Teknologjia e informacionit sot luan një rol kyç në sigurimin e ekzekutimit efektiv të proceseve të biznesit të kompanive të ndryshme tregtare. Në të njëjtën kohë përdorim të gjerë teknologjitë e informacionit në aktivitetet e kompanive çon në një rritje të rëndësisë së problemeve që lidhen me mbrojtjen e të dhënave. Gjatë viteve të fundit, si në Rusi ashtu edhe në vendet e huaja, ka pasur një rritje të numrit të sulmeve ndaj sistemeve të automatizuara, duke çuar në humbje të konsiderueshme financiare dhe materiale. Për të vlerësuar në mënyrë objektive nivelin aktual të sigurisë së sistemeve të automatizuara, përdoret një auditim sigurie, i cili do të diskutohet në këtë artikull.
Aktualisht, ekspertët përdorin disa përkufizime të auditimit, por më të përdorurit janë këto: auditimit siguria e informacionit — procesi i marrjes së vlerësimeve objektive cilësore dhe sasiore të gjendjes aktuale të sigurisë së informacionit të një kompanie në përputhje me kritere dhe tregues të caktuar sigurie.
Llojet e kontrollit të sigurisë së informacionit
Llojet kryesore të mëposhtme të auditimit të sigurisë së informacionit mund të dallohen:
Analiza instrumentale e sigurisësistem i automatizuar. Ky lloj auditimi synon identifikimin dhe eliminimin e dobësive të softuerit dhe harduerit të sistemit.
Analiza instrumentale përbëhet nga specialistë të sigurisë së informacionit që kryejnë sulme në sistemin e automatizuar nën hetim. Në këtë rast, çdo softuer dhe harduer i disponueshëm për sulmuesit mund të përdoret. Qëllimi kryesor i analizës instrumentale është kontrollet periodike për të identifikuar dobësitë e reja. Përveç kësaj, ky lloj auditimi mund të përdoret kur zbulohet një fakt i rrjedhjes së informacionit akses i kufizuar për të parandaluar rrjedhjet e përsëritura.
NË rast i përgjithshëm Analiza instrumentale përbëhet nga dy pjesë:
1) hulumtimi mbi sigurinë e sistemit të automatizuar nga sulmet në distancë - hostet e disponueshëm nga rrjeti i klientit skanohen dhe sulmet në rrjet me qëllim të marrjes së aksesit të paautorizuar në informacionin e mbrojtur ose burimet administrative.
2) identifikimi i kërcënimeve për sigurinë e informacionit që burojnë nga punonjësit e kompanisë ose ndërhyrës që kanë hyrë në zyrë - kryhet një analizë e metodave për vërtetimin e punonjësve të kompanisë, mekanizmat për ndarjen e të drejtave të aksesit dhe siguria e informacionit kur transmetohet përmes një rrjeti lokal është të përcaktuara.
Gjatë analizës instrumentale, dobësitë që lidhen me versionet e vjetruara produkte softuerike dhe konfigurimin e tyre të pasaktë, edhe pse mangësi të konsiderueshme në politikën e korporatës sigurinë.
Vlerësimi i sistemeve të automatizuara për pajtueshmërinë me rekomandimet e standardeve ndërkombëtare dhe kërkesat e dokumenteve drejtuese të FSTEC, GOST dhe standardeve të industrisë.
Ky lloj auditimi është një studim i sistemit të sigurisë së informacionit për pajtueshmërinë me kërkesat e dokumenteve zyrtare, për shembull rusisht - "Kërkesa dhe rekomandime të veçanta për mbrojtje teknike informacion konfidencial" (STR-K), "Siguria e teknologjive të informacionit. Kriteret për vlerësimin e sigurisë së teknologjive të informacionit" (GOST R ISO/IEC 15408-2002) ose të huaja - "Teknologjitë e informacionit. Menaxhimi i Sigurisë së Informacionit" - ISO/IEC 17799, WebTrust dhe të tjerë.
Një tipar i veçantë i një auditimi për përputhshmërinë me standardet është lidhja e tij me një shërbim tjetër - certifikimin. Nëse auditimi përfundon me sukses, kompania do të marrë një certifikatë përputhshmërie të sistemit të saj të sigurisë së informacionit. Dhe ky është një plus serioz për imazhin e çdo organizate publike, veçanërisht atyre që punojnë me partnerë të huaj. Duhet theksuar se në organizatat qeveritare, duke punuar me informacionin që përbën sekret shtetëror, certifikimi i sistemit të sigurisë së informacionit është i detyrueshëm. Një veçori tjetër e auditimit për përputhshmërinë me standardet është se të drejtën për të lëshuar certifikata kanë vetëm organizatat që kanë licencat e nevojshme për të kryer aktivitete të tilla ose janë qendra të specializuara certifikimi.
Raporti për këtë lloj auditimi në përgjithësi përmban informacionin e mëposhtëm: shkalla e përputhshmërisë së sistemit të automatizuar që testohet me standardet e përzgjedhura, numri dhe kategoritë e mospërputhjeve dhe komenteve të marra, rekomandimet për ndërtimin ose modifikimin e sistemit të sigurisë së informacionit që do ta sjellë atë në përputhje me standardet në fjalë.
Rezultatet mund të përfshijnë gjithashtu shkallën e përputhshmërisë së sistemit të sigurisë së informacionit me kërkesat e brendshme të menaxhimit të organizatës së klientit.
Auditimi i ekspertit siguria e sistemit të automatizuar. Në procesin e kryerjes së këtij lloji të auditimit, mangësitë në sistemin e sigurisë së informacionit duhet të identifikohen bazuar në përvojën ekzistuese të ekspertëve pjesëmarrës në procedurën e ekzaminimit.
Një auditim ekspert konsiston në një studim të detajuar të sistemit të sigurisë së sistemit të automatizuar të klientit dhe krahasimin e tij me ndonjë model ideal për të garantuar sigurinë e informacionit. Për më tepër, modeli ideal në çdo rast specifik mund të ndryshojë në varësi të kërkesave të klientit dhe përvojën e vet kompania audituese.
Rezultati i hulumtimit të ekspertëve është përgatitja dhe ofrimi i një raporti për klientët, i cili përmban informacion për dobësitë e konstatuara në sistemin e sigurisë dhe mangësitë në paketën e dokumenteve organizative dhe administrative, si dhe propozime për eliminimin e tyre. Përveç kësaj, ekspertët mund të japin rekomandime për zgjedhjen dhe aplikimin e sistemeve të sigurisë së informacionit dhe të tjera të veçanta shtesë mjete teknike.
Secila nga llojet e mësipërme të auditimit mund të kryhet veçmas ose në kombinim, në varësi të detyrave që duhet të zgjidhen në organizatë. Objekti i auditimit mund të jetë si sistemi i automatizuar i kompanisë në tërësi, ashtu edhe segmentet e saj individuale në të cilat përpunohet informacioni me akses të kufizuar.
Fusha e punës për auditimin e sigurisë së informacionit
Në përgjithësi, një auditim i sigurisë, pavarësisht nga forma e zbatimit të tij, përbëhet nga katër faza kryesore:
- Zhvillimi i rregulloreve të auditimit
- Mbledhja e të dhënave fillestare
- Analiza e të dhënave të marra
- Zhvillimi i rekomandimeve për rritjen e nivelit të mbrojtjes së një sistemi të automatizuar
Në fazën e parë Së bashku me klientin, hartohen rregullore që përcaktojnë përbërjen dhe procedurën për kryerjen e punës. Detyra kryesore e rregulloreve është të përcaktojë kufijtë brenda të cilëve do të kryhet rilevimi. Rregulloret janë dokumenti që ju lejon të shmangni pretendimet e ndërsjella pas përfundimit të auditimit, pasi përcakton qartë përgjegjësitë e palëve.
Në fazën e dytë Në përputhje me rregulloret e dakorduara, mblidhet informacioni fillestar. Metodat për mbledhjen e informacionit përfshijnë intervistimin e punonjësve të klientëve, analizën e dokumentacionit të ofruar organizativ, administrativ dhe teknik dhe përdorimin e pajisjeve të specializuara. mjetet. Në këtë fazë, mblidhen llojet e mëposhtme të informacionit:
- Dokumentacioni organizativ dhe administrativ mbi çështjet e sigurisë së informacionit (politika e sigurisë së informacionit të kompanisë, dokumentet qeverisëse, rregulloret për punën e përdoruesve me burimet e informacionit)
- Informacion rreth harduerit pritës (lista e serverëve, stacioneve të punës, pajisjeve komutuese të sistemit të automatizuar; informacione në lidhje me konfigurimin e harduerit të serverëve, të dhëna për pajisjet periferike)
- Informacion rreth softuerit në të gjithë sistemin (informacion rreth sistemet operative dhe DBMS e përdorur në sistemin në studim)
- Informacion në lidhje me softuerin e aplikacionit (lista e softuerit aplikativ për qëllime të përgjithshme dhe të veçanta; përshkrim detyra funksionale zgjidhur duke përdorur softuerin e aplikacionit)
- Informacion në lidhje me pajisjet mbrojtëse të instaluara në sistemin e automatizuar (informacion për prodhuesin e pajisjeve mbrojtëse, informacion në lidhje me konfigurimin e pajisjeve mbrojtëse, diagramin e instalimit të pajisjeve mbrojtëse)
- Informacion rreth topologjisë së sistemit të automatizuar (topologjia e rrjetit lokal, informacione rreth llojeve të kanaleve të komunikimit të përdorura në sistemin e automatizuar protokollet e rrjetit, diagrami i rrjedhës së informacionit)
Faza e tretë puna përfshin analizimin e informacionit të mbledhur për të vlerësuar nivelin aktual të sigurisë së sistemit të automatizuar të klientit.
