За 85% проблем качества отвечает менеджмент. (Уильям Эдвардс Деминг)
Зарубежные подходы к аудиту и сертификации
Особенности зарубежных подходов
Современные методы управления ИБ способны обеспечить решение любых корректно поставленных задач в области ИБ, уровень безопасности любой технологии может быть сколь угодно высок.
Наиболее существенные аспекты методик оценки эффективности подсистемы безопасности (в соответствии с BS7799) рассмотрены в приложении. Однако затраты на обеспечение высокого уровня безопасности могут оказаться также чрезвычайно высокими.
Нахождение разумного компромисса, выбор приемлемого уровня безопасности при допустимых затратах является обязательным условием постановки задачи обеспечения ИБ.
Постановка задачи нахождения компромисса между эффективностью подсистемы безопасности и ее стоимостью предполагает, как минимум, что:
- существует система показателей для оценки эффективности подсистемы безопасности и методика их измерения;
- существуют люди (должностные лица), уполномоченные принимать решение о допустимости определенного уровня остаточного риска;
- существует система мониторинга, позволяющая отслеживать текущие параметры подсистемы безопасности.
Наименее формализованный аспект этой задачи — как реально выбрать такой компромисс.
Искусство поиска компромисса
Умение правильно оценить угрозы ИБ в конкретной ситуации, найти систему контрмер, обладающих приемлемым соотношением стоимость/эффективность является одним из необходимых качеств аудитора.
Выбор контрмер с приемлемым значением стоимость/эффективность
В ISACA существуют учебные программы, помогающие овладеть этими навыками. В качестве примера рассмотрим интерактивную обучающую программу TAKO, доступную по адресу https://www.isaca.org/tako.htm.
Пример. Аудит ИБ подсистемы расчета и выдачи зарплаты корпорации
Корпорация, имеющая около 5 тысяч сотрудников, расположена в центральном офисе и 8 филиалах, находящихся в других городах. Расчет зарплаты производится в центральном офисе. Требуется оценить угрозы ИБ, предложить адекватную систему контрмер.
План проведения аудита ИБ предусматривает рассмотрение следующих технологических стадий (Рис. 9), решения этой задачи (Рис. 9, Рис. 10, Рис. 11, Рис. 12, Рис. 13, Рис. 14 и Рис. 15 получены с помощью упомянутой выше программы TAKO):
- Учет фактически отработанного сотрудниками времени.
- Передача данных для расчета в центральный офис.
- Работа с массивом персональных данных, используемых при начислении зарплаты.
- Расчет зарплаты.
- Передача платежных ведомостей в банк.
- Отчеты и справки по зарплате.
- Работа с управляющей информацией подсистемы (временные зоны, ставки по категориям, фиксированная часть премиальных и т.д.).
Рисунок 9. Стадии проведения аудита ИБ подсистемы расчета и выдачи зарплаты.
Для каждой стадии составляется список факторов риска, эксперту предлагается выбрать наиболее значимый фактор и ранжировать остальные. затем рассматриваются возможные контрмеры, характеризуемые стоимостью и эффективностью. Требуется подобрать набор мер с оптимальным (по мнению аудитора) соотношением стоимость/эффективность.
Рассмотрим, например, технологическую стадию: работа с массивом персональных данных, используемых при начислении зарплаты (Рис. 10).
Был использован следующий набор угроз:
- Т1 — Данные вводит неавторизованный пользователь (оператор).
- Т2 — Данные, используемые для выдачи зарплаты, посылаются в банк с неверными банковскими реквизитами.
- Т3 — Оператором вводятся фиктивные данные на несуществующих людей (мошенничества с получением денег за несуществующих сотрудников).
- Т4 — Несанкционированный доступ (на чтение) к платежным документам внешним нарушителем.
- Т5 — В бухгалтерию поступают фальсифицированные платежные ведомости.
- Т6 — Информация в базе изменяется в результате телефонного разговора, данные оказываются некорректными.
- Т7 — Частично отсутствуют необходимые для начисления зарплаты данные.
- Т8 — Описки в количестве нулей — по ошибке оператора размер зарплаты сотрудника увеличивается в 10 раз.
- Т9 — Банковские реквизиты в базе данных некорректны.
- Т10 — Информация, на основе которой начисляется зарплата, изменяется без уведомления ответственного за это лица.
Рисунок 10. Угрозы безопасности при работе с массивом персональных данных.
Аудитору предлагается выбрать наиболее значимую (вероятную) угрозу. Правильным ответом является: ошибки оператора (Т8), остальные угрозы могут быть ранжированы так, как показано на Рис. 11.
Рисунок 11. Ранжирование угроз безопасности.
затем выбирается подходящий набор контрмер из следующего списка (Рис. 12):
- Доступ к базе данных по расчету зарплаты предоставляется только имеющему к этому отношение персоналу.
- Другие пользователи должны одобрить вносимые изменения.
- Двойной ввод при внесении изменений.
- Отсутствует возможность изменения данных на себя любым сотрудником.
- запрос на изменение данных делается в письменном виде.
- Ежегодный отчет о выданной зарплате по получателям.
- Ведение журнала изменений базы данных бухгалтерии администратором.
- Журнал изменений направляется контролеру.
- Об изменениях базы данных сообщается получателю зарплаты.
- Информация об изменениях вносится в распечатку по расчету зарплаты.
- Журнал изменений сохраняется в файле.
