Смекни!
smekni.com

Интеллектуальные компьютерные технологии защиты информации (стр. 17 из 23)

• профессиональные стандарты;

• требования и рекомендации;

• требования к банковским услугам, системам электронной торговли и производству.

Применение стандарта CoBiT возможно как для проведения аудита КИС организации, так и для изначального проектирования КИС. Обычный вариант прямой и обратной задач. Если в первом случае -это соответствие текущего состояния КИС лучшей практике аналогичных организаций и предприятий, то в другом - изначально верный проект и, как следствие, по окончании проектирования - КИС, стремящаяся к идеалу. В дальнейшем мы будем рассматривать аудит КИС.

Несмотря на размер разработчики старались, чтобы стандарт был прагматичным и отвечал потребностям бизнеса, при этом сохраняя независимость от конкретных производителей, технологий и платформ.

На базовой блок-схеме CoBiT отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам КИС, которые анализируются с использованием критериев оценки CoBiT на всех этапах построения и проведения аудита.

Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь состоят из трехсот двух объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии КИС.

Отличительные черты CoBiT:

• Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов КИС).

• Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).

• Адаптируемый, наращиваемый стандарт.

Рассмотрим преимущества CoBiT перед многочисленными западными разработками. Прежде всего, это его достаточность - наряду с возможностью относительно легкой адаптации к особенностям КИС. И, конечно же, то, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные не изменяя общие подходы и собственную структуру.

3.2.4 Практика проведения аудита КИС

Представленная на рис. 3.2. блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита КИС. Рассмотрим их подробнее.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита. Границы аудита определяются критическими точками КИС (элементами КИС), в которых наиболее часто возникают проблемные ситуации.

На основании результатов предварительного аудита всей КИС (в первом приближении) проводится углубленный аудит выявленных проблем.

В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии КИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования КИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.

Рис. 3.2. Общая последовательность проведения аудита КИС

Проведение анализа - наиболее ответственная часть проведения аудита КИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учётом рисков внедрения.

Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.

На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе КИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности КИС.

Постоянное проведение аудита гарантирует стабильность функционирования КИС, поэтому создание плана-графика проведения последующих проверок является одним из результатов профессионального аудита.

3.2.5 Результаты проведения аудита КИС

Результаты аудита КИС организации можно разделить на три основные группы:

• Организационные - планирование, управление, документооборот функционирования КИС.

• Технические - сбои, неисправности, оптимизация работы элементов КИС, непрерывное обслуживание, создание инфраструктуры и т.д.

• Методологические - подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный аудит позволит обоснованно создать следующие документы:

• Долгосрочный план развития КИС.

• Политика безопасности КИС организации.

• Методология работы и доводки КИС организации.

План восстановления КИС в чрезвычайной ситуации.

3.3 Управление паролями

Доступ сотрудников к данным или иным источникам в системе обычно контролируется комбинацией идентификаторов пользователей системы и паролей. Для того чтобы такой подход был эффективным, необходимо поддерживать целостность пароля в течение всего периода его действия. Если идентификатор пользователя не предназначен для использования более, чем одним лицом (нежелательная ситуация, которая снимает ответственность), пароль должен быть известен только владельцу идентификатора пользователя, к которому он относится.

Система или сеть будет подвергаться опасности, если пароль и, следовательно, идентификатор пользователя компрометируются. Серьезность такой опасности зависит от:

• функций, доступных данному идентификатору пользователя - чем привилегированнее идентификатор, тем больше угроза;

• степени уязвимости данных, к которым может быть получен доступ.

Возможность использования компьютера или терминала может быть ограничена паролем включения питания, который не позволяет пользоваться компьютером, пока не будет введен правильный пароль. Screensavers (первоначально предназначавшиеся для предохранения экранов от пережога во время неактивного использования) обычно имеют парольные средства для предотвращения несанкционированного доступа к машине в отсутствие оператора. Эти средства могут быть полезными для предотвращения случайного несанкционированного доступа, но зачастую их можно обойти, имея достаточные технические знания.

Пароли наиболее часто компрометируются из-за отсутствия должной осторожности. Они также могут компрометироваться посредством некоторой формы изощренной атаки с использованием программного обеспечения для сборки паролей.

3.3.1 Потенциальные угрозы Потеря конфиденциальности вследствие:

• несанкционированного доступа к данным из-за потери защиты пароля.

Потеря целостности вследствие:

• несанкционированного изменения системы и/или ее данных из-за потери защиты пароля.Потеря доступности вследствие:

• незапоминания пароля;

• неправильного или несанкционированного изменения пароля.

3.3.2 Пути снижения рисков

• избегать использования общих идентификаторов пользователей вместе с общими паролями;

• выбирать пароли длиной не менее шести знаков;

• соблюдать следующие правила в отношении паролей:

• никому не раскрывать свой пароль;

• убедиться, что никто не наблюдает за вами во время ввода пароля;

• не записывать пароль там, где его может кто-либо может обнаружить;

• выбирать свои собственные пароли;

• изменять устанавливаемые по умолчанию пароли при использовании нового идентификатора пользователя в первый раз;

• перед заменой пароля проверить установки клавиш, таких как CapsLockи ShiftLock, для того что бы обеспечить правильность знаков;

• использовать простые (т.е. легко запоминаемые) пароли, такие как слова с произвольными орфографическими ошибками;

• включить в состав пароля не менее одного знака, который не является буквой;

• использовать некоторую форму триггера памяти для облегчения вызова пароля;

• периодически менять свой пароль, предпочтительно не реже одного раза в месяц;

• заменить пароль, если есть подозрения в его компрометации.

Не выбирать пароль, который:

• вероятно может быть найден в словаре (особенно слова, ассоциирующиеся с безопасностью, такие как «система», «секрет», «пароль» и т.п.);

• является обычным именем;

• имеет ассоциацию с предыдущим паролем (например, имеет в своем составе наименование или обозначение месяца, если пароль меняется ежемесячно);

• имеет явную ассоциацию с его владельцем (например, номер автомобиля, имя ребенка, название дома, инициалы и т.п.);

• состоит из одной повторяющейся буквы;

Запрещается:

• использовать пароль в скрипте входа в систему или макросе;

• пересылать пароли по электронной почте;

• устанавливать идентификатор пользователя без пароля или с паролем, состоящим из символов пробела;

Администраторы сетей и системные администраторы должны:

• идентифицировать и менять устанавливаемые по умолчанию пароли, когда система запускается в эксплуатацию;

• менять или удалять соответствующие идентификаторы пользователей и/или пароли при перемещении персонала;

• блокировать соответствующие идентификаторы пользователей в случае отсутствия сотрудника в течение длительного времени;