Audit esterno della sicurezza delle informazioni di un'istituzione statale. Analisi dei dati di audit

12.06.2019 Recensioni

L'articolo riassume la pratica di condurre un audit di sicurezza dei sistemi informativi (IS), fornisce il concetto di audit di sicurezza, discute gli obiettivi della sua attuazione, i metodi e le fasi del lavoro svolto, i metodi di analisi e gestione del rischio utilizzati dai revisori, e le modalità della loro attuazione, le norme vigenti e i sistemi di certificazione SI, nell'ambito dei quali viene svolto un audit di sicurezza.

Alexander Astakhov, CISA, 2002
Epigrafe
Contribuire ad allineare i sistemi informativi con gli standard e le linee guida accettati;
Svolgere le proprie attività in conformità agli standard in materia di auditing dei sistemi informativi adottati da ISACA;
Agire nel migliore interesse dei datori di lavoro, degli azionisti, dei clienti e della società in modo diligente, leale e onesto;
Consapevolmente non prendere parte ad attività illegali o disoneste;
Rispettare la riservatezza delle informazioni ottenute nell'esercizio delle proprie funzioni ufficiali;
Non utilizzare informazioni riservate per guadagno personale e non trasferirle a terzi senza il permesso del suo proprietario;
Svolgere le proprie responsabilità lavorative rimanendo indipendenti e imparziali;
Evitare attività che mettano a rischio l'indipendenza del revisore;
Mantenere al giusto livello la propria competenza nelle aree di conoscenza relative all'audit dei sistemi informativi partecipando ad eventi professionali;
Essere diligenti nell'ottenere e documentare materiali fattuali su cui si basano le conclusioni e le raccomandazioni del revisore;
Informare tutte le parti interessate sui risultati dell'audit;
Contribuire a sensibilizzare il management di organizzazioni, clienti e società in materia di audit dei sistemi informativi;
Soddisfare elevati standard etici nelle attività professionali e personali;
Migliora le tue qualità personali.

Codice Etico per un Revisore dei Sistemi Informativi
(Codice Etico Professionale ISACA)

Concetto e scopo dell'audit di sicurezza

Un audit è un esame indipendente di aree specifiche del funzionamento dell'organizzazione. Distinguere tra audit esterno e interno. Un audit esterno è, di norma, un evento una tantum avviato dalla direzione o dagli azionisti dell'organizzazione. Si raccomanda di condurre regolarmente audit esterni e, ad esempio, per molti istituti finanziari e società per azioni, questo è un requisito obbligatorio. L'audit interno è un'attività continua, che viene svolta sulla base del "Regolamento sull'audit interno" e in conformità con il piano, la cui preparazione è effettuata dalla funzione di audit interno e approvata dalla direzione dell'organizzazione. L'audit della sicurezza dei sistemi informativi è uno dei componenti dell'audit IT. Gli obiettivi di un audit di sicurezza sono:

analisi dei rischi associati alla possibilità di implementare minacce alla sicurezza in relazione alle risorse IP

Nota:

Forse questo è l'unico insieme di obiettivi per condurre un audit di sicurezza, ma solo se si tratta di un audit esterno. Ulteriori compiti per il revisore interno, oltre ad assistere i revisori esterni, possono includere anche:

sviluppo di politiche di sicurezza e altri documenti organizzativi e amministrativi per la protezione delle informazioni e la partecipazione alla loro attuazione nel lavoro dell'organizzazione;
definizione di compiti per il personale IT in materia di sicurezza delle informazioni;
partecipazione alla formazione degli utenti e del personale addetto alla manutenzione dei SI sui temi della sicurezza delle informazioni;
partecipazione all'analisi di incidenti relativi a violazioni della sicurezza delle informazioni;
Altro.

Va notato che tutti i suddetti compiti "aggiuntivi" a carico dell'internal auditor, ad eccezione della partecipazione alla formazione, non sono, di fatto, un audit. Un revisore, per definizione, deve effettuare un esame indipendente dell'implementazione dei meccanismi di sicurezza in un'organizzazione, che è uno dei principi di base dell'auditing. Se il revisore partecipa attivamente all'attuazione dei meccanismi di sicurezza, si perde l'indipendenza del revisore e con essa l'obiettività dei suoi giudizi, poiché il revisore non può esercitare un controllo indipendente e obiettivo delle proprie attività. Tuttavia, in pratica, il revisore interno, essendo a volte lo specialista più competente nell'organizzazione in materia di sicurezza delle informazioni, non può rimanere in disparte dall'attuazione dei meccanismi di protezione. (E se non è un tale specialista, allora quale utilità pratica può esserci da lui?) Inoltre, c'è quasi sempre una carenza di personale qualificato in questa particolare area.

Almeno, può e deve prendere parte attiva all'attuazione dello stesso sottosistema di controllo della sicurezza, che potrebbe fornire all'auditor i primi dati per analizzare la situazione attuale. Ovviamente, in questo caso, l'auditor non sarà più in grado di valutare oggettivamente l'implementazione di questo sottosistema e questo naturalmente esce dal piano di audit. Allo stesso modo, il revisore interno può prendere parte attiva allo sviluppo delle politiche di sicurezza fornendo un'opportunità ai revisori esterni di valutare la qualità di questi documenti.

Fasi di lavoro sulla conduzione di un audit di sicurezza dei sistemi informativi

I lavori sull'audit della sicurezza IS includono una serie di fasi sequenziali, che generalmente corrispondono alle fasi di un audit IT completo di un'AU, che include quanto segue:

Raccolta di informazioni sull'audit
Analisi dei dati di audit
Sviluppo di raccomandazioni
Preparazione di un rapporto di audit

Avvio della procedura di audit

L'audit viene effettuato non su iniziativa del revisore, ma su iniziativa del management della società, che in questa materia è il principale stakeholder. Il supporto della direzione aziendale è un prerequisito per l'audit.

Un audit è un insieme di attività in cui sono coinvolti, oltre al revisore stesso, rappresentanti della maggior parte delle divisioni strutturali dell'azienda. Le azioni di tutti i partecipanti a questo processo devono essere coordinate. Pertanto, nella fase di avvio della procedura di audit, dovrebbero essere risolti i seguenti problemi organizzativi:

i diritti e gli obblighi del revisore dovrebbero essere chiaramente definiti e documentati nelle sue descrizioni delle mansioni, nonché nel regolamento sull'audit interno (esterno);
il revisore deve preparare e concordare con la direzione il piano di audit;
il regolamento sull'audit interno dovrebbe prevedere, in particolare, che i dipendenti della società siano tenuti ad assistere l'auditor ea fornire tutte le informazioni necessarie per l'audit.

Nella fase di avvio della procedura di audit, dovrebbe essere definito l'ambito dell'indagine. Alcuni dei sottosistemi informativi dell'azienda non sono sufficientemente critici e possono essere esclusi dall'ambito dell'indagine. Altri sottosistemi potrebbero non essere verificabili per motivi di riservatezza.

Lo scopo dell'indagine è definito nei seguenti termini:

Elenco delle risorse fisiche, software e informative esaminate;
Aree (locali) che ricadono nei confini dell'indagine;
Le principali tipologie di minacce alla sicurezza considerate durante l'audit;
Aspetti organizzativi (legislativi, amministrativi e procedurali), fisici, tecnici del software e altri aspetti della sicurezza che devono essere presi in considerazione durante l'indagine e le loro priorità (in che misura dovrebbero essere presi in considerazione).

Il piano e i limiti dell'audit sono discussi in una riunione di lavoro, alla quale partecipano revisori dei conti, direzione aziendale e responsabili delle divisioni strutturali.

Raccolta di informazioni sull'audit

La fase di raccolta delle informazioni di audit è la più difficile e richiede molto tempo. Ciò è dovuto alla mancanza della documentazione necessaria per il sistema informativo e alla necessità di una stretta interazione del revisore con molti funzionari dell'organizzazione.

Il revisore può trarre conclusioni competenti sullo stato delle cose nell'azienda con la sicurezza delle informazioni solo se sono disponibili tutti i dati iniziali necessari per l'analisi. L'ottenimento di informazioni sull'organizzazione, il funzionamento e lo stato attuale dell'IP viene effettuato dall'auditor durante interviste appositamente organizzate con i responsabili dell'azienda, studiando la documentazione tecnica e organizzativa e amministrativa, nonché ricercando l'IP utilizzando software specializzato utensili. Soffermiamoci su quali informazioni ha bisogno il revisore per l'analisi.

Garantire la sicurezza delle informazioni di un'organizzazione è un processo complesso che richiede un'organizzazione chiara e disciplina. Dovrebbe iniziare definendo i ruoli e assegnando le responsabilità tra i funzionari della sicurezza delle informazioni. Pertanto, il primo punto dell'indagine di audit inizia con l'ottenimento di informazioni sulla struttura organizzativa degli utenti IP e delle unità di servizio. Al riguardo, il revisore richiede la seguente documentazione:

Organigramma utente;
Uno schema della struttura organizzativa delle unità di servizio.

Di solito, durante il colloquio, l'auditor pone ai rispondenti le seguenti domande:

Chi è il proprietario delle informazioni?
Chi è l'utente (consumatore) delle informazioni?
Chi è il fornitore di servizi?

Lo scopo e i principi di funzionamento dell'IS determinano in larga misura i rischi esistenti e i requisiti di sicurezza per il sistema. Pertanto, nella fase successiva, il revisore è interessato alle informazioni sullo scopo e sul funzionamento dell'IS. Il revisore pone ai rispondenti le seguenti domande:

Quali servizi vengono forniti agli utenti finali e come?
Quali sono i principali tipi di applicazioni che funzionano nell'IS?
Il numero e i tipi di utenti che utilizzano queste applicazioni?

Avrà anche bisogno della seguente documentazione, ovviamente, se disponibile (cosa che, in generale, non accade spesso):

Schemi funzionali;
Descrizione delle funzioni automatizzate;
Descrizione delle principali soluzioni tecniche;
Altro progetto e documentazione di lavoro per il sistema informativo.

Inoltre, il revisore ha bisogno di informazioni più dettagliate sulla struttura della PI. Ciò consentirà di comprendere come avviene la distribuzione dei meccanismi di sicurezza per elementi strutturali e livelli di funzionamento dei SI. Le domande tipiche che vengono discusse a questo proposito durante l'intervista includono:

Da quali componenti (sottosistemi) è composto l'IC?
Funzionalità dei singoli componenti?
Dove sono i confini del sistema?
Quali sono i punti di ingresso?
In che modo l'IP interagisce con altri sistemi?
Quali canali di comunicazione vengono utilizzati per interagire con altri IS?
Quali canali di comunicazione vengono utilizzati per la comunicazione tra i componenti del sistema?
Quali protocolli vengono utilizzati per la comunicazione?
Quali piattaforme software e hardware vengono utilizzate per costruire il sistema?

In questa fase, il revisore deve fare scorta della seguente documentazione:

Schema strutturale IC;
Diagramma di flusso delle informazioni;
Descrizione della struttura del complesso dei mezzi tecnici del sistema informativo;
Descrizione della struttura del software;
Descrizione della struttura del supporto informativo;
Posizionamento dei componenti del sistema informativo.

La predisposizione di una parte significativa della documentazione SI viene solitamente effettuata già nel corso dell'audit. Quando tutti i dati IP necessari, inclusa la documentazione, sono stati preparati, è possibile procedere alla loro analisi.

Analisi dei dati di audit

I metodi di analisi dei dati utilizzati dai revisori sono determinati dall'approccio di revisione scelto, che può variare in modo significativo.

Il primo approccio, il più complesso, si basa sull'analisi dei rischi. Sulla base dei metodi di analisi del rischio, il revisore determina per l'IS intervistato una serie individuale di requisiti di sicurezza, che tiene maggiormente conto delle caratteristiche di questo IS, del suo ambiente operativo e delle minacce alla sicurezza esistenti in questo ambiente. Questo approccio è il più dispendioso in termini di tempo e richiede le più elevate qualifiche di un revisore. La qualità dei risultati dell'audit, in questo caso, è fortemente influenzata dalla metodologia utilizzata per l'analisi e la gestione del rischio e dalla sua applicabilità a questo tipo di IP.

Il secondo approccio, il più pratico, si basa sull'uso di standard di sicurezza delle informazioni. Gli standard definiscono l'insieme di base dei requisiti di sicurezza per un'ampia classe di IS, che si forma come risultato della generalizzazione della pratica mondiale. Gli standard possono definire diversi set di requisiti di sicurezza, a seconda del livello di sicurezza dell'IS che deve essere fornito, della sua affiliazione (organizzazione commerciale o agenzia governativa), nonché dello scopo (finanza, industria, comunicazioni, ecc.). In questo caso, l'auditor è tenuto a determinare correttamente l'insieme dei requisiti della norma, la cui conformità deve essere assicurata per questo SI. È necessaria anche una metodologia per valutare tale conformità. Per la sua semplicità (il set standard di requisiti per l'audit è già predeterminato dallo standard) e affidabilità (lo standard è uno standard e nessuno cercherà di sfidare i suoi requisiti), l'approccio descritto è il più comune nella pratica (specialmente quando condurre un audit esterno). Ti consente di trarre conclusioni ragionevoli sullo stato dell'IS con un costo minimo delle risorse.

Il terzo approccio, il più efficace, prevede la combinazione dei primi due. Il set di base dei requisiti di sicurezza per i circuiti integrati è determinato dallo standard. Requisiti aggiuntivi, che tengono conto, per quanto possibile, delle specificità del funzionamento di questo SI, sono formati sulla base dell'analisi dei rischi. Questo approccio è molto più semplice del primo, perché la maggior parte dei requisiti di sicurezza sono già definiti dallo standard e, allo stesso tempo, non presenta lo svantaggio del secondo approccio, ovvero che i requisiti dello standard potrebbero non tenere conto delle specificità dell'IS ispezionato.

Che cos'è l'analisi e la gestione del rischio?

L'analisi dei rischi è il punto in cui dovrebbe iniziare la costruzione di qualsiasi sistema di sicurezza delle informazioni. Comprende attività per l'indagine sulla sicurezza IP, al fine di determinare quali risorse e da quali minacce devono essere protette, nonché in che misura determinate risorse devono essere protette. La determinazione di un insieme di contromisure adeguate viene effettuata nel corso della gestione del rischio. Il rischio è determinato dalla probabilità di danno e dall'entità del danno alle risorse dell'IP, in caso di minaccia alla sicurezza.

L'analisi dei rischi consiste nell'identificare i rischi esistenti e nel valutarne l'entità (dando loro una valutazione qualitativa o quantitativa). Il processo di analisi del rischio può essere suddiviso in diverse fasi sequenziali:

Identificazione delle risorse IP chiave;
Determinazione dell'importanza di determinate risorse per l'organizzazione;
Identificazione delle minacce alla sicurezza esistenti e delle vulnerabilità che rendono possibili le minacce;
Calcolo dei rischi associati all'implementazione di minacce alla sicurezza.

Le risorse IP possono essere classificate come segue:

Risorse informative;
Software;
Mezzi tecnici (server, postazioni di lavoro, apparati di rete attivi, ecc.);
Risorse umane.

All'interno di ogni categoria, le risorse sono suddivise in classi e sottoclassi. È necessario identificare solo quelle risorse che determinano la funzionalità dell'IS e sono essenziali dal punto di vista della sicurezza.

L'importanza (o il costo) di una risorsa è determinata dall'ammontare del danno inflitto in caso di violazione della riservatezza, integrità o disponibilità di tale risorsa. Solitamente vengono considerati i seguenti tipi di danno:

I dati sono stati divulgati, alterati, cancellati o resi non disponibili;
L'hardware è stato danneggiato o distrutto;
L'integrità del software è stata compromessa.

I danni possono essere causati a un'organizzazione a seguito della corretta implementazione dei seguenti tipi di minacce alla sicurezza:

attacchi locali e remoti alle risorse IP;
disastri naturali;
errori o azioni deliberate del personale IS;
Guasti IC causati da errori software o malfunzionamenti hardware.

Le vulnerabilità sono generalmente intese come proprietà di un IS che consentono di implementare con successo le minacce alla sicurezza.

L'entità del rischio è determinata in base al costo della risorsa, alla probabilità che si verifichi la minaccia e all'entità della vulnerabilità utilizzando la seguente formula:

Rischio = (costo della risorsa * probabilità di minaccia) / valore di vulnerabilità

La sfida della gestione del rischio consiste nel selezionare un insieme ragionevole di contromisure per ridurre i livelli di rischio a un livello accettabile. Il costo dell'attuazione delle contromisure dovrebbe essere inferiore all'importo del possibile danno. La differenza tra il costo dell'attuazione delle contromisure e l'ammontare del possibile danno dovrebbe essere inversamente proporzionale alla probabilità di causare un danno.

Utilizzo di metodi di analisi del rischio

Se si sceglie un approccio basato sul rischio per condurre un audit di sicurezza, nella fase di analisi dei dati di audit vengono solitamente eseguiti i seguenti gruppi di attività:

Analisi delle risorse IP, comprese le risorse informative, software e hardware e risorse umane
Analisi di gruppi di compiti risolti dal sistema e dai processi aziendali
Costruzione di un modello (informale) di risorse IP, che determina il rapporto tra informazioni, software, risorse tecniche e umane, la loro disposizione reciproca e le modalità di interazione
Valutazione della criticità delle risorse informative, software e hardware
Determinazione della criticità delle risorse tenendo conto delle loro interdipendenze
Determinazione delle minacce alla sicurezza più probabili in relazione alle risorse IP e alle vulnerabilità alla sicurezza che rendono possibile il verificarsi di tali minacce
Valutazione della probabilità di implementazione delle minacce, dell'entità delle vulnerabilità e dei danni all'organizzazione in caso di implementazione riuscita delle minacce
Determinazione dell'entità dei rischi per ciascuna tripla: minaccia - gruppo di risorse - vulnerabilità
L'insieme delle attività elencate è abbastanza generale. Per risolverli, possono essere utilizzate varie tecniche di analisi dei rischi formali e informali, quantitative e qualitative, manuali e automatizzate. Questo non cambia l'essenza dell'approccio.

La valutazione del rischio può essere fornita utilizzando una varietà di scale sia qualitative che quantitative. La cosa principale è che i rischi esistenti siano correttamente identificati e classificati in base al grado della loro criticità per l'organizzazione. Sulla base di questa analisi, è possibile sviluppare un sistema di misure prioritarie per ridurre l'entità dei rischi a un livello accettabile.

Valutazione della conformità ai requisiti della norma

Nel caso di un audit di sicurezza per la conformità ai requisiti della norma, l'auditor, basandosi sulla sua esperienza, valuta l'applicabilità dei requisiti della norma all'IS ispezionato e la sua conformità a tali requisiti. I dati sulla conformità delle varie aree del funzionamento dell'IS ai requisiti dello standard sono generalmente presentati in forma tabellare. La tabella mostra quali requisiti di sicurezza non sono implementati nel sistema. Sulla base di ciò, vengono tratte conclusioni sulla conformità dell'IS intervistato ai requisiti dello standard e vengono fornite raccomandazioni sull'implementazione di meccanismi di sicurezza nel sistema per garantire tale conformità.

Le raccomandazioni emesse dal revisore sulla base dei risultati dell'analisi dello stato dell'IS sono determinate dall'approccio utilizzato, dalle caratteristiche dell'IS ispezionato, dallo stato delle cose con la sicurezza delle informazioni e dal grado di dettaglio utilizzato durante l'audit.

In ogni caso, le raccomandazioni del revisore dovrebbero essere specifiche e applicabili a questo SI, economicamente giustificate, motivate (supportate dai risultati dell'analisi) e ordinate per grado di importanza. Allo stesso tempo, le misure per garantire la protezione del livello organizzativo hanno quasi sempre la precedenza su specifiche modalità di protezione software e hardware.

Allo stesso tempo, è ingenuo aspettarsi dal revisore, a seguito dell'audit, l'emissione di un progetto tecnico del sottosistema di sicurezza delle informazioni o raccomandazioni dettagliate sull'implementazione di strumenti software e hardware specifici per la sicurezza delle informazioni. Ciò richiede uno studio più dettagliato di questioni specifiche dell'organizzazione della protezione, sebbene i revisori interni possano partecipare attivamente a questi lavori.

Preparazione dei documenti di rendicontazione

Il rapporto di audit è il risultato principale dell'audit. La sua qualità caratterizza la qualità del lavoro del revisore. La struttura del rapporto può variare sostanzialmente a seconda della natura e degli obiettivi dell'audit. Tuttavia, alcune sezioni devono essere presenti nel rapporto di audit. Dovrebbe contenere almeno una descrizione degli obiettivi dell'audit, le caratteristiche del SI ispezionato, un'indicazione dell'ambito dell'audit e dei metodi utilizzati, i risultati dell'analisi dei dati dell'audit, conclusioni che riassumono questi risultati e contenenti una valutazione del livello di sicurezza dell'UA o la sua conformità ai requisiti degli standard e, naturalmente, le raccomandazioni dell'auditor per eliminare le carenze esistenti e migliorare il sistema di protezione.

Ad esempio, forniremo una struttura campione di un rapporto di audit basato sui risultati dell'analisi dei rischi associati all'implementazione di minacce alla sicurezza in relazione all'IP ispezionato.

La struttura del rapporto sui risultati dell'audit di sicurezza IS e dell'analisi dei rischi

1. Parte introduttiva

1.1 Introduzione
1.2 Scopi e obiettivi dell'audit
1.3 Descrizione di IC
1.3.1 Scopo e funzioni principali del sistema
1.3.2 Gruppi di compiti risolti nel sistema
1.3.3 Classificazione degli utenti IP
1.3.4 Struttura organizzativa del personale di servizio SI
1.3.5 La struttura e la composizione del complesso di software e hardware IS
1.3.6 Tipi di risorse informative archiviate ed elaborate nel sistema
1.3.7 Struttura dei flussi informativi
1.3.8 Caratteristiche dei canali di interazione con altri sistemi e varchi
1.4 Ambito dell'audit
1.4.1 Componenti e sottosistemi SI che rientrano nell'ambito dell'audit
1.4.2 Collocazione di un complesso di mezzi software e hardware di SI sui siti (sale)
1.4.3 Le principali classi di minacce alla sicurezza considerate durante l'audit
1.5 Metodologia di audit
1.5.1 Metodologia per l'analisi dei rischi
1.5.2 Dati iniziali
1.5.3 Fase di lavoro
1.6 Struttura del documento

2. Valutazione della criticità delle risorse IP

2.1 Criteri per valutare l'entità dei possibili danni associati all'attuazione di minacce alla sicurezza
2.2 Valutazione della criticità delle risorse informative
2.2.1 Classificazione delle risorse informative
2.2.2 Valutazione delle criticità per gruppi di risorse informative
2.3 Valutazione della criticità dei mezzi tecnici
2.4 Valutazione della criticità del software
2.5 Modello di risorsa IS che descrive la distribuzione delle risorse per gruppi di lavoro

3. Analisi dei rischi associati all'implementazione di minacce alla sicurezza in relazione alle risorse IP

3.1 Modello di intruso per la sicurezza delle informazioni
3.1.1 Modello interno
3.1.2 Modello di intruso esterno
3.2 Modello delle minacce alla sicurezza e delle vulnerabilità delle risorse informative
3.2.1 Minacce alla sicurezza contro le risorse informative
3.2.1.1 Minacce di accesso non autorizzato alle informazioni mediante strumenti software
3.2.1.2 Minacce effettuate utilizzando mezzi tecnici standard
3.2.1.3 Minacce relative alla fuga di informazioni attraverso canali tecnici
3.2.2 Minacce alla sicurezza contro il software
3.2.3 Minacce alla sicurezza contro i mezzi tecnici
3.3 Valutare la gravità delle minacce alla sicurezza e l'entità delle vulnerabilità
3.3.1 Criteri per valutare la gravità delle minacce alla sicurezza e l'entità delle vulnerabilità
3.3.2 Valutazione della gravità della minaccia
3.3.3 Valutazione dell'entità delle vulnerabilità
3.4 Valutazione del rischio per ogni classe di minaccia e gruppo di risorse

4. Conclusioni basate sui risultati del sondaggio

5.1 Contromisure consigliate a livello organizzativo
5.2 Contromisure hardware-software consigliate

Panoramica dei prodotti software progettati per l'analisi e la gestione dei rischi

Attualmente esiste un'ampia varietà di metodi di analisi e gestione del rischio e di software che li implementano. Diamo alcuni esempi, a parere dell'autore, i più comuni.

CRAMMA

CRAMM (il metodo di analisi e gestione dei rischi del governo britannico) è stato sviluppato dal servizio di sicurezza del Regno Unito per conto del governo britannico e adottato come standard statale. È stato utilizzato dal 1985 da organizzazioni governative e commerciali nel Regno Unito. Durante questo periodo CRAMM ha guadagnato popolarità in tutto il mondo. Insight Consulting Limited sviluppa e mantiene un prodotto software con lo stesso nome che implementa il metodo CRAMM.

Abbiamo scelto il metodo CRAMM per una considerazione più dettagliata, e non è un caso. Attualmente CRAMM è uno strumento abbastanza potente e versatile che consente, oltre all'analisi dei rischi, di risolvere una serie di altre attività di audit, tra cui:

Condurre un sondaggio IP e rilasciare la documentazione di accompagnamento in tutte le fasi della sua condotta;

Il metodo CRAMM si basa su un approccio integrato alla valutazione del rischio, combinando metodi di analisi quantitativi e qualitativi. Il metodo è universale e adatto a organizzazioni grandi e piccole, sia governative che commerciali. Le versioni del software CRAMM destinate a diversi tipi di organizzazioni differiscono l'una dall'altra nelle loro basi di conoscenza (profili). Esiste un profilo commerciale per le organizzazioni commerciali e un profilo governativo per le organizzazioni governative. La versione governativa del profilo consente inoltre di verificare la conformità ai requisiti dello standard americano ITSEC ("Orange Book").

L'uso competente del metodo CRAMM consente di ottenere ottimi risultati, il più importante dei quali, forse, è la capacità di giustificare economicamente i costi dell'organizzazione per garantire la sicurezza delle informazioni e la continuità aziendale. Una strategia di gestione del rischio economicamente valida consente di risparmiare denaro evitando costi inutili.

CRAMM consiste nel dividere l'intera procedura in tre fasi sequenziali. Il compito della prima fase è rispondere alla domanda: "È sufficiente proteggere l'impianto utilizzando strumenti di livello base che implementano funzioni di sicurezza tradizionali o è necessario condurre un'analisi più dettagliata?" Nella seconda fase, vengono identificati i rischi e valutata la loro entità. Nella terza fase, viene decisa la questione della scelta di contromisure adeguate.

La metodologia CRAMM per ogni fase definisce un insieme di dati iniziali, una sequenza di attività, questionari per le interviste, liste di controllo e un insieme di documenti di rendicontazione.

Se, in base ai risultati della prima fase, è stato stabilito che il livello di criticità delle risorse è molto basso e i rischi esistenti non supereranno certamente un certo livello di base, allora viene imposto al sistema un insieme minimo di requisiti di sicurezza. In questo caso, la maggior parte delle attività della seconda fase non viene eseguita e viene eseguita la transizione alla terza fase, in cui viene generato un elenco standard di contromisure per garantire il rispetto dell'insieme di base dei requisiti di sicurezza.

La seconda fase è l'analisi delle minacce e delle vulnerabilità alla sicurezza. L'auditor riceve i dati iniziali per valutare le minacce e le vulnerabilità dai rappresentanti autorizzati dell'organizzazione durante i colloqui appropriati. I questionari specializzati sono usati per condurre le interviste.

Nella terza fase viene risolto il problema della gestione del rischio, che consiste nella selezione di contromisure adeguate.

La decisione di introdurre nuovi meccanismi di sicurezza nel sistema e modificare quelli vecchi è presa dalla direzione dell'organizzazione, tenendo conto dei costi associati, della loro accettabilità e del beneficio finale per l'azienda. Il compito dell'auditor è di giustificare le contromisure raccomandate per la gestione dell'organizzazione.

Se viene presa la decisione di introdurre nuove contromisure e modificare quelle vecchie, il revisore può essere incaricato di preparare un piano per l'attuazione di nuove contromisure e di valutare l'efficacia del loro utilizzo. La soluzione a questi problemi esula dallo scopo del metodo CRAMM.

In figura è mostrato uno schema concettuale di un'indagine CRAMM.

Processo di analisi e gestione dei rischi CRAMM

La procedura di audit nel metodo CRAMM è formalizzata. In ogni fase viene generato un numero abbastanza elevato di rapporti intermedi e finali.

Quindi, nella prima fase, vengono creati i seguenti tipi di report:

Un modello di risorsa contenente una descrizione delle risorse che rientrano nei confini dello studio e le relazioni tra di esse;
Valutazione della criticità delle risorse;
Il conseguente rapporto sulla prima fase dell'analisi dei rischi, che riassume i risultati ottenuti durante l'indagine.

Nella seconda fase del sondaggio vengono creati i seguenti tipi di report:

Risultati della valutazione del livello di minacce e vulnerabilità;
Risultati della valutazione dell'entità dei rischi;
La relazione risultante sulla seconda fase dell'analisi dei rischi.

Sulla base dei risultati della terza fase del sondaggio, vengono generate le seguenti tipologie di report:

Contromisure consigliate;
Specifiche di sicurezza dettagliate;
Stima del costo delle contromisure consigliate;
Un elenco di contromisure ordinate in base alle loro priorità;
La relazione risultante sulla terza fase dell'indagine;
Politica di sicurezza, che include una descrizione dei requisiti di sicurezza, delle strategie e dei principi per la protezione della PI;
Elenco delle misure di sicurezza.

Solo un auditor altamente qualificato che ha seguito una formazione è in grado di applicare correttamente il metodo CRAMM. Se l'organizzazione non può permettersi di mantenere un tale specialista nel personale, la soluzione più corretta sarebbe invitare una società di revisione con uno staff di specialisti con esperienza pratica nell'applicazione del metodo CRAMM.

Riassumendo l'esperienza pratica dell'utilizzo del metodo CRAMM durante lo svolgimento di un audit di sicurezza, è possibile trarre le seguenti conclusioni in merito ai punti di forza e di debolezza di questo metodo:

I punti di forza del metodo CRAMM includono quanto segue:

CRAMM è un metodo di analisi dei rischi ben strutturato e ampiamente collaudato che permette di ottenere risultati pratici reali;
Gli strumenti software CRAMM possono essere utilizzati in tutte le fasi di un audit di sicurezza IS;
Il prodotto software si basa su una base di conoscenza abbastanza voluminosa sulle contromisure nel campo della sicurezza delle informazioni, basata sulle raccomandazioni dello standard BS 7799;
La flessibilità e versatilità del metodo CRAMM ne consente l'utilizzo per audit IS di qualsiasi livello di complessità e finalità;
CRAMM può essere utilizzato come strumento per sviluppare il piano di continuità operativa di un'organizzazione e le politiche di sicurezza delle informazioni;
CRAMM può essere utilizzato come mezzo per documentare i meccanismi di sicurezza dei circuiti integrati.

Gli svantaggi del metodo CRAMM includono quanto segue:

L'utilizzo del metodo CRAMM richiede una formazione specifica e un'elevata qualificazione dell'auditor;
CRAMM è molto più adatto per l'auditing di SI già esistenti in fase operativa che per SI in fase di sviluppo;
L'audit CRAMM è un processo piuttosto laborioso e può richiedere mesi di lavoro continuo dell'auditor;
Il toolkit software CRAMM genera una grande quantità di documentazione cartacea, non sempre utile nella pratica;
CRAMM non ti consente di creare i tuoi modelli di report o modificare quelli esistenti;
La possibilità di apportare aggiunte alla base di conoscenza CRAMM non è disponibile per gli utenti, il che causa alcune difficoltà nell'adattare questo metodo alle esigenze di una particolare organizzazione.

RischioGuarda

Il software RiskWatch, sviluppato dalla società americana RiskWatch, Inc., è un potente strumento di analisi e gestione dei rischi. La famiglia RiskWatch include prodotti software per vari tipi di controlli di sicurezza. Comprende i seguenti strumenti di audit e di analisi dei rischi:

RiskWatch for Physical Security - per i metodi fisici di protezione IP;
RiskWatch per Sistemi Informativi - per i rischi informativi;
HIPAA-WATCH for Healthcare Industry - per valutare la conformità ai requisiti dello standard HIPAA;
RiskWatch RW17799 per ISO17799 - per valutare i requisiti dello standard ISO17799.

Il metodo RiskWatch utilizza “Annual Loss Expectancy (ALE)” e “Return on Investment (ROI)” come criteri di valutazione e gestione del rischio. La famiglia di prodotti software RiskWatch presenta molti vantaggi. Gli svantaggi di questo prodotto includono il suo costo relativamente elevato.

COBRA

COBRA (Consulative Objective and Bi-Functional Risk Analysis), sviluppato da Risk Associates, è uno strumento di analisi e valutazione dei rischi per la conformità della PI con ISO17799. COBRA implementa metodi quantitativi di valutazione del rischio, nonché strumenti di consulenza e revisione della sicurezza. Durante lo sviluppo del toolkit COBRA, sono stati utilizzati i principi della creazione di sistemi esperti, un'ampia base di conoscenze su minacce e vulnerabilità, nonché un gran numero di questionari che sono stati applicati con successo nella pratica. La famiglia di prodotti software COBRA comprende COBRA ISO17799 Security Consultant, COBRA Policy Compliance Analyst e COBRA Data Protection Consultant.

Sistema di amici

Il prodotto software Buddy System sviluppato da Countermeasures Corporation è un altro prodotto software che consente l'analisi del rischio sia quantitativa che qualitativa. Contiene strumenti di reporting avanzati. L'enfasi principale quando si utilizza il Buddy System è posta sui rischi di informazione associati a una violazione della sicurezza fisica e alla gestione del progetto.

Standard utilizzati nella conduzione degli audit di sicurezza dei sistemi informativi

Questa sezione fornisce una panoramica degli standard di sicurezza delle informazioni, che sono i più significativi e promettenti dal punto di vista del loro utilizzo per condurre un audit di sicurezza IS.

Recentemente, il risultato dell'audit sta diventando sempre più un certificato che certifica la conformità dell'IP ispezionato ai requisiti di uno standard internazionale riconosciuto. La presenza di tale certificato consente all'organizzazione di ottenere vantaggi competitivi associati a una maggiore fiducia da parte di clienti e partner.

L'importanza degli standard internazionali ISO17799 e ISO15408 difficilmente può essere sopravvalutata. Questi standard servono come base per qualsiasi lavoro nel campo della sicurezza delle informazioni, compreso il controllo. La ISO17799 si concentra sull'organizzazione e la gestione della sicurezza, mentre la ISO15408 definisce i requisiti dettagliati per i meccanismi software e hardware per la protezione delle informazioni.

La specifica SysTrust è stata selezionata per la revisione perché è ora ampiamente utilizzato dalle società di audit che tradizionalmente eseguono audit finanziari per i propri clienti e offrono servizi di audit IT come supplemento agli audit finanziari.

Lo standard tedesco "BSI \ IT Baseline Protection Manual" contiene, forse, la guida più informativa alla sicurezza informatica ed è di indubbio valore pratico per tutti i professionisti coinvolti nella sicurezza delle informazioni.

Gli standard e le linee guida per le pratiche di sicurezza delle informazioni SCORE sono orientati ai professionisti tecnici e sono oggi i più avanzati dal punto di vista tecnico.

Il programma per la certificazione dei siti Internet per i requisiti di sicurezza delle informazioni e la corrispondente specifica "SANS / GIAC Site Certification" proposto dall'Istituto SANS merita considerazione in relazione alla crescente rilevanza delle questioni relative alla protezione dell'IP delle organizzazioni dagli attacchi da Internet e un aumento della proporzione di lavoro rilevante durante gli audit di sicurezza. ...

ISO 17799: Codice di condotta per la gestione della sicurezza delle informazioni

I criteri più completi per la valutazione dei meccanismi di sicurezza a livello organizzativo sono presentati nello standard internazionale ISO 17799: Code of Practice for Information Security Management, adottato nel 2000. La ISO 17799 è stata sviluppata dallo standard britannico BS 7799.

La ISO 17799 può essere utilizzata come criterio per valutare i meccanismi di sicurezza a livello organizzativo, comprese le garanzie amministrative, procedurali e fisiche.

Le regole pratiche sono suddivise nelle seguenti 10 sezioni:

Politica di sicurezza
Organizzazione della protezione
Classificazione e controllo delle risorse
Sicurezza del personale
Sicurezza fisica
Amministrazione di sistemi informatici e reti di computer
Controllo di accesso
Sviluppo e manutenzione di sistemi informativi
Pianificazione della continuità aziendale
Monitoraggio della conformità ai requisiti della politica di sicurezza

I dieci controlli proposti nella ISO 17799 (identificati come chiave) sono considerati di particolare importanza. I controlli in questo contesto sono intesi come meccanismi per la gestione della sicurezza delle informazioni di un'organizzazione.

Alcuni dei controlli, come la crittografia dei dati, possono richiedere consigli sulla sicurezza e valutazione dei rischi per determinare se sono necessari e come dovrebbero essere implementati. Per fornire un livello di protezione più elevato per risorse particolarmente preziose o per contrastare minacce alla sicurezza particolarmente gravi, in alcuni casi possono essere necessari controlli più rigorosi che vanno oltre lo scopo della norma ISO 17799.

I dieci controlli chiave elencati di seguito sono requisiti obbligatori, come i requisiti legali, o sono considerati elementi costitutivi essenziali della sicurezza delle informazioni, come la formazione sulla sicurezza. Questi controlli sono rilevanti per tutte le organizzazioni e gli ambienti dell'operazione NPP e costituiscono la base del sistema di gestione della sicurezza delle informazioni.

I seguenti controlli sono fondamentali:

documento di politica di sicurezza delle informazioni;
distribuzione delle responsabilità per la sicurezza delle informazioni;
formazione e preparazione del personale per mantenere il regime di sicurezza delle informazioni;
notifica di violazioni della sicurezza;
mezzi di protezione da virus;
pianificare il buon funzionamento dell'organizzazione;
controllo sulla copia di software protetto dalla legge sul diritto d'autore;
protezione dei documenti dell'organizzazione;
protezione dati;
controllo del rispetto della politica di sicurezza.

La procedura di audit di sicurezza SI prevede la verifica della disponibilità dei controlli chiave elencati, la valutazione della completezza e correttezza della loro attuazione, nonché l'analisi della loro adeguatezza ai rischi esistenti in tale ambiente operativo. Anche l'analisi e la gestione dei rischi sono parte integrante dell'audit di sicurezza IS.

ISO 15408: Criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione

I criteri più completi per la valutazione dei meccanismi di sicurezza a livello tecnico-software sono presentati nello standard internazionale ISO 15408: Common Criteria for Information Technology Security Evaluation, adottato nel 1999.

I criteri generali di valutazione della sicurezza delle tecnologie dell'informazione (di seguito i "Criteri generali") definiscono i requisiti funzionali di sicurezza e i requisiti di garanzia della sicurezza.

Nello svolgimento del lavoro sull'analisi della sicurezza SI, è consigliabile utilizzare i "Criteri Generali" come criteri principali per valutare il livello di sicurezza della centrale nucleare dal punto di vista della completezza delle funzioni di sicurezza in essa implementate e dell'affidabilità di queste funzioni di attuazione.

Sebbene l'applicabilità dei Common Criteria sia limitata ai meccanismi di sicurezza a livello di software, essi contengono un insieme specifico di requisiti di sicurezza a livello di organizzazione e requisiti di protezione fisica direttamente correlati alle funzioni di sicurezza descritte.

La prima parte dei “Criteri Generali” contiene la definizione di concetti generali, concetti, descrizione del modello e metodologia per la valutazione della sicurezza informatica. Introduce l'apparato concettuale e definisce i principi di formalizzazione dell'area disciplinare.

I requisiti per la funzionalità dei dispositivi di protezione sono riportati nella seconda parte dei "Criteri generali" e possono essere utilizzati direttamente nell'analisi della sicurezza per valutare la completezza delle funzioni di sicurezza implementate nel SI.

La terza parte dei “Criteri Generali”, insieme ad altri requisiti per l'adeguatezza dell'implementazione delle funzioni di sicurezza, contiene una classe di requisiti per l'analisi delle vulnerabilità degli strumenti e dei meccanismi di protezione denominata AVA: Vulnerability Assessment. Questa classe di requisiti definisce i metodi che dovrebbero essere utilizzati per prevenire, identificare ed eliminare i seguenti tipi di vulnerabilità:

La presenza di canali laterali di fuga di informazioni;
Errori di configurazione, o uso improprio del sistema, che portano alla transizione del sistema in uno stato non sicuro;
Insufficiente affidabilità (durata) dei meccanismi di sicurezza che implementano le funzioni di sicurezza appropriate;
La presenza di vulnerabilità ("buchi") nei mezzi di protezione delle informazioni, consentendo agli utenti di ottenere un accesso non autorizzato alle informazioni aggirando i meccanismi di protezione esistenti.

Quando si esegue il lavoro di verifica della sicurezza, questi requisiti possono essere utilizzati come guida e criteri per l'analisi delle vulnerabilità dei sistemi informativi.

SysTrust

In quanto tale, l'audit della tecnologia dell'informazione, sebbene non sia correlato all'audit finanziario, è spesso un'aggiunta ad esso come servizio commerciale offerto dalle società di revisione ai propri clienti, a causa della crescente dipendenza delle aziende dei clienti dall'IT. L'idea è che l'uso di sistemi IT affidabili e sicuri in una certa misura garantisca l'affidabilità del bilancio dell'organizzazione. Buoni risultati di audit IT in alcuni casi consentono di eseguire un audit finanziario in forma abbreviata, facendo risparmiare tempo e denaro ai clienti.

In risposta alle esigenze aziendali, l'American Institute of Certified Public Accountants (AICPA) e il Canadian Institute of Chartered Accountants (CICA) hanno sviluppato lo standard SysTrust per l'auditing IT, che integra l'audit finanziario. SysTrust consente ai revisori finanziari di ampliare il proprio ambito utilizzando una serie di requisiti semplici e comprensibili per valutare l'affidabilità e la sicurezza della PI.

Nello standard SysTrust, un IS viene valutato in termini di disponibilità, sicurezza, integrità e manutenibilità.

L'accessibilità è tradizionalmente intesa come la capacità di un SI di fornire servizi informativi in qualsiasi modalità operativa e con qualsiasi carico previsto dalle condizioni del suo funzionamento, con ritardi non superiori ai requisiti stabiliti.

La sicurezza è intesa come la protezione dell'IS da accessi fisici e logici non autorizzati. I mezzi per delimitare l'accesso fisico e logico alle risorse IS sono principalmente considerati come mezzi per garantire la sicurezza.

L'integrità è intesa come la capacità di IS di garantire la conservazione di tali proprietà delle informazioni trattate nel sistema come completezza, accuratezza, pertinenza, tempestività e autenticità.

L'affidabilità operativa dell'IS è determinata dalla capacità di modificare la configurazione e aggiornare il sistema per garantirne proprietà quali disponibilità, sicurezza e integrità.

I criteri per valutare le quattro proprietà IS descritte sono definiti nel documento AICPA/CICA SysTrust Principles and Criteria for Systems Reliability, Version 2.0.

Nel corso della certificazione ai requisiti dello standard SysTrust (SysTrust engagement), l'auditor valuta la conformità dell'IP ai criteri di disponibilità, sicurezza, integrità e affidabilità operativa (SysTrust Principles and Criteria), verificando che il sistema abbia la controlli necessari. Il revisore quindi verifica i controlli per determinare se sono funzionanti ed efficaci. Se, a seguito della verifica, il SI soddisfa i criteri SysTrust, il revisore rilascia un rapporto di attestazione senza riserve. Il rapporto formula conclusioni in merito alla completezza ed efficacia dell'attuazione da parte del management dell'organizzazione dei meccanismi di controllo nel SI certificato. Oltre al rapporto di attestazione, l'auditor prepara una descrizione generale dell'IP ispezionato. In molti casi, si sta preparando anche un'asserzione della direzione sull'efficacia dei controlli per garantire che l'IP soddisfi i criteri SysTrust Attestation Engagements (SSAE) No. 10, Attestation Standards, AT sez. 101 "Attest Engagements"”.)

BSI \ Manuale di protezione della linea di base IT

Lo standard tedesco "IT Baseline Protection Manual" è sviluppato dall'Agenzia tedesca per la sicurezza delle informazioni (BSI - Bundesamt für Sicherheit in der Informationstechnik (Agenzia tedesca per la sicurezza delle informazioni).

Questo documento è forse la guida più completa alla sicurezza delle informazioni e supera per molti aspetti tutti gli altri standard. È anche piacevole che questa fonte di informazioni, la più preziosa per il revisore, sia disponibile gratuitamente su Internet. Contiene una guida dettagliata sulla sicurezza delle informazioni in relazione a vari aspetti del funzionamento dell'IS e di varie aree dell'IT.

Lo standard è attualmente in tre volumi e contiene circa 1600 pagine di testo.

Il manuale BSI \ IT Baseline Protection viene costantemente migliorato per tenerlo aggiornato con l'attuale stato dell'arte in materia di sicurezza informatica. Ad oggi, è stata accumulata una base di conoscenza unica contenente informazioni su minacce e contromisure in una forma ben strutturata.

SCORE Practice Standards e SANS/GIAC Site Certification Program

SCORE (Security Consensus Operational Readiness Evaluation) è un progetto congiunto tra il SANS Institute e il Center for Internet Security (CIS). I professionisti della sicurezza delle informazioni di varie organizzazioni si sono riuniti nell'ambito del progetto SCORE per sviluppare un insieme di base (minimo richiesto) di pratiche e linee guida di sicurezza per varie piattaforme operative. I requisiti e le raccomandazioni proposte per l'inclusione negli standard sono ampiamente discussi e verificati dai partecipanti al progetto SCORE e solo dopo la loro approvazione da parte di tutti i partecipanti vengono trasferiti al CIS, che si occupa della loro formalizzazione e progettazione e sviluppa anche strumenti software (minimo benchmark standard) per le piattaforme operative di valutazione della conformità agli standard proposti.

Gli standard di base sviluppati, insieme alle linee guida per garantire la conformità a questi standard e agli strumenti di test, sono pubblicati sul sito web del CIS.

Il programma GIAC Site Certification del SANS Institute consente alle organizzazioni di condurre audit di sicurezza su segmenti connessi a Internet di una rete di computer in conformità con gli standard SCORE.

Il programma GIAC Site Certification definisce tre livelli di sicurezza per i siti Internet. In pratica, al momento, vengono utilizzati solo i primi due.

La certificazione del sito al primo livello prevede il controllo degli indirizzi di rete esterni dell'organizzazione, visibili da Internet, per la vulnerabilità degli host corrispondenti agli attacchi di rete. A questo livello, il sito dovrebbe essere protetto dagli attacchi più comuni. È richiesta l'assenza delle vulnerabilità di sicurezza più gravi e comuni. Esistono anche determinati requisiti per il livello delle qualifiche degli specialisti responsabili della sicurezza del sito.

Il secondo livello richiede tutti i controlli e il rispetto di tutti i requisiti del primo livello e richiede anche una revisione periodica delle politiche e delle procedure di sicurezza della rete. Sempre al secondo livello, viene verificata la protezione del sito da attacchi di rete tentando di penetrare e hackerare i sistemi connessi a Internet.

Al terzo livello, oltre a garantire il rispetto di tutti i requisiti del secondo livello, è anche richiesto di scansionare regolarmente la rete dall'interno al fine di proteggersi dalle minacce da parte di addetti ai lavori, nonché da aggressori esterni che cercano di superare i meccanismi di sicurezza del perimetro della rete esterna utilizzando metodi avanzati, tra cui l'ingegneria sociale. ...

Di livello in livello, i requisiti per le qualifiche professionali, la struttura organizzativa delle unità di sicurezza, l'esistenza di politiche e procedure formali e la gravità e la profondità dei test utilizzati per testare i meccanismi di sicurezza del sito Internet di un'organizzazione stanno diventando più severi.

conclusioni

Un audit è un esame indipendente di alcune aree del funzionamento dell'organizzazione, effettuato su iniziativa della sua direzione o degli azionisti, o in conformità con un piano di audit interno. Gli obiettivi principali di un audit di sicurezza sono:

analisi dei rischi associati alla possibilità di minacce alla sicurezza in relazione alle risorse IS;
valutazione dell'attuale livello di sicurezza IP;
localizzazione di colli di bottiglia nel sistema di protezione IP;
valutazione della conformità SI agli standard esistenti nel campo della sicurezza delle informazioni;
sviluppo di raccomandazioni per l'implementazione di nuovi e per aumentare l'efficienza dei meccanismi esistenti per la sicurezza dei sistemi informativi.

I lavori di verifica della sicurezza IS includono una serie di fasi sequenziali:

Inizio del sondaggio
Raccolta di informazioni
Analisi dei dati ricevuti
Sviluppo di raccomandazioni
Preparazione di un rapporto sui risultati del sondaggio
Gli approcci di controllo della sicurezza possono essere basati sull'analisi dei rischi, fare affidamento sull'uso di standard di sicurezza delle informazioni o combinare entrambi questi approcci.

Attualmente esiste un'ampia varietà di metodi di analisi e gestione del rischio e di software che li implementano. Alcuni di loro sono stati discussi in questo articolo.

Uno degli strumenti di analisi del rischio più potenti e versatili è il metodo CRAMM. Il software CRAMM, oltre ad analizzare e gestire i rischi, consente anche di risolvere una serie di altre attività di audit, tra cui:

Conduzione di un sondaggio IP e rilascio della documentazione di accompagnamento in tutte le fasi del sondaggio;
Auditing in conformità con i requisiti del governo britannico, nonché BS 7799: 1995 - Code of Practice for Information Security Management BS7799;
Sviluppo di una politica di sicurezza e di un piano di continuità operativa.

L'uso corretto del metodo CRAMM consente di ottenere buoni risultati, il più importante dei quali è forse la possibilità di giustificazione economica dei costi dell'organizzazione per garantire la sicurezza delle informazioni e la continuità operativa.

Recentemente, il risultato dell'audit sta diventando sempre più un certificato che certifica la conformità dell'IP ispezionato ai requisiti di uno standard internazionale riconosciuto. Questo articolo discute diversi standard e programmi di certificazione che hanno un valore pratico.

Gli standard internazionali ISO17799 e ISO15408 servono come base per qualsiasi lavoro nel campo della sicurezza delle informazioni, incluso l'audit. La ISO17799 si concentra sull'organizzazione e la gestione della sicurezza, mentre la ISO15408 definisce i requisiti dettagliati per i meccanismi software e hardware per la protezione delle informazioni.

La specifica SysTrust è attualmente ampiamente utilizzata dalle società di audit che tradizionalmente eseguono audit finanziari per i propri clienti e offrono servizi di audit IT come supplemento agli audit finanziari.

Lo standard tedesco "BSI \ IT Baseline Protection Manual" è la guida più completa alla sicurezza informatica ed è di indubbio valore pratico per tutti i professionisti coinvolti nella sicurezza delle informazioni.

Le pratiche e le linee guida sulla sicurezza delle informazioni di SCORE sono orientate ai tecnici e sono tecnicamente le più avanzate.

Il programma per la certificazione dei siti Internet per i requisiti di sicurezza delle informazioni e la relativa specifica "SANS/GIAC Site Certification", recentemente proposta dall'Istituto SANS, merita senza dubbio attenzione per l'importanza sempre crescente delle questioni relative alla protezione dell'IP delle organizzazioni dagli attacchi del Internet e un aumento della quota di lavoro rilevante durante lo svolgimento di un controllo di sicurezza.

Letteratura e link

ISACA Russia Capitolo. Corso di preparazione all'esame CISA. aprile-maggio 2001.
CRAMM v.4.0 Guida per l'utente.
Cos'è CRAMM? http://www.gammassl.co.uk/topics/hot5.html
Programma di certificazione del sito SANS/GIAC, http://www.sans.org/SCORE
Servizi SysTrust, http://www.aicpa.org/assurance/systrust/index.htm
Ernst & Young (CIS) Limited, relazione del contabile indipendente, https://processcertify.ey.com/vimpelcom2/vimpelcom_opinion.html
BSI/IT Baseline Protection Manual, http://www.bsi.bund.de/gshb/english/menue.htm
Aleksandr Astachov. Analisi della sicurezza dei sistemi automatizzati, GLOBALTRUST.RU, 2002,

Organizzazione dell'audit sulla sicurezza delle informazioni di un sistema informativo

Andrushka Igor Accademia Moldava di Economia
CRAVATTA - 238

introduzione

Il moderno sistema informativo di un'organizzazione è un sistema distribuito ed eterogeneo che utilizza vari componenti software e hardware e ha punti di uscita nella rete pubblica (es. Internet)... A questo proposito, il compito di configurare correttamente e in sicurezza i componenti e garantire un'interazione sicura tra di essi diventa molto più complicato e, di conseguenza, aumenta il numero di vulnerabilità nel sistema.

La presenza di vulnerabilità nel sistema consente a un potenziale intruso di condurre un attacco con successo e danneggiare le attività dell'organizzazione. La comparsa di "punti deboli" può essere dovuta a vari motivi, come obiettivo (ad es. difetti nel software sottostante) e soggettivo (ad esempio, configurazione hardware errata) .

Identificare ed eliminare le vulnerabilità, nonché valutare il livello generale di sicurezza è una componente di sicurezza estremamente importante, che consente di aumentare significativamente il livello di sicurezza delle informazioni e delle altre risorse del sistema.

Riso. 1 Il ruolo del controllo sulla sicurezza delle informazioni

Obiettivi e finalità dell'audit

Gli obiettivi principali dell'audit sulla sicurezza delle informazioni includono quanto segue:

· Ottenere una valutazione obiettiva e indipendente dell'attuale stato di sicurezza delle risorse informative.

· Ottenere il massimo ritorno sui fondi investiti nella creazione di un sistema di sicurezza delle informazioni.

· Valutazione di possibili danni da azioni non autorizzate.

· Sviluppo dei requisiti per la costruzione di un sistema di sicurezza delle informazioni.

· Determinazione delle aree di responsabilità dei dipendenti dei reparti.

· Calcolo delle risorse richieste.

· Sviluppo dell'ordine e della sequenza di implementazione del sistema di sicurezza delle informazioni.

L'audit può essere effettuato con le seguenti modalità:

· Audit completo- prima di creare un sistema di sicurezza delle informazioni

· Punto- la formazione dei requisiti per l'ammodernamento del sistema di protezione

· periodico- controllo di routine esterno del livello di sicurezza del sistema.

· Verifica- esame e valutazione di sistemi e soluzioni utilizzati o previsti.

Fasi di audit

Il processo di audit dei sistemi informativi può essere rappresentato sotto forma di una sorta di pesi (fig. 2), dove da un lato si considerano i sistemi di sicurezza degli accessi, dall'altro il controllo dei processi aziendali e l'infrastruttura tecnica funge da supporto, che a sua volta si basa sulle modalità di autorizzazione accettate, sulla configurazione del sistema, nonché sulla politiche e procedure adottate nelle organizzazioni.

Riso. 2 Il processo di audit dei sistemi informativi

I lavori sull'audit della sicurezza IS includono una serie di fasi sequenziali (Fig. 3), che generalmente corrispondono alle fasi di un audit IS completo, che include quanto segue:

2. Condurre una valutazione della sicurezza - include il lavoro sul rilevamento delle vulnerabilità nelle apparecchiature tecniche, l'analisi della sicurezza tecnologica, nonché l'adeguatezza delle procedure organizzative. Sulla base delle carenze individuate, viene effettuata una valutazione dei rischi, comprendente le principali modalità di superamento del sistema di protezione, il grado di criticità e la possibilità di attuazione;

3. attestazione di sistema - comprende misure per l'esame (valutazione) delle misure esistenti e delle misure di protezione delle informazioni, valutandone l'adeguatezza, nonché la conformità ai requisiti delle principali norme;

4. Sulla base dei risultati dell'Audit, viene sviluppato un piano per la correzione delle carenze individuate. Il compito di pianificazione è determinare le priorità per correggere le carenze riscontrate, sviluppare la sequenza e la metodologia per la loro eliminazione. Inoltre, è previsto lo sviluppo di documenti concettuali e procedurali, come il concetto di sicurezza delle informazioni, i requisiti generali e le raccomandazioni per la protezione delle informazioni, la politica di sicurezza, ecc.

Fig 3. Fasi dell'audit sulla sicurezza delle informazioni

A seconda degli obiettivi e del metodo di conduzione di un audit sulla sicurezza delle informazioni, l'iniziatore di questo evento, come sopra indicato, è la parte interessata. L'iniziatore più comune di un audit è un'organizzazione rappresentata dal suo management.

Di norma, nella fase di indagine, vengono risolti i seguenti problemi organizzativi:

I diritti e gli obblighi del revisore sono chiaramente definiti e documentati nelle sue descrizioni delle mansioni, nonché nella disposizione sui (esterno) revisione contabile;

· L'auditor prepara e concorda con la gestione un piano di audit sulla sicurezza delle informazioni.

La fase di indagine definisce anche l'ambito dell'indagine. I confini del sondaggio sono generalmente definiti nei seguenti termini:

· Elenco delle risorse fisiche, software e informative esaminate;

Piattaforme (locale) rientrare nell'ambito dell'indagine;

· Le principali tipologie di minacce alla sicurezza considerate durante l'audit;

organizzativo (legislativa, amministrativa e procedurale) aspetti fisici, software e hardware e altri aspetti di sicurezza che devono essere presi in considerazione durante l'indagine e le loro priorità (in che misura dovrebbero essere presi in considerazione) .

Questo è seguito dalla raccolta delle informazioni di audit, che è la più difficile e che richiede tempo. Questo, di regola, è associato alla mancanza della documentazione necessaria per il sistema informativo e alla necessità di una stretta interazione del revisore con molti funzionari dell'organizzazione.

Garantire la sicurezza delle informazioni di un'organizzazione è un processo complesso che richiede un'organizzazione chiara e disciplina. Dovrebbe iniziare definendo i ruoli e assegnando le responsabilità tra i funzionari della sicurezza delle informazioni. Pertanto, il primo punto dell'indagine di audit inizia con l'ottenimento di informazioni sulla struttura organizzativa degli utenti IP e delle unità di servizio. A questo proposito, il revisore richiede la documentazione relativa alla struttura organizzativa dell'IP. Solitamente, durante il colloquio, l'auditor pone agli intervistati domande sull'utilizzo delle informazioni che circolano all'interno del SI.

Lo scopo e i principi di funzionamento dell'IS determinano in larga misura i rischi esistenti e i requisiti di sicurezza per il sistema. Pertanto, nella fase successiva, il revisore è interessato alle informazioni sullo scopo e sul funzionamento dell'IS. In questa fase, il revisore può utilizzare la documentazione contenente i seguenti dati:

· Descrizione delle funzioni automatizzate;

· Schema dei flussi informativi;

· Descrizione della struttura del complesso dei mezzi tecnici del sistema informativo;

· Una descrizione della struttura del software;

· Descrizione della struttura del supporto informativo;

· Una descrizione delle specifiche tecniche delle applicazioni utilizzate;

Inoltre, il revisore ha bisogno di informazioni più dettagliate sulla struttura della PI. Ciò consente di scoprire come la distribuzione dei meccanismi di sicurezza è svolta da elementi strutturali e livelli di funzionamento dell'IS.

I metodi di analisi dei dati utilizzati dai revisori sono determinati dall'approccio di revisione scelto, che può variare in modo significativo. Ma in generale, si possono distinguere 3 approcci:

Primo approccio, il più difficile, si basa sull'analisi dei rischi. Sulla base dei metodi di analisi del rischio, il revisore determina per l'IS intervistato una serie individuale di requisiti di sicurezza, che tiene maggiormente conto delle caratteristiche di questo IS, del suo ambiente operativo e delle minacce alla sicurezza esistenti in questo ambiente. Questo approccio è il più dispendioso in termini di tempo e richiede le più elevate qualifiche di un revisore. La qualità dei risultati dell'audit, in questo caso, è fortemente influenzata dalla metodologia utilizzata per l'analisi e la gestione del rischio e dalla sua applicabilità a questo tipo di IP.

Inviare il tuo buon lavoro nella knowledge base è semplice. Usa il modulo sottostante

Studenti, dottorandi, giovani scienziati che utilizzano la base di conoscenza nei loro studi e nel lavoro ti saranno molto grati.

postato su http://www.allbest.ru/

introduzione

L'audit è una forma di controllo indipendente e neutrale di qualsiasi linea di attività di un'impresa commerciale, ampiamente utilizzata nella pratica di un'economia di mercato, in particolare nel campo della contabilità. Altrettanto importante dal punto di vista dello sviluppo complessivo di un'impresa è il suo audit di sicurezza, che comprende un'analisi dei rischi associati alla possibilità di minacce alla sicurezza, soprattutto in relazione alle risorse informative, una valutazione dell'attuale livello di sicurezza di sistemi informativi (SI), localizzazione di colli di bottiglia nel loro sistema di protezione, valutazione della conformità dei SI con gli standard esistenti nel campo della sicurezza delle informazioni e sviluppo di raccomandazioni per l'implementazione di nuovi e aumentare l'efficienza dei meccanismi di sicurezza IS esistenti.

Se parliamo dell'obiettivo principale di un audit sulla sicurezza delle informazioni, allora può essere definito come valutare il livello di sicurezza del sistema informativo di un'impresa per gestirlo nel suo insieme, tenendo conto delle prospettive del suo sviluppo.

Nelle condizioni moderne, quando i sistemi informativi penetrano in tutte le sfere dell'attività aziendale e, tenendo conto della necessità della loro connessione a Internet, si rivelano aperti all'implementazione di minacce interne ed esterne, il problema della sicurezza delle informazioni non diventa meno importante della sicurezza economica o fisica.

Nonostante l'importanza del problema in esame per la formazione degli specialisti della sicurezza informatica, non è stato ancora incluso come corso separato nei curricula esistenti e non è stato considerato nei libri di testo e nei sussidi didattici. Ciò era dovuto alla mancanza del quadro normativo necessario, all'impreparazione degli specialisti e all'insufficiente esperienza pratica nel campo dell'audit della sicurezza delle informazioni.

La struttura generale del lavoro include la seguente sequenza di questioni in esame:

Viene descritto un modello di costruzione di un sistema di sicurezza delle informazioni (SI), che tiene conto di minacce, vulnerabilità, rischi e contromisure adottate per ridurli o prevenirli;

Sono considerati metodi di analisi e gestione del rischio;

Vengono presentati i concetti di base dell'audit di sicurezza e vengono fornite le caratteristiche degli obiettivi della sua attuazione;

Analizza i principali standard internazionali e russi utilizzati nell'audit IS;

Vengono mostrate le possibilità di utilizzo di strumenti software per condurre un audit IS;

La scelta della struttura descritta del libro di testo è stata effettuata al fine di massimizzare l'orientamento dello studente all'uso pratico del materiale in questione, in primo luogo, durante lo studio di un corso di lezione, in secondo luogo, durante il superamento delle pratiche industriali (analisi dello stato della sicurezza delle informazioni in un'impresa), e in terzo luogo, durante lo svolgimento di tesine e tesi.

Il materiale presentato può essere utile per i manager e i dipendenti dei servizi di sicurezza e dei servizi di protezione delle informazioni dell'impresa per preparare e condurre un interno e giustificare la necessità di un audit esterno della sicurezza delle informazioni.

Capo I. Audit di sicurezza e modalità della sua attuazione

1.1 Concetto di controllo di sicurezza

Un audit è un esame indipendente di aree specifiche del funzionamento dell'organizzazione. Distinguere tra audit esterno e interno. Un audit esterno è, di norma, un evento una tantum avviato dalla direzione o dagli azionisti dell'organizzazione. Si raccomanda di condurre regolarmente audit esterni e, ad esempio, per molte organizzazioni finanziarie e società per azioni, questo è un requisito obbligatorio da parte dei loro fondatori e azionisti. L'audit interno è un'attività continua, che viene svolta sulla base del "Regolamento sull'audit interno" e in conformità con il piano, la cui preparazione è svolta dai servizi di sicurezza e approvata dalla direzione dell'organizzazione.

Gli obiettivi di un audit di sicurezza sono:

analisi dei rischi connessi alla possibilità di attuazione di minacce alla sicurezza in relazione alle risorse;

Valutazione dell'attuale livello di sicurezza IP;

Localizzazione di colli di bottiglia nel sistema di protezione IP;

Valutazione della conformità IS agli standard esistenti nel campo della sicurezza delle informazioni;

L'audit di sicurezza di un'impresa (impresa, organizzazione) dovrebbe essere considerato uno strumento di gestione riservato, escludendo la possibilità di fornire informazioni sui risultati delle sue attività a terzi e organizzazioni a scopo di segretezza.

La seguente sequenza di azioni può essere consigliata per condurre un controllo di sicurezza aziendale.

1. Preparazione per un audit di sicurezza:

selezione dell'oggetto della verifica (azienda, singoli edifici e locali, singoli impianti o loro componenti);

Creazione di un team di revisori esperti;

Determinazione dell'ambito e della portata dell'audit e fissazione di scadenze specifiche.

2. Esecuzione di un audit:

analisi generale dello stato di sicurezza dell'oggetto controllato;

Registrazione, raccolta e verifica di dati statistici e risultati di misurazioni strumentali di pericoli e minacce;

Valutazione dei risultati del test;

Stesura di una relazione sui risultati del controllo da parte dei singoli componenti.

3. Completamento dell'audit:

redazione di una relazione finale;

Sviluppo di un piano d'azione per eliminare i colli di bottiglia e le carenze nel garantire la sicurezza dell'azienda.

Per condurre con successo un controllo di sicurezza, è necessario:

Partecipazione attiva del management della società alla sua condotta;

Obiettività e indipendenza dei revisori (esperti), loro competenza e alta professionalità;

Procedura di verifica chiaramente strutturata;

Attuazione attiva delle misure proposte per garantire e rafforzare la sicurezza.

L'audit di sicurezza, a sua volta, è uno strumento efficace per la valutazione della sicurezza e la gestione del rischio. Prevenire le minacce alla sicurezza significa anche proteggere gli interessi economici, sociali e informativi di un'impresa.

Quindi, possiamo concludere che l'audit di sicurezza sta diventando uno strumento di gestione economica.

A seconda del volume degli oggetti analizzati dell'impresa, viene determinato l'ambito dell'audit:

Audit di sicurezza dell'intera azienda nel suo insieme;

Audit di sicurezza dei singoli edifici e locali (locali dedicati);

Audit di apparecchiature e mezzi tecnici di tipologie e tipologie specifiche;

Audit di alcune tipologie e aree di attività: economica, ambientale, informativa, finanziaria, ecc.

Va sottolineato che l'audit non viene effettuato su iniziativa del revisore, ma su iniziativa del management della società, che in questa materia è il principale stakeholder. Il supporto della direzione aziendale è un prerequisito per l'audit.

I diritti e gli obblighi del revisore dovrebbero essere chiaramente definiti e documentati nelle sue descrizioni delle mansioni, nonché nel regolamento sull'audit interno (esterno);

L'auditor deve preparare e concordare con la direzione del piano di audit;

Il regolamento sull'audit interno dovrebbe stabilire, in particolare, che i dipendenti dell'impresa sono obbligati ad assistere il revisore ea fornire tutte le informazioni necessarie per l'audit.

Nella fase di avvio della procedura di audit, dovrebbe essere definito l'ambito dell'indagine. Se alcuni sottosistemi informativi dell'impresa non sono sufficientemente critici, possono essere esclusi dall'ambito dell'indagine.

Altri sottosistemi potrebbero non essere verificabili per motivi di riservatezza.

L'ambito dell'indagine è definito nelle seguenti categorie:

1. Elenco delle risorse fisiche, software e informative esaminate.

2. Siti (locali) che rientrano nei confini dell'indagine.

3. I principali tipi di minacce alla sicurezza considerati durante l'audit.

4. Aspetti organizzativi (legislativi, amministrativi e procedurali), fisici, tecnici del software e altri aspetti della sicurezza che devono essere presi in considerazione durante l'indagine e le loro priorità (in che misura dovrebbero essere presi in considerazione).

Il piano e i limiti dell'audit sono discussi in una riunione di lavoro, alla quale partecipano revisori dei conti, direzione aziendale e responsabili delle divisioni strutturali.

Per comprendere l'audit SI come un sistema complesso, il suo modello concettuale, mostrato in Fig. 1.1. Le componenti principali del processo sono qui evidenziate:

Oggetto di controllo:

Lo scopo dell'audit:

Riso. 1.1. Modello concettuale di audit sulla sicurezza delle informazioni

requisiti da soddisfare;

Metodi utilizzati;

Scala:

esecutori;

Ordine di condotta.

Dal punto di vista dell'organizzazione del lavoro durante un audit IS, ci sono tre fasi fondamentali:

1. raccolta di informazioni;

Questi passaggi sono discussi più dettagliatamente di seguito.

1.2 Metodi di analisi dei dati nell'audit della sicurezza delle informazioni

Attualmente, ci sono tre metodi principali (approcci) per condurre un audit, che differiscono significativamente l'uno dall'altro.

Il primo metodo, il più difficile, si basa sull'analisi del rischio. Sulla base dei metodi di analisi del rischio, il revisore determina per l'IS intervistato una serie individuale di requisiti di sicurezza, che tiene maggiormente conto delle caratteristiche di questo IS, del suo ambiente operativo e delle minacce alla sicurezza esistenti in questo ambiente. Questo approccio è il più dispendioso in termini di tempo e richiede le più elevate qualifiche di un revisore. La qualità dei risultati dell'audit, in questo caso, è fortemente influenzata dalla metodologia utilizzata per l'analisi e la gestione del rischio e dalla sua applicabilità a questo tipo di IP.

Il secondo metodo, il più pratico, si basa sull'uso di standard di sicurezza delle informazioni. Gli standard definiscono l'insieme di base dei requisiti di sicurezza per un'ampia classe di IS, che si forma come risultato della generalizzazione della pratica mondiale. Gli standard possono definire diversi set di requisiti di sicurezza, a seconda del livello di sicurezza dell'IS che deve essere fornito, della sua affiliazione (organizzazione commerciale o agenzia governativa), nonché dello scopo (finanza, industria, comunicazioni, ecc.). In questo caso, l'auditor è tenuto a determinare correttamente l'insieme dei requisiti della norma, la cui conformità deve essere assicurata per questo SI. È necessaria anche una metodologia per valutare tale conformità. Per la sua semplicità (il set standard di requisiti per l'audit è già predeterminato dallo standard) e affidabilità (lo standard è uno standard e nessuno cercherà di sfidare i suoi requisiti), l'approccio descritto è il più comune nella pratica (specialmente quando condurre un audit esterno). Ti consente di trarre conclusioni ragionevoli sullo stato dell'IS con un costo minimo delle risorse.

Il terzo metodo, il più efficace, prevede la combinazione dei primi due.

Se si sceglie un approccio basato sul rischio per condurre un audit di sicurezza, nella fase di analisi dei dati di audit vengono solitamente eseguiti i seguenti gruppi di attività:

uno . Analisi delle risorse IP, comprese le risorse informative, software e hardware e le risorse umane.

2. Analisi di gruppi di compiti risolti dal sistema e dai processi aziendali.

3. Costruzione di un modello (informale) di risorse IP, che determini il rapporto tra informazioni, software, risorse tecniche e umane, la loro disposizione reciproca e le modalità di interazione.

4. Valutazione della criticità delle risorse informative, software e hardware.

5. Determinazione della criticità delle risorse, tenendo conto delle loro interdipendenze.

6. Determinazione delle minacce alla sicurezza più probabili in relazione alle risorse IP e alle vulnerabilità alla sicurezza che rendono possibile l'implementazione di queste minacce.

7. Valutazione della probabilità di attuazione delle minacce, dell'entità delle vulnerabilità e dei danni all'organizzazione in caso di attuazione riuscita delle minacce.

8. Determinazione dell'entità dei rischi per ciascuna tripla: minaccia - gruppo di risorse - vulnerabilità.

L'insieme delle attività elencate è abbastanza generale. Per risolverli, possono essere utilizzate varie tecniche di analisi dei rischi formali e informali, quantitative e qualitative, manuali e automatizzate. Questo non cambia l'essenza dell'approccio.

Quando si esegue un audit di sicurezza per la conformità ai requisiti dello standard, l'auditor, basandosi sulla sua esperienza, valuta l'applicabilità dei requisiti dello standard all'IS ispezionato e la sua conformità a tali requisiti. I dati sulla conformità delle varie aree del funzionamento dell'IS ai requisiti della norma sono generalmente presentati in forma tabellare. La tabella mostra quali requisiti di sicurezza non sono implementati nel sistema. Sulla base di ciò, vengono tratte conclusioni sulla conformità dell'IS intervistato ai requisiti dello standard e vengono fornite raccomandazioni sull'implementazione di meccanismi di sicurezza nel sistema per garantire tale conformità.

1.3 Analisi dei rischi informativi aziendali

L'analisi dei rischi è ciò che dovrebbe iniziare con la creazione di qualsiasi sistema di sicurezza delle informazioni e ciò che è necessario per condurre un audit sulla sicurezza delle informazioni. Include attività per esaminare la sicurezza dell'impresa al fine di determinare quali risorse e da quali minacce devono essere protette, nonché in che misura determinate risorse devono essere protette. La determinazione di un insieme di contromisure adeguate viene effettuata nel corso della gestione del rischio. Il rischio è determinato dalla probabilità di danno e dall'entità del danno alle risorse dei sistemi informativi (SI) in caso di minaccia alla sicurezza.

1. Identificazione delle risorse IP chiave.

2. Determinazione dell'importanza di determinate risorse per l'organizzazione.

3. Identificazione delle minacce alla sicurezza esistenti e delle vulnerabilità che rendono possibili le minacce.

4. Calcolo dei rischi associati all'implementazione di minacce alla sicurezza.

Le risorse IP possono essere classificate come segue:

Risorse informative;

Software;

Mezzi tecnici (server, postazioni di lavoro, apparati di rete attivi, ecc.);

Risorse umane.

I dati sono stati divulgati, alterati, cancellati o resi non disponibili;

L'hardware è stato danneggiato o distrutto;

L'integrità del software è stata compromessa.

I danni possono essere causati a un'organizzazione a seguito della corretta implementazione dei seguenti tipi di minacce alla sicurezza:

Attacchi locali e remoti alle risorse IP;

Disastri naturali;

Errori o azioni deliberate del personale IS;

Guasti IC causati da errori software o malfunzionamenti hardware.

L'entità del rischio può essere determinata in base al costo della risorsa, alla probabilità che si verifichi la minaccia e all'entità della vulnerabilità utilizzando la seguente formula:

costo delle risorse X probabilità di minaccia Rischio = grandezza della vulnerabilità

L'approccio basato sull'analisi dei rischi informativi aziendali è il più significativo per la pratica di garantire la sicurezza delle informazioni. Ciò è dovuto al fatto che l'analisi dei rischi consente di gestire efficacemente la sicurezza delle informazioni di un'impresa. Per fare ciò, all'inizio dell'analisi dei rischi, è necessario determinare cosa esattamente è soggetto a protezione in azienda, a quali minacce è esposto e secondo la pratica di protezione. L'analisi dei rischi viene effettuata sulla base degli obiettivi e degli obiettivi immediati di protezione di una specifica tipologia di informazioni di natura riservata. Uno dei compiti più importanti nella protezione delle informazioni è garantirne l'integrità e la disponibilità. Va tenuto presente che una violazione dell'integrità può verificarsi non solo a seguito di azioni deliberate, ma anche per una serie di altri motivi:

· Guasti alle apparecchiature che portano alla perdita o alla distorsione delle informazioni;

· Impatto fisico, anche a seguito di disastri naturali;

· Bug nel software (incluse funzionalità non documentate).

Pertanto, con il termine "attacco" è più promettente comprendere non solo l'impatto umano sulle risorse informative, ma anche l'impatto dell'ambiente in cui opera il sistema di elaborazione delle informazioni dell'impresa.

Quando si esegue un'analisi dei rischi, vengono sviluppati:

· Strategia generale e tattica per lo svolgimento di "operazioni offensive e ostilità" da parte di un potenziale trasgressore;

· Possibili modalità di esecuzione di attacchi al sistema di elaborazione e protezione delle informazioni;

· Scenario di azioni illegali;

· Caratteristiche dei canali di fuga di informazioni e servizio non autorizzato;

· La probabilità di stabilire un contatto informativo (attuazione di minacce);

· Un elenco di possibili infezioni informative;

· Modello dell'autore del reato;

· Metodologia per la valutazione della sicurezza delle informazioni.

Inoltre, per costruire un sistema affidabile per la protezione delle informazioni di un'impresa, è necessario:

· Identificare tutte le possibili minacce alla sicurezza delle informazioni;

· Valutare le conseguenze della loro manifestazione;

Determinare le misure e i mezzi di protezione necessari, tenendo conto dei requisiti dei documenti normativi, economici

· Opportunità, compatibilità e assenza di conflitti con il software utilizzato;

· Valutare l'efficacia delle misure e dei mezzi di protezione selezionati.

Riso. 1.2. Script di analisi delle risorse informative

Tutte le 6 fasi dell'analisi del rischio sono presentate qui. Nella prima e nella seconda fase, vengono determinate le informazioni che costituiscono un segreto commerciale per l'impresa e che devono essere protette. È chiaro che tali informazioni sono conservate in determinati luoghi e su supporti specifici, trasmesse attraverso canali di comunicazione. Allo stesso tempo, il fattore determinante nella tecnologia di gestione delle informazioni è l'architettura dell'IS, che determina in gran parte la sicurezza delle risorse informative dell'impresa. La terza fase dell'analisi del rischio è la costruzione di canali di accesso, perdite o impatto sulle risorse informative dei principali nodi IS. Ciascun canale di accesso è caratterizzato da una moltitudine di punti dai quali è possibile “rimuovere” le informazioni. Sono loro che rappresentano le vulnerabilità e richiedono l'uso di mezzi per prevenire influenze indesiderate sulle informazioni.

La quarta fase dell'analisi dei metodi di difesa di tutti i possibili punti corrisponde quindi agli obiettivi della difesa e il suo risultato dovrebbe essere una caratteristica di possibili lacune nella difesa, anche a causa di una combinazione di circostanze sfavorevole.

Nella quinta fase, procedendo dai metodi e dai mezzi attualmente noti per il superamento delle linee difensive, vengono determinate le probabilità di attuazione delle minacce per ciascuno dei possibili punti di attacco.

Nella fase finale, sesta, viene valutato il danno all'organizzazione in caso di implementazione di ciascuno degli attacchi, che, insieme alle valutazioni di vulnerabilità, consente di ottenere una graduatoria delle minacce alle risorse informative. I risultati del lavoro sono presentati in una forma conveniente per la loro percezione e per prendere decisioni sulla correzione del sistema di protezione delle informazioni esistente. Inoltre, ogni risorsa informativa può essere esposta a diverse potenziali minacce. Di fondamentale importanza è la probabilità totale di accesso alle risorse informative, che è la somma delle probabilità elementari di accesso ai singoli punti di passaggio delle informazioni.

La quantità di rischio informativo per ciascuna risorsa è definita come il prodotto della probabilità di un attacco alla risorsa, la probabilità di implementazione e la minaccia e il danno da intrusione di informazioni. Questo prodotto può utilizzare vari metodi di ponderazione dei costituenti.

La sommatoria dei rischi per tutte le risorse fornisce il valore del rischio totale per l'architettura IS adottata e per il sistema di sicurezza delle informazioni in essa implementato.

Pertanto, variando le opzioni per la costruzione di un sistema di protezione delle informazioni e di un'architettura IS, diventa possibile presentare e considerare diversi valori del rischio totale a causa di un cambiamento nella probabilità di implementazione delle minacce. Qui, un passaggio molto importante è la scelta di una delle opzioni in base al criterio decisionale selezionato. Tale criterio può essere il valore ammissibile del rischio o il rapporto tra i costi per garantire la sicurezza delle informazioni e il rischio residuo.

Quando si creano sistemi di sicurezza delle informazioni, è inoltre necessario definire una strategia di gestione dei rischi per l'azienda.

Oggi sono noti diversi approcci alla gestione del rischio.

Uno dei più comuni è ridurre il rischio utilizzando metodi e mezzi di protezione appropriati. Sostanzialmente simile è l'approccio associato all'avversione al rischio. È noto che alcune classi di rischi possono essere evitate: ad esempio, lo spostamento del server Web dell'organizzazione al di fuori della rete locale evita il rischio di accessi non autorizzati alla rete locale da parte dei client Web.

Infine, in alcuni casi, l'assunzione di rischi è accettabile. Qui è importante determinare il seguente dilemma: cosa è più redditizio per l'impresa: affrontare i rischi o le loro conseguenze. In questo caso è necessario risolvere il problema di ottimizzazione.

Dopo che è stata determinata la strategia di gestione del rischio, viene effettuata la valutazione finale delle misure per garantire la sicurezza delle informazioni con la preparazione di un parere di esperti sulla sicurezza delle risorse informative. L'opinione degli esperti include tutti i materiali di analisi dei rischi e le raccomandazioni per la loro riduzione.

1.4 Metodi di valutazione dei rischi informativi aziendali

In pratica, vengono utilizzati vari metodi di valutazione e gestione dei rischi informativi nelle imprese. Contestualmente, la valutazione dei rischi informativi prevede le seguenti fasi:

· Identificazione e valutazione quantitativa delle risorse informative delle imprese rilevanti per il business;

· Valutazione delle possibili minacce;

· Valutazione delle vulnerabilità esistenti;

· Valutare l'efficacia degli strumenti di sicurezza delle informazioni.

Si presume che le risorse di informazioni vulnerabili rilevanti per il business di un'azienda siano a rischio se sono minacciate. In altre parole, i rischi caratterizzano il pericolo a cui possono essere esposti i componenti del sistema Internet/Intranet aziendale. Allo stesso tempo, i rischi informativi dell'azienda dipendono da:

· Da indicatori del valore delle risorse informative;

· La probabilità di attuazione di minacce alle risorse;

· L'efficacia dei mezzi di sicurezza delle informazioni esistenti o pianificati.

Lo scopo della valutazione dei rischi è determinare le caratteristiche dei rischi del sistema informativo aziendale e delle sue risorse. Come risultato della valutazione del rischio, diventa possibile scegliere i mezzi che garantiscono il livello desiderato di sicurezza delle informazioni dell'impresa. La valutazione del rischio tiene conto del valore delle risorse, dell'importanza delle minacce e delle vulnerabilità e dell'efficacia delle difese esistenti e pianificate. Gli indicatori delle risorse stesse, l'importanza delle minacce e delle vulnerabilità, l'efficacia dei mezzi di protezione possono essere determinati sia quantitativamente, ad esempio, quando si determinano le caratteristiche dei costi, sia qualitativamente, ad esempio, tenendo conto di influenze ambientali anormali standard o estremamente pericolose.

La possibilità che una minaccia si realizzi è stimata dalla probabilità della sua realizzazione entro un determinato periodo di tempo per una determinata risorsa dell'impresa. Allo stesso tempo, la probabilità che la minaccia si realizzi è determinata dai seguenti indicatori principali:

· L'attrattiva della risorsa viene utilizzata quando si considera la minaccia derivante dall'influenza umana deliberata;

· La possibilità di utilizzare la risorsa per generare reddito se si considera la minaccia di un'influenza umana deliberata;

· Le capacità tecniche dell'implementazione della minaccia vengono utilizzate in caso di deliberata influenza umana;

· Il grado di facilità con cui la vulnerabilità può essere sfruttata.

Attualmente, ci sono molti metodi tabulari per valutare i rischi informativi di un'azienda. È importante che il personale addetto alla sicurezza selezioni per sé il metodo appropriato che fornisca risultati riproducibili corretti e affidabili.

Si raccomanda di valutare indicatori quantitativi delle risorse informative sulla base dei risultati delle indagini sui dipendenti dell'impresa - proprietari di informazioni, ovvero funzionari che possono determinare il valore delle informazioni, le sue caratteristiche e il grado di criticità, in base all'effettivo stato delle cose. Sulla base dei risultati dell'indagine, gli indicatori e il grado di criticità delle risorse informative vengono valutati per lo scenario peggiore fino a considerare i potenziali impatti sulle attività commerciali dell'impresa in caso di possibile conoscenza non autorizzata di informazioni riservate, violazione della sua integrità , indisponibilità per periodi diversi a causa di disservizio dei sistemi di elaborazione dati e distruzione anche fisica. Allo stesso tempo, il processo per ottenere indicatori quantitativi può essere integrato da metodi appropriati per valutare altre risorse critiche dell'impresa, tenendo conto:

· Sicurezza del personale;

· Divulgazione di informazioni private;

· Requisiti per il rispetto di leggi e regolamenti;

· Restrizioni derivanti dalla normativa;

· Interessi commerciali ed economici;

· Perdite finanziarie e interruzioni nelle attività produttive;

· relazioni pubbliche;

· Politica commerciale e operazioni commerciali;

· Perdita di reputazione dell'azienda.

Inoltre, vengono utilizzati indicatori quantitativi dove è consentito e giustificato e qualitativi - dove le stime quantitative sono difficili per una serie di motivi. Allo stesso tempo, la più diffusa è la valutazione degli indicatori di qualità utilizzando scale di punteggio appositamente progettate per questi scopi, ad esempio con una scala a quattro punti.

L'operazione successiva consiste nel compilare coppie di questionari, in cui, per ciascuno dei tipi di minaccia e del gruppo di risorse associato, vengono valutati i livelli di minaccia come la probabilità che le minacce si realizzino e i livelli di vulnerabilità come il grado di facilità con cui minaccia realizzata può portare a un impatto negativo. La valutazione viene effettuata su scale qualitative. Ad esempio, il livello di minacce e vulnerabilità è valutato su una scala alto-basso. Le informazioni necessarie vengono raccolte intervistando i vertici aziendali, i dipendenti dei reparti commerciale, tecnico, del personale e dei servizi, visitando il campo e analizzando la documentazione aziendale.

Insieme ai metodi tabulari per la valutazione dei rischi informativi, possono essere utilizzati metodi matematici moderni, ad esempio il metodo di tipo Delphi, nonché speciali sistemi automatizzati, alcuni dei quali verranno discussi di seguito.

L'algoritmo generale del processo di valutazione del rischio (Figura 1.3.) In questi sistemi comprende le seguenti fasi.

· Descrizione dell'oggetto e misure di protezione;

· Identificazione della risorsa e valutazione dei suoi indicatori quantitativi (determinazione del potenziale impatto negativo sul business);

· Analisi delle minacce alla sicurezza delle informazioni;

· Valutazione delle vulnerabilità;

Valutazione dei fondi esistenti e proposti

garantire la sicurezza delle informazioni;

· Valutazione del rischio.

1.5 Gestione del rischio delle informazioni

Attualmente, la gestione del rischio delle informazioni è una delle aree più rilevanti e in via di sviluppo dinamico della gestione strategica e operativa nel campo della sicurezza delle informazioni. Il suo compito principale è identificare e valutare oggettivamente i rischi informativi dell'impresa più significativi per l'impresa, nonché l'adeguatezza dei controlli di rischio utilizzati per aumentare l'efficienza e la redditività dell'attività economica dell'impresa. Pertanto, il termine "gestione del rischio informativo" è solitamente inteso come un processo sistematico di identificazione, controllo e mitigazione dei rischi informatici delle aziende in conformità con alcune restrizioni del quadro normativo russo nel campo della protezione delle informazioni e della propria politica di sicurezza aziendale.

Riso. 1.3. Algoritmo di valutazione del rischio

L'uso dei sistemi informativi è associato a un certo insieme di rischi. Quando il danno potenziale è inaccettabilmente grande, sono necessarie misure di protezione economicamente giustificate. La (ri) valutazione periodica del rischio è necessaria per monitorare l'efficacia delle attività di sicurezza e per tenere conto dei cambiamenti nell'ambiente.

L'essenza delle attività di gestione del rischio è valutarne le dimensioni, sviluppare misure efficaci e convenienti per mitigare i rischi e quindi garantire che i rischi siano contenuti entro limiti accettabili (e rimangano tali). Di conseguenza, la gestione del rischio comprende due tipologie di attività, che si alternano ciclicamente:

1) (ri) valutazione (misurazione) dei rischi;

2) selezione di dispositivi di protezione efficaci ed economici (neutralizzazione dei rischi).

In relazione ai rischi individuati, sono possibili le seguenti azioni:

· Eliminazione del rischio (ad esempio, eliminando la causa);

· Riduzione del rischio (ad esempio, mediante l'utilizzo di dispositivi di protezione aggiuntivi);

Accettazione del rischio (sviluppando un piano d'azione in condizioni appropriate):

· Reindirizzamento del rischio (ad esempio, stipulando un contratto di assicurazione).

Il processo di gestione del rischio può essere suddiviso nelle seguenti fasi:

1. La scelta degli oggetti analizzati e il livello di dettaglio della loro considerazione.

2. Scelta della metodologia di valutazione del rischio.

3. Identificazione dei beni.

4. Analisi delle minacce e delle loro conseguenze, identificazione delle vulnerabilità nella protezione.

5. Valutazione del rischio.

6. Scelta delle misure di protezione.

7. Attuazione e verifica delle misure selezionate.

8. Valutazione del rischio residuo.

Le fasi6 e riguardano la scelta dei dispositivi di protezione (neutralizzazione dei rischi), il resto - la valutazione dei rischi.

Già elencare le fasi mostra che la gestione del rischio è un processo ciclico. In sostanza, l'ultimo passaggio è un'istruzione di fine ciclo che ti dice di tornare all'inizio. I rischi devono essere costantemente monitorati, rivalutandoli periodicamente. Va notato che una valutazione completa e ben documentata può semplificare notevolmente le attività di follow-up.

La gestione del rischio, come qualsiasi altra attività nel campo della sicurezza delle informazioni, deve essere integrata nel ciclo di vita dell'IS. Quindi l'effetto risulta essere il massimo e i costi sono minimi.

La gestione del rischio deve essere effettuata in tutte le fasi del ciclo di vita del sistema informativo: avvio-sviluppo-operazione di installazione-smaltimento (decommissioning).

Nella fase iniziale, i rischi noti dovrebbero essere presi in considerazione quando si sviluppano i requisiti per il sistema in generale e le apparecchiature di sicurezza in particolare.

Durante la fase di sviluppo, la conoscenza dei rischi aiuta a selezionare le soluzioni architetturali appropriate, che giocano un ruolo chiave nel garantire la sicurezza.

Durante la fase di installazione, i rischi identificati dovrebbero essere presi in considerazione durante la configurazione, il test e la verifica di quanto precedentemente formulato

requisiti e l'intero ciclo di gestione del rischio dovrebbe precedere l'introduzione del sistema in funzione.

Durante la fase operativa, la gestione del rischio dovrebbe accompagnare tutti i cambiamenti significativi nel sistema.

Quando si disattiva un sistema, la gestione del rischio aiuta a garantire che i dati vengano migrati in modo sicuro.

Capitolo II. Standard di sicurezza delle informazioni

2.1 Prerequisiti per la creazione di standard di sicurezza delle informazioni

L'audit della sicurezza delle informazioni si basa sull'uso di numerose raccomandazioni, che sono stabilite principalmente negli standard internazionali di sicurezza delle informazioni.

Recentemente, uno dei risultati dell'audit sta diventando sempre più un certificato che certifica la conformità dell'IP intervistato a un certo standard internazionale riconosciuto. La presenza di tale certificato consente all'organizzazione di ottenere vantaggi competitivi associati a una maggiore fiducia da parte di clienti e partner.

L'uso di standard contribuisce alla soluzione dei seguenti cinque compiti.

In primo luogo, gli obiettivi di garantire la sicurezza delle informazioni dei sistemi informatici sono rigorosamente definiti. In secondo luogo, si sta creando un efficace sistema di gestione della sicurezza delle informazioni. In terzo luogo, fornisce il calcolo di una serie di indicatori dettagliati non solo qualitativi, ma anche quantitativi per valutare la conformità della sicurezza delle informazioni agli obiettivi dichiarati. In quarto luogo, vengono create le condizioni per l'uso degli strumenti esistenti (software) per garantire la sicurezza delle informazioni e valutarne lo stato attuale. Quinto, diventa possibile utilizzare tecniche di gestione della sicurezza con un sistema ben fondato di metriche e misure di supporto per gli sviluppatori di sistemi informativi.

Dall'inizio degli anni '80 sono state create dozzine di standard internazionali e nazionali nel campo della sicurezza delle informazioni, che in una certa misura si completano a vicenda. Di seguito saranno considerati gli standard più famosi per la cronologia della loro creazione:

1) Criterio di valutazione dell'affidabilità dei sistemi informatici "Orange Book" (USA);

2) Criteri armonizzati dei paesi europei;

4) BSI standard tedesco;

5) Standard britannico BS 7799;

6) Norma ISO 17799;

7) Norma “Criteri Generali” ISO 15408;

8) Norma COBIT

Questi standard possono essere suddivisi in due tipi:

· Standard di valutazione finalizzati alla classificazione dei sistemi informativi e delle misure di sicurezza secondo i requisiti di sicurezza;

· Specifiche tecniche che disciplinano i vari aspetti dell'attuazione delle garanzie.

È importante notare che non esiste un muro vuoto tra questi tipi di documenti normativi. Gli standard di valutazione evidenziano gli aspetti più importanti, dal punto di vista della sicurezza delle informazioni, dell'IS, svolgendo il ruolo di specifiche architetturali. Altre specifiche tecniche definiscono come costruire un IS di un'architettura prescritta.

2.2 Standard "Criteri per la valutazione dell'affidabilità dei sistemi informatici" (Libro Arancio)

Storicamente, i "Criteri per la valutazione dei sistemi informatici affidabili" del Dipartimento della Difesa degli Stati Uniti sono diventati il primo standard di valutazione che si è diffuso e ha avuto un enorme impatto sulla base della standardizzazione della sicurezza delle informazioni in molti paesi.

Quest'opera, più spesso chiamata "Libro arancione" per il colore della copertina, è stata pubblicata per la prima volta nell'agosto 1983. Il suo nome da solo richiede un commento. Non stiamo parlando di sistemi sicuri, ma di sistemi fidati, cioè sistemi a cui è possibile dare un certo grado di fiducia.

L'Orange Book chiarisce il concetto di un sistema sicuro che "gestisce, attraverso mezzi appropriati, l'accesso alle informazioni in modo che solo le persone oi processi debitamente autorizzati che agiscono per loro conto abbiano il diritto di leggere, scrivere, creare e cancellare le informazioni".

È ovvio però che non esistono sistemi assolutamente sicuri, questa è un'astrazione. Ha senso valutare solo il grado di fiducia che può essere dato a un particolare sistema.

L'Orange Book definisce un sistema affidabile come "un sistema che utilizza hardware e software sufficienti per consentire a un gruppo di utenti di elaborare contemporaneamente informazioni con vari gradi di segretezza senza violare i diritti di accesso".

Si precisa che nei criteri considerati, sia la sicurezza che la fiducia sono valutate unicamente dal punto di vista del controllo dell'accesso ai dati, che è uno dei mezzi per garantire la riservatezza e l'integrità delle informazioni. Tuttavia, l'Orange Book non affronta i problemi di accessibilità.

Il grado di fiducia viene valutato secondo due criteri principali.

1. Politica di sicurezza: un insieme di leggi, regole e codici di condotta che disciplinano il modo in cui un'organizzazione elabora, protegge e diffonde le informazioni. In particolare, le regole determinano in quali casi l'utente può operare su specifici set di dati. Maggiore è il grado di fiducia nel sistema, più rigorosa e diversificata dovrebbe essere la politica di sicurezza. A seconda della policy formulata, è possibile scegliere meccanismi di sicurezza specifici. La politica di sicurezza è un aspetto attivo della protezione, compresa l'analisi delle possibili minacce e la selezione delle contromisure.

2. Il livello di garanzia è una misura di fiducia che può essere fornita all'architettura e all'implementazione dell'IS. La fiducia nella sicurezza può nascere sia dall'analisi dei risultati dei test sia dalla verifica (formale o meno) della progettazione complessiva e della realizzazione del sistema nel suo insieme e dei suoi singoli componenti. Il livello di garanzia mostra quanto siano corretti i meccanismi responsabili dell'attuazione della politica di sicurezza. Questo è l'aspetto passivo della difesa.

Un meccanismo di responsabilità (registrazione) è definito come la principale misura di sicurezza. Il sistema attendibile deve registrare tutti gli eventi di sicurezza. La tenuta dei registri dovrebbe essere integrata da un audit, ovvero un'analisi delle informazioni di registrazione. Il concetto di una base informatica affidabile è fondamentale per valutare il grado di fiducia nella sicurezza. La Trusted Computing Base è la raccolta di meccanismi di sicurezza IC (inclusi hardware e software) responsabili dell'applicazione delle politiche di sicurezza. La qualità della base informatica è determinata esclusivamente dalla sua implementazione e dalla correttezza dei dati iniziali inseriti dall'amministratore di sistema.

I componenti considerati al di fuori della base computazionale potrebbero non essere attendibili, ma ciò non dovrebbe influire sulla sicurezza del sistema nel suo insieme. Di conseguenza, gli autori dello standard raccomandano di considerare solo la sua base computazionale per valutare la fiducia nella sicurezza IS.

Lo scopo principale di una base di calcolo attendibile è quello di svolgere le funzioni di un monitor di riferimento, ovvero controllare l'ammissibilità di determinate operazioni su oggetti (entità passive) da parte di soggetti (utenti). Il monitor controlla l'accesso di ciascun utente ai programmi o ai dati per verificarne la coerenza con l'insieme di azioni consentite per l'utente.

Un hit monitor deve avere tre qualità:

Isolamento. È necessario impedire la possibilità di monitorare il monitor.

Completezza. Il monitor dovrebbe essere chiamato ad ogni chiamata, non dovrebbe esserci modo di bypassarlo.

verificabilità. Il monitor deve essere compatto in modo da poter essere analizzato e testato con sicurezza nella completezza del test.

L'implementazione del monitor di riferimento è chiamata kernel di sicurezza. Il Security Core è la base su cui sono costruiti tutti i meccanismi di difesa. Oltre alle proprietà del monitor di riferimento sopra elencate, il kernel deve garantire la propria immutabilità.

Il confine della base di calcolo attendibile è chiamato perimetro di sicurezza. Come notato, i componenti al di fuori del perimetro di sicurezza potrebbero non essere generalmente considerati attendibili. Con lo sviluppo dei sistemi distribuiti, al concetto di "perimetro di sicurezza" viene sempre più attribuito un significato diverso, inteso come confine di proprietà di una determinata organizzazione. Ciò che è dentro il possesso è considerato attendibile, e ciò che è fuori non lo è.

Secondo l'Orange Book, una politica di sicurezza deve necessariamente includere i seguenti elementi:

· Controllo accessi arbitrario;

· Sicurezza del riutilizzo degli oggetti;

· Etichette di sicurezza;

· Controllo degli accessi forzati.

Il controllo arbitrario dell'accesso è un metodo per differenziare l'accesso agli oggetti in base al resoconto dell'identità del soggetto o del gruppo a cui il soggetto appartiene. L'arbitrarietà del controllo risiede nel fatto che una persona (solitamente il proprietario dell'oggetto) può, a sua discrezione, concedere ad altri soggetti o togliergli il diritto di accesso all'oggetto.

La sicurezza del riutilizzo degli oggetti è un'aggiunta importante ai controlli di accesso per prevenire l'estrazione accidentale o deliberata di informazioni riservate dal cestino. La sicurezza del riutilizzo deve essere garantita per le aree di memoria ad accesso casuale (in particolare per i buffer con immagini dello schermo, password decrittografate, ecc.), per i blocchi disco e per i supporti magnetici in genere.

2.3 Standard BSI tedesco

Nel 1998, la Germania ha pubblicato la "Guida alla sicurezza delle tecnologie dell'informazione per un livello base". Il manuale è un ipertesto di circa 4 MB (in formato HTML). Successivamente è stato formalizzato nella forma dello standard tedesco BSI. Si basa sulla metodologia generale e sui componenti della gestione della sicurezza delle informazioni:

· Metodo generale di gestione della sicurezza delle informazioni (organizzazione della gestione nel campo della sicurezza delle informazioni, metodologia per l'utilizzo del manuale).

· Descrizioni dei componenti della moderna tecnologia dell'informazione.

· Componenti principali (livello organizzativo della sicurezza delle informazioni, livello procedurale, organizzazione della protezione dei dati, pianificazione degli interventi in situazioni di emergenza).

· Infrastrutture (edifici, locali, reti cablate, organizzazione dell'accesso remoto).

· Componenti client di vario tipo (DOS, Windows, UNIX, componenti mobili, altri tipi).

· Reti di vario tipo (connessioni punto-punto, reti Novell NetWare, reti con OC ONIX e Windows, reti eterogenee).

· Elementi di sistemi di trasmissione dati (e-mail, modem, firewall, ecc.).

· Telecomunicazioni (fax, segreterie telefoniche, sistemi integrati basati su ISDN, altri sistemi di telecomunicazione).

· Software standard.

· Banca dati.

· Descrizioni delle principali componenti dell'organizzazione del regime di sicurezza delle informazioni (livelli organizzativi e tecnici di protezione dei dati, pianificazione di emergenza, supporto alla continuità operativa).

· Caratteristiche degli oggetti dell'informatizzazione (edifici, locali, reti cablate, aree controllate).

· Caratteristiche dei principali asset informativi aziendali (inclusi hardware e software, quali workstation e server con sistemi operativi DOS, Windows e UNIX).

· Caratteristiche delle reti di computer basate su diverse tecnologie di rete, come reti Novell Net Ware, reti UNIX e Windows).

· Caratteristiche delle apparecchiature di telecomunicazione attive e passive dei principali fornitori, come Cisco Systems.

· Cataloghi dettagliati delle minacce alla sicurezza e delle misure di controllo (più di 600 articoli in ogni catalogo).

Tutti i tipi di minacce nello standard BSI sono suddivisi nelle seguenti classi:

· Forza maggiore.

· Mancanza di misure organizzative.

· Errori umani.

· Problemi tecnici.

· Azioni intenzionali.

Le contromisure sono classificate in modo simile:

· Miglioramento delle infrastrutture;

· Contromisure amministrative;

· Contromisure procedurali;

· Software e contromisure tecniche;

· Ridurre la vulnerabilità delle comunicazioni; pianificazione di emergenza.

Tutti i componenti sono considerati e descritti secondo il seguente schema:

1) descrizione generale;

2) possibili scenari di minacce alla sicurezza (elenco delle minacce applicabili a questo componente dal catalogo delle minacce alla sicurezza);

3) possibili contromisure (elenca le minacce dal catalogo delle minacce alla sicurezza applicabile a questo componente);

2.4 Standard britannico BS 7799

Il British Standards Institute (BSI), con la partecipazione di organizzazioni commerciali come Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica, ecc., ha sviluppato uno standard di sicurezza delle informazioni, che nel 1995 è stato adottato come norma nazionale BS 7799 gestione della sicurezza delle informazioni di un'organizzazione indipendentemente dall'ambito dell'azienda.

In conformità a questo standard, qualsiasi servizio di sicurezza, dipartimento IT, direzione aziendale deve iniziare a lavorare in conformità con le norme generali. Non importa se si tratta di tutela dei documenti cartacei o dei dati elettronici. Attualmente, lo standard britannico BS 7799 è supportato in 27 paesi del mondo, inclusi i paesi del Commonwealth britannico, nonché, ad esempio, Svezia e Paesi Bassi. Nel 2000, l'International Institute of Standards ISO, basato sulla British BS 7799, ha sviluppato e pubblicato lo standard internazionale per la gestione della sicurezza ISO/IEC 17799.

Pertanto, oggi si può affermare che BS 7799 e ISO 17799 sono lo stesso standard, che oggi ha un riconoscimento mondiale e lo status di uno standard ISO internazionale.

Allo stesso tempo, va notato il contenuto originale dello standard BS 7799, che è ancora utilizzato in un certo numero di paesi. Ha due parti.

· Politica di sicurezza.

· Organizzazione della protezione.

· Classificazione e gestione delle risorse informative.

· Gestione personale.

· Sicurezza fisica.

· Amministrazione di sistemi e reti informatiche.

· Controllo dell'accesso ai sistemi.

· Sviluppo e manutenzione di sistemi.

· Pianificazione del buon funzionamento dell'organizzazione.

· Verifica della conformità del sistema ai requisiti IS.

La Parte 2: Specifiche di sistema (1998) affronta questi stessi aspetti dal punto di vista della certificazione di un sistema informativo per la conformità ai requisiti della norma.

Definisce le possibili specifiche funzionali dei sistemi di gestione della sicurezza delle informazioni aziendali dal punto di vista della loro verifica per la conformità ai requisiti della prima parte della presente norma. In conformità a quanto previsto dalla presente norma, è disciplinata anche la procedura di verifica dei sistemi informativi aziendali.

· Gestione della sicurezza delle informazioni: un'introduzione.

· Opportunità di certificazione per i requisiti della BS 7799 -Preparazione per la certificazione BS 7799.

· Guida alla valutazione e gestione del rischio BS 7799.

· Sei pronto per un audit BS 7799 - Sei pronto per un audit BS 7799?

· Guida all'auditing per i requisiti della norma - BS 7799 Guida all'auditing BS 7799.

Oggi, il comitato internazionale Joint Technical Committee ISO/IEC JTC 1 insieme al British Standards Institution (BSI), ed in particolare al servizio UKAS (United Kingdom Accredited Service). Il servizio citato accredita le organizzazioni per il controllo della sicurezza delle informazioni in conformità con BS ISO / IEC 7799: 2000 (BS 7799-1: 2000). I certificati rilasciati da questi organismi sono riconosciuti in molti paesi.

Si noti che in caso di certificazione di un'azienda secondo gli standard ISO 9001 o ISO 9002, lo standard BS ISO/IEC 7799: 2000 (BS 7799-1: 2000) consente di combinare la certificazione del sistema di sicurezza delle informazioni con la certificazione per la conformità alla norma ISO 9001 o 9002 come nella fase iniziale e durante le verifiche di controllo. Per fare ciò, è necessario soddisfare la condizione di partecipazione alla certificazione combinata di un auditor registrato secondo BS ISO / IEC 7799: 2000 (BS 7799-1: 2000). Allo stesso tempo, i piani di test congiunti dovrebbero indicare chiaramente le procedure per il controllo del sistema di sicurezza delle informazioni e le autorità di certificazione dovrebbero garantire che la verifica della sicurezza delle informazioni sia approfondita.

2.5 Norma internazionale ISO 17799

Uno dei più sviluppati e ampiamente utilizzati in tutti i paesi del mondo è lo standard internazionale ISO 17799:

Codice di condotta per la gestione della sicurezza delle informazioni, adottato nel 2000. La ISO 17799 è stata sviluppata dallo standard britannico BS 7799.

La ISO 17799 può essere utilizzata come criterio per valutare i meccanismi di sicurezza a livello organizzativo, comprese le garanzie amministrative, procedurali e fisiche.

Le regole pratiche sono suddivise nelle seguenti 10 sezioni:

1. Politica di sicurezza.

2. Organizzazione della protezione.

3. Classificazione delle risorse e loro controllo.

4. Sicurezza del personale.

5. Sicurezza fisica.

6. Amministrazione di sistemi informatici e reti informatiche.

7. Controllo degli accessi.

8. Sviluppo e manutenzione di sistemi informativi.

9. Pianificazione del buon funzionamento dell'organizzazione.

10. Monitoraggio della conformità ai requisiti della politica di sicurezza.

I dieci controlli proposti nella ISO 17799 (identificati come chiave) sono considerati particolarmente importanti. I controlli in questo contesto sono intesi come meccanismi per la gestione della sicurezza delle informazioni di un'organizzazione.

Alcuni dei controlli, come la crittografia dei dati, possono richiedere consigli sulla sicurezza e valutazione dei rischi per determinare se sono necessari e come dovrebbero essere implementati. Al fine di fornire un livello di protezione più elevato per risorse particolarmente preziose o per contrastare minacce alla sicurezza particolarmente gravi, in alcuni casi possono essere necessari controlli più rigorosi che vanno oltre lo scopo della norma ISO 17799.

I seguenti controlli sono fondamentali:

· Documento sulla politica di sicurezza delle informazioni;

· Distribuzione delle responsabilità per garantire la sicurezza delle informazioni;

· Istruzione e formazione del personale per mantenere il regime di sicurezza delle informazioni;

· Segnalazione di casi di violazione della tutela;

· Mezzi di protezione contro i virus;

Documenti simili

Compiti che vengono risolti durante l'audit della sicurezza del sistema informativo. Fasi di un audit di esperti. Penetration test (pentest) nel sistema informativo: oggetti, tappe. Obiettivi dell'audit delle applicazioni web. Audit per la conformità agli standard.

rapporto di pratica, aggiunto il 22/09/2011

Dottrina della sicurezza delle informazioni della Federazione Russa. Verifica dei sistemi informativi utilizzati dall'azienda con successiva valutazione dei rischi di malfunzionamento del loro funzionamento. Legge sui dati personali. Divisione dell'audit attivo in esterno e interno.

presentazione aggiunta il 27/01/2011

Il concetto di audit dei sistemi informativi, i suoi oggetti. Rischi connessi al sistema informativo dell'ente sottoposto a revisione, loro classificazione e indicatori di valutazione. Ridurre i rischi durante il controllo dei sistemi informativi. Fonti di potenziali pericoli.

articolo aggiunto il 12/05/2013

Le principali direzioni di attività nel campo dell'audit sulla sicurezza delle informazioni come controllo della conformità dell'organizzazione e dell'efficacia della protezione delle informazioni con requisiti e / o standard stabiliti. Fasi di un audit di esperti. Il concetto di audit delle stanze assegnate.

lezione aggiunta il 10/08/2013

Fondamenti metodologici dell'auditing. Modalità di organizzazione degli audit. Classificazione dei metodi di audit. Tipi e fonti della loro ricezione. Approcci metodologici alle tecniche di audit. Metodi di controllo normativo.

tesina, aggiunta il 17/06/2008

Obiettivi dell'audit di qualità. Fasi dell'audit interno. Garantire la completezza dell'audit. Tecnologia di controllo del sistema di qualità. Classificazione delle non conformità in base alla loro importanza. Incontri di coinvolgimento di gruppo. Azioni di follow-up dopo l'audit.

abstract, aggiunto il 26/03/2014

Il concetto e le tipologie di audit. Contenuto del piano e del programma di audit generale. Documentare e preparare un piano di audit complessivo. Verifica della redazione dei bilanci. Verifica della correttezza della politica fiscale della società.

tesina, aggiunta 04/12/2011

Organizzazione dell'infrastruttura informativa. Analisi del livello di informatizzazione delle istituzioni educative. Problemi, obiettivi e metodi di audit dell'infrastruttura IT. Analisi del livello di licenza del software in un istituto di istruzione.

tesina, aggiunta il 08/09/2012

Aspetti teorici dell'audit delle immobilizzazioni. Il concetto di audit e la procedura per la sua attuazione per le immobilizzazioni. Documenti primari per la verifica delle immobilizzazioni. Esempi di audit e quadro giuridico. Revisione dei metodi per la verifica delle immobilizzazioni.

tesi, aggiunta il 09/01/2008

Controllo di qualità dell'audit interno. Requisiti per garantire la qualità interna del lavoro durante l'audit. La forma e il contenuto degli standard interni dell'organizzazione di audit: un elenco di standard, disposizioni sulla metodologia di audit.

Nel mondo moderno, i sistemi informativi (IS) svolgono un ruolo chiave nell'assicurare l'efficienza delle organizzazioni commerciali e governative. I circuiti integrati vengono utilizzati per archiviare, elaborare e trasmettere informazioni. Ogni giorno cresce il numero di minacce esterne e interne alla sicurezza delle informazioni (IS), che possono portare a significative perdite finanziarie e di reputazione.

L'audit della sicurezza delle informazioni (IS) è un processo estremamente importante che consente di ottenere informazioni oggettive sullo stato attuale degli strumenti di sicurezza delle informazioni in un'azienda, valutare il grado di protezione dei dati e dei sistemi IT, la loro conformità a determinati requisiti e criteri. L'audit IS viene effettuato sia come prima fase nell'implementazione di soluzioni per la sicurezza delle informazioni, sia in alcuni casi al di fuori del progetto, quando è richiesto di ottenere una valutazione indipendente della reale sicurezza dei sistemi. Un audit consente di identificare in anticipo minacce e problemi al fine di determinare ulteriormente le modalità per la loro eliminazione e può aumentare notevolmente il livello di sicurezza e la conformità degli strumenti di protezione alle reali esigenze aziendali. Quindi, secondo gli esperti, condurre audit non programmati può far risparmiare fino al 20% di tempo e il 15% di risorse materiali per la sicurezza delle informazioni, determinando i punti di applicazione degli sforzi e le soluzioni ottimali.

Sulla base della definizione degli obiettivi, AST fornisce servizi per condurre tre tipi principali di audit sulla sicurezza delle informazioni:

Audit di esperti, all'interno del quale si valuta lo stato attuale dei sistemi e dei mezzi di protezione, si individuano carenze e vulnerabilità.
Audit di conformità, che valuta la conformità dei controlli di sicurezza agli standard internazionali e di settore richiesti.
Penetration test, durante il quale vengono simulate le azioni di un attaccante volte a portare a termine un attacco con successo. Lo scopo di tale audit è aumentare la sicurezza identificando e quindi eliminando i vettori di attacco reali.

L'audit si svolge in più fasi:

Definizione degli obiettivi del progetto. Vengono raccolte informazioni iniziali sugli oggetti protetti, informazioni e criteri di valutazione, vengono intraprese azioni organizzative per preparare l'audit.
Accordo sulle condizioni e sui limiti dei test di penetrazione (esterno/interno, whitebox/blackbox, tempi/tempo, limiti di immersione e altri parametri importanti)
Indagine ed elaborazione dei risultati. La raccolta dell'intero complesso di dati su risorse, sistemi di mezzi di protezione, misure organizzative nel campo della sicurezza delle informazioni, ecc. Sulla base dei risultati, viene sviluppata una reportistica consolidata, che costituisce la base per condurre analisi dei rischi, analizzare la conformità ai requisiti e sviluppare raccomandazioni.
Esecuzione di test di penetrazione manuale.
Analisi del rischio. Una procedura completa per valutare il livello di sicurezza dei sistemi informativi, tenendo conto sia delle informazioni fornite che dei risultati dei test di penetrazione (vettori di attacco effettivi). La procedura prevede lo sviluppo di un modello di minaccia e di un modello di intrusi.
Analisi della conformità agli standard e ai requisiti di standard e documenti normativi. Di conseguenza, viene confermata la conformità o, nella fase di sviluppo delle raccomandazioni, vengono determinate le modalità per mettere a punto i sistemi di sicurezza delle informazioni al livello di sicurezza richiesto.
Sviluppo di raccomandazioni. Si basano sull'intero complesso di informazioni, analisi e conclusioni ottenute a seguito del sondaggio. Le raccomandazioni coprono l'intera gamma di misure organizzative e tecniche necessarie per garantire il livello richiesto di sicurezza delle informazioni.

Oggetto della verifica IS possono essere sia le singole componenti dei sistemi e delle infrastrutture informatiche aziendali, sia l'intero complesso di soluzioni informatiche contenenti informazioni soggette a protezione.