Audit securitatea informatiei poate nu numai să acorde băncii dreptul de a desfășura anumite tipuri de activități, ci și să arate slăbiciuni în sistemele băncii. Prin urmare, este necesar să se adopte o abordare echilibrată a deciziei de a efectua și alege forma de audit.
Conform Legii federale din 30 decembrie 2008 nr. 307-FZ „Cu privire la activitățile de audit”, un audit este „o verificare independentă a situațiilor contabile (financiare) ale entității auditate pentru a exprima o opinie cu privire la fiabilitatea unui astfel de audit. declarații.” Acest termen menționat în această lege nu are nicio legătură cu securitatea informațiilor. Cu toate acestea, se întâmplă că specialiștii în securitatea informațiilor o folosesc destul de activ în discursul lor. În acest caz, auditul se referă la procesul de evaluare independentă a activităților unei organizații, sistemului, proces, proiect sau produs. În același timp, trebuie să înțelegem că în diverse reglementări interne termenul „audit de securitate a informațiilor” nu este întotdeauna folosit - acesta este adesea înlocuit fie cu termenul „evaluare a conformității”, fie cu termenul ușor învechit, dar încă folosit, „certificare”. Uneori este folosit și termenul de „certificare”, dar în legătură cu reglementările internaționale străine. Un audit de securitate a informațiilor este efectuat fie pentru a verifica conformitatea cu reglementările, fie pentru a verifica valabilitatea și securitatea soluțiilor utilizate. Dar indiferent de ce termen este folosit, în esență, un audit de securitate a informațiilor este efectuat fie pentru a verifica conformitatea cu reglementările, fie pentru a verifica valabilitatea și securitatea soluțiilor utilizate. În al doilea caz, auditul este voluntar, iar decizia de a-l efectua este luată de organizația însăși. În primul caz, este imposibil să refuzi efectuarea unui audit, deoarece aceasta implică o încălcare a cerințelor stabilite prin reglementări, ceea ce duce la pedepse sub formă de amendă, suspendare a activităților sau alte forme de pedeapsă. Dacă un audit este obligatoriu, acesta poate fi efectuat atât de către organizația însăși, de exemplu, sub formă de autoevaluare (totuși, în acest caz nu se vorbește despre „independență”, iar termenul „audit” nu este în întregime corect de utilizat aici), sau de către organizații externe independente - auditori. A treia opțiune pentru efectuarea unui audit obligatoriu este controlul de către organismele de reglementare abilitate să desfășoare activități de supraveghere adecvate. Această opțiune este adesea numită o inspecție mai degrabă decât un audit. Deoarece un audit voluntar poate fi efectuat pentru absolut orice motiv (pentru a verifica securitatea sistemului bancar la distanță, a controla activele unei bănci achiziționate, a verifica o sucursală nou deschisă etc.), nu vom lua în considerare această opțiune. În acest caz, este imposibil să-i conturați clar limitele, nici să descrieți formele de raportare, nici să vorbiți despre regularitate - toate acestea sunt decise printr-un acord între auditor și organizația auditată. Prin urmare, vom avea în vedere doar formele de audit obligatoriu care sunt specifice băncilor.
Standardul internațional ISO 27001
Uneori puteți auzi despre o anumită bancă supusă unui audit pentru conformitatea cu cerințele standardului internațional „ISO/IEC 27001:2005” (echivalentul său complet rusesc este „GOST R ISO/IEC 27001-2006 - Tehnologia informației - Metode și mijloace de asigurare a securității.Securitatea informațiilor sistemelor de management – Cerințe”). În esență, acest standard este un set cele mai bune practici privind managementul securității informațiilor în organizațiile mari (organizațiile mici, inclusiv băncile, nu sunt întotdeauna capabile să îndeplinească cerințele acestui standard în în întregime). Ca orice standard din Rusia, ISO 27001 este un document pur voluntar, pe care fiecare bancă decide să-l accepte sau nu în mod independent. Dar ISO 27001 este un standard de facto în întreaga lume, iar specialiștii din multe țări folosesc acest standard ca un fel de limbă universală care ar trebui urmat atunci când se ocupă de securitatea informațiilor. ISO 27001 este, de asemenea, asociat cu câteva puncte nu atât de evidente și nu adesea menționate. Cu toate acestea, ISO 27001 implică și câteva puncte mai puțin evidente și mai puțin frecvent menționate. În primul rând, nu întregul sistem de securitate a informațiilor al băncii este supus auditului conform acestui standard, ci doar unul sau mai multe dintre ele. componente. De exemplu, un sistem de securitate bancar la distanță, un sistem de securitate al sediului central al băncii sau un sistem de securitate a procesului de management al personalului. Cu alte cuvinte, primirea unui certificat de conformitate pentru unul dintre procesele evaluate ca parte a auditului nu garantează că procesele rămase sunt în aceeași stare aproape ideală. Al doilea punct este legat de faptul că ISO 27001 este un standard universal, adică aplicabil oricărei organizații și, prin urmare, nu ține cont de specificul unei anumite industrii. Acest lucru a condus la faptul că, în cadrul organizației internaționale de standardizare ISO, se vorbește de mult despre crearea standardului ISO 27015, care este o traducere a ISO 27001/27002 pentru industria financiară. Banca Rusiei ia, de asemenea, un rol activ la dezvoltarea acestui standard. Cu toate acestea, Visa și MasterCard sunt împotriva proiectului acestui standard, care a fost deja dezvoltat. Primul consideră că proiectul de standard conține prea puține informații necesare industriei financiare (de exemplu, despre sistemele de plată), iar dacă este adăugat acolo, standardul ar trebui transferat către un alt comitet ISO. De asemenea, MasterCard propune oprirea dezvoltării ISO 27015, dar motivația este alta - spun ei, industria financiară este deja plină de documente care reglementează tema securității informațiilor. În al treilea rând, este necesar să se acorde atenție faptului că multe propuneri găsite pe piața rusă nu vorbesc despre un audit de conformitate, ci despre pregătirea pentru un audit. Cert este că doar câteva organizații din lume au dreptul de a certifica conformitatea cu cerințele ISO 27001. Integratorii ajută doar companiile să îndeplinească cerințele standardului, care vor fi apoi verificate de auditorii oficiali (se mai numesc și registratori, organisme de certificare etc.). În timp ce dezbaterea continuă cu privire la dacă băncile ar trebui să implementeze ISO 27001 sau nu, unele suflete curajoase merg la asta și trec prin 3 etape de audit de conformitate:- Examinarea informală preliminară de către auditor a documentelor cheie (atât la sediul clientului de audit, cât și în afara acestuia).
- Audit formal și mai aprofundat al măsurilor de protecție implementate, evaluarea eficacității acestora și studierea documentelor necesare elaborate. Această etapă se încheie de obicei cu confirmarea conformității, iar auditorul eliberează un certificat corespunzător recunoscut în întreaga lume.
- Efectuarea unui audit anual de inspecție pentru confirmarea certificatului de conformitate obținut anterior.
Set de documente ale Băncii Rusiei STO BR IBBS
Un astfel de standard, sau mai degrabă un set de standarde, este un set de documente de la Banca Rusiei care descrie o abordare unificată a construirii unui sistem de securitate a informațiilor pentru organizații. sectorul bancar luând în considerare cerințele Legislația rusă. In nucleu acest set documentele (denumite în continuare STO BR IBBS), care conțin trei standarde și cinci recomandări pentru standardizare, se află ISO 27001 și o serie de alte standarde internaționale pentru managementul tehnologiei informației și securitatea informațiilor. Problemele de auditare și evaluare a conformității cu cerințele standardului, ca și pentru ISO 27001, sunt precizate în documente separate - „STO BR IBBS-1.1-2007. Auditul securității informațiilor”, „STO BR IBBS-1.2-2010. Metodologia de evaluare a conformității securității informațiilor organizațiilor sistemului bancar Federația Rusă cerințele STO BR IBBS-1.0-2010” și „RS BR IBBS-2.1-2007. Orientări pentru autoevaluarea conformității securității informațiilor organizațiilor din sistemul bancar al Federației Ruse cu cerințele STO BR IBBS-1.0.” În cadrul evaluării conformității conform STO BR IBBS, se verifică implementarea a 423 de indicatori de securitate a informațiilor private, grupați în 34 de indicatori de grup. Rezultatul evaluării este indicatorul final, care ar trebui să fie la nivelul al 4-lea sau al 5-lea pe o scară de cinci puncte, stabilit de Banca Rusia. Acest lucru, de altfel, distinge foarte mult un audit conform STO BR IBBS de un audit conform altor reglementări în domeniul securității informațiilor. În STO BR IBBS nu există inconsecvență, doar nivelul de conformitate poate fi diferit: de la zero la cinci. Și numai nivelurile de peste 4 sunt considerate pozitive. La sfârșitul anului 2011, aproximativ 70-75% dintre bănci au implementat sau sunt în proces de implementare a acestui set de standarde. Cu toate acestea, acestea sunt de drept consultativ în natură, dar inspecțiile de facto ale Băncii Rusiei au fost efectuate până de curând tocmai în conformitate cu cerințele STO BR IBBS (deși acest lucru nu a fost niciodată declarat în mod explicit nicăieri). Situația s-a schimbat la 1 iulie 2012, când legea „Cu privire la Național sistem de plata„și documentele de reglementare ale Guvernului Rusiei și ale Băncii Rusiei elaborate pentru implementarea acesteia. Din acest moment, pe ordinea de zi a apărut din nou problema necesității de a efectua un audit de conformitate cu cerințele STO BR IBBS. Cert este că metodologia de evaluare a conformității, propusă în cadrul legislației privind sistemul național de plăți (SNP), și metodologia de evaluare a conformității cu STO BR IBBS pot diverge foarte mult în valorile finale. În același timp, evaluarea folosind prima metodă (pentru NPS) a devenit obligatorie, în timp ce evaluarea folosind STO BR IBBS este încă de drept de natură recomandativă. Și la momentul redactării acestui articol, Banca Rusiei însăși nu luase încă o decizie cu privire la soarta viitoare a acestei evaluări. Dacă anterior toate firele convergeau în Direcția principală de securitate și protecție a informațiilor a Băncii Rusiei (GUBZI), atunci împărțirea puterilor între GUBZI și Departamentul de Reglementare a Reglementărilor (LHH) este încă o întrebare deschisă. Este deja clar că actele legislative cu privire la NPS necesită o evaluare obligatorie a conformității, adică un audit.Legislația privind sistemul național de plăți
Legislația privind NPS este abia la începutul formării sale, și ne așteaptă multe documente noi, inclusiv cele referitoare la problemele asigurării securității informațiilor. Dar deja este clar că Regulamentul 382-P, emis și aprobat la 9 iunie 2012, „Cu privire la cerințele pentru asigurarea protecției informațiilor la efectuarea transferurilor. Baniși privind procedura pentru Banca Rusiei de a monitoriza respectarea cerințelor de securitate a informațiilor atunci când efectuează transferuri de bani” impune în paragraful 2.15 o evaluare obligatorie a conformității, adică un audit. O astfel de evaluare se realizează fie independent, fie cu implicarea unor terți. După cum sa menționat mai sus, evaluarea conformității efectuată în cadrul 382-P este similară în esență cu ceea ce este descris în metodologia de evaluare a conformității STO BR IBBS, dar produce rezultate complet diferite, care este asociată cu introducerea unor factori de corecție speciali, care determină diferitele rezultate. Nici unul cerinte speciale Regulamentul 382-P nu se aplică organizațiilor implicate în audit, ceea ce intră în oarecare contradicție cu Decretul Guvernului nr. 584 din 13 iunie 2012 „Cu privire la protecția informațiilor în sistemul de plăți”, care impune și organizarea și desfășurarea monitorizării. și evaluarea conformității cu cerințele de protecție a informațiilor o dată la 2 ani. Cu toate acestea, Hotărârea Guvernului elaborat de FSTEC impune ca auditurile externe să fie efectuate numai de către organizații autorizate să opereze în domeniul protecției tehnice. informații confidențiale. Cerințe suplimentare care sunt dificil de clasificat ca o formă de audit, dar care impun băncilor noi responsabilități, sunt enumerate în secțiunea 2.16 din Regulamentul 382-P. Conform acestor cerințe, operatorul sistemului de plăți este obligat să dezvolte, iar băncile care au aderat la acest sistem de plată sunt obligate să îndeplinească, cerințe de informare periodică a operatorului sistemului de plăți cu privire la diverse probleme de securitate a informațiilor din bancă: despre respectarea cerințelor de securitate a informațiilor. , despre incidente identificate, despre autoevaluări efectuate , despre amenințări și vulnerabilități identificate. Pe lângă auditul efectuat pe bază contractuală, Legea federală nr. 161 privind NPS stabilește, de asemenea, că se efectuează controlul și supravegherea respectării cerințelor stabilite de Guvernul Federației Ruse în Rezoluția 584 și Banca Rusiei în Regulamentul 382. de către FSB FSTEC și, respectiv, Banca Rusiei. La momentul redactării acestui articol, nici FSTEC, nici FSB nu aveau o procedură dezvoltată pentru efectuarea unei astfel de supravegheri, spre deosebire de Banca Rusiei, care a emis Regulamentul nr. 380-P din 31 mai 2012 „Cu privire la procedura de monitorizare a sistemului național de plăți” (pentru instituțiile de credit) și Regulamentul din 9 iunie 2012 Nr. 381-P „Cu privire la procedura de supraveghere a conformității de către operatorii de sisteme de plăți și operatorii de servicii de infrastructură de plăți care nu sunt instituții de credit cu cerințele Legii federale din 27 iunie 2011 Nr. 161-FZ „Cu privire la sistemul național de plăți” adoptat în conformitate cu reglementările Băncii Rusiei”. Actele de reglementare în domeniul protecției informațiilor în sistemul național de plăți sunt abia la începutul dezvoltării detaliate. La 1 iulie 2012, Banca Rusiei a început să le testeze și să colecteze fapte despre practica de aplicare a legii. Prin urmare, astăzi este prematur să vorbim despre modul în care vor fi aplicate aceste reglementări, cum se va desfășura supravegherea conform 380-P, ce concluzii se vor trage pe baza rezultatelor autoevaluării efectuate la fiecare 2 ani și trimise Băncii a Rusiei.Standard de securitate pentru cardul de plată PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) este un standard de securitate a datelor cardurilor de plată dezvoltat de Payment Card Industry Security Standards Council (PCI SSC), care a fost stabilit de sistemele internaționale de plată Visa, MasterCard, American Express, JCB și Discover. Standardul PCI DSS este un set de 12 cerințe de nivel înalt și peste 200 de cerințe detaliate pentru a asigura securitatea datelor deținătorului cardului de plată care sunt transmise, stocate și procesate în sisteme de informare ah organizatii. Cerințele standardului se aplică tuturor companiilor care lucrează cu sistemele internaționale de plată Visa și MasterCard. În funcție de numărul de tranzacții procesate, fiecărei companii i se atribuie un anumit nivel cu un set corespunzător de cerințe pe care aceste companii trebuie să le îndeplinească. Aceste niveluri diferă în funcție de sistemul de plată. Trecerea cu succes a unui audit nu înseamnă că totul este în regulă cu securitatea la bancă - există multe trucuri care permit organizației auditate să ascundă unele deficiențe în sistemul său de securitate. Verificarea conformității cu cerințele standardului PCI DSS se realizează în cadrul certificării obligatorii, cerințele pentru care diferă în funcție de tipul de companie inspectată - o întreprindere comercială și de servicii care acceptă carduri de plată pentru plata bunurilor și serviciilor , sau un furnizor de servicii care furnizează servicii comercianților și băncilor achizitoare , emitenților etc. (centre de procesare, gateway-uri de plată etc.). Această evaluare poate lua diferite forme:- audituri anuale de către companii acreditate cu statut de Evaluatori de Securitate Calificați (QSA);
- autoevaluare anuală;
- scanarea trimestrială a rețelei cu ajutorul organizațiilor autorizate cu statut de furnizor de scanare aprobat (ASV).
Legislația privind datele personale
Cel mai recent document de reglementare, relevant și pentru industria bancară și care stabilește cerințe pentru evaluarea conformității, este Legea federală „Cu privire la datele cu caracter personal”. Cu toate acestea, nici forma unui astfel de audit, nici frecvența acestuia, nici cerințele pentru organizația care efectuează un astfel de audit nu au fost încă stabilite. Poate că această problemă va fi rezolvată în toamna anului 2012, când va fi lansat următorul lot de documente de la Guvernul Federației Ruse, FSTEC și FSB, introducând noi standarde în domeniul protecției datelor cu caracter personal. Între timp, băncile pot dormi liniștite și pot determina în mod independent specificul unui audit al problemelor de protecție a datelor cu caracter personal. Controlul și supravegherea asupra implementării măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal stabilite de articolul 19 din 152-FZ se realizează de către FSB și FSTEC, dar numai pentru sistemele informaționale de stat de date cu caracter personal. Potrivit legii, nu există cine să exercite controlul asupra organizațiilor comerciale în domeniul asigurării securității informaționale a datelor cu caracter personal. Nu același lucru se poate spune despre problemele de protecție a drepturilor persoanelor vizate de date cu caracter personal, adică clienții, contrapărțile și pur și simplu vizitatorii băncii. Această sarcină a fost preluată de Roskomnadzor, care își desfășoară foarte activ funcțiile de supraveghere și consideră băncile printre cei mai mari încălcatori ai legii cu privire la datele cu caracter personal.Dispoziții finale
Principalele reglementări în domeniul securității informațiilor referitoare la instituțiile de credit sunt discutate mai sus. Există multe dintre aceste reglementări, iar fiecare dintre ele își stabilește propriile cerințe pentru efectuarea evaluării conformității într-o formă sau alta - de la autoevaluare sub formă de completare a chestionarelor (PCI DSS) până la trecerea unui audit obligatoriu o dată la doi ani ( 382-P) sau o dată pe an (ISO 27001). Între aceste forme cele mai comune de evaluare a conformității, există și altele - notificări ale operatorilor de sisteme de plată, scanări trimestriale etc. De asemenea, merită să ne amintim și să înțelegem că țara încă mai lipsește un singur sistem vederi nu numai asupra reglementare guvernamentală procesele de audit al securității informațiilor ale organizațiilor și ale sistemelor de tehnologie a informației, dar și subiectul însuși al auditului securității informațiilor în general. În Federația Rusă, există o serie de departamente și organizații (FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC etc.) responsabile cu securitatea informațiilor. Și toate funcționează pe baza propriilor reglementări și linii directoare. Abordări diferite, standarde diferite, diferite niveluri maturitatea... Toate acestea interferează cu stabilirea unor reguli uniforme de joc. Tabloul este stricat și de apariția companiilor fly-by-night care, în căutarea profitului, oferă servicii de foarte slabă calitate în domeniul evaluării conformității cu cerințele de securitate a informațiilor. Și este puțin probabil ca situația să se schimbe în bine. Dacă este nevoie, vor exista cei dispuși să o satisfacă, în timp ce pur și simplu nu există destui auditori calificați pentru toți. Cu numărul lor mic (indicat în tabel) și durata auditului de la câteva săptămâni la câteva luni, este evident că nevoile de audit depășesc cu mult capacitățile auditorilor. În „Conceptul de auditare a securității informaționale a sistemelor și organizațiilor de tehnologie a informației”, care nu a fost niciodată adoptat de FSTEC, a existat următoarea sintagmă: „în același timp, în lipsa autorităților naționale de reglementare necesare, astfel de activități/audituri nereglementate de către firme private / pot cauza prejudicii ireparabile organizațiilor.” În concluzie, autorii Conceptului și-au propus să unifice abordările de audit și să stabilească legislativ regulile jocului, inclusiv regulile de acreditare a auditorilor, cerințele pentru calificarea acestora, procedurile de audit etc., dar lucrurile sunt încă acolo. Deși, având în vedere atenția pe care autoritățile interne de reglementare din domeniul securității informațiilor (și avem 9 dintre ele) o acordă problemelor de securitate a informațiilor (numai în ultimul an calendaristic au fost adoptate sau dezvoltate 52 de reglementări privind problemele de securitate a informațiilor - câte un regulament pe săptămână. !), nu exclud ca acest subiect să fie reluat în curând.STANDARDE DE AUDIT DE SECURITATE A INFORMAȚIILOR
OPINIA EXPERTULUI
Dmitry Markin, șeful Departamentului de Audit și Consultanță al AMT-GROUP:
Până de curând, problemele trecerii unui audit obligatoriu al stării securității informațiilor pentru instituțiile de credit în cadrul legislației ruse erau reglementate doar de Legea federală-152 „Cu privire la datele cu caracter personal” în ceea ce privește controlul intern asupra măsurilor luate pentru a asigura securitatea datelor cu caracter personal, precum și prin Regulamentul Băncii Centrale a Federației Ruse nr. 242-P „Cu privire la organizarea controlului intern în instituțiile de credit și grupurile bancare”. Mai mult, în conformitate cu cerințele Regulamentului nr. 242-P, procedura de monitorizare a suportului pentru securitatea informațiilor este stabilită independent de documentele interne ale organizației de credit, fără a se face referire la cerințele specifice pentru suportul securității informațiilor. În legătură cu intrarea în vigoare a articolului 27 din Legea federală nr. 161 „Cu privire la sistemul național de plăți”, care definește cerințele pentru protecția informațiilor în sistemul de plăți, Decretul Guvernului Federației Ruse nr. 584 „Cu privire la aprobarea Regulamentului privind protecția informațiilor în sistemul de plăți” și Regulamentul Băncii Centrale au fost publicate RF Nr. 382-P. Conform cerințelor Rezoluției nr. 584 și Regulamentului nr. 382-P, protecția informațiilor din sistemul de plăți trebuie efectuată în conformitate cu cerințele prezentelor reglementări și cu cerințele incluse de operatorii de sisteme de plăți în regulile de plată. sisteme. Punctul cheie iată consolidarea la nivel de legislație națională a dreptului operatorilor de sisteme de plată (de exemplu, Visa și MasterCard) de a stabili în mod independent cerințe pentru protecția informațiilor. Regulamentul nr. 382-P mai precizează obligația instituțiilor de credit de a evalua respectarea cerințelor de securitate a informațiilor cel puțin o dată la 2 ani, definește clar metodologia de evaluare a conformității, criteriile de audit și procedura de documentare a rezultatelor acesteia. În opinia noastră, apariția reglementărilor de mai sus ar trebui să crească statisticile de certificare de către instituțiile de credit în conformitate cu cerințele standardului de securitate a datelor din industria cardurilor de plată PCI DSS 2.0, dezvoltat cu participarea celor mai importante sisteme internaționale de plată Visa și MasterCard.
Mulți și-au pus probabil întrebarea „cum se efectuează un audit de securitate a informațiilor?” unde sa încep? ce tehnica ar trebui sa folosesc? există software specializat pentru asta? Ce programe gratuite există pentru asta?
Astăzi vă vom prezenta un produs de la Microsoft care vă permite să auditați informații Microsoft Security Instrument de evaluare a securității (MSAT). Produsul vă permite să identificați riscurile de securitate a informațiilor într-un sistem existent și să oferiți recomandări pentru eliminarea acestora. Potrivit creatorilor, aplicația este concepută pentru organizațiile cu mai puțin de 1.000 de angajați și, de asemenea, vă va ajuta să înțelegeți mai bine personalul, procesele, resursele și tehnologiile menite să asigure planificarea eficientă a activităților de securitate și implementarea metodelor de reducere a riscurilor în organizare. Cel mai bine, aplicația este gratuită și poate fi descărcată de pe site-ul dezvoltatorului. Acest produs poate fi folosit ca chestionar pentru specialiștii IT, HR și specialiștii în securitatea informațiilor.
Pe parcursul procedurii de evaluare a riscurilor, pe baza răspunsurilor la întrebări, mediul IT va fi verificat pentru principalele domenii de amenințări la securitatea informațiilor. Evaluarea folosește conceptul de apărare în profunzime (DiD) pentru a determina eficacitatea strategiei de securitate. Conceptul de „apărare în profunzime” se referă la implementarea apărării pe mai multe straturi, inclusiv controale tehnice, organizaționale și operaționale. Instrumentul de evaluare se bazează pe standarde general acceptate și pe cele mai bune practici menite să reducă riscul în sistemele de tehnologie a informației. Procesul de evaluare poate fi repetat și poate fi folosit și pentru a verifica progresul către obiectivele de securitate organizațională în infrastructura IT.
Pentru a identifica amenințările de securitate în sistemul IT al organizației dvs., anumite domenii de analiză vor evalua politicile privind riscul pentru afaceri, tehnologie, procese și oameni. Odată ce evaluarea este finalizată, vor fi furnizate recomandări pentru gestionarea acestor riscuri pe baza celor mai bune practici recunoscute în industrie. Aceste ghiduri sunt menite să ofere îndrumări preliminare pentru a vă ajuta organizația să implementeze cele mai bune practici IT recunoscute de industrie.
O evaluare a riscurilor constă din două părți: profilul de risc de afaceri (BRP) și evaluarea (care include patru domenii de analiză). PSR-urile reprezintă pericole comune cu care se confruntă o companie. Odată ce această evaluare este finalizată, ea rămâne neschimbată până când sunt aduse modificări fundamentale în sistemul IT al companiei. Puteți completa și salva mai multe evaluări. Aceste estimări pot și ar trebui să se schimbe în timp pe măsură ce sunt implementate măsuri avansate de securitate.
Deci, să vedem, mai întâi creați un profil:
Și completați răspunsurile la întrebări; pe măsură ce le completați, butoanele devin verzi:
După completarea primului bloc de întrebări despre parametrii companiei, faceți clic pe: „Crearea unei noi evaluări”
După aceea, completăm întrebări despre infrastructura IT, personalul și managementul proceselor de afaceri:
După răspunsuri, așteptați pictograma „Rapoarte”.
Raportul poate fi salvat ca *.docs sau vizualizat în aplicație. Citim toate concluziile, facem recomandări bazate pe cele mai bune practici mondiale și le prezentăm conducerii pentru a conveni asupra unui plan de lucru sau a justifica achiziționarea de echipamente de securitate a informațiilor)))))
Introducere
Auditul este o formă de control independent, neutru al oricărui domeniu de activitate al unei întreprinderi comerciale, utilizată pe scară largă în practicarea unei economii de piață, în special în domeniul contabilității. Nu mai puțin important din punct de vedere dezvoltare generalăîntreprinderea este auditul său de securitate, care include o analiză a riscurilor asociate cu posibilitatea amenințărilor de securitate, în special în legătură cu resurse informaționale, evaluarea nivelului actual de securitate a sistemelor informatice (SI), localizarea blocajelor în sistemul de protecție a acestora, evaluarea conformității SI cu standardele existente în domeniul securității informațiilor și elaborarea de recomandări pentru introducerea de noi și îmbunătățirea eficiența mecanismelor existente de securitate SI.
Dacă vorbesc despre scopul principal auditul securității informațiilor, atunci acesta poate fi definit ca o evaluare a nivelului de securitate al sistemului informațional al unei întreprinderi pentru a-l gestiona în ansamblu, ținând cont de perspectivele de dezvoltare a acestuia.
În condițiile moderne, când sistemele informaționale pătrund în toate domeniile activităților unei întreprinderi și având în vedere necesitatea conexiunii lor la Internet, sunt deschise amenințărilor interne și externe, problema securității informațiilor devine nu mai puțin importantă decât securitatea economică sau fizică.
În ciuda importanței problemei luate în considerare pentru formarea specialiștilor în securitatea informațiilor, aceasta nu a fost încă inclusă ca un curs separat în cursurile existente. planuri educaționaleși nu a fost discutată în manuale și materiale didactice. Acest lucru s-a datorat lipsei cadrului de reglementare necesar, a specialiștilor nepregătiți și a experienței practice insuficiente în domeniul auditurilor de securitate a informațiilor.
Structura generală a lucrării include următoarea succesiune de aspecte luate în considerare:
descrie un model pentru construirea unui sistem de securitate a informațiilor (IS) care ia în considerare amenințările, vulnerabilitățile, riscurile și contramăsurile luate pentru a le reduce sau preveni;
sunt luate în considerare metode de analiză și management al riscului;
sunt schițate conceptele de bază ale unui audit de securitate și sunt descrise obiectivele implementării acestuia;
analizează principalele standarde internaționale și rusești utilizate în efectuarea auditurilor de securitate a informațiilor;
arată posibilitățile de utilizare a software-ului pentru a efectua audituri de securitate a informațiilor;
Selectarea structurii descrise ajutor didactic a fost realizat cu scopul de a maximiza orientarea elevilor către uz practic a materialului luat în considerare, în primul rând, la studierea unui curs de curs, în al doilea rând, la efectuarea stagiilor de producție (analiza situației securității informațiilor la întreprindere), în al treilea rând, la finalizarea cursurilor și a dizertațiilor.
Materialul prezentat poate fi util managerilor și angajaților serviciilor de securitate și ai serviciilor de protecție a informațiilor unei întreprinderi pentru pregătirea și efectuarea intern și justificarea necesității unui audit extern de securitate a informațiilor.
Capitolul I. Auditul de securitate și metodele de realizare a acestuia
1 Conceptul de audit de securitate
Un audit este o examinare independentă a anumitor domenii de funcționare a organizației. Există audituri externe și interne. Un audit extern este, de regulă, un eveniment unic, realizat la inițiativa conducerii organizației sau a acționarilor. Se recomandă efectuarea de audituri externe în mod regulat și, de exemplu, pentru multe organizații financiare și societăți pe acțiuni aceasta este cerinta obligatorie din partea fondatorilor și acționarilor acestora. Auditul intern este o activitate continuă care se desfășoară pe baza „Regulamentului privind auditul intern” și în conformitate cu planul, a cărui pregătire se realizează de către unitățile de servicii de securitate și se aprobă de conducerea organizației.
Obiectivele unui audit de securitate sunt:
analiza riscurilor asociate cu posibilitatea amenințărilor de securitate în raport cu resursele;
evaluarea nivelului actual de securitate IP;
localizarea blocajelor în sistemul de protecție IP;
evaluarea conformității IP cu standardele existente în domeniul securității informațiilor;
Un audit de securitate al unei întreprinderi (firmă, organizație) ar trebui considerat ca un instrument de management confidențial care exclude, în scopuri de conspirație, posibilitatea de a furniza informații despre rezultatele activităților sale către terți și organizații.
Pentru a efectua un audit de securitate al întreprinderii, se poate recomanda următoarea secvență de acțiuni.
1. Pregătirea pentru un audit de securitate:
selectarea obiectului de audit (firma, clădiri și spații individuale, sisteme individuale sau componente ale acestora);
alcătuirea unei echipe de auditori experți;
determinarea sferei și sferei de aplicare a auditului și stabilirea unor intervale de timp specifice pentru lucrări.
2.Efectuarea unui audit: analiza generală a stării de securitate a obiectului auditat; înregistrarea, colectarea și verificarea datelor statistice și a rezultatelor măsurătorilor instrumentale ale pericolelor și amenințărilor; evaluarea rezultatelor inspecției; întocmirea unui raport privind rezultatele inspecției pentru componente individuale. 3.Finalizarea auditului: intocmirea raportului final; elaborarea unui plan de acțiune pentru eliminarea blocajelor și neajunsurilor în asigurarea securității companiei. Pentru a efectua cu succes un audit de securitate trebuie să: participarea activă a conducerii companiei la implementarea acesteia; obiectivitatea și independența auditorilor (experților), competența și profesionalismul înalt a acestora; procedura de verificare clar structurata; implementarea activă a măsurilor propuse pentru asigurarea și consolidarea securității. Auditul de securitate, la rândul său, este un instrument eficient pentru evaluarea securității și managementul riscurilor. Prevenirea amenințărilor de securitate înseamnă și protejarea intereselor economice, sociale și informaționale ale întreprinderii. De aici putem concluziona că auditul de securitate devine un instrument de management economic. În funcție de volumul obiectelor întreprinderii analizate, sfera auditului este determinată: -auditul de securitate al intregii intreprinderi; -auditul de siguranță al clădirilor și spațiilor individuale (locații desemnate); -auditul echipamentelor și mijloace tehnice tipuri și specii specifice; -auditul anumitor tipuri și domenii de activitate: economic, de mediu, informațional, financiar etc. Trebuie subliniat faptul că auditul se realizează nu din inițiativa auditorului, ci din inițiativa conducerii întreprinderii, care această problemă este principala parte interesată. Sprijinul conducerii firmei este o conditie necesara pentru efectuarea unui audit. Un audit este un ansamblu de activități în care, pe lângă auditorul însuși, sunt implicați reprezentanți ai majorității diviziilor structurale ale companiei. Acțiunile tuturor participanților la acest proces trebuie coordonate. Prin urmare, în etapa de inițiere a procedurii de audit, trebuie rezolvate următoarele probleme organizatorice: drepturile și responsabilitățile auditorului trebuie să fie clar definite și documentate în acesta descrierea postului, precum și în reglementările privind auditul intern (extern); auditorul trebuie să pregătească și să convină cu conducerea unui plan de audit; Reglementările privind auditul intern ar trebui să prevadă, în special, că angajații întreprinderii sunt obligați să asiste auditorul și să furnizeze toate informațiile necesare auditului. La etapa de inițiere a procedurii de audit trebuie stabilite limitele anchetei. Dacă unele subsisteme informaționale ale întreprinderii nu sunt suficient de critice, ele pot fi excluse din sfera anchetei. Este posibil ca alte subsisteme să nu fie auditabile din cauza problemelor de confidențialitate. Limitele anchetei sunt determinate în următoarele categorii: Lista resurselor fizice, software și informaționale analizate. 2.Situri (localuri) care se încadrează în limitele anchetei. 3.Principalele tipuri de amenințări de securitate luate în considerare în timpul auditului. 4.Aspecte organizaționale (legislative, administrative și procedurale), fizice, software, hardware și alte aspecte ale securității care trebuie luate în considerare în timpul sondajului și prioritățile acestora (în ce măsură ar trebui luate în considerare). Planul și limitele auditului sunt discutate în cadrul unei ședințe de lucru, la care participă auditori, conducerea companiei și șefii diviziilor structurale. Pentru a înțelege auditul de securitate a informațiilor ca un sistem complex, modelul său conceptual prezentat în Fig. 1.1. Componentele principale ale procesului sunt evidențiate aici: obiect de audit: Scopul auditului: Orez. 1.1. Model conceptual de audit IS cerințe; metodele utilizate; interpreți; ordinea de conduită. Din punctul de vedere al organizării muncii la efectuarea unui audit de securitate a informațiilor, există trei etape fundamentale: 1.colectare de informații; 2.analiza datelor; 2 Metode de analiză a datelor în timpul auditului IS În prezent, sunt utilizate trei metode (abordări) principale pentru efectuarea unui audit, care diferă semnificativ una de cealaltă. Prima metodă, cea mai complexă, se bazează pe analiza riscului. Pe baza metodelor de analiză a riscurilor, auditorul determină pentru SI examinat un set individual de cerințe de securitate, care ia în considerare în cea mai mare măsură caracteristicile acestui SI, mediul său de operare și amenințările de securitate existente în acest mediu. Această abordare este cea mai intensivă în muncă și necesită cele mai înalte calificări ale auditorului. Calitatea rezultatelor auditului, în acest caz, este puternic influențată de analiza riscului și metodologia de management utilizată și de aplicabilitatea acesteia la acest tip ESTE. A doua metodă, cea mai practică, se bazează pe utilizarea standardelor de securitate a informațiilor. Standardele definesc set de bază cerințele de securitate pentru o clasă largă de IP, care se formează ca urmare a generalizării practicii mondiale. Standardele pot defini seturi diferite de cerințe de securitate, în funcție de nivelul de securitate IP care trebuie asigurat, afilierea acestuia (organizație comercială sau agenție guvernamentală) și scop (finanțe, industrie, comunicații etc.). În acest caz, auditorului i se cere să determine corect setul de cerințe standard care trebuie îndeplinite pentru acest IS. De asemenea, este necesară o metodologie pentru a evalua această conformitate. Datorită simplității sale (un set standard de cerințe pentru efectuarea unui audit este deja predeterminat de standard) și fiabilității (un standard este un standard și nimeni nu va încerca să-i conteste cerințele), abordarea descrisă este cea mai comună în practică (în special la efectuarea unui audit extern). Acesta permite, cu cheltuieli minime de resurse, să se tragă concluzii informate despre starea PA. A treia metodă, cea mai eficientă, presupune combinarea primelor două. Dacă se alege o abordare bazată pe analiza riscului pentru a efectua un audit de securitate, atunci următoarele grupuri de sarcini sunt de obicei efectuate în etapa de analiză a datelor de audit: Analiza resurselor IP, inclusiv resursele informaționale, software-ul și hardware-ul și resursele umane. 2.Analiza grupelor de sarcini rezolvate de sistem și procesele de afaceri. 3.Construirea unui model (informal) al resurselor IS care definește relațiile dintre informații, software, resurse tehnice și umane, locația relativă a acestora și metodele de interacțiune. 4.Evaluarea criticității resurselor informaționale, precum și a software-ului și hardware-ului. 5.Determinarea criticității resurselor, ținând cont de interdependența acestora. 6.Determinarea celor mai probabile amenințări de securitate la adresa resurselor IP și a vulnerabilităților de securitate care fac posibile aceste amenințări. 7.Evaluarea probabilității amenințărilor, amploarea vulnerabilităților și a daunelor cauzate organizației în cazul implementării cu succes a amenințărilor. 8.Determinarea mărimii riscurilor pentru fiecare triplet: amenințare - grup de resurse - vulnerabilitate. Setul de sarcini enumerat este destul de general. Pentru a le rezolva, pot fi utilizate diverse tehnici de analiză a riscurilor formale și informale, cantitative și calitative, manuale și automate. Esența abordării nu se schimbă. Evaluarea riscurilor se poate face folosind diverse scale calitative și cantitative. Principalul lucru este că riscurile existente sunt corect identificate și clasificate în funcție de gradul lor de criticitate pentru organizație. Pe baza unei astfel de analize, se poate dezvolta un sistem de măsuri prioritare pentru a reduce amploarea riscurilor la un nivel acceptabil. Atunci când efectuează un audit de securitate pentru conformitatea cu cerințele standardului, auditorul, bazându-se pe experiența sa, evaluează aplicabilitatea cerințelor standardului la IP examinat și conformitatea acestuia cu aceste cerințe. Datele privind conformitatea diferitelor domenii ale operațiunii IS cu cerințele standardului sunt de obicei prezentate sub formă de tabel. Tabelul arată ce cerințe de securitate nu sunt implementate în sistem. Pe baza acesteia, se trag concluzii cu privire la conformitatea IP examinată cu cerințele standardului și se dau recomandări pentru implementarea mecanismelor de securitate în sistem pentru a asigura o astfel de conformitate. 3 Analiza riscurilor informaționale ale întreprinderii Analiza riscurilor este locul unde ar trebui să înceapă construcția oricărui sistem de securitate a informațiilor și ceea ce este necesar pentru efectuarea unui audit de securitate a informațiilor. Include activități de supraveghere a securității întreprinderii pentru a determina ce resurse și de ce amenințări trebuie protejate, precum și în ce măsură anumite resurse au nevoie de protecție. Determinarea unui set de contramăsuri adecvate se realizează în timpul managementului riscului. Riscul este determinat de probabilitatea de deteriorare și de cantitatea daunelor cauzate resurselor sistemului informațional (IS) în cazul unei amenințări de securitate. Analiza riscurilor constă în identificarea riscurilor existente și evaluarea amplorii acestora (oferindu-le o evaluare calitativă sau cantitativă). Procesul de analiză a riscurilor presupune rezolvarea următoarelor sarcini: 1.Identificarea resurselor IP cheie. 2.Determinarea importanței anumitor resurse pentru organizație. 3.Identificarea amenințărilor de securitate existente și a vulnerabilităților care fac posibile amenințările. 4.Calculul riscurilor asociate cu implementarea amenințărilor de securitate. Resursele IP pot fi împărțite în următoarele categorii: resurse informaționale; software; mijloace tehnice (servere, stații de lucru, echipamente active de rețea etc.); resurse umane. În cadrul fiecărei categorii, resursele sunt împărțite în clase și subclase. Este necesar să se identifice doar acele resurse care determină funcționalitatea SI și sunt semnificative din punct de vedere al securității. Importanța (sau valoarea) unei resurse este determinată de valoarea prejudiciului cauzat dacă confidențialitatea, integritatea sau disponibilitatea acelei resurse este compromisă. Următoarele tipuri de daune sunt de obicei luate în considerare: datele au fost dezvăluite, modificate, șterse sau au devenit indisponibile; echipamentul a fost deteriorat sau distrus; integritatea este compromisă software. Daunele pot fi cauzate unei organizații ca urmare a implementării cu succes a următoarelor tipuri de amenințări de securitate: atacuri locale și de la distanță asupra resurselor IS; dezastre naturale; erori sau acțiuni intenționate ale personalului IS; Defecțiuni ale CI cauzate de erori software sau defecțiuni hardware. Mărimea riscului poate fi determinată pe baza valorii resursei, a probabilității de apariție a amenințării și a mărimii vulnerabilității folosind următoarea formulă: costul resursei x probabilitatea amenințării Risc = magnitudinea vulnerabilității Sarcina managementului riscului este de a selecta un set rezonabil de contramăsuri pentru a reduce nivelurile de risc la un nivel acceptabil. Costul implementării contramăsurilor trebuie să fie mai mic decât valoarea posibilelor daune. Diferența dintre costul implementării contramăsurilor și amploarea posibilelor daune ar trebui să fie invers proporțională cu probabilitatea de a provoca daune. Abordarea bazată pe analiza riscurilor informaționale ale întreprinderii este cea mai semnificativă pentru practica de asigurare a securității informațiilor. Acest lucru se explică prin faptul că analiza riscurilor vă permite să gestionați eficient securitatea informațiilor unei întreprinderi. Pentru a face acest lucru, la începutul lucrării de analiză a riscurilor, este necesar să se determine ce anume este supus protecției în întreprindere, la ce amenințări este expusă și practicile de protecție. Analiza riscurilor se realizează pe baza scopurilor și obiectivelor imediate de protejare a unui anumit tip de informații confidențiale. Una dintre cele mai importante sarcini în cadrul protecției informațiilor este asigurarea integrității și disponibilității acestora. Trebuie avut în vedere faptul că o încălcare a integrității poate apărea nu numai ca urmare a unor acțiuni deliberate, ci și din mai multe alte motive: · defecțiuni ale echipamentelor care conduc la pierderea sau coruperea informațiilor; · impacturi fizice, inclusiv ca urmare a dezastrelor naturale; · erori în software (inclusiv caracteristici nedocumentate). Prin urmare, termenul „atac” este mai promițător pentru a înțelege nu numai impactul uman asupra resurselor informaționale, ci și impactul mediu inconjurator, în care funcționează sistemul de prelucrare a informațiilor întreprinderii. La efectuarea unei analize de risc, se dezvoltă următoarele: · strategie și tactici generale pentru un potențial contravenient pentru a conduce „operațiuni ofensive și operațiuni de luptă”; · posibile metode de efectuare a atacurilor asupra sistemului de prelucrare și protecție a informațiilor; · scenariu de implementare actiuni ilegale;
· caracteristicile canalelor de scurgere de informații și accesul neautorizat; · probabilitatea stabilirii contactului de informații (realizarea amenințărilor); · lista posibilelor infecții ale informațiilor; · modelul intrusului; · metodologia de evaluare a securității informațiilor. Mai mult, să construim sistem de încredere protejarea informațiilor întreprinderii necesită: · identifica toate amenințările posibile la adresa securității informațiilor; · evaluează consecințele manifestării lor; · determina masurile si mijloacele de protectie necesare, tinand cont de cerintele documentelor de reglementare, economice · fezabilitate, compatibilitate și neconflict cu software-ul utilizat; · evaluează eficacitatea măsurilor și mijloacelor de protecție selectate. Orez. 1.2. Scenariul analizei resurselor informaționale Toate cele 6 etape ale analizei riscului sunt prezentate aici. În prima și a doua etapă se determină informații care constituie secret comercial pentru întreprindere și care trebuie protejate. Este clar că astfel de informații sunt stocate în anumite locuri și pe medii specifice și sunt transmise prin canale de comunicare. În același timp, factorul determinant în tehnologia de manipulare a informațiilor este arhitectura IS, care determină în mare măsură securitatea resurselor informaționale ale unei întreprinderi. A treia etapă a analizei riscului este construcția canalelor de acces, scurgerile sau impactul asupra resurselor informaționale ale principalelor noduri IS. Fiecare canal de acces este caracterizat de multe puncte din care informațiile pot fi „recuperate”. Ei sunt cei care reprezintă vulnerabilități și necesită utilizarea mijloacelor pentru a preveni impactul nedorit asupra informațiilor. A patra etapă de analiză a metodelor de protejare a tuturor punctelor posibile corespunde obiectivelor protecției și rezultatul acesteia ar trebui să fie o caracterizare a posibilelor lacune în apărare, inclusiv din cauza unei combinații nefavorabile de circumstanțe. La a cincea etapă, pe baza metodelor și mijloacelor cunoscute în prezent de depășire a liniilor defensive, se determină probabilitățile ca amenințările să se realizeze la fiecare dintre posibilele puncte de atac. În etapa finală, a șasea, se evaluează daunele aduse organizației în cazul fiecărui atac, ceea ce, împreună cu evaluările de vulnerabilitate, ne permite să obținem o listă ierarhizată a amenințărilor la adresa resurselor informaționale. Rezultatele lucrării sunt prezentate într-o formă convenabilă pentru perceperea și dezvoltarea lor de soluții pentru corectarea sistemului de securitate a informațiilor existent. Mai mult, fiecare resursă de informații poate fi expusă mai multor amenințări potențiale. De o importanță fundamentală este probabilitatea totală de acces la resursele informaționale, care constă în probabilitățile elementare de acces la punctele individuale ale fluxului de informații. Cantitatea de risc informațional pentru fiecare resursă este determinată ca produsul dintre probabilitatea unui atac asupra resursei, probabilitatea implementării și amenințarea și daunele cauzate de o invazie a informațiilor. Această lucrare poate folosi diferite moduri de cântărire a componentelor. Adăugarea riscurilor pentru toate resursele oferă valoarea riscului total pentru arhitectura SI adoptată și sistemul de securitate a informațiilor implementat în aceasta. Astfel, prin variarea opțiunilor de construire a unui sistem de securitate a informațiilor și a arhitecturii IS, devine posibil să se imagineze și să se ia în considerare sensuri diferite risc total datorat modificărilor probabilității de realizare a amenințărilor. Este foarte pas important este alegerea uneia dintre variante în conformitate cu criteriul de decizie selectat. Un astfel de criteriu poate fi cantitatea acceptabilă de risc sau raportul dintre costurile de asigurare a securității informațiilor și riscul rezidual. La construirea sistemelor de securitate a informațiilor, este, de asemenea, necesar să se determine o strategie de management al riscului pentru întreprindere. Astăzi există mai multe abordări ale managementului riscului. Una dintre cele mai frecvente este reducerea riscului prin utilizarea metodelor și mijloacelor de protecție adecvate. Similar în esență este abordarea asociată cu aversiunea la risc. Se știe că unele clase de riscuri pot fi evitate: de exemplu, mutarea serverului Web al unei organizații în afara rețelei locale evită riscul accesului neautorizat la rețeaua locală de către clienții Web. În cele din urmă, în unele cazuri este acceptabil să acceptăm riscul. Aici este important să decideți asupra următoarei dileme: ce este mai profitabil pentru întreprindere - să se ocupe de riscuri sau de consecințele acestora. În acest caz, trebuie să rezolvăm o problemă de optimizare. Odată ce strategia de management al riscului a fost determinată, se realizează o evaluare finală a măsurilor de securitate a informațiilor cu pregătirea unei opinii de specialitate privind securitatea resurselor informaționale. Opinia expertului include toate materialele de analiză a riscurilor și recomandările pentru reducerea acestora. 1.4 Metode de evaluare a riscurilor informaționale ale întreprinderii În practică sunt folosite diverse metode evaluarea și managementul riscurilor informaționale în întreprinderi. În acest caz, evaluarea riscurilor informaționale presupune următoarele etape: · identificarea și evaluarea cantitativă a resurselor informaționale ale întreprinderilor care sunt semnificative pentru afaceri; · evaluarea posibilelor amenințări; · evaluarea vulnerabilităților existente; · evaluarea eficacității mijloacelor de securitate a informațiilor. Se presupune că resursele informaționale vulnerabile semnificative pentru afaceri ale unei companii sunt în pericol dacă există amenințări la adresa lor. Cu alte cuvinte, riscurile caracterizează pericolul la care pot fi expuse componentele unui sistem corporativ de Internet/Intranet. În același timp, riscurile informaționale ale companiei depind de: · privind indicatorii valorii resurselor informaţionale; · probabilitatea ca amenințările la adresa resurselor să fie realizate; · eficacitatea mijloacelor de securitate a informațiilor existente sau planificate. Scopul evaluării riscurilor este de a determina caracteristicile de risc ale unui sistem informațional corporativ și resursele acestuia. Ca urmare a evaluării riscurilor, devine posibilă selectarea instrumentelor care asigură nivelul dorit de securitate a informațiilor întreprinderii. La evaluarea riscurilor, se ia în considerare valoarea resurselor, importanța amenințărilor și vulnerabilităților și eficacitatea mijloacelor de protecție existente și planificate. Indicatorii însuși ai resurselor, semnificația amenințărilor și vulnerabilităților și eficacitatea măsurilor de protecție pot fi determinate atât prin metode cantitative, de exemplu, la determinarea caracteristicilor costurilor, cât și prin metode calitative, de exemplu, ținând cont de normal sau extrem de periculos. impactul anormal al mediului extern. Posibilitatea realizării unei amenințări este evaluată prin probabilitatea implementării acesteia într-o anumită perioadă de timp pentru o anumită resursă a întreprinderii. În acest caz, probabilitatea ca amenințarea să fie realizată este determinată de următorii indicatori principali: · atractivitatea resursei este utilizată atunci când se ia în considerare amenințarea din cauza influenței umane intenționate; · posibilitatea de a utiliza o resursă pentru a genera venituri atunci când se ia în considerare amenințarea din cauza influenței umane intenționate; · capacitățile tehnice de implementare a amenințării sunt utilizate cu influență deliberată din partea unei persoane; · gradul de ușurință cu care poate fi exploatată o vulnerabilitate. În prezent, există multe metode tabelare pentru evaluarea riscurilor informaționale ale unei companii. Este important ca personalul de securitate să aleagă o metodă adecvată care oferă rezultate reproductibile corecte și fiabile. Se recomandă evaluarea indicatorilor cantitativi ai resurselor informaționale pe baza rezultatelor anchetelor angajaților întreprinderii care dețin informații, adică funcționarilor care pot determina valoarea informațiilor, caracteristicile și gradul de criticitate ale acesteia, pe baza stării actuale a lucrurilor. Pe baza rezultatelor sondajului, indicatorii și gradul de criticitate al resurselor informaționale sunt evaluați pentru cel mai rău scenariu, până la luarea în considerare a potențialelor impacturi asupra activităților de afaceri ale întreprinderii în cazul unui posibil acces neautorizat la informații confidențiale, încălcare a integrității sale, indisponibilitatea pentru diverse perioade cauzate de defecțiuni în deservirea datelor sistemelor de procesare și chiar distrugerea fizică. În același timp, procesul de obținere a indicatorilor cantitativi poate fi completat cu metode adecvate de evaluare a altor resurse critice ale întreprinderii, ținând cont de: · siguranța personalului; · dezvăluirea de informații private; · cerințele de conformitate cu legislația și reglementările; · restricții care decurg din legislație; · interese comerciale și economice; · pierderi financiare și întreruperi în activitățile de producție; · relații publice; · politica comerciala si operatiuni comerciale; · pierderea reputației companiei. În plus, indicatorii cantitativi sunt utilizați acolo unde este permis și justificat, iar indicatorii calitativi sunt utilizați acolo unde evaluările cantitative sunt dificile din mai multe motive. În același timp, cea mai răspândită este evaluarea indicatorilor de calitate folosind scale de puncte special dezvoltate în aceste scopuri, de exemplu, cu o scală de patru puncte. Următoarea operațiune este de a completa perechi de chestionare în care, pentru fiecare tip de amenințare și grupul de resurse asociat, nivelurile de amenințare sunt evaluate ca probabilitatea ca amenințările să fie realizate și nivelurile de vulnerabilitate ca gradul de ușurință cu care o amenințare realizată poate fi realizată. duce la un impact negativ. Evaluarea se realizează pe scale calitative. De exemplu, nivelul amenințărilor și vulnerabilităților este evaluat la o scară „înalt-jos”. Informațiile necesare sunt colectate prin intervievarea managerilor de vârf ai companiei, angajaților din departamentele comerciale, tehnice, de personal și de service, mersul pe teren și analizarea documentației companiei. Alături de metodele tabelare de evaluare a riscurilor informaționale, pot fi utilizate metode matematice moderne, de exemplu, metoda de tip Delphi, precum și metode speciale sisteme automatizate, dintre care unele vor fi discutate mai jos. Algoritmul general al procesului de evaluare a riscurilor (Fig. 1.3.) în aceste sisteme include următoarele etape. · descrierea instalației și măsurile de protecție; · identificarea unei resurse și evaluarea indicatorilor ei cantitativi (determinarea potențialului impact negativ pentru afaceri); · analiza amenințărilor la securitatea informațiilor; · evaluarea vulnerabilității; · evaluarea fondurilor existente și propuse asigurarea securității informațiilor; · evaluare a riscurilor. 5 Managementul riscului informațional În prezent, managementul riscului informațional este unul dintre cele mai relevante și dinamice domenii ale managementului strategic și operațional în domeniul securității informațiilor. Sarcina sa principală este identificarea și evaluarea obiectivă a celor mai semnificative riscuri legate de informațiile de afaceri ale companiei, precum și adecvarea instrumentelor de control al riscurilor utilizate pentru creșterea eficienței și profitabilității activităților economice ale întreprinderii. Prin urmare, termenul „managementul riscului informațional” înseamnă de obicei proces de sistem identificarea, controlul și reducerea riscurilor informaționale ale companiilor în conformitate cu anumite restricții ale cadrului de reglementare rus în domeniul protecției informațiilor și propriile lor politica corporativă Securitate. Orez. 1.3. Algoritm de evaluare a riscului Utilizarea sistemelor informatice este asociată cu un anumit set de riscuri. Atunci când daunele potențiale sunt inacceptabil de mari, sunt necesare măsuri de protecție fezabile din punct de vedere economic. (re)evaluarea periodică a riscurilor este necesară pentru a monitoriza eficacitatea activităților de securitate și pentru a ține seama de schimbările din mediu. Esența managementului riscului este de a evalua dimensiunea riscului, de a dezvolta măsuri eficiente și rentabile de atenuare a riscului și apoi de a se asigura că riscurile sunt limitate (și rămân astfel) în limite acceptabile. În consecință, managementul riscului include două tipuri de activități care se alternează ciclic: )(re)evaluarea (măsurarea) riscurilor; )selectarea echipamentelor de protecție eficiente și economice (neutralizarea riscurilor). Următoarele acțiuni sunt posibile în legătură cu riscurile identificate: · eliminarea riscului (de exemplu, prin eliminarea cauzei); · reducerea riscului (de exemplu, prin utilizarea echipamentului de protecție suplimentar); · acceptarea riscului (prin dezvoltarea unui plan de acțiune în condiții adecvate): · redirecționarea riscului (de exemplu, prin încheierea unui contract de asigurare). Procesul de management al riscului poate fi împărțit în următoarele etape: 1.Selecția obiectelor de analizat și nivelul de detaliu al luării în considerare a acestora. 2.Alegerea unei metodologii de evaluare a riscurilor. .Identificarea bunurilor. .Analiza amenințărilor și a consecințelor acestora, identificarea vulnerabilităților de securitate. .Evaluare a riscurilor. .Alegerea măsurilor de protecție. .Implementarea și testarea măsurilor selectate. .Evaluarea riscului rezidual. Etapele 6 se referă la selecția echipamentului de protecție (neutralizarea riscurilor), restul - la evaluarea riscurilor. Listarea etapelor deja arată că managementul riscului este un proces ciclic. În esență, ultimul pas este o instrucțiune de sfârșit de buclă care vă indică să reveniți la început. Riscurile trebuie monitorizate constant, reevaluându-le periodic. Trebuie remarcat faptul că o evaluare finalizată și atent documentată poate simplifica semnificativ activitățile ulterioare. Managementul riscului, ca orice altă activitate de securitate a informațiilor, trebuie integrat în ciclul de viață al SI. Atunci efectul este cel mai mare și costurile sunt minime. Managementul riscului trebuie efectuat în toate etapele ciclu de viață sistem informatic: iniţiere-dezvoltare-instalare operare-eliminare (dezafectare). În etapa de inițiere, riscurile cunoscute ar trebui să fie luate în considerare atunci când se dezvoltă cerințele pentru sistem în general și caracteristicile de securitate în special. În faza de dezvoltare, cunoașterea riscurilor ajută la selectarea soluțiilor arhitecturale adecvate care joacă un rol cheie în asigurarea securității. În timpul fazei de instalare, riscurile identificate trebuie luate în considerare la configurarea, testarea și verificarea formulate anterior cerințelor, iar ciclul complet de management al riscului trebuie să preceadă punerea în funcțiune a sistemului. În timpul fazei operaționale, managementul riscului ar trebui să însoțească toate schimbările semnificative ale sistemului. La dezafectarea unui sistem, managementul riscurilor ajută la asigurarea faptului că migrarea datelor are loc într-o manieră sigură. Capitolul II. Standarde de securitate a informațiilor 1 Condiții preliminare pentru crearea standardelor de securitate a informațiilor Efectuarea unui audit de securitate a informațiilor se bazează pe utilizarea a numeroase recomandări, care sunt stabilite în primul rând în standardele internaționale de securitate a informațiilor. Unul dintre rezultatele unui audit din ultimii ani a devenit tot mai mult un certificat care atestă conformitatea IP examinată cu un anumit standard internațional recunoscut. Prezența unui astfel de certificat permite unei organizații să obțină avantaje competitive asociate cu o mai mare încredere din partea clienților și partenerilor. Utilizarea standardelor ajută la atingerea următoarelor cinci obiective. În primul rând, obiectivele asigurării securității informaționale a sistemelor informatice sunt strict definite. În al doilea rând, creează sistem eficient managementul securității informațiilor. În al treilea rând, oferă calcularea unui set de indicatori detaliați, nu numai calitativi, ci și cantitativi pentru a evalua conformitatea securității informațiilor cu obiectivele declarate. În al patrulea rând, sunt create condițiile pentru utilizarea instrumentelor de securitate a informațiilor existente (software) și evaluarea stării lor actuale. În al cincilea rând, deschide posibilitatea utilizării tehnicilor de management al securității cu un sistem bine fundamentat de metrici și măsuri pentru a asigura dezvoltatorii de sisteme informatice. De la începutul anilor 80 au fost create zeci de standarde internaționale și naționale în domeniul securității informațiilor, care într-o anumită măsură se completează reciproc. Mai jos vom lua în considerare cele mai cunoscute standarde în funcție de cronologia creării lor: )Criteriul de evaluare a fiabilității sistemelor informatice „Orange Book” (SUA); )Criterii armonizate tari europene;
)Recomandări X.800; )standard german BSI; )Standardul britanic BS 7799; )standardul ISO 17799; )Standard „Criterii generale” ISO 15408; )Standardul COBIT Aceste standarde pot fi împărțite în două tipuri: · Standarde de evaluare care vizează clasificarea sistemelor informaționale și a măsurilor de securitate în funcție de cerințele de securitate; · Specificații tehnice care reglementează diverse aspecte ale implementării măsurilor de securitate. Este important de reținut că nu există un perete gol între aceste tipuri de reglementări. Standardele de evaluare evidențiază cele mai importante aspecte ale securității informațiilor din punct de vedere al securității informațiilor, jucând rolul de specificații arhitecturale. Alte specificatii tehnice stabiliți cum să construiți un IS cu o arhitectură prescrisă. 2 Standard „Criterii de evaluare a fiabilității sistemelor informatice” (Cartea portocalie) Din punct de vedere istoric, primul standard de evaluare care a devenit larg răspândit și a avut un impact uriaș asupra bazei de standardizare a securității informațiilor în multe țări a fost standardul Departamentului de Apărare al SUA „Criterii de evaluare pentru sisteme informatice de încredere”. Această lucrare, numită cel mai adesea „Cartea portocalie” după culoarea copertei, a fost publicată pentru prima dată în august 1983. Numai numele său necesită comentarii. Nu vorbim de sisteme securizate, ci de sisteme de încredere, adică de sisteme cărora li se poate acorda un anumit grad de încredere. Cartea Orange explică conceptul unui sistem securizat care „controlează, prin mijloace adecvate, accesul la informații, astfel încât numai persoanele sau procesele autorizate corespunzător care acționează în numele lor să fie autorizate să citească, să scrie, să creeze și să șteargă informații”. Este evident, însă, că absolut sisteme securizate nu există, este o abstractizare. Este logic să evaluăm doar gradul de încredere care poate fi acordat unui anumit sistem. Orange Book definește un sistem de încredere ca „un sistem care utilizează suficient hardware și software pentru a asigura prelucrarea simultană a informațiilor cu diferite grade de secretizare de către un grup de utilizatori, fără a încălca drepturile de acces.” De menționat că în criteriile luate în considerare, atât securitatea, cât și încrederea sunt evaluate exclusiv din punctul de vedere al controlului accesului la date, care este unul dintre mijloacele de asigurare a confidențialității și integrității informațiilor. Cu toate acestea, Cartea Orange nu abordează problemele de accesibilitate. Gradul de încredere este evaluat în funcție de două criterii principale. .Politica de securitate este un set de legi, reguli și coduri de conduită care definesc modul în care o organizație procesează, protejează și difuzează informații. În special, regulile determină când un utilizator poate opera cu anumite seturi de date. Cu cât este mai mare gradul de încredere în sistem, cu atât politica de securitate ar trebui să fie mai strictă și mai diversă. În funcție de politica formulată, se pot selecta mecanisme de securitate specifice. Politica de securitate este un aspect activ al protecției, inclusiv analiza posibilelor amenințări și selectarea contramăsurilor. .Nivelul de asigurare este o măsură a încrederii care poate fi plasată în arhitectura și implementarea unui IS. Încrederea în securitate poate decurge atât din analiza rezultatelor testelor, cât și din verificarea (formală sau nu) a proiectării și implementării generale a sistemului ca întreg și a componentelor sale individuale. Nivelul de asigurare arată cât de corecte sunt mecanismele responsabile de implementarea politicii de securitate. Acesta este aspectul pasiv al protecției. Principalul mijloc de asigurare a securității este determinat de mecanismul de responsabilitate (logging). Sistem de încredere trebuie să înregistreze toate evenimentele legate de securitate. Păstrarea înregistrărilor ar trebui să fie completată de audit, adică de analiza informațiilor de înregistrare. Conceptul de bază de calcul de încredere este esențial pentru evaluarea gradului de încredere în securitate. O bază de calcul de încredere este un set de mecanisme de securitate IS (inclusiv hardware și software) responsabile cu aplicarea politicii de securitate. Calitatea bazei de calcul este determinată numai de implementarea acesteia și de corectitudinea datelor inițiale introduse de administratorul de sistem. Este posibil ca componentele în cauză din afara bazei de calcul să nu fie de încredere, dar acest lucru nu ar trebui să afecteze securitatea sistemului în ansamblu. Ca urmare, pentru a evalua încrederea în securitate a unui sistem informațional, autorii standardului recomandă să se ia în considerare doar baza sa de calcul. Scopul principal al unei baze de calcul de încredere este acela de a îndeplini funcțiile unui monitor de apel, adică de a controla admisibilitatea subiecților (utilizatorilor) care efectuează anumite operațiuni asupra obiectelor (entități pasive). Monitorul verifică accesul fiecărui utilizator la programe sau date pentru concordanță cu setul de acțiuni permise utilizatorului. Un monitor de apel trebuie să aibă trei calități: Izolare. Este necesar să împiedicați monitorizarea monitorului. Completitudine. Monitorul trebuie apelat la fiecare apel; nu trebuie să existe nicio modalitate de a-l ocoli. Verificabilitate. Monitorul trebuie să fie compact, astfel încât să poată fi analizat și testat cu încredere că testarea va fi completă. Implementarea unui monitor de lovituri se numește nucleu de securitate. Nucleul de securitate este fundația pe care sunt construite toate mecanismele de securitate. Pe lângă proprietățile monitorului de acces enumerate mai sus, nucleul trebuie să garanteze propria sa imuabilitate. Limita unei baze de calcul de încredere se numește perimetru de securitate. După cum sa menționat deja, componentele din afara perimetrului de securitate ar putea să nu fie de încredere în general. Cu dezvoltarea sisteme distribuite Conceptului de „perimetru de securitate” i se dă din ce în ce mai mult un sens diferit, adică granița posesiunilor unei anumite organizații. Ceea ce este în interiorul proprietății este considerat de încredere, dar ceea ce este în exterior nu este. Potrivit Orange Book, o politică de securitate trebuie să includă în mod necesar următoarele elemente: · controlul accesului aleatoriu; · siguranța reutilizarii obiectelor; · etichete de securitate; · controlul accesului forțat. Controlul accesului aleatoriu este o metodă de restricționare a accesului la obiecte, bazată pe luarea în considerare a identității subiectului sau grupului căruia îi aparține subiectul. Arbitrarul controlului constă în faptul că o anumită persoană (de obicei, proprietarul unui obiect) poate, la discreția sa, să acorde sau să înlăture altor subiecți drepturi de acces la obiect. Securitatea reutilizarii obiectelor este un plus important la controalele de acces care previne ca informațiile sensibile să fie eliminate accidental sau intenționat din gunoi. Securitatea reutilizarii trebuie garantata pentru zonele de RAM (in special, pentru bufferele cu imagini de ecran, parole decriptate etc.), pentru blocurile de disc si mediile magnetice in general. 3 standard german BSI În 1998, „Ghidul de securitate al tehnologiei informației la nivel de bază” a fost publicat în Germania. Manualul este un hipertext de aproximativ 4 MB (format HTML). Ulterior a fost oficializat ca standard german BSI. Se bazează pe metodologia generală și pe componentele managementului securității informațiilor: · Metoda generala de management al securitatii informatiilor (organizarea managementului in domeniul securitatii informatiei, metodologia de utilizare a manualului). · Descrieri ale componentelor tehnologiilor informaționale moderne. · Componente principale (nivel organizațional de securitate a informațiilor, nivel procedural, organizarea protecției datelor, planificarea situațiilor de urgență). · Infrastructură (cladiri, spații, rețele de cablu, organizarea accesului la distanță). · Componentele clientului tipuri variate(DOS, Windows, UNIX, componente mobile, alte tipuri). · Rețele de diferite tipuri (conexiuni punct la punct, rețele Novell NetWare, rețele cu OC ONIX și Windows, rețele eterogene). · Elemente ale sistemelor de transmisie a datelor (e-mail, modemuri, firewall-uri etc.). · Telecomunicații (faxuri, robote telefonice, sisteme integrate bazate pe ISDN, alte sisteme de telecomunicații). · Software standard. · Bază de date. · Descrieri ale principalelor componente ale organizării unui regim de securitate a informațiilor (niveluri organizaționale și tehnice de protecție a datelor, planificare pentru situații de urgență, suport pentru continuitatea afacerii). · Caracteristicile obiectelor de informare (cladiri, spatii, retele de cablu, zone controlate). · Caracteristicile principalelor active informaționale ale companiei (inclusiv hardware și software, cum ar fi stațiile de lucru și serverele care rulează sisteme de operare DOS, Windows și UNIX). · Caracteristici retele de calculatoare bazate pe diverse tehnologii de rețea, cum ar fi rețelele Novell Net Ware, rețelele UNIX și Windows). · Caracteristicile echipamentelor de telecomunicații active și pasive de la furnizori de top, de exemplu Cisco Systems. · Cataloage detaliate de amenințări de securitate și măsuri de control (mai mult de 600 de articole în fiecare catalog). Toate tipurile de amenințări din standardul BSI sunt împărțite în următoarele clase: · Circumstanțele de forță majoră. · Dezavantajele măsurilor organizatorice. · Greșeli umane. · Probleme tehnice. · Acțiuni deliberate. Contramăsurile sunt clasificate în mod similar: · Îmbunătățirea infrastructurii; · Contramăsuri administrative; · Contramăsuri procedurale; · Contramăsuri software și hardware; · Reducerea vulnerabilității comunicațiilor; planificare de urgență. Toate componentele sunt luate în considerare și descrise conform următorului plan: )descriere generala; )posibile scenarii de amenințări de securitate (amenințările aplicabile acestei componente sunt listate din catalogul amenințărilor de securitate); )posibile contramăsuri (sunt enumerate amenințările aplicabile acestei componente din catalogul amenințărilor de securitate); 4 Standardul britanic BS 7799