Главная: Рефераты

Рефераты. Интеллектуальные компьютерные технологии защиты информации

Рис. 3.1. Структура стандарта CoBIT

Теперь немного разъяснений по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT:

Трудовые ресурсы-- под трудовыми ресурсами понимаются не только сотрудники организации, но также руководство организации и контрактный персонал. Рассматриваются навыки штата, понимание задач и производительность работы.

Приложения - прикладное программное обеспечение, используемое в работе организации. Технологии - операционные системы, базы данных, системы управления и т.д. Оборудование - все аппаратные средства КИС организации, с учетом их обслуживания.

Данные - данные в самом широком смысле - внешние и внутренние, структурированные и неструктурированные, графические, звуковые, мультимедиа и т.д.

Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита КИС по следующим критериям:

Эффективность - критерий, определяющий уместность и соответствие информации задачам бизнеса.

Технический уровень - критерий соответствия стандартам и инструкциям.

Безопасность - защита информации.

Целостность - точность и законченность информации.

Пригодность - доступность информации требуемым бизнес-процессам в настоящем и будущем. А также защита необходимых и сопутствующих ресурсов.

Согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, то есть внешние требования к бизнесу.

Надежность - соответствие информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей.

CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимает во внимание утвержденные ранее стандарты и нормативные документы:

технические стандарты;

кодексы;

критерии КИС и описание процессов;

профессиональные стандарты;

требования и рекомендации;

требования к банковским услугам, системам электронной торговли и производству.

Применение стандарта CoBiT возможно как для проведения аудита КИС организации, так и для изначального проектирования КИС. Обычный вариант прямой и обратной задач. Если в первом случае -это соответствие текущего состояния КИС лучшей практике аналогичных организаций и предприятий, то в другом - изначально верный проект и, как следствие, по окончании проектирования - КИС, стремящаяся к идеалу. В дальнейшем мы будем рассматривать аудит КИС.

Несмотря на размер разработчики старались, чтобы стандарт был прагматичным и отвечал потребностям бизнеса, при этом сохраняя независимость от конкретных производителей, технологий и платформ.

На базовой блок-схеме CoBiT отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам КИС, которые анализируются с использованием критериев оценки CoBiT на всех этапах построения и проведения аудита.

Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь состоят из трехсот двух объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии КИС.

Отличительные черты CoBiT:

Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов КИС).

Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).

Адаптируемый, наращиваемый стандарт.

Рассмотрим преимущества CoBiT перед многочисленными западными разработками. Прежде всего, это его достаточность - наряду с возможностью относительно легкой адаптации к особенностям КИС. И, конечно же, то, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные не изменяя общие подходы и собственную структуру.

3.2.4 Практика проведения аудита КИС

Представленная на рис. 3.2. блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита КИС. Рассмотрим их подробнее.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита. Границы аудита определяются критическими точками КИС (элементами КИС), в которых наиболее часто возникают проблемные ситуации.

На основании результатов предварительного аудита всей КИС (в первом приближении) проводится углубленный аудит выявленных проблем.

В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии КИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования КИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.

Рис. 3.2. Общая последовательность проведения аудита КИС

Проведение анализа - наиболее ответственная часть проведения аудита КИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учётом рисков внедрения.

Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.

На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе КИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности КИС.

Постоянное проведение аудита гарантирует стабильность функционирования КИС, поэтому создание плана-графика проведения последующих проверок является одним из результатов профессионального аудита.

3.2.5 Результаты проведения аудита КИС

Результаты аудита КИС организации можно разделить на три основные группы:

Организационные - планирование, управление, документооборот функционирования КИС.

Технические - сбои, неисправности, оптимизация работы элементов КИС, непрерывное обслуживание, создание инфраструктуры и т.д.

Методологические - подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный аудит позволит обоснованно создать следующие документы:

Долгосрочный план развития КИС.

Политика безопасности КИС организации.

Методология работы и доводки КИС организации.

План восстановления КИС в чрезвычайной ситуации.

3.3 Управление паролями

Доступ сотрудников к данным или иным источникам в системе обычно контролируется комбинацией идентификаторов пользователей системы и паролей. Для того чтобы такой подход был эффективным, необходимо поддерживать целостность пароля в течение всего периода его действия. Если идентификатор пользователя не предназначен для использования более, чем одним лицом (нежелательная ситуация, которая снимает ответственность), пароль должен быть известен только владельцу идентификатора пользователя, к которому он относится.

Система или сеть будет подвергаться опасности, если пароль и, следовательно, идентификатор пользователя компрометируются. Серьезность такой опасности зависит от:

функций, доступных данному идентификатору пользователя - чем привилегированнее идентификатор, тем больше угроза;

степени уязвимости данных, к которым может быть получен доступ.

Возможность использования компьютера или терминала может быть ограничена паролем включения питания, который не позволяет пользоваться компьютером, пока не будет введен правильный пароль. Screen savers (первоначально предназначавшиеся для предохранения экранов от пережога во время неактивного использования) обычно имеют парольные средства для предотвращения несанкционированного доступа к машине в отсутствие оператора. Эти средства могут быть полезными для предотвращения случайного несанкционированного доступа, но зачастую их можно обойти, имея достаточные технические знания.

Пароли наиболее часто компрометируются из-за отсутствия должной осторожности. Они также могут компрометироваться посредством некоторой формы изощренной атаки с использованием программного обеспечения для сборки паролей.

3.3.1 Потенциальные угрозы Потеря конфиденциальности вследствие:

несанкционированного доступа к данным из-за потери защиты пароля.

Потеря целостности вследствие:

несанкционированного изменения системы и/или ее данных из-за потери защиты пароля.Потеря доступности вследствие:

незапоминания пароля;

неправильного или несанкционированного изменения пароля.

3.3.2 Пути снижения рисков

избегать использования общих идентификаторов пользователей вместе с общими паролями;

выбирать пароли длиной не менее шести знаков;

соблюдать следующие правила в отношении паролей:

никому не раскрывать свой пароль;

убедиться, что никто не наблюдает за вами во время ввода пароля;

не записывать пароль там, где его может кто-либо может обнаружить;

выбирать свои собственные пароли;

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.