Cách tiến hành kiểm tra an ninh thông tin. Kiểm tra an ninh thông tin: mục tiêu, phương pháp và phương tiện, ví dụ. Kiểm toán an toàn thông tin ngân hàng

Chắc hẳn nhiều người đã đặt câu hỏi “làm thế nào để tiến hành kiểm tra an ninh thông tin?” nơi để bắt đầu? Tôi nên sử dụng kỹ thuật nào? có phần mềm chuyên dụng nào cho việc này không? Có những chương trình miễn phí nào cho việc này?

Hôm nay chúng tôi sẽ giới thiệu với bạn một sản phẩm của Microsoft cho phép bạn tiến hành kiểm tra bảo mật thông tin, Công cụ đánh giá bảo mật của Microsoft (MSAT). Sản phẩm cho phép bạn xác định các rủi ro bảo mật thông tin trong hệ thống hiện có và đưa ra các đề xuất để loại bỏ chúng. Theo những người sáng tạo, ứng dụng này được thiết kế cho các tổ chức có ít hơn 1.000 nhân viên và nó cũng sẽ giúp bạn hiểu rõ hơn về nhân sự, quy trình, nguồn lực và công nghệ nhằm đảm bảo lập kế hoạch hiệu quả cho các hoạt động bảo mật và thực hiện các phương pháp giảm thiểu rủi ro trong tổ chức. Điều tuyệt vời nhất là ứng dụng này miễn phí và có thể tải xuống từ trang web của nhà phát triển. Sản phẩm này có thể được sử dụng làm bảng câu hỏi dành cho các chuyên gia CNTT, nhân sự và bảo mật thông tin.

Trong quá trình đánh giá rủi ro, dựa trên câu trả lời cho các câu hỏi, môi trường CNTT sẽ được kiểm tra các lĩnh vực chính có mối đe dọa an ninh thông tin. Việc đánh giá sử dụng khái niệm phòng thủ theo chiều sâu (DiD) để xác định tính hiệu quả của chiến lược bảo mật. Khái niệm "phòng thủ theo chiều sâu" đề cập đến việc thực hiện phòng thủ nhiều tầng, bao gồm các biện pháp kiểm soát kỹ thuật, tổ chức và vận hành. Công cụ đánh giá dựa trên các tiêu chuẩn được chấp nhận rộng rãi và các biện pháp thực hành tốt nhất được thiết kế để giảm thiểu rủi ro trong hệ thống công nghệ thông tin. Quá trình đánh giá có thể được lặp lại và cũng có thể được sử dụng để kiểm tra tiến độ hướng tới các mục tiêu bảo mật của tổ chức trong cơ sở hạ tầng CNTT.

Để xác định các mối đe dọa bảo mật trong hệ thống CNTT của tổ chức bạn, các lĩnh vực phân tích cụ thể sẽ đánh giá các chính sách liên quan đến rủi ro đối với doanh nghiệp, công nghệ, quy trình và con người. Sau khi hoàn tất đánh giá, các khuyến nghị sẽ được đưa ra để quản lý những rủi ro này dựa trên các phương pháp thực hành tốt nhất được ngành công nhận. Những hướng dẫn này nhằm cung cấp hướng dẫn sơ bộ để giúp tổ chức của bạn triển khai các biện pháp thực hành CNTT tốt nhất được ngành công nhận.

Đánh giá rủi ro bao gồm hai phần: hồ sơ rủi ro kinh doanh (BRP) và đánh giá (bao gồm bốn lĩnh vực phân tích). PSR đại diện cho những mối nguy hiểm phổ biến mà công ty phải đối mặt. Sau khi hoàn thành đánh giá này, nó sẽ không thay đổi cho đến khi có những thay đổi cơ bản đối với hệ thống CNTT của công ty. Bạn có thể hoàn thành và lưu nhiều đánh giá. Những ước tính này có thể và sẽ thay đổi theo thời gian khi các biện pháp bảo mật nâng cao được triển khai.

Vì vậy, hãy xem, trước tiên hãy tạo một hồ sơ:

Và điền câu trả lời cho các câu hỏi; khi bạn điền chúng, các nút sẽ chuyển sang màu xanh:

Sau khi điền vào khối câu hỏi đầu tiên về các thông số của công ty, hãy nhấp vào: “Tạo đánh giá mới”

Sau đó, chúng tôi điền các câu hỏi về hạ tầng CNTT, nhân sự và quản lý quy trình nghiệp vụ:

Sau khi trả lời xong hãy đợi biểu tượng “Báo cáo”

Báo cáo có thể được lưu dưới dạng *.docs hoặc xem trong ứng dụng. Chúng tôi đọc tất cả các kết luận, đưa ra khuyến nghị dựa trên các thông lệ tốt nhất trên thế giới và trình bày chúng với ban quản lý để thống nhất kế hoạch làm việc hoặc biện minh cho việc mua thiết bị bảo mật thông tin)))))

Ngày nay mọi người đều biết đến câu nói gần như thiêng liêng rằng ai sở hữu thông tin sẽ sở hữu cả thế giới. Đó là lý do tại sao ngày nay mọi người đều cố gắng ăn trộm. Về vấn đề này, các bước chưa từng có đang được thực hiện để đưa ra biện pháp bảo vệ chống lại các cuộc tấn công có thể xảy ra. Tuy nhiên, đôi khi có thể cần phải tiến hành kiểm toán doanh nghiệp. Đây là gì và tại sao tất cả những thứ này lại cần thiết?

Kiểm toán an ninh thông tin theo định nghĩa chung là gì?

Bây giờ chúng ta sẽ không đề cập đến các thuật ngữ khoa học trừu tượng mà sẽ cố gắng xác định các khái niệm cơ bản cho bản thân, mô tả chúng bằng ngôn ngữ đơn giản nhất (điều này thường được gọi là kiểm tra dành cho "hình nộm").

Tên của tập hợp các sự kiện này đã nói lên điều đó. Kiểm toán an ninh thông tin là hoạt động xác minh hoặc đảm bảo độc lập về tính bảo mật của hệ thống thông tin (IS) của bất kỳ doanh nghiệp, cơ quan hoặc tổ chức nào dựa trên các tiêu chí và chỉ số được phát triển đặc biệt.

Ví dụ, nói một cách đơn giản, việc kiểm tra an ninh thông tin của ngân hàng nhằm đánh giá mức độ bảo vệ cơ sở dữ liệu khách hàng, các hoạt động ngân hàng đang diễn ra, sự an toàn của quỹ điện tử, sự an toàn của bí mật ngân hàng, v.v. trong trường hợp có sự can thiệp vào các hoạt động của tổ chức bởi những người không được phép từ bên ngoài sử dụng phương tiện điện tử và máy tính.

Chắc chắn, trong số các độc giả sẽ có ít nhất một người nhận được một cuộc gọi tại nhà hoặc trên điện thoại di động của anh ta với lời đề nghị đăng ký một khoản vay hoặc tiền gửi và từ một ngân hàng mà anh ta không hề có liên hệ gì. Điều tương tự cũng áp dụng cho các ưu đãi mua hàng từ một số cửa hàng. Số của bạn đến từ đâu?

Nó đơn giản. Nếu một người trước đây đã vay tiền hoặc gửi tiền vào tài khoản tiền gửi, thì đương nhiên, dữ liệu của anh ta sẽ được lưu trong một tài khoản duy nhất. Khi gọi từ ngân hàng hoặc cửa hàng khác, có thể rút ra kết luận duy nhất: thông tin về anh ta rơi vào tay người thứ ba một cách bất hợp pháp. . Làm sao? Nhìn chung, có thể phân biệt hai lựa chọn: hoặc nó đã bị đánh cắp hoặc nhân viên ngân hàng cố tình chuyển nó cho bên thứ ba. Để ngăn chặn những sự việc như vậy xảy ra, cần phải tiến hành kiểm tra kịp thời việc bảo mật thông tin của ngân hàng và điều này không chỉ áp dụng cho các biện pháp bảo mật máy tính hoặc “phần cứng” mà còn cho toàn bộ nhân viên của tổ chức ngân hàng.

Các hướng chính của kiểm toán an toàn thông tin

Về phạm vi áp dụng của cuộc kiểm toán đó, theo quy định, có một số điểm khác biệt:

• kiểm tra toàn diện các đối tượng tham gia vào quá trình tin học hóa (hệ thống máy tính tự động, phương tiện liên lạc, tiếp nhận, truyền tải và xử lý dữ liệu thông tin, phương tiện kỹ thuật, mặt bằng cho các cuộc họp bí mật, hệ thống giám sát, v.v.);
• kiểm tra độ tin cậy của việc bảo vệ thông tin bí mật với quyền truy cập hạn chế (xác định các kênh rò rỉ có thể có và các lỗ hổng tiềm ẩn trong hệ thống bảo mật cho phép truy cập thông tin đó từ bên ngoài bằng các phương pháp tiêu chuẩn và phi tiêu chuẩn);
• kiểm tra tất cả các thiết bị kỹ thuật điện tử và hệ thống máy tính cục bộ xem có tiếp xúc với bức xạ điện từ và nhiễu hay không, khiến chúng bị vô hiệu hóa hoặc không thể sử dụng được;
• phần thiết kế, bao gồm công việc tạo ra một khái niệm bảo mật và áp dụng nó vào thực tế (bảo vệ hệ thống máy tính, cơ sở, thông tin liên lạc, v.v.).

Khi nào cần thiết phải tiến hành kiểm toán?

Chưa kể các tình huống nghiêm trọng khi biện pháp bảo vệ đã bị vi phạm, việc kiểm tra an ninh thông tin trong một tổ chức có thể được thực hiện trong một số trường hợp khác.

Theo quy định, điều này bao gồm việc mở rộng công ty, sáp nhập, mua lại, sáp nhập bởi các doanh nghiệp khác, thay đổi khái niệm về khóa học hoặc quản lý kinh doanh, thay đổi luật pháp quốc tế hoặc hành vi pháp lý trong một quốc gia cụ thể và những thay đổi khá nghiêm trọng trong cơ sở hạ tầng thông tin.

Các loại kiểm toán

Ngày nay, việc phân loại loại hình kiểm toán này, theo nhiều nhà phân tích và chuyên gia, vẫn chưa được giải quyết. Vì vậy, việc phân chia thành các lớp trong một số trường hợp có thể rất có điều kiện. Tuy nhiên, nhìn chung, kiểm toán an ninh thông tin có thể được chia thành bên ngoài và nội bộ.

Kiểm toán bên ngoài, được thực hiện bởi các chuyên gia độc lập có quyền thực hiện, thường là cuộc kiểm tra một lần và có thể được khởi xướng bởi ban quản lý doanh nghiệp, cổ đông, cơ quan thực thi pháp luật, v.v. Chúng tôi cho rằng việc kiểm tra an ninh thông tin bên ngoài được khuyến nghị (không bắt buộc) phải được thực hiện thường xuyên trong một khoảng thời gian xác định. Nhưng đối với một số tổ chức, doanh nghiệp, theo quy định của pháp luật thì việc này là bắt buộc (ví dụ: các tổ chức, tổ chức tài chính, công ty cổ phần, v.v.).

Bảo mật thông tin là một quá trình liên tục. Nó dựa trên một “Quy định đặc biệt về Kiểm toán nội bộ”. Nó là gì? Về bản chất, đây là những sự kiện chứng nhận được thực hiện trong tổ chức trong khung thời gian được ban quản lý phê duyệt. Kiểm toán an ninh thông tin được thực hiện bởi các đơn vị cấu trúc đặc biệt của doanh nghiệp.

Phân loại thay thế các loại hình kiểm toán

Ngoài việc phân chia thành các lớp được mô tả ở trên trong trường hợp chung, chúng ta có thể phân biệt một số thành phần khác được áp dụng trong phân loại quốc tế:

• xác minh của chuyên gia về tình trạng bảo mật của thông tin và hệ thống thông tin dựa trên kinh nghiệm cá nhân của các chuyên gia thực hiện việc đó;
• chứng nhận hệ thống và các biện pháp bảo mật tuân thủ các tiêu chuẩn quốc tế (ISO 17799) và các văn bản pháp luật của chính phủ quy định lĩnh vực hoạt động này;
• phân tích tính bảo mật của hệ thống thông tin bằng các phương tiện kỹ thuật, nhằm xác định các lỗ hổng tiềm ẩn trong tổ hợp phần cứng và phần mềm.

Đôi khi có thể sử dụng cái gọi là kiểm toán toàn diện, bao gồm tất cả các loại trên. Nhân tiện, chính anh ấy là người đưa ra kết quả khách quan nhất.

Thiết lập mục tiêu và mục tiêu

Bất kỳ cuộc kiểm toán nào, dù là nội bộ hay bên ngoài, đều bắt đầu bằng việc đặt ra các mục tiêu và mục tiêu. Nói một cách đơn giản, bạn cần xác định tại sao, cái gì và sẽ được kiểm tra như thế nào. Điều này sẽ xác định trước phương pháp tiếp theo để thực hiện toàn bộ quá trình.

Các nhiệm vụ được giao, tùy theo cơ cấu cụ thể của bản thân doanh nghiệp, tổ chức, cơ quan và hoạt động của doanh nghiệp, có thể khá nhiều. Tuy nhiên, trong số tất cả những điều này, các mục tiêu thống nhất của kiểm toán an ninh thông tin được phân biệt:

• đánh giá tình trạng an toàn thông tin và hệ thống thông tin;
• phân tích các rủi ro có thể xảy ra liên quan đến mối đe dọa xâm nhập vào IP từ bên ngoài và các phương pháp khả thi để thực hiện sự can thiệp đó;
• nội địa hóa các lỗ hổng và khoảng trống trong hệ thống an ninh;
• phân tích mức độ tuân thủ mức độ bảo mật của hệ thống thông tin với các tiêu chuẩn, quy định hiện hành;
• phát triển và đưa ra các khuyến nghị liên quan đến việc loại bỏ các vấn đề hiện có, cũng như cải tiến các phương tiện bảo vệ hiện có và giới thiệu các phát triển mới.

Phương pháp và phương tiện tiến hành kiểm toán

Bây giờ là một vài lời về cách kiểm tra diễn ra cũng như các giai đoạn và ý nghĩa của nó.

Tiến hành kiểm toán an toàn thông tin bao gồm một số giai đoạn chính:

• bắt đầu thủ tục kiểm toán (xác định rõ ràng quyền và trách nhiệm của kiểm toán viên, kiểm toán viên chuẩn bị kế hoạch kiểm toán và thống nhất với ban quản lý, giải quyết vấn đề về ranh giới của nghiên cứu, áp đặt nghĩa vụ đối với nhân viên của tổ chức trong việc hỗ trợ và cung cấp kịp thời các báo cáo thông tin cần thiết);
• thu thập dữ liệu ban đầu (cấu trúc hệ thống bảo mật, phân phối phương tiện bảo mật, mức độ hoạt động của hệ thống bảo mật, phân tích các phương pháp thu thập và cung cấp thông tin, xác định các kênh liên lạc và tương tác của IS với các cấu trúc khác, phân cấp của người dùng mạng máy tính, định nghĩa các giao thức, v.v.);
• tiến hành thanh tra toàn diện hoặc từng phần;
• phân tích dữ liệu nhận được (phân tích rủi ro thuộc bất kỳ loại nào và tuân thủ các tiêu chuẩn);
• đưa ra khuyến nghị để loại bỏ các vấn đề có thể xảy ra;
• tạo tài liệu báo cáo.

Giai đoạn đầu tiên là đơn giản nhất vì quyết định của nó được đưa ra độc quyền giữa ban quản lý doanh nghiệp và kiểm toán viên. Phạm vi phân tích có thể được thảo luận tại cuộc họp chung của nhân viên hoặc cổ đông. Tất cả điều này liên quan nhiều hơn đến lĩnh vực pháp lý.

Giai đoạn thứ hai của việc thu thập dữ liệu ban đầu, cho dù tiến hành kiểm tra an ninh thông tin nội bộ hay chứng nhận độc lập bên ngoài, đều tiêu tốn nhiều tài nguyên nhất. Điều này là do ở giai đoạn này, không chỉ cần nghiên cứu tài liệu kỹ thuật liên quan đến toàn bộ tổ hợp phần mềm và phần cứng mà còn phải tiến hành các cuộc phỏng vấn tập trung vào nhân viên công ty và trong hầu hết các trường hợp, thậm chí phải điền vào các bảng câu hỏi đặc biệt. hoặc các câu hỏi.

Đối với tài liệu kỹ thuật, điều quan trọng là thu thập dữ liệu về cấu trúc IP và mức độ ưu tiên của quyền truy cập cho nhân viên, để xác định phần mềm ứng dụng và toàn hệ thống (hệ điều hành được sử dụng, ứng dụng cho doanh nghiệp, quản lý và kế toán), cũng như cũng như các công cụ bảo vệ phần mềm được cài đặt và loại không phải phần mềm (phần mềm chống vi-rút, tường lửa, v.v.). Ngoài ra, điều này bao gồm việc kiểm tra toàn diện các mạng và nhà cung cấp dịch vụ liên lạc (tổ chức mạng, các giao thức được sử dụng để kết nối, các loại kênh liên lạc, phương thức truyền và nhận luồng thông tin, v.v.). Như đã rõ, việc này mất khá nhiều thời gian.

Ở giai đoạn tiếp theo, các phương pháp kiểm tra an ninh thông tin được xác định. Có ba trong số họ:

• phân tích rủi ro (kỹ thuật phức tạp nhất dựa trên việc kiểm toán viên xác định khả năng xâm nhập vào IP và vi phạm tính toàn vẹn của nó bằng tất cả các phương pháp và phương tiện có thể);
• đánh giá việc tuân thủ các tiêu chuẩn, pháp luật (phương pháp đơn giản và thiết thực nhất, dựa trên so sánh hiện trạng và yêu cầu của các tiêu chuẩn quốc tế, văn bản trong nước về lĩnh vực an toàn thông tin);
• một phương pháp kết hợp kết hợp hai phương pháp đầu tiên.

Sau khi nhận được kết quả kiểm tra, quá trình phân tích của họ bắt đầu. Các công cụ kiểm tra an ninh thông tin được sử dụng để phân tích có thể khá đa dạng. Mọi thứ phụ thuộc vào đặc thù hoạt động của doanh nghiệp, loại thông tin, phần mềm được sử dụng, công cụ bảo mật, v.v. Tuy nhiên, như có thể thấy từ phương pháp đầu tiên, kiểm toán viên chủ yếu sẽ phải dựa vào kinh nghiệm của chính mình.

Điều này chỉ có nghĩa là anh ta phải có trình độ chuyên môn phù hợp trong lĩnh vực công nghệ thông tin và bảo vệ dữ liệu. Dựa trên phân tích này, kiểm toán viên tính toán những rủi ro có thể xảy ra.

Xin lưu ý rằng anh ta không chỉ phải hiểu hệ điều hành hoặc chương trình được sử dụng, chẳng hạn như để kinh doanh hoặc kế toán, mà còn phải hiểu rõ cách kẻ tấn công có thể xâm nhập hệ thống thông tin với mục đích đánh cắp, làm hư hỏng và phá hủy dữ liệu, tạo tiền đề cho hành vi vi phạm. trong hoạt động của máy tính, sự lây lan của virus hoặc phần mềm độc hại.

Dựa trên phân tích, chuyên gia đưa ra kết luận về tình trạng bảo vệ và đưa ra các khuyến nghị để loại bỏ các vấn đề hiện có hoặc có thể xảy ra, nâng cấp hệ thống bảo mật, v.v. Đồng thời, các khuyến nghị không chỉ phải khách quan mà còn phải gắn liền với thực tế cụ thể của doanh nghiệp. Nói cách khác, những lời khuyên về việc nâng cấp cấu hình máy tính hay phần mềm sẽ không được chấp nhận. Điều này cũng áp dụng cho lời khuyên về việc sa thải những nhân viên “không đáng tin cậy”, cài đặt hệ thống theo dõi mới mà không chỉ rõ mục đích, vị trí lắp đặt và tính khả thi của chúng.

Dựa trên phân tích, theo quy luật, một số nhóm rủi ro được phân biệt. Trong trường hợp này, hai chỉ số chính được sử dụng để lập báo cáo tóm tắt: khả năng xảy ra một cuộc tấn công và thiệt hại gây ra cho công ty (mất tài sản, giảm danh tiếng, mất hình ảnh, v.v.). Tuy nhiên, các chỉ số của các nhóm không giống nhau. Vì vậy, ví dụ, chỉ báo mức độ thấp cho xác suất tấn công là tốt nhất. Đối với thiệt hại thì ngược lại.

Chỉ sau đó mới có một bản báo cáo trình bày chi tiết tất cả các giai đoạn, phương pháp và phương tiện nghiên cứu được thực hiện. Được sự thống nhất của ban quản lý và có chữ ký của hai bên - doanh nghiệp và kiểm toán viên. Nếu cuộc kiểm toán mang tính chất nội bộ, báo cáo đó sẽ được người đứng đầu đơn vị cơ cấu liên quan lập, sau đó báo cáo đó sẽ được người đứng đầu ký một lần nữa.

Kiểm tra an ninh thông tin: ví dụ

Cuối cùng, hãy xem ví dụ đơn giản nhất về một tình huống đã xảy ra. Nhân tiện, nó có vẻ rất quen thuộc với nhiều người.

Ví dụ: một nhân viên nào đó của một công ty tham gia mua hàng ở Hoa Kỳ đã cài đặt trình nhắn tin ICQ trên máy tính của anh ta (tên của nhân viên và tên công ty không được đề cập vì lý do rõ ràng). Các cuộc đàm phán đã được tiến hành chính xác thông qua chương trình này. Nhưng ICQ khá dễ bị tổn thương về mặt bảo mật. Khi đăng ký số, nhân viên lúc đó không có địa chỉ email hoặc đơn giản là không muốn cung cấp. Thay vào đó, anh ta chỉ ra điều gì đó tương tự như một e-mail, ngay cả với một miền không tồn tại.

Kẻ tấn công sẽ làm gì? Như cuộc kiểm tra bảo mật thông tin cho thấy, anh ta có thể đã đăng ký chính xác cùng một tên miền và tạo một thiết bị đầu cuối đăng ký khác trong đó, sau đó anh ta có thể gửi một tin nhắn đến công ty Mirabilis, công ty sở hữu dịch vụ ICQ, với yêu cầu khôi phục mật khẩu đến hạn. đến sự mất mát của nó (điều đó lẽ ra đã được thực hiện). Vì máy chủ của người nhận không phải là máy chủ thư nên chuyển hướng đã được bật trên đó - chuyển hướng đến thư hiện có của kẻ tấn công.

Do đó, anh ta có quyền truy cập vào thư từ có số ICQ được chỉ định và thông báo cho nhà cung cấp về sự thay đổi địa chỉ của người nhận hàng ở một quốc gia nhất định. Do đó, hàng hóa được gửi đến một địa điểm không xác định. Và đây là ví dụ vô hại nhất. Vâng, chủ nghĩa côn đồ nhỏ mọn. Chúng ta có thể nói gì về những hacker nghiêm túc hơn, những người có khả năng...

Phần kết luận

Đó là tất cả những gì tóm tắt về kiểm tra bảo mật IP. Tất nhiên, không phải tất cả các khía cạnh của nó đều được đề cập ở đây. Lý do duy nhất là việc đặt ra nhiệm vụ và phương pháp thực hiện bị ảnh hưởng bởi nhiều yếu tố nên cách tiếp cận trong từng trường hợp cụ thể hoàn toàn mang tính cá nhân. Ngoài ra, các phương pháp và phương tiện kiểm tra an ninh thông tin có thể khác nhau đối với các hệ thống thông tin khác nhau. Tuy nhiên, có vẻ như các nguyên tắc chung của việc kiểm tra như vậy sẽ trở nên rõ ràng đối với nhiều người ít nhất là ở cấp độ ban đầu.

Giới thiệu

Kiểm toán là một hình thức kiểm soát độc lập, trung lập đối với mọi lĩnh vực hoạt động của doanh nghiệp thương mại, được sử dụng rộng rãi trong thực tiễn kinh tế thị trường, đặc biệt là lĩnh vực kế toán. Không kém phần quan trọng xét từ quan điểm phát triển chung của doanh nghiệp là kiểm toán bảo mật, bao gồm phân tích các rủi ro liên quan đến khả năng xảy ra các mối đe dọa bảo mật, đặc biệt là liên quan đến tài nguyên thông tin, đánh giá mức độ bảo mật hiện tại của doanh nghiệp. hệ thống thông tin (IS), bản địa hóa các điểm nghẽn trong hệ thống bảo vệ, đánh giá sự tuân thủ của IP với các tiêu chuẩn hiện có trong lĩnh vực bảo mật thông tin và phát triển các khuyến nghị để giới thiệu các cơ chế bảo mật IP mới và nâng cao hiệu quả của các cơ chế bảo mật IP hiện có.

Nếu chúng ta nói về mục tiêu chính của kiểm toán an ninh thông tin, thì nó có thể được định nghĩa là đánh giá mức độ bảo mật của hệ thống thông tin của doanh nghiệp để quản lý nó một cách tổng thể, có tính đến triển vọng phát triển của nó.

Trong điều kiện hiện đại, khi hệ thống thông tin thâm nhập vào mọi lĩnh vực hoạt động của doanh nghiệp và do nhu cầu kết nối Internet, chúng mở ra các mối đe dọa bên trong và bên ngoài, vấn đề bảo mật thông tin trở nên quan trọng không kém an ninh kinh tế hoặc vật lý.

Bất chấp tầm quan trọng của vấn đề đang được xem xét trong việc đào tạo các chuyên gia an toàn thông tin, vấn đề này vẫn chưa được đưa vào thành một khóa học riêng biệt trong chương trình giảng dạy hiện có và chưa được thảo luận trong sách giáo khoa và thiết bị dạy học. Điều này là do thiếu khung pháp lý cần thiết, các chuyên gia chưa được đào tạo và không đủ kinh nghiệm thực tế trong lĩnh vực kiểm toán an ninh thông tin.

Cấu trúc chung của tác phẩm bao gồm trình tự các vấn đề được xem xét sau đây:

mô tả mô hình xây dựng hệ thống bảo mật thông tin (IS) có tính đến các mối đe dọa, lỗ hổng, rủi ro và các biện pháp đối phó được thực hiện để giảm thiểu hoặc ngăn chặn chúng;

các phương pháp phân tích và quản lý rủi ro được xem xét;

các khái niệm cơ bản về kiểm tra an ninh được nêu ra và các mục tiêu thực hiện nó được mô tả;

phân tích các tiêu chuẩn quốc tế và tiêu chuẩn chính của Nga được sử dụng khi tiến hành kiểm tra an ninh thông tin;

cho thấy khả năng sử dụng phần mềm để tiến hành kiểm tra an ninh thông tin;

Việc lựa chọn cấu trúc được mô tả của sách giáo khoa được thực hiện nhằm mục đích tối đa hóa định hướng của học sinh đối với việc sử dụng thực tế tài liệu được đề cập, trước tiên là khi học một khóa giảng, thứ hai là khi trải qua đào tạo thực tế (phân tích trạng thái thông tin). an ninh trong doanh nghiệp), thứ ba, khi thực hiện các khóa học và bằng tốt nghiệp.

Tài liệu được trình bày có thể hữu ích cho các nhà quản lý và nhân viên của các dịch vụ bảo mật và dịch vụ bảo vệ thông tin của doanh nghiệp trong việc chuẩn bị và tiến hành nội bộ và chứng minh nhu cầu kiểm toán bảo mật thông tin bên ngoài.

Chương I. Kiểm tra an ninh và phương pháp thực hiện

1 Khái niệm về kiểm toán an ninh

Kiểm toán là một cuộc kiểm tra độc lập về các lĩnh vực hoạt động nhất định của tổ chức. Có kiểm toán bên ngoài và nội bộ. Theo quy định, kiểm toán bên ngoài là sự kiện diễn ra một lần được thực hiện theo sáng kiến ​​của ban quản lý hoặc cổ đông của tổ chức. Nên tiến hành kiểm toán bên ngoài thường xuyên, và ví dụ, đối với nhiều tổ chức tài chính và công ty cổ phần, đây là yêu cầu bắt buộc đối với người sáng lập và cổ đông của họ. Kiểm toán nội bộ là hoạt động liên tục được thực hiện trên cơ sở “Quy định về kiểm toán nội bộ” và theo kế hoạch, việc chuẩn bị do các đơn vị dịch vụ bảo vệ thực hiện và được lãnh đạo tổ chức phê duyệt.

Mục tiêu của kiểm tra an ninh là:

phân tích các rủi ro liên quan đến khả năng xảy ra các mối đe dọa an ninh liên quan đến tài nguyên;

đánh giá mức độ bảo mật IP hiện tại;

khoanh vùng các điểm nghẽn trong hệ thống bảo vệ sở hữu trí tuệ;

đánh giá việc tuân thủ sở hữu trí tuệ với các tiêu chuẩn hiện hành trong lĩnh vực an toàn thông tin;

Kiểm toán an ninh của một doanh nghiệp (công ty, tổ chức) nên được coi là một công cụ quản lý bí mật, loại trừ khả năng cung cấp thông tin về kết quả hoạt động của doanh nghiệp đó cho các bên và tổ chức thứ ba vì mục đích âm mưu.

Để tiến hành kiểm tra bảo mật doanh nghiệp, có thể đề xuất trình tự hành động sau.

1. Chuẩn bị kiểm tra an ninh:

lựa chọn đối tượng kiểm toán (công ty, tòa nhà và cơ sở riêng lẻ, hệ thống riêng lẻ hoặc các bộ phận của chúng);

thành lập đội ngũ kiểm toán viên chuyên nghiệp;

xác định phạm vi và phạm vi của cuộc kiểm toán và thiết lập các khung thời gian cụ thể cho công việc.

2.Tiến hành một cuộc kiểm toán:

phân tích tổng quát về tình trạng bảo mật của đối tượng được kiểm toán;

đăng ký, thu thập và xác minh dữ liệu thống kê và kết quả đo lường bằng công cụ về các mối nguy hiểm và mối đe dọa;

đánh giá kết quả kiểm tra;

lập báo cáo kết quả kiểm tra từng bộ phận.

3.Hoàn thành cuộc kiểm toán:

chuẩn bị báo cáo cuối cùng;

xây dựng kế hoạch hành động nhằm tháo gỡ những vướng mắc, bất cập trong việc đảm bảo an ninh của công ty.

Để thực hiện thành công việc kiểm tra bảo mật, bạn phải:

sự tham gia tích cực của ban quản lý công ty trong việc thực hiện;

tính khách quan và độc lập của kiểm toán viên (chuyên gia), năng lực và tính chuyên nghiệp cao của họ;

thủ tục xác minh có cấu trúc rõ ràng;

tích cực triển khai các biện pháp đề xuất nhằm đảm bảo và tăng cường an ninh.

Ngược lại, kiểm toán bảo mật là một công cụ hiệu quả để đánh giá bảo mật và quản lý rủi ro. Ngăn chặn các mối đe dọa an ninh cũng có nghĩa là bảo vệ lợi ích kinh tế, xã hội và thông tin của doanh nghiệp.

Từ đó chúng ta có thể kết luận rằng kiểm toán an ninh đang trở thành một công cụ quản lý kinh tế.

Tùy theo khối lượng đối tượng doanh nghiệp được phân tích mà xác định phạm vi kiểm toán:

-kiểm toán an ninh toàn doanh nghiệp;

-kiểm tra an toàn của từng tòa nhà và cơ sở (cơ sở được chỉ định);

-kiểm định thiết bị, phương tiện kỹ thuật theo chủng loại cụ thể;

-kiểm toán các loại hình và lĩnh vực hoạt động nhất định: kinh tế, môi trường, thông tin, tài chính, v.v.

Cần nhấn mạnh rằng việc kiểm toán được thực hiện không phải theo sáng kiến ​​​​của kiểm toán viên mà theo sáng kiến ​​​​của ban lãnh đạo doanh nghiệp, bên quan tâm chính trong vấn đề này. Sự hỗ trợ của ban lãnh đạo công ty là điều kiện cần thiết để tiến hành kiểm toán.

Kiểm toán là một tập hợp các hoạt động trong đó, ngoài bản thân kiểm toán viên, còn có đại diện của hầu hết các bộ phận cơ cấu của công ty tham gia. Hành động của tất cả những người tham gia vào quá trình này phải được phối hợp. Do đó, ở giai đoạn bắt đầu thủ tục kiểm toán, các vấn đề về tổ chức sau đây phải được giải quyết:

quyền và trách nhiệm của kiểm toán viên phải được xác định rõ ràng và ghi rõ trong bản mô tả công việc cũng như trong các quy định về kiểm toán nội bộ (bên ngoài);

kiểm toán viên phải chuẩn bị và thống nhất với ban quản lý kế hoạch kiểm toán;

Các quy định về kiểm toán nội bộ cần quy định cụ thể rằng nhân viên của doanh nghiệp có nghĩa vụ hỗ trợ kiểm toán viên và cung cấp mọi thông tin cần thiết cho cuộc kiểm toán.

Ở giai đoạn bắt đầu thủ tục kiểm toán, ranh giới của cuộc khảo sát phải được xác định. Nếu một số hệ thống con thông tin của doanh nghiệp không đủ quan trọng thì chúng có thể bị loại khỏi phạm vi khảo sát.

Các hệ thống con khác có thể không thể kiểm tra được do lo ngại về tính bảo mật.

Ranh giới khảo sát được xác định theo các loại sau:

Danh sách các tài nguyên vật lý, phần mềm và thông tin được khảo sát.

2.Các địa điểm (cơ sở) nằm trong ranh giới khảo sát.

3.Các loại mối đe dọa bảo mật chính được xem xét trong quá trình kiểm toán.

4.Các khía cạnh về tổ chức (lập pháp, hành chính và thủ tục), vật lý, phần mềm, phần cứng và các khía cạnh bảo mật khác cần được tính đến trong quá trình khảo sát và các ưu tiên của chúng (chúng cần được tính đến ở mức độ nào).

Kế hoạch và ranh giới của cuộc kiểm toán sẽ được thảo luận tại một cuộc họp làm việc với sự tham dự của kiểm toán viên, ban lãnh đạo công ty và người đứng đầu các bộ phận cơ cấu.

Để hiểu kiểm toán an toàn thông tin như một hệ thống phức tạp, mô hình khái niệm của nó được hiển thị trong Hình. 1.1. Các thành phần chính của quy trình được nêu bật ở đây:

đối tượng kiểm toán:

mục đích kiểm toán:

Cơm. 1.1. Mô hình khái niệm về kiểm toán IS

yêu cầu;

phương pháp được sử dụng;

người biểu diễn;

trật tự ứng xử.

Từ quan điểm tổ chức công việc khi tiến hành kiểm toán an toàn thông tin, có ba giai đoạn cơ bản:

1.Thu thập thông tin;

2.phân tích dữ liệu;

2 Phương pháp phân tích dữ liệu trong quá trình kiểm tra IS

Hiện tại, ba phương pháp (phương pháp) chính để tiến hành kiểm toán được sử dụng, có sự khác biệt đáng kể với nhau.

Phương pháp đầu tiên, phức tạp nhất, dựa trên phân tích rủi ro. Dựa trên các phương pháp phân tích rủi ro, kiểm toán viên xác định cho IS được kiểm tra một bộ yêu cầu bảo mật riêng lẻ, có tính đến ở mức độ lớn nhất các đặc điểm của IS này, môi trường hoạt động của nó và các mối đe dọa bảo mật hiện có trong môi trường này. Cách tiếp cận này tốn nhiều công sức nhất và đòi hỏi trình độ chuyên môn cao nhất của kiểm toán viên. Trong trường hợp này, chất lượng của kết quả kiểm toán bị ảnh hưởng mạnh mẽ bởi phương pháp được sử dụng để phân tích và quản lý rủi ro cũng như khả năng áp dụng của nó đối với loại IS này.

Phương pháp thứ hai, thiết thực nhất, dựa vào việc sử dụng các tiêu chuẩn bảo mật thông tin. Các tiêu chuẩn xác định một tập hợp cơ bản các yêu cầu bảo mật cho một loại IP rộng, được hình thành do sự khái quát hóa thông lệ thế giới. Các tiêu chuẩn có thể xác định các nhóm yêu cầu bảo mật khác nhau, tùy thuộc vào mức độ bảo mật IP cần được đảm bảo, liên kết của nó (tổ chức thương mại hoặc cơ quan chính phủ) và mục đích (tài chính, công nghiệp, truyền thông, v.v.). Trong trường hợp này, kiểm toán viên phải xác định chính xác bộ yêu cầu tiêu chuẩn phải đáp ứng đối với IS này. Một phương pháp luận cũng cần thiết để đánh giá sự tuân thủ này. Do tính đơn giản (bộ tiêu chuẩn yêu cầu để tiến hành đánh giá đã được tiêu chuẩn xác định trước) và độ tin cậy (tiêu chuẩn là tiêu chuẩn và không ai cố gắng thách thức các yêu cầu của nó), cách tiếp cận được mô tả là phổ biến nhất trong thực tế (đặc biệt là khi tiến hành đánh giá bên ngoài). Nó cho phép, với mức tiêu tốn tài nguyên tối thiểu, đưa ra kết luận sáng suốt về tình trạng của IP.

Phương pháp thứ ba, hiệu quả nhất, bao gồm việc kết hợp hai phương pháp đầu tiên.

Nếu phương pháp tiếp cận dựa trên phân tích rủi ro được chọn để tiến hành kiểm tra bảo mật thì các nhóm nhiệm vụ sau thường được thực hiện ở giai đoạn phân tích dữ liệu kiểm tra:

Phân tích tài nguyên IP, bao gồm tài nguyên thông tin, phần mềm và phần cứng và nguồn nhân lực.

2.Phân tích các nhóm nhiệm vụ được hệ thống và quy trình nghiệp vụ giải quyết.

3.Xây dựng mô hình (không chính thức) của tài nguyên IS xác định mối quan hệ giữa thông tin, phần mềm, kỹ thuật và nhân lực, vị trí tương đối của chúng và phương pháp tương tác.

4.Đánh giá tầm quan trọng của tài nguyên thông tin, cũng như phần mềm và phần cứng.

5.Xác định tầm quan trọng của các nguồn lực, có tính đến sự phụ thuộc lẫn nhau của chúng.

6.Xác định các mối đe dọa bảo mật có khả năng xảy ra nhất đối với tài nguyên IP và các lỗ hổng bảo mật khiến các mối đe dọa này có thể xảy ra.

7.Đánh giá khả năng xảy ra các mối đe dọa, mức độ dễ bị tổn thương và thiệt hại gây ra cho tổ chức trong trường hợp thực hiện thành công các mối đe dọa.

8.Xác định mức độ rủi ro cho từng bộ ba: mối đe dọa - nhóm tài nguyên - lỗ hổng.

Nhóm nhiệm vụ được liệt kê khá chung chung. Để giải quyết chúng, có thể sử dụng nhiều kỹ thuật phân tích rủi ro chính thức và không chính thức, định lượng và định tính, thủ công và tự động. Bản chất của cách tiếp cận không thay đổi.

Đánh giá rủi ro có thể được thực hiện bằng cách sử dụng các thang đo định tính và định lượng khác nhau. Điều chính là các rủi ro hiện tại được xác định và xếp hạng chính xác theo mức độ nghiêm trọng của chúng đối với tổ chức. Dựa trên phân tích như vậy, có thể phát triển một hệ thống các biện pháp ưu tiên để giảm mức độ rủi ro xuống mức có thể chấp nhận được.

Khi tiến hành kiểm tra bảo mật về việc tuân thủ các yêu cầu của tiêu chuẩn, kiểm toán viên, dựa vào kinh nghiệm của mình, sẽ đánh giá khả năng áp dụng các yêu cầu của tiêu chuẩn đối với IP được kiểm tra và việc tuân thủ các yêu cầu này của IP. Dữ liệu về sự tuân thủ của các lĩnh vực hoạt động IS khác nhau với các yêu cầu của tiêu chuẩn thường được trình bày dưới dạng bảng. Bảng này cho thấy những yêu cầu bảo mật nào không được triển khai trong hệ thống. Dựa trên đó, các kết luận được rút ra về sự tuân thủ của IP được kiểm tra với các yêu cầu của tiêu chuẩn và đưa ra các khuyến nghị về việc triển khai các cơ chế bảo mật trong hệ thống để đảm bảo sự tuân thủ đó.

3 Phân tích rủi ro thông tin doanh nghiệp

Phân tích rủi ro là nơi bắt đầu xây dựng bất kỳ hệ thống bảo mật thông tin nào và là điều cần thiết để tiến hành kiểm tra bảo mật thông tin. Nó bao gồm các hoạt động khảo sát tính bảo mật của doanh nghiệp nhằm xác định nguồn lực nào và mối đe dọa nào cần được bảo vệ, cũng như mức độ nhất định các nguồn lực cần được bảo vệ. Việc xác định một tập hợp các biện pháp đối phó thích hợp được thực hiện trong quá trình quản lý rủi ro. Rủi ro được xác định bởi khả năng thiệt hại và mức độ thiệt hại gây ra cho tài nguyên hệ thống thông tin (IS) trong trường hợp có mối đe dọa an ninh.

Phân tích rủi ro bao gồm việc xác định các rủi ro hiện có và đánh giá mức độ nghiêm trọng của chúng (đưa ra đánh giá định tính hoặc định lượng). Quá trình phân tích rủi ro bao gồm việc giải quyết các nhiệm vụ sau:

1.Xác định các tài nguyên IP quan trọng.

2.Xác định tầm quan trọng của các nguồn lực nhất định đối với tổ chức.

3.Xác định các mối đe dọa bảo mật hiện có và các lỗ hổng bảo mật có thể khiến các mối đe dọa có thể xảy ra.

4.Tính toán các rủi ro liên quan đến việc thực hiện các mối đe dọa bảo mật.

Tài nguyên IP có thể được chia thành các loại sau:

nguồn thông tin;

phần mềm;

phương tiện kỹ thuật (máy chủ, máy trạm, thiết bị mạng đang hoạt động, v.v.);

nguồn nhân lực.

Trong mỗi danh mục, tài nguyên được chia thành các lớp và lớp con. Chỉ cần xác định những tài nguyên xác định chức năng của IS và có ý nghĩa quan trọng theo quan điểm bảo mật.

Tầm quan trọng (hoặc giá trị) của tài nguyên được xác định bởi mức độ thiệt hại gây ra nếu tính bảo mật, tính toàn vẹn hoặc tính sẵn có của tài nguyên đó bị xâm phạm. Các loại thiệt hại sau đây thường được xem xét:

dữ liệu bị tiết lộ, thay đổi, xóa hoặc không còn khả dụng;

thiết bị bị hư hỏng hoặc bị phá hủy;

tính toàn vẹn của phần mềm bị tổn hại.

Thiệt hại có thể gây ra cho một tổ chức do việc thực hiện thành công các loại mối đe dọa bảo mật sau:

các cuộc tấn công cục bộ và từ xa vào tài nguyên IS;

thảm họa thiên nhiên;

sai sót hoặc hành động cố ý của nhân viên IS;

IC trục trặc do lỗi phần mềm hoặc trục trặc phần cứng.

Mức độ rủi ro có thể được xác định dựa trên giá trị của tài nguyên, khả năng xảy ra mối đe dọa và mức độ dễ bị tổn thương bằng cách sử dụng công thức sau:

chi phí tài nguyên x xác suất đe dọa Rủi ro = mức độ dễ bị tổn thương

Nhiệm vụ của quản lý rủi ro là lựa chọn một loạt các biện pháp đối phó hợp lý để giảm mức độ rủi ro xuống mức có thể chấp nhận được. Chi phí thực hiện các biện pháp đối phó phải nhỏ hơn mức thiệt hại có thể xảy ra. Sự khác biệt giữa chi phí thực hiện các biện pháp đối phó và mức độ thiệt hại có thể xảy ra phải tỷ lệ nghịch với xác suất gây ra thiệt hại.

Cách tiếp cận dựa trên phân tích rủi ro thông tin doanh nghiệp là quan trọng nhất đối với việc thực hành đảm bảo an ninh thông tin. Điều này được giải thích là do phân tích rủi ro cho phép bạn quản lý hiệu quả vấn đề bảo mật thông tin của doanh nghiệp. Để làm được điều này, khi bắt đầu phân tích rủi ro, cần xác định chính xác những gì cần được bảo vệ trong doanh nghiệp, những mối đe dọa nào mà doanh nghiệp phải đối mặt và các biện pháp bảo vệ. Phân tích rủi ro được thực hiện dựa trên các mục tiêu và mục tiêu trước mắt là bảo vệ một loại thông tin bí mật cụ thể. Một trong những nhiệm vụ quan trọng nhất trong khuôn khổ bảo vệ thông tin là đảm bảo tính toàn vẹn và sẵn có của nó. Cần lưu ý rằng hành vi vi phạm tính chính trực có thể xảy ra không chỉ do các hành động có chủ ý mà còn vì một số lý do khác:

· hỏng hóc thiết bị dẫn đến mất mát hoặc sai lệch thông tin;

· tác động vật lý, bao gồm cả hậu quả của thiên tai;

· lỗi trong phần mềm (bao gồm cả các tính năng không có giấy tờ).

Do đó, thuật ngữ “tấn công” hứa hẹn hơn để hiểu không chỉ tác động của con người đối với tài nguyên thông tin mà còn cả tác động của môi trường mà hệ thống xử lý thông tin doanh nghiệp hoạt động.

Khi tiến hành phân tích rủi ro, những điều sau đây được phát triển:

· chiến lược và chiến thuật chung để kẻ vi phạm tiềm năng tiến hành “các hoạt động tấn công và chiến đấu”;

· các phương pháp có thể thực hiện các cuộc tấn công vào hệ thống xử lý và bảo vệ thông tin;

· kịch bản thực hiện hành vi vi phạm pháp luật;

· đặc điểm của các kênh rò rỉ thông tin và truy cập trái phép;

· khả năng thiết lập liên hệ thông tin (nhận ra các mối đe dọa);

· danh sách các thông tin có thể bị lây nhiễm;

· mô hình kẻ xâm nhập;

· phương pháp đánh giá an toàn thông tin.

Ngoài ra, để xây dựng một hệ thống bảo mật thông tin doanh nghiệp đáng tin cậy cần thiết:

· xác định tất cả các mối đe dọa có thể xảy ra đối với an ninh thông tin;

· đánh giá hậu quả của biểu hiện của họ;

· xác định các biện pháp và phương tiện bảo vệ cần thiết, có tính đến các yêu cầu của văn bản quy định, kinh tế

· tính khả thi, tương thích và không xung đột với phần mềm sử dụng;

· đánh giá hiệu quả của các biện pháp và phương tiện bảo vệ đã lựa chọn.

Cơm. 1.2. Kịch bản phân tích tài nguyên thông tin

Tất cả 6 giai đoạn phân tích rủi ro đều được trình bày ở đây. Ở giai đoạn thứ nhất và thứ hai, thông tin được xác định là bí mật kinh doanh của doanh nghiệp và phải được bảo vệ. Rõ ràng là thông tin đó được lưu trữ ở những nơi nhất định và trên các phương tiện cụ thể và được truyền qua các kênh liên lạc. Đồng thời, yếu tố quyết định trong công nghệ xử lý thông tin chính là kiến ​​trúc IS, yếu tố quyết định phần lớn đến tính bảo mật tài nguyên thông tin của doanh nghiệp. Giai đoạn phân tích rủi ro thứ ba là xây dựng các kênh truy cập, rò rỉ hoặc tác động đến tài nguyên thông tin của các nút IS chính. Mỗi kênh truy cập được đặc trưng bởi nhiều điểm mà từ đó thông tin có thể được “truy xuất”. Chính họ là người đại diện cho những lỗ hổng và yêu cầu sử dụng các phương tiện để ngăn chặn những tác động không mong muốn đến thông tin.

Giai đoạn thứ tư của việc phân tích các phương pháp bảo vệ tất cả các điểm có thể có tương ứng với các mục tiêu bảo vệ và kết quả của nó phải là đặc điểm của những lỗ hổng có thể xảy ra trong phòng thủ, bao gồm cả do sự kết hợp bất lợi của các hoàn cảnh.

Ở giai đoạn thứ năm, dựa trên các phương pháp và phương tiện vượt qua tuyến phòng thủ hiện đã biết, xác suất xảy ra các mối đe dọa tại mỗi điểm tấn công có thể xảy ra sẽ được xác định.

Ở giai đoạn cuối cùng, thứ sáu, thiệt hại cho tổ chức được đánh giá trong trường hợp xảy ra mỗi cuộc tấn công, cùng với việc đánh giá lỗ hổng, cho phép chúng tôi có được danh sách xếp hạng các mối đe dọa đối với tài nguyên thông tin. Kết quả của công việc được trình bày dưới dạng thuận tiện cho họ nhận thức và phát triển các giải pháp khắc phục hệ thống an toàn thông tin hiện có. Hơn nữa, mỗi nguồn thông tin có thể phải đối mặt với một số mối đe dọa tiềm ẩn. Tầm quan trọng cơ bản là tổng xác suất truy cập vào tài nguyên thông tin, bao gồm các xác suất cơ bản để truy cập vào các điểm riêng lẻ của luồng thông tin.

Mức độ rủi ro thông tin đối với mỗi tài nguyên được xác định bằng tích của xác suất xảy ra một cuộc tấn công vào tài nguyên, xác suất thực hiện cũng như mối đe dọa và thiệt hại từ việc xâm nhập thông tin. Công việc này có thể sử dụng các cách khác nhau để cân các bộ phận.

Việc bổ sung các rủi ro cho tất cả các tài nguyên mang lại giá trị của rủi ro tổng thể đối với kiến ​​trúc IS được áp dụng và hệ thống bảo mật thông tin được triển khai trong đó.

Do đó, bằng cách thay đổi các tùy chọn xây dựng hệ thống bảo mật thông tin và kiến ​​trúc IS, có thể hình dung và xem xét các giá trị khác nhau của tổng rủi ro bằng cách thay đổi khả năng xảy ra các mối đe dọa. Ở đây, một bước rất quan trọng là chọn một trong các phương án phù hợp với tiêu chí quyết định đã chọn. Tiêu chí như vậy có thể là mức độ rủi ro có thể chấp nhận được hoặc tỷ lệ chi phí đảm bảo an toàn thông tin so với rủi ro còn lại.

Khi xây dựng hệ thống an toàn thông tin cũng cần xác định chiến lược quản lý rủi ro cho doanh nghiệp.

Ngày nay có một số cách tiếp cận để quản lý rủi ro.

Một trong những cách phổ biến nhất là giảm thiểu rủi ro bằng cách sử dụng các phương pháp và phương tiện bảo vệ thích hợp. Về bản chất tương tự là cách tiếp cận liên quan đến ác cảm rủi ro. Người ta biết rằng có thể tránh được một số loại rủi ro: ví dụ: di chuyển máy chủ Web của một tổ chức ra ngoài mạng cục bộ sẽ tránh được nguy cơ các máy khách Web truy cập trái phép vào mạng cục bộ.

Cuối cùng, trong một số trường hợp, việc chấp nhận rủi ro là có thể chấp nhận được. Ở đây, điều quan trọng là phải quyết định vấn đề nan giải sau: điều gì có lợi hơn cho doanh nghiệp - chống lại rủi ro hay giải quyết hậu quả của chúng. Trong trường hợp này, chúng ta phải giải quyết vấn đề tối ưu hóa.

Khi chiến lược quản lý rủi ro đã được xác định, đánh giá cuối cùng về các biện pháp bảo mật thông tin sẽ được thực hiện cùng với việc chuẩn bị ý kiến ​​chuyên gia về bảo mật nguồn thông tin. Ý kiến ​​chuyên gia bao gồm tất cả các tài liệu phân tích rủi ro và khuyến nghị để giảm thiểu chúng.

1.4 Phương pháp đánh giá rủi ro thông tin doanh nghiệp

Trong thực tế, nhiều phương pháp đánh giá và quản lý rủi ro thông tin trong doanh nghiệp được sử dụng. Trong trường hợp này, việc đánh giá rủi ro thông tin bao gồm các giai đoạn sau:

· xác định, đánh giá định lượng các nguồn thông tin có ý nghĩa quan trọng đối với hoạt động kinh doanh của doanh nghiệp;

· đánh giá các mối đe dọa có thể xảy ra;

· đánh giá các lỗ hổng hiện có;

· đánh giá hiệu quả của các phương tiện bảo mật thông tin.

Người ta cho rằng các tài nguyên thông tin dễ bị tổn thương quan trọng trong kinh doanh của một công ty doanh nghiệp sẽ gặp rủi ro nếu có bất kỳ mối đe dọa nào đối với chúng. Nói cách khác, rủi ro đặc trưng cho mức độ nguy hiểm mà các thành phần của hệ thống Internet/Intranet của công ty có thể gặp phải. Đồng thời, rủi ro thông tin của công ty phụ thuộc vào:

· về các chỉ số đánh giá giá trị của nguồn thông tin;

· khả năng xảy ra các mối đe dọa đối với tài nguyên;

· tính hiệu quả của các phương tiện bảo mật thông tin hiện có hoặc theo kế hoạch.

Mục đích của việc đánh giá rủi ro là xác định các đặc điểm rủi ro của hệ thống thông tin doanh nghiệp và các nguồn lực của nó. Nhờ đánh giá rủi ro, có thể chọn các công cụ đảm bảo mức độ bảo mật thông tin doanh nghiệp mong muốn. Khi đánh giá rủi ro, giá trị của nguồn lực, tầm quan trọng của các mối đe dọa và điểm yếu cũng như tính hiệu quả của các biện pháp bảo vệ hiện có và theo kế hoạch sẽ được tính đến. Chính các chỉ số về tài nguyên, tầm quan trọng của các mối đe dọa và lỗ hổng cũng như hiệu quả của các biện pháp bảo vệ có thể được xác định bằng cả phương pháp định lượng, ví dụ như khi xác định đặc điểm chi phí và bằng phương pháp định tính, ví dụ, có tính đến mức độ bình thường hoặc cực kỳ nguy hiểm. tác động bất thường của môi trường bên ngoài.

Khả năng nhận ra mối đe dọa được đánh giá bằng xác suất thực hiện mối đe dọa đó trong một khoảng thời gian nhất định đối với một nguồn lực doanh nghiệp nhất định. Trong trường hợp này, khả năng xảy ra mối đe dọa được xác định bởi các chỉ số chính sau:

· sự hấp dẫn của tài nguyên được sử dụng khi xem xét mối đe dọa từ ảnh hưởng có chủ ý của con người;

· khả năng sử dụng tài nguyên để tạo thu nhập khi xem xét mối đe dọa từ ảnh hưởng có chủ ý của con người;

· khả năng kỹ thuật để thực hiện mối đe dọa được sử dụng với sự ảnh hưởng có chủ ý từ phía một người;

· mức độ dễ dàng mà một lỗ hổng có thể bị khai thác.

Hiện nay, có nhiều phương pháp dạng bảng để đánh giá rủi ro thông tin của công ty. Điều quan trọng là nhân viên an ninh phải chọn một phương pháp thích hợp để cung cấp các kết quả có thể tái tạo chính xác và đáng tin cậy.

Nên đánh giá các chỉ số định lượng của nguồn thông tin dựa trên kết quả khảo sát những nhân viên doanh nghiệp sở hữu thông tin, tức là những quan chức có thể xác định giá trị của thông tin, đặc điểm và mức độ quan trọng của nó, dựa trên tình hình thực tế. Dựa trên kết quả khảo sát, các chỉ số và mức độ quan trọng của nguồn thông tin được đánh giá cho trường hợp xấu nhất, có tính đến việc xem xét các tác động tiềm tàng đến hoạt động kinh doanh của doanh nghiệp trong trường hợp có thể truy cập trái phép vào thông tin bí mật, vi phạm về tính toàn vẹn của nó, không có sẵn trong các khoảng thời gian khác nhau do lỗi trong việc phục vụ dữ liệu của hệ thống xử lý và thậm chí là sự phá hủy vật lý. Đồng thời, quá trình thu thập các chỉ số định lượng có thể được bổ sung bằng các phương pháp thích hợp để đánh giá các nguồn lực quan trọng khác của doanh nghiệp, có tính đến:

· an toàn nhân sự;

· tiết lộ thông tin cá nhân;

· yêu cầu tuân thủ pháp luật và quy định;

· hạn chế phát sinh từ pháp luật;

· lợi ích thương mại và kinh tế;

· tổn thất tài chính và gián đoạn trong hoạt động sản xuất;

· quan hệ công chúng;

· chính sách thương mại và hoạt động thương mại;

· làm mất đi danh tiếng của công ty.

Hơn nữa, các chỉ số định lượng được sử dụng khi được phép và hợp lý, còn các chỉ số định tính được sử dụng khi khó đánh giá định lượng vì một số lý do. Đồng thời, phổ biến nhất là đánh giá các chỉ số chất lượng bằng cách sử dụng thang điểm được phát triển đặc biệt cho các mục đích này, chẳng hạn như thang điểm bốn.

Hoạt động tiếp theo là điền vào các cặp bảng câu hỏi trong đó, đối với từng loại mối đe dọa và nhóm tài nguyên liên quan, mức độ mối đe dọa được đánh giá là khả năng các mối đe dọa được nhận ra và mức độ dễ bị tổn thương là mức độ dễ dàng mà mối đe dọa đã nhận ra có thể xảy ra. dẫn tới tác động tiêu cực. Đánh giá được thực hiện trên quy mô định tính. Ví dụ: mức độ đe dọa và lỗ hổng được đánh giá theo thang điểm “cao-thấp”. Thông tin cần thiết được thu thập bằng cách phỏng vấn các nhà quản lý cấp cao của công ty, nhân viên của các bộ phận thương mại, kỹ thuật, nhân sự và dịch vụ, đi hiện trường và phân tích tài liệu của công ty.

Cùng với các phương pháp dạng bảng để đánh giá rủi ro thông tin, có thể sử dụng các phương pháp toán học hiện đại, ví dụ như phương pháp loại Delphi, cũng như các hệ thống tự động đặc biệt, một số trong đó sẽ được thảo luận dưới đây.

Thuật toán chung của quy trình đánh giá rủi ro (Hình 1.3.) trong các hệ thống này bao gồm các giai đoạn sau.

· mô tả cơ sở và các biện pháp bảo vệ;

· xác định nguồn lực và đánh giá các chỉ số định lượng của nó (xác định tác động tiêu cực tiềm tàng đối với hoạt động kinh doanh);

· phân tích mối đe dọa an ninh thông tin;

· đánh giá tính dễ bị tổn thương;

· đánh giá các quỹ hiện có và đề xuất

đảm bảo an toàn thông tin;

· đánh giá rủi ro.

5 Quản lý rủi ro thông tin

Hiện nay, quản lý rủi ro thông tin là một trong những lĩnh vực quản lý chiến lược và hoạt động phù hợp và phát triển năng động nhất trong lĩnh vực bảo mật thông tin. Nhiệm vụ chính của nó là xác định và đánh giá một cách khách quan những rủi ro thông tin kinh doanh quan trọng nhất của công ty, cũng như tính đầy đủ của các công cụ kiểm soát rủi ro được sử dụng để tăng hiệu quả và lợi nhuận trong hoạt động kinh tế của doanh nghiệp. Do đó, thuật ngữ “quản lý rủi ro thông tin” thường đề cập đến một quy trình có hệ thống nhằm xác định, kiểm soát và giảm thiểu rủi ro thông tin của các công ty theo những hạn chế nhất định của khung pháp lý của Nga trong lĩnh vực bảo vệ thông tin và chính sách bảo mật doanh nghiệp của họ.

Cơm. 1.3. Thuật toán đánh giá rủi ro

Việc sử dụng hệ thống thông tin gắn liền với một số rủi ro nhất định. Khi thiệt hại tiềm tàng lớn đến mức không thể chấp nhận được thì cần có các biện pháp bảo vệ khả thi về mặt kinh tế. Đánh giá (lại) rủi ro định kỳ là cần thiết để giám sát hiệu quả của các hoạt động an ninh và tính đến những thay đổi trong môi trường.

Bản chất của quản lý rủi ro là đánh giá quy mô rủi ro, phát triển các biện pháp giảm thiểu rủi ro hiệu quả và tiết kiệm chi phí, sau đó đảm bảo rằng rủi ro được ngăn chặn (và duy trì như vậy) trong giới hạn chấp nhận được. Do đó, quản lý rủi ro bao gồm hai loại hoạt động luân phiên theo chu kỳ:

)(lại) đánh giá (đo lường) rủi ro;

)lựa chọn thiết bị bảo vệ hiệu quả và tiết kiệm (trung hòa rủi ro).

Có thể thực hiện các hành động sau đây liên quan đến các rủi ro đã được xác định:

· loại bỏ rủi ro (ví dụ, bằng cách loại bỏ nguyên nhân);

· giảm rủi ro (ví dụ, thông qua việc sử dụng thiết bị bảo vệ bổ sung);

· chấp nhận rủi ro (bằng cách xây dựng kế hoạch hành động trong điều kiện thích hợp):

· chuyển hướng rủi ro (ví dụ: bằng cách ký kết hợp đồng bảo hiểm).

Quá trình quản lý rủi ro có thể được chia thành các giai đoạn sau:

1.Lựa chọn các đối tượng cần phân tích và mức độ chi tiết của việc xem xét chúng.

2.Lựa chọn phương pháp đánh giá rủi ro.

.Nhận dạng tài sản.

.Phân tích các mối đe dọa và hậu quả của chúng, xác định các lỗ hổng bảo mật.

.Đánh giá rủi ro.

.Lựa chọn các biện pháp bảo vệ.

.Thực hiện và thử nghiệm các biện pháp đã lựa chọn.

.Đánh giá rủi ro tồn dư.

Giai đoạn 6 liên quan đến việc lựa chọn thiết bị bảo vệ (vô hiệu hóa rủi ro), phần còn lại - đánh giá rủi ro.

Việc liệt kê các giai đoạn cho thấy quản lý rủi ro là một quá trình mang tính chu kỳ. Về cơ bản, bước cuối cùng là câu lệnh kết thúc vòng lặp hướng dẫn bạn quay lại từ đầu. Rủi ro phải được theo dõi liên tục, định kỳ đánh giá lại chúng. Cần lưu ý rằng việc đánh giá được ghi chép đầy đủ và cẩn thận có thể đơn giản hóa đáng kể các hoạt động tiếp theo.

Quản lý rủi ro, giống như bất kỳ hoạt động bảo mật thông tin nào khác, phải được tích hợp vào vòng đời IS. Khi đó hiệu quả là lớn nhất và chi phí là tối thiểu.

Quản lý rủi ro phải được thực hiện ở tất cả các giai đoạn trong vòng đời của hệ thống thông tin: khởi tạo - phát triển - cài đặt - vận hành - hủy bỏ (ngừng hoạt động).

Ở giai đoạn bắt đầu, các rủi ro đã biết cần được tính đến khi phát triển các yêu cầu cho hệ thống nói chung và các tính năng bảo mật nói riêng.

Trong giai đoạn phát triển, kiến ​​thức về rủi ro giúp lựa chọn các giải pháp kiến ​​trúc phù hợp, đóng vai trò chính trong việc đảm bảo an ninh.

Trong giai đoạn cài đặt, cần tính đến các rủi ro đã xác định khi định cấu hình, kiểm tra và xác minh công thức trước đó

yêu cầu và chu trình quản lý rủi ro đầy đủ phải diễn ra trước khi triển khai hệ thống vào vận hành.

Trong giai đoạn vận hành, quản lý rủi ro phải đi kèm với tất cả những thay đổi quan trọng đối với hệ thống.

Khi ngừng hoạt động một hệ thống, quản lý rủi ro giúp đảm bảo rằng việc di chuyển dữ liệu diễn ra một cách an toàn.

Chương II. Tiêu chuẩn bảo mật thông tin

1 Điều kiện tiên quyết để xây dựng tiêu chuẩn an toàn thông tin

Việc tiến hành kiểm toán an ninh thông tin dựa trên việc sử dụng nhiều khuyến nghị được nêu chủ yếu trong các tiêu chuẩn an ninh thông tin quốc tế.

Một trong những kết quả của cuộc kiểm toán trong những năm gần đây ngày càng trở thành chứng chỉ chứng nhận sự tuân thủ của IP được kiểm tra với một tiêu chuẩn quốc tế được công nhận nhất định. Sự hiện diện của chứng chỉ như vậy cho phép tổ chức đạt được lợi thế cạnh tranh gắn liền với sự tin tưởng lớn hơn từ khách hàng và đối tác.

Việc sử dụng các tiêu chuẩn giúp đạt được năm mục tiêu sau.

Thứ nhất, mục tiêu đảm bảo an toàn thông tin của hệ thống máy tính được xác định chặt chẽ. Thứ hai, một hệ thống quản lý an ninh thông tin hiệu quả được tạo ra. Thứ ba, nó cung cấp tính toán một bộ chỉ số chi tiết, không chỉ định tính mà còn cả định lượng để đánh giá mức độ tuân thủ bảo mật thông tin với các mục tiêu đã nêu. Thứ tư, tạo điều kiện cho việc sử dụng các công cụ (phần mềm) bảo mật thông tin hiện có và đánh giá hiện trạng của nó. Thứ năm, nó mở ra khả năng sử dụng các kỹ thuật quản lý bảo mật với hệ thống thước đo và biện pháp có cơ sở đảm bảo cho các nhà phát triển hệ thống thông tin.

Kể từ đầu những năm 80, hàng chục tiêu chuẩn quốc tế và quốc gia trong lĩnh vực an ninh thông tin đã được tạo ra, ở một mức độ nhất định, chúng bổ sung cho nhau. Dưới đây chúng tôi sẽ xem xét các tiêu chuẩn nổi tiếng nhất theo trình tự thời gian tạo ra chúng:

)Tiêu chí đánh giá độ tin cậy của hệ thống máy tính “Orange Book” (Mỹ);

)Tiêu chí hài hòa của các nước châu Âu;

)Khuyến nghị X.800;

)BSI tiêu chuẩn Đức;

)Tiêu chuẩn Anh BS 7799;

)tiêu chuẩn ISO 17799;

)Tiêu chuẩn “Tiêu chí chung” ISO 15408;

)tiêu chuẩn COBIT

Các tiêu chuẩn này có thể được chia thành hai loại:

· Tiêu chuẩn đánh giá nhằm phân loại hệ thống thông tin và biện pháp bảo mật theo yêu cầu bảo mật;

· Thông số kỹ thuật quy định các khía cạnh khác nhau của việc thực hiện các biện pháp an ninh.

Điều quan trọng cần lưu ý là không có khoảng trống giữa các loại quy định này. Các tiêu chuẩn đánh giá nêu bật các khía cạnh quan trọng nhất của bảo mật thông tin từ quan điểm bảo mật thông tin, đóng vai trò là thông số kỹ thuật kiến ​​trúc. Các thông số kỹ thuật khác xác định cách xây dựng IC theo kiến ​​trúc quy định.

2 Tiêu chuẩn “Tiêu chí đánh giá độ tin cậy của hệ thống máy tính” (Orange Book)

Trong lịch sử, tiêu chuẩn đánh giá đầu tiên trở nên phổ biến và có tác động rất lớn đến cơ sở tiêu chuẩn hóa an ninh thông tin ở nhiều quốc gia là tiêu chuẩn “Tiêu chí đánh giá cho hệ thống máy tính đáng tin cậy” của Bộ Quốc phòng Hoa Kỳ.

Tác phẩm này, thường được gọi là “Cuốn sách màu cam” theo màu bìa, được xuất bản lần đầu vào tháng 8 năm 1983. Chỉ riêng tên của nó đã cần bình luận. Chúng ta không nói về các hệ thống an toàn mà là về các hệ thống đáng tin cậy, tức là các hệ thống có thể được cấp một mức độ tin cậy nhất định.

Sách Cam giải thích khái niệm về một hệ thống an toàn “kiểm soát, bằng các phương tiện thích hợp, quyền truy cập vào thông tin để chỉ những cá nhân hoặc quy trình được ủy quyền phù hợp thay mặt họ mới được phép đọc, viết, tạo và xóa thông tin”.

Tuy nhiên, rõ ràng là các hệ thống an toàn tuyệt đối không tồn tại; đây là một điều trừu tượng. Sẽ rất hợp lý khi chỉ đánh giá mức độ tin cậy có thể được đặt vào một hệ thống cụ thể.

Orange Book định nghĩa một hệ thống đáng tin cậy là “một hệ thống sử dụng đủ phần cứng và phần mềm để cho phép một nhóm người dùng xử lý đồng thời thông tin ở các mức độ nhạy cảm khác nhau mà không vi phạm quyền truy cập”.

Cần lưu ý rằng trong các tiêu chí đang được xem xét, cả tính bảo mật và độ tin cậy đều được đánh giá chỉ từ quan điểm kiểm soát truy cập dữ liệu, đây là một trong những phương tiện đảm bảo tính bảo mật và toàn vẹn của thông tin. Tuy nhiên, Orange Book không giải quyết được các vấn đề về khả năng tiếp cận.

Mức độ tin cậy được đánh giá theo hai tiêu chí chính.

.Chính sách bảo mật là một bộ luật, quy tắc và quy tắc ứng xử xác định cách tổ chức xử lý, bảo vệ và phổ biến thông tin. Đặc biệt, các quy tắc xác định khi nào người dùng có thể thao tác trên các bộ dữ liệu cụ thể. Mức độ tin cậy của hệ thống càng cao thì chính sách bảo mật càng chặt chẽ và đa dạng. Tùy thuộc vào chính sách được xây dựng, các cơ chế bảo mật cụ thể có thể được lựa chọn. Chính sách bảo mật là một khía cạnh tích cực của việc bảo vệ, bao gồm việc phân tích các mối đe dọa có thể xảy ra và lựa chọn các biện pháp đối phó.

.Mức độ đảm bảo là thước đo độ tin cậy có thể được đặt vào kiến ​​trúc và triển khai IS. Độ tin cậy về bảo mật có thể xuất phát từ cả việc phân tích kết quả kiểm tra và từ việc xác minh (chính thức hoặc không) về thiết kế tổng thể và triển khai toàn bộ hệ thống cũng như các thành phần riêng lẻ của nó. Mức độ đảm bảo cho thấy các cơ chế chịu trách nhiệm thực hiện chính sách bảo mật chính xác đến mức nào. Đây là khía cạnh thụ động của sự bảo vệ.

Phương tiện chính để đảm bảo an ninh được xác định bởi cơ chế trách nhiệm giải trình (ghi nhật ký). Hệ thống đáng tin cậy phải ghi lại tất cả các sự kiện bảo mật. Việc lưu giữ hồ sơ cần được bổ sung bằng cách kiểm tra, tức là phân tích thông tin đăng ký. Khái niệm cơ sở tính toán đáng tin cậy là trọng tâm để đánh giá mức độ tin cậy về bảo mật. Cơ sở tính toán đáng tin cậy là một tập hợp các cơ chế bảo mật IS (bao gồm phần cứng và phần mềm) chịu trách nhiệm thực thi chính sách bảo mật. Chất lượng của cơ sở tính toán chỉ được xác định bởi việc triển khai nó và tính chính xác của dữ liệu ban đầu được quản trị viên hệ thống nhập vào.

Các thành phần được đề cập bên ngoài cơ sở máy tính có thể không đáng tin cậy, nhưng điều này sẽ không ảnh hưởng đến tính bảo mật của toàn bộ hệ thống. Do đó, để đánh giá độ tin cậy về bảo mật của một hệ thống thông tin, các tác giả của tiêu chuẩn khuyến nghị chỉ nên xem xét cơ sở tính toán của nó.

Mục đích chính của cơ sở điện toán đáng tin cậy là thực hiện các chức năng của trình giám sát cuộc gọi, nghĩa là kiểm soát khả năng chấp nhận của các chủ thể (người dùng) thực hiện một số thao tác nhất định trên các đối tượng (thực thể thụ động). Màn hình sẽ kiểm tra quyền truy cập của mỗi người dùng vào chương trình hoặc dữ liệu để đảm bảo tính nhất quán với tập hợp hành động được phép cho người dùng.

Trình giám sát cuộc gọi phải có ba phẩm chất:

Sự cách ly. Cần phải ngăn chặn màn hình bị theo dõi.

Sự hoàn thiện. Màn hình phải được gọi trong mọi cuộc gọi; không có cách nào để bỏ qua nó.

Kiểm chứng được. Màn hình phải nhỏ gọn để có thể phân tích và kiểm tra một cách tự tin rằng quá trình kiểm tra sẽ hoàn tất.

Việc triển khai trình giám sát truy cập được gọi là hạt nhân bảo mật. Lõi bảo mật là nền tảng trên đó tất cả các cơ chế bảo mật được xây dựng. Ngoài các thuộc tính giám sát truy cập được liệt kê ở trên, kernel phải đảm bảo tính bất biến của chính nó.

Ranh giới của cơ sở điện toán đáng tin cậy được gọi là vành đai bảo mật. Như đã nêu, các thành phần bên ngoài phạm vi bảo mật nói chung có thể không đáng tin cậy. Với sự phát triển của các hệ thống phân tán, khái niệm “chu vi an ninh” ngày càng được mang một ý nghĩa khác, đó là ranh giới tài sản của một tổ chức nào đó. Những gì bên trong tài sản được coi là đáng tin cậy, nhưng những gì bên ngoài thì không.

Theo Orange Book, một chính sách bảo mật nhất thiết phải bao gồm các yếu tố sau:

· kiểm soát truy cập ngẫu nhiên;

· an toàn tái sử dụng đồ vật;

· nhãn bảo mật;

· kiểm soát truy cập bắt buộc.

Kiểm soát truy cập ngẫu nhiên là một phương pháp hạn chế quyền truy cập vào các đối tượng, dựa trên việc tính đến danh tính của chủ thể hoặc nhóm mà chủ thể đó thuộc về. Kiểm soát tùy tiện là việc một người nào đó (thường là chủ sở hữu của một đối tượng) có thể tùy ý cấp hoặc tước bỏ quyền truy cập vào đối tượng của các chủ thể khác.

Bảo mật tái sử dụng đối tượng là một bổ sung quan trọng cho các biện pháp kiểm soát truy cập nhằm ngăn chặn thông tin nhạy cảm bị vô tình hoặc cố ý loại bỏ khỏi thùng rác. Bảo mật tái sử dụng phải được đảm bảo cho các vùng RAM (đặc biệt, đối với bộ đệm có hình ảnh màn hình, mật khẩu được giải mã, v.v.), cho các khối đĩa và phương tiện từ tính nói chung.

3 Tiêu chuẩn BSI của Đức

Năm 1998, “Hướng dẫn bảo mật công nghệ thông tin cấp độ cơ bản” được xuất bản ở Đức. Hướng dẫn sử dụng là một siêu văn bản có dung lượng khoảng 4 MB (định dạng HTML). Sau đó nó được chính thức hóa thành tiêu chuẩn BSI của Đức. Nó dựa trên phương pháp chung và các thành phần của quản lý bảo mật thông tin:

· Phương pháp chung về quản lý bảo mật thông tin (tổ chức quản lý trong lĩnh vực bảo mật thông tin, phương pháp sử dụng sổ tay).

· Mô tả các thành phần của công nghệ thông tin hiện đại.

· Các thành phần chính (cấp tổ chức bảo mật thông tin, cấp thủ tục, tổ chức bảo vệ dữ liệu, lập kế hoạch khẩn cấp).

· Cơ sở hạ tầng (tòa nhà, mặt bằng, mạng cáp, tổ chức truy cập từ xa).

· Các thành phần máy khách thuộc nhiều loại khác nhau (DOS, Windows, UNIX, thành phần di động, các loại khác).

· Các loại mạng khác nhau (kết nối điểm-điểm, mạng Novell NetWare, mạng có OC ONIX và Windows, mạng không đồng nhất).

· Các thành phần của hệ thống truyền dữ liệu (e-mail, modem, tường lửa, v.v.).

· Viễn thông (fax, máy trả lời tự động, hệ thống tích hợp dựa trên ISDN, các hệ thống viễn thông khác).

· Phần mềm chuẩn.

· Cơ sở dữ liệu.

· Mô tả các thành phần chính của việc tổ chức chế độ bảo mật thông tin (cấp độ tổ chức và kỹ thuật bảo vệ dữ liệu, lập kế hoạch khẩn cấp, hỗ trợ kinh doanh liên tục).

· Đặc điểm của đối tượng thông tin (tòa nhà, cơ sở, mạng cáp, khu vực được kiểm soát).

· Đặc điểm của tài sản thông tin chính của công ty (bao gồm phần cứng và phần mềm, chẳng hạn như máy trạm và máy chủ chạy hệ điều hành DOS, Windows và UNIX).

· Đặc điểm của mạng máy tính dựa trên các công nghệ mạng khác nhau, chẳng hạn như mạng Novell Net Ware, mạng UNIX và Windows).

· Đặc điểm của thiết bị viễn thông chủ động và thụ động từ các nhà cung cấp hàng đầu, ví dụ như Cisco Systems.

· Danh mục chi tiết về các mối đe dọa an ninh và biện pháp kiểm soát (hơn 600 mục trong mỗi danh mục).

Tất cả các loại mối đe dọa trong tiêu chuẩn BSI được chia thành các loại sau:

· Trường hợp bất khả kháng.

· Nhược điểm của các biện pháp tổ chức.

· Những sai lầm của con người.

· Vấn đề kỹ thuật.

· Những hành động có chủ ý.

Các biện pháp đối phó được phân loại tương tự:

· Cải thiện cơ sở hạ tầng;

· Các biện pháp đối phó hành chính;

· Các biện pháp đối phó mang tính thủ tục;

· Các biện pháp đối phó phần mềm và phần cứng;

· Giảm tính dễ bị tổn thương của truyền thông; lập kế hoạch khẩn cấp.

Tất cả các thành phần được xem xét và mô tả theo sơ đồ sau:

)mô tả chung;

)các tình huống có thể xảy ra về các mối đe dọa bảo mật (các mối đe dọa áp dụng cho thành phần này được liệt kê từ danh mục các mối đe dọa bảo mật);

)các biện pháp đối phó có thể có (các mối đe dọa áp dụng cho thành phần này từ danh mục các mối đe dọa bảo mật được liệt kê);

4 Tiêu chuẩn Anh BS 7799

8.1. Khái niệm kiểm tra an toàn thông tin

Kiểm toán an ninh thông tin (IS) là một trong những lĩnh vực quản lý chiến lược và vận hành phù hợp và phát triển năng động nhất trong lĩnh vực bảo mật máy tính và luôn được các chuyên gia quan tâm. Nhiệm vụ chính của nó là đánh giá khách quan hiện trạng bảo mật thông tin của tổ chức, cũng như mức độ phù hợp của nó với các mục tiêu và mục tiêu của doanh nghiệp.

Kiểm toán an ninh thông tin được hiểu là một quy trình có hệ thống nhằm thu thập các đánh giá định tính và định lượng khách quan về hiện trạng an ninh thông tin của một tổ chức theo các tiêu chí và chỉ số nhất định ở tất cả các cấp độ an ninh chính: quy định và phương pháp, tổ chức và quản lý, thủ tục và phần mềm và kỹ thuật.

Kết quả đánh giá đủ điều kiện về bảo mật thông tin của tổ chức giúp xây dựng một hệ thống bảo mật thông tin (ISMS) tối ưu về hiệu quả và chi phí, là một tập hợp các phương tiện kỹ thuật cũng như các biện pháp thủ tục, tổ chức và pháp lý , được kết hợp trên cơ sở mô hình quản lý bảo mật thông tin.

Kết quả của việc kiểm toán có thể thu được cả đánh giá định tính và định lượng. Ví dụ: trong đánh giá định tính, danh sách các lỗ hổng trong phần mềm và phần cứng có thể được cung cấp cùng với phân loại theo thang mức độ nghiêm trọng ba cấp: cao, trung bình và thấp. Đánh giá định lượng thường được sử dụng nhất khi đánh giá rủi ro đối với tài sản của tổ chức do các mối đe dọa an ninh gây ra. Ước tính định lượng có thể là, ví dụ, giá rủi ro, xác suất rủi ro, quy mô rủi ro, v.v.

Đặc biệt, tính khách quan của cuộc kiểm toán được đảm bảo bởi thực tế là việc đánh giá trạng thái IS được thực hiện bởi các chuyên gia trên cơ sở một phương pháp cụ thể cho phép phân tích khách quan tất cả các thành phần của ISMS.

Kiểm tra IS có thể là một dịch vụ được cung cấp bởi các công ty chuyên ngành; tuy nhiên, tổ chức phải tiến hành kiểm tra IS nội bộ, chẳng hạn như do quản trị viên bảo mật thực hiện.

Theo truyền thống, có ba loại kiểm tra an ninh thông tin, khác nhau ở danh sách các thành phần ISMS được phân tích và kết quả thu được:

− đánh giá chủ động;

− kiểm toán chuyên môn;

− kiểm tra việc tuân thủ các tiêu chuẩn bảo mật thông tin.

8.1.1. Kiểm tra tích cực

Kiểm tra tích cực là kiểm tra trạng thái bảo mật của một số hệ thống con bảo mật thông tin (ISS) nhất định liên quan đến cấp độ phần mềm và phần cứng. Ví dụ: một tùy chọn kiểm tra hoạt động được gọi là kiểm tra thâm nhập bao gồm việc kiểm tra hệ thống con bảo mật truyền thông mạng. Kiểm toán tích cực bao gồm:

− phân tích kiến ​​trúc hiện tại và cài đặt của các phần tử PIB;

− phỏng vấn những người có trách nhiệm và quan tâm;

− thực hiện kiểm tra công cụ bao gồm một số

Việc phân tích kiến ​​trúc và cài đặt của các phần tử PIB được thực hiện bởi các chuyên gia có kiến ​​thức về các hệ thống con cụ thể được trình bày

V. hệ thống đang được kiểm tra (ví dụ: nó có thể yêu cầu các chuyên gia về thiết bị mạng đang hoạt động của Cisco hoặc hệ điều hành Microsoft), cũng như các nhà phân tích hệ thống xác định các sai sót có thể xảy ra trong việc tổ chức các hệ thống con. Kết quả của phân tích này là một bộ câu hỏi và bài kiểm tra công cụ.

Bảng câu hỏi được sử dụng trong quá trình phỏng vấn những người chịu trách nhiệm quản lý AIS để có được các đặc điểm chủ quan của AIS, để làm rõ dữ liệu ban đầu nhận được và xác định một số biện pháp được thực hiện trong ISMS. Ví dụ: bảng câu hỏi có thể bao gồm các câu hỏi liên quan đến chính sách thay đổi và gán mật khẩu, vòng đời của hệ thống thông tin tự động và mức độ quan trọng của các hệ thống con riêng lẻ đối với hệ thống thông tin tự động và toàn bộ quy trình kinh doanh của tổ chức.

Song song với việc phỏng vấn, việc kiểm tra (kiểm tra) công cụ được thực hiện, có thể bao gồm các hoạt động sau:

− kiểm tra trực quan cơ sở, kiểm tra hệ thống kiểm soát truy cập vào cơ sở;

− lấy cấu hình và phiên bản của thiết bị và phần mềm;

− kiểm tra sự tuân thủ của cấu hình thực với dữ liệu ban đầu được cung cấp;

− lấy bản đồ mạng bằng phần mềm chuyên dụng;

− sử dụng máy quét an ninh (cả phổ thông và chuyên dụng);

− mô hình hóa các cuộc tấn công khai thác lỗ hổng hệ thống;

− kiểm tra sự hiện diện của phản hồi đối với các hành động được phát hiện bởi cơ chế phản hồi và phát hiện tấn công.

Kiểm toán viên có thể tiến hành từ các mô hình sau để mô tả mức độ hiểu biết của mình về AIS được điều tra (mô hình kiến ​​thức):

− Mô hình “hộp đen” – kiểm toán viên không có bất kỳ kiến ​​thức sơ đẳng nào về AIS đang được nghiên cứu. Ví dụ: khi tiến hành một tài sản bên ngoài

Trong quá trình kiểm tra chung (nghĩa là trong tình huống mô phỏng hành động của kẻ tấn công nằm ngoài mạng đang được nghiên cứu), kiểm toán viên có thể chỉ biết tên hoặc địa chỉ IP của máy chủ web, cố gắng tìm các lỗ hổng trong khả năng bảo vệ của nó. ;

− Mô hình “hộp trắng” – kiểm toán viên có đầy đủ kiến ​​thức về cấu trúc của mạng đang nghiên cứu. Ví dụ, kiểm toán viên có thể có bản đồ và sơ đồ các phân đoạn mạng đang được nghiên cứu, danh sách các hệ điều hành và ứng dụng. Việc sử dụng mô hình này không mô phỏng đầy đủ hành động thực tế của kẻ tấn công, tuy nhiên cho phép chúng ta tưởng tượng ra kịch bản “xấu nhất” khi kẻ tấn công có kiến ​​thức đầy đủ về mạng. Ngoài ra, điều này cho phép bạn xây dựng một kịch bản kiểm tra tích cực theo cách mà các thử nghiệm công cụ gây ra hậu quả tối thiểu cho AIS và không làm gián đoạn hoạt động bình thường của nó;

− Mô hình “hộp xám” hoặc “hộp pha lê” - kiểm toán viên mô phỏng hành động của người dùng AIS nội bộ có tài khoản truy cập mạng với một cấp độ quyền hạn nhất định. Mô hình này cho phép bạn đánh giá rủi ro liên quan đến các mối đe dọa nội bộ, ví dụ như từ những nhân viên công ty không đáng tin cậy.

Đánh giá viên phải thống nhất về từng bài kiểm tra, mô hình kiến ​​thức được sử dụng trong bài kiểm tra và những hậu quả tiêu cực có thể xảy ra của bài kiểm tra với những người quan tâm đến hoạt động liên tục của AIS (người quản lý, quản trị viên hệ thống, v.v.).

Dựa trên kết quả kiểm tra thiết bị, kết quả phân tích sơ bộ sẽ được sửa đổi và có thể tổ chức một cuộc kiểm tra bổ sung (Hình 8.1).

Kiểm tra nhạc cụ

Cơm. 8.1. Đề án tiến hành kiểm tra IS tích cực

Dựa trên kết quả kiểm tra đang hoạt động, một báo cáo phân tích sẽ được tạo, bao gồm mô tả về trạng thái hiện tại của phần kỹ thuật của ISMS, danh sách các lỗ hổng AIS được tìm thấy cùng với mức độ nghiêm trọng của chúng và kết quả của rủi ro được đơn giản hóa đánh giá, bao gồm mô hình kẻ xâm nhập và mô hình mối đe dọa.

Ngoài ra, có thể xây dựng một kế hoạch làm việc để hiện đại hóa phần kỹ thuật của ISMS, bao gồm danh sách các khuyến nghị để xử lý rủi ro.

8.1.2. Kiểm toán chuyên gia

Kiểm toán của chuyên gia nhằm đánh giá hiện trạng an toàn thông tin ở các cấp độ quy định, phương pháp, tổ chức, quản lý và thủ tục. Đánh giá của chuyên gia được thực hiện chủ yếu bởi các kiểm toán viên bên ngoài và được thực hiện bởi các chuyên gia quản lý hệ thống. Nhân viên của tổ chức kiểm toán cùng với đại diện của khách hàng thực hiện các loại công việc sau:

− thu thập dữ liệu ban đầu về AIS, các chức năng và tính năng của nó, các công nghệ được sử dụng để xử lý và truyền thông tin tự động (có tính đến triển vọng phát triển trước mắt);

− thu thập thông tin về hiện tại các tài liệu tổ chức và hành chính về hỗ trợ bảo mật thông tin và phân tích chúng;

− Định nghĩa tài sản được bảo vệ, vai trò và quy trình ISMS.

Công cụ quan trọng nhất để đánh giá của chuyên gia là thu thập dữ liệu về AIS thông qua các cuộc phỏng vấn với các chuyên gia kỹ thuật và quản lý khách hàng.

Mục tiêu chính của việc phỏng vấn ban quản lý của tổ chức:

− xác định chính sách và chiến lược quản lý trong các vấn đề đảm bảo

− xác định các mục tiêu được đặt ra cho ISMS;

− làm rõ các yêu cầu đối với ISMS;

− thu thập ước tính về mức độ quan trọng của một số hệ thống con xử lý thông tin nhất định, ước tính tổn thất tài chính khi xảy ra sự cố nhất định.

Mục tiêu chính của việc phỏng vấn các chuyên gia kỹ thuật:

− thu thập thông tin về hoạt động của AIS;

− có được sơ đồ luồng thông tin trong AIS;

− thu thập thông tin về phần kỹ thuật của ISMS;

− đánh giá hiệu quả của hoạt động ISMS.

TRONG Là một phần của kiểm toán chuyên gia, việc phân tích các tài liệu tổ chức và hành chính được thực hiện, chẳng hạn như chính sách bảo mật, kế hoạch bảo vệ, các quy định và hướng dẫn khác nhau. Các tài liệu hành chính của tổ chức được đánh giá về tính đầy đủ và nhất quán với các mục tiêu và biện pháp bảo mật thông tin đã tuyên bố cũng như sự tuân thủ chính sách quản lý chiến lược về các vấn đề an toàn thông tin.

Kết quả đánh giá của chuyên gia có thể chứa các khuyến nghị để cải thiện các thành phần quy định, phương pháp, tổ chức, quản lý và thủ tục của ISMS.

Kiểm toán an ninh thông tin không chỉ có thể trao cho ngân hàng quyền thực hiện một số loại hoạt động nhất định mà còn chỉ ra những điểm yếu trong hệ thống của ngân hàng. Vì vậy, cần có cách tiếp cận cân bằng để đưa ra quyết định tiến hành và lựa chọn hình thức kiểm toán.

Theo Luật Liên bang ngày 30 tháng 12 năm 2008 số 307-FZ “Về hoạt động kiểm toán”, kiểm toán là “việc xác minh độc lập các báo cáo kế toán (tài chính) của đơn vị được kiểm toán nhằm đưa ra ý kiến ​​về độ tin cậy của các báo cáo đó. các câu lệnh." Thuật ngữ được đề cập trong luật này không liên quan gì đến bảo mật thông tin. Tuy nhiên, thực tế là các chuyên gia bảo mật thông tin sử dụng nó khá tích cực trong bài phát biểu của họ. Trong trường hợp này, kiểm toán đề cập đến quá trình đánh giá độc lập các hoạt động của một tổ chức, hệ thống, quy trình, dự án hoặc sản phẩm. Đồng thời, người ta phải hiểu rằng trong nhiều quy định trong nước, thuật ngữ “kiểm toán an toàn thông tin” không phải lúc nào cũng được sử dụng - nó thường được thay thế bằng thuật ngữ “đánh giá sự phù hợp” hoặc thuật ngữ “chứng nhận” hơi lỗi thời nhưng vẫn được sử dụng. Đôi khi thuật ngữ “chứng nhận” cũng được sử dụng nhưng liên quan đến các quy định quốc tế của nước ngoài. Kiểm tra bảo mật thông tin được thực hiện để xác minh việc tuân thủ các quy định hoặc để xác minh tính hợp lệ và bảo mật của các giải pháp được sử dụng. Nhưng bất kể thuật ngữ nào được sử dụng, về bản chất, việc kiểm tra an ninh thông tin đều được thực hiện để xác minh việc tuân thủ các quy định hoặc để xác minh tính hợp lệ và tính bảo mật của các giải pháp được sử dụng. Trong trường hợp thứ hai, việc kiểm toán là tự nguyện và quyết định tiến hành nó là do chính tổ chức đưa ra. Trong trường hợp đầu tiên, không thể từ chối tiến hành kiểm toán, vì điều này dẫn đến vi phạm các yêu cầu do quy định đặt ra, dẫn đến hình phạt dưới hình thức phạt tiền, đình chỉ hoạt động hoặc các hình thức trừng phạt khác. Nếu việc đánh giá là bắt buộc thì việc đánh giá đó có thể được thực hiện bởi chính tổ chức, ví dụ, dưới hình thức tự đánh giá (tuy nhiên, trong trường hợp này không có chuyện nói đến “tính độc lập” và thuật ngữ “đánh giá” không hoàn toàn được áp dụng). sử dụng đúng ở đây), hoặc bởi các tổ chức độc lập - kiểm toán viên bên ngoài. Lựa chọn thứ ba để tiến hành kiểm toán bắt buộc là sự kiểm soát của các cơ quan quản lý được trao quyền để thực hiện các hoạt động giám sát phù hợp. Tùy chọn này thường được gọi là kiểm tra hơn là kiểm toán. Vì kiểm toán tự nguyện có thể được thực hiện vì bất kỳ lý do nào (để kiểm tra tính bảo mật của hệ thống ngân hàng từ xa, kiểm soát tài sản của ngân hàng được mua lại, kiểm tra chi nhánh mới mở, v.v.), chúng tôi sẽ không xem xét tùy chọn này. Trong trường hợp này, không thể vạch ra rõ ràng ranh giới của nó, cũng không thể mô tả các hình thức báo cáo cũng như không thể nói về tính thường xuyên - tất cả những điều này được quyết định bởi thỏa thuận giữa kiểm toán viên và tổ chức được kiểm toán. Vì vậy, chúng tôi sẽ chỉ xem xét các hình thức kiểm toán bắt buộc dành riêng cho các ngân hàng.

Tiêu chuẩn quốc tế ISO 27001

Đôi khi bạn có thể nghe về một ngân hàng cụ thể đang tiến hành kiểm tra việc tuân thủ các yêu cầu của tiêu chuẩn quốc tế “ISO/IEC 27001:2005” (tương đương đầy đủ bằng tiếng Nga là “GOST R ISO/IEC 27001-2006 - Công nghệ thông tin - Phương pháp và phương tiện đảm bảo an ninh hệ thống quản lý an toàn thông tin - Yêu cầu). Về bản chất, tiêu chuẩn này là một tập hợp các biện pháp thực hành tốt nhất để quản lý an ninh thông tin trong các tổ chức lớn (các tổ chức nhỏ, bao gồm cả ngân hàng, không phải lúc nào cũng có thể tuân thủ đầy đủ các yêu cầu của tiêu chuẩn này). Giống như bất kỳ tiêu chuẩn nào ở Nga, ISO 27001 là một tài liệu hoàn toàn tự nguyện mà mỗi ngân hàng quyết định chấp nhận hoặc không chấp nhận một cách độc lập. Nhưng ISO 27001 là một tiêu chuẩn thực tế trên toàn thế giới và các chuyên gia ở nhiều quốc gia sử dụng tiêu chuẩn này như một loại ngôn ngữ phổ quát để hướng dẫn các nỗ lực bảo mật thông tin của họ. Ngoài ra còn có một số điểm không rõ ràng và không thường được đề cập đến liên quan đến ISO 27001. Tuy nhiên, ISO 27001 cũng liên quan đến một số điểm ít rõ ràng hơn và ít được đề cập hơn. Thứ nhất, không phải toàn bộ hệ thống bảo mật thông tin của ngân hàng phải được kiểm toán theo tiêu chuẩn này mà chỉ một hoặc nhiều thành phần của nó. Ví dụ: hệ thống bảo mật ngân hàng từ xa, hệ thống bảo mật trụ sở chính ngân hàng hoặc hệ thống bảo mật quy trình quản lý nhân sự. Nói cách khác, việc nhận được giấy chứng nhận phù hợp cho một trong các quy trình được đánh giá như một phần của cuộc đánh giá không đảm bảo rằng các quy trình còn lại đều ở trạng thái gần như lý tưởng. Điểm thứ hai liên quan đến thực tế rằng ISO 27001 là một tiêu chuẩn phổ quát, nghĩa là có thể áp dụng cho bất kỳ tổ chức nào và do đó không tính đến các đặc thù của một ngành cụ thể. Điều này dẫn đến thực tế là trong khuôn khổ tổ chức quốc tế về tiêu chuẩn hóa ISO, từ lâu đã có cuộc thảo luận về việc tạo ra tiêu chuẩn ISO 27015, là bản dịch của ISO 27001/27002 cho ngành tài chính. Ngân hàng Nga cũng tham gia tích cực vào việc phát triển tiêu chuẩn này. Tuy nhiên, Visa và MasterCard phản đối dự thảo tiêu chuẩn này vốn đã được phát triển. Người đầu tiên tin rằng tiêu chuẩn dự thảo chứa quá ít thông tin cần thiết cho ngành tài chính (ví dụ: về hệ thống thanh toán) và nếu nó được thêm vào đó, tiêu chuẩn này sẽ phải được chuyển sang ủy ban ISO khác. MasterCard cũng đề xuất ngừng phát triển ISO 27015, nhưng động lực thì khác - họ nói, ngành tài chính đã có đầy đủ tài liệu quy định về chủ đề bảo mật thông tin. Thứ ba, cần lưu ý rằng nhiều đề xuất được tìm thấy trên thị trường Nga không nói về kiểm toán tuân thủ mà nói về việc chuẩn bị cho một cuộc kiểm toán. Thực tế là chỉ có một số tổ chức trên thế giới có quyền chứng nhận tuân thủ các yêu cầu của ISO 27001. Các nhà tích hợp chỉ giúp các công ty đáp ứng các yêu cầu của tiêu chuẩn, sau đó sẽ được kiểm tra viên chính thức xác minh (họ còn được gọi là nhà đăng ký, tổ chức chứng nhận, v.v.). Trong khi cuộc tranh luận vẫn tiếp tục về việc liệu các ngân hàng có nên triển khai ISO 27001 hay không, một số người dũng cảm đã thực hiện và trải qua 3 giai đoạn đánh giá tuân thủ:

• Kiểm toán viên kiểm tra sơ bộ không chính thức các tài liệu quan trọng (cả trong và ngoài cơ sở của khách hàng kiểm toán).
• Kiểm toán chính thức và chuyên sâu hơn về các biện pháp bảo vệ đã thực hiện, đánh giá hiệu quả của chúng và nghiên cứu các tài liệu cần thiết đã được phát triển. Giai đoạn này thường kết thúc bằng việc xác nhận sự tuân thủ và kiểm toán viên sẽ cấp chứng chỉ tương ứng được công nhận trên toàn thế giới.
• Thực hiện kiểm tra kiểm tra hàng năm để xác nhận giấy chứng nhận phù hợp đã đạt được trước đó.

Ai cần ISO 27001 ở Nga? Nếu chúng tôi coi tiêu chuẩn này không chỉ là một tập hợp các biện pháp thực hành tốt nhất có thể được triển khai mà không cần kiểm toán mà còn là một quy trình chứng nhận biểu thị sự xác nhận về việc ngân hàng tuân thủ các yêu cầu bảo mật được quốc tế công nhận thì ISO 27001 cũng có ý nghĩa để triển khai. bởi các ngân hàng là thành viên của các nhóm ngân hàng quốc tế, trong đó ISO 27001 là tiêu chuẩn hoặc cho các ngân hàng có kế hoạch tham gia vào trường quốc tế. Trong các trường hợp khác, theo tôi, việc đánh giá việc tuân thủ ISO 27001 và lấy chứng chỉ là không cần thiết. Nhưng chỉ dành cho ngân hàng và chỉ ở Nga. Và tất cả là do chúng tôi có các tiêu chuẩn riêng của mình, được xây dựng trên cơ sở ISO 27001. Trên thực tế, các cuộc thanh tra của Ngân hàng Nga cho đến gần đây đã được thực hiện chính xác theo các yêu cầu của STO BR IBBS.

Bộ tài liệu của Ngân hàng Nga STO BR IBBS

Tiêu chuẩn như vậy, hay đúng hơn là một bộ tiêu chuẩn, là một bộ tài liệu của Ngân hàng Nga, trong đó mô tả cách tiếp cận thống nhất để xây dựng hệ thống bảo mật thông tin cho các tổ chức ngân hàng có tính đến các yêu cầu của pháp luật Nga. Bộ tài liệu này (sau đây gọi là STO BR IBBS), bao gồm ba tiêu chuẩn và năm khuyến nghị về tiêu chuẩn hóa, dựa trên ISO 27001 và một số tiêu chuẩn quốc tế khác về quản lý công nghệ thông tin và bảo mật thông tin. Các vấn đề về kiểm tra và đánh giá việc tuân thủ các yêu cầu của tiêu chuẩn, như đối với ISO 27001, được nêu trong các tài liệu riêng biệt - “STO BR IBBS-1.1-2007. Kiểm tra an ninh thông tin", "STO BR IBBS-1.2-2010. Phương pháp đánh giá sự tuân thủ an ninh thông tin của các tổ chức thuộc hệ thống ngân hàng Liên bang Nga với các yêu cầu của STO BR IBBS-1.0-2010" và "RS BR IBBS-2.1-2007. Hướng dẫn tự đánh giá việc tuân thủ an toàn thông tin của các tổ chức thuộc hệ thống ngân hàng Liên bang Nga với các yêu cầu của STO BR IBBS-1.0.” Trong quá trình đánh giá sự phù hợp theo STO BR IBBS, việc thực hiện 423 chỉ số bảo mật thông tin cá nhân, được nhóm thành 34 chỉ số nhóm, sẽ được kiểm tra. Kết quả đánh giá là chỉ số cuối cùng, phải ở mức 4 hoặc 5 trên thang điểm 5 do Ngân hàng Nga thiết lập. Nhân tiện, điều này giúp phân biệt rõ ràng cuộc kiểm toán theo STO BR IBBS với cuộc kiểm toán theo các quy định khác trong lĩnh vực bảo mật thông tin. Trong STO BR IBBS không có sự mâu thuẫn, chỉ có mức độ tuân thủ có thể khác nhau: từ 0 đến 5. Và chỉ có mức trên 4 mới được coi là tích cực. Tính đến cuối năm 2011, có khoảng 70-75% ngân hàng đã triển khai hoặc đang trong quá trình triển khai bộ tiêu chuẩn này. Bất chấp mọi thứ, về bản chất chúng là lời khuyên hợp pháp, nhưng các cuộc kiểm tra trên thực tế đối với Ngân hàng Nga đã được thực hiện cho đến gần đây một cách chính xác theo yêu cầu của STO BR IBBS (mặc dù điều này chưa bao giờ được nêu rõ ràng ở bất kỳ đâu). Tình hình đã thay đổi kể từ ngày 1 tháng 7 năm 2012, khi luật “Về hệ thống thanh toán quốc gia” và các văn bản quy định của Chính phủ Nga và Ngân hàng Nga phát triển để thực thi luật này có hiệu lực đầy đủ. Kể từ thời điểm này, vấn đề cần phải tiến hành kiểm tra việc tuân thủ các yêu cầu của STO BR IBBS một lần nữa xuất hiện trong chương trình nghị sự. Thực tế là phương pháp đánh giá sự tuân thủ, được đề xuất trong khuôn khổ pháp luật về hệ thống thanh toán quốc gia (NPS) và phương pháp đánh giá sự tuân thủ STO BR IBBS có thể khác nhau rất nhiều về giá trị cuối cùng. Đồng thời, việc đánh giá bằng phương pháp đầu tiên (đối với NPS) đã trở thành bắt buộc, trong khi việc đánh giá bằng STO BR IBBS vẫn mang tính chất khuyến nghị về mặt pháp lý. Và tại thời điểm viết bài, bản thân Ngân hàng Nga vẫn chưa đưa ra quyết định về số phận tương lai của đánh giá này. Nếu trước đây tất cả các chủ đề đều tập trung tại Tổng cục An ninh và Bảo vệ Thông tin của Ngân hàng Nga (GUBZI), thì việc phân chia quyền lực giữa GUBZI và Cục Quản lý Thanh toán (LHH) vẫn là một câu hỏi bỏ ngỏ. Rõ ràng là các hành vi lập pháp về NPS yêu cầu đánh giá sự phù hợp bắt buộc, nghĩa là kiểm toán.

Pháp luật về hệ thống thanh toán quốc gia

Pháp luật về NPS chỉ mới ở giai đoạn đầu hình thành và nhiều văn bản mới đang chờ đợi chúng ta, bao gồm cả những văn bản về vấn đề đảm bảo an ninh thông tin. Nhưng rõ ràng là Quy định 382-P, được ban hành và phê duyệt vào ngày 9 tháng 6 năm 2012, “Về các yêu cầu đảm bảo bảo vệ thông tin khi thực hiện chuyển tiền và về thủ tục để Ngân hàng Nga giám sát việc tuân thủ các yêu cầu đối với đảm bảo bảo vệ thông tin khi thực hiện chuyển tiền” » yêu cầu tại đoạn 2.15 phải có đánh giá sự phù hợp bắt buộc, tức là kiểm toán. Việc đánh giá như vậy được thực hiện độc lập hoặc có sự tham gia của bên thứ ba. Như đã đề cập ở trên, đánh giá sự phù hợp được thực hiện trong khuôn khổ 382-P về bản chất tương tự như những gì được mô tả trong phương pháp đánh giá sự phù hợp của STO BR IBBS, nhưng tạo ra các kết quả hoàn toàn khác, liên quan đến việc đưa ra các hệ số hiệu chỉnh đặc biệt, quyết định những kết quả khác nhau. Quy định 382-P không đặt ra bất kỳ yêu cầu đặc biệt nào đối với các tổ chức tham gia kiểm toán, điều này mâu thuẫn với Nghị định của Chính phủ số 584 ngày 13 tháng 6 năm 2012 “Về bảo vệ thông tin trong hệ thống thanh toán”, cũng yêu cầu tổ chức và thực hiện giám sát, đánh giá việc tuân thủ yêu cầu bảo vệ thông tin 2 năm một lần. Tuy nhiên, Nghị định của Chính phủ do FSTEC xây dựng yêu cầu kiểm toán bên ngoài chỉ được thực hiện bởi các tổ chức được cấp phép hoạt động trong lĩnh vực bảo vệ kỹ thuật thông tin bí mật. Các yêu cầu bổ sung khó phân loại là một hình thức kiểm toán nhưng lại đặt ra những trách nhiệm mới đối với ngân hàng, được liệt kê trong phần 2.16 của Quy định 382-P. Theo các yêu cầu này, nhà điều hành hệ thống thanh toán có nghĩa vụ phát triển và các ngân hàng tham gia hệ thống thanh toán này có nghĩa vụ phải đáp ứng các yêu cầu về việc thông báo thường xuyên cho nhà điều hành hệ thống thanh toán về các vấn đề bảo mật thông tin khác nhau trong ngân hàng: về việc tuân thủ các yêu cầu bảo mật thông tin , về các sự cố đã được xác định, về việc tự đánh giá được thực hiện, về các mối đe dọa và điểm yếu đã được xác định. Ngoài việc kiểm toán được thực hiện trên cơ sở hợp đồng, Luật Liên bang số 161 về NPS cũng quy định rằng việc kiểm soát và giám sát việc tuân thủ các yêu cầu do Chính phủ Liên bang Nga đưa ra trong Nghị quyết 584 và Ngân hàng Nga trong Quy định 382 được thực hiện. lần lượt được đưa ra bởi FSB FSTEC và Ngân hàng Nga. Tại thời điểm viết bài, cả FSTEC và FSB đều chưa có quy trình được xây dựng để thực hiện giám sát như vậy, không giống như Ngân hàng Nga đã ban hành Quy định số 380-P ngày 31 tháng 5 năm 2012 “Về quy trình giám sát hệ thống thanh toán quốc gia” (đối với tổ chức tín dụng) và Quy định ngày 09/6/2012 số 381-P “Về quy trình giám sát việc tuân thủ của đơn vị vận hành hệ thống thanh toán và đơn vị cung cấp dịch vụ hạ tầng thanh toán không phải là tổ chức tín dụng theo yêu cầu của Luật Liên bang ngày 27/6/2011 Số 161-FZ “Về hệ thống thanh toán quốc gia” được thông qua theo quy định của Ngân hàng Nga.” Các hành vi pháp lý trong lĩnh vực bảo vệ thông tin trong hệ thống thanh toán quốc gia chỉ mới ở giai đoạn đầu của quá trình phát triển chi tiết. Vào ngày 1 tháng 7 năm 2012, Ngân hàng Nga bắt đầu thử nghiệm chúng và thu thập dữ kiện về thực tiễn thực thi pháp luật. Vì vậy, ngày nay còn quá sớm để nói về việc các quy định này sẽ được áp dụng như thế nào, việc giám sát theo 380-P sẽ được thực hiện như thế nào, những kết luận nào sẽ được rút ra dựa trên kết quả tự đánh giá được thực hiện 2 năm một lần và gửi đến Ngân hàng. của Nga.

Tiêu chuẩn bảo mật thẻ thanh toán PCI DSS

Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) là tiêu chuẩn bảo mật dữ liệu thẻ thanh toán được phát triển bởi Hội đồng tiêu chuẩn bảo mật ngành thẻ thanh toán (PCI SSC), được thiết lập bởi các hệ thống thanh toán quốc tế Visa, MasterCard, American Express, JCB và Discover. Tiêu chuẩn PCI DSS là bộ gồm 12 yêu cầu cấp cao và hơn 200 yêu cầu chi tiết nhằm đảm bảo an toàn dữ liệu về chủ thẻ thanh toán được truyền, lưu trữ và xử lý trong hệ thống thông tin của các tổ chức. Các yêu cầu của tiêu chuẩn áp dụng cho tất cả các công ty làm việc với hệ thống thanh toán quốc tế Visa và MasterCard. Tùy thuộc vào số lượng giao dịch được xử lý, mỗi công ty được ấn định một mức nhất định với bộ yêu cầu tương ứng mà các công ty này phải đáp ứng. Các mức này khác nhau tùy thuộc vào hệ thống thanh toán. Vượt qua cuộc kiểm toán thành công không có nghĩa là mọi thứ đều ổn với vấn đề bảo mật tại ngân hàng - có nhiều thủ thuật cho phép tổ chức được kiểm toán che giấu một số thiếu sót trong hệ thống bảo mật của mình. Việc xác minh việc tuân thủ các yêu cầu của tiêu chuẩn PCI DSS được thực hiện trong khuôn khổ chứng nhận bắt buộc, các yêu cầu khác nhau tùy thuộc vào loại hình công ty được kiểm tra - doanh nghiệp thương mại và dịch vụ chấp nhận thẻ thanh toán để thanh toán hàng hóa và dịch vụ hoặc nhà cung cấp dịch vụ cung cấp dịch vụ cho người bán và ngân hàng mua lại, tổ chức phát hành, v.v. (trung tâm xử lý, cổng thanh toán, v.v.). Việc đánh giá này có thể có nhiều hình thức khác nhau:

• kiểm toán hàng năm bởi các công ty được công nhận có tư cách là Người đánh giá an ninh đủ tiêu chuẩn (QSA);
• tự đánh giá hàng năm;
• quét mạng hàng quý với sự trợ giúp của các tổ chức được ủy quyền có trạng thái Nhà cung cấp dịch vụ quét được phê duyệt (ASV).

Pháp luật về dữ liệu cá nhân

Văn bản quy định mới nhất, cũng liên quan đến ngành ngân hàng và thiết lập các yêu cầu đánh giá sự phù hợp, là Luật Liên bang “Về Dữ liệu Cá nhân”. Tuy nhiên, hình thức, tần suất cũng như các yêu cầu đối với tổ chức thực hiện cuộc đánh giá đó vẫn chưa được thiết lập. Có lẽ vấn đề này sẽ được giải quyết vào mùa thu năm 2012, khi loạt tài liệu tiếp theo của Chính phủ Liên bang Nga, FSTEC và FSB được ban hành, giới thiệu các tiêu chuẩn mới trong lĩnh vực bảo vệ dữ liệu cá nhân. Trong khi chờ đợi, các ngân hàng có thể yên tâm và độc lập xác định các chi tiết cụ thể của cuộc kiểm tra các vấn đề bảo vệ dữ liệu cá nhân. Việc kiểm soát và giám sát việc thực hiện các biện pháp tổ chức và kỹ thuật nhằm đảm bảo an toàn cho dữ liệu cá nhân được thiết lập theo Điều 19 của 152-FZ được FSB và FSTEC thực hiện, nhưng chỉ dành cho hệ thống thông tin dữ liệu cá nhân của nhà nước. Theo quy định của pháp luật, không có ai thực hiện quyền kiểm soát các tổ chức thương mại trong lĩnh vực đảm bảo an toàn thông tin dữ liệu cá nhân. Điều tương tự cũng không thể nói về vấn đề bảo vệ quyền của chủ thể dữ liệu cá nhân, tức là khách hàng, đối tác và đơn giản là khách đến ngân hàng. Nhiệm vụ này do Roskomnadzor đảm nhận, công ty thực hiện rất tích cực các chức năng giám sát của mình và coi các ngân hàng là một trong những đơn vị vi phạm luật nghiêm trọng nhất về dữ liệu cá nhân.

Quy định thức

Các quy định chính trong lĩnh vực bảo mật thông tin liên quan đến tổ chức tín dụng đã được thảo luận ở trên. Có rất nhiều quy định trong số này và mỗi quy định đều đặt ra các yêu cầu riêng để thực hiện đánh giá sự phù hợp dưới hình thức này hay hình thức khác - từ tự đánh giá dưới hình thức điền vào bảng câu hỏi (PCI DSS) đến vượt qua cuộc kiểm toán bắt buộc hai năm một lần ( 382-P) hoặc một lần mỗi năm (ISO 27001). Giữa các hình thức đánh giá tuân thủ phổ biến nhất này còn có các hình thức khác - thông báo của nhà điều hành hệ thống thanh toán, quét hàng quý, v.v. Cũng cần nhớ và hiểu rằng đất nước vẫn thiếu một hệ thống quan điểm thống nhất không chỉ về quy định của nhà nước đối với quy trình kiểm toán an toàn thông tin của các tổ chức và hệ thống công nghệ thông tin mà còn về chính chủ đề kiểm toán an toàn thông tin nói chung. Tại Liên bang Nga, có một số cơ quan và tổ chức (FSTEC, FSB, Ngân hàng Nga, Roskomnadzor, PCI SSC, v.v.) chịu trách nhiệm về bảo mật thông tin. Và tất cả đều hoạt động trên cơ sở các quy định và hướng dẫn riêng của họ. Những cách tiếp cận khác nhau, những tiêu chuẩn khác nhau, những mức độ trưởng thành khác nhau... Tất cả những điều này ngăn cản việc thiết lập các quy tắc chung của trò chơi. Bức tranh cũng bị phá hỏng bởi sự xuất hiện của các công ty hoạt động trong đêm, nhằm theo đuổi lợi nhuận, cung cấp các dịch vụ chất lượng rất thấp trong lĩnh vực đánh giá việc tuân thủ các yêu cầu bảo mật thông tin. Và tình hình khó có thể thay đổi theo chiều hướng tốt hơn. Nếu có nhu cầu sẽ có người sẵn sàng đáp ứng, trong khi đơn giản là không có đủ kiểm toán viên đủ năng lực cho tất cả. Với số lượng ít (thể hiện trong bảng) và thời gian kiểm toán từ vài tuần đến vài tháng, rõ ràng nhu cầu kiểm toán vượt quá khả năng của kiểm toán viên một cách nghiêm trọng. Trong “Khái niệm kiểm toán an ninh thông tin của các hệ thống và tổ chức công nghệ thông tin”, chưa bao giờ được FSTEC áp dụng, có cụm từ sau: “đồng thời, trong trường hợp không có các cơ quan quản lý quốc gia cần thiết, các hoạt động/kiểm toán không được kiểm soát đó bởi các công ty tư nhân / có thể gây ra tổn hại không thể khắc phục được cho các tổ chức.” Tóm lại, các tác giả của Khái niệm đề xuất thống nhất các phương pháp tiếp cận kiểm toán và thiết lập các quy tắc của cuộc chơi về mặt pháp lý, bao gồm các quy tắc về công nhận kiểm toán viên, yêu cầu về trình độ chuyên môn, thủ tục kiểm toán, v.v., nhưng mọi thứ vẫn còn đó. Mặc dù, do nhận thấy rằng các cơ quan quản lý trong nước trong lĩnh vực bảo mật thông tin (và chúng tôi có 9 cơ quan trong số đó) quan tâm đến các vấn đề bảo mật thông tin (chỉ riêng trong năm qua, 52 quy định về vấn đề bảo mật thông tin đã được thông qua hoặc phát triển - một quy định mỗi tuần ! ), tôi không loại trừ khả năng chủ đề này sẽ sớm được quay trở lại.

TIÊU CHUẨN KIỂM ĐỊNH AN TOÀN THÔNG TIN

Thật không may, trong những điều kiện như vậy, chúng ta phải thừa nhận rằng mục tiêu chính của việc kiểm tra an ninh thông tin của ngân hàng—tăng cường niềm tin vào các hoạt động của ngân hàng—là không thể đạt được ở Nga. Rất ít khách hàng của ngân hàng chúng tôi chú ý đến mức độ bảo mật của nó hoặc kết quả kiểm toán được thực hiện tại ngân hàng. Chúng tôi chuyển sang kiểm toán trong trường hợp xác định được một sự cố rất nghiêm trọng dẫn đến thiệt hại nghiêm trọng về vật chất cho ngân hàng (hoặc các cổ đông và chủ sở hữu của ngân hàng), hoặc trong trường hợp các yêu cầu pháp lý, như đã trình bày ở trên, chúng tôi có nhiều. Và trong sáu tháng tiếp theo, yêu cầu số 1 cần chú ý đến việc kiểm tra an ninh là quy định 382-P của Ngân hàng Trung ương Nga. Đã có tiền lệ đầu tiên về yêu cầu từ các cơ quan lãnh thổ của Ngân hàng Trung ương về thông tin về mức độ bảo mật của ngân hàng và việc tuân thủ các yêu cầu của 382-P, và thông tin này có được chính xác nhờ kiểm toán bên ngoài hoặc tự mình thực hiện. -đánh giá. Ở vị trí thứ hai, tôi sẽ đặt việc kiểm tra việc tuân thủ các yêu cầu của Luật “Về dữ liệu cá nhân”. Nhưng việc kiểm tra như vậy không nên được thực hiện sớm hơn mùa xuân, khi tất cả các tài liệu mà FSTEC và FSB đã hứa sẽ được công bố và khi số phận của STO BR IBBS trở nên rõ ràng. Sau đó, có thể đặt ra vấn đề tiến hành kiểm tra việc tuân thủ các yêu cầu của STO BR IBBS. Sẽ trở nên rõ ràng không chỉ về tương lai của tổ hợp tài liệu của Ngân hàng Trung ương Nga mà còn cả tình trạng của nó liên quan đến 382-P tương tự nhưng vẫn khác và liệu STO BR IBBS có tiếp tục giải quyết các vấn đề về bảo vệ dữ liệu cá nhân hay không . Vượt qua cuộc kiểm toán thành công không có nghĩa là mọi thứ đều ổn với vấn đề bảo mật tại ngân hàng - có nhiều thủ thuật cho phép tổ chức được kiểm toán che giấu một số thiếu sót trong hệ thống bảo mật của mình. Và phụ thuộc rất nhiều vào trình độ và tính độc lập của kiểm toán viên. Kinh nghiệm những năm qua cho thấy, ngay cả ở những tổ chức đã vượt qua thành công cuộc đánh giá tuân thủ các tiêu chuẩn PCI DSS, ISO 27001 hay STO BR IBBS vẫn có những sự cố, sự cố nghiêm trọng.

Ý KIẾN CHUYÊN GIA

Dmitry Markin, Trưởng phòng Kiểm toán và Tư vấn, AMT-GROUP:

Cho đến gần đây, vấn đề vượt qua cuộc kiểm toán bắt buộc về tình trạng bảo mật thông tin của các tổ chức tín dụng trong khuôn khổ luật pháp của Nga chỉ được quy định bởi Luật Liên bang-152 “Về dữ liệu cá nhân” về mặt kiểm soát nội bộ đối với các biện pháp được thực hiện để đảm bảo bảo mật dữ liệu cá nhân, cũng như Quy định của Ngân hàng Trung ương Liên bang Nga số 242-P “Về tổ chức kiểm soát nội bộ trong các tổ chức tín dụng và nhóm ngân hàng.” Hơn nữa, theo yêu cầu của Quy định số 242-P, quy trình giám sát hỗ trợ an toàn thông tin được thiết lập độc lập bằng các văn bản nội bộ của tổ chức tín dụng mà không tham chiếu đến các yêu cầu cụ thể về hỗ trợ an toàn thông tin. Liên quan đến việc Điều 27 của Luật Liên bang số 161 “Về hệ thống thanh toán quốc gia” có hiệu lực, quy định các yêu cầu bảo vệ thông tin trong hệ thống thanh toán, Nghị định của Chính phủ Liên bang Nga số 584 “Về việc phê duyệt Quy định về bảo vệ thông tin trong hệ thống thanh toán” và Quy định của Ngân hàng Trung ương đã được công bố RF số 382-P. Theo yêu cầu của Nghị quyết số 584 và Quy định số 382-P, việc bảo vệ thông tin trong hệ thống thanh toán phải được thực hiện theo yêu cầu của các quy định này và các yêu cầu mà nhà điều hành hệ thống thanh toán đưa vào quy tắc thanh toán hệ thống. Điểm mấu chốt ở đây là đảm bảo ở cấp độ luật pháp quốc gia quyền của các nhà khai thác hệ thống thanh toán (ví dụ: Visa và MasterCard) được thiết lập một cách độc lập các yêu cầu về bảo vệ thông tin. Quy định số 382-P cũng quy định cụ thể nghĩa vụ của tổ chức tín dụng trong việc đánh giá việc tuân thủ các yêu cầu về bảo mật thông tin ít nhất 2 năm một lần, xác định rõ phương pháp đánh giá sự tuân thủ, tiêu chí kiểm toán và quy trình ghi lại kết quả. Theo chúng tôi, sự xuất hiện của các quy định trên sẽ làm tăng số liệu thống kê chứng nhận của các tổ chức tín dụng theo yêu cầu của tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán PCI DSS 2.0, được phát triển với sự tham gia của các hệ thống thanh toán quốc tế hàng đầu Visa và MasterCard.