InfoSec

Info saugumo blogas

« PreviousNext »

Kas yra saugumo auditas?

26 spalis 2006

Oficialaus saugumo audito apibrėžimo nėra, kaip ir nėra jokių teisinių reikalavimų tiksliai apibrėžiančių saugumo audito funkciją. Nepaisant to, jums vis tiek reikia jį atlikti, ir kuo didesni jūs esate, tuo labiau tikėtina, kad yra reikalavimas jei ne visai tiksliai, tai efektyviai jį atlikti.

Saugumo audito apibrėžimas

Jei paieškosite internete, rasite daugybę skirtingų apibrėžimų. O dabar mes pridėsime dar vieną. Saugumo auditas yra paskutinis jūsų apsaugos priemonių įgyvendinimo žingsnis. Pirmiausiai jūs pradedate nuo rizikos analizės, kad sužinotumėte savo turtus ir riziką. Tuomet jūs kuriate saugumo strategiją, kad apibrėžtumėte, ką jūs ruošiatės saugoti ir kaip jūs tai saugosite. Tuomet jūs naudojate įvairius metodus, įskaitant ir informacijos apsaugos produktus, kad toji strategija būtų vykdoma. Ir galiausiai jūs atliekate saugumo auditą, kad patikrintumėte tų metodų efektyvumą. (O tada, žinoma, jūs pradedate visą procesą iš naujo.)

Taigi, saugumo auditas, nei daugiau, nei mažiau, yra tikrinimo ir rūpinimosi, kad jūsų kompanijos turtas būtų visiškai apsaugotas, procesas.

Kodėl man reikalingas saugumo auditas?

Paprastai tariant, saugumo auditas jums reikalingas, kad garantuotų, jog jūsų saugumo sistemos veikia. Turėti apsaugą, kuri neveikia, ne tik kad beprasmiška, bet, ko gero, tai dar blogiau, nei neturėti jokios apsaugos – neturėdami jokios apsaugos, jūs bent jau žinote, kad jos neturite. Be to, geras saugumo auditas, jei jį atlieka išorinė konsultantų kompanija, parodys jūsų esamos apsaugos spragas.

Geriausias būdas suprasti, kodėl reikalingas saugumo auditas yra realaus gyvenimo pavyzdžiai. Šio teksto rašymo momentu yra išleistos dvi svarbios naujos ataskaitos. Pirmoji yra „Tinklo atakos: teisminio persekiojimo departamento analizė 1999 – 2006” (“Network Attacks: Analysis of Department of Justice Prosecutions 1999 – 2006″), 2006 m. rugpjūčio 28 d., Trusted Strategies, L.L.C įgalioti Phoenix Technologies, Ltd. atliko tyrimą. Šią ataskaitą tikrai verta paskaityti. Joje teigiama: „Nesankcionuotas prisijungimas prie privilegijuotų vartotojų paskyrų iki šiol atnešė didžiausius finansinius nuostolius kompanijoms iš visų išanalizuotų nusikaltimų. Tai nebuvo įmantrūs įsilaužimai, tai buvo palyginti paprasti nusikaltimai, kuriuos atliko užpuolikai, turintys galiojančius vartotojo prisijungimo vardus ir slaptažodžius, bei pasinaudojo šia informacija, kad prisijungtų prie saugomų resursų.“ Atskaitoje taip pat teigiama: „Šiems nusikaltimams galėtų būti užkirstas kelias, jei įdiegtos sistemos būtų patikrinusios ne tik asmens identifikaciją prisijungimo metu, bet ir kompiuterio identifikaciją.“ Na, taip būtų, nes tai yra tai ką Phoenix pardavinėja. Bet paprastas faktas yra tai, kad kelias šiems nusikaltimams būtų užkirstas, jei aukos kompanijos būtų sėkmingai atlikę prisijungimo vardo ir slaptažodžio saugumo auditą, kad užtikrintų pakankamą apsaugos lygį. Taigi, atlikite auditą.

Antroji ataskaita yra autentiška atlikto audito ataskaita. Tai yra Arizonos valstijos, Vyriausiojo auditoriaus ataskaita dėl Arizonos Mokslo departamento informacijos valdymo. Joje daroma išvada, kad „Jautri informacija, tokia kaip socialinės apsaugos numeriai (asmens kodai), buvo pažeidžiama dėl apsaugos silpnumo departamento internetiniuose sprendimuose.“ Štai kodėl jums reikia atlikti auditą – rasti defektus, prieš jiems randant jus. Ir nepamirškite taip pat, kad, rašymo metu buvo kilęs bruzdesys dėl aukštesniųjų vadovų išėjimo (išėjusių ar išstumtų?) iš tokių kompanijų kaip AOL dėl to, kad pasirodė, jog trūko saugumo, už kurį jie buvo atsakingi. Štai kodėl jums reikia saugumo audito – užtikrinimui, kad jūsų pačių saugumui nieko netrūktsa.

Bet yra dar viena priežastis jums, kad pradėtumėte saugumo auditą. Visame pasaulyje augantis įstatymų, sukurtų kovoti su kibernetiniu terorizmu ir saugoti asmens privatumą, plitimas ir sudėtingumas paprasčiausiai reiškia, kad vienintelis būdas, kuriuo jūs galite įrodyti, kad laikomasi šių įstatymų, yra per dokumentais pagrįstą saugumo auditą.

Kur man gauti saugumo auditą?
Yra paprastas pasirinkimas: daryti patiems, ar nusipirkti. Pirmasis variantas reiškia arba savo saugumo testų sukūrimą arba programinės įrangos, kuri atliks tuos testus už jus, įsigijimą. Kitas variantas apima naudojimąsi išoriniais saugumo konsultantais.

Nėra griežtos ar tvirtos taisyklės, kuris yra geresnis. Jei jūs esate maža kompanija, jūs mažiau kuo rizikuojate ir mažiau galite leisti sau samdytis brangius konsultantus. Tuo pat metu, mažai tikėtina, kad jūs turėsite pakankamai kompetencijos organizacijos viduje, kad sukurtumėte savo programinę audito įrangą. Mažos kompanijos gali būti priverstos pasitikėti nemokama ar pigia programine įranga.

Didesnės kompanijos labiau tikėtina, kad turės galimybių sukurti savo programinę įrangą, bet turės mažai laiko tai padaryti. Tuo pat metu, didelės kompanijos sistemų sudėtingumas sumažina galimybę, kad standartinė programinė įranga gali pilnai atlikti visų sistemų auditą. Didesnės kompanijos gali būti priverstos samdyti išorinius konsultantus.

Kaip aš galiu įvertinti saugumo auditą?
Tai yra informacijos saugumo galvosūkis. Tai, kad jūsų apsauga dar nebuvo pralaužta, dar nereiškia, kad jūs esate saugūs: jūs niekada negalėsite įrodyti, kad jūs esate saugūs, jūs galite įrodyti tik (iš karčios patirties), kad jūs esate nesaugūs.

Taigi, kaip jūs galite įvertinti saugumo auditą? Na, atliktas saugumo auditas pasakys jums, kokia efektyvi yra jūsų apsauga, palyginti su tuo, ką ji turėtų saugoti; tai yra, auditas leis jums išmatuoti jūsų saugumo politikos vykdymo efektyvumą. Tai, savo ruožtu, reikalauja, kad jūs turėtumėte detalią ir efektyvią saugumo politiką, ir kad jūsų saugumo politika būtų vykdoma per visapusišką rizikos valdymo veiksmų atlikimą.

Tuomet jūs turėtumėte paimti ”rezultatus“ (tai yra, pilnas ataskaitas) iš savo auditoriaus (arba audito kompanijos) ir nustatyti jų ryšį su kiekvienu jūsų saugumo politikos aspektu. Pavyzdžiui, jei jūsų saugumo politikoje numatyti stiprūs slaptažodžiai, kurie turi būti keičiami kas du mėnesius, įsitikinkite, jog audito ataskaita patvirtina, kad tai vyksta iš tikro, ir kad vartotojai neturi būdų šioms taisyklėms apeiti.

Auditoriai bus atlikę darbą, tik jei audito ataskaita apims kiekvieną jūsų saugumo politikos aspektą. Atkreipkite dėmėsi, kad aš nepasakiau „gerą“ darbą – tai yra daug sunkiau įvertinti. Jūsų vidaus auditas gali būti tik toks geras, kokie yra jūsų auditoriai. Taigi, jei jūs audituojate savo pajėgomis, jūs niekada nesužinosite, ką jūs galėjote praleisti, tarkime, dėl to, kad tai yra jūsų pačių darbuotojai. Jie gali būti linkę nuslėpti tam tikras spragas, nes tos spragos gali būti jų atsakomybės klausimas. Siekdami objektyvaus audito pasitelkite išorinį auditą. Auditorių rinkitės atsakingai, nes jis atliks jūsų kritinių sistemų ir procedūrų analizę. Atminkite, geras auditorius – gera analizė.
Jei įgyvendinsite visas audito rekomendacijas, jūs tikrai būsite labiau saugūs.

Panašūs įrašai:

Kategorija Straipsniai | Į viršų

Nėra komentarų

Parašyk komentarą