2. Saugumo auditas: kas tai?
• Saugumo auditas – tai sistemingas duomenų
apie esamą informacinio saugumo užtikrinimo
situaciją objektuose, veiksmuose ir įvykiuose,
egzistuojančiuose tikrinamoje informacinėje
infrastruktūroje rinkimas, analizė ir atitikties
nustatytiems kriterijams įvertinimas
• Paprasčiau tariant...
3. Saugumo audito tikslas
• Informacinės saugos užtikrinimo procesų tyrimas
sistemose, dirbančiose pagal tiesioginę paskirtį –
vartotojų poreikių tenkinimą
• Sistema tai - konkreti aplikacija, konkretus
serveris ar jų grupė, visa įmonė ir t.t.
4. Šiuolaikinių informacinių sistemų savybės
• Vyksta daug procesų ir situacijų, kurių kontekstas
ir parametrai nebūtinai tinkamai fiksuojami ir
aprašomi
• Pažeidžiamumų, leidžiančių apeiti
egzistuojančius saugumo apribojimus skaičius
nuolat auga
• Informacinio saugumo užtikrinimas suvedamas į
tam tikrą produktų rinkinį
5. Saugumo auditas: realybė
• Saugumo auditas – tai SVARBU
• Saugumo auditas – tai REIKALINGA
• Saugumo auditas – tai NAUDINGA
6. Tai svarbu, nes:
• Ekonominiai nuostoliai dėl IT saugumo
pažeidimų nuolat sparčiai auga
• Informacijos apsaugai skirtų priemonių rinka
vystosi nevisuomet aiškia kryptimi: ko gi iš tiesų
reikia?
• Mums yra reikalingas atsakymas į klausimą: Kas
yra gerai, o kas yra blogai?
7. Tai reikalinga, nes:
• Tik nepriklausoma ekspertizė gali parodyti
objektyvią informacinio saugumo užtikrinimo
priemonių būklę
• Reikia įvertinti visus informacijos apsaugos
aspektus ir nustatyti jų sąryšius
• IT saugumo modelio pažeidimai yra latentiški,
todėl geriau vykdyti prevenciją nei šalinti
pasekmes
8. Tai naudinga, nes:
• Atsiranda informacijos saugumo užtikrinimo
strategija, atitinkanti realią situaciją
• Atsiranda galimybė surasti balansą tarp
organizacinių ir techninių IT saugumo
sudedamųjų dalių
• Išlaidos auditui atsiperka ateityje dėl IT saugumo
užtikrinimo optimizacijos
9. Saugumo auditas: mitai
• Saugumo auditas – tai ISO 17799 standartas
• Saugumo auditas – tai ISO 15408 standartas
• Saugumo auditas – tai automatinis skenavimas ir
atakų aptikimas
10. Mitas Nr 1: Standartas ISO 17799
• ISO 17799 labiau reikalingas informacinio
saugumo užtikrinimo vadybos lygio įvertinimui,
kadangi:
• Yra galimybė įvertinti tik informacijos apsaugos
valdymo būklę
• Neleidžia realiai įvertinti sistemų apsaugos lygio
• Lieka neišspręstas klausimas: ar pakanka esamų
priemonių ir kiek efektyviai jos veikia?
11. Mitas Nr 2: Standartas ISO 15408
• ISO 15408 galima taikyti sudarant reikalavimus
informacijos apsaugai ir vertinant apsaugos priemones,
kadangi:
• Numatyta tik reikalavimų produktams ar technologijoms
formavimo metodika
• Reikalauja “saugumo profilio” ir “saugumo užduočių”
sukūrimo norint įvertinti saugumo funkcijų realizacijos
taisyklingumą
• Lieka neišspręstas klausimas: ar visos realios grėsmės
nagrinėjamame objekte yra įvertintos ir gali būti
pašalintos?
12. Mitas Nr 3: Automatinis skenavimas
• Praverčia palaikant norimą saugumo būklę,
tačiau to neužtenka:
• Automatizuoti skeneriai klysta
• Automatizuoti sprendimai negali išspręsti
loginių ar “žmogiškųjų” klausimų
• Lieka neišspręstas klausimas: jei skenavimo metu
nebuvo aptikta jokių pažeidžiamumų, tai jų išties
nėra?
13. Saugumo auditų tipai
• Procedūrinis saugumo auditas (organizacijos
atitikimas ISO-xxxxx)
• Technologinis saugumo auditas
• Įsibrovimo testas + kompleksinis saugumo
auditas
• Planinis saugumo įvertinimas (kontrolinis
auditas)
14. Kiek galima (reikia) išleisti saugumo auditui?
• Saugumo auditas – tai prevencinė priemonė (pvz.
draudimas), neturinti tiesioginės investicijų grąžos
• Tačiau yra netiesioginė nauda – esamos situacijos
pagerinimas, rizikos sumažinimas, aiški saugumo
užtikrinimo strategija ir t.t.
• Vieni sako, jog reikia išleisti 2-5% nuo galimos žalos, kiti
teigia, jog 10-15% IT biudžeto. Tretiems saugumo
nereikia. Įvertinti padėtį yra sudėtinga – universalios
formulės čia nėra, o spręsti vis tiek Jums.
15. Ačiū!
Miroslav Lučinskij
miroslav.lucinskij@critical.lt
http://corporate.critical.lt | http://www.critical.lt