Procesi i analizës përcakton rreziqet e sigurisë së informacionit ndaj të cilave mund të ekspozohet kompania.
Në fakt, rreziku është një vlerësim integral i efektivitetit objektet ekzistuese mbrojtjet janë të afta t'i rezistojnë sulmeve duke përdorur teknologjinë e informacionit.
Në varësi të llojit të auditimit, përdoren dy grupe kryesore të metodave për llogaritjen e rreziqeve të sigurisë. Grupi i parë i metodave ju lejon të përcaktoni nivelin e rrezikut duke vlerësuar shkallën e pajtueshmërisë me një grup të caktuar kërkesash të sigurisë së informacionit.
Burimet e kërkesave të tilla mund të përfshijnë:
- Dokumentet rregullatore të ndërmarrjes në lidhje me çështjet e sigurisë së informacionit;
- Kërkesat e legjislacionit aktual rus - udhëzimet e FSTEC (Komisioni Teknik Shtetëror), STR-K, kërkesat e FSB të Federatës Ruse, GOST, etj.;
- Rekomandime të standardeve ndërkombëtare - ISO 17799, OCTAVE, CoBIT, etj.;
- Rekomandime nga kompanitë e prodhimit të softuerëve dhe pajisjeve - Microsoft, Oracle, Cisco, etj.
Ky grup metodash përdoret kur vlerësohen sistemet e automatizuara për pajtueshmërinë me standardet dhe udhëzimet.
Grupi i dytë i metodave për vlerësimin e rreziqeve të sigurisë së informacionit përdoret gjatë kryerjes së analizave instrumentale të sigurisë dhe bazohet në përcaktimin e mundësisë së sulmeve, si dhe në nivelet e dëmtimit të tyre. Në këtë rast, vlera e rrezikut llogaritet veçmas për çdo sulm dhe në përgjithësi paraqitet si produkt i probabilitetit të një sulmi dhe sasisë së dëmit të mundshëm nga ky sulm. Vlera e dëmit përcaktohet nga pronari i burimit të informacionit, dhe probabiliteti i një sulmi llogaritet nga një grup ekspertësh që kryejnë procedurën e auditimit.
Metodat e grupit të parë dhe të dytë mund të përdorin shkallë sasiore ose cilësore për të përcaktuar sasinë e rrezikut të sigurisë së informacionit. Në rastin e parë, rreziku dhe të gjithë parametrat e tij shprehen në vlera numerike. Kështu, për shembull, kur përdoren shkallët sasiore, probabiliteti i një sulmi mund të shprehet si një numër në një interval të caktuar, dhe dëmi i sulmit mund të specifikohet si ekuivalent monetar i humbjeve materiale që organizata mund të pësojë nëse sulmi është i suksesshëm.
Kur përdorni peshore cilësore vlerat numerike zëvendësohen me nivele konceptuale ekuivalente. Në këtë rast, çdo nivel konceptual do të korrespondojë me një interval të caktuar të shkallës sasiore të vlerësimit.
Kur llogaritet probabiliteti i një sulmi, si dhe niveli i dëmtimit të mundshëm, mund të përdoren metoda statistikore, metoda të vlerësimit të ekspertëve ose elementë të teorisë së vendimeve.
Bazuar në rezultatet e analizës në fazën e katërt Janë duke u zhvilluar rekomandime për të përmirësuar nivelin e sigurisë së sistemit të automatizuar nga kërcënimet e sigurisë së informacionit.
- zvogëlimi i rrezikut nëpërmjet përdorimit të mjeteve shtesë organizative dhe teknike të mbrojtjes për të zvogëluar gjasat e një sulmi ose për të zvogëluar dëmin e mundshëm prej tij. Kështu, për shembull, vendosja muret e zjarrit në pikën e lidhjes së sistemit të automatizuar me internetin, ai mund të zvogëlojë ndjeshëm mundësinë e një sulmi të suksesshëm ndaj burimeve të informacionit të aksesueshëm publikisht të sistemit, siç janë serverët e uebit, serverët e postës etj.;
- shmangia e rrezikut duke ndryshuar arkitekturën ose modelin e rrjedhës së informacionit të një sistemi të automatizuar, i cili eliminon mundësinë e kryerjes së një sulmi të caktuar. Për shembull, shkëputja fizike e segmentit të sistemit të automatizuar në të cilin informacioni konfidencial përpunohet nga Interneti bën të mundur eliminimin e sulmeve ndaj informacionit konfidencial nga ky rrjet;
- ndryshimi i natyrës së rrezikut si rezultat i marrjes së masave të sigurimit. Shembuj të një ndryshimi të tillë në natyrën e rrezikut përfshijnë sigurimin e pajisjeve të sistemit të automatizuar kundër zjarrit ose sigurimin e burimeve të informacionit kundër shkeljes së mundshme të konfidencialitetit, integritetit ose disponueshmërisë së tyre;
- pranimi i rrezikut nëse ai reduktohet në një nivel në të cilin nuk përbën kërcënim për sistemin e automatizuar.
Si rregull, rekomandimet e zhvilluara nuk kanë për qëllim eliminimin e plotë të gjitha rreziqet e identifikuara, por vetëm për t'i reduktuar në një nivel të mbetur të pranueshëm. Kur zgjidhni masa për të rritur nivelin e mbrojtjes së një sistemi të automatizuar, merret parasysh një kufizim themelor - kostoja e zbatimit të tyre nuk duhet të kalojë koston e burimeve të informacionit të mbrojtur.
Në përfundim të procedurës së auditimit, rezultatet e tij zyrtarizohen në formën e një dokumenti raportues, i cili i jepet klientit. Në përgjithësi, ky dokument përbëhet nga seksionet kryesore të mëposhtme:
- një përshkrim të kufijve brenda të cilëve është kryer auditimi i sigurisë;
- përshkrimi i strukturës së sistemit të automatizuar të klientit;
- metodat dhe mjetet që janë përdorur në procesin e auditimit;
- një përshkrim të dobësive dhe mangësive të identifikuara, duke përfshirë nivelin e tyre të rrezikut;
- rekomandime për përmirësimin e sistemit gjithëpërfshirës të sigurisë së informacionit;
- propozimet për një plan për zbatimin e masave prioritare që synojnë minimizimin e rreziqeve të identifikuara.
konkluzioni
Auditimi i sigurisë së informacionit është sot një nga më të shumtët mjete efektive për të marrë një vlerësim të pavarur dhe objektiv të nivelit aktual të sigurisë së ndërmarrjes ndaj kërcënimeve të sigurisë së informacionit. Për më tepër, rezultatet e auditimit përdoren për të formuluar një strategji për zhvillimin e sistemit të sigurisë së informacionit në organizatë. Duhet mbajtur mend se një kontroll i sigurisë nuk është një procedurë një herë, por duhet të kryhet rregullisht. Vetëm në këtë rast auditimi do të sjellë përfitime reale dhe do të ndihmojë në përmirësimin e nivelit të sigurisë së informacionit të kompanisë.
- 14.12.2017
Pesë mënyra për të gjetur një sulmues në rrjetTë gjithë e dimë se sulmet përfundimisht ndalohen, pyetja e vetme që mbetet është se si t'i gjejmë ato shpejt! Lajme te mira: Sulmi është shumë aktiv në fillimin e tij. Sulmuesi mund të identifikohet dhe ndalohet nëse e dini se si duken disa prej tyre Pikat kryesore, e cila do t'ju ndihmojë në zbulimin e saj.
· mbledhjen e informacionit të auditimit;
· analiza e të dhënave të auditimit;
Auditimi kryhet jo me iniciativën e auditorit, por me iniciativën e menaxhmentit të kompanisë, e cila kjo çështjeështë aktori kryesor. Mbështetja e menaxhmentit të kompanisë është një parakusht për kryerjen e një auditimi.
Në fazën e fillimit të procedurës së auditimit, duhet të përcaktohen kufijtë e vrojtimit. I vetëm nënsistemet e informacionit kompanitë nuk janë mjaft kritike për t'u përjashtuar nga objekti i anketës. Nënsistemet e tjera mund të mos jenë të auditueshme për shkak të shqetësimeve të konfidencialitetit.
Mbledhja e informacionit të auditimit
· Diagramet funksionale;
· Cilat pika hyrëse ka?
· Bllok diagrami IS;
Analiza e të dhënave të auditimit
Qasja e dytë, më praktike, mbështetet në përdorimin e standardeve.
Standardet përcaktojnë një grup bazë kërkesash për një klasë të gjerë të IP, e cila formohet si rezultat i përgjithësimit të praktikës botërore. Standardet mund të përcaktojnë grupe të ndryshme kërkesash, në varësi të nivelit të sigurisë së IP që duhet të sigurohet, përkatësisë së saj (organizata tregtare ose agjenci qeveritare) dhe qëllimit (financa, industria, komunikimet, etj.). Në këtë rast, auditorit i kërkohet të përcaktojë saktë grupin e kërkesave standarde që duhet të plotësohen për këtë SI. Gjithashtu nevojitet një metodologji për të vlerësuar këtë përputhshmëri. Për shkak të thjeshtësisë së saj ( set standard kërkesat për kryerjen e një auditimi janë tashmë të paracaktuara nga standardi) dhe besueshmëria (një standard është një standard dhe askush nuk do të përpiqet të sfidojë kërkesat e tij), qasja e përshkruar është më e zakonshme në praktikë (veçanërisht kur kryhet një auditim i jashtëm).
Ju lejon të kosto minimale burime për të nxjerrë përfundime të informuara për gjendjen e IP.
Qasja e tretë, më efektive, përfshin kombinimin e dy të parave. Komplet bazë kërkesat për IP përcaktohen nga standardi. Kërkesat shtesë, duke marrë parasysh veçoritë specifike të funksionimit të këtij sistemi informacioni në masën maksimale, formohen në bazë të një analize rreziku. Kjo qasje është shumë më e thjeshtë se e para, sepse Shumica e kërkesave janë përcaktuar tashmë nga standardi dhe, në të njëjtën kohë, ai nuk ka disavantazhin e qasjes së dytë, që është se kërkesat e standardit mund të mos marrin parasysh specifikat e IP-së që shqyrtohet.
Informacione të ngjashme:
Kërkoni në sit:
Janë të disponueshme
Auditimi i teknologjisë së informacionit
Libër mësuesi për universitetet
Grekul V.I.
2015 G.
Tirazhi 500 kopje.
Botim edukativ
Formati 60x90/16 (145x215 mm)
Versioni: me kapak
Unë SBN 978-5-9912-0528-3
BBK 32.973
UDC 004.05
shënim
Ofrohen informacione bazë për praktikat dhe teknologjitë e përdorura në kompani për të organizuar dhe mbështetur TI-në dhe merren parasysh procedurat për kryerjen e kërkimit dhe analizimin e përdorimit të teknologjive të informacionit dhe ndikimin e tyre në aktivitetet e organizatës. Përshkrimi i dhënë lloje të ndryshme Auditimi i TI-së, qëllimet dhe objektivat përkatëse, kërkesat për aftësimin profesional të auditorëve, metodat e kryerjes së auditimeve. Libri bazohet në një kurs leksionesh të dhëna nga autori në Shkollën e Lartë Ekonomike të Universitetit Kombëtar të Kërkimeve.
Për studentët e universitetit që studiojnë në fushën e Informatikës së Biznesit, do të jetë e dobishme për specialistë në fushën e menaxhimit të sistemeve të informacionit dhe riinxhinierimit të proceseve të biznesit, analistë sistemesh, analistë biznesi dhe konsulentë të teknologjisë së informacionit.
Prezantimi
1. Organizimi i një projekti të auditimit të teknologjisë së informacionit
1.1. karakteristikat e përgjithshme Projektet e auditimit të TI-së
1.2. Planifikimi i projektit
1.2.1. Përkufizimi i projektit
1.2.2. Analiza e rrezikut
1.2.3. Procedurat menaxhimin e brendshëm klient
1.2.4. Plani i inspektimit
1.3. Ekzekutimi i projektit të auditimit
1.3.1. Sqarimi i planit të inspektimit
1.3.2. Procedurat e mbledhjes së të dhënave të auditimit
1.3.3. Kontrollimi i ekzistencës së procedurave të kontrollit
1.3.4. Kontrollimi i efektivitetit të procedurave të menaxhimit
1.3.5. Përdorimi i rezultateve të vetë-testimit
1.3.6. Analiza e situatës së veçantë
1.3.7. Formimi i përfundimeve
1.3.8. Dokumentacioni i Projektit të Auditimit
1.3.9. Përgatitja e raportit përfundimtar të auditimit
1.4. Pyetje për vetë-testimin e njohurive
2. Vlerësimi i organizatës së qeverisjes së teknologjisë së informacionit
2.1. Objektivat e auditimit
2.2. Teknikat dhe Praktikat e Menaxhimit të IT
2.2.1. Organizata drejtuese e IT
2.2.2. Strategjia e TI-së
2.2.3. Politikat, procedurat dhe standardet
2.2.4. Menaxhimi i rreziqeve
2.2.5. Menaxhimi i Teknologjisë së Informacionit
2.2.6. Struktura organizative e shërbimit IT
2.3. Pyetje për vetë-testimin e njohurive
3. Vlerësimi i menaxhmentit cikli i jetes TI
3.1. Objektivat e auditimit
3.2. Teknikat dhe praktikat e menaxhimit të ciklit jetësor të IT
3.2.1. Menaxhimi i portofolit të programeve dhe projekteve
3.2.2. Menaxhimi i projektit
3.2.3. Vlerësimi i kostos dhe kohës së projekteve të IT
3.2.4. Menaxhimi i ciklit jetësor të produkteve softuerike dhe sistemeve të informacionit
3.2.5. Menaxhimi i krijimit të infrastrukturës
3.2.6. Menaxhimi i ciklit jetësor të procesit të biznesit
3.3. Pyetje për vetë-testimin e njohurive
4. Vlerësimi i menaxhimit të shërbimit IT
4.1. Objektivat e auditimit
4.2. Metodat dhe praktikat e menaxhimit të shërbimit IT
4.2.1. Organizimi i funksionimit të sistemeve të informacionit
4.2.2. Menaxhimi i shërbimit IT
4.2.3. Organizimi i funksionimit të infrastrukturës
4.3. Pyetje për vetë-testimin e njohurive
5. Vlerësimi i sigurisë së burimeve të informacionit
5.1.
Objektivat e auditimit
5.2. Metodat dhe praktikat për garantimin e sigurisë së burimeve të informacionit
5.2.1. Parimet themelore të sigurisë së informacionit
5.2.2. Rolet dhe shpërndarja e përgjegjësive në sigurimin e sigurisë së informacionit
5.2.3. Inventari dhe klasifikimi i aseteve
5.2.4. Kontrolli i aksesit
5.2.5. Pikat e hyrjes dhe metodat e hyrjes
5.2.6. Mbrojtja e informacionit në ruajtje
5.2.7. Menaxhimi i arnimeve
5.2.8. Siguria siguria fizike aseteve
5.3. Pyetje për vetë-testimin e njohurive
6. Vlerësimi i vazhdimësisë dhe rikuperimi nga fatkeqësitë biznesi
6.1. Objektivat e auditimit
6.2. Metodat dhe praktikat për sigurimin e vazhdimësisë dhe rimëkëmbjes së biznesit
6.2.1. Llojet e aksidenteve dhe fatkeqësive
6.2.2. Proceset e vazhdimësisë së biznesit
6.2.3. Treguesit kryesorë të procesit dhe rimëkëmbjes së sistemit
6.2.4. Zhvillimi i një strategjie rikuperimi
6.2.5. Teknologjitë për rikuperimin e sistemit
6.2.6. Planifikimi i vazhdimësisë dhe rimëkëmbjes së biznesit
6.3. Pyetje për vetë-testimin e njohurive
7. Tabela e çelësave: numrat e përgjigjeve të sakta për pyetjet e vetëtestimit
Letërsia
KAPITULLI 2. FAZA E PUNËS PËR KRYERJEN E AUDITIMIT TË SISTEMEVE TË INFORMACIONIT TË NDËRMARRJES
Fazat kryesore të auditimit të sistemeve të informacionit të ndërmarrjes
Puna e auditimit të SI përfshin një sërë fazash të njëpasnjëshme, të cilat në përgjithësi korrespondojnë me fazat e kryerjes së një auditimi gjithëpërfshirës të TI të AS, i cili përfshin sa vijon:
· fillimin e procedurës së auditimit;
· mbledhjen e informacionit të auditimit;
· analiza e të dhënave të auditimit;
· Përgatitja e një raporti auditimi;
· fillimin e procedurës së auditimit.
Auditimi kryhet jo me iniciativën e auditorit, por me iniciativën e menaxhmentit të kompanisë, e cila është palë kryesore e interesuar në këtë çështje.
Mbështetja e menaxhmentit të kompanisë është një parakusht për kryerjen e një auditimi.
Auditimi është një grup aktivitetesh në të cilat, përveç vetë auditorit, janë të përfshirë edhe përfaqësues të shumicës së divizioneve strukturore të kompanisë. Veprimet e të gjithë pjesëmarrësve në këtë proces duhet të jenë të koordinuara. Prandaj, në fazën e fillimit të procedurës së auditimit, duhet të zgjidhen çështjet e mëposhtme organizative:
Ø të drejtat dhe përgjegjësitë e auditorit duhet të përcaktohen qartë dhe të dokumentohen në të përshkrimet e punës, si dhe në rregulloret për auditimin e brendshëm (të jashtëm);
Ø auditori duhet të përgatisë dhe të bjerë dakord me menaxhmentin një plan auditimi;
Ø Rregulloret për auditimin e brendshëm duhet të përcaktojnë, në veçanti, që punonjësit e kompanisë janë të detyruar të ndihmojnë audituesin dhe të japin të gjithë informacionin e nevojshëm për auditimin.
Fillimi i një procedure auditimi
Në fazën e fillimit të procedurës së auditimit, duhet të përcaktohen kufijtë e vrojtimit. Disa nënsisteme informacioni të kompanisë nuk janë mjaft kritike dhe mund të përjashtohen nga objekti i anketës.
Nënsistemet e tjera mund të mos jenë të auditueshme për shkak të shqetësimeve të konfidencialitetit.
Kufijtë e sondazhit përcaktohen në termat e mëposhtëm:
· Lista e burimeve fizike, softuerike dhe informacionit të anketuara;
· Vendet (lokalet) që bien brenda kufijve të vrojtimit;
· Llojet kryesore të kërcënimeve të sigurisë të konsideruara gjatë auditimit;
Aspekte organizative (legjislative, administrative dhe procedurale), fizike, softuerike, harduerike dhe të tjera të sigurisë që duhet të merren parasysh gjatë anketës, dhe prioritetet e tyre (në çfarë mase duhet të merren parasysh).
Plani dhe kufijtë e auditimit diskutohen në një takim pune, ku marrin pjesë auditorët, menaxhmenti i kompanisë dhe drejtuesit e divizioneve strukturore.
Mbledhja e informacionit të auditimit
Faza e mbledhjes së informacionit të auditimit është më e vështira dhe kërkon shumë kohë. Kjo për shkak të mungesës së dokumentacionit të nevojshëm për sistemin e informacionit dhe nevojës për ndërveprim të ngushtë ndërmjet auditorit dhe shumë zyrtarëve të organizatës.
Konkluzionet kompetente në lidhje me gjendjen e punëve në kompani mund të bëhen nga auditori vetëm nëse janë të disponueshme të gjitha të dhënat fillestare të nevojshme për analizë. Marrja e informacionit për organizimin, funksionimin dhe gjendjen aktuale të SI kryhet nga auditori gjatë intervistave të organizuara posaçërisht me personat përgjegjës të kompanisë, duke studiuar dokumentacionin teknik dhe organizativ, si dhe duke hulumtuar SI duke përdorur të specializuara. mjete softuerike. Le të ndalemi se çfarë informacioni i nevojitet auditorit për analizë.
Pika e parë e auditimit fillon me marrjen e informacionit për strukturën organizative të përdoruesve të SI dhe njësive të shërbimit. Në këtë drejtim, auditori kërkon dokumentacionin e mëposhtëm:
· Skema e strukturës organizative të përdoruesve;
· Skema e strukturës organizative të departamenteve të shërbimit.
Në fazën tjetër, auditori është i interesuar për informacion në lidhje me qëllimin dhe funksionimin e SI. Auditori u bën të anketuarve përafërsisht pyetjet e mëposhtme:
· Çfarë shërbimesh u ofrohen përdoruesve fundorë dhe si?
· Cilat janë llojet kryesore të aplikacioneve që operohen në IS?
· Numri dhe llojet e përdoruesve që përdorin këto aplikacione?
Ai gjithashtu do të ketë nevojë për dokumentacionin e mëposhtëm, natyrisht, nëse ekziston fare (gjë që, në përgjithësi, nuk ndodh shpesh):
· Diagramet funksionale;
· Përshkrim funksionet e automatizuara;
· Përshkrimi i kryesore zgjidhje teknike;
· Dizajni tjetër dhe dokumentacionin e punës në sistemin e informacionit.
Më tej, auditori kërkon më shumë informacion i detajuar në lidhje me strukturën e IP-së. Kjo do të bëjë të mundur për të kuptuar se si shpërndarja e mekanizmave ndërmjet elementet strukturore dhe nivelet e funksionimit të IS. Pyetje tipike pikat e diskutuara në lidhje me këtë gjatë intervistës përfshijnë:
· Nga cilat komponentë (nënsisteme) përbëhet IS?
· Funksionaliteti komponente individuale?
· Ku janë kufijtë e sistemit?
· Cilat pika hyrëse ka?
· Si ndërvepron IS me sistemet e tjera?
· Cilat kanale komunikimi përdoren për të ndërvepruar me sisteme të tjera informacioni?
· Cilat kanale komunikimi përdoren për ndërveprimin ndërmjet komponentëve të sistemit?
· Cilat protokolle përdoren për të komunikuar?
· Çfarë softuerësh dhe platformash harduerike përdoren për të ndërtuar sistemin?
Në këtë fazë, auditori duhet të grumbullojë dokumentacionin e mëposhtëm:
· Bllok diagrami IS;
· Skema e flukseve të informacionit;
Përshkrimi i strukturës së kompleksit të mjeteve teknike sistemi i informacionit;
· Përshkrimi i strukturës së softuerit;
Përshkrimi i strukturës mbështetje informacioni;
· Vendosja e komponentëve të sistemit të informacionit.
Përgatitja e një pjese të konsiderueshme të dokumentacionit të IP-së zakonisht kryhet gjatë procesit të auditimit. Kur të jenë përgatitur të gjitha të dhënat e nevojshme IP, përfshirë dokumentacionin, mund të vazhdoni me analizën e tyre.
Analiza e të dhënave të auditimit
Metodat e analizës së të dhënave të përdorura nga audituesit përcaktohen nga qasjet e zgjedhura të auditimit, të cilat mund të ndryshojnë ndjeshëm.
Qasja e parë, më komplekse, bazohet në analizën e rrezikut. Bazuar në metodat e analizës së rrezikut, audituesi përcakton një grup individual kërkesash për SI-në e ekzaminuar, e cila merr parasysh në masën më të madhe karakteristikat e këtij SI dhe mjedisin e tij operativ. Kjo qasje është më intensivja e punës dhe kërkon kualifikimet më të larta të auditorit. Cilësia e rezultateve të auditimit, në këtë rast, ndikohet fuqishëm nga analiza e rrezikut dhe metodologjia e menaxhimit të përdorur dhe zbatueshmëria e saj në ky llojËSHTË.
Qasja e dytë, më praktike, mbështetet në përdorimin e standardeve. Standardet përcaktojnë një grup bazë kërkesash për një klasë të gjerë të IP, e cila formohet si rezultat i përgjithësimit të praktikës botërore. Standardet mund të përcaktojnë grupe të ndryshme kërkesash, në varësi të nivelit të sigurisë së IP që duhet të sigurohet, përkatësisë së saj (organizata tregtare ose agjenci qeveritare) dhe qëllimit (financa, industria, komunikimet, etj.).
Në këtë rast, auditorit i kërkohet të përcaktojë saktë grupin e kërkesave standarde që duhet të plotësohen për këtë SI. Gjithashtu nevojitet një metodologji për të vlerësuar këtë përputhshmëri. Për shkak të thjeshtësisë së tij (një grup standard kërkesash për kryerjen e një auditimi është tashmë i paracaktuar nga standardi) dhe besueshmërisë (një standard është një standard dhe askush nuk do të përpiqet të sfidojë kërkesat e tij), qasja e përshkruar është më e zakonshme në praktikë (veçanërisht gjatë kryerjes së një auditimi të jashtëm). Ai lejon, me shpenzime minimale të burimeve, të nxirren përfundime të informuara për gjendjen e IP.
Qasja e tretë, më efektive, përfshin kombinimin e dy të parave. Grupi bazë i kërkesave për IP përcaktohet nga standardi. Kërkesat shtesë, duke marrë parasysh veçoritë specifike të funksionimit të këtij sistemi informacioni në masën maksimale, formohen në bazë të një analize rreziku. Kjo qasje është shumë më e thjeshtë se e para, sepse
Shumica e kërkesave janë përcaktuar tashmë nga standardi dhe, në të njëjtën kohë, ai nuk ka disavantazhin e qasjes së dytë, që është se kërkesat e standardit mund të mos marrin parasysh specifikat e IP-së që shqyrtohet.
Shumë ndoshta kanë bërë pyetjen "si të kryhet një auditim i sigurisë së informacionit?" ku të fillojë? çfarë teknike duhet të përdor? a ka softuer të specializuar për këtë? e cila programe falas a ka per kete?
Sot do t'ju prezantojmë një produkt nga Microsoft i cili ju lejon të auditoni informacionin Siguria e Microsoft Mjeti i Vlerësimit të Sigurisë (MSAT). Produkti ju lejon të identifikoni rreziqet e sigurisë së informacionit tashmë sistemi ekzistues dhe jep rekomandime për eliminimin e tyre. Sipas krijuesve, aplikacioni është krijuar për organizata me më pak se 1000 punonjës dhe gjithashtu do t'ju ndihmojë të kuptoni më mirë personelin, proceset, burimet dhe teknologjitë që synojnë të garantojnë planifikim efektiv të aktiviteteve të sigurisë dhe zbatimin e metodave të reduktimit të rrezikut në organizimi. Më e mira nga të gjitha, aplikacioni është falas dhe mund të shkarkohet nga faqja e internetit e zhvilluesit. Ky produkt mund të përdoret si një pyetësor për specialistët e IT-së, HR dhe specialistët e sigurisë së informacionit.
Gjatë procedurës së vlerësimit të rrezikut, bazuar në përgjigjet e pyetjeve, mjedisi i IT do të kontrollohet për fushat kryesore të kërcënimeve të sigurisë së informacionit. Vlerësimi përdor konceptin e mbrojtjes në thellësi (DiD) për të përcaktuar efektivitetin e strategjisë së sigurisë. Koncepti i "mbrojtjes në thellësi" i referohet zbatimit të mbrojtjes me shumë shtresa, duke përfshirë kontrollet teknike, organizative dhe operacionale. Mjeti i vlerësimit bazohet në standardet e pranuara përgjithësisht dhe praktikat më të mira të krijuara për të reduktuar rrezikun në sistemet e teknologjisë së informacionit. Procesi i vlerësimit mund të përsëritet dhe mund të përdoret gjithashtu për të kontrolluar progresin drejt qëllimeve të sigurisë organizative në infrastrukturën e TI-së.
Për të identifikuar kërcënimet e sigurisë në sistemin IT të organizatës suaj, fusha specifike të analizës do të vlerësojnë politikat në lidhje me rrezikun ndaj biznesit, teknologjisë, proceseve dhe njerëzve. Pasi të përfundojë vlerësimi, do të jepen rekomandime për menaxhimin e këtyre rreziqeve bazuar në praktikat më të mira të njohura nga industria. Këto rekomandime synojnë të ofrojnë udhëzime paraprake për të ndihmuar organizatën tuaj të zbatojë praktikat më të mira të TI-së të njohura nga industria.
Vlerësimi i rrezikut përbëhet nga dy pjesë: profili i rrezikut të biznesit (BRP) dhe vlerësimi (që përfshin katër fusha të analizës). PSR-të përfaqësojnë rreziqe të zakonshme me të cilat përballet një kompani. Pasi të përfundojë ky vlerësim, ai mbetet i pandryshuar derisa të bëhen ndryshime thelbësore në sistemin e IT të kompanisë. Mund të plotësoni dhe ruani vlerësime të shumta. Këto vlerësime mund dhe duhet të ndryshojnë me kalimin e kohës ndërsa zbatohen masat e avancuara të sigurisë.
Pra, le të shohim, së pari krijoni një profil:
Dhe plotësoni përgjigjet e pyetjeve; ndërsa i plotësoni, butonat bëhen të gjelbër:
Pasi të plotësoni bllokun e parë të pyetjeve në lidhje me parametrat e kompanisë, klikoni në: "Krijimi i një vlerësimi të ri"
Pas kësaj, ne plotësojmë pyetje mbi infrastrukturën e TI-së, personelin dhe menaxhimin e proceseve të biznesit:
Pas përgjigjeve, prisni për ikonën "Raporte".
Raporti mund të ruhet si *.docs ose të shihet në aplikacion. Ne lexojmë të gjitha konkluzionet, bëjmë rekomandime bazuar në praktikat më të mira botërore dhe ia paraqesim menaxhmentit për të rënë dakord për një plan pune ose për të justifikuar blerjen e pajisjeve të sigurisë së informacionit)))))
8.1. Koncepti i kontrollit të sigurisë së informacionit
Auditimi i sigurisë së informacionit (IS) është një nga fushat më të rëndësishme dhe më dinamike në zhvillim të menaxhimit strategjik dhe operacional në fushën e sigurisë kompjuterike dhe është me interes të vazhdueshëm për specialistët. Detyra e saj kryesore është të vlerësojë në mënyrë objektive gjendjen aktuale të sigurisë së informacionit të organizatës, si dhe përshtatshmërinë e saj me qëllimet dhe objektivat e biznesit.
Kontrolli i sigurisë së informacionit do të thotë procesi i sistemit marrjen e vlerësimeve objektive cilësore dhe sasiore të gjendjes aktuale të sigurisë së informacionit të organizatës në përputhje me kritere dhe tregues të caktuar në të gjitha nivelet kryesore të sigurisë: rregullatore dhe metodologjike, organizative dhe menaxheriale, procedurale dhe softuerike dhe teknike
Rezultatet e një auditimi të kualifikuar të sigurisë së informacionit të një organizate bëjnë të mundur ndërtimin e një sistemi të sigurisë së informacionit (ISMS) që është optimal në aspektin e efikasitetit dhe kostos, i cili është një kompleks mjetesh teknike, si dhe procedurale, organizative dhe masat ligjore, i kombinuar bazuar në modelin e menaxhimit të sigurisë së informacionit.
Si rezultat i auditimit, mund të merren vlerësime cilësore dhe sasiore. Në një vlerësim cilësor, për shembull, një listë e dobësive në softuer dhe harduer mund të sigurohet me klasifikimin e tyre sipas një shkalle të ashpërsisë me tre nivele: e lartë, e mesme dhe e ulët. Vlerësimet sasiore përdoren më shpesh kur vlerësohet rreziku ndaj aseteve të një organizate të paraqitura nga kërcënimet e sigurisë. Vlerësimet sasiore mund të jenë, për shembull, çmimi i rrezikut, probabiliteti i rrezikut, madhësia e rrezikut, etj.
Objektiviteti i auditimit sigurohet, në veçanti, nga fakti që vlerësimi i statusit të IS kryhet nga specialistë mbi bazën e një metodologjie specifike që lejon një analizë objektive të të gjithë komponentëve të ISMS.
Një auditim IS mund të jetë një shërbim i ofruar nga firma të specializuara; megjithatë, organizata duhet të kryejë një auditim të brendshëm të IS, të kryer, për shembull, nga administratorët e sigurisë.
Tradicionalisht, ekzistojnë tre lloje të auditimeve të sigurisë së informacionit, të cilat ndryshojnë në listën e komponentëve të analizuar të ISMS dhe rezultatet e marra:
− auditim aktiv;
− auditimi i ekspertëve;
− auditimi për pajtueshmërinë me standardet e sigurisë së informacionit.
8.1.1. Auditimi aktiv
Një auditim aktiv është një ekzaminim i statusit të sigurisë së nënsistemeve të caktuara të sigurisë së informacionit (ISS) në lidhje me nivelin e softuerit dhe harduerit. Për shembull, opsioni auditim aktiv, i quajtur një test penetrimi, përfshin ekzaminimin e nënsistemit të sigurisë ndërveprimet në rrjet. Auditimi aktiv përfshin:
− analiza e arkitekturës aktuale dhe cilësimeve të elementeve PIB;
− intervistimi i personave përgjegjës dhe të interesuar;
− kryerja e kontrolleve instrumentale që mbulojnë disa
Analiza e arkitekturës dhe cilësimeve të elementeve PIB kryhet nga specialistë me njohuri për nënsistemet specifike të përfaqësuara
V sistemi që po ekzaminohet (për shembull, mund të kërkojë specialistë në pajisjet aktive të rrjetit nga Cisco ose në sistemet operative të Microsoft), si dhe analistët e sistemit që identifikojnë të metat e mundshme në organizimin e nënsistemeve. Rezultati i kësaj analize është një grup pyetësorësh dhe testesh instrumentale.
Pyetësorët përdoren në procesin e intervistimit të personave përgjegjës për administrimin e AIS për të marrë karakteristikat subjektive të SIS, për të sqaruar të dhënat fillestare të marra dhe për të identifikuar disa nga masat e zbatuara brenda ISMS. Për shembull, pyetësorët mund të përfshijnë pyetje që lidhen me politikën për ndryshimin dhe caktimin e fjalëkalimeve, ciklin jetësor të sistemit të automatizuar të informacionit dhe shkallën e kritikës së nënsistemeve të tij individuale për sistemin e automatizuar të informacionit dhe proceset e biznesit të organizatës në tërësi.
Paralelisht me intervistimin, kryhen kontrolle instrumentale (teste), të cilat mund të përfshijnë aktivitetet e mëposhtme:
− inspektimi vizual i lokaleve, inspektimi i sistemit të kontrollit të hyrjes në ambiente;
− marrjen e konfigurimeve dhe versioneve të pajisjeve dhe softuerit;
− kontrollimi i përputhshmërisë së konfigurimeve reale me të dhënat fillestare të dhëna;
− marrja e një harte rrjeti duke përdorur softuer të specializuar;
− përdorimi i skanerëve të sigurisë (universalë dhe të specializuar);
− modelimi i sulmeve që shfrytëzojnë dobësitë e sistemit;
− kontrollimi i pranisë së një përgjigjeje ndaj veprimeve të zbuluara nga mekanizmat e zbulimit dhe reagimit të sulmit.
