Bezpečnostný audit v informačnej bezpečnosti

Informačná bezpečnosť

Pojem informačnej bezpečnosti

Informačná bezpečnosť nebola v minulosti téma, o ktorú by sa ľudia zaujímali. Nakoľko nebolo veľa informácií, ktoré by potrebovali chrániť a neexistovali útoky, pred ktorými by sa bolo treba chrániť. Samozrejme existovala určitá hranica ochrany údajov, predovšetkým však v papierovej podobe. Tieto dokumenty boli chránené sejfmi a to bolo považované za dostatočnú ochranu.
Informačná bezpečnosť bola skôr chápaná ako ochrana hardwaru, nie ako ochrana dát a softwaru. Postupne však začali ľudia chápať, že je dôležité udržať si určité súkromie a informácie v bezpečí. A preto sa začala informačná bezpečnosť chápať inak.

Ciele informačnej bezpečnosti

Informačnú bezpečnosť charakterizuje zachovanie troch základných cieľov:

  • Zachovanie dostupnosti znamená, že informácie, ku ktorým majú prístup autorizované osoby budú prístupné vtedy, keď ich potrebujú.
  • Zachovanie dôvernosti značí, že dáta budú sprístupnené len osobám, ktoré sú k tomu autorizované.
  • Zachovanie integrity znamená, že informácie budú dostupné kompletné a úplné.

Pojem bezpečnostnej politiky

Dôležitou súčasťou celej informačnej bezpečnosti podniku je bezpečnostná politika. Tento pojem zahŕňa tri základné skupiny: Analýzu rizík, bezpečnostný audit a zabezpečenie kontinuity funkcií.

Každý podnik má systémovú bezpečnostnú politiku. Je to dokument, v ktorom popisuje bezpečnostné praktiky využívané v spoločnosti. Je to súbor pravidiel a zákonov, ktoré popisujú ako sa citlivá informácia spoločnosti distribuuje, spravuje a ochraňuje.

Základné časti bezpečnostnej analýzy a riadenia rizík

Bezpečnostná analýza a riadenie rizík prebieha v piatich základných častiach: Zber údajov a Bezpečnostné praktiky, Profily hrozieb, Kontrola kritických aktív, Analýza rizík a Riadenie rizík.

  • Proces zberu údajov prebieha spoznaním firmy, aby bolo možné vytýčiť aktíva, ktoré budú neskôr rozdelené do viacerých skupín. Základné delenie aktív je na hmotné a nehmotné, nakoľko sa najľahšie určí o aké aktíva ide.

    Ďalšie delenia sa vytvárajú už na základe spoznaných aktív, na ich spoločných znakoch a podobnostiach.

  • Proces bezpečnostných praktík popisuje prepojenie rozdelenia aktív so štandardami ISO 27001, ISO17799 a BS7799.
  • Ďalšou časťou bezpečnostnej analýzy sú profily hrozieb. V tejto časti sa určujú kritické aktíva s prihliadnutím na danú firmu a pre ňu najdôležitejšie aktíva – kritické aktíva. Sú to aktíva, ktoré sú v najväčšom ohrození, a ak by prišlo ku bezpečnostnému incidentu ohrozí to chod, reputáciu alebo zabezpečenie firmy, jej produktov alebo zamestnancov. Zároveň sa pri každom kritickom aktíve určí cieľ, ktorý má byť bezpečnostne dosiahnutý. To znamená, určí sa úroveň dosiahnutia integrity, dôvernosti alebo dostupnosti.
  • Štvrtým krokom je kontrola kritických aktív, pri ktorej sa urobí dekompozícia kritických aktív a následne spätná kompozícia. Dekompozícia sa robí tak, že sa ku kritickému aktívu priradia podsystémy, s ktorými dané aktívum pracuje, úložisko, na ktorom, alebo v ktorom, je aktívum uložené. Priradí sa výkonná jednotka, ktorá aktívum spracováva, alebo ktorá má toto aktívum v správe. Ku aktívu sa v dekompozícii napíšu aj prístupy. To znamená, ktorí zamestnanci majú k danému aktívu prístup. V poznámke sa uvedú ďalšie relevantné skutočnosti, ktoré by mohli ovplyvniť pohľad na toto aktívum.

    Následná spätná kompozícia prebieha tak, že sa ku kritickým aktívam priradia komponenty, ktoré sú potrebné na ich beh alebo na ich zabezpečenie. Tieto komponenty sa neskôr pridelia ku jednotlivým aktívam. Týmto vzniknú určité relácie a vzťahy medzi danými kritickými aktívami. Vďaka spätnej kompozícii sa môžu vyhodiť tie komponenty, ktoré nebudú priradené k žiadnemu kritickému aktívu, a teda, v analýze nemajú čo robiť.
    To či boli kritické aktíva vybrané správne sa dozvieme, ak je v spätnej kompozícii každý komponent pridelený ku nejakému kritickému aktívu.

  • Ďalšou časťou je analýza rizík, resp. analýza hrozieb daných rizík. Je jednou z najhlavnejších častí celej tejto práce. V tejto časti sa musia rozanalyzovať hrozby pri daných rizikách. Analýza rizík sa robí kvalitatívnym ohodnotením kritérií, ktoré sa ohodnotia dotazníkom. Keďže nie každé aktívum je možné ohodnotiť finančne, pretože nie každé predstavuje finančnú stratu, nemôžeme vytvorené kritériá hodnotiť kvantitatívne.
  • Posledná časť je riadenie rizík. V tejto časti sa zaznamenajú bezpečnostné praktiky zadefinované z druhej časti, kde sa bližšie určí, na ktoré hrozby tieto praktiky vplývajú, a teda, na ktoré hrozby sa môžu dané bezpečnostné praktiky použiť.

Typy dopadov pri analýze rizík

Vypracuje sa niekoľko kritérií (pohľadov) na aktíva. Pre každé z kritérií sa určia 2-3 situácie, ktoré môžu nastať. Určí sa pre každú situáciu typ dopadu, ktorý môže nastať. Typ dopadu môže byť malý, stredný alebo veľký.

  • Malý dopad je taký dopad, ktorý keď nastane, firma dokáže prežiť bez väčšej ujmy na trhu, alebo ujmy finančnej.
  • Stredný dopad je taký dopad, ktorý keď nastane, firma môže mať určité problémy, môže byť stratová, ale na trhu sa udrží.
  • Veľký dopad je taký dopad, ktorý keď nastane, firma bude mať veľké existenčné problémy, ktoré môžu znamenať jej zánik.

Akceptačná tabuľka

Zároveň sa tu vytvára akceptačná tabuľka, v ktorej rozpíšeme hodnoty rizík, ktoré nám vyšli a ku každej hodnote a ku každej hrozbe napíšeme, či dané riziko akceptujeme, transformujeme alebo eliminujeme.

  • Akceptovať riziko znamená, že toto riziko vezmeme na vedomie a nič s ním nespravíme. Tento proces sa odporúča pri hrozbách s nízkym rizikom, prípadne pri hrozbách, ktoré nám až tak nevadia. Akceptácia rizika je z pohľadu procesu najjednoduchšia a finančne nenáročná. Avšak zabezpečenie firmy ostáva na rovnakej úrovni.
  • Transformovať riziko znamená, že toto riziko presunieme na niekoho iného, kto bude za danú hrozbu zodpovedný. Napríklad to znamená, že hrozbu zlyhanie aplikačného a programového vybavenia transformujeme na externú IT firmu, ktorá sa stará o IT infraštruktúru. Transformovanie rizika je pre firmu finančne náročné, nakoľko výdavky, ktoré vznikajú, sú na zaplatenie externej firmy a jej výdavkov. Je to pohodlná cesta pre firmu, ktorá napríklad nechce vytvárať nové oddelenia. Je však diskutabilné, či si firma vyberie tú správnu externú firmu a so zaplatenými výdavkami dostane aj požadovanú kvalitu.
  • Eliminovať riziko znamená, že sa pokúsime zvýšiť zabezpečenie firmy natoľko, že toto riziko absolútne eliminujeme, a teda odstránime. Je to účinný proces na zvýšenie zabezpečenia firmy, avšak je aj finančne náročný. Myslím si však, že je tento proces menej náročný ako transformácia rizika, nakoľko netreba platiť celú externú firmu, ale napríklad len jedného nového zamestnanca, prípadne nejakých brigádnikov. Elimináciou zvyšujeme zabezpečenie firmy.
  • Bezpečnostný audit

    Bezpečnostný audit je teda zameraný najmä na ohodnotenie rizík straty, kompromitovania alebo zničenia informácií. Vypracovaním bezpečnostného auditu odhalíte nedostatky systému zabezpečenia vášho objektu. Výsledkom auditu je návrh opatrení na elimináciu bezpečnostných rizík. Klient, ktorý sa rozhodne pre bezpečnostný audit ušetrí množstvo finančných prostriedkov na vedenie bezpečnosti v budove a k tomu zefektívni celkové zabezpečenie celého objektu.

    Typy bezpečnostných auditov

    Existuje veľa rôznych druhov bezpečnostných auditov, zameraných na iný typ bezpečnosti, prípadne zabezpečenia. Bezpečnostné audity sa delia na 4 hlavné skupiny. Tými skupinami sú externý, interný, procesný a personálny audit.

    Externý audit

    Do tejto skupiny patrí vonkajšia ochrana objektu ako napríklad:

    • oplotenie (stav a doplnenie)
    • vrátnica (evidencia vstupov)
    • vonkajší areál (uloženie hnuteľných vecí)
    • systém obchôdzok
    • kontrola záznamov a monitoring vstupov do areálu
    • bezpečnostné zariadenia a systémy vonkajšej elektronickej ochrany
    • mobilná kontrola (napr. zásahové vozidlá)

    Oplotenie:
    Tento audit sa zameriava na aktuálne oplotenie areálu, či vôbec nejaké je, v akom je stave, návrhy ako by sa dala zvýšiť bezpečnosť.

    Vrátnica:
    Zameriava sa na umiestnenie vrátnice, zabezpečenie vrátnice a záznamy, ktoré sa na vrátnici robia a na personál vrátnice.

    Systém obchôdzok:
    Audit zameraný na systém obchôdzok strážnej služby, trasy strážnikov, cykly obchôdzok a podobne.

    Kontrola záznamov a monitoring vstupov do areálu:
    Kontrola procesov vyhotovenia záznamov, ukladania záznamov kamier, možnosti narušenia bezpečnosti kamerových záznamov.

    Bezpečnostné zariadenia a systémy vonkajšej elektronickej ochrany:
    Kontrola implementácie kamerových systémov, rozmiestnenie kamier, otáčanie kamier, záznamy kamier, atď.

    Interný audit

    Táto skupina je rozsiahlejšia oproti externému auditu a často krát sa jej kladie väčší dôraz. Patrí sem napríklad:

    • uloženie a zaistenie dokumentov
    • recepcia (evidencia, overenie totožnosti, atď.)
    • príjem a výdaj tovaru
    • stredisko monitoringu (požiarne hlásiče, technický monitoring)
    • osobná kontrola
    • riadenie informačnej bezpečnosti
    • konfigurácia zariadení
    • penetračné testovanie
    • bezpečnosť drôtovej / bezdrôtovej siete
    • čipové karty
    • zabezpečovanie aplikácii
    • audit kompilovaného kódu
    • audit serverov
    • audit zdrojového kódu
    • audit podľa legislatívy
    • atď.

    Uloženie a zaistenie dokumentov:
    Audit zameraný na systém ukladania a zaisťovania papierových dokumentov organizácie a prípadné možnosti narušenia ochrany a zneužitie dokumentov.
    Stredisko monitoringu:

    Skúmanie rozmiestnenia požiarnych hlásičov po budove a areáli, prístup k nim a skúška funkcie všetkých hlásičov.

    Osobná kontrola:
    Overenie vykonávania osobnej kontroly pri príchode alebo odchode zamestnanca z areálu z dôvodu odcudzovania informácii alebo materiálu.

    Konfigurácia zariadení:
    Audit zameraný na zisťovanie konfigurácie všetkých zariadení a skúmanie možnosti úniku informácii z organizácie, prípadne možnosti narušenia bezpečnosti zariadení alebo bezpečnosti informačného systému pomocou zariadení.

    Penetračné testovanie:
    Audit zameraný na testovanie penetrácie systémov, teda zabezpečenia a prípadného narušenia bezpečnosti pomocou záťažových útokov na informačný systém ako napríklad DDoS útoky a podobne.

    Bezpečnosť drôtovej / bezdrôtovej siete:
    Overenie zabezpečenia interných sietí, možnosti získania prístupu do siete a následné možnosti zneužitia prieniku ako napríklad prístup k citlivým informáciám.

    Čipové karty:
    Analýza implementácie čipových kariet, vytváranie záznamov, účely použitia kariet.

    Audit kompilovaného kódu:
    Audit zameraný na testovanie kódu a možnosti zneužitia neoverených vstupov do aplikácie a tým získanie citlivých dát.

    Audit serverov:
    Hĺbková analýza pamäti, aplikácii, súborového systému, zálohovania, prístupových práv.

    Audit podľa legislatívy:
    Vykonanie iba základného povinného auditu, ktorý je potrebný podľa legislatívy.

    Procesný audit

    Audity tejto skupiny sa zameriavajú na prebiehajúce procesy spoločnosti, ako napríklad:

    • správnosť terajších postupov
    • autorizácia smerníc
    • evidencia a obeh dokladov
    • systémovosť práce dozoru a kontrolného systému
    • popis zdrojov strát
    • popis stavu a nedostatkov

    Správnosť terajších postupov:
    Analýza aktuálnych postupov pri zálohovaní údajov, nahrávania na server, riadenia prístupu k informáciám a podobne.

    Autorizácia smerníc:
    Analýza vydávania a overovania pravosti smerníc a vydavateľov smerníc.

    Evidencia a obeh dokladov:
    Audit zameraný na skúmanie systému obehu a evidencie dokladov, prípadne dokumentov v organizácii, či sa vôbec vykonávajú záznamy prístupov k dokumentov, ich aktuálnej polohe a pod.

    Personálny audit

    Táto skupina sa zameriava na personál spoločnosti a nimi vykonávané činnosti. Napr.:

    • personálna previerka osôb (bezúhonnosť, kariéra)
    • popis charakteru a kvality práce na jednotlivých oddeleniach
    • väzby na pracoviskách
    • sociálne inžinierstvo

    Personálna previerka osôb:
    Analýza postupov prijatia nových zamestnancov, hĺbka skúmania osobnosti ľudí, zisťovanie ich minulosti atď.

    Popis charakteru a kvality práce na jednotlivých oddeleniach:
    Skúmanie aktuálneho stavu kvality práce a následné zlepšenie kvality prípadne charakteru práce, zefektívnenie práce.

    Väzby na pracoviskách:
    Skúmanie prepojení jednotlivých pracovísk, či už v rámci budovy alebo v rámci viacerých prevádzok a prípadné navrhnutie vylepšení a tým dosiahnutie vyššej výkonnosti a spokojnosti ako zamestnávateľa, tak aj zamestnancov.

    Sociálne inžinierstvo:
    Previerka zamestnancov, do akej miery sú schopní rozoznať, že ide o sociálne inžinierstvo a teda neposkytnú údaje cudzej osobe. V prípade poskytnutia potrebných údajov, overenie činnosti zamestnancov pri poskytovaní týchto informácii, zapísanie záznamu o poskytnutí informácii atď.

    Použité zdroje: