CENTRUM OPROGRAMOWANIA



Podobne dokumenty
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Bezpieczeństwo danych w sieciach elektroenergetycznych

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Audyt i zarządzanie zmianami zapobieganie niedostępności usług systemu informatycznego

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

SZCZEGÓŁOWY HARMONOGRAM KURSU

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Reforma ochrony danych osobowych RODO/GDPR

Szczegółowy opis przedmiotu zamówienia:

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Normalizacja dla bezpieczeństwa informacyjnego

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Audytowane obszary IT

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Dane osobowe: Co identyfikuje? Zgoda

ZAPROSZENIE DO SKŁADANIA OFERT

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie projektami a zarządzanie ryzykiem

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Szkolenie otwarte 2016 r.

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Opis przedmiotu zamówienia

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Axence nvision Nowe możliwości w zarządzaniu sieciami

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

Przewodnik technologii ActivCard

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

DLA SEKTORA INFORMATYCZNEGO W POLSCE

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Kompleksowe Przygotowanie do Egzaminu CISMP

Dwuwymiarowy sposób na podróbki > 34

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Bezpieczeństwo dziś i jutro Security InsideOut

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Informatyka w kontroli i audycie

Usługa: Audyt kodu źródłowego

NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie

Zastosowania PKI dla wirtualnych sieci prywatnych

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

7. zainstalowane oprogramowanie zarządzane stacje robocze

BEZPIECZEŃSTWO W SIECIACH

Strategie i techniki ochrony systemów informatycznych

Produkty. MKS Produkty

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Opis wymagań i program szkoleń dla użytkowników i administratorów

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

ZARZĄDZENIE Nr 32/2012 Wójta Gminy w Chojnicach. z dnia 16 marca 2012 roku

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Przedszkole Nr 30 - Śródmieście

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Opis Przedmiotu Zamówienia

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty legalności USERS Monitorowanie

ISO w Banku Spółdzielczym - od decyzji do realizacji

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Translacja adresów - NAT (Network Address Translation)

Maciej Byczkowski ENSI 2017 ENSI 2017

Infrastruktura klucza publicznego w sieci PIONIER

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

Kwestionariusz samooceny kontroli zarządczej

ArcaVir 2008 System Protection

Głównym zadaniem tej fazy procesu zarządzania jest oszacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio ryzyk.

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Internet Explorer. Okres

Transkrypt:

CENTRUM OPROGRAMOWANIA Program realizacji kompleksowego audytu bezpieczeństwa systemu informatycznego Opracował: Konsultacje: Mariusz Stawowski dr Janusz Jarosz, Tomasz Ryś Cel audytu bezpieczeństwa Utrzymywanie wysokiego poziomu bezpieczeństwa strategicznych zasobów systemu informatycznego wymaga stałego monitorowania i okresowego badania stanu zabezpieczenia wszystkich elementów tego systemu. Nawet najbardziej zaawansowany system ochrony, który w trakcie eksploatacji nie jest poddawany odpowiedniej weryfikacji szybko traci swoje właściwości i sam może stać się źródłem zagrożenia. Użytkownicy przeświadczeni o istnieniu zabezpieczeń nie odczuwają niebezpieczeństw i mogą narazić swoją organizację na poważne straty. W związku z tym uzasadnione jest wyposażenie systemu informatycznego w środki szybkiego identyfikowania i sygnalizowania nieprawidłowego działania zabezpieczeń oraz wykonywanie okresowych audytów bezpieczeństwa. Kompleksowy audyt bezpieczeństwa systemu informatycznego powinien obejmować trzy kategorie badań: testy penetracyjne (identyfikacja słabych punktów systemu zabezpieczeń, symulacja włamań), testy kontrolne (sprawdzanie poprawności instalacji i konfiguracji systemu), analiza systemowa zabezpieczeń (teoretyczna ocena bezpieczeństwa systemu informatycznego). Zagadnienia monitorowania systemu ochrony oraz wykonywania praktycznych testów zabezpieczeń zostały opisane w [3]. Praktyczne testy zabezpieczeń, wspomagane za pomocą dedykowanego oprogramowania (m.in. profesjonalnych skanerów zabezpieczeń ISS Internet Scanner i WebTrends Security Analyzer), umożliwiają dokonanie wiarygodnej oceny poziomu bezpieczeństwa zasobów systemu informatycznego. Nie jest jednak możliwe ich wykonanie w zakresie całego systemu informatycznego. W dużych systemach z przyczyn technicznych, organizacyjnych oraz finansowych praktyczne testy zabezpieczeń mogą być wykonywane tylko dla wybranych elementów składowych. W takich przypadkach pozostają techniki teoretycznej oceny zabezpieczeń, określane jako analiza systemowa zabezpieczeń. CLICO Centrum Oprogramowania Sp. z o.o. (dalej określana CLICO) posiada opracowaną metodykę analizy systemowej zabezpieczeń opartą m.in. na formalnych metodach zaczerpniętych z teorii grafów i sieci [1]. Metodyka ta jest od 1998 roku z powodzeniem stosowna do realizacji kompleksowych audytów bezpieczeństwa systemów informatycznych dużych przedsiębiorstw (m.in. zakładu z branży energetycznej i dwóch dużych banków). Zakres audytu bezpieczeństwa Zasoby systemu informatycznego narażone są na wiele, różnego rodzaju niebezpieczeństw, najczęściej wynikających z globalnego charakteru oraz dużego skomplikowania heterogenicznego środowiska Intranet/Internet. Analiza bezpieczeństwa zostanie skoncentrowana na ocenie odporności zabezpieczeń najbardziej wartościowych zasobów na zagrożenia uznane za istotne w określonym środowisku.

Ogólnie, można wyróżnić 10 podstawowych kategorii zagrożeń systemów komputerowych: 1. Ataki sieciowe (np. włamania i penetracje, ataki DoS), 2. Zagrożenia transmisji danych (np. podsłuch sieciowy, przechwytywanie sesji), 3. Zagrożenia aplikacyjne (np. wirusy, robaki, konie trojańskie), 4. Zagrożenia komunikacyjne (np. przeciążenia sieci, niewłaściwy ruting sieci), 5. Awarie techniczne (np. awaria sprzętu, błąd oprogramowania), 6. Błędy ludzi (np. błędy użytkowników, administratorów), 7. Zagrożenie fizyczne (np. kradzież, pożar, zalanie), 8. Zagrożenia kryptograficzne (np. nieaktualne, bądź zagubione klucze szyfrowania), 9. Przeciek informacji (np. informacje o klauzuli tajności TAJNE są dostępne dla systemu komputerowego o klauzuli JAWNE). 10. Ulot elektromagnetyczny. Zagrożenia z kategorii 1-7 są w praktyce obecne w każdym dużym systemie informatycznym. Zagrożenia kryptograficzne podlegają analizie w systemach, w których do ochrony strategicznych informacji stosuje się środki kryptograficzne (np. banki). Zagrożenia 9 i 10 są rozpatrywane w systemach informatycznych, gdzie obowiązuje ustawa o ochronie informacji niejawnych (np. systemy rządowe i wojskowe). System informatyczny zawiera wiele różnego rodzaju zabezpieczeń technicznych. Ich opis można znaleźć m.in. w [4]. Audyt bezpieczeństwa powinien obejmować swoim zasięgiem wszystkie te zabezpieczenia. Techniczne środki ochrony systemu informatycznego można podzielić na następujące kategorie: zabezpieczenia aplikacji (np. kontrola dostępu do operacji, szyfrowanie danych aplikacji), zabezpieczenia bazy danych (np. kontrola dostępu do tabel relacyjnej bazy danych), zabezpieczenia systemu operacyjnego (np. kontrola dostępu do plików, logi systemowe), zabezpieczenia sieciowe (np. Firewall, VPN, IDS), zabezpieczenia wspomagające (np. serwery kontroli zawartości, serwery uwierzytelniania, PKI). Audyt bezpieczeństwa jest realizowany z wykorzystaniem rożnych metod. Dla przykładu, analiza odporności zabezpieczeń na ataki sieciowe odbywa się w sposób formalny poprzez ocenę zgodności ze specyfikacją wymagań bezpieczeństwa, zgodności z zasadą asekuracji zabezpieczeń oraz odporności na ataki przeprowadzane metodą Island Hopping Attack. Z punktu widzenia efektywności i dokładności (np. pomyłki w obliczeniach) prowadzenia badań najbardziej wartościowe są metody formalne. Metody te można bowiem w prosty sposób implementować w programach komputerowych. Analiza i testy zabezpieczeń Analiza i badania praktyczne są wykonywane w celu oceny poziomu bezpieczeństwa systemu w zdefiniowanej przez Zleceniodawcę części pod kątem szczelności i odporności na nieautoryzowane, zewnętrzne i wewnętrzne ingerencje. W ramach testów penetracyjnych wykonane są następujące prace: 1. Identyfikacja systemu za pomocą dostępnych serwisów sieciowych (np. WWW, FTP, Telnet, Finger, Rusers, Rpcinfo, Showmount, itp.). Identyfikacji są poddawane wszystkie adresy IP podane przez Zleceniodawcę. 2

2. Rozpoznanie dostępnych komputerów i urządzeń sieciowych, rodzaju i wersji ich systemów operacyjnych oraz oprogramowania użytkowego pod kątem wykrywania znanych luk bezpieczeństwa. Zasadnicze testy rozpoznawcze są wykonywane za pomocą programu NetCat oraz innych dedykowanych narzędzi np. programu HttpVer do identyfikacji serwerów WWW, programu Queso do identyfikacji systemów operacyjnych, itp. Do rozpoznawania struktury sieci wykorzystane są m.in. metody Firewalking, DNS Zone Transfer oraz standardowe usługi Ping i Traceroute. Informacje na temat aktualnych luk bezpieczeństwa określonych rodzajów i wersji systemów operacyjnych oraz oprogramowania użytkowego są uzyskiwane z zasobów internetowych (np. CERT, Astalavista, SecurityFocus, Technotronic, RootShell, BugTraq, itp.) oraz własnych doświadczeń członków grupy testującej. 3. Wstępna penetracja systemu za pomocą skanerów portów TCP i UDP oraz skanerów zabezpieczeń powszechnie wykorzystywanych przez hakerów, dostępnych w zasobach sieci Internet (np. SATAN, NMAP, Phobia, Mscan, NAT, Asmodeus). W zakresie skanowania portów TCP przewiduje się wykonanie trzech podstawowych technik: skanowanie połączeniowe connect scanning, skanowanie pół-otwarte half-open scanning, skanowanie skryte stealth scanning. Rodzaje użytych skanerów zabezpieczeń będą zależeć od rodzajów rozpoznanych systemów (np. do badania Windows NT programy NetBIOS Auditing Tool, Legion, czy L0phtCrack, a do badania serwera Solaris programy Nessus, Phobia, Mscan, itd.). 4. Testy zabezpieczeń systemu za pomocą profesjonalnych skanerów zabezpieczeń ISS Internet Security Scanner i WebTrends Security Analyzer. Skaner zabezpieczeń zostanie zastosowany do badania wszystkich dostępnych z sieci publicznej urządzeń sieciowych (np. serwerów, firewall, ruterów) o podanych przez Zleceniodawcę adresach IP. 5. Analiza otrzymanych wyników badań pod kątem przygotowania symulacji włamań. 6. Symulacja włamań do systemu (realizowana w czasie i zakresie zaakceptowanym przez Zleceniodawcę). Zakres działań zrealizowanych w trakcie symulacji włamań będzie zależny od wyników identyfikacji i wstępnej penetracji systemu (liczba potencjalnych metod włamań do systemów komputerowych jest tak bardzo duża). Symulacja włamań może obejmować wszystkie dostępne z sieci wewnętrznej i Internetu urządzenia sieciowe (np. serwery, firewall, rutery) o podanych przez Zleceniodawcę adresach IP. Celem wykonywania symulacji włamań jest ustalenie możliwości uzyskania nieupoważnionego dostępu do usług i danych sieci prywatnej. W razie wystąpienia możliwości przeprowadzenia symulacji włamań do komputerów i urządzeń sieciowych, których adresy IP nie zostały podane przez Zleceniodawcę (np. komputerów posiadających prywatne adresy IP) badania są wykonywane po uzyskaniu akceptacji od Zleceniodawcy. Potencjalnie istnieje taka możliwość np. po przejęciu kontroli nad urządzaniem wykonującym translację adresów NAT (zwykle jest to ruter lub firewall). 7. Ocena odporności zabezpieczeń systemu na ataki destrukcyjne za pomocą narzędzi powszechnie wykorzystywanych przez hakerów. 3

Wykonane są powszechnie znane ataki denial of service oraz techniki specyficzne dla określonych systemów. Odpowiednie programy typu exploit są pozyskiwane z Internetu (np. Latierra, Bonk, Teardrop, Sunkill, SynDrop, Nestea, Smurf, itp.) lub w razie potrzeby implementowane przez członków grupy testującej. 8. Analiza wyników testu penetracyjnego pod kątem oceny zagrożenia integralności systemu oraz możliwości dostępu do danych firmy przez osoby nieupoważnione. 9. Sporządzenie raportu końcowego. W przypadku pozytywnego rezultatu symulacji włamań raport zawiera propozycje odpowiedniego wzmocnienia zabezpieczeń oraz wykonania innych stosownych działań prewencyjnych. Podstawowe badania wykonywane w ramach testów kontrolnych odbywają się bezpośrednio na testowanych urządzeniach. Kontrola konfiguracji usług sieciowych może odbywać się także zdalnie, w sposób podobny do testu penetracyjnego. W ramach testu kontrolnego systemu komputerowego mogą zostać zrealizowane następujące przedsięwzięcia: kontrola wersji systemu operacyjnego i oprogramowania użytkowego, weryfikacja poprawności konfiguracji systemu, wykrywanie śladów włamań i nadużyć użytkowników, weryfikacja poziomu bezpieczeństwa systemu kontroli dostępu. Analiza systemowa zabezpieczeń wykonywana jest z wykorzystaniem specjalnie przygotowanych do tego celu modeli matematycznych (m.in. modelu strefowego systemu informatycznego). Modele opisują własności jakościowe i ilościowe rzeczywistych systemów, z uwzględnieniem istniejących w tych systemach zabezpieczeń. Każdy z modeli składa się ze zbioru wyróżnionych, interesujących dla badanego aspektu bezpieczeństwa elementów wraz z opisem ich organizacji w postaci zbioru relacji i funkcji. Metody analizy formalnej są bardzo przydatne w zastosowaniach praktycznych, ponieważ ich precyzyjny, matematyczny charakter umożliwia prostą implementację w programach komputerowych. Analiza bezpieczeństwa dużego systemu informatycznego bez wspomagania komputerowego jest żmudna i czasochłonna. Dodatkowo, wspomaganie komputerowe znacząco obniża prawdopodobieństwo popełnienia błędów. Polityka bezpieczeństwa Zapewnienie wysokiego poziomu bezpieczeństwa systemu informatycznego, szczególnie w odniesieniu do planowanych przedsięwzięć informatycznych wymaga utrzymywania spójnego i kompleksowego Dokumentu polityki bezpieczeństwa systemu informatycznego, określającego przedsięwzięcia wykonywane przez kierownictwo, użytkowników, personel techniczny oraz wszystkich innych pracowników instytucji związane z utrzymywaniem odpowiedniego poziomu ochrony zasobów systemu informatycznego. Tworzenie takiego dokumentu (zbioru dokumentów) w skali całego systemu informatycznego, jego odpowiednie utrzymywanie (aktualizacja, rozwój) oraz praktyczne stosowanie w trakcie eksploatacji systemu wymaga zastosowania sprawdzonej metodyki, umożliwiającej skuteczne i efektywne wykonanie analizy ryzyka (Risk Analysis) oraz późniejsze zarządzanie ryzyka (Risk Management). W tym celu można dokonać zakupu jednego z dostępnych komercyjnie systemów wspomagających analizę i zarządzanie ryzyka (np. CRAMM, L3 Network Security Expert), bądź zastosować metodykę wypracowaną przez firmę zatrudnioną do sporządzenia dokumentów bezpieczeństwa. 4

Metodyka CLICO opiera się na systemie kwestionariuszy i zawiera trzy etapy prac. ETAP 1 Ustalenie i oszacowanie wartości zasobów systemu informatycznego Ustalenie zakresu i harmonogramu prac. Sporządzenie mapy zasobów systemu informatycznego: ustalenie grup (kategorii) użytkowników systemu informatycznego (np. Zarząd, Produkcja, Księgowość, Informatyka) oraz ocena ich ważności dla działalności biznesowej instytucji, ustalenie zadań systemu informatycznego (np. rozliczanie produkcji, wspomaganie decyzji, kontrola jakości) oraz określenie ich ważności dla działalności biznesowej instytucji, ustalenie zasobów systemu informatycznego (fizycznych, informacyjnych) i ich powiązanie w relacje z grupami użytkowników i zadaniami systemu informatycznego. Oszacowanie wartości zasobów systemu informatycznego: zasoby informacyjne ocenia się w odniesieniu do skutków (kosztów) ich ujawnienia, niepożądanej modyfikacji, niedostępności, bądź zniszczenia, zasoby fizyczne ocenia się w odniesieniu do kosztów ich naprawy lub wymiany. ETAP 2 Ustalenie zagrożeń, podatności zasobów systemu informatycznego na zagrożenia oraz oszacowanie wielkości ryzyka Zidentyfikowanie zagrożeń zasobów systemu informatycznego oraz ocena ich wielkości. Ocena podatności zasobów systemu informatycznego na zagrożenia: rozpoznanie istniejących zabezpieczeń zasobów oraz ich analiza pod względem szczelności i efektywności (np. kontrola konfiguracji, wersji, poprawek, logów) wspomagana za pomocą profesjonalnych skanerów zabezpieczeń (np. ISS Security Scanner), praktyczne testy zabezpieczeń (np. testy penetracyjne, kontrolowana symulacja włamań) wspomagane za pomocą profesjonalnych skanerów zabezpieczeń (np. ISS Internet Scanner), Oszacowanie wielkości ryzyka jako funkcji wielkości zagrożenia, podatności zasobu na zagrożenie i wartości zasobu. ETAP 3 Ustalenie metod eliminacji, bądź redukcji ryzyka oraz ocena ryzyka szczątkowego (residual risk) Ustalenie możliwych do zastosowania zabezpieczeń (różne warianty z zakresu ochrony technicznej i fizycznej, a także personalnej, organizacyjnej i prawnej) oraz ich analiza jakościowa i kosztowa: ocena poziomu bezpieczeństwa oferowana przez poszczególne zabezpieczenia (w kategoriach szczelności i efektywności), oszacowanie kosztów wdrożenia zabezpieczeń (koszty zakupu technologii, koszty realizacji projektu, koszty szkoleń, nakłady pracy na wdrożenie i eksploatację zabezpieczeń). Wybór zabezpieczeń rekomendowanych do wdrożenia oraz ocena ryzyka szczątkowego. Ustalenie wytycznych do zarządzania ryzyka (przedsięwzięć planowania, organizowania i kontrolowania zabezpieczeń systemu informatycznego w celu upewnienia się, że ryzyko szczątkowe pozostaje w granicach ryzyka akceptowalnego). 5

Wyniki audytu bezpieczeństwa Zasadniczym rezultatem audytu bezpieczeństwa jest raport opisujący rzeczywisty stan zabezpieczenia zasobów systemu informatycznego. Oprócz tego audyt dostarcza wielu innych korzyści, m.in.: kadra informatyczna przedsiębiorstwa zaangażowana w realizację przedsięwzięć bezpieczeństwa zostaje odpowiednio do tego celu przeszkolona i zdobywa duże doświadczenie, dla wszystkich wyznaczonych słabych punktów zabezpieczeń systemu informatycznego przedstawione zostają procedury ich eliminacji, bądź redukcji, podstawowe dokumenty polityki bezpieczeństwa zostają uaktualnione lub w razie ich braku stworzone od początku, dokumentacja z realizacji audytu bezpieczeństwa zawiera szczegółowy opis wszystkich wykonanych testów (m.in. zastosowane narzędzia, sposób uruchamiania testów) i dzięki temu w przyszłości może posłużyć do powtórzenia lub zweryfikowania badań. CLICO jako wykonawca audytu bezpieczeństwa zobowiązuje się do zachowania w tajemnicy wszystkich danych dostarczonych przez Zleceniodawcę i uzyskanych w trakcie wykonywania audytu, mających wpływ na stan bezpieczeństwa systemu informatycznego w czasie trwania realizacji usługi oraz po jej zakończeniu. Literatura [1] Bohdan Korzan: Elementy teorii grafów i sieci. WNT 1978. [2] Krzysztof Liderman: Bezpieczeństwo informacji w systemach komputerowych, WAT 1999. [3] Mariusz Stawowski: Badanie zabezpieczeń sieci komputerowych. ArsKom 1999. [4] Mariusz Stawowski: Ochrona informacji w sieciach komputerowych. ArsKom 1998. 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres