Auditimi i jashtëm i sigurisë së informacionit të një institucioni shtetëror. Analiza e të dhënave të auditimit

12.06.2019 Vlerësime

Artikulli përmbledh praktikën e kryerjes së një auditimi të sigurisë së sistemeve të informacionit (IS), jep konceptin e auditimit të sigurisë, diskuton qëllimet e zbatimit të tij, metodat dhe fazat e punës së kryer, metodat e analizës dhe menaxhimit të rrezikut të përdorura nga audituesit, dhe mjetet e zbatimit të tyre, standardet aktuale dhe sistemet e certifikimit të IS, në kuadrin e të cilave kryhet auditimi i sigurisë.

Alexander Astakhov, CISA, 2002
Epigrafi
Të ndihmojë në sjelljen e sistemeve të informacionit në përputhje me standardet dhe udhëzimet e pranuara;
Kryen aktivitetet e tij në përputhje me standardet në fushën e auditimit të sistemeve të informacionit të miratuara nga ISACA;
Veproni në interesin më të mirë të punëdhënësve, aksionarëve, klientëve dhe shoqërisë në mënyrë të zellshme, besnike dhe të ndershme;
Me vetëdije për të mos marrë pjesë në aktivitete të paligjshme ose të pandershme;
Të respektojnë konfidencialitetin e informacionit të marrë gjatë kryerjes së detyrave të tyre zyrtare;
Mos e përdorni informacionin konfidencial për përfitime personale dhe mos ia transferoni ato palëve të treta pa lejen e pronarit të tij;
Të kryejnë përgjegjësitë e tyre të punës duke qëndruar të pavarur dhe të paanshëm;
Shmangni aktivitetet që rrezikojnë pavarësinë e auditorit;
Të ruajnë në nivelin e duhur kompetencën e tyre në fushat e njohurive që lidhen me auditimin e sistemeve të informacionit duke marrë pjesë në evente profesionale;
Të jetë i zellshëm në marrjen dhe dokumentimin e materialeve faktike mbi të cilat bazohen konkluzionet dhe rekomandimet e auditorit;
Informoni të gjitha palët e interesuara për rezultatet e auditimit;
Të ndihmojë në rritjen e ndërgjegjësimit të menaxhmentit të organizatave, klientëve dhe shoqërisë në çështjet që lidhen me auditimin e sistemeve të informacionit;
Përmbushni standarde të larta etike në aktivitetet profesionale dhe personale;
Përmirësoni cilësitë tuaja personale.

Kodi i Etikës për një Auditues të Sistemeve të Informacionit
(Kodi i Etikës Profesionale ISACA)

Koncepti dhe qëllimi i auditimit të sigurisë

Një auditim është një ekzaminim i pavarur i fushave specifike të funksionimit të organizatës. Dalloni ndërmjet auditimit të jashtëm dhe atij të brendshëm. Një auditim i jashtëm është, si rregull, një ngjarje një herë e iniciuar nga menaxhmenti ose aksionarët e organizatës. Rekomandohet kryerja e auditimeve të jashtme në baza të rregullta dhe, për shembull, për shumë institucione financiare dhe shoqëri aksionare, kjo është një kërkesë e detyrueshme. Auditimi i brendshëm është një veprimtari e vazhdueshme, e cila kryhet në bazë të “Rregullores për auditimin e brendshëm” dhe në përputhje me planin, përgatitja e të cilit kryhet nga departamenti i auditimit të brendshëm dhe miratohet nga drejtuesit e organizatës. Auditimi i sigurisë së sistemeve të informacionit është një nga komponentët e auditimit të TI-së. Objektivat e një auditimi të sigurisë janë:

analiza e rreziqeve që lidhen me mundësinë e zbatimit të kërcënimeve të sigurisë në lidhje me burimet IP

Shënim:

Ndoshta ky është i vetmi grup objektivash për kryerjen e një auditimi sigurie, por vetëm nëse bëhet fjalë për një auditim të jashtëm. Detyrat shtesë për auditorin e brendshëm, përveç ndihmës së auditorëve të jashtëm, mund të përfshijnë gjithashtu:

zhvillimi i politikave të sigurisë dhe dokumenteve të tjera organizative dhe administrative për mbrojtjen e informacionit dhe pjesëmarrjen në zbatimin e tyre në punën e organizatës;
vendosja e detyrave për personelin e TI-së në lidhje me sigurinë e informacionit;
pjesëmarrja në trajnimin e përdoruesve dhe personelit të mirëmbajtjes së IS mbi çështjet e sigurisë së informacionit;
pjesëmarrja në analizën e incidenteve që lidhen me shkeljet e sigurisë së informacionit;
tjera.

Duhet të theksohet se të gjitha detyrat "shtesë" të mësipërme me të cilat përballet auditori i brendshëm, me përjashtim të pjesëmarrjes në trajnime, në fakt nuk janë auditim. Një auditor, sipas përkufizimit, duhet të kryejë një ekzaminim të pavarur të zbatimit të mekanizmave të sigurisë në një organizatë, i cili është një nga parimet bazë të auditimit. Nëse auditori merr pjesë aktive në zbatimin e mekanizmave të sigurisë, atëherë humbet pavarësia e auditorit dhe me të humbet edhe objektiviteti i gjykimeve të tij, pasi auditori nuk mund të ushtrojë kontroll të pavarur dhe objektiv të aktiviteteve të veta. Megjithatë, në praktikë, auditori i brendshëm, ndonjëherë duke qenë specialisti më kompetent në organizatë në çështjet e sigurisë së informacionit, nuk mund të qëndrojë i anashkaluar nga zbatimi i mekanizmave mbrojtës. (Dhe nëse ai nuk është një specialist i tillë, atëherë çfarë dobie praktike mund të ketë prej tij?) Për më tepër, pothuajse gjithmonë ka mungesë të personelit të kualifikuar në këtë fushë të veçantë.

Së paku, ai mund dhe duhet të marrë pjesë aktive në zbatimin e të njëjtit nënsistem të auditimit të sigurisë, i cili mund t'i sigurojë auditorit të dhënat fillestare për analizimin e situatës aktuale. Natyrisht, në këtë rast, auditori nuk do të jetë më në gjendje të vlerësojë objektivisht zbatimin e këtij nënsistemi dhe natyrisht ai del jashtë planit të auditimit. Po kështu, auditori i brendshëm mund të marrë pjesë aktive në zhvillimin e politikave të sigurisë duke i ofruar një mundësi auditorëve të jashtëm për të vlerësuar cilësinë e këtyre dokumenteve.

Fazat e punës për kryerjen e një auditimi sigurie të sistemeve të informacionit

Punimet për auditimin e sigurisë së IS përfshijnë një sërë fazash vijuese, të cilat në përgjithësi korrespondojnë me fazat e një auditimi gjithëpërfshirës të IT të një AU, i cili përfshin sa më poshtë:

Mbledhja e informacionit të auditimit
Analiza e të dhënave të auditimit
Zhvillimi i rekomandimeve
Përgatitja e një raporti auditimi

Fillimi i procedurës së auditimit

Auditimi kryhet jo me iniciativën e auditorit, por me iniciativën e menaxhmentit të kompanisë, i cili në këtë çështje është aktori kryesor. Mbështetja e menaxhmentit të kompanisë është një parakusht për auditimin.

Auditimi është një grup aktivitetesh në të cilat, përveç vetë auditorit, janë të përfshirë edhe përfaqësues të shumicës së divizioneve strukturore të kompanisë. Veprimet e të gjithë pjesëmarrësve në këtë proces duhet të jenë të koordinuara. Prandaj, në fazën e fillimit të procedurës së auditimit, duhet të zgjidhen çështjet e mëposhtme organizative:

të drejtat dhe detyrimet e auditorit duhet të përcaktohen qartë dhe të dokumentohen në përshkrimet e punës së tij, si dhe në rregulloren për auditimin e brendshëm (të jashtëm);
auditori duhet të përgatisë dhe të pajtohet me menaxhimin e planit të auditimit;
Rregullorja për auditimin e brendshëm duhet të përcaktojë, në veçanti, që punonjësit e kompanisë janë të detyruar të ndihmojnë audituesin dhe të japin të gjithë informacionin e nevojshëm për auditimin.

Në fazën e fillimit të procedurës së auditimit, duhet të përcaktohet fusha e anketimit. Disa nga nënsistemet e informacionit të kompanisë nuk janë mjaft kritike dhe ato mund të përjashtohen nga objekti i anketimit. Nënsistemet e tjera mund të mos jenë të auditueshme për arsye konfidencialiteti.

Objekti i anketës përcaktohet në termat e mëposhtëm:

Lista e burimeve fizike, softuerike dhe informacionit të ekzaminuara;
Zonat (lokalet) që bien brenda kufijve të vrojtimit;
Llojet kryesore të kërcënimeve të sigurisë të konsideruara gjatë auditimit;
Aspektet organizative (legjislative, administrative dhe procedurale), fizike, softuerike-teknike dhe të tjera të sigurisë që duhet të merren parasysh gjatë anketës, dhe prioritetet e tyre (në çfarë mase duhet të merren parasysh).

Plani i auditimit dhe kufijtë diskutohen në një takim pune, ku marrin pjesë auditorët, menaxhmenti i kompanisë dhe drejtuesit e divizioneve strukturore.

Mbledhja e informacionit të auditimit

Faza e mbledhjes së informacionit të auditimit është më e vështira dhe kërkon shumë kohë. Kjo për shkak të mungesës së dokumentacionit të nevojshëm për sistemin e informacionit dhe nevojës për ndërveprim të ngushtë të auditorit me shumë zyrtarë të organizatës.

Konkluzionet kompetente në lidhje me gjendjen e punëve në kompaninë me sigurinë e informacionit mund të bëhen nga auditori vetëm nëse janë të disponueshme të gjitha të dhënat fillestare të nevojshme për analizën. Marrja e informacionit për organizimin, funksionimin dhe gjendjen aktuale të IP-së kryhet nga auditori gjatë intervistave të organizuara posaçërisht me personat përgjegjës të kompanisë, duke studiuar dokumentacionin teknik dhe organizativ dhe administrativ, si dhe duke hulumtuar IP-në duke përdorur softuer të specializuar. mjetet. Le të ndalemi se çfarë informacioni i nevojitet auditorit për analizë.

Sigurimi i sigurisë së informacionit të një organizate është një proces kompleks që kërkon organizim dhe disiplinë të qartë. Ai duhet të fillojë me përcaktimin e roleve dhe caktimin e përgjegjësive ndërmjet zyrtarëve të sigurisë së informacionit. Prandaj, pika e parë e anketës së auditimit fillon me marrjen e informacionit në lidhje me strukturën organizative të përdoruesve të IP dhe njësive të shërbimit. Në këtë drejtim, audituesi kërkon dokumentacionin e mëposhtëm:

Grafiku organizativ i përdoruesit;
Diagrami i strukturës organizative të njësive të shërbimit.

Zakonisht, gjatë intervistës, auditori u bën të anketuarve pyetjet e mëposhtme:

Kush është pronari i informacionit?
Kush është përdoruesi (konsumatori) i informacionit?
Kush është ofruesi i shërbimit?

Qëllimi dhe parimet e funksionimit të IS përcaktojnë në masë të madhe rreziqet ekzistuese dhe kërkesat e sigurisë për sistemin. Prandaj, në fazën tjetër, auditori është i interesuar për informacion rreth qëllimit dhe funksionimit të SI. Auditori pyet të anketuarit për pyetjet e mëposhtme:

Cilat shërbime u ofrohen përdoruesve fundorë dhe si?
Cilat janë llojet kryesore të aplikacioneve që funksionojnë në IS?
Numri dhe llojet e përdoruesve që përdorin këto aplikacione?

Ai gjithashtu do të ketë nevojë për dokumentacionin e mëposhtëm, natyrisht, nëse ka fare në dispozicion (gjë që, në përgjithësi, nuk ndodh shpesh):

Diagramet funksionale;
Përshkrimi i funksioneve të automatizuara;
Përshkrimi i zgjidhjeve kryesore teknike;
Dokumentacion tjetër projektues dhe pune për sistemin e informacionit.

Për më tepër, auditorit i duhet informacion më i detajuar rreth strukturës së IP-së. Kjo do të bëjë të mundur të kuptohet se si kryhet shpërndarja e mekanizmave të sigurisë sipas elementëve strukturorë dhe niveleve të funksionimit të IS. Pyetjet tipike që diskutohen në këtë drejtim gjatë intervistës përfshijnë:

Nga cilat komponentë (nënsisteme) përbëhet IC?
Funksionaliteti i komponentëve individualë?
Ku janë kufijtë e sistemit?
Cilat pika hyrëse ka?
Si ndërvepron IP me sistemet e tjera?
Cilat kanale komunikimi përdoren për të bashkëvepruar me IS të tjera?
Cilat kanale komunikimi përdoren për komunikimin ndërmjet komponentëve të sistemit?
Cilat protokolle përdoren për komunikim?
Cilat platforma softuerike dhe harduerike përdoren për të ndërtuar sistemin?

Në këtë fazë, auditori duhet të grumbullojë dokumentacionin e mëposhtëm:

Diagrami strukturor i IC;
Diagrami i rrjedhës së informacionit;
Përshkrimi i strukturës së kompleksit të mjeteve teknike të sistemit të informacionit;
Përshkrimi i strukturës së softuerit;
Përshkrimi i strukturës së mbështetjes së informacionit;
Vendosja e komponentëve të sistemit të informacionit.

Përgatitja e një pjese të konsiderueshme të dokumentacionit të IS zakonisht kryhet tashmë gjatë auditimit. Kur të përgatiten të gjitha të dhënat e nevojshme IP, përfshirë dokumentacionin, mund të vazhdoni me analizën e tyre.

Analiza e të dhënave të auditimit

Metodat e analizës së të dhënave të përdorura nga auditorët përcaktohen nga qasja e zgjedhur e auditimit, e cila mund të ndryshojë ndjeshëm.

Qasja e parë, më komplekse, bazohet në analizën e rrezikut. Bazuar në metodat e analizës së rrezikut, audituesi përcakton për IS-në e anketuar një grup individual kërkesash sigurie, i cili në masën më të madhe merr parasysh veçoritë e këtij SI, mjedisin e tij operativ dhe kërcënimet e sigurisë që ekzistojnë në këtë mjedis. Kjo qasje kërkon më shumë kohë dhe kërkon kualifikimet më të larta të një auditori. Cilësia e rezultateve të auditimit, në këtë rast, ndikohet fuqishëm nga metodologjia e përdorur për analizën dhe menaxhimin e rrezikut dhe zbatueshmëria e saj në këtë lloj IP.

Qasja e dytë, më praktike, mbështetet në përdorimin e standardeve të sigurisë së informacionit. Standardet përcaktojnë grupin bazë të kërkesave të sigurisë për një klasë të gjerë të IS, e cila është formuar si rezultat i përgjithësimit të praktikës botërore. Standardet mund të përcaktojnë grupe të ndryshme kërkesash sigurie, në varësi të nivelit të sigurisë së IS që duhet të ofrohet, përkatësisë së tij (organizata tregtare ose agjenci qeveritare), si dhe qëllimi (financa, industria, komunikimet, etj.). Në këtë rast, auditorit i kërkohet të përcaktojë saktë grupin e kërkesave të standardit, përputhshmëria me të cilën duhet të sigurohet për këtë SI. Gjithashtu nevojitet një metodologji për të vlerësuar këtë konformitet. Për shkak të thjeshtësisë së tij (grupi standard i kërkesave për auditim është tashmë i paracaktuar nga standardi) dhe besueshmërisë (standardi është një standard dhe askush nuk do të përpiqet të sfidojë kërkesat e tij), qasja e përshkruar është më e zakonshme në praktikë (veçanërisht kur kryerja e një auditimi të jashtëm). Kjo ju lejon të nxirrni përfundime të arsyeshme për gjendjen e IS me një kosto minimale të burimeve.

Qasja e tretë, më efektive, përfshin kombinimin e dy të parave. Grupi bazë i kërkesave të sigurisë për IC-të përcaktohet nga standardi. Kërkesat shtesë, duke marrë parasysh specifikat e funksionimit të këtij SI në masën maksimale të mundshme, formohen në bazë të analizës së rrezikut. Kjo qasje është shumë më e thjeshtë se e para, sepse shumica e kërkesave të sigurisë janë tashmë të përcaktuara nga standardi dhe, në të njëjtën kohë, nuk ka disavantazhin e qasjes së dytë, që është se kërkesat e standardit mund të mos marrin parasysh specifikat e IS të inspektuar.

Çfarë është analiza e riskut dhe menaxhimi i riskut?

Analiza e rrezikut është vendi ku duhet të fillojë ndërtimi i çdo sistemi të sigurisë së informacionit. Ai përfshin aktivitete për vëzhgimin e sigurisë së IP-së, në mënyrë që të përcaktojë se cilat burime dhe nga cilat kërcënime duhet të mbrohen, si dhe në çfarë mase burime të caktuara duhet të mbrohen. Përcaktimi i një grupi kundërmasash adekuate kryhet gjatë menaxhimit të rrezikut. Rreziku përcaktohet nga gjasat e dëmtimit dhe sasia e dëmtimit të burimeve të IP-së, në rast të një kërcënimi sigurie.

Analiza e rrezikut konsiston në identifikimin e rreziqeve ekzistuese dhe vlerësimin e madhësisë së tyre (duke u dhënë atyre një vlerësim cilësor ose sasior). Procesi i analizës së rrezikut mund të ndahet në disa faza vijuese:

Identifikimi i burimeve kyçe të IP-së;
Përcaktimi i rëndësisë së burimeve të caktuara për organizatën;
Identifikimi i kërcënimeve ekzistuese të sigurisë dhe dobësive që bëjnë të mundshme kërcënimet;
Llogaritja e rreziqeve që lidhen me zbatimin e kërcënimeve të sigurisë.

Burimet IP mund të kategorizohen si më poshtë:

Burimet informative;
Software;
Mjetet teknike (serverët, stacionet e punës, pajisjet aktive të rrjetit, etj.);
Burimet njerëzore.

Brenda çdo kategorie, burimet ndahen në klasa dhe nënklasa. Është e nevojshme të identifikohen vetëm ato burime që përcaktojnë funksionalitetin e IS dhe janë thelbësore nga pikëpamja e garantimit të sigurisë.

Rëndësia (ose kostoja) e një burimi përcaktohet nga sasia e dëmit të shkaktuar në rast të shkeljes së konfidencialitetit, integritetit ose disponueshmërisë së atij burimi. Zakonisht konsiderohen llojet e mëposhtme të dëmtimeve:

Të dhënat janë zbuluar, ndryshuar, fshirë ose janë bërë të padisponueshme;
Hardware është dëmtuar ose shkatërruar;
Integriteti i softuerit është komprometuar.

Dëmi mund t'i shkaktohet një organizate si rezultat i zbatimit të suksesshëm të llojeve të mëposhtme të kërcënimeve të sigurisë:

Sulmet lokale dhe të largëta ndaj burimeve IP;
fatkeqësitë natyrore;
gabime ose veprime të qëllimshme të personelit të IS;
Dështimet e IC të shkaktuara nga gabimet e softuerit ose mosfunksionimet e harduerit.

Dobësitë zakonisht kuptohen si veti të një IS që bëjnë të mundur zbatimin me sukses të kërcënimeve të sigurisë.

Madhësia e rrezikut përcaktohet bazuar në koston e burimit, gjasat e shfaqjes së kërcënimit dhe madhësinë e cenueshmërisë duke përdorur formulën e mëposhtme:

Rreziku = (kostoja e burimit * probabiliteti i kërcënimit) / vlera e cenueshmërisë

Sfida e menaxhimit të rrezikut është të zgjedhë një grup të arsyeshëm kundërmasash për të ulur nivelet e rrezikut në një nivel të pranueshëm. Kostoja e zbatimit të kundërmasave duhet të jetë më e vogël se shuma e dëmit të mundshëm. Diferenca midis kostos së zbatimit të kundërmasave dhe sasisë së dëmit të mundshëm duhet të jetë në përpjesëtim të zhdrejtë me gjasat e shkaktimit të dëmit.

Përdorimi i metodave të analizës së rrezikut

Nëse zgjidhet një qasje e bazuar në rrezik për të kryer një auditim sigurie, atëherë grupet e mëposhtme të detyrave zakonisht kryhen në fazën e analizimit të të dhënave të auditimit:

Analiza e burimeve IP, duke përfshirë burimet e informacionit, softuerin dhe harduerin, dhe burimet njerëzore
Analiza e grupeve të detyrave të zgjidhura nga sistemi dhe proceset e biznesit
Ndërtimi i një modeli (joformal) të burimeve IP, i cili përcakton marrëdhënien midis informacionit, softuerit, burimeve teknike dhe njerëzore, rregullimin e tyre të ndërsjellë dhe metodat e ndërveprimit
Vlerësimi i kritikitetit të burimeve të informacionit, si dhe softuerit dhe harduerit
Përcaktimi i kritikitetit të burimeve duke marrë parasysh ndërvarësinë e tyre
Përcaktimi i kërcënimeve më të mundshme të sigurisë në lidhje me burimet IP dhe dobësitë e sigurisë që bëjnë të mundur që këto kërcënime të ndodhin
Vlerësimi i mundësisë së zbatimit të kërcënimeve, madhësisë së dobësive dhe dëmtimit të organizatës në rast të zbatimit të suksesshëm të kërcënimeve
Përcaktimi i madhësisë së rreziqeve për secilën treshe: kërcënim - grup burimesh - cenueshmëri
Grupi i detyrave të listuara është mjaft i përgjithshëm. Për zgjidhjen e tyre, mund të përdoren teknika të ndryshme formale dhe joformale, sasiore dhe cilësore, manuale dhe të automatizuara të analizës së rrezikut. Kjo nuk e ndryshon thelbin e qasjes.

Vlerësimi i rrezikut mund të bëhet duke përdorur një sërë shkallësh cilësore dhe sasiore. Gjëja kryesore është që rreziqet ekzistuese të identifikohen dhe renditen saktë në përputhje me shkallën e kritikës së tyre për organizatën. Bazuar në këtë analizë, mund të zhvillohet një sistem masash prioritare për të ulur madhësinë e rreziqeve në një nivel të pranueshëm.

Vlerësimi i përputhshmërisë me kërkesat e standardit

Në rastin e një auditimi sigurie për pajtueshmërinë me kërkesat e standardit, auditori, duke u mbështetur në përvojën e tij, vlerëson zbatueshmërinë e kërkesave të standardit për SI-në e inspektuar dhe përputhshmërinë e tij me këto kërkesa. Të dhënat mbi përputhshmërinë e fushave të ndryshme të funksionimit të IS me kërkesat e standardit zakonisht paraqiten në formë tabelare. Tabela tregon se cilat kërkesa sigurie nuk janë zbatuar në sistem. Bazuar në këtë, nxirren përfundime në lidhje me përputhshmërinë e SI të anketuar me kërkesat e standardit dhe jepen rekomandime për zbatimin e mekanizmave të sigurisë në sistem për të siguruar një përputhje të tillë.

Rekomandimet e lëshuara nga auditori bazuar në rezultatet e analizës së gjendjes së SI përcaktohen nga qasja e përdorur, karakteristikat e SI të inspektuar, gjendja e çështjeve me sigurinë e informacionit dhe shkalla e detajeve të përdorura gjatë auditimit.

Në çdo rast, rekomandimet e auditorit duhet të jenë specifike dhe të zbatueshme për këtë SI, të justifikuara ekonomikisht, të arsyetuara (të mbështetura nga rezultatet e analizës) dhe të renditura sipas shkallës së rëndësisë. Në të njëjtën kohë, masat për të siguruar mbrojtjen e nivelit organizativ pothuajse gjithmonë kanë përparësi ndaj metodave specifike të mbrojtjes së softuerit dhe harduerit.

Në të njëjtën kohë, është naive të pritet nga auditori, si rezultat i auditimit, nxjerrja e një projekti teknik të nënsistemit të sigurisë së informacionit, apo rekomandime të detajuara për zbatimin e mjeteve specifike të sigurisë së informacionit softuer dhe harduer. Kjo kërkon një studim më të detajuar të çështjeve specifike të organizimit të mbrojtjes, megjithëse auditorët e brendshëm mund të marrin pjesë aktive në këto punë.

Përgatitja e dokumenteve të raportimit

Raporti i auditimit është rezultati kryesor i auditimit. Cilësia e tij karakterizon cilësinë e punës së auditorit. Struktura e raportit mund të ndryshojë materialisht në varësi të natyrës dhe objektivave të auditimit. Megjithatë, disa seksione duhet të jenë të pranishme në raportin e auditimit. Ai të paktën duhet të përmbajë një përshkrim të objektivave të auditimit, karakteristikat e SI-së së inspektuar, një tregues të fushës së auditimit dhe metodave të përdorura, rezultatet e analizës së të dhënave të auditimit, konkluzione që përmbledhin këto rezultate dhe që përmbajnë një vlerësim të niveli i sigurisë së AU ose përputhshmëria e tij me kërkesat e standardeve dhe, natyrisht, rekomandimet e auditorit për eliminimin e mangësive ekzistuese dhe përmirësimin e sistemit të mbrojtjes.

Si shembull, ne do të japim një strukturë mostër të një raporti auditimi bazuar në rezultatet e analizës së rreziqeve që lidhen me zbatimin e kërcënimeve të sigurisë në lidhje me IP-në e inspektuar.

Struktura e raportit mbi rezultatet e auditimit të sigurisë së IS dhe analizës së rrezikut

1. Pjesa hyrëse

1.1 Hyrje
1.2 Qëllimet dhe objektivat e auditimit
1.3 Përshkrimi i IC
1.3.1 Qëllimi dhe funksionet kryesore të sistemit
1.3.2 Grupet e detyrave të zgjidhura në sistem
1.3.3 Klasifikimi i përdoruesve të IP
1.3.4 Struktura organizative e personelit të shërbimit të IS
1.3.5 Struktura dhe përbërja e kompleksit të IS softuer dhe harduer
1.3.6 Llojet e burimeve të informacionit të ruajtura dhe të përpunuara në sistem
1.3.7 Struktura e flukseve të informacionit
1.3.8 Karakteristikat e kanaleve të ndërveprimit me sistemet e tjera dhe pikat e hyrjes
1.4 Fushëveprimi i auditimit
1.4.1 Komponentët dhe nënsistemet e IS që përfshihen në objektin e auditimit
1.4.2 Vendosja e një kompleksi mjetesh softuerike dhe harduerike të IS në faqe (dhoma)
1.4.3 Klasat kryesore të kërcënimeve të sigurisë të konsideruara gjatë auditimit
1.5 Metodologjia e auditimit
1.5.1 Metodologjia për analizën e riskut
1.5.2 Të dhënat fillestare
1.5.3 Faza e punës
1.6 Struktura e dokumentit

2. Vlerësimi i kritikitetit të burimeve të IP

2.1 Kriteret për vlerësimin e sasisë së dëmit të mundshëm që lidhet me zbatimin e kërcënimeve të sigurisë
2.2 Vlerësimi i kritikitetit të burimeve të informacionit
2.2.1 Klasifikimi i burimeve të informacionit
2.2.2 Vlerësimi i kritikës sipas grupeve të burimeve të informacionit
2.3 Vlerësimi i kritikitetit të mjeteve teknike
2.4 Vlerësimi i kritikitetit të softuerit
2.5 Modeli i burimeve IS që përshkruan shpërndarjen e burimeve sipas grupeve të detyrave

3. Analiza e rreziqeve që lidhen me zbatimin e kërcënimeve të sigurisë në lidhje me burimet e IP

3.1 Modeli i ndërhyrës së sigurisë së informacionit
3.1.1 Modeli i brendshëm
3.1.2 Modeli i ndërhyrës jashtë
3.2 Modeli i kërcënimeve të sigurisë dhe dobësive të burimeve të informacionit
3.2.1 Kërcënimet e sigurisë ndaj burimeve të informacionit
3.2.1.1 Kërcënimet e aksesit të paautorizuar në informacion duke përdorur mjete softuerike
3.2.1.2 Kërcënimet e kryera duke përdorur mjete teknike standarde
3.2.1.3 Kërcënimet që lidhen me rrjedhjen e informacionit përmes kanaleve teknike
3.2.2 Kërcënimet e sigurisë kundër softuerit
3.2.3 Kërcënimet e sigurisë ndaj mjeteve teknike
3.3 Vlerësimi i ashpërsisë së kërcënimeve të sigurisë dhe madhësisë së dobësive
3.3.1 Kriteret për vlerësimin e ashpërsisë së kërcënimeve të sigurisë dhe madhësisë së dobësive
3.3.2 Vlerësimi i ashpërsisë së kërcënimit
3.3.3 Vlerësimi i madhësisë së dobësive
3.4 Vlerësimi i rrezikut për çdo klasë kërcënimi dhe grup burimesh

4. Konkluzione të bazuara në rezultatet e anketës

5.1 Kundërmasat e rekomanduara të nivelit organizativ
5.2 Kundërmasat e rekomanduara harduer-softuerike

Pasqyrë e produkteve softuerike të dizajnuara për analizën dhe menaxhimin e rrezikut

Aktualisht, ekziston një shumëllojshmëri e gjerë e metodave të analizës dhe menaxhimit të rrezikut, si dhe softuer që i zbaton ato. Këtu janë disa shembuj të asaj që autori mendon se janë më të zakonshmet.

CRAMM

CRAMM (Metoda e Analizës dhe Menaxhimit të Riskut të Qeverisë së Mbretërisë së Bashkuar) u zhvillua nga Shërbimi i Sigurisë në Mbretërinë e Bashkuar në emër të qeverisë britanike dhe u miratua si standard shtetëror. Është përdorur që nga viti 1985 nga qeveria dhe organizatat tregtare në MB. Gjatë kësaj kohe CRAMM ka fituar popullaritet në të gjithë botën. Insight Consulting Limited zhvillon dhe mirëmban një produkt softuerësh me të njëjtin emër që zbaton metodën CRAMM.

Ne kemi zgjedhur metodën CRAMM për një konsideratë më të detajuar, dhe kjo nuk është rastësi. Aktualisht CRAMM është një mjet mjaft i fuqishëm dhe i gjithanshëm që lejon, përveç analizës së rrezikut, të zgjidhë një sërë detyrash të tjera auditimi, duke përfshirë:

Kryerja e një sondazhi të IP-së dhe lëshimi i dokumentacionit shoqërues në të gjitha fazat e zhvillimit të tij;

Metoda CRAMM bazohet në një qasje të integruar për vlerësimin e rrezikut, duke kombinuar metodat sasiore dhe cilësore të analizës. Metoda është universale dhe e përshtatshme si për organizatat e mëdha ashtu edhe për ato të vogla, si për sektorët qeveritarë ashtu edhe për ato komerciale. Versionet e softuerit CRAMM që synojnë lloje të ndryshme organizatash ndryshojnë nga njëri-tjetri në bazat e tyre të njohurive (profilet). Ekziston një profil tregtar për organizatat tregtare dhe një profil qeveritar për organizatat qeveritare. Versioni qeveritar i profilit lejon gjithashtu auditimin për përputhjen me kërkesat e standardit amerikan ITSEC ("Libri Portokalli").

Përdorimi kompetent i metodës CRAMM ju lejon të merrni rezultate shumë të mira, më e rëndësishmja prej të cilave, ndoshta, është aftësia për të justifikuar ekonomikisht kostot e organizatës për të siguruar sigurinë e informacionit dhe vazhdimësinë e biznesit. Një strategji e shëndoshë ekonomikisht e menaxhimit të rrezikut në fund të fundit kursen para duke shmangur kostot e panevojshme.

CRAMM përfshin ndarjen e të gjithë procedurës në tre faza të njëpasnjëshme. Detyra e fazës së parë është t'i përgjigjet pyetjes: "A është e mjaftueshme mbrojtja e sistemit duke përdorur mjete të nivelit bazë që zbatojnë funksionet tradicionale të sigurisë, apo është e nevojshme të bëhet një analizë më e detajuar?" Në fazën e dytë identifikohen rreziqet dhe vlerësohet madhësia e tyre. Në fazën e tretë vendoset çështja e zgjedhjes së kundërmasave adekuate.

Metodologjia CRAMM për çdo fazë përcakton një grup të dhënash fillestare, një sekuencë aktivitetesh, pyetësorë për intervista, lista kontrolli dhe një grup dokumentesh raportuese.

Nëse, sipas rezultateve të fazës së parë, konstatohet se niveli i kritikitetit të burimeve është shumë i ulët dhe rreziqet ekzistuese me siguri nuk do të kalojnë një nivel të caktuar bazë, atëherë sistemi vendoset një grup minimal i kërkesave të sigurisë. Në këtë rast, shumica e aktiviteteve të fazës së dytë nuk kryhen, dhe kryhet kalimi në fazën e tretë, në të cilën krijohet një listë standarde e kundërmasave për të siguruar përputhjen me grupin bazë të kërkesave të sigurisë.

Faza e dytë është analiza e kërcënimeve dhe dobësive të sigurisë. Auditori merr të dhënat fillestare për vlerësimin e kërcënimeve dhe dobësive nga përfaqësuesit e autorizuar të organizatës gjatë intervistave të duhura. Për të kryer intervista përdoren pyetësorë të specializuar.

Në fazën e tretë, zgjidhet problemi i menaxhimit të rrezikut, i cili konsiston në zgjedhjen e kundërmasave adekuate.

Vendimi për të futur mekanizma të rinj të sigurisë në sistem dhe për të modifikuar të vjetrat merret nga menaxhmenti i organizatës, duke marrë parasysh kostot e lidhura, pranueshmërinë e tyre dhe përfitimin përfundimtar për biznesin. Detyra e auditorit është të arsyetojë kundërmasat e rekomanduara për menaxhimin e organizatës.

Nëse merret një vendim për të futur kundërmasa të reja dhe modifikuar ato të vjetra, auditori mund të ngarkohet të përgatisë një plan për zbatimin e kundërmasave të reja dhe të vlerësojë efektivitetin e përdorimit të tyre. Zgjidhja e këtyre problemeve është përtej qëllimit të metodës CRAMM.

Një diagram konceptual i një sondazhi CRAMM është paraqitur në figurë.

Analiza e rrezikut CRAMM dhe procesi i menaxhimit

Procedura e auditimit në metodën CRAMM është zyrtarizuar. Në çdo fazë, gjenerohet një numër mjaft i madh i raporteve të ndërmjetme dhe përfundimtare.

Pra, në fazën e parë, krijohen llojet e mëposhtme të raporteve:

Një model burimi që përmban një përshkrim të burimeve që bien brenda kufijve të studimit dhe marrëdhëniet ndërmjet tyre;
Vlerësimi i kritikitetit të burimeve;
Raporti që rezulton në fazën e parë të analizës së rrezikut, i cili përmbledh rezultatet e marra gjatë anketës.

Në fazën e dytë të sondazhit, krijohen llojet e mëposhtme të raporteve:

Rezultatet e vlerësimit të nivelit të kërcënimeve dhe dobësive;
Rezultatet e vlerësimit të madhësisë së rreziqeve;
Raporti që rezulton në fazën e dytë të analizës së rrezikut.

Bazuar në rezultatet e fazës së tretë të sondazhit, gjenerohen llojet e mëposhtme të raporteve:

Kundërmasat e rekomanduara;
Specifikimi i detajuar i sigurisë;
Vlerësimi i kostos së kundërmasave të rekomanduara;
Një listë e kundërmasave të renditura sipas prioriteteve të tyre;
Raporti që rezulton në fazën e tretë të anketës;
Politika e sigurisë, e cila përfshin një përshkrim të kërkesave të sigurisë, strategjive dhe parimeve për mbrojtjen e IP;
Lista e masave të sigurisë.

Vetëm një auditor me kualifikim të lartë i cili i është nënshtruar trajnimit është në gjendje të zbatojë saktë metodën CRAMM. Nëse organizata nuk mund të përballojë të mbajë një specialist të tillë në staf, atëherë zgjidhja më e saktë do të ishte ftimi i një firme auditimi me një staf specialistësh me përvojë praktike në aplikimin e metodës CRAMM.

Duke përmbledhur përvojën praktike të përdorimit të metodës CRAMM gjatë kryerjes së një auditimi sigurie, mund të nxirren përfundimet e mëposhtme në lidhje me pikat e forta dhe të dobëta të kësaj metode:

Pikat e forta të metodës CRAMM përfshijnë si më poshtë:

CRAMM është një metodë e mirëstrukturuar dhe e testuar gjerësisht e analizës së rrezikut që ju lejon të merrni rezultate reale praktike;
Mjetet e softuerit CRAMM mund të përdoren në të gjitha fazat e një auditimi të sigurisë IS;
Produkti softuer bazohet në një bazë njohurish mjaft voluminoze mbi kundërmasat në fushën e sigurisë së informacionit, bazuar në rekomandimet e standardit BS 7799;
Fleksibiliteti dhe shkathtësia e metodës CRAMM lejon që ajo të përdoret për auditimin e IS të çdo niveli kompleksiteti dhe qëllimi;
CRAMM mund të përdoret si një mjet për zhvillimin e planit të vazhdimësisë së biznesit të një organizate dhe politikave të sigurisë së informacionit;
CRAMM mund të përdoret si një mjet për dokumentimin e mekanizmave të sigurisë IC.

Disavantazhet e metodës CRAMM përfshijnë si më poshtë:

Përdorimi i metodës CRAMM kërkon trajnim të veçantë dhe kualifikime të larta të auditorit;
CRAMM është shumë më i përshtatshëm për auditimin e IS ekzistuese në fazën operacionale sesa për IS në fazën e zhvillimit;
Auditimi CRAMM është një proces mjaft i mundimshëm dhe mund të kërkojë muaj punë të vazhdueshme të auditorit;
Paketa e veglave të softuerit CRAMM gjeneron një sasi të madhe dokumentacioni letre, i cili nuk është gjithmonë i dobishëm në praktikë;
CRAMM nuk ju lejon të krijoni shabllonet tuaja të raportit ose të modifikoni ato ekzistuese;
Mundësia për të bërë shtesa në bazën e njohurive CRAMM nuk është e disponueshme për përdoruesit, gjë që shkakton vështirësi të caktuara në përshtatjen e kësaj metode me nevojat e një organizate të caktuar.

RiskWatch

Softueri RiskWatch, i zhvilluar nga kompania amerikane RiskWatch, Inc., është një mjet i fuqishëm i analizës dhe menaxhimit të rrezikut. Familja RiskWatch përfshin produkte softuerike për lloje të ndryshme të auditimeve të sigurisë. Ai përfshin mjetet e mëposhtme të auditimit dhe analizës së rrezikut:

RiskWatch për Sigurinë Fizike - për metodat fizike të mbrojtjes së IP;
RiskWatch për Sistemet e Informacionit - për rreziqet e informacionit;
HIPAA-WATCH për Industrinë e Kujdesit Shëndetësor - për të vlerësuar përputhjen me kërkesat e standardit HIPAA;
RiskWatch RW17799 për ISO17799 - për vlerësimin e kërkesave të standardit ISO17799.

Metoda RiskWatch përdor "Pritjet vjetore të humbjeve (ALE)" dhe "Kthimi nga investimi (ROI)" si kritere për vlerësimin dhe menaxhimin e rrezikut. Familja e produkteve softuerike RiskWatch ka shumë përparësi. Disavantazhet e këtij produkti përfshijnë koston e tij relativisht të lartë.

KOBRA

COBRA (Consultative Objective and Bi-Functional Risk Analysis), i zhvilluar nga Risk Associates, është një mjet analize dhe vlerësimi i rrezikut për përputhjen e IP me ISO17799. COBRA zbaton metoda sasiore të vlerësimit të rrezikut, si dhe mjete konsultimi dhe rishikimi të sigurisë. Gjatë zhvillimit të paketës së veglave COBRA, u përdorën parimet e ndërtimit të sistemeve të ekspertëve, një bazë e gjerë njohurish mbi kërcënimet dhe dobësitë, si dhe një numër i madh pyetësorësh që janë zbatuar me sukses në praktikë. Familja e produkteve softuerike COBRA përfshin Konsulentin e Sigurisë COBRA ISO17799, Analistin e Përputhshmërisë së Politikave COBRA dhe Konsulentin e Mbrojtjes së të Dhënave COBRA.

Sistemi i miqve

Produkti softuerik Buddy System i zhvilluar nga Countermeasures Corporation është një tjetër produkt softuerësh që lejon analizën sasiore dhe cilësore të rrezikut. Ai përmban mjete të avancuara të raportimit. Theksi kryesor gjatë përdorimit të Sistemit Buddy vihet në rreziqet e informacionit që lidhen me një shkelje të sigurisë fizike dhe menaxhimit të projektit.

Standardet e përdorura në kryerjen e auditimeve të sigurisë së sistemeve të informacionit

Ky seksion ofron një përmbledhje të standardeve të sigurisë së informacionit, të cilat janë më domethënëse dhe premtuese nga pikëpamja e përdorimit të tyre për kryerjen e një auditimi të sigurisë së IS.

Kohët e fundit, rezultati i auditimit po bëhet gjithnjë e më shumë një certifikatë që vërteton përputhshmërinë e IP-së së inspektuar me kërkesat e një standardi të njohur ndërkombëtar. Prania e një certifikate të tillë i lejon organizatës të marrë avantazhe konkurruese që lidhen me besim më të madh nga klientët dhe partnerët.

Rëndësia e standardeve ndërkombëtare ISO17799 dhe ISO15408 vështirë se mund të mbivlerësohet. Këto standarde shërbejnë si bazë për çdo punë në fushën e sigurisë së informacionit, përfshirë auditimin. ISO17799 fokusohet në organizimin dhe menaxhimin e sigurisë, ndërsa ISO15408 përcakton kërkesat e detajuara për mekanizmat e softuerit dhe harduerit për mbrojtjen e informacionit.

Specifikimi i SysTrust është zgjedhur për shqyrtim sepse tani përdoret gjerësisht nga kompanitë e auditimit që tradicionalisht kryejnë auditime financiare për klientët e tyre dhe ofrojnë shërbime të auditimit të TI-së si një shtesë e auditimeve financiare.

Standardi gjerman "BSI \ IT Baseline Protection Manual" përmban, ndoshta, udhëzuesin më informues për sigurinë e TI-së dhe ka një vlerë praktike të padyshimtë për të gjithë profesionistët e përfshirë në sigurinë e informacionit.

Standardet dhe udhëzimet e praktikës së sigurisë së informacionit SCORE janë të orientuara drejt profesionistëve teknikë dhe janë teknikisht më të avancuarat sot.

Programi për certifikimin e faqeve të internetit për kërkesat e sigurisë së informacionit dhe specifikimin përkatës "SANS / GIAC Site Certification" i propozuar nga Instituti SANS meriton konsideratë në lidhje me rëndësinë në rritje të vazhdueshme të çështjeve të mbrojtjes së IP të organizatave nga sulmet nga interneti. dhe një rritje në përqindjen e punës përkatëse gjatë auditimeve të sigurisë. ...

ISO 17799: Kodi i Praktikës për Menaxhimin e Sigurisë së Informacionit

Kriteret më të plota për vlerësimin e mekanizmave të sigurisë në nivel organizativ janë paraqitur në standardin ndërkombëtar ISO 17799: Kodi i Praktikës për Menaxhimin e Sigurisë së Informacionit, miratuar në vitin 2000. ISO 17799 u zhvillua nga standardi britanik BS 7799.

ISO 17799 mund të përdoret si kriter për vlerësimin e mekanizmave të sigurisë në nivel organizativ, duke përfshirë masat mbrojtëse administrative, procedurale dhe fizike.

Rregullat e përgjithshme ndahen në 10 seksionet e mëposhtme:

Politika e sigurisë
Organizimi i mbrojtjes
Klasifikimi dhe kontrolli i burimeve
Siguria e personelit
Siguria fizike
Administrimi i sistemeve kompjuterike dhe i rrjeteve kompjuterike
Kontrolli i aksesit
Zhvillimi dhe mirëmbajtja e sistemeve të informacionit
Planifikimi i vazhdimësisë së biznesit
Monitorimi i përputhshmërisë me kërkesat e politikave të sigurisë

Dhjetë kontrollet e propozuara në ISO 17799 (të identifikuar si kyç) konsiderohen të jenë të një rëndësie të veçantë. Kontrollet në këtë kontekst kuptohen si mekanizma për menaxhimin e sigurisë së informacionit të një organizate.

Disa nga kontrollet, si kriptimi i të dhënave, mund të kërkojnë këshilla sigurie dhe vlerësim të rrezikut për të përcaktuar nëse janë të nevojshme dhe si duhet të zbatohen. Për të siguruar një nivel më të lartë mbrojtjeje për asete veçanërisht të vlefshme ose për të kundërshtuar kërcënimet veçanërisht të rënda të sigurisë, në disa raste, mund të kërkohen kontrolle më të forta që shkojnë përtej fushëveprimit të ISO 17799.

Dhjetë kontrollet kyçe të renditura më poshtë janë ose kërkesa të detyrueshme, të tilla si kërkesat ligjore, ose konsiderohen blloqe themelore të ndërtimit të sigurisë së informacionit, siç është trajnimi i sigurisë. Këto kontrolle janë të rëndësishme për të gjitha organizatat dhe mjediset e funksionimit të NPP-së dhe përbëjnë bazën e sistemit të menaxhimit të sigurisë së informacionit.

Kontrollet e mëposhtme janë kyçe:

dokumenti i politikës së sigurisë së informacionit;
shpërndarja e përgjegjësive për sigurinë e informacionit;
trajnimin dhe përgatitjen e personelit për të ruajtur regjimin e sigurisë së informacionit;
njoftimi për shkeljet e sigurisë;
mjete mbrojtëse nga viruset;
planifikimi i funksionimit të qetë të organizatës;
kontroll mbi kopjimin e programeve kompjuterike të mbrojtura nga ligji për të drejtat e autorit;
mbrojtjen e dokumenteve të organizatës;
mbrojtjen e të dhënave;
kontrollin e përputhshmërisë me politikën e sigurisë.

Procedura e auditimit të sigurisë SI përfshin kontrollimin e disponueshmërisë së kontrolleve kryesore të listuara, vlerësimin e plotësisë dhe korrektësisë së zbatimit të tyre, si dhe analizimin e përshtatshmërisë së tyre ndaj rreziqeve ekzistuese në këtë mjedis operativ. Analiza dhe menaxhimi i rrezikut është gjithashtu një pjesë integrale e auditimit të sigurisë së IS.

ISO 15408: Kriteret e Përbashkëta për Vlerësimin e Sigurisë së Teknologjisë së Informacionit

Kriteret më të plota për vlerësimin e mekanizmave të sigurisë në nivel softuerik-teknik janë paraqitur në standardin ndërkombëtar ISO 15408: Kriteret e Përbashkëta për Vlerësimin e Sigurisë së Teknologjisë së Informacionit, miratuar në 1999.

Kriteret e përgjithshme të vlerësimit të sigurisë së teknologjisë së informacionit (në tekstin e mëtejmë të referuara si "Kriteret e Përgjithshme") përcaktojnë kërkesat funksionale të sigurisë dhe kërkesat e sigurisë.

Kur kryeni punë për analizën e sigurisë së IS, këshillohet të përdorni "Kriteret e Përgjithshme" si kriteret kryesore për vlerësimin e nivelit të sigurisë së NPP nga pikëpamja e plotësisë së funksioneve të sigurisë të zbatuara në të dhe besueshmërisë. zbatimin e këtyre funksioneve.

Ndërsa zbatueshmëria e Kritereve të Përbashkëta është e kufizuar në mekanizmat e sigurisë në nivel softuerësh, ato përmbajnë një grup specifik kërkesash sigurie të nivelit organizativ dhe kërkesave të mbrojtjes fizike që lidhen drejtpërdrejt me funksionet e sigurisë të përshkruara.

Pjesa e parë e "Kritereve të Përgjithshme" përmban përkufizimin e koncepteve të përgjithshme, konceptet, përshkrimin e modelit dhe metodologjinë për vlerësimin e sigurisë së TI-së. Ai prezanton aparatin konceptual dhe përcakton parimet e formalizimit të fushës lëndore.

Kërkesat për funksionalitetin e pajisjeve mbrojtëse janë dhënë në pjesën e dytë të "Kritereve të Përgjithshme" dhe mund të përdoren drejtpërdrejt në analizën e sigurisë për të vlerësuar plotësinë e funksioneve të sigurisë të zbatuara në SI.

Pjesa e tretë e "Kritereve të Përgjithshme", së bashku me kërkesat e tjera për përshtatshmërinë e zbatimit të funksioneve të sigurisë, përmban një klasë kërkesash për analizën e dobësive të mjeteve dhe mekanizmave mbrojtës të quajtur AVA: Vulnerability Assessment. Kjo klasë kërkesash përcakton metodat që duhet të përdoren për të parandaluar, identifikuar dhe eliminuar llojet e mëposhtme të dobësive:

Prania e kanaleve anësore të rrjedhjes së informacionit;
Gabime në konfigurim, ose keqpërdorim të sistemit, që çojnë në kalimin e sistemit në një gjendje të pasigurt;
Besueshmëria (qëndrueshmëria) e pamjaftueshme e mekanizmave të sigurisë që zbatojnë funksionet e duhura të sigurisë;
Prania e dobësive ("vrimave") në mjetet e mbrojtjes së informacionit, duke i lejuar përdoruesit të marrin akses të paautorizuar në informacion duke anashkaluar mekanizmat ekzistues të mbrojtjes.

Gjatë kryerjes së punës së auditimit të sigurisë, këto kërkesa mund të përdoren si një udhëzues dhe kriter për analizën e dobësive të IS.

SysTrust

Si i tillë, auditimi i teknologjisë së informacionit, megjithëse nuk lidhet me auditimin financiar, është shpesh një shtesë e tij si një shërbim tregtar i ofruar nga firmat e auditimit për klientët e tyre, për shkak të varësisë në rritje të bizneseve të klientëve nga IT. Ideja është që përdorimi i sistemeve të besueshme dhe të sigurta të TI-së në një masë të caktuar garanton besueshmërinë e pasqyrave financiare të organizatës. Rezultatet e mira të auditimit të TI-së në disa raste lejojnë që një auditim financiar të kryhet në formë të shkurtuar, duke i kursyer klientëve kohë dhe para.

Në përgjigje të nevojave të biznesit, Instituti Amerikan i Kontabilistëve Publikë të Certifikuar (AICPA) dhe Instituti Kanadez i Kontabilistëve të Miratuar (CICA) kanë zhvilluar standardin SysTrust për auditimin e TI-së, i cili plotëson auditimin financiar. SysTrust lejon auditorët financiarë të zgjerojnë objektin e tyre duke përdorur një grup të thjeshtë dhe të kuptueshëm kërkesash për vlerësimin e besueshmërisë dhe sigurisë së IP.

Në standardin SysTrust, një IS vlerësohet për sa i përket disponueshmërisë, sigurisë, integritetit dhe mirëmbajtjes së tij.

Aksesueshmëria kuptohet tradicionalisht si aftësia e një SI për të ofruar shërbime informacioni në çdo mënyrë funksionimi dhe nën çdo ngarkesë të përcaktuar nga kushtet e funksionimit të tij, me vonesa që nuk i tejkalojnë kërkesat e përcaktuara.

Siguria kuptohet si mbrojtja e IS nga aksesi fizik dhe logjik i paautorizuar. Mjetet e kufizimit të aksesit fizik dhe logjik në burimet e IS konsiderohen kryesisht si mjete për të garantuar sigurinë.

Integriteti kuptohet si aftësia e IS për të siguruar ruajtjen e vetive të tilla të informacionit të përpunuar në sistem si plotësia, saktësia, rëndësia, afati kohor dhe autenticiteti.

Besueshmëria operacionale e IS përcaktohet nga aftësia për të ndryshuar konfigurimin dhe përditësimin e sistemit për të siguruar vetitë e tij si disponueshmëria, siguria dhe integriteti.

Kriteret për vlerësimin e katër vetive të IS të përshkruara janë përcaktuar në dokumentin AICPA / CICA SysTrust Principles dhe Kriteret for Systems Reliability, Version 2.0.

Gjatë certifikimit me kërkesat e standardit SysTrust (angazhimi i SysTrust), audituesi vlerëson përputhshmërinë e IP me kriteret për disponueshmërinë, sigurinë, integritetin dhe besueshmërinë operacionale (Parimet dhe kriteret e SysTrust), duke kontrolluar nëse sistemi ka kontrollet e nevojshme. Auditori më pas teston kontrollet për të përcaktuar nëse ato janë funksionale dhe efektive. Nëse, si rezultat i testimit, IS plotëson kriteret e SysTrust, auditori lëshon një raport vërtetimi të pakualifikuar. Raporti formulon konkluzione në lidhje me plotësinë dhe efektivitetin e zbatimit nga menaxhmenti i organizimit të mekanizmave të kontrollit në SI të certifikuar. Përveç raportit të vërtetimit, auditori përgatit një përshkrim të përgjithshëm të IP-së së inspektuar. Në shumë raste, pohimi i një drejtimi po përgatitet gjithashtu në lidhje me efektivitetin e kontrolleve për të siguruar që IP përmbush kriteret e SysTrust. Angazhimet e Vërtetimit (SSAE) Nr.

Manuali BSI \ IT Baseline Protection

Standardi gjerman "Manuali i mbrojtjes së linjës bazë të IT" është zhvilluar nga Agjencia Gjermane e Sigurisë së Informacionit (BSI - Bundesamt für Sicherheit in der Informationstechnik (Agjencia Gjermane e Sigurisë së Informacionit).

Ky dokument është ndoshta udhëzuesi më gjithëpërfshirës për sigurinë e informacionit dhe i tejkalon të gjitha standardet e tjera në shumë aspekte. Është gjithashtu e këndshme që ky burim informacioni, më i vlefshmi për auditorin, është i disponueshëm falas në internet. Ai përmban udhëzime të detajuara për sigurinë e informacionit në lidhje me aspekte të ndryshme të funksionimit të IS dhe fushave të ndryshme të TI-së.

Standardi është aktualisht në tre vëllime dhe përmban rreth 1600 faqe tekst.

Manuali BSI \ IT Baseline Protection Manuali është duke u përmirësuar vazhdimisht për ta mbajtur atë të përditësuar me gjendjen aktuale të teknologjisë në sigurinë e IT. Deri më sot, është grumbulluar një bazë unike njohurish që përmban informacion mbi kërcënimet dhe kundërmasat në një formë të mirëstrukturuar.

Standardet e praktikës SCORE dhe programi i certifikimit të sitit SANS / GIAC

SCORE (Security Consensus Operational Readiness Evaluation) është një projekt i përbashkët midis Institutit SANS dhe Qendrës për Sigurinë në Internet (CIS). Praktikuesit e sigurisë së informacionit nga organizata të ndryshme janë mbledhur në kuadër të projektit SCORE për të zhvilluar një grup bazë (minimumi i kërkuar) praktikash dhe udhëzuesish sigurie për platforma të ndryshme operative. Kërkesat dhe rekomandimet e propozuara për përfshirje në standarde diskutohen dhe kontrollohen gjerësisht nga pjesëmarrësit e projektit SCORE, dhe vetëm pas miratimit të tyre nga të gjithë pjesëmarrësit transferohen në CIS, i cili është i angazhuar në formalizimin dhe hartimin e tyre, dhe gjithashtu zhvillon mjete softuerike (minimumi standardet standarde) për platformat operative të vlerësimit të konformitetit me standardet e propozuara.

Standardet bazë të zhvilluara, së bashku me udhëzimet për sigurimin e pajtueshmërisë me këto standarde dhe mjetet e testimit, publikohen në faqen e internetit të CIS.

Programi GIAC Site Certification i Institutit SANS u mundëson organizatave të kryejnë auditime sigurie në segmentet e lidhura me internetin të një rrjeti kompjuterik në përputhje me standardet SCORE.

Programi GIAC Site Certification përcakton tre nivele sigurie për faqet e internetit. Në praktikë, aktualisht përdoren vetëm dy të parat prej tyre.

Certifikimi i faqeve në nivelin e parë përfshin kontrollimin e adresave të rrjetit të jashtëm të organizatës, të dukshme nga Interneti, për cenueshmërinë e hosteve përkatës ndaj sulmeve të rrjetit. Në këtë nivel, faqja duhet të mbrohet nga sulmet më të zakonshme. Kërkohet mungesa e dobësive më serioze dhe më të zakonshme të sigurisë. Ekzistojnë gjithashtu kërkesa të caktuara për nivelin e kualifikimeve të specialistëve përgjegjës për të garantuar sigurinë e sitit.

Niveli i dytë kërkon të gjitha kontrollet dhe respektimin e të gjitha kërkesave të nivelit të parë, dhe gjithashtu kërkon rishikim periodik të politikave dhe procedurave të sigurisë së rrjetit. Gjithashtu në nivelin e dytë, faqja kontrollohet për mbrojtje nga sulmet e rrjetit duke tentuar të depërtojë dhe të hakojë sistemet e lidhura me internetin.

Në nivelin e tretë, përveç sigurimit të pajtueshmërisë me të gjitha kërkesat e nivelit të dytë, kërkohet gjithashtu skanimi i rregullt i rrjetit nga brenda në mënyrë që të mbrohet nga kërcënimet nga të brendshëm, si dhe nga sulmuesit e jashtëm që përpiqen të kapërcejnë mekanizmat e sigurisë. të perimetrit të rrjetit të jashtëm duke përdorur metoda të avancuara, duke përfshirë inxhinierinë sociale. ...

Nga niveli në nivel, kërkesat për kualifikime profesionale, struktura organizative e njësive të sigurisë, ekzistenca e politikave dhe procedurave formale, si dhe ashpërsia dhe thellësia e testeve të përdorura për të testuar mekanizmat e sigurisë së faqes së internetit të një organizate po bëhen më të rrepta.

konkluzionet

Auditimi është një ekzaminim i pavarur i fushave të caktuara të funksionimit të organizatës, i kryer me iniciativën e menaxhmentit ose aksionarëve të saj, ose në përputhje me një plan të auditimit të brendshëm. Objektivat kryesore të një auditimi të sigurisë janë:

analiza e rreziqeve që lidhen me mundësinë e kërcënimeve të sigurisë në lidhje me burimet e IS;
vlerësimi i nivelit aktual të sigurisë së IP;
lokalizimi i pengesave në sistemin e mbrojtjes së IP;
vlerësimi i përputhshmërisë së IS me standardet ekzistuese në fushën e sigurisë së informacionit;
zhvillimi i rekomandimeve për zbatimin e mekanizmave të rinj dhe rritjen e efikasitetit të mekanizmave ekzistues për sigurinë e IS.

Punimet e auditimit të sigurisë IS përfshijnë një numër fazash vijuese:

Fillimi i sondazhit
Mbledhja e informacionit
Analiza e të dhënave të marra
Zhvillimi i rekomandimeve
Përgatitja e një raporti mbi rezultatet e anketës
Qasjet e auditimit të sigurisë mund të bazohen në analizën e rrezikut, të mbështeten në përdorimin e standardeve të sigurisë së informacionit ose të kombinojnë të dyja këto qasje.

Aktualisht, ekziston një shumëllojshmëri e gjerë e metodave të analizës dhe menaxhimit të rrezikut, si dhe softuer që i zbaton ato. Disa prej tyre janë diskutuar në këtë artikull.

Një nga mjetet më të fuqishme dhe të gjithanshme të analizës së rrezikut është metoda CRAMM. Softueri CRAMM, përveç analizimit dhe menaxhimit të rreziqeve, ju lejon gjithashtu të zgjidhni një sërë detyrash të tjera auditimi, duke përfshirë:

Kryerja e një sondazhi të IP-së dhe lëshimi i dokumentacionit shoqërues në të gjitha fazat e anketimit;
Auditimi në përputhje me kërkesat e qeverisë britanike, si dhe BS 7799: 1995 - Code of Practice for Information Security Management BS7799;
Zhvillimi i një politike sigurie dhe plani për vazhdimësinë e biznesit.

Përdorimi i saktë i metodës CRAMM ju lejon të merrni rezultate të mira, më e rëndësishmja prej të cilave është, ndoshta, mundësia e justifikimit ekonomik të kostove të organizatës për të siguruar sigurinë e informacionit dhe vazhdimësinë e biznesit.

Kohët e fundit, rezultati i auditimit po bëhet gjithnjë e më shumë një certifikatë që vërteton përputhshmërinë e IP-së së inspektuar me kërkesat e një standardi të njohur ndërkombëtar. Ky artikull diskuton disa standarde dhe programe certifikimi që kanë vlerë praktike.

Standardet ndërkombëtare ISO17799 dhe ISO15408 shërbejnë si bazë për çdo punë në fushën e sigurisë së informacionit, përfshirë auditimin. ISO17799 fokusohet në organizimin dhe menaxhimin e sigurisë, ndërsa ISO15408 përcakton kërkesat e detajuara për mekanizmat e softuerit dhe harduerit për mbrojtjen e informacionit.

Specifikimi i SysTrust aktualisht përdoret gjerësisht nga kompanitë e auditimit që tradicionalisht kryejnë auditime financiare për klientët e tyre dhe ofrojnë shërbime të auditimit të TI-së si një shtesë ndaj auditimeve financiare.

Standardi gjerman "BSI \ IT Baseline Protection Manual" është udhëzuesi më gjithëpërfshirës për sigurinë e IT dhe ka një vlerë praktike të padyshimtë për të gjithë profesionistët e përfshirë në sigurinë e informacionit.

Praktikat dhe udhëzimet e sigurisë së informacionit të SCORE janë të orientuara drejt teknikëve dhe teknikisht janë më të avancuarat.

Programi i certifikimit për faqet e internetit për kërkesat e sigurisë së informacionit dhe specifikimi përkatës "SANS / GIAC Site Certification", i propozuar së fundmi nga Instituti SANS, padyshim meriton vëmendje për shkak të rëndësisë në rritje të vazhdueshme të çështjeve të mbrojtjes së IP-së së organizatave nga sulmet nga interneti. dhe një rritje në pjesën e punës përkatëse.kur kryen një auditim sigurie.

Literatura dhe lidhjet

Kapitulli ISACA Rusi. Kursi përgatitor për provimin CISA. prill-maj 2001.
Udhëzuesi i përdoruesit CRAMM v.4.0.
Çfarë është CRAMM? http://www.gammassl.co.uk/topics/hot5.html
Programi i certifikimit të sitit SANS / GIAC, http://www.sans.org/SCORE
Shërbimet SysTrust, http://www.aicpa.org/assurance/systrust/index.htm
Ernst & Young (CIS) Limited, Raporti i Kontabilistit të Pavarur, https://processcertify.ey.com/vimpelcom2/vimpelcom_opinion.html
Manuali i Mbrojtjes së linjës bazë të BSI / IT, http://www.bsi.bund.de/gshb/english/menue.htm
Aleksandër Astakhov. Analiza e sigurisë së sistemeve të automatizuara, GLOBALTRUST.RU, 2002,

Organizimi i auditimit të sigurisë së informacionit të një sistemi informacioni

Andrushka Igor Akademia e Ekonomisë Moldaviane
KRAVATË - 238

Prezantimi

Sistemi modern i informacionit të një organizate është një sistem i shpërndarë dhe heterogjen që përdor komponentë të ndryshëm softuerësh dhe harduerikë dhe ka pika daljeje në rrjetin publik. (p.sh. internet)... Në këtë drejtim, detyra e konfigurimit të saktë dhe të sigurt të komponentëve dhe sigurimi i ndërveprimit të sigurt ndërmjet tyre bëhet shumë më i ndërlikuar dhe, si rezultat, rritet numri i dobësive në sistem.

Prania e dobësive në sistem lejon një ndërhyrës të mundshëm të kryejë një sulm të suksesshëm dhe të dëmtojë aktivitetet e organizatës. Shfaqja e “pikave të dobëta” mund të jetë për arsye të ndryshme, si objektiv (p.sh. defekte në softuerin themelor) dhe subjektive (për shembull, konfigurim i gabuar i harduerit) .

Identifikimi dhe eliminimi i dobësive, si dhe vlerësimi i nivelit të përgjithshëm të sigurisë është një komponent jashtëzakonisht i rëndësishëm i sigurisë, i cili ju lejon të rritni ndjeshëm nivelin e sigurisë së informacionit dhe burimeve të tjera të sistemit.

Oriz. 1 Roli i auditimit të sigurisë së informacionit

Objektivat dhe qëllimi i auditimit

Objektivat kryesore të auditimit të sigurisë së informacionit përfshijnë si më poshtë:

· Marrja e një vlerësimi objektiv dhe të pavarur të gjendjes aktuale të sigurisë së burimeve të informacionit.

· Marrja e kthimit maksimal të fondeve të investuara në krijimin e një sistemi sigurie informacioni.

· Vlerësimi i dëmeve të mundshme nga veprimet e paautorizuara.

· Zhvillimi i kërkesave për ndërtimin e një sistemi sigurie informacioni.

· Përcaktimi i fushave të përgjegjësisë së punonjësve të departamenteve.

· Llogaritja e burimeve të kërkuara.

· Zhvillimi i rendit dhe sekuencës së zbatimit të sistemit të sigurisë së informacionit.

Auditimi mund të kryhet në mënyrat e mëposhtme:

· Auditim gjithëpërfshirës- para krijimit të një sistemi sigurie informacioni

· Pika- formimi i kërkesave për modernizimin e sistemit të mbrojtjes

· Periodike- Kontroll i jashtëm rutinë i nivelit të sigurisë së sistemit.

· Verifikimi- ekzaminimi dhe vlerësimi i sistemeve dhe zgjidhjeve të përdorura ose të planifikuara për përdorim.

Fazat e auditimit

Procesi i auditimit të sistemeve të informacionit mund të përfaqësohet në formën e një lloj peshash (fig. 2), ku sistemet e sigurisë së aksesit konsiderohen nga njëra anë, kontrolli i proceseve të biznesit nga ana tjetër dhe infrastruktura teknike shërben si mbështetje, e cila, nga ana tjetër, bazohet në metodat e pranuara të autorizimit, konfigurimin e sistemit, si dhe në politikat dhe procedurat e miratuara në organizata.

Oriz. 2 Procesi i auditimit të sistemeve të informacionit

Punimet për auditimin e sigurisë së SI-së përfshijnë një sërë fazash të njëpasnjëshme (Fig. 3), të cilat në përgjithësi korrespondojnë me fazat e një auditimi gjithëpërfshirës të IS, i cili përfshin sa vijon:

2. Kryerja e një vlerësimi të sigurisë - përfshin punën në zbulimin e dobësive në pajisjet teknike, analizën e sigurisë teknologjike, si dhe përshtatshmërinë e procedurave organizative. Bazuar në mangësitë e identifikuara, kryhet një vlerësim i rrezikut, duke përfshirë mënyrat kryesore për të kapërcyer sistemin e mbrojtjes, shkallën e kritikitetit dhe mundësinë e zbatimit;

3. vërtetimi i sistemit - përfshin masat për ekzaminimin (vlerësimin) e masave ekzistuese dhe masat për mbrojtjen e informacionit, vlerësimin e përshtatshmërisë së tyre, si dhe përputhshmërinë me kërkesat e standardeve kryesore;

4. Bazuar në rezultatet e auditimit, është hartuar një plan për korrigjimin e mangësive të identifikuara. Detyra e planifikimit është të përcaktojë prioritetet për korrigjimin e mangësive të gjetura, të zhvillojë sekuencën dhe metodologjinë për eliminimin e tyre. Gjithashtu, është planifikuar të zhvillohen dokumente konceptuale dhe procedurale, si Koncepti i Sigurisë së Informacionit, Kërkesat dhe Rekomandimet e Përgjithshme për Mbrojtjen e Informacionit, Politikat e Sigurisë, etj.

Fig 3. Fazat e kontrollit të sigurisë së informacionit

Në varësi të qëllimeve dhe mënyrës së kryerjes së një auditimi të sigurisë së informacionit, iniciator i këtij eventi, siç u tha më sipër, është i interesuari. Iniciatori më i zakonshëm i një auditimi është një organizatë e përfaqësuar nga menaxhmenti i saj.

Si rregull, në fazën e anketës, zgjidhen çështjet e mëposhtme organizative:

Të drejtat dhe detyrimet e auditorit janë të përcaktuara dhe të dokumentuara qartë në përshkrimet e punës së tij, si dhe në dispozitën e brendshme (e jashtme) auditimi;

· Auditori përgatit dhe bie dakord me menaxhimin e një plani auditimi të sigurisë së informacionit.

Faza e anketimit përcakton gjithashtu qëllimin e anketimit. Kufijtë e anketimit zakonisht përcaktohen në termat e mëposhtëm:

· Lista e burimeve fizike, softuerike dhe informacionit të ekzaminuara;

Platformat (lokalet) që bien në kuadër të anketës;

· Llojet kryesore të kërcënimeve të sigurisë të konsideruara gjatë auditimit;

Organizative (legjislative, administrative dhe procedurale) fizike, softuerike dhe harduerike dhe aspekte të tjera të sigurisë që duhet të merren parasysh gjatë sondazhit, dhe prioritetet e tyre (në çfarë mase duhet të merren parasysh) .

Kjo pasohet nga mbledhja e informacionit të auditimit, e cila është më e vështira dhe kërkon kohë. Kjo, si rregull, shoqërohet me mungesën e dokumentacionit të nevojshëm për sistemin e informacionit dhe me nevojën për ndërveprim të ngushtë të auditorit me shumë zyrtarë të organizatës.

Qëllimi dhe parimet e funksionimit të IS përcaktojnë në masë të madhe rreziqet ekzistuese dhe kërkesat e sigurisë për sistemin. Prandaj, në fazën tjetër, auditori është i interesuar për informacion rreth qëllimit dhe funksionimit të SI. Në këtë fazë, auditori mund të përdorë dokumentacionin që përmban të dhënat e mëposhtme:

· Përshkrimi i funksioneve të automatizuara;

· Skema e flukseve të informacionit;

· Përshkrimi i strukturës së kompleksit të mjeteve teknike të sistemit të informacionit;

· Një përshkrim i strukturës së softuerit;

· Përshkrimi i strukturës së mbështetjes së informacionit;

· Një përshkrim të specifikimeve teknike të aplikacioneve të përdorura;

Për më tepër, auditorit i duhet informacion më i detajuar rreth strukturës së IP-së. Kjo bën të mundur zbulimin se si kryhet shpërndarja e mekanizmave të sigurisë nga elementët strukturorë dhe nivelet e funksionimit të IS.

Përgatitja e një pjese të konsiderueshme të dokumentacionit të IS zakonisht kryhet tashmë gjatë auditimit. Kur të jenë përgatitur të gjitha të dhënat e nevojshme IP, përfshirë dokumentacionin, mund të vazhdoni në fazën tjetër - analizën e tyre

Metodat e analizës së të dhënave të përdorura nga auditorët përcaktohen nga qasja e zgjedhur e auditimit, e cila mund të ndryshojë ndjeshëm. Por në përgjithësi, mund të dallohen 3 qasje:

Qasja e parë, më e vështira, bazohet në analizën e rrezikut. Bazuar në metodat e analizës së rrezikut, audituesi përcakton për IS-në e anketuar një grup individual kërkesash sigurie, i cili në masën më të madhe merr parasysh veçoritë e këtij SI, mjedisin e tij operativ dhe kërcënimet e sigurisë që ekzistojnë në këtë mjedis. Kjo qasje kërkon më shumë kohë dhe kërkon kualifikimet më të larta të një auditori. Cilësia e rezultateve të auditimit, në këtë rast, ndikohet fuqishëm nga metodologjia e përdorur për analizën dhe menaxhimin e rrezikut dhe zbatueshmëria e saj në këtë lloj IP.

Dërgoni punën tuaj të mirë në bazën e njohurive është e thjeshtë. Përdorni formularin e mëposhtëm

Studentët, studentët e diplomuar, shkencëtarët e rinj që përdorin bazën e njohurive në studimet dhe punën e tyre do t'ju jenë shumë mirënjohës.

Postuar ne http://www.allbest.ru/

Prezantimi

Auditimi është një formë e kontrollit të pavarur, neutral të çdo linje biznesi të një ndërmarrje tregtare, e përdorur gjerësisht në praktikën e një ekonomie tregu, veçanërisht në fushën e kontabilitetit. Po aq i rëndësishëm nga pikëpamja e zhvillimit të përgjithshëm të një ndërmarrje është auditimi i sigurisë së saj, i cili përfshin një analizë të rreziqeve që lidhen me mundësinë e kërcënimeve të sigurisë, veçanërisht në lidhje me burimet e informacionit, një vlerësim të nivelit aktual të sigurisë së sistemet e informacionit (IS), lokalizimi i pengesave në sistemin e tyre të mbrojtjes, vlerësimi i përputhshmërisë së IS me standardet ekzistuese në fushën e sigurisë së informacionit dhe zhvillimi i rekomandimeve për zbatimin e mekanizmave të rinj dhe rritjen e efikasitetit të mekanizmave ekzistues të IS.

Nëse flasim për qëllimin kryesor të një auditimi të sigurisë së informacionit, atëherë ai mund të përkufizohet si vlerësimi i nivelit të sigurisë së sistemit të informacionit të një ndërmarrje për administrimin e tij në tërësi, duke marrë parasysh perspektivat për zhvillimin e tij.

Në kushtet moderne, kur sistemet e informacionit depërtojnë në të gjitha sferat e veprimtarisë së ndërmarrjes, dhe duke marrë parasysh nevojën për lidhjen e tyre me internetin, ato rezultojnë të jenë të hapura për zbatimin e kërcënimeve të brendshme dhe të jashtme, problemi i sigurisë së informacionit bëhet jo më pak. e rëndësishme se siguria ekonomike apo fizike.

Pavarësisht rëndësisë që ka problemi në shqyrtim për trajnimin e specialistëve të sigurisë së informacionit, ai ende nuk është përfshirë si lëndë më vete në kurrikulat ekzistuese dhe nuk është konsideruar në tekste dhe mjete mësimore. Kjo për shkak të mungesës së kuadrit të nevojshëm rregullator, papërgatitjes së specialistëve dhe përvojës së pamjaftueshme praktike në fushën e auditimit të sigurisë së informacionit.

Struktura e përgjithshme e punës përfshin sekuencën e mëposhtme të çështjeve në shqyrtim:

Përshkruhet një model i ndërtimit të një sistemi të sigurisë së informacionit (IS), i cili merr parasysh kërcënimet, dobësitë, rreziqet dhe kundërmasat e marra për reduktimin ose parandalimin e tyre;

Janë marrë parasysh metodat e analizës dhe menaxhimit të rrezikut;

Paraqiten konceptet bazë të auditimit të sigurisë dhe jepen karakteristikat e qëllimeve të zbatimit të tij;

Analizon standardet kryesore ndërkombëtare dhe ruse të përdorura në auditimin e IS;

Tregohen mundësitë e përdorimit të mjeteve softuerike për kryerjen e një auditimi të IS;

Zgjedhja e strukturës së përshkruar të tekstit u bë për të maksimizuar orientimin e studentit në përdorimin praktik të materialit në fjalë, së pari, kur studion një kurs leksioni, së dyti, kur kalon praktikat industriale (analiza e gjendjes së sigurisë së informacionit në një ndërmarrje), dhe së treti, gjatë kryerjes së punimeve dhe tezave afatgjata.

Materiali i paraqitur mund të jetë i dobishëm për menaxherët dhe punonjësit e shërbimeve të sigurisë dhe shërbimeve të mbrojtjes së informacionit të ndërmarrjes për të përgatitur dhe kryer një auditim të brendshëm dhe për të justifikuar nevojën për një auditim të jashtëm të sigurisë së informacionit.

Kreu I. Auditimi i sigurisë dhe metodat e zbatimit të tij

1.1 Koncepti i auditimit të sigurisë

Një auditim është një ekzaminim i pavarur i fushave specifike të funksionimit të organizatës. Dalloni ndërmjet auditimit të jashtëm dhe atij të brendshëm. Një auditim i jashtëm është, si rregull, një ngjarje një herë e iniciuar nga menaxhmenti ose aksionarët e organizatës. Rekomandohet kryerja e auditimeve të jashtme në baza të rregullta dhe, për shembull, për shumë organizata financiare dhe shoqëri aksionare, kjo është një kërkesë e detyrueshme nga ana e themeluesve dhe aksionarëve të tyre. Auditimi i brendshëm është një veprimtari e vazhdueshme, e cila kryhet në bazë të “Rregullores për auditimin e brendshëm” dhe në përputhje me planin, përgatitja e të cilit kryhet nga departamentet e sigurisë dhe miratohet nga drejtuesit e organizatës.

Objektivat e një auditimi të sigurisë janë:

analiza e rreziqeve që lidhen me mundësinë e zbatimit të kërcënimeve të sigurisë në lidhje me burimet;

Vlerësimi i nivelit aktual të sigurisë së IP-së;

Lokalizimi i pengesave në sistemin e mbrojtjes së IP;

Vlerësimi i përputhshmërisë së SI me standardet ekzistuese në fushën e sigurisë së informacionit;

Auditimi i sigurisë së një ndërmarrje (firmë, organizatë) duhet të konsiderohet si një mjet konfidencial i menaxhimit, duke përjashtuar mundësinë e dhënies së informacionit për rezultatet e aktiviteteve të saj palëve të treta dhe organizatave për qëllime të fshehtësisë.

Sekuenca e mëposhtme e veprimeve mund të rekomandohet për kryerjen e një auditimi të sigurisë së ndërmarrjes.

1. Përgatitja për një auditim sigurie:

përzgjedhja e objektit të auditimit (kompania, ndërtesat dhe ambientet individuale, sistemet individuale ose përbërësit e tyre);

Krijimi i një ekipi audituesish ekspertë;

Përcaktimi i fushës dhe fushëveprimit të auditimit dhe përcaktimi i afateve specifike.

2. Kryerja e një auditimi:

analiza e përgjithshme e statusit të sigurisë së objektit të audituar;

Regjistrimi, grumbullimi dhe verifikimi i të dhënave statistikore dhe rezultateve të matjeve instrumentale të rreziqeve dhe kërcënimeve;

Vlerësimi i rezultateve të testit;

Hartimi i një raporti mbi rezultatet e kontrollit sipas komponentëve individualë.

3. Përfundimi i auditimit:

hartimi i një raporti përfundimtar;

Hartimi i një plani veprimi për eliminimin e pengesave dhe mangësive në garantimin e sigurisë së kompanisë.

Për të kryer me sukses një auditim sigurie, duhet:

Pjesëmarrja aktive e menaxhmentit të kompanisë në sjelljen e saj;

Objektiviteti dhe pavarësia e auditorëve (ekspertëve), kompetenca e tyre dhe profesionalizmi i lartë;

Procedura e verifikimit e strukturuar qartë;

Zbatimi aktiv i masave të propozuara për të garantuar dhe rritur sigurinë.

Auditimi i sigurisë, nga ana tjetër, është një mjet efektiv për vlerësimin e sigurisë dhe menaxhimin e rrezikut. Parandalimi i kërcënimeve të sigurisë nënkupton gjithashtu mbrojtjen e interesave ekonomike, sociale dhe informative të një ndërmarrjeje.

Kështu, mund të konkludojmë se auditimi i sigurisë po bëhet një instrument i menaxhimit ekonomik.

Në varësi të vëllimit të objekteve të analizuara të ndërmarrjes, qëllimi i auditimit përcaktohet:

Auditimi i sigurisë së të gjithë ndërmarrjes në tërësi;

Auditimi i sigurisë së ndërtesave dhe ambienteve individuale (lokale të dedikuara);

Auditimi i pajisjeve dhe mjeteve teknike të llojeve dhe llojeve të veçanta;

Auditimi i llojeve dhe fushave të caktuara të veprimtarisë: ekonomike, mjedisore, informative, financiare etj.

Duhet theksuar se auditimi nuk kryhet me iniciativën e auditorit, por me iniciativën e menaxhmentit të kompanisë, i cili në këtë çështje është aktori kryesor. Mbështetja e menaxhmentit të kompanisë është një parakusht për auditimin.

Të drejtat dhe detyrimet e auditorit duhet të përcaktohen dhe dokumentohen qartë në përshkrimet e punës së tij, si dhe në rregulloren për auditimin e brendshëm (të jashtëm);

Auditori duhet të përgatisë dhe të pajtohet me menaxhimin e planit të auditimit;

Rregullorja për auditimin e brendshëm duhet të përcaktojë, në veçanti, që punonjësit e ndërmarrjes janë të detyruar të ndihmojnë auditorin dhe të japin të gjithë informacionin e nevojshëm për auditimin.

Në fazën e fillimit të procedurës së auditimit, duhet të përcaktohet fusha e anketimit. Nëse disa nënsisteme informacioni të ndërmarrjes nuk janë mjaft kritike, ato mund të përjashtohen nga fusha e anketimit.

Nënsistemet e tjera mund të mos jenë të auditueshme për arsye konfidencialiteti.

Objekti i anketës përcaktohet në kategoritë e mëposhtme:

1. Lista e burimeve fizike, softuerike dhe informacionit të ekzaminuara.

2. Vende (lokale) që bien brenda kufijve të vrojtimit.

3. Llojet kryesore të kërcënimeve të sigurisë të konsideruara gjatë auditimit.

4. Aspektet organizative (legjislative, administrative dhe procedurale), fizike, softuerike-teknike dhe të tjera të sigurisë që duhet të merren parasysh gjatë anketës dhe prioritetet e tyre (në çfarë mase duhet të merren parasysh).

Plani i auditimit dhe kufijtë diskutohen në një takim pune, ku marrin pjesë auditorët, menaxhmenti i kompanisë dhe drejtuesit e divizioneve strukturore.

Për të kuptuar auditimin e SI si një sistem kompleks, modeli i tij konceptual, i paraqitur në Fig. 1.1. Komponentët kryesorë të procesit janë theksuar këtu:

Objekti i auditimit:

Qëllimi i auditimit:

Oriz. 1.1. Modeli konceptual i auditimit të sigurisë së informacionit

kërkesat që duhen plotësuar;

Metodat e përdorura;

Shkalla:

Interpretues;

Rendi i sjelljes.

Nga pikëpamja e organizimit të punës gjatë një auditimi IS, ekzistojnë tre faza themelore:

1. grumbullimi i informacionit;

Këto hapa diskutohen më në detaje më poshtë.

1.2 Metodat e analizës së të dhënave në auditimin e sigurisë së informacionit

Aktualisht, ekzistojnë tre metoda (qasje) kryesore për kryerjen e një auditimi, të cilat ndryshojnë ndjeshëm nga njëra-tjetra.

Metoda e parë, më komplekse, bazohet në analizën e rrezikut. Bazuar në metodat e analizës së rrezikut, audituesi përcakton për IS-në e anketuar një grup individual kërkesash sigurie, i cili në masën më të madhe merr parasysh veçoritë e këtij SI, mjedisin e tij operativ dhe kërcënimet e sigurisë që ekzistojnë në këtë mjedis. Kjo qasje kërkon më shumë kohë dhe kërkon kualifikimet më të larta të një auditori. Cilësia e rezultateve të auditimit, në këtë rast, ndikohet fuqishëm nga metodologjia e përdorur për analizën dhe menaxhimin e rrezikut dhe zbatueshmëria e saj në këtë lloj IP.

Metoda e dytë, më praktike, mbështetet në përdorimin e standardeve të sigurisë së informacionit. Standardet përcaktojnë grupin bazë të kërkesave të sigurisë për një klasë të gjerë të IS, e cila është formuar si rezultat i përgjithësimit të praktikës botërore. Standardet mund të përcaktojnë grupe të ndryshme kërkesash sigurie, në varësi të nivelit të sigurisë së IS që duhet të ofrohet, përkatësisë së tij (organizata tregtare ose agjenci qeveritare), si dhe qëllimi (financa, industria, komunikimet, etj.). Në këtë rast, auditorit i kërkohet të përcaktojë saktë grupin e kërkesave të standardit, përputhshmëria me të cilën duhet të sigurohet për këtë SI. Gjithashtu nevojitet një metodologji për të vlerësuar këtë konformitet. Për shkak të thjeshtësisë së tij (grupi standard i kërkesave për auditim është tashmë i paracaktuar nga standardi) dhe besueshmërisë (standardi është një standard dhe askush nuk do të përpiqet të sfidojë kërkesat e tij), qasja e përshkruar është më e zakonshme në praktikë (veçanërisht kur kryerja e një auditimi të jashtëm). Kjo ju lejon të nxirrni përfundime të arsyeshme për gjendjen e IS me një kosto minimale të burimeve.

Metoda e tretë, më efektive, përfshin kombinimin e dy të parave.

Nëse zgjidhet një qasje e bazuar në rrezik për të kryer një auditim sigurie, atëherë grupet e mëposhtme të detyrave zakonisht kryhen në fazën e analizimit të të dhënave të auditimit:

1 . Analiza e burimeve IP, duke përfshirë burimet e informacionit, softuerin dhe harduerin, dhe burimet njerëzore.

2. Analiza e grupeve të detyrave të zgjidhura nga sistemi dhe proceset e biznesit.

3. Ndërtimi i një modeli (joformal) të burimeve IP, i cili përcakton marrëdhënien ndërmjet informacionit, softuerit, burimeve teknike dhe njerëzore, rregullimin e tyre të ndërsjellë dhe metodat e ndërveprimit.

4. Vlerësimi i kritikitetit të burimeve të informacionit, si dhe softuerit dhe harduerit.

5. Përcaktimi i kritikitetit të burimeve, duke marrë parasysh ndërvarësinë e tyre.

6. Përcaktimi i kërcënimeve më të mundshme të sigurisë në lidhje me burimet e IP-së dhe dobësitë e sigurisë që bëjnë të mundur zbatimin e këtyre kërcënimeve.

7. Vlerësimi i mundësisë së zbatimit të kërcënimeve, madhësisë së dobësive dhe dëmtimit të organizatës në rast të zbatimit të suksesshëm të kërcënimeve.

8. Përcaktimi i madhësisë së rreziqeve për çdo treshe: kërcënim - grup burimesh - cenueshmëri.

Grupi i detyrave të listuara është mjaft i përgjithshëm. Për zgjidhjen e tyre, mund të përdoren teknika të ndryshme formale dhe joformale, sasiore dhe cilësore, manuale dhe të automatizuara të analizës së rrezikut. Kjo nuk e ndryshon thelbin e qasjes.

Gjatë kryerjes së një auditimi sigurie për pajtueshmërinë me kërkesat e standardit, auditori, duke u mbështetur në përvojën e tij, vlerëson zbatueshmërinë e kërkesave të standardit për SI-në e inspektuar dhe përputhshmërinë e tij me këto kërkesa. Të dhënat për përputhshmërinë e fushave të ndryshme të funksionimit të IS me kërkesat e standardit zakonisht paraqiten në formë tabelare. Tabela tregon se cilat kërkesa sigurie nuk janë zbatuar në sistem. Bazuar në këtë, nxirren përfundime në lidhje me përputhshmërinë e SI të anketuar me kërkesat e standardit dhe jepen rekomandime për zbatimin e mekanizmave të sigurisë në sistem për të siguruar një përputhje të tillë.

1.3 Analiza e rreziqeve të informacionit të ndërmarrjes

Analiza e rrezikut është ajo që duhet të fillojë me ndërtimin e çdo sistemi të sigurisë së informacionit dhe çfarë nevojitet për të kryer një auditim të sigurisë së informacionit. Ai përfshin aktivitete për të vëzhguar sigurinë e ndërmarrjes në mënyrë që të përcaktojë se cilat burime dhe nga cilat kërcënime duhet të mbrohen, si dhe në çfarë mase burime të caktuara duhet të mbrohen. Përcaktimi i një grupi kundërmasash adekuate kryhet gjatë menaxhimit të rrezikut. Rreziku përcaktohet nga probabiliteti i dëmtimit dhe sasia e dëmtimit të burimeve të sistemeve të informacionit (IS) në rast të një kërcënimi të sigurisë.

1. Identifikimi i burimeve kyçe të IP.

2. Përcaktimi i rëndësisë së burimeve të caktuara për organizatën.

3. Identifikimi i kërcënimeve ekzistuese të sigurisë dhe dobësive që bëjnë të mundshme kërcënimet.

4. Llogaritja e rreziqeve që lidhen me zbatimin e kërcënimeve të sigurisë.

Burimet IP mund të kategorizohen si më poshtë:

Burimet informative;

Software;

Mjetet teknike (serverët, stacionet e punës, pajisjet aktive të rrjetit, etj.);

Burimet njerëzore.

Të dhënat janë zbuluar, ndryshuar, fshirë ose janë bërë të padisponueshme;

Hardware është dëmtuar ose shkatërruar;

Integriteti i softuerit është komprometuar.

Dëmi mund t'i shkaktohet një organizate si rezultat i zbatimit të suksesshëm të llojeve të mëposhtme të kërcënimeve të sigurisë:

Sulmet lokale dhe të largëta ndaj burimeve IP;

Fatkeqësitë natyrore;

Gabimet ose veprimet e qëllimshme të personelit të IS;

Dështimet e IC të shkaktuara nga gabimet e softuerit ose mosfunksionimet e harduerit.

Madhësia e rrezikut mund të përcaktohet bazuar në koston e burimit, gjasat e shfaqjes së kërcënimit dhe madhësinë e cenueshmërisë duke përdorur formulën e mëposhtme:

kostoja e burimit NS probabiliteti i rrezikut Rreziku = madhësia e cenueshmërisë

Qasja e bazuar në analizën e rreziqeve të informacionit të ndërmarrjes është më e rëndësishmja për praktikën e garantimit të sigurisë së informacionit. Kjo për faktin se analiza e rrezikut ju lejon të menaxhoni në mënyrë efektive sigurinë e informacionit të një ndërmarrje. Për ta bërë këtë, në fillim të analizës së rrezikut, është e nevojshme të përcaktohet se çfarë saktësisht i nënshtrohet mbrojtjes në ndërmarrje, ndaj çfarë kërcënimesh ekspozohet dhe sipas praktikës së mbrojtjes. Analiza e rrezikut kryhet bazuar në qëllimet dhe objektivat imediate të mbrojtjes së një lloji specifik informacioni të një natyre konfidenciale. Një nga detyrat më të rëndësishme në mbrojtjen e informacionit është të sigurohet integriteti dhe disponueshmëria e tij. Duhet të kihet parasysh se një shkelje e integritetit mund të ndodhë jo vetëm si rezultat i veprimeve të qëllimshme, por edhe për një sërë arsyesh të tjera:

· Dështimet e pajisjeve që çojnë në humbje ose shtrembërim të informacionit;

· Ndikimi fizik, përfshirë si rezultat i fatkeqësive natyrore;

· Defekte në softuer (përfshirë veçoritë e padokumentuara).

Prandaj, nën termin "sulm" është më premtuese të kuptohet jo vetëm ndikimi njerëzor në burimet e informacionit, por edhe ndikimi i mjedisit në të cilin funksionon sistemi i përpunimit të informacionit të ndërmarrjes.

Gjatë kryerjes së një analize të rrezikut, zhvillohen sa vijon:

· Strategjia dhe taktikat e përgjithshme të kryerjes së "operacioneve sulmuese dhe armiqësive" nga një dhunues i mundshëm;

· Mënyrat e mundshme të kryerjes së sulmeve ndaj sistemit të përpunimit dhe mbrojtjes së informacionit;

· Skenari i veprimeve të paligjshme;

· Karakteristikat e kanaleve të rrjedhjes së informacionit dhe shërbimit të paautorizuar;

· Mundësia e vendosjes së kontaktit informativ (zbatimi i kërcënimeve);

· Një listë e infeksioneve të mundshme të informacionit;

· Modeli i dhunuesit;

· Metodologjia për vlerësimin e sigurisë së informacionit.

Përveç kësaj, për të ndërtuar një sistem të besueshëm për mbrojtjen e informacionit të një ndërmarrje, është e nevojshme:

· Të identifikojë të gjitha kërcënimet e mundshme për sigurinë e informacionit;

· Të vlerësojë pasojat e shfaqjes së tyre;

Përcaktoni masat dhe mjetet e nevojshme të mbrojtjes, duke marrë parasysh kërkesat e dokumenteve rregullatore, ekonomike

· Përshtatshmëri, pajtueshmëri dhe pa konflikt me softuerin e përdorur;

· Vlerësoni efektivitetin e masave dhe mjeteve të zgjedhura të mbrojtjes.

Oriz. 1.2. Skript i analizës së burimeve të informacionit

Të 6 fazat e analizës së rrezikut janë paraqitur këtu. Në fazën e parë dhe të dytë, përcaktohet informacioni që përbën sekret tregtar për ndërmarrjen dhe që duhet të mbrohet. Është e qartë se një informacion i tillë ruhet në vende të caktuara dhe në media të veçanta, të transmetuara përmes kanaleve të komunikimit. Në të njëjtën kohë, faktori përcaktues në teknologjinë e trajtimit të informacionit është arkitektura e IS, e cila në masë të madhe përcakton sigurinë e burimeve të informacionit të ndërmarrjes. Faza e tretë e analizës së rrezikut është ndërtimi i kanaleve të aksesit, rrjedhjes ose ndikimit në burimet e informacionit të nyjeve kryesore të IS. Çdo kanal aksesi karakterizohet nga një mori pikash nga të cilat informacioni mund të "hiqet". Janë ata që përfaqësojnë dobësitë dhe kërkojnë përdorimin e mjeteve për të parandaluar ndikimet e padëshiruara në informacion.

Faza e katërt e analizës së metodave të mbrojtjes së të gjitha pikave të mundshme korrespondon kështu me qëllimet e mbrojtjes dhe rezultati i saj duhet të jetë një karakteristikë e boshllëqeve të mundshme në mbrojtje, përfshirë për shkak të një kombinimi të pafavorshëm të rrethanave.

Në fazën e pestë, duke u nisur nga metodat dhe mjetet e njohura aktualisht për tejkalimin e linjave mbrojtëse, përcaktohen probabilitetet e zbatimit të kërcënimeve për secilën nga pikat e mundshme të sulmit.

Në fazën e fundit, të gjashtë, vlerësohet dëmi i organizatës në rast të zbatimit të secilit prej sulmeve, gjë që, së bashku me vlerësimet e cenueshmërisë, bën të mundur marrjen e një liste të renditur të kërcënimeve ndaj burimeve të informacionit. Rezultatet e punës janë paraqitur në një formë që është e përshtatshme për perceptimin e tyre dhe për marrjen e vendimeve për korrigjimin e sistemit ekzistues të mbrojtjes së informacionit. Për më tepër, çdo burim informacioni mund të ekspozohet ndaj disa kërcënimeve të mundshme. Me rëndësi thelbësore është probabiliteti total i aksesit në burimet e informacionit, i cili është shuma e probabiliteteve elementare të aksesit në pikat individuale të kalimit të informacionit.

Sasia e rrezikut të informacionit për çdo burim përcaktohet si produkt i probabilitetit të një sulmi ndaj burimit, probabilitetit të zbatimit dhe kërcënimit dhe dëmtimit nga ndërhyrja e informacionit. Ky produkt mund të përdorë metoda të ndryshme të peshimit të përbërësve.

Përmbledhja e rreziqeve për të gjitha burimet jep vlerën e rrezikut total për arkitekturën e miratuar IS dhe sistemin e sigurisë së informacionit të zbatuar në të.

Kështu, duke ndryshuar opsionet për ndërtimin e një sistemi të mbrojtjes së informacionit dhe një arkitekture IS, bëhet e mundur të paraqiten dhe konsiderohen vlera të ndryshme të rrezikut total për shkak të një ndryshimi në probabilitetin e zbatimit të kërcënimeve. Këtu, një hap shumë i rëndësishëm është zgjedhja e njërit prej opsioneve në përputhje me kriterin e përzgjedhjes së vendimit. Një kriter i tillë mund të jetë vlera e lejueshme e rrezikut ose raporti i kostove të sigurimit të sigurisë së informacionit me rrezikun e mbetur.

Kur ndërtoni sisteme të sigurisë së informacionit, ju gjithashtu duhet të përcaktoni një strategji të menaxhimit të rrezikut për ndërmarrjen.

Sot njihen disa qasje për menaxhimin e rrezikut.

Një nga më të zakonshmet është zvogëlimi i rrezikut duke përdorur metoda dhe mjete të përshtatshme mbrojtëse. Në thelb e ngjashme është qasja e lidhur me shmangien e rrezikut. Dihet se disa kategori rreziqesh mund të shmangen: për shembull, lëvizja e serverit të uebit të organizatës jashtë rrjetit lokal shmang rrezikun e aksesit të paautorizuar në rrjetin lokal nga klientët e Uebit.

Së fundi, në disa raste, marrja e rrezikut është e pranueshme. Këtu është e rëndësishme të përcaktohet dilema e mëposhtme: çfarë është më fitimprurëse për ndërmarrjen - të përballet me rreziqet apo me pasojat e tyre. Në këtë rast, është e nevojshme të zgjidhet problemi i optimizimit.

Pasi të jetë përcaktuar strategjia e menaxhimit të rrezikut, bëhet vlerësimi përfundimtar i masave për sigurimin e sigurisë së informacionit me përgatitjen e një opinioni eksperti për sigurinë e burimeve të informacionit. Mendimi i ekspertit përfshin të gjitha materialet e analizës së rrezikut dhe rekomandimet për reduktimin e tyre.

1.4 Metodat për vlerësimin e rreziqeve të informacionit të ndërmarrjes

Në praktikë, përdoren metoda të ndryshme të vlerësimit dhe menaxhimit të rreziqeve të informacionit në ndërmarrje. Në të njëjtën kohë, vlerësimi i rreziqeve të informacionit parashikon fazat e mëposhtme:

· Identifikimi dhe vlerësimi sasior i burimeve të informacionit të ndërmarrjeve që janë të rëndësishme për biznesin;

· Vlerësimi i kërcënimeve të mundshme;

· Vlerësimi i dobësive ekzistuese;

· Vlerësimi i efektivitetit të mjeteve të sigurisë së informacionit.

Supozohet se burimet e cenueshme të informacionit që lidhen me biznesin e një kompanie sipërmarrjeje janë në rrezik nëse ka ndonjë kërcënim ndaj tyre. Me fjalë të tjera, rreziqet karakterizojnë rrezikun ndaj të cilit mund të ekspozohen komponentët e sistemit të Internetit / Intranetit të korporatës. Në të njëjtën kohë, rreziqet informative të kompanisë varen nga:

· Nga treguesit e vlerës së burimeve të informacionit;

· Mundësia e zbatimit të kërcënimeve ndaj burimeve;

· Efektiviteti i mjeteve ekzistuese ose të planifikuara të sigurisë së informacionit.

Qëllimi i vlerësimit të rrezikut është të përcaktojë karakteristikat e rreziqeve të sistemit të informacionit të korporatës dhe burimeve të tij. Si rezultat i vlerësimit të rrezikut, bëhet e mundur të zgjidhni mjetet që sigurojnë nivelin e dëshiruar të sigurisë së informacionit të ndërmarrjes. Vlerësimi i rrezikut merr parasysh vlerën e burimeve, rëndësinë e kërcënimeve dhe dobësive, dhe efektivitetin e mbrojtjeve ekzistuese dhe të planifikuara. Treguesit e vetë burimeve, rëndësia e kërcënimeve dhe dobësive, efektiviteti i mjeteve mbrojtëse mund të përcaktohen si në mënyrë sasiore, për shembull, kur përcaktohen karakteristikat e kostos, dhe cilësisht, për shembull, duke marrë parasysh ndikimet mjedisore jonormale standarde ose jashtëzakonisht të rrezikshme.

Mundësia e realizimit të një kërcënimi vlerësohet nga probabiliteti i realizimit të tij brenda një periudhe të caktuar kohore për një burim të caktuar të ndërmarrjes. Në të njëjtën kohë, probabiliteti që kërcënimi të realizohet përcaktohet nga treguesit kryesorë të mëposhtëm:

· Atraktiviteti i burimit përdoret kur merret parasysh kërcënimi nga ndikimi i qëllimshëm njerëzor;

· Mundësia e përdorimit të burimit për të gjeneruar të ardhura kur merret parasysh kërcënimi nga ndikimi i qëllimshëm njerëzor;

· Aftësitë teknike të zbatimit të kërcënimit përdoren në rast të ndikimit të qëllimshëm njerëzor;

· Shkalla e lehtësisë me të cilën mund të shfrytëzohet cenueshmëria.

Aktualisht, ekzistojnë shumë metoda tabelare për vlerësimin e rreziqeve të informacionit të një kompanie. Është e rëndësishme që personeli i sigurisë të zgjedhë vetë metodën e duhur që do të sigurojë rezultate të sakta dhe të besueshme të riprodhueshme.

Treguesit sasiorë të burimeve të informacionit rekomandohen të vlerësohen bazuar në rezultatet e anketave të punonjësve të ndërmarrjes - pronarë të informacionit, domethënë zyrtarë që mund të përcaktojnë vlerën e informacionit, karakteristikat e tij dhe shkallën e kritikës, bazuar në faktin aktual. gjendjen e punëve. Bazuar në rezultatet e sondazhit, treguesit dhe shkalla e kritikitetit të burimeve të informacionit vlerësohen për skenarin më të keq deri në shqyrtimin e ndikimeve të mundshme në aktivitetet e biznesit të ndërmarrjes në rast të njohjes së mundshme të paautorizuar të informacionit konfidencial, shkeljes së integritetit të saj. , mosdisponueshmëria për periudha të ndryshme të shkaktuara nga dështimet e shërbimit të të dhënave të sistemeve të përpunimit dhe madje edhe nga shkatërrimi fizik. Në të njëjtën kohë, procesi i marrjes së treguesve sasiorë mund të plotësohet me metoda të përshtatshme për vlerësimin e burimeve të tjera kritike të ndërmarrjes, duke marrë parasysh:

· Siguria e personelit;

· Zbulimi i informacionit privat;

· Kërkesat për pajtueshmëri me ligjet dhe rregulloret;

· Kufizimet që dalin nga legjislacioni;

· Interesat komerciale dhe ekonomike;

· Humbje financiare dhe ndërprerje në aktivitetet prodhuese;

· marrëdhëniet me publikun;

· Politika komerciale dhe operacionet tregtare;

· Humbja e reputacionit të kompanisë.

Më tej, treguesit sasiorë përdoren aty ku është e lejueshme dhe e justifikuar, dhe cilësore - ku vlerësimet sasiore janë të vështira për një sërë arsyesh. Në të njëjtën kohë, më i përhapuri është vlerësimi i treguesve të cilësisë duke përdorur shkallët e rezultateve të krijuara posaçërisht për këto qëllime, për shembull, me një shkallë me katër pikë.

Operacioni tjetër është plotësimi i çifteve të pyetësorëve, në të cilët, për secilin nga llojet e kërcënimit dhe grupin e burimeve shoqëruese, nivelet e kërcënimit vlerësohen si gjasa që kërcënimet të realizohen dhe nivelet e cenueshmërisë si shkalla e lehtësisë me të cilën një kërcënimi i realizuar mund të çojë në ndikim negativ. Vlerësimi kryhet në shkallë cilësore. Për shembull, niveli i kërcënimeve dhe dobësive vlerësohet në një shkallë të lartë-të ulët. Informacioni i nevojshëm mblidhet duke intervistuar drejtuesit TOP të kompanisë, punonjës të departamenteve komerciale, teknike, personeli dhe shërbimi, duke vizituar terrenin dhe duke analizuar dokumentacionin e kompanisë.

Së bashku me metodat tabelare për vlerësimin e rreziqeve të informacionit, mund të përdoren metoda moderne matematikore, për shembull, metoda e tipit Delphi, si dhe sisteme të veçanta të automatizuara, disa prej të cilave do të diskutohen më poshtë.

Algoritmi i përgjithshëm i procesit të vlerësimit të rrezikut (Figura 1.3.) Në këto sisteme përfshin fazat e mëposhtme.

· Përshkrimi i objektit dhe masat mbrojtëse;

· Identifikimi i burimit dhe vlerësimi i treguesve sasiorë të tij (përcaktimi i ndikimit të mundshëm negativ në biznes);

· Analiza e kërcënimeve ndaj sigurisë së informacionit;

· Vlerësimi i dobësive;

Vlerësimi i fondeve ekzistuese dhe të propozuara

garantimi i sigurisë së informacionit;

· Vlerësimi i rrezikut.

1.5 Menaxhimi i riskut të informacionit

Aktualisht, menaxhimi i rrezikut të informacionit është një nga fushat më të rëndësishme dhe më dinamike në zhvillim të menaxhimit strategjik dhe operacional në fushën e sigurisë së informacionit. Detyra e saj kryesore është të identifikojë dhe vlerësojë në mënyrë objektive rreziqet e informacionit të kompanisë që janë më të rëndësishme për biznesin, si dhe përshtatshmërinë e kontrolleve të rrezikut të përdorura për të rritur efikasitetin dhe përfitimin e aktivitetit ekonomik të ndërmarrjes. Prandaj, termi "menaxhimi i rrezikut të informacionit" zakonisht kuptohet si një proces sistematik i identifikimit, kontrollit dhe zbutjes së rreziqeve të informacionit të kompanive në përputhje me disa kufizime të kuadrit rregullator rus në fushën e mbrojtjes së informacionit dhe politikës së saj të sigurisë së korporatës.

Oriz. 1.3. Algoritmi i vlerësimit të rrezikut

Përdorimi i sistemeve të informacionit shoqërohet me një grup të caktuar rreziqesh. Kur dëmi i mundshëm është i papranueshëm i madh, nevojiten masa mbrojtëse të justifikuara ekonomikisht. Vlerësimi periodik (ri) i rrezikut është i nevojshëm për të monitoruar efektivitetin e aktiviteteve të sigurisë dhe për të marrë parasysh ndryshimet në mjedis.

Thelbi i aktiviteteve të menaxhimit të rrezikut është të vlerësohet madhësia e tyre, të zhvillohen masa efektive dhe me kosto efektive për të zbutur rreziqet dhe më pas të sigurohet që rreziqet të përmbahen brenda kufijve të pranueshëm (dhe të mbeten të tillë). Rrjedhimisht, menaxhimi i riskut përfshin dy lloje aktivitetesh, të cilat alternohen në mënyrë ciklike:

1) (ri) vlerësimi (matja) e rreziqeve;

2) përzgjedhja e pajisjeve mbrojtëse efektive dhe ekonomike (neutralizimi i rrezikut).

Në lidhje me rreziqet e identifikuara, veprimet e mëposhtme janë të mundshme:

· Eliminimi i rrezikut (për shembull, duke eliminuar shkakun);

· Reduktimi i rrezikut (për shembull, nëpërmjet përdorimit të pajisjeve shtesë mbrojtëse);

Pranimi i rrezikut (duke zhvilluar një plan veprimi në kushte të përshtatshme):

· Ridrejtimi i rrezikut (për shembull, duke lidhur një marrëveshje sigurimi).

Procesi i menaxhimit të rrezikut mund të ndahet në fazat e mëposhtme:

1. Zgjedhja e objekteve të analizuara dhe niveli i detajimit të shqyrtimit të tyre.

2. Zgjedhja e metodologjisë së vlerësimit të rrezikut.

3. Identifikimi i pasurive.

4. Analiza e kërcënimeve dhe pasojave të tyre, identifikimi i dobësive në mbrojtje.

5. Vlerësimi i rrezikut.

6. Zgjedhja e masave mbrojtëse.

7. Zbatimi dhe verifikimi i masave të përzgjedhura.

8. Vlerësimi i rrezikut të mbetur.

Fazat 6 dhe kanë të bëjnë me zgjedhjen e pajisjeve mbrojtëse (neutralizimi i rreziqeve), pjesa tjetër - me vlerësimin e rreziqeve.

Tashmë renditja e fazave tregon se menaxhimi i rrezikut është një proces ciklik. Në thelb, hapi i fundit është një deklaratë në fund të ciklit që ju thotë të ktheheni në fillim. Rreziqet duhet të monitorohen vazhdimisht, duke i rivlerësuar ato në mënyrë periodike. Duhet të theksohet se një vlerësim i plotësuar dhe i mirë-dokumentuar mund të thjeshtojë shumë aktivitetet vijuese.

Menaxhimi i rrezikut, si çdo aktivitet tjetër në fushën e sigurisë së informacionit, duhet të integrohet në ciklin jetësor të IS. Atëherë efekti rezulton të jetë më i madhi, dhe kostot janë minimale.

Menaxhimi i rrezikut duhet të kryhet në të gjitha fazat e ciklit jetësor të sistemit të informacionit: fillimi-zhvillimi-instalimi-operimi-depozitimi (çmontimi).

Në fazën e fillimit, rreziqet e njohura duhet të merren parasysh kur zhvillohen kërkesat për sistemin në përgjithësi dhe pajisjet e sigurisë në veçanti.

Gjatë fazës së zhvillimit, njohja e rreziqeve ndihmon në përzgjedhjen e zgjidhjeve të përshtatshme arkitekturore, të cilat luajnë një rol kyç në garantimin e sigurisë.

Gjatë fazës së instalimit, rreziqet e identifikuara duhet të merren parasysh gjatë konfigurimit, testimit dhe verifikimit të formulimit të mëparshëm

kërkesat dhe cikli i plotë i menaxhimit të rrezikut duhet t'i paraprijë futjes në funksion të sistemit.

Gjatë fazës operacionale, menaxhimi i riskut duhet të shoqërojë të gjitha ndryshimet e rëndësishme në sistem.

Kur çmontoni një sistem, menaxhimi i rrezikut ndihmon për të siguruar që të dhënat të migrohen në mënyrë të sigurt.

Kapitulli II. Standardet e sigurisë së informacionit

2.1 Parakushtet për krijimin e standardeve të sigurisë së informacionit

Auditimi i sigurisë së informacionit bazohet në përdorimin e rekomandimeve të shumta, të cilat janë përcaktuar kryesisht në standardet ndërkombëtare të sigurisë së informacionit.

Kohët e fundit, një nga rezultatet e auditimit po bëhet gjithnjë e më shumë një certifikatë që vërteton përputhshmërinë e IP-së së anketuar me një standard të caktuar ndërkombëtar të njohur. Prania e një certifikate të tillë i lejon organizatës të marrë avantazhe konkurruese që lidhen me besim më të madh nga klientët dhe partnerët.

Përdorimi i standardeve kontribuon në zgjidhjen e pesë detyrave të mëposhtme.

Së pari, qëllimet e sigurimit të sigurisë së informacionit të sistemeve kompjuterike janë përcaktuar rreptësisht. Së dyti, po krijohet një sistem efektiv i menaxhimit të sigurisë së informacionit. Së treti, ai siguron llogaritjen e një grupi treguesish të detajuar jo vetëm cilësor, por edhe sasior për vlerësimin e përputhshmërisë së sigurisë së informacionit me qëllimet e deklaruara. Së katërti, krijohen kushtet për përdorimin e mjeteve (software) ekzistuese për sigurimin e sigurisë së informacionit dhe vlerësimin e gjendjes aktuale të tij. Së pesti, bëhet e mundur përdorimi i teknikave të menaxhimit të sigurisë me një sistem të bazuar mirë të matjeve dhe masave mbështetëse për zhvilluesit e sistemeve të informacionit.

Që nga fillimi i viteve 1980 janë krijuar dhjetëra standarde ndërkombëtare dhe kombëtare në fushën e sigurisë së informacionit, të cilat deri diku plotësojnë njëra-tjetrën. Më poshtë do të konsiderohen standardet më të famshme për kronologjinë e krijimit të tyre:

1) Kriteri për vlerësimin e besueshmërisë së sistemeve kompjuterike “Orange Book” (SHBA);

2) Kriteret e harmonizuara të vendeve evropiane;

4) Standardi gjerman BSI;

5) Standardi Britanik BS 7799;

6) Standardi ISO 17799;

7) Standardi "Kriteret e Përgjithshme" ISO 15408;

8) Standardi COBIT

Këto standarde mund të ndahen në dy lloje:

· Standardet e vlerësimit që synojnë klasifikimin e sistemeve të informacionit dhe masat e sigurisë sipas kërkesave të sigurisë;

· Specifikimet teknike që rregullojnë aspekte të ndryshme të zbatimit të masave mbrojtëse.

Është e rëndësishme të theksohet se nuk ka asnjë mur bosh midis këtyre llojeve të dokumenteve rregullatore. Standardet e vlerësimit nxjerrin në pah aspektet më të rëndësishme, nga pikëpamja e sigurisë së informacionit, të IS, duke luajtur rolin e specifikimeve arkitekturore. Specifikime të tjera teknike përcaktojnë se si të ndërtohet një IS e një arkitekture të përcaktuar.

2.2 Standardi "Kriteret për vlerësimin e besueshmërisë së sistemeve kompjuterike" (Libri Portokalli)

Historikisht, "Kriteret për Vlerësimin e Sistemeve Kompjuterike të Besuar" i Departamentit të Mbrojtjes së SHBA-së u bë standardi i parë i vlerësimit që u përhap dhe pati një ndikim të madh në bazë të standardizimit të sigurisë së informacionit në shumë vende.

Kjo vepër, e quajtur më shpesh "Libri Portokalli" për ngjyrën e kopertinës, u botua për herë të parë në gusht 1983. Vetëm emri i saj kërkon koment. Nuk po flasim për sisteme të sigurta, por për sisteme të besuara, pra sisteme që mund t'u jepet një shkallë e caktuar besimi.

Libri Portokalli sqaron konceptin e një sistemi të sigurt që "menaxhon, nëpërmjet mjeteve të duhura, aksesin në informacion në mënyrë që vetëm personat ose proceset e autorizuara siç duhet që veprojnë në emër të tyre të kenë të drejtë të lexojnë, shkruajnë, krijojnë dhe fshijnë informacion".

Është e qartë, megjithatë, se sisteme absolutisht të sigurta nuk ekzistojnë, ky është një abstraksion. Ka kuptim të vlerësohet vetëm shkalla e besimit që mund t'i jepet një sistemi të caktuar.

Libri Portokalli përcakton një sistem të besuar si "një sistem që përdor harduer dhe softuer të mjaftueshëm për të mundësuar një grup përdoruesish që të përpunojnë njëkohësisht informacione të shkallëve të ndryshme të fshehtësisë pa shkelur të drejtat e aksesit".

Duhet theksuar se në kriteret e marra si siguria ashtu edhe besimi vlerësohen vetëm nga pikëpamja e kontrollit të aksesit të të dhënave, i cili është një nga mjetet për të siguruar konfidencialitetin dhe integritetin e informacionit. Megjithatë, Libri Portokalli nuk trajton çështjet e aksesueshmërisë.

Shkalla e besimit vlerësohet sipas dy kritereve kryesore.

1. Politika e sigurisë - një grup ligjesh, rregullash dhe kodesh sjelljeje që rregullojnë mënyrën se si një organizatë përpunon, mbron dhe shpërndan informacionin. Në veçanti, rregullat përcaktojnë se në cilat raste përdoruesi mund të operojë në grupe specifike të dhënash. Sa më e lartë të jetë shkalla e besimit në sistem, aq më e rreptë dhe më e larmishme duhet të jetë politika e sigurisë. Në varësi të politikës së formuluar, ju mund të zgjidhni mekanizma specifikë sigurie. Politika e sigurisë është një aspekt aktiv i mbrojtjes, duke përfshirë analizën e kërcënimeve të mundshme dhe zgjedhjen e kundërmasave.

2. Niveli i sigurisë është një masë besimi që mund t'i ofrohet arkitekturës dhe zbatimit të IS. Besimi në siguri mund të lindë si nga analiza e rezultateve të provës ashtu edhe nga verifikimi (formal ose jo) i dizajnit dhe zbatimit të përgjithshëm të sistemit në tërësi dhe përbërësve të tij individualë. Niveli i sigurisë tregon se sa korrekt janë mekanizmat përgjegjës për zbatimin e politikës së sigurisë. Ky është aspekti pasiv i mbrojtjes.

Një mekanizëm llogaridhënieje (logimi) përcaktohet si masa kryesore e sigurisë. Sistemi i besuar duhet të regjistrojë të gjitha ngjarjet e sigurisë. Mbajtja e të dhënave duhet të plotësohet nga një auditim, domethënë një analizë e informacionit të regjistrimit. Koncepti i një baze kompjuterike të besuar është thelbësor për vlerësimin e shkallës së besimit të sigurisë. Baza kompjuterike e besuar është koleksioni i mekanizmave të sigurisë IC (përfshirë harduerin dhe softuerin) që janë përgjegjës për zbatimin e politikave të sigurisë. Cilësia e bazës llogaritëse përcaktohet vetëm nga zbatimi i saj dhe korrektësia e të dhënave fillestare të futura nga administratori i sistemit.

Komponentët e konsideruar jashtë bazës llogaritëse mund të mos besohen, por kjo nuk duhet të ndikojë në sigurinë e sistemit në tërësi. Si rezultat, autorët e standardit rekomandojnë të merret parasysh vetëm baza e tij llogaritëse për të vlerësuar besimin në sigurinë e IS.

Qëllimi kryesor i një baze llogaritëse të besueshme është të kryejë funksionet e një monitori referencë, domethënë të kontrollojë pranueshmërinë e operacioneve të caktuara në objekte (entitete pasive) nga subjektet (përdoruesit). Monitori kontrollon aksesin e çdo përdoruesi në programe ose të dhëna për përputhje me grupin e veprimeve të lejuara për përdoruesin.

Një monitor i goditur duhet të ketë tre cilësi:

Izolim. Është e nevojshme të parandalohet mundësia e monitorimit të monitorit.

Plotësia. Monitori duhet thirrur në çdo telefonatë, nuk duhet të ketë asnjë mënyrë për ta anashkaluar atë.

Verifikueshmëria. Monitori duhet të jetë kompakt në mënyrë që të mund të analizohet dhe testohet me besim në plotësinë e testimit.

Implementimi i monitorit të referencës quhet kerneli i sigurisë. Thelbi i Sigurisë është themeli mbi të cilin janë ndërtuar të gjithë mekanizmat mbrojtës. Përveç veçorive të monitorit të referencës të listuara më sipër, kerneli duhet të garantojë pandryshueshmërinë e tij.

Skaji i bazës së besuar kompjuterike quhet perimetri i sigurisë. Siç u përmend, komponentët jashtë perimetrit të sigurisë zakonisht nuk mund të besohen. Me zhvillimin e sistemeve të shpërndara, konceptit të "perimetrit të sigurisë" gjithnjë e më shumë i jepet një kuptim tjetër, që do të thotë kufiri i pronësisë së një organizate të caktuar. Ajo që është brenda posedimit konsiderohet e besueshme, dhe ajo që është jashtë jo.

Sipas Librit Portokalli, një politikë sigurie duhet të përfshijë domosdoshmërisht elementët e mëposhtëm:

· Kontrolli arbitrar i aksesit;

· Siguria e ripërdorimit të objekteve;

· Etiketat e sigurisë;

· Kontrolli i hyrjes së detyruar.

Kontrolli arbitrar i aksesit është një metodë e diferencimit të aksesit në objekte bazuar në llogarinë e identitetit të subjektit ose grupit të cilit subjekti i përket. Arbitrariteti i kontrollit qëndron në faktin se një person i caktuar (zakonisht pronari i sendit) mundet, sipas gjykimit të tij, t'u japë subjekteve të tjera ose t'u heqë të drejtat e aksesit në objekt.

Siguria e ripërdorimit të objekteve është një shtesë e rëndësishme për kontrollet e aksesit për të parandaluar nxjerrjen aksidentale ose të qëllimshme të informacionit konfidencial nga koshi. Siguria e ripërdorimit duhet të garantohet për zonat e RAM-it (në veçanti, për buferët me imazhe të ekranit, fjalëkalime të deshifruara, etj.), për blloqet e diskut dhe mediat magnetike në përgjithësi.

2.3 Standardi gjerman BSI

Në vitin 1998, Gjermania publikoi "Udhëzuesin për sigurinë e teknologjisë së informacionit për një nivel bazë". Manuali është një hipertekst prej rreth 4 MB (në format HTML). Më vonë u zyrtarizua në formën e standardit gjerman BSI. Ai bazohet në metodologjinë e përgjithshme dhe komponentët e menaxhimit të sigurisë së informacionit:

· Metoda e përgjithshme e menaxhimit të sigurisë së informacionit (organizimi i menaxhimit në fushën e sigurisë së informacionit, metodologjia e përdorimit të manualit).

· Përshkrime të komponentëve të teknologjisë moderne të informacionit.

· Komponentët kryesorë (niveli organizativ i sigurisë së informacionit, niveli procedural, organizimi i mbrojtjes së të dhënave, planifikimi i veprimeve në situata emergjente).

· Infrastruktura (ndërtesat, ambientet, rrjetet kabllore, organizimi i aksesit në distancë).

· Komponentët klient të llojeve të ndryshme (DOS, Windows, UNIX, komponentë celularë, lloje të tjera).

· Rrjete të llojeve të ndryshme (lidhje pikë-për-pikë, rrjete Novell NetWare, rrjete me OC ONIX dhe Windows, rrjete heterogjene).

· Elemente të sistemeve të transmetimit të të dhënave (e-mail, modem, firewalls, etj.).

· Telekomunikacioni (fakse, aparate telefonike, sisteme të integruara të bazuara në ISDN, sisteme të tjera telekomunikacioni).

· Softuer standard.

· Baza e të dhënave.

· Përshkrimet e komponentëve kryesorë të organizimit të regjimit të sigurisë së informacionit (nivelet organizative dhe teknike të mbrojtjes së të dhënave, planifikimi i emergjencës, mbështetja e vazhdimësisë së biznesit).

· Karakteristikat e objekteve të informatizimit (ndërtesa, ambiente, rrjete kabllore, zona të kontrolluara).

· Karakteristikat e aseteve kryesore të informacionit të kompanisë (duke përfshirë harduerin dhe softuerin, si stacionet e punës dhe serverët që përdorin sistemet operative DOS, Windows dhe UNIX).

· Karakteristikat e rrjeteve kompjuterike të bazuara në teknologji të ndryshme të rrjetit, si rrjetet Novell Net Ware, rrjetet UNIX dhe Windows).

· Karakteristikat e pajisjeve të telekomunikacionit aktiv dhe pasiv nga shitësit kryesorë, si Cisco Systems.

· Katalogë të detajuar të kërcënimeve të sigurisë dhe masave të kontrollit (më shumë se 600 artikuj në çdo katalog).

Të gjitha llojet e kërcënimeve në standardin BSI ndahen në klasat e mëposhtme:

· Forca madhore.

· Mungesa e masave organizative.

· Gabimet njerëzore.

· Probleme teknike.

· Veprime të qëllimshme.

Kundërmasat klasifikohen në mënyrë të ngjashme:

· Përmirësimi i infrastrukturës;

· Kundërmasat administrative;

· Kundërmasat procedurale;

· Softuerët dhe kundërmasat teknike;

· Reduktimi i cenueshmërisë së komunikimeve; planifikimin e emergjencës.

Të gjithë komponentët konsiderohen dhe përshkruhen sipas planit të mëposhtëm:

1) përshkrim i përgjithshëm;

2) skenarët e mundshëm të kërcënimeve të sigurisë (lista e kërcënimeve të aplikueshme për këtë komponent nga katalogu i kërcënimeve të sigurisë);

3) kundërmasat e mundshme (rendon kërcënimet nga katalogu i kërcënimeve të sigurisë të aplikueshme për këtë komponent);

2.4 Standardi Britanik BS 7799

Instituti Britanik i Standardeve (BSI), me pjesëmarrjen e organizatave tregtare si Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica, etj., zhvilloi një standard të sigurisë së informacionit, i cili në vitin 1995 u miratua. si standard kombëtar BS 7799 menaxhimi i sigurisë së informacionit të një organizate pavarësisht nga qëllimi i kompanisë.

Në përputhje me këtë standard, çdo shërbim sigurie, departamenti IT, menaxhmenti i kompanisë duhet të fillojë të punojë në përputhje me rregulloret e përgjithshme. Nuk ka rëndësi nëse flasim për mbrojtjen e dokumenteve në letër apo të të dhënave elektronike. Aktualisht, standardi britanik BS 7799 mbështetet në 27 vende të botës, duke përfshirë vendet e Komonuelthit Britanik, si dhe, për shembull, Suedinë dhe Holandën. Në vitin 2000, Instituti Ndërkombëtar i Standardeve ISO, bazuar në BS 7799 Britanik, zhvilloi dhe nxori standardin ndërkombëtar për menaxhimin e sigurisë ISO / IEC 17799.

Prandaj, sot mund të argumentohet se BS 7799 dhe ISO 17799 janë një dhe i njëjti standard, i cili sot ka njohje mbarëbotërore dhe statusin e një standardi ndërkombëtar ISO.

Në të njëjtën kohë, duhet të theksohet përmbajtja origjinale e standardit BS 7799, i cili përdoret ende në një numër vendesh. Ka dy pjesë.

· Politika e sigurisë.

· Organizimi i mbrojtjes.

· Klasifikimi dhe menaxhimi i burimeve të informacionit.

· Menaxhimi i personelit.

· Siguria fizike.

· Administrimi i sistemeve dhe rrjeteve kompjuterike.

· Kontrollimi i aksesit në sisteme.

· Zhvillimi dhe mirëmbajtja e sistemeve.

· Planifikimi i funksionimit pa probleme të organizatës.

· Kontrollimi i sistemit për përputhjen me kërkesat e IS.

Pjesa 2: Specifikimi i Sistemit (1998) trajton të njëjtat aspekte nga pikëpamja e certifikimit të një sistemi informacioni për përputhjen me kërkesat e standardit.

Ai përcakton specifikimet e mundshme funksionale të sistemeve të menaxhimit të sigurisë së informacionit të korporatës nga pikëpamja e verifikimit të tyre për përputhjen me kërkesat e pjesës së parë të këtij standardi. Në përputhje me dispozitat e këtij standardi, rregullohet edhe procedura për auditimin e sistemeve të korporatave informative.

· Menaxhimi i sigurisë së informacionit: një hyrje.

· Mundësi certifikimi për kërkesat e BS 7799 - Përgatitja për certifikimin BS 7799.

· Udhëzues për vlerësimin dhe menaxhimin e rrezikut BS 7799.

· A jeni gati për një auditim BS 7799 - A jeni gati për një auditim BS 7799?

· Udhëzues për auditimin për kërkesat e standardit - BS 7799 Guide to BS 7799 auditing.

Sot, komiteti ndërkombëtar Komiteti i Përbashkët Teknik ISO / IEC JTC 1 së bashku me Institutin Britanik të Standardeve (BSI), dhe në veçanti shërbimin UKAS (Shërbimi i Akredituar i Mbretërisë së Bashkuar). Shërbimi i emëruar akrediton organizatat për auditimin e sigurisë së informacionit në përputhje me BS ISO / IEC 7799: 2000 (BS 7799-1: 2000). Certifikatat e lëshuara nga këto organe njihen në shumë vende.

Vini re se në rastin e certifikimit të një kompanie sipas standardeve ISO 9001 ose ISO 9002, standardi BS ISO / IEC 7799: 2000 (BS 7799-1: 2000) ju lejon të kombinoni certifikimin e sistemit të sigurisë së informacionit me certifikimin për përputhje me ISO 9001 ose 9002 standarde si në fazën fillestare dhe gjatë kontrolleve të kontrollit. Për ta bërë këtë, është e nevojshme të plotësohet kushti i pjesëmarrjes në certifikimin e kombinuar të një auditori të regjistruar sipas BS ISO / IEC 7799: 2000 (BS 7799-1: 2000). Në të njëjtën kohë, planet e përbashkëta të testimit duhet të tregojnë qartë procedurat për kontrollin e sistemit të sigurisë së informacionit dhe autoritetet certifikuese duhet të sigurojnë që verifikimi i sigurisë së informacionit të jetë i plotë.

2.5 Standardi ndërkombëtar ISO 17799

Një nga më të zhvilluarat dhe më të përdorurit në të gjitha vendet e botës është standardi ndërkombëtar ISO 17799:

Kodi i Praktikës për Menaxhimin e Sigurisë së Informacionit, i miratuar në 2000. ISO 17799 u zhvillua nga standardi britanik BS 7799.

ISO 17799 mund të përdoret si kriter për vlerësimin e mekanizmave të sigurisë në nivel organizativ, duke përfshirë masat mbrojtëse administrative, procedurale dhe fizike.

Rregullat e përgjithshme ndahen në 10 seksionet e mëposhtme:

1. Politika e sigurisë.

2. Organizimi i mbrojtjes.

3. Klasifikimi i burimeve dhe kontrolli i tyre.

4. Siguria e personelit.

5. Siguria fizike.

6. Administrimi i sistemeve kompjuterike dhe i rrjeteve kompjuterike.

7. Kontrolli i aksesit.

8. Zhvillimi dhe mirëmbajtja e sistemeve të informacionit.

9. Planifikimi i funksionimit normal të organizatës.

10. Monitorimi i përputhshmërisë me kërkesat e politikave të sigurisë.

Dhjetë kontrollet e propozuara në ISO 17799 (të identifikuara si kyçe) konsiderohen veçanërisht të rëndësishme. Kontrollet në këtë kontekst kuptohen si mekanizma për menaxhimin e sigurisë së informacionit të një organizate.

Disa nga kontrollet, si kriptimi i të dhënave, mund të kërkojnë këshilla sigurie dhe vlerësim të rrezikut për të përcaktuar nëse janë të nevojshme dhe si duhet të zbatohen. Për të siguruar një nivel më të lartë mbrojtjeje për burime veçanërisht të vlefshme ose për të kundërshtuar kërcënimet veçanërisht serioze të sigurisë, në disa raste, mund të kërkohen kontrolle më të forta që shkojnë përtej fushëveprimit të ISO 17799.

Kontrollet e mëposhtme janë kyçe:

· Dokument mbi politikën e sigurisë së informacionit;

· Shpërndarja e përgjegjësive për garantimin e sigurisë së informacionit;

· Edukimi dhe trajnimi i personelit për ruajtjen e regjimit të sigurisë së informacionit;

· Njoftimi i rasteve të shkeljes së mbrojtjes;

· Mjetet e mbrojtjes kundër viruseve;

Dokumente të ngjashme

Detyrat që zgjidhen gjatë auditimit të sigurisë së sistemit të informacionit. Fazat e një auditimi ekspert. Testi i depërtimit (pentest) në sistemin e informacionit: objektet, fazat. Objektivat e auditimit të web-aplikacioneve. Auditimi për pajtueshmërinë me standardet.

raporti i praktikës, shtuar më 22/09/2011

Doktrina e Sigurisë së Informacionit të Federatës Ruse. Kontrollimi i sistemeve të informacionit të përdorura nga kompania me vlerësimin e mëvonshëm të rreziqeve të dështimeve në funksionimin e tyre. Ligji për të Dhënat Personale. Ndarja e auditimit aktiv në të jashtëm dhe të brendshëm.

prezantimi u shtua më 27.01.2011

Koncepti i auditimit të sistemeve të informacionit, objektet e tij. Rreziqet që lidhen me sistemin e informacionit të subjektit të audituar, klasifikimin dhe treguesit e vlerësimit të tyre. Reduktimi i rreziqeve gjatë auditimit të sistemeve të informacionit. Burimet e rreziqeve të mundshme.

artikull i shtuar më 12/05/2013

Drejtimet kryesore të veprimtarisë në fushën e kontrollit të sigurisë së informacionit si një kontroll i përputhshmërisë së organizatës dhe efektivitetit të mbrojtjes së informacionit me kërkesat dhe/ose standardet e vendosura. Fazat e një auditimi ekspert. Koncepti i auditimit të dhomave të ndara.

leksion i shtuar me 10.08.2013

Bazat metodologjike të auditimit. Metodat për organizimin e auditimeve. Klasifikimi i metodave të auditimit. Llojet dhe burimet e marrjes së tyre. Qasjet metodologjike ndaj teknikave të auditimit. Metodat e auditimit rregullator.

punim afatshkurtër, shtuar 17.06.2008

Objektivat e auditimit të cilësisë. Fazat e auditimit të brendshëm. Sigurimi i plotësisë së auditimit. Teknologjia e kontrollit të sistemit të cilësisë. Klasifikimi i moskonformiteteve sipas rëndësisë së tyre. Takimet e angazhimit në grup. Veprimet vijuese pas auditimit.

abstrakt, shtuar 26.03.2014

Koncepti dhe llojet e auditimit. Përmbajtja e planit dhe programit të përgjithshëm të auditimit. Dokumentimi dhe përgatitja e një plani të përgjithshëm auditimi. Kontrollimi i përgatitjes së pasqyrave financiare. Kontrolli i korrektësisë së politikës tatimore të shoqërisë.

punim afatshkurtër, shtuar 12/04/2011

Organizimi i infrastrukturës së informacionit. Analiza e nivelit të informatizimit të institucioneve arsimore. Problemet, qëllimet dhe metodat e auditimit të infrastrukturës IT. Analizimi i nivelit të licencimit të softuerit në një institucion arsimor.

punim afatshkurtër, shtuar 08/09/2012

Aspekte teorike të auditimit të aseteve fikse. Koncepti i auditimit dhe procedura e zbatimit të tij për aktivet fikse. Dokumentet primare për verifikimin e aseteve fikse. Shembuj të auditimit dhe kornizës ligjore. Rishikimi i metodave për auditimin e aseteve fikse.

tezë, shtuar 09/01/2008

Kontrolli i cilësisë së auditimit të brendshëm. Kërkesat për sigurimin e cilësisë së brendshme të punës gjatë auditimit. Forma dhe përmbajtja e standardeve të brendshme të organizatës audituese: një listë standardesh, dispozita mbi metodologjinë e auditimit.

Në botën moderne, sistemet e informacionit (IS) luajnë një rol kyç në sigurimin e efikasitetit të organizatave tregtare dhe qeveritare. IC-të përdoren për të ruajtur, përpunuar dhe transmetuar informacion. Çdo ditë numri i kërcënimeve të jashtme dhe të brendshme për sigurinë e informacionit (IS) po rritet, gjë që mund të çojë në humbje të konsiderueshme financiare dhe të reputacionit.

Auditimi i sigurisë së informacionit (IS) është një proces jashtëzakonisht i rëndësishëm që ju lejon të merrni informacion objektiv në lidhje me gjendjen aktuale të mjeteve të sigurisë së informacionit në një ndërmarrje, për të vlerësuar shkallën e mbrojtjes së të dhënave dhe sistemeve të TI-së, përputhshmërinë e tyre me kërkesa dhe kritere të caktuara. Auditimi i IS kryhet si si faza e parë në zbatimin e zgjidhjeve të sigurisë së informacionit, ashtu edhe në disa raste jashtë projektit, kur kërkohet të merret një vlerësim i pavarur i sigurisë reale të sistemeve. Një auditim bën të mundur identifikimin e kërcënimeve dhe problemeve paraprakisht për të përcaktuar më tej metodat për eliminimin e tyre dhe mund të rrisë ndjeshëm nivelin e sigurisë dhe përputhjen e mjeteve mbrojtëse me nevojat reale të biznesit. Pra, sipas ekspertëve, kryerja e auditimeve të paplanifikuara mund të kursejë deri në 20% të kohës dhe 15% të burimeve materiale për sigurinë e informacionit, duke përcaktuar pikat e aplikimit të përpjekjeve dhe zgjidhjet optimale.

Bazuar në përcaktimin e qëllimeve, AST ofron shërbime për kryerjen e tre llojeve kryesore të auditimeve të sigurisë së informacionit:

Auditimi i ekspertëve, brenda të cilit vlerësohet gjendja aktuale e sistemeve dhe mjeteve mbrojtëse, identifikohen mangësitë dhe dobësitë.
Auditimi i përputhshmërisë, i cili vlerëson përputhshmërinë e kontrolleve të sigurisë me standardet e kërkuara ndërkombëtare dhe të industrisë.
Testimi i penetrimit, gjatë të cilit simulohen veprimet e një sulmuesi që synojnë kryerjen e një sulmi të suksesshëm. Qëllimi i një auditimi të tillë është të rrisë sigurinë duke identifikuar dhe më pas eliminuar vektorët e vërtetë të sulmit.

Kontrolli kryhet në disa faza:

Përcaktimi i objektivave të projektit. Mblidhen informacionet fillestare për objektet e mbrojtura, informacioni dhe kriteret e vlerësimit, ndërmerren veprime organizative për përgatitjen e auditimit.
Marrëveshje për kushtet dhe kufijtë e testimit të depërtimit (të jashtme / të brendshme, kutia e bardhë / kutia e zezë, koha / koha, kufijtë e zhytjes dhe parametra të tjerë të rëndësishëm)
Anketa dhe përpunimi i rezultateve. Mbledhja e të gjithë kompleksit të të dhënave për burimet, sistemet e mjeteve të mbrojtjes, masat organizative në fushën e sigurisë së informacionit, etj. Bazuar në rezultatet, zhvillohet raportimi i konsoliduar, i cili përbën bazën për kryerjen e analizës së rrezikut, analizimin e pajtueshmërisë me kërkesat dhe zhvillimin e rekomandimeve.
Kryerja e testimit manual të depërtimit.
Analiza e riskut. Një procedurë gjithëpërfshirëse për vlerësimin e nivelit të sigurisë së sistemeve të informacionit, duke marrë parasysh si informacionin e dhënë ashtu edhe rezultatet e testimit të depërtimit (vektorët aktualë të sulmit). Procedura parashikon zhvillimin e një modeli kërcënimi dhe një modeli të ndërhyrësve.
Analiza e përputhshmërisë me standardet dhe kërkesat e standardeve dhe dokumenteve rregullatore. Si rezultat, përputhshmëria ose konfirmohet, ose në fazën e zhvillimit të rekomandimeve, përcaktohen mënyra për rregullimin e mirë të sistemeve të sigurisë së informacionit në nivelin e kërkuar të sigurisë.
Zhvillimi i rekomandimeve. Ato bazohen në të gjithë kompleksin e informacionit, analitikës dhe përfundimeve të marra si rezultat i anketës. Rekomandimet mbulojnë të gjithë gamën e masave të nevojshme organizative dhe teknike për të siguruar nivelin e kërkuar të sigurisë së informacionit.

Objektet e auditimit të IS mund të jenë si përbërës individualë të sistemeve dhe infrastrukturës së IT të kompanisë, ashtu edhe i gjithë kompleksi i zgjidhjeve të TI-së që përmbajnë informacione që i nënshtrohen mbrojtjes.