Audit informační bezpečnosti - Information security audit

Audit informační bezpečnosti je audit na úrovni informační bezpečnosti v organizaci. V rámci širokého rozsahu zabezpečení informací o auditu existuje několik typů auditů, více cílů pro různé audity atd. Kontrolované kontroly lze nejčastěji kategorizovat na technické , fyzické a administrativní . Zabezpečení auditu informací pokrývá témata od auditu fyzického zabezpečení datových center až po audit logického zabezpečení databází a zdůrazňuje klíčové komponenty, které je třeba hledat, a různé metody pro auditování těchto oblastí.

Když se soustředí na aspekty informační technologie (IT) informační bezpečnosti, může být považováno za součást auditu informačních technologií . Často se pak označuje jako audit zabezpečení informačních technologií nebo audit počítačové bezpečnosti. Informační bezpečnost však zahrnuje mnohem více než IT.

Proces auditu

Plánování a příprava auditu

Před provedením kontroly datového centra by měl být auditor dostatečně informován o společnosti a jejích kritických obchodních aktivitách. Cílem datového centra je sladit činnosti datového centra s cíli podniku při zachování bezpečnosti a integrity kritických informací a procesů. Aby bylo možné přiměřeně určit, zda je dosaženo cíle klienta, měl by auditor před provedením kontroly provést následující:

• Seznamte se s IT managementem a určete možné oblasti zájmu
• Zkontrolujte aktuální organizační schéma IT
• Zkontrolujte popisy práce zaměstnanců datových center
• Prozkoumejte všechny operační systémy , softwarové aplikace a zařízení datových center fungující v datovém centru
• Zkontrolujte zásady a postupy IT společnosti
• Vyhodnoťte firemní rozpočet IT a dokumentaci k plánování systémů
• Zkontrolujte plán obnovy dat po havárii datového centra

Stanovení cílů auditu

K dalšímu kroku při revizi podnikového datového centra dochází, když auditor stanoví cíle auditu datového centra. Auditoři zvažují více faktorů, které se vztahují k postupům a aktivitám datového centra a které potenciálně identifikují auditorská rizika v operačním prostředí, a posoudí zavedené kontroly, které tato rizika zmírňují. Po důkladném testování a analýze je auditor schopen adekvátně určit, zda datové centrum udržuje správné kontroly a funguje efektivně a efektivně.

Následuje seznam cílů, které by měl auditor zkontrolovat:

• Personální postupy a odpovědnosti, včetně systémů a cross-funkční školení
• Procesy řízení změn jsou zavedeny a následují je pracovníci IT a managementu
• Jsou zavedeny vhodné postupy zálohování, které minimalizují prostoje a zabraňují ztrátě důležitých dat
• Datové centrum má adekvátní fyzické bezpečnostní kontroly, které zabraňují neoprávněnému přístupu do datového centra
• K zajištění ochrany zařízení před požárem a záplavami jsou zavedeny adekvátní environmentální kontroly

Provedení kontroly

Dalším krokem je shromažďování důkazů pro splnění cílů auditu datového centra. To zahrnuje cestování do umístění datového centra a pozorování procesů a v rámci datového centra. Pro splnění předem stanovených cílů auditu by měly být provedeny následující postupy kontroly:

• Personál datového centra - Všichni pracovníci datového centra by měli mít oprávnění k přístupu do datového centra (klíčové karty, přihlašovací ID, zabezpečená hesla atd.). Zaměstnanci datového centra jsou dostatečně vzdělaní v oblasti vybavení datových center a řádně vykonávají svou práci. Při provádění prací na zařízení datového centra jsou pracovníci servisu dodavatele pod dohledem. Auditor by měl sledovat zaměstnance datových center a vést s nimi pohovory, aby dosáhl svých cílů.
• Zařízení - Auditor by měl ověřit, že všechna zařízení datového centra fungují správně a efektivně. Zprávy o využití zařízení, kontrola poškození a funkčnosti zařízení, záznamy o prostojích systému a měření výkonu zařízení pomáhají auditorovi určit stav vybavení datového centra. Kromě toho by měl auditor provést pohovor se zaměstnanci, aby zjistil, zda jsou zavedeny a prováděny zásady preventivní údržby.
• Zásady a postupy - Všechny zásady a postupy datových center by měly být dokumentovány a umístěny v datovém centru. Mezi důležité zdokumentované postupy patří zodpovědnost zaměstnanců datového centra, zásady zálohování, zásady zabezpečení, zásady ukončení pracovního poměru, provozní postupy systému a přehled operačních systémů.
• Fyzické zabezpečení / kontroly životního prostředí - Auditor by měl posoudit bezpečnost datového centra klienta. Fyzická bezpečnost zahrnuje osobní strážce, zamčené klece, pasti na muže, jednotlivé vstupy, sešroubovaná zařízení a počítačové monitorovací systémy. Kromě toho by měly být zavedeny kontroly životního prostředí, aby byla zajištěna bezpečnost zařízení datových center. Patří sem klimatizační jednotky, zvýšené podlahy, zvlhčovače a nepřerušitelné napájení .
• Zálohovací postupy - Auditor by měl ověřit, zda má klient zavedené postupy zálohování v případě selhání systému. Klienti mohou udržovat záložní datové centrum na jiném místě, které jim umožní okamžitě pokračovat v operacích v případě selhání systému.

Vydání revizní zprávy

Zpráva o přezkoumání datového centra by měla shrnout zjištění auditora a měla by mít podobný formát jako standardní revizní zpráva. Zpráva o přezkoumání by měla být opatřena datem dokončení auditu a postupů auditora. Mělo by uvést, co kontrola obnáší, a vysvětlit, že kontrola poskytuje třetím stranám pouze „omezenou jistotu“.

Kdo provádí audity

Audity počítačové bezpečnosti obecně provádí:

1. Federální nebo státní regulační orgány - certifikovaní účetní, CISA. Federální OTS, OCC, DOJ atd.
2. Firemní interní auditoři - certifikovaní účetní, CISA, Certified Internet Audit Professional (CIAP).
3. Externí auditoři - specializuje se na oblasti související s technologickým auditem.
4. Poradci - Outsourcing technologického auditu tam, kde organizaci chybí specializovaná sada dovedností.

Auditované systémy

Chyba zabezpečení sítě

• Odposlech : Data, která jsou přenášena po síti, jsou náchylná k zachycení neúmyslnou třetí stranou, která by je mohla zneužít.
• Dostupnost: Sítě se rozšířily, překročily stovky nebo tisíce mil, na které se mnoho spoléhá při přístupu k informacím o společnosti, a ztracená konektivita by mohla způsobit přerušení podnikání.
• Přístupový/vstupní bod: Sítě jsou náchylné k nežádoucímu přístupu. Slabé místo v síti může tyto informace zpřístupnit vetřelcům. Může také poskytnout vstupní bod pro viry a trojské koně.

Řízení

• Ovládací prvky odposlechu: Odposlechy lze částečně odradit fyzickým řízením přístupu v datových centrech a kancelářích, včetně míst, kde končí komunikační spojení a kde jsou umístěny síťové rozvody a distribuce. Šifrování také pomáhá zabezpečit bezdrátové sítě.
• Ovládací prvky dostupnosti: Nejlepší možností je mít vynikající síťovou architekturu a monitorování. Síť by měla mít redundantní cesty mezi každým zdrojem a přístupovým bodem a automatické směrování, aby se provoz přepnul na dostupnou cestu bez ztráty dat nebo času.
• Ovládací prvky přístupového/vstupního bodu: Většina síťových ovládacích prvků je umístěna v místě, kde se síť připojuje k externí síti. Tyto ovládací prvky omezují provoz, který prochází sítí. Ty mohou zahrnovat brány firewall, systémy detekce narušení a antivirový software.

Auditor by si měl položit určité otázky, aby lépe porozuměl síti a jejím zranitelnostem. Auditor by měl nejprve posoudit rozsah sítě a její strukturu. V tomto procesu může auditorovi pomoci síťový diagram. Další otázkou, kterou by si měl auditor položit, je, jaké zásadní informace musí tato síť chránit. Věci, jako jsou podnikové systémy, poštovní servery, webové servery a hostitelské aplikace, ke kterým mají přístup zákazníci, jsou obvykle oblasti zájmu. Je také důležité vědět, kdo má přístup a do jakých částí. Mají zákazníci a prodejci přístup k systémům v síti? Mohou zaměstnanci přistupovat k informacím z domova? Nakonec by měl auditor posoudit, jak je síť připojena k externím sítím a jak je chráněna. Většina sítí je alespoň připojena k internetu, což by mohlo být bodem zranitelnosti. Toto jsou zásadní otázky při ochraně sítí.

Šifrování a audit IT

Při posuzování potřeby klienta implementovat zásady šifrování pro svou organizaci by měl auditor provést analýzu rizika a hodnoty dat klienta. Společnosti s více externími uživateli, aplikacemi elektronického obchodování a citlivými informacemi o zákaznících/zaměstnancích by měly udržovat přísné zásady šifrování zaměřené na šifrování správných dat v příslušné fázi procesu sběru dat.

Auditoři by měli průběžně vyhodnocovat zásady a postupy šifrování svých klientů. Společnosti, které jsou silně závislé na systémech elektronického obchodování a bezdrátových sítích, jsou extrémně citlivé na krádež a ztrátu důležitých informací při přenosu. Zásady a postupy by měly být dokumentovány a prováděny, aby byla zajištěna ochrana všech přenášených dat.

Auditor by měl ověřit, že management má zavedené kontroly nad procesem správy šifrování dat. Přístup ke klíčům by měl vyžadovat duální ovládání, klíče by měly být složeny ze dvou samostatných komponent a měly by být udržovány na počítači, který není přístupný programátorům ani externím uživatelům. Vedení by dále mělo potvrdit, že zásady šifrování zajišťují ochranu dat na požadované úrovni a ověřit, že náklady na šifrování dat nepřesahují hodnotu samotných informací. Všechna data, u nichž je vyžadována dlouhodobá údržba, by měla být šifrována a přenesena na vzdálené místo. Měly by být zavedeny postupy, které zaručí, že všechny šifrované citlivé informace dorazí na své místo a budou správně uloženy. A konečně, auditor by měl získat od vedení ověření, že šifrovací systém je silný, není napadnutelný a odpovídá všem místním a mezinárodním zákonům a předpisům.

Logický bezpečnostní audit

Prvním krokem auditu jakéhokoli systému je snaha porozumět jeho komponentám a jeho struktuře. Při auditu logického zabezpečení by měl auditor prozkoumat, jaké bezpečnostní kontroly jsou zavedeny a jak fungují. Zejména následující oblasti jsou klíčovými body při auditu logického zabezpečení:

• Hesla : Každá společnost by měla mít písemné zásady týkající se hesel a jejich používání zaměstnanci. Hesla by neměla být sdílena a zaměstnanci by měli mít povinné naplánované změny. Zaměstnanci by měli mít uživatelská práva, která jsou v souladu s jejich pracovními funkcemi. Měli by si být také vědomi správných postupů pro přihlášení/ odhlášení. Užitečné jsou také bezpečnostní tokeny, malá zařízení, která autorizovaní uživatelé počítačových programů nebo sítí nosí při potvrzování identity. Mohou také ukládat kryptografické klíče a biometrická data . Nejpopulárnější typ bezpečnostního tokenu (SecurID RSA) zobrazuje číslo, které se mění každou minutu. Uživatelé jsou ověřeni zadáním osobního identifikačního čísla a čísla na tokenu.
• Postupy ukončení: Správné postupy ukončení, aby staří zaměstnanci již neměli přístup k síti. To lze provést změnou hesel a kódů. Rovněž by měly být zdokumentovány a zaúčtovány všechny identifikační karty a odznaky, které jsou v oběhu.
• Speciální uživatelské účty: Speciální uživatelské účty a další privilegované účty by měly být monitorovány a měly by mít zavedeny řádné ovládací prvky.
• Vzdálený přístup: Vzdálený přístup je často místem, kde vetřelci mohou vstoupit do systému. Nástroje logického zabezpečení používané pro vzdálený přístup by měly být velmi přísné. Vzdálený přístup by měl být zaznamenán.

Specifické nástroje používané v zabezpečení sítě

Zabezpečení sítě je dosaženo různými nástroji, včetně firewallů a proxy serverů , šifrování , logického zabezpečení a řízení přístupu , antivirového softwaru a auditovacích systémů, jako je správa protokolů.

Firewally jsou velmi základní součástí zabezpečení sítě. Často jsou umístěny mezi soukromou místní sítí a internetem. Brány firewall poskytují průchod provozu, ve kterém lze ověřovat, sledovat, protokolovat a hlásit. Některé různé typy bran firewall zahrnují brány firewall v síťové vrstvě, brány firewall s podsítěmi, brány firewall s filtrováním paketů, brány firewall s dynamickým filtrováním paketů, hybridní brány firewall, transparentní brány firewall a brány firewall na úrovni aplikace.

Proces šifrování zahrnuje převod prostého textu na řadu nečitelných znaků známých jako šifrový text . Pokud je zašifrovaný text odcizen nebo k němu dojde během přenosu, je obsah pro diváka nečitelný. To zaručuje bezpečný přenos a je velmi užitečné pro společnosti odesílající/přijímající kritické informace. Jakmile zašifrované informace dorazí k zamýšlenému příjemci, je implementován dešifrovací proces, který obnoví šifrový text zpět na čistý text.

Proxy servery skrývají skutečnou adresu klientské pracovní stanice a mohou také fungovat jako brána firewall. Brány proxy serveru mají speciální software k vynucení ověřování. Brány proxy serveru slouží jako prostředník pro požadavky uživatelů.

Antivirové softwarové programy, jako je McAfee a Symantec, vyhledávají a likvidují škodlivý obsah. Tyto antivirové programy spouští živé aktualizace, aby zajistily, že budou mít nejnovější informace o známých počítačových virech.

Logické zabezpečení zahrnuje softwarová zabezpečení pro systémy organizace, včetně přístupu k ID uživatele a hesla, ověřování, přístupových práv a úrovní oprávnění. Tato opatření mají zajistit, aby akce nebo přístup k informacím v síti nebo na pracovní stanici mohli provádět pouze autorizovaní uživatelé.

Auditujte systémy, sledujte a zaznamenávejte, co se děje v síti organizace. Řešení Log Management se často používají k centrálnímu shromažďování auditních záznamů z heterogenních systémů pro analýzu a forenzní účely. Správa protokolů je skvělá pro sledování a identifikaci neautorizovaných uživatelů, kteří se mohou pokoušet o přístup k síti, a o tom, k čemu autorizovaní uživatelé v síti přistupují, a změny oprávnění uživatelů. Software, který zaznamenává a indexuje uživatelské aktivity v rámci okenních relací, jako je ObserveIT, poskytuje komplexní auditovací stopu uživatelských aktivit při vzdáleném připojení prostřednictvím terminálových služeb, Citrixu a dalšího softwaru pro vzdálený přístup.

Podle průzkumu společnosti Insecure z roku 2006, který provedl 3243 uživatelů Nmap , byly některé z nejlépe hodnocených nástrojů zabezpečení sítě Org, Nessus , Wireshark a Snort . Podle stejného průzkumu je BackTrack Live CD nejlépe hodnocenou distribucí auditování bezpečnosti informací a penetračního testování . Nessus je vzdálený bezpečnostní skener, který provádí více než 1200 bezpečnostních kontrol pro Linux, BSD a Solaris. Wireshark analyzuje síťový protokol pro Unix a Windows a Snort je systém detekce narušení, který také podporuje Microsoft Windows. Nessus, Wireshark a Snort jsou zdarma. Mezi další oblíbené produkty pro zabezpečení sítě patří OmniGuard, Guardian a LANGuard. Omniguard je firewall, stejně jako Guardian, který také poskytuje antivirovou ochranu. LANGuard poskytuje auditování sítě, detekci narušení a správu sítě. Pro správu protokolů jsou řešení od dodavatelů, jako je SenSage a další, volbou pro vládní agentury a vysoce regulovaná odvětví.

Behaviorální audit

Chyby zabezpečení často nesouvisejí s technickou slabinou IT systémů organizace , ale spíše s individuálním chováním v rámci organizace. Jednoduchým příkladem je to, že uživatelé nechávají odemčené počítače nebo jsou vystaveni útokům typu phishing . Výsledkem je, že důkladný audit InfoSec bude často zahrnovat penetrační test, ve kterém se auditoři pokusí získat přístup k co největší části systému, a to jak z pohledu typického zaměstnance, tak i outsidera.

Audity zabezpečení systému a procesů kombinují prvky z auditů IT infrastruktury a auditů zabezpečení aplikací/informací a používají různé ovládací prvky v kategoriích, jako je úplnost, přesnost, platnost (V) a omezený přístup (CAVR).

Zabezpečení auditních aplikací

Zabezpečení aplikace

Střediska zabezpečení aplikací mají tři hlavní funkce:

• Programování
• zpracovává se
• Přístup

Pokud jde o programování, je důležité zajistit správnou fyzickou ochranu a ochranu heslem kolem serverů a sálových počítačů pro vývoj a aktualizaci klíčových systémů. Zabezpečení fyzického přístupu v datovém centru nebo kanceláři, jako jsou elektronické odznaky a čtečky odznaků, ochranka, tlumivky a bezpečnostní kamery, je životně důležité pro zajištění bezpečnosti aplikací a dat. Pak je potřeba mít zabezpečení kolem změn v systému. Ty obvykle mají co do činění se správným přístupem k zabezpečení, aby mohly být provedeny změny, a zavedením správných autorizačních postupů pro stahování změn v programování od vývoje přes test a nakonec do výroby.

Při zpracování je důležité, aby byly zavedeny postupy a monitorování několika různých aspektů, jako je zadávání falešných nebo chybných údajů, neúplné zpracování, duplicitní transakce a předčasné zpracování. Způsob, jak to zajistit, je zajistit, aby byly vstupy náhodně kontrolovány nebo aby veškeré zpracování mělo řádné schválení. Je důležité umět identifikovat neúplné zpracování a zajistit, aby byly zavedeny správné postupy pro jeho dokončení nebo odstranění ze systému, pokud došlo k chybě. Měly by existovat také postupy pro identifikaci a opravu duplicitních záznamů. Konečně, pokud jde o zpracování, které není prováděno včas, měli byste zpětně sledovat přidružená data, abyste zjistili, odkud zpoždění pochází, a zjistit, zda toto zpoždění vytváří obavy z kontroly.

Konečně, přístup, je důležité si uvědomit, že udržování zabezpečení sítě před neoprávněným přístupem je jedním z hlavních cílů společností, protože hrozby mohou pocházet z několika zdrojů. Za prvé, jeden má interní neoprávněný přístup. Je velmi důležité mít přístupová hesla k systému, která je třeba pravidelně měnit, a že existuje způsob, jak sledovat přístup a změny, aby bylo možné identifikovat, kdo jaké změny provedl. Veškerá aktivita by měla být zaznamenána. Druhou arénou, o kterou se musíme starat, je vzdálený přístup, lidé přistupující k něčemu systému zvenčí prostřednictvím internetu. Klíčem k ochraně před neoprávněným vzdáleným přístupem je nastavení bran firewall a ochrany heslem pro online změny dat. Jedním ze způsobů, jak identifikovat slabá místa v řízení přístupu, je přivést hackera, aby se pokusil prolomit systém, a to buď vstupem do budovy a použitím interního terminálu, nebo hackováním zvenčí prostřednictvím vzdáleného přístupu.

Oddělení povinností

Když máte funkci, která se zabývá penězi, ať už příchozími nebo odchozími, je velmi důležité zajistit oddělení povinností tak, aby se minimalizovaly a doufejme, že se předejde podvodům. Jedním z klíčových způsobů, jak zajistit řádné oddělení povinností (SoD) z hlediska systému, je kontrola oprávnění jednotlivců k přístupu. Některé systémy, jako je SAP, tvrdí, že přicházejí se schopností provádět testy SoD, ale poskytovaná funkčnost je elementární a vyžaduje vybudování velmi časově náročných dotazů a je omezena na úroveň transakce pouze s malým nebo žádným použitím objektu nebo pole hodnoty přiřazené uživateli prostřednictvím transakce, což často přináší zavádějící výsledky. U komplexních systémů, jako je SAP, je často upřednostňováno používat nástroje vyvinuté speciálně pro hodnocení a analýzu konfliktů SoD a dalších typů činnosti systému. U jiných systémů nebo u více systémových formátů byste měli sledovat, kteří uživatelé mohou mít superuživatelský přístup k systému, což jim poskytuje neomezený přístup ke všem aspektům systému. Také vývoj matice pro všechny funkce zdůrazňující body, kde byla porušena řádná segregace povinností, pomůže identifikovat potenciální materiální slabiny křížovou kontrolou dostupných přístupů každého zaměstnance. To je ve vývojové funkci stejně důležité, ne -li ještě důležitější, než ve výrobě. Zajištění toho, aby lidé, kteří vyvíjejí programy, nejsou těmi, kdo jsou oprávněni jej stáhnout do výroby, je klíčové pro zabránění neoprávněným programům v produkčním prostředí, kde mohou být použity k páchání podvodů.

souhrn

Celkově jsou tyto dva pojmy zabezpečení aplikací a oddělení povinností v mnoha ohledech propojeny a oba mají stejný cíl, chránit integritu dat společností a předcházet podvodům. Aby byla zajištěna bezpečnost aplikací, souvisí to s předcházením neoprávněnému přístupu k hardwaru a softwaru prostřednictvím vhodných fyzických i elektronických bezpečnostních opatření. Se segregací povinností se jedná především o fyzickou kontrolu přístupu jednotlivců k systémům a zpracování a zajištění, aby nedocházelo k překrývání, které by mohlo vést k podvodu.

Informační bezpečnostní pracovník (ISO)

Information Security Officer (ISO) je relativně nová pozice, která se v organizacích objevila v důsledku chaotického růstu informačních technologií a síťové komunikace. Role ISO byla velmi mlhavá, protože problém, ke kterému byly vytvořeny, nebyl jasně definován. Role ISO se stala jednou z následujících činností, které sledují dynamiku bezpečnostního prostředí a udržují vyvážené držení rizika pro organizaci.

Viz také

• Zabezpečení počítače
• Defenzivní výpočetní technika
• Směrnice 95/46/ES o ochraně osobních údajů ( Evropská unie )
• Etický hack
• Informační bezpečnost
• Penetrační test
• Porušení zabezpečení

Reference

Bibliografie

• Gallegos, Frederick; Senft, Sandra; Manson, Daniel P .; Gonzales, Carol (2004). Technologická kontrola a audit (2. vyd.) . Auerbach Publications. ISBN 0-8493-2032-1.

externí odkazy

• Zkoumání datových center
• Síťový audit
• Projekt OpenXDAS
• Informační systémy a asociace pro kontrolu auditu (ISACA)
• Institut interních auditorů