Bezpečnostní audit informačních technologií - Information technology security audit

Počítačové bezpečnosti audit se jedná o manuální nebo systematické měřitelné technické posouzení systému nebo aplikace. Ruční hodnocení zahrnují rozhovory s pracovníky, provádění skenování zranitelnosti zabezpečení , kontrolu kontroly přístupu aplikací a operačních systémů a analýzu fyzického přístupu k systémům. Automatická hodnocení ( CAAT ) zahrnují systémově generované zprávy o auditu nebo použití softwaru k monitorování a hlášení změn v souborech a nastaveních v systému. Systémy mohou zahrnovat osobní počítače, servery, sálové počítače, síťové směrovače, přepínače.

Hlášení událostí auditu

Během posledních několika desetiletí lze systematické generování záznamů auditu (nazývané také hlášení událostí auditu) popsat pouze jako ad hoc. V počátcích sálového počítače a minipočítače s rozsáhlými softwarovými systémy na míru od jednoho dodavatele od společností, jako jsou IBM a Hewlett Packard , byl audit považován za klíčovou funkci. Za posledních třicet let komerčně dostupné softwarové aplikace a komponenty (COTS) a mikropočítače postupně nahradily vlastní software a hardware jako nákladově efektivnější řešení pro správu podniků.

Během tohoto přechodu se kritická povaha hlášení událostí auditu postupně transformovala do požadavků zákazníka s nízkou prioritou. Spotřebitelé softwaru, kteří nemají co jiného, ​​aby se vrátili zpět, jednoduše přijali nižší standardy jako obvykle. Zákaznické licence stávajícího softwaru COTS se zříká veškeré odpovědnosti za problémy se zabezpečením, výkonem a integritou dat.

Tradiční protokolování

Pomocí tradičních metod protokolování odesílají aplikace a komponenty textové zprávy ve volném formátu do zařízení pro protokolování systému, jako je proces Unix Syslog nebo protokoly událostí systému Microsoft Windows , zabezpečení nebo aplikací. Java aplikace často spadají zpět do standardního logovacího zařízení Java, log4j . Tyto textové zprávy obvykle obsahují informace, o nichž se předpokládá, že jsou relevantní pro zabezpečení vývojářem aplikace, který často není odborníkem na zabezpečení počítačů nebo sítí.

Zásadním problémem takových záznamů událostí ve volném formátu je, že každý vývojář aplikace individuálně určuje, jaké informace by měly být zahrnuty do záznamu události auditu, a celkový formát, ve kterém by měl být tento záznam prezentován do protokolu auditu. Tato variabilita ve formátu mezi tisíci instrumentovaných aplikací ztěžuje práci s analýzou záznamů událostí auditu analytickými nástroji (jako je například produkt Novell Sentinel) a je náchylná k chybám. Takovýto kód pro analýzu domény a aplikace obsažený v analytických nástrojích je také obtížné udržovat, protože změny formátů událostí se nevyhnutelně postupem času dostanou do novějších verzí aplikací.

Moderní auditorské služby

Většina současných podnikových operačních systémů, včetně Microsoft Windows , Solaris , Mac OS X a FreeBSD (prostřednictvím projektu TrustedBSD), podporuje protokolování událostí auditu kvůli požadavkům v Common Criteria (a historičtěji v Orange Book ). FreeBSD i Mac OS X využívají ke generování a zpracování záznamů auditu knihovnu a sadu příkazů OpenBSM s otevřeným zdrojovým kódem .

Význam protokolování událostí auditu vzrostl s nedávnou novou (po roce 2000) americkou a celosvětovou legislativou, která vyžaduje požadavky na podnikové a podnikové audity. V revizích zabezpečení softwaru se začaly používat projekty s otevřeným zdrojovým kódem, jako je OpenXDAS , součást identity projektu Bandit . OpenXDAS je založen na specifikaci služby Open Group Distributed Auditing Service .

Kdo provádí audity

Audity zabezpečení počítače obecně provádějí:

  1. Federální nebo státní regulační orgány - certifikovaní účetní, CISA. Federální OTS, OCC, DOJ atd.
  2. Firemní interní auditoři - certifikovaní účetní, CISA, Certified Internet Audit Professional (CIAP).
  3. Externí auditoři - specializují se na oblasti související s technologickým auditem.
  4. Konzultanti - Outsourcing technologického auditu, kde organizaci chybí specializovaná sada dovedností.

Poznámky

Viz také

Reference

externí odkazy