Komplex Információbiztonsági Rendszer szállítójaInformatikai audit és kockázat elemzés alapok
Az informatikai audit és kockázat elemzés programjának egyes lépései az alábbiak:
- IT struktúra vizsgálata Az elemzés során összegyűjtésre kerül a további lépésekhez szükséges valamennyi információ, az alábbi lépésekben:
- Hálózati térkép áttekintése, aktualizálása A hálózati térképen feltüntetésre kerül valamennyi helyszín, IT alkalmazás, IT rendszer, külső és belső adatkapcsolat, a kapcsolat típusa, az adatkapcsolatok sebessége és az adatátviteli protokollok.
- A hálózati térkép egyszerűsítése Az azonos ill. hasonló IT értékek csoportosítása következik, azaz amelyek azonos konfigurációval rendelkeznek, azonos módon kapcsolódnak a hálózathoz, azonos adminisztrációs és infrastrukturális környezettel rendelkeznek, azonos alkalmazást futtatnak.
- Információgyűjtés az IT rendszerekről Az információgyűjtés során az IT rendszerek alatt a hardver rendszereket (elemeket) valamint az aktív hálózati eszközöket értjük, és a technikai környezetre vonatkoztatunk. Az egyes rendszereket nem bontjuk elemeire (monitor, billentyűzet, diszk, memória stb.), hanem rendszer szinten kezeljük őket, mint pl. szerver, munkaállomás, távoli terminal stb.
- Információgyűjtés az egyes alkalmazásokról Az egyes alkalmazások adatai között fel kell tüntetni a kapcsolódó alkalmazások neveit, valamint fel kell jegyezni, hogy milyen személyes adatokat tartalmaznak.
- A védelmi követelmények meghatározása A stratégia kialakításának legnehezebb és egyben a legfontosabb lépése következik. Meg kell határozni, hogy az egyes adatcsoportok és az IT rendszerek milyen szintű védelmet igényelnek a három alap sérülés ellen, azaz mennyire érzékenyek a
- bizalmasság
- az integritás (sértetlenség, funkcionalitás)
- és a rendelkezésre állás
- A védelmi követelmény kategóriák felállítása A védelmi követelmények megállapítása minden esetben a Megrendelővel szorosan együtt történhet. Általában az alábbi három védelmi követelmény kategória felállítását használjuk, ezeket javasoljuk a Megrendelőnek. Több kategória felállításának igénye esetén mérlegelni kell, hogy az eljárás bonyolultabbá válása meghozza-e a kívánt többlet eredményt.
- alap alacsony-közepes) a közvetlen veszteség és a negatív hatás nagysága korlátozott, nem jelentős
- fokozott (magas) a közvetlen veszteség és a negatív hatás nagysága jelentős gazdasági veszteséget okoz
- kiemelt (nagyon magas) a közvetlen veszteség és a negatív hatás olyan mértékű, amely veszélyezteti a további működést.
- törvényi előírások megszegése
- személyes adatok/jogok sérülése
- személyi sérülések
- a szolgáltatás teljesítményének a sérülése
- hírnév, külső kapcsolatok romlása
- pénzügyi következmények
- A védelmi követelmény kategóriák testre szabása Elképzelhető, hogy egyes esetekben vannak olyan káresemények is, amelyek a fenti felsorolás hat pontjában nem szerepelnek, ekkor azokat megfelelően ki kell egészíteni. Ezeknél a károknál minden egyes esetre meg kell határozni a határvonalat az alap (alacsony-közepes), fokozott (magas), kiemelt (nagyon magas) kategóriákra.
- Az IT rendszerek védelmi követelményeinek a meghatározása Az előzőekben kialakított védelmi kategóriákba be kell sorolni az egyes IT rendszereket. Az IT rendszerek védelmi követelményeinek a meghatározásához az érintett IT alkalmazások védelmi követelményeit kell alapul venni (és ezekből származtatni) az alábbi alapelvek figyelembe vételével:
- Maximum elv: az alkalmazások közül a legnagyobb védelmi kategóriájút kell figyelembe venni,
- Függőségi elv: a rendszeren futó alkalmazások eredményeit felhasználó alkalmazások közül a legmagasabb védelmi követelmény kategóriája határozza meg a rendszer védelmi kategóriáját,
- Kumulatív elv: amennyiben több alkalmazás fut a rendszeren, az alkalmazások sérüléseiből származó károk összeadódnak.
- A hálózati kapcsolatok védelmi követelményeinek a meghatározása A hálózati kapcsolatokat a védelmi követelményeik alapján két osztályba soroljuk:
- alap (normál)
- kiemelt (kritikus)
- az adat kikerül a vállalati hálózatról nyilvános, vagy nem a vállalat által kontrollált hálózatra
- az adat fokozott (magas) vagy kiemelt (nagyon magas) védelmi kategóriába (osztályba) sorolódik
- Az IT környezet védelmi követelményeinek a meghatározása Az IT rendszerek védelmi követelményei alapján, azokból származtatva meghatározásra kerülnek az IT rendszerekkel érintett helyiségek, épületek védelmi követelményei. A védelmi követelményeket dokumentáljuk.
- Az informatikai kockázatok elemzése A kockázat elemzés célja a kockázat mértékének meghatározása az IT rendszert fenyegető minden egyes veszély:
- a bizalmasság elvesztése
- a sértetlenség elvesztése
- a rendelkezésre állás elvesztése
- A vagyonelemek értékelését. A mennyiségi értékelésnél a költségeket átkonvertáljuk minőségi skálára.
- Minden egyes fenyegetésnél és vagyon csoportnál, amelyet a fenyegetés érint, megbecsüljük a fenyegetés és sérülékenység mértékét. Így határozhatjuk meg a fenyegetettség, valamint a sérülékenység fokát – a magastól az alacsony szintig -, hasonlóképpen a sérülékenység szintjét különbséget téve a következmények szerint.
- A fenyegetés lehet természeti, vagy emberi eredetű, lehet véletlen, vagy szándékos. Mindegyiket azonosítjuk és előfordulásának valószínűségét megfelelően besoroljuk.
- A sérülékenység jelenti a fizikai környezet, szervezet, eljárások, személyzet, menedzsment, ügyirat-kezelés, hardver, szoftver, vagy kommunikációs berendezések gyöngeségeit, amellyel valamilyen fenyegetés visszaélhet. A sérülékenység önmagában nem veszélyes, amíg nincs fenyegetés ellene. Rosszul implementált, vagy rosszul működő védelem pl. önmagában is sérülékenységet jelent. A sérülékenységet mindenegyes fenyegetettség szempontjából külön értékeljük.
- A vagyoni értékeket, a fenyegetettség és sérülékenység értékeit – minden egyes következmény fajtára vonatkozóan – mátrixban párosítjuk, minden kombinációtípushoz hozzárendelve a megfelelő kockázati mértéket egy célszerűen 1-5-ig terjedő skálán. Az értékek a mátrixban strukturálva találhatók meg.
- Minden vagyoni elemhez hozzárendelünk egy sérülékenységet és egy annak megfelelő fenyegetést. Ha a sérülékenységhez nem tartozik fenyegetés, vagy a fenyegetéshez nem tartozik gyengeség (veszélyeztetettség), akkor nincs kockázat, de ebben az esetben is figyelni kell az esetleges változásokat.
- A kapott értékek alapján lehetővé válik a kockázatok mértékének és sorrendjének meghatározása. A kockázat elemzés elvégzésénél figyelembe vesszük a Társaság jelenlegi informatikai biztonsági kontrolljait, amelyet az adatgyűjtési projekt fázis során mérünk fel.
- A kockázat elemzés részeként javaslatot adunk a hiányzó kontrollok bevezetésére, a javaslati anyagunkban táblázatos formában (is) megadjuk az egyes kontrollok bevezetési feltételeit valamint a bevezetés és fenntartás becsült anyagi ráfordítás vonzatait is, amelyek beruházási és költség tényezőkből állnak.
Az IT rendszerekről összegyűjtött adatok tartalmazzák a platform adatokat (hardver és operációs rendszer), a rendszer üzemeltetési státuszát (éles, teszt, fejlesztői), valamint az üzemeltető szervezet nevét.
Védelmi követelmény kategóriák
Ezen felül figyelembe kell venni a cégre/szervezetre vonatkozó egyéni körülményeket is. Egy 200.000 Euró-s veszteség egy nagy cégnél elfogadható lehet, míg egy kisebb szervezetnél akár 10.000 Euró-s veszteséget is nehéz túlélni. Ezért célszerű a határvonalakat a teljes forgalom, profit, vagy IT költségvetés arányában kifejezni.
Hasonló megfontolásokra van szükség a rendelkezésre állás követelményeivel kapcsolatban is. Például egyes szervezeteknél a 24 óra teljes leállási idő még elfogadható lehet, de ha gyakran pl. hetente többször ismétlődik, akkor összességében ez már nem tolerálható, máshol 1-2 óra sem tolerálható.
A kockázatbecslés eredménye a kockázat mértéke az IT rendszert fenyegető mindenegyes veszély esetén. A kockázat mértéke alapján eldönthető, hogy mely kockázattal foglalkozzunk elsőként a védelem kiválasztásakor.
Az elemzéshez elvégezzük:
