MEHARI 2007

Ghid de evaluare pentru serviciile de

securitate

MEHARI este marc nregistrat a CLUSIF

Ghid de evaluare pentru serviciile de securitate

10 februarie 2008

Recunoatere
CLUSIF dorete s mulumeasc membrilor echipei de lucru care au contribuit la crearea acestui document.
CLUSIF dorete de asemenea s mulumeasc dlui. Valentin P. Mzreanu i echipei sale (Alina Marin, Raluca Ungureanu)
care au acceptat s furnizeze aceast traducere. Dl. Valentin P. Mzreanu i desfoar activitatea n cadrul Facultii de
Economie i Administrarea Afacerilor, Universitatea Al.I.Cuza Iai i este director general al Paideia Consulting Iai. Pentru
mai multe informaii despre activitatea dlui. Valentin P. Mzreanu v invitm s accesai www.managementul-riscurilor.ro.
V rugm s trimitei ntrebrile i comentariile dumneavoastr la adresa mehari@clusif.asso.fr

Ghid de evaluare pentru serviciile de securitate

10 februarie 2008

Cuprins
1 Introducere ........................................................................................................................................................................................ 4
2 Construirea unei scheme de audit...................................................................................................................................................... 5
2.1 Scopul unei scheme de audit ...................................................................................................................................................... 5
2.2 Construirea unei scheme de audit............................................................................................................................................... 5
2.2.1 Domeniile MEHARI de responsabilitate............................................................................................................................ 6
2.2.2. Tipuri de sub-seturi care ar trebui personalizate pentru audite de securitate...................................................................... 6
2.2.3 Crearea unei scheme de audit detaliate................................................................................................................................ 7
2.2.4 Construirea schemelor de audit specifice ............................................................................................................................ 8
3 Procesul de recenzie .......................................................................................................................................................................... 9
3.1. Evaluarea calitii serviciului de securitate ............................................................................................................................... 9
3.1.1 Parametri obligatorii............................................................................................................................................................ 9
3.1.1.1 Eficiena serviciului de securitate................................................................................................................................. 9
3.1.1.2 Ct de robust este un serviciu de securitate? .............................................................................................................. 10
3.1.1.3 Permanena ................................................................................................................................................................. 10
3.1.2 Definiia calitii nivelelor serviciului de securitate .......................................................................................................... 10
3.2 Evaluarea direct a calitii serviciului de securitate................................................................................................................ 11
3.3. Evaluarea calitii serviciului de securitate folosind chestionare MEHARI............................................................................ 11
3.3.1 Tipuri de chestionare ......................................................................................................................................................... 12
3.3.2 Sistemul de evaluare.......................................................................................................................................................... 12
3.3.2.1 Msuri contributive .................................................................................................................................................... 12
3.3.2.2 Msuri majore sau suficiente .................................................................................................................................. 13
3.3.2.3 Msuri eseniale.......................................................................................................................................................... 14
3.3.2.4 ntrebri inaplicabile................................................................................................................................................... 15
3.4. Procesul de audit ..................................................................................................................................................................... 15
3.4.1 Procesul de revizie............................................................................................................................................................. 15
3.4.2 Notarea i corectarea notrii .............................................................................................................................................. 16
4 Produse livrabile.............................................................................................................................................................................. 18
4.1 Graficul sintetic al serviciului de securitate.............................................................................................................................. 18
4.2 Graficul sintetic tematic.......................................................................................................................................................... 18
4.3 Msuri de concordan legate de standardul ISO 17799:2005 ................................................................................................. 18
5 Sfaturi practice ................................................................................................................................................................................ 20
5.1. Puncte importante care trebuiesc incluse n schemele de audit ............................................................................................... 20
5.2 Puncte importante care trebuiesc acoperite n procesul de audit .............................................................................................. 20

Ghid de evaluare pentru serviciile de securitate

10 februarie 2008

1 Introducere

O privire general asupra principiilor unei recenzii a vulnerabilitii este oferit n documentul
Concepte i Mecanisme. Principalele puncte sunt amintite mai jos.
Acest document examineaz procesul de evaluare i ofer mai multe detalii complementare care pot
fi necesare.
Pe scurt, recenzia MEHARI a vulnerabilitii, sau auditul securitii, const n:
-

O schem de audit a diferite domenii de securitate, fiecare dintre ele trebuind analizat
separat.
O re-evaluare a serviciilor de securitate pentru reducerea riscului, pentru fiecare domeniu.
Acest lucru ar trebui s acopere eficiena i robusteea fiecrui serviciu, i modul n care este
supravegheat operaional. Aceast evaluare este fcut de obicei prin chestionare, dar poate
fi realizat i direct.
O privire general asupra vulnerabilitilor reziduale.

n teorie, recenzia vulnerabilitii privete un set comprehensiv de servicii de securitate, care ar

trebui deci identificat n avans. Presupunerea noastr, pentru restul acestui document, este c
serviciile care vor fie examinate de recenzia vulnerabilitii sunt cele definite n baza de cunotine
MEHARI a serviciilor de securitate.

Ghid de evaluare pentru serviciile de securitate

10 februarie 2008

2 Construirea unei scheme de audit

Serviciile de securitate, aa cum sunt ele definite de MEHARI, reprezint funcii de securitate, care
sunt oferite de soluii implementate n ntreprindere sau organizaie.
Recenzia vulnerabilitii implic, n practic, analiza i auditul soluiilor i procedurilor
implementate pentru a asigura funciile de securitate.
Totui, exist de obicei un numr de soluii care asigur un tip de protecie dat.
De exemplu, controlul accesului fizic la premise este n mod sigur oferit de diferite mecanisme i
soluii iar acestea vor fi diferite pentru accesul n camera calculatoarