Saugumo Auditas Mitai Ir Realybe

930 views

Published on

iš www.critical.lt

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
930
On SlideShare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Saugumo Auditas Mitai Ir Realybe

  1. 1. Saugumo auditas: mitai ir realybė Miroslav Lučinskij, UAB Critical Security direktorius
  2. 2. Saugumo auditas: kas tai? • Saugumo auditas – tai sistemingas duomenų apie esamą informacinio saugumo užtikrinimo situaciją objektuose, veiksmuose ir įvykiuose, egzistuojančiuose tikrinamoje informacinėje infrastruktūroje rinkimas, analizė ir atitikties nustatytiems kriterijams įvertinimas • Paprasčiau tariant...
  3. 3. Saugumo audito tikslas • Informacinės saugos užtikrinimo procesų tyrimas sistemose, dirbančiose pagal tiesioginę paskirtį – vartotojų poreikių tenkinimą • Sistema tai - konkreti aplikacija, konkretus serveris ar jų grupė, visa įmonė ir t.t.
  4. 4. Šiuolaikinių informacinių sistemų savybės • Vyksta daug procesų ir situacijų, kurių kontekstas ir parametrai nebūtinai tinkamai fiksuojami ir aprašomi • Pažeidžiamumų, leidžiančių apeiti egzistuojančius saugumo apribojimus skaičius nuolat auga • Informacinio saugumo užtikrinimas suvedamas į tam tikrą produktų rinkinį
  5. 5. Saugumo auditas: realybė • Saugumo auditas – tai SVARBU • Saugumo auditas – tai REIKALINGA • Saugumo auditas – tai NAUDINGA
  6. 6. Tai svarbu, nes: • Ekonominiai nuostoliai dėl IT saugumo pažeidimų nuolat sparčiai auga • Informacijos apsaugai skirtų priemonių rinka vystosi nevisuomet aiškia kryptimi: ko gi iš tiesų reikia? • Mums yra reikalingas atsakymas į klausimą: Kas yra gerai, o kas yra blogai?
  7. 7. Tai reikalinga, nes: • Tik nepriklausoma ekspertizė gali parodyti objektyvią informacinio saugumo užtikrinimo priemonių būklę • Reikia įvertinti visus informacijos apsaugos aspektus ir nustatyti jų sąryšius • IT saugumo modelio pažeidimai yra latentiški, todėl geriau vykdyti prevenciją nei šalinti pasekmes
  8. 8. Tai naudinga, nes: • Atsiranda informacijos saugumo užtikrinimo strategija, atitinkanti realią situaciją • Atsiranda galimybė surasti balansą tarp organizacinių ir techninių IT saugumo sudedamųjų dalių • Išlaidos auditui atsiperka ateityje dėl IT saugumo užtikrinimo optimizacijos
  9. 9. Saugumo auditas: mitai • Saugumo auditas – tai ISO 17799 standartas • Saugumo auditas – tai ISO 15408 standartas • Saugumo auditas – tai automatinis skenavimas ir atakų aptikimas
  10. 10. Mitas Nr 1: Standartas ISO 17799 • ISO 17799 labiau reikalingas informacinio saugumo užtikrinimo vadybos lygio įvertinimui, kadangi: • Yra galimybė įvertinti tik informacijos apsaugos valdymo būklę • Neleidžia realiai įvertinti sistemų apsaugos lygio • Lieka neišspręstas klausimas: ar pakanka esamų priemonių ir kiek efektyviai jos veikia?
  11. 11. Mitas Nr 2: Standartas ISO 15408 • ISO 15408 galima taikyti sudarant reikalavimus informacijos apsaugai ir vertinant apsaugos priemones, kadangi: • Numatyta tik reikalavimų produktams ar technologijoms formavimo metodika • Reikalauja “saugumo profilio” ir “saugumo užduočių” sukūrimo norint įvertinti saugumo funkcijų realizacijos taisyklingumą • Lieka neišspręstas klausimas: ar visos realios grėsmės nagrinėjamame objekte yra įvertintos ir gali būti pašalintos?
  12. 12. Mitas Nr 3: Automatinis skenavimas • Praverčia palaikant norimą saugumo būklę, tačiau to neužtenka: • Automatizuoti skeneriai klysta • Automatizuoti sprendimai negali išspręsti loginių ar “žmogiškųjų” klausimų • Lieka neišspręstas klausimas: jei skenavimo metu nebuvo aptikta jokių pažeidžiamumų, tai jų išties nėra?
  13. 13. Saugumo auditų tipai • Procedūrinis saugumo auditas (organizacijos atitikimas ISO-xxxxx) • Technologinis saugumo auditas • Įsibrovimo testas + kompleksinis saugumo auditas • Planinis saugumo įvertinimas (kontrolinis auditas)
  14. 14. Kiek galima (reikia) išleisti saugumo auditui? • Saugumo auditas – tai prevencinė priemonė (pvz. draudimas), neturinti tiesioginės investicijų grąžos • Tačiau yra netiesioginė nauda – esamos situacijos pagerinimas, rizikos sumažinimas, aiški saugumo užtikrinimo strategija ir t.t. • Vieni sako, jog reikia išleisti 2-5% nuo galimos žalos, kiti teigia, jog 10-15% IT biudžeto. Tretiems saugumo nereikia. Įvertinti padėtį yra sudėtinga – universalios formulės čia nėra, o spręsti vis tiek Jums.
  15. 15. Ačiū! Miroslav Lučinskij miroslav.lucinskij@critical.lt http://corporate.critical.lt | http://www.critical.lt

×