Audyt  bezpieczeństwa systemu informatycznego (wewnętrzny).

 

Kompleksowa usługa, w ramach której poddawane są ocenie i weryfikacji wszelkie aspekty związane z zarządzaniem bezpieczeństwem organizacji; zarówno aspekty formalno – proceduralne jak i techniczne. Usługa wykonywana jest w kontekście dostępu wewnętrznego do analizowanych zasobów informacyjnych i technicznych. W wyniku jej wykonania powstaje szczegółowa dokumentacja poaudytowa zawierająca m.in. zalecenia dotyczące możliwych do wprowadzenia ulepszeń.

 

CZĘŚĆ I: Audyt polityki bezpieczeństwa (wg. metodyki MARION)

Część proceduralno-organizacyjna.

RODZAJ PRAC

OPIS

Prace wstępne

  1. Wstępna specyfikacja infrastruktury informatycznej organizacji
  2. Wstępna specyfikacja zastosowanych zabezpieczeń

Audyt koncepcji i założeń

  1. Ocena założeń koncepcyjnych stosowanych zabezpieczeń
  2. Ocena wyboru zastosowanych procedur zabezpieczeń
  3. Ocena wyboru zastosowanych technik i narzędzi



Ocena procedur obsługi systemu zabezpieczeń i reagowania na incydenty zagrożeń bezpieczeństwa.

RODZAJ PRAC

OPIS

Analizy i oceny

  1. Analiza rutynowych procedur obsługi systemu zabezpieczeń
  2. Analiza procedur reakcji na incydenty



Metodyka audytów bezpieczeństwa (MARION)

  • Firma Kerberos OCHRONA INFORMACJI wykonuje prace audytorskie z wykorzystaniem metodyki MARION.
  • Korzystanie z tej metodyki jest nieodpłatne (nie ma ograniczeń licencyjnych). MARION jest metodyką zalecaną przez
  • Związek Banków Polskich do realizacji audytów bezpieczeństwa w instytucjach finansowych.
  • Metodyka MARION wykorzystywana jest przez firmę Kerberos głównie w celu oceny funkcjonującej polityki bezpieczeństwa, dokumentacji polityki bezpieczeństwa oraz dokumentacji wymaganej polskim prawem.


Pomiar obszarów ryzyka może być wykonany w oparciu o jedną (lub kilka) z istniejących metod (MARION, MELISA, CRAMM itp). Dla potrzeb audytów firma Kerberos wykorzystuje zmodyfikowany kwestionariusz opracowany dla potrzeb wielopoziomowej metodyki analizy ryzyka informatycznego MARION, opracowanej przez APSAD (Zgromadzenie Plenarne Towarzystw Ubezpieczeń Majątkowych) oraz CLUSIF (Francuski Klub Zabezpieczeń Informatycznych) . Testowanie oparte jest na ankiecie składającej się z zestawu pytań, przy czym na część pytań odpowiada audytor na podstawie przeglądu dostarczonej dokumentacji i wizji lokalnej, na część odpowiedzi uzyskiwane są w wyniku ankiety. Ankieta została przystosowana do polskich warunków i polskich regulacji prawnych.

W metodzie MARION jest stosowana skala ocen od 0 do 4.

Wynik poniżej 2 jest niedostateczny i wymaga natychmiastowej analizy oraz podjęcia działań korygujących. Celem powinno być osiągnięcie przynajmniej oceny 3.

Dokonując audytu bezpieczeństwa, jako wzorcowe przyjęto rozwiązania opisane w:

  • Technical Report ISO/TR 13569:1997(E) Banking and related financial services Information security guidelines Second edition 1997-10-01 (Raport techniczny ISO/TR 13569:1997(E) - Bankowość i związane usługi finansowe. Wskazówki dotyczące zabezpieczania informacji. Wydanie drugie 1997-10-01)
  • normie PN - I - 13335-1 - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych (Technical Report ISO/TR 13335-1-5 JTC 1/ "Information Technology" SC27 "Security Techniques" WG1 "Requirements, Security Services and Guidelines" Guidelines for the Management of IT Security) ¨
    1. Arkusz 1 - Concepts and Models for IT Security (Pojęcia i modele bezpieczeństwa systemów informatycznych)
    2. Arkusz 2: Managing and planning IT Security (Zarządzanie i planowanie bezpieczeństwa systemów informatycznych)
    3. Arkusz 3: Techniques for the management of IT Security (Techniki zarządzania bezpieczeństwem systemów informatycznych)
    4. Arkusz 4: Selection of safeguards (Wybór zabezpieczeń)
    5. Arkusz 5: Safeguards for external connections* (Zabezpieczenia połączeń zewnętrznych).

 


CZĘŚĆ II: Audyt technicznych aspektów zabezpieczeń

A. Dotyczy systemu / architektury firewall

RODZAJ PRAC

OPIS

Prace wstępne

  1. Wstępna specyfikacja architektury firewall; komponenty architektury, ich zadania i wzajemne interakcje
  2. Specyfikacja kontrolowanej przez architekturę firewall komunikacji; określenie komunikacji dozwolonych i zabronionych

Audyt rozwiązań

  1. Ocena polityki inspekcji ruchu sieciowego
  2. Ocena zgodności zdefiniowanych konfiguracji z polityką inspekcji ruchu



B. Dotyczy KAŻDEGO z funkcjonujących serwerów (serwery bazodanowe, aplikacyjne i internetowe {np. WWW, pocztowy, DNS, ftp})

RODZAJ PRAC

OPIS

Prace wstępne

  1. Specyfikacja konfiguracji zastosowanych serwerów

Ekspertyza bezpieczeństwa serwera / serwerów internetowych

  1. Ekspertyza systemu operacyjnego, opracowanie zaleceń dotyczących ew. hardeningu systemu
  2. Analiza bezpieczeństwa wymiany informacji z siecią wewnętrzną
  3. Analiza bezpieczeństwa wymiany informacji z Internetem.

Ekspertyza bezpieczeństwa serwera / serwerów baz danych i aplikacji

  1. Ekspertyza systemu operacyjnego, opracowanie zaleceń dotyczących ew. hardeningu systemu
  2. Ocena zabezpieczeń aplikacji / bazy danych.

 


Metodologia prowadzenia audytu

  • Realizacja prac.
    Prace prowadzone są przez Zespół Audytorski firmy Kerberos. Przed podpisaniem protokołu odbioru Kierownik Zespołu Audytorskiego zdaje ustną relację z wyników audytu (w formie prezentacji dla personelu audytobiorcy) oraz przekazuje raporty i dokumentację. Po podpisaniu protokołu odbioru usług Zespół Audytorski udziela wyjaśnień i porad bezpośrednio związanych z przeprowadzonym audytem przez skończony okres, określony w umowie dot. realizacji audytu.
  • Wyniki audytu - DOKUMENTY KOŃCOWE.
    Skutkiem realizacji wyżej opisanych usług audytowych będzie stworzenie szczegółowych raportów poaudytowych zawierających:
    1. ocenę ogólnych założeń koncepcyjnych zabezpieczeń i metod ich realizacji, ewidencję ewentualnych znalezionych luk bezpieczeństwa systemu z określeniem rodzaju i oceny poziomu zagrożenia związanego z każdą z luk,
    2. dokumentację zawierającą opis metod eliminacji luk bezpieczeństwa (na poziomie proceduralnym i technicznym, z zachowaniem wysokiego poziomu szczegółowości zaleceń)

 

  • Oszacowanie czasu realizacji zadania:
    2-4 tygodnie robocze od chwili rozpoczęcia prac.
  • Przykładowy harmonogram prac

CZAS WYKONYWANIA PRAC

RODZAJ PRAC

MIEJSCE PRAC

Ok. 1 tygodnia

o        Specyfikacja infrastruktury usług i zabezpieczeń

o        Przegląd wybranej dokumentacji

AUDYTOBIORCA
- wizyta konsultantów Kerberosa

2-3 dni

o        Opracowanie planu analiz

o        Wstępne prace analityczne Zespołu Audytorskiego

Kerberos

Ok. 1 tygodnia

o        Prace audytowe

AUDYTOBIORCA
- wizyta konsultantów Kerberosa

Ok. 1 tygodnia

o        Analiza wyników audytu

o        Opracowanie dokumentacji poaudytowej

o        Przygotowanie raportów poaudytowych

Kerberos

1 dzień

o        Prezentacja wyników audytu dla personelu audytobiorcy

o        Przekazanie raportów i dokumentacji

AUDYTOBIORCA
- wizyta Kierownika Zespołu Audytorskiego

 


Narzędzia wykorzystywane do testowania poziomu zabezpieczeń.

  • Narzędzia podstawowe:
    1. Dokumentacja wewnętrzna firmy Kerberos zawierająca opis procedur sprawdzania kolejnych elementów konfiguracyjnych systemów operacyjnych i aplikacji.
    2. Dokumentacja wewnętrzna firmy Kerberos - na bieżąco uaktualniana ewidencja znanych luk bezpieczeństwa systemów i aplikacji i metod ich eliminacji.
    3. Opracowane przez Kerberosa unixowe skrypty audytowe, mające na celu automatyzację prac audytowych.
    4. Dokumentacja wewnętrzna firmy Kerberos - opis procedur hardeningowych.

 

  • Narzędzia dodatkowe (używane uzupełniająco, w zależności od rodzaju prac)