Четвъртък, 07 юли, 2011
от: Деян Кошутич
"Вашето ISO 27001 е хубаво на теория, но ако системният ни администратор откачи, ние сме мъртви" - чувам това доста често, когато говоря с моите клиенти, относно това кои контроли за сигурност те следва да прилагат.
И това не е само за системните администратори, а също и преките ръководители, инженери, топ мениджмънта и др. – всъщност всеки, който има достъп до чувствителна информация или системи, би могъл да бъдат потенциална заплаха.
Например, най-големите щети в банките не се извършват от разбойници (с пушки в ръцете си), а от служители (с компютри в ръцете си).
Разбира се, кражба на пари не е единствената цел на този вид атаки, тя може да бъде саботаж, кражба на конфиденциална корпоративна информация, подправяне на данни, кражба на идентичност и др.
Тъй като това е толкова сложен въпрос, как можете да се справите с него?
Оценка на риска
ISO 27001 е стандарт, който подхожда към управление на сигурността, главно от превантивна гледна точка - първата стъпка е да разберете ккакви инциденти може да се случат по отношение на Вашите служители (но също така и външни партньори с достъп до вашите системи), и след това да изберете подходящ контрол за сигурност , с цел да се избегнат тези инциденти. В ISO 27001, този процес се нарича оценка на риска и тертиране на риска.
Обаче оценката на риска не трябва да се прави повърхностно. Ако не помислиш наистина сериозно за всички лоши неща, които могат да се случат, тогава не би могъл да намалиш тези рискове и някой може да използва тези уязвимости.
Затова не бързайте по време на тази стъпка, правете я систематично.
ISO 27001 е стандарт, който подхожда към управление на сигурността, главно от превантивна гледна точка - първата стъпка е да разберете ккакви инциденти може да се случат по отношение на Вашите служители (но също така и външни партньори с достъп до вашите системи), и след това да изберете подходящ контрол за сигурност , с цел да се избегнат тези инциденти. В ISO 27001, този процес се нарича оценка на риска и тертиране на риска.
Обаче оценката на риска не трябва да се прави повърхностно. Ако не помислиш наистина сериозно за всички лоши неща, които могат да се случат, тогава не би могъл да намалиш тези рискове и някой може да използва тези уязвимости.
Затова не бързайте по време на тази стъпка, правете я систематично.
Превантивни мерки
След като знаете как някой вътре в организацията може да се възползва от уязвимостите, вие можете да започнете да планирате контроли за сигурност по комплексен начин. Отново, ISO 27001 предлага каталог на контроли за сигурност в своето приложение A - тук са показани няколко примера от най-често използваните контроли за намаляване на риска от вътрешни заплахи:
• контрол на достъпа (група А.11 в приложение A) - достъп до чувствителни данни може да бъде одобрен само на база “необходимо е да знае”. По този начин ще се намали броят на хората, които могат да навредят, но също така ще се намалят и щетите ако нечия идентичност е открадната.
• правата за достъп трябва да се преглеждат редовно (контрол A.11.2.4) - много често голям брой служители имат достъп до информация, от която те наистина не се нуждаят.
• Акаунтите и правата на достъп на бивши служители трябва да бъдат прекратении (A.8.3.3) - да, понякога има валидни акаунти няколко години след като работникът или служителят е напуснал фирмата.
• политиката на силни пароли (контрол A.11.2.3) или някакъв друг метод за автентификация трябва да бъде задължителен, за да изключи кражбата на идентичност.
• Разделяне на функциите (контрол A.10.1.3) – вие най-вероятно не бихте позволили на един единствен човек да разрешава изплащането на големи суми - същото важи и за всяка друга чувствителна система.
• Резервиране (A.10.5.1) - разбира се, то трябва да бъде редовно, но също така достъпът до архивираната информация не може да бъде разрешен на служителите, които могат да навредят най-много на производствените системи.
• Документирани политики и процедури, които ясно определят ролите и отговорностите за сигурността (A.8.1.1; A.10.1.1) - не можете да очаквате от вашите служители да спазват правилата за сигурност, ако те не знаят какви са правилата.
• Осъзнаване и обучение (A.8.2.2) - всички ваши служители трябва да знаят защо е необходимо да защитят чувствителните данни, както и как да го направят, а за някои работни места (например записи от наблюдение, логове) може да се наложи да изпратите служители на специализирани обучения.
Разбира се, има и други контроли, които са по-технически ориентирани, като разделяне на мрежова архитектура (A.11.4.5), редовно обновяване с пачове за сигурност (A.12.6.1), spyware сканиране (A.12.5.4), анти-вирусна защита ( A.10.4.1), защитна стена (A.10.6.1), контроли за физическа сигурност (A.9.1.2) и др.
След като знаете как някой вътре в организацията може да се възползва от уязвимостите, вие можете да започнете да планирате контроли за сигурност по комплексен начин. Отново, ISO 27001 предлага каталог на контроли за сигурност в своето приложение A - тук са показани няколко примера от най-често използваните контроли за намаляване на риска от вътрешни заплахи:
• контрол на достъпа (група А.11 в приложение A) - достъп до чувствителни данни може да бъде одобрен само на база “необходимо е да знае”. По този начин ще се намали броят на хората, които могат да навредят, но също така ще се намалят и щетите ако нечия идентичност е открадната.
• правата за достъп трябва да се преглеждат редовно (контрол A.11.2.4) - много често голям брой служители имат достъп до информация, от която те наистина не се нуждаят.
• Акаунтите и правата на достъп на бивши служители трябва да бъдат прекратении (A.8.3.3) - да, понякога има валидни акаунти няколко години след като работникът или служителят е напуснал фирмата.
• политиката на силни пароли (контрол A.11.2.3) или някакъв друг метод за автентификация трябва да бъде задължителен, за да изключи кражбата на идентичност.
• Разделяне на функциите (контрол A.10.1.3) – вие най-вероятно не бихте позволили на един единствен човек да разрешава изплащането на големи суми - същото важи и за всяка друга чувствителна система.
• Резервиране (A.10.5.1) - разбира се, то трябва да бъде редовно, но също така достъпът до архивираната информация не може да бъде разрешен на служителите, които могат да навредят най-много на производствените системи.
• Документирани политики и процедури, които ясно определят ролите и отговорностите за сигурността (A.8.1.1; A.10.1.1) - не можете да очаквате от вашите служители да спазват правилата за сигурност, ако те не знаят какви са правилата.
• Осъзнаване и обучение (A.8.2.2) - всички ваши служители трябва да знаят защо е необходимо да защитят чувствителните данни, както и как да го направят, а за някои работни места (например записи от наблюдение, логове) може да се наложи да изпратите служители на специализирани обучения.
Разбира се, има и други контроли, които са по-технически ориентирани, като разделяне на мрежова архитектура (A.11.4.5), редовно обновяване с пачове за сигурност (A.12.6.1), spyware сканиране (A.12.5.4), анти-вирусна защита ( A.10.4.1), защитна стена (A.10.6.1), контроли за физическа сигурност (A.9.1.2) и др.
Проблеми с хората
Въпреки всичко някой с висока мотивация и умения може да заобиколи всички тези проверки за сигурност и да постигне каквото му е на дневен ред (е решил). Ето защо, по мое мнение, най-важното нещо е да се развият някои индикатори за ранно предупреждение. А това изисква малко повече усъвършенстване.
Преди всичко, вие трябва да знаете кой вашите служители - най-вероятно няма да позволите на някой напълно непознат достъп до вашите чувствителни данни и/или системи, само защото той или тя има една много хубава диплома и препоръка. Трябва да се копае по-дълбоко или като ISO 27001 го изисква - извършване на проверка на биографичните данни (A.8.1.2).
Втората, и вероятно най-важната контрол, е постоянно да следите какво се случва - едновременно откъм “меката" страна на нещата (повечето пъти, можете да наблюдавате, ако някой започва да се държи по странен начин) и с "твърди " методи - чрез мониторинг на записи (A.10.10.2), т.е. наблюдение дали има нещо подозрително в използването на информационните системи.
Всъщност, двата метода често могат да се разглеждат заедно - всеки път, когато заключението, че поведението на някого е осбено, записите (логовете) на този човек трябва да се разгледат по-подробно. И обратното - ако забележите някакво странно използване на информационните системи, “меката” страна трябва да се следи по-отблизо. В заключение, вътрешните заплахи вероятно ще останат най-големият риск за сигурността на информацията - сложността на информационните системи и количеството на данните само ще се увеличи тази заплахи във времето. И най-добрият начин за справяне с тях е да ги предотвратим - когато вече са се случили, вие може само да се надявате, че те няма да отидат твърде далеч
Въпреки всичко някой с висока мотивация и умения може да заобиколи всички тези проверки за сигурност и да постигне каквото му е на дневен ред (е решил). Ето защо, по мое мнение, най-важното нещо е да се развият някои индикатори за ранно предупреждение. А това изисква малко повече усъвършенстване.
Преди всичко, вие трябва да знаете кой вашите служители - най-вероятно няма да позволите на някой напълно непознат достъп до вашите чувствителни данни и/или системи, само защото той или тя има една много хубава диплома и препоръка. Трябва да се копае по-дълбоко или като ISO 27001 го изисква - извършване на проверка на биографичните данни (A.8.1.2).
Втората, и вероятно най-важната контрол, е постоянно да следите какво се случва - едновременно откъм “меката" страна на нещата (повечето пъти, можете да наблюдавате, ако някой започва да се държи по странен начин) и с "твърди " методи - чрез мониторинг на записи (A.10.10.2), т.е. наблюдение дали има нещо подозрително в използването на информационните системи.
Всъщност, двата метода често могат да се разглеждат заедно - всеки път, когато заключението, че поведението на някого е осбено, записите (логовете) на този човек трябва да се разгледат по-подробно. И обратното - ако забележите някакво странно използване на информационните системи, “меката” страна трябва да се следи по-отблизо. В заключение, вътрешните заплахи вероятно ще останат най-големият риск за сигурността на информацията - сложността на информационните системи и количеството на данните само ще се увеличи тази заплахи във времето. И най-добрият начин за справяне с тях е да ги предотвратим - когато вече са се случили, вие може само да се надявате, че те няма да отидат твърде далеч
http://www.mscservices.eu/ - вашите ISO консултанти
Няма коментари:
Публикуване на коментар