PRZEGLĄD WYBRANYCH METODYK AUDYTU SYSTEMÓW INFORMATYCZNYCH. Anna Sołtysik-Piorunkiewicz

Transkrypt

1 PRZEGLĄD WYBRANYCH METODYK AUDYTU SYSTEMÓW INFORMATYCZNYCH Anna Sołtysik-Piorunkiewicz Wprowadzenie Celem artykułu jest przedstawienie wybranych metodyk wykorzystywanych do audytu systemów informatycznych, stosowanych na całym świecie przez firmy zajmujące się bezpieczeństwem związanym z technologiami informatycznymi. KaŜda z metodyk jest wynikiem inicjatywy znanych stowarzyszeń i instytutów takich jak Stowarzyszenie do Spraw Audytu i Kontroli Systemów Informatycznych ISACA, IT Governance Institute czy teŝ organizację ISECOM (Institute for Security and Open Methodologies) i powstała dzięki zebraniu najlepszych zaleceń wynikających z praktyki. Na podstawie przeglądu metodyk stosowanych w audycie systemów informatycznych za najbardziej rozpowszechnione uznaje się następujące metodyki: COBIT, OSSTM, TISM. Metodyka COBIT COBIT (ang. Control Objectives for Information and related Technology) jest metodyką utworzoną poprzez zbiór celów kontrolnych dla tech-

2 nologii informacyjnych i powiązanych. Jest to zestawienie dobrych praktyk do zarządzania IT utworzonych w 1992 roku przez stowarzyszenie ISACA wraz IT Governance Institute. Obecnie obowiązuje czwarta edycja tego pakietu. Pierwsza wersja COBIT została opublikowana w 1996 roku, druga edycja, w 1998, gdzie dodano Management Guidelines. Trzecią edycję opublikowano w 2000 roku, a jego wersja on-line stała się dostępna w Czwarta edycja wyszła w 2005 r., natomiast najnowsza wersja standardu COBIT 4.1. została opublikowana w maju 2007 r. Obecnie COBIT składa się z opisu procesów zarządzania IT, szczegółowych celów kontrolnych dla tych procesów, działań w nich podejmowanych wraz z wzorcowym podziałem ról i obowiązków, modelu pomiaru skuteczności i efektywności, powiązań pomiędzy procesami oraz modelu dojrzałości. Metodyka COBIT słuŝy jako pomoc w zarządzaniu, kontroli i audycie systemów informatycznych. W COBIT zarządzanie IT jest oglądane z trzech perspektyw: wymagań biznesowych, procesów zachodzących w organizacji IT, zasobów IT. KaŜde wymaganie biznesowe jest opisane przez siedem biznesowych wymogów informacyjnych. Stanowią one jednocześnie kryteria kontrolne pozwalające zweryfikować stopień spełnienia wymagania. Są to: 1. skuteczność (ang. effectiveness) zapewnienie, Ŝe informacja wykorzystywana w procesach biznesowych jest dla nich odpowiednia i adekwatna, dostarczona na czas w sposób prawidłowy, spójny i uŝyteczny,

3 2. wydajność (ang. efficiency) zapewnienie, Ŝe dostarczenie informacji odbywa się w ramach optymalnego zuŝycia zasobów, 3. poufność (ang. confidentiality) zapewnienie, Ŝe dostęp do informacji mają tylko osoby uprawnione, 4. integralność (ang. integrity) zapewnienie, Ŝe informacja pozostaje dokładna i kompletna, 5. dostępność (ang. availability) zapewnienie, Ŝe dostęp do informacji jest moŝliwy wtedy, gdy jest to wymagane w procesie biznesowym, 6. zgodność (ang. compliance) zapewnienie, Ŝe kaŝdy element systemu informacyjnego pozostaje zgodny z przepisami prawa, regulacjami i umowami, dla których przedmiotem jest proces biznesowy, 7. wiarygodność (ang. reliability) zapewnienie właściwych informacji dla zarządzania organizacją i dla kierownictwa, aby mogło realizować obowiązki finansowe i sprawozdawcze.[www1] Metodyka COBIT definiuje referencyjny model procesów organizacyjnych związanych z funkcjonowaniem systemu informatycznego w przedsiębiorstwie Sfera procesów zachodzących w organizacji została podzielona hierarchicznie na trzy części od ogólnych domen, poprzez procesy, do poszczególnych czynności. Zidentyfikowano cztery domeny (dziedziny) [www2]: 1. Planowanie i organizacja (ang. Planning and Organisation) - dziedzina ta obejmuje działania stanowiące najwyŝszy poziom i zarazem początek cyklu Ŝycia komponentów systemu informatycznego organizacji, 2. Zakup i wdroŝenie (ang. Acquisition and Implementation) - do dziedziny tej naleŝą działania zmierzające do zakupu lub wytworzenia rozwiązań informatycznych,

4 3. Dostarczanie i wsparcie (ang. Delivery and Support) - działania nale- Ŝące do tej dziedziny dotyczą udostępnienia uŝytkownikom oraz utrzymania pozyskanych systemów informatycznych, 4. Monitorowanie (ang. Monitoring ) - dziedzina monitorowania grupuje procesy związane z nadzorem nad przebiegiem procesów naleŝących do pozostałych dziedzin. W obrębie tych domen zdefiniowano w sumie 34 procesy IT. Dla kaŝdego z procesów określono cele kontrolne oraz kluczowe mierniki. Rys1. Schemat metodyki COBIT Źródło: [www2] W obszarze zasobów IT wyróŝniono następujące elementy:

5 1. ludzi, 2. aplikacje, 3. technologie, 4. infrastrukturę, 5. dane. W metodyce COBIT wskazuje się, które z siedmiu kryteriów informacyjnych oraz które zasoby IT są istotne dla procesów zachodzących w organizacji IT tak, aby te mogły w pełni wspierać procesy biznesowe. Niekomercyjne uŝycie COBIT jest dozwolone bez ograniczeń. Oznacza to, Ŝe w przypadku, gdy wykorzystuje się COBIT na własne potrzeby lub teŝ na potrzeby własnej organizacji moŝna to robić bez konieczności wnoszenia jakichkolwiek opłat. W przypadku komercyjnego wykorzystania, czyli w przypadku, gdy COBIT stanie się częścią oprogramowania lub publikacji przekazywanej klientom konieczny jest kontakt z ISACA International w celu wniesienia opłaty oraz uzyskania zgody. Metodyka TISM TISM (Total Information Security Management) to metodyka opracowana przez firmę ENSI (European Network Security Institute). W sierpniu 2000 roku udostępniono metodykę TISM na zasadach licencji open source, tak, aby kaŝdy mógł z niej skorzystać przy tworzeniu Polityki Bezpieczeństwa Informacji w swojej organizacji oraz mógł ją rozwijać i modyfikować. Od tamtej pory TISM stała się jedną z najpopularniejszych w Polsce metodą zarządzania bezpieczeństwem informacji w organizacji.

6 TISM jest uniwersalną metodyką, którą moŝna zastosować w kaŝdej organizacji do ochrony najcenniejszych informacji firmowych stanowiących tajemnicę przedsiębiorstwa oraz innych informacji prawnie chronionych, bez konieczności robienia organizacyjnej rewolucji. MoŜna ją dostosować do dowolnych standardów firmowych, procedur organizacyjnych i biznesowych, norm ISO, przepisów prawa dotyczących ochrony informacji. NajwaŜniejszą zaletą TISM jest jasna i przejrzysta struktura zarządzania bezpieczeństwem informacji, modułowa i hierarchiczna struktura dokumentów Polityki Bezpieczeństwa Informacji oraz konkretny plan wdraŝania.[www3] TISM jest uniwersalnym narzędziem wspomagającym organizację w ochronie cennych informacji biznesowych. Metodyka jest punktem wyjścia do stworzenia modułowej i hierarchicznej polityki bezpieczeństwa, dzięki której moŝna łatwo zarządzać bezpieczeństwem róŝnych grup informacji. Wiodącym celem metodyki jest stworzenie konkretnej struktury zarządzania, czyli określenie ról zarządzających i kontrolnych, niezbędnych dla podtrzymania procesów ochrony informacji. Polityka Bezpieczeństwa Informacji tworzona wg metodyki TISM określa: jakie grupy informacji będą podlegały ochronie (grupy informacji chronionych: tajemnice przedsiębiorstwa i inne informacje prawnie chronione), w jakich systemach będą one mogły być przetwarzane (systemy przetwarzania informacji chronionych informatyczne i papierowe), kto i na jakich zasadach będzie mieć dostęp do informacji chronionych (uŝytkownicy informacji - pracownicy, osoby z zewnątrz),

7 kto będzie odpowiedzialny za bezpieczeństwo informacji w organizacji (pełnomocnik ds. ochrony informacji), kto będzie odpowiedzialny za zarządzanie grupami informacji chronionych (administratorzy grup informacji), kto będzie odpowiedzialny za zarządzanie bezpieczeństwem grup informacji chronionych (administratorzy bezpieczeństwa grup informacji), kto będzie odpowiedzialny za bezpieczeństwo systemów przetwarzania grup informacji chronionych (administratorzy bezpieczeństwa systemów).[www3] Zasady zarządzania bezpieczeństwem informacji sformułowane w dokumentach polityki bezpieczeństwa informacji obejmują: wszystkich pracowników mających dostęp do informacji chronionych, wszystkie systemy informatyczne oraz papierowe, w których przetwarzane są lub będą informacje chronione, wszystkie nośniki papierowe, magnetyczne lub optyczne, na których są lub będą znajdować się informacje chronione, wszystkie budynki i pomieszczenia, w których są lub będą przetwarzane informacje chronione.[moła07] W metodyce TISM zdefiniowano trzy podstawowe poziomy zarządzania bezpieczeństwem informacji: Polityka Bezpieczeństwa Informacji określenie wymagań bezpieczeństwa, (dokument główny definiujący firmowe zasady zabezpieczenia informacji). Grupa informacji uszczegółowienie wymagań dla grup informacji.

8 System przetwarzania spełnienie wymagań bezpieczeństwa przez systemy. Proces budowania poszczególnych dokumentów ma strukturę hierarchiczną. Na podstawie ogólnych zasad, określonych w polityce bezpieczeństwa informacji, opracowany jest dokument polityki bezpieczeństwa grupy informacji, zawierający szczegółowe wymagania dla danej grupy. Polityka bezpieczeństwa informacji i polityka bezpieczeństwa grup informacji wskazują warunki, jakie musi spełnić system przetwarzania informacji. Dla określonego systemu przetwarzania opracowana jest polityka bezpieczeństwa systemu przetwarzania, który zawiera opis wypełniania przez system wymogów polityki bezpieczeństwa informacji oraz polityki bezpieczeństwa grup informacji przetwarzanych w tym systemie. Poza tym polityka bezpieczeństwa, tworzona zgodnie z metodyką TI- SM, ma strukturę modułową, czyli dla poszczególnych grup informacji i ich systemów przetwarzania formułowane są odrębne zasady zarządzania, uwzględniające wymogi polityki bezpieczeństwa informacji.[moła07] Metodyka OSSTM Jedną z najbardziej znanych metodyką przeprowadzania audytów teleinformatycznych jest Open Source Security Testing Methodology opracowaną przez organizację ISECOM (Institute for Security and Open Methodologies). OSSTM zawiera zbiór wytycznych określających zakres obszarów środowiska informatycznego, które powinny zostać objęte weryfikacją oraz cel ich realizacji. Jest to dość szeroka metodyka obejmująca swoim zakresem zarówno aspekty teleinformatyczne, fizyczne, prawne

9 oraz aspekty związane z świadomością uŝytkowników oraz podatnością na inŝynierię socjalną. Standard ten zawiera sporo informacji dotyczących planowania audytów, obszarów wymagających testowania, zasad raportowania oraz sposobu oceniania wyników. OSSTM Manual zawiera równieŝ waŝny element Rules of Engagement. Jest to zbiór zasad, który określa ramy prawne i etyczne postępowania podczas oferowania usług związanych z bezpieczeństwem. Poruszane są tam zasady sprzedaŝy i marketingu, negocjacji kontraktu, procesu wykonywania testów penetracyjnych oraz zasady raportowania.[www4] Przegląd sekcji i modułów stosowanych w OSSTM Tabela 1 A B C Sekcja Bezpieczeństwo informacji Bezpieczeństwo procesu Bezpieczeństwo technologii internetowych Moduł Przegląd wywiadu konkurencji (CI Scouting) Przegląd prywatności Niszczenie dokumentów Testowanie przez pytania Testowanie podatności na sugestie Testowanie osób zaufanych Logistyka i kontrole Przegląd sieci Identyfikacja usług systemu Przegląd wywiadu konkurencji Przegląd prywatności Niszczenie dokumentów Wyszukiwanie podatności i weryfikacji Testowanie aplikacji internetowych Routing Testowanie zaufanych systemów Testowanie kontroli dostępu Testowanie IDS Testowanie mierników zawartości Łamanie haseł Testowanie DoS

10 D E F Bezpieczeństwo komunikacji Bezpieczeństwo sieci bezprzewodowych Bezpieczeństwo fizyczne Przegląd polityki bezpieczeństwa Testowanie PBX Testowanie systemu nagrań głosowych Przegląd faxów Testowanie modemów Testowanie promieniowania elektromagnetycznego Testowanie sieci WLAN Testowanie sieci Bluetooth Testowanie bezprzewodowych urządzeń wejściowych Testowanie bezpieczeństwa urządzeń bezprzewodowych Testowanie przez przewodowej komunikacji Testowanie bezprzewodowych urządzeń szpiegujących Testowanie bezprzewodowych urządzeń transakcyjnych Testowanie RFID Testowanie systemów podczerwieni Przegląd prywatności Przegląd obwodów Przegląd monitoringu Testowanie kontroli dostępu Przegląd rozwiązań alarmowych Przegląd lokalizacji Przegląd środowiska Źródło: Opracowanie własne na podstawie [MoŁa07] Podsumowanie Obecnie audyt systemów informatycznych staje się coraz istotniejszym zagadnieniem z punktu widzenia zarządzania organizacją. W związku ze stale rosnąca ilością przetwarzanych i przechowywanych danych oraz stosowaniem coraz bardziej zaawansowanych technologii informatycznych wskazane jest stosowanie efektywnych mechanizmów ochrony da-

11 nych i zabezpieczenia ich przed niepowołanym dostępem. W artykule zostały opisane trzy metodyki proponowane do stosowania podczas przeprowadzenia audytu systemów informatycznych. Oprócz metodyk na uwagę zasługują równieŝ normy i standardy, zgodnie z którymi powinien być przeprowadzony audyt. Zastosowanie norm, standardów i zaleceń audytu systemów informatycznych będzie tematem kolejnego artykułu. Literatura (styl:!naglowek) [www1] [www2] [www3] [www4] [MoŁa07] r. TISM_14.doc r. Molski M., Łacheta M.: Przewodnik audytora systemówinformatycznych, Helion, Gliwice Informacje o autorach dr inŝ. Anna Sołtysik-Piorunkiewicz Katedra Informatyki Akademia Ekonomiczna ul. Bogucicka Katowice Polska Numer telefonu (fax) +48/32/ apiorunkiewicz@ae.katowice.pl