Аудит информационной безопасности - Information security audit

Эта статья поднимает множество проблем. Пожалуйста помоги Улучши это или обсудите эти вопросы на страница обсуждения. (Узнайте, как и когда удалить эти сообщения-шаблоны) Эта статья включает в себя список общих Рекомендации, но он остается в основном непроверенным, потому что ему не хватает соответствующих встроенные цитаты. Пожалуйста, помогите улучшать эта статья введение более точные цитаты. (Апрель 2009 г.) (Узнайте, как и когда удалить этот шаблон сообщения) Эта статья фактическая точность оспаривается. Соответствующее обсуждение можно найти на страница обсуждения. Пожалуйста, помогите убедиться, что оспариваемые утверждения надежный источник. (Октябрь 2018 г.) (Узнайте, как и когда удалить этот шаблон сообщения) Эта статья написано как личное размышление, личное эссе или аргументированное эссе который излагает личные чувства редактора Википедии или представляет оригинальный аргумент по теме. Пожалуйста помогите улучшить это переписав его в энциклопедический стиль. (Октябрь 2018 г.) (Узнайте, как и когда удалить этот шаблон сообщения) Эта статья нужны дополнительные цитаты для проверка. Пожалуйста помоги улучшить эту статью к добавление цитат в надежные источники. Материал, не полученный от источника, может быть оспорен и удален Найдите источники: «Аудит информационной безопасности»  – Новости  · газеты  · книги  · ученый  · JSTOR (Октябрь 2018 г.) (Узнайте, как и когда удалить этот шаблон сообщения) Эта статья возможно содержит неподтвержденный предсказания, спекулятивный материал или отчеты о событиях, которые могли не произойти. Информация должна быть проверяемый и на основе надежные опубликованные источники. Пожалуйста помоги Улучши это путем удаления спекулятивного контента без источника. (Октябрь 2018 г.) (Узнайте, как и когда удалить этот шаблон сообщения) (Узнайте, как и когда удалить этот шаблон сообщения)

An аудит информационной безопасности является аудит на уровне информационная безопасность в организации. В рамках широкой области аудита информационной безопасности существует несколько типов аудитов, несколько целей для разных аудитов и т. Д. Чаще всего контроль проверяемые могут быть отнесены к технический, физические и административный. Аудит информационной безопасности охватывает темы от аудита физической безопасности центров обработки данных до аудита логической безопасности баз данных и выделяет ключевые компоненты, которые нужно искать, и различные методы аудита этих областей.

Если сосредоточить внимание на ИТ-аспектах информационной безопасности, его можно рассматривать как часть аудит информационных технологий. Затем его часто называют аудит безопасности информационных технологий или аудит компьютерной безопасности. Однако информационная безопасность включает в себя гораздо больше, чем ИТ.

Процесс аудита

Планирование и подготовка аудита

Перед проведением проверки центра обработки данных аудитор должен быть надлежащим образом осведомлен о компании и ее важнейших видах деятельности. Задача центра обработки данных - привести деятельность центра обработки данных в соответствие с целями бизнеса при сохранении безопасности и целостности критически важной информации и процессов. Чтобы адекватно определить, достигается ли цель клиента, аудитор должен выполнить следующие действия перед проведением обзора:

• Встретьтесь с руководством ИТ, чтобы определить возможные проблемы
• Просмотрите текущую ИТ организационная структура
• Изучите должностные инструкции сотрудников центра обработки данных
• Исследовать все операционные системы, программные приложения и оборудование дата-центра, работающее в дата-центре
• Изучите ИТ-политику и процедуры компании.
• Оценить ИТ-бюджет компании и документацию по системному планированию
• Изучите План по ликвидации последствий катастрофы

Установление целей аудита

Следующий шаг в проведении проверки корпоративного центра обработки данных происходит, когда аудитор излагает цели аудита центра обработки данных. Аудиторы рассматривают множество факторов, связанных с процедурами и деятельностью центра обработки данных, которые потенциально могут выявлять аудиторские риски в операционной среде, и оценивают существующие средства контроля, которые снижают эти риски. После тщательного тестирования и анализа аудитор может адекватно определить, поддерживает ли центр обработки данных надлежащий контроль и работает ли он эффективно и результативно.

Ниже приводится список целей, которые аудитор должен рассмотреть:

• Процедуры и обязанности персонала, включая системы и межфункциональное обучение
• Управление изменениями процессы внедрены и соблюдаются ИТ и управленческим персоналом
• Имеются соответствующие процедуры резервного копирования, чтобы минимизировать время простоя и предотвратить потерю важных данных.
• В центре обработки данных имеется адекватный контроль физической безопасности для предотвращения несанкционированного доступа к центру обработки данных.
• Для обеспечения защиты оборудования от пожара и затопления применяются соответствующие меры экологического контроля.

Выполнение обзора

Следующим шагом является сбор доказательств для достижения целей аудита центра обработки данных. Это включает в себя поездку к месту расположения центра обработки данных и наблюдение за процессами внутри центра обработки данных. Для достижения заранее определенных целей аудита необходимо провести следующие процедуры анализа:

• Персонал центра обработки данных - Весь персонал центра обработки данных должен иметь право доступа к центру обработки данных (карты-ключи, идентификаторы входа, безопасные пароли и т. Д.). Сотрудники центра обработки данных должным образом осведомлены об оборудовании центра обработки данных и правильно выполняют свою работу. Под наблюдением обслуживающего персонала поставщика осуществляется работа с оборудованием дата-центра. Аудитор должен наблюдать и опрашивать сотрудников центра обработки данных для достижения своих целей.
• Оборудование - Аудитор должен убедиться, что все оборудование центра обработки данных работает правильно и эффективно. Отчеты об использовании оборудования, проверка оборудования на предмет повреждений и функциональности, записи о простоях системы и измерения производительности оборудования - все это помогает аудитору определить состояние оборудования центра обработки данных. Кроме того, аудитор должен опросить сотрудников, чтобы определить, существует ли и выполняется ли политика профилактического обслуживания.
• Политики и процедуры. Все политики и процедуры центра обработки данных должны быть задокументированы и размещены в центре обработки данных. К важным документированным процедурам относятся: должностные обязанности персонала центра обработки данных, политики резервного копирования, политики безопасности, политики увольнения сотрудников, рабочие процедуры системы и обзор операционных систем.
• Физическая охрана / экологический контроль - Аудитор должен оценить безопасность центра обработки данных клиента. Физическая безопасность включает телохранителей, запертых клеток, ловушек для людей, одиночных входов, запертого оборудования и компьютерных систем наблюдения. Кроме того, должен быть установлен экологический контроль для обеспечения безопасности оборудования центра обработки данных. К ним относятся: кондиционеры, фальшполы, увлажнители и бесперебойный источник питания.
• Процедуры резервного копирования - аудитор должен убедиться, что у клиента есть процедуры резервного копирования на случай отказа системы. Клиенты могут поддерживать резервный центр обработки данных в отдельном месте, что позволяет им мгновенно продолжать операции в случае сбоя системы.

Выдача отчета об обзоре

Отчет о проверке центра обработки данных должен резюмировать выводы аудитора и быть похож по формату на стандартный отчет о проверке. Отчет о обзорной проверке должен быть датирован завершением аудиторского запроса и процедур. В нем следует указать, что повлекло за собой проверку, и пояснить, что проверка предоставляет только «ограниченную уверенность» третьим сторонам.

Кто проводит аудит

Как правило, аудит компьютерной безопасности проводится:

1. Федеральные или государственные регулирующие органы - сертифицированные бухгалтеры, CISA. Федеральные OTS, OCC, DOJ и т. Д.
2. Корпоративные внутренние аудиторы - сертифицированные бухгалтеры, CISA, сертифицированный специалист по интернет-аудиту (CIAP).^[1]
3. Внешние аудиторы - специализируются в областях, связанных с технологическим аудитом.
4. Консультанты - аутсорсинг технологического аудита там, где организации не хватает специализированных навыков.

Проверенные системы

Эта секция нужны дополнительные цитаты для проверка. Пожалуйста помоги улучшить эту статью к добавление цитат в надежные источники. Материал, не полученный от источника, может быть оспорен и удален Найдите источники: «Аудит информационной безопасности»  – Новости  · газеты  · книги  · ученый  · JSTOR (Июнь 2016) (Узнайте, как и когда удалить этот шаблон сообщения)

Сетевые уязвимости

• Перехват: Данные, передаваемые по сети, уязвимы для перехвата непреднамеренной третьей стороной, которая может использовать эти данные во вредных целях.
• Доступность: сети стали обширными, пересекая сотни или тысячи миль, и многие полагаются на них для доступа к информации компании, а потеря связи может вызвать прерывание бизнеса.
• Точка доступа / входа: сети уязвимы для нежелательного доступа. Слабое место в сети может сделать эту информацию доступной для злоумышленников. Он также может служить точкой входа для вирусов и троянских коней.^[2]

Управление

• Контроль перехвата: перехват можно частично предотвратить с помощью контроля физического доступа в центрах обработки данных и офисах, в том числе там, где заканчиваются каналы связи и где расположены сетевая проводка и распределительные устройства. Шифрование также помогает защитить беспроводные сети.
• Контроль доступности: лучший контроль для этого - отличная сетевая архитектура и мониторинг. Сеть должна иметь резервные пути между каждым ресурсом и точкой доступа и автоматическую маршрутизацию для переключения трафика на доступный путь без потери данных или времени.
• Элементы управления точкой доступа / входа: большинство элементов управления сетью размещаются в точке, где сеть соединяется с внешней сетью. Эти элементы управления ограничивают трафик, проходящий через сеть. Сюда могут входить брандмауэры, системы обнаружения вторжений и антивирусное программное обеспечение.

Аудитор должен задать определенные вопросы, чтобы лучше понять сеть и ее уязвимости. Аудитор должен сначала оценить размер сети и ее структуру. Сетевая диаграмма может помочь аудитору в этом процессе. Следующий вопрос, который должен задать аудитор, - какую важную информацию должна защищать эта сеть. В центре внимания обычно находятся такие вещи, как корпоративные системы, почтовые серверы, веб-серверы и хост-приложения, к которым имеют доступ клиенты. Также важно знать, у кого есть доступ и к каким частям. Есть ли у клиентов и поставщиков доступ к системам в сети? Могут ли сотрудники получить доступ к информации из дома? Наконец, аудитор должен оценить, как сеть связана с внешними сетями и как она защищена. Большинство сетей, по крайней мере, подключено к Интернету, что может быть уязвимым местом. Это важные вопросы для защиты сетей.

Шифрование и ИТ-аудит

При оценке потребности клиента во внедрении политик шифрования для своей организации Аудитор должен провести анализ риска клиента и ценности данных. Компании с несколькими внешними пользователями, приложениями электронной коммерции и конфиденциальной информацией о клиентах / сотрудниках должны поддерживать жесткие политики шифрования, направленные на шифрование правильных данных на соответствующем этапе процесса сбора данных.

Аудиторы должны постоянно оценивать политику и процедуры шифрования своих клиентов. Компании, которые сильно зависят от электронная коммерция системы и беспроводные сети чрезвычайно уязвимы для кражи и потери важной информации при передаче. Политики и процедуры должны быть задокументированы и выполняться для обеспечения защиты всех передаваемых данных.

Аудитор должен убедиться, что руководство имеет средства контроля над процессом управления шифрованием данных. Доступ к ключам должен требовать двойного контроля, ключи должны состоять из двух отдельных компонентов и должны храниться на компьютере, недоступном для программистов или внешних пользователей. Кроме того, руководство должно подтвердить, что политики шифрования обеспечивают защиту данных на желаемом уровне, и убедиться, что стоимость шифрования данных не превышает ценности самой информации. Все данные, которые требуется хранить в течение длительного времени, должны быть зашифрованы и транспортированы в удаленное место. Должны быть установлены процедуры, гарантирующие, что вся зашифрованная конфиденциальная информация будет доставлена ​​на свое место и будет храниться должным образом. Наконец, аудитор должен получить подтверждение от руководства, что система шифрования надежна, не подвержена атакам и соответствует всем местным и международным законам и правилам.

Логический аудит безопасности

Первый шаг в аудите любой системы - это попытаться понять ее компоненты и структуру. При аудите логическая безопасность Аудитор должен исследовать, какие меры безопасности существуют и как они работают. В частности, следующие области являются ключевыми при аудите логической безопасности:

• Пароли: Каждая компания должна иметь письменные правила относительно паролей и их использования сотрудниками. Пароли не должны разглашаться, и у сотрудников должны быть обязательные запланированные изменения. Сотрудники должны иметь права пользователя, соответствующие их должностным обязанностям. Они также должны знать о надлежащих процедурах входа / выхода. Также полезны маркеры безопасности, небольшие устройства, которые имеют авторизованные пользователи компьютерных программ или сетей для помощи в подтверждении личности. Они также могут хранить криптографические ключи и биометрические данные. Самый популярный тип токена безопасности (SecurID RSA) отображает число, которое меняется каждую минуту. Пользователи проходят аутентификацию путем ввода личного идентификационного номера и номера на токене.
• Процедуры увольнения: надлежащие процедуры увольнения, чтобы старые сотрудники больше не имели доступа к сети. Это можно сделать, изменив пароли и коды. Кроме того, все имеющиеся в обращении удостоверения личности и бейджи должны быть задокументированы и учтены.
• Специальные учетные записи пользователей: специальные учетные записи пользователей и другие привилегированные учетные записи должны контролироваться и иметь надлежащий контроль.
• Удаленный доступ: удаленный доступ часто является точкой, откуда злоумышленники могут проникнуть в систему. Инструменты логической безопасности, используемые для удаленного доступа, должны быть очень строгими. Удаленный доступ должен регистрироваться.

Специальные инструменты, используемые в сетевой безопасности

Сетевая безопасность достигается с помощью различных инструментов, включая брандмауэры и прокси-серверы, шифрование, логическая безопасность и контроль доступа, антивирусное программное обеспечение, а также системы аудита, такие как управление журналами.

Межсетевые экраны являются очень базовой частью сетевой безопасности. Их часто размещают между частной локальной сетью и Интернетом. Брандмауэры обеспечивают сквозной поток трафика, в котором он может быть аутентифицирован, отслеживаться, регистрироваться и сообщаться. К некоторым различным типам межсетевых экранов относятся: межсетевые экраны сетевого уровня, межсетевые экраны с экранированными подсетями, межсетевые экраны с фильтрами пакетов, межсетевые экраны с динамической фильтрацией пакетов, гибридные межсетевые экраны, прозрачные межсетевые экраны и межсетевые экраны на уровне приложений.

Процесс шифрования включает в себя преобразование простого текста в серию нечитаемых символов, известных как зашифрованный текст. Если зашифрованный текст украден или получен во время передачи, контент не может быть прочитан зрителем. Это гарантирует безопасная передача и чрезвычайно полезен для компаний, отправляющих / получающих важную информацию. После того, как зашифрованная информация поступает к предполагаемому получателю, запускается процесс дешифрования, чтобы восстановить зашифрованный текст обратно в открытый текст.

Прокси-серверы скрывают истинный адрес клиентской рабочей станции, а также могут действовать как межсетевой экран. Брандмауэры прокси-сервера имеют специальное программное обеспечение для обеспечения аутентификации. Межсетевые экраны прокси-сервера действуют как посредник для запросов пользователей.

Антивирусные программы, такие как McAfee и Symantec, обнаруживают и удаляют вредоносное содержимое. Эти программы защиты от вирусов запускают обновления в реальном времени, чтобы гарантировать получение самой последней информации об известных компьютерных вирусах.

Логическая безопасность включает средства защиты программного обеспечения для систем организации, включая доступ по идентификатору пользователя и паролю, аутентификацию, права доступа и уровни полномочий. Эти меры призваны гарантировать, что только авторизованные пользователи могут выполнять действия или получать доступ к информации в сети или на рабочей станции.

Системы аудита, отслеживание и запись того, что происходит в сети организации. Решения для управления журналами часто используются для централизованного сбора контрольных журналов из разнородных систем для анализа и криминалистической экспертизы. Управление журналами отлично подходит для отслеживания и идентификации неавторизованных пользователей, которые могут пытаться получить доступ к сети, а также для того, какие авторизованные пользователи получают доступ в сети, а также для изменения полномочий пользователей. Программное обеспечение, которое записывает и индексирует действия пользователя в оконных сеансах, например Соблюдайте обеспечить полный контрольный журнал действий пользователей при удаленном подключении через службы терминалов, Citrix и другое программное обеспечение для удаленного доступа.^[3]

По данным опроса 2006 г. среди 3243 человек. Nmap пользователи Insecure.Org,^[4] Несс, Wireshark, и Фырканье были одни из самых популярных инструментов сетевой безопасности. Согласно тому же опросу, BackTrack Live CD - это высший рейтинг аудита информационной безопасности и тестирование на проникновение распределение. Nessus - это удаленный сканер безопасности, который выполняет более 1200 проверок безопасности для Linux, BSD и Solaris. Wireshark анализирует сетевой протокол для Unix и Windows, а Snort - это система обнаружения вторжений, которая также поддерживает Microsoft Windows. Nessus, Wireshark и Snort бесплатны. Некоторые другие популярные продукты для сетевой безопасности включают OmniGuard, Guardian и LANGuard. Omniguard - это брандмауэр, как и Guardian, который также обеспечивает защиту от вирусов. LANGuard обеспечивает сетевой аудит, обнаружение вторжений и управление сетью. Для управления журналами решения от таких поставщиков, как SenSage и других, являются выбором для государственных учреждений и отраслей с жестким регулированием.

Поведенческий аудит

Уязвимости часто связаны не с техническими недостатками ИТ-систем организации, а скорее с индивидуальным поведением внутри организации. Простым примером этого является то, что пользователи оставляют свои компьютеры разблокированными или уязвимы для фишинг атаки. В результате тщательный аудит InfoSec часто включает тест на проникновение в котором аудиторы пытаются получить доступ к как можно большей части системы, как с точки зрения обычного сотрудника, так и со стороны.^[5]

Аудиты обеспечения систем и процессов объединяют элементы ИТ-инфраструктуры и аудита приложений / информационной безопасности и используют различные средства контроля в таких категориях, как полнота, точность, достоверность (V) и ограниченный доступ (CAVR).^[6]

Аудит безопасности приложений

Безопасность приложений

Безопасность приложений сосредоточена на трех основных функциях:

• Программирование
• Обработка
• Доступ

Когда дело доходит до программирования, важно обеспечить надлежащую физическую защиту и защиту паролем серверов и мэйнфреймов для разработки и обновления ключевых систем. Безопасность физического доступа в вашем Дата центр или офиса, такие как электронные бейджи и устройства считывания бейджей, охранники, узкие проходы и камеры видеонаблюдения, жизненно важны для обеспечения безопасности ваших приложений и данных. Тогда вам необходимо обеспечить безопасность изменений в системе. Обычно это связано с надлежащим безопасным доступом для внесения изменений и наличием надлежащих процедур авторизации для протягивания программных изменений от разработки до тестирования и, наконец, в производство.

При обработке важно, чтобы выполнялись процедуры и мониторинг нескольких различных аспектов, таких как ввод фальсифицированных или ошибочных данных, неполная обработка, повторяющиеся транзакции и несвоевременная обработка. Обеспечение того, чтобы входные данные проверялись случайным образом или что вся обработка имела надлежащее одобрение, - это способ гарантировать это. Важно иметь возможность идентифицировать незавершенную обработку и гарантировать наличие надлежащих процедур для ее завершения или удаления из системы, если она была ошибочной. Также должны быть процедуры для выявления и исправления повторяющихся записей. Наконец, когда дело доходит до обработки, которая не выполняется своевременно, вы должны отследить связанные данные, чтобы увидеть, откуда исходит задержка, и определить, создает ли эта задержка какие-либо проблемы контроля.

Наконец, доступ, важно понимать, что поддержание сетевая безопасность Защита от несанкционированного доступа является одним из основных приоритетов компаний, поскольку угрозы могут исходить из нескольких источников. Сначала у вас есть внутренний несанкционированный доступ. Очень важно иметь пароли доступа к системе, которые необходимо регулярно менять, и чтобы был способ отслеживать доступ и изменения, чтобы вы могли определить, кто какие изменения внес. Все действия должны регистрироваться. Вторая область, о которой нужно беспокоиться, - это удаленный доступ, когда люди получают доступ к вашей системе извне через Интернет. Настройка брандмауэров и защиты паролем для изменения данных в режиме онлайн является ключом к защите от несанкционированного удаленного доступа. Один из способов определить слабые места в системе контроля доступа - это ввести хакер чтобы попытаться взломать вашу систему, либо проникнув в здание и используя внутренний терминал, либо взломав извне через удаленный доступ.

Распределение обязанностей

Когда у вас есть функция, которая имеет дело с входящими или исходящими деньгами, очень важно убедиться, что обязанности разделены, чтобы минимизировать и, надеюсь, предотвратить мошенничество. Один из ключевых способов обеспечения правильного распределение обязанностей (SoD) с точки зрения системы - это проверка разрешений доступа отдельных лиц. Некоторые системы, такие как SAP утверждают, что имеют возможность выполнять тесты SoD, но предоставляемая функциональность является элементарной, требует создания очень трудоемких запросов и ограничена уровнем транзакции только с небольшим использованием или без использования значений объекта или поля, назначенных пользователю через транзакцию, которая часто приводит к неверным результатам. Для сложных систем, таких как SAP, часто предпочитают использовать инструменты, разработанные специально для оценки и анализа конфликтов SoD и других типов системной активности. Для других систем или для нескольких системных форматов вы должны отслеживать, какие пользователи могут иметь доступ суперпользователя к системе, предоставляя им неограниченный доступ ко всем аспектам системы. Кроме того, разработка матрицы для всех функций с выделением точек, где необходимо распределение обязанностей была нарушена, поможет выявить потенциальные существенные недостатки путем перекрестной проверки доступных доступов каждого сотрудника. Это так же важно, если не больше, как для разработки, так и для производства. Обеспечение того, чтобы люди, которые разрабатывают программы, не были уполномочены запускать их в производственную среду, является ключом к предотвращению несанкционированных программ в производственной среде, где они могут быть использованы для совершения мошенничества.

Резюме

По большому счету, две концепции безопасности приложений и распределение обязанностей оба во многом связаны, и у них обоих одна цель - защитить целостность данных компаний и предотвратить мошенничество. Что касается безопасности приложений, это связано с предотвращением несанкционированного доступа к аппаратному и программному обеспечению за счет наличия надлежащих мер безопасности, как физических, так и электронных. При разделении обязанностей это в первую очередь физическая проверка доступа отдельных лиц к системам и обработке данных и обеспечение отсутствия дублирования, которое может привести к мошенничеству.

Смотрите также

• Компьютерная безопасность
• Защитные вычисления
• Директива 95/46 / EC о защите личных данных (Евросоюз )
• Этичный взлом
• Информационная безопасность
• Тест на проникновение
• Нарушение безопасности

Рекомендации

Библиография

• Гальегос, Фредерик; Сенфт, Сандра; Мэнсон, Дэниел П .; Гонсалес, Кэрол (2004). Технологический контроль и аудит (2-е изд.). Публикации Ауэрбаха. ISBN  0-8493-2032-1.

внешняя ссылка

• Изучение центров обработки данных
• Сетевой аудит
• Проект OpenXDAS
• Ассоциация информационных систем и контроля аудита (ISACA)
• Институт внутренних аудиторов