Kush përgatit planin e kontrollit të sigurisë së informacionit. Koncepti i një auditimi sigurie dhe qëllimi i zbatimit të tij

Një kontroll i sigurisë së informacionit jo vetëm që mund t'i japë bankës të drejtën për të kryer disa lloje aktivitetesh, por edhe të tregojë pika të dobëta në sistemet bankare. Prandaj, është e nevojshme të merret një qasje e ekuilibruar ndaj vendimit për të kryer dhe zgjedhur formën e auditimit.

Sipas Ligjit Federal të 30 dhjetorit 2008 Nr. 307-FZ "Për aktivitetet e auditimit", një auditim është "një verifikim i pavarur i pasqyrave kontabël (financiare) të njësisë së audituar për të shprehur një opinion mbi besueshmërinë e këtyre deklaratat.” Ky term i përmendur në këtë ligj nuk ka asnjë lidhje me sigurinë e informacionit. Sidoqoftë, ndodh që specialistët e sigurisë së informacionit e përdorin atë në mënyrë mjaft aktive në fjalimin e tyre. Në këtë rast, auditimi i referohet procesit të vlerësimit të pavarur të aktiviteteve të një organizate, sistemi, procesi, projekti ose produkti. Në të njëjtën kohë, duhet kuptuar se në rregullore të ndryshme vendase termi "auditim i sigurisë së informacionit" nuk përdoret gjithmonë - ai shpesh zëvendësohet ose nga termi "vlerësim i konformitetit" ose nga termi pak i vjetëruar, por ende i përdorur "certifikimi". Ndonjëherë përdoret edhe termi "çertifikim", por në lidhje me rregulloret ndërkombëtare të huaja. Një auditim i sigurisë së informacionit kryhet ose për të verifikuar përputhjen me rregulloret, ose për të verifikuar vlefshmërinë dhe sigurinë e zgjidhjeve të përdorura. Por pavarësisht se çfarë termi përdoret, në thelb, një auditim i sigurisë së informacionit kryhet ose për të verifikuar përputhjen me rregulloret, ose për të verifikuar vlefshmërinë dhe sigurinë e zgjidhjeve të përdorura. Në rastin e dytë, auditimi është vullnetar dhe vendimi për kryerjen e tij merret nga vetë organizata. Në rastin e parë, është e pamundur të refuzohet kryerja e një auditimi, pasi kjo sjell shkelje të kërkesave të përcaktuara me rregullore, gjë që çon në dënim në formën e gjobës, pezullimit të aktiviteteve ose formave të tjera të dënimit. Nëse një auditim është i detyrueshëm, ai mund të kryhet si nga vetë organizata, për shembull, në formën e vetëvlerësimit (megjithatë, në këtë rast nuk flitet për "pavarësi" dhe termi "audit" nuk është plotësisht e saktë për t'u përdorur këtu), ose nga organizata të jashtme të pavarura - auditorë. Opsioni i tretë për kryerjen e një auditimi të detyrueshëm është kontrolli nga organet rregullatore të autorizuara për të kryer aktivitetet e duhura mbikëqyrëse. Ky opsion shpesh quhet inspektim dhe jo auditim. Meqenëse një auditim vullnetar mund të kryhet për absolutisht çdo arsye (për të kontrolluar sigurinë e sistemit bankar në distancë, për të kontrolluar aktivet e një banke të blerë, për të kontrolluar një degë të sapohapur, etj.), Ne nuk do ta shqyrtojmë këtë opsion. Në këtë rast, është e pamundur të përvijohen qartë kufijtë e tij, as të përshkruhen format e raportimit të tij, as të flitet për rregullsinë - e gjithë kjo vendoset nga një marrëveshje midis auditorit dhe organizatës së audituar. Prandaj, ne do të shqyrtojmë vetëm format e auditimit të detyrueshëm që janë specifike për bankat.

Standardi ndërkombëtar ISO 27001

Ndonjëherë mund të dëgjoni për një bankë të caktuar që i nënshtrohet një auditimi për pajtueshmërinë me kërkesat e standardit ndërkombëtar "ISO/IEC 27001:2005" (ekuivalenti i tij i plotë rus është "GOST R ISO/IEC 27001-2006 - Teknologjia e informacionit - Metodat dhe mjetet të garantimit të sigurisë.Sistemet e menaxhimit të sigurisë së informacionit – Kërkesat”). Në thelb, ky standard është një grup praktikash më të mira për menaxhimin e sigurisë së informacionit në organizata të mëdha (organizatat e vogla, përfshirë bankat, nuk janë gjithmonë në gjendje të përmbushin plotësisht kërkesat e këtij standardi). Si çdo standard në Rusi, ISO 27001 është një dokument thjesht vullnetar, të cilin çdo bankë vendos ta pranojë ose jo në mënyrë të pavarur. Por ISO 27001 është një standard de facto në mbarë botën dhe specialistët në shumë vende e përdorin këtë standard si një lloj gjuhë universale të cilat duhet të ndiqen kur kemi të bëjmë me sigurinë e informacionit. ISO 27001 shoqërohet gjithashtu me disa pika jo aq të dukshme dhe jo të përmendura shpesh. Megjithatë, ISO 27001 përfshin gjithashtu disa pika më pak të dukshme dhe më pak të përmendura. Së pari, jo i gjithë sistemi i sigurisë së informacionit të bankës i nënshtrohet auditimit sipas këtij standardi, por vetëm një ose më shumë nga përbërësit e tij. Për shembull, një sistem sigurie bankare në distancë, një sistem sigurie të zyrës qendrore të bankës ose një sistem sigurie të procesit të menaxhimit të personelit. Me fjalë të tjera, marrja e një certifikate konformiteti për një nga proceset e vlerësuara si pjesë e auditimit nuk garanton që proceset e mbetura janë në të njëjtën gjendje afër idealit. Pika e dytë lidhet me faktin se ISO 27001 është një standard universal, domethënë i zbatueshëm për çdo organizatë, dhe për këtë arsye nuk merr parasysh specifikat e një industrie të veçantë. Kjo ka bërë që në kuadër të organizatës ndërkombëtare për standardizim ISO, prej kohësh flitet për krijimin e standardit ISO 27015, që është përkthim i ISO 27001/27002 për industrinë financiare. Banka e Rusisë gjithashtu merr pjesë aktive në zhvillimin e këtij standardi. Megjithatë, Visa dhe MasterCard janë kundër draftit të këtij standardi, i cili tashmë është zhvilluar. I pari beson se draft standardi përmban shumë pak informacion të nevojshëm për industrinë financiare (për shembull, mbi sistemet e pagesave), dhe nëse shtohet atje, standardi duhet të transferohet në një komitet tjetër ISO. MasterCard gjithashtu propozon të ndalojë zhvillimin e ISO 27015, por motivimi është i ndryshëm - thonë ata, industria financiare tashmë është plot me dokumente që rregullojnë temën e sigurisë së informacionit. Së treti, është e nevojshme t'i kushtohet vëmendje që shumë propozime të gjetura në tregun rus nuk flasin për një auditim të përputhshmërisë, por për përgatitjen për një auditim. Fakti është se vetëm disa organizata në botë kanë të drejtë të certifikojnë pajtueshmërinë me kërkesat e ISO 27001. Integruesit ndihmojnë vetëm kompanitë të përmbushin kërkesat e standardit, të cilat më pas do të verifikohen nga auditorët zyrtarë (quhen edhe regjistrues, organizma certifikues etj.). Ndërsa debati vazhdon nëse bankat duhet të zbatojnë ISO 27001 apo jo, disa shpirtra të guximshëm shkojnë për të dhe i nënshtrohen 3 fazave të auditimit të përputhshmërisë:

• Ekzaminimi paraprak informal nga auditori i dokumenteve kyçe (si brenda ashtu edhe jashtë sajtit të klientit të auditimit).
• Auditimi formal dhe më i thelluar i masave mbrojtëse të zbatuara, vlerësimi i efektivitetit të tyre dhe studimi i zhvilluar dokumentet e nevojshme. Kjo fazë zakonisht përfundon me konfirmimin e pajtueshmërisë dhe auditori lëshon një certifikatë përkatëse të njohur në të gjithë botën.
• Kryerja e një auditimi vjetor inspektimi për të konfirmuar certifikatën e konformitetit të marrë më parë.

Kush ka nevojë për ISO 27001 në Rusi? Nëse e konsiderojmë këtë standard jo vetëm si një grup praktikash më të mira që mund të zbatohen pa iu nënshtruar një auditimi, por edhe si një proces certifikimi që nënkupton konfirmimin e pajtueshmërisë së një banke me kërkesat e sigurisë të njohura ndërkombëtarisht, atëherë ISO 27001 ka kuptim të zbatohet ose nga bankat që janë anëtare të grupeve bankare ndërkombëtare, ku standardi është ISO 27001, ose për bankat që planifikojnë të hyjnë në arenën ndërkombëtare. Në raste të tjera, auditimi i përputhshmërisë me ISO 27001 dhe marrja e një certifikate, për mendimin tim, nuk është e nevojshme. Por vetëm për bankën dhe vetëm në Rusi. Dhe gjithçka sepse ne kemi standardet tona, të ndërtuara në bazë të ISO 27001. De facto, inspektimet e Bankës së Rusisë kryheshin deri vonë pikërisht në përputhje me kërkesat e STO BR IBBS.

Një grup dokumentesh të Bankës së Rusisë STO BR IBBS

Një standard i tillë, ose më saktë një grup standardesh, është një grup dokumentesh nga Banka e Rusisë, e cila përshkruan një qasje të unifikuar për ndërtimin e një sistemi të sigurisë së informacionit për organizatat bankare duke marrë parasysh kërkesat e legjislacionit rus. Në thelb këtë grup dokumentet (më tej referuar si STO BR IBBS), që përmbajnë tre standarde dhe pesë rekomandime për standardizim, qëndron ISO 27001 dhe një sërë standardesh të tjera ndërkombëtare për menaxhimin e teknologjisë së informacionit dhe sigurinë e informacionit. Çështjet e auditimit dhe vlerësimit të përputhshmërisë me kërkesat e standardit, si për ISO 27001, janë të përcaktuara në dokumente të veçanta - "STO BR IBBS-1.1-2007. Auditimi i sigurisë së informacionit", "STO BR IBBS-1.2-2010. Metodologjia për vlerësimin e përputhshmërisë së sigurisë së informacionit të organizatave të sistemit bankar të Federatës Ruse me kërkesat e STO BR IBBS-1.0-2010" dhe "RS BR IBBS-2.1-2007. Udhëzime për vetëvlerësimin e përputhshmërisë së sigurisë së informacionit të organizatave të sistemit bankar të Federatës Ruse me kërkesat e STO BR IBBS-1.0. Gjatë vlerësimit të përputhshmërisë sipas STO BR IBBS, kontrollohet zbatimi i 423 treguesve privatë të sigurisë së informacionit, të grupuar në 34 tregues grupi. Rezultati i vlerësimit është treguesi përfundimtar, i cili duhet të jetë në nivelin e 4-të ose të 5-të në një shkallë pesë-pikëshe të vendosur nga Banka e Rusisë. Kjo, meqë ra fjala, e dallon shumë një auditim sipas STO BR IBBS nga një auditim sipas rregulloreve të tjera në fushën e sigurisë së informacionit. Në STO BR IBBS nuk ka mospërputhje, thjesht niveli i pajtueshmërisë mund të jetë i ndryshëm: nga zero në pesë. Dhe vetëm nivelet mbi 4 konsiderohen pozitive. Në fund të vitit 2011, afërsisht 70-75% e bankave kanë zbatuar ose janë në proces të zbatimit të këtij grupi standardesh. Përkundër gjithçkaje, ato janë de jure në natyrë këshilluese, por inspektimet de facto të Bankës së Rusisë kryheshin deri vonë pikërisht në përputhje me kërkesat e STO BR IBBS (megjithëse kjo nuk u deklarua kurrë në mënyrë eksplicite askund). Situata ka ndryshuar që nga 1 korriku 2012, kur hynë në fuqi ligji "Për Sistemin Kombëtar të Pagesave" dhe dokumentet rregullatore të Qeverisë Ruse dhe Bankës së Rusisë të zhvilluara për zbatimin e tij. Nga ky moment, në rendin e ditës doli sërish çështja e nevojës për kryerjen e një auditimi të përputhshmërisë me kërkesat e STO BR IBBS. Fakti është se metodologjia për vlerësimin e përputhshmërisë, e propozuar në kuadrin e legjislacionit për sistemin kombëtar të pagesave (NPS), dhe metodologjia për vlerësimin e përputhshmërisë me STO BR IBBS mund të ndryshojnë shumë në vlerat përfundimtare. Në të njëjtën kohë, vlerësimi duke përdorur metodën e parë (për NPS) është bërë i detyrueshëm, ndërsa vlerësimi duke përdorur STO BR IBBS është ende de jure i natyrës rekomanduese. Dhe në kohën e shkrimit, vetë Banka e Rusisë nuk kishte marrë ende një vendim për fatin e ardhshëm të këtij vlerësimi. Nëse më parë të gjitha temat u konvergjuan në Drejtorinë Kryesore të Sigurisë dhe Mbrojtjes së Informacionit të Bankës së Rusisë (GUBZI), atëherë ndarja e kompetencave midis GUBZI dhe Departamentit të Rregullimit të Shlyerjes (LHH) është ende një pyetje e hapur. Është tashmë e qartë se aktet legjislative për SKP-në kërkojnë vlerësim të detyrueshëm të konformitetit, pra një auditim.

Legjislacioni për sistemin kombëtar të pagesave

Legjislacioni për NPS është vetëm në agim të formimit të tij dhe na presin shumë dokumente të reja, përfshirë ato për çështjet e garantimit të sigurisë së informacionit. Por tashmë është e qartë se Rregullorja 382-P, e nxjerrë dhe e miratuar më 9 qershor 2012, “Për kërkesat për sigurimin e mbrojtjes së informacionit gjatë kryerjes së transfertave. Paratë dhe mbi procedurën që Banka e Rusisë të monitorojë pajtueshmërinë me kërkesat e sigurisë së informacionit gjatë kryerjes së transfertave të parave” kërkon në paragrafin 2.15 një vlerësim të detyrueshëm të pajtueshmërisë, domethënë një auditim. Një vlerësim i tillë kryhet ose në mënyrë të pavarur ose me përfshirjen e palëve të treta. Siç u përmend më lart, vlerësimi i konformitetit i kryer në kuadrin e 382-P është i ngjashëm në thelb me atë që përshkruhet në metodologjinë e vlerësimit të konformitetit STO BR IBBS, por prodhon rezultate krejtësisht të ndryshme, të cilat shoqërohen me futjen e faktorëve të veçantë korrigjues. të cilat përcaktojnë rezultatet e ndryshme. Asnje kërkesa të veçanta Rregullorja 382-P nuk zbatohet për organizatat e përfshira në auditim, e cila bie fare në kundërshtim me Dekretin e Qeverisë nr. 584, datë 13 qershor 2012 “Për mbrojtjen e informacionit në sistemin e pagesave”, i cili kërkon gjithashtu organizimin dhe kryerjen e monitorimit dhe vlerësimin e përputhshmërisë me kërkesat për mbrojtjen e informacionit një herë në 2 vjet. Megjithatë, Dekreti i Qeverisë i zhvilluar nga FSTEC kërkon që auditimet e jashtme të kryhen vetëm nga organizata të licencuara për të vepruar në mbrojtjen teknike të informacionit konfidencial. Kërkesat shtesë që janë të vështira për t'u klasifikuar si një formë auditimi, por që imponojnë përgjegjësi të reja mbi bankat, renditen në seksionin 2.16 të Rregullores 382-P. Sipas këtyre kërkesave, operatori i sistemit të pagesave është i detyruar të zhvillojë dhe bankat që i janë bashkuar këtij sistemi pagesash janë të detyruara të përmbushin kërkesat për informimin e rregullt të operatorit të sistemit të pagesave për çështje të ndryshme të sigurisë së informacionit në bankë: për respektimin e kërkesave të sigurisë së informacionit. , për incidentet e identifikuara, për vetëvlerësimet e kryera, për kërcënimet dhe dobësitë e identifikuara. Përveç auditimit të kryer mbi baza kontraktuale, Ligji Federal Nr. 161 për NPS përcakton gjithashtu se kontrolli dhe mbikëqyrja e përputhshmërisë me kërkesat e vendosura nga Qeveria e Federatës Ruse në Rezolutën 584 dhe Banka e Rusisë në Rregulloren 382 kryhen nga FSB FSTEC dhe Banka e Rusisë, përkatësisht. Në kohën e shkrimit, as FSTEC dhe as FSB nuk kishin një procedurë të zhvilluar për kryerjen e një mbikëqyrjeje të tillë, ndryshe nga Banka e Rusisë, e cila nxori Rregulloren Nr. 380-P, datë 31 maj 2012 "Për procedurën e monitorimit të sistemit kombëtar të pagesave". (për institucionet e kreditit) dhe Rregulloret e datës 9 qershor 2012 Nr. 381-P “Për procedurën e mbikëqyrjes së përputhshmërisë nga operatorët e sistemit të pagesave dhe operatorët e shërbimeve të infrastrukturës së pagesave që nuk janë institucione krediti me kërkesat e Ligjit Federal të 27 qershorit 2011 Nr. 161-FZ "Për Sistemin Kombëtar të Pagesave" miratuar në përputhje me rregulloret e Bankës së Rusisë." Aktet rregullatore në fushën e mbrojtjes së informacionit në sistemin kombëtar të pagesave janë vetëm në fillim të zhvillimit të detajuar. Më 1 korrik 2012, Banka e Rusisë filloi testimin e tyre dhe mbledhjen e fakteve mbi praktikën e zbatimit të ligjit. Ndaj sot është e parakohshme të flitet se si do të zbatohen këto rregullore, si do të kryhet mbikëqyrja sipas 380-P, çfarë përfundimesh do të nxirren në bazë të rezultateve të vetëvlerësimit të kryer çdo 2 vjet dhe dërgohen në Bankë. të Rusisë.

Standardi i sigurisë së kartës së pagesës PCI DSS

Standardi i Sigurisë së të Dhënave të Industrisë së Kartës së Pagesave (PCI DSS) është një standard i sigurisë së të dhënave të kartës së pagesës i zhvilluar nga Këshilli i Standardeve të Sigurisë së Industrisë së Kartës së Pagesave (PCI SSC), i cili u krijua nga sistemet ndërkombëtare të pagesave Visa, MasterCard, American Express, JCB dhe Discover. Standardi PCI DSS është një grup prej 12 kërkesash të nivelit të lartë dhe mbi 200 kërkesave të detajuara për të garantuar sigurinë e të dhënave për mbajtësit e kartave të pagesave që transmetohen, ruhen dhe përpunohen në sistemet e informacionit të organizatave. Kërkesat e standardit vlejnë për të gjitha kompanitë që punojnë me sistemet ndërkombëtare të pagesave Visa dhe MasterCard. Në varësi të numrit të transaksioneve të përpunuara, çdo kompanie i caktohet një nivel i caktuar me një grup kërkesash përkatëse që këto kompani duhet të plotësojnë. Këto nivele ndryshojnë në varësi të sistemit të pagesave. Kalimi me sukses i një auditimi nuk do të thotë se gjithçka është në rregull me sigurinë në bankë - ka shumë truke që lejojnë organizatën e audituar të fshehë disa mangësi në sistemin e saj të sigurisë. Verifikimi i pajtueshmërisë me kërkesat e standardit PCI DSS kryhet brenda kornizës së certifikimit të detyrueshëm, kërkesat për të cilat ndryshojnë në varësi të llojit të kompanisë që inspektohet - një ndërmarrje tregtare dhe shërbimi që pranon karta pagese për pagesa për mallra dhe shërbime. , ose një ofrues shërbimi që ofron shërbime për tregtarët dhe përfitues të bankave, emetuesve, etj. (qendrat e përpunimit, portat e pagesave, etj.). Ky vlerësim mund të marrë forma të ndryshme:

• auditimet vjetore nga kompanitë e akredituara me statusin e vlerësuesve të kualifikuar të sigurisë (QSA);
• vetëvlerësimi vjetor;
• skanimi tremujor i rrjetit me ndihmën e organizatave të autorizuara me statusin e shitësit të skanimit të aprovuar (ASV).

Legjislacioni për të dhënat personale

Dokumenti më i fundit rregullator, gjithashtu i rëndësishëm për industrinë bankare dhe vendos kërkesat për vlerësimin e konformitetit, është Ligji Federal "Për të Dhënat Personale". Megjithatë, as forma e një auditimi të tillë, as shpeshtësia e tij, as kërkesat për organizatën që kryen një auditim të tillë nuk janë përcaktuar ende. Ndoshta kjo çështje do të zgjidhet në vjeshtën e vitit 2012, kur do të publikohet grupi tjetër i dokumenteve nga Qeveria e Federatës Ruse, FSTEC dhe FSB, duke futur standarde të reja në fushën e mbrojtjes së të dhënave personale. Ndërkohë, bankat mund të jenë të qetë dhe të përcaktojnë në mënyrë të pavarur specifikat e një auditimi të çështjeve të mbrojtjes së të dhënave personale. Kontrolli dhe mbikëqyrja mbi zbatimin e masave organizative dhe teknike për të garantuar sigurinë e të dhënave personale të përcaktuara me nenin 19 të 152-FZ kryhet nga FSB dhe FSTEC, por vetëm për sistemet shtetërore të informacionit të të dhënave personale. Sipas ligjit, nuk ka njeri që të ushtrojë kontroll mbi organizatat tregtare në fushën e sigurimit të sigurisë së informacionit të të dhënave personale. E njëjta gjë nuk mund të thuhet për çështjet e mbrojtjes së të drejtave të subjekteve të të dhënave personale, pra klientëve, palëve dhe thjesht vizitorëve të bankës. Këtë detyrë e mori përsipër Roskomnadzor, i cili kryen në mënyrë shumë aktive funksionet e tij mbikëqyrëse dhe i konsideron bankat si ndër shkelësit më të këqij të ligjit për të dhënat personale.

Dispozitat përfundimtare

Rregulloret kryesore në fushën e sigurisë së informacionit në lidhje me institucionet e kreditit janë diskutuar më sipër. Ka shumë prej këtyre rregulloreve, dhe secila prej tyre përcakton kërkesat e veta për kryerjen e vlerësimit të konformitetit në një formë ose në një tjetër - nga vetë-vlerësimi në formën e plotësimit të pyetësorëve (PCI DSS) deri në kalimin e një auditimi të detyrueshëm një herë në dy vjet ( 382-P) ose një herë në vit (ISO 27001). Midis këtyre formave më të zakonshme të vlerësimit të pajtueshmërisë, ka të tjera - njoftimet e operatorit të sistemit të pagesave, skanimet tremujore, etj. Vlen gjithashtu të kujtohet dhe të kuptohet se vendit i mungon ende një sistem i unifikuar pikëpamjesh jo vetëm për rregullore qeveritare proceset e auditimit të sigurisë së informacionit të organizatave dhe sistemeve të teknologjisë së informacionit, por edhe vetë tema e auditimit të sigurisë së informacionit në përgjithësi. Në Federatën Ruse, ka një numër departamentesh dhe organizatash (FSTEC, FSB, Banka e Rusisë, Roskomnadzor, PCI SSC, etj.) përgjegjëse për sigurinë e informacionit. Dhe të gjithë veprojnë në bazë të rregulloreve dhe udhëzimeve të tyre. Qasje të ndryshme, standarde të ndryshme, nivele të ndryshme pjekuria... E gjithë kjo ndërhyn në vendosjen e rregullave uniforme të lojës. Tabloja prishet edhe nga shfaqja e kompanive fluturuese për natë, të cilat, në kërkim të fitimit, ofrojnë shërbime me cilësi shumë të ulët në fushën e vlerësimit të përputhshmërisë me kërkesat e sigurisë së informacionit. Dhe situata nuk ka gjasa të ndryshojë për mirë. Nëse ka nevojë, do të ketë nga ata që do ta kënaqin atë, ndërkohë që thjesht nuk ka auditorë të kualifikuar për të gjithë. Me numrin e tyre të vogël (të paraqitur në tabelë) dhe kohëzgjatjen e auditimit nga disa javë në disa muaj, është e qartë se nevojat për auditim i tejkalojnë seriozisht aftësitë e audituesve. Në “Konceptin e auditimit të sigurisë së informacionit të sistemeve dhe organizatave të teknologjisë së informacionit”, i cili nuk u miratua kurrë nga FSTEC, ekzistonte fraza e mëposhtme: “në të njëjtën kohë, në mungesë të rregullatorëve të nevojshëm kombëtarë, aktivitete të tilla / auditime të parregulluara nga firmat private / mund të shkaktojnë dëme të pariparueshme për organizatat.” Si përfundim, autorët e Konceptit propozuan unifikimin e qasjeve ndaj auditimit dhe vendosjen legjislative të rregullave të lojës, duke përfshirë rregullat për akreditimin e auditorëve, kërkesat për kualifikimet e tyre, procedurat e auditimit, etj., por gjërat janë ende aty. Megjithëse, duke pasur parasysh vëmendjen që rregullatorët vendas në fushën e sigurisë së informacionit (dhe ne kemi 9 prej tyre) i kushtojnë çështjeve të sigurisë së informacionit (vetëm gjatë vitit të kaluar kalendarik, janë miratuar ose zhvilluar 52 rregullore për çështjet e sigurisë së informacionit - një rregullore në javë !), nuk e përjashtoj që kjo temë të rishikohet së shpejti.

STANDARDET E AUDITIMIT TË SIGURISË TË INFORMACIONIT

Në kushte të tilla, për fat të keq, duhet të pranojmë se qëllimi kryesor i auditimit të sigurisë së informacionit të një banke - rritja e besimit në aktivitetet e saj - është i paarritshëm në Rusi. Pak nga klientët tanë të bankës i kushtojnë vëmendje nivelit të sigurisë së saj ose rezultateve të auditimit të kryer në bankë. Ne i drejtohemi një auditimi ose në rast të identifikimit të një incidenti shumë të rëndë që ka çuar në dëme serioze materiale për bankën (ose aksionerët dhe pronarët e saj), ose në rastin e kërkesave legjislative, nga të cilat, siç tregohet më sipër, ne kemi shumë. Dhe për gjashtë muajt e ardhshëm, kërkesa nr. 1, për të cilën ia vlen t'i kushtohet vëmendje auditimit të sigurisë, është rregullorja 382-P e Bankës së Rusisë. Tashmë ka precedentë të parë për kërkesa nga jashtë departamentet territoriale Banka Qendrore e informacionit për nivelin e sigurisë së bankave dhe pajtueshmërinë me kërkesat e 382-P, dhe ky informacion është marrë pikërisht si rezultat auditimi i jashtëm ose vetëvlerësim. Në vend të dytë do të vendosja auditimin e respektimit të kërkesave të ligjit “Për të dhënat personale”. Por një auditim i tillë duhet të kryhet jo më herët se pranvera, kur do të publikohen të gjitha dokumentet e premtuara nga FSTEC dhe FSB dhe kur të bëhet i qartë fati i STO BR IBBS. Atëherë do të jetë e mundur të ngrihet çështja e kryerjes së një auditimi të përputhshmërisë me kërkesat e STO BR IBBS. Do të bëhet e qartë jo vetëm e ardhmja e kompleksit të dokumenteve të Bankës së Rusisë, por edhe statusi i saj në lidhje me 382-P të ngjashme, por ende të ndryshme, dhe gjithashtu nëse STO BR IBBS do të vazhdojë të mbulojë çështjet e mbrojtjes së të dhënave personale . Kalimi me sukses i një auditimi nuk do të thotë se gjithçka është në rregull me sigurinë në bankë - ka shumë truke që lejojnë organizatën e audituar të fshehë disa mangësi në sistemin e saj të sigurisë. Dhe shumë varet nga kualifikimet dhe pavarësia e auditorëve. Përvoja e viteve të kaluara tregon se edhe në organizatat që kanë kaluar me sukses një auditim të përputhshmërisë me standardet PCI DSS, ISO 27001 ose STO BR IBBS, ka incidente dhe incidente të rënda.

OPINIONI I EKSPERTIT

Dmitry Markin, Shef i Departamentit të Auditimit dhe Konsulencës së AMT-GROUP:

Deri kohët e fundit, çështjet e kalimit të një auditimi të detyrueshëm të statusit të sigurisë së informacionit për institucionet e kreditit brenda kornizës së legjislacionit rus rregulloheshin vetëm nga Ligji Federal-152 "Për të Dhënat Personale" për sa i përket kontrollit të brendshëm mbi masat e marra për të siguruar siguria e të dhënave personale, si dhe nga Rregullorja e Bankës Qendrore të Federatës Ruse Nr. 242-P "Për organizimin e kontrollit të brendshëm në institucionet e kreditit dhe grupet bankare". Për më tepër, në përputhje me kërkesat e Rregullores Nr. 242-P, procedura për monitorimin e mbështetjes së sigurisë së informacionit përcaktohet në mënyrë të pavarur nga dokumentet e brendshme të organizatës së kreditit, pa iu referuar kërkesave specifike për mbështetjen e sigurisë së informacionit. Në lidhje me hyrjen në fuqi të nenit 27 të ligjit federal nr. 161 "Për sistemin kombëtar të pagesave", i cili përcakton kërkesat për mbrojtjen e informacionit në sistemin e pagesave, Dekreti i Qeverisë së Federatës Ruse nr. “Për miratimin e rregulloreve për mbrojtjen e informacionit në sistemin e pagesave” dhe Rregullorja e Bankës Qendrore u publikuan RF Nr. 382-P. Sipas kërkesave të Rezolutës Nr. 584 dhe Rregullores Nr. 382-P, mbrojtja e informacionit në sistemin e pagesave duhet të kryhet në përputhje me kërkesat e këtyre rregulloreve dhe kërkesat e përfshira nga operatorët e sistemit të pagesave në rregullat e pagesave. sistemeve. Pika kryesore këtu është konsolidimi në nivelin e legjislacionit kombëtar të së drejtës së operatorëve të sistemit të pagesave (për shembull, Visa dhe MasterCard) për të vendosur në mënyrë të pavarur kërkesat për mbrojtjen e informacionit. Rregullorja nr. 382-P specifikon gjithashtu detyrimin e institucioneve të kreditit për të vlerësuar respektimin e kërkesave të sigurisë së informacionit të paktën një herë në 2 vjet, përcakton qartë metodologjinë e vlerësimit të përputhshmërisë, kriteret e auditimit dhe procedurën e dokumentimit të rezultateve të saj. Sipas mendimit tonë, shfaqja e rregulloreve të mësipërme duhet të rrisë statistikat e certifikimit nga institucionet e kreditit sipas kërkesave të standardit të sigurisë së të dhënave të industrisë së kartave të pagesave PCI DSS 2.0, i zhvilluar me pjesëmarrjen e sistemeve kryesore ndërkombëtare të pagesave Visa dhe MasterCard.

Shumë ndoshta kanë bërë pyetjen "si të kryhet një auditim i sigurisë së informacionit?" ku të fillojë? çfarë teknike duhet të përdor? a ka softuer të specializuar për këtë? e cila programe falas a ka per kete?

Sot do t'ju prezantojmë një produkt nga Microsoft i cili ju lejon të auditoni informacionin Microsoft Security Mjeti i Vlerësimit të Sigurisë (MSAT). Produkti ju lejon të identifikoni rreziqet e sigurisë së informacionit në një sistem ekzistues dhe të jepni rekomandime për eliminimin e tyre. Sipas krijuesve, aplikacioni është krijuar për organizata me më pak se 1000 punonjës dhe gjithashtu do t'ju ndihmojë të kuptoni më mirë personelin, proceset, burimet dhe teknologjitë që synojnë të garantojnë planifikim efektiv të aktiviteteve të sigurisë dhe zbatimin e metodave të reduktimit të rrezikut në organizimi. Më e mira nga të gjitha, aplikacioni është falas dhe mund të shkarkohet nga faqja e internetit e zhvilluesit. Ky produkt mund të përdoret si një pyetësor për specialistët e IT-së, HR dhe specialistët e sigurisë së informacionit.

Gjatë procedurës së vlerësimit të rrezikut, bazuar në përgjigjet e pyetjeve, mjedisi i IT do të kontrollohet për fushat kryesore të kërcënimeve të sigurisë së informacionit. Vlerësimi përdor konceptin e mbrojtjes në thellësi (DiD) për të përcaktuar efektivitetin e strategjisë së sigurisë. Koncepti i "mbrojtjes në thellësi" i referohet zbatimit të mbrojtjes me shumë shtresa, duke përfshirë kontrollet teknike, organizative dhe operacionale. Mjeti i vlerësimit bazohet në standardet e pranuara përgjithësisht dhe praktikat më të mira të krijuara për të reduktuar rrezikun në sistemet e teknologjisë së informacionit. Procesi i vlerësimit mund të përsëritet dhe mund të përdoret gjithashtu për të kontrolluar progresin drejt qëllimeve të sigurisë organizative në infrastrukturën e TI-së.

Për të identifikuar kërcënimet e sigurisë në sistemin IT të organizatës suaj, fusha specifike të analizës do të vlerësojnë politikat në lidhje me rrezikun ndaj biznesit, teknologjisë, proceseve dhe njerëzve. Pasi të përfundojë vlerësimi, do të jepen rekomandime për menaxhimin e këtyre rreziqeve bazuar në praktikat më të mira të njohura nga industria. Këto rekomandime synojnë të ofrojnë udhëzime paraprake për të ndihmuar organizatën tuaj të zbatojë praktikat më të mira të TI-së të njohura nga industria.

Vlerësimi i rrezikut përbëhet nga dy pjesë: profili i rrezikut të biznesit (BRP) dhe vlerësimi (që përfshin katër fusha të analizës). PSR-të përfaqësojnë rreziqe të zakonshme me të cilat përballet një kompani. Pasi të përfundojë ky vlerësim, ai mbetet i pandryshuar derisa të bëhen ndryshime thelbësore në sistemin e IT të kompanisë. Mund të plotësoni dhe ruani vlerësime të shumta. Këto vlerësime mund dhe duhet të ndryshojnë me kalimin e kohës ndërsa zbatohen masat e avancuara të sigurisë.

Pra, le të shohim, së pari krijoni një profil:

Dhe plotësoni përgjigjet e pyetjeve; ndërsa i plotësoni, butonat bëhen të gjelbër:

Pasi të plotësoni bllokun e parë të pyetjeve në lidhje me parametrat e kompanisë, klikoni në: "Krijimi i një vlerësimi të ri"

Pas kësaj, ne plotësojmë pyetje mbi infrastrukturën e TI-së, personelin dhe menaxhimin e proceseve të biznesit:

Pas përgjigjeve, prisni për ikonën "Raporte".

Raporti mund të ruhet si *.docs ose të shihet në aplikacion. Ne lexojmë të gjitha konkluzionet, bëjmë rekomandime bazuar në praktikat më të mira botërore dhe ia paraqesim menaxhmentit për të rënë dakord për një plan pune ose për të justifikuar blerjen e pajisjeve të sigurisë së informacionit)))))

Deri më sot sisteme të automatizuara(AS) luajnë një rol kyç në sigurimin e ekzekutimit efikas të proceseve të biznesit si të ndërmarrjeve tregtare ashtu edhe të atyre qeveritare. Në të njëjtën kohë përdorim të gjerë AS për ruajtjen, përpunimin dhe transmetimin e informacionit çon në një rritje të rëndësisë së problemeve që lidhen me mbrojtjen e tyre. Kjo konfirmohet nga fakti se gjatë viteve të fundit, si në Rusi ashtu edhe në vendet kryesore të huaja, ka pasur një tendencë për të rritur numrin e sulmeve të informacionit, duke çuar në humbje të konsiderueshme financiare dhe materiale. Për të garantuar mbrojtje efektive nga sulmet e informacionit nga kriminelët kibernetikë, kompanitë duhet të kenë një vlerësim objektiv të nivelit aktual të sigurisë së sistemeve të tyre. Është për këto qëllime që përdoret një auditim sigurie, aspekte të ndryshme të të cilit diskutohen në kuadrin e këtij neni.

1. Çfarë është auditimi i sigurisë?

Përkundër faktit se aktualisht nuk ka një përkufizim të përcaktuar të një auditimi sigurie, në përgjithësi ai mund të përfaqësohet si një proces i mbledhjes dhe analizimit të informacionit rreth AS të nevojshëm për vlerësimin e mëvonshëm cilësor ose sasior të nivelit të mbrojtjes kundër sulmeve nga ndërhyrës. Ka shumë raste në të cilat është e përshtatshme të kryhet një kontroll sigurie. Këtu janë vetëm disa prej tyre:

• auditimi i AS me qëllim përgatitjen e specifikimeve teknike për hartimin dhe zhvillimin e një sistemi të sigurisë së informacionit;
• auditimi i impiantit pas zbatimit të sistemit të sigurisë për të vlerësuar nivelin e efektivitetit të tij;
• auditimi që synon të sjellë sistemi aktual siguria në përputhje me kërkesat e legjislacionit rus ose ndërkombëtar;
• auditimi i projektuar për të sistemuar dhe përmirësuar masat ekzistuese të sigurisë së informacionit;
• auditimi për të hetuar një incident që përfshin një shkelje të sigurisë së informacionit.

Si rregull, kompanitë e jashtme që ofrojnë shërbime konsulence në fushën e sigurisë së informacionit punësohen për të kryer auditimin. Iniciatori i procedurës së auditimit mund të jetë menaxhmenti i ndërmarrjes, shërbimi i automatizimit ose shërbimi i sigurisë së informacionit. Në disa raste, auditimet mund të kryhen edhe me kërkesë të kompanive të sigurimit ose autoriteteve rregullatore. Një auditim sigurie kryhet nga një grup ekspertësh, numri dhe përbërja e të cilit varet nga qëllimet dhe objektivat e sondazhit, si dhe nga kompleksiteti i objektit që vlerësohet.

2. Llojet e kontrollit të sigurisë

Aktualisht, llojet kryesore të mëposhtme të auditimit të sigurisë së informacionit mund të dallohen:

• auditimi i sigurisë së ekspertëve, gjatë të cilit evidentohen mangësi në sistemin e masave të sigurisë së informacionit bazuar në përvojën ekzistuese të ekspertëve që marrin pjesë në procedurën e ekzaminimit;
• vlerësimi i përputhshmërisë me rekomandimet e Standardit Ndërkombëtar ISO 17799, si dhe kërkesat e dokumenteve drejtuese të FSTEC (Komisioni Teknik Shtetëror);
• analiza instrumentale e sigurisë AS që synon identifikimin dhe eliminimin e dobësive të softuerit dhe harduerit të sistemit;
• një auditim gjithëpërfshirës, ​​i cili përfshin të gjitha format e mësipërme të anketimit.

Secila nga llojet e mësipërme të auditimit mund të kryhet veçmas ose në kombinim, në varësi të detyrave që ndërmarrja duhet të zgjidhë. Objekti i auditimit mund të jetë si sistemi i automatizuar i kompanisë në tërësi, ashtu edhe segmentet e saj individuale në të cilat kryhet përpunimi i informacionit që i nënshtrohet mbrojtjes.

3. Fusha e punës për kryerjen e auditimit të sigurisë

Në përgjithësi, një auditim i sigurisë, pavarësisht nga forma e zbatimit të tij, përbëhet nga katër faza kryesore, secila prej të cilave përfshin zbatimin e një game të caktuar detyrash (Fig. 1).

Figura 1: Fazat kryesore të punës gjatë kryerjes së një auditimi sigurie

Në fazën e parë, së bashku me Klientin, zhvillohen rregulloret që përcaktojnë përbërjen dhe procedurën për kryerjen e punës. Detyra kryesore e rregulloreve është të përcaktojë kufijtë brenda të cilëve do të kryhet rilevimi. Rregulloret janë dokumenti që ju lejon të shmangni pretendimet e ndërsjella pas përfundimit të auditimit, pasi përcakton qartë përgjegjësitë e palëve. Si rregull, rregulloret përmbajnë informacionin bazë të mëposhtëm:

• përbërjen e grupeve të punës nga Kontraktori dhe Konsumatori pjesëmarrës në procesin e auditimit;
• listën e informacionit që do t'i jepet Kontraktorit për auditim;
• listën dhe vendndodhjen e objekteve të Klientit që i nënshtrohen auditimit;
• lista e burimeve që konsiderohen si objekte të mbrojtjes (burimet e informacionit, burimet softuerike, burimet fizike, etj.);
• një model kërcënimi për sigurinë e informacionit mbi bazën e të cilit kryhet auditimi;
• kategoritë e përdoruesve që konsiderohen si shkelës të mundshëm;
• procedurën dhe kohën për kryerjen e ekzaminimit instrumental të sistemit të automatizuar të Klientit.

Në fazën e dytë, në përputhje me rregulloret e dakorduara, mblidhet informacioni fillestar. Metodat për mbledhjen e informacionit përfshijnë intervistimin e punonjësve të Klientit, plotësimin e pyetësorëve, analizimin e dokumentacionit të ofruar organizativ, administrativ dhe teknik dhe përdorimin e mjeteve të specializuara.

Faza e tretë e punës përfshin analizimin e informacionit të mbledhur për të vlerësuar nivelin aktual të sigurisë së AS të Klientit. Bazuar në rezultatet e analizës, në fazën e katërt po zhvillohen rekomandime për të rritur nivelin e mbrojtjes së AS nga kërcënimet e sigurisë së informacionit.

Më poshtë, më në detaje, shqyrtojmë fazat e auditimit që lidhen me mbledhjen e informacionit, analizën e tij dhe zhvillimin e rekomandimeve për rritjen e nivelit të mbrojtjes së impiantit.

4. Mbledhja e të dhënave fillestare për auditimin

Cilësia e kontrollit të sigurisë së kryer varet në masë të madhe nga plotësia dhe saktësia e informacionit që është marrë gjatë mbledhjes së të dhënave fillestare. Prandaj, informacioni duhet të përfshijë: dokumentacionin ekzistues organizativ dhe administrativ në lidhje me çështjet e sigurisë së informacionit, informacion për softuerin dhe harduerin e AS, informacion për masat e sigurisë të instaluara në AS, etj. Më shumë listë të detajuar të dhënat fillestare janë paraqitur në tabelën 1.

Tabela 1: Lista e të dhënave fillestare të nevojshme për të kryer një auditim sigurie

№ Lloji i informacionit Përshkrimi i përbërjes së të dhënave burimore 1 Dokumentacioni organizativ dhe administrativ për çështjet e sigurisë së informacionit 1. Politika e sigurisë së informacionit AS; 2. dokumentet drejtuese (urdhra, udhëzime, udhëzime) për çështjet e ruajtjes, aksesit dhe transferimit të informacionit; 3. rregulloret për punën e përdoruesve me burimet e informacionit AS. 2 Informacioni i harduerit pritës 1. listën e serverëve, stacioneve të punës dhe pajisjeve të komunikimit të instaluara në AS; 2. informacione për konfigurimin e harduerit të serverëve dhe stacioneve të punës; 3. informacion rreth pajisje periferike instaluar në altoparlant. 3 Informacion rreth softuerit në të gjithë sistemin 1. informacion për sistemet operative të instaluara në stacionet e punës dhe serverët AS; 2. të dhëna për DBMS të instaluar në AS. 4 Informacioni i softuerit të aplikacionit 1. listën e programeve aplikative për qëllime të përgjithshme dhe të veçanta të instaluara në sistem; 2. përshkrimi i detyrave funksionale të zgjidhura duke përdorur softuerin aplikativ të instaluar në sistem. 5 Informacion në lidhje me pajisjet mbrojtëse të instaluara në altoparlantët 1. informacion për prodhuesin e pajisjeve mbrojtëse; 2. cilësimet e konfigurimit të mjetit të sigurisë; 3. Diagrami i instalimit të pajisjeve mbrojtëse. 6 Informacion rreth topologjisë së folësit 1. harta e një rrjeti kompjuterik lokal, duke përfshirë një diagram të shpërndarjes së serverëve dhe stacioneve të punës ndërmjet segmenteve të rrjetit; 2. informacion për llojet e kanaleve të komunikimit të përdorura në AS; 3. informacion për folësit e përdorur protokollet e rrjetit; 4. diagrami i flukseve të informacionit të AS.

Siç u përmend më lart, mbledhja fillestare e të dhënave mund të kryhet duke përdorur metodat e mëposhtme:

• intervistimin e punonjësve të Klientit që kanë informacionin e nevojshëm. Në këtë rast, intervistat zakonisht kryhen si me specialistë teknikë ashtu edhe me përfaqësues të menaxhmentit të kompanisë. Lista e pyetjeve që planifikohen të diskutohen gjatë intervistës është rënë dakord paraprakisht;
• sigurimi i pyetësorëve për tema të caktuara, të plotësuar në mënyrë të pavarur nga punonjësit e Klientit. Në rastet kur materialet e paraqitura nuk i përgjigjen plotësisht pyetjeve të nevojshme, kryhen intervista shtesë;
• analiza e dokumentacionit ekzistues organizativ dhe teknik të përdorur nga Klienti;
• përdorimi i softuerit të specializuar që ju lejon të merrni informacionin e nevojshëm në lidhje me përbërjen dhe cilësimet e softuerit dhe harduerit të sistemit të automatizuar të klientit. Për shembull, gjatë procesit të auditimit, mund të përdoren sisteme të analizës së sigurisë (Security Scanners), të cilat ju lejojnë të bëni një inventar të burimeve të disponueshme të rrjetit dhe të identifikoni dobësitë në to. Shembuj të sistemeve të tilla janë Internet Scanner (kompania ISS) dhe XSpider (kompania Positive Technologies).

5. Vlerësimi i nivelit të sigurisë së NPP

Pas grumbullimit të informacionit të nevojshëm, ai analizohet për të vlerësuar nivelin aktual të sigurisë së sistemit. Në procesin e një analize të tillë, përcaktohen rreziqet e sigurisë së informacionit ndaj të cilave mund të ekspozohet kompania. Në fakt, rreziku është një vlerësim integral se sa efektivisht masat ekzistuese të sigurisë mund t'i rezistojnë sulmeve të informacionit.

Zakonisht ekzistojnë dy grupe kryesore metodash për llogaritjen e rreziqeve të sigurisë. Grupi i parë ju lejon të përcaktoni nivelin e rrezikut duke vlerësuar shkallën e pajtueshmërisë me një grup të caktuar kërkesash të sigurisë së informacionit. Burimet e kërkesave të tilla mund të jenë (Fig. 2):

• Dokumentet rregullatore të ndërmarrjes në lidhje me çështjet e sigurisë së informacionit;
• Kërkesat e legjislacionit aktual rus - udhëzimet e FSTEC (Komisioni Teknik Shtetëror), STR-K, kërkesat e FSB të Federatës Ruse, GOST, etj.;
• Rekomandime të standardeve ndërkombëtare - ISO 17799, OCTAVE, CoBIT, etj.;
• Rekomandime nga kompanitë e prodhimit të softuerëve dhe pajisjeve - Microsoft, Oracle, Cisco, etj.

Figura 2: Burimet e kërkesave të sigurisë së informacionit mbi bazën e të cilave mund të kryhet vlerësimi i rrezikut

Grupi i dytë i metodave për vlerësimin e rreziqeve të sigurisë së informacionit bazohet në përcaktimin e mundësisë së sulmeve, si dhe në nivelet e dëmtimit të tyre. NË në këtë rast vlera e rrezikut llogaritet veçmas për çdo sulm dhe në përgjithësi paraqitet si produkt i probabilitetit të një sulmi dhe sasisë së dëmit të mundshëm nga ky sulm. Vlera e dëmit përcaktohet nga pronari i burimit të informacionit, dhe probabiliteti i një sulmi llogaritet nga një grup ekspertësh që kryejnë procedurën e auditimit.

Metodat e grupit të parë dhe të dytë mund të përdorin shkallë sasiore ose cilësore për të përcaktuar sasinë e rrezikut të sigurisë së informacionit. Në rastin e parë, rreziku dhe të gjithë parametrat e tij shprehen në vlera numerike. Kështu, për shembull, kur përdoren shkallët sasiore, probabiliteti i një sulmi mund të shprehet si një numër në interval, dhe dëmi i sulmit mund të specifikohet si ekuivalent monetar i humbjeve materiale që organizata mund të pësojë nëse sulmi është i suksesshëm. Kur përdoren shkallët cilësore, vlerat numerike zëvendësohen me nivele konceptuale ekuivalente. Në këtë rast, çdo nivel konceptual do të korrespondojë me një interval të caktuar të shkallës sasiore të vlerësimit. Numri i niveleve mund të ndryshojë në varësi të teknikave të përdorura të vlerësimit të rrezikut. Tabelat 2 dhe 3 japin shembuj të shkallëve cilësore të vlerësimit të rrezikut të sigurisë së informacionit, të cilat përdorin pesë nivele konceptuale për të vlerësuar nivelet e dëmtimit dhe gjasat e sulmit.

Tabela 2: Shkalla cilësore për vlerësimin e nivelit të dëmtimit

№ Niveli i dëmtimit Përshkrim 1 Dëmtime të vogla Rezultojnë në humbje të vogla të aktiveve të prekshme që rikuperohen shpejt ose kanë një ndikim të vogël në reputacionin e kompanisë 2 Dëmtime të moderuara Shkakton një humbje të dukshme të aktiveve të prekshme ose një ndikim të moderuar në reputacionin e kompanisë 3 Dëmtime të moderuara Çon në humbje të konsiderueshme të aktiveve të prekshme ose dëmtim të konsiderueshëm të reputacionit të kompanisë 4 Dëme të mëdha Shkakton humbje të mëdha të aseteve të prekshme dhe shkakton dëme të mëdha në reputacionin e kompanisë 5 Dëme kritike Çon në humbje kritike të aseteve materiale ose në humbje të plotë të reputacionit të kompanisë në treg, gjë që i bën të pamundura aktivitetet e mëtejshme të organizatës

Tabela 3: Shkalla cilësore për vlerësimin e mundësisë së një sulmi

№ Niveli i probabilitetit të sulmit Përshkrim 1 Shumë e ulët Sulmi pothuajse nuk do të kryhet kurrë. Niveli korrespondon me intervalin numerik të probabilitetit 5 Shumë e lartë Sulmi pothuajse me siguri do të kryhet. Niveli korrespondon me intervalin numerik të probabilitetit (0.75, 1]

Kur përdoren shkallët cilësore për llogaritjen e nivelit të rrezikut, përdoren tabela të veçanta në të cilat nivelet konceptuale të dëmtimit specifikohen në kolonën e parë dhe nivelet e probabilitetit të një sulmi specifikohen në rreshtin e parë. Qelizat e tabelës të vendosura në kryqëzimin e rreshtit të parë dhe kolonës përmbajnë nivelin e rrezikut të sigurisë. Dimensioni i tabelës varet nga numri i niveleve konceptuale të probabilitetit të sulmit dhe dëmtimit. Një shembull i një tabele në bazë të së cilës mund të përcaktohet niveli i rrezikut është dhënë më poshtë.

Tabela 4: Shembull i një tabele për përcaktimin e nivelit të rrezikut të sigurisë së informacionit

Mundësi sulmi Shumë e ulët E ulët Mesatare Lartë Shumë e lartë Dëmtimi I vogël dëmtimi Rrezik i ulet Rrezik i ulet Rrezik i ulet Rrezik mesatar Rrezik mesatar E moderuar dëmtimi Rrezik i ulet Rrezik i ulet Rrezik mesatar Rrezik mesatar Rreziku i lartë Dëmtime të moderuara Rrezik i ulet Rrezik mesatar Rrezik mesatar Rrezik mesatar Rreziku i lartë I madh dëmtimi Rrezik mesatar Rrezik mesatar Rrezik mesatar Rrezik mesatar Rreziku i lartë Kritike dëmtimi Rrezik mesatar Rreziku i lartë Rreziku i lartë Rreziku i lartë Rreziku i lartë

Kur llogaritet probabiliteti i një sulmi, si dhe niveli i dëmtimit të mundshëm, mund të përdoren metoda statistikore, metoda të vlerësimit të ekspertëve ose elementë të teorisë së vendimeve. Metodat statistikore përfshijnë analizën e të dhënave të akumuluara tashmë për incidentet që ndodhin në të vërtetë në lidhje me shkeljet e sigurisë së informacionit. Bazuar në rezultatet e kësaj analize, bëhen supozime për mundësinë e sulmeve dhe nivelet e dëmtimit prej tyre në sisteme të tjera. Sidoqoftë, përdorimi i metodave statistikore nuk është gjithmonë i mundur për shkak të mungesës së të dhënave të plota statistikore për sulmet e kryera më parë në burimet e informacionit të një AS të ngjashme me atë që po vlerësohet.

Gjatë përdorimit të aparatit të vlerësimit të ekspertëve, analizohen rezultatet e punës së një grupi ekspertësh kompetentë në fushën e sigurisë së informacionit, të cilët, në bazë të përvojës së tyre, përcaktojnë nivele sasiore ose cilësore të rrezikut. Elementet e teorisë së vendimeve bëjnë të mundur përdorimin e algoritmeve më komplekse për përpunimin e rezultateve të një grupi ekspertësh për të llogaritur vlerën e rrezikut të sigurisë.

Në procesin e kryerjes së një auditimi sigurie, sisteme të specializuara softuerike mund të përdoren për të automatizuar procesin e analizimit të të dhënave burimore dhe llogaritjes së vlerave të rrezikut. Shembuj të komplekseve të tilla janë "Grif" dhe "Condor" (Kompanitë e Sigurisë Dixhitale), si dhe "AvanGard" (Instituti i Analizës së Sistemit të Akademisë së Shkencave Ruse).

6. Rezultatet e kontrollit të sigurisë

Në fazën e fundit të auditimit të sigurisë së informacionit, zhvillohen rekomandime për të përmirësuar mbështetjen organizative dhe teknike të ndërmarrjes. Rekomandime të tilla mund të përfshijnë llojet e mëposhtme të veprimeve që synojnë minimizimin e rreziqeve të identifikuara:

• zvogëlimi i rrezikut nëpërmjet përdorimit të mjeteve shtesë organizative dhe teknike të mbrojtjes për të zvogëluar gjasat e një sulmi ose për të zvogëluar dëmin e mundshëm prej tij. Për shembull, instalimi i mureve të zjarrit në pikën ku sistemi lidhet me internetin mund të zvogëlojë ndjeshëm mundësinë e një sulmi të suksesshëm ndaj burimeve të informacionit publik të sistemit, siç janë serverët e uebit, serverët e postës etj.;
• shmangia e rrezikut duke ndryshuar arkitekturën ose skemën e flukseve të informacionit të AS, gjë që eliminon mundësinë e kryerjes së një sulmi të caktuar. Për shembull, shkëputja fizike e segmentit AS në të cilin përpunohet informacioni konfidencial nga interneti bën të mundur eliminimin e sulmeve ndaj informacionit konfidencial nga ky rrjet;
• ndryshimi i natyrës së rrezikut si rezultat i marrjes së masave të sigurimit. Shembuj të një ndryshimi të tillë në natyrën e rrezikut përfshijnë sigurimin nga zjarri të pajisjeve të centralit bërthamor ose sigurimin burimet e informacionit nga cenimi i mundshëm i konfidencialitetit, integritetit ose disponueshmërisë së tyre. Aktualisht, kompanitë ruse tashmë ofrojnë shërbime sigurimesh rreziqet e informacionit;
• pranimi i rrezikut nëse ai reduktohet në nivelin në të cilin nuk paraqet rrezik për impiantin.

Si rregull, rekomandimet e zhvilluara nuk kanë për qëllim eliminimin e plotë të të gjitha rreziqeve të identifikuara, por vetëm uljen e tyre në një nivel të mbetur të pranueshëm. Kur zgjidhni masa për të rritur nivelin e mbrojtjes së AS, merret parasysh një kufizim themelor - kostoja e zbatimit të tyre nuk duhet të kalojë koston e burimeve të informacionit të mbrojtur.

Në përfundim të procedurës së auditimit, rezultatet e tij zyrtarizohen në formën e një dokumenti raportues, i cili i jepet Klientit. Në përgjithësi, ky dokument përbëhet nga seksionet kryesore të mëposhtme:

• një përshkrim të kufijve brenda të cilëve është kryer auditimi i sigurisë;
• përshkrimi i strukturës AS të Klientit;
• metodat dhe mjetet që janë përdorur në procesin e auditimit;
• një përshkrim të dobësive dhe mangësive të identifikuara, duke përfshirë nivelin e tyre të rrezikut;
• rekomandime për përmirësimin e sistemit gjithëpërfshirës të sigurisë së informacionit;
• propozimet për një plan për zbatimin e masave prioritare që synojnë minimizimin e rreziqeve të identifikuara.

7. Përfundim

Auditimi i sigurisë së informacionit është sot një nga më të shumtët mjete efektive për të marrë një vlerësim të pavarur dhe objektiv të nivelit aktual të sigurisë së ndërmarrjes ndaj kërcënimeve të sigurisë së informacionit. Për më tepër, rezultatet e auditimit janë baza për formimin e një strategjie për zhvillimin e sistemit të sigurisë së informacionit të organizatës.

Megjithatë, duhet kuptuar se një kontroll i sigurisë nuk është një procedurë një herë, por duhet të kryhet rregullisht. Vetëm në këtë rast auditimi do të sjellë përfitime reale dhe do të ndihmojë në përmirësimin e nivelit të sigurisë së informacionit të kompanisë.

8. Referencat

1. Vikhorev S.V., Kobtsev R.Yu., Si të zbuloni se nga vjen sulmi ose nga vjen kërcënimi për sigurinë e informacionit // Confident, Nr. 2, 2001.
2. Simonov S. Analiza e rrezikut, menaxhimi i rrezikut // Jet Info Buletini nr. 1(68). 1999. fq. 1-28.
3. ISO/IEC 17799, Teknologjia e informacionit – Kodi i praktikës për menaxhimin e sigurisë së informacionit, 2000
4. Vlerësimi i Kërcënimeve Kritike Operacionale, Aseteve dhe Vulnerabilitetit (OCTAVE) – vlerësimi i rrezikut të sigurisë – www.cert.org/octave.
5. Udhëzues i Menaxhimit të Riskut për Sistemet e Teknologjisë së Informacionit, NIST, Publikimi Special 800-30.

Sot të gjithë e dinë frazën pothuajse të shenjtë se ai që zotëron informacionin zotëron botën. Prandaj në kohën tonë të gjithë përpiqen të vjedhin. Në këtë drejtim, po ndërmerren hapa të paprecedentë për të futur mbrojtjen kundër sulmeve të mundshme. Megjithatë, ndonjëherë mund të jetë e nevojshme të kryhet një auditim i ndërmarrjes. Çfarë është kjo dhe pse është e nevojshme e gjithë kjo? Le të përpiqemi ta kuptojmë tani.

Çfarë është një auditim i sigurisë së informacionit në përkufizim të përgjithshëm?

Tani ne nuk do të prekim terma shkencorë të pakuptimtë, por do të përpiqemi të përcaktojmë konceptet themelore për veten tonë, duke i përshkruar ato në gjuhën më të thjeshtë (popullorisht kjo mund të quhet një auditim për "bedelet").

Emri i këtij grupi ngjarjesh flet vetë. Auditimi i sigurisë së informacionit është një verifikim ose siguri i pavarur i sigurisë së sistemit të informacionit (IS) të çdo ndërmarrje, institucioni ose organizate bazuar në kritere dhe tregues të zhvilluar posaçërisht.

Me fjalë të thjeshta, për shembull, një auditim i sigurisë së informacionit të një banke zbret në vlerësimin e nivelit të mbrojtjes së bazave të të dhënave të klientëve, operacioneve të vazhdueshme bankare, sigurisë së fondeve elektronike, sigurisë së sekretit bankar, etj. në rast të ndërhyrjes në veprimtarinë e institucionit nga persona të paautorizuar nga jashtë duke përdorur mjete elektronike dhe kompjuterike.

Me siguri, mes lexuesve do të ketë të paktën një person që ka marrë një telefonatë në shtëpi ose në celularin e tij me një ofertë për të aplikuar për një kredi ose depozitë dhe nga një bankë me të cilën ai nuk është aspak i lidhur. E njëjta gjë vlen edhe për ofertat e blerjeve nga disa dyqane. Nga ka ardhur numri juaj?

Është e thjeshtë. Nëse një person ka marrë më parë një hua ose ka depozituar para në një llogari depozite, natyrisht, të dhënat e tij ruhen në një të vetme. Kur telefonon nga një bankë ose dyqan tjetër, mund të nxirret përfundimi i vetëm: informacioni për të ra në mënyrë të paligjshme në duart e treta. . Si? Në përgjithësi, mund të dallohen dy opsione: ose është vjedhur, ose punonjësit e bankës ia kanë transferuar me vetëdije palëve të treta. Që të mos ndodhin gjëra të tilla, është e nevojshme të kryhet një auditim në kohë i sigurisë së informacionit të bankës, dhe kjo vlen jo vetëm për masat e sigurisë kompjuterike ose “hardware”, por për të gjithë stafin e institucionit bankar.

Drejtimet kryesore të kontrollit të sigurisë së informacionit

Sa i përket fushës së zbatimit të një auditimi të tillë, si rregull, ekzistojnë disa dallime:

• kontroll i plotë objektet e përfshira në proceset e informatizimit (sistemet e automatizuara kompjuterike, mjetet e komunikimit, marrja, transmetimi dhe përpunimi i të dhënave të informacionit, mjetet teknike, ambientet për takime konfidenciale, sistemet e mbikëqyrjes, etj.);
• duke kontrolluar besueshmërinë e mbrojtjes së informacionit konfidencial me akses i kufizuar(identifikimi i kanaleve të mundshme të rrjedhjeve dhe vrimave të mundshme në sistemin e sigurisë, duke lejuar hyrjen në të nga jashtë duke përdorur metoda standarde dhe jo standarde);
• duke kontrolluar të gjitha pajisjet teknike elektronike dhe lokale sistemet kompjuterike në lidhje me ndikimin në to rrezatimi elektromagnetik dhe këshilla që ju lejojnë t'i fikni ose t'i bëni të papërdorshme;
• pjesa e projektimit, e cila përfshin punën për krijimin e një koncepti sigurie dhe zbatimin e tij në praktikë (mbrojtja e sistemeve kompjuterike, ambienteve, komunikimeve etj.).

Kur bëhet e nevojshme të kryhet një auditim?

Për të mos përmendur situatat kritike kur mbrojtja tashmë është shkelur, një auditim i sigurisë së informacionit në një organizatë mund të kryhet në disa raste të tjera.

Si rregull, kjo përfshin zgjerimin e kompanisë, bashkimet, blerjet, inkorporimin nga ndërmarrje të tjera, ndryshimet në konceptin e kursit ose menaxhimit të biznesit, ndryshimet në legjislacionin ndërkombëtar ose aktet ligjore brenda një vendi të caktuar dhe ndryshime mjaft serioze në infrastrukturën e informacionit.

Llojet e auditimit

Sot, vetë klasifikimi i këtij lloji të auditimit, sipas shumë analistëve dhe ekspertëve, nuk është i vendosur. Prandaj, ndarja në klasa në disa raste mund të jetë shumë e kushtëzuar. Megjithatë, në përgjithësi, auditimet e sigurisë së informacionit mund të ndahen në të jashtme dhe të brendshme.

Një auditim i jashtëm, i kryer nga ekspertë të pavarur që kanë të drejtë ta bëjnë këtë, zakonisht është një inspektim një herë që mund të inicohet nga menaxhmenti i ndërmarrjes, aksionarët, agjencitë e zbatimit të ligjit, etj. Konsiderohet se një auditim i jashtëm i sigurisë së informacionit rekomandohet (nuk kërkohet) të kryhet rregullisht për një periudhë të caktuar kohore. Por për disa organizata dhe ndërmarrje, sipas ligjit, është e detyrueshme (për shembull, institucionet dhe organizatat financiare, shoqëritë aksionare, etj.).

Siguria e informacionit është një proces i vazhdueshëm. Ai bazohet në një “Rregullor të veçantë për Auditimin e Brendshëm”. Cfare eshte? Në thelb, këto janë ngjarje certifikimi të kryera në organizatë brenda një afati kohor të miratuar nga menaxhmenti. Kontrollet e sigurisë së informacionit kryhen nga njësi të veçanta strukturore të ndërmarrjes.

Klasifikimi alternativ i llojeve të auditimit

Përveç ndarjes së përshkruar më sipër në klasa në rastin e përgjithshëm, mund të dallojmë disa komponentë të tjerë të miratuar në klasifikimin ndërkombëtar:

• verifikimi ekspert i statusit të sigurisë së informacionit dhe sistemeve të informacionit bazuar në përvojën personale të ekspertëve që e kryejnë atë;
• certifikimin e sistemeve dhe masave të sigurisë për përputhjen me standardet ndërkombëtare (ISO 17799) dhe dokumentet ligjore qeveritare që rregullojnë këtë fushë të veprimtarisë;
• analiza e sigurisë së sistemeve të informacionit duke përdorur mjete teknike, që synon identifikimin e dobësive të mundshme në kompleksin e harduerit dhe softuerit.

Ndonjëherë mund të përdoret i ashtuquajturi auditim gjithëpërfshirës, ​​i cili përfshin të gjitha llojet e mësipërme. Nga rruga, është ai që jep rezultatet më objektive.

Vendosja e qëllimeve dhe objektivave

Çdo auditim, qoftë i brendshëm apo i jashtëm, fillon me përcaktimin e qëllimeve dhe objektivave. Për ta thënë thjesht, ju duhet të përcaktoni pse, çfarë dhe si do të kontrollohet. Kjo do të paracaktojë metodologjinë e mëtejshme për kryerjen e të gjithë procesit.

Detyrat e caktuara, në varësi të strukturës specifike të vetë ndërmarrjes, organizatës, institucionit dhe aktiviteteve të saj, mund të jenë mjaft të shumta. Megjithatë, ndër të gjitha këto, dallohen objektivat e unifikuara të një auditimi të sigurisë së informacionit:

• vlerësimi i statusit të sigurisë së informacionit dhe sistemeve të informacionit;
• analiza e rreziqeve të mundshme që lidhen me kërcënimin e depërtimit në IP nga jashtë, dhe metodat e mundshme për kryerjen e një ndërhyrjeje të tillë;
• lokalizimi i vrimave dhe boshllëqeve në sistemin e sigurisë;
• analiza e përputhshmërisë së nivelit të sigurisë së sistemeve të informacionit me standardet dhe rregulloret aktuale;
• zhvillimin dhe nxjerrjen e rekomandimeve që përfshijnë eliminimin e problemeve ekzistuese, si dhe përmirësimin e mjeteve ekzistuese të mbrojtjes dhe futjen e zhvillimeve të reja.

Metodologjia dhe mjetet e kryerjes së një auditimi

Tani disa fjalë se si bëhet kontrolli dhe cilat faza dhe mjete përfshin.

Kryerja e një auditimi të sigurisë së informacionit përbëhet nga disa faza kryesore:

• fillimi i një procedure auditimi (përcaktimi i qartë i të drejtave dhe përgjegjësive të auditorit, përgatitja e një plani auditimi nga auditori dhe dakordimi me menaxhmentin, zgjidhja e çështjes së kufijve të studimit, vendosja e një detyrimi për punonjësit e organizatës për të ndihmuar dhe siguruar në kohë informacionet e nevojshme);
• mbledhja e të dhënave fillestare (struktura e sistemit të sigurisë, shpërndarja e mjeteve të sigurisë, nivelet e funksionimit të sistemit të sigurisë, analiza e metodave për marrjen dhe sigurimin e informacionit, përcaktimi i kanaleve të komunikimit dhe ndërveprimi i IS me strukturat e tjera, hierarkia e përdoruesve të rrjetit kompjuterik, përcaktimi i protokolleve, etj.);
• kryerja e një kontrolli të plotë ose të pjesshëm;
• analiza e të dhënave të marra (analiza e rreziqeve të çdo lloji dhe pajtueshmëria me standardet);
• nxjerrjen e rekomandimeve për eliminimin e problemeve të mundshme;
• krijimi i dokumentacionit raportues.

Faza e parë është më e thjeshta, pasi vendimi i saj merret ekskluzivisht midis menaxhmentit të ndërmarrjes dhe auditorit. Objekti i analizës mund të diskutohet në një mbledhje të përgjithshme të punonjësve ose aksionarëve. E gjithë kjo lidhet në një masë më të madhe me fushën juridike.

Faza e dytë e mbledhjes së të dhënave fillestare, qoftë kryerja e një auditimi të brendshëm të sigurisë së informacionit apo certifikimi i jashtëm i pavarur, është më intensivi me burime. Kjo për faktin se në këtë fazë është e nevojshme jo vetëm të studiohet dokumentacioni teknik në lidhje me të gjithë kompleksin softuer dhe harduer, por edhe të kryhen intervista të fokusuara ngushtë të punonjësve të kompanisë, dhe në shumicën e rasteve edhe me plotësimin e pyetësorëve të veçantë. ose pyetësorë.

Sa i përket dokumentacionit teknik, është e rëndësishme të merren të dhëna për strukturën e sistemit të informacionit dhe nivelet prioritare të të drejtave të aksesit për punonjësit, për të përcaktuar në të gjithë sistemin dhe aplikimin. software(sistemet operative të përdorura, aplikacionet për të bërë biznes, menaxhimin e tij dhe kontabilitetin), si dhe mjetet e instaluara të mbrojtjes softuerike dhe josoftuerike (antiviruse, mure zjarri, etj.). Për më tepër, kjo përfshin një kontroll të plotë të rrjeteve dhe ofruesve që ofrojnë shërbime komunikimi (organizimi i rrjetit, protokollet e përdorura për lidhje, llojet e kanaleve të komunikimit, metodat e transmetimit dhe marrjes së rrjedhave të informacionit dhe shumë më tepër). Siç është tashmë e qartë, kjo kërkon mjaft kohë.

Në fazën tjetër, përcaktohen metodat e kontrollit të sigurisë së informacionit. Janë tre prej tyre:

• analiza e rrezikut (teknika më komplekse e bazuar në përcaktimin e auditorit për mundësinë e depërtimit në IP dhe shkeljen e integritetit të tij duke përdorur të gjitha metodat dhe mjetet e mundshme);
• vlerësimi i përputhshmërisë me standardet dhe legjislacionin (metoda më e thjeshtë dhe praktike, e bazuar në një krahasim të gjendjes aktuale dhe kërkesave të standardeve ndërkombëtare dhe dokumenteve vendase në fushën e sigurisë së informacionit);
• një metodë e kombinuar që kombinon dy të parat.

Pas marrjes së rezultateve të testit, fillon analiza e tyre. Mjetet e kontrollit të sigurisë së informacionit që përdoren për analiza mund të jenë mjaft të ndryshme. Gjithçka varet nga specifikat e aktiviteteve të ndërmarrjes, lloji i informacionit, softueri i përdorur, mjetet e sigurisë, etj. Megjithatë, siç shihet nga metoda e parë, auditori do të duhet të mbështetet kryesisht në përvojën e tij.

Kjo do të thotë vetëm se ai duhet të ketë kualifikimet e duhura në fushën e teknologjisë së informacionit dhe mbrojtjes së të dhënave. Bazuar në këtë analizë, auditori llogarit rreziqet e mundshme.

Ju lutemi vini re se ai duhet të kuptojë jo vetëm sistemet operative ose programet e përdorura, për shembull, për të bërë biznes ose kontabilitet, por gjithashtu të kuptojë qartë se si një sulmues mund të depërtojë në një sistem informacioni me qëllim të vjedhjes, dëmtimit dhe shkatërrimit të të dhënave, duke krijuar parakushte për shkelje në funksionimin e kompjuterëve, përhapja e viruseve ose malware.

Në bazë të analizës, eksperti nxjerr një përfundim për gjendjen e mbrojtjes dhe jep rekomandime për eliminimin e problemeve ekzistuese ose të mundshme, përmirësimin e sistemit të sigurisë etj. Në të njëjtën kohë, rekomandimet duhet të jenë jo vetëm objektive, por edhe të lidhura qartë me realitetet specifike të ndërmarrjes. Me fjalë të tjera, këshillat për përmirësimin e konfigurimeve ose softuerit kompjuterik nuk do të pranohen. Kjo vlen edhe për këshillat për shkarkimin e punonjësve "jo të besueshëm", instalimin e sistemeve të reja të gjurmimit pa treguar në mënyrë specifike qëllimin, vendndodhjen e instalimit dhe fizibilitetin e tyre.

Në bazë të analizës, si rregull, dallohen disa grupe rreziqesh. Në këtë rast, dy tregues kryesorë përdoren për të përpiluar një raport përmbledhës: gjasat e një sulmi dhe dëmi i shkaktuar kompanisë si rezultat (humbja e aseteve, rënia e reputacionit, humbja e imazhit, etj.). Megjithatë, treguesit për grupet nuk janë të njëjtë. Kështu, për shembull, një tregues i nivelit të ulët për probabilitetin e sulmit është më i miri. Për dëmtim është e kundërta.

Vetëm pas kësaj përpilohet një raport, duke detajuar të gjitha fazat, metodat dhe mjetet e hulumtimit të kryer. Është rënë dakord me menaxhmentin dhe nënshkruhet nga dy palë - ndërmarrja dhe auditori. Nëse auditimi është i brendshëm, një raport i tillë hartohet nga titullari i njësisë strukturore përkatëse, pas së cilës nënshkruhet sërish nga titullari.

Auditimi i sigurisë së informacionit: shembull

Së fundi, le të shohim shembullin më të thjeshtë të një situate që tashmë ka ndodhur. Nga rruga, mund të duket shumë e njohur për shumë njerëz.

Për shembull, një punonjës i caktuar i një kompanie të angazhuar në blerje në SHBA është instaluar në kompjuterin e tij Messenger ICQ(emri i punonjësit dhe emri i kompanisë nuk përmenden për arsye të dukshme). Negociatat u zhvilluan pikërisht përmes këtij programi. Por ICQ është mjaft vulnerabël për sa i përket sigurisë. Gjatë regjistrimit të numrit, punonjësi ose nuk kishte një adresë emaili në atë kohë, ose thjesht nuk donte ta jepte atë. Në vend të kësaj, ai tregoi diçka të ngjashme me një e-mail, madje edhe me një domen që nuk ekziston.

Çfarë do të bënte një sulmues? Siç tregoi një kontroll i sigurisë së informacionit, ai do të kishte regjistruar saktësisht të njëjtin domen dhe do të krijonte një terminal tjetër regjistrimi në të, pas së cilës ai mund t'i kishte dërguar një mesazh kompanisë Mirabilis, e cila zotëron shërbimin ICQ, me një kërkesë për të rivendosur fjalëkalimin e duhur. për humbjen e saj (që do të ishte bërë). Meqenëse serveri i marrësit nuk ishte një server poste, në të u aktivizua një ridrejtim - ridrejtimi në postën ekzistuese të sulmuesit.

Si rezultat, ai merr akses në korrespondencën me të specifikuarit Numri ICQ dhe informon furnizuesin për ndryshimin e adresës së marrësit të mallit në një vend të caktuar. Kështu, ngarkesa dërgohet në një destinacion të panjohur. Dhe ky është shembulli më i padëmshëm. Po, huliganizëm i vogël. Çfarë mund të themi për hakerat më seriozë që janë të aftë për shumë më tepër...

konkluzioni

Kjo është gjithçka që ka me pak fjalë në lidhje me auditimet e sigurisë IP. Sigurisht, jo të gjitha aspektet e tij preken këtu. Arsyeja e vetme është se përcaktimi i detyrave dhe metodat e zbatimit të tij ndikohen nga shumë faktorë, kështu që qasja në secilin rast specifik është rreptësisht individuale. Për më tepër, metodat dhe mjetet e kontrollit të sigurisë së informacionit mund të jenë të ndryshme për sisteme të ndryshme informacioni. Megjithatë, duket se parimet e përgjithshme të kontrolleve të tilla do të bëhen të qarta për shumë të paktën në nivelin fillestar.

Prezantimi

Auditimi është një formë e kontrollit të pavarur, neutral të çdo fushe të veprimtarisë së një ndërmarrje tregtare, e përdorur gjerësisht në praktikën e një ekonomie tregu, veçanërisht në fushën e kontabilitetit. Jo më pak i rëndësishëm nga pikëpamja e zhvillimit të përgjithshëm të një ndërmarrje është auditimi i sigurisë së saj, i cili përfshin një analizë të rreziqeve që lidhen me mundësinë e kërcënimeve të sigurisë, veçanërisht në lidhje me burimet e informacionit, vlerësimin e nivelit aktual të sigurisë së informacionit. sistemet (IS), lokalizimi fyte të ngushta në sistemin e mbrojtjes së tyre, duke vlerësuar përputhshmërinë e IP me standardet ekzistuese në fushën e sigurisë së informacionit dhe duke zhvilluar rekomandime për futjen e mekanizmave të rinj dhe përmirësimin e efikasitetit të mekanizmave ekzistues të sigurisë IP.

Nëse flasim për qëllimin kryesor të një auditimi të sigurisë së informacionit, atëherë ai mund të përkufizohet si vlerësimi i nivelit të sigurisë së sistemit të informacionit të një ndërmarrje për ta menaxhuar atë në tërësi, duke marrë parasysh perspektivat për zhvillimin e tij.

Në kushtet moderne, kur sistemet e informacionit përshkojnë të gjitha fushat e aktiviteteve të një ndërmarrje dhe duke marrë parasysh nevojën për lidhjen e tyre me internetin, ato janë të hapura për zbatimin e sistemeve të brendshme dhe kërcënimet e jashtme, problemi i sigurisë së informacionit po bëhet jo më pak i rëndësishëm se siguria ekonomike apo fizike.

Pavarësisht rëndësisë së problemit në shqyrtim për trajnimin e specialistëve të sigurisë së informacionit, ai ende nuk është përfshirë si një kurs i veçantë në planet arsimore dhe nuk diskutohej në tekste dhe mjete mësimore. Kjo për shkak të mungesës së kuadrit të nevojshëm rregullator, specialistëve të patrajnuar dhe të pamjaftueshëm përvojë praktike në fushën e auditimit të sigurisë së informacionit.

Struktura e përgjithshme e punës përfshin sekuencën e mëposhtme të çështjeve të shqyrtuara:

përshkruan një model për ndërtimin e një sistemi të sigurisë së informacionit (IS) që merr parasysh kërcënimet, dobësitë, rreziqet dhe kundërmasat e marra për t'i reduktuar ose parandaluar ato;

merren parasysh metodat e analizës dhe menaxhimit të rrezikut;

janë përcaktuar konceptet bazë auditimin e sigurisë dhe përshkruan qëllimet e zbatimit të tij;

analizon standardet kryesore ndërkombëtare dhe ruse të përdorura në kryerjen e auditimeve të sigurisë së informacionit;

tregon mundësitë e përdorimit të softuerit për kryerjen e auditimeve të sigurisë së informacionit;

Zgjedhja e strukturës së përshkruar të tekstit u bë me qëllim të maksimizimit të orientimit të studentit drejt përdorimit praktik të materialit në fjalë, së pari, gjatë studimit të lëndës së leksionit, dhe së dyti, gjatë kalimit. praktikat e prodhimit(analiza e gjendjes së sigurisë së informacionit në ndërmarrje), së treti, kur përfundoni lëndët dhe disertacionet.

Materiali i paraqitur mund të jetë i dobishëm për menaxherët dhe punonjësit e shërbimeve të sigurisë dhe shërbimeve të mbrojtjes së informacionit të një ndërmarrje për përgatitjen dhe kryerjen e brendshme dhe justifikimin e nevojës për një auditim të jashtëm të sigurisë së informacionit.

Kreu I. Auditimi i sigurisë dhe metodat e kryerjes së tij

1 Koncepti i auditimit të sigurisë

Një auditim është një ekzaminim i pavarur i fushave të caktuara të funksionimit të organizatës. Ka auditime të jashtme dhe të brendshme. Një auditim i jashtëm është, si rregull, një ngjarje një herë e kryer me iniciativën e menaxhmentit ose aksionarëve të organizatës. Rekomandohet që auditimet e jashtme të kryhen rregullisht, dhe, për shembull, për shumë organizata financiare dhe shoqëritë aksionare kjo është një kërkesë e detyrueshme nga ana e themeluesve dhe aksionarëve të tyre. Auditimi i brendshëm është një veprimtari e vazhdueshme që kryhet në bazë të “Rregullores për Auditimin e Brendshëm” dhe në përputhje me planin, përgatitja e të cilit kryhet nga njësitë e shërbimit të sigurisë dhe miratohet nga drejtuesit e organizatës.

Objektivat e një auditimi të sigurisë janë:

analiza e rreziqeve që lidhen me mundësinë e kërcënimeve të sigurisë në lidhje me burimet;

vlerësimi i nivelit aktual të sigurisë së IP-së;

lokalizimi i pengesave në sistemin e mbrojtjes së IP;

vlerësimi i përputhjes së IP me standardet ekzistuese në fushën e sigurisë së informacionit;

Auditimi i sigurisë së një ndërmarrje (firmë, organizatë) duhet të konsiderohet si një mjet konfidencial i menaxhimit që përjashton, për qëllime konspirative, mundësinë e dhënies së informacionit për rezultatet e aktiviteteve të saj palëve dhe organizatave të treta.

Për të kryer një auditim të sigurisë së ndërmarrjes, mund të rekomandohet sekuenca e mëposhtme e veprimeve.

1. Përgatitja për një auditim sigurie:

përzgjedhja e objektit të auditimit (kompania, ndërtesat dhe ambientet individuale, sistemet individuale ose përbërësit e tyre);

përpilimi i një ekipi audituesish ekspertësh;

përcaktimin e fushës dhe fushëveprimit të auditimit dhe përcaktimin e kornizave kohore specifike për punën.

2.Kryerja e një auditimi:

analiza e përgjithshme e statusit të sigurisë së objektit të audituar;

regjistrimin, grumbullimin dhe verifikimin e të dhënave statistikore dhe të rezultateve të matjeve instrumentale të rreziqeve dhe kërcënimeve;

vlerësimi i rezultateve të inspektimit;

hartimi i një raporti për rezultatet e inspektimit për komponentët individualë.

3.Përfundimi i auditimit:

përgatitja e raportit përfundimtar;

zhvillimi i një plani veprimi për të eliminuar pengesat dhe mangësitë në garantimin e sigurisë së kompanisë.

Për të kryer me sukses një kontroll sigurie ju duhet:

pjesëmarrja aktive e menaxhmentit të kompanisë në zbatimin e saj;

objektiviteti dhe pavarësia e auditorëve (ekspertëve), kompetenca dhe profesionalizmi i lartë i tyre;

procedurë verifikimi e strukturuar qartë;

zbatimin aktiv të masave të propozuara për të garantuar dhe rritur sigurinë.

Auditimi i sigurisë, nga ana tjetër, është një mjet efektiv për vlerësimin e sigurisë dhe menaxhimin e rrezikut. Parandalimi i kërcënimeve të sigurisë do të thotë gjithashtu mbrojtje ekonomike, sociale dhe interesat e informacionit ndërmarrjeve.

Nga kjo mund të konkludojmë se auditimi i sigurisë po bëhet një mjet i menaxhimit ekonomik.

Në varësi të vëllimit të objekteve të analizuara të ndërmarrjes, qëllimi i auditimit përcaktohet:

-auditimi i sigurisë së të gjithë ndërmarrjes;

-auditimi i sigurisë së ndërtesave dhe ambienteve individuale (lokalet e përcaktuara);

-auditimi i pajisjeve dhe mjeteve teknike të llojeve dhe llojeve të veçanta;

-auditimit specie individuale dhe fushat e veprimtarisë: ekonomike, mjedisore, informative, financiare etj.

Duhet theksuar se auditimi kryhet jo me iniciativën e auditorit, por me iniciativën e menaxhmentit të ndërmarrjes, e cila është pala kryesore e interesuar në këtë çështje. Mbështetja e menaxhmentit të kompanisë është një kusht i domosdoshëm për kryerjen e një auditimi.

Auditimi është një grup aktivitetesh në të cilat, përveç vetë auditorit, janë të përfshirë edhe përfaqësues të shumicës së divizioneve strukturore të kompanisë. Veprimet e të gjithë pjesëmarrësve në këtë proces duhet të jenë të koordinuara. Prandaj, në fazën e fillimit të procedurës së auditimit, duhet të zgjidhen çështjet e mëposhtme organizative:

të drejtat dhe përgjegjësitë e auditorit duhet të përcaktohen qartë dhe të dokumentohen në të përshkrimet e punës, si dhe në rregulloret për auditimin e brendshëm (të jashtëm);

auditori duhet të përgatisë dhe të pajtohet me menaxhmentin një plan auditimi;

Rregulloret për auditimin e brendshëm duhet të përcaktojnë, në veçanti, që punonjësit e ndërmarrjes janë të detyruar të ndihmojnë audituesin dhe të ofrojnë të gjithë informacionin e nevojshëm për auditimin.

Në fazën e fillimit të procedurës së auditimit, duhet të përcaktohen kufijtë e vrojtimit. Nëse disa nënsisteme informacioni të ndërmarrjes nuk janë mjaft kritike, ato mund të përjashtohen nga fusha e anketimit.

Nënsistemet e tjera mund të mos jenë të auditueshme për shkak të shqetësimeve të konfidencialitetit.

Kufijtë e sondazhit përcaktohen në kategoritë e mëposhtme:

Lista e burimeve fizike, softuerike dhe informacionit të anketuara.

2.Vendet (lokalet) që bien brenda kufijve të sondazhit.

3.Llojet kryesore të kërcënimeve të sigurisë të konsideruara gjatë auditimit.

4.Aspekte organizative (legjislative, administrative dhe procedurale), fizike, softuerike, harduerike dhe të tjera të sigurisë që duhet të merren parasysh gjatë anketës, dhe prioritetet e tyre (në çfarë mase duhet të merren parasysh).

Plani dhe kufijtë e auditimit diskutohen në një takim pune, ku marrin pjesë auditorët, menaxhmenti i kompanisë dhe drejtuesit e divizioneve strukturore.

Për të kuptuar auditimin e sigurisë së informacionit si një sistem kompleks, modeli i tij konceptual i paraqitur në Fig. 1.1. Komponentët kryesorë të procesit janë theksuar këtu:

objekti i auditimit:

qëllimi i auditimit:

Oriz. 1.1. Modeli konceptual IS audit

Kërkesat;

metodat e përdorura;

interpretues;

rendi i sjelljes.

Nga pikëpamja e organizimit të punës gjatë kryerjes së një auditimi të sigurisë së informacionit, ekzistojnë tre faza themelore:

1.mbledhjen e informacionit;

2.analiza e të dhënave;

2 Metodat e analizës së të dhënave gjatë auditimit të SI

Aktualisht, përdoren tre metoda (qasje) kryesore për kryerjen e një auditimi, të cilat ndryshojnë ndjeshëm nga njëra-tjetra.

Metoda e parë, më komplekse, bazohet në analizën e rrezikut. Bazuar në metodat e analizës së rrezikut, audituesi përcakton për SI-në e ekzaminuar një grup individual kërkesash sigurie, i cili merr parasysh në masën më të madhe karakteristikat e këtij SI, mjedisin e tij operativ dhe kërcënimet e sigurisë që ekzistojnë në këtë mjedis. Kjo qasje është më intensivja e punës dhe kërkon kualifikimet më të larta të auditorit. Cilësia e rezultateve të auditimit, në këtë rast, ndikohet fuqishëm nga metodologjia e përdorur për analizën dhe menaxhimin e rrezikut dhe zbatueshmëria e saj në këtë lloj SI.

Metoda e dytë, më praktike, mbështetet në përdorimin e standardeve të sigurisë së informacionit. Standardet përcaktojnë një grup bazë të kërkesave të sigurisë për një klasë të gjerë IP, e cila është formuar si rezultat i një përgjithësimi të praktikës botërore. Standardet mund të përcaktojnë grupe të ndryshme kërkesash sigurie, në varësi të nivelit të sigurisë së IP që duhet të sigurohet, përkatësisë së saj (organizata tregtare ose agjenci qeveritare) dhe qëllimit (financa, industria, komunikimet, etj.). Në këtë rast, auditorit i kërkohet të përcaktojë saktë grupin e kërkesave standarde që duhet të plotësohen për këtë SI. Gjithashtu nevojitet një metodologji për të vlerësuar këtë përputhshmëri. Për shkak të thjeshtësisë së tij (një grup standard kërkesash për kryerjen e një auditimi është tashmë i paracaktuar nga standardi) dhe besueshmërisë (një standard është një standard dhe askush nuk do të përpiqet të sfidojë kërkesat e tij), qasja e përshkruar është më e zakonshme në praktikë (veçanërisht gjatë kryerjes së një auditimi të jashtëm). Ai lejon, me shpenzime minimale të burimeve, të nxirren përfundime të informuara për gjendjen e IP.

Metoda e tretë, më efektive, përfshin kombinimin e dy të parave.

Nëse zgjidhet një qasje e bazuar në analizën e rrezikut për të kryer një auditim sigurie, atëherë grupet e mëposhtme të detyrave zakonisht kryhen në fazën e analizës së të dhënave të auditimit:

Analiza e burimeve të IP, duke përfshirë burimet e informacionit, softuerin dhe harduerin, dhe burimet njerëzore.

2.Analiza e grupeve të detyrave të zgjidhura nga sistemi dhe proceset e biznesit.

3.Ndërtimi i një modeli (joformal) të burimeve të IS që përcakton marrëdhëniet midis informacionit, softuerit, burimeve teknike dhe njerëzore, vendndodhjen e tyre relative dhe metodat e ndërveprimit.

4.Vlerësimi i kritikitetit të burimeve të informacionit, si dhe softuerit dhe harduerit.

5.Përcaktimi i kritikitetit të burimeve, duke marrë parasysh ndërvarësinë e tyre.

6.Përcaktimi i kërcënimeve më të mundshme të sigurisë ndaj burimeve IP dhe dobësive të sigurisë që i bëjnë të mundshme këto kërcënime.

7.Vlerësimi i mundësisë së kërcënimeve, madhësisë së dobësive dhe dëmeve të shkaktuara në organizatë në rast të zbatimit të suksesshëm të kërcënimeve.

8.Përcaktimi i madhësisë së rreziqeve për çdo treshe: kërcënim - grup burimesh - cenueshmëri.

Grupi i detyrave të listuara është mjaft i përgjithshëm. Për zgjidhjen e tyre, mund të përdoren teknika të ndryshme formale dhe joformale, sasiore dhe cilësore, manuale dhe të automatizuara të analizës së rrezikut. Thelbi i qasjes nuk ndryshon.

Vlerësimi i rrezikut mund të bëhet duke përdorur shkallë të ndryshme cilësore dhe sasiore. Gjëja kryesore është që rreziqet ekzistuese të identifikohen saktë dhe të renditen në përputhje me shkallën e tyre të kritikës për organizatën. Bazuar në një analizë të tillë, mund të zhvillohet një sistem masash prioritare për të ulur madhësinë e rreziqeve në një nivel të pranueshëm.

Gjatë kryerjes së një auditimi sigurie për pajtueshmërinë me kërkesat e standardit, auditori, duke u mbështetur në përvojën e tij, vlerëson zbatueshmërinë e kërkesave të standardit për IP-në e ekzaminuar dhe përputhshmërinë e tij me këto kërkesa. Të dhënat e pajtueshmërisë fusha të ndryshme Kërkesat e funksionimit të standardit IS zakonisht paraqiten në formë tabelare. Tabela tregon se cilat kërkesa sigurie nuk janë zbatuar në sistem. Bazuar në këtë, nxirren përfundime për përputhshmërinë e IP-së së ekzaminuar me kërkesat e standardit dhe jepen rekomandime për zbatimin e mekanizmave të sigurisë në sistem për të siguruar një përputhje të tillë.

3 Analiza e rreziqeve të informacionit të ndërmarrjes

Analiza e rrezikut është vendi ku duhet të fillojë ndërtimi i çdo sistemi të sigurisë së informacionit dhe çfarë është e nevojshme për kryerjen e një auditimi të sigurisë së informacionit. Ai përfshin aktivitete për të vëzhguar sigurinë e ndërmarrjes për të përcaktuar se cilat burime dhe nga cilat kërcënime duhet të mbrohen, si dhe deri në çfarë mase burime të caktuara kanë nevojë për mbrojtje. Përcaktimi i një grupi kundërmasash adekuate kryhet gjatë menaxhimit të rrezikut. Rreziku përcaktohet nga gjasat e dëmtimit dhe sasia e dëmit të shkaktuar në burimet e sistemit të informacionit (IS) në rast të një kërcënimi të sigurisë.

Analiza e rrezikut konsiston në identifikimin e rreziqeve ekzistuese dhe vlerësimin e madhësisë së tyre (duke u dhënë atyre një vlerësim cilësor ose sasior). Procesi i analizës së rrezikut përfshin zgjidhjen e detyrave të mëposhtme:

1.Identifikimi i burimeve kyçe të IP.

2.Përcaktimi i rëndësisë së burimeve të caktuara për organizatën.

3.Identifikimi i kërcënimeve ekzistuese të sigurisë dhe dobësive që bëjnë të mundshme kërcënimet.

4.Llogaritja e rreziqeve që lidhen me zbatimin e kërcënimeve të sigurisë.

Burimet IP mund të ndahen në kategoritë e mëposhtme:

burime informative;

softuer;

mjete teknike (serverët, stacionet e punës, pajisjet aktive të rrjetit, etj.);

burimet njerëzore.

Brenda çdo kategorie, burimet ndahen në klasa dhe nënklasa. Është e nevojshme të identifikohen vetëm ato burime që përcaktojnë funksionalitetin e IS dhe janë të rëndësishme nga pikëpamja e sigurisë.

Rëndësia (ose vlera) e një burimi përcaktohet nga sasia e dëmit të shkaktuar nëse cenohet konfidencialiteti, integriteti ose disponueshmëria e atij burimi. Zakonisht konsiderohen llojet e mëposhtme të dëmtimeve:

të dhënat u zbuluan, u ndryshuan, u fshinë ose u bënë të padisponueshme;

pajisja është dëmtuar ose shkatërruar;

komprometohet integriteti i softuerit.

Dëmi mund t'i shkaktohet një organizate si rezultat i zbatimit të suksesshëm të llojeve të mëposhtme të kërcënimeve të sigurisë:

sulme lokale dhe të largëta ndaj burimeve të IS;

fatkeqësitë natyrore;

gabime ose veprime të qëllimshme të personelit të IS;

Mosfunksionimet e IC të shkaktuara nga gabimet e softuerit ose mosfunksionimet e harduerit.

Madhësia e rrezikut mund të përcaktohet bazuar në vlerën e burimit, gjasat e shfaqjes së kërcënimit dhe madhësinë e cenueshmërisë duke përdorur formulën e mëposhtme:

kostoja e burimit x probabiliteti i kërcënimit Rreziku = madhësia e cenueshmërisë

Detyra e menaxhimit të rrezikut është të zgjedhë një grup të arsyeshëm kundërmasash për të ulur nivelet e rrezikut në një nivel të pranueshëm. Kostoja e zbatimit të kundërmasave duhet të jetë më e vogël se shuma e dëmit të mundshëm. Diferenca midis kostos së zbatimit të kundërmasave dhe madhësisë së dëmit të mundshëm duhet të jetë në përpjesëtim të zhdrejtë me probabilitetin e shkaktimit të dëmit.

Qasja e bazuar në analizën e rreziqeve të informacionit të ndërmarrjes është më e rëndësishmja për praktikën e sigurimit të sigurisë së informacionit. Kjo shpjegohet me faktin se analiza e rrezikut ju lejon të menaxhoni në mënyrë efektive sigurinë e informacionit të një ndërmarrje. Për ta bërë këtë, në fillim të punës së analizës së rrezikut, është e nevojshme të përcaktohet se çfarë saktësisht i nënshtrohet mbrojtjes në ndërmarrje, çfarë kërcënimesh është e ekspozuar dhe praktikat e mbrojtjes. Analiza e rrezikut kryhet bazuar në qëllimet dhe objektivat imediate të mbrojtjes së një lloji specifik informacioni konfidencial. Një nga detyrat më të rëndësishme në kuadër të mbrojtjes së informacionit është sigurimi i integritetit dhe disponueshmërisë së tij. Duhet të kihet parasysh se një shkelje e integritetit mund të ndodhë jo vetëm si rezultat i veprimeve të qëllimshme, por edhe për një numër arsyesh të tjera:

· dështimet e pajisjeve që çojnë në humbje ose korrupsion të informacionit;

· ndikim fizik, duke përfshirë si rezultat i fatkeqësive natyrore;

· gabime në softuer (duke përfshirë veçori të padokumentuara).

Prandaj, termi "sulm" është më premtues për të kuptuar jo vetëm ndikimet njerëzore në burimet e informacionit, por edhe ndikimet e mjedisit në të cilin funksionon sistemi i përpunimit të informacionit të ndërmarrjes.

Gjatë kryerjes së një analize të rrezikut, zhvillohen sa vijon:

· strategjia dhe taktikat e përgjithshme për një dhunues të mundshëm për të kryer "operacione sulmuese dhe operacione luftarake";

· metodat e mundshme të kryerjes së sulmeve në sistemin e përpunimit dhe mbrojtjes së informacionit;

· skenari i zbatimit veprime të paligjshme;

· karakteristikat e kanaleve të rrjedhjes së informacionit dhe aksesit të paautorizuar;

· gjasat e vendosjes së kontaktit informativ (realizimi i kërcënimeve);

· lista e infeksioneve të mundshme të informacionit;

· modeli i ndërhyrës;

· metodologjia e vlerësimit të sigurisë së informacionit.

Përveç kësaj, për të ndërtuar një sistem të besueshëm të sigurisë së informacionit të ndërmarrjes është e nevojshme:

· të identifikojë të gjitha kërcënimet e mundshme për sigurinë e informacionit;

· vlerësojnë pasojat e shfaqjes së tyre;

· të përcaktojë masat dhe mjetet e nevojshme të mbrojtjes, duke marrë parasysh kërkesat e dokumenteve rregullatore, ekonomike

· fizibiliteti, pajtueshmëria dhe moskonflikti me softuerin e përdorur;

· vlerësojnë efektivitetin e masave dhe mjeteve të zgjedhura të mbrojtjes.

Oriz. 1.2. Skenari i analizës së burimeve të informacionit

Të 6 fazat e analizës së rrezikut janë paraqitur këtu. Në fazën e parë dhe të dytë, përcaktohet informacioni që përbën sekret tregtar për ndërmarrjen dhe që duhet të mbrohet. Është e qartë se një informacion i tillë ruhet në vende të caktuara dhe në media të veçanta dhe transmetohet nëpërmjet kanaleve të komunikimit. Në të njëjtën kohë, faktori përcaktues në teknologjinë e trajtimit të informacionit është arkitektura IS, e cila përcakton në masë të madhe sigurinë e burimeve të informacionit të një ndërmarrje. Faza e tretë e analizës së rrezikut është ndërtimi i kanaleve të aksesit, rrjedhjes ose ndikimit në burimet e informacionit të nyjeve kryesore të IS. Çdo kanal aksesi karakterizohet nga shumë pika nga të cilat informacioni mund të "merret". Janë ata që përfaqësojnë dobësitë dhe kërkojnë përdorimin e mjeteve për të parandaluar ndikimet e padëshiruara në informacion.

Faza e katërt e analizës së metodave për mbrojtjen e të gjitha pikave të mundshme korrespondon me qëllimet e mbrojtjes dhe rezultati i saj duhet të jetë një karakterizim i boshllëqeve të mundshme në mbrojtje, përfshirë për shkak të një kombinimi të pafavorshëm të rrethanave.

Në fazën e pestë, bazuar në të njohurit ky moment mënyrat dhe mjetet e tejkalimit të linjave mbrojtëse përcaktohen nga gjasat që kërcënimet të realizohen në secilën nga pikat e mundshme të sulmit.

Në fazën e fundit, të gjashtë, vlerësohet dëmi i organizatës në rast të çdo sulmi, i cili, së bashku me vlerësimet e cenueshmërisë, na lejon të marrim një listë të renditur të kërcënimeve ndaj burimeve të informacionit. Rezultatet e punës janë paraqitur në një formë të përshtatshme për perceptimin e tyre dhe zhvillimin e zgjidhjeve për të korrigjuar sistemin ekzistues të sigurisë së informacionit. Për më tepër, çdo burim informacioni mund të ekspozohet ndaj disa kërcënimeve të mundshme. Me rëndësi themelore është probabiliteti total i aksesit në burimet e informacionit, i cili përbëhet nga probabilitetet elementare të aksesit në pikë individuale kalimi i informacionit.

Sasia e rrezikut të informacionit për çdo burim përcaktohet si produkt i probabilitetit të një sulmi ndaj burimit, probabilitetit të zbatimit dhe kërcënimit dhe dëmtimit nga një pushtim informacioni. Kjo punë mund të përdorë mënyra të ndryshme të peshimit të komponentëve.

Shtimi i rreziqeve për të gjitha burimet jep vlerën e rrezikut total për arkitekturën e adoptuar të IS dhe sistemin e sigurisë së informacionit të zbatuar në të.

Kështu, duke ndryshuar opsionet për ndërtimin e një sistemi të sigurisë së informacionit dhe arkitekturës IS, bëhet e mundur të imagjinohen dhe konsiderohen vlera të ndryshme të rrezikut total duke ndryshuar gjasat e shfaqjes së kërcënimeve. Këtu, një hap shumë i rëndësishëm është zgjedhja e një prej opsioneve në përputhje me kriterin e zgjedhur të vendimit. Një kriter i tillë mund të jetë sasia e pranueshme e rrezikut ose raporti i kostove të sigurimit të sigurisë së informacionit me rrezikun e mbetur.

Gjatë ndërtimit të sistemeve të sigurisë së informacionit, është gjithashtu e nevojshme të përcaktohet një strategji e menaxhimit të rrezikut për ndërmarrjen.

Sot ekzistojnë disa qasje për menaxhimin e rrezikut.

Një nga më të zakonshmet është ulja e rrezikut duke përdorur metoda dhe mjete të përshtatshme mbrojtjeje. E ngjashme në thelb është qasja e lidhur me shmangien e rrezikut. Dihet se disa kategori rreziqesh mund të shmangen: për shembull, lëvizja e serverit të uebit të një organizate jashtë rrjetit lokal shmang rrezikun e aksesit të paautorizuar në rrjet lokal nga klientët e uebit.

Së fundi, në disa raste është e pranueshme të pranohet rreziku. Këtu është e rëndësishme të vendoset për dilemën e mëposhtme: çfarë është më fitimprurëse për ndërmarrjen - të përballet me rreziqet apo me pasojat e tyre. Në këtë rast, ne duhet të zgjidhim një problem optimizimi.

Pasi të jetë përcaktuar strategjia e menaxhimit të rrezikut, bëhet një vlerësim përfundimtar i masave të sigurisë së informacionit me përgatitjen e një opinioni eksperti për sigurinë e burimeve të informacionit. Mendimi i ekspertit përfshin të gjitha materialet e analizës së rrezikut dhe rekomandimet për reduktimin e tyre.

1.4 Metodat për vlerësimin e rreziqeve të informacionit të ndërmarrjes

Në praktikë, përdoren metoda të ndryshme për vlerësimin dhe menaxhimin e rreziqeve të informacionit në ndërmarrje. Në këtë rast, vlerësimi i rreziqeve të informacionit përfshin fazat e mëposhtme:

· identifikimin dhe vlerësimin sasior të burimeve të informacionit të ndërmarrjeve që janë të rëndësishme për biznesin;

· vlerësimi kërcënimet e mundshme;

· vlerësimi i dobësive ekzistuese;

· vlerësimi i efektivitetit të mjeteve të sigurisë së informacionit.

Supozohet se burimet e informacionit vulnerabël të rëndësishëm për biznesin e një kompanie sipërmarrëse janë në rrezik nëse ka ndonjë kërcënim kundër tyre. Me fjalë të tjera, rreziqet karakterizojnë rrezikun ndaj të cilit mund të ekspozohen komponentët e një sistemi të Internetit/Intranetit të korporatës. Në të njëjtën kohë, rreziqet e informacionit të kompanisë varen nga:

· mbi treguesit e vlerës së burimeve të informacionit;

· gjasat e realizimit të kërcënimeve ndaj burimeve;

· efektiviteti i mjeteve ekzistuese ose të planifikuara të sigurisë së informacionit.

Qëllimi i vlerësimit të rrezikut është të përcaktojë karakteristikat e rrezikut të një sistemi informacioni të korporatës dhe burimet e tij. Si rezultat i vlerësimit të rrezikut, bëhet e mundur përzgjedhja e mjeteve që sigurojnë nivelin e dëshiruar të sigurisë së informacionit të ndërmarrjes. Gjatë vlerësimit të rreziqeve, merren parasysh vlera e burimeve, rëndësia e kërcënimeve dhe dobësive, si dhe efektiviteti i mjeteve ekzistuese dhe të planifikuara të mbrojtjes. Vetë treguesit e burimeve, rëndësia e kërcënimeve dhe dobësive dhe efektiviteti i masave mbrojtëse mund të përcaktohen si me metoda sasiore, për shembull, kur përcaktohen karakteristikat e kostos, ashtu edhe me metoda cilësore, për shembull, duke marrë parasysh normale ose jashtëzakonisht të rrezikshme. ndikimet jonormale të mjedisit të jashtëm.

Mundësia e realizimit të një kërcënimi vlerësohet nga probabiliteti i zbatimit të tij brenda një periudhe të caktuar kohore për një burim të caktuar të ndërmarrjes. Në këtë rast, gjasat që kërcënimi të realizohet përcaktohet nga treguesit kryesorë të mëposhtëm:

· atraktiviteti i burimit përdoret kur merret parasysh kërcënimi nga ndikimi i qëllimshëm njerëzor;

· mundësia e përdorimit të një burimi për të gjeneruar të ardhura kur merret parasysh kërcënimi nga ndikimi i qëllimshëm njerëzor;

· aftësitë teknike të zbatimit të kërcënimit përdoren me ndikim të qëllimshëm nga ana e një personi;

· shkalla e lehtësisë me të cilën mund të shfrytëzohet një cenueshmëri.

Aktualisht, ka shumë metoda tabelare për vlerësimin e rreziqeve të informacionit të një kompanie. Është e rëndësishme që personeli i sigurisë të zgjedhë një metodë të përshtatshme që siguron rezultate të sakta dhe të besueshme të riprodhueshme.

Rekomandohet të vlerësohen treguesit sasiorë të burimeve të informacionit bazuar në rezultatet e anketave të punonjësve të ndërmarrjes që zotërojnë informacione, d.m.th. zyrtarët, i cili mund të përcaktojë vlerën e informacionit, karakteristikat e tij dhe shkallën e kritikës, bazuar në gjendjen aktuale të punëve. Bazuar në rezultatet e anketës, treguesit dhe shkalla e kritikitetit të burimeve të informacionit vlerësohen për skenarin më të keq, deri në shqyrtimin e ndikimeve të mundshme në aktivitetet e biznesit të ndërmarrjes në rast të aksesit të mundshëm të paautorizuar në informacionin konfidencial, shkeljes. i integritetit të tij, mosdisponueshmëria për periudha të ndryshme të shkaktuara nga dështimet në shërbimin e të dhënave të sistemeve të përpunimit dhe madje shkatërrim fizik. Në të njëjtën kohë, procesi i marrjes së treguesve sasiorë mund të plotësohet me metoda të përshtatshme për vlerësimin e burimeve të tjera kritike të ndërmarrjes, duke marrë parasysh:

· siguria e personelit;

· zbulimi informacion privat;

· kërkesat e pajtueshmërisë ligjore dhe rregullatore;

· kufizimet që dalin nga legjislacioni;

· interesat komerciale dhe ekonomike;

· humbje financiare dhe ndërprerje në aktivitetet prodhuese;

· marrëdhëniet me publikun;

· politika tregtare dhe operacionet tregtare;

· humbja e reputacionit të kompanisë.

Më tej, treguesit sasiorë përdoren aty ku është e lejueshme dhe e justifikuar, dhe treguesit cilësorë përdoren aty ku vlerësimet sasiore janë të vështira për një sërë arsyesh. Në të njëjtën kohë, më i përhapuri është vlerësimi i treguesve të cilësisë duke përdorur shkallët e pikëve të zhvilluara posaçërisht për këto qëllime, për shembull, me një shkallë me katër pikë.

Operacioni tjetër është plotësimi i çifteve të pyetësorëve në të cilët, për çdo lloj kërcënimi dhe grupin e burimeve shoqëruese, nivelet e kërcënimit vlerësohen si mundësia e realizimit të kërcënimeve dhe nivelet e cenueshmërisë si shkalla e lehtësisë me të cilën një kërcënim i realizuar mund të çojnë në një ndikim negativ. Vlerësimi kryhet në shkallë cilësore. Për shembull, niveli i kërcënimeve dhe dobësive vlerësohet në një shkallë "të lartë-të ulët". Informacioni i nevojshëm të mbledhura duke intervistuar drejtues të lartë të kompanisë, komercial, teknik, personel dhe departamentet e shërbimit, duke shkuar në terren dhe duke analizuar dokumentacionin e kompanisë.

Së bashku me metodat tabelare për vlerësimin e rreziqeve të informacionit, moderne metodat matematikore, për shembull, metoda e tipit Delphi, si dhe sisteme të veçanta të automatizuara, disa prej të cilave do të diskutohen më poshtë.

Algoritmi i përgjithshëm i procesit të vlerësimit të rrezikut (Fig. 1.3.) në këto sisteme përfshin fazat e mëposhtme.

· përshkrimin e objektit dhe masat mbrojtëse;

· identifikimi i një burimi dhe vlerësimi i treguesve sasiorë të tij (identifikimi i ndikimit të mundshëm negativ në biznes);

· analiza e kërcënimeve të sigurisë së informacionit;

· vlerësimi i cenueshmërisë;

· vlerësimin e fondeve ekzistuese dhe të propozuara

garantimi i sigurisë së informacionit;

· vlerësimi i rrezikut.

5 Menaxhimi i riskut të informacionit

Aktualisht, menaxhimi i rrezikut të informacionit është një nga fushat më të rëndësishme dhe më dinamike në zhvillim të menaxhimit strategjik dhe operacional në fushën e sigurisë së informacionit. Detyra e saj kryesore është të identifikojë dhe vlerësojë në mënyrë objektive rreziqet më të rëndësishme të informacionit të biznesit të kompanisë, si dhe përshtatshmërinë e mjeteve të kontrollit të rrezikut të përdorura për të rritur efikasitetin dhe përfitimin e aktiviteteve ekonomike të ndërmarrjes. Prandaj, termi "menaxhimi i rrezikut të informacionit" zakonisht nënkupton procesi i sistemit identifikimi, kontrolli dhe zvogëlimi i rreziqeve të informacionit të kompanive në përputhje me kufizimet e caktuara të kuadrit rregullator rus në fushën e mbrojtjes së informacionit dhe të tyre politikën e korporatës sigurinë.

Oriz. 1.3. Algoritmi i vlerësimit të rrezikut

Përdorimi i sistemeve të informacionit shoqërohet me një grup të caktuar rreziqesh. Kur dëmi i mundshëm është i papranueshëm i madh, nevojiten masa mbrojtëse ekonomikisht të realizueshme. (Ri)vlerësimi periodik i rreziqeve është i nevojshëm për të monitoruar efektivitetin e aktiviteteve të sigurisë dhe për të llogaritur ndryshimet në mjedis.

Thelbi i menaxhimit të rrezikut është të vlerësojë madhësinë e rrezikut, të zhvillojë masa efektive dhe me kosto efektive për zbutjen e rrezikut dhe më pas të sigurojë që rreziqet të përmbahen (dhe të mbeten të tilla) brenda kufijve të pranueshëm. Rrjedhimisht, menaxhimi i riskut përfshin dy lloje aktivitetesh që alternohen në mënyrë ciklike:

)(ri)vlerësimi (matja) e rreziqeve;

)përzgjedhja e pajisjeve mbrojtëse efektive dhe ekonomike (neutralizimi i rrezikut).

Veprimet e mëposhtme janë të mundshme në lidhje me rreziqet e identifikuara:

· eliminimi i rrezikut (për shembull, duke eliminuar shkakun);

· zvogëlimi i rrezikut (për shembull, përmes përdorimit të pajisjeve shtesë mbrojtëse);

· pranimi i rrezikut (duke zhvilluar një plan veprimi në kushte të përshtatshme):

· ridrejtimi i rrezikut (për shembull, duke lidhur një marrëveshje sigurimi).

Procesi i menaxhimit të rrezikut mund të ndahet në fazat e mëposhtme:

1.Përzgjedhja e objekteve që do të analizohen dhe niveli i detajeve të shqyrtimit të tyre.

2.Zgjedhja e një metodologjie të vlerësimit të rrezikut.

.Identifikimi i pasurisë.

.Analiza e kërcënimeve dhe pasojave të tyre, identifikimi i dobësive të sigurisë.

.Vlerësimi i rrezikut.

.Përzgjedhja e masave mbrojtëse.

.Zbatimi dhe testimi i masave të përzgjedhura.

.Vlerësimi i rrezikut të mbetur.

Fazat 6 kanë të bëjnë me zgjedhjen e pajisjeve mbrojtëse (neutralizimi i rreziqeve), pjesa tjetër - me vlerësimin e rrezikut.

Tashmë renditja e fazave tregon se menaxhimi i rrezikut është një proces ciklik. Në thelb, hapi i fundit është një deklaratë në fund të ciklit që ju udhëzon të ktheheni në fillim. Rreziqet duhet të monitorohen vazhdimisht, duke i rivlerësuar ato në mënyrë periodike. Duhet të theksohet se një vlerësim i plotësuar dhe i dokumentuar me kujdes mund të thjeshtojë ndjeshëm aktivitetet e mëvonshme.

Menaxhimi i rrezikut, si çdo aktivitet tjetër i sigurisë së informacionit, duhet të integrohet në ciklin jetësor të IS. Atëherë efekti është më i madh dhe kostot janë minimale.

Menaxhimi i rrezikut duhet të kryhet në të gjitha fazat cikli i jetes sistemi informativ: inicim-zhvillim-instalim operim-depozitim (çmontim).

Në fazën e fillimit, rreziqet e njohura duhet të merren parasysh kur zhvillohen kërkesat për sistemin në përgjithësi dhe veçoritë e sigurisë në veçanti.

Gjatë fazës së zhvillimit, njohja e rreziqeve ndihmon në zgjedhjen e zgjidhjeve të përshtatshme arkitekturore që luajnë një rol kyç në garantimin e sigurisë.

Gjatë fazës së instalimit, rreziqet e identifikuara duhet të merren parasysh gjatë konfigurimit, testimit dhe verifikimit të formuluar më parë

kërkesat dhe cikli i plotë i menaxhimit të rrezikut duhet t'i paraprijë zbatimit të sistemit në funksionim.

Gjatë fazës operacionale, menaxhimi i rrezikut duhet të shoqërojë të gjitha ndryshimet e rëndësishme në sistem.

Kur çmontoni një sistem, menaxhimi i rrezikut ndihmon për të siguruar që migrimi i të dhënave të ndodhë në një mënyrë të sigurt.

Kapitulli II. Standardet e Sigurisë së Informacionit

1 Parakushtet për krijimin e standardeve të sigurisë së informacionit

Kryerja e një auditimi të sigurisë së informacionit bazohet në përdorimin e rekomandimeve të shumta, të cilat janë përcaktuar kryesisht në standardet ndërkombëtare të sigurisë së informacionit.

Një nga rezultatet e auditimit në Kohët e fundit Gjithnjë e më shumë, ekziston një certifikatë që vërteton përputhshmërinë e IP që po ekzaminohet me një të caktuar të njohur standard ndërkombëtar. Prania e një certifikate të tillë i lejon një organizate të fitojë avantazhe konkurruese që lidhen me besimin më të madh nga klientët dhe partnerët.

Përdorimi i standardeve ndihmon në arritjen e pesë objektivave të mëposhtëm.

Së pari, qëllimet e sigurimit të sigurisë së informacionit të sistemeve kompjuterike janë të përcaktuara rreptësisht. Së dyti, krijohet një sistem efektiv i menaxhimit të sigurisë së informacionit. Së treti, ai siguron llogaritjen e një grupi treguesish të detajuar, jo vetëm cilësor, por edhe sasior për të vlerësuar përputhshmërinë e sigurisë së informacionit me qëllimet e deklaruara. Së katërti, krijohen kushtet për përdorimin e mjeteve ekzistuese të sigurisë së informacionit (software) dhe vlerësimin e gjendjes aktuale të tij. Së pesti, ai hap mundësinë e përdorimit të teknikave të menaxhimit të sigurisë me një sistem të mirë-bazuar të matjeve dhe masave për të siguruar zhvilluesit e sistemit të informacionit.

Që nga fillimi i viteve '80 janë krijuar dhjetëra standarde ndërkombëtare dhe kombëtare në fushën e sigurisë së informacionit, të cilat në një masë plotësojnë njëra-tjetrën. Më poshtë do të shqyrtojmë standardet më të famshme sipas kronologjisë së krijimit të tyre:

)Kriteri për vlerësimin e besueshmërisë së sistemeve kompjuterike “Orange Book” (SHBA);

)Kriteret e harmonizuara të vendeve evropiane;

)Rekomandimet X.800;

)Standardi gjerman BSI;

)Standardi Britanik BS 7799;

)Standardi ISO 17799;

)Standardi "Kriteret e Përgjithshme" ISO 15408;

)Standardi COBIT

Këto standarde mund të ndahen në dy lloje:

· Standardet e vlerësimit që synojnë klasifikimin e sistemeve të informacionit dhe masave të sigurisë sipas kërkesave të sigurisë;

· Specifikimet teknike që rregullojnë aspekte të ndryshme të zbatimit të masave të sigurisë.

Është e rëndësishme të theksohet se nuk ka mur bosh midis këtyre llojeve të rregulloreve. Standardet e vlerësimit nxjerrin në pah aspektet më të rëndësishme të sigurisë së informacionit nga pikëpamja e sigurisë së informacionit, duke luajtur rolin e specifikimeve arkitekturore. Të tjera Specifikimet teknike përcaktoni se si të ndërtoni një IS të një arkitekture të përcaktuar.

2 Standardi “Kriteret për vlerësimin e besueshmërisë së sistemeve kompjuterike” (Libri Portokalli)

Historikisht, standardi i parë i vlerësimit që u përhap dhe pati një ndikim të madh në bazën e standardizimit të sigurisë së informacionit në shumë vende ishte standardi i Departamentit të Mbrojtjes së SHBA-së "Kriteret e vlerësimit për sistemet kompjuterike të besueshme".

Kjo vepër, e quajtur më shpesh "Libri Portokalli" nga ngjyra e kopertinës, u botua për herë të parë në gusht 1983. Vetëm emri i saj kërkon koment. Nuk po flasim për sisteme të sigurta, por për sisteme të besuara, pra sisteme që mund t'u jepet një shkallë e caktuar besimi.

Libri Portokalli shpjegon konceptin e një sistemi të sigurt që "kontrollon, me mjete të përshtatshme, aksesin në informacion në mënyrë që vetëm individët ose proceset e autorizuara siç duhet që veprojnë në emër të tyre të autorizohen të lexojnë, shkruajnë, krijojnë dhe fshijnë informacionin".

Megjithatë, është e qartë se absolutisht sisteme të sigurta nuk ekziston, është një abstraksion. Ka kuptim të vlerësohet vetëm shkalla e besimit që mund të vendoset në një sistem të caktuar.

Libri Portokalli përcakton një sistem të besuar si "një sistem që përdor pajisje të mjaftueshme dhe software për të siguruar përpunimin e njëkohshëm të informacionit të shkallëve të ndryshme të fshehtësisë nga një grup përdoruesish pa shkelur të drejtat e aksesit.”

Duhet theksuar se në kriteret në shqyrtim, si siguria ashtu edhe besimi vlerësohen vetëm nga pikëpamja e kontrollit të aksesit të të dhënave, që është një nga mjetet për të siguruar konfidencialitetin dhe integritetin e informacionit. Megjithatë, Libri Portokalli nuk trajton çështjet e aksesueshmërisë.

Shkalla e besimit vlerësohet sipas dy kritereve kryesore.

.Politika e sigurisë është një grup ligjesh, rregullash dhe kodesh sjelljeje që përcaktojnë se si një organizatë përpunon, mbron dhe shpërndan informacionin. Në veçanti, rregullat përcaktojnë se kur një përdorues mund të operojë në grupe të veçanta të dhënash. Sa më e lartë të jetë shkalla e besimit në sistem, aq më e rreptë dhe më e larmishme duhet të jetë politika e sigurisë. Në varësi të politikës së formuluar, mund të zgjidhen mekanizma specifikë sigurie. Politika e sigurisë është një aspekt aktiv i mbrojtjes, duke përfshirë analizën e kërcënimeve të mundshme dhe zgjedhjen e kundërmasave.

.Niveli i sigurisë është një masë besimi që mund të vendoset në arkitekturën dhe zbatimin e një SI. Besimi i sigurisë mund të rrjedhë si nga analiza e rezultateve të testimit, ashtu edhe nga verifikimi (formal ose jo) i dizajnit dhe zbatimit të përgjithshëm të sistemit në tërësi dhe komponentëve të tij individualë. Niveli i sigurisë tregon se sa korrekt janë mekanizmat përgjegjës për zbatimin e politikës së sigurisë. Ky është aspekti pasiv i mbrojtjes.

Mjeti kryesor i sigurimit të sigurisë përcaktohet nga mekanizmi i llogaridhënies (logging). Sistemi i besuar duhet të regjistrojë të gjitha ngjarjet e sigurisë. Mbajtja e të dhënave duhet të plotësohet me auditim, domethënë analizë të informacionit të regjistrimit. Koncepti i një baze kompjuterike të besuar është thelbësor për vlerësimin e shkallës së besimit të sigurisë. Një bazë llogaritëse e besuar është një grup mekanizmash sigurie IS (përfshirë harduerin dhe softuerin) përgjegjës për zbatimin e politikës së sigurisë. Cilësia e bazës llogaritëse përcaktohet vetëm nga zbatimi i saj dhe korrektësia e të dhënave fillestare të futura nga administratori i sistemit.

Komponentët në fjalë jashtë bazës kompjuterike mund të mos kenë besim, por kjo nuk duhet të ndikojë në sigurinë e sistemit në tërësi. Si rezultat, për të vlerësuar besimin e sigurisë së një sistemi informacioni, autorët e standardit rekomandojnë të merret parasysh vetëm baza e tij informatike.

Qëllimi kryesor i një baze llogaritëse të besueshme është të kryejë funksionet e një monitori të thirrjeve, domethënë të kontrollojë pranueshmërinë e subjekteve (përdoruesve) që kryejnë operacione të caktuara në objekte (entitete pasive). Monitoruesi kontrollon aksesin e çdo përdoruesi në programe ose të dhëna për përputhje me grupin e veprimeve të lejuara për përdoruesin.

Një monitor i thirrjeve duhet të ketë tre cilësi:

Izolim. Është e nevojshme për të parandaluar monitorimin e monitorimit.

Plotësia. Monitori duhet të thirret në çdo telefonatë; nuk duhet të ketë asnjë mënyrë për ta anashkaluar atë.

Verifikueshmëria. Monitori duhet të jetë kompakt në mënyrë që të mund të analizohet dhe testohet me besim se testimi do të jetë i plotë.

Implementimi i një monitori të goditur quhet kernel sigurie. Thelbi i sigurisë është themeli mbi të cilin janë ndërtuar të gjithë mekanizmat e sigurisë. Përveç veçorive të monitorit të aksesit të listuara më sipër, kerneli duhet të garantojë pandryshueshmërinë e tij.

Kufiri i një baze llogaritëse të besueshme quhet perimetër sigurie. Siç është thënë tashmë, komponentët jashtë perimetrit të sigurisë mund të mos u besohen në përgjithësi. Me zhvillimin sistemet e shpërndara Konceptit të "perimetrit të sigurisë" gjithnjë e më shumë po i jepet një kuptim tjetër, që do të thotë kufiri i zotërimeve të një organizate të caktuar. Ajo që është brenda pronës konsiderohet e besueshme, por ajo që është jashtë nuk është.

Sipas Librit Portokalli, një politikë sigurie duhet të përfshijë domosdoshmërisht elementët e mëposhtëm:

· kontrolli i aksesit të rastësishëm;

· siguria e ripërdorimit të objektit;

· etiketat e sigurisë;

· kontrolli i hyrjes së detyruar.

Kontrolli i aksesit të rastësishëm është një metodë e kufizimit të aksesit në objekte, bazuar në marrjen parasysh të identitetit të subjektit ose grupit të cilit i përket subjekti. Arbitrariteti i kontrollit është që një person i caktuar (zakonisht pronari i një objekti) mundet, sipas gjykimit të tij, të japë ose t'u heqë subjekteve të tjera të drejta aksesi ndaj objektit.

Siguria e ripërdorimit të objekteve është një shtesë e rëndësishme për kontrollet e aksesit që parandalon që informacionet e ndjeshme të fshihen aksidentalisht ose qëllimisht nga mbeturinat. Siguria e ripërdorimit duhet të garantohet për zonat e RAM-it (në veçanti, për buferët me imazhe të ekranit, fjalëkalime të deshifruara, etj.), për blloqet e diskut dhe mediat magnetike në përgjithësi.

3 standard gjerman BSI

Në vitin 1998, "Udhëzuesi i Sigurisë së Teknologjisë së Informacionit të Nivelit Bazë" u botua në Gjermani. Manuali është një hipertekst prej afërsisht 4 MB (format HTML). Më vonë u zyrtarizua si standardi gjerman BSI. Ai bazohet në metodologjinë e përgjithshme dhe komponentët e menaxhimit të sigurisë së informacionit:

· Metoda e përgjithshme e menaxhimit të sigurisë së informacionit (organizimi i menaxhimit në fushën e sigurisë së informacionit, metodologjia e përdorimit të manualit).

· Përshkrimet e komponentëve të teknologjive moderne të informacionit.

· Komponentët kryesorë (niveli organizativ i sigurisë së informacionit, niveli procedural, organizimi i mbrojtjes së të dhënave, planifikimi i emergjencës).

· Infrastruktura (ndërtesat, ambientet, rrjetet kabllore, organizimi i aksesit në distancë).

· Komponentët e klientit të llojeve të ndryshme (DOS, Windows, UNIX, komponentë celularë, lloje të tjera).

· Rrjete të llojeve të ndryshme (lidhje pikë-pikë, rrjete Novell NetWare, rrjete me OC ONIX dhe Windows, rrjete heterogjene).

· Elementet e sistemeve të transmetimit të të dhënave ( Email, modemë, mure zjarri, etj.).

· Telekomunikacioni (fakse, aparate telefonike, sisteme të integruara të bazuara në ISDN, sisteme të tjera telekomunikacioni).

· Softuer standard.

· Baza e të dhënave.

· Përshkrimet e komponentëve kryesorë të organizimit të një regjimi të sigurisë së informacionit (nivelet organizative dhe teknike të mbrojtjes së të dhënave, planifikimi emergjent, mbështetja e vazhdimësisë së biznesit).

· Karakteristikat e objekteve të informacionit (ndërtesa, ambiente, rrjete kabllore, zona të kontrolluara).

· Karakteristikat e aseteve kryesore të informacionit të kompanisë (përfshirë harduerin dhe softuerin, të tilla si stacionet e punës dhe serverët që ekzekutojnë sistemet operative DOS, Windows dhe UNIX).

· Karakteristikat e rrjeteve kompjuterike të bazuara në teknologji të ndryshme të rrjetit, si rrjetet Novell Net Ware, rrjetet UNIX dhe Windows).

· Karakteristikat e pajisjeve të telekomunikacionit aktiv dhe pasiv nga shitësit kryesorë, për shembull Cisco Systems.

· Katalogë të detajuar të kërcënimeve të sigurisë dhe masave të kontrollit (më shumë se 600 artikuj në çdo katalog).

Të gjitha llojet e kërcënimeve në standardin BSI ndahen në klasat e mëposhtme:

· Rrethanat e forcës madhore.

· Disavantazhet e masave organizative.

· Gabimet njerëzore.

· Probleme teknike.

· Veprime të qëllimshme.

Kundërmasat klasifikohen në mënyrë të ngjashme:

· Përmirësimi i infrastrukturës;

· Kundërmasat administrative;

· Kundërmasat procedurale;

· Kundërmasat softuerike dhe harduerike;

· Reduktimi i cenueshmërisë së komunikimeve; planifikimi emergjent.

Të gjithë komponentët konsiderohen dhe përshkruhen sipas planit të mëposhtëm:

)përshkrim i përgjithshëm;

)skenarët e mundshëm të kërcënimeve të sigurisë (kërcënimet e aplikueshme për këtë komponent janë të listuara nga katalogu i kërcënimeve të sigurisë);

)kundërmasat e mundshme (kërcënimet e aplikueshme për këtë komponent nga katalogu i kërcënimeve të sigurisë janë të listuara);

4 Standardi Britanik BS 7799