Cum se efectuează un audit de securitate a informațiilor. Auditul securității informațiilor: obiective, metode și mijloace, exemplu. Auditul securității informațiilor bancare
Mulți și-au pus probabil întrebarea „cum se efectuează un audit de securitate a informațiilor?” unde sa încep? ce tehnica ar trebui sa folosesc? există software specializat pentru asta? Ce programe gratuite există pentru asta?
Astăzi vă vom prezenta un produs de la Microsoft care vă permite să efectuați un audit de securitate a informațiilor, Microsoft Security Assessment Tool (MSAT). Produsul vă permite să identificați riscurile de securitate a informațiilor într-un sistem existent și să oferiți recomandări pentru eliminarea acestora. Potrivit creatorilor, aplicația este concepută pentru organizațiile cu mai puțin de 1.000 de angajați și, de asemenea, vă va ajuta să înțelegeți mai bine personalul, procesele, resursele și tehnologiile menite să asigure planificarea eficientă a activităților de securitate și implementarea metodelor de reducere a riscurilor în organizare. Cel mai bine, aplicația este gratuită și poate fi descărcată de pe site-ul dezvoltatorului. Acest produs poate fi folosit ca chestionar pentru specialiștii IT, HR și specialiștii în securitatea informațiilor.
Pe parcursul procedurii de evaluare a riscurilor, pe baza răspunsurilor la întrebări, mediul IT va fi verificat pentru principalele domenii de amenințări la securitatea informațiilor. Evaluarea folosește conceptul de apărare în profunzime (DiD) pentru a determina eficacitatea strategiei de securitate. Conceptul de „apărare în profunzime” se referă la implementarea apărării pe mai multe straturi, inclusiv controale tehnice, organizaționale și operaționale. Instrumentul de evaluare se bazează pe standarde general acceptate și pe cele mai bune practici menite să reducă riscul în sistemele de tehnologie a informației. Procesul de evaluare poate fi repetat și poate fi folosit și pentru a verifica progresul către obiectivele de securitate organizațională în infrastructura IT.
Pentru a identifica amenințările de securitate în sistemul IT al organizației dvs., anumite domenii de analiză vor evalua politicile privind riscul pentru afaceri, tehnologie, procese și oameni. Odată ce evaluarea este finalizată, vor fi furnizate recomandări pentru gestionarea acestor riscuri pe baza celor mai bune practici recunoscute în industrie. Aceste ghiduri sunt menite să ofere îndrumări preliminare pentru a vă ajuta organizația să implementeze cele mai bune practici IT recunoscute de industrie.
O evaluare a riscurilor constă din două părți: profilul de risc de afaceri (BRP) și evaluarea (cuprinzând patru domenii de analiză). PSR-urile reprezintă pericole comune cu care se confruntă o companie. Odată ce această evaluare este finalizată, ea rămâne neschimbată până când sunt aduse modificări fundamentale în sistemul IT al companiei. Puteți completa și salva mai multe evaluări. Aceste estimări pot și ar trebui să se schimbe în timp pe măsură ce sunt implementate măsuri avansate de securitate.
Deci, să vedem, mai întâi creați un profil:
Și completați răspunsurile la întrebări; pe măsură ce le completați, butoanele devin verzi:
După completarea primului bloc de întrebări despre parametrii companiei, faceți clic pe: „Crearea unei noi evaluări”
După aceea, completăm întrebări despre infrastructura IT, personalul și managementul proceselor de afaceri:
După răspunsuri, așteptați pictograma „Rapoarte”.
Raportul poate fi salvat ca *.docs sau vizualizat în aplicație. Citim toate concluziile, facem recomandări bazate pe cele mai bune practici mondiale și le prezentăm conducerii pentru a conveni asupra unui plan de lucru sau a justifica achiziționarea de echipamente de securitate a informațiilor)))))
Astăzi toată lumea știe fraza aproape sacră că cel care deține informațiile deține lumea. De aceea, în timpul nostru, toată lumea încearcă să fure. În acest sens, se fac măsuri fără precedent pentru a introduce protecție împotriva posibilelor atacuri. Cu toate acestea, uneori poate fi necesar să se efectueze un audit al întreprinderii. Ce este asta și de ce este nevoie de toate acestea? Să încercăm să ne dăm seama acum.
Ce este un audit de securitate a informațiilor în definiție generală?
Acum nu vom atinge termeni științifici abstruși, ci vom încerca să definim conceptele de bază pentru noi înșine, descriindu-le în cel mai simplu limbaj (în mod popular, acesta ar putea fi numit un audit pentru „manichi”).
Numele acestui set de evenimente vorbește de la sine. Un audit de securitate a informațiilor este o verificare sau asigurare independentă a securității sistemului informațional (IS) al oricărei întreprinderi, instituții sau organizații pe baza unor criterii și indicatori special dezvoltați.
În termeni simpli, de exemplu, un audit al securității informațiilor unei bănci se rezumă la evaluarea nivelului de protecție a bazelor de date cu clienți, a operațiunilor bancare în desfășurare, a siguranței fondurilor electronice, a siguranței secretului bancar etc. în cazul intervenției în activitățile instituției de către persoane neautorizate din exterior folosind mijloace electronice și informatice.
Cu siguranță, printre cititori va fi cel puțin o persoană care a primit un apel acasă sau pe telefonul mobil cu o ofertă de a solicita un împrumut sau un depozit, și de la o bancă cu care nu are nicio legătură. Același lucru este valabil și pentru ofertele de cumpărături din unele magazine. De unde a venit numarul tau?
E simplu. Dacă o persoană a contractat anterior un împrumut sau a depus bani într-un cont de depozit, desigur, datele sale au fost salvate într-un singur. Când suna de la o altă bancă sau magazin, se poate trage singura concluzie: informațiile despre el au căzut ilegal în mâinile terțe . Cum? În general, se pot distinge două opțiuni: fie a fost furat, fie angajații băncii l-au transferat cu bună știință unor terți. Pentru a preveni astfel de lucruri, este necesar să se efectueze un audit în timp util al securității informațiilor băncii, iar acest lucru se aplică nu numai măsurilor de securitate informatică sau „hardware”, ci și întregului personal al instituției bancare.
Direcții principale de audit al securității informațiilor
În ceea ce privește domeniul de aplicare al unui astfel de audit, de regulă, există mai multe distincții:
- inspecția completă a obiectelor implicate în procesele de informatizare (sisteme informatice automatizate, mijloace de comunicare, recepție, transmitere și prelucrare a datelor informaționale, mijloace tehnice, spații pentru întâlniri confidențiale, sisteme de supraveghere etc.);
- verificarea fiabilității protecției informațiilor confidențiale cu acces limitat (identificarea posibilelor canale de scurgere și a potențialelor găuri în sistemul de securitate care permit accesul la acestea din exterior folosind metode standard și nestandard);
- verificarea tuturor echipamentelor tehnice electronice și a sistemelor informatice locale pentru expunerea la radiații electromagnetice și interferențe, permițându-le să fie dezactivate sau inutilizabile;
- partea de proiectare, care include lucrări de creare a unui concept de securitate și aplicarea acestuia în practică (protecția sistemelor informatice, a spațiilor, a comunicațiilor etc.).
Când devine necesară efectuarea unui audit?
Ca să nu mai vorbim de situațiile critice în care protecția a fost deja încălcată, un audit de securitate a informațiilor într-o organizație poate fi efectuat în alte cazuri.
De regulă, acestea includ extinderea companiei, fuziuni, achiziții, încorporare de către alte întreprinderi, modificări ale conceptului de curs sau management al afacerii, modificări ale legislației internaționale sau ale actelor juridice dintr-o anumită țară și schimbări destul de grave în infrastructura informațională.
Tipuri de audit
Astăzi, însăși clasificarea acestui tip de audit, potrivit multor analiști și experți, nu este stabilită. Prin urmare, împărțirea în clase în unele cazuri poate fi foarte condiționată. Cu toate acestea, în general, auditurile de securitate a informațiilor pot fi împărțite în externe și interne.
Un audit extern, efectuat de experți independenți care au dreptul să facă acest lucru, este de obicei o inspecție unică care poate fi inițiată de conducerea întreprinderii, acționari, agenții de aplicare a legii etc. Se consideră că un audit extern de securitate a informațiilor se recomandă (nu este obligatoriu) să fie efectuat cu regularitate pe o perioadă de timp specificată. Dar pentru unele organizații și întreprinderi, conform legii, este obligatoriu (de exemplu, instituții și organizații financiare, societăți pe acțiuni etc.).
Securitatea informațiilor este un proces continuu. Se bazează pe un „Regulament special privind auditul intern”. Ce este? În esență, acestea sunt evenimente de certificare desfășurate în organizație într-un interval de timp aprobat de conducere. Auditurile de securitate a informațiilor sunt efectuate de unități structurale speciale ale întreprinderii.
Clasificare alternativă a tipurilor de audit
Pe lângă împărțirea în clase descrisă mai sus în cazul general, putem distinge mai multe componente adoptate în clasificarea internațională:
- verificarea de către experți a stării de securitate a informațiilor și a sistemelor informaționale pe baza experienței personale a experților care o desfășoară;
- certificarea sistemelor și măsurilor de securitate pentru conformitatea cu standardele internaționale (ISO 17799) și documentele legale guvernamentale care reglementează acest domeniu de activitate;
- analiza securității sistemelor informaționale folosind mijloace tehnice, care vizează identificarea potențialelor vulnerabilități în complexul hardware și software.
Uneori poate fi folosit un așa-numit audit cuprinzător, care include toate tipurile de mai sus. Apropo, el este cel care dă cele mai obiective rezultate.
Stabilirea scopurilor si obiectivelor
Orice audit, fie intern sau extern, începe cu stabilirea scopurilor și obiectivelor. Pentru a spune simplu, trebuie să determinați de ce, ce și cum va fi verificat. Aceasta va predetermina metodologia ulterioară pentru realizarea întregului proces.
Sarcinile atribuite, în funcție de structura specifică a întreprinderii în sine, organizație, instituție și activitățile acesteia, pot fi destul de numeroase. Totuși, printre toate acestea, se disting obiectivele unificate ale unui audit de securitate a informațiilor:
- evaluarea stării de securitate a informațiilor și a sistemelor informaționale;
- analiza posibilelor riscuri asociate cu amenințarea pătrunderii în IP din exterior și a posibilelor metode de efectuare a unor astfel de interferențe;
- localizarea găurilor și golurilor în sistemul de securitate;
- analiza conformității nivelului de securitate al sistemelor informaționale cu standardele și reglementările în vigoare;
- elaborarea și emiterea de recomandări care implică eliminarea problemelor existente, precum și îmbunătățirea mijloacelor de protecție existente și introducerea de noi dezvoltări.
Metodologia și mijloacele de realizare a unui audit
Acum câteva cuvinte despre modul în care are loc verificarea și ce etape și mijloacele include.
Efectuarea unui audit de securitate a informațiilor constă în mai multe etape principale:
- inițierea unei proceduri de audit (definirea în mod clar a drepturilor și responsabilităților auditorului, pregătirea unui plan de audit de către auditor și convenirea cu conducerea, rezolvarea problemei limitelor studiului, impunerea unei obligații angajaților organizației de a asista și de a furniza în timp util informatie necesara);
- colectarea datelor inițiale (structura sistemului de securitate, distribuția mijloacelor de securitate, nivelurile de funcționare a sistemului de securitate, analiza metodelor de obținere și furnizare a informațiilor, determinarea canalelor de comunicare și interacțiunea SI cu alte structuri, ierarhia utilizatorilor rețelei de calculatoare, definirea protocoalelor etc.);
- efectuarea unei inspecții complete sau parțiale;
- analiza datelor primite (analiza riscurilor de orice tip și respectarea standardelor);
- emiterea de recomandări pentru eliminarea eventualelor probleme;
- crearea documentației de raportare.
Prima etapă este cea mai simplă, deoarece decizia sa se ia exclusiv între conducerea întreprinderii și auditor. Sfera analizei poate fi discutată în cadrul unei adunări generale a angajaților sau a acționarilor. Toate acestea se referă într-o măsură mai mare la domeniul juridic.
A doua etapă de colectare a datelor inițiale, indiferent dacă se efectuează un audit intern de securitate a informațiilor sau o certificare externă independentă, este cea mai consumatoare de resurse. Acest lucru se datorează faptului că în această etapă este necesar nu numai să se studieze documentația tehnică referitoare la întregul complex software și hardware, ci și să se efectueze interviuri strict concentrate cu angajații companiei și, în majoritatea cazurilor, chiar și cu completarea chestionarelor speciale. sau chestionare.
În ceea ce privește documentația tehnică, este important să se obțină date privind structura IP și nivelurile de prioritate ale drepturilor de acces pentru angajați, pentru a determina software-ul la nivel de sistem și aplicații (sisteme de operare utilizate, aplicații pentru afaceri, management și contabilitate), precum precum și instrumente de protecție software instalate și de tip non-software (antivirusuri, firewall-uri etc.). În plus, aceasta include o verificare completă a rețelelor și a furnizorilor care furnizează servicii de comunicații (organizarea rețelei, protocoalele utilizate pentru conectare, tipurile de canale de comunicație, metodele de transmitere și recepție a fluxurilor de informații și multe altele). După cum este deja clar, acest lucru necesită destul de mult timp.
În etapa următoare, sunt determinate metodele de audit al securității informațiilor. Sunt trei dintre ele:
- analiza riscului (tehnica cea mai complexă bazată pe determinarea de către auditor a posibilității de pătrundere în PI și încălcarea integrității acestuia folosind toate metodele și mijloacele posibile);
- evaluarea conformității cu standardele și legislația (cea mai simplă și mai practică metodă, bazată pe o comparație între starea actuală și cerințele standardelor internaționale și documentelor interne în domeniul securității informațiilor);
- o metodă combinată care combină primele două.
După primirea rezultatelor testului, începe analiza acestora. Instrumentele de audit al securității informațiilor care sunt utilizate pentru analiză pot fi destul de diverse. Totul depinde de specificul activităților întreprinderii, tipul de informații, software-ul utilizat, instrumentele de securitate etc. Totuși, așa cum se poate observa din prima metodă, auditorul va trebui să se bazeze în principal pe propria experiență.
Aceasta înseamnă doar că trebuie să aibă calificări adecvate în domeniul tehnologiei informației și al protecției datelor. Pe baza acestei analize, auditorul calculează posibilele riscuri.
Vă rugăm să rețineți că el trebuie să înțeleagă nu numai sistemele de operare sau programele utilizate, de exemplu, pentru a face afaceri sau contabilitate, ci și să înțeleagă clar modul în care un atacator poate pătrunde într-un sistem informațional cu scopul de a fura, deteriora și distruge date, creând condiții prealabile pentru încălcări. în funcționarea computerelor, răspândirea virușilor sau a programelor malware.
Pe baza analizei, expertul face o concluzie despre starea de protectie si face recomandari pentru eliminarea problemelor existente sau posibile, modernizarea sistemului de securitate etc. În același timp, recomandările nu trebuie să fie doar obiective, ci și clar legate de realitățile specifice ale întreprinderii. Cu alte cuvinte, sfaturi privind actualizarea configurațiilor computerului sau a software-ului nu vor fi acceptate. Acest lucru este valabil și pentru sfaturile privind concedierea angajaților „nesiguri”, instalarea de noi sisteme de urmărire fără a indica în mod specific scopul, locația instalării și fezabilitatea acestora.
Pe baza analizei, de regulă, se disting mai multe grupuri de riscuri. În acest caz, doi indicatori principali sunt utilizați pentru alcătuirea unui raport de sinteză: probabilitatea unui atac și prejudiciul cauzat companiei ca urmare (pierderea de active, scăderea reputației, pierderea imaginii etc.). Cu toate acestea, indicatorii pentru grupuri nu sunt aceiași. Deci, de exemplu, un indicator de nivel scăzut pentru probabilitatea de atac este cel mai bun. Pentru daune este invers.
Abia după aceasta se întocmește un proces-verbal, care detaliază toate etapele, metodele și mijloacele cercetării efectuate. Este convenit cu conducerea și semnat de două părți - întreprinderea și auditorul. Dacă auditul este intern, un astfel de raport este întocmit de șeful unității structurale relevante, după care acesta, din nou, este semnat de șeful.
Auditul securității informațiilor: exemplu
În cele din urmă, să ne uităm la cel mai simplu exemplu de situație care sa întâmplat deja. Apropo, poate părea foarte familiar pentru mulți.
De exemplu, un anumit angajat al unei companii angajate în achiziții în SUA a instalat messengerul ICQ pe computerul său (numele angajatului și numele companiei nu sunt menționate din motive evidente). Negocierile au fost purtate tocmai prin acest program. Dar ICQ este destul de vulnerabil din punct de vedere al securității. La înregistrarea numărului, angajatul fie nu avea o adresă de e-mail la acel moment, fie pur și simplu nu a vrut să o dea. În schimb, a indicat ceva asemănător cu un e-mail, chiar și cu un domeniu inexistent.
Ce ar face un atacator? După cum a arătat un audit de securitate a informațiilor, acesta ar fi înregistrat exact același domeniu și ar fi creat un alt terminal de înregistrare în el, după care ar fi putut trimite un mesaj companiei Mirabilis, care deține serviciul ICQ, cu o cerere de restabilire a parolei datorate. la pierderea acesteia (ceea ce s-ar fi făcut). Deoarece serverul destinatarului nu era un server de e-mail, a fost activată o redirecționare pe acesta - redirecționare către e-mail-ul existent al atacatorului.
Ca urmare, el are acces la corespondența cu numărul ICQ specificat și informează furnizorul despre o schimbare a adresei destinatarului mărfurilor într-o anumită țară. Astfel, marfa este trimisă către o destinație necunoscută. Și acesta este cel mai inofensiv exemplu. Da, huliganism mărunt. Ce putem spune despre hackeri mai serioși care sunt capabili de mult mai mult...
Concluzie
Pe scurt, asta este tot ceea ce înseamnă auditurile de securitate IP. Desigur, nu toate aspectele sale sunt atinse aici. Singurul motiv este că stabilirea sarcinilor și metodele de implementare a acesteia sunt influențate de mulți factori, astfel încât abordarea în fiecare caz specific este strict individuală. În plus, metodele și mijloacele de auditare a securității informațiilor pot fi diferite pentru diferite sisteme de informații. Cu toate acestea, se pare că principiile generale ale unor astfel de verificări vor deveni clare pentru mulți, cel puțin la nivelul inițial.
Introducere
Auditul este o formă de control independent, neutru al oricărui domeniu de activitate al unei întreprinderi comerciale, utilizată pe scară largă în practicarea unei economii de piață, în special în domeniul contabilității. Nu mai puțin important din punctul de vedere al dezvoltării generale a unei întreprinderi este auditul de securitate al acesteia, care include o analiză a riscurilor asociate cu posibilitatea amenințărilor de securitate, în special în ceea ce privește resursele informaționale, evaluarea nivelului actual de securitate al sisteme informaționale (SI), localizarea blocajelor în sistemul de protecție a acestora, evaluarea conformității IP cu standardele existente în domeniul securității informațiilor și elaborarea de recomandări pentru introducerea de noi și creșterea eficacității mecanismelor de securitate IP existente.
Dacă vorbim despre scopul principal al unui audit de securitate a informațiilor, atunci acesta poate fi definit ca evaluarea nivelului de securitate al sistemului informațional al unei întreprinderi pentru a-l gestiona în ansamblu, ținând cont de perspectivele de dezvoltare a acestuia.
În condițiile moderne, când sistemele informaționale pătrund în toate domeniile activităților unei întreprinderi și având în vedere necesitatea conexiunii lor la Internet, sunt deschise amenințărilor interne și externe, problema securității informațiilor devine nu mai puțin importantă decât securitatea economică sau fizică.
În ciuda importanței problemei luate în considerare pentru formarea specialiștilor în securitatea informațiilor, aceasta nu a fost încă inclusă ca un curs separat în programele existente și nu a fost discutată în manuale și materiale didactice. Acest lucru s-a datorat lipsei cadrului de reglementare necesar, a specialiștilor nepregătiți și a experienței practice insuficiente în domeniul auditurilor de securitate a informațiilor.
Structura generală a lucrării include următoarea succesiune de aspecte luate în considerare:
descrie un model pentru construirea unui sistem de securitate a informațiilor (IS) care ia în considerare amenințările, vulnerabilitățile, riscurile și contramăsurile luate pentru a le reduce sau preveni;
sunt luate în considerare metode de analiză și management al riscului;
sunt schițate conceptele de bază ale unui audit de securitate și sunt descrise obiectivele implementării acestuia;
analizează principalele standarde internaționale și rusești utilizate în efectuarea auditurilor de securitate a informațiilor;
arată posibilitățile de utilizare a software-ului pentru a efectua audituri de securitate a informațiilor;
Alegerea structurii descrise a manualului s-a făcut cu scopul de a maximiza orientarea elevului către utilizarea practică a materialului în cauză, în primul rând, la studierea unui curs de curs, în al doilea rând, la cursul unei pregătiri practice (analiza stării informației). securitate la o întreprindere), în al treilea rând, la efectuarea de cursuri și lucrări de diplomă.
Materialul prezentat poate fi util managerilor și angajaților serviciilor de securitate și ai serviciilor de protecție a informațiilor unei întreprinderi pentru pregătirea și efectuarea intern și justificarea necesității unui audit extern de securitate a informațiilor.
Capitolul I. Auditul de securitate și metodele de realizare a acestuia
1 Conceptul de audit de securitate
Un audit este o examinare independentă a anumitor domenii de funcționare a organizației. Există audituri externe și interne. Un audit extern este, de regulă, un eveniment unic, realizat la inițiativa conducerii organizației sau a acționarilor. Se recomandă efectuarea de audituri externe în mod regulat și, de exemplu, pentru multe organizații financiare și societăți pe acțiuni, aceasta este o cerință obligatorie din partea fondatorilor și acționarilor lor. Auditul intern este o activitate continuă care se desfășoară pe baza „Regulamentului privind auditul intern” și în conformitate cu planul, a cărui pregătire se realizează de către unitățile de servicii de securitate și se aprobă de conducerea organizației.
Obiectivele unui audit de securitate sunt:
analiza riscurilor asociate cu posibilitatea amenințărilor de securitate în raport cu resursele;
evaluarea nivelului actual de securitate IP;
localizarea blocajelor în sistemul de protecție IP;
evaluarea conformității IP cu standardele existente în domeniul securității informațiilor;
Un audit de securitate al unei întreprinderi (firmă, organizație) ar trebui considerat ca un instrument de management confidențial care exclude, în scopuri de conspirație, posibilitatea de a furniza informații despre rezultatele activităților sale către terți și organizații.
Pentru a efectua un audit de securitate al întreprinderii, se poate recomanda următoarea secvență de acțiuni.
1. Pregătirea pentru un audit de securitate:
selectarea obiectului de audit (firma, clădiri și spații individuale, sisteme individuale sau componente ale acestora);
alcătuirea unei echipe de auditori experți;
determinarea sferei și sferei de aplicare a auditului și stabilirea unor intervale de timp specifice pentru lucrări.
2.Efectuarea unui audit: analiza generală a stării de securitate a obiectului auditat; înregistrarea, colectarea și verificarea datelor statistice și a rezultatelor măsurătorilor instrumentale ale pericolelor și amenințărilor; evaluarea rezultatelor inspecției; întocmirea unui raport privind rezultatele inspecției pentru componente individuale. 3.Finalizarea auditului: intocmirea raportului final; elaborarea unui plan de acțiune pentru eliminarea blocajelor și neajunsurilor în asigurarea securității companiei. Pentru a efectua cu succes un audit de securitate trebuie să: participarea activă a conducerii companiei la implementarea acesteia; obiectivitatea și independența auditorilor (experților), competența și profesionalismul înalt a acestora; procedura de verificare clar structurata; implementarea activă a măsurilor propuse pentru asigurarea și consolidarea securității. Auditul de securitate, la rândul său, este un instrument eficient pentru evaluarea securității și managementul riscurilor. Prevenirea amenințărilor de securitate înseamnă și protejarea intereselor economice, sociale și informaționale ale întreprinderii. De aici putem concluziona că auditul de securitate devine un instrument de management economic. În funcție de volumul obiectelor întreprinderii analizate, sfera auditului este determinată: -auditul de securitate al intregii intreprinderi; -auditul de siguranță al clădirilor și spațiilor individuale (locații desemnate); -auditul echipamentelor și mijloacelor tehnice de tipuri și tipuri specifice; -auditul anumitor tipuri și domenii de activitate: economic, de mediu, informațional, financiar etc. Trebuie subliniat faptul că auditul se realizează nu din inițiativa auditorului, ci din inițiativa conducerii întreprinderii, care este principala parte interesată în această problemă. Sprijinul conducerii firmei este o conditie necesara pentru efectuarea unui audit. Un audit este un ansamblu de activități în care, pe lângă auditorul însuși, sunt implicați reprezentanți ai majorității diviziilor structurale ale companiei. Acțiunile tuturor participanților la acest proces trebuie coordonate. Prin urmare, în etapa de inițiere a procedurii de audit, trebuie rezolvate următoarele probleme organizatorice: drepturile și responsabilitățile auditorului trebuie să fie clar definite și documentate în fișele posturilor sale, precum și în reglementările privind auditul intern (extern); auditorul trebuie să pregătească și să convină cu conducerea unui plan de audit; Reglementările privind auditul intern ar trebui să prevadă, în special, că angajații întreprinderii sunt obligați să asiste auditorul și să furnizeze toate informațiile necesare auditului. La etapa de inițiere a procedurii de audit trebuie stabilite limitele anchetei. Dacă unele subsisteme informaționale ale întreprinderii nu sunt suficient de critice, ele pot fi excluse din sfera anchetei. Este posibil ca alte subsisteme să nu fie auditabile din cauza problemelor de confidențialitate. Limitele anchetei sunt determinate în următoarele categorii: Lista resurselor fizice, software și informaționale analizate. 2.Situri (localuri) care se încadrează în limitele anchetei. 3.Principalele tipuri de amenințări de securitate luate în considerare în timpul auditului. 4.Aspecte organizaționale (legislative, administrative și procedurale), fizice, software, hardware și alte aspecte ale securității care trebuie luate în considerare în timpul sondajului și prioritățile acestora (în ce măsură ar trebui luate în considerare). Planul și limitele auditului sunt discutate în cadrul unei ședințe de lucru, la care participă auditori, conducerea companiei și șefii diviziilor structurale. Pentru a înțelege auditul de securitate a informațiilor ca un sistem complex, modelul său conceptual prezentat în Fig. 1.1. Componentele principale ale procesului sunt evidențiate aici: obiect de audit: Scopul auditului: Orez. 1.1. Model conceptual de audit IS cerințe; metodele utilizate; interpreți; ordinea de conduită. Din punctul de vedere al organizării muncii la efectuarea unui audit de securitate a informațiilor, există trei etape fundamentale: 1.colectare de informații; 2.analiza datelor; 2 Metode de analiză a datelor în timpul auditului IS În prezent, sunt utilizate trei metode (abordări) principale pentru efectuarea unui audit, care diferă semnificativ una de cealaltă. Prima metodă, cea mai complexă, se bazează pe analiza riscului. Pe baza metodelor de analiză a riscurilor, auditorul determină pentru SI examinat un set individual de cerințe de securitate, care ia în considerare în cea mai mare măsură caracteristicile acestui SI, mediul său de operare și amenințările de securitate existente în acest mediu. Această abordare este cea mai intensivă în muncă și necesită cele mai înalte calificări ale auditorului. Calitatea rezultatelor auditului, în acest caz, este puternic influențată de metodologia utilizată pentru analiză și managementul riscului și de aplicabilitatea acesteia la acest tip de SI. A doua metodă, cea mai practică, se bazează pe utilizarea standardelor de securitate a informațiilor. Standardele definesc un set de bază de cerințe de securitate pentru o clasă largă de IP, care se formează ca urmare a unei generalizări a practicii mondiale. Standardele pot defini seturi diferite de cerințe de securitate, în funcție de nivelul de securitate IP care trebuie asigurat, afilierea acestuia (organizație comercială sau agenție guvernamentală) și scop (finanțe, industrie, comunicații etc.). În acest caz, auditorului i se cere să determine corect setul de cerințe standard care trebuie îndeplinite pentru acest IS. De asemenea, este necesară o metodologie pentru a evalua această conformitate. Datorită simplității sale (un set standard de cerințe pentru efectuarea unui audit este deja predeterminat de standard) și fiabilității (un standard este un standard și nimeni nu va încerca să-i conteste cerințele), abordarea descrisă este cea mai comună în practică (în special la efectuarea unui audit extern). Acesta permite, cu cheltuieli minime de resurse, să se tragă concluzii informate despre starea PA. A treia metodă, cea mai eficientă, presupune combinarea primelor două. Dacă se alege o abordare bazată pe analiza riscului pentru a efectua un audit de securitate, atunci următoarele grupuri de sarcini sunt de obicei efectuate în etapa de analiză a datelor de audit: Analiza resurselor IP, inclusiv resursele informaționale, software-ul și hardware-ul și resursele umane. 2.Analiza grupelor de sarcini rezolvate de sistem și procesele de afaceri. 3.Construirea unui model (informal) al resurselor IS care definește relațiile dintre informații, software, resurse tehnice și umane, locația relativă a acestora și metodele de interacțiune. 4.Evaluarea criticității resurselor informaționale, precum și a software-ului și hardware-ului. 5.Determinarea criticității resurselor, ținând cont de interdependența acestora. 6.Determinarea celor mai probabile amenințări de securitate la adresa resurselor IP și a vulnerabilităților de securitate care fac posibile aceste amenințări. 7.Evaluarea probabilității amenințărilor, amploarea vulnerabilităților și a daunelor cauzate organizației în cazul implementării cu succes a amenințărilor. 8.Determinarea mărimii riscurilor pentru fiecare triplet: amenințare - grup de resurse - vulnerabilitate. Setul de sarcini enumerat este destul de general. Pentru a le rezolva, pot fi utilizate diverse tehnici de analiză a riscurilor formale și informale, cantitative și calitative, manuale și automate. Esența abordării nu se schimbă. Evaluarea riscurilor se poate face folosind diverse scale calitative și cantitative. Principalul lucru este că riscurile existente sunt corect identificate și clasificate în funcție de gradul lor de criticitate pentru organizație. Pe baza unei astfel de analize, se poate dezvolta un sistem de măsuri prioritare pentru a reduce amploarea riscurilor la un nivel acceptabil. Atunci când efectuează un audit de securitate pentru conformitatea cu cerințele standardului, auditorul, bazându-se pe experiența sa, evaluează aplicabilitatea cerințelor standardului la IP examinat și conformitatea acestuia cu aceste cerințe. Datele privind conformitatea diferitelor domenii ale operațiunii IS cu cerințele standardului sunt de obicei prezentate sub formă de tabel. Tabelul arată ce cerințe de securitate nu sunt implementate în sistem. Pe baza acesteia, se trag concluzii cu privire la conformitatea IP examinată cu cerințele standardului și se dau recomandări pentru implementarea mecanismelor de securitate în sistem pentru a asigura o astfel de conformitate. 3 Analiza riscurilor informaționale ale întreprinderii Analiza riscurilor este locul unde ar trebui să înceapă construcția oricărui sistem de securitate a informațiilor și ceea ce este necesar pentru efectuarea unui audit de securitate a informațiilor. Include activități de supraveghere a securității întreprinderii pentru a determina ce resurse și de ce amenințări trebuie protejate, precum și în ce măsură anumite resurse au nevoie de protecție. Determinarea unui set de contramăsuri adecvate se realizează în timpul managementului riscului. Riscul este determinat de probabilitatea de deteriorare și de cantitatea daunelor cauzate resurselor sistemului informațional (IS) în cazul unei amenințări de securitate. Analiza riscurilor constă în identificarea riscurilor existente și evaluarea amplorii acestora (oferindu-le o evaluare calitativă sau cantitativă). Procesul de analiză a riscurilor presupune rezolvarea următoarelor sarcini: 1.Identificarea resurselor IP cheie. 2.Determinarea importanței anumitor resurse pentru organizație. 3.Identificarea amenințărilor de securitate existente și a vulnerabilităților care fac posibile amenințările. 4.Calculul riscurilor asociate cu implementarea amenințărilor de securitate. Resursele IP pot fi împărțite în următoarele categorii: resurse informaționale; software; mijloace tehnice (servere, stații de lucru, echipamente active de rețea etc.); resurse umane. În cadrul fiecărei categorii, resursele sunt împărțite în clase și subclase. Este necesar să se identifice doar acele resurse care determină funcționalitatea SI și sunt semnificative din punct de vedere al securității. Importanța (sau valoarea) unei resurse este determinată de valoarea prejudiciului cauzat dacă confidențialitatea, integritatea sau disponibilitatea acelei resurse este compromisă. Următoarele tipuri de daune sunt de obicei luate în considerare: datele au fost dezvăluite, modificate, șterse sau au devenit indisponibile; echipamentul a fost deteriorat sau distrus; integritatea software-ului este compromisă. Daunele pot fi cauzate unei organizații ca urmare a implementării cu succes a următoarelor tipuri de amenințări de securitate: atacuri locale și de la distanță asupra resurselor IS; dezastre naturale; erori sau acțiuni intenționate ale personalului IS; Defecțiuni ale CI cauzate de erori software sau defecțiuni hardware. Mărimea riscului poate fi determinată pe baza valorii resursei, a probabilității de apariție a amenințării și a mărimii vulnerabilității folosind următoarea formulă: costul resursei x probabilitatea amenințării Risc = magnitudinea vulnerabilității Sarcina managementului riscului este de a selecta un set rezonabil de contramăsuri pentru a reduce nivelurile de risc la un nivel acceptabil. Costul implementării contramăsurilor trebuie să fie mai mic decât valoarea posibilelor daune. Diferența dintre costul implementării contramăsurilor și amploarea posibilelor daune ar trebui să fie invers proporțională cu probabilitatea de a provoca daune. Abordarea bazată pe analiza riscurilor informaționale ale întreprinderii este cea mai semnificativă pentru practica de asigurare a securității informațiilor. Acest lucru se explică prin faptul că analiza riscurilor vă permite să gestionați eficient securitatea informațiilor unei întreprinderi. Pentru a face acest lucru, la începutul lucrării de analiză a riscurilor, este necesar să se determine ce anume este supus protecției în întreprindere, la ce amenințări este expusă și practicile de protecție. Analiza riscurilor se realizează pe baza scopurilor și obiectivelor imediate de protejare a unui anumit tip de informații confidențiale. Una dintre cele mai importante sarcini în cadrul protecției informațiilor este asigurarea integrității și disponibilității acestora. Trebuie avut în vedere faptul că o încălcare a integrității poate apărea nu numai ca urmare a unor acțiuni deliberate, ci și din mai multe alte motive: · defecțiuni ale echipamentelor care conduc la pierderea sau coruperea informațiilor; · impacturi fizice, inclusiv ca urmare a dezastrelor naturale; · erori în software (inclusiv caracteristici nedocumentate). Prin urmare, termenul „atac” este mai promițător pentru a înțelege nu numai impactul uman asupra resurselor informaționale, ci și impactul mediului în care funcționează sistemul de procesare a informațiilor întreprinderii. La efectuarea unei analize de risc, se dezvoltă următoarele: · strategie și tactici generale pentru un potențial contravenient pentru a conduce „operațiuni ofensive și operațiuni de luptă”; · posibile metode de efectuare a atacurilor asupra sistemului de prelucrare și protecție a informațiilor; · scenariu de desfășurare a acțiunilor ilegale; · caracteristicile canalelor de scurgere de informații și accesul neautorizat; · probabilitatea stabilirii contactului de informații (realizarea amenințărilor); · lista posibilelor infecții ale informațiilor; · modelul intrusului; · metodologia de evaluare a securității informațiilor. În plus, pentru a construi un sistem fiabil de securitate a informațiilor, este necesar: · identifica toate amenințările posibile la adresa securității informațiilor; · evaluează consecințele manifestării lor; · determina masurile si mijloacele de protectie necesare, tinand cont de cerintele documentelor de reglementare, economice · fezabilitate, compatibilitate și neconflict cu software-ul utilizat; · evaluează eficacitatea măsurilor și mijloacelor de protecție selectate. Orez. 1.2. Scenariul analizei resurselor informaționale Toate cele 6 etape ale analizei riscului sunt prezentate aici. În prima și a doua etapă se determină informații care constituie secret comercial pentru întreprindere și care trebuie protejate. Este clar că astfel de informații sunt stocate în anumite locuri și pe medii specifice și sunt transmise prin canale de comunicare. În același timp, factorul determinant în tehnologia de manipulare a informațiilor este arhitectura IS, care determină în mare măsură securitatea resurselor informaționale ale unei întreprinderi. A treia etapă a analizei riscului este construcția canalelor de acces, scurgerile sau impactul asupra resurselor informaționale ale principalelor noduri IS. Fiecare canal de acces este caracterizat de multe puncte din care informațiile pot fi „recuperate”. Ei sunt cei care reprezintă vulnerabilități și necesită utilizarea mijloacelor pentru a preveni impactul nedorit asupra informațiilor. A patra etapă de analiză a metodelor de protejare a tuturor punctelor posibile corespunde obiectivelor protecției și rezultatul acesteia ar trebui să fie o caracterizare a posibilelor lacune în apărare, inclusiv din cauza unei combinații nefavorabile de circumstanțe. La a cincea etapă, pe baza metodelor și mijloacelor cunoscute în prezent de depășire a liniilor defensive, se determină probabilitățile ca amenințările să se realizeze la fiecare dintre posibilele puncte de atac. În etapa finală, a șasea, se evaluează daunele aduse organizației în cazul fiecărui atac, ceea ce, împreună cu evaluările de vulnerabilitate, ne permite să obținem o listă ierarhizată a amenințărilor la adresa resurselor informaționale. Rezultatele lucrării sunt prezentate într-o formă convenabilă pentru perceperea și dezvoltarea lor de soluții pentru corectarea sistemului de securitate a informațiilor existent. Mai mult, fiecare resursă de informații poate fi expusă mai multor amenințări potențiale. De o importanță fundamentală este probabilitatea totală de acces la resursele informaționale, care constă în probabilitățile elementare de acces la punctele individuale ale fluxului de informații. Cantitatea de risc informațional pentru fiecare resursă este determinată ca produsul dintre probabilitatea unui atac asupra resursei, probabilitatea implementării și amenințarea și daunele cauzate de o invazie a informațiilor. Această lucrare poate folosi diferite moduri de cântărire a componentelor. Adăugarea riscurilor pentru toate resursele oferă valoarea riscului total pentru arhitectura SI adoptată și sistemul de securitate a informațiilor implementat în aceasta. Astfel, prin variarea opțiunilor de construire a unui sistem de securitate a informațiilor și a arhitecturii IS, devine posibil să se imagineze și să se ia în considerare diferite valori ale riscului total prin modificarea probabilității de apariție a amenințărilor. Aici, un pas foarte important este selectarea uneia dintre opțiuni în conformitate cu criteriul de decizie selectat. Un astfel de criteriu poate fi cantitatea acceptabilă de risc sau raportul dintre costurile de asigurare a securității informațiilor și riscul rezidual. La construirea sistemelor de securitate a informațiilor, este, de asemenea, necesar să se determine o strategie de management al riscului pentru întreprindere. Astăzi există mai multe abordări ale managementului riscului. Una dintre cele mai frecvente este reducerea riscului prin utilizarea metodelor și mijloacelor de protecție adecvate. Similar în esență este abordarea asociată cu aversiunea la risc. Se știe că unele clase de riscuri pot fi evitate: de exemplu, mutarea serverului Web al unei organizații în afara rețelei locale evită riscul accesului neautorizat la rețeaua locală de către clienții Web. În cele din urmă, în unele cazuri este acceptabil să acceptăm riscul. Aici este important să decideți asupra următoarei dileme: ce este mai profitabil pentru întreprindere - să se ocupe de riscuri sau de consecințele acestora. În acest caz, trebuie să rezolvăm o problemă de optimizare. Odată ce strategia de management al riscului a fost determinată, se realizează o evaluare finală a măsurilor de securitate a informațiilor cu pregătirea unei opinii de specialitate privind securitatea resurselor informaționale. Opinia expertului include toate materialele de analiză a riscurilor și recomandările pentru reducerea acestora. 1.4 Metode de evaluare a riscurilor informaționale ale întreprinderii În practică, sunt utilizate diverse metode de evaluare și gestionare a riscurilor informaționale în întreprinderi. În acest caz, evaluarea riscurilor informaționale presupune următoarele etape: · identificarea și evaluarea cantitativă a resurselor informaționale ale întreprinderilor care sunt semnificative pentru afaceri; · evaluarea posibilelor amenințări; · evaluarea vulnerabilităților existente; · evaluarea eficacității mijloacelor de securitate a informațiilor. Se presupune că resursele informaționale vulnerabile semnificative pentru afaceri ale unei companii sunt în pericol dacă există amenințări împotriva lor. Cu alte cuvinte, riscurile caracterizează pericolul la care pot fi expuse componentele unui sistem corporativ de Internet/Intranet. În același timp, riscurile informaționale ale companiei depind de: · privind indicatorii valorii resurselor informaţionale; · probabilitatea ca amenințările la adresa resurselor să fie realizate; · eficacitatea mijloacelor de securitate a informațiilor existente sau planificate. Scopul evaluării riscurilor este de a determina caracteristicile de risc ale unui sistem informațional corporativ și resursele acestuia. Ca urmare a evaluării riscurilor, devine posibilă selectarea instrumentelor care asigură nivelul dorit de securitate a informațiilor întreprinderii. La evaluarea riscurilor, se ia în considerare valoarea resurselor, importanța amenințărilor și vulnerabilităților și eficacitatea mijloacelor de protecție existente și planificate. Indicatorii însuși ai resurselor, semnificația amenințărilor și vulnerabilităților și eficacitatea măsurilor de protecție pot fi determinate atât prin metode cantitative, de exemplu, la determinarea caracteristicilor costurilor, cât și prin metode calitative, de exemplu, ținând cont de normal sau extrem de periculos. impactul anormal al mediului extern. Posibilitatea realizării unei amenințări este evaluată prin probabilitatea implementării acesteia într-o anumită perioadă de timp pentru o anumită resursă a întreprinderii. În acest caz, probabilitatea ca amenințarea să fie realizată este determinată de următorii indicatori principali: · atractivitatea resursei este utilizată atunci când se ia în considerare amenințarea din cauza influenței umane intenționate; · posibilitatea de a utiliza o resursă pentru a genera venituri atunci când se ia în considerare amenințarea din cauza influenței umane intenționate; · capacitățile tehnice de implementare a amenințării sunt utilizate cu influență deliberată din partea unei persoane; · gradul de ușurință cu care poate fi exploatată o vulnerabilitate. În prezent, există multe metode tabelare pentru evaluarea riscurilor informaționale ale unei companii. Este important ca personalul de securitate să aleagă o metodă adecvată care oferă rezultate reproductibile corecte și fiabile. Se recomandă evaluarea indicatorilor cantitativi ai resurselor informaționale pe baza rezultatelor anchetelor angajaților întreprinderii care dețin informații, adică funcționarilor care pot determina valoarea informațiilor, caracteristicile și gradul de criticitate ale acesteia, pe baza stării actuale a lucrurilor. Pe baza rezultatelor sondajului, indicatorii și gradul de criticitate al resurselor informaționale sunt evaluați pentru cel mai rău scenariu, până la luarea în considerare a potențialelor impacturi asupra activităților de afaceri ale întreprinderii în cazul unui posibil acces neautorizat la informații confidențiale, încălcare a integrității sale, indisponibilitatea pentru diverse perioade cauzate de defecțiuni în deservirea datelor sistemelor de procesare și chiar distrugerea fizică. În același timp, procesul de obținere a indicatorilor cantitativi poate fi completat cu metode adecvate de evaluare a altor resurse critice ale întreprinderii, ținând cont de: · siguranța personalului; · dezvăluirea de informații private; · cerințele de conformitate cu legislația și reglementările; · restricții care decurg din legislație; · interese comerciale și economice; · pierderi financiare și întreruperi în activitățile de producție; · relații publice; · politica comerciala si operatiuni comerciale; · pierderea reputației companiei. În plus, indicatorii cantitativi sunt utilizați acolo unde este permis și justificat, iar indicatorii calitativi sunt utilizați acolo unde evaluările cantitative sunt dificile din mai multe motive. În același timp, cea mai răspândită este evaluarea indicatorilor de calitate folosind scale de puncte special dezvoltate în aceste scopuri, de exemplu, cu o scală de patru puncte. Următoarea operațiune este de a completa perechi de chestionare în care, pentru fiecare tip de amenințare și grupul de resurse asociat, nivelurile de amenințare sunt evaluate ca probabilitatea ca amenințările să fie realizate și nivelurile de vulnerabilitate ca gradul de ușurință cu care o amenințare realizată poate fi realizată. duce la un impact negativ. Evaluarea se realizează pe scale calitative. De exemplu, nivelul amenințărilor și vulnerabilităților este evaluat la o scară „înalt-jos”. Informațiile necesare sunt colectate prin intervievarea managerilor de vârf ai companiei, angajaților din departamentele comerciale, tehnice, de personal și de service, mersul pe teren și analizarea documentației companiei. Alături de metodele tabelare de evaluare a riscurilor informaționale pot fi utilizate metode matematice moderne, de exemplu metoda de tip Delphi, precum și sisteme automate speciale, dintre care unele vor fi discutate mai jos. Algoritmul general al procesului de evaluare a riscurilor (Fig. 1.3.) în aceste sisteme include următoarele etape. · descrierea instalației și măsurile de protecție; · identificarea unei resurse și evaluarea indicatorilor ei cantitativi (identificarea potențialului impact negativ asupra afacerii); · analiza amenințărilor la securitatea informațiilor; · evaluarea vulnerabilității; · evaluarea fondurilor existente și propuse asigurarea securității informațiilor; · evaluare a riscurilor. 5 Managementul riscului informațional În prezent, managementul riscului informațional este unul dintre cele mai relevante și dinamice domenii ale managementului strategic și operațional în domeniul securității informațiilor. Sarcina sa principală este de a identifica și evalua în mod obiectiv cele mai semnificative riscuri legate de informațiile de afaceri ale companiei, precum și adecvarea controalelor de risc utilizate pentru a crește eficiența și profitabilitatea activităților economice ale întreprinderii. Prin urmare, termenul „managementul riscului informațional” se referă de obicei la un proces sistematic de identificare, control și reducere a riscurilor informaționale ale companiilor în conformitate cu anumite restricții ale cadrului de reglementare rus în domeniul protecției informațiilor și a propriei politici de securitate corporativă. Orez. 1.3. Algoritm de evaluare a riscului Utilizarea sistemelor informatice este asociată cu un anumit set de riscuri. Atunci când daunele potențiale sunt inacceptabil de mari, sunt necesare măsuri de protecție fezabile din punct de vedere economic. (re)evaluarea periodică a riscurilor este necesară pentru a monitoriza eficacitatea activităților de securitate și pentru a ține seama de schimbările din mediu. Esența managementului riscului este de a evalua dimensiunea riscului, de a dezvolta măsuri eficiente și rentabile de atenuare a riscului și apoi de a se asigura că riscurile sunt limitate (și rămân astfel) în limite acceptabile. În consecință, managementul riscului include două tipuri de activități care se alternează ciclic: )(re)evaluarea (măsurarea) riscurilor; )selectarea echipamentelor de protecție eficiente și economice (neutralizarea riscurilor). Următoarele acțiuni sunt posibile în legătură cu riscurile identificate: · eliminarea riscului (de exemplu, prin eliminarea cauzei); · reducerea riscului (de exemplu, prin utilizarea echipamentului de protecție suplimentar); · acceptarea riscului (prin dezvoltarea unui plan de acțiune în condiții adecvate): · redirecționarea riscului (de exemplu, prin încheierea unui contract de asigurare). Procesul de management al riscului poate fi împărțit în următoarele etape: 1.Selecția obiectelor de analizat și nivelul de detaliu al luării în considerare a acestora. 2.Alegerea unei metodologii de evaluare a riscurilor. .Identificarea bunurilor. .Analiza amenințărilor și a consecințelor acestora, identificarea vulnerabilităților de securitate. .Evaluare a riscurilor. .Alegerea măsurilor de protecție. .Implementarea și testarea măsurilor selectate. .Evaluarea riscului rezidual. Etapele 6 se referă la selecția echipamentului de protecție (neutralizarea riscurilor), restul - la evaluarea riscurilor. Listarea etapelor deja arată că managementul riscului este un proces ciclic. În esență, ultimul pas este o instrucțiune de sfârșit de buclă care vă indică să reveniți la început. Riscurile trebuie monitorizate constant, reevaluându-le periodic. Trebuie remarcat faptul că o evaluare finalizată și atent documentată poate simplifica semnificativ activitățile ulterioare. Managementul riscului, ca orice altă activitate de securitate a informațiilor, trebuie integrat în ciclul de viață al SI. Atunci efectul este cel mai mare și costurile sunt minime. Managementul riscului trebuie realizat în toate etapele ciclului de viață al unui sistem informațional: inițiere - dezvoltare - instalare - exploatare - eliminare (dezafectare). În etapa de inițiere, riscurile cunoscute ar trebui să fie luate în considerare atunci când se dezvoltă cerințele pentru sistem în general și caracteristicile de securitate în special. În faza de dezvoltare, cunoașterea riscurilor ajută la selectarea soluțiilor arhitecturale adecvate care joacă un rol cheie în asigurarea securității. În timpul fazei de instalare, riscurile identificate trebuie luate în considerare la configurarea, testarea și verificarea formulate anterior cerințelor, iar ciclul complet de management al riscului trebuie să preceadă punerea în funcțiune a sistemului. În timpul fazei operaționale, managementul riscului ar trebui să însoțească toate schimbările semnificative ale sistemului. La dezafectarea unui sistem, managementul riscurilor ajută la asigurarea faptului că migrarea datelor are loc într-o manieră sigură. Capitolul II. Standarde de securitate a informațiilor 1 Condiții preliminare pentru crearea standardelor de securitate a informațiilor Efectuarea unui audit de securitate a informațiilor se bazează pe utilizarea a numeroase recomandări, care sunt stabilite în primul rând în standardele internaționale de securitate a informațiilor. Unul dintre rezultatele unui audit din ultimii ani a devenit tot mai mult un certificat care atestă conformitatea IP examinată cu un anumit standard internațional recunoscut. Prezența unui astfel de certificat permite unei organizații să obțină avantaje competitive asociate cu o mai mare încredere din partea clienților și partenerilor. Utilizarea standardelor ajută la atingerea următoarelor cinci obiective. În primul rând, obiectivele asigurării securității informaționale a sistemelor informatice sunt strict definite. În al doilea rând, este creat un sistem eficient de management al securității informațiilor. În al treilea rând, oferă calcularea unui set de indicatori detaliați, nu numai calitativi, ci și cantitativi pentru a evalua conformitatea securității informațiilor cu obiectivele declarate. În al patrulea rând, sunt create condițiile pentru utilizarea instrumentelor de securitate a informațiilor existente (software) și evaluarea stării lor actuale. În al cincilea rând, deschide posibilitatea utilizării tehnicilor de management al securității cu un sistem bine fundamentat de metrici și măsuri pentru a asigura dezvoltatorii de sisteme informatice. De la începutul anilor 80 au fost create zeci de standarde internaționale și naționale în domeniul securității informațiilor, care într-o anumită măsură se completează reciproc. Mai jos vom lua în considerare cele mai cunoscute standarde în funcție de cronologia creării lor: )Criteriul de evaluare a fiabilității sistemelor informatice „Orange Book” (SUA); )Criterii armonizate ale țărilor europene; )Recomandări X.800; )standard german BSI; )Standardul britanic BS 7799; )standardul ISO 17799; )Standard „Criterii generale” ISO 15408; )Standardul COBIT Aceste standarde pot fi împărțite în două tipuri: · Standarde de evaluare care vizează clasificarea sistemelor informaționale și a măsurilor de securitate în funcție de cerințele de securitate; · Specificații tehnice care reglementează diverse aspecte ale implementării măsurilor de securitate. Este important de reținut că nu există un perete gol între aceste tipuri de reglementări. Standardele de evaluare evidențiază cele mai importante aspecte ale securității informațiilor din punct de vedere al securității informațiilor, jucând rolul de specificații arhitecturale. Alte specificații tehnice definesc modul de construire a circuitelor integrate cu o arhitectură prescrisă. 2 Standard „Criterii de evaluare a fiabilității sistemelor informatice” (Cartea portocalie) Din punct de vedere istoric, primul standard de evaluare care a devenit larg răspândit și a avut un impact uriaș asupra bazei de standardizare a securității informațiilor în multe țări a fost standardul Departamentului de Apărare al SUA „Criterii de evaluare pentru sisteme informatice de încredere”. Această lucrare, numită cel mai adesea „Cartea portocalie” după culoarea copertei, a fost publicată pentru prima dată în august 1983. Numai numele său necesită comentarii. Nu vorbim de sisteme securizate, ci de sisteme de încredere, adică de sisteme cărora li se poate acorda un anumit grad de încredere. Cartea Orange explică conceptul unui sistem securizat care „controlează, prin mijloace adecvate, accesul la informații, astfel încât numai persoanele sau procesele autorizate corespunzător care acționează în numele lor să fie autorizate să citească, să scrie, să creeze și să șteargă informații”. Este evident, însă, că sistemele absolut sigure nu există; aceasta este o abstractizare. Este logic să evaluăm doar gradul de încredere care poate fi acordat unui anumit sistem. Orange Book definește un sistem de încredere ca fiind „un sistem care folosește suficient hardware și software pentru a permite procesarea simultană a informațiilor cu diferite grade de sensibilitate de către un grup de utilizatori fără a încălca drepturile de acces”. De menționat că în criteriile luate în considerare, atât securitatea, cât și încrederea sunt evaluate exclusiv din punctul de vedere al controlului accesului la date, care este unul dintre mijloacele de asigurare a confidențialității și integrității informațiilor. Cu toate acestea, Cartea Orange nu abordează problemele de accesibilitate. Gradul de încredere este evaluat în funcție de două criterii principale. .Politica de securitate este un set de legi, reguli și coduri de conduită care definesc modul în care o organizație procesează, protejează și difuzează informații. În special, regulile determină când un utilizator poate opera cu anumite seturi de date. Cu cât este mai mare gradul de încredere în sistem, cu atât politica de securitate ar trebui să fie mai strictă și mai diversă. În funcție de politica formulată, se pot selecta mecanisme de securitate specifice. Politica de securitate este un aspect activ al protecției, inclusiv analiza posibilelor amenințări și selectarea contramăsurilor. .Nivelul de asigurare este o măsură a încrederii care poate fi plasată în arhitectura și implementarea unui IS. Încrederea în securitate poate decurge atât din analiza rezultatelor testelor, cât și din verificarea (formală sau nu) a proiectării și implementării generale a sistemului ca întreg și a componentelor sale individuale. Nivelul de asigurare arată cât de corecte sunt mecanismele responsabile de implementarea politicii de securitate. Acesta este aspectul pasiv al protecției. Principalul mijloc de asigurare a securității este determinat de mecanismul de responsabilitate (logging). Sistemul de încredere trebuie să înregistreze toate evenimentele de securitate. Păstrarea înregistrărilor ar trebui să fie completată de audit, adică de analiza informațiilor de înregistrare. Conceptul de bază de calcul de încredere este esențial pentru evaluarea gradului de încredere în securitate. O bază de calcul de încredere este un set de mecanisme de securitate IS (inclusiv hardware și software) responsabile cu aplicarea politicii de securitate. Calitatea bazei de calcul este determinată numai de implementarea acesteia și de corectitudinea datelor inițiale introduse de administratorul de sistem. Este posibil ca componentele în cauză din afara bazei de calcul să nu fie de încredere, dar acest lucru nu ar trebui să afecteze securitatea sistemului în ansamblu. Ca urmare, pentru a evalua încrederea în securitate a unui sistem informațional, autorii standardului recomandă să se ia în considerare doar baza sa de calcul. Scopul principal al unei baze de calcul de încredere este acela de a îndeplini funcțiile unui monitor de apel, adică de a controla admisibilitatea subiecților (utilizatorilor) care efectuează anumite operațiuni asupra obiectelor (entități pasive). Monitorul verifică accesul fiecărui utilizator la programe sau date pentru concordanță cu setul de acțiuni permise utilizatorului. Un monitor de apel trebuie să aibă trei calități: Izolare. Este necesar să împiedicați monitorizarea monitorului. Completitudine. Monitorul trebuie apelat la fiecare apel; nu trebuie să existe nicio modalitate de a-l ocoli. Verificabilitate. Monitorul trebuie să fie compact, astfel încât să poată fi analizat și testat cu încredere că testarea va fi completă. Implementarea unui monitor de lovituri se numește nucleu de securitate. Nucleul de securitate este fundația pe care sunt construite toate mecanismele de securitate. Pe lângă proprietățile monitorului de acces enumerate mai sus, nucleul trebuie să garanteze propria sa imuabilitate. Limita unei baze de calcul de încredere se numește perimetru de securitate. După cum sa menționat deja, componentele din afara perimetrului de securitate ar putea să nu fie de încredere în general. Odată cu dezvoltarea sistemelor distribuite, conceptului de „perimetru de securitate” i se dă tot mai mult un sens diferit, adică granița proprietății unei anumite organizații. Ceea ce este în interiorul proprietății este considerat de încredere, dar ceea ce este în exterior nu este. Potrivit Orange Book, o politică de securitate trebuie să includă în mod necesar următoarele elemente: · controlul accesului aleatoriu; · siguranța reutilizarii obiectelor; · etichete de securitate; · controlul accesului forțat. Controlul accesului aleatoriu este o metodă de restricționare a accesului la obiecte, bazată pe luarea în considerare a identității subiectului sau grupului căruia îi aparține subiectul. Arbitrarul controlului constă în faptul că o anumită persoană (de obicei, proprietarul unui obiect) poate, la discreția sa, să acorde sau să înlăture altor subiecți drepturi de acces la obiect. Securitatea reutilizarii obiectelor este un plus important la controalele de acces care previne ca informațiile sensibile să fie eliminate accidental sau intenționat din gunoi. Securitatea reutilizarii trebuie garantata pentru zonele de RAM (in special, pentru bufferele cu imagini de ecran, parole decriptate etc.), pentru blocurile de disc si mediile magnetice in general. 3 standard german BSI În 1998, „Ghidul de securitate al tehnologiei informației la nivel de bază” a fost publicat în Germania. Manualul este un hipertext de aproximativ 4 MB (format HTML). Ulterior a fost oficializat ca standard german BSI. Se bazează pe metodologia generală și pe componentele managementului securității informațiilor: · Metoda generala de management al securitatii informatiilor (organizarea managementului in domeniul securitatii informatiei, metodologia de utilizare a manualului). · Descrieri ale componentelor tehnologiilor informaționale moderne. · Componente principale (nivel organizațional de securitate a informațiilor, nivel procedural, organizarea protecției datelor, planificarea situațiilor de urgență). · Infrastructură (cladiri, spații, rețele de cablu, organizarea accesului la distanță). · Componente client de diferite tipuri (DOS, Windows, UNIX, componente mobile, alte tipuri). · Rețele de diferite tipuri (conexiuni punct la punct, rețele Novell NetWare, rețele cu OC ONIX și Windows, rețele eterogene). · Elemente ale sistemelor de transmisie a datelor (e-mail, modemuri, firewall-uri etc.). · Telecomunicații (faxuri, robote telefonice, sisteme integrate bazate pe ISDN, alte sisteme de telecomunicații). · Software standard. · Bază de date. · Descrieri ale principalelor componente ale organizării unui regim de securitate a informațiilor (niveluri organizaționale și tehnice de protecție a datelor, planificare pentru situații de urgență, suport pentru continuitatea afacerii). · Caracteristicile obiectelor de informare (cladiri, spatii, retele de cablu, zone controlate). · Caracteristicile principalelor active informaționale ale companiei (inclusiv hardware și software, cum ar fi stațiile de lucru și serverele care rulează sisteme de operare DOS, Windows și UNIX). · Caracteristicile rețelelor de calculatoare bazate pe diverse tehnologii de rețea, cum ar fi rețelele Novell Net Ware, rețelele UNIX și Windows). · Caracteristicile echipamentelor de telecomunicații active și pasive de la furnizori de top, de exemplu Cisco Systems. · Cataloage detaliate de amenințări de securitate și măsuri de control (mai mult de 600 de articole în fiecare catalog). Toate tipurile de amenințări din standardul BSI sunt împărțite în următoarele clase: · Circumstanțele de forță majoră. · Dezavantajele măsurilor organizatorice. · Greșeli umane. · Probleme tehnice. · Acțiuni deliberate. Contramăsurile sunt clasificate în mod similar: · Îmbunătățirea infrastructurii; · Contramăsuri administrative; · Contramăsuri procedurale; · Contramăsuri software și hardware; · Reducerea vulnerabilității comunicațiilor; planificare de urgență. Toate componentele sunt luate în considerare și descrise conform următorului plan: )descriere generala; )posibile scenarii de amenințări de securitate (amenințările aplicabile acestei componente sunt listate din catalogul amenințărilor de securitate); )posibile contramăsuri (sunt enumerate amenințările aplicabile acestei componente din catalogul amenințărilor de securitate); 4 Standardul britanic BS 7799
8.1. Conceptul de audit al securității informațiilor
Auditul securității informațiilor (IS) este unul dintre cele mai relevante și dinamice domenii ale managementului strategic și operațional în domeniul securității informatice și prezintă un interes constant pentru specialiști. Sarcina sa principală este de a evalua în mod obiectiv starea actuală a securității informațiilor organizației, precum și adecvarea acesteia la scopurile și obiectivele afacerii.
Un audit de securitate a informațiilor este înțeles ca un proces sistemic de obținere a unor evaluări obiective calitative și cantitative ale stării actuale a securității informațiilor unei organizații în conformitate cu anumite criterii și indicatori la toate nivelurile principale de securitate: reglementare și metodologică, organizațională și managerială, procedurală și software și tehnic.
Rezultatele unui audit calificat al securității informațiilor unei organizații fac posibilă construirea unui sistem de securitate a informațiilor (ISMS) optim din punct de vedere al eficienței și al costului, care reprezintă un set de mijloace tehnice, precum și măsuri procedurale, organizatorice și legale. , combinate pe baza unui model de management al securității informațiilor.
În urma auditului, se pot obține atât evaluări calitative, cât și cantitative. Într-o evaluare calitativă, de exemplu, o listă de vulnerabilități în software și hardware poate fi furnizată cu clasificarea acestora în funcție de o scală de severitate pe trei niveluri: mare, medie și scăzută. Evaluările cantitative sunt cel mai adesea folosite atunci când se evaluează riscul pentru activele unei organizații reprezentat de amenințările de securitate. Estimările cantitative pot fi, de exemplu, prețul riscului, probabilitatea riscului, mărimea riscului etc.
Obiectivitatea auditului este asigurată, în special, de faptul că evaluarea stării SI este realizată de specialiști pe baza unei metodologii specifice care permite o analiză obiectivă a tuturor componentelor ISMS.
Un audit IS poate fi un serviciu oferit de firme specializate; cu toate acestea, organizația trebuie să efectueze un audit intern IS, efectuat, de exemplu, de administratorii de securitate.
În mod tradițional, există trei tipuri de audituri de securitate a informațiilor, care diferă prin lista componentelor ISMS analizate și rezultatele obținute:
− audit activ;
− audit expert;
− audit pentru conformitatea cu standardele de securitate a informațiilor.
8.1.1. Audit activ
Un audit activ este o examinare a stării de securitate a anumitor subsisteme de securitate a informațiilor (ISS) legate de nivelul software și hardware. De exemplu, o opțiune de audit activ numită test de penetrare implică examinarea subsistemului de securitate a comunicațiilor în rețea. Auditul activ include:
− analiza arhitecturii și setărilor actuale ale elementelor PIB;
− intervievarea persoanelor responsabile și interesate;
− efectuarea de controale instrumentale care acoperă anumite
Analiza arhitecturii și setărilor elementelor PIB este efectuată de specialiști cu cunoștințe ale subsistemelor specifice reprezentate
V sistemul examinat (de exemplu, poate necesita specialiști în echipamente de rețea active de la Cisco sau în sistemele de operare Microsoft), precum și analiști de sistem care identifică posibile defecte în organizarea subsistemelor. Rezultatul acestei analize este un set de chestionare și teste instrumentale.
Chestionarele sunt utilizate în procesul de intervievare a persoanelor responsabile cu administrarea AIS pentru a obține caracteristicile subiective ale AIS, pentru a clarifica datele inițiale primite și pentru a identifica unele dintre măsurile implementate în cadrul ISMS. De exemplu, chestionarele pot include întrebări legate de politica de schimbare și atribuire a parolelor, ciclul de viață al sistemului informatic automatizat și gradul de criticitate al subsistemelor sale individuale pentru sistemul informatic automatizat și procesele de afaceri ale organizației în ansamblu.
În paralel cu interviul, se efectuează verificări instrumentale (teste), care pot include următoarele activități:
− inspecția vizuală a sediului, inspecția sistemului de control al accesului la sediu;
− obținerea de configurații și versiuni de dispozitive și software;
− verificarea conformității configurațiilor reale cu datele inițiale furnizate;
− obținerea unei hărți de rețea folosind software specializat;
− utilizarea scanerelor de securitate (atât universale, cât și specializate);
− modelarea atacurilor care exploatează vulnerabilitățile sistemului;
− verificarea prezenței unui răspuns la acțiunile detectate prin mecanismele de detectare a atacurilor și de răspuns.
Auditorul poate proceda de la următoarele modele care descriu gradul de cunoaștere a AIS investigat (modelul de cunoaștere):
− model „cutie neagră” – auditorul nu are cunoștințe a priori despre AIS studiat. De exemplu, atunci când se efectuează un activ extern
Într-un audit general (adică într-o situație în care sunt simulate acțiunile unui atacator situat în afara rețelei studiate), auditorul poate, cunoscând doar numele sau adresa IP a serverului web, să încerce să găsească vulnerabilități în protecția acestuia. ;
− modelul „cutie albă” – auditorul are cunoștințe complete asupra structurii rețelei studiate. De exemplu, auditorul poate avea hărți și diagrame ale segmentelor rețelei studiate, liste de sisteme de operare și aplicații. Utilizarea acestui model nu simulează pe deplin acțiunile reale ale unui atacator, dar ne permite totuși să ne imaginăm „cel mai rău” scenariu când atacatorul are cunoștințe complete despre rețea. În plus, acest lucru vă permite să construiți un scenariu de audit activ în așa fel încât testele instrumentale să aibă consecințe minime pentru AIS și să nu perturbe funcționarea normală a acestuia;
− model „cutie gri” sau „cutie de cristal” - auditorul simulează acțiunile unui utilizator AIS intern care are un cont de acces la rețea cu un anumit nivel de autoritate. Acest model vă permite să evaluați riscurile asociate cu amenințările interne, de exemplu din partea angajaților nesiguri ai companiei.
Auditorii trebuie să convină asupra fiecărui test, a modelului de cunoștințe utilizat în test și a posibilelor consecințe negative ale testului cu persoanele interesate de funcționarea continuă a AIS (manageri, administratori de sistem etc.).
Pe baza rezultatelor verificării instrumentale se revizuiesc rezultatele analizei preliminare și, eventual, se organizează o examinare suplimentară (Fig. 8.1).
Verificare instrumentală
Orez. 8.1. Schema de realizare a unui audit IS activ
Pe baza rezultatelor auditului activ, se realizează un raport analitic, constând dintr-o descriere a stării actuale a părții tehnice a ISMS, o listă a vulnerabilităților AIS constatate cu gradul lor de criticitate și rezultatele unui risc simplificat. evaluare, inclusiv un model de intrus și un model de amenințare.
În plus, poate fi elaborat un plan de lucru pentru modernizarea părții tehnice a ISMS, constând într-o listă de recomandări pentru tratarea riscurilor.
8.1.2. Audit expert
Un audit de experti are scopul de a evalua starea actuala a securitatii informatiilor la nivel de reglementare, metodologic, organizatoric, managerial si procedural. Un audit de expertiză este efectuat în primul rând de auditori externi și este realizat de specialiști în managementul sistemului. Angajații organizației auditorului, împreună cu reprezentanții clientului, efectuează următoarele tipuri de muncă:
− colectarea datelor inițiale despre AIS, funcțiile și caracteristicile acestuia, tehnologiile utilizate pentru prelucrarea automată și transmiterea informațiilor (ținând cont de perspectivele imediate de dezvoltare);
− colectarea de informații despre existente documente organizatorice și administrative privind suportul securității informațiilor și analiza acestora;
− Definirea activelor protejate, rolurilor și proceselor ISMS.
Cel mai important instrument de evaluare a experților este colectarea datelor despre AIS prin interviuri cu specialiști tehnici și managementul clienților.
Principalele obiective ale intervievării echipei de conducere a organizației:
− determinarea politicii şi strategiei de management în materie de asigurare
− identificarea obiectivelor care sunt stabilite pentru ISMS;
− clarificarea cerințelor pentru ISMS;
− obținerea de estimări ale criticității anumitor subsisteme de prelucrare a informațiilor, estimări ale pierderilor financiare atunci când apar anumite incidente.
Principalele obiective ale intervievării specialiștilor tehnici:
− colectarea de informații privind funcționarea AIS;
− obținerea unei diagrame a fluxurilor de informații în AIS;
− obținerea de informații despre partea tehnică a ISMS;
− evaluarea eficacității operațiunii ISMS.
ÎN În cadrul auditului de expertiză, se efectuează o analiză a documentelor organizatorice și administrative, precum politica de securitate, planul de protecție, diverse reglementări și instrucțiuni. Documentele administrative organizaționale sunt evaluate pentru suficiența și coerența cu obiectivele declarate și măsurile de securitate a informațiilor, precum și pentru conformitatea cu politica de management strategic în problemele de securitate a informațiilor.
Rezultatele auditului de experți pot conține recomandări pentru îmbunătățirea componentelor de reglementare, metodologice, organizaționale, manageriale și procedurale ale ISMS.
Un audit de securitate a informațiilor nu numai că poate acorda băncii dreptul de a desfășura anumite tipuri de activități, dar poate și evidenția slăbiciuni în sistemele băncii. Prin urmare, este necesar să se adopte o abordare echilibrată a deciziei de a efectua și alege forma de audit.
Conform Legii federale din 30 decembrie 2008 nr. 307-FZ „Cu privire la activitățile de audit”, un audit este „o verificare independentă a situațiilor contabile (financiare) ale entității auditate pentru a exprima o opinie cu privire la fiabilitatea unui astfel de audit. declarații.” Acest termen menționat în această lege nu are nicio legătură cu securitatea informațiilor. Cu toate acestea, se întâmplă că specialiștii în securitatea informațiilor o folosesc destul de activ în discursul lor. În acest caz, auditul se referă la procesul de evaluare independentă a activităților unei organizații, sistemului, proces, proiect sau produs. În același timp, trebuie să înțelegem că în diverse reglementări interne termenul „audit de securitate a informațiilor” nu este întotdeauna folosit - acesta este adesea înlocuit fie cu termenul „evaluare a conformității”, fie cu termenul ușor învechit, dar încă folosit, „certificare”. Uneori este folosit și termenul de „certificare”, dar în legătură cu reglementările internaționale străine. Un audit de securitate a informațiilor este efectuat fie pentru a verifica conformitatea cu reglementările, fie pentru a verifica valabilitatea și securitatea soluțiilor utilizate. Dar indiferent de ce termen este folosit, în esență, un audit de securitate a informațiilor este efectuat fie pentru a verifica conformitatea cu reglementările, fie pentru a verifica valabilitatea și securitatea soluțiilor utilizate. În al doilea caz, auditul este voluntar, iar decizia de a-l efectua este luată de organizația însăși. În primul caz, este imposibil să refuzi efectuarea unui audit, deoarece aceasta implică o încălcare a cerințelor stabilite prin reglementări, ceea ce duce la pedepse sub formă de amendă, suspendare a activităților sau alte forme de pedeapsă. Dacă un audit este obligatoriu, acesta poate fi efectuat atât de către organizația însăși, de exemplu, sub formă de autoevaluare (totuși, în acest caz nu se vorbește despre „independență”, iar termenul „audit” nu este în întregime corect de utilizat aici), sau de către organizații externe independente - auditori. A treia opțiune pentru efectuarea unui audit obligatoriu este controlul de către organismele de reglementare abilitate să desfășoare activități de supraveghere adecvate. Această opțiune este adesea numită o inspecție mai degrabă decât un audit. Deoarece un audit voluntar poate fi efectuat pentru absolut orice motiv (pentru a verifica securitatea sistemului bancar la distanță, a controla activele unei bănci achiziționate, a verifica o sucursală nou deschisă etc.), nu vom lua în considerare această opțiune. În acest caz, este imposibil să-i conturați clar limitele, nici să descrieți formele de raportare, nici să vorbiți despre regularitate - toate acestea sunt decise printr-un acord între auditor și organizația auditată. Prin urmare, vom avea în vedere doar formele de audit obligatoriu care sunt specifice băncilor.
Standardul internațional ISO 27001
Uneori puteți auzi despre o anumită bancă supusă unui audit pentru conformitatea cu cerințele standardului internațional „ISO/IEC 27001:2005” (echivalentul său complet rusesc este „GOST R ISO/IEC 27001-2006 - Tehnologia informației - Metode și mijloace de asigurare a securității.Securitatea informațiilor sistemelor de management – Cerințe”). În esență, acest standard este un set de bune practici pentru managementul securității informațiilor în organizațiile mari (organizațiile mici, inclusiv băncile, nu sunt întotdeauna capabile să respecte pe deplin cerințele acestui standard). Ca orice standard din Rusia, ISO 27001 este un document pur voluntar, pe care fiecare bancă decide să-l accepte sau nu în mod independent. Dar ISO 27001 este un standard de facto în întreaga lume, iar experții din multe țări folosesc acest standard ca un fel de limbaj universal pentru a-și ghida eforturile de securitate a informațiilor. ISO 27001 este, de asemenea, asociat cu câteva puncte nu atât de evidente și nu adesea menționate. Cu toate acestea, ISO 27001 implică și câteva puncte mai puțin evidente și mai puțin frecvent menționate. În primul rând, nu întregul sistem de securitate a informațiilor al băncii este supus auditului conform acestui standard, ci doar una sau mai multe componente ale acestuia. De exemplu, un sistem de securitate bancar la distanță, un sistem de securitate al sediului central al băncii sau un sistem de securitate a procesului de management al personalului. Cu alte cuvinte, primirea unui certificat de conformitate pentru unul dintre procesele evaluate ca parte a auditului nu garantează că procesele rămase sunt în aceeași stare aproape ideală. Al doilea punct este legat de faptul că ISO 27001 este un standard universal, adică aplicabil oricărei organizații și, prin urmare, nu ține cont de specificul unei anumite industrii. Acest lucru a condus la faptul că, în cadrul organizației internaționale de standardizare ISO, se vorbește de mult despre crearea standardului ISO 27015, care este o traducere a ISO 27001/27002 pentru industria financiară. Banca Rusiei ia, de asemenea, un rol activ la dezvoltarea acestui standard. Cu toate acestea, Visa și MasterCard sunt împotriva proiectului acestui standard, care a fost deja dezvoltat. Primul consideră că proiectul de standard conține prea puține informații necesare industriei financiare (de exemplu, despre sistemele de plată), iar dacă este adăugat acolo, standardul ar trebui transferat către un alt comitet ISO. De asemenea, MasterCard propune oprirea dezvoltării ISO 27015, dar motivația este alta - spun ei, industria financiară este deja plină de documente care reglementează tema securității informațiilor. În al treilea rând, este necesar să se acorde atenție faptului că multe propuneri găsite pe piața rusă nu vorbesc despre un audit de conformitate, ci despre pregătirea pentru un audit. Cert este că doar câteva organizații din lume au dreptul de a certifica conformitatea cu cerințele ISO 27001. Integratorii ajută doar companiile să îndeplinească cerințele standardului, care vor fi apoi verificate de auditorii oficiali (se mai numesc și registratori, organisme de certificare etc.). În timp ce dezbaterea continuă cu privire la dacă băncile ar trebui să implementeze ISO 27001 sau nu, unele suflete curajoase merg la asta și trec prin 3 etape de audit de conformitate:- Examinarea informală preliminară de către auditor a documentelor cheie (atât la sediul clientului de audit, cât și în afara acestuia).
- Audit formal și mai aprofundat al măsurilor de protecție implementate, evaluarea eficacității acestora și studierea documentelor necesare elaborate. Această etapă se încheie de obicei cu confirmarea conformității, iar auditorul eliberează un certificat corespunzător recunoscut în întreaga lume.
- Efectuarea unui audit anual de inspecție pentru confirmarea certificatului de conformitate obținut anterior.
Set de documente ale Băncii Rusiei STO BR IBBS
Un astfel de standard, sau mai degrabă un set de standarde, este un set de documente de la Banca Rusiei, care descrie o abordare unificată a construirii unui sistem de securitate a informațiilor pentru organizațiile bancare, ținând cont de cerințele legislației ruse. Acest set de documente (denumit în continuare STO BR IBBS), care conține trei standarde și cinci recomandări pentru standardizare, se bazează pe ISO 27001 și pe o serie de alte standarde internaționale pentru managementul tehnologiei informației și securitatea informației. Problemele de auditare și evaluare a conformității cu cerințele standardului, ca și pentru ISO 27001, sunt precizate în documente separate - „STO BR IBBS-1.1-2007. Auditul securității informațiilor”, „STO BR IBBS-1.2-2010. Metodologia de evaluare a conformității securității informațiilor organizațiilor din sistemul bancar al Federației Ruse cu cerințele STO BR IBBS-1.0-2010” și „RS BR IBBS-2.1-2007”. Orientări pentru autoevaluarea conformității securității informațiilor organizațiilor din sistemul bancar al Federației Ruse cu cerințele STO BR IBBS-1.0.” În cadrul evaluării conformității conform STO BR IBBS, se verifică implementarea a 423 de indicatori de securitate a informațiilor private, grupați în 34 de indicatori de grup. Rezultatul evaluării este indicatorul final, care ar trebui să fie la nivelul 4 sau 5 pe o scară de cinci puncte stabilită de Banca Rusiei. Acest lucru, de altfel, distinge foarte mult un audit conform STO BR IBBS de un audit conform altor reglementări în domeniul securității informațiilor. În STO BR IBBS nu există inconsecvență, doar nivelul de conformitate poate fi diferit: de la zero la cinci. Și numai nivelurile de peste 4 sunt considerate pozitive. La sfârșitul anului 2011, aproximativ 70-75% dintre bănci au implementat sau sunt în proces de implementare a acestui set de standarde. Cu toate acestea, acestea sunt de drept consultativ în natură, dar inspecțiile de facto ale Băncii Rusiei au fost efectuate până de curând tocmai în conformitate cu cerințele STO BR IBBS (deși acest lucru nu a fost niciodată declarat în mod explicit nicăieri). Situația s-a schimbat de la 1 iulie 2012, când legea „Cu privire la sistemul național de plăți” și documentele de reglementare ale Guvernului Rusiei și ale Băncii Rusiei elaborate pentru implementarea acesteia au intrat în vigoare. Din acest moment, pe ordinea de zi a apărut din nou problema necesității de a efectua un audit de conformitate cu cerințele STO BR IBBS. Cert este că metodologia de evaluare a conformității, propusă în cadrul legislației privind sistemul național de plăți (SNP), și metodologia de evaluare a conformității cu STO BR IBBS pot diverge foarte mult în valorile finale. În același timp, evaluarea folosind prima metodă (pentru NPS) a devenit obligatorie, în timp ce evaluarea folosind STO BR IBBS este încă de drept de natură recomandativă. Și la momentul redactării acestui articol, Banca Rusiei însăși nu luase încă o decizie cu privire la soarta viitoare a acestei evaluări. Dacă anterior toate firele convergeau în Direcția principală de securitate și protecție a informațiilor a Băncii Rusiei (GUBZI), atunci împărțirea puterilor între GUBZI și Departamentul pentru Reglementarea Reglementărilor (LHH) este încă o întrebare deschisă. Este deja clar că actele legislative privind NPS necesită o evaluare obligatorie a conformității, adică un audit.Legislația privind sistemul național de plăți
Legislația privind NPS este abia la începutul formării sale, și ne așteaptă multe documente noi, inclusiv cele referitoare la problemele asigurării securității informațiilor. Dar este deja clar că Regulamentul 382-P, emis și aprobat la 9 iunie 2012, „Cu privire la cerințele pentru asigurarea protecției informațiilor la efectuarea de transferuri de bani și la procedura pentru Banca Rusiei de a monitoriza respectarea cerințelor pentru asigurarea protecției informațiilor la efectuarea transferurilor de bani” » impune la paragraful 2.15 o evaluare obligatorie a conformității, adică un audit. O astfel de evaluare se realizează fie independent, fie cu implicarea unor terți. După cum sa menționat mai sus, evaluarea conformității efectuată în cadrul 382-P este similară în esență cu ceea ce este descris în metodologia de evaluare a conformității STO BR IBBS, dar produce rezultate complet diferite, care este asociată cu introducerea unor factori de corecție speciali, care determină diferitele rezultate. Regulamentul 382-P nu stabilește cerințe speciale pentru organizațiile implicate în audit, ceea ce intră în oarecare contradicție cu Decretul Guvernului nr. 584 din 13 iunie 2012 „Cu privire la protecția informațiilor în sistemul de plăți”, care impune și organizarea și efectuarea monitorizării și evaluării conformității cu cerințele de protecție a informațiilor o dată la 2 ani. Cu toate acestea, Hotărârea Guvernului elaborat de FSTEC impune ca auditurile externe să fie efectuate numai de organizații autorizate să opereze în domeniul protecției tehnice a informațiilor confidențiale. Cerințe suplimentare care sunt dificil de clasificat ca o formă de audit, dar care impun băncilor noi responsabilități, sunt enumerate în secțiunea 2.16 din Regulamentul 382-P. Conform acestor cerințe, operatorul sistemului de plăți este obligat să dezvolte, iar băncile care au aderat la acest sistem de plată sunt obligate să îndeplinească, cerințe de informare periodică a operatorului sistemului de plăți cu privire la diverse probleme de securitate a informațiilor din bancă: despre respectarea cerințelor de securitate a informațiilor. , despre incidente identificate, despre autoevaluări efectuate , despre amenințări și vulnerabilități identificate. Pe lângă auditul efectuat pe bază contractuală, Legea federală nr. 161 privind NPS stabilește, de asemenea, că se efectuează controlul și supravegherea respectării cerințelor stabilite de Guvernul Federației Ruse în Rezoluția 584 și Banca Rusiei în Regulamentul 382. de către FSB FSTEC și, respectiv, Banca Rusiei. La momentul redactării acestui articol, nici FSTEC, nici FSB nu aveau o procedură dezvoltată pentru efectuarea unei astfel de supravegheri, spre deosebire de Banca Rusiei, care a emis Regulamentul nr. 380-P din 31 mai 2012 „Cu privire la procedura de monitorizare a sistemului național de plăți” (pentru instituțiile de credit) și Regulamentul din 9 iunie 2012 Nr. 381-P „Cu privire la procedura de supraveghere a conformității de către operatorii de sisteme de plăți și operatorii de servicii de infrastructură de plăți care nu sunt instituții de credit cu cerințele Legii federale din 27 iunie 2011 Nr. 161-FZ „Cu privire la sistemul național de plăți” adoptat în conformitate cu reglementările Băncii Rusiei”. Actele de reglementare în domeniul protecției informațiilor în sistemul național de plăți sunt abia la începutul dezvoltării detaliate. La 1 iulie 2012, Banca Rusiei a început să le testeze și să colecteze fapte despre practica de aplicare a legii. Prin urmare, astăzi este prematur să vorbim despre modul în care vor fi aplicate aceste reglementări, cum se va desfășura supravegherea conform 380-P, ce concluzii se vor trage pe baza rezultatelor autoevaluării efectuate la fiecare 2 ani și trimise Băncii a Rusiei.Standard de securitate pentru cardul de plată PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) este un standard de securitate a datelor cardurilor de plată dezvoltat de Payment Card Industry Security Standards Council (PCI SSC), care a fost stabilit de sistemele internaționale de plată Visa, MasterCard, American Express, JCB și Discover. Standardul PCI DSS este un set de 12 cerințe de nivel înalt și peste 200 de cerințe detaliate pentru asigurarea securității datelor despre deținătorii de carduri de plată care sunt transmise, stocate și procesate în sistemele informaționale ale organizațiilor. Cerințele standardului se aplică tuturor companiilor care lucrează cu sistemele internaționale de plată Visa și MasterCard. În funcție de numărul de tranzacții procesate, fiecărei companii i se atribuie un anumit nivel cu un set corespunzător de cerințe pe care aceste companii trebuie să le îndeplinească. Aceste niveluri diferă în funcție de sistemul de plată. Trecerea cu succes a unui audit nu înseamnă că totul este în regulă cu securitatea la bancă - există multe trucuri care permit organizației auditate să ascundă unele deficiențe în sistemul său de securitate. Verificarea conformității cu cerințele standardului PCI DSS se realizează în cadrul certificării obligatorii, cerințele pentru care diferă în funcție de tipul de companie inspectată - o întreprindere comercială și de servicii care acceptă carduri de plată pentru plata bunurilor și serviciilor , sau un furnizor de servicii care furnizează servicii comercianților și băncilor achizitoare , emitenților etc. (centre de procesare, gateway-uri de plată etc.). Această evaluare poate lua diferite forme:- audituri anuale de către companii acreditate cu statut de Evaluatori de Securitate Calificați (QSA);
- autoevaluare anuală;
- scanarea trimestrială a rețelei cu ajutorul organizațiilor autorizate cu statut de furnizor de scanare aprobat (ASV).
Legislația privind datele personale
Cel mai recent document de reglementare, relevant și pentru industria bancară și care stabilește cerințe pentru evaluarea conformității, este Legea federală „Cu privire la datele cu caracter personal”. Cu toate acestea, nici forma unui astfel de audit, nici frecvența acestuia, nici cerințele pentru organizația care efectuează un astfel de audit nu au fost încă stabilite. Poate că această problemă va fi rezolvată în toamna anului 2012, când va fi lansat următorul lot de documente de la Guvernul Federației Ruse, FSTEC și FSB, introducând noi standarde în domeniul protecției datelor cu caracter personal. Între timp, băncile pot dormi liniștite și pot determina în mod independent specificul unui audit al problemelor de protecție a datelor cu caracter personal. Controlul și supravegherea asupra implementării măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal stabilite de articolul 19 din 152-FZ se realizează de către FSB și FSTEC, dar numai pentru sistemele informaționale de stat de date cu caracter personal. Potrivit legii, nu există cine să exercite controlul asupra organizațiilor comerciale în domeniul asigurării securității informaționale a datelor cu caracter personal. Nu același lucru se poate spune despre problemele de protecție a drepturilor persoanelor vizate de date cu caracter personal, adică clienții, contrapărțile și pur și simplu vizitatorii băncii. Această sarcină a fost preluată de Roskomnadzor, care își desfășoară foarte activ funcțiile de supraveghere și consideră băncile printre cei mai mari încălcatori ai legii cu privire la datele cu caracter personal.Dispoziții finale
Principalele reglementări în domeniul securității informațiilor referitoare la instituțiile de credit sunt discutate mai sus. Există multe dintre aceste reglementări, iar fiecare dintre ele își stabilește propriile cerințe pentru efectuarea evaluării conformității într-o formă sau alta - de la autoevaluare sub formă de completare a chestionarelor (PCI DSS) până la trecerea unui audit obligatoriu o dată la doi ani ( 382-P) sau o dată pe an (ISO 27001). Între aceste forme cele mai comune de evaluare a conformității, există și altele - notificări ale operatorilor de sisteme de plată, scanări trimestriale etc. De asemenea, merită să ne amintim și să înțelegem că țara încă nu are un sistem unificat de opinii nu numai cu privire la reglementarea de stat a proceselor de audit al securității informațiilor ale organizațiilor și sistemelor de tehnologie a informației, ci și cu privire la însăși tema auditului securității informațiilor în general. În Federația Rusă, există o serie de departamente și organizații (FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC etc.) responsabile cu securitatea informațiilor. Și toate funcționează pe baza propriilor reglementări și linii directoare. Abordări diferite, standarde diferite, niveluri diferite de maturitate... Toate acestea împiedică stabilirea unor reguli comune de joc. Tabloul este stricat și de apariția companiilor fly-by-night care, în căutarea profitului, oferă servicii de foarte slabă calitate în domeniul evaluării conformității cu cerințele de securitate a informațiilor. Și este puțin probabil ca situația să se schimbe în bine. Dacă este nevoie, vor exista cei dispuși să o satisfacă, în timp ce pur și simplu nu există destui auditori calificați pentru toți. Cu numărul lor mic (indicat în tabel) și durata auditului de la câteva săptămâni la câteva luni, este evident că nevoile de audit depășesc cu mult capacitățile auditorilor. În „Conceptul de auditare a securității informaționale a sistemelor și organizațiilor de tehnologie a informației”, care nu a fost niciodată adoptat de FSTEC, a existat următoarea sintagmă: „în același timp, în lipsa autorităților naționale de reglementare necesare, astfel de activități/audituri nereglementate de către firme private / pot cauza prejudicii ireparabile organizațiilor.” În concluzie, autorii Conceptului și-au propus să unifice abordările de audit și să stabilească legislativ regulile jocului, inclusiv regulile de acreditare a auditorilor, cerințele pentru calificarea acestora, procedurile de audit etc., dar lucrurile sunt încă acolo. Deși, având în vedere atenția pe care autoritățile interne de reglementare din domeniul securității informațiilor (și avem 9 dintre ele) o acordă problemelor de securitate a informațiilor (numai în ultimul an calendaristic au fost adoptate sau dezvoltate 52 de reglementări privind problemele de securitate a informațiilor - câte un regulament pe săptămână. ! ), nu exclud ca acest subiect să fie revenit în curând.STANDARDE DE AUDIT DE SECURITATE A INFORMAȚIILOR
OPINIA EXPERTULUI
Dmitry Markin, șeful Departamentului de Audit și Consultanță al AMT-GROUP:
Până de curând, problemele trecerii unui audit obligatoriu al stării securității informațiilor pentru instituțiile de credit în cadrul legislației ruse erau reglementate doar de Legea federală-152 „Cu privire la datele cu caracter personal” în ceea ce privește controlul intern asupra măsurilor luate pentru a asigura securitatea datelor cu caracter personal, precum și prin Regulamentul Băncii Centrale a Federației Ruse nr. 242-P „Cu privire la organizarea controlului intern în instituțiile de credit și grupurile bancare”. Mai mult, în conformitate cu cerințele Regulamentului nr. 242-P, procedura de monitorizare a suportului pentru securitatea informațiilor este stabilită în mod independent prin documente interne ale instituției de credit fără a se face referire la cerințele specifice pentru suportul securității informațiilor. În legătură cu intrarea în vigoare a articolului 27 din Legea federală nr. 161 „Cu privire la sistemul național de plăți”, care definește cerințele pentru protecția informațiilor în sistemul de plăți, Decretul Guvernului Federației Ruse nr. 584 „Cu privire la aprobarea Regulamentului privind protecția informațiilor în sistemul de plăți” și Regulamentul Băncii Centrale au fost publicate RF Nr. 382-P. Conform cerințelor Rezoluției nr. 584 și Regulamentului nr. 382-P, protecția informațiilor din sistemul de plăți trebuie efectuată în conformitate cu cerințele prezentelor reglementări și cu cerințele incluse de operatorii de sisteme de plăți în regulile de plată. sisteme. Punctul cheie aici este asigurarea la nivelul legislației naționale a dreptului operatorilor de sisteme de plată (de exemplu, Visa și MasterCard) de a stabili în mod independent cerințe pentru protecția informațiilor. Regulamentul nr. 382-P mai precizează obligația instituțiilor de credit de a evalua respectarea cerințelor de securitate a informațiilor cel puțin o dată la 2 ani, definește clar metodologia de evaluare a conformității, criteriile de audit și procedura de documentare a rezultatelor acesteia. În opinia noastră, apariția reglementărilor de mai sus ar trebui să crească statisticile de certificare de către instituțiile de credit în conformitate cu cerințele standardului de securitate a datelor din industria cardurilor de plată PCI DSS 2.0, dezvoltat cu participarea celor mai importante sisteme internaționale de plată Visa și MasterCard.
