Auditimi siguria e informacionit jo vetëm që mund t'i japë bankës të drejtën për të kryer disa lloje aktivitetesh, por edhe të shfaqë dobësi në sistemet e bankës. Prandaj, është e nevojshme të merret një qasje e ekuilibruar ndaj vendimit për të kryer dhe zgjedhur formën e auditimit.
Sipas Ligjit Federal të 30 dhjetorit 2008 Nr. 307-FZ "Për aktivitetet e auditimit", një auditim është "një verifikim i pavarur i pasqyrave kontabël (financiare) të njësisë së audituar për të shprehur një opinion mbi besueshmërinë e këtyre deklaratat.” Ky term i përmendur në këtë ligj nuk ka asnjë lidhje me sigurinë e informacionit. Sidoqoftë, ndodh që specialistët e sigurisë së informacionit e përdorin atë në mënyrë mjaft aktive në fjalimin e tyre. Në këtë rast, auditimi i referohet procesit të vlerësimit të pavarur të aktiviteteve të një organizate, sistemi, procesi, projekti ose produkti. Në të njëjtën kohë, duhet kuptuar se në rregullore të ndryshme vendase termi "auditim i sigurisë së informacionit" nuk përdoret gjithmonë - ai shpesh zëvendësohet ose nga termi "vlerësim i konformitetit" ose nga termi pak i vjetëruar, por ende i përdorur "certifikimi". Ndonjëherë përdoret edhe termi "çertifikim", por në lidhje me rregulloret ndërkombëtare të huaja. Një auditim i sigurisë së informacionit kryhet ose për të verifikuar përputhjen me rregulloret, ose për të verifikuar vlefshmërinë dhe sigurinë e zgjidhjeve të përdorura. Por pavarësisht se çfarë termi përdoret, në thelb, një auditim i sigurisë së informacionit kryhet ose për të verifikuar përputhjen me rregulloret, ose për të verifikuar vlefshmërinë dhe sigurinë e zgjidhjeve të përdorura. Në rastin e dytë, auditimi është vullnetar dhe vendimi për kryerjen e tij merret nga vetë organizata. Në rastin e parë, është e pamundur të refuzohet kryerja e një auditimi, pasi kjo sjell shkelje të kërkesave të përcaktuara me rregullore, gjë që çon në dënim në formën e gjobës, pezullimit të aktiviteteve ose formave të tjera të dënimit. Nëse një auditim është i detyrueshëm, ai mund të kryhet si nga vetë organizata, për shembull, në formën e vetëvlerësimit (megjithatë, në këtë rast nuk flitet për "pavarësi" dhe termi "audit" nuk është plotësisht e saktë për t'u përdorur këtu), ose nga organizata të jashtme të pavarura - auditorë. Opsioni i tretë për kryerjen e një auditimi të detyrueshëm është kontrolli nga organet rregullatore të autorizuara për të kryer aktivitetet e duhura mbikëqyrëse. Ky opsion shpesh quhet inspektim dhe jo auditim. Meqenëse një auditim vullnetar mund të kryhet për absolutisht çdo arsye (për të kontrolluar sigurinë e sistemit bankar në distancë, për të kontrolluar aktivet e një banke të blerë, për të kontrolluar një degë të sapohapur, etj.), Ne nuk do ta shqyrtojmë këtë opsion. Në këtë rast, është e pamundur të përvijohen qartë kufijtë e tij, as të përshkruhen format e raportimit të tij, as të flitet për rregullsinë - e gjithë kjo vendoset nga një marrëveshje midis auditorit dhe organizatës së audituar. Prandaj, ne do të shqyrtojmë vetëm format e auditimit të detyrueshëm që janë specifike për bankat.
Standardi ndërkombëtar ISO 27001
Ndonjëherë mund të dëgjoni për një bankë të caktuar që i nënshtrohet një auditimi për pajtueshmërinë me kërkesat e standardit ndërkombëtar "ISO/IEC 27001:2005" (ekuivalenti i tij i plotë rus është "GOST R ISO/IEC 27001-2006 - Teknologjia e informacionit - Metodat dhe mjetet të garantimit të sigurisë.Sistemet e menaxhimit të sigurisë së informacionit – Kërkesat”). Në thelb, ky standard është një grup Praktikat më të mira mbi menaxhimin e sigurisë së informacionit në organizatat e mëdha (organizatat e vogla, duke përfshirë bankat, nuk janë gjithmonë në gjendje të përmbushin kërkesat e këtij standardi në në mënyrë të plotë). Si çdo standard në Rusi, ISO 27001 është një dokument thjesht vullnetar, të cilin çdo bankë vendos ta pranojë ose jo në mënyrë të pavarur. Por ISO 27001 është një standard de facto në mbarë botën dhe specialistët në shumë vende e përdorin këtë standard si një lloj gjuhë universale të cilat duhet të ndiqen kur kemi të bëjmë me sigurinë e informacionit. ISO 27001 shoqërohet gjithashtu me disa pika jo aq të dukshme dhe jo të përmendura shpesh. Megjithatë, ISO 27001 përfshin gjithashtu disa pika më pak të dukshme dhe më pak të përmendura. Së pari, jo i gjithë sistemi i sigurisë së informacionit të bankës i nënshtrohet auditimit sipas këtij standardi, por vetëm një ose më shumë prej tij. komponentët. Për shembull, një sistem sigurie bankare në distancë, një sistem sigurie të zyrës qendrore të bankës ose një sistem sigurie të procesit të menaxhimit të personelit. Me fjalë të tjera, marrja e një certifikate konformiteti për një nga proceset e vlerësuara si pjesë e auditimit nuk garanton që proceset e mbetura janë në të njëjtën gjendje afër idealit. Pika e dytë lidhet me faktin se ISO 27001 është një standard universal, domethënë i zbatueshëm për çdo organizatë, dhe për këtë arsye nuk merr parasysh specifikat e një industrie të veçantë. Kjo ka bërë që në kuadër të organizatës ndërkombëtare për standardizim ISO, prej kohësh flitet për krijimin e standardit ISO 27015, që është përkthim i ISO 27001/27002 për industrinë financiare. Banka e Rusisë gjithashtu merr pjesë aktive në zhvillimin e këtij standardi. Megjithatë, Visa dhe MasterCard janë kundër draftit të këtij standardi, i cili tashmë është zhvilluar. I pari beson se draft standardi përmban shumë pak informacion të nevojshëm për industrinë financiare (për shembull, mbi sistemet e pagesave), dhe nëse shtohet atje, standardi duhet të transferohet në një komitet tjetër ISO. MasterCard gjithashtu propozon të ndalojë zhvillimin e ISO 27015, por motivimi është i ndryshëm - thonë ata, industria financiare tashmë është plot me dokumente që rregullojnë temën e sigurisë së informacionit. Së treti, është e nevojshme t'i kushtohet vëmendje që shumë propozime të gjetura në tregun rus nuk flasin për një auditim të përputhshmërisë, por për përgatitjen për një auditim. Fakti është se vetëm disa organizata në botë kanë të drejtë të certifikojnë pajtueshmërinë me kërkesat e ISO 27001. Integruesit ndihmojnë vetëm kompanitë të përmbushin kërkesat e standardit, të cilat më pas do të verifikohen nga auditorët zyrtarë (quhen edhe regjistrues, organizma certifikues etj.). Ndërsa debati vazhdon nëse bankat duhet të zbatojnë ISO 27001 apo jo, disa shpirtra të guximshëm shkojnë për të dhe i nënshtrohen 3 fazave të auditimit të përputhshmërisë:- Ekzaminimi paraprak informal nga auditori i dokumenteve kyçe (si brenda ashtu edhe jashtë sajtit të klientit të auditimit).
- Auditim formal dhe më i thelluar i masave mbrojtëse të zbatuara, vlerësimi i efektivitetit të tyre dhe studimi i dokumenteve të nevojshme të hartuara. Kjo fazë zakonisht përfundon me konfirmimin e pajtueshmërisë dhe auditori lëshon një certifikatë përkatëse të njohur në të gjithë botën.
- Kryerja e një auditimi vjetor inspektimi për të konfirmuar certifikatën e konformitetit të marrë më parë.
Një grup dokumentesh të Bankës së Rusisë STO BR IBBS
Një standard i tillë, ose më saktë një grup standardesh, është një grup dokumentesh nga Banka e Rusisë që përshkruan një qasje të unifikuar për ndërtimin e një sistemi të sigurisë së informacionit për organizatat. sektori bankar duke marrë parasysh kërkesat Legjislacioni rus. Në thelb këtë grup dokumentet (më tej referuar si STO BR IBBS), që përmbajnë tre standarde dhe pesë rekomandime për standardizim, qëndron ISO 27001 dhe një sërë standardesh të tjera ndërkombëtare për menaxhimin e teknologjisë së informacionit dhe sigurinë e informacionit. Çështjet e auditimit dhe vlerësimit të përputhshmërisë me kërkesat e standardit, si për ISO 27001, janë të përcaktuara në dokumente të veçanta - "STO BR IBBS-1.1-2007. Auditimi i sigurisë së informacionit", "STO BR IBBS-1.2-2010. Metodologjia për vlerësimin e përputhshmërisë së sigurisë së informacionit të organizatave të sistemit bankar Federata Ruse kërkesat e STO BR IBBS-1.0-2010" dhe "RS BR IBBS-2.1-2007. Udhëzime për vetëvlerësimin e përputhshmërisë së sigurisë së informacionit të organizatave të sistemit bankar të Federatës Ruse me kërkesat e STO BR IBBS-1.0. Gjatë vlerësimit të përputhshmërisë sipas STO BR IBBS, kontrollohet zbatimi i 423 treguesve privatë të sigurisë së informacionit, të grupuar në 34 tregues grupi. Rezultati i vlerësimit është treguesi përfundimtar, i cili duhet të jetë në nivelin e 4-të ose të 5-të në një shkallë pesë-pikëshe, themeluar nga Banka Rusia. Kjo, meqë ra fjala, e dallon shumë një auditim sipas STO BR IBBS nga një auditim sipas rregulloreve të tjera në fushën e sigurisë së informacionit. Në STO BR IBBS nuk ka mospërputhje, thjesht niveli i pajtueshmërisë mund të jetë i ndryshëm: nga zero në pesë. Dhe vetëm nivelet mbi 4 konsiderohen pozitive. Në fund të vitit 2011, afërsisht 70-75% e bankave kanë zbatuar ose janë në proces të zbatimit të këtij grupi standardesh. Përkundër gjithçkaje, ato janë de jure në natyrë këshilluese, por inspektimet de facto të Bankës së Rusisë kryheshin deri vonë pikërisht në përputhje me kërkesat e STO BR IBBS (megjithëse kjo nuk u deklarua kurrë në mënyrë eksplicite askund). Situata ndryshoi më 1 korrik 2012, kur ligji “Për Kombëtar sistemi i pagesave"dhe dokumentet rregullatore të Qeverisë së Rusisë dhe Bankës së Rusisë të zhvilluara për zbatimin e tij. Nga ky moment, në rendin e ditës doli sërish çështja e nevojës për kryerjen e një auditimi të përputhshmërisë me kërkesat e STO BR IBBS. Fakti është se metodologjia për vlerësimin e përputhshmërisë, e propozuar në kuadrin e legjislacionit për sistemin kombëtar të pagesave (NPS), dhe metodologjia për vlerësimin e përputhshmërisë me STO BR IBBS mund të ndryshojnë shumë në vlerat përfundimtare. Në të njëjtën kohë, vlerësimi duke përdorur metodën e parë (për NPS) është bërë i detyrueshëm, ndërsa vlerësimi duke përdorur STO BR IBBS është ende de jure i natyrës rekomanduese. Dhe në kohën e shkrimit, vetë Banka e Rusisë nuk kishte marrë ende një vendim për fatin e ardhshëm të këtij vlerësimi. Nëse më parë të gjitha temat u konvergjuan në Drejtorinë kryesore të Sigurisë dhe Mbrojtjes së Informacionit të Bankës së Rusisë (GUBZI), atëherë ndarja e kompetencave midis GUBZI dhe Departamentit për Rregullimin e Vendbanimeve (LHH) është ende një pyetje e hapur. Është tashmë e qartë se aktet legjislative për SKP-në kërkojnë vlerësim të detyrueshëm të konformitetit, pra një auditim.Legjislacioni për sistemin kombëtar të pagesave
Legjislacioni për NPS është vetëm në agim të formimit të tij dhe na presin shumë dokumente të reja, përfshirë ato për çështjet e garantimit të sigurisë së informacionit. Por tashmë është e qartë se Rregullorja 382-P, e nxjerrë dhe e miratuar më 9 qershor 2012, “Për kërkesat për sigurimin e mbrojtjes së informacionit gjatë kryerjes së transfertave. Paratë dhe mbi procedurën që Banka e Rusisë të monitorojë pajtueshmërinë me kërkesat e sigurisë së informacionit gjatë kryerjes së transfertave të parave” kërkon në paragrafin 2.15 një vlerësim të detyrueshëm të pajtueshmërisë, domethënë një auditim. Një vlerësim i tillë kryhet ose në mënyrë të pavarur ose me përfshirjen e palëve të treta. Siç u përmend më lart, vlerësimi i konformitetit i kryer në kuadrin e 382-P është i ngjashëm në thelb me atë që përshkruhet në metodologjinë e vlerësimit të konformitetit STO BR IBBS, por prodhon rezultate krejtësisht të ndryshme, të cilat shoqërohen me futjen e faktorëve të veçantë korrigjues. të cilat përcaktojnë rezultatet e ndryshme. Asnje kërkesa të veçanta Rregullorja 382-P nuk zbatohet për organizatat e përfshira në auditim, e cila bie fare në kundërshtim me Dekretin e Qeverisë nr. 584, datë 13 qershor 2012 “Për mbrojtjen e informacionit në sistemin e pagesave”, i cili kërkon gjithashtu organizimin dhe kryerjen e monitorimit dhe vlerësimin e përputhshmërisë me kërkesat për mbrojtjen e informacionit një herë në 2 vjet. Megjithatë, Dekreti i Qeverisë i zhvilluar nga FSTEC kërkon që auditimet e jashtme të kryhen vetëm nga organizata të licencuara për të vepruar në mbrojtjen teknike informacion konfidencial. Kërkesat shtesë që janë të vështira për t'u klasifikuar si një formë auditimi, por që imponojnë përgjegjësi të reja mbi bankat, renditen në seksionin 2.16 të Rregullores 382-P. Sipas këtyre kërkesave, operatori i sistemit të pagesave është i detyruar të zhvillojë dhe bankat që i janë bashkuar këtij sistemi pagesash janë të detyruara të përmbushin kërkesat për informimin e rregullt të operatorit të sistemit të pagesave për çështje të ndryshme të sigurisë së informacionit në bankë: për respektimin e kërkesave të sigurisë së informacionit. , për incidentet e identifikuara, për vetëvlerësimet e kryera, për kërcënimet dhe dobësitë e identifikuara. Përveç auditimit të kryer mbi baza kontraktuale, Ligji Federal Nr. 161 për NPS përcakton gjithashtu se kontrolli dhe mbikëqyrja e përputhshmërisë me kërkesat e vendosura nga Qeveria e Federatës Ruse në Rezolutën 584 dhe Banka e Rusisë në Rregulloren 382 kryhen nga FSB FSTEC dhe Banka e Rusisë, përkatësisht. Në kohën e shkrimit, as FSTEC dhe as FSB nuk kishin një procedurë të zhvilluar për kryerjen e një mbikëqyrjeje të tillë, ndryshe nga Banka e Rusisë, e cila nxori Rregulloren Nr. 380-P, datë 31 maj 2012 "Për procedurën e monitorimit të sistemit kombëtar të pagesave". (për institucionet e kreditit) dhe Rregulloret e datës 9 qershor 2012 Nr. 381-P “Për procedurën e mbikëqyrjes së përputhshmërisë nga operatorët e sistemit të pagesave dhe operatorët e shërbimeve të infrastrukturës së pagesave që nuk janë institucione krediti me kërkesat e Ligjit Federal të 27 qershorit 2011 Nr. 161-FZ "Për Sistemin Kombëtar të Pagesave" miratuar në përputhje me rregulloret e Bankës së Rusisë." Aktet rregullatore në fushën e mbrojtjes së informacionit në sistemin kombëtar të pagesave janë vetëm në fillim të zhvillimit të detajuar. Më 1 korrik 2012, Banka e Rusisë filloi testimin e tyre dhe mbledhjen e fakteve mbi praktikën e zbatimit të ligjit. Ndaj sot është e parakohshme të flitet se si do të zbatohen këto rregullore, si do të kryhet mbikëqyrja sipas 380-P, çfarë përfundimesh do të nxirren në bazë të rezultateve të vetëvlerësimit të kryer çdo 2 vjet dhe dërgohen në Bankë. të Rusisë.Standardi i sigurisë së kartës së pagesës PCI DSS
Standardi i Sigurisë së të Dhënave të Industrisë së Kartës së Pagesave (PCI DSS) është një standard i sigurisë së të dhënave të kartës së pagesës i zhvilluar nga Këshilli i Standardeve të Sigurisë së Industrisë së Kartës së Pagesave (PCI SSC), i cili u krijua nga sistemet ndërkombëtare të pagesave Visa, MasterCard, American Express, JCB dhe Discover. Standardi PCI DSS është një grup prej 12 kërkesash të nivelit të lartë dhe mbi 200 kërkesave të detajuara për të garantuar sigurinë e të dhënave të mbajtësit të kartës së pagesës që transmetohen, ruhen dhe përpunohen në sistemet e informacionit ah organizatat. Kërkesat e standardit vlejnë për të gjitha kompanitë që punojnë me sistemet ndërkombëtare të pagesave Visa dhe MasterCard. Në varësi të numrit të transaksioneve të përpunuara, çdo kompanie i caktohet një nivel i caktuar me një grup kërkesash përkatëse që këto kompani duhet të plotësojnë. Këto nivele ndryshojnë në varësi të sistemit të pagesave. Kalimi me sukses i një auditimi nuk do të thotë se gjithçka është në rregull me sigurinë në bankë - ka shumë truke që lejojnë organizatën e audituar të fshehë disa mangësi në sistemin e saj të sigurisë. Verifikimi i pajtueshmërisë me kërkesat e standardit PCI DSS kryhet brenda kornizës së certifikimit të detyrueshëm, kërkesat për të cilat ndryshojnë në varësi të llojit të kompanisë që inspektohet - një ndërmarrje tregtare dhe shërbimi që pranon karta pagese për pagesa për mallra dhe shërbime. , ose një ofrues shërbimi që ofron shërbime për tregtarët dhe përfitues të bankave, emetuesve, etj. (qendrat e përpunimit, portat e pagesave, etj.). Ky vlerësim mund të marrë forma të ndryshme:- auditimet vjetore nga kompanitë e akredituara me statusin e vlerësuesve të kualifikuar të sigurisë (QSA);
- vetëvlerësimi vjetor;
- skanimi tremujor i rrjetit me ndihmën e organizatave të autorizuara me statusin e shitësit të skanimit të aprovuar (ASV).
Legjislacioni për të dhënat personale
Dokumenti më i fundit rregullator, gjithashtu i rëndësishëm për industrinë bankare dhe vendos kërkesat për vlerësimin e konformitetit, është Ligji Federal "Për të Dhënat Personale". Megjithatë, as forma e një auditimi të tillë, as shpeshtësia e tij, as kërkesat për organizatën që kryen një auditim të tillë nuk janë përcaktuar ende. Ndoshta kjo çështje do të zgjidhet në vjeshtën e vitit 2012, kur do të publikohet grupi tjetër i dokumenteve nga Qeveria e Federatës Ruse, FSTEC dhe FSB, duke futur standarde të reja në fushën e mbrojtjes së të dhënave personale. Ndërkohë, bankat mund të jenë të qetë dhe të përcaktojnë në mënyrë të pavarur specifikat e një auditimi të çështjeve të mbrojtjes së të dhënave personale. Kontrolli dhe mbikëqyrja mbi zbatimin e masave organizative dhe teknike për të garantuar sigurinë e të dhënave personale të përcaktuara me nenin 19 të 152-FZ kryhet nga FSB dhe FSTEC, por vetëm për sistemet shtetërore të informacionit të të dhënave personale. Sipas ligjit, nuk ka njeri që të ushtrojë kontroll mbi organizatat tregtare në fushën e sigurimit të sigurisë së informacionit të të dhënave personale. E njëjta gjë nuk mund të thuhet për çështjet e mbrojtjes së të drejtave të subjekteve të të dhënave personale, pra klientëve, palëve dhe thjesht vizitorëve të bankës. Këtë detyrë e mori përsipër Roskomnadzor, i cili kryen në mënyrë shumë aktive funksionet e tij mbikëqyrëse dhe i konsideron bankat si ndër shkelësit më të këqij të ligjit për të dhënat personale.Dispozitat përfundimtare
Rregulloret kryesore në fushën e sigurisë së informacionit në lidhje me institucionet e kreditit janë diskutuar më sipër. Ka shumë prej këtyre rregulloreve, dhe secila prej tyre përcakton kërkesat e veta për kryerjen e vlerësimit të konformitetit në një formë ose në një tjetër - nga vetë-vlerësimi në formën e plotësimit të pyetësorëve (PCI DSS) deri në kalimin e një auditimi të detyrueshëm një herë në dy vjet ( 382-P) ose një herë në vit (ISO 27001). Midis këtyre formave më të zakonshme të vlerësimit të pajtueshmërisë, ka të tjera - njoftimet e operatorit të sistemit të pagesave, skanimet tremujore, etj. Gjithashtu vlen të kujtohet dhe të kuptohet se vendit i mungon ende një sistem pikëpamjet jo vetëm mbi rregullore qeveritare proceset e auditimit të sigurisë së informacionit të organizatave dhe sistemeve të teknologjisë së informacionit, por edhe vetë tema e auditimit të sigurisë së informacionit në përgjithësi. Në Federatën Ruse, ka një numër departamentesh dhe organizatash (FSTEC, FSB, Banka e Rusisë, Roskomnadzor, PCI SSC, etj.) përgjegjëse për sigurinë e informacionit. Dhe të gjithë veprojnë në bazë të rregulloreve dhe udhëzimeve të tyre. Qasje të ndryshme, standarde të ndryshme, nivele të ndryshme pjekuria... E gjithë kjo ndërhyn në vendosjen e rregullave uniforme të lojës. Tabloja prishet edhe nga shfaqja e kompanive fluturuese për natë, të cilat, në kërkim të fitimit, ofrojnë shërbime me cilësi shumë të ulët në fushën e vlerësimit të përputhshmërisë me kërkesat e sigurisë së informacionit. Dhe situata nuk ka gjasa të ndryshojë për mirë. Nëse ka nevojë, do të ketë nga ata që do ta kënaqin atë, ndërkohë që thjesht nuk ka auditorë të kualifikuar për të gjithë. Me numrin e tyre të vogël (të paraqitur në tabelë) dhe kohëzgjatjen e auditimit nga disa javë në disa muaj, është e qartë se nevojat për auditim i tejkalojnë seriozisht aftësitë e audituesve. Në “Konceptin e auditimit të sigurisë së informacionit të sistemeve dhe organizatave të teknologjisë së informacionit”, i cili nuk u miratua kurrë nga FSTEC, ekzistonte fraza e mëposhtme: “në të njëjtën kohë, në mungesë të rregullatorëve të nevojshëm kombëtarë, aktivitete të tilla / auditime të parregulluara nga firmat private / mund të shkaktojnë dëme të pariparueshme për organizatat.” Si përfundim, autorët e Konceptit propozuan unifikimin e qasjeve ndaj auditimit dhe vendosjen legjislative të rregullave të lojës, duke përfshirë rregullat për akreditimin e auditorëve, kërkesat për kualifikimet e tyre, procedurat e auditimit, etj., por gjërat janë ende aty. Megjithëse, duke pasur parasysh vëmendjen që rregullatorët vendas në fushën e sigurisë së informacionit (dhe ne kemi 9 prej tyre) i kushtojnë çështjeve të sigurisë së informacionit (vetëm gjatë vitit të kaluar kalendarik, janë miratuar ose zhvilluar 52 rregullore për çështjet e sigurisë së informacionit - një rregullore në javë !), nuk e përjashtoj që kjo temë të rishikohet së shpejti.STANDARDET E AUDITIMIT TË SIGURISË TË INFORMACIONIT
OPINIONI I EKSPERTIT
Dmitry Markin, Shef i Departamentit të Auditimit dhe Konsulencës së AMT-GROUP:
Deri kohët e fundit, çështjet e kalimit të një auditimi të detyrueshëm të statusit të sigurisë së informacionit për institucionet e kreditit brenda kornizës së legjislacionit rus rregulloheshin vetëm nga Ligji Federal-152 "Për të Dhënat Personale" për sa i përket kontrollit të brendshëm mbi masat e marra për të siguruar siguria e të dhënave personale, si dhe nga Rregullorja e Bankës Qendrore të Federatës Ruse Nr. 242-P "Për organizimin e kontrollit të brendshëm në institucionet e kreditit dhe grupet bankare". Për më tepër, në përputhje me kërkesat e Rregullores Nr. 242-P, procedura për monitorimin e mbështetjes së sigurisë së informacionit përcaktohet në mënyrë të pavarur nga dokumentet e brendshme të institucionit të kreditit, pa iu referuar kërkesave specifike për mbështetjen e sigurisë së informacionit. Në lidhje me hyrjen në fuqi të nenit 27 të ligjit federal nr. 161 "Për sistemin kombëtar të pagesave", i cili përcakton kërkesat për mbrojtjen e informacionit në sistemin e pagesave, Dekreti i Qeverisë së Federatës Ruse nr. “Për miratimin e rregulloreve për mbrojtjen e informacionit në sistemin e pagesave” dhe Rregullorja e Bankës Qendrore u publikuan RF Nr. 382-P. Sipas kërkesave të Rezolutës Nr. 584 dhe Rregullores Nr. 382-P, mbrojtja e informacionit në sistemin e pagesave duhet të kryhet në përputhje me kërkesat e këtyre rregulloreve dhe kërkesat e përfshira nga operatorët e sistemit të pagesave në rregullat e pagesave. sistemeve. Pika kryesore këtu është konsolidimi në nivelin e legjislacionit kombëtar të së drejtës së operatorëve të sistemit të pagesave (për shembull, Visa dhe MasterCard) për të vendosur në mënyrë të pavarur kërkesat për mbrojtjen e informacionit. Rregullorja nr. 382-P specifikon gjithashtu detyrimin e institucioneve të kreditit për të vlerësuar respektimin e kërkesave të sigurisë së informacionit të paktën një herë në 2 vjet, përcakton qartë metodologjinë e vlerësimit të përputhshmërisë, kriteret e auditimit dhe procedurën e dokumentimit të rezultateve të saj. Sipas mendimit tonë, shfaqja e rregulloreve të mësipërme duhet të rrisë statistikat e certifikimit nga institucionet e kreditit sipas kërkesave të standardit të sigurisë së të dhënave të industrisë së kartave të pagesave PCI DSS 2.0, i zhvilluar me pjesëmarrjen e sistemeve kryesore ndërkombëtare të pagesave Visa dhe MasterCard.
Shumë ndoshta kanë bërë pyetjen "si të kryhet një auditim i sigurisë së informacionit?" ku të fillojë? çfarë teknike duhet të përdor? a ka softuer të specializuar për këtë? Cilat programe falas ekzistojnë për këtë?
Sot do t'ju prezantojmë një produkt nga Microsoft i cili ju lejon të auditoni informacionin Microsoft Security Mjeti i Vlerësimit të Sigurisë (MSAT). Produkti ju lejon të identifikoni rreziqet e sigurisë së informacionit në një sistem ekzistues dhe të jepni rekomandime për eliminimin e tyre. Sipas krijuesve, aplikacioni është krijuar për organizata me më pak se 1000 punonjës dhe gjithashtu do t'ju ndihmojë të kuptoni më mirë personelin, proceset, burimet dhe teknologjitë që synojnë të garantojnë planifikim efektiv të aktiviteteve të sigurisë dhe zbatimin e metodave të reduktimit të rrezikut në organizimi. Më e mira nga të gjitha, aplikacioni është falas dhe mund të shkarkohet nga faqja e internetit e zhvilluesit. Ky produkt mund të përdoret si një pyetësor për specialistët e IT-së, HR dhe specialistët e sigurisë së informacionit.
Gjatë procedurës së vlerësimit të rrezikut, bazuar në përgjigjet e pyetjeve, mjedisi i IT do të kontrollohet për fushat kryesore të kërcënimeve të sigurisë së informacionit. Vlerësimi përdor konceptin e mbrojtjes në thellësi (DiD) për të përcaktuar efektivitetin e strategjisë së sigurisë. Koncepti i "mbrojtjes në thellësi" i referohet zbatimit të mbrojtjes me shumë shtresa, duke përfshirë kontrollet teknike, organizative dhe operacionale. Mjeti i vlerësimit bazohet në standardet e pranuara përgjithësisht dhe praktikat më të mira të krijuara për të reduktuar rrezikun në sistemet e teknologjisë së informacionit. Procesi i vlerësimit mund të përsëritet dhe mund të përdoret gjithashtu për të kontrolluar progresin drejt qëllimeve të sigurisë organizative në infrastrukturën e TI-së.
Për të identifikuar kërcënimet e sigurisë në sistemin IT të organizatës suaj, fusha specifike të analizës do të vlerësojnë politikat në lidhje me rrezikun ndaj biznesit, teknologjisë, proceseve dhe njerëzve. Pasi të përfundojë vlerësimi, do të jepen rekomandime për menaxhimin e këtyre rreziqeve bazuar në praktikat më të mira të njohura nga industria. Këto udhëzime synojnë të ofrojnë udhëzime paraprake për të ndihmuar organizatën tuaj të zbatojë praktikat më të mira të TI-së të njohura nga industria.
Vlerësimi i rrezikut përbëhet nga dy pjesë: profili i rrezikut të biznesit (BRP) dhe vlerësimi (i cili përfshin katër fusha të analizës). PSR-të përfaqësojnë rreziqe të zakonshme me të cilat përballet një kompani. Pasi të përfundojë ky vlerësim, ai mbetet i pandryshuar derisa të bëhen ndryshime thelbësore në sistemin e IT të kompanisë. Mund të plotësoni dhe ruani vlerësime të shumta. Këto vlerësime mund dhe duhet të ndryshojnë me kalimin e kohës ndërsa zbatohen masat e avancuara të sigurisë.
Pra, le të shohim, së pari krijoni një profil:
Dhe plotësoni përgjigjet e pyetjeve; ndërsa i plotësoni, butonat bëhen të gjelbër:
Pasi të plotësoni bllokun e parë të pyetjeve në lidhje me parametrat e kompanisë, klikoni në: "Krijimi i një vlerësimi të ri"
Pas kësaj, ne plotësojmë pyetje mbi infrastrukturën e TI-së, personelin dhe menaxhimin e proceseve të biznesit:
Pas përgjigjeve, prisni për ikonën "Raporte".
Raporti mund të ruhet si *.docs ose të shihet në aplikacion. Ne lexojmë të gjitha konkluzionet, bëjmë rekomandime bazuar në praktikat më të mira botërore dhe ia paraqesim menaxhmentit për të rënë dakord për një plan pune ose për të justifikuar blerjen e pajisjeve të sigurisë së informacionit)))))
Prezantimi
Auditimi është një formë e kontrollit të pavarur, neutral të çdo fushe të veprimtarisë së një ndërmarrje tregtare, e përdorur gjerësisht në praktikën e një ekonomie tregu, veçanërisht në fushën e kontabilitetit. Jo më pak e rëndësishme nga pikëpamja zhvillimin e përgjithshëm i një ndërmarrje është auditimi i sigurisë së saj, i cili përfshin një analizë të rreziqeve që lidhen me mundësinë e kërcënimeve të sigurisë, veçanërisht në lidhje me burimet e informacionit, vlerësimi i nivelit aktual të sigurisë së sistemeve të informacionit (IS), lokalizimi i pengesave në sistemin e mbrojtjes së tyre, vlerësimi i përputhshmërisë së IS me standardet ekzistuese në fushën e sigurisë së informacionit dhe zhvillimi i rekomandimeve për futjen e të rejave dhe përmirësimin e efikasiteti i mekanizmave ekzistues të sigurisë së IS.
Nëse flitet për qëllimi kryesor auditimi i sigurisë së informacionit, atëherë ai mund të përkufizohet si një vlerësim i nivelit të sigurisë së sistemit të informacionit të një ndërmarrje për ta menaxhuar atë në tërësi, duke marrë parasysh perspektivat për zhvillimin e tij.
Në kushtet moderne, kur sistemet e informacionit përshkojnë të gjitha fushat e veprimtarisë së një ndërmarrje dhe duke pasur parasysh nevojën për lidhjen e tyre me internetin, ato janë të hapura ndaj kërcënimeve të brendshme dhe të jashtme, problemi i sigurisë së informacionit bëhet jo më pak i rëndësishëm sesa siguria ekonomike ose fizike.
Pavarësisht rëndësisë së problemit në shqyrtim për trajnimin e specialistëve të sigurisë së informacionit, ai ende nuk është përfshirë si një kurs i veçantë në planet arsimore dhe nuk diskutohej në tekste dhe mjete mësimore. Kjo për shkak të mungesës së kuadrit të nevojshëm rregullator, specialistëve të patrajnuar dhe përvojës së pamjaftueshme praktike në fushën e auditimeve të sigurisë së informacionit.
Struktura e përgjithshme e punës përfshin sekuencën e mëposhtme të çështjeve të shqyrtuara:
përshkruan një model për ndërtimin e një sistemi të sigurisë së informacionit (IS) që merr parasysh kërcënimet, dobësitë, rreziqet dhe kundërmasat e marra për t'i reduktuar ose parandaluar ato;
merren parasysh metodat e analizës dhe menaxhimit të rrezikut;
përshkruhen konceptet bazë të një auditimi sigurie dhe përshkruhen objektivat e zbatimit të tij;
analizon standardet kryesore ndërkombëtare dhe ruse të përdorura në kryerjen e auditimeve të sigurisë së informacionit;
tregon mundësitë e përdorimit të softuerit për kryerjen e auditimeve të sigurisë së informacionit;
Zgjedhja e strukturës së përshkruar mjete mësimoreështë bërë me synimin për të maksimizuar orientimin e nxënësve drejt përdorim praktik e materialit në shqyrtim, së pari, kur studioni një kurs leksioni, së dyti, kur i nënshtroheni praktikave të prodhimit (analiza e gjendjes së sigurisë së informacionit në ndërmarrje), së treti, kur përfundoni lëndët dhe disertacionet.
Materiali i paraqitur mund të jetë i dobishëm për menaxherët dhe punonjësit e shërbimeve të sigurisë dhe shërbimeve të mbrojtjes së informacionit të një ndërmarrje për përgatitjen dhe kryerjen e brendshme dhe justifikimin e nevojës për një auditim të jashtëm të sigurisë së informacionit.
Kreu I. Auditimi i sigurisë dhe metodat e kryerjes së tij
1 Koncepti i auditimit të sigurisë
Një auditim është një ekzaminim i pavarur i fushave të caktuara të funksionimit të organizatës. Ka auditime të jashtme dhe të brendshme. Një auditim i jashtëm është, si rregull, një ngjarje një herë e kryer me iniciativën e menaxhmentit ose aksionarëve të organizatës. Rekomandohet kryerja e auditimeve të jashtme rregullisht, dhe, për shembull, për shumë organizata financiare dhe shoqëri aksionare kjo është kërkesë e detyrueshme nga ana e themeluesve dhe aksionarëve të tyre. Auditimi i brendshëm është një veprimtari e vazhdueshme që kryhet në bazë të “Rregullores për Auditimin e Brendshëm” dhe në përputhje me planin, përgatitja e të cilit kryhet nga njësitë e shërbimit të sigurisë dhe miratohet nga drejtuesit e organizatës.
Objektivat e një auditimi të sigurisë janë:
analiza e rreziqeve që lidhen me mundësinë e kërcënimeve të sigurisë në lidhje me burimet;
vlerësimi i nivelit aktual të sigurisë së IP-së;
lokalizimi i pengesave në sistemin e mbrojtjes së IP;
vlerësimi i përputhjes së IP me standardet ekzistuese në fushën e sigurisë së informacionit;
Auditimi i sigurisë së një ndërmarrje (firmë, organizatë) duhet të konsiderohet si një mjet konfidencial i menaxhimit që përjashton, për qëllime konspirative, mundësinë e dhënies së informacionit për rezultatet e aktiviteteve të saj palëve dhe organizatave të treta.
Për të kryer një auditim të sigurisë së ndërmarrjes, mund të rekomandohet sekuenca e mëposhtme e veprimeve.
1. Përgatitja për një auditim sigurie:
përzgjedhja e objektit të auditimit (kompania, ndërtesat dhe ambientet individuale, sistemet individuale ose përbërësit e tyre);
përpilimi i një ekipi audituesish ekspertë;
përcaktimin e fushës dhe fushëveprimit të auditimit dhe përcaktimin e kornizave kohore specifike për punën.
2.Kryerja e një auditimi: analiza e përgjithshme e statusit të sigurisë së objektit të audituar; regjistrimin, grumbullimin dhe verifikimin e të dhënave statistikore dhe të rezultateve të matjeve instrumentale të rreziqeve dhe kërcënimeve; vlerësimi i rezultateve të inspektimit; hartimi i një raporti për rezultatet e inspektimit për komponentët individualë. 3.Përfundimi i auditimit: përgatitja e raportit përfundimtar; zhvillimi i një plani veprimi për të eliminuar pengesat dhe mangësitë në garantimin e sigurisë së kompanisë. Për të kryer me sukses një kontroll sigurie ju duhet: pjesëmarrja aktive e menaxhmentit të kompanisë në zbatimin e saj; objektiviteti dhe pavarësia e auditorëve (ekspertëve), kompetenca dhe profesionalizmi i lartë i tyre; procedurë verifikimi e strukturuar qartë; zbatimin aktiv të masave të propozuara për të garantuar dhe rritur sigurinë. Auditimi i sigurisë, nga ana tjetër, është një mjet efektiv për vlerësimin e sigurisë dhe menaxhimin e rrezikut. Parandalimi i kërcënimeve të sigurisë nënkupton gjithashtu mbrojtjen e interesave ekonomike, sociale dhe informative të ndërmarrjes. Nga kjo mund të konkludojmë se auditimi i sigurisë po bëhet një mjet i menaxhimit ekonomik. Në varësi të vëllimit të objekteve të analizuara të ndërmarrjes, qëllimi i auditimit përcaktohet: -auditimi i sigurisë së të gjithë ndërmarrjes; -auditimi i sigurisë së ndërtesave dhe ambienteve individuale (lokalet e përcaktuara); -auditimi i pajisjeve dhe mjete teknike lloje dhe lloje specifike; -auditimi i llojeve dhe fushave të caktuara të veprimtarisë: ekonomike, mjedisore, informative, financiare etj. Duhet theksuar se auditimi kryhet jo me iniciativën e auditorit, por me iniciativën e menaxhmentit të ndërmarrjes, e cila kjo çështjeështë aktori kryesor. Mbështetja e menaxhmentit të kompanisë është një kusht i domosdoshëm për kryerjen e një auditimi. Auditimi është një grup aktivitetesh në të cilat, përveç vetë auditorit, janë të përfshirë edhe përfaqësues të shumicës së divizioneve strukturore të kompanisë. Veprimet e të gjithë pjesëmarrësve në këtë proces duhet të jenë të koordinuara. Prandaj, në fazën e fillimit të procedurës së auditimit, duhet të zgjidhen çështjet e mëposhtme organizative: të drejtat dhe përgjegjësitë e auditorit duhet të përcaktohen qartë dhe të dokumentohen në të përshkrimet e punës, si dhe në rregulloret për auditimin e brendshëm (të jashtëm); auditori duhet të përgatisë dhe të pajtohet me menaxhmentin një plan auditimi; Rregulloret për auditimin e brendshëm duhet të përcaktojnë, në veçanti, që punonjësit e ndërmarrjes janë të detyruar të ndihmojnë audituesin dhe të ofrojnë të gjithë informacionin e nevojshëm për auditimin. Në fazën e fillimit të procedurës së auditimit, duhet të përcaktohen kufijtë e vrojtimit. Nëse disa nënsisteme informacioni të ndërmarrjes nuk janë mjaft kritike, ato mund të përjashtohen nga fusha e anketimit. Nënsistemet e tjera mund të mos jenë të auditueshme për shkak të shqetësimeve të konfidencialitetit. Kufijtë e sondazhit përcaktohen në kategoritë e mëposhtme: Lista e burimeve fizike, softuerike dhe informacionit të anketuara. 2.Vendet (lokalet) që bien brenda kufijve të sondazhit. 3.Llojet kryesore të kërcënimeve të sigurisë të konsideruara gjatë auditimit. 4.Aspekte organizative (legjislative, administrative dhe procedurale), fizike, softuerike, harduerike dhe të tjera të sigurisë që duhet të merren parasysh gjatë anketës, dhe prioritetet e tyre (në çfarë mase duhet të merren parasysh). Plani dhe kufijtë e auditimit diskutohen në një takim pune, ku marrin pjesë auditorët, menaxhmenti i kompanisë dhe drejtuesit e divizioneve strukturore. Për të kuptuar auditimin e sigurisë së informacionit si një sistem kompleks, modeli i tij konceptual i paraqitur në Fig. 1.1. Komponentët kryesorë të procesit janë theksuar këtu: objekti i auditimit: qëllimi i auditimit: Oriz. 1.1. Modeli konceptual i auditimit të SI Kërkesat; metodat e përdorura; interpretues; rendi i sjelljes. Nga pikëpamja e organizimit të punës gjatë kryerjes së një auditimi të sigurisë së informacionit, ekzistojnë tre faza themelore: 1.mbledhjen e informacionit; 2.analiza e të dhënave; 2 Metodat e analizës së të dhënave gjatë auditimit të SI Aktualisht, përdoren tre metoda (qasje) kryesore për kryerjen e një auditimi, të cilat ndryshojnë ndjeshëm nga njëra-tjetra. Metoda e parë, më komplekse, bazohet në analizën e rrezikut. Bazuar në metodat e analizës së rrezikut, audituesi përcakton për SI-në e ekzaminuar një grup individual kërkesash sigurie, i cili merr parasysh në masën më të madhe karakteristikat e këtij SI, mjedisin e tij operativ dhe kërcënimet e sigurisë që ekzistojnë në këtë mjedis. Kjo qasje është më intensivja e punës dhe kërkon kualifikimet më të larta të auditorit. Cilësia e rezultateve të auditimit, në këtë rast, ndikohet fuqishëm nga analiza e rrezikut dhe metodologjia e menaxhimit të përdorur dhe zbatueshmëria e saj në ky llojËSHTË. Metoda e dytë, më praktike, mbështetet në përdorimin e standardeve të sigurisë së informacionit. Standardet përcaktojnë grup bazë kërkesat e sigurisë për një klasë të gjerë të IP, e cila është formuar si rezultat i përgjithësimit të praktikës botërore. Standardet mund të përcaktojnë grupe të ndryshme kërkesash sigurie, në varësi të nivelit të sigurisë së IP-së që duhet të sigurohet, përkatësisë së saj (organizata tregtare ose agjenci qeveritare) dhe qëllimit (financa, industria, komunikimet, etj.). Në këtë rast, auditorit i kërkohet të përcaktojë saktë grupin e kërkesave standarde që duhet të plotësohen për këtë SI. Gjithashtu nevojitet një metodologji për të vlerësuar këtë përputhshmëri. Për shkak të thjeshtësisë së tij (një grup standard kërkesash për kryerjen e një auditimi është tashmë i paracaktuar nga standardi) dhe besueshmërisë (një standard është një standard dhe askush nuk do të përpiqet të sfidojë kërkesat e tij), qasja e përshkruar është më e zakonshme në praktikë (veçanërisht gjatë kryerjes së një auditimi të jashtëm). Ai lejon, me shpenzime minimale të burimeve, të nxirren përfundime të informuara për gjendjen e IP. Metoda e tretë, më efektive, përfshin kombinimin e dy të parave. Nëse zgjidhet një qasje e bazuar në analizën e rrezikut për të kryer një auditim sigurie, atëherë grupet e mëposhtme të detyrave zakonisht kryhen në fazën e analizës së të dhënave të auditimit: Analiza e burimeve të IP, duke përfshirë burimet e informacionit, softuerin dhe harduerin, dhe burimet njerëzore. 2.Analiza e grupeve të detyrave të zgjidhura nga sistemi dhe proceset e biznesit. 3.Ndërtimi i një modeli (joformal) të burimeve të IS që përcakton marrëdhëniet midis informacionit, softuerit, burimeve teknike dhe njerëzore, vendndodhjen e tyre relative dhe metodat e ndërveprimit. 4.Vlerësimi i kritikitetit të burimeve të informacionit, si dhe softuerit dhe harduerit. 5.Përcaktimi i kritikitetit të burimeve, duke marrë parasysh ndërvarësinë e tyre. 6.Përcaktimi i kërcënimeve më të mundshme të sigurisë ndaj burimeve IP dhe dobësive të sigurisë që i bëjnë të mundshme këto kërcënime. 7.Vlerësimi i mundësisë së kërcënimeve, madhësisë së dobësive dhe dëmeve të shkaktuara në organizatë në rast të zbatimit të suksesshëm të kërcënimeve. 8.Përcaktimi i madhësisë së rreziqeve për çdo treshe: kërcënim - grup burimesh - cenueshmëri. Grupi i detyrave të listuara është mjaft i përgjithshëm. Për zgjidhjen e tyre, mund të përdoren teknika të ndryshme formale dhe joformale, sasiore dhe cilësore, manuale dhe të automatizuara të analizës së rrezikut. Thelbi i qasjes nuk ndryshon. Vlerësimi i rrezikut mund të bëhet duke përdorur shkallë të ndryshme cilësore dhe sasiore. Gjëja kryesore është që rreziqet ekzistuese të identifikohen saktë dhe të renditen në përputhje me shkallën e tyre të kritikës për organizatën. Bazuar në një analizë të tillë, mund të zhvillohet një sistem masash prioritare për të ulur madhësinë e rreziqeve në një nivel të pranueshëm. Gjatë kryerjes së një auditimi sigurie për pajtueshmërinë me kërkesat e standardit, auditori, duke u mbështetur në përvojën e tij, vlerëson zbatueshmërinë e kërkesave të standardit për IP-në e ekzaminuar dhe përputhshmërinë e tij me këto kërkesa. Të dhënat mbi përputhshmërinë e fushave të ndryshme të funksionimit të IS me kërkesat e standardit zakonisht paraqiten në formë tabelare. Tabela tregon se cilat kërkesa sigurie nuk janë zbatuar në sistem. Bazuar në këtë, nxirren përfundime për përputhshmërinë e IP-së së ekzaminuar me kërkesat e standardit dhe jepen rekomandime për zbatimin e mekanizmave të sigurisë në sistem për të siguruar një përputhje të tillë. 3 Analiza e rreziqeve të informacionit të ndërmarrjes Analiza e rrezikut është vendi ku duhet të fillojë ndërtimi i çdo sistemi të sigurisë së informacionit dhe çfarë është e nevojshme për kryerjen e një auditimi të sigurisë së informacionit. Ai përfshin aktivitete për të vëzhguar sigurinë e ndërmarrjes për të përcaktuar se cilat burime dhe nga cilat kërcënime duhet të mbrohen, si dhe deri në çfarë mase burime të caktuara kanë nevojë për mbrojtje. Përcaktimi i një grupi kundërmasash adekuate kryhet gjatë menaxhimit të rrezikut. Rreziku përcaktohet nga gjasat e dëmtimit dhe sasia e dëmit të shkaktuar në burimet e sistemit të informacionit (IS) në rast të një kërcënimi të sigurisë. Analiza e rrezikut konsiston në identifikimin e rreziqeve ekzistuese dhe vlerësimin e madhësisë së tyre (duke u dhënë atyre një vlerësim cilësor ose sasior). Procesi i analizës së rrezikut përfshin zgjidhjen e detyrave të mëposhtme: 1.Identifikimi i burimeve kyçe të IP. 2.Përcaktimi i rëndësisë së burimeve të caktuara për organizatën. 3.Identifikimi i kërcënimeve ekzistuese të sigurisë dhe dobësive që bëjnë të mundshme kërcënimet. 4.Llogaritja e rreziqeve që lidhen me zbatimin e kërcënimeve të sigurisë. Burimet IP mund të ndahen në kategoritë e mëposhtme: burime informative; softuer; mjete teknike (serverët, stacionet e punës, pajisjet aktive të rrjetit, etj.); burimet njerëzore. Brenda çdo kategorie, burimet ndahen në klasa dhe nënklasa. Është e nevojshme të identifikohen vetëm ato burime që përcaktojnë funksionalitetin e IS dhe janë të rëndësishme nga pikëpamja e sigurisë. Rëndësia (ose vlera) e një burimi përcaktohet nga sasia e dëmit të shkaktuar nëse cenohet konfidencialiteti, integriteti ose disponueshmëria e atij burimi. Zakonisht konsiderohen llojet e mëposhtme të dëmtimeve: të dhënat u zbuluan, u ndryshuan, u fshinë ose u bënë të padisponueshme; pajisja është dëmtuar ose shkatërruar; integriteti është i rrezikuar software. Dëmi mund t'i shkaktohet një organizate si rezultat i zbatimit të suksesshëm të llojeve të mëposhtme të kërcënimeve të sigurisë: sulme lokale dhe të largëta ndaj burimeve të IS; fatkeqësitë natyrore; gabime ose veprime të qëllimshme të personelit të IS; Mosfunksionimet e IC të shkaktuara nga gabimet e softuerit ose mosfunksionimet e harduerit. Madhësia e rrezikut mund të përcaktohet bazuar në vlerën e burimit, gjasat e shfaqjes së kërcënimit dhe madhësinë e cenueshmërisë duke përdorur formulën e mëposhtme: kostoja e burimit x probabiliteti i kërcënimit Rreziku = madhësia e cenueshmërisë Detyra e menaxhimit të rrezikut është të zgjedhë një grup të arsyeshëm kundërmasash për të ulur nivelet e rrezikut në një nivel të pranueshëm. Kostoja e zbatimit të kundërmasave duhet të jetë më e vogël se shuma e dëmit të mundshëm. Diferenca midis kostos së zbatimit të kundërmasave dhe madhësisë së dëmit të mundshëm duhet të jetë në përpjesëtim të zhdrejtë me probabilitetin e shkaktimit të dëmit. Qasja e bazuar në analizën e rreziqeve të informacionit të ndërmarrjes është më e rëndësishmja për praktikën e sigurimit të sigurisë së informacionit. Kjo shpjegohet me faktin se analiza e rrezikut ju lejon të menaxhoni në mënyrë efektive sigurinë e informacionit të një ndërmarrje. Për ta bërë këtë, në fillim të punës së analizës së rrezikut, është e nevojshme të përcaktohet se çfarë saktësisht i nënshtrohet mbrojtjes në ndërmarrje, çfarë kërcënimesh është e ekspozuar dhe praktikat e mbrojtjes. Analiza e rrezikut kryhet bazuar në qëllimet dhe objektivat imediate të mbrojtjes së një lloji specifik informacioni konfidencial. Një nga detyrat më të rëndësishme në kuadër të mbrojtjes së informacionit është sigurimi i integritetit dhe disponueshmërisë së tij. Duhet të kihet parasysh se një shkelje e integritetit mund të ndodhë jo vetëm si rezultat i veprimeve të qëllimshme, por edhe për një numër arsyesh të tjera: · dështimet e pajisjeve që çojnë në humbje ose korrupsion të informacionit; · ndikimet fizike, përfshirë si rezultat i fatkeqësive natyrore; · gabime në softuer (duke përfshirë veçori të padokumentuara). Prandaj, termi "sulm" është më premtues për të kuptuar jo vetëm ndikimet njerëzore në burimet e informacionit, por edhe ndikimet mjedisi, në të cilin funksionon sistemi i përpunimit të informacionit të ndërmarrjes. Gjatë kryerjes së një analize të rrezikut, zhvillohen sa vijon: · strategjia dhe taktikat e përgjithshme për një dhunues të mundshëm për të kryer "operacione sulmuese dhe operacione luftarake"; · metodat e mundshme të kryerjes së sulmeve në sistemin e përpunimit dhe mbrojtjes së informacionit; · skenari i zbatimit veprime të paligjshme;
· karakteristikat e kanaleve të rrjedhjes së informacionit dhe aksesit të paautorizuar; · gjasat e vendosjes së kontaktit informativ (realizimi i kërcënimeve); · lista e infeksioneve të mundshme të informacionit; · modeli i ndërhyrës; · metodologjia e vlerësimit të sigurisë së informacionit. Për më tepër, për të ndërtuar sistem i besueshëm mbrojtja e informacionit të ndërmarrjes kërkon: · të identifikojë të gjitha kërcënimet e mundshme për sigurinë e informacionit; · vlerësojnë pasojat e shfaqjes së tyre; · të përcaktojë masat dhe mjetet e nevojshme të mbrojtjes, duke marrë parasysh kërkesat e dokumenteve rregullatore, ekonomike · fizibiliteti, pajtueshmëria dhe moskonflikti me softuerin e përdorur; · vlerësojnë efektivitetin e masave dhe mjeteve të zgjedhura të mbrojtjes. Oriz. 1.2. Skenari i analizës së burimeve të informacionit Të 6 fazat e analizës së rrezikut janë paraqitur këtu. Në fazën e parë dhe të dytë, përcaktohet informacioni që përbën sekret tregtar për ndërmarrjen dhe që duhet të mbrohet. Është e qartë se një informacion i tillë ruhet në vende të caktuara dhe në media të veçanta dhe transmetohet nëpërmjet kanaleve të komunikimit. Në të njëjtën kohë, faktori përcaktues në teknologjinë e trajtimit të informacionit është arkitektura IS, e cila përcakton në masë të madhe sigurinë e burimeve të informacionit të një ndërmarrje. Faza e tretë e analizës së rrezikut është ndërtimi i kanaleve të aksesit, rrjedhjes ose ndikimit në burimet e informacionit të nyjeve kryesore të IS. Çdo kanal aksesi karakterizohet nga shumë pika nga të cilat informacioni mund të "merret". Janë ata që përfaqësojnë dobësitë dhe kërkojnë përdorimin e mjeteve për të parandaluar ndikimet e padëshiruara në informacion. Faza e katërt e analizës së metodave për mbrojtjen e të gjitha pikave të mundshme korrespondon me qëllimet e mbrojtjes dhe rezultati i saj duhet të jetë një karakterizim i boshllëqeve të mundshme në mbrojtje, përfshirë për shkak të një kombinimi të pafavorshëm të rrethanave. Në fazën e pestë, bazuar në metodat dhe mjetet e njohura aktualisht për kapërcimin e linjave mbrojtëse, përcaktohen probabilitetet e kërcënimeve që do të realizohen në secilën nga pikat e mundshme të sulmit. Në fazën e fundit, të gjashtë, vlerësohet dëmi i organizatës në rast të çdo sulmi, i cili, së bashku me vlerësimet e cenueshmërisë, na lejon të marrim një listë të renditur të kërcënimeve ndaj burimeve të informacionit. Rezultatet e punës janë paraqitur në një formë të përshtatshme për perceptimin e tyre dhe zhvillimin e zgjidhjeve për të korrigjuar sistemin ekzistues të sigurisë së informacionit. Për më tepër, çdo burim informacioni mund të ekspozohet ndaj disa kërcënimeve të mundshme. Me rëndësi themelore është probabiliteti total i aksesit në burimet e informacionit, i cili përbëhet nga probabilitetet elementare të aksesit në pikat individuale të rrjedhës së informacionit. Sasia e rrezikut të informacionit për çdo burim përcaktohet si produkt i probabilitetit të një sulmi ndaj burimit, probabilitetit të zbatimit dhe kërcënimit dhe dëmtimit nga një pushtim informacioni. Kjo punë mund të përdorë mënyra të ndryshme të peshimit të komponentëve. Shtimi i rreziqeve për të gjitha burimet jep vlerën e rrezikut total për arkitekturën e adoptuar të IS dhe sistemin e sigurisë së informacionit të zbatuar në të. Kështu, duke ndryshuar opsionet për ndërtimin e një sistemi të sigurisë së informacionit dhe arkitekturës së IS, bëhet e mundur të imagjinohet dhe të merret në konsideratë kuptime të ndryshme rreziku total për shkak të ndryshimeve në gjasat e realizimit të kërcënimeve. Eshte shume hap i rëndësishëmështë zgjedhja e njërit prej opsioneve në përputhje me kriterin e përzgjedhjes së vendimit. Një kriter i tillë mund të jetë sasia e pranueshme e rrezikut ose raporti i kostove të sigurimit të sigurisë së informacionit me rrezikun e mbetur. Gjatë ndërtimit të sistemeve të sigurisë së informacionit, është gjithashtu e nevojshme të përcaktohet një strategji e menaxhimit të rrezikut për ndërmarrjen. Sot ekzistojnë disa qasje për menaxhimin e rrezikut. Një nga më të zakonshmet është ulja e rrezikut duke përdorur metoda dhe mjete të përshtatshme mbrojtjeje. E ngjashme në thelb është qasja e lidhur me shmangien e rrezikut. Dihet se disa kategori rreziqesh mund të shmangen: për shembull, lëvizja e serverit të uebit të një organizate jashtë rrjetit lokal shmang rrezikun e aksesit të paautorizuar në rrjetin lokal nga klientët e Uebit. Së fundi, në disa raste është e pranueshme të pranohet rreziku. Këtu është e rëndësishme të vendoset për dilemën e mëposhtme: çfarë është më fitimprurëse për ndërmarrjen - të përballet me rreziqet apo me pasojat e tyre. Në këtë rast, ne duhet të zgjidhim një problem optimizimi. Pasi të jetë përcaktuar strategjia e menaxhimit të rrezikut, bëhet një vlerësim përfundimtar i masave të sigurisë së informacionit me përgatitjen e një opinioni eksperti për sigurinë e burimeve të informacionit. Mendimi i ekspertit përfshin të gjitha materialet e analizës së rrezikut dhe rekomandimet për reduktimin e tyre. 1.4 Metodat për vlerësimin e rreziqeve të informacionit të ndërmarrjes Në praktikë ato përdoren metoda të ndryshme vlerësimin dhe menaxhimin e rreziqeve të informacionit në ndërmarrje. Në këtë rast, vlerësimi i rreziqeve të informacionit përfshin fazat e mëposhtme: · identifikimin dhe vlerësimin sasior të burimeve të informacionit të ndërmarrjeve që janë të rëndësishme për biznesin; · vlerësimi i kërcënimeve të mundshme; · vlerësimi i dobësive ekzistuese; · vlerësimi i efektivitetit të mjeteve të sigurisë së informacionit. Supozohet se burimet e informacionit vulnerabël të rëndësishëm për biznesin e një kompanie sipërmarrëse janë në rrezik nëse ka ndonjë kërcënim ndaj tyre. Me fjalë të tjera, rreziqet karakterizojnë rrezikun ndaj të cilit mund të ekspozohen komponentët e një sistemi të Internetit/Intranetit të korporatës. Në të njëjtën kohë, rreziqet e informacionit të kompanisë varen nga: · mbi treguesit e vlerës së burimeve të informacionit; · gjasat e realizimit të kërcënimeve ndaj burimeve; · efektiviteti i mjeteve ekzistuese ose të planifikuara të sigurisë së informacionit. Qëllimi i vlerësimit të rrezikut është të përcaktojë karakteristikat e rrezikut të një sistemi informacioni të korporatës dhe burimet e tij. Si rezultat i vlerësimit të rrezikut, bëhet e mundur përzgjedhja e mjeteve që sigurojnë nivelin e dëshiruar të sigurisë së informacionit të ndërmarrjes. Gjatë vlerësimit të rreziqeve, merren parasysh vlera e burimeve, rëndësia e kërcënimeve dhe dobësive, si dhe efektiviteti i mjeteve ekzistuese dhe të planifikuara të mbrojtjes. Vetë treguesit e burimeve, rëndësia e kërcënimeve dhe dobësive dhe efektiviteti i masave mbrojtëse mund të përcaktohen si me metoda sasiore, për shembull, kur përcaktohen karakteristikat e kostos, ashtu edhe me metoda cilësore, për shembull, duke marrë parasysh normale ose jashtëzakonisht të rrezikshme. ndikimet jonormale të mjedisit të jashtëm. Mundësia e realizimit të një kërcënimi vlerësohet nga probabiliteti i zbatimit të tij brenda një periudhe të caktuar kohore për një burim të caktuar të ndërmarrjes. Në këtë rast, gjasat që kërcënimi të realizohet përcaktohet nga treguesit kryesorë të mëposhtëm: · atraktiviteti i burimit përdoret kur merret parasysh kërcënimi nga ndikimi i qëllimshëm njerëzor; · mundësia e përdorimit të një burimi për të gjeneruar të ardhura kur merret parasysh kërcënimi nga ndikimi i qëllimshëm njerëzor; · aftësitë teknike të zbatimit të kërcënimit përdoren me ndikim të qëllimshëm nga ana e një personi; · shkalla e lehtësisë me të cilën mund të shfrytëzohet një cenueshmëri. Aktualisht, ka shumë metoda tabelare për vlerësimin e rreziqeve të informacionit të një kompanie. Është e rëndësishme që personeli i sigurisë të zgjedhë një metodë të përshtatshme që siguron rezultate të sakta dhe të besueshme të riprodhueshme. Rekomandohet të vlerësohen treguesit sasiorë të burimeve të informacionit bazuar në rezultatet e anketave të punonjësve të ndërmarrjes që zotërojnë informacione, domethënë zyrtarëve që mund të përcaktojnë vlerën e informacionit, karakteristikat e tij dhe shkallën e kritikës, bazuar në gjendjen aktuale të punëve. Bazuar në rezultatet e anketës, treguesit dhe shkalla e kritikitetit të burimeve të informacionit vlerësohen për skenarin më të keq, deri në shqyrtimin e ndikimeve të mundshme në aktivitetet e biznesit të ndërmarrjes në rast të aksesit të mundshëm të paautorizuar në informacionin konfidencial, shkeljes. i integritetit të tij, mosdisponueshmëria për periudha të ndryshme të shkaktuara nga dështimet në shërbimin e të dhënave të sistemeve të përpunimit dhe madje edhe nga shkatërrimi fizik. Në të njëjtën kohë, procesi i marrjes së treguesve sasiorë mund të plotësohet me metoda të përshtatshme për vlerësimin e burimeve të tjera kritike të ndërmarrjes, duke marrë parasysh: · siguria e personelit; · zbulimi i informacionit privat; · kërkesat e pajtueshmërisë ligjore dhe rregullatore; · kufizimet që dalin nga legjislacioni; · interesat komerciale dhe ekonomike; · humbje financiare dhe ndërprerje në aktivitetet prodhuese; · marrëdhëniet me publikun; · politika tregtare dhe operacionet tregtare; · humbja e reputacionit të kompanisë. Më tej, treguesit sasiorë përdoren aty ku është e lejueshme dhe e justifikuar, dhe treguesit cilësorë përdoren aty ku vlerësimet sasiore janë të vështira për një sërë arsyesh. Në të njëjtën kohë, më i përhapuri është vlerësimi i treguesve të cilësisë duke përdorur shkallët e pikëve të zhvilluara posaçërisht për këto qëllime, për shembull, me një shkallë me katër pikë. Operacioni tjetër është plotësimi i çifteve të pyetësorëve në të cilët, për çdo lloj kërcënimi dhe grupin e burimeve shoqëruese, nivelet e kërcënimit vlerësohen si mundësia e realizimit të kërcënimeve dhe nivelet e cenueshmërisë si shkalla e lehtësisë me të cilën një kërcënim i realizuar mund të çojnë në një ndikim negativ. Vlerësimi kryhet në shkallë cilësore. Për shembull, niveli i kërcënimeve dhe dobësive vlerësohet në një shkallë "të lartë-të ulët". Informacioni i nevojshëm mblidhet duke intervistuar drejtuesit kryesorë të kompanisë, punonjës të departamenteve komerciale, teknike, personeli dhe shërbimi, duke dalë në terren dhe duke analizuar dokumentacionin e kompanisë. Së bashku me metodat tabelare për vlerësimin e rreziqeve të informacionit, mund të përdoren metoda moderne matematikore, për shembull, metoda e tipit Delphi, si dhe të veçanta sisteme të automatizuara, disa prej të cilave do të diskutohen më poshtë. Algoritmi i përgjithshëm i procesit të vlerësimit të rrezikut (Fig. 1.3.) në këto sisteme përfshin fazat e mëposhtme. · përshkrimin e objektit dhe masat mbrojtëse; · identifikimi i një burimi dhe vlerësimi i treguesve sasiorë të tij (përcaktimi i potencialit ndikim negativ për biznes); · analiza e kërcënimeve të sigurisë së informacionit; · vlerësimi i cenueshmërisë; · vlerësimin e fondeve ekzistuese dhe të propozuara garantimi i sigurisë së informacionit; · vlerësimi i rrezikut. 5 Menaxhimi i riskut të informacionit Aktualisht, menaxhimi i rrezikut të informacionit është një nga fushat më të rëndësishme dhe më dinamike në zhvillim të menaxhimit strategjik dhe operacional në fushën e sigurisë së informacionit. Detyra e saj kryesore është të identifikojë dhe vlerësojë në mënyrë objektive rreziqet më të rëndësishme të informacionit të biznesit të kompanisë, si dhe përshtatshmërinë e mjeteve të kontrollit të rrezikut të përdorura për të rritur efikasitetin dhe përfitimin e aktiviteteve ekonomike të ndërmarrjes. Prandaj, termi "menaxhimi i rrezikut të informacionit" zakonisht nënkupton procesi i sistemit identifikimi, kontrolli dhe zvogëlimi i rreziqeve të informacionit të kompanive në përputhje me kufizimet e caktuara të kuadrit rregullator rus në fushën e mbrojtjes së informacionit dhe të tyre politikën e korporatës sigurinë. Oriz. 1.3. Algoritmi i vlerësimit të rrezikut Përdorimi i sistemeve të informacionit shoqërohet me një grup të caktuar rreziqesh. Kur dëmi i mundshëm është i papranueshëm i madh, nevojiten masa mbrojtëse ekonomikisht të realizueshme. (Ri)vlerësimi periodik i rreziqeve është i nevojshëm për të monitoruar efektivitetin e aktiviteteve të sigurisë dhe për të llogaritur ndryshimet në mjedis. Thelbi i menaxhimit të rrezikut është të vlerësojë madhësinë e rrezikut, të zhvillojë masa efektive dhe me kosto efektive për zbutjen e rrezikut dhe më pas të sigurojë që rreziqet të përmbahen (dhe të mbeten të tilla) brenda kufijve të pranueshëm. Rrjedhimisht, menaxhimi i riskut përfshin dy lloje aktivitetesh që alternohen në mënyrë ciklike: )(ri)vlerësimi (matja) e rreziqeve; )përzgjedhja e pajisjeve mbrojtëse efektive dhe ekonomike (neutralizimi i rrezikut). Veprimet e mëposhtme janë të mundshme në lidhje me rreziqet e identifikuara: · eliminimi i rrezikut (për shembull, duke eliminuar shkakun); · zvogëlimi i rrezikut (për shembull, përmes përdorimit të pajisjeve shtesë mbrojtëse); · pranimi i rrezikut (duke zhvilluar një plan veprimi në kushte të përshtatshme): · ridrejtimi i rrezikut (për shembull, duke lidhur një marrëveshje sigurimi). Procesi i menaxhimit të rrezikut mund të ndahet në fazat e mëposhtme: 1.Përzgjedhja e objekteve që do të analizohen dhe niveli i detajeve të shqyrtimit të tyre. 2.Zgjedhja e një metodologjie të vlerësimit të rrezikut. .Identifikimi i pasurisë. .Analiza e kërcënimeve dhe pasojave të tyre, identifikimi i dobësive të sigurisë. .Vlerësimi i rrezikut. .Përzgjedhja e masave mbrojtëse. .Zbatimi dhe testimi i masave të përzgjedhura. .Vlerësimi i rrezikut të mbetur. Fazat 6 kanë të bëjnë me zgjedhjen e pajisjeve mbrojtëse (neutralizimi i rreziqeve), pjesa tjetër - me vlerësimin e rrezikut. Tashmë renditja e fazave tregon se menaxhimi i rrezikut është një proces ciklik. Në thelb, hapi i fundit është një deklaratë në fund të ciklit që ju udhëzon të ktheheni në fillim. Rreziqet duhet të monitorohen vazhdimisht, duke i rivlerësuar ato në mënyrë periodike. Duhet të theksohet se një vlerësim i plotësuar dhe i dokumentuar me kujdes mund të thjeshtojë ndjeshëm aktivitetet e mëvonshme. Menaxhimi i rrezikut, si çdo aktivitet tjetër i sigurisë së informacionit, duhet të integrohet në ciklin jetësor të IS. Atëherë efekti është më i madh dhe kostot janë minimale. Menaxhimi i rrezikut duhet të kryhet në të gjitha fazat cikli i jetes sistemi informativ: inicim-zhvillim-instalim operim-depozitim (çmontim). Në fazën e fillimit, rreziqet e njohura duhet të merren parasysh kur zhvillohen kërkesat për sistemin në përgjithësi dhe veçoritë e sigurisë në veçanti. Gjatë fazës së zhvillimit, njohja e rreziqeve ndihmon në zgjedhjen e zgjidhjeve të përshtatshme arkitekturore që luajnë një rol kyç në garantimin e sigurisë. Gjatë fazës së instalimit, rreziqet e identifikuara duhet të merren parasysh gjatë konfigurimit, testimit dhe verifikimit të formuluar më parë kërkesat dhe cikli i plotë i menaxhimit të rrezikut duhet t'i paraprijë zbatimit të sistemit në funksionim. Gjatë fazës operacionale, menaxhimi i rrezikut duhet të shoqërojë të gjitha ndryshimet e rëndësishme në sistem. Kur çmontoni një sistem, menaxhimi i rrezikut ndihmon për të siguruar që migrimi i të dhënave të ndodhë në një mënyrë të sigurt. Kapitulli II. Standardet e Sigurisë së Informacionit 1 Parakushtet për krijimin e standardeve të sigurisë së informacionit Kryerja e një auditimi të sigurisë së informacionit bazohet në përdorimin e rekomandimeve të shumta, të cilat janë përcaktuar kryesisht në standardet ndërkombëtare të sigurisë së informacionit. Një nga rezultatet e një auditimi vitet e fundit është bërë gjithnjë e më shumë një certifikatë që vërteton përputhshmërinë e IP-së së ekzaminuar me një standard të caktuar ndërkombëtar të njohur. Prania e një certifikate të tillë i lejon një organizate të fitojë avantazhe konkurruese që lidhen me besimin më të madh nga klientët dhe partnerët. Përdorimi i standardeve ndihmon në arritjen e pesë objektivave të mëposhtëm. Së pari, qëllimet e sigurimit të sigurisë së informacionit të sistemeve kompjuterike janë të përcaktuara rreptësisht. Së dyti, krijon sistem efikas menaxhimi i sigurisë së informacionit. Së treti, ai siguron llogaritjen e një grupi treguesish të detajuar, jo vetëm cilësor, por edhe sasior për të vlerësuar përputhshmërinë e sigurisë së informacionit me qëllimet e deklaruara. Së katërti, krijohen kushtet për përdorimin e mjeteve ekzistuese të sigurisë së informacionit (software) dhe vlerësimin e gjendjes aktuale të tij. Së pesti, ai hap mundësinë e përdorimit të teknikave të menaxhimit të sigurisë me një sistem të mirë-bazuar të matjeve dhe masave për të siguruar zhvilluesit e sistemit të informacionit. Që nga fillimi i viteve '80 janë krijuar dhjetëra standarde ndërkombëtare dhe kombëtare në fushën e sigurisë së informacionit, të cilat në një masë plotësojnë njëra-tjetrën. Më poshtë do të shqyrtojmë standardet më të famshme sipas kronologjisë së krijimit të tyre: )Kriteri për vlerësimin e besueshmërisë së sistemeve kompjuterike “Orange Book” (SHBA); )Kriteret e harmonizuara vendet evropiane;
)Rekomandimet X.800; )Standardi gjerman BSI; )Standardi Britanik BS 7799; )Standardi ISO 17799; )Standardi "Kriteret e Përgjithshme" ISO 15408; )Standardi COBIT Këto standarde mund të ndahen në dy lloje: · Standardet e vlerësimit që synojnë klasifikimin e sistemeve të informacionit dhe masave të sigurisë sipas kërkesave të sigurisë; · Specifikimet teknike që rregullojnë aspekte të ndryshme të zbatimit të masave të sigurisë. Është e rëndësishme të theksohet se nuk ka mur bosh midis këtyre llojeve të rregulloreve. Standardet e vlerësimit nxjerrin në pah aspektet më të rëndësishme të sigurisë së informacionit nga pikëpamja e sigurisë së informacionit, duke luajtur rolin e specifikimeve arkitekturore. Të tjera Specifikimet teknike përcaktoni se si të ndërtoni një IS të një arkitekture të përcaktuar. 2 Standardi “Kriteret për vlerësimin e besueshmërisë së sistemeve kompjuterike” (Libri Portokalli) Historikisht, standardi i parë i vlerësimit që u përhap dhe pati një ndikim të madh në bazën e standardizimit të sigurisë së informacionit në shumë vende ishte standardi i Departamentit të Mbrojtjes së SHBA-së "Kriteret e vlerësimit për sistemet kompjuterike të besueshme". Kjo vepër, e quajtur më shpesh "Libri Portokalli" nga ngjyra e kopertinës, u botua për herë të parë në gusht 1983. Vetëm emri i saj kërkon koment. Nuk po flasim për sisteme të sigurta, por për sisteme të besuara, pra sisteme që mund t'u jepet një shkallë e caktuar besimi. Libri Portokalli shpjegon konceptin e një sistemi të sigurt që "kontrollon, me mjete të përshtatshme, aksesin në informacion në mënyrë që vetëm individët ose proceset e autorizuara siç duhet që veprojnë në emër të tyre të autorizohen të lexojnë, shkruajnë, krijojnë dhe fshijnë informacionin". Është e qartë, megjithatë, se absolutisht sisteme të sigurta nuk ekziston, është një abstraksion. Ka kuptim të vlerësohet vetëm shkalla e besimit që mund të vendoset në një sistem të caktuar. Libri Portokalli përcakton një sistem të besuar si "një sistem që përdor pajisje të mjaftueshme dhe software për të siguruar përpunimin e njëkohshëm të informacionit të shkallëve të ndryshme të fshehtësisë nga një grup përdoruesish pa shkelur të drejtat e aksesit.” Duhet theksuar se në kriteret në shqyrtim, si siguria ashtu edhe besimi vlerësohen vetëm nga pikëpamja e kontrollit të aksesit të të dhënave, që është një nga mjetet për të siguruar konfidencialitetin dhe integritetin e informacionit. Megjithatë, Libri Portokalli nuk trajton çështjet e aksesueshmërisë. Shkalla e besimit vlerësohet sipas dy kritereve kryesore. .Politika e sigurisë është një grup ligjesh, rregullash dhe kodesh sjelljeje që përcaktojnë se si një organizatë përpunon, mbron dhe shpërndan informacionin. Në veçanti, rregullat përcaktojnë se kur një përdorues mund të operojë në grupe të veçanta të dhënash. Sa më e lartë të jetë shkalla e besimit në sistem, aq më e rreptë dhe më e larmishme duhet të jetë politika e sigurisë. Në varësi të politikës së formuluar, mund të zgjidhen mekanizma specifikë sigurie. Politika e sigurisë është një aspekt aktiv i mbrojtjes, duke përfshirë analizën e kërcënimeve të mundshme dhe zgjedhjen e kundërmasave. .Niveli i sigurisë është një masë besimi që mund të vendoset në arkitekturën dhe zbatimin e një SI. Besimi i sigurisë mund të rrjedhë si nga analiza e rezultateve të testimit, ashtu edhe nga verifikimi (formal ose jo) i dizajnit dhe zbatimit të përgjithshëm të sistemit në tërësi dhe komponentëve të tij individualë. Niveli i sigurisë tregon se sa korrekt janë mekanizmat përgjegjës për zbatimin e politikës së sigurisë. Ky është aspekti pasiv i mbrojtjes. Mjeti kryesor i sigurimit të sigurisë përcaktohet nga mekanizmi i llogaridhënies (logging). Sistemi i besuar duhet të regjistrojë të gjitha ngjarjet që lidhen me sigurinë. Mbajtja e të dhënave duhet të plotësohet me auditim, domethënë analizë të informacionit të regjistrimit. Koncepti i një baze kompjuterike të besuar është thelbësor për vlerësimin e shkallës së besimit të sigurisë. Një bazë llogaritëse e besuar është një grup mekanizmash sigurie IS (përfshirë harduerin dhe softuerin) përgjegjës për zbatimin e politikës së sigurisë. Cilësia e bazës llogaritëse përcaktohet vetëm nga zbatimi i saj dhe korrektësia e të dhënave fillestare të futura nga administratori i sistemit. Komponentët në fjalë jashtë bazës kompjuterike mund të mos kenë besim, por kjo nuk duhet të ndikojë në sigurinë e sistemit në tërësi. Si rezultat, për të vlerësuar besimin e sigurisë së një sistemi informacioni, autorët e standardit rekomandojnë të merret parasysh vetëm baza e tij informatike. Qëllimi kryesor i një baze llogaritëse të besueshme është të kryejë funksionet e një monitori të thirrjeve, domethënë të kontrollojë pranueshmërinë e subjekteve (përdoruesve) që kryejnë operacione të caktuara në objekte (entitete pasive). Monitoruesi kontrollon aksesin e çdo përdoruesi në programe ose të dhëna për përputhje me grupin e veprimeve të lejuara për përdoruesin. Një monitor i thirrjeve duhet të ketë tre cilësi: Izolim. Është e nevojshme për të parandaluar monitorimin e monitorimit. Plotësia. Monitori duhet të thirret në çdo telefonatë; nuk duhet të ketë asnjë mënyrë për ta anashkaluar atë. Verifikueshmëria. Monitori duhet të jetë kompakt në mënyrë që të mund të analizohet dhe testohet me besim se testimi do të jetë i plotë. Implementimi i një monitori të goditur quhet kernel sigurie. Thelbi i sigurisë është themeli mbi të cilin janë ndërtuar të gjithë mekanizmat e sigurisë. Përveç veçorive të monitorit të aksesit të listuara më sipër, kerneli duhet të garantojë pandryshueshmërinë e tij. Kufiri i një baze llogaritëse të besueshme quhet perimetër sigurie. Siç është thënë tashmë, komponentët jashtë perimetrit të sigurisë mund të mos u besohen në përgjithësi. Me zhvillimin sistemet e shpërndara Konceptit të "perimetrit të sigurisë" gjithnjë e më shumë po i jepet një kuptim tjetër, që do të thotë kufiri i zotërimeve të një organizate të caktuar. Ajo që është brenda pronës konsiderohet e besueshme, por ajo që është jashtë nuk është. Sipas Librit Portokalli, një politikë sigurie duhet të përfshijë domosdoshmërisht elementët e mëposhtëm: · kontrolli i aksesit të rastësishëm; · siguria e ripërdorimit të objektit; · etiketat e sigurisë; · kontrolli i hyrjes së detyruar. Kontrolli i aksesit të rastësishëm është një metodë e kufizimit të aksesit në objekte, bazuar në marrjen parasysh të identitetit të subjektit ose grupit të cilit i përket subjekti. Arbitrariteti i kontrollit është që një person i caktuar (zakonisht pronari i një objekti) mundet, sipas gjykimit të tij, të japë ose t'u heqë subjekteve të tjera të drejta aksesi ndaj objektit. Siguria e ripërdorimit të objekteve është një shtesë e rëndësishme për kontrollet e aksesit që parandalon që informacionet e ndjeshme të fshihen aksidentalisht ose qëllimisht nga mbeturinat. Siguria e ripërdorimit duhet të garantohet për zonat e RAM-it (në veçanti, për buferët me imazhe të ekranit, fjalëkalime të deshifruara, etj.), për blloqet e diskut dhe mediat magnetike në përgjithësi. 3 standard gjerman BSI Në vitin 1998, "Udhëzuesi i Sigurisë së Teknologjisë së Informacionit të Nivelit Bazë" u botua në Gjermani. Manuali është një hipertekst prej afërsisht 4 MB (format HTML). Më vonë u zyrtarizua si standardi gjerman BSI. Ai bazohet në metodologjinë e përgjithshme dhe komponentët e menaxhimit të sigurisë së informacionit: · Metoda e përgjithshme e menaxhimit të sigurisë së informacionit (organizimi i menaxhimit në fushën e sigurisë së informacionit, metodologjia e përdorimit të manualit). · Përshkrimet e komponentëve të teknologjive moderne të informacionit. · Komponentët kryesorë (niveli organizativ i sigurisë së informacionit, niveli procedural, organizimi i mbrojtjes së të dhënave, planifikimi i emergjencës). · Infrastruktura (ndërtesat, ambientet, rrjetet kabllore, organizimi i aksesit në distancë). · Komponentët e Klientit lloje të ndryshme(DOS, Windows, UNIX, komponentë celularë, lloje të tjera). · Rrjete të llojeve të ndryshme (lidhje pikë-pikë, rrjete Novell NetWare, rrjete me OC ONIX dhe Windows, rrjete heterogjene). · Elementet e sistemeve të transmetimit të të dhënave (e-mail, modem, firewalls, etj.). · Telekomunikacioni (fakse, aparate telefonike, sisteme të integruara të bazuara në ISDN, sisteme të tjera telekomunikacioni). · Softuer standard. · Baza e të dhënave. · Përshkrimet e komponentëve kryesorë të organizimit të një regjimi të sigurisë së informacionit (nivelet organizative dhe teknike të mbrojtjes së të dhënave, planifikimi emergjent, mbështetja e vazhdimësisë së biznesit). · Karakteristikat e objekteve të informacionit (ndërtesa, ambiente, rrjete kabllore, zona të kontrolluara). · Karakteristikat e aseteve kryesore të informacionit të kompanisë (përfshirë harduerin dhe softuerin, të tilla si stacionet e punës dhe serverët që ekzekutojnë sistemet operative DOS, Windows dhe UNIX). · Karakteristikat rrjetet kompjuterike bazuar në të ndryshme teknologjitë e rrjetit, të tilla si rrjetet Novell Net Ware, rrjetet UNIX dhe Windows). · Karakteristikat e pajisjeve të telekomunikacionit aktiv dhe pasiv nga shitësit kryesorë, për shembull Cisco Systems. · Katalogë të detajuar të kërcënimeve të sigurisë dhe masave të kontrollit (më shumë se 600 artikuj në çdo katalog). Të gjitha llojet e kërcënimeve në standardin BSI ndahen në klasat e mëposhtme: · Rrethanat e forcës madhore. · Disavantazhet e masave organizative. · Gabimet njerëzore. · Probleme teknike. · Veprime të qëllimshme. Kundërmasat klasifikohen në mënyrë të ngjashme: · Përmirësimi i infrastrukturës; · Kundërmasat administrative; · Kundërmasat procedurale; · Kundërmasat softuerike dhe harduerike; · Reduktimi i cenueshmërisë së komunikimeve; planifikimi emergjent. Të gjithë komponentët konsiderohen dhe përshkruhen sipas planit të mëposhtëm: )përshkrim i përgjithshëm; )skenarët e mundshëm të kërcënimeve të sigurisë (kërcënimet e aplikueshme për këtë komponent janë të listuara nga katalogu i kërcënimeve të sigurisë); )kundërmasat e mundshme (kërcënimet e aplikueshme për këtë komponent nga katalogu i kërcënimeve të sigurisë janë të listuara); 4 Standardi Britanik BS 7799