Έκθεση ελέγχου ασφάλειας πληροφοριών. Πώς να διενεργήσετε έλεγχο ασφάλειας πληροφοριών. Προετοιμασία εγγράφων αναφοράς

Η ιερή φράση «να κατέχεις πληροφορίες σημαίνει να κατέχεις τον κόσμο» είναι πιο σχετική από ποτέ. Επομένως, σήμερα η «κλοπή πληροφοριών» είναι εγγενής στους περισσότερους επιτιθέμενους. Αυτό μπορεί να αποφευχθεί με την εισαγωγή μιας σειράς προστασίες από επιθέσεις, καθώς και με έγκαιρο έλεγχο ασφάλεια πληροφοριών. Ο έλεγχος ασφάλειας πληροφοριών είναι μια νέα έννοια, η οποία συνεπάγεται μια τρέχουσα και δυναμικά αναπτυσσόμενη κατεύθυνση επιχειρησιακής και στρατηγικής διαχείρισης, που αφορά την ασφάλεια του πληροφοριακού συστήματος.

Έλεγχος πληροφοριών - θεωρητικές βάσεις

Ο όγκος των πληροφοριών στον σύγχρονο κόσμο αυξάνεται ραγδαία, καθώς σε όλο τον κόσμο υπάρχει μια τάση προς την παγκοσμιοποίηση της χρήσης της τεχνολογίας των υπολογιστών σε όλα τα στρώματα της ανθρώπινης κοινωνίας. Στη ζωή ενός απλού ανθρώπου, η τεχνολογία των πληροφοριών είναι ένα σημαντικό συστατικό.

Αυτό εκφράζεται στη χρήση του Διαδικτύου, τόσο για λόγους εργασίας όσο και για σκοπούς παιχνιδιού και ψυχαγωγίας. Παράλληλα με την ανάπτυξη της τεχνολογίας της πληροφορίας, αυξάνεται η νομισματοποίηση των υπηρεσιών και επομένως ο χρόνος που αφιερώνεται σε διάφορες συναλλαγές πληρωμών με χρήση πλαστικών καρτών. Αυτές περιλαμβάνουν πληρωμές χωρίς μετρητά για διάφορα αγαθά και υπηρεσίες που καταναλώθηκαν, συναλλαγές σε σύστημα πληρωμήςηλεκτρονική τραπεζική, ανταλλαγή συναλλάγματος, άλλες συναλλαγές πληρωμής. Όλα αυτά επηρεάζουν τον χώρο στον Παγκόσμιο Ιστό, καθιστώντας τον μεγαλύτερο.

Υπάρχουν επίσης περισσότερες πληροφορίες σχετικά με τους κατόχους καρτών. Αυτή είναι η βάση για την επέκταση του πεδίου δραστηριότητας των απατεώνων, οι οποίοι σήμερα καταφέρνουν να πραγματοποιήσουν μια κολοσσιαία μάζα επιθέσεων, συμπεριλαμβανομένων επιθέσεων στον πάροχο υπηρεσιών και στον τελικό χρήστη. Στην τελευταία περίπτωση, η επίθεση μπορεί να αποτραπεί χρησιμοποιώντας κατάλληλο λογισμικό, αλλά εάν αυτό αφορά τον προμηθευτή, είναι απαραίτητο να χρησιμοποιηθεί ένα σύνολο μέτρων που ελαχιστοποιούν τις διακοπές, τις διαρροές δεδομένων και τις εισβολές υπηρεσιών. Αυτό γίνεται μέσω έγκαιρων ελέγχων ασφάλειας πληροφοριών.

Το έργο που επιδιώκεται από έναν έλεγχο πληροφοριών έγκειται στην έγκαιρη και ακριβή αξιολόγηση της κατάστασης της ασφάλειας των πληροφοριών την τρέχουσα στιγμή μιας συγκεκριμένης επιχειρηματικής οντότητας, καθώς και στη συμμόρφωση με τον καθορισμένο στόχο και στόχους διεξαγωγής δραστηριοτήτων, με τη βοήθεια των οποίων η κερδοφορία και η αποτελεσματικότητα θα πρέπει να αυξηθεί ΟΙΚΟΝΟΜΙΚΗ ΔΡΑΣΤΗΡΙΟΤΗΤΑ.

Με άλλα λόγια, ένας έλεγχος ασφάλειας πληροφοριών είναι ο έλεγχος ενός συγκεκριμένου πόρου για την ικανότητά του να αντέχει πιθανές ή πραγματικές απειλές.

• Ο έλεγχος ασφάλειας πληροφοριών έχει τους ακόλουθους στόχους:
• Αξιολογήστε την κατάσταση του πληροφοριακού συστήματος για την ασφάλεια.
• Αναλυτικός προσδιορισμός πιθανών κινδύνων που σχετίζονται με εξωτερική διείσδυση στο δίκτυο πληροφοριών.
• Προσδιορισμός της θέσης των κενών στο σύστημα ασφαλείας.
• Αναλυτικός προσδιορισμός συμμόρφωσης μεταξύ του επιπέδου ασφάλειας και των ισχυόντων προτύπων του νομοθετικού πλαισίου.
• Η έναρξη νέων μεθόδων προστασίας, η εφαρμογή τους στην πράξη, καθώς και η δημιουργία συστάσεων με τη βοήθεια των οποίων θα βελτιωθούν τα προβλήματα των μέσων προστασίας, καθώς και η αναζήτηση νέων εξελίξεων προς αυτή την κατεύθυνση.

Ο έλεγχος χρησιμοποιείται όταν:

• Πλήρης έλεγχος του αντικειμένου που εμπλέκεται διαδικασία πληροφόρησης. Συγκεκριμένα, μιλάμε για συστήματα υπολογιστώναχ, συστήματα επικοινωνίας, κατά τη λήψη, μετάδοση και επεξεργασία δεδομένων ενός συγκεκριμένου όγκου πληροφοριών, τεχνικά μέσα, συστήματα επιτήρησης κ.λπ.
• Πλήρης έλεγχος του ηλεκτρονικού τεχνικού εξοπλισμού, καθώς και των υπολογιστικών συστημάτων, για έκθεση σε ακτινοβολία και παρεμβολές που θα συμβάλουν στη διακοπή λειτουργίας τους.
• Κατά τον έλεγχο του σχεδιαστικού μέρους, το οποίο περιλαμβάνει εργασίες για τη δημιουργία στρατηγικών ασφαλείας, καθώς και την πρακτική εφαρμογή τους.
• Πλήρης έλεγχος της αξιοπιστίας της προστασίας εμπιστευτικών πληροφοριών, η πρόσβαση στις οποίες είναι περιορισμένη, καθώς και ο εντοπισμός «τρυπών» με τη βοήθεια των οποίων αυτή η πληροφορίατυποποιημένα και μη τυποποιημένα μέτρα.

Πότε καθίσταται αναγκαία η διενέργεια ελέγχου;

Είναι σημαντικό να σημειωθεί ότι η ανάγκη διενέργειας ελέγχου πληροφοριών προκύπτει όταν παραβιάζεται η προστασία δεδομένων. Επίσης, συνιστάται η δοκιμή για:

• Συγχώνευση εταιρείας.
• Επέκταση της επιχείρησης.
• Απορρόφηση ή προσάρτηση.
• Αλλαγή ηγεσίας.

Τύποι ελέγχου πληροφοριακών συστημάτων

Σήμερα, υπάρχουν εξωτερικοί και εσωτερικοί έλεγχοι πληροφοριών.

Ένας εξωτερικός έλεγχος χαρακτηρίζεται από τη συμμετοχή εξωτερικών, ανεξάρτητων εμπειρογνωμόνων που έχουν το δικαίωμα να διεξάγουν τέτοιες δραστηριότητες. Κατά κανόνα, αυτός ο τύπος επιθεώρησης έχει χαρακτήρα εφάπαξ και ξεκινά από τον επικεφαλής της επιχείρησης, τον μέτοχο ή τις αρχές επιβολής του νόμου. Η διενέργεια εξωτερικού ελέγχου δεν είναι υποχρεωτική, αλλά κατά πάσα πιθανότητα συνιστάται. Ωστόσο, υπάρχουν αποχρώσεις που καθορίζονται από το νόμο στις οποίες είναι υποχρεωτικός ο εξωτερικός έλεγχος της ασφάλειας των πληροφοριών. Για παράδειγμα, τα χρηματοπιστωτικά ιδρύματα, οι μετοχικές εταιρείες και οι χρηματοπιστωτικοί οργανισμοί εμπίπτουν στο νόμο.

Ο εσωτερικός έλεγχος της ασφάλειας των ροών πληροφοριών είναι μια διαρκής διαδικασία, η εφαρμογή της οποίας ρυθμίζεται από το σχετικό έγγραφο «Κανονισμοί Εσωτερικού Ελέγχου». Η εκδήλωση αυτή, εντός της εταιρείας, έχει χαρακτήρα πιστοποίησης, η υλοποίηση της οποίας ρυθμίζεται από τη σχετική εντολή για την επιχείρηση. Με τη διενέργεια εσωτερικού ελέγχου, η εταιρεία παρέχεται μέσω ειδικής μονάδας στην εταιρεία.

Ο έλεγχος ταξινομείται επίσης ως:

• Ειδικός.
• Επιβεβαίωση.
• Αναλυτικός.

Το Expert περιλαμβάνει τον έλεγχο της κατάστασης ασφαλείας των ροών και των συστημάτων πληροφοριών, ο οποίος βασίζεται στην εμπειρία των ειδικών και εκείνων που διενεργούν αυτόν τον έλεγχο.

Ο τύπος πιστοποίησης του ελέγχου αφορά συστήματα και μέτρα ασφαλείας, ιδίως τη συμμόρφωσή τους με αποδεκτά πρότυπα στη διεθνή κοινωνία, καθώς και σχετικά κυβερνητικά έγγραφα που ρυθμίζουν τη νομική βάση αυτής της δραστηριότητας.

Ο αναλυτικός τύπος ελέγχου αφορά μια εις βάθος ανάλυση ενός πληροφοριακού συστήματος χρησιμοποιώντας τεχνικές συσκευές. Αυτές οι ενέργειες θα πρέπει να στοχεύουν στον εντοπισμό των τρωτών σημείων του συμπλέγματος υλικού και λογισμικού.

Μεθοδολογία και εργαλεία διεξαγωγής ελέγχων στην πράξη

Ο έλεγχος πραγματοποιείται σε στάδια και περιλαμβάνει:

Το πρώτο στάδιο θεωρείται το απλούστερο. Καθορίζει τα δικαιώματα και τις ευθύνες του υπεύθυνου ελέγχου, την ανάπτυξη ενός σχεδίου δράσης βήμα προς βήμα και τον συντονισμό με τη διοίκηση. Ταυτόχρονα, τα όρια της ανάλυσης καθορίζονται σε συνεδρίαση του προσωπικού.

Το δεύτερο στάδιο περιλαμβάνει μεγάλα ποσά κατανάλωσης πόρων. Αυτό δικαιολογείται από το γεγονός ότι έχει μελετηθεί όλη η τεχνική τεκμηρίωση που σχετίζεται με το σύμπλεγμα λογισμικού και υλικού.

Το τρίτο στάδιο πραγματοποιείται χρησιμοποιώντας μία από τις τρεις μεθόδους, δηλαδή:

• Ανάλυση κινδύνου.
• Ανάλυση συμμόρφωσης με πρότυπα και νομοθεσία.
• Συνδυασμοί ανάλυσης κινδύνου και νομικής συμμόρφωσης.

Το τέταρτο στάδιο σάς επιτρέπει να συστηματοποιήσετε τα δεδομένα που λαμβάνονται και να πραγματοποιήσετε μια εις βάθος ανάλυση. Στην περίπτωση αυτή, ο επιθεωρητής πρέπει να είναι αρμόδιος για το θέμα αυτό.

Πώς να περάσετε για να μην υπάρχουν προβλήματα; Γιατί χρειάζεται ένας τέτοιος έλεγχος; Το άρθρο μας θα σας πει για αυτό.

Τι είναι ο έλεγχος και τι είδη ελέγχων υπάρχουν; Έχει γραφτεί για αυτό.

Θα μάθετε τι είναι ο φορολογικός έλεγχος και για ποιους σκοπούς χρειάζεται.

Μετά την επιθεώρηση, πρέπει να συνταχθεί συμπέρασμα, το οποίο αποτυπώνεται στο αντίστοιχο έγγραφο αναφοράς. Η αναφορά συνήθως αντικατοπτρίζει τις ακόλουθες πληροφορίες:

1. Κανονισμοί για τον έλεγχο που διενεργήθηκε.
2. Η δομή του συστήματος ροής πληροφοριών στην επιχείρηση.
3. Ποιες μέθοδοι και μέσα χρησιμοποιήθηκαν για τον έλεγχο
4. Ακριβής περιγραφή των τρωτών σημείων και των αδυναμιών, λαμβάνοντας υπόψη τον κίνδυνο και το επίπεδο των αδυναμιών.
5. Συνιστώμενες ενέργειες για την εξάλειψη επικίνδυνων σημείων, καθώς και τη βελτίωση του συγκροτήματος ολόκληρου του συστήματος.
   Οι πραγματικές πρακτικές συμβουλές με τη βοήθεια των οποίων θα πρέπει να εφαρμοστούν μέτρα στοχεύουν στην ελαχιστοποίηση των κινδύνων που εντοπίστηκαν κατά τον έλεγχο.

Έλεγχος ασφάλειας πληροφοριών στην πράξη

Στην πράξη, ένα αρκετά συνηθισμένο αβλαβές παράδειγμα είναι η κατάσταση στην οποία ο υπάλληλος Α, ο οποίος εμπλέκεται στις προμήθειες εμπορικό εξοπλισμόδιαπραγματεύτηκε με τη βοήθεια συγκεκριμένο πρόγραμμα"ΣΕ".

Ταυτόχρονα, το ίδιο το πρόγραμμα είναι ευάλωτο και κατά την εγγραφή, ο υπάλληλος δεν υπέδειξε ούτε διεύθυνση email ούτε αριθμό, αλλά χρησιμοποίησε μια εναλλακτική αφηρημένη διεύθυνση ηλεκτρονικού ταχυδρομείου με ανύπαρκτο τομέα.

Ως αποτέλεσμα, ένας εισβολέας μπορεί να καταχωρήσει έναν παρόμοιο τομέα και να δημιουργήσει ένα τερματικό εγγραφής. Αυτό θα του επιτρέψει να στείλει μηνύματα στην εταιρεία που κατέχει την υπηρεσία του προγράμματος «Β», ζητώντας τον χαμένο κωδικό πρόσβασης. Σε αυτήν την περίπτωση, ο διακομιστής θα στείλει αλληλογραφία στην υπάρχουσα διεύθυνση του απατεώνα, καθώς λειτουργεί μια ανακατεύθυνση. Ως αποτέλεσμα αυτής της επιχείρησης, ο απατεώνας έχει πρόσβαση στην αλληλογραφία, αποκαλύπτει άλλες πληροφορίες στον προμηθευτή και ελέγχει την κατεύθυνση του φορτίου προς μια κατεύθυνση άγνωστη στον υπάλληλο.

Η συνάφεια του ελέγχου πληροφοριών στον σύγχρονο κόσμο γίνεται ολοένα και μεγαλύτερη ζήτηση, λόγω του αυξανόμενου αριθμού χρηστών τόσο του χώρου του Παγκόσμιου Ιστού όσο και της χρήσης διαφόρων μεθόδων δημιουργίας εσόδων στο διάφορες υπηρεσίες. Έτσι, τα δεδομένα κάθε χρήστη γίνονται διαθέσιμα στους εισβολείς. Μπορούν να προστατευθούν προσδιορίζοντας την πηγή του προβλήματος - τα αδύναμα σημεία των ροών πληροφοριών.

Σε επαφή με

Πολλοί πιθανότατα έθεσαν το ερώτημα "πώς να διεξαχθεί έλεγχος ασφάλειας πληροφοριών;" από πού να αρχίσω; τι τεχνική να χρησιμοποιήσω; υπάρχει εξειδικευμένο λογισμικό για αυτό; Ποια δωρεάν προγράμματα υπάρχουν για αυτό;

Σήμερα θα σας παρουσιάσουμε ένα προϊόν από τη Microsoft που σας επιτρέπει να πραγματοποιήσετε έλεγχο ασφάλειας πληροφοριών, το Εργαλείο αξιολόγησης ασφάλειας της Microsoft (MSAT). Το προϊόν σάς επιτρέπει να εντοπίζετε κινδύνους για την ασφάλεια των πληροφοριών σε ένα υπάρχον σύστημα και να παρέχετε συστάσεις για την εξάλειψή τους. Σύμφωνα με τους δημιουργούς, η εφαρμογή έχει σχεδιαστεί για οργανισμούς με λιγότερους από 1.000 υπαλλήλους και θα σας βοηθήσει επίσης να κατανοήσετε καλύτερα το προσωπικό, τις διαδικασίες, τους πόρους και τις τεχνολογίες που στοχεύουν στη διασφάλιση του αποτελεσματικού σχεδιασμού των δραστηριοτήτων ασφαλείας και της εφαρμογής μεθόδων μείωσης κινδύνου στο οργάνωση. Το καλύτερο από όλα είναι ότι η εφαρμογή είναι δωρεάν και μπορεί να ληφθεί από τον ιστότοπο του προγραμματιστή. Αυτό το προϊόν μπορεί να χρησιμοποιηθεί ως ερωτηματολόγιο για ειδικούς πληροφορικής, HR και ειδικούς σε θέματα ασφάλειας πληροφοριών.

Κατά τη διαδικασία αξιολόγησης κινδύνου, με βάση τις απαντήσεις στις ερωτήσεις, το περιβάλλον πληροφορικής θα ελεγχθεί για τους κύριους τομείς απειλών για την ασφάλεια των πληροφοριών. Η αξιολόγηση χρησιμοποιεί την έννοια της άμυνας σε βάθος (DiD) για να καθορίσει την αποτελεσματικότητα της στρατηγικής ασφάλειας. Η έννοια της «άμυνας σε βάθος» αναφέρεται στην εφαρμογή πολυεπίπεδης άμυνας, συμπεριλαμβανομένων τεχνικών, οργανωτικών και επιχειρησιακών ελέγχων. Το εργαλείο αξιολόγησης βασίζεται σε γενικά αποδεκτά πρότυπα και βέλτιστες πρακτικές που έχουν σχεδιαστεί για τη μείωση του κινδύνου στα συστήματα τεχνολογίας πληροφοριών. Η διαδικασία αξιολόγησης μπορεί να επαναληφθεί και μπορεί επίσης να χρησιμοποιηθεί για να ελεγχθεί η πρόοδος προς τους στόχους ασφάλειας του οργανισμού στην υποδομή πληροφορικής.

Για να εντοπίσετε απειλές για την ασφάλεια στο σύστημα πληροφορικής του οργανισμού σας, συγκεκριμένες περιοχές ανάλυσης θα αξιολογήσουν τις πολιτικές σχετικά με τον κίνδυνο για τις επιχειρήσεις, την τεχνολογία, τις διαδικασίες και τους ανθρώπους. Μόλις ολοκληρωθεί η αξιολόγηση, θα παρασχεθούν συστάσεις για τη διαχείριση αυτών των κινδύνων με βάση τις βέλτιστες πρακτικές που αναγνωρίζονται από τον κλάδο. Αυτές οι οδηγίες προορίζονται να παρέχουν προκαταρκτική καθοδήγηση για να βοηθήσουν τον οργανισμό σας να εφαρμόσει βέλτιστες πρακτικές πληροφορικής που αναγνωρίζονται από τον κλάδο.

Η αξιολόγηση κινδύνου αποτελείται από δύο μέρη: το προφίλ επιχειρηματικού κινδύνου (BRP) και την αξιολόγηση (που περιλαμβάνει τέσσερις τομείς ανάλυσης). Τα PSR αντιπροσωπεύουν κοινούς κινδύνους που αντιμετωπίζει μια εταιρεία. Μόλις ολοκληρωθεί αυτή η αξιολόγηση, παραμένει αμετάβλητη μέχρι να γίνουν θεμελιώδεις αλλαγές στο σύστημα πληροφορικής της εταιρείας. Μπορείτε να ολοκληρώσετε και να αποθηκεύσετε πολλαπλές αξιολογήσεις. Αυτές οι εκτιμήσεις μπορούν και πρέπει να αλλάξουν με την πάροδο του χρόνου καθώς εφαρμόζονται προηγμένα μέτρα ασφαλείας.

Ας δούμε λοιπόν, πρώτα δημιουργήστε ένα προφίλ:

Και συμπληρώστε τις απαντήσεις στις ερωτήσεις καθώς τις συμπληρώνετε, τα κουμπιά γίνονται πράσινα:

Αφού συμπληρώσετε το πρώτο μπλοκ ερωτήσεων σχετικά με τις παραμέτρους της εταιρείας, κάντε κλικ στο: «Δημιουργία νέας αξιολόγησης»

Μετά από αυτό, συμπληρώνουμε ερωτήσεις σχετικά με την υποδομή πληροφορικής, το προσωπικό και τη διαχείριση επιχειρηματικών διαδικασιών:

Μετά τις απαντήσεις, περιμένετε για το εικονίδιο "Αναφορές".

Η αναφορά μπορεί να αποθηκευτεί ως *.docs ή να προβληθεί στην εφαρμογή. Διαβάζουμε όλα τα συμπεράσματα, κάνουμε συστάσεις με βάση τις καλύτερες παγκόσμιες πρακτικές και τις παρουσιάζουμε στη διοίκηση για να συμφωνήσουμε σε ένα σχέδιο εργασίας ή να δικαιολογήσουμε την αγορά εξοπλισμού ασφάλειας πληροφοριών)))))

Στον σύγχρονο κόσμο, τα συστήματα πληροφοριών (IS) διαδραματίζουν βασικό ρόλο στη διασφάλιση της αποτελεσματικότητας των εμπορικών και κυβερνητικών οργανισμών. Τα IS χρησιμοποιούνται για την αποθήκευση, επεξεργασία και μετάδοση πληροφοριών. Καθημερινά ο αριθμός των εξωτερικών και εσωτερικών απειλών για την ασφάλεια των πληροφοριών (IS) αυξάνεται, γεγονός που μπορεί να οδηγήσει σε σημαντικές οικονομικές απώλειες και απώλειες φήμης.

Ο έλεγχος ασφάλειας πληροφοριών (IS) είναι μια εξαιρετικά σημαντική διαδικασία που σας επιτρέπει να λαμβάνετε αντικειμενικές πληροφορίες σχετικά με την τρέχουσα κατάσταση υποστήριξης IS σε μια επιχείρηση, να αξιολογείτε τον βαθμό ασφάλειας δεδομένων και συστημάτων πληροφορικής και τη συμμόρφωσή τους με ορισμένες απαιτήσεις και κριτήρια. Ο έλεγχος ασφάλειας πληροφοριών διενεργείται τόσο ως το πρώτο στάδιο στην εφαρμογή λύσεων ασφάλειας πληροφοριών όσο και σε ορισμένες περιπτώσεις εκτός του έργου, όταν είναι απαραίτητο να επιτευχθεί μια ανεξάρτητη αξιολόγηση της πραγματικής ασφάλειας των συστημάτων. Η διεξαγωγή ελέγχου καθιστά δυνατό τον εντοπισμό απειλών και προβλημάτων εκ των προτέρων για τον περαιτέρω προσδιορισμό των μεθόδων εξάλειψής τους και μπορεί να αυξήσει σημαντικά το επίπεδο ασφάλειας και τη συμμόρφωση των μέτρων ασφαλείας με τις πραγματικές επιχειρηματικές ανάγκες. Έτσι, σύμφωνα με τους ειδικούς, οι μη προγραμματισμένοι έλεγχοι μπορούν να εξοικονομήσουν έως και 20% του χρόνου και 15% των υλικών πόρων για την ασφάλεια των πληροφοριών, τον εντοπισμό σημείων προσπάθειας και τις βέλτιστες λύσεις.

Με βάση τον καθορισμό στόχων, η AST παρέχει υπηρεσίες για τρεις κύριους τύπους ελέγχων ασφάλειας πληροφοριών:

• Έλεγχος εμπειρογνωμόνων, στο πλαίσιο του οποίου αξιολογείται η τρέχουσα κατάσταση των συστημάτων και των μέτρων ασφαλείας και εντοπίζονται ελλείψεις και τρωτά σημεία.
• Έλεγχος συμμόρφωσης, ο οποίος αξιολογεί τη συμμόρφωση των προϊόντων ασφαλείας με τα απαιτούμενα διεθνή και βιομηχανικά πρότυπα.
• Δοκιμή διείσδυσης, η οποία προσομοιώνει τις ενέργειες ενός εισβολέα που στοχεύουν στην πραγματοποίηση μιας επιτυχημένης επίθεσης. Ο σκοπός ενός τέτοιου ελέγχου είναι να αυξήσει την ασφάλεια με τον εντοπισμό και, στη συνέχεια, την εξάλειψη των πραγματικών φορέων επίθεσης.

Ο έλεγχος πραγματοποιείται σε διάφορα στάδια:

1. Καθορισμός στόχων του έργου. Συλλέγονται αρχικές πληροφορίες σχετικά με προστατευόμενα αντικείμενα, πληροφορίες και κριτήρια αξιολόγησης και λαμβάνονται οργανωτικές ενέργειες για την προετοιμασία για τον έλεγχο.
2. Συμφωνία σχετικά με τις συνθήκες και τα όρια της δοκιμής διείσδυσης (εξωτερικό/εσωτερικό, λευκό κουτί/μαύρο κουτί, χρονισμός/χρόνος, όρια εμβάπτισης και άλλες σημαντικές παράμετροι)
3. Έρευνα και επεξεργασία των αποτελεσμάτων. Συλλέγεται όλο το σύμπλεγμα δεδομένων για πόρους, συστήματα ασφαλείας, οργανωτικά μέτρα στον τομέα της ασφάλειας πληροφοριών κ.λπ. Με βάση τα αποτελέσματα, αναπτύσσεται ενοποιημένη αναφορά, η οποία αποτελεί τη βάση για ανάλυση κινδύνου, ανάλυση συμμόρφωσης και ανάπτυξη συστάσεων.
4. Διεξαγωγή χειροκίνητης δοκιμής διείσδυσης.
5. Ανάλυση κινδύνου. Μια ολοκληρωμένη διαδικασία για την αξιολόγηση του επιπέδου ασφάλειας των πληροφοριακών συστημάτων, λαμβάνοντας υπόψη τόσο τις παρεχόμενες πληροφορίες όσο και τα αποτελέσματα των δοκιμών διείσδυσης (διανύσματα τρέχουσας επίθεσης). Η διαδικασία περιλαμβάνει την ανάπτυξη ενός μοντέλου απειλής και ενός μοντέλου εισβολέα.
6. Ανάλυση συμμόρφωσης με πρότυπα και απαιτήσεις προτύπων και κανονιστικής τεκμηρίωσης. Ως αποτέλεσμα, είτε επιβεβαιώνεται η συμμόρφωση, είτε στο στάδιο της ανάπτυξης συστάσεων, καθορίζονται τρόποι για να τελειοποιηθούν τα συστήματα ασφάλειας πληροφοριών στο απαιτούμενο επίπεδο ασφάλειας.
7. Ανάπτυξη συστάσεων. Βασίζονται σε ολόκληρο το σύμπλεγμα πληροφοριών, αναλύσεων και συμπερασμάτων που προέκυψαν ως αποτέλεσμα της έρευνας. Οι συστάσεις καλύπτουν όλο το φάσμα των απαραίτητων οργανωτικών και τεχνικά μέτραγια τη διασφάλιση του απαιτούμενου επιπέδου υποστήριξης ασφάλειας πληροφοριών.

Τα αντικείμενα ενός ελέγχου ασφάλειας πληροφοριών μπορεί να είναι τόσο μεμονωμένα στοιχεία των συστημάτων και υποδομής πληροφορικής μιας εταιρείας όσο και ολόκληρο το σύμπλεγμα λύσεων πληροφορικής που περιέχει πληροφορίες που υπόκεινται σε προστασία.

Στείλτε την καλή δουλειά σας στη βάση γνώσεων είναι απλή. Χρησιμοποιήστε την παρακάτω φόρμα

Καλή δουλειάστον ιστότοπο">

Φοιτητές, μεταπτυχιακοί φοιτητές, νέοι επιστήμονες που χρησιμοποιούν τη βάση γνώσεων στις σπουδές και την εργασία τους θα σας είναι πολύ ευγνώμονες.

Δημοσιεύτηκε στις http://www.allbest.ru/

Εισαγωγή

Ο έλεγχος είναι μια μορφή ανεξάρτητου, ουδέτερου ελέγχου οποιουδήποτε τομέα δραστηριότητας μιας εμπορικής επιχείρησης, που χρησιμοποιείται ευρέως στην πρακτική της οικονομίας της αγοράς, ειδικά στον τομέα της λογιστικής. Όχι λιγότερο σημαντικό από την άποψη γενική ανάπτυξημιας επιχείρησης είναι ο έλεγχος ασφαλείας της, ο οποίος περιλαμβάνει ανάλυση των κινδύνων που σχετίζονται με την πιθανότητα απειλών για την ασφάλεια, ειδικά σε σχέση με τους πόρους πληροφοριών, αξιολόγηση του τρέχοντος επιπέδου ασφάλειας των πληροφοριακών συστημάτων (IS), εντοπισμό σημείων συμφόρησης στο σύστημα της προστασίας τους, αξιολόγηση της συμμόρφωσης των ΚΠ με τα υφιστάμενα πρότυπα στον τομέα της ασφάλειας πληροφοριών και ανάπτυξη συστάσεων για την εισαγωγή νέων και την αύξηση της αποτελεσματικότητας των υφιστάμενων μηχανισμών ασφάλειας ΚΠ.

Αν μιλάμε για τον κύριο στόχο ενός ελέγχου ασφάλειας πληροφοριών, τότε μπορεί να οριστεί ως η αξιολόγηση του επιπέδου ασφάλειας του συστήματος πληροφοριών μιας επιχείρησης για τη διαχείριση του στο σύνολό του, λαμβάνοντας υπόψη τις προοπτικές για την ανάπτυξή του.

ΣΕ σύγχρονες συνθήκεςΌταν τα πληροφοριακά συστήματα διαπερνούν όλους τους τομείς των δραστηριοτήτων μιας επιχείρησης και δεδομένης της ανάγκης για σύνδεσή τους με το Διαδίκτυο, είναι ανοιχτά σε εσωτερικές και εξωτερικές απειλές, το πρόβλημα της ασφάλειας των πληροφοριών δεν γίνεται λιγότερο σημαντικό από την οικονομική ή φυσική ασφάλεια.

Παρά τη σημασία του υπό εξέταση προβλήματος για την εκπαίδευση ειδικών σε θέματα ασφάλειας πληροφοριών, δεν έχει ακόμη συμπεριληφθεί ως ξεχωριστό μάθημα στα υπάρχοντα εκπαιδευτικά σχέδιακαι δεν συζητήθηκε σε σχολικά βιβλία και διδακτικά βοηθήματα. Αυτό οφειλόταν στην έλλειψη του απαραίτητου ρυθμιστικού πλαισίου, των ανεκπαίδευτων ειδικών και της ανεπαρκούς πρακτικής εμπειρίας στον τομέα των ελέγχων ασφάλειας πληροφοριών.

Η γενική δομή της εργασίας περιλαμβάνει την ακόλουθη σειρά θεμάτων που εξετάζονται:

Περιγράφεται ένα μοντέλο για την κατασκευή ενός συστήματος ασφάλειας πληροφοριών (IS), λαμβάνοντας υπόψη τις απειλές, τα τρωτά σημεία, τους κινδύνους και τα αντίμετρα που λαμβάνονται για τη μείωση ή την αποτροπή τους.

Εξετάζονται μέθοδοι ανάλυσης και διαχείρισης κινδύνου.

Περιγράφονται οι βασικές έννοιες ενός ελέγχου ασφαλείας και περιγράφονται οι στόχοι της εφαρμογής του.

Αναλύονται τα κύρια διεθνή και ρωσικά πρότυπα που χρησιμοποιούνται για τη διενέργεια ελέγχων ασφάλειας πληροφοριών.

Εμφανίζονται οι δυνατότητες χρήσης λογισμικού για τη διενέργεια ελέγχων ασφάλειας πληροφοριών.

Επιλογή της περιγραφόμενης δομής διδακτικό βοήθημαέγινε με στόχο τη μεγιστοποίηση του προσανατολισμού των μαθητών προς πρακτική χρήσηη ύλη που εξετάζεται, πρώτον, κατά τη μελέτη ενός μαθήματος διάλεξης, δεύτερον, κατά την επιτυχία πρακτικές παραγωγής(ανάλυση της κατάστασης της ασφάλειας των πληροφοριών στην επιχείρηση), τρίτον, κατά την ολοκλήρωση μαθημάτων και διατριβών.

Το παρουσιαζόμενο υλικό μπορεί να είναι χρήσιμο σε διευθυντές και υπαλλήλους των υπηρεσιών ασφαλείας και των υπηρεσιών προστασίας πληροφοριών μιας επιχείρησης για την προετοιμασία και τη διεξαγωγή εσωτερικού και την αιτιολόγηση της ανάγκης για εξωτερικό έλεγχο ασφάλειας πληροφοριών.

Κεφάλαιο Ι. Έλεγχος ασφαλείας και μέθοδοι διεξαγωγής του

1.1 Έννοια του ελέγχου ασφαλείας

Ο έλεγχος είναι μια ανεξάρτητη εξέταση επιμέρους περιοχέςλειτουργία του οργανισμού. Υπάρχουν εξωτερικοί και εσωτερικοί έλεγχοι. Ο εξωτερικός έλεγχος είναι, κατά κανόνα, μια εκδήλωση που πραγματοποιείται μία φορά με πρωτοβουλία της διοίκησης ή των μετόχων του οργανισμού. Συνιστάται η τακτική διενέργεια εξωτερικών ελέγχων και, για παράδειγμα, για πολλούς χρηματοπιστωτικούς οργανισμούς και ανώνυμες εταιρείες αυτό αποτελεί υποχρεωτική απαίτηση από την πλευρά των ιδρυτών και των μετόχων τους. Ο εσωτερικός έλεγχος είναι μια συνεχής δραστηριότητα που πραγματοποιείται με βάση τους «Κανονισμούς για εσωτερικός λογιστικός έλεγχος«και σύμφωνα με το σχέδιο, η προετοιμασία του οποίου διενεργείται από τις μονάδες υπηρεσίας ασφαλείας και εγκρίνεται από τη διοίκηση του οργανισμού.

Οι στόχοι ενός ελέγχου ασφαλείας είναι:

ανάλυση των κινδύνων που συνδέονται με την πιθανότητα απειλών για την ασφάλεια σε σχέση με πόρους·

Αξιολόγηση του τρέχοντος επιπέδου ασφάλειας IP.

Εντοπισμός σημείων συμφόρησης στο σύστημα προστασίας IP.

Αξιολόγηση της συμμόρφωσης με τα υφιστάμενα πρότυπα στον τομέα της ασφάλειας πληροφοριών.

Ο έλεγχος ασφαλείας μιας επιχείρησης (εταιρείας, οργανισμού) θα πρέπει να θεωρείται ως εμπιστευτικό εργαλείο διαχείρισης που αποκλείει, για λόγους συνωμοσίας, τη δυνατότητα παροχής πληροφοριών σχετικά με τα αποτελέσματα των δραστηριοτήτων της σε τρίτους και οργανισμούς.

Για τη διεξαγωγή ενός εταιρικού ελέγχου ασφάλειας, μπορεί να συνιστάται η ακόλουθη σειρά ενεργειών.

1. Προετοιμασία για έλεγχο ασφαλείας:

επιλογή του αντικειμένου ελέγχου (εταιρεία, μεμονωμένα κτίρια και εγκαταστάσεις, χωριστά συστήματαή τα συστατικά τους)·

Σχηματισμός ομάδας ειδικών ελεγκτών.

Καθορισμός του αντικειμένου και του πεδίου του ελέγχου και καθορισμός συγκεκριμένων χρονικών πλαισίων για τις εργασίες.

2. Διεξαγωγή ελέγχου:

γενική ανάλυση της κατάστασης ασφαλείας του ελεγχόμενου αντικειμένου.

Καταχώριση, συλλογή και επαλήθευση στατιστικών δεδομένων και αποτελεσμάτων μετρήσεων με όργανα για κινδύνους και απειλές.

Αξιολόγηση των αποτελεσμάτων των επιθεωρήσεων.

Σύνταξη έκθεσης για τα αποτελέσματα της επιθεώρησης για μεμονωμένα εξαρτήματα.

3. Ολοκλήρωση του ελέγχου:

προετοιμασία της τελικής έκθεσης·

Ανάπτυξη σχεδίου δράσης για την εξάλειψη των σημείων συμφόρησης και των ελλείψεων στη διασφάλιση της ασφάλειας της εταιρείας.

Για να πραγματοποιήσετε επιτυχώς έναν έλεγχο ασφαλείας πρέπει:

Ενεργή συμμετοχή της διοίκησης της εταιρείας στην υλοποίησή της.

Η αντικειμενικότητα και η ανεξαρτησία των ελεγκτών (εμπειρογνωμόνων), η ικανότητα και ο υψηλός επαγγελματισμός τους.

Σαφώς δομημένη διαδικασία επαλήθευσης.

Ενεργή εφαρμογή των προτεινόμενων μέτρων για τη διασφάλιση και ενίσχυση της ασφάλειας.

Ο έλεγχος ασφαλείας, με τη σειρά του, είναι ένα αποτελεσματικό εργαλείο για την αξιολόγηση της ασφάλειας και τη διαχείριση κινδύνου. Η πρόληψη απειλών για την ασφάλεια σημαίνει επίσης προστασία των οικονομικών, κοινωνικών και πληροφοριακών συμφερόντων της επιχείρησης.

Από αυτό μπορούμε να συμπεράνουμε ότι ο έλεγχος ασφαλείας γίνεται εργαλείο οικονομικής διαχείρισης.

Ανάλογα με τον όγκο των αναλυόμενων αντικειμένων της επιχείρησης, προσδιορίζεται το εύρος του ελέγχου:

Έλεγχος ασφαλείας ολόκληρης της επιχείρησης.

Έλεγχος ασφαλείας μεμονωμένων κτιρίων και χώρων (αποκλειστικές εγκαταστάσεις).

Έλεγχος εξοπλισμού και τεχνικών μέσων συγκεκριμένων τύπων και τύπων.

Έλεγχος ορισμένων τύπων και τομέων δραστηριότητας: οικονομικός, περιβαλλοντικός, πληροφοριακός, χρηματοοικονομικός κ.λπ.

Πρέπει να τονιστεί ότι ο έλεγχος διενεργείται όχι με πρωτοβουλία του ελεγκτή, αλλά με πρωτοβουλία της διοίκησης της επιχείρησης, η οποία είναι ο κύριος ενδιαφερόμενος για το θέμα αυτό. Η υποστήριξη της διοίκησης της επιχείρησης είναι απαραίτητη προϋπόθεσηνα διενεργήσει έλεγχο.

Ο έλεγχος είναι ένα σύνολο δραστηριοτήτων στις οποίες, εκτός από τον ίδιο τον ελεγκτή, συμμετέχουν εκπρόσωποι των περισσότερων δομικών τμημάτων της εταιρείας. Οι ενέργειες όλων των συμμετεχόντων σε αυτή τη διαδικασία πρέπει να είναι συντονισμένες. Ως εκ τούτου, στο στάδιο της έναρξης της διαδικασίας ελέγχου, πρέπει να επιλυθούν τα ακόλουθα οργανωτικά ζητήματα:

Τα δικαιώματα και οι ευθύνες του ελεγκτή πρέπει να ορίζονται και να τεκμηριώνονται με σαφήνεια σε αυτό περιγραφές εργασίας, καθώς και στους κανονισμούς για τον εσωτερικό (εξωτερικό) έλεγχο·

Ο ελεγκτής πρέπει να προετοιμάσει και να συμφωνήσει με τη διοίκηση για ένα σχέδιο ελέγχου.

Οι κανονισμοί για τον εσωτερικό έλεγχο θα πρέπει να ορίζουν, ειδικότερα, ότι οι υπάλληλοι της επιχείρησης υποχρεούνται να βοηθούν τον ελεγκτή και να παρέχουν όλες τις απαραίτητες πληροφορίες για τον έλεγχο.

Στο στάδιο της έναρξης της ελεγκτικής διαδικασίας πρέπει να καθοριστούν τα όρια της έρευνας. Εάν ορισμένα υποσυστήματα πληροφοριών της επιχείρησης δεν είναι αρκετά κρίσιμα, μπορούν να εξαιρεθούν από το πεδίο της έρευνας.

Άλλα υποσυστήματα ενδέχεται να μην είναι ελεγχόμενα για λόγους εμπιστευτικότητας.

Τα όρια της έρευνας καθορίζονται στις ακόλουθες κατηγορίες:

1. Κατάλογος φυσικών πόρων, λογισμικού και πληροφοριών που ερευνήθηκαν.

2. Τοποθεσίες (εγκαταστάσεις) που εμπίπτουν στα όρια της έρευνας.

3. Κύριοι τύποι απειλών για την ασφάλεια που λαμβάνονται υπόψη κατά τον έλεγχο.

4. Οργανωτικές (νομοθετικές, διοικητικές και διαδικαστικές), φυσικές, λογισμικού, υλικού και άλλες πτυχές ασφάλειας που πρέπει να ληφθούν υπόψη κατά την έρευνα και οι προτεραιότητές τους (σε ποιο βαθμό πρέπει να ληφθούν υπόψη).

Το σχέδιο και τα όρια του ελέγχου συζητούνται σε συνάντηση εργασίας, στην οποία συμμετέχουν ελεγκτές, διοίκηση της εταιρείας και προϊστάμενοι διαρθρωτικών τμημάτων.

Για να κατανοήσετε τον έλεγχο ως ολοκληρωμένο σύστημαμπορεί να χρησιμοποιηθεί το εννοιολογικό του μοντέλο που φαίνεται στο Σχ. 1. 1.1. Τα κύρια συστατικά της διαδικασίας επισημαίνονται εδώ:

Αντικείμενο ελέγχου:

Σκοπός του ελέγχου:

Ρύζι. 1.1. Εννοιολογικό μοντέλο IS έλεγχος

απαιτήσεις;

Μέθοδοι που χρησιμοποιούνται.

Κλίμακα:

Εκτελεστές;

Σειρά συμπεριφοράς.

Από την άποψη της οργάνωσης της εργασίας κατά τη διεξαγωγή ενός ελέγχου ασφάλειας πληροφοριών, υπάρχουν τρία θεμελιώδη στάδια:

1. Συλλογή πληροφοριών.

Αυτά τα βήματα συζητούνται λεπτομερέστερα παρακάτω.

1.2 Μέθοδοι ανάλυσης δεδομένων για ελέγχους ασφάλειας πληροφοριών

Επί του παρόντος, χρησιμοποιούνται τρεις βασικές μέθοδοι (προσεγγίσεις) για τη διενέργεια ελέγχου, οι οποίες διαφέρουν σημαντικά μεταξύ τους.

Η πρώτη μέθοδος, η πιο περίπλοκη, βασίζεται στην ανάλυση κινδύνου. Με βάση τις μεθόδους ανάλυσης κινδύνου, ο ελεγκτής καθορίζει για το εξεταζόμενο IS ένα μεμονωμένο σύνολο απαιτήσεων ασφαλείας, το οποίο λαμβάνει υπόψη στον μέγιστο βαθμό τα χαρακτηριστικά αυτού του IS, το λειτουργικό του περιβάλλον και τις απειλές ασφαλείας που υπάρχουν σε αυτό το περιβάλλον. Αυτή η προσέγγιση είναι η πιο εντάσεως εργασίας και απαιτεί τα υψηλότερα προσόντα του ελεγκτή. Η ποιότητα των αποτελεσμάτων του ελέγχου, σε αυτήν την περίπτωση, επηρεάζεται έντονα από τη μεθοδολογία που χρησιμοποιείται για την ανάλυση και τη διαχείριση κινδύνων και τη δυνατότητα εφαρμογής της σε αυτόν τον τύπο IS.

Η δεύτερη μέθοδος, η πιο πρακτική, βασίζεται στη χρήση προτύπων ασφάλειας πληροφοριών. Τα πρότυπα ορίζουν ένα βασικό σύνολο απαιτήσεων ασφαλείας για μια ευρεία κατηγορία IP, η οποία διαμορφώνεται ως αποτέλεσμα μιας γενίκευσης της παγκόσμιας πρακτικής. Τα πρότυπα μπορούν να ορίσουν διαφορετικά σύνολα απαιτήσεων ασφαλείας, ανάλογα με το επίπεδο ασφάλειας IP που πρέπει να διασφαλιστεί, τη συνεργασία (εμπορικός οργανισμός ή κυβερνητικός οργανισμός) και τον σκοπό (οικονομικά, βιομηχανία, επικοινωνίες, κ.λπ.). Σε αυτήν την περίπτωση, ο ελεγκτής πρέπει να προσδιορίσει σωστά το σύνολο των τυπικών απαιτήσεων που πρέπει να πληρούνται για αυτό το IS. Απαιτείται επίσης μια μεθοδολογία για την αξιολόγηση αυτής της συμμόρφωσης. Λόγω της απλότητάς του ( τυπικό σετοι απαιτήσεις για τη διενέργεια ελέγχου είναι ήδη προκαθορισμένες από το πρότυπο) και η αξιοπιστία (ένα πρότυπο είναι ένα πρότυπο και κανείς δεν θα προσπαθήσει να αμφισβητήσει τις απαιτήσεις του), η περιγραφόμενη προσέγγιση είναι πιο κοινή στην πράξη (ειδικά κατά τη διεξαγωγή εξωτερικού ελέγχου). Επιτρέπει, με ελάχιστη δαπάνη πόρων, την εξαγωγή τεκμηριωμένων συμπερασμάτων σχετικά με την κατάσταση της ΠΕ.

Η τρίτη μέθοδος, η πιο αποτελεσματική, περιλαμβάνει το συνδυασμό των δύο πρώτων.

Εάν επιλεγεί μια προσέγγιση που βασίζεται στην ανάλυση κινδύνου για τη διεξαγωγή ενός ελέγχου ασφαλείας, τότε συνήθως εκτελούνται οι ακόλουθες ομάδες εργασιών στο στάδιο της ανάλυσης δεδομένων ελέγχου:

1 . Ανάλυση των πόρων IP, συμπεριλαμβανομένων των πόρων πληροφοριών, του λογισμικού και του υλικού και των ανθρώπινων πόρων.

2. Ανάλυση ομάδων εργασιών που επιλύονται από το σύστημα και τις επιχειρηματικές διαδικασίες.

3. Κατασκευή ενός (άτυπου) μοντέλου πόρων IP που καθορίζει τις σχέσεις μεταξύ πληροφοριών, λογισμικού, τεχνικών και ανθρώπινων πόρων, τη σχετική θέση τους και τις μεθόδους αλληλεπίδρασης.

4. Αξιολόγηση της κρισιμότητας των πόρων πληροφοριών, καθώς και του λογισμικού και του υλικού.

5. Προσδιορισμός της κρισιμότητας των πόρων, λαμβάνοντας υπόψη τις αλληλεξαρτήσεις τους.

6. Προσδιορισμός των πιο πιθανών απειλών για την ασφάλεια των πόρων IP και των τρωτών σημείων ασφαλείας που δημιουργούν πιθανή υλοποίησηαυτές τις απειλές.

7. Εκτίμηση της πιθανότητας απειλών, του μεγέθους των τρωτών σημείων και των ζημιών που προκαλούνται στον οργανισμό σε περίπτωση επιτυχούς υλοποίησης απειλών.

8. Προσδιορισμός του μεγέθους των κινδύνων για κάθε τριπλό: απειλή - ομάδα πόρων - ευπάθεια.

Το αναφερόμενο σύνολο εργασιών είναι αρκετά γενικό. Για την επίλυσή τους, μπορούν να χρησιμοποιηθούν διάφορες επίσημες και ανεπίσημες, ποσοτικές και ποιοτικές, χειρωνακτικές και αυτοματοποιημένες τεχνικές ανάλυσης κινδύνου. Η ουσία της προσέγγισης δεν αλλάζει.

Η εκτίμηση του κινδύνου μπορεί να γίνει χρησιμοποιώντας διάφορες ποιοτικές και ποσοτικές κλίμακες. Το κυριότερο είναι ότι οι υπάρχοντες κίνδυνοι εντοπίζονται σωστά και ταξινομούνται σύμφωνα με τον βαθμό κρισιμότητας τους για τον οργανισμό. Με βάση μια τέτοια ανάλυση, μπορεί να αναπτυχθεί ένα σύστημα μέτρων προτεραιότητας για τη μείωση του μεγέθους των κινδύνων σε αποδεκτό επίπεδο.

Κατά τη διεξαγωγή ελέγχου ασφαλείας για συμμόρφωση με τις απαιτήσεις του προτύπου, ο ελεγκτής, βασιζόμενος στην εμπειρία του, αξιολογεί τη δυνατότητα εφαρμογής των απαιτήσεων του προτύπου στην εξεταζόμενη IP και τη συμμόρφωσή του με αυτές τις απαιτήσεις. Τα δεδομένα σχετικά με τη συμμόρφωση διαφόρων τομέων λειτουργίας του IS με τις απαιτήσεις του προτύπου παρουσιάζονται συνήθως σε μορφή πίνακα. Ο πίνακας δείχνει ποιες απαιτήσεις ασφαλείας δεν εφαρμόζονται στο σύστημα. Με βάση αυτό, εξάγονται συμπεράσματα για τη συμμόρφωση της εξεταζόμενης IP με τις απαιτήσεις του προτύπου και δίνονται συστάσεις για την εφαρμογή μηχανισμών ασφαλείας στο σύστημα για τη διασφάλιση της συμμόρφωσης αυτής.

1.3 Ανάλυση κινδύνων επιχειρηματικής πληροφόρησης

Η ανάλυση κινδύνου είναι το σημείο όπου πρέπει να ξεκινήσει η κατασκευή οποιουδήποτε συστήματος ασφάλειας πληροφοριών και τι είναι απαραίτητο για τη διεξαγωγή ενός ελέγχου ασφάλειας πληροφοριών. Περιλαμβάνει δραστηριότητες για την έρευνα της ασφάλειας της επιχείρησης προκειμένου να καθοριστεί ποιοι πόροι και από ποιες απειλές πρέπει να προστατευθούν, καθώς και σε ποιο βαθμό ορισμένοι πόροι χρειάζονται προστασία. Ο καθορισμός μιας σειράς κατάλληλων αντίμετρων πραγματοποιείται κατά τη διαχείριση κινδύνου. Ο κίνδυνος καθορίζεται από την πιθανότητα ζημίας και το μέγεθος της ζημίας που προκαλείται στους πόρους του συστήματος πληροφοριών (IS) σε περίπτωση απειλής για την ασφάλεια.

Η ανάλυση κινδύνου συνίσταται στον εντοπισμό των υφιστάμενων κινδύνων και στην αξιολόγηση του μεγέθους τους (παρέχοντάς τους ποιοτική ή ποσοτική αξιολόγηση). Η διαδικασία ανάλυσης κινδύνου περιλαμβάνει την επίλυση των ακόλουθων εργασιών:

1. Προσδιορισμός βασικών πόρων IP.

2. Προσδιορισμός της σημασίας ορισμένων πόρων για τον οργανισμό.

3. Προσδιορισμός υφιστάμενων απειλών ασφαλείας και τρωτών σημείων που καθιστούν δυνατές τις απειλές.

4. Υπολογισμός των κινδύνων που συνδέονται με την εφαρμογή απειλών για την ασφάλεια.

Οι πόροι IP μπορούν να χωριστούν στις ακόλουθες κατηγορίες:

Πηγές πληροφοριών;

Λογισμικό;

Τεχνικά μέσα (διακομιστές, σταθμοί εργασίας, ενεργά υλικό δικτύουκαι ούτω καθεξής.);

Ανθρώπινο δυναμικό.

Σε κάθε κατηγορία, οι πόροι χωρίζονται σε κλάσεις και υποκλάσεις. Είναι απαραίτητο να εντοπιστούν μόνο εκείνοι οι πόροι που καθορίζουν τη λειτουργικότητα του IS και είναι σημαντικοί από την άποψη της ασφάλειας.

Η σημασία (ή η αξία) ενός πόρου καθορίζεται από το μέγεθος της ζημίας που προκαλείται εάν τεθεί σε κίνδυνο η εμπιστευτικότητα, η ακεραιότητα ή η διαθεσιμότητα αυτού του πόρου. Συνήθως λαμβάνονται υπόψη οι ακόλουθοι τύποι ζημιών:

Τα δεδομένα αποκαλύφθηκαν, άλλαξαν, διαγράφηκαν ή κατέστησαν μη διαθέσιμα.

Ο εξοπλισμός έχει καταστραφεί ή έχει καταστραφεί.

Η ακεραιότητα του λογισμικού έχει τεθεί σε κίνδυνο.

Μπορεί να προκληθεί ζημιά σε έναν οργανισμό ως αποτέλεσμα της επιτυχούς εφαρμογής των ακόλουθων τύπων απειλών ασφαλείας:

Τοπικές και απομακρυσμένες επιθέσεις σε πόρους IP.

Φυσικές καταστροφές;

Λάθη ή σκόπιμες ενέργειες του προσωπικού του IS.

Δυσλειτουργίες IC που προκαλούνται από σφάλματα λογισμικού ή δυσλειτουργίες υλικού.

Το μέγεθος του κινδύνου μπορεί να προσδιοριστεί με βάση την αξία του πόρου, την πιθανότητα εμφάνισης της απειλής και το μέγεθος της ευπάθειας χρησιμοποιώντας τον ακόλουθο τύπο:

κόστος πόρωνΧ πιθανότητα απειλής Κίνδυνος = τιμή ευπάθειας

Το καθήκον της διαχείρισης κινδύνου είναι να επιλέξει ένα εύλογο σύνολο αντιμέτρων για τη μείωση των επιπέδων κινδύνου σε ένα αποδεκτό επίπεδο. Το κόστος της εφαρμογής των αντίμετρων πρέπει να είναι μικρότερο από το ποσό της πιθανής ζημίας. Η διαφορά μεταξύ του κόστους εφαρμογής των αντίμετρων και του μεγέθους της πιθανής ζημίας θα πρέπει να είναι αντιστρόφως ανάλογη με την πιθανότητα πρόκλησης ζημίας.

Η προσέγγιση που βασίζεται στην ανάλυση των κινδύνων επιχειρηματικών πληροφοριών είναι η πιο σημαντική για την πρακτική της διασφάλισης της ασφάλειας των πληροφοριών. Αυτό εξηγείται από το γεγονός ότι η ανάλυση κινδύνου σάς επιτρέπει να διαχειρίζεστε αποτελεσματικά την ασφάλεια πληροφοριών μιας επιχείρησης. Για να γίνει αυτό, στην αρχή της εργασίας ανάλυσης κινδύνου, είναι απαραίτητο να προσδιοριστεί τι ακριβώς υπόκειται σε προστασία στην επιχείρηση, σε ποιες απειλές εκτίθεται και τις πρακτικές προστασίας. Η ανάλυση κινδύνου πραγματοποιείται με βάση τους άμεσους στόχους και τους στόχους προστασίας ενός συγκεκριμένου τύπου εμπιστευτικών πληροφοριών. Ένα από τα πιο σημαντικά καθήκοντα στο πλαίσιο της προστασίας των πληροφοριών είναι η διασφάλιση της ακεραιότητας και της διαθεσιμότητάς τους. Θα πρέπει να ληφθεί υπόψη ότι παραβίαση της ακεραιότητας μπορεί να συμβεί όχι μόνο ως αποτέλεσμα εσκεμμένων ενεργειών, αλλά και για διάφορους άλλους λόγους:

· Βλάβες εξοπλισμού που οδηγούν σε απώλεια ή παραμόρφωση πληροφοριών.

· σωματικές επιρροές, συμπεριλαμβανομένου του αποτελέσματος φυσικές καταστροφές;

· σφάλματα στο λογισμικό (συμπεριλαμβανομένων μη τεκμηριωμένων λειτουργιών).

Επομένως, ο όρος «επίθεση» είναι πιο πολλά υποσχόμενος για την κατανόηση όχι μόνο των ανθρώπινων επιπτώσεων στους πόρους πληροφοριών, αλλά και των επιπτώσεων του περιβάλλοντος στο οποίο λειτουργεί το σύστημα επεξεργασίας πληροφοριών της επιχείρησης.

Κατά τη διεξαγωγή ανάλυσης κινδύνου, αναπτύσσονται τα ακόλουθα:

· γενική στρατηγική και τακτική για τη διεξαγωγή «επιθετικών επιχειρήσεων και επιχειρήσεων μάχης» από έναν πιθανό παραβάτη.

· πιθανές μέθοδοι πραγματοποίησης επιθέσεων στο σύστημα επεξεργασίας και προστασίας πληροφοριών.

· Σενάριο παράνομων ενεργειών.

· Χαρακτηριστικά καναλιών διαρροής πληροφοριών και μη εξουσιοδοτημένης πρόσβασης.

· πιθανότητα δημιουργίας επικοινωνίας πληροφοριών (πραγματοποίηση απειλών).

· Κατάλογος πιθανών μολύνσεων πληροφοριών.

· μοντέλο του δράστη.

· μεθοδολογία για την αξιολόγηση της ασφάλειας των πληροφοριών.

Επιπλέον, για να δημιουργηθεί ένα αξιόπιστο εταιρικό σύστημα ασφάλειας πληροφοριών είναι απαραίτητο:

· Εντοπίζει όλες τις πιθανές απειλές για την ασφάλεια των πληροφοριών.

· να αξιολογήσει τις συνέπειες της εκδήλωσής τους.

· ορίζουν απαραίτητα μέτρακαι μέσα προστασίας λαμβάνοντας υπόψη τις απαιτήσεις των κανονιστικών εγγράφων, οικονομική

· σκοπιμότητα, συμβατότητα και μη σύγκρουση με το λογισμικό που χρησιμοποιείται.

· αξιολόγηση της αποτελεσματικότητας των επιλεγμένων μέτρων και μέσων προστασίας.

Ρύζι. 1.2. Σενάριο ανάλυσης πόρων πληροφοριών

Και τα 6 στάδια της ανάλυσης κινδύνου παρουσιάζονται εδώ. Στο πρώτο και στο δεύτερο στάδιο προσδιορίζονται πληροφορίες που αποτελούν εμπορικό μυστικό για την επιχείρηση και οι οποίες πρέπει να προστατεύονται. Είναι σαφές ότι τέτοιες πληροφορίες αποθηκεύονται σε ορισμένα σημεία και σε συγκεκριμένα μέσα και μεταδίδονται μέσω καναλιών επικοινωνίας. Ταυτόχρονα, ο καθοριστικός παράγοντας στην τεχνολογία διαχείρισης πληροφοριών είναι η αρχιτεκτονική IS, η οποία καθορίζει σε μεγάλο βαθμό την ασφάλεια των πόρων πληροφοριών μιας επιχείρησης. Το τρίτο στάδιο της ανάλυσης κινδύνου είναι η κατασκευή καναλιών πρόσβασης, διαρροής ή επίδρασης στους πόρους πληροφοριών των κύριων κόμβων IS. Κάθε κανάλι πρόσβασης χαρακτηρίζεται από πολλά σημεία από τα οποία μπορούν να «ανακτηθούν» πληροφορίες. Είναι αυτοί που αντιπροσωπεύουν τρωτά σημεία και απαιτούν τη χρήση μέσων για την πρόληψη ανεπιθύμητων επιπτώσεων στις πληροφορίες.

Το τέταρτο στάδιο της ανάλυσης τρόπων προστασίας όλων πιθανό σημείοΑυτό αντιστοιχεί στους στόχους της άμυνας και το αποτέλεσμά του θα πρέπει να είναι ο χαρακτηρισμός πιθανών κενών στην άμυνα, μεταξύ άλλων λόγω δυσμενούς συνδυασμού περιστάσεων.

Στο πέμπτο στάδιο, με βάση το γνωστό αυτή τη στιγμήΟι τρόποι και τα μέσα υπέρβασης των αμυντικών γραμμών καθορίζονται από την πιθανότητα να πραγματοποιηθούν απειλές σε καθένα από τα πιθανά σημεία επίθεσης.

Στο τελευταίο, έκτο, στάδιο, αξιολογείται η ζημιά στον οργανισμό σε περίπτωση κάθε επίθεσης, η οποία, μαζί με τις εκτιμήσεις ευπάθειας, μας επιτρέπει να αποκτήσουμε μια ταξινομημένη λίστα απειλών για τους πόρους πληροφοριών. Τα αποτελέσματα της εργασίας παρουσιάζονται σε μορφή κατάλληλη για την αντίληψή τους και την ανάπτυξη των διορθωτικών αποφάσεων υπάρχον σύστημαπροστασία πληροφοριών. Επιπλέον, κάθε πηγή πληροφοριών μπορεί να εκτεθεί σε πολλές πιθανές απειλές. Θεμελιώδους σημασίας είναι η συνολική πιθανότητα πρόσβασης σε πόρους πληροφοριών, η οποία αποτελείται από τις στοιχειώδεις πιθανότητες πρόσβασης σε επιμέρους σημεία ροής πληροφοριών.

Το μέγεθος του κινδύνου πληροφοριών για κάθε πόρο προσδιορίζεται ως το γινόμενο της πιθανότητας επίθεσης στον πόρο, της πιθανότητας εφαρμογής και της απειλής και της ζημίας από μια εισβολή πληροφοριών. Αυτή η εργασία μπορεί να χρησιμοποιεί διαφορετικούς τρόπους ζύγισης των εξαρτημάτων.

Η προσθήκη κινδύνων για όλους τους πόρους δίνει την αξία του συνολικού κινδύνου για την υιοθετημένη αρχιτεκτονική IS και το σύστημα ασφάλειας πληροφοριών που εφαρμόζεται σε αυτήν.

Έτσι, διαφοροποιώντας τις επιλογές για την κατασκευή ενός συστήματος ασφάλειας πληροφοριών και της αρχιτεκτονικής IS, γίνεται δυνατό να φανταστούμε και να εξετάσουμε διαφορετικές έννοιεςσυνολικό κίνδυνο λόγω αλλαγών στην πιθανότητα πραγματοποίησης απειλών. Εδώ, ένα πολύ σημαντικό βήμα είναι να επιλέξετε μία από τις επιλογές σύμφωνα με το επιλεγμένο κριτήριο απόφασης. Ένα τέτοιο κριτήριο μπορεί να είναι το αποδεκτό ποσό κινδύνου ή η αναλογία του κόστους διασφάλισης της ασφάλειας των πληροφοριών προς τον υπολειπόμενο κίνδυνο.

Κατά την κατασκευή συστημάτων ασφάλειας πληροφοριών, είναι επίσης απαραίτητο να καθοριστεί μια στρατηγική διαχείρισης κινδύνου για την επιχείρηση.

Σήμερα υπάρχουν διάφορες προσεγγίσεις για τη διαχείριση κινδύνων.

Ένα από τα πιο συνηθισμένα είναι η μείωση του κινδύνου με τη χρήση κατάλληλων μεθόδων και μέσων προστασίας. Παρόμοια στην ουσία είναι η προσέγγιση που σχετίζεται με την αποστροφή του κινδύνου. Είναι γνωστό ότι ορισμένες κατηγορίες κινδύνων μπορούν να αποφευχθούν: για παράδειγμα, η μετακίνηση του διακομιστή Web του οργανισμού σε εξωτερικό χώρο τοπικό δίκτυοσας επιτρέπει να αποφύγετε τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης στο τοπικό δίκτυο από πελάτες Web.

Τέλος, σε ορισμένες περιπτώσεις είναι αποδεκτή η αποδοχή του κινδύνου. Εδώ είναι σημαντικό να αποφασίσετε για το ακόλουθο δίλημμα: τι είναι πιο κερδοφόρο για την επιχείρηση - να αντιμετωπίσει τους κινδύνους ή τις συνέπειές τους. Σε αυτή την περίπτωση, πρέπει να λύσουμε ένα πρόβλημα βελτιστοποίησης.

Αφού καθοριστεί η στρατηγική διαχείρισης κινδύνου, πραγματοποιείται τελική αξιολόγηση των μέτρων ασφάλειας πληροφοριών με την προετοιμασία γνωμοδότησης εμπειρογνωμόνων για την ασφάλεια των πόρων πληροφοριών. Η γνώμη εμπειρογνωμόνων περιλαμβάνει όλα τα υλικά ανάλυσης κινδύνου και συστάσεις για τη μείωσή τους.

1.4 Μέθοδοι για την αξιολόγηση των κινδύνων επιχειρηματικής πληροφόρησης

Στην πράξη, χρησιμοποιούνται διάφορες μέθοδοι για την αξιολόγηση και τη διαχείριση των κινδύνων πληροφοριών στις επιχειρήσεις. Στην περίπτωση αυτή, η αξιολόγηση των κινδύνων πληροφοριών περιλαμβάνει τα ακόλουθα στάδια:

· Προσδιορισμός και ποσοτική αξιολόγηση των πόρων πληροφοριών των επιχειρήσεων που είναι σημαντικές για τις επιχειρήσεις.

· αξιολόγηση πιθανών απειλών.

· αξιολόγηση των υφιστάμενων τρωτών σημείων.

· αξιολόγηση της αποτελεσματικότητας των μέσων ασφάλειας πληροφοριών.

Θεωρείται ότι οι ευάλωτοι πόροι πληροφοριών μιας επιχείρησης που είναι σημαντικοί για τις επιχειρήσεις βρίσκονται σε κίνδυνο εάν υπάρχουν απειλές εναντίον τους. Με άλλα λόγια, οι κίνδυνοι χαρακτηρίζουν τον κίνδυνο στον οποίο μπορεί να εκτεθούν στοιχεία ενός εταιρικού συστήματος Διαδικτύου/Intranet. Ταυτόχρονα, οι κίνδυνοι πληροφόρησης της εταιρείας εξαρτώνται από:

· σχετικά με τους δείκτες της αξίας των πόρων πληροφοριών.

· την πιθανότητα πραγματοποίησης απειλών για τους πόρους.

· την αποτελεσματικότητα των υφιστάμενων ή προγραμματισμένων μέσων ασφάλειας πληροφοριών.

Ο σκοπός της αξιολόγησης κινδύνου είναι να προσδιορίσει τα χαρακτηριστικά κινδύνου ενός εταιρικού συστήματος πληροφοριών και τους πόρους του. Ως αποτέλεσμα της αξιολόγησης κινδύνου, καθίσταται δυνατή η επιλογή εργαλείων που διασφαλίζουν το επιθυμητό επίπεδο ασφάλειας των πληροφοριών της επιχείρησης. Κατά την αξιολόγηση των κινδύνων, λαμβάνεται υπόψη η αξία των πόρων, η σημασία των απειλών και των τρωτών σημείων και η αποτελεσματικότητα των υφιστάμενων και προγραμματισμένων μέσων προστασίας. Οι ίδιοι οι δείκτες των πόρων, η σημασία των απειλών και των τρωτών σημείων και η αποτελεσματικότητα των προστατευτικών μέτρων μπορούν να προσδιοριστούν τόσο με ποσοτικές μεθόδους, για παράδειγμα, κατά τον προσδιορισμό των χαρακτηριστικών κόστους, όσο και με ποιοτικές μεθόδους, για παράδειγμα, λαμβάνοντας υπόψη κανονικές ή εξαιρετικά επικίνδυνες μη φυσιολογικές επιπτώσεις του εξωτερικού περιβάλλοντος.

Η πιθανότητα πραγματοποίησης μιας απειλής αξιολογείται από την πιθανότητα υλοποίησής της μέσα σε μια δεδομένη χρονική περίοδο για έναν συγκεκριμένο πόρο της επιχείρησης. Σε αυτήν την περίπτωση, η πιθανότητα να πραγματοποιηθεί η απειλή καθορίζεται από τους ακόλουθους κύριους δείκτες:

· Η ελκυστικότητα του πόρου χρησιμοποιείται όταν εξετάζεται η απειλή από σκόπιμη ανθρώπινη επιρροή.

· τη δυνατότητα χρήσης ενός πόρου για τη δημιουργία εισοδήματος όταν εξετάζεται η απειλή από σκόπιμη ανθρώπινη επιρροή.

· τεχνικές δυνατότητεςη εφαρμογή μιας απειλής χρησιμοποιείται με σκόπιμη επιρροή από την πλευρά ενός ατόμου.

· ο βαθμός ευκολίας με τον οποίο μπορεί να γίνει εκμετάλλευση μιας ευπάθειας.

Επί του παρόντος, υπάρχουν πολλές μέθοδοι πινάκων για την αξιολόγηση των κινδύνων πληροφοριών μιας εταιρείας. Είναι σημαντικό το προσωπικό ασφαλείας να επιλέξει μια κατάλληλη μέθοδο που παρέχει σωστά και αξιόπιστα αναπαραγώγιμα αποτελέσματα.

Συνιστάται η αξιολόγηση ποσοτικών δεικτών πληροφοριακών πόρων με βάση τα αποτελέσματα ερευνών των εργαζομένων της επιχείρησης που κατέχουν πληροφορίες, δηλαδή υπαλλήλων που μπορούν να προσδιορίσουν την αξία των πληροφοριών, τα χαρακτηριστικά και τον βαθμό κρισιμότητας τους, με βάση την πραγματική κατάσταση των πραγμάτων. Με βάση τα αποτελέσματα της έρευνας, οι δείκτες και ο βαθμός κρισιμότητας των πόρων πληροφοριών αξιολογούνται για το χειρότερο σενάριο, μέχρι την εξέταση των πιθανών επιπτώσεων στις επιχειρηματικές δραστηριότητες της επιχείρησης σε περίπτωση πιθανής μη εξουσιοδοτημένης πρόσβασης σε εμπιστευτικές πληροφορίες, παραβίασης την ακεραιότητά του, την απροσπέλαστη διαφορετικές προθεσμίεςπου προκαλούνται από αστοχίες στην εξυπηρέτηση των συστημάτων επεξεργασίας δεδομένων, ακόμη και από φυσική καταστροφή. Ταυτόχρονα, η διαδικασία λήψης ποσοτικών δεικτών μπορεί να συμπληρωθεί με κατάλληλες μεθόδους για την αξιολόγηση άλλων κρίσιμων πόρων της επιχείρησης, λαμβάνοντας υπόψη:

· Ασφάλεια προσωπικού.

· αποκάλυψη προσωπικών πληροφοριών.

· Απαιτήσεις για συμμόρφωση με νόμους και κανονισμούς.

· περιορισμοί που απορρέουν από τη νομοθεσία.

· εμπορικά και οικονομικά συμφέροντα.

· Οικονομικές απώλειες και διαταραχές στις παραγωγικές δραστηριότητες.

· δημόσιες σχέσεις;

· εμπορική πολιτική και εμπορικές δραστηριότητες.

· απώλεια της φήμης της εταιρείας.

Περαιτέρω, χρησιμοποιούνται ποσοτικοί δείκτες όπου αυτό είναι επιτρεπτό και δικαιολογημένο, και ποιοτικοί - όπου οι ποσοτικές αξιολογήσεις είναι δύσκολες για διάφορους λόγους. Ταυτόχρονα, η πιο διαδεδομένη εκτίμηση είναι δείκτες ποιότηταςχρησιμοποιώντας κλίμακες βαθμολόγησης που έχουν αναπτυχθεί ειδικά για αυτούς τους σκοπούς, για παράδειγμα, μια κλίμακα τεσσάρων βαθμών.

Η επόμενη ενέργεια είναι η συμπλήρωση ζευγών ερωτηματολογίων στα οποία, για κάθε τύπο απειλής και τη σχετική ομάδα πόρων, τα επίπεδα απειλής αξιολογούνται ως η πιθανότητα πραγματοποίησης απειλών και τα επίπεδα ευπάθειας ως ο βαθμός ευκολίας με την οποία μπορεί να πραγματοποιηθεί μια απειλή. οδηγήσει σε αρνητικό αντίκτυπο. Η αξιολόγηση πραγματοποιείται σε ποιοτικές κλίμακες. Για παράδειγμα, το επίπεδο των απειλών και των τρωτών σημείων αξιολογείται σε κλίμακα «υψηλού-χαμηλού». Απαραίτητες πληροφορίεςσυλλέγονται με συνεντεύξεις από κορυφαία στελέχη της εταιρείας, υπαλλήλους εμπορικών, τεχνικών, τμημάτων προσωπικού και υπηρεσιών, πηγαίνοντας στο πεδίο και αναλύοντας την τεκμηρίωση της εταιρείας.

Μαζί με πίνακες μεθόδους εκτίμησης κινδύνων πληροφοριών, σύγχρονες μαθηματικές μεθόδους, για παράδειγμα, η μέθοδος τύπου Delphi, καθώς και ειδικά αυτοματοποιημένα συστήματα, μερικά από τα οποία θα συζητηθούν παρακάτω.

Ο γενικός αλγόριθμος της διαδικασίας αξιολόγησης κινδύνου (Εικ. 1.3.) σε αυτά τα συστήματα περιλαμβάνει τα ακόλουθα στάδια.

· Περιγραφή της εγκατάστασης και των μέτρων προστασίας.

· Προσδιορισμός ενός πόρου και αξιολόγηση των ποσοτικών δεικτών του (προσδιορισμός δυναμικού αρνητικό αντίκτυπογια δουλειές);

· Ανάλυση απειλών για την ασφάλεια των πληροφοριών.

· αξιολόγηση της ευπάθειας;

· αξιολόγηση υφιστάμενων και προτεινόμενων κονδυλίων

εξασφάλιση της ασφάλειας των πληροφοριών·

· εκτίμηση κινδύνου.

1.5 Διαχείριση κινδύνου πληροφοριών

Επί του παρόντος, η διαχείριση κινδύνων πληροφοριών είναι ένας από τους πιο σχετικούς και δυναμικά αναπτυσσόμενους τομείς στρατηγικής και επιχειρησιακής διαχείρισης στον τομέα της ασφάλειας πληροφοριών. Κύριο καθήκον της είναι να εντοπίζει και να αξιολογεί αντικειμενικά τους σημαντικότερους κινδύνους επιχειρηματικής πληροφόρησης της εταιρείας, καθώς και την επάρκεια των ελέγχων κινδύνου που χρησιμοποιούνται για την αύξηση της αποδοτικότητας και της κερδοφορίας των οικονομικών δραστηριοτήτων της επιχείρησης. Ως εκ τούτου, ο όρος «διαχείριση κινδύνου πληροφοριών» αναφέρεται συνήθως σε μια συστηματική διαδικασία εντοπισμού, ελέγχου και μείωσης των κινδύνων πληροφοριών των εταιρειών σύμφωνα με ορισμένους περιορισμούς του ρωσικού ρυθμιστικού πλαισίου στον τομέα της προστασίας πληροφοριών και της δικής τους εταιρικής πολιτικής ασφάλειας.

Ρύζι. 1.3. Αλγόριθμος εκτίμησης κινδύνου

Η χρήση πληροφοριακών συστημάτων συνδέεται με ένα συγκεκριμένο σύνολο κινδύνων. Όταν η πιθανή ζημιά είναι απαράδεκτα μεγάλη, απαιτούνται οικονομικά εφικτά προστατευτικά μέτρα. Η περιοδική (επανα)εκτίμηση των κινδύνων είναι απαραίτητη για την παρακολούθηση της αποτελεσματικότητας των δραστηριοτήτων ασφάλειας και για να ληφθούν υπόψη οι αλλαγές στο περιβάλλον.

Η ουσία της διαχείρισης κινδύνου είναι να αξιολογήσει το μέγεθος του κινδύνου, να αναπτύξει αποτελεσματικά και οικονομικά αποδοτικά μέτρα μετριασμού του κινδύνου και στη συνέχεια να διασφαλίσει ότι οι κίνδυνοι περιορίζονται (και παραμένουν έτσι) εντός αποδεκτών ορίων. Κατά συνέπεια, η διαχείριση κινδύνου περιλαμβάνει δύο τύπους δραστηριοτήτων που εναλλάσσονται κυκλικά:

1) (επανα)εκτίμηση (μέτρηση) των κινδύνων.

2) επιλογή αποτελεσματικού και οικονομικού προστατευτικού εξοπλισμού (εξουδετέρωση κινδύνων).

Οι ακόλουθες ενέργειες είναι δυνατές σε σχέση με τους εντοπισθέντες κινδύνους:

· εξάλειψη του κινδύνου (για παράδειγμα, εξαλείφοντας την αιτία).

· μείωση του κινδύνου (για παράδειγμα, μέσω της χρήσης πρόσθετου προστατευτικού εξοπλισμού).

· αποδοχή κινδύνου (με την ανάπτυξη ενός σχεδίου δράσης υπό κατάλληλες συνθήκες):

· ανακατεύθυνση κινδύνου (για παράδειγμα, με τη σύναψη ασφαλιστικής σύμβασης).

Η διαδικασία διαχείρισης κινδύνου μπορεί να χωριστεί στα ακόλουθα στάδια:

1. Επιλογή αντικειμένων προς ανάλυση και το επίπεδο λεπτομέρειας της εξέτασης τους.

2. Επιλογή μεθοδολογίας εκτίμησης κινδύνου.

3. Ταυτοποίηση περιουσιακού στοιχείου.

4. Ανάλυση απειλών και συνεπειών τους, εντοπισμός τρωτών σημείων ασφαλείας.

5. Εκτίμηση κινδύνου.

6. Επιλογή προστατευτικών μέτρων.

7. Εφαρμογή και επαλήθευση επιλεγμένων μέτρων.

8. Εκτίμηση υπολειπόμενου κινδύνου.

Τα στάδια 6 σχετίζονται με την επιλογή προστατευτικού εξοπλισμού (εξουδετέρωση κινδύνων), τα υπόλοιπα - με την αξιολόγηση κινδύνου.

Η ήδη απαρίθμηση των σταδίων δείχνει ότι η διαχείριση κινδύνου είναι μια κυκλική διαδικασία. Ουσιαστικά, το τελευταίο βήμα είναι μια δήλωση τέλους βρόχου που σας καθοδηγεί να επιστρέψετε στην αρχή. Οι κίνδυνοι πρέπει να παρακολουθούνται συνεχώς, επανεκτιμώντας τους περιοδικά. Θα πρέπει να σημειωθεί ότι μια ολοκληρωμένη και προσεκτικά τεκμηριωμένη αξιολόγηση μπορεί να απλοποιήσει σημαντικά τις επόμενες δραστηριότητες.

Η διαχείριση κινδύνου, όπως και κάθε άλλη δραστηριότητα ασφάλειας πληροφοριών, πρέπει να ενσωματωθεί στον κύκλο ζωής του IS. Τότε το αποτέλεσμα είναι μεγαλύτερο και το κόστος ελάχιστο.

Η διαχείριση κινδύνου πρέπει να πραγματοποιείται σε όλα τα στάδια του κύκλου ζωής ενός πληροφοριακού συστήματος: έναρξη - ανάπτυξη - εγκατάσταση - λειτουργία - διάθεση (παροπλισμός).

Στο στάδιο της έναρξης, οι γνωστοί κίνδυνοι θα πρέπει να λαμβάνονται υπόψη κατά την ανάπτυξη απαιτήσεων για το σύστημα γενικά και τα χαρακτηριστικά ασφαλείας ειδικότερα.

Κατά τη φάση ανάπτυξης, η γνώση των κινδύνων βοηθά στην επιλογή κατάλληλων αρχιτεκτονικών λύσεων που διαδραματίζουν βασικό ρόλο στη διασφάλιση της ασφάλειας.

Κατά τη φάση εγκατάστασης, οι εντοπισμένοι κίνδυνοι θα πρέπει να λαμβάνονται υπόψη κατά τη διαμόρφωση, τη δοκιμή και την επαλήθευση προηγουμένως διατυπωμένων

απαιτήσεις, και πλήρης κύκλοςΗ διαχείριση κινδύνων θα πρέπει να προηγείται της εφαρμογής του συστήματος σε λειτουργία.

Κατά τη φάση λειτουργίας, η διαχείριση κινδύνου θα πρέπει να συνοδεύει όλες τις σημαντικές αλλαγές στο σύστημα.

Κατά τον παροπλισμό ενός συστήματος, η διαχείριση κινδύνου συμβάλλει στη διασφάλιση ότι η μετεγκατάσταση δεδομένων πραγματοποιείται με ασφαλή τρόπο.

Κεφάλαιο II. Πρότυπα Ασφάλειας Πληροφοριών

2.1 Προϋποθέσεις για τη δημιουργία προτύπων ασφάλειας πληροφοριών

Η διεξαγωγή ενός ελέγχου ασφάλειας πληροφοριών βασίζεται στη χρήση πολυάριθμων συστάσεων, οι οποίες ορίζονται κυρίως στα διεθνή πρότυπα ασφάλειας πληροφοριών.

Ένα από τα αποτελέσματα του ελέγχου στο ΠρόσφαταΓίνεται ολοένα και πιο σύνηθες ένα πιστοποιητικό να πιστοποιεί ότι η υπό εξέταση IP πληροί ένα συγκεκριμένο αναγνωρισμένο διεθνές πρότυπο. Η παρουσία ενός τέτοιου πιστοποιητικού επιτρέπει σε έναν οργανισμό να αποκτήσει ανταγωνιστικά πλεονεκτήματα που συνδέονται με μεγαλύτερη εμπιστοσύνη από πελάτες και συνεργάτες.

Η χρήση προτύπων βοηθά στην επίτευξη των ακόλουθων πέντε στόχων.

Πρώτον, οι στόχοι της διασφάλισης της ασφάλειας των πληροφοριών των συστημάτων υπολογιστών είναι αυστηρά καθορισμένοι. Δεύτερον, δημιουργεί αποτελεσματικό σύστημαδιαχείριση ασφάλειας πληροφοριών. Τρίτον, παρέχει τον υπολογισμό ενός συνόλου λεπτομερών, όχι μόνο ποιοτικών, αλλά και ποσοτικών δεικτών για την αξιολόγηση της συμμόρφωσης της ασφάλειας των πληροφοριών με τους δηλωμένους στόχους. Τέταρτον, δημιουργούνται προϋποθέσεις για τη χρήση υφιστάμενων εργαλείων ασφάλειας πληροφοριών (λογισμικό) και την αξιολόγηση της τρέχουσας κατάστασής του. Πέμπτον, ανοίγει τη δυνατότητα χρήσης τεχνικών διαχείρισης ασφάλειας με ένα καλά θεμελιωμένο σύστημα μετρήσεων και μέτρων για την εξασφάλιση των προγραμματιστών συστημάτων πληροφοριών.

Από τις αρχές της δεκαετίας του '80 έχουν δημιουργηθεί δεκάδες διεθνή και εθνικά πρότυπα στον τομέα της ασφάλειας των πληροφοριών, τα οποία σε ένα βαθμό αλληλοσυμπληρώνονται. Παρακάτω θα εξετάσουμε τα πιο διάσημα πρότυπα σύμφωνα με τη χρονολογία της δημιουργίας τους:

1) Κριτήριο για την αξιολόγηση της αξιοπιστίας των υπολογιστικών συστημάτων «Orange Book» (ΗΠΑ).

2) Εναρμονισμένα κριτήρια ευρωπαϊκών χωρών.

4) Γερμανικό πρότυπο BSI.

5) British Standard BS 7799;

6) Πρότυπο ISO 17799.

7) Πρότυπο «Γενικά κριτήρια» ISO 15408.

8) Πρότυπο COBIT

Αυτά τα πρότυπα μπορούν να χωριστούν σε δύο τύπους:

· Πρότυπα αξιολόγησης που στοχεύουν στην ταξινόμηση συστημάτων πληροφοριών και μέσων προστασίας σύμφωνα με τις απαιτήσεις ασφαλείας.

· Τεχνικές προδιαγραφές που ρυθμίζουν διάφορες πτυχές της εφαρμογής προστατευτικού εξοπλισμού.

Είναι σημαντικό να σημειωθεί ότι δεν υπάρχει κενό τοίχωμα μεταξύ αυτών των τύπων κανονισμών. Τα πρότυπα αξιολόγησης υπογραμμίζουν τις πιο σημαντικές πτυχές της ασφάλειας των πληροφοριών από την άποψη της ασφάλειας των πληροφοριών, παίζοντας το ρόλο των αρχιτεκτονικών προδιαγραφών. Άλλες τεχνικές προδιαγραφές καθορίζουν τον τρόπο κατασκευής IC προκαθορισμένης αρχιτεκτονικής.

2.2 Πρότυπο «Κριτήρια για την αξιολόγηση της αξιοπιστίας των συστημάτων υπολογιστών» (Orange Book)

Ιστορικά, το πρώτο πρότυπο αξιολόγησης που έγινε ευρέως διαδεδομένο και είχε τεράστιο αντίκτυπο στη βάση τυποποίησης της ασφάλειας πληροφοριών σε πολλές χώρες ήταν το πρότυπο του Υπουργείου Άμυνας των ΗΠΑ «Κριτήρια αξιολόγησης για αξιόπιστα συστήματα υπολογιστών».

Αυτό το έργο, που συνήθως αποκαλείται «Πορτοκαλί Βιβλίο» από το χρώμα του εξωφύλλου του, εκδόθηκε για πρώτη φορά τον Αύγουστο του 1983. Το όνομά του και μόνο θέλει σχολιασμό. Δεν μιλάμε για ασφαλή συστήματα, αλλά για αξιόπιστα συστήματα, δηλαδή συστήματα στα οποία μπορεί να δοθεί ένας ορισμένος βαθμός εμπιστοσύνης.

Το Orange Book εξηγεί την έννοια ενός ασφαλούς συστήματος που «ελέγχει, με κατάλληλα μέσα, την πρόσβαση σε πληροφορίες, έτσι ώστε μόνο κατάλληλα εξουσιοδοτημένα άτομα ή διαδικασίες που ενεργούν για λογαριασμό τους να έχουν άδεια ανάγνωσης, εγγραφής, δημιουργίας και διαγραφής πληροφοριών».

Είναι προφανές, ωστόσο, ότι δεν υπάρχουν απολύτως ασφαλή συστήματα. Είναι λογικό να αξιολογείται μόνο ο βαθμός εμπιστοσύνης που μπορεί να δοθεί σε ένα συγκεκριμένο σύστημα.

Το Orange Book ορίζει ένα αξιόπιστο σύστημα ως «ένα σύστημα που χρησιμοποιεί επαρκές υλικό και λογισμικό για να επιτρέπει την ταυτόχρονη επεξεργασία πληροφοριών διαφορετικού βαθμού ευαισθησίας από μια ομάδα χρηστών χωρίς να παραβιάζονται τα δικαιώματα πρόσβασης».

Πρέπει να σημειωθεί ότι στα υπό εξέταση κριτήρια, τόσο η ασφάλεια όσο και η εμπιστοσύνη αξιολογούνται αποκλειστικά από την άποψη του ελέγχου πρόσβασης στα δεδομένα, που αποτελεί ένα από τα μέσα διασφάλισης του απορρήτου και της ακεραιότητας των πληροφοριών. Ωστόσο, το Orange Book δεν αντιμετωπίζει ζητήματα προσβασιμότητας.

Ο βαθμός εμπιστοσύνης αξιολογείται σύμφωνα με δύο βασικά κριτήρια.

1. Πολιτική ασφαλείας - ένα σύνολο νόμων, κανόνων και κανόνων συμπεριφοράς που καθορίζουν τον τρόπο με τον οποίο ένας οργανισμός επεξεργάζεται, προστατεύει και διαδίδει πληροφορίες. Συγκεκριμένα, οι κανόνες καθορίζουν πότε ένας χρήστης μπορεί να λειτουργήσει σε συγκεκριμένα σύνολα δεδομένων. Όσο υψηλότερος είναι ο βαθμός εμπιστοσύνης στο σύστημα, τόσο πιο αυστηρή και ποικιλόμορφη θα πρέπει να είναι η πολιτική ασφάλειας. Ανάλογα με τη διατυπωμένη πολιτική, μπορούν να επιλεγούν συγκεκριμένοι μηχανισμοί ασφαλείας. Η πολιτική ασφαλείας είναι μια ενεργή πτυχή της προστασίας, συμπεριλαμβανομένης της ανάλυσης πιθανών απειλών και της επιλογής αντιμέτρων.

2. Επίπεδο διασφάλισης - ένα μέτρο εμπιστοσύνης που μπορεί να τεθεί στην αρχιτεκτονική και την εφαρμογή του IS. Η εμπιστοσύνη ασφαλείας μπορεί να προέλθει τόσο από την ανάλυση των αποτελεσμάτων των δοκιμών όσο και από την επαλήθευση (επίσημη ή μη) του συνολικού σχεδιασμού και υλοποίησης του συστήματος στο σύνολό του και των επιμέρους στοιχείων του. Το επίπεδο διασφάλισης δείχνει πόσο σωστοί είναι οι μηχανισμοί που είναι υπεύθυνοι για την εφαρμογή της πολιτικής ασφάλειας. Αυτή είναι η παθητική πτυχή της προστασίας.

Το κύριο μέσο διασφάλισης της ασφάλειας καθορίζεται από τον μηχανισμό της λογοδοσίας (logging). Το αξιόπιστο σύστημα πρέπει να καταγράφει όλα τα συμβάντα ασφαλείας. Η τήρηση αρχείων θα πρέπει να συμπληρώνεται από έλεγχο, δηλαδή ανάλυση των πληροφοριών εγγραφής. Η ιδέα μιας αξιόπιστης υπολογιστικής βάσης είναι κεντρική για την αξιολόγηση του βαθμού εμπιστοσύνης ασφάλειας. Μια αξιόπιστη υπολογιστική βάση είναι ένα σύνολο μηχανισμών ασφαλείας IS (συμπεριλαμβανομένου υλικού και λογισμικού) που είναι υπεύθυνοι για την επιβολή της πολιτικής ασφαλείας. Η ποιότητα της υπολογιστικής βάσης καθορίζεται αποκλειστικά από την υλοποίησή της και την ορθότητα των αρχικών δεδομένων που εισάγει ο διαχειριστής του συστήματος.

Τα εν λόγω στοιχεία εκτός της υπολογιστικής βάσης μπορεί να μην είναι αξιόπιστα, αλλά αυτό δεν θα πρέπει να επηρεάζει την ασφάλεια του συστήματος στο σύνολό του. Ως αποτέλεσμα, για την αξιολόγηση της εμπιστοσύνης ασφάλειας ενός συστήματος πληροφοριών, οι συντάκτες του προτύπου συνιστούν να λαμβάνεται υπόψη μόνο η υπολογιστική του βάση.

Ο κύριος σκοπός μιας αξιόπιστης υπολογιστικής βάσης είναι να εκτελεί τις λειτουργίες μιας παρακολούθησης κλήσεων, δηλαδή να ελέγχει την αποδοχή των υποκειμένων (χρηστών) που εκτελούν ορισμένες λειτουργίες σε αντικείμενα (παθητικές οντότητες). Η οθόνη ελέγχει την πρόσβαση κάθε χρήστη σε προγράμματα ή δεδομένα για συνέπεια με το σύνολο ενεργειών που επιτρέπονται για τον χρήστη.

Μια παρακολούθηση κλήσεων πρέπει να έχει τρεις ιδιότητες:

Απομόνωση. Είναι απαραίτητο να αποτρέψετε την παρακολούθηση της οθόνης.

Πληρότητα. Η οθόνη πρέπει να καλείται σε κάθε κλήση δεν πρέπει να υπάρχει τρόπος παράκαμψης.

Επαληθευσιμότητα. Η οθόνη πρέπει να είναι συμπαγής ώστε να μπορεί να αναλυθεί και να ελεγχθεί με σιγουριά ότι η δοκιμή θα ολοκληρωθεί.

Η υλοποίηση ενός hit monitor ονομάζεται πυρήνας ασφαλείας. Ο πυρήνας ασφαλείας είναι το θεμέλιο πάνω στο οποίο χτίζονται όλοι οι μηχανισμοί ασφάλειας. Εκτός από τις ιδιότητες παρακολούθησης πρόσβασης που αναφέρονται παραπάνω, ο πυρήνας πρέπει να εγγυάται τη δική του αμετάβλητη.

Το όριο μιας αξιόπιστης βάσης υπολογιστών ονομάζεται περίμετρος ασφαλείας. Όπως αναφέρθηκε ήδη, τα στοιχεία εκτός της περιμέτρου ασφαλείας μπορεί να μην είναι αξιόπιστα γενικά. Με ανάπτυξη κατανεμημένα συστήματαΗ έννοια της «περιμέτρου ασφαλείας» αποκτά ολοένα και περισσότερο διαφορετικό νόημα, που σημαίνει τα όρια των περιουσιακών στοιχείων ενός συγκεκριμένου οργανισμού. Ό,τι υπάρχει μέσα στο ακίνητο θεωρείται αξιόπιστο, αλλά αυτό που βρίσκεται έξω δεν είναι.

Σύμφωνα με το Orange Book, μια πολιτική ασφαλείας πρέπει να περιλαμβάνει τα ακόλουθα στοιχεία:

· Έλεγχος τυχαίας πρόσβασης.

· ασφάλεια επαναχρησιμοποίησης αντικειμένων.

· Ετικέτες ασφαλείας.

· έλεγχος αναγκαστικής πρόσβασης.

Ο έλεγχος τυχαίας πρόσβασης είναι μια μέθοδος περιορισμού της πρόσβασης σε αντικείμενα, που βασίζεται στη λήψη υπόψη της ταυτότητας του υποκειμένου ή της ομάδας στην οποία ανήκει το υποκείμενο. Αυθαιρεσία ελέγχου είναι ότι ένα άτομο (συνήθως ο ιδιοκτήτης ενός αντικειμένου) μπορεί, κατά την κρίση του, να χορηγήσει ή να αφαιρέσει δικαιώματα πρόσβασης στο αντικείμενο από άλλα υποκείμενα.

Η ασφάλεια επαναχρησιμοποίησης αντικειμένων είναι μια σημαντική προσθήκη στα στοιχεία ελέγχου πρόσβασης που αποτρέπει την κατά λάθος ή εσκεμμένη απόξεση ευαίσθητων πληροφοριών από τα σκουπίδια. Η ασφάλεια της επαναχρησιμοποίησης πρέπει να είναι εγγυημένη για περιοχές της μνήμης RAM (ιδίως, για buffer με εικόνες οθόνης, αποκρυπτογραφημένους κωδικούς πρόσβασης κ.λπ.), για μπλοκ δίσκου και μαγνητικά μέσα γενικότερα.

2.3 Γερμανικό πρότυπο BSI

Το 1998, η Γερμανία δημοσίευσε τις κατευθυντήριες γραμμές για την ασφάλεια της τεχνολογίας πληροφοριών για βασικό επίπεδο". Το εγχειρίδιο είναι ένα υπερκείμενο περίπου 4 MB (σε μορφή HTML). Αργότερα επισημοποιήθηκε με τη μορφή του γερμανικού προτύπου BSI. Βασίζεται στη γενική μεθοδολογία και τα στοιχεία της διαχείρισης ασφάλειας πληροφοριών:

· Γενική μέθοδος διαχείρισης της ασφάλειας πληροφοριών (οργάνωση διαχείρισης στον τομέα της ασφάλειας πληροφοριών, μεθοδολογία χρήσης του εγχειριδίου).

· Περιγραφές των συνιστωσών των σύγχρονων τεχνολογιών της πληροφορίας.

· Κύρια στοιχεία (οργανωτικό επίπεδο ασφάλειας πληροφοριών, διαδικαστικό επίπεδο, οργάνωση προστασίας δεδομένων, σχεδιασμός έκτακτης ανάγκης).

· Υποδομές (κτίρια, εγκαταστάσεις, καλωδιακά δίκτυα, οργάνωση απομακρυσμένης πρόσβασης).

· Στοιχεία πελάτη διαφόρων τύπων (DOS, Windows, UNIX, στοιχεία φορητών συσκευών, άλλοι τύποι).

· Δίκτυα διαφόρων τύπων (συνδέσεις από σημείο σε σημείο, δίκτυα Novell NetWare, δίκτυα με OC ONIX και Windows, ετερογενή δίκτυα).

· Στοιχεία συστημάτων μετάδοσης δεδομένων ( ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ, μόντεμ, τείχη προστασίας κ.λπ.).

· Τηλεπικοινωνίες (φαξ, τηλεφωνητές, ολοκληρωμένα συστήματα βασισμένα σε ISDN, άλλα συστήματα τηλεπικοινωνιών).

· Τυποποιημένο λογισμικό.

· Βάση δεδομένων.

· Περιγραφές των κύριων συνιστωσών της οργάνωσης ενός καθεστώτος ασφάλειας πληροφοριών (οργανωτική και τεχνικά επίπεδαπροστασία δεδομένων, σχεδιασμός έκτακτης ανάγκης, υποστήριξη επιχειρηματικής συνέχειας).

· Χαρακτηριστικά αντικειμένων πληροφορικής (κτίρια, εγκαταστάσεις, καλωδιακά δίκτυα, ελεγχόμενοι χώροι).

· Χαρακτηριστικά των κύριων στοιχείων ενεργητικού της εταιρείας (συμπεριλαμβανομένου υλικού και λογισμικού, όπως σταθμοί εργασίας και διακομιστές με λειτουργικά συστήματα DOS, Windows και UNIX).

· Χαρακτηριστικά δίκτυα υπολογιστώνμε βάση διάφορα τεχνολογίες δικτύου, όπως τα δίκτυα Novell Net Ware, τα δίκτυα UNIX και Windows).

· Χαρακτηριστικά ενεργητικού και παθητικού εξοπλισμού τηλεπικοινωνιών από κορυφαίους προμηθευτές, για παράδειγμα Cisco Systems.

· Αναλυτικοί κατάλογοι απειλών ασφαλείας και μέτρων ελέγχου (πάνω από 600 είδη σε κάθε κατάλογο).

Όλοι οι τύποι απειλών στο πρότυπο BSI χωρίζονται στις ακόλουθες κατηγορίες:

· Ανωτέρας βίας.

· Μειονεκτήματα οργανωτικών μέτρων.

· Ανθρώπινα λάθη.

· Τεχνικά προβλήματα.

· Σκόπιμες ενέργειες.

Τα αντίμετρα ταξινομούνται ομοίως:

· Βελτίωση της υποδομής.

· Διοικητικά αντίμετρα.

· Διαδικαστικά αντίμετρα.

· Αντίμετρα λογισμικού και υλικού.

· Μείωση της ευπάθειας των επικοινωνιών. σχεδιασμό έκτακτης ανάγκης.

Όλα τα εξαρτήματα εξετάζονται και περιγράφονται σύμφωνα με το ακόλουθο σχέδιο:

1) γενική περιγραφή.

2) πιθανά σενάρια απειλών για την ασφάλεια (οι απειλές που ισχύουν για αυτό το στοιχείο από τον κατάλογο απειλών ασφαλείας παρατίθενται)·

3) πιθανά αντίμετρα (οι απειλές που ισχύουν για αυτό το στοιχείο από τον κατάλογο απειλών ασφαλείας παρατίθενται)·

2.4 Βρετανικό Πρότυπο BS 7799

Το British Standards Institute (BSI), με τη συμμετοχή εμπορικών οργανισμών όπως η Shell, η National Westminster Bank, η Midland Bank, η Unilever, η British Telecommunications, η Marks & Spencer, η Logica κ.λπ., ανέπτυξε ένα πρότυπο ασφάλειας πληροφοριών, το οποίο υιοθετήθηκε ως εθνικό πρότυπο του 1995 BS 7799 για τη διαχείριση της ασφάλειας πληροφοριών ενός οργανισμού, ανεξάρτητα από τον τομέα δραστηριότητας της εταιρείας.

Σύμφωνα με αυτό το πρότυπο, οποιαδήποτε υπηρεσία ασφαλείας, τμήμα IT ή διοίκηση εταιρείας πρέπει να αρχίσει να λειτουργεί σύμφωνα με τους γενικούς κανονισμούς. Δεν έχει σημασία αν μιλάμε για προστασία έντυπων εγγράφων ή ηλεκτρονικών δεδομένων. Επί του παρόντος, το British Standard BS 7799 υποστηρίζεται σε 27 χώρες, συμπεριλαμβανομένων των χωρών της Βρετανικής Κοινοπολιτείας, καθώς και, για παράδειγμα, στη Σουηδία και την Ολλανδία. Το 2000, το ινστιτούτο διεθνών προτύπων ISO, με βάση το βρετανικό BS 7799, ανέπτυξε και κυκλοφόρησε το διεθνές πρότυπο διαχείρισης ασφάλειας ISO / IEC 17799.

Επομένως, σήμερα μπορούμε να πούμε ότι το BS 7799 και το ISO 17799 είναι το ίδιο πρότυπο, το οποίο σήμερα έχει παγκόσμια αναγνώριση και το καθεστώς ενός διεθνούς προτύπου ISO.

Ωστόσο, πρέπει να σημειωθεί ότι το αρχικό περιεχόμενο του προτύπου BS 7799, το οποίο εξακολουθεί να χρησιμοποιείται σε πολλές χώρες. Αποτελείται από δύο μέρη.

· Πολιτική ασφαλείας.

· Οργάνωση προστασίας.

· Ταξινόμηση και διαχείριση πληροφοριακών πόρων.

· Διαχείριση προσωπικού.

· Σωματική ασφάλεια.

· Διαχείριση υπολογιστικών συστημάτων και δικτύων.

· Έλεγχος της πρόσβασης στα συστήματα.

· Ανάπτυξη και συντήρηση συστημάτων.

· Σχεδιασμός της εύρυθμης λειτουργίας του οργανισμού.

· Έλεγχος του συστήματος για συμμόρφωση με τις απαιτήσεις ασφάλειας πληροφοριών.

Το "Part 2: System Specifications" (1998) εξετάζει αυτές τις ίδιες πτυχές από την άποψη της πιστοποίησης ενός πληροφοριακού συστήματος για τη συμμόρφωση με τις απαιτήσεις του προτύπου.

Καθορίζει πιθανές λειτουργικές προδιαγραφές εταιρικά συστήματαδιαχείριση της ασφάλειας των πληροφοριών από την άποψη της επαλήθευσης τους για τη συμμόρφωση με τις απαιτήσεις του πρώτου μέρους αυτού του προτύπου. Σύμφωνα με τις διατάξεις αυτού του προτύπου, ρυθμίζεται επίσης η διαδικασία ελέγχου εταιρικών πληροφοριακών συστημάτων.

· Εισαγωγή στο πρόβλημα της διαχείρισης της ασφάλειας πληροφοριών - Διαχείριση ασφάλειας πληροφοριών: μια εισαγωγή.

· Δυνατότητες πιστοποίησης σύμφωνα με τις απαιτήσεις του προτύπου BS 7799 - Προετοιμασία για πιστοποίηση BS 7799.

· Οδηγός για την αξιολόγηση κινδύνου και τη διαχείριση κινδύνου BS 7799.

· Είστε έτοιμοι για έλεγχο BS 7799;

· Οδηγός για τον έλεγχο BS 7799.

Σήμερα γενικές ερωτήσειςη διαχείριση της ασφάλειας πληροφοριών εταιρειών και οργανισμών, καθώς και η ανάπτυξη ελέγχων ασφαλείας σύμφωνα με τις απαιτήσεις του προτύπου BS 7799 πραγματοποιούνται από τη διεθνή επιτροπή Joint Technical Committee ISO/IEC JTC 1 μαζί με το British Standards Institution (BSI), και ειδικότερα την υπηρεσία UKAS (United Kingdom Accredited) Υπηρεσία). Αυτή η υπηρεσία διαπιστεύει οργανισμούς για το δικαίωμα ελέγχου της ασφάλειας πληροφοριών σύμφωνα με το πρότυπο BS ISO/IEC 7799:2000 (BS 7799-1:2000). Τα πιστοποιητικά που εκδίδονται από αυτούς τους φορείς είναι αναγνωρισμένα σε πολλές χώρες.

Λάβετε υπόψη ότι σε περίπτωση πιστοποίησης εταιρείας σύμφωνα με τα πρότυπα ISO 9001 ή ISO 9002, το BS ISO/IEC 7799:2000 (BS 7799-1:2000) επιτρέπει το συνδυασμό πιστοποίησης ενός συστήματος ασφάλειας πληροφοριών με πιστοποίηση συμμόρφωσης με τα πρότυπα ISO 9001 ή 900 όπως στο αρχικό στάδιο, καθώς και κατά τους ελέγχους ελέγχου. Για να γίνει αυτό, πρέπει να πληροίτε την προϋπόθεση συμμετοχής στη συνδυασμένη πιστοποίηση εγγεγραμμένου ελεγκτή σύμφωνα με το BS ISO/IEC 7799:2000 (BS 7799-1:2000). Ταυτόχρονα, τα κοινά σχέδια δοκιμών θα πρέπει να υποδεικνύουν σαφώς τις διαδικασίες για την επαλήθευση των συστημάτων ασφάλειας πληροφοριών και οι αρχές πιστοποίησης θα πρέπει να διασφαλίζουν ότι η επαλήθευση της ασφάλειας των πληροφοριών είναι ενδελεχής.

2.5 Διεθνές πρότυπο ISO 17799

Το διεθνές πρότυπο ISO 17799 έχει γίνει ένα από τα πιο ανεπτυγμένα και ευρέως χρησιμοποιούμενα σε όλες τις χώρες του κόσμου:

Κώδικας Πρακτικής για πληροφορίεςΔιαχείριση Ασφάλειας (Πρακτικές συστάσεις για τη διαχείριση της ασφάλειας πληροφοριών), που εγκρίθηκε το 2000. Το ISO 17799 αναπτύχθηκε από το βρετανικό πρότυπο BS 7799.

Το ISO 17799 μπορεί να χρησιμοποιηθεί ως κριτήρια για την αξιολόγηση των ελέγχων ασφαλείας σε επίπεδο οργανισμού, συμπεριλαμβανομένων των διοικητικών, διαδικαστικών και φυσικών ελέγχων.

Οι εμπειρικοί κανόνες χωρίζονται στις ακόλουθες 10 ενότητες:

1. Πολιτική ασφαλείας.

2. Οργάνωση προστασίας.

3. Ταξινόμηση πόρων και έλεγχος τους.

4. Ασφάλεια προσωπικού.

5. Φυσική ασφάλεια.

6. Διαχείριση υπολογιστικών συστημάτων και δικτύων υπολογιστών.

7. Έλεγχος πρόσβασης.

8. Ανάπτυξη και συντήρηση πληροφοριακών συστημάτων.

9. Σχεδιασμός της εύρυθμης λειτουργίας του οργανισμού.

10. Παρακολούθηση της συμμόρφωσης με τις απαιτήσεις της πολιτικής ασφαλείας.

Οι δέκα έλεγχοι που προτείνονται στο ISO 17799 (προσδιορίζονται ως βασικοί έλεγχοι) θεωρούνται ιδιαίτερα σημαντικοί. Οι έλεγχοι σε αυτό το πλαίσιο αναφέρονται σε μηχανισμούς για τη διαχείριση της ασφάλειας πληροφοριών ενός οργανισμού.

Ορισμένοι έλεγχοι, όπως η κρυπτογράφηση δεδομένων, ενδέχεται να απαιτούν συμβουλές ασφαλείας και αξιολόγηση κινδύνου για να καθοριστεί εάν χρειάζονται και πώς πρέπει να εφαρμοστούν. Για την παροχή υψηλότερου επιπέδου προστασίας για ιδιαίτερα πολύτιμα περιουσιακά στοιχεία ή για την αντιμετώπιση ιδιαίτερα σοβαρών απειλών για την ασφάλεια, σε ορισμένες περιπτώσεις ενδέχεται να απαιτούνται ισχυρότεροι έλεγχοι που υπερβαίνουν το πεδίο εφαρμογής του ISO 17799.

Τα δέκα βασικά στοιχεία ελέγχου που αναφέρονται παρακάτω είναι είτε υποχρεωτικές απαιτήσεις, όπως νομικές απαιτήσεις ή θεωρούνται θεμελιώδεις δομικοί λίθοι της ασφάλειας των πληροφοριών, όπως η εκπαίδευση σε θέματα ασφάλειας. Αυτοί οι έλεγχοι σχετίζονται με όλους τους οργανισμούς και τα λειτουργικά περιβάλλοντα AS και αποτελούν τη βάση του συστήματος διαχείρισης ασφάλειας πληροφοριών.

Τα ακόλουθα στοιχεία ελέγχου είναι βασικά:

· Έγγραφο πολιτικής ασφάλειας πληροφοριών.

· κατανομή των ευθυνών για τη διασφάλιση της ασφάλειας των πληροφοριών.

· εκπαίδευση και προετοιμασία του προσωπικού για τη διατήρηση του καθεστώτος ασφάλειας πληροφοριών.

· κοινοποίηση περιπτώσεων παραβίασης της ασφάλειας.

· εργαλεία προστασίας από ιούς.

Παρόμοια έγγραφα

Εργασίες που επιλύονται κατά τη διάρκεια ελέγχου ασφάλειας συστημάτων πληροφοριών. Στάδια ελέγχου εμπειρογνωμόνων. Δοκιμή διείσδυσης (pentest) σε ένα πληροφοριακό σύστημα: αντικείμενα, στάδια. Στόχοι ελέγχου διαδικτυακών εφαρμογών. Έλεγχος συμμόρφωσης με πρότυπα.

έκθεση πρακτικής, προστέθηκε 22.09.2011


Δόγμα ασφάλειας πληροφοριών της Ρωσικής Ομοσπονδίας. Έλεγχος των πληροφοριακών συστημάτων που χρησιμοποιεί η εταιρεία με μετέπειτα αξιολόγηση των κινδύνων αστοχιών στη λειτουργία τους. Νόμος «Περί Δεδομένων Προσωπικού Χαρακτήρα». Διαχωρισμός ενεργού ελέγχου σε εξωτερικό και εσωτερικό.

παρουσίαση, προστέθηκε 27/01/2011


Η έννοια του ελέγχου πληροφοριακών συστημάτων, τα αντικείμενά του. Κίνδυνοι που σχετίζονται με το πληροφοριακό σύστημα της ελεγχόμενης οντότητας, την ταξινόμηση και τους δείκτες αξιολόγησής τους. Μείωση κινδύνων κατά τη διενέργεια ελέγχων πληροφοριακών συστημάτων. Πηγές πιθανών κινδύνων.

άρθρο, προστέθηκε στις 12/05/2013


Οι κύριοι τομείς δραστηριότητας στον τομέα του ελέγχου ασφάλειας πληροφοριών είναι η επαλήθευση της συμμόρφωσης του οργανισμού και της αποτελεσματικότητας της προστασίας των πληροφοριών με τις καθιερωμένες απαιτήσεις ή/και πρότυπα. Στάδια ελέγχου εμπειρογνωμόνων. Η έννοια του ελέγχου των κατανεμημένων χώρων.

διάλεξη, προστέθηκε 10/08/2013


Μεθοδολογικές βάσεις των ελεγκτικών δραστηριοτήτων. Μέθοδοι οργάνωσης ελέγχων. Ταξινόμηση μεθόδων ελέγχου. Είδη και πηγές παραλαβής τους. Μεθοδολογικές προσεγγίσεις στις τεχνικές ελέγχου. Μέθοδοι ρυθμιστικού ελέγχου.

εργασία μαθημάτων, προστέθηκε 17/06/2008


Στόχοι ποιοτικού ελέγχου. Στάδια εσωτερικού ελέγχου. Διασφάλιση της πληρότητας του ελέγχου. Τεχνολογία ελέγχου συστημάτων ποιότητας. Ταξινόμηση των μη συμμορφώσεων ανάλογα με τη σημασία τους. Συναντήσεις ομαδικής αλληλεπίδρασης. Παρακολούθηση μετά τον έλεγχο.

περίληψη, προστέθηκε 26/03/2014


Έννοια και είδη ελέγχου. Περιεχόμενο γενικό σχέδιοκαι προγράμματα ελέγχου. Τεκμηρίωση και προετοιμασία του συνολικού σχεδίου ελέγχου. Έλεγχος σύνταξης οικονομικών καταστάσεων. Έλεγχος της ορθότητας της φορολογικής πολιτικής της επιχείρησης.

εργασία μαθήματος, προστέθηκε 12/04/2011


Οργάνωση πληροφοριακή υποδομή. Ανάλυση του επιπέδου πληροφόρησης Εκπαιδευτικά ιδρύματα. Προβλήματα, στόχοι και μεθοδολογία διενέργειας ελέγχου υποδομής πληροφορικής. Διενέργεια ανάλυσης του επιπέδου αδειοδότησης λογισμικού σε εκπαιδευτικό ίδρυμα.

εργασία μαθήματος, προστέθηκε 08/09/2012


Θεωρητικές πτυχέςέλεγχος παγίων. Η έννοια του ελέγχου και η διαδικασία εφαρμογής του στα πάγια στοιχεία. Πρωτογενή έγγραφα για τη διενέργεια επιθεώρησης παγίων. Παραδείγματα ελέγχου και νομοθετικού πλαισίου. Ανασκόπηση τεχνικών ελέγχου παγίων.

διατριβή, προστέθηκε 09/01/2008


Ποιοτικός έλεγχος εσωτερικού ελέγχου. Απαιτήσεις για τη διασφάλιση της εσωτερικής ποιότητας της εργασίας κατά τη διάρκεια ενός ελέγχου. Μορφή και περιεχόμενο των εσωτερικών προτύπων του ελεγκτικού οργανισμού: κατάλογος προτύπων, διατάξεις για τη μεθοδολογία ελέγχου.

Η τεχνολογία της πληροφορίας σήμερα διαδραματίζει βασικό ρόλο στη διασφάλιση της αποτελεσματικής εκτέλεσης των επιχειρηματικών διαδικασιών διαφόρων εμπορικών εταιρειών. Την ίδια στιγμή ευρεία χρήσηοι τεχνολογίες πληροφοριών στις δραστηριότητες των εταιρειών οδηγούν σε αύξηση της συνάφειας των προβλημάτων που σχετίζονται με την προστασία δεδομένων. Τα τελευταία χρόνια, τόσο στη Ρωσία όσο και σε ξένες χώρες, έχει αυξηθεί ο αριθμός των επιθέσεων σε αυτοματοποιημένα συστήματα, με αποτέλεσμα σημαντικές οικονομικές και υλικές απώλειες. Για την αντικειμενική αξιολόγηση του τρέχοντος επιπέδου ασφάλειας των αυτοματοποιημένων συστημάτων, χρησιμοποιείται ένας έλεγχος ασφαλείας, ο οποίος θα συζητηθεί σε αυτό το άρθρο.

Επί του παρόντος, οι ειδικοί χρησιμοποιούν αρκετούς ορισμούς ελέγχου, αλλά οι πιο συχνά χρησιμοποιούμενοι είναι οι ακόλουθοι: έλεγχος ασφάλειας πληροφοριών— τη διαδικασία λήψης αντικειμενικών ποιοτικών και ποσοτικών αξιολογήσεων της τρέχουσας κατάστασης της ασφάλειας πληροφοριών μιας εταιρείας σύμφωνα με ορισμένα κριτήρια και δείκτες ασφάλειας.

Τύποι ελέγχου ασφάλειας πληροφοριών

Μπορούν να διακριθούν οι ακόλουθοι κύριοι τύποι ελέγχου ασφάλειας πληροφοριών:

Ενεργειακή ανάλυση ασφάλειαςαυτοματοποιημένο σύστημα. Αυτός ο τύπος ελέγχου στοχεύει στον εντοπισμό και την εξάλειψη του λογισμικού και σκεύη, εξαρτήματασυστήματα.

Η ενόργανη ανάλυση αποτελείται από ειδικούς σε θέματα ασφάλειας πληροφοριών που πραγματοποιούν επιθέσεις στο αυτοματοποιημένο σύστημα υπό έρευνα. Σε αυτήν την περίπτωση, μπορεί να χρησιμοποιηθεί οποιοδήποτε λογισμικό και υλικό που είναι διαθέσιμο στους εισβολείς. Ο κύριος σκοπός της ενόργανης ανάλυσης είναι οι περιοδικοί έλεγχοι για τον εντοπισμό νέων τρωτών σημείων. Επιπλέον, αυτός ο τύπος ελέγχου μπορεί να χρησιμοποιηθεί όταν εντοπίζεται διαρροή πληροφοριών. περιορισμένη πρόσβασηπροκειμένου να αποφευχθούν επαναλαμβανόμενες διαρροές.

Γενικά, η ενόργανη ανάλυση αποτελείται από δύο μέρη:

1) έρευνα για την ασφάλεια του αυτοματοποιημένου συστήματος από απομακρυσμένες επιθέσεις - οι διαθέσιμοι κεντρικοί υπολογιστές από το δίκτυο του πελάτη σαρώνονται και επιθέσεις δικτύουμε σκοπό την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε προστατευμένες πληροφορίες ή διοικητικούς πόρους.

2) εντοπισμός απειλών για την ασφάλεια των πληροφοριών που προέρχονται από υπαλλήλους της εταιρείας ή εισβολείς που έχουν εισέλθει στο γραφείο - διενεργείται ανάλυση μεθόδων για τον έλεγχο ταυτότητας των εργαζομένων της εταιρείας, μηχανισμοί για τον διαχωρισμό των δικαιωμάτων πρόσβασης και η ασφάλεια των πληροφοριών όταν μεταδίδονται μέσω τοπικού δικτύου προσδιορίζεται.

Κατά την οργανική ανάλυση, τα τρωτά σημεία που σχετίζονται με ξεπερασμένες εκδόσεις προϊόντα λογισμικούκαι τη λανθασμένη διαμόρφωσή τους, αν και μπορεί να εντοπιστούν σημαντικές ελλείψεις στην εταιρική πολιτική ασφάλειας.

Αξιολόγηση αυτοματοποιημένων συστημάτωνγια συμμόρφωση με τις συστάσεις διεθνή πρότυπακαι τις απαιτήσεις των κυβερνητικών εγγράφων του FSTEC, των GOST και των βιομηχανικών προτύπων.

Αυτός ο τύπος ελέγχου είναι μια μελέτη του συστήματος ασφάλειας πληροφοριών για τη συμμόρφωση με τις απαιτήσεις επίσημων εγγράφων, για παράδειγμα ρωσικά - «Ειδικές απαιτήσεις και συστάσεις για τεχνική προστασίαεμπιστευτικές πληροφορίες» (STR-K), «Ασφάλεια των τεχνολογιών της πληροφορίας. Κριτήρια αξιολόγησης της ασφάλειας των τεχνολογιών πληροφοριών» (GOST R ISO/IEC 15408-2002) ή ξένων - «Τεχνολογίες Πληροφορικής. Διαχείριση Ασφάλειας Πληροφοριών" - ISO/IEC 17799, WebTrust και άλλα.

Ένα ιδιαίτερο χαρακτηριστικό ενός ελέγχου για τη συμμόρφωση με τα πρότυπα είναι η σύνδεσή του με μια άλλη υπηρεσία - την πιστοποίηση. Εάν ο έλεγχος ολοκληρωθεί επιτυχώς, η εταιρεία θα λάβει πιστοποιητικό συμμόρφωσης με το σύστημα ασφάλειας πληροφοριών της. Και αυτό είναι ένα σοβαρό πλεονέκτημα για την εικόνα οποιουδήποτε δημόσιου οργανισμού, ειδικά αυτών που εργάζονται με ξένους εταίρους. Θα πρέπει να σημειωθεί ότι σε κυβερνητικούς οργανισμούς, σε συνεργασία με πληροφορίες που αποτελούν κρατικό μυστικό, η πιστοποίηση του συστήματος ασφάλειας πληροφοριών είναι υποχρεωτική. Ένα άλλο χαρακτηριστικό του ελέγχου για τη συμμόρφωση με τα πρότυπα είναι ότι μόνο οι οργανισμοί που διαθέτουν τις απαραίτητες άδειες για την εκτέλεση τέτοιων τύπων δραστηριοτήτων ή είναι εξειδικευμένα κέντρα πιστοποίησης έχουν το δικαίωμα να εκδίδουν πιστοποιητικά.

Η έκθεση σχετικά με αυτό το είδος ελέγχου περιέχει γενικά τις ακόλουθες πληροφορίες: ο βαθμός συμμόρφωσης του αυτοματοποιημένου συστήματος που ελέγχεται με τα επιλεγμένα πρότυπα, ο αριθμός και οι κατηγορίες ασυνεπειών και σχολίων που ελήφθησαν, συστάσεις για την κατασκευή ή την τροποποίηση του συστήματος ασφάλειας πληροφοριών που θα το φέρει σε συμμόρφωση με τα εν λόγω πρότυπα.

Τα αποτελέσματα μπορεί επίσης να περιλαμβάνουν τον βαθμό συμμόρφωσης του συστήματος ασφάλειας πληροφοριών με τις εσωτερικές απαιτήσεις της διοίκησης της οργάνωσης πελατών.

Έλεγχος εμπειρογνωμόνωνασφάλεια του αυτοματοποιημένου συστήματος. Κατά τη διαδικασία διεξαγωγής αυτού του τύπου ελέγχου, θα πρέπει να εντοπιστούν ελλείψεις στο σύστημα ασφάλειας πληροφοριών με βάση την υπάρχουσα εμπειρία των εμπειρογνωμόνων που συμμετέχουν στη διαδικασία εξέτασης.

Ένας έλεγχος εμπειρογνωμόνων συνίσταται σε λεπτομερή μελέτη του συστήματος ασφαλείας του αυτοματοποιημένου συστήματος του πελάτη και σύγκρισή του με κάποιο ιδανικό μοντέλο για τη διασφάλιση της ασφάλειας των πληροφοριών. Επιπλέον, το ιδανικό μοντέλο σε κάθε συγκεκριμένη περίπτωση μπορεί να διαφέρει ανάλογα με τις απαιτήσεις του πελάτη και την εμπειρία της ελεγκτικής εταιρείας.

Αποτέλεσμα της έρευνας εμπειρογνωμόνων είναι η προετοιμασία και η παροχή αναφοράς στους πελάτες, η οποία περιέχει πληροφορίες για τα τρωτά σημεία του συστήματος ασφαλείας και τις ελλείψεις στο πακέτο οργανωτικών και διοικητικών εγγράφων, καθώς και προτάσεις για την εξάλειψή τους. Επιπλέον, οι ειδικοί μπορούν να δώσουν συστάσεις για την επιλογή και τη χρήση συστημάτων ασφάλειας πληροφοριών και άλλων πρόσθετων ειδικών τεχνικών μέσων.

Καθένας από τους παραπάνω τύπους ελέγχου μπορεί να πραγματοποιηθεί χωριστά ή σε συνδυασμό, ανάλογα με τις εργασίες που πρέπει να επιλυθούν στον οργανισμό. Αντικείμενο του ελέγχου μπορεί να είναι τόσο το αυτοματοποιημένο σύστημα της εταιρείας στο σύνολό της όσο και οι επιμέρους τομείς της στους οποίους επεξεργάζονται πληροφορίες περιορισμένης πρόσβασης.

Πεδίο εργασίας για έλεγχο ασφάλειας πληροφοριών

Γενικά, ένας έλεγχος ασφαλείας, ανεξάρτητα από τη μορφή εφαρμογής του, αποτελείται από τέσσερα κύρια στάδια:

1. Ανάπτυξη κανονισμών ελέγχου
2. Συλλογή αρχικών δεδομένων
3. Ανάλυση των ληφθέντων δεδομένων
4. Ανάπτυξη συστάσεων για την αύξηση του επιπέδου προστασίας ενός αυτοματοποιημένου συστήματος

Στο πρώτο στάδιοΜαζί με τον πελάτη, αναπτύσσονται κανονισμοί που καθορίζουν τη σύνθεση και τη διαδικασία για την εκτέλεση της εργασίας. Το κύριο καθήκον των κανονισμών είναι να καθορίσουν τα όρια εντός των οποίων θα πραγματοποιηθεί η έρευνα. Οι κανονισμοί είναι το έγγραφο που σας επιτρέπει να αποφύγετε αμοιβαίες αξιώσεις μετά την ολοκλήρωση του ελέγχου, καθώς ορίζει με σαφήνεια τις ευθύνες των μερών.

Στο δεύτερο στάδιοΣύμφωνα με τους συμφωνηθέντες κανονισμούς, συλλέγονται οι αρχικές πληροφορίες. Οι μέθοδοι συλλογής πληροφοριών περιλαμβάνουν συνεντεύξεις με υπαλλήλους πελατών, ανάλυση της παρεχόμενης οργανωτικής, διοικητικής και τεχνικής τεκμηρίωσης και τη χρήση εξειδικευμένων εργαλείων. Σε αυτό το στάδιο, συλλέγονται οι ακόλουθοι τύποι πληροφοριών:

• Οργανωτική και διοικητική τεκμηρίωση για θέματα ασφάλειας πληροφοριών (πολιτική ασφάλειας πληροφοριών εταιρείας, κυβερνητικά έγγραφα, κανονισμοί για την εργασία των χρηστών με πόρους πληροφοριών)
• Πληροφορίες σχετικά με το υλικό του κεντρικού υπολογιστή (λίστα διακομιστών, σταθμών εργασίας, εξοπλισμός μεταγωγής του αυτοματοποιημένου συστήματος, πληροφορίες σχετικά με τη διαμόρφωση υλικού των διακομιστών, δεδομένα για περιφερειακό εξοπλισμό)
• Πληροφορίες σχετικά με το λογισμικό σε όλο το σύστημα (πληροφορίες για λειτουργικά συστήματακαι DBMS που χρησιμοποιούνται στο υπό μελέτη σύστημα)
• Πληροφορίες σχετικά με το λογισμικό εφαρμογών (κατάλογος γενικών και ειδικός σκοπός; περιγραφή λειτουργικών εργασιών που επιλύθηκαν με χρήση λογισμικού εφαρμογής)
• Πληροφορίες σχετικά με τον προστατευτικό εξοπλισμό που είναι εγκατεστημένος στο αυτοματοποιημένο σύστημα (πληροφορίες για τον κατασκευαστή του προστατευτικού εξοπλισμού, πληροφορίες σχετικά με τη διαμόρφωση του προστατευτικού εξοπλισμού, διάγραμμα εγκατάστασης του προστατευτικού εξοπλισμού)
• Πληροφορίες σχετικά με την τοπολογία του αυτοματοποιημένου συστήματος (τοπολογία τοπικού δικτύου, πληροφορίες σχετικά με τους τύπους καναλιών επικοινωνίας που χρησιμοποιούνται στο αυτοματοποιημένο σύστημα πρωτόκολλα δικτύου, διάγραμμα ροής πληροφοριών)

Τρίτο στάδιοΗ εργασία περιλαμβάνει την ανάλυση των συλλεγόμενων πληροφοριών προκειμένου να εκτιμηθεί το τρέχον επίπεδο ασφάλειας του αυτοματοποιημένου συστήματος του πελάτη.

Η διαδικασία ανάλυσης καθορίζει τους κινδύνους ασφάλειας των πληροφοριών στους οποίους μπορεί να εκτεθεί η εταιρεία.

Στην πραγματικότητα, ο κίνδυνος είναι μια ολοκληρωμένη αξιολόγηση του πόσο αποτελεσματικά υπάρχουσες εγκαταστάσειςοι προστασίες είναι ικανές να αντιστέκονται σε επιθέσεις που χρησιμοποιούν τεχνολογία πληροφοριών.

Ανάλογα με το είδος του ελέγχου, χρησιμοποιούνται δύο κύριες ομάδες μεθόδων για τον υπολογισμό των κινδύνων ασφαλείας. Η πρώτη ομάδα μεθόδων σάς επιτρέπει να καθορίσετε το επίπεδο κινδύνου αξιολογώντας τον βαθμό συμμόρφωσης με ένα συγκεκριμένο σύνολο απαιτήσεων ασφάλειας πληροφοριών.

Οι πηγές τέτοιων απαιτήσεων μπορεί να περιλαμβάνουν:

• Κανονιστικά έγγραφα της επιχείρησης που σχετίζονται με θέματα ασφάλειας πληροφοριών.
• Απαιτήσεις της ισχύουσας ρωσικής νομοθεσίας - κατευθυντήριες γραμμές της FSTEC (Κρατική Τεχνική Επιτροπή), STR-K, απαιτήσεις του FSB της Ρωσικής Ομοσπονδίας, GOST κ.λπ.
• Συστάσεις διεθνών προτύπων - ISO 17799, OCTAVE, CoBIT, κ.λπ.
• Συστάσεις από εταιρείες κατασκευής λογισμικού και υλικού - Microsoft, Oracle, Cisco κ.λπ.

Αυτή η ομάδα μεθόδων χρησιμοποιείται κατά την αξιολόγηση των αυτοματοποιημένων συστημάτων ως προς τη συμμόρφωση με τα πρότυπα και τις κατευθυντήριες γραμμές.

Η δεύτερη ομάδα μεθόδων για την αξιολόγηση των κινδύνων για την ασφάλεια των πληροφοριών χρησιμοποιείται κατά τη διεξαγωγή οργανικής ανάλυσης ασφάλειας και βασίζεται στον προσδιορισμό της πιθανότητας εμφάνισης επιθέσεων, καθώς και των επιπέδων της ζημιάς τους. Σε αυτήν την περίπτωση, η τιμή κινδύνου υπολογίζεται ξεχωριστά για κάθε επίθεση και γενικά παρουσιάζεται ως το γινόμενο της πιθανότητας επίθεσης και του ποσού της πιθανής ζημιάς από αυτήν την επίθεση. Η αξία της ζημίας καθορίζεται από τον ιδιοκτήτη του πόρου πληροφοριών και η πιθανότητα επίθεσης υπολογίζεται από μια ομάδα εμπειρογνωμόνων που διεξάγει τη διαδικασία ελέγχου.

Οι μέθοδοι της πρώτης και της δεύτερης ομάδας μπορούν να χρησιμοποιήσουν ποσοτικές ή ποιοτικές κλίμακες για να καθορίσουν το μέγεθος του κινδύνου για την ασφάλεια των πληροφοριών. Στην πρώτη περίπτωση, ο κίνδυνος και όλες οι παράμετροί του εκφράζονται σε αριθμητικές τιμές. Έτσι, για παράδειγμα, όταν χρησιμοποιούνται ποσοτικές κλίμακες, η πιθανότητα μιας επίθεσης μπορεί να εκφραστεί ως αριθμός σε ένα συγκεκριμένο διάστημα και η ζημιά της επίθεσης μπορεί να προσδιοριστεί ως το χρηματικό ισοδύναμο των υλικών απωλειών που μπορεί να υποστεί ο οργανισμός εάν η επίθεση είναι επιτυχής.

Όταν χρησιμοποιούνται ποιοτικές κλίμακες, οι αριθμητικές τιμές αντικαθίστανται από ισοδύναμα εννοιολογικά επίπεδα. Σε αυτήν την περίπτωση, κάθε εννοιολογικό επίπεδο θα αντιστοιχεί σε ένα ορισμένο διάστημα της ποσοτικής κλίμακας αξιολόγησης.

Κατά τον υπολογισμό της πιθανότητας επίθεσης, καθώς και του επιπέδου πιθανής ζημιάς, μπορούν να χρησιμοποιηθούν στατιστικές μέθοδοι, μέθοδοι αξιολόγησης ειδικών ή στοιχεία της θεωρίας αποφάσεων.

Με βάση τα αποτελέσματα της ανάλυσης στο τέταρτο στάδιοΑναπτύσσονται συστάσεις για τη βελτίωση του επιπέδου ασφάλειας του αυτοματοποιημένου συστήματος από απειλές για την ασφάλεια των πληροφοριών.

• μείωση του κινδύνου μέσω της χρήσης πρόσθετων οργανωτικών και τεχνικών μέσων προστασίας για τη μείωση της πιθανότητας επίθεσης ή τη μείωση της πιθανής ζημιάς από αυτήν. Έτσι, για παράδειγμα, ρύθμιση τείχη προστασίαςστο σημείο σύνδεσης του αυτοματοποιημένου συστήματος με το Διαδίκτυο, μπορεί να μειώσει σημαντικά την πιθανότητα επιτυχούς επίθεσης σε δημόσια προσβάσιμους πόρους πληροφοριών του συστήματος, όπως διακομιστές Web, διακομιστές αλληλογραφίας κ.λπ.
• αποφεύγοντας τον κίνδυνο αλλάζοντας την αρχιτεκτονική ή το μοτίβο ροής πληροφοριών ενός αυτοματοποιημένου συστήματος, το οποίο εξαλείφει τη δυνατότητα πραγματοποίησης μιας συγκεκριμένης επίθεσης. Για παράδειγμα, η φυσική αποσύνδεση του τμήματος του αυτοματοποιημένου συστήματος στο οποίο επεξεργάζονται εμπιστευτικές πληροφορίες από το Διαδίκτυο καθιστά δυνατή την εξάλειψη των επιθέσεων σε εμπιστευτικές πληροφορίες από αυτό το δίκτυο.
• αλλαγή στη φύση του κινδύνου ως αποτέλεσμα της λήψης ασφαλιστικών μέτρων. Παραδείγματα τέτοιας αλλαγής στη φύση του κινδύνου περιλαμβάνουν την ασφάλιση του αυτοματοποιημένου εξοπλισμού συστήματος κατά της πυρκαγιάς ή την ασφάλιση πόρων πληροφοριών έναντι πιθανής παραβίασης του απορρήτου, της ακεραιότητας ή της διαθεσιμότητάς τους.
• αποδοχή κινδύνου εάν μειωθεί σε επίπεδο στο οποίο δεν αποτελεί απειλή για το αυτοματοποιημένο σύστημα.

Κατά κανόνα, οι συστάσεις που αναπτύχθηκαν δεν στοχεύουν στην πλήρη εξάλειψη όλων των εντοπισμένων κινδύνων, αλλά μόνο στη μείωση τους σε ένα αποδεκτό υπολειπόμενο επίπεδο. Κατά την επιλογή μέτρων για την αύξηση του επιπέδου προστασίας ενός αυτοματοποιημένου συστήματος, λαμβάνεται υπόψη ένας θεμελιώδης περιορισμός - το κόστος της εφαρμογής τους δεν πρέπει να υπερβαίνει το κόστος των προστατευόμενων πόρων πληροφοριών.

Στο τέλος της διαδικασίας ελέγχου, τα αποτελέσματά της επισημοποιούνται με τη μορφή εγγράφου αναφοράς, το οποίο παρέχεται στον πελάτη. Γενικά, αυτό το έγγραφο αποτελείται από τις ακόλουθες κύριες ενότητες:

• περιγραφή των ορίων εντός των οποίων διενεργήθηκε ο έλεγχος ασφάλειας·
• περιγραφή της δομής του αυτοματοποιημένου συστήματος του πελάτη·
• μεθόδους και εργαλεία που χρησιμοποιήθηκαν στη διαδικασία ελέγχου·
• περιγραφή των εντοπισμένων τρωτών σημείων και ελλείψεων, συμπεριλαμβανομένου του επιπέδου κινδύνου τους·
• συστάσεις για τη βελτίωση του ολοκληρωμένου συστήματος ασφάλειας πληροφοριών·
• προτάσεις για σχέδιο για την εφαρμογή μέτρων προτεραιότητας με στόχο την ελαχιστοποίηση των εντοπισμένων κινδύνων.

συμπέρασμα

Ο έλεγχος ασφάλειας πληροφοριών είναι σήμερα ένα από τα πιο αποτελεσματικά εργαλεία για τη λήψη μιας ανεξάρτητης και αντικειμενικής αξιολόγησης του τρέχοντος επιπέδου προστασίας μιας επιχείρησης από απειλές για την ασφάλεια των πληροφοριών. Επιπλέον, τα αποτελέσματα του ελέγχου χρησιμοποιούνται για τη διαμόρφωση μιας στρατηγικής για την ανάπτυξη του συστήματος ασφάλειας πληροφοριών στον οργανισμό. Πρέπει να θυμόμαστε ότι ο έλεγχος ασφαλείας δεν είναι μια εφάπαξ διαδικασία, αλλά πρέπει να διενεργείται σε τακτική βάση. Μόνο σε αυτή την περίπτωση ο έλεγχος θα αποφέρει πραγματικά οφέλη και θα συμβάλει στη βελτίωση του επιπέδου ασφάλειας πληροφοριών της εταιρείας.

• 14.12.2017
  Πέντε τρόποι για να βρείτε έναν εισβολέα στο δίκτυο

  Όλοι γνωρίζουμε ότι οι επιθέσεις σταματούν τελικά, το μόνο ερώτημα που μένει είναι πώς να τις βρούμε γρήγορα! Καλα ΝΕΑ: Η επίθεση είναι πολύ ενεργή κατά την έναρξή της Ο εισβολέας μπορεί να αναγνωριστεί και να σταματήσει εάν γνωρίζετε πώς φαίνονται ορισμένα βασικά σημεία που θα σας βοηθήσουν να τον εντοπίσετε.

· Συλλογή πληροφοριών ελέγχου.

· Ανάλυση δεδομένων ελέγχου.

Ο έλεγχος διενεργείται όχι με πρωτοβουλία του ελεγκτή, αλλά με πρωτοβουλία της διοίκησης της εταιρείας, η οποία είναι ο κύριος ενδιαφερόμενος στο θέμα αυτό. Η υποστήριξη της διοίκησης της εταιρείας είναι απαραίτητη προϋπόθεση για τη διενέργεια ελέγχου.

Στο στάδιο της έναρξης της ελεγκτικής διαδικασίας πρέπει να καθοριστούν τα όρια της έρευνας. Ορισμένα υποσυστήματα πληροφοριών της εταιρείας δεν είναι αρκετά κρίσιμα και μπορούν να εξαιρεθούν από το πεδίο της έρευνας. Άλλα υποσυστήματα ενδέχεται να μην είναι ελεγχόμενα για λόγους εμπιστευτικότητας.

Συλλογή πληροφοριών ελέγχου

· Λειτουργικά διαγράμματα.

· Ποια σημεία εισόδου υπάρχουν;

· Μπλοκ διάγραμμα IS.

Ανάλυση Δεδομένων Ελέγχου

Η δεύτερη προσέγγιση, η πιο πρακτική, βασίζεται στη χρήση προτύπων.

Τα πρότυπα ορίζουν ένα βασικό σύνολο απαιτήσεων για μια ευρεία κατηγορία IP, η οποία διαμορφώνεται ως αποτέλεσμα της γενίκευσης της παγκόσμιας πρακτικής. Τα πρότυπα μπορούν να ορίσουν διαφορετικά σύνολα απαιτήσεων, ανάλογα με το επίπεδο ασφάλειας IP που πρέπει να διασφαλιστεί, τη σχέση του (εμπορικός οργανισμός ή κυβερνητικός οργανισμός) και τον σκοπό (οικονομικά, βιομηχανία, επικοινωνίες, κ.λπ.). Σε αυτήν την περίπτωση, ο ελεγκτής πρέπει να προσδιορίσει σωστά το σύνολο των τυπικών απαιτήσεων που πρέπει να πληρούνται για αυτό το IS. Απαιτείται επίσης μια μεθοδολογία για την αξιολόγηση αυτής της συμμόρφωσης. Λόγω της απλότητάς του (ένα πρότυπο σύνολο απαιτήσεων για τη διενέργεια ελέγχου είναι ήδη προκαθορισμένο από το πρότυπο) και της αξιοπιστίας (ένα πρότυπο είναι ένα πρότυπο και κανείς δεν θα προσπαθήσει να αμφισβητήσει τις απαιτήσεις του), η περιγραφόμενη προσέγγιση είναι πιο κοινή στην πράξη (ειδικά κατά τη διενέργεια εξωτερικού ελέγχου).

Επιτρέπει, με ελάχιστη δαπάνη πόρων, την εξαγωγή τεκμηριωμένων συμπερασμάτων σχετικά με την κατάσταση της ΠΕ.

Η τρίτη προσέγγιση, η πιο αποτελεσματική, περιλαμβάνει το συνδυασμό των δύο πρώτων. Το βασικό σύνολο απαιτήσεων για το IP καθορίζεται από το πρότυπο. Πρόσθετες απαιτήσεις, λαμβάνοντας υπόψη τα ιδιαίτερα χαρακτηριστικά της λειτουργίας αυτού του συστήματος πληροφοριών στο μέγιστο βαθμό, διαμορφώνονται με βάση ανάλυση κινδύνου. Αυτή η προσέγγιση είναι πολύ ευκολότερο από το πρώτο, επειδή Οι περισσότερες από τις απαιτήσεις έχουν ήδη καθοριστεί από το πρότυπο και, ταυτόχρονα, δεν έχει το μειονέκτημα της δεύτερης προσέγγισης, που είναι ότι οι απαιτήσεις του προτύπου ενδέχεται να μην λαμβάνουν υπόψη τις ιδιαιτερότητες της IP που εξετάζεται.

Σχετική πληροφορία:

Αναζήτηση στον ιστότοπο:

Είναι διαθέσιμα

Έλεγχος Πληροφορικής

Εγχειρίδιο για τα πανεπιστήμια

Grekul V.I.

2015 ΣΟΛ.

Κυκλοφορία 500 αντίτυπα.

Εκπαιδευτική έκδοση

Διαστάσεις 60x90/16 (145x215 mm)

Έκδοση: χαρτόδετο

I SBN 978-5-9912-0528-3

BBK 32.973

UDC 004.05

σχόλιο

Παρέχονται βασικές πληροφορίες σχετικά με τις πρακτικές και τις τεχνολογίες που χρησιμοποιούνται σε εταιρείες για την οργάνωση και υποστήριξη της πληροφορικής και εξετάζονται οι διαδικασίες για τη διεξαγωγή έρευνας και την ανάλυση της χρήσης των τεχνολογιών της πληροφορίας και τον αντίκτυπό τους στις δραστηριότητες του οργανισμού. Παρέχεται περιγραφή των διαφόρων τύπων ελέγχων πληροφορικής, των αντίστοιχων στόχων και στόχων, των απαιτήσεων για επαγγελματική κατάρτιση των ελεγκτών και των μεθόδων διεξαγωγής ελέγχων. Το βιβλίο βασίζεται σε μια σειρά διαλέξεων που έδωσε ο συγγραφέας στην Ανώτατη Οικονομική Σχολή του Εθνικού Ερευνητικού Πανεπιστημίου.

Για φοιτητές πανεπιστημίου που σπουδάζουν στον τομέα της Επιχειρηματικής Πληροφορικής, θα είναι χρήσιμο για ειδικούς στον τομέα της διαχείρισης πληροφοριακών συστημάτων και του ανασχεδιασμού επιχειρηματικών διαδικασιών, αναλυτές συστημάτων, επιχειρησιακούς αναλυτές και συμβούλους πληροφορικής.

Εισαγωγή

1. Οργάνωση έργου ελέγχου πληροφορικής
1.1. Γενικά χαρακτηριστικά έργων πληροφορικής ελέγχου
1.2. Προγραμματισμός Έργου
1.2.1. Ορισμός Έργου
1.2.2. Ανάλυση κινδύνου
1.2.3. Διαδικασίες εσωτερικής διαχείρισης πελατών
1.2.4. Σχέδιο επιθεώρησης
1.3. Εκτέλεση του έργου ελέγχου
1.3.1. Αποσαφήνιση του σχεδίου επιθεώρησης
1.3.2. Διαδικασίες συλλογής στοιχείων ελέγχου
1.3.3. Έλεγχος ύπαρξης διαδικασιών ελέγχου
1.3.4. Έλεγχος της αποτελεσματικότητας των διαδικασιών διαχείρισης
1.3.5. Χρήση αποτελεσμάτων αυτοδιαγνωστικού ελέγχου
1.3.6. Ανάλυση ειδικής κατάστασης
1.3.7. Σχηματισμός συμπερασμάτων
1.3.8. Τεκμηρίωση Έργου Ελέγχου
1.3.9. Προετοιμασία της τελικής έκθεσης ελέγχου
1.4. Ερωτήσεις για αυτοέλεγχο γνώσεων

2. Αξιολόγηση της οργάνωσης διαχείρισης ΤΕΧΝΟΛΟΓΙΑ της ΠΛΗΡΟΦΟΡΙΑΣ
2.1. Στόχοι ελέγχου
2.2. Τεχνικές και πρακτικές διαχείρισης πληροφορικής
2.2.1. Ηγετικός οργανισμός πληροφορικής
2.2.2. στρατηγική πληροφορικής
2.2.3. Πολιτικές, διαδικασίες και πρότυπα
2.2.4. Διαχείριση κινδύνων
2.2.5. Διαχείριση Πληροφορικής
2.2.6. Οργανωτική δομή της υπηρεσίας πληροφορικής
2.3. Ερωτήσεις για αυτοέλεγχο γνώσεων

3. Αξιολόγηση διαχείρισης κύκλος ζωήςΤΟ
3.1. Στόχοι ελέγχου
3.2. Τεχνικές και πρακτικές διαχείρισης κύκλου ζωής πληροφορικής
3.2.1. Διαχείριση χαρτοφυλακίου προγραμμάτων και έργων
3.2.2. Διαχείριση έργου
3.2.3. Εκτίμηση του κόστους και του χρόνου των έργων πληροφορικής
3.2.4. Διαχείριση κύκλου ζωής προϊόντων λογισμικού και πληροφοριακών συστημάτων
3.2.5. Διαχείριση δημιουργίας υποδομής
3.2.6. Διαχείριση κύκλου ζωής επιχειρηματικής διαδικασίας
3.3. Ερωτήσεις για αυτοέλεγχο γνώσεων

4. Αξιολόγηση διαχείρισης υπηρεσιών πληροφορικής
4.1. Στόχοι ελέγχου
4.2. Μέθοδοι και πρακτικές διαχείρισης υπηρεσιών πληροφορικής
4.2.1. Οργάνωση λειτουργίας πληροφοριακών συστημάτων
4.2.2. διαχείριση υπηρεσιών πληροφορικής
4.2.3. Οργάνωση της λειτουργίας των υποδομών
4.3. Ερωτήσεις για αυτοέλεγχο γνώσεων

5. Αξιολόγηση της ασφάλειας των πόρων πληροφοριών
5.1.

Στόχοι ελέγχου
5.2. Μέθοδοι και πρακτικές για τη διασφάλιση της ασφάλειας των πόρων πληροφοριών
5.2.1. Βασικές αρχές ασφάλειας πληροφοριών
5.2.2. Ρόλοι και κατανομή ευθυνών για τη διασφάλιση της ασφάλειας των πληροφοριών
5.2.3. Ταξινόμηση αποθέματος και περιουσιακών στοιχείων
5.2.4. Έλεγχος πρόσβασης
5.2.5. Σημεία πρόσβασης και μέθοδοι σύνδεσης
5.2.6. Προστασία πληροφοριών στην αποθήκευση
5.2.7. Διαχείριση ενημερώσεων κώδικα
5.2.8. Διασφάλιση φυσικής ασφάλειας των περιουσιακών στοιχείων
5.3. Ερωτήσεις για αυτοέλεγχο γνώσεων

6. Αξιολόγηση της συνέχειας και αποκατάστασης καταστροφώνεπιχείρηση
6.1. Στόχοι ελέγχου
6.2. Μέθοδοι και πρακτικές για τη διασφάλιση της επιχειρηματικής συνέχειας και ανάκαμψης
6.2.1. Είδη ατυχημάτων και καταστροφών
6.2.2. Διαδικασίες επιχειρησιακής συνέχειας
6.2.3. Βασικοί δείκτες ανάκτησης διεργασιών και συστήματος
6.2.4. Ανάπτυξη στρατηγικής ανάκαμψης
6.2.5. Τεχνολογίες για την ανάκτηση συστήματος
6.2.6. Σχεδιασμός επιχειρηματικής συνέχειας και ανάκαμψης
6.3. Ερωτήσεις για αυτοέλεγχο γνώσεων

7. Πίνακας κλειδιών: αριθμοί σωστών απαντήσεων σε ερωτήσεις αυτοδιαγνωστικού ελέγχου

Βιβλιογραφία

ΚΕΦΑΛΑΙΟ 2. ΣΤΑΔΙΑ ΕΡΓΑΣΙΑΣ ΓΙΑ ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΧΟΥ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΠΙΧΕΙΡΗΣΕΩΝ

Κύρια στάδια ελέγχου των πληροφοριακών συστημάτων επιχειρήσεων

Οι εργασίες ελέγχου IS περιλαμβάνουν μια σειρά από διαδοχικά στάδια, τα οποία αντιστοιχούν γενικά στα στάδια διεξαγωγής ενός ολοκληρωμένου ελέγχου πληροφορικής του AS, ο οποίος περιλαμβάνει τα ακόλουθα:

· έναρξη της διαδικασίας ελέγχου.

· Συλλογή πληροφοριών ελέγχου.

· Ανάλυση δεδομένων ελέγχου.

· προετοιμασία έκθεσης ελέγχου.

· έναρξη της διαδικασίας ελέγχου.

Ο έλεγχος διενεργείται όχι με πρωτοβουλία του ελεγκτή, αλλά με πρωτοβουλία της διοίκησης της εταιρείας, η οποία είναι ο κύριος ενδιαφερόμενος στο θέμα αυτό.

Η υποστήριξη της διοίκησης της εταιρείας είναι απαραίτητη προϋπόθεση για τη διενέργεια ελέγχου.

Ο έλεγχος είναι ένα σύνολο δραστηριοτήτων στις οποίες, εκτός από τον ίδιο τον ελεγκτή, συμμετέχουν εκπρόσωποι των περισσότερων δομικών τμημάτων της εταιρείας. Οι ενέργειες όλων των συμμετεχόντων σε αυτή τη διαδικασία πρέπει να είναι συντονισμένες. Ως εκ τούτου, στο στάδιο της έναρξης της διαδικασίας ελέγχου, πρέπει να επιλυθούν τα ακόλουθα οργανωτικά ζητήματα:

Ø τα δικαιώματα και οι ευθύνες του ελεγκτή πρέπει να καθορίζονται και να τεκμηριώνονται σαφώς στις περιγραφές των καθηκόντων του, καθώς και στους κανονισμούς για τον εσωτερικό (εξωτερικό) έλεγχο·

Ø ο ελεγκτής πρέπει να προετοιμάσει και να συμφωνήσει με τη διοίκηση ένα σχέδιο ελέγχου.

Ø οι κανονισμοί για τον εσωτερικό έλεγχο θα πρέπει να ορίζουν, ειδικότερα, ότι οι υπάλληλοι της εταιρείας υποχρεούνται να βοηθούν τον ελεγκτή και να παρέχουν όλες τις απαραίτητες πληροφορίες για τον έλεγχο.

Έναρξη διαδικασίας ελέγχου

Στο στάδιο της έναρξης της ελεγκτικής διαδικασίας πρέπει να καθοριστούν τα όρια της έρευνας. Ορισμένα υποσυστήματα πληροφοριών της εταιρείας δεν είναι αρκετά κρίσιμα και μπορούν να εξαιρεθούν από το πεδίο της έρευνας.

Άλλα υποσυστήματα ενδέχεται να μην είναι ελεγχόμενα για λόγους εμπιστευτικότητας.

Τα όρια της έρευνας ορίζονται ως εξής:

· Κατάλογος των ερευνηθέντων φυσικών πόρων, λογισμικού και πληροφοριών.

· Τοποθεσίες (εγκαταστάσεις) που εμπίπτουν στα όρια της έρευνας.

· Κύριοι τύποι απειλών για την ασφάλεια που λαμβάνονται υπόψη κατά τον έλεγχο.

Οργανωτικές (νομοθετικές, διοικητικές και διαδικαστικές), φυσικές, λογισμικού, υλικού και άλλες πτυχές ασφάλειας που πρέπει να ληφθούν υπόψη κατά την έρευνα και οι προτεραιότητές τους (σε ποιο βαθμό πρέπει να ληφθούν υπόψη).

Το σχέδιο και τα όρια του ελέγχου συζητούνται σε συνάντηση εργασίας, στην οποία συμμετέχουν ελεγκτές, διοίκηση της εταιρείας και προϊστάμενοι διαρθρωτικών τμημάτων.

Συλλογή πληροφοριών ελέγχου

Το στάδιο συλλογής πληροφοριών ελέγχου είναι το πιο δύσκολο και χρονοβόρο. Αυτό οφείλεται στην έλλειψη της απαραίτητης τεκμηρίωσης για το πληροφοριακό σύστημα και στην ανάγκη στενής αλληλεπίδρασης μεταξύ του ελεγκτή και πολλών υπαλλήλων του οργανισμού.

Αρμόδια συμπεράσματα σχετικά με την κατάσταση των πραγμάτων στην εταιρεία μπορούν να γίνουν από τον ελεγκτή μόνο εάν είναι διαθέσιμα όλα τα απαραίτητα αρχικά δεδομένα για ανάλυση. Η λήψη πληροφοριών για την οργάνωση, τη λειτουργία και την τρέχουσα κατάσταση του ΠΣ πραγματοποιείται από τον ελεγκτή κατά τη διάρκεια ειδικά οργανωμένων συνεντεύξεων με τους υπεύθυνους της εταιρείας, με μελέτη τεχνικής και οργανωτικής τεκμηρίωσης, καθώς και με έρευνα του ΠΣ με χρήση εξειδικευμένων εργαλείων λογισμικού. Ας σταθούμε σε ποιες πληροφορίες χρειάζεται ο ελεγκτής για ανάλυση.

Το πρώτο σημείο του ελέγχου ξεκινά με τη λήψη πληροφοριών σχετικά με την οργανωτική δομή των χρηστών ΚΠ και των μονάδων υπηρεσιών. Για το σκοπό αυτό, ο ελεγκτής απαιτεί την ακόλουθη τεκμηρίωση:

· Σχέδιο της οργανωτικής δομής των χρηστών.

· Σχέδιο οργανωτικής δομής τμημάτων εξυπηρέτησης.

Στο επόμενο στάδιο, ο ελεγκτής ενδιαφέρεται για πληροφορίες σχετικά με το σκοπό και τη λειτουργία του ΠΣ. Ο ελεγκτής κάνει στους ερωτώμενους περίπου τις ακόλουθες ερωτήσεις:

Ποιες υπηρεσίες παρέχονται και πώς παρέχονται; τελικούς χρήστες?

· Ποιοι είναι οι κύριοι τύποι εφαρμογών που λειτουργούν στο IS;

· Αριθμός και τύποι χρηστών που χρησιμοποιούν αυτές τις εφαρμογές;

Θα χρειαστεί επίσης την ακόλουθη τεκμηρίωση, φυσικά, εάν υπάρχει καθόλου (κάτι που, γενικά, δεν συμβαίνει συχνά):

· Λειτουργικά διαγράμματα.

· Περιγραφή αυτοματοποιημένων λειτουργιών.

· Περιγραφή των κύριων τεχνικών λύσεων.

· Άλλη τεκμηρίωση σχεδιασμού και εργασίας για το πληροφοριακό σύστημα.

Επιπλέον, ο ελεγκτής απαιτεί πιο λεπτομερείς πληροφορίες σχετικά με τη δομή της ΠΕ. Αυτό θα καταστήσει δυνατή την κατανόηση του τρόπου με τον οποίο οι μηχανισμοί κατανέμονται μεταξύ των δομικών στοιχείων και των επιπέδων λειτουργίας του IS. Τυπικές ερωτήσειςΤα θέματα που συζητήθηκαν σχετικά κατά τη διάρκεια της συνέντευξης περιλαμβάνουν:

· Από ποια στοιχεία (υποσυστήματα) αποτελείται το ΠΣ;

· Λειτουργικότητα μεμονωμένων εξαρτημάτων;

· Πού είναι τα όρια του συστήματος;

· Ποια σημεία εισόδου υπάρχουν;

· Πώς αλληλεπιδρά το IS με άλλα συστήματα;

· Ποια κανάλια επικοινωνίας χρησιμοποιούνται για την αλληλεπίδραση με άλλα συστήματα πληροφοριών;

· Ποια κανάλια επικοινωνίας χρησιμοποιούνται για την αλληλεπίδραση μεταξύ των στοιχείων του συστήματος;

· Ποια πρωτόκολλα χρησιμοποιούνται για την επικοινωνία;

· Ποιες πλατφόρμες λογισμικού και υλικού χρησιμοποιούνται για την κατασκευή του συστήματος;

Σε αυτό το στάδιο, ο ελεγκτής πρέπει να διαθέτει τα ακόλουθα έγγραφα:

· Μπλοκ διάγραμμα IS.

· Σχέδιο ροών πληροφοριών.

· Περιγραφή της δομής του συγκροτήματος τεχνικών μέσων του πληροφοριακού συστήματος.

· Περιγραφή της δομής του λογισμικού.

Περιγραφή της δομής υποστήριξη πληροφοριών;

· Τοποθέτηση στοιχείων πληροφοριακού συστήματος.

Η προετοιμασία ενός σημαντικού μέρους της τεκμηρίωσης της ΔΙ πραγματοποιείται συνήθως κατά τη διαδικασία ελέγχου. Όταν έχουν προετοιμαστεί όλα τα απαραίτητα δεδομένα IP, συμπεριλαμβανομένης της τεκμηρίωσης, μπορείτε να προχωρήσετε στην ανάλυσή τους.

Ανάλυση Δεδομένων Ελέγχου

Οι μέθοδοι ανάλυσης δεδομένων που χρησιμοποιούνται από τους ελεγκτές καθορίζονται από τις προσεγγίσεις ελέγχου που επιλέγονται, οι οποίες μπορεί να διαφέρουν σημαντικά.

Η πρώτη προσέγγιση, η πιο περίπλοκη, βασίζεται στην ανάλυση κινδύνου. Με βάση τις μεθόδους ανάλυσης κινδύνου, ο ελεγκτής καθορίζει ένα μεμονωμένο σύνολο απαιτήσεων για το εξεταζόμενο IS, το οποίο λαμβάνει υπόψη στο μέγιστο βαθμό τα χαρακτηριστικά αυτού του IS και το λειτουργικό του περιβάλλον. Αυτή η προσέγγιση είναι η πιο εντάσεως εργασίας και απαιτεί τα υψηλότερα προσόντα του ελεγκτή. Η ποιότητα των αποτελεσμάτων του ελέγχου, σε αυτήν την περίπτωση, επηρεάζεται έντονα από τη μεθοδολογία που χρησιμοποιείται για την ανάλυση και τη διαχείριση κινδύνων και τη δυνατότητα εφαρμογής της σε αυτόν τον τύπο IS.

Η δεύτερη προσέγγιση, η πιο πρακτική, βασίζεται στη χρήση προτύπων. Τα πρότυπα ορίζουν ένα βασικό σύνολο απαιτήσεων για μια ευρεία κατηγορία IP, η οποία διαμορφώνεται ως αποτέλεσμα της γενίκευσης της παγκόσμιας πρακτικής. Τα πρότυπα μπορούν να ορίσουν διαφορετικά σύνολα απαιτήσεων, ανάλογα με το επίπεδο ασφάλειας IP που πρέπει να διασφαλιστεί, τη σχέση του (εμπορικός οργανισμός ή κυβερνητικός οργανισμός) και τον σκοπό (οικονομικά, βιομηχανία, επικοινωνίες, κ.λπ.).

Σε αυτήν την περίπτωση, ο ελεγκτής πρέπει να προσδιορίσει σωστά το σύνολο των τυπικών απαιτήσεων που πρέπει να πληρούνται για αυτό το IS. Απαιτείται επίσης μια μεθοδολογία για την αξιολόγηση αυτής της συμμόρφωσης. Λόγω της απλότητάς του (ένα πρότυπο σύνολο απαιτήσεων για τη διενέργεια ελέγχου είναι ήδη προκαθορισμένο από το πρότυπο) και της αξιοπιστίας (ένα πρότυπο είναι ένα πρότυπο και κανείς δεν θα προσπαθήσει να αμφισβητήσει τις απαιτήσεις του), η περιγραφόμενη προσέγγιση είναι πιο κοινή στην πράξη (ειδικά κατά τη διενέργεια εξωτερικού ελέγχου). Επιτρέπει, με ελάχιστη δαπάνη πόρων, την εξαγωγή τεκμηριωμένων συμπερασμάτων σχετικά με την κατάσταση της ΠΕ.

Η τρίτη προσέγγιση, η πιο αποτελεσματική, περιλαμβάνει το συνδυασμό των δύο πρώτων. Το βασικό σύνολο απαιτήσεων για το IP καθορίζεται από το πρότυπο. Πρόσθετες απαιτήσεις, λαμβάνοντας υπόψη τα ιδιαίτερα χαρακτηριστικά της λειτουργίας αυτού του συστήματος πληροφοριών στο μέγιστο βαθμό, διαμορφώνονται με βάση ανάλυση κινδύνου. Αυτή η προσέγγιση είναι πολύ πιο απλή από την πρώτη, γιατί

Οι περισσότερες από τις απαιτήσεις έχουν ήδη καθοριστεί από το πρότυπο και, ταυτόχρονα, δεν έχει το μειονέκτημα της δεύτερης προσέγγισης, που είναι ότι οι απαιτήσεις του προτύπου ενδέχεται να μην λαμβάνουν υπόψη τις ιδιαιτερότητες της IP που εξετάζεται.