Audyt środowiska sieciowego na przykładzie procedur ISACA Jakub Bojanowski, CISA, CIA Bielsko 7 listopada 2002
Plan prezentacji...! Przykładowy zakres audytu środowiska sieciowego! Typowe problemy: teoria a praktyka! Obszary kontrolne (według procedury ISACA)! Szczegółowe cele kontrolne Strona 2
Bibliografia...! Zakres prezentacji opiera się na przykładowym programie audytu opracowanym przez ISACA! Materiał ma rolę edukacyjną i nie stanowi kompletnego programu audytu dla środowiska sieciowego Although we trust that they will be useful for that purpose, ISACA cannot warrant that the use of this material would be adequate to discharge the legal or professional liability of members in the conduct of their practices Strona 3
Program audytu środowiska sieciowego...! Program audytu obejmuje przegląd wszystkich ważniejszych aspektów związanych z audytem środowiska sieciowego " ogólne zrozumienie audytowanego środowiska " rozwiązania awaryjne " dostęp do Internetu " zabezpieczenia fizyczne " świadomość użytkowników " bezpieczeństwo firewalli " bezpieczeństwo poczty elektronicznej Strona 4
Zrozumienie środowiska sieciowego...! Analiza diagramu (schematu) sieci: " czy w ogóle jest?! Dokumentacja uzupełniająca: " na ile szczegółowo omówiona jest kwestia konfiguracji urządzeń " lista usług sieciowych które powinny być (a nie są) otwarte dla użytkowników " lista uprzywilejowanych adresów zewnętrznych " polityka i procedury regulujące powyższe kwestie " sposoby monitorowania pracy sieci - synchronizacja czasu - zabezpieczanie logów (jakie logi w ogóle są tworzone) - techniczne możliwości gromadzenia informacji dla celów kontrolnych " jakie protokoły są wykorzystywane do komunikacji w sieci " jakie metody szyfrowania są stosowane Strona 5
Zrozumienie środowiska sieciowego... Źródło: www.clark.net/pub/mjr Strona 6
Zrozumienie środowiska sieciowego... Źródło: www.clark.net/pub/mjr Strona 7
Zrozumienie środowiska sieciowego... Źródło: www.clark.net/pub/mjr Strona 8
Zrozumienie środowiska sieciowego... Źródło: www.clark.net/pub/mjr Strona 9
Zrozumienie środowiska sieciowego... Źródło: www.clark.net/pub/mjr Strona 10
Zrozumienie środowiska sieciowego... Źródło: www.clark.net/pub/mjr Strona 11
Zrozumienie środowiska sieciowego...! W ramach analizy środowiska musimy zdobyć ogólne zrozumienie następujących kwestii: " Topologia i architektura sieci " Dostępność dokumentacji " Zapewnienie spójności i dostępności usług sieciowych " Dostęp zdalny " Bezpieczeństwo fizyczne " Bezpieczeństwo logiczne!dopiero potem możemy zabrać się za TESTY szczegółowe Strona 12
Rozwiązania awaryjne...! Jaki jest pomysł na backup " czy przełączamy w locie, czy akceptujemy że usługi sieciowe będą niedostępne przez pewien czas (jaki czas) " kto zatwierdził założenia do rozwiązania awaryjnego (czyli kto zatwierdził że NIE MA rozwiązania awaryjnego) " czy procedury przełączania w tryb awaryjny są przetestowane (czy są wykonalne) " czy rozwiązanie awaryjne nie jest tylnym wejściem do systemu Strona 13
Internet...! W pierwszej kolejności kwestie prawne, a nie techniczne: " Polityka wykorzystania Internetu " Doradztwo prawne " Sposób zakomunikowania Polityki użytkownikom " Na ile polityka doradza użytkownikom właściwy sposób wykorzystania Internetu! Kwestie techniczne: " konfiguracja urządzeń " śledzenie nowinek technicznych z zakresu bezpieczeństwa (CERT) " monitorowanie " konfiguracja routerów Strona 14
Bezpieczeństwo fizyczne...! Bezpieczeństwo serwerów! Bezpieczeństwo urządzeń sieciowych (np. lokalizacja switchy)! Bezpieczeństwo stacji roboczych! Nośniki danych W sumie, procedura nie podpowiada tu nic specjalnego Strona 15
Edukacja użytkowników...! Znajomość polityki i procedur bezpieczeństwa! Świadomość zagrożeń wśród użytkowników! Egzekwowanie przestrzegania procedur "czy w przypadku incydentów wyciągano konsekwencje Strona 16
Bezpieczeństwo firewalli (styku z Internetem)...! Ocena koncepcji konfiguracji styku z Internetem! Co jest rejestrowane na styku z Internetem! Testy Attack & Penetration (ukierunkowane na typowe problemy i znane zagrożenia) " UWAGA: niepomyślne testy (brak włamania) nie są żadnym świadectwem bezpieczeństwa i nie można ich w ten sposób interpretować " Jeżeli mamy do czynienia z ryzykiem, że testy zostaną w ten sposób zinterpretowane to lepiej nie róbmy ich w ogóle " Testy A&P należy traktować tylko jako narzędzie do lepszego zrozumienia konfiguracji sieci i materiał do szczegółowej analizy Strona 17
Bezpieczeństwo poczty elektronicznej...! Jakiego typu narzędzia chroniące pocztę są stosowane! Czy stosowanie tych narzędzi wynika z Polityki Bezpieczeństwa! Jak wygląda kwestia odpowiedzialności użytkowników za pocztę elektroniczną (uwaga na system prawny)! Czy poczta jest backupowana (archiwizowana) Strona 18
O czym nie powiedzieliśmy...? Strona 19
Jakub Bojanowski, CISA, CIA Senior Manager Enterprise Risk Services Deloitte & Touche Audit Services Sp. z o.o. ul. Fredry 6 00-097 Warszawa tel: +48 (22) 511 0 811 fax: +48 (22) 511 0 813 jbojanowski@deloittece.com www.deloittece.com