji je prošao obuku može ispravno primijeniti CRAMM metodu. Ako organizacija ne može priuštiti zadržavanje takvog stručnjaka u osoblju, tada bi najispravnije rješenje bilo pozvati revizorsku tvrtku s osobljem stručnjaka s praktičnim iskustvom u primjeni CRAMM metode.

Rezimirajući praktična iskustva korištenja CRAMM metode pri provođenju sigurnosne revizije, mogu se izvući sljedeći zaključci o prednostima i slabostima ove metode:

Jake strane CRAMM metode uključuju sljedeće:

CRAMM je dobro strukturirana i široko testirana metoda analize rizika koja vam omogućuje da dobijete stvarne praktične rezultate;
CRAMM softverski alati mogu se koristiti u svim fazama revizije sigurnosti IS-a;
Softverski proizvod temelji se na prilično opsežnoj bazi znanja o protumjerama u području informacijske sigurnosti, temeljenoj na preporukama standarda BS 7799;
Fleksibilnost i svestranost CRAMM metode omogućuje da se koristi za reviziju IS-a bilo koje razine složenosti i svrhe;
CRAMM se može koristiti kao alat za razvoj organizacijskog plana kontinuiteta poslovanja i politike informacijske sigurnosti;
CRAMM se može koristiti kao sredstvo za dokumentiranje sigurnosnih mehanizama IC.

Nedostaci CRAMM metode uključuju sljedeće:

Primjena CRAMM metode zahtijeva posebnu obuku i visoke kvalifikacije revizora;
CRAMM je mnogo prikladniji za reviziju već postojećih IS-a u operativnoj fazi nego za IS u fazi razvoja;
CRAMM revizija je prilično naporan proces i može zahtijevati mjeseci kontinuiranog rada revizora;
CRAMM softverski alat generira veliku količinu papirnate dokumentacije, što nije uvijek korisno u praksi;
CRAMM vam ne dopušta izradu vlastitih predložaka izvješća ili izmjenu postojećih;
Mogućnost dopune baze znanja CRAMM korisnicima nije dostupna, što uzrokuje određene poteškoće u prilagođavanju ove metode potrebama određene organizacije.

RiskWatch

RiskWatch softver, razvijen od strane američke tvrtke RiskWatch, Inc., moćan je alat za analizu i upravljanje rizicima. Obitelj RiskWatch uključuje softverske proizvode za različite vrste sigurnosnih revizija. Uključuje sljedeće alate za reviziju i analizu rizika:

RiskWatch za fizičku sigurnost - za fizičke metode zaštite IP-a;
RiskWatch za informacijske sustave - za informacijske rizike;
HIPAA-SAT za zdravstvenu industriju - za procjenu usklađenosti sa zahtjevima HIPAA standarda;
RiskWatch RW17799 za ISO17799 - za procjenu zahtjeva standarda ISO17799.

Metoda RiskWatch koristi “Očekivano godišnji gubitak (ALE)” i “Povrat ulaganja (ROI)” kao kriterije za procjenu i upravljanje rizikom. RiskWatch obitelj softverskih proizvoda ima mnoge prednosti. Nedostaci ovog proizvoda uključuju njegovu relativno visoku cijenu.

KOBRA

COBRA (Consultative Objective and Bi-Functional Risk Analysis), razvijen od strane Risk Associates, je alat za analizu i procjenu rizika za usklađenost IP-a s ISO17799. COBRA implementira metode kvantitativne procjene rizika kao i alate za savjetovanje i sigurnosnu provjeru. Prilikom razvoja COBRA alata korišteni su principi izgradnje ekspertnih sustava, opsežna baza znanja o prijetnjama i ranjivostima, kao i veliki broj upitnika koji su uspješno primijenjeni u praksi. COBRA obitelj softverskih proizvoda uključuje COBRA ISO17799 savjetnika za sigurnost, COBRA analitičara usklađenosti s pravilima i COBRA savjetnika za zaštitu podataka.

Sustav prijatelja

Softverski proizvod Buddy System koji je razvila Countermeasures Corporation je još jedan softverski proizvod koji omogućuje kvantitativnu i kvalitativnu analizu rizika. Sadrži napredne alate za izvješćivanje. Glavni naglasak pri korištenju Buddy sustava stavljen je na informacijske rizike povezane s kršenjem fizičke sigurnosti i upravljanja projektom.

Standardi koji se koriste u provođenju sigurnosnih revizija informacijskih sustava

U ovom dijelu daje se pregled standarda informacijske sigurnosti koji su najznačajniji i najperspektivniji s gledišta njihove uporabe za provođenje sigurnosne revizije IS-a.

U posljednje vrijeme rezultat revizije sve više postaje certifikat koji potvrđuje usklađenost provjerenog IP-a sa zahtjevima priznate međunarodne norme. Prisutnost takvog certifikata omogućuje organizaciji stjecanje konkurentskih prednosti povezanih s većim povjerenjem kupaca i partnera.

Važnost međunarodnih standarda ISO17799 i ISO15408 teško se može precijeniti. Ovi standardi služe kao osnova za svaki rad na području informacijske sigurnosti, uključujući i reviziju. ISO17799 se fokusira na organizaciju i upravljanje sigurnošću, dok ISO15408 definira detaljne zahtjeve za softverske i hardverske mehanizme za zaštitu informacija.

Specifikacija SysTrust odabrana je za pregled jer sada ga naširoko koriste revizorske tvrtke koje tradicionalno obavljaju financijske revizije za svoje klijente i nude usluge IT revizije kao dopunu financijskim revizijama.

Njemački standard "BSI \ IT Baseline Protection Manual" sadrži, možda, najinformativniji vodič za IT sigurnost i od nedvojbene je praktične vrijednosti za sve profesionalce koji se bave informacijskom sigurnošću.

SCORE standardi i smjernice za informacijsku sigurnost namijenjeni su tehničkim stručnjacima i danas su tehnički najnapredniji.

Program za certificiranje internetskih stranica za zahtjeve informacijske sigurnosti i odgovarajuću specifikaciju "SANS / GIAC Site Certification" koju je predložio Institut SANS zaslužuje razmatranje u vezi sa stalno rastućom relevantnošću pitanja zaštite IP-a organizacija od napada s Interneta. i povećanje udjela relevantnog posla tijekom sigurnosnih revizija. ...

ISO 17799: Kodeks prakse za upravljanje sigurnošću informacija

Najpotpuniji kriteriji za ocjenjivanje sigurnosnih mehanizama na organizacijskoj razini predstavljeni su u međunarodnoj normi ISO 17799: Kodeks prakse za upravljanje sigurnošću informacija, usvojenoj 2000. godine. ISO 17799 razvijen je iz britanskog standarda BS 7799.

ISO 17799 može se koristiti kao kriterij za ocjenjivanje sigurnosnih mehanizama na organizacijskoj razini, uključujući administrativne, proceduralne i fizičke mjere zaštite.

Osnovna pravila podijeljena su u sljedećih 10 odjeljaka:

Sigurnosna politika
Organizacija zaštite
Klasifikacija i kontrola resursa
Sigurnost osoblja
Fizičko osiguranje
Administracija računalnih sustava i računalnih mreža
Kontrola pristupa
Razvoj i održavanje informacijskih sustava
Planiranje kontinuiteta poslovanja
Praćenje usklađenosti sa zahtjevima sigurnosne politike

Deset kontrola predloženih u ISO 17799 (identificiranih kao ključne) smatraju se od posebne važnosti. Kontrole se u ovom kontekstu shvaćaju kao mehanizmi za upravljanje informacijskom sigurnošću organizacije.

Neke kontrole, kao što je šifriranje podataka, mogu zahtijevati savjete o sigurnosti i procjenu rizika kako bi se utvrdilo jesu li potrebne i kako se trebaju implementirati. Kako bi se osigurala višu razinu zaštite za posebno vrijednu imovinu ili za suzbijanje posebno ozbiljnih sigurnosnih prijetnji, u nekim slučajevima mogu biti potrebne jače kontrole koje nadilaze opseg ISO 17799.

Deset ključnih kontrola navedenih u nastavku su ili obvezni zahtjevi, kao što su pravni zahtjevi, ili se smatraju bitnim građevnim blokovima informacijske sigurnosti, kao što je sigurnosna obuka. Ove kontrole su relevantne za sve organizacije i okruženja u kojima se radi u NEK i čine osnovu sustava upravljanja informacijskom sigurnošću.

Sljedeće kontrole su ključne:

dokument o politici sigurnosti informacija;
raspodjela odgovornosti za informacijsku sigurnost;
osposobljavanje i priprema osoblja za održavanje režima informacijske sigurnosti;
obavijest o kršenju sigurnosti;
sredstva za zaštitu od virusa;
planiranje nesmetanog rada organizacije;
kontrola nad kopiranjem softvera zaštićenog zakonom o autorskim pravima;
zaštita dokumenata organizacije;
zaštita podataka;
kontrola poštivanja sigurnosne politike.

Postupak revizije sigurnosti IS-a uključuje provjeru dostupnosti navedenih ključnih kontrola, ocjenu potpunosti i ispravnosti njihove provedbe, kao i analizu njihove primjerenosti rizicima koji postoje u ovom radnom okruženju. Analiza i upravljanje rizicima također je sastavni dio revizije sigurnosti IS-a.

ISO 15408: Zajednički kriteriji za ocjenu sigurnosti informacijske tehnologije

Najpotpuniji kriteriji za ocjenjivanje sigurnosnih mehanizama softversko-tehničke razine predstavljeni su u međunarodnoj normi ISO 15408: Common Criteria for Information Technology Security Evaluation, usvojenoj 1999. godine.

Opći kriteriji procjene sigurnosti informacijske tehnologije (u daljnjem tekstu "Opći kriteriji") definiraju sigurnosne funkcionalne zahtjeve i zahtjeve za sigurnosno osiguranje.

Prilikom provođenja radova na analizi sigurnosti IS-a, preporučljivo je koristiti "Opće kriterije" kao glavne kriterije za ocjenu razine sigurnosti nuklearne elektrane sa stajališta cjelovitosti sigurnosnih funkcija implementiranih u njoj i pouzdanosti. provedbe ovih funkcija.

Iako je primjenjivost Zajedničkih kriterija ograničena na sigurnosne mehanizme na razini softvera, oni sadrže specifičan skup sigurnosnih zahtjeva na organizacijskoj razini i zahtjeva fizičke zaštite koji su izravno povezani s opisanim sigurnosnim funkcijama.

Prvi dio "Općih kriterija" sadrži definiciju općih pojmova, pojmova, opis modela i metodologije za procjenu informatičke sigurnosti. Uvodi konceptualni aparat, te definira principe formaliziranja predmetnog područja.

Zahtjevi za funkcionalnost zaštitne opreme dati su u drugom dijelu "Općih kriterija" i mogu se izravno koristiti u analizi sigurnosti za ocjenu cjelovitosti sigurnosnih funkcija implementiranih u IS.

Treći dio "Općih kriterija", uz ostale zahtjeve za primjerenost implementacije sigurnosnih funkcija, sadrži klasu zahtjeva za analizu ranjivosti sredstava i zaštitnih mehanizama pod nazivom AVA: Procjena ranjivosti. Ova klasa zahtjeva definira metode koje se trebaju koristiti za sprječavanje, prepoznavanje i uklanjanje sljedećih vrsta ranjivosti:

Prisutnost bočnih kanala curenja informacija;
Pogreške u konfiguraciji ili zlouporaba sustava, što dovodi do prijelaza sustava u nesigurno stanje;
Nedovoljna pouzdanost (trajnost) sigurnosnih mehanizama koji provode odgovarajuće sigurnosne funkcije;
Prisutnost ranjivosti ("rupa") u sredstvima zaštite informacija, omogućujući korisnicima da dobiju neovlašteni pristup informacijama zaobilazeći postojeće mehanizme zaštite.

Prilikom obavljanja poslova sigurnosne revizije, ovi se zahtjevi mogu koristiti kao vodič i kriterij za analizu ranjivosti IS-a.

SysTrust

Kao takva, revizija informacijske tehnologije, iako nije povezana s financijskom revizijom, često joj je dodatak kao komercijalna usluga koju revizorske tvrtke nude svojim klijentima, zbog sve veće ovisnosti poslovanja klijenata o IT-u. Ideja je da korištenje pouzdanih i sigurnih IT sustava u određenoj mjeri jamči pouzdanost financijskih izvještaja organizacije. Dobri rezultati IT revizije u nekim slučajevima omogućuju obavljanje financijske revizije u skraćenom obliku, čime se klijentima štedi vrijeme i novac.

Kao odgovor na poslovne potrebe, Američki institut ovlaštenih računovođa (AICPA) i Kanadski institut ovlaštenih računovođa (CICA) razvili su SysTrust standard za IT reviziju, koji nadopunjuje financijsku reviziju. SysTrust omogućuje financijskim revizorima da prošire svoj opseg korištenjem jednostavnog i razumljivog skupa zahtjeva za procjenu pouzdanosti i sigurnosti IP-a.

U standardu SysTrust, IS se ocjenjuje u smislu njegove dostupnosti, sigurnosti, integriteta i mogućnosti održavanja.

Pristupačnost se tradicionalno shvaća kao sposobnost IS-a da pruža informacijske usluge u bilo kojem načinu rada i pod bilo kojim opterećenjem predviđenim uvjetima njegovog rada, uz kašnjenja koja ne prelaze utvrđene zahtjeve.

Sigurnost se shvaća kao zaštita IS-a od fizičkog i logičkog neovlaštenog pristupa. Sredstva za razgraničenje fizičkog i logičkog pristupa resursima IS-a uglavnom se smatraju sredstvom za osiguranje sigurnosti.

Integritet se shvaća kao sposobnost IS-a da osigura očuvanje takvih svojstava informacija koje se obrađuju u sustavu kao što su potpunost, točnost, relevantnost, pravovremenost i autentičnost.

Operativna pouzdanost IS-a određena je sposobnošću promjene konfiguracije i ažuriranja sustava kako bi se osigurala njegova svojstva kao što su dostupnost, sigurnost i integritet.

Kriteriji za procjenu opisana četiri svojstva IS-a definirani su u dokumentu AICPA/CICA SysTrust Principles and Criteria for Systems Reliability, Verzija 2.0.

Tijekom certificiranja prema zahtjevima standarda SysTrust (angažman SysTrust), revizor ocjenjuje usklađenost IP-a s kriterijima dostupnosti, sigurnosti, integriteta i operativne pouzdanosti (SysTrust principi i kriteriji), provjeravajući da li sustav ima potrebne kontrole. Revizor zatim testira kontrole kako bi utvrdio rade li i učinkovite. Ako, kao rezultat testiranja, IS zadovoljava kriterije SysTrust, revizor izdaje nekvalificirano izvješće o ovjeri. U izvješću se formuliraju zaključci o potpunosti i učinkovitosti provedbe od strane menadžmenta organizacije kontrolnih mehanizama u certificiranom IS-u. Uz atestacijsko izvješće, revizor izrađuje opći opis provjerenog IP-a. U mnogim slučajevima priprema se i tvrdnja menadžmenta u vezi s učinkovitosti kontrola kako bi se osiguralo da IP ispunjava kriterije SysTrust. Angažmani atestiranja (SSAE) br. 10, Standardi ovjeravanja, AT odjeljak 101 "Attest Engagements" ”.)

BSI \ Priručnik za temeljnu zaštitu IT-a

Njemački standard "IT Baseline Protection Manual" razvila je Njemačka agencija za informacijsku sigurnost (BSI - Bundesamt für Sicherheit in der Informationstechnik (Njemačka agencija za informacijsku sigurnost).

Ovaj dokument je možda najopsežniji vodič za informacijsku sigurnost i u mnogočemu nadmašuje sve ostale standarde. Ugodno je i to što je ovaj za revizora najvrjedniji izvor informacija slobodno dostupan na internetu. Sadrži detaljne upute o informacijskoj sigurnosti u odnosu na različite aspekte funkcioniranja IS-a i različitih područja IT-a.

Standard je trenutno u tri sveska i sadrži oko 1600 stranica teksta.

BSI \ IT Baseline Protection Manual se stalno poboljšava kako bi bio ažuriran s trenutnim stanjem umjetnosti u IT sigurnosti. Do danas je prikupljena jedinstvena baza znanja koja sadrži informacije o prijetnjama i protumjerama u dobro strukturiranom obliku.

SCORE Practice Standards i SANS / GIAC program certifikacije mjesta

SCORE (Security Consensus Operational Readiness Evaluation) zajednički je projekt Instituta SANS i Centra za internetsku sigurnost (CIS). Stručnjaci za informacijsku sigurnost iz različitih organizacija okupili su se u okviru projekta SCORE kako bi razvili osnovni (minimalno potrebni) skup sigurnosnih praksi i smjernica za različite operativne platforme. Zahtjevi i preporuke predložene za uključivanje u standarde naširoko se raspravljaju i provjeravaju od strane sudionika SCORE projekta, a tek nakon njihovog odobrenja od strane svih sudionika prenose se u CIS, koji se bavi njihovom formalizacijom i dizajnom, a također razvija softverske alate (minimalno mjerila standarda) za operativne platforme za ocjenu sukladnosti s predloženim standardima.

Razvijeni osnovni standardi, zajedno sa smjernicama za osiguravanje usklađenosti s tim standardima i alatima za ispitivanje, objavljeni su na web stranici CIS-a.

GIAC Site Certification program Instituta SANS omogućuje organizacijama provođenje sigurnosnih revizija na internetskim povezanim segmentima računalne mreže u skladu sa SCORE standardima.

Program GIAC Site Certification definira tri razine sigurnosti za internetske stranice. U praksi se trenutno koriste samo prva dva od njih.

Certifikacija web mjesta na prvoj razini uključuje provjeru vanjskih mrežnih adresa organizacije, vidljivih s interneta, radi ranjivosti odgovarajućih hostova na mrežne napade. Na ovoj razini, mjesto bi trebalo biti zaštićeno od najčešćih napada. Potreban je nedostatak najozbiljnijih i najčešćih sigurnosnih propusta. Postoje i određeni zahtjevi za razinu kvalifikacija stručnjaka odgovornih za osiguranje sigurnosti stranice.

Druga razina zahtijeva sve provjere i poštivanje svih zahtjeva prve razine, a također zahtijeva povremeni pregled politika i procedura mrežne sigurnosti. Također na drugoj razini, stranica se provjerava radi zaštite od mrežnih napada pokušajem prodora i hakiranja sustava spojenih na Internet.

Na trećoj razini, osim osiguravanja usklađenosti sa svim zahtjevima druge razine, potrebno je i redovito skeniranje mreže iznutra kako bi se zaštitili od prijetnji insajdera, kao i vanjskih napadača koji pokušavaju prevladati sigurnosne mehanizme. perimetra vanjske mreže korištenjem naprednih metoda, uključujući društveni inženjering. ...

Od razine do razine, zahtjevi za stručnim kvalifikacijama, organizacijska struktura sigurnosnih jedinica, postojanje formalnih politika i procedura, te ozbiljnost i dubina testova koji se koriste za testiranje sigurnosnih mehanizama internetskih stranica organizacije postaju sve stroži.

zaključke

Revizija je neovisno ispitivanje određenih područja funkcioniranja organizacije, koje se provodi na inicijativu njezine uprave ili dioničara ili u skladu s planom interne revizije. Glavni ciljevi sigurnosne revizije su:

analiza rizika povezanih s mogućnošću sigurnosnih prijetnji u odnosu na resurse IS-a;
procjena postojeće razine sigurnosti IP-a;
lokalizacija uskih grla u sustavu zaštite IP;
procjena usklađenosti IS-a s postojećim standardima u području informacijske sigurnosti;
razvoj preporuka za implementaciju novih i povećanje učinkovitosti postojećih mehanizama sigurnosti IS-a.

Radovi revizije sigurnosti IS-a uključuju niz uzastopnih faza:

Pokretanje ankete
Prikupljanje informacija
Analiza primljenih podataka
Izrada preporuka
Izrada izvješća o rezultatima ankete
Pristupi revizije sigurnosti mogu se temeljiti na analizi rizika, oslanjati se na korištenje standarda informacijske sigurnosti ili kombinirati oba ova pristupa.

Trenutno postoji širok izbor metoda analize i upravljanja rizicima te softvera koji ih implementira. Neki od njih su razmatrani u ovom članku.

Jedan od najmoćnijih i najsvestranijih alata za analizu rizika je CRAMM metoda. CRAMM softver, osim analize i upravljanja rizicima, također vam omogućuje rješavanje niza drugih revizijskih zadataka, uključujući:

Provođenje IP izmjere i izdavanje prateće dokumentacije u svim fazama izvida;
Revizija u skladu sa zahtjevima britanske vlade, kao i BS 7799: 1995 - Kodeks prakse za upravljanje sigurnošću informacija BS7799;
Izrada sigurnosne politike i plana kontinuiteta poslovanja.

Kompetentna uporaba CRAMM metode omogućuje vam postizanje dobrih rezultata, od kojih je možda najvažniji sposobnost ekonomskog opravdanja troškova organizacije za osiguranje informacijske sigurnosti i kontinuiteta poslovanja.

U posljednje vrijeme rezultat revizije sve više postaje certifikat koji potvrđuje usklađenost provjerenog IP-a sa zahtjevima priznate međunarodne norme. Ovaj članak govori o nekoliko standarda i programa certificiranja koji su od praktične vrijednosti.

Međunarodne norme ISO17799 i ISO15408 služe kao osnova za svaki rad na području informacijske sigurnosti, uključujući i reviziju. ISO17799 se fokusira na organizaciju i upravljanje sigurnošću, dok ISO15408 definira detaljne zahtjeve za softverske i hardverske mehanizme za zaštitu informacija.

SysTrust specifikaciju sada naširoko koriste revizorske tvrtke koje tradicionalno obavljaju financijske revizije za svoje klijente i nude usluge IT revizije kao dopunu financijskim revizijama.

Njemački standard "BSI \ IT Baseline Protection Manual" je najopsežniji vodič za IT sigurnost i od nedvojbene je praktične vrijednosti za sve profesionalce uključene u informacijsku sigurnost.

SCORE-ove prakse i smjernice za informacijsku sigurnost usmjerene su na tehničare i tehnički su najnaprednije.

Program certificiranja internetskih stranica za zahtjeve informacijske sigurnosti i odgovarajuću specifikaciju "SANS / GIAC Site Certification", koju je nedavno predložio Institut SANS, nedvojbeno zaslužuje pozornost zbog stalno rastuće važnosti pitanja zaštite IP-a organizacija od napada s Interneta. te povećanje udjela relevantnih poslova.prilikom provođenja sigurnosne revizije.

Literatura i poveznice

ISACA rusko poglavlje. Tečaj pripreme za ispit CISA. travanj-svibanj 2001.
CRAMM v.4.0 Korisnički vodič.
Što je CRAMM? http://www.gammassl.co.uk/topics/hot5.html
SANS / GIAC program certifikacije web-mjesta, http://www.sans.org/SCORE
SysTrust Services, http://www.aicpa.org/assurance/systrust/index.htm
Ernst & Young (CIS) Limited, Izvješće neovisnog računovođe, https://processcertify.ey.com/vimpelcom2/vimpelcom_opinion.html
BSI / IT Baseline Protection Manual, http://www.bsi.bund.de/gshb/english/menue.htm
Aleksandar Astahov. Analiza sigurnosti automatiziranih sustava, GLOBALTRUST.RU, 2002.,

Organizacija revizije informacijske sigurnosti informacijskog sustava

Andrushka Igor Moldavska ekonomska akademija
KRAVATA - 238

Uvod

Suvremeni informacijski sustav organizacije je distribuiran i heterogen sustav koji koristi različite softverske i hardverske komponente i ima izlazne točke u javnoj mreži. (npr. internet)... U tom smislu, zadatak ispravne i sigurne konfiguracije komponenti i osiguravanja sigurne interakcije između njih postaje znatno složeniji, a kao rezultat toga, povećava se broj ranjivosti u sustavu.

Prisutnost ranjivosti u sustavu omogućuje potencijalnom uljezu da provede uspješan napad i ošteti aktivnosti organizacije. Pojava "slabih točaka" može biti posljedica raznih razloga, kao objektivnog (npr. nedostaci u temeljnom softveru) i subjektivno (na primjer, netočna konfiguracija hardvera) .

Identificiranje i uklanjanje ranjivosti, kao i procjena ukupne razine sigurnosti iznimno je važna komponenta sigurnosti koja vam omogućuje značajno povećanje razine sigurnosti informacija i drugih resursa sustava.

Riža. 1 Uloga revizije informacijske sigurnosti

Ciljevi i svrha revizije

Glavni ciljevi revizije informacijske sigurnosti uključuju sljedeće:

· Dobivanje objektivne i neovisne procjene trenutnog stanja sigurnosti informacijskih resursa.

· Dobivanje maksimalnog povrata sredstava uloženih u stvaranje informacijskog sigurnosnog sustava.

· Procjena moguće štete od neovlaštenih radnji.

· Razvoj zahtjeva za izgradnju sustava informacijske sigurnosti.

· Određivanje područja odgovornosti djelatnika odjela.

· Proračun potrebnih sredstava.

· Izrada redoslijeda i slijeda implementacije sustava informacijske sigurnosti.

Revizija se može provesti na sljedeće načine:

· Sveobuhvatna revizija- prije izrade sustava informacijske sigurnosti

· Točka- formiranje zahtjeva za modernizaciju sustava zaštite

· Periodični- vanjska rutinska provjera razine sigurnosti sustava.

· Verifikacija- ispitivanje i ocjenjivanje korištenih ili planiranih sustava i rješenja.

Faze revizije

Proces revizije informacijskih sustava može se predstaviti u obliku svojevrsnih pondera (sl. 2), gdje se s jedne strane smatraju sustavi sigurnosti pristupa, s druge kontrola poslovnih procesa, a kao podrška služi tehnička infrastruktura koja se pak temelji na prihvaćenim metodama autorizacije, konfiguraciji sustava, kao i na politike i procedure usvojene u organizacijama.

Riža. 2 Proces revizije informacijskih sustava

Radovi na reviziji IS sigurnosti uključuju niz uzastopnih faza (slika 3.), koje općenito odgovaraju fazama sveobuhvatne revizije IS-a, koja uključuje sljedeće:

2. Provođenje sigurnosne procjene – uključuje rad na otkrivanju ranjivosti tehničke opreme, analizu tehnološke sigurnosti, kao i primjerenosti organizacijskih postupaka. Na temelju uočenih nedostataka provodi se procjena rizika, uključujući glavne načine prevladavanja sustava zaštite, stupanj kritičnosti i mogućnost implementacije;

3. atestiranje sustava - obuhvaća mjere za ispitivanje (ocjenu) postojećih mjera i mjera zaštite informacija, ocjenu njihove primjerenosti, kao i usklađenosti sa zahtjevima vodećih standarda;

4. Na temelju rezultata revizije izrađuje se plan za otklanjanje uočenih nedostataka. Zadatak planiranja je odrediti prioritete za otklanjanje uočenih nedostataka, razviti redoslijed i metodologiju za njihovo otklanjanje. Dodatno, planira se izrada idejnih i proceduralnih dokumenata, kao što su Koncept informacijske sigurnosti, Opći zahtjevi i preporuke za zaštitu informacija, Sigurnosna politika itd.

Slika 3. Faze revizije informacijske sigurnosti

Ovisno o ciljevima i načinu provođenja revizije informacijske sigurnosti, inicijator ovog događaja, kako je već navedeno, je zainteresirana strana. Najčešći pokretač revizije je organizacija koju predstavlja njezin menadžment.

U pravilu se u fazi anketiranja rješavaju sljedeća organizacijska pitanja:

Prava i obveze revizora jasno su definirana i dokumentirana u opisu poslova, kao i u odredbi o internim (vanjski) revizija;

· Revizor priprema i slaže se s menadžmentom plana revizije informacijske sigurnosti.

Faza ankete također definira opseg ankete. Granice istraživanja obično se definiraju u sljedećim terminima:

· Popis pregledanih fizičkih, softverskih i informacijskih resursa;

Platforme (prostor) koji spadaju u opseg istraživanja;

· Glavne vrste sigurnosnih prijetnji koje se razmatraju tijekom revizije;

Organizacijski (zakonodavni, upravni i proceduralni) fizičke, softverske i hardverske te druge sigurnosne aspekte koje je potrebno uzeti u obzir tijekom istraživanja i njihove prioritete (u kojoj mjeri ih treba uzeti u obzir) .

Nakon toga slijedi prikupljanje revizijskih informacija, koje je najteže i dugotrajno. To je u pravilu povezano s nedostatkom potrebne dokumentacije za informacijski sustav i s potrebom za bliskom interakcijom revizora s mnogim službenicima organizacije.

· Opis automatiziranih funkcija;

· Shema tokova informacija;

· Opis strukture kompleksa tehničkih sredstava informacijskog sustava;

· Opis strukture softvera;

· Opis strukture informacijske potpore;

· Opis tehničkih specifikacija korištenih aplikacija;

Nadalje, revizoru su potrebne detaljnije informacije o strukturi IP-a. Time je moguće saznati kako se distribucija sigurnosnih mehanizama provodi po strukturnim elementima i razinama funkcioniranja IS-a.

Izrada značajnog dijela IS dokumentacije obično se provodi već tijekom revizije. Kada su svi potrebni IP podaci, uključujući dokumentaciju, pripremljeni, možete prijeći na sljedeću fazu - njihovu analizu

Metode analize podataka koje koriste revizori određene su odabranim revizijskim pristupom, koji se može značajno razlikovati. Ali općenito se mogu razlikovati 3 pristupa:

Prvi pristup, najteže, temelji se na analizi rizika. Na temelju metoda analize rizika, revizor za ispitivani IS utvrđuje individualni skup sigurnosnih zahtjeva koji u najvećoj mjeri uzima u obzir značajke ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u tom okruženju. Ovaj pristup oduzima najviše vremena i zahtijeva najviše kvalifikacije revizora. Na kvalitetu rezultata revizije, u ovom slučaju, snažno utječe metodologija koja se koristi za analizu i upravljanje rizikom te njezina primjenjivost na ovu vrstu IP-a.

Pošaljite svoj dobar rad u bazu znanja je jednostavno. Upotrijebite obrazac u nastavku

Studenti, diplomski studenti, mladi znanstvenici koji koriste bazu znanja u svom studiju i radu bit će vam jako zahvalni.

Objavljeno na http://www.allbest.ru/

Uvod

Revizija je oblik neovisne, neutralne kontrole bilo koje djelatnosti trgovačkog poduzeća, koja se široko koristi u praksi tržišnog gospodarstva, posebno u području računovodstva. Jednako važna s gledišta cjelokupnog razvoja poduzeća je i njegova sigurnosna revizija, koja uključuje analizu rizika povezanih s mogućnošću sigurnosnih prijetnji, posebno u odnosu na informacijske resurse, procjenu trenutne razine sigurnosti poduzeća. informacijski sustavi (IS), lokalizacija uskih grla u njihovom sustavu zaštite, procjena usklađenosti IS-a s postojećim standardima u području informacijske sigurnosti te izrada preporuka za implementaciju novih i povećanje učinkovitosti postojećih sigurnosnih mehanizama IS-a.

Ako govorimo o glavnom cilju revizije informacijske sigurnosti, onda se može definirati kao procjena razine sigurnosti informacijskog sustava poduzeća za upravljanje njime u cjelini, uzimajući u obzir izglede za njegov razvoj.

U suvremenim uvjetima, kada informacijski sustavi prodiru u sve sfere poslovanja poduzeća, a uzimajući u obzir potrebu za njihovom vezom s internetom, pokazuju se otvorenim za implementaciju unutarnjih i vanjskih prijetnji, problem informacijske sigurnosti ne postaje ništa manji. važnije od ekonomske ili fizičke sigurnosti.

Unatoč važnosti problema koji se razmatra za izobrazbu stručnjaka za informacijsku sigurnost, on još nije uvršten kao zaseban predmet u postojeće nastavne planove i programe i nije razmatran u udžbenicima i nastavnim sredstvima. To je bilo zbog nedostatka potrebnog regulatornog okvira, nepripremljenosti stručnjaka i nedovoljnog praktičnog iskustva u području revizije informacijske sigurnosti.

Opća struktura rada uključuje sljedeći slijed pitanja koja se razmatraju:

Opisan je model izgradnje sustava informacijske sigurnosti (IS) koji uzima u obzir prijetnje, ranjivosti, rizike i protumjere koje se poduzimaju za njihovo smanjenje ili sprječavanje;

Razmatraju se metode analize i upravljanja rizicima;

Prikazani su osnovni koncepti sigurnosne revizije i dane su karakteristike ciljeva njezine provedbe;

Analizira glavne međunarodne i ruske standarde koji se koriste u reviziji IS-a;

Prikazane su mogućnosti korištenja softverskih alata za provođenje revizije IS-a;

Odabir opisane strukture udžbenika napravljen je kako bi se što više povećala orijentacija studenta na praktičnu upotrebu predmetnog gradiva, prvo, prilikom izučavanja nastavnog predmeta, drugo, prilikom polaganja industrijske prakse (analiza stanja informacijske sigurnosti). u poduzeću), i treće, kod izvođenja seminarskih i diplomskih radova.

Prezentirani materijal može biti koristan rukovoditeljima i zaposlenicima sigurnosnih službi i službi zaštite informacija poduzeća za pripremu i provođenje interne i opravdavanje potrebe eksterne revizije informacijske sigurnosti.

Poglavlje I. Sigurnosna revizija i metode njezine provedbe

1.1 Koncept sigurnosne revizije

Revizija je neovisno ispitivanje specifičnih područja funkcioniranja organizacije. Razlikovati vanjsku i internu reviziju. Vanjska revizija je u pravilu jednokratni događaj koji iniciraju uprava ili dioničari organizacije. Preporuča se redovito provoditi eksternu reviziju, a primjerice za mnoge financijske organizacije i dionička društva to je obvezan zahtjev od strane njihovih osnivača i dioničara. Unutarnja revizija je kontinuirana djelatnost koja se provodi na temelju "Pravilnika o unutarnjoj reviziji" iu skladu s planom, čiju izradu provode jedinice sigurnosne službe, a odobrava uprava organizacije.

Ciljevi sigurnosne revizije su:

analiza rizika povezanih s mogućnošću provedbe sigurnosnih prijetnji u odnosu na resurse;

Procjena postojeće razine IP sigurnosti;

Lokalizacija uskih grla u sustavu zaštite IP;

Procjena usklađenosti IS-a s postojećim standardima u području informacijske sigurnosti;

Sigurnosna revizija poduzeća (tvrtke, organizacije) treba se smatrati povjerljivim alatom upravljanja, isključujući mogućnost davanja informacija o rezultatima njegovih aktivnosti trećim stranama i organizacijama u svrhu tajnosti.

Za provođenje revizije sigurnosti poduzeća može se preporučiti sljedeći slijed radnji.

1. Priprema za sigurnosnu reviziju:

odabir objekta revizije (tvrtka, pojedinačne zgrade i prostori, pojedinačni sustavi ili njihove komponente);

Stvaranje tima stručnih revizora;

Određivanje opsega i opsega revizije te određivanje konkretnih rokova.

2. Provođenje revizije:

opća analiza sigurnosnog statusa revidiranog objekta;

Registriranje, prikupljanje i provjera statističkih podataka i rezultata instrumentalnih mjerenja opasnosti i prijetnji;

Procjena rezultata ispitivanja;

Izrada izvješća o rezultatima provjere po pojedinim komponentama.

3. Završetak revizije:

izrada završnog izvješća;

Izrada akcijskog plana za otklanjanje uskih grla i nedostataka u osiguranju sigurnosti poduzeća.

Za uspješno provođenje sigurnosne revizije morate:

Aktivno sudjelovanje uprave društva u njegovom vođenju;

Objektivnost i neovisnost revizora (stručnjaka), njihova kompetentnost i visoka profesionalnost;

Jasno strukturiran postupak provjere;

Aktivna provedba predloženih mjera za osiguranje i poboljšanje sigurnosti.

Sigurnosna revizija je zauzvrat učinkovit alat za procjenu sigurnosti i upravljanje rizikom. Sprječavanje sigurnosnih prijetnji također znači zaštitu gospodarskih, društvenih i informacijskih interesa poduzeća.

Dakle, možemo zaključiti da revizija sigurnosti postaje instrument gospodarskog upravljanja.

Ovisno o obujmu analiziranih objekata poduzeća, određuje se opseg revizije:

Sigurnosna revizija cijelog poduzeća u cjelini;

Sigurnosna revizija pojedinih zgrada i prostora (namjenski prostori);

Revizija opreme i tehničkih sredstava pojedinih vrsta i vrsta;

Revizija pojedinih vrsta i područja djelatnosti: gospodarska, ekološka, informacijska, financijska itd.

Treba naglasiti da se revizija ne provodi na inicijativu revizora, već na inicijativu uprave društva koja je u ovom pitanju glavni dionik. Podrška menadžmenta tvrtke preduvjet je za reviziju.

Prava i obveze revizora trebaju biti jasno definirane i dokumentirane u opisu njegovih poslova, kao i u propisu o unutarnjoj (vanjskoj) reviziji;

Revizor treba pripremiti plan revizije i dogovoriti se s menadžmentom;

Propisom o unutarnjoj reviziji treba posebno biti propisano da su zaposlenici poduzeća obvezni pomagati revizoru i dati sve podatke potrebne za reviziju.

U fazi pokretanja postupka revizije potrebno je definirati opseg ankete. Ako neki informacijski podsustavi poduzeća nisu dovoljno kritični, mogu se isključiti iz opsega istraživanja.

Ostali podsustavi možda neće biti podvrgnuti reviziji zbog razloga povjerljivosti.

Opseg istraživanja definiran je u sljedećim kategorijama:

1. Popis pregledanih fizičkih, softverskih i informacijskih izvora.

2. Lokacije (prostorije) koje spadaju u granice istraživanja.

3. Glavne vrste sigurnosnih prijetnji koje se razmatraju tijekom revizije.

4. Organizacijske (zakonodavne, administrativne i proceduralne), fizičke, softversko-tehničke i druge aspekte sigurnosti koje je potrebno uzeti u obzir tijekom istraživanja, te njihove prioritete (u kojoj mjeri ih treba uzeti u obzir).

O planu i granicama revizije raspravlja se na radnom sastanku na kojem sudjeluju revizori, uprava tvrtke i voditelji strukturnih odjela.

Za razumijevanje revizije IS-a kao složenog sustava, njegov konceptualni model, prikazan na sl. 1.1. Ovdje su istaknute glavne komponente procesa:

Objekt revizije:

Svrha revizije:

Riža. 1.1. Konceptualni model revizije informacijske sigurnosti

zahtjevi koje treba ispuniti;

Korištene metode;

Razmjer:

Izvođači;

Red ponašanja.

Sa stajališta organizacije rada tijekom revizije IS-a, postoje tri temeljne faze:

1. prikupljanje informacija;

Ovi koraci su detaljnije razmotreni u nastavku.

1.2 Metode analize podataka u reviziji informacijske sigurnosti

Trenutno postoje tri glavne metode (pristupa) za provođenje revizije, koje se međusobno značajno razlikuju.

Prva metoda, najsloženija, temelji se na analizi rizika. Na temelju metoda analize rizika, revizor za ispitivani IS utvrđuje individualni skup sigurnosnih zahtjeva koji u najvećoj mjeri uzima u obzir značajke ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u tom okruženju. Ovaj pristup oduzima najviše vremena i zahtijeva najviše kvalifikacije revizora. Na kvalitetu rezultata revizije, u ovom slučaju, snažno utječe metodologija koja se koristi za analizu i upravljanje rizikom te njezina primjenjivost na ovu vrstu IP-a.

Druga metoda, najpraktičnija, oslanja se na korištenje standarda informacijske sigurnosti. Standardi definiraju osnovni skup sigurnosnih zahtjeva za široku klasu IS-a, koja je nastala kao rezultat generalizacije svjetske prakse. Standardi mogu definirati različite skupove sigurnosnih zahtjeva, ovisno o razini sigurnosti IS-a koji treba osigurati, njegovoj pripadnosti (komercijalna organizacija ili državna agencija), kao i namjeni (financije, industrija, komunikacije, itd.). U tom slučaju od revizora se traži da ispravno utvrdi skup zahtjeva standarda, čija usklađenost mora biti osigurana za ovaj IS. Također je potrebna metodologija za procjenu ove sukladnosti. Zbog svoje jednostavnosti (standardni skup zahtjeva za reviziju već je unaprijed određen standardom) i pouzdanosti (standard je standard i nitko neće pokušati osporiti njegove zahtjeve), opisani pristup je najčešći u praksi (posebno kada provođenje eksterne revizije). Omogućuje donošenje razumnih zaključaka o stanju IS-a uz minimalne troškove resursa.

Treća metoda, najučinkovitija, uključuje kombiniranje prve dvije.

Ako se za provođenje sigurnosne revizije odabere pristup koji se temelji na riziku, tada se u fazi analize revizijskih podataka obično izvode sljedeće skupine zadataka:

jedan . Analiza IP resursa, uključujući informacijske resurse, softver i hardver, te ljudske resurse.

2. Analiza skupina zadataka koje rješava sustav i poslovni procesi.

3. Izgradnja (neformalnog) modela IP resursa, koji određuje odnos između informacijskih, softverskih, tehničkih i ljudskih resursa, njihov međusobni raspored i metode interakcije.

4. Procjena kritičnosti informacijskih resursa, kao i softvera i hardvera.

5. Određivanje kritičnosti resursa, uzimajući u obzir njihove međuovisnosti.

6. Određivanje najvjerojatnijih sigurnosnih prijetnji u odnosu na IP resurse i sigurnosne ranjivosti koje omogućuju implementaciju tih prijetnji.

7. Procjena vjerojatnosti implementacije prijetnji, veličine ranjivosti i štete za organizaciju u slučaju uspješne implementacije prijetnji.

8. Određivanje veličine rizika za svaku trojku: prijetnja - skupina resursa - ranjivost.

Navedeni skup zadataka je prilično općenit. Za njihovo rješavanje mogu se koristiti različite formalne i neformalne, kvantitativne i kvalitativne, ručne i automatizirane tehnike analize rizika. To ne mijenja bit pristupa.

Prilikom provođenja sigurnosne revizije usklađenosti sa zahtjevima standarda, revizor, oslanjajući se na svoje iskustvo, ocjenjuje primjenjivost zahtjeva norme na provjereni IS i njegovu usklađenost s tim zahtjevima. Podaci o sukladnosti različitih područja funkcioniranja IS-a sa zahtjevima norme obično se prikazuju u tabličnom obliku. Tablica pokazuje koji sigurnosni zahtjevi nisu implementirani u sustav. Na temelju toga izvode se zaključci o usklađenosti ispitivanog IS-a sa zahtjevima standarda i daju preporuke o implementaciji sigurnosnih mehanizama u sustav za osiguranje takve usklađenosti.

1.3 Analiza informacijskih rizika poduzeća

Analiza rizika je ono što treba započeti s izgradnjom bilo kojeg sustava informacijske sigurnosti i ono što je potrebno za provođenje revizije informacijske sigurnosti. Obuhvaća aktivnosti za ispitivanje sigurnosti poduzeća kako bi se utvrdilo koje resurse i od kojih prijetnji treba zaštititi, kao i u kojoj mjeri određene resurse treba zaštititi. Određivanje skupa odgovarajućih protumjera provodi se tijekom upravljanja rizicima. Rizik je određen vjerojatnošću štete i visinom štete na resursima informacijskih sustava (IS) u slučaju sigurnosne prijetnje.

Analiza rizika sastoji se u identificiranju postojećih rizika i procjeni njihove veličine (davanje im kvalitativne ili kvantitativne procjene). Proces analize rizika uključuje rješavanje sljedećih zadataka:

1. Identifikacija ključnih IP resursa.

2. Utvrđivanje važnosti određenih resursa za organizaciju.

3. Identifikacija postojećih sigurnosnih prijetnji i ranjivosti koje čine prijetnje mogućim.

4. Proračun rizika povezanih s provedbom sigurnosnih prijetnji.

IP resursi mogu se kategorizirati na sljedeći način:

Informacijski resursi;

Softver;

Tehnička sredstva (poslužitelji, radne stanice, aktivna mrežna oprema itd.);

Ljudski resursi.

Unutar svake kategorije resursi su podijeljeni u klase i podklase. Potrebno je identificirati samo one resurse koji određuju funkcionalnost IS-a i bitni su sa stajališta osiguranja sigurnosti.

Važnost (ili trošak) resursa određena je količinom štete nanesene u slučaju kršenja povjerljivosti, integriteta ili dostupnosti tog resursa. Obično se razmatraju sljedeće vrste oštećenja:

Podaci su objavljeni, izmijenjeni, izbrisani ili učinjeni nedostupnima;

Hardver je oštećen ili uništen;

Integritet softvera je ugrožen.

Šteta može nastati organizaciji kao rezultat uspješne implementacije sljedećih vrsta sigurnosnih prijetnji:

Lokalni i udaljeni napadi na IP resurse;

Prirodne katastrofe;

Pogreške ili namjerne radnje osoblja IS-a;

Kvarovi IC-a uzrokovani greškama u softveru ili hardverskim kvarovima.

Veličina rizika može se odrediti na temelju cijene resursa, vjerojatnosti pojave prijetnje i veličine ranjivosti pomoću sljedeće formule:

trošak resursa x vjerojatnost prijetnje Rizik = veličina ranjivosti

Pristup temeljen na analizi informacijskih rizika poduzeća najznačajniji je za praksu osiguranja informacijske sigurnosti. To je zbog činjenice da vam analiza rizika omogućuje učinkovito upravljanje informacijskom sigurnošću poduzeća. Za to je na početku analize rizika potrebno utvrditi što je točno podvrgnuto zaštiti u poduzeću, kakvim je prijetnjama izloženo, te prema praksi zaštite. Analiza rizika provodi se na temelju neposrednih ciljeva i zadataka zaštite određene vrste informacija povjerljive prirode. Jedan od najvažnijih zadataka u zaštiti informacija je osigurati njihov integritet i dostupnost. Treba imati na umu da se povreda integriteta može dogoditi ne samo kao rezultat namjernih radnji, već i iz niza drugih razloga:

· Kvarovi opreme koji dovode do gubitka ili izobličenja informacija;

· Fizički utjecaj, uključujući i kao rezultat prirodnih katastrofa;

· Greške u softveru (uključujući nedokumentirane značajke).

Stoga je pod pojmom "napad" više obećavajuće razumijevanje ne samo ljudskog utjecaja na informacijske resurse, već i utjecaja okruženja u kojem funkcionira sustav obrade informacija poduzeća.

Prilikom provođenja analize rizika razvijaju se sljedeće:

· Opća strategija i taktika izvođenja "ofenzivnih operacija i neprijateljstava" od strane potencijalnog prekršitelja;

· Mogući načini izvođenja napada na sustav obrade i zaštite informacija;

· Scenarij nezakonitih radnji;

· Karakteristike kanala curenja informacija i neovlaštenog servisa;

· Vjerojatnost uspostavljanja informacijskog kontakta (provedba prijetnji);

· Popis mogućih informacijskih infekcija;

· Model počinitelja;

· Metodologija procjene informacijske sigurnosti.

Osim toga, za izgradnju pouzdanog sustava za zaštitu podataka poduzeća potrebno je:

· Identificirati sve moguće prijetnje informacijskoj sigurnosti;

· Procijeniti posljedice njihovog očitovanja;

Odrediti potrebne mjere i sredstva zaštite, uzimajući u obzir zahtjeve regulatornih dokumenata, ekonomske

· Ekspeditivnost, kompatibilnost i nekonfliktnost s korištenim softverom;

· Ocijeniti učinkovitost odabranih mjera i sredstava zaštite.

Riža. 1.2. Skripta za analizu informacijskih resursa

Ovdje je prikazano svih 6 faza analize rizika. U prvoj i drugoj fazi utvrđuju se podaci koji za poduzeće predstavljaju poslovnu tajnu i koji se moraju zaštititi. Jasno je da se takve informacije pohranjuju na određenim mjestima i na određenim medijima, prenose komunikacijskim kanalima. Istodobno, odlučujući čimbenik u tehnologiji rukovanja informacijama je arhitektura IS-a, koja uvelike određuje sigurnost informacijskih resursa poduzeća. Treća faza analize rizika je izgradnja pristupnih kanala, curenje ili utjecaj na informacijske resurse glavnih IS čvorova. Svaki pristupni kanal karakterizira mnoštvo točaka s kojih se informacije mogu "ukloniti". Oni su ti koji predstavljaju ranjivost i zahtijevaju korištenje sredstava za sprječavanje neželjenih utjecaja na informacije.

Četvrta faza analize načina obrane svih mogućih bodova tako odgovara ciljevima obrane i njezin rezultat treba biti karakteristika mogućih nedostataka u obrani, uključujući i zbog nepovoljnog spleta okolnosti.

U petoj fazi, polazeći od trenutno poznatih metoda i sredstava prevladavanja obrambenih linija, određuju se vjerojatnosti provedbe prijetnji za svaku od mogućih točaka napada.

U završnoj, šestoj, fazi procjenjuje se šteta za organizaciju u slučaju provedbe svakog od napada, što uz procjene ranjivosti omogućuje dobivanje rangirane liste prijetnji informacijskim resursima. Rezultati rada prezentirani su u obliku koji je pogodan za njihovu percepciju i donošenje odluka o ispravljanju postojećeg sustava zaštite informacija. Štoviše, svaki informacijski resurs može biti izložen nekoliko potencijalnih prijetnji. Od temeljne važnosti je ukupna vjerojatnost pristupa informacijskim resursima, koja je zbroj elementarnih vjerojatnosti pristupa pojedinim točkama prolaska informacija.

Količina informacijskog rizika za svaki resurs definira se kao umnožak vjerojatnosti napada na resurs, vjerojatnosti implementacije te prijetnje i štete od upada informacija. Ovaj proizvod može koristiti različite metode vaganja sastojaka.

Zbrajanje rizika za sve resurse daje vrijednost ukupnog rizika za usvojenu arhitekturu IS-a i sustav informacijske sigurnosti implementiran u njoj.

Dakle, variranjem opcija za izgradnju sustava zaštite informacija i arhitekture IS-a, postaje moguće prikazati i razmotriti različite vrijednosti ukupnog rizika zbog promjene vjerojatnosti implementacije prijetnji. Ovdje je vrlo važan korak odabir jedne od opcija u skladu s odabranim kriterijem odluke. Takav kriterij može biti dopuštena vrijednost rizika ili omjer troškova osiguranja informacijske sigurnosti i preostalog rizika.

Prilikom izgradnje sustava informacijske sigurnosti, također morate definirati strategiju upravljanja rizicima za poduzeće.

Danas je poznato nekoliko pristupa upravljanju rizicima.

Jedan od najčešćih je smanjenje rizika korištenjem odgovarajućih metoda i sredstava zaštite. U osnovi je sličan pristup povezan s averzijom prema riziku. Poznato je da se neke klase rizika mogu izbjeći: na primjer, premještanjem web poslužitelja organizacije izvan lokalne mreže izbjegava se rizik od neovlaštenog pristupa lokalnoj mreži od strane web klijenata.

Konačno, u nekim je slučajevima prihvaćanje rizika prihvatljivo. Ovdje je važno odrediti sljedeću dilemu: što je za poduzeće isplativije - nositi se s rizicima ili s njihovim posljedicama. U tom slučaju potrebno je riješiti problem optimizacije.

Nakon utvrđivanja strategije upravljanja rizicima, provodi se konačna ocjena mjera za osiguranje informacijske sigurnosti uz izradu stručnog mišljenja o sigurnosti informacijskih resursa. Stručno mišljenje uključuje sve materijale analize rizika i preporuke za njihovo smanjenje.

1.4 Metode za procjenu informacijskih rizika poduzeća

U praksi se koriste različite metode procjene i upravljanja informacijskim rizicima u poduzećima. Istodobno, procjena informacijskih rizika predviđa sljedeće faze:

· Identifikacija i kvantitativna procjena informacijskih resursa poduzeća značajnih za poslovanje;

· Procjena mogućih prijetnji;

· Procjena postojećih ranjivosti;

· Procjena učinkovitosti alata za informacijsku sigurnost.

Pretpostavlja se da su ranjivi informacijski resursi poduzeća relevantni za poslovanje izloženi riziku ako za njih postoje prijetnje. Drugim riječima, rizici karakteriziraju opasnost kojoj mogu biti izložene komponente korporativnog Internet/Intranet sustava. Istodobno, informacijski rizici tvrtke ovise o:

· Iz pokazatelja vrijednosti informacijskih resursa;

· Vjerojatnost provedbe prijetnji resursima;

· Učinkovitost postojećih ili planiranih sredstava informacijske sigurnosti.

Svrha procjene rizika je utvrditi karakteristike rizika korporativnog informacijskog sustava i njegovih resursa. Kao rezultat procjene rizika, postaje moguće odabrati sredstva koja osiguravaju željenu razinu informacijske sigurnosti poduzeća. Procjena rizika uzima u obzir vrijednost resursa, značaj prijetnji i ranjivosti te učinkovitost postojeće i planirane obrane. Indikatori samih resursa, značaj prijetnji i ranjivosti, učinkovitost zaštitnih sredstava mogu se odrediti i kvantitativno, na primjer, prilikom određivanja troškovnih karakteristika, i kvalitativno, na primjer, uzimajući u obzir standardne ili iznimno opasne abnormalne utjecaje okoliša.

Mogućnost realizacije prijetnje procjenjuje se vjerojatnošću njezine realizacije u određenom vremenskom razdoblju za određeni resurs poduzeća. Istodobno, vjerojatnost realizacije prijetnje određena je sljedećim glavnim pokazateljima:

· Privlačnost resursa koristi se kada se razmatra prijetnja od namjernog ljudskog utjecaja;

· Mogućnost korištenja resursa za generiranje prihoda kada se uzme u obzir prijetnja od namjernog ljudskog utjecaja;

· Tehničke mogućnosti implementacije prijetnje koriste se u slučaju namjernog ljudskog utjecaja;

· Stupanj lakoće s kojim se ranjivost može iskoristiti.

Trenutno postoji mnogo tabličnih metoda za procjenu informacijskih rizika poduzeća. Važno je da osoblje sigurnosti odabere odgovarajuću metodu za sebe koja će pružiti točne i pouzdane ponovljive rezultate.

Kvantitativne pokazatelje informacijskih resursa preporučuje se procjenjivati na temelju rezultata anketa zaposlenika poduzeća - vlasnika informacija, odnosno službenika koji mogu odrediti vrijednost informacija, njihove karakteristike i stupanj kritičnosti, na temelju stvarnih podataka. stanje stvari. Na temelju rezultata ankete procjenjuju se pokazatelji i stupanj kritičnosti informacijskih resursa za najgori scenarij do razmatranja potencijalnih utjecaja na poslovne aktivnosti poduzeća u slučaju mogućeg neovlaštenog upoznavanja s povjerljivim informacijama, narušavanja njihova integriteta. , nedostupnost za različita razdoblja uzrokovana kvarovima u servisu obrade podataka sustava, pa čak i fizičkim uništenjem. Istodobno, proces dobivanja kvantitativnih pokazatelja može se nadopuniti odgovarajućim metodama za procjenu drugih kritičnih resursa poduzeća, uzimajući u obzir:

· Sigurnost osoblja;

· Otkrivanje privatnih podataka;

· Zahtjevi za usklađenost sa zakonima i propisima;

· Ograničenja koja proizlaze iz zakonodavstva;

· Komercijalni i ekonomski interesi;

· Financijski gubici i poremećaji u proizvodnim aktivnostima;

· odnosi s javnošću;

· Komercijalna politika i komercijalno poslovanje;

· Gubitak ugleda tvrtke.

Nadalje, kvantitativni pokazatelji se koriste tamo gdje je to dopušteno i opravdano, a kvalitativni - gdje su kvantitativne procjene teške iz više razloga. Istodobno, najraširenija je procjena pokazatelja kvalitete pomoću skala bodova posebno dizajniranih za te svrhe, na primjer, s ljestvicom od četiri točke.

Sljedeća operacija je ispunjavanje parova upitnika, u kojima se, za svaku od vrsta prijetnji i pridruženu grupu resursa, razine prijetnje procjenjuju kao vjerojatnost realizacije prijetnji, a razine ranjivosti kao stupanj lakoće realizirana prijetnja može dovesti do negativnog utjecaja. Ocjenjivanje se provodi na kvalitativnim ljestvicama. Na primjer, razina prijetnji i ranjivosti ocjenjuje se na ljestvici visoko-nisko. Potrebne informacije prikupljaju se razgovorom s TOP menadžerima tvrtke, djelatnicima komercijalnih, tehničkih, kadrovskih i servisnih odjela, obilaskom terena i analizom dokumentacije tvrtke.

Uz tablične metode za procjenu informacijskih rizika, mogu se koristiti i suvremene matematičke metode, na primjer, metoda tipa Delphi, kao i posebni automatizirani sustavi, od kojih će neke biti riječi u nastavku.

Opći algoritam procesa procjene rizika (slika 1.3.) U ovim sustavima uključuje sljedeće faze.

· Opis objekta i mjera zaštite;

· Identifikacija resursa i procjena njegovih kvantitativnih pokazatelja (utvrđivanje potencijalnog negativnog utjecaja na poslovanje);

· Analiza prijetnji informacijskoj sigurnosti;

· Procjena ranjivosti;

Procjena postojećih i predloženih sredstava

osiguranje informacijske sigurnosti;

· Procjena rizika.

1.5 Upravljanje informacijskim rizikom

Trenutno je upravljanje informacijskim rizikom jedno od najrelevantnijih i najdinamičnije razvijajućih područja strateškog i operativnog upravljanja u području informacijske sigurnosti. Njegova je glavna zadaća objektivno identificirati i procijeniti informacijske rizike poduzeća koji su najvažniji za poslovanje, kao i adekvatnost kontrola rizika koje se koriste za povećanje učinkovitosti i profitabilnosti gospodarske aktivnosti poduzeća. Stoga se pod pojmom "upravljanje informacijskim rizikom" obično podrazumijeva sustavni proces identifikacije, kontrole i ublažavanja informacijskih rizika tvrtki u skladu s određenim ograničenjima ruskog regulatornog okvira u području zaštite informacija i vlastite korporativne sigurnosne politike.

Riža. 1.3. Algoritam procjene rizika

Korištenje informacijskih sustava povezano je s određenim skupom rizika. Kada je potencijalna šteta nedopustivo velika, potrebne su ekonomski opravdane mjere zaštite. Periodična (ponovna) procjena rizika nužna je za praćenje učinkovitosti sigurnosnih aktivnosti i uzimanje u obzir promjena u okolišu.

Bit aktivnosti upravljanja rizicima je procijeniti njihovu veličinu, razviti učinkovite i isplative mjere za ublažavanje rizika, a zatim osigurati da rizici budu sadržani u prihvatljivim granicama (i da tako ostanu). Prema tome, upravljanje rizikom uključuje dvije vrste aktivnosti koje se ciklički izmjenjuju:

1) (ponovno) procjena (mjerenje) rizika;

2) odabir učinkovite i ekonomične zaštitne opreme (neutralizacija rizika).

U odnosu na identificirane rizike moguće su sljedeće radnje:

· Otklanjanje rizika (na primjer, uklanjanjem uzroka);

· Smanjenje rizika (na primjer, korištenjem dodatne zaštitne opreme);

Prihvaćanje rizika (izradom akcijskog plana pod odgovarajućim uvjetima):

· Preusmjeravanje rizika (na primjer, sklapanjem ugovora o osiguranju).

Proces upravljanja rizicima može se podijeliti u sljedeće faze:

1. Izbor analiziranih objekata i razina detaljnosti njihova razmatranja.

2. Izbor metodologije procjene rizika.

3. Identifikacija imovine.

4. Analiza prijetnji i njihovih posljedica, identifikacija ranjivosti u zaštiti.

5. Procjena rizika.

6. Izbor zaštitnih mjera.

7. Provedba i verifikacija odabranih mjera.

8. Procjena preostalog rizika.

Faze6 i odnose se na izbor zaštitne opreme (neutralizacija rizika), ostalo - na procjenu rizika.

Već nabrajanje faza pokazuje da je upravljanje rizikom cikličan proces. U suštini, posljednji korak je izjava kraja petlje koja vam govori da se vratite na početak. Rizike je potrebno stalno pratiti, povremeno ih ponovno procjenjivati. Treba napomenuti da dovršena i dobro dokumentirana procjena može uvelike pojednostaviti aktivnosti praćenja.

Upravljanje rizicima, kao i svaka druga aktivnost u području informacijske sigurnosti, potrebno je integrirati u životni ciklus IS-a. Tada se učinak ispostavlja najvećim, a troškovi minimalni.

Upravljanje rizicima mora se provoditi u svim fazama životnog ciklusa informacijskog sustava: pokretanje-razvoj-instalacija, rad-zbrinjavanje (prestanak rada).

U početnoj fazi potrebno je uzeti u obzir poznate rizike kada se razvijaju zahtjevi za sustav općenito, a posebno za sigurnosnu opremu.

Tijekom razvojne faze poznavanje rizika pomaže u odabiru odgovarajućih arhitektonskih rješenja koja imaju ključnu ulogu u osiguranju sigurnosti.

Tijekom faze instalacije, identificirane rizike treba uzeti u obzir prilikom konfiguriranja, testiranja i provjere prethodno formuliranih

zahtjevima, a puštanju sustava u pogon trebao bi prethoditi puni ciklus upravljanja rizicima.

Tijekom operativne faze, upravljanje rizicima treba pratiti sve značajne promjene u sustavu.

Prilikom stavljanja sustava iz pogona, upravljanje rizikom pomaže osigurati da se podaci migriraju na siguran način.

Poglavlje II. Standardi informacijske sigurnosti

2.1 Preduvjeti za izradu standarda informacijske sigurnosti

Revizija informacijske sigurnosti temelji se na korištenju brojnih preporuka, koje su uglavnom navedene u međunarodnim standardima informacijske sigurnosti.

U posljednje vrijeme jedan od rezultata revizije sve više postaje certifikat koji potvrđuje usklađenost ispitivanog IP-a s određenim priznatim međunarodnim standardom. Prisutnost takvog certifikata omogućuje organizaciji stjecanje konkurentskih prednosti povezanih s većim povjerenjem kupaca i partnera.

Korištenje standarda pridonosi rješavanju sljedećih pet zadataka.

Prvo, strogo su definirani ciljevi osiguravanja informacijske sigurnosti računalnih sustava. Drugo, stvara se učinkovit sustav upravljanja sigurnošću informacija. Treće, osigurava izračun skupa detaljnih ne samo kvalitativnih, već i kvantitativnih pokazatelja za procjenu usklađenosti informacijske sigurnosti s navedenim ciljevima. Četvrto, stvaraju se uvjeti za korištenje postojećih alata (softvera) za osiguranje informacijske sigurnosti i procjenu njenog trenutnog stanja. Peto, postaje moguće koristiti tehnike upravljanja sigurnošću s dobro utemeljenim sustavom metrike i mjerama podrške za programere informacijskih sustava.

Od ranih osamdesetih godina prošlog stoljeća stvoreni su deseci međunarodnih i nacionalnih standarda u području informacijske sigurnosti koji se u određenoj mjeri nadopunjuju. U nastavku će se razmotriti najpoznatiji standardi za kronologiju njihovog stvaranja:

1) Kriterij za ocjenu pouzdanosti računalnih sustava "Orange Book" (SAD);

2) Harmonizirani kriteriji europskih zemalja;

4) njemački standard BSI;

5) britanski standard BS 7799;

6) standard ISO 17799;

7) Standard "Opći kriteriji" ISO 15408;

8) COBIT Standard

Ovi standardi se mogu podijeliti u dvije vrste:

· Standardi ocjenjivanja usmjereni na klasifikaciju informacijskih sustava i sigurnosnih mjera prema sigurnosnim zahtjevima;

· Tehničke specifikacije koje reguliraju različite aspekte provedbe sigurnosnih kontrola.

Važno je napomenuti da između ovih vrsta regulatornih dokumenata nema praznog zida. Standardi ocjenjivanja ističu najvažnije, sa stajališta informacijske sigurnosti, aspekte IS-a koji igraju ulogu arhitektonskih specifikacija. Druge tehničke specifikacije definiraju kako izgraditi IS propisane arhitekture.

2.2 Standard "Kriteriji za procjenu pouzdanosti računalnih sustava" (Orange Book)

Povijesno gledano, “Kriteriji ocjenjivanja pouzdanih računalnih sustava” Ministarstva obrane SAD-a postali su prvi standard procjene koji je postao široko rasprostranjen i koji je imao ogroman utjecaj na osnovu standardizacije informacijske sigurnosti u mnogim zemljama.

Ovo djelo, koje se zbog boje naslovnice najčešće naziva "Narančasta knjiga", prvi put je objavljeno u kolovozu 1983. godine. Samo njegovo ime zahtijeva komentar. Ne govorimo o sigurnim, nego o pouzdanim sustavima, odnosno sustavima kojima se može dati određeni stupanj povjerenja.

Orange Book pojašnjava koncept sigurnog sustava koji "prikladnim sredstvima upravlja pristupom informacijama tako da samo ispravno ovlaštene osobe ili procesi koji djeluju u njihovo ime imaju pravo čitati, pisati, kreirati i brisati informacije."

Očito je, međutim, da apsolutno sigurni sustavi ne postoje, ovo je apstrakcija. Ima smisla procijeniti samo stupanj povjerenja koji se može dati određenom sustavu.

Orange Book definira pouzdani sustav kao "sustav koji koristi dovoljno hardvera i softvera kako bi omogućio grupi korisnika da istovremeno obrađuje informacije različitog stupnja tajnosti bez kršenja prava pristupa."

Treba napomenuti da se u razmatranim kriterijima i sigurnost i povjerenje ocjenjuju isključivo sa stajališta kontrole pristupa podacima, što je jedno od sredstava osiguranja povjerljivosti i integriteta informacija. Međutim, Orange Book ne rješava probleme pristupačnosti.

Stupanj povjerenja ocjenjuje se prema dva glavna kriterija.

1. Sigurnosna politika – skup zakona, pravila i kodeksa ponašanja koji reguliraju kako organizacija obrađuje, štiti i širi informacije. Konkretno, pravila određuju u kojim slučajevima korisnik može raditi s određenim skupovima podataka. Što je veći stupanj povjerenja u sustav, to bi sigurnosna politika trebala biti stroža i raznolikija. Ovisno o formuliranoj politici, možete odabrati određene sigurnosne mehanizme. Sigurnosna politika je aktivan aspekt zaštite, uključujući analizu mogućih prijetnji i odabir protumjera.

2. Razina sigurnosti je mjera povjerenja koja se može pružiti arhitekturi i implementaciji IS-a. Povjerenje u sigurnost može proizaći iz analize rezultata ispitivanja i iz provjere (formalne ili ne) cjelokupnog dizajna i implementacije sustava u cjelini i njegovih pojedinačnih komponenti. Razina jamstva pokazuje koliko su ispravni mehanizmi odgovorni za provedbu sigurnosne politike. Ovo je pasivni aspekt obrane.

Mehanizam odgovornosti (prijavljivanja) definira se kao glavna sigurnosna mjera. Pouzdani sustav mora bilježiti sve sigurnosne događaje. Vođenje evidencije treba nadopuniti revizijom, odnosno analizom podataka o registraciji. Koncept pouzdane računalne baze središnji je za procjenu stupnja sigurnosnog povjerenja. Trusted Computing Base zbirka je IC sigurnosnih mehanizama (uključujući hardver i softver) koji su odgovorni za provođenje sigurnosnih politika. Kvaliteta računalne baze određena je isključivo njenom implementacijom i ispravnošću početnih podataka koje je unio administrator sustava.

Razmatranim komponentama izvan računske baze možda se ne vjeruje, ali to ne bi trebalo utjecati na sigurnost sustava u cjelini. Kao rezultat toga, autori standarda preporučuju razmatranje samo njegove računske baze za procjenu povjerenja u sigurnost IS-a.

Glavna svrha pouzdane računalne baze je obavljanje funkcija referentnog monitora, odnosno kontrola dopuštenosti određenih operacija nad objektima (pasivnim entitetima) od strane subjekata (korisnika). Monitor provjerava konzistentnost pristupa svakog korisnika programima ili podacima sa skupom radnji dopuštenih korisniku.

Monitor pogodaka mora imati tri kvalitete:

Izolacija. Potrebno je spriječiti mogućnost praćenja monitora.

Potpunost. Monitor treba pozvati na svaki poziv, ne bi trebalo postojati način da ga se zaobiđe.

Provjerljivost. Monitor mora biti kompaktan kako bi se mogao analizirati i testirati s povjerenjem u potpunost testiranja.

Implementacija referentnog monitora naziva se sigurnosna jezgra. Sigurnosna jezgra je temelj na kojem su izgrađeni svi obrambeni mehanizmi. Uz gore navedena svojstva referentnog monitora, kernel mora jamčiti vlastitu nepromjenjivost.

Granica pouzdane računalne baze naziva se sigurnosni perimetar. Kao što je navedeno, komponentama izvan sigurnosnog perimetra općenito se ne može vjerovati. S razvojem distribuiranih sustava, konceptu "sigurnosnog perimetra" sve više se pridaje drugačije značenje, što znači granicu vlasništva određene organizacije. Ono što je unutar posjeda smatra se pouzdanim, a ono što je izvan nije.

Prema Orange Book, sigurnosna politika mora nužno uključivati sljedeće elemente:

· Samovoljna kontrola pristupa;

· Sigurnost ponovne uporabe predmeta;

· Sigurnosne naljepnice;

· Prisilna kontrola pristupa.

Proizvoljna kontrola pristupa je metoda razlikovanja pristupa objektima na temelju identiteta subjekta ili grupe kojoj subjekt pripada. Samovolja kontrole je u tome što određena osoba (najčešće vlasnik objekta) može po svom nahođenju dodijeliti drugim subjektima ili im oduzeti prava pristupa objektu.

Sigurnost ponovne upotrebe objekata važan je dodatak kontrolama pristupa kako bi se spriječilo slučajno ili namjerno izvlačenje povjerljivih informacija iz smeća. Sigurnost ponovne upotrebe mora biti zajamčena za područja RAM-a (posebno za međuspremnike sa slikama zaslona, dešifrirane lozinke itd.), za diskovne blokove i magnetske medije općenito.

2.3 Njemački BSI standard

Njemačka je 1998. objavila "Vodič za sigurnost informacijske tehnologije za osnovnu razinu". Priručnik je hipertekst od oko 4 MB (u HTML formatu). Kasnije je formaliziran u obliku njemačkog BSI standarda. Temelji se na općoj metodologiji i komponentama upravljanja informacijskom sigurnošću:

· Opća metoda upravljanja informacijskom sigurnošću (organizacija upravljanja u području informacijske sigurnosti, metodologija korištenja priručnika).

· Opisi sastavnica suvremene informacijske tehnologije.

· Glavne komponente (organizacijska razina informacijske sigurnosti, proceduralna razina, organizacija zaštite podataka, planiranje postupanja u izvanrednim situacijama).

· Infrastruktura (zgrade, prostori, kabelske mreže, organizacija udaljenog pristupa).

· Klijentske komponente raznih vrsta (DOS, Windows, UNIX, mobilne komponente, druge vrste).

· Mreže različitih tipova (od točke do točke veze, Novell NetWare mreže, mreže s OC ONIX i Windows, heterogene mreže).

· Elementi sustava prijenosa podataka (e-mail, modemi, firewall, itd.).

· Telekomunikacije (faksovi, telefonske sekretarice, integrirani sustavi temeljeni na ISDN-u, ostali telekomunikacijski sustavi).

· Standardni softver.

· Baza podataka.

· Opisi glavnih sastavnica organizacije režima informacijske sigurnosti (organizacijske i tehničke razine zaštite podataka, planiranje nepredviđenih situacija, podrška kontinuitetu poslovanja).

· Karakteristike objekata informatizacije (zgrade, prostori, kabelske mreže, kontrolirani prostori).

· Karakteristike glavne informacijske imovine tvrtke (uključujući hardver i softver, kao što su radne stanice i poslužitelji s operacijskim sustavima DOS, Windows i UNIX).

· Karakteristike računalnih mreža temeljenih na različitim mrežnim tehnologijama, kao što su mreže Novell Net Ware, UNIX i Windows mreže).

· Karakteristike aktivne i pasivne telekomunikacijske opreme vodećih dobavljača, kao što je Cisco Systems.

· Detaljni katalozi sigurnosnih prijetnji i mjera kontrole (više od 600 artikala u svakom katalogu).

Sve vrste prijetnji u BSI standardu podijeljene su u sljedeće klase:

· Viša sila.

· Nedostatak organizacijskih mjera.

· Ljudske pogreške.

· Tehnički problemi.

· Namjerne radnje.

Protumjere se slično klasificiraju:

· Poboljšanje infrastrukture;

· Administrativne protumjere;

· Proceduralne protumjere;

· Softverske i tehničke protumjere;

· Smanjenje ranjivosti komunikacija; planiranje izvanrednih situacija.

Sve komponente se razmatraju i opisuju prema sljedećem planu:

1) opći opis;

2) mogući scenariji sigurnosnih prijetnji (popis prijetnji primjenjivih na ovu komponentu iz kataloga sigurnosnih prijetnji);

3) moguće protumjere (navodi prijetnje iz kataloga sigurnosnih prijetnji primjenjivih na ovu komponentu);

2.4 Britanski standard BS 7799

Britanski institut za standarde (BSI), uz sudjelovanje komercijalnih organizacija kao što su Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica, itd., razvio je standard informacijske sigurnosti koji je usvojen 1995. kao nacionalni standard BS 7799 upravljanje informacijskom sigurnošću organizacije bez obzira na djelokrug tvrtke.

U skladu s ovim standardom, svaka zaštitarska služba, IT odjel, uprava tvrtke moraju početi s radom u skladu s općim propisima. Nije bitno radi li se o zaštiti papirnatih dokumenata ili elektroničkih podataka. Trenutno je britanski standard BS 7799 podržan u 27 zemalja svijeta, uključujući zemlje Britanskog Commonwealtha, kao i, na primjer, Švedsku i Nizozemsku. 2000. godine Međunarodni institut za standarde ISO, na temelju britanskog BS 7799, razvio je i izdao međunarodnu normu za upravljanje sigurnošću ISO/IEC 17799.

Stoga se danas može tvrditi da su BS 7799 i ISO 17799 jedna te ista norma, koja danas ima svjetsku prepoznatljivost i status međunarodne ISO norme.

Pritom treba istaknuti izvorni sadržaj standarda BS 7799, koji se još uvijek koristi u nizu zemalja. Ima dva dijela.

· Sigurnosna politika.

· Organizacija zaštite.

· Klasifikacija i upravljanje informacijskim resursima.

· Upravljanje osobljem.

· Fizičko osiguranje.

· Administracija računalnih sustava i mreža.

· Kontrola pristupa sustavima.

· Razvoj i održavanje sustava.

· Planiranje nesmetanog rada organizacije.

· Provjera usklađenosti sustava sa zahtjevima IS-a.

Dio 2: Specifikacije sustava (1998.) bavi se istim tim aspektima sa stajališta certificiranja informacijskog sustava za usklađenost sa zahtjevima norme.

Definira moguće funkcionalne specifikacije korporativnih sustava upravljanja informacijskom sigurnošću sa stajališta njihove provjere usklađenosti sa zahtjevima prvog dijela ove norme. U skladu s odredbama ovog standarda uređuje se i postupak revizije informacijskih korporativnih sustava.

· Upravljanje informacijskom sigurnošću: uvod.

· Mogućnosti za certificiranje za zahtjeve BS 7799 -Priprema za BS 7799 certifikaciju.

· Vodič za BS 7799 procjenu rizika i upravljanje rizikom.

· Jeste li spremni za BS 7799 reviziju - Jeste li spremni za BS 7799 reviziju?

· Vodič za reviziju za zahtjeve standarda - BS 7799 Vodič za reviziju BS 7799.

Danas je međunarodni odbor Zajednički tehnički odbor ISO/IEC JTC 1 zajedno s Britanskom institucijom za standarde (BSI), a posebno UKAS servisom (Ujedinjeno Kraljevstvo Akreditirana služba). Navedena služba akreditira organizacije za reviziju informacijske sigurnosti u skladu s BS ISO / IEC 7799: 2000 (BS 7799-1: 2000). Potvrde koje izdaju ova tijela priznate su u mnogim zemljama.

Imajte na umu da u slučaju certificiranja tvrtke prema standardima ISO 9001 ili ISO 9002, BS ISO / IEC 7799: 2000 (BS 7799-1: 2000) standard omogućuje kombiniranje certifikacije sustava informacijske sigurnosti s certifikacijom za usklađenost s ISO 9001 ili standarda 9002 kao u početnoj fazi i tijekom kontrolnih provjera. Za to je potrebno ispuniti uvjet sudjelovanja u kombiniranom certificiranju registriranog revizora prema BS ISO / IEC 7799: 2000 (BS 7799-1: 2000). Istodobno, planovi zajedničkog testiranja trebali bi jasno naznačiti postupke za provjeru sustava informacijske sigurnosti, a tijela za ovjeravanje trebaju osigurati da provjera informacijske sigurnosti bude temeljita.

2.5 Međunarodna norma ISO 17799

Jedan od najrazvijenijih i najšire korištenih u svim zemljama svijeta je međunarodni standard ISO 17799:

Kodeks prakse upravljanja informacijskom sigurnošću, usvojen 2000. godine. ISO 17799 razvijen je iz britanskog standarda BS 7799.

ISO 17799 može se koristiti kao kriterij za ocjenjivanje sigurnosnih mehanizama na organizacijskoj razini, uključujući administrativne, proceduralne i fizičke mjere zaštite.

Osnovna pravila podijeljena su u sljedećih 10 odjeljaka:

1. Sigurnosna politika.

2. Organizacija zaštite.

3. Klasifikacija resursa i njihova kontrola.

4. Sigurnost osoblja.

5. Fizička sigurnost.

6. Administracija računalnih sustava i računalnih mreža.

7. Kontrola pristupa.

8. Razvoj i održavanje informacijskih sustava.

9. Planiranje nesmetanog rada organizacije.

10. Praćenje usklađenosti sa zahtjevima sigurnosne politike.

Deset kontrola predloženih u ISO 17799 (identificiranih kao ključne) smatraju se posebno važnima. Kontrole se u ovom kontekstu shvaćaju kao mehanizmi za upravljanje informacijskom sigurnošću organizacije.

Neke kontrole, kao što je šifriranje podataka, mogu zahtijevati savjete o sigurnosti i procjenu rizika kako bi se utvrdilo jesu li potrebne i kako se trebaju implementirati. Kako bi se osigurala višu razinu zaštite za posebno vrijedne resurse ili kako bi se suprotstavili osobito ozbiljnim sigurnosnim prijetnjama, u nekim slučajevima mogu biti potrebne jače kontrole koje nadilaze opseg ISO 17799.

Sljedeće kontrole su ključne:

· Dokument o politici informacijske sigurnosti;

· Raspodjela odgovornosti za osiguranje informacijske sigurnosti;

· Obrazovanje i osposobljavanje osoblja za održavanje režima informacijske sigurnosti;

· Obavijest o slučajevima kršenja zaštite;

· Sredstva za zaštitu od virusa;

Slični dokumenti

Zadaci koji se rješavaju tijekom revizije sigurnosti informacijskog sustava. Faze stručne revizije. Test penetracije (pentest) u informacijski sustav: objekti, faze. Ciljevi revizije web-aplikacija. Revizija usklađenosti sa standardima.

izvješće o praksi, dodano 22.09.2011

Doktrina informacijske sigurnosti Ruske Federacije. Provjera informacijskih sustava koje tvrtka koristi uz naknadnu procjenu rizika od kvarova u njihovom funkcioniranju. Zakon o osobnim podacima. Podjela aktivne revizije na vanjsku i internu.

prezentacija dodana 27.01.2011

Koncept revizije informacijskih sustava, njegovi objekti. Rizici povezani s informacijskim sustavom subjekta revizije, njihova klasifikacija i pokazatelji procjene. Smanjenje rizika pri reviziji informacijskih sustava. Izvori potencijalnih opasnosti.

članak dodan 12.05.2013

Glavni pravci djelovanja u području revizije informacijske sigurnosti kao provjere usklađenosti organizacije i učinkovitosti zaštite informacija s utvrđenim zahtjevima i/ili standardima. Faze stručne revizije. Koncept revizije dodijeljenih prostorija.

predavanje dodano 08.10.2013

Metodološke osnove revizije. Metode organiziranja revizija. Klasifikacija revizijskih metoda. Vrste i izvori njihovog prijema. Metodološki pristupi revizijskim tehnikama. Regulatorne metode revizije.

seminarski rad, dodan 17.06.2008

Ciljevi revizije kvalitete. Faze interne revizije. Osiguravanje potpunosti revizije. Tehnologija revizije sustava kvalitete. Klasifikacija nesukladnosti prema njihovoj važnosti. Grupni sastanci angažmana. Naknadne radnje nakon revizije.

sažetak, dodan 26.03.2014

Pojam i vrste revizije. Sadržaj cjelokupnog plana i programa revizije. Dokumentiranje i priprema cjelokupnog plana revizije. Provjera sastavljanja financijskih izvještaja. Revizija ispravnosti porezne politike poduzeća.

seminarski rad, dodan 04.12.2011

Organizacija informacijske infrastrukture. Analiza stupnja informatiziranosti obrazovnih ustanova. Problemi, ciljevi i metode revizije IT infrastrukture. Analiza razine licenciranja softvera u obrazovnoj ustanovi.

seminarski rad, dodan 09.08.2012

Teorijski aspekti revizije dugotrajne imovine. Pojam revizije i postupak njezine provedbe za dugotrajnu imovinu. Primarni dokumenti za ovjeru dugotrajne imovine. Primjeri revizije i zakonskog okvira. Pregled metoda revizije dugotrajne imovine.

rad, dodan 01.09.2008

Kontrola kvalitete interne revizije. Zahtjevi za osiguranje interne kvalitete rada tijekom revizije. Oblik i sadržaj internih standarda revizijske organizacije: popis standarda, odredbe o metodologiji revizije.

U suvremenom svijetu informacijski sustavi (IS) imaju ključnu ulogu u osiguravanju učinkovitosti komercijalnih i državnih organizacija. IC-ovi se koriste za pohranu, obradu i prijenos informacija. Svakim danom raste broj vanjskih i unutarnjih prijetnji informacijskoj sigurnosti (IS), što može dovesti do značajnih financijskih i reputacijskih gubitaka.

Revizija informacijske sigurnosti (IS) iznimno je važan proces koji omogućuje dobivanje objektivnih informacija o trenutnom stanju alata za informacijsku sigurnost u poduzeću, procjenu stupnja zaštite podataka i IT sustava, njihovu usklađenost s određenim zahtjevima i kriterijima. IS revizija se provodi i kao prva faza u implementaciji rješenja informacijske sigurnosti, a u nekim slučajevima i izvan projekta, kada je potrebna neovisna procjena stvarne sigurnosti sustava. Revizijom je moguće unaprijed identificirati prijetnje i probleme kako bi se dalje utvrdile metode za njihovo otklanjanje, a može značajno povećati razinu sigurnosti i usklađenost zaštitnih alata sa stvarnim poslovnim potrebama. Dakle, prema mišljenju stručnjaka, provođenje neplaniranih revizija može uštedjeti do 20% vremena i 15% materijalnih resursa za informacijsku sigurnost, određujući točke primjene napora i optimalna rješenja.

Na temelju postavljanja ciljeva, AST pruža usluge za provođenje tri glavne vrste revizija informacijske sigurnosti:

Stručna revizija, u okviru koje se ocjenjuje postojeće stanje sustava i zaštitnih sredstava, utvrđuju nedostaci i ranjivosti.
Revizija usklađenosti, kojom se ocjenjuje usklađenost sigurnosnih kontrola s potrebnim međunarodnim i industrijskim standardima.
Testiranje penetracije, tijekom kojeg se simuliraju radnje napadača usmjerene na izvođenje uspješnog napada. Svrha takve revizije je povećati sigurnost identificiranjem i potom eliminacijom stvarnih vektora napada.

Revizija se provodi u nekoliko faza:

Definiranje ciljeva projekta. Prikupljaju se početne informacije o zaštićenim objektima, informacije i kriteriji ocjenjivanja, poduzimaju se organizacijske radnje za pripremu revizije.
Dogovor o uvjetima i granicama penetracijskog testiranja (vanjsko/unutarnje, whitebox/crna kutija, vrijeme/vrijeme, granice uranjanja i drugi važni parametri)
Anketa i obrada rezultata. Prikupljanje cjelokupnog kompleksa podataka o resursima, sustavima sredstava zaštite, organizacijskim mjerama u području informacijske sigurnosti itd. Na temelju rezultata izrađuje se konsolidirano izvješćivanje koje čini osnovu za provođenje analize rizika, analizu usklađenosti sa zahtjevima i izradu preporuka.
Provođenje ručnog testiranja penetracije.
Analiza rizika. Sveobuhvatan postupak za procjenu razine sigurnosti informacijskih sustava, uzimajući u obzir i dostavljene informacije i rezultate testiranja penetracije (stvarni vektori napada). Postupak predviđa izradu modela prijetnje i modela uljeza.
Analiza usklađenosti sa standardima i zahtjevima normi i regulatornih dokumenata. Kao rezultat, ili se potvrđuje usklađenost, ili se u fazi izrade preporuka određuju načini za fino podešavanje sustava informacijske sigurnosti na potrebnu razinu sigurnosti.
Izrada preporuka. Temelje se na cijelom kompleksu informacija, analitike i zaključaka dobivenih kao rezultat ankete. Preporuke pokrivaju cijeli niz potrebnih organizacijskih i tehničkih mjera za osiguranje potrebne razine informacijske sigurnosti.

Objekti revizije IS-a mogu biti kako pojedinačne komponente IT sustava i infrastrukture tvrtke, tako i cjelokupni kompleks IT rješenja koja sadrže informacije koje su podložne zaštiti.