Documente Academic
Documente Profesional
Documente Cultură
10 februarie 2008
Recunoatere
CLUSIF dorete s mulumeasc membrilor echipei de lucru care au contribuit la crearea acestui document.
CLUSIF dorete de asemenea s mulumeasc dlui. Valentin P. Mzreanu i echipei sale (Alina Marin, Raluca Ungureanu)
care au acceptat s furnizeze aceast traducere. Dl. Valentin P. Mzreanu i desfoar activitatea n cadrul Facultii de
Economie i Administrarea Afacerilor, Universitatea Al.I.Cuza Iai i este director general al Paideia Consulting Iai. Pentru
mai multe informaii despre activitatea dlui. Valentin P. Mzreanu v invitm s accesai www.managementul-riscurilor.ro.
V rugm s trimitei ntrebrile i comentariile dumneavoastr la adresa mehari@clusif.asso.fr
10 februarie 2008
Cuprins
1 Introducere ........................................................................................................................................................................................ 4
2 Construirea unei scheme de audit...................................................................................................................................................... 5
2.1 Scopul unei scheme de audit ...................................................................................................................................................... 5
2.2 Construirea unei scheme de audit............................................................................................................................................... 5
2.2.1 Domeniile MEHARI de responsabilitate............................................................................................................................ 6
2.2.2. Tipuri de sub-seturi care ar trebui personalizate pentru audite de securitate...................................................................... 6
2.2.3 Crearea unei scheme de audit detaliate................................................................................................................................ 7
2.2.4 Construirea schemelor de audit specifice ............................................................................................................................ 8
3 Procesul de recenzie .......................................................................................................................................................................... 9
3.1. Evaluarea calitii serviciului de securitate ............................................................................................................................... 9
3.1.1 Parametri obligatorii............................................................................................................................................................ 9
3.1.1.1 Eficiena serviciului de securitate................................................................................................................................. 9
3.1.1.2 Ct de robust este un serviciu de securitate? .............................................................................................................. 10
3.1.1.3 Permanena ................................................................................................................................................................. 10
3.1.2 Definiia calitii nivelelor serviciului de securitate .......................................................................................................... 10
3.2 Evaluarea direct a calitii serviciului de securitate................................................................................................................ 11
3.3. Evaluarea calitii serviciului de securitate folosind chestionare MEHARI............................................................................ 11
3.3.1 Tipuri de chestionare ......................................................................................................................................................... 12
3.3.2 Sistemul de evaluare.......................................................................................................................................................... 12
3.3.2.1 Msuri contributive .................................................................................................................................................... 12
3.3.2.2 Msuri majore sau suficiente .................................................................................................................................. 13
3.3.2.3 Msuri eseniale.......................................................................................................................................................... 14
3.3.2.4 ntrebri inaplicabile................................................................................................................................................... 15
3.4. Procesul de audit ..................................................................................................................................................................... 15
3.4.1 Procesul de revizie............................................................................................................................................................. 15
3.4.2 Notarea i corectarea notrii .............................................................................................................................................. 16
4 Produse livrabile.............................................................................................................................................................................. 18
4.1 Graficul sintetic al serviciului de securitate.............................................................................................................................. 18
4.2 Graficul sintetic tematic.......................................................................................................................................................... 18
4.3 Msuri de concordan legate de standardul ISO 17799:2005 ................................................................................................. 18
5 Sfaturi practice ................................................................................................................................................................................ 20
5.1. Puncte importante care trebuiesc incluse n schemele de audit ............................................................................................... 20
5.2 Puncte importante care trebuiesc acoperite n procesul de audit .............................................................................................. 20
10 februarie 2008
1 Introducere
O privire general asupra principiilor unei recenzii a vulnerabilitii este oferit n documentul
Concepte i Mecanisme. Principalele puncte sunt amintite mai jos.
Acest document examineaz procesul de evaluare i ofer mai multe detalii complementare care pot
fi necesare.
Pe scurt, recenzia MEHARI a vulnerabilitii, sau auditul securitii, const n:
-
O schem de audit a diferite domenii de securitate, fiecare dintre ele trebuind analizat
separat.
O re-evaluare a serviciilor de securitate pentru reducerea riscului, pentru fiecare domeniu.
Acest lucru ar trebui s acopere eficiena i robusteea fiecrui serviciu, i modul n care este
supravegheat operaional. Aceast evaluare este fcut de obicei prin chestionare, dar poate
fi realizat i direct.
O privire general asupra vulnerabilitilor reziduale.
10 februarie 2008
10 februarie 2008
Fac distincia ntre domenii de responsabilitate unde o persoan poate fi clar definit ca
avnd responsabilitatea pentru un domeniu care are o politic de securitate
consecvent.
S analizeze, n cadrul acestor domenii, dac exist diferite persoane care ar putea avea
politici de securitate diferite, i astfel s defineasc diferite sub-domenii de responsabilitate.
De exemplu, administratorii de site pot avea, pentru securitatea site-lui lor, politici care sunt
diferite de cele ale altui site.
S analizeze, n fiecare domeniu sau sub-domeniu, sub-seturile care pot avea politici
diferite din oricare motiv (tehnic sau altul).
Organizaia
Securitatea fizic a site-ului
Securitatea fizic a cldirilor i camerelor
Arhitectura i nivelele de continuitate ale serviciului ale reelelor extinse inter-site
Arhitectura i nivelele de continuitate ale serviciului reelelor locale
Operarea reelei
Arhitectura sistemelor i securitatea logic
Operarea sistemelor IT
Securitatea aplicaiilor
Dezvoltarea IT
Spaiul de lucru, i mediul de lucru general
Aspecte legale i aplicarea reglementrilor sau directivelor
Finalitatea schemei de audit este de a defini audite specifice pentru fiecare domeniu. Chestionarele
de audit MEHARI sunt chiar i ele mprite urmnd aceast organizare. Ele sunt organizate n
acest mod pentru a optimiza procesul de audit.
Primul nivel structural al schemei de audit va reflecta deci aceast descompunere. Apoi auditorul va
trebui s decid, pentru fiecare domeniu care este acoperit, cte variaii ar trebui definite:
-
Cte organizaii diferite ar trebui auditate separat pentru funciile de securitate care depind
de organizaie?
Ci administratori de site pot avea o politic de securitate specific, care necesit recenzii
ale vulnerabilitii separate?
Ci administratori locali ai premiselor pot avea o politic de securitate specific, care
necesit recenzii ale vulnerabilitii separate?
Exist mai muli administratori de reea local care ar trebui s fie intervievai separat?
i aa mai departe.
De fiecare dat cnd exist nevoia de a se distinge ntre entiti sau responsabiliti (din motive de
autonomie, sau din imposibilitatea de a aplica politici consecvente), ar trebui create sub-domenii, i
multiplicate chestionarele pentru fiecare dintre ele.
10 februarie 2008
Cte tipuri diferite de organizaii trebuiesc auditate separat pentru funciile de securitate care
depind de organizaie?
Cte tipuri diferite de site au o politic de securitate specific, recenzii de vulnerabilitate
(centrale chimice, locaii cu acorduri de aprare specifice, care se ocup cu detalii personale,
sociale sau ale impozitelor, i aa mai departe)?
Cte tipuri de premise ar trebui difereniate n planul de securitate (birouri, camere ale
computerelor, centre tehnice, i aa mai departe)?
Cte reele extinse inter-site i externe (internet, de exemplu)?
Cte tipuri de reele locale?
Etc.
Pentru fiecare domeniu, va trebui s identificai cte variaii diferite trebuie identificate i auditate
individual.
Sub-domenii (exemple)
Tipuri de sub-domenii
Organizaie
ntreaga ntreprindere
Locaii
Premise
Sediul central
Agenii
de
vnzri
Locaii pentru
producie
Birouri i alte premise conduse Zone conduse de pri tere (ex.
de departamentul central al racordul la energie electric)
lucrrilor.
Camere ale computerelor
Domenii IT, electrice, tehnice i
Alte zone tehnice
al telecomunicaiilor
Reele IT
Reele IT
Reele ale proceselor de producie Reele ale
(administrate de departamentul de
producie
producie industrial)
proceselor
de
Reele IT
Reele IT
Reele ale proceselor de producie
(administrate de departamentul de Reele ale
producie
producie industrial)
proceselor
de
Operarea reelei
10 februarie 2008
Sisteme
Sisteme IT
Sisteme ale proceselor de
producie
(administrate
de
departamentul
de
producie
industrial)
Mainframe-uri
Sisteme deschise (Unix & NT)
Sisteme de management a
procesului
Sisteme de management al
securitii procesului
Operarea sistemelor IT
Sisteme IT
Sisteme ale procesului de
producie
(administrate
de
departamentul
de
producie
industrial)
Mainframe-uri
Sisteme deschise (Unix & NT)
Sisteme de management a
procesului
Securitatea aplicaiilor
Aplicaii mainframe
Aplicaii ale sistemelor deschise
Dezvoltarea IT
Dezvoltarea
condus
de
departamentul IT
Dezvoltarea specific executat de
utilizatori
Dezvoltarea
condus
de
departamentul IT
Dezvoltarea specific executat
de utilizatori
Mediul de lucru
naional
i Statutul legal al ntreprinderii
Mediul legal i respectarea Legislaia
reglementrile i directivele n
directivelor
vigoare
O astfel de schem de audit permite definirea unei organizri detaliate pentru recenzia de
vulnerabilitate, i identificarea necesitii pentru o recenzie specific a vulnerabilitii pentru
fiecare din obiectele trecute n coloana din dreapta. Auditorul de securitate poate deci multiplica
chestionarul (dac se folosesc chestionare) n attea copii cte domenii sunt n domeniul
corespondent.
10 februarie 2008
3 Procesul de recenzie
3.1. Evaluarea calitii serviciului de securitate
Aceast sub-seciune face rezumatul aspectelor fundamentale deja descrise n Concepte i
Mecanisme. Cititorii care sunt deja bine versai n aceste principii ar trebui s treac direct la subseciunea 3.2.
Serviciile de securitate pot varia n performan. Acestea vor fi mai mult sau mai puin eficiente n
funcia lor, i mai mult sau mai puin robuste n capacitatea lor de a rezista atacurilor directe, n
funcie de mecanismele folosite i de aspectele organizaionale.
Eficiena
Robusteea
Permanena.
10 februarie 2008
3.1.1.3 Permanena
Calitatea global a unui serviciu de securitate necesit ca serviciul s fie garantat n timp.
Pentru aceasta, orice ntrerupere a serviciului poate fi detectat i pot fi aplicate msuri paliative.
Totul depinde, de aceea, de viteza detectrii i de capacitatea de a reaciona.
Pentru msurile generale, supravegherea soluiilor este important pentru a arta c acestea pot fi
msurate cu adevrat, n ceea ce privete implementarea i eficacitatea, dar i c exist indicatori ai
calitii efective a serviciului i puncte de control implementate.
10
10 februarie 2008
Serviciul este de obicei eficient i rezist unui hacker mediu sau puin competent. Totui, el este cu
siguran insuficient atunci cnd se confrunt cu un profesionist cu experien n acel domeniu (acesta ar
putea fi un profesionist IT, un ho bine echipat, sau un expert n spargeri fizice). n ceea ce privete
fenomenele naturale, este rareori suficient pentru a acoperi evenimente grave dei acestea sunt rare. n
general, astfel de servicii ar mbunti doar situaiile de zi ci zi.
Calitatea serviciului evaluat ca fiind de nivelul 3
Serviciul este mai eficient i rezist la atacurile i evenimentele descrise mai sus, dar ar putea fi
insuficient mpotriva atacurilor specializate (hackeri bine echipai i cu experien, ingineri de sistem
specializai, mai ales dac acetia au unelte sau expertiz aplicat pe domeniu, spioni profesioniti, i aa
mai departe), sau dezastre naturale cu adevrat excepionale. O soluie generalizat ar avea un oarecare
efect asupra unui numr mare de circumstane. Totui, ea nu ar oferi cu siguran nici o garanie pentru
probleme sau atacuri foarte grave.
Calitatea serviciului evaluat ca fiind de nivelul 4
Acesta este cel mai ridicat nivel, i serviciul de securitate va rmne activ i eficient n faa tuturor
agresiunilor descrise mai sus. Ar putea totui fi spart n circumstane excepionale: cei mai buni sprgtori
de coduri din lume cu cele mai bune unelte de spart coduri (ceea ce este posibil dac unele ri vor ca
acest lucru s se ntmple) sau o combinaie excepional de circumstane excepionale.
Procesul de evaluare a calitii serviciului de securitate folosit de MEHARI a fost construit pentru a oferi
evaluri de calitate corespunztoare pentru definiiile de mai sus.
11
10 februarie 2008
A 02
07A02-01
07A02-02
07A02-03
07A02-04
07A02-05
07A02-06
07A02-07
Chestionarele cuprind ntrebri de diferite feluri. Acestea ar putea fi ntrebri orientate ctre eficacitatea
msurilor de securitate (ex.: frecven back-up-ului, tipul controlului accesului fizic: cititor de carduri,
digicod, etc., existena detectoarelor de incendiu, etc.), ntrebri orientate ctre robusteea msurilor de
securitate (ex.: unde sunt depozitate rezervele, i cum este protejat accesul, dac exist o u dubl, i ct
de bine sunt construite uile, cum este protejat sistemul de detectare a incendiilor, etc.). n general, sunt i
una sau dou ntrebri despre monitorizarea, controlul i auditul funciilor ateptate de la serviciu.
12
DA/NU V
10 februarie 2008
13
10 februarie 2008
07A02-02
07A02-03
07A02-04
07A02-05
07A02-06
07A02-07
n exemplu, faptul c procesul pentru alocarea, modificarea sau ridicarea drepturilor (ntrebarea 03) este
administrat strict a fost considerat suficient pentru a mri nota calitii serviciului la pragul de minim de
3.
14
10 februarie 2008
Min
n exemplul de mai sus, opinia experilor susine c rspunsurile negative la ntrebrile 1 i 7 nseamn c
nivelul calitii serviciului nu poate fi mai mare de 2. Aceast limit are prioritate n faa valorii nivelului
3 propus mai devreme.
Acest sistem triplu de msurare a calitii serviciului evit riscul de a vedea c se d un nivel al calitii
supraevaluat unei serii de msuri ineficiente atunci cnd msurile eseniale nu sunt active sau, dimpotriv,
o serie de msuri greit estimate sub-evalueaz calitatea serviciului atunci cnd o msur esenial este
implementat. Aceast abordare este una din caracteristicile distinctive ale MEHARI, oferind o valoare
real pe baza expertizei persoanelor care ntrein bazele de cunotine.
15
10 februarie 2008
16
10 februarie 2008
Auditorul ar trebui, deci, nainte de a trage concluziile i de a prezenta concluziile auditului, s verifice
dac notarea folosit pentru fiecare serviciu i sub-serviciu este corespunztoare, prin referirea la
definiiile nivelelor de calitate obinute.
Este, deci, obligatoriu ca auditorul s fie un profesionist cu experien n securitate.
17
10 februarie 2008
4 Produse livrabile
Rezultatele brute reprezint fie chestionarele completate, cu comentariile adiacente dup cum s-a descris
mai devreme, fie evaluarea direct a calitii serviciului de securitate.
n general, produsele livrabile sunt prezentate printr-un numr de grafice sintetice.
Merit observat faptul c, n timpul unui audit parial, prin acoperirea uneia sau a mai multor teme (de
exemplu ntreinerea, sau securitatea proiectelor de dezvoltare) este mai uor s concentrm auditul
asupra serviciilor de securitate care contribuie la temele selectate.
18
10 februarie 2008
a securitii poate servi la fel de bine ca mijloc de a documenta nivelul de bun practic recomandat de
ctre standardul ISO 17799:2005.
Efectiv, fiecare ntrebare din procesul de audit MEHARI poate fi vzut ca un punct de control elementar
care este menit s valideze soluii i procese de securitate implementate de entitatea organizaional.
Deoarece organizarea auditului MEHARI aduce la lumin capacitatea de a reduce riscul, la fiecare nivel
operaional i cu contribuia managerilor operaionali, structura serviciilor nu este perfect aliniat cu
structura descriptiv a standardului.
n plus, chestionarele MEHARI conin mai multe servicii i controale care merg mai departe de
recomandrile standardului. De aceea a fost fcut o aplicaie a ntrebrilor MEHARI pe practicile
standardului ISO.
Chestionarele de audit MEHARI 2007 au fost puin modificate pentru a facilita aceast aplicaie i se
ofer oferit un tabel al corespondenelor (cu formulele corespunztoare) n baza de date a cunotinelor.
Astfel este posibil s se vizualizeze1 nivelul de maturitate al entitii operaionale pentru fiecare punct de
control al standardului (cu o notare de la 0 la 4, de exemplu). Acesta nu reprezint scopul primar al lui
MEHARI, dar poate oferi informaii utile n timpul procesului de certificare sau atunci cnd se compar
diferite organizaii.
19
10 februarie 2008
5 Sfaturi practice
5.1. Puncte importante care trebuiesc incluse n schemele de audit
O schem de audit este perceput uneori ca fiind complicat. Nu exist nici un motiv pentru acest lucru
ea este doar o fotografie a strii a diferite soluii i situaii.
Un sistem mainframe este diferit de unul UNIX; iar sistemele lor de securitate, precum i operaiunile lor,
sunt inevitabil diferite. Aceste diferene pot fi ignorate sau luate n calcul, n funcie de circumstane.
Dac se vrea ca diferenele s fie scoase la iveal, chestionarele ar trebui multiplicate corespunztor, i ar
trebui puse ntrebri asemntoare unor grupuri diferite. Dac preferai s ignorai diferenele, ntrebrile
vor fi puse doar o dat la nivel global dar acest lucru este independent de metodologia auditului.
Schema de audit este doar un mijloc simplu de a diferenia diferitele domenii ale soluiei n timpul
procesului de audit.
Distincia dintre domeniile soluiei este doar o chestiune de alegere. O abordare de obicei bun pentru
aceast problem este s se ia n considerare cte persoane vor trebui intervievate pentru acelai domeniu.
Practic, ntrebarea este cte persoane diferite pot avea att de multe preri diferite asupra aceleiai
situaii?. Deoarece fiecare prere diferit necesit un interviu specific, iar dou preri foarte
asemntoare pot s nu justifice timpul i energia interviurilor separate.
20
10 februarie 2008