Auditori mund të vazhdojë nga modelet e mëposhtme që përshkruajnë shkallën e njohurive të tij për AIS-in e hetuar (modeli i njohurive):
− Modeli i "kutisë së zezë" - auditori nuk ka njohuri apriori për AIS në studim. Për shembull, kur kryeni një aktiv të jashtëm
Në një auditim të përgjithshëm (d.m.th., në një situatë ku simulohen veprimet e një sulmuesi të vendosur jashtë rrjetit në studim), audituesi mundet, duke ditur vetëm emrin ose adresën IP të serverit në internet, të përpiqet të gjejë dobësi në mbrojtjen e tij. ;
− Modeli i "kutisë së bardhë" - auditori ka njohuri të plota për strukturën e rrjetit në studim. Për shembull, auditori mund të ketë harta dhe diagrame të segmenteve të rrjetit në studim, lista të sistemeve operative dhe aplikacioneve. Përdorimi i këtij modeli nuk simulon plotësisht veprim real sulmues, por gjithsesi na lejon të imagjinojmë një skenar "rasti më i keq" ku sulmuesi ka njohuri të plotë të rrjetit. Për më tepër, kjo ju lejon të ndërtoni një skenar auditimi aktiv në atë mënyrë që testet instrumentale të kenë pasoja minimale për AIS dhe të mos prishin funksionimin normal të tij;
− Modeli "kuti gri" ose "kuti kristal" - auditori imiton veprimet e një përdoruesi të brendshëm të AIS që ka llogari qasje në rrjet me një nivel të caktuar autoriteti. Ky model ju lejon të vlerësoni rreziqet që lidhen me kërcënimet e brendshme, për shembull, nga punonjësit jo të besueshëm të kompanisë.
Audituesit duhet të bien dakord për çdo test, modelin e njohurive të aplikuara në test dhe pasojat e mundshme negative të testit me të interesuarit për test. funksionimin e vazhdueshëm AIS (menaxherët, administratorët e sistemit, etj.).
Bazuar në rezultatet e kontrollit instrumental, rezultatet e analizës paraprake rishikohen dhe, mundësisht, organizohet një ekzaminim shtesë (Fig. 8.1).
Kontroll instrumental
Oriz. 8.1. Skema për kryerjen e një auditimi aktiv të IS
Bazuar në rezultatet e auditimit aktiv, krijohet një raport analitik, i cili përbëhet nga një përshkrim i gjendjes aktuale të pjesës teknike të ISMS, një listë e dobësive të gjetura të AIS me shkallën e tyre kritike dhe rezultatet e një rreziku të thjeshtuar. vlerësimi, duke përfshirë një model ndërhyrës dhe një model kërcënimi.
Gjithashtu, mund të zhvillohet një plan pune për të modernizuar pjesën teknike të ISMS, i cili përbëhet nga një listë rekomandimesh për trajtimin e rrezikut.
8.1.2. Auditimi i ekspertit
Një auditim ekspert synon të vlerësojë gjendjen aktuale të sigurisë së informacionit në nivelet rregullatore, metodologjike, organizative, menaxheriale dhe procedurale. Auditimi i ekspertëve kryhet kryesisht nga auditorë të jashtëm, ai kryhet nga specialistë në menaxhimi i sistemit. Punonjësit e organizatës audituese, së bashku me përfaqësuesit e klientit, kryejnë llojet e mëposhtme të punës:
− mbledhja e të dhënave fillestare për AIS, funksionet dhe veçoritë e tij, teknologjitë e përdorura përpunimi i automatizuar dhe transferimi i informacionit (duke marrë parasysh perspektivat e menjëhershme të zhvillimit);
− mbledhjen e informacionit për ekzistimin dokumente organizative dhe administrative për mbështetjen e sigurisë së informacionit dhe analizën e tyre;
− Përkufizimi i aseteve të mbrojtura, rolet dhe proceset ISMS.
Mjeti më i rëndësishëm për vlerësimin e ekspertëve është mbledhja e të dhënave për AIS përmes intervistave specialistë teknikë dhe manualet e klientëve.
Qëllimet kryesore të intervistimit të ekipit drejtues të organizatës:
− përcaktimi i politikës dhe strategjisë së menaxhimit në çështjet e sigurimit
− identifikimi i qëllimeve që janë vendosur për ISMS;
− sqarimi i kërkesave për ISMS;
− marrjen e vlerësimeve të kritikitetit të nënsistemeve të caktuara të përpunimit të informacionit, vlerësime humbje financiare kur ndodh ndonjë incident.
Qëllimet kryesore të intervistimit të specialistëve teknikë:
− mbledhjen e informacionit mbi funksionimin e AIS;
− marrja e një diagrami të rrjedhave të informacionit në AIS;
− marrjen e informacionit për pjesën teknike të ISMS;
− vlerësimi i efektivitetit të operacionit ISMS.
NË Në kuadër të auditimit të ekspertëve, bëhet një analizë e dokumenteve organizative dhe administrative, si politika e sigurisë, plani i mbrojtjes, rregullore dhe udhëzime të ndryshme. Dokumentet administrative organizative vlerësohen për mjaftueshmërinë dhe përputhshmërinë me qëllimet e deklaruara dhe masat e sigurisë së informacionit, si dhe për pajtueshmërinë me politikën e menaxhimit strategjik për çështjet e sigurisë së informacionit.
Rezultatet e auditimit të ekspertëve mund të përmbajnë rekomandime për përmirësimin e komponentëve rregullator, metodologjik, organizativ, menaxherial dhe procedural të ISMS.
Fraza e shenjtë "të zotërosh informacion do të thotë të zotërosh botën" është më e rëndësishme se kurrë. Prandaj, sot "vjedhja e informacionit" është e natyrshme në shumicën e sulmuesve. Kjo mund të shmanget duke futur një sërë mbrojtjesh kundër sulmeve, si dhe kontrolle në kohë të sigurisë së informacionit. Auditimi i sigurisë së informacionit është një koncept i ri, i cili nënkupton një drejtim aktual dhe dinamik të menaxhimit operacional dhe strategjik, i cili ka të bëjë me sigurinë e sistemit të informacionit.
Auditimi i informacionit – bazat teorike
Vëllimi i informacionit në bota moderne po rritet me shpejtësi, pasi në të gjithë botën ka një tendencë drejt globalizimit të përdorimit të teknologjisë kompjuterike në të gjitha shtresat shoqëria njerëzore. Në jetën e një personi të zakonshëm, teknologjia e informacionit është një komponent kryesor.
Kjo shprehet në përdorimin e internetit, si për qëllime pune, ashtu edhe për qëllime loje dhe argëtimi. Paralelisht me zhvillimin e teknologjisë së informacionit, fitimi i parave i shërbimeve është në rritje dhe rrjedhimisht edhe sasia e kohës së shpenzuar për transaksione të ndryshme pagesash duke përdorur kartat plastike. Këto përfshijnë pagesa pa para për mallra dhe shërbime të ndryshme të konsumuara, transaksione në sistemi i pagesave banking online, këmbim valutor, transaksione të tjera pagese. E gjithë kjo ndikon në hapësirën në World Wide Web, duke e bërë atë më të madhe.
Ka gjithashtu më shumë informacion për mbajtësit e kartës. Kjo është baza për zgjerimin e fushës së veprimtarisë së mashtruesve, të cilët sot arrijnë të kryejnë një masë kolosale sulmesh, përfshirë sulmet nga ofruesit e shërbimeve dhe përdoruesi përfundimtar. NË rastin e fundit, një sulm mund të parandalohet nëpërmjet përdorimit të softuerit të duhur, por nëse kjo ka të bëjë me shitësin, është e nevojshme të përdoren një sërë masash që minimizojnë ndërprerjet, rrjedhjet e të dhënave dhe hakimet e shërbimit. Kjo bëhet përmes auditimeve në kohë të sigurisë së informacionit.
Detyra e ndjekur nga një auditim informacioni qëndron në një vlerësim në kohë dhe të saktë të gjendjes së sigurisë së informacionit në momentin aktual të një subjekti biznesi specifik, si dhe në përputhje me qëllimin dhe objektivat e përcaktuara të kryerjes së aktiviteteve, me ndihmën e të cilave duhet të rritet rentabiliteti dhe efikasiteti i aktivitetit ekonomik.
Me fjalë të tjera, një auditim i sigurisë së informacionit është një kontroll i një burimi të veçantë për aftësinë e tij për t'i bërë ballë kërcënimeve të mundshme ose reale.
- Auditimi i sigurisë së informacionit ka këto objektiva:
- Vlerësoni gjendjen e sistemit të informacionit për sigurinë.
- Identifikimi analitik i rreziqeve të mundshme që lidhen me depërtimi i jashtëm në rrjetin e informacionit.
- Identifikimi i vendndodhjes së boshllëqeve në sistemin e sigurisë.
- Identifikimi analitik i përputhshmërisë ndërmjet nivelit të sigurisë dhe standardeve aktuale të kuadrit legjislativ.
- Nisja e metodave të reja të mbrojtjes, zbatimi i tyre në praktikë, si dhe krijimi i rekomandimeve me ndihmën e të cilave do të përmirësohen problemet e mjeteve mbrojtëse, si dhe kërkimi i zhvillimeve të reja në këtë drejtim.
Auditimi përdoret kur:
- Kontroll i plotë i objektit në të cilin përfshihet procesi i informacionit. Veçanërisht, po flasim për për sistemet kompjuterike, sistemet e komunikimit, gjatë marrjes, transmetimit dhe përpunimit të të dhënave të një sasie të caktuar informacioni, mjeteve teknike, sistemeve të mbikëqyrjes etj.
- Kontroll i plotë i pajisjeve teknike elektronike, si dhe sistemi kompjuterik për efektet e rrezatimit dhe ndërhyrjeve që do të kontribuojnë në mbylljen e tyre.
- Gjatë kontrollit të pjesës së projektimit, e cila përfshin punën për krijimin e strategjive të sigurisë, si dhe zbatimin e tyre praktik.
- Një kontroll i plotë i besueshmërisë së mbrojtjes së informacionit konfidencial, qasja në të cilën është e kufizuar, si dhe identifikimi i "vrimave" me ndihmën e të cilave ky informacion shpallur duke përdorur masa standarde dhe jo standarde.
Kur bëhet e nevojshme të kryhet një auditim?
Është e rëndësishme të theksohet se nevoja për të auditimi i informacionit ndodh kur shkelet mbrojtja e të dhënave. Gjithashtu, testimi rekomandohet për:
- Bashkimi i kompanisë.
- Zgjerimi i biznesit.
- Thithja ose aneksimi.
- Ndryshimi i lidershipit.
Llojet e auditimit të sistemeve të informacionit
Sot, ekzistojnë auditime të jashtme dhe të brendshme të informacionit.
Një auditim i jashtëm karakterizohet nga përfshirja e ekspertëve të jashtëm, të pavarur, të cilët kanë të drejtë të kryejnë aktivitete të tilla. Si rregull, ky lloj inspektimi është i natyrës një herë dhe inicohet nga drejtuesi i ndërmarrjes, aksionari ose autoritetet ligjzbatuese. Kryerja e një auditimi të jashtëm nuk është i detyrueshëm, por me shumë mundësi rekomandohet. Megjithatë, ka nuanca të përcaktuara me ligj në të cilat një auditim i jashtëm i sigurisë së informacionit është i detyrueshëm. Për shembull, ligji mbulon institucionet financiare që shoqëritë aksionare, si dhe organizatat financiare.
Auditimi i brendshëm i sigurisë së flukseve të informacionit është një proces i vazhdueshëm, zbatimi i të cilit rregullohet nga dokumenti përkatës “Rregullorja e Auditimit të Brendshëm”. Ky event, brenda kompanisë, është i karakterit certifikues, zbatimi i të cilit rregullohet me urdhrin përkatës për sipërmarrjen. Me kryerjen e auditimit të brendshëm, shoqëria sigurohet nëpërmjet një njësie të veçantë në kompani.
Auditimi klasifikohet gjithashtu si:
- Ekspert.
- Vërtetim.
- Analitike.
Eksperti përfshin kontrollin e statusit të sigurisë së flukseve dhe sistemeve të informacionit, i cili bazohet në përvojën e ekspertëve dhe atyre që kryejnë këtë kontroll.
Lloji i certifikimit të auditimit ka të bëjë me sistemet, si dhe masat e sigurisë, në veçanti përputhshmërinë e tyre standardet e pranuara V shoqërinë ndërkombëtare, si dhe dokumentet përkatëse qeveritare që rregullojnë bazë ligjore të këtij aktiviteti.
Lloji analitik i auditimit ka të bëjë me një analizë të thellë të një sistemi informacioni duke përdorur pajisje teknike. Këto veprime duhet të synojnë identifikimin e dobësive të kompleksit softuer dhe harduer.
Metodologjia dhe mjetet për kryerjen e auditimeve në praktikë
Auditimi kryhet në faza dhe përfshin:
Faza e parë konsiderohet më e thjeshta. Ai përcakton të drejtat dhe përgjegjësitë e personit që kryen auditimin, zhvillimin plani hap pas hapi veprimet dhe koordinimi me menaxhmentin. Në të njëjtën kohë, kufijtë e analizës përcaktohen në një takim të stafit.
Faza e dytë përfshin sasi të mëdha të konsumit të burimeve. Kjo justifikohet me faktin se të gjitha dokumentacioni teknik, që ka të bëjë me kompleksin e harduerit dhe softuerit.
Faza e tretë kryhet duke përdorur një nga tre metodat, përkatësisht:
- Analiza e rrezikut.
- Analiza e përputhshmërisë me standardet dhe legjislacionin.
- Kombinimet e analizës së rrezikut dhe pajtueshmërisë ligjore.
Faza e katërt ju lejon të sistemoni të dhënat e marra dhe të bëni një analizë të thellë. Në këtë rast, inspektori duhet të jetë kompetent për këtë çështje.
Si të kaloni në mënyrë që të mos ketë probleme? Pse nevojitet një kontroll i tillë? Artikulli ynë do t'ju tregojë për këtë.
Çfarë është një auditim dhe çfarë lloje të auditimeve ekzistojnë? Është shkruar për këtë.
Do të zbuloni se çfarë është kontrolli tatimor dhe për çfarë qëllimesh nevojitet.
Pas inspektimit, duhet të nxirret një përfundim, i cili pasqyrohet në dokumentin përkatës të raportimit. Raporti zakonisht pasqyron informacionin e mëposhtëm:
- Rregulloret për auditimin e kryer.
- Struktura e sistemit të rrjedhës së informacionit në ndërmarrje.
- Cilat metoda dhe mjete janë përdorur për të kontrolluar
- Përshkrim i saktë i dobësive dhe dobësive, duke marrë parasysh rrezikun dhe nivelin e dobësive.
- Veprimet e rekomanduara për të eliminuar vendet e rrezikshme, si dhe për të përmirësuar kompleksin e të gjithë sistemit.
Reale këshilla praktike, me ndihmën e të cilave duhet të zbatohen masat, synojnë minimizimin e rreziqeve që janë identifikuar gjatë auditimit.
Auditimi i sigurisë së informacionit në praktikë
Në praktikë, një shembull mjaft i zakonshëm i padëmshëm është një situatë në të cilën punonjësi A, i cili është i përfshirë në blerjen e pajisjeve tregtare, negocioi duke përdorur një program të caktuar "B".
Në të njëjtën kohë, vetë programi është i prekshëm, dhe gjatë regjistrimit, punonjësi nuk tregoi asnjë adresën e emailit, nuk ka numër, por përdori një adresë alternative abstrakte emaili me një domen që nuk ekziston.
Si rezultat, një sulmues mund të regjistrojë një domen të ngjashëm dhe të krijojë një terminal regjistrimi. Kjo do t'i lejojë atij t'i dërgojë mesazhe kompanisë që zotëron shërbimin e programit "B", duke kërkuar fjalëkalimin e humbur. Në këtë rast, serveri do të dërgojë postë në adresën ekzistuese të mashtruesit, pasi ai ka një ridrejtim që funksionon. Si rezultat i këtij operacioni, mashtruesi ka akses në korrespondencë, i zbulon furnizuesit informacione të tjera dhe kontrollon drejtimin e ngarkesës në një drejtim të panjohur për punonjësit.
Rëndësia e auditimit të informacionit në botën moderne po bëhet gjithnjë e më shumë në kërkesë, për shkak të numrit në rritje të përdoruesve si hapësirë rrjet i gjere boteror, dhe aplikacionet në mënyra të ndryshme fitimi i parave në shërbime të ndryshme. Kështu, të dhënat e çdo përdoruesi bëhen të disponueshme për sulmuesit. Ato mund të mbrohen duke identifikuar burimin e problemit - pika të dobëta rrjedhat e informacionit.
Në kontakt me
Organizimi i një auditimi të sigurisë së informacionit të një sistemi informacioni
Akademia Ekonomike Moldaviane Andrushka Igor
TIE-238
Prezantimi
Një sistem informacioni modern i një organizate është një sistem i shpërndarë dhe heterogjen që përdor komponentë të ndryshëm softuerësh dhe harduerikë dhe ka pika aksesi në rrjetin publik. (p.sh. internet). Në këtë drejtim, detyra e konfigurimit të saktë dhe të sigurt të komponentëve dhe sigurimi i ndërveprimit të sigurt midis tyre bëhet dukshëm më i ndërlikuar dhe, si rezultat, rritet numri i dobësive në sistem.
Prania e dobësive në sistem bën të mundur që një sulmues i mundshëm të kryejë një sulm të suksesshëm dhe të shkaktojë dëme në aktivitetet e organizatës. Shfaqja e "pikave të dobëta" mund të jetë për arsye të ndryshme, duke përfshirë objektivin (për shembull, defekte në softuerin themelor), dhe të një natyre subjektive (Për shembull, vendosje e gabuar pajisje) .
Identifikimi dhe eliminimi i dobësive, si dhe vlerësimi i nivelit të përgjithshëm të sigurisë, është një komponent jashtëzakonisht i rëndësishëm i sigurisë, i cili mund të rrisë ndjeshëm nivelin e sigurisë së informacionit dhe burimeve të tjera të sistemit.
Oriz. 1 Roli i auditimit të sigurisë së informacionit
Qëllimet dhe qëllimi i auditimit
Objektivat kryesore të një auditimi të sigurisë së informacionit përfshijnë si më poshtë:
· Marrja e një vlerësimi objektiv dhe të pavarur të gjendjes aktuale të sigurisë së burimeve të informacionit.
· Faturë kthim maksimal nga fondet e investuara në krijimin e një sistemi sigurie informacioni.
· Vlerësimi i dëmeve të mundshme nga veprimet e paautorizuara.
· Zhvillimi i kërkesave për ndërtimin e një sistemi sigurie informacioni.
· Përcaktimi i fushave të përgjegjësisë së punonjësve të departamentit.
· Llogaritja e burimeve të nevojshme.
· Zhvillimi i procedurës dhe sekuencës për zbatimin e një sistemi të sigurisë së informacionit.
Auditimi mund të kryhet në mënyrat e mëposhtme:
· Auditim gjithëpërfshirës– para krijimit të një sistemi sigurie informacioni
· Vend– formimi i kërkesave për modernizimin e sistemit të mbrojtjes
· Periodike– verifikimi i jashtëm rregullator i nivelit të sigurisë së sistemit.
· Kontrollo– ekzaminimi dhe vlerësimi i sistemeve dhe zgjidhjeve të përdorura ose të planifikuara për përdorim.
Fazat e auditimit
Procesi i auditimit të sistemeve të informacionit mund të përfaqësohet si një lloj peshore (Fig. 2), ku sistemet e sigurisë së aksesit konsiderohen nga njëra anë, kontrolli i procesit të biznesit nga ana tjetër, dhe infrastruktura teknike shërben si mbështetje, e cila, nga ana tjetër, bazohet në metodat e pranuara të autorizimit, konfigurimin e sistemit, si dhe politikat dhe procedurat e miratuara në organizatave.
Oriz. 2 Procesi i auditimit të sistemeve të informacionit
Puna në një auditim të sigurisë IS përfshin një sërë fazash të njëpasnjëshme (Fig. 3), të cilat përgjithësisht korrespondojnë me fazat e një auditimi gjithëpërfshirës të IS, i cili përfshin sa vijon:
2. kryerja e një vlerësimi të sigurisë - përfshin punën për zbulimin e dobësive të pajisjeve teknike, analizimin e sigurisë teknologjike, si dhe përshtatshmërinë e procedurave organizative. Bazuar në mangësitë e identifikuara, bëhet një vlerësim i rrezikut, duke përfshirë mënyrat kryesore për tejkalimin e sistemit të mbrojtjes, shkallën e kritikitetit dhe fizibilitetin e zbatimit;
3. certifikimi i sistemit - përfshin masat për anketimin (vlerësimin) e masave ekzistuese dhe masat për mbrojtjen e informacionit, vlerësimin e përshtatshmërisë së tyre, si dhe përputhshmërinë me kërkesat e standardeve kryesore;
4. Bazuar në rezultatet e Auditimit, hartohet një plan për korrigjimin e mangësive të identifikuara. Detyra e planifikimit është të përcaktojë prioritetet për korrigjimin e mangësive të zbuluara, zhvillimin e një prioriteti dhe një metodologjie për eliminimin e tyre. Gjithashtu, është planifikuar të zhvillohen dokumente konceptuale dhe procedurale, si Koncepti i Sigurisë së Informacionit, Kërkesat e përgjithshme dhe rekomandime për mbrojtjen e informacionit, Politikat e Sigurisë, etj.
Figura 3. Fazat e një auditimi të sigurisë së informacionit
Në varësi të qëllimeve dhe mënyrës së kryerjes së një auditimi të sigurisë së informacionit, iniciator i këtij eventi, siç u tha më sipër, është i interesuari. Më shpesh, iniciatori i një auditimi është një organizatë e përfaqësuar nga menaxhmenti i saj.
Si rregull, çështjet e mëposhtme organizative zgjidhen në fazën e anketës:
· të drejtat dhe përgjegjësitë e auditorit janë të përcaktuara dhe të dokumentuara qartë në përshkrimet e punës së tij, si dhe në rregulloret e brendshme (e jashtme) auditimi;
· auditori përgatit dhe bie dakord me menaxhmentin për një plan auditimi të sigurisë së informacionit.
Në fazën e vrojtimit përcaktohen edhe kufijtë e vrojtimit. Kufijtë e një sondazhi zakonisht përcaktohen në termat e mëposhtëm:
· Lista e burimeve fizike, softuerike dhe informacionit të anketuara;
· faqet (lokalet), që bien brenda kufijve të vrojtimit;
· Llojet kryesore të kërcënimeve të sigurisë të konsideruara gjatë auditimit;
· organizative (legjislative, administrative dhe procedurale), aspekte fizike, softuerike, harduerike dhe të tjera të sigurisë që duhet të merren parasysh gjatë sondazhit, dhe prioritetet e tyre (në çfarë mase duhet të merren parasysh) .
Më pas vjen mbledhja e informacionit të auditimit, e cila është më komplekse dhe kërkon kohë. Kjo është zakonisht për shkak të mungesës së dokumentacionit të nevojshëm për sistemin e informacionit dhe nevojës për ndërveprim të ngushtë ndërmjet auditorit dhe shumë zyrtarëve të organizatës.
Konkluzionet kompetente në lidhje me gjendjen e punëve në kompaninë me sigurinë e informacionit mund të bëhen nga auditori vetëm nëse janë të disponueshme të gjitha të dhënat fillestare të nevojshme për analizë. Marrja e informacionit për organizimin, funksionimin dhe gjendjen aktuale të SI kryhet nga auditori gjatë intervistave të organizuara posaçërisht me personat përgjegjës të kompanisë, duke studiuar dokumentacionin teknik, organizativ dhe administrativ, si dhe duke hulumtuar SI duke përdorur mjete të specializuara softuerike.
Sigurimi i sigurisë së informacionit të një organizate është një proces kompleks që kërkon organizim dhe disiplinë të qartë. Ai duhet të fillojë me përcaktimin e roleve dhe caktimin e përgjegjësive ndërmjet tyre zyrtarët të përfshirë në sigurinë e informacionit. Prandaj, pika e parë e auditimit fillon me marrjen e informacionit për strukturën organizative të përdoruesve të SI dhe njësive të shërbimit. Në këtë drejtim, auditori kërkon dokumentacion në lidhje me organogramin e SI-së. Në mënyrë tipike, gjatë një interviste, auditori u bën pyetje të intervistuarve në lidhje me përdorimin e informacionit që qarkullon brenda SI.
Qëllimi dhe parimet e funksionimit të IS përcaktojnë kryesisht rreziqet ekzistuese dhe kërkesat e sigurisë për sistemin. Prandaj, në fazën tjetër, auditori është i interesuar për informacion në lidhje me qëllimin dhe funksionimin e SI. Në këtë fazë, auditori mund të përdorë dokumentacionin që përmban të dhënat e mëposhtme:
· përshkrimi i funksioneve të automatizuara;
· diagrami i rrjedhës së informacionit;
· përshkrimi i strukturës së kompleksit të mjeteve teknike të sistemit të informacionit;
· përshkrimi i strukturës së softuerit;
· përshkrimi i strukturës së mbështetjes së informacionit;
· përshkrim detyra teknike aplikacionet e përdorura;
Më tej, auditori kërkon informacion më të detajuar në lidhje me strukturën e IP-së. Kjo bën të mundur zbulimin se si kryhet shpërndarja e mekanizmave të sigurisë nëpër elementë strukturorë dhe nivele të funksionimit të IS.
Përgatitja e një pjese të konsiderueshme të dokumentacionit të IP-së zakonisht kryhet gjatë procesit të auditimit. Kur të jenë përgatitur të gjitha të dhënat e nevojshme IP, përfshirë dokumentacionin, mund të vazhdoni në fazën tjetër - analizën e tyre
Metodat e analizës së të dhënave të përdorura nga audituesit përcaktohen nga qasjet e zgjedhura të auditimit, të cilat mund të ndryshojnë ndjeshëm. Por në përgjithësi, ekzistojnë 3 qasje:
Qasja e parë, më kompleksi, bazohet në analizën e rrezikut. Bazuar në metodat e analizës së rrezikut, audituesi përcakton për SI-në e ekzaminuar një grup individual kërkesash sigurie, i cili merr parasysh në masën më të madhe karakteristikat e këtij SI, mjedisin e tij operativ dhe kërcënimet e sigurisë që ekzistojnë në këtë mjedis. Kjo qasje është më intensivja e punës dhe kërkon kualifikimet më të larta të auditorit. Cilësia e rezultateve të auditimit, në këtë rast, ndikohet fuqishëm nga metodologjia e përdorur për analizën dhe menaxhimin e rrezikut dhe zbatueshmëria e saj në këtë lloj SI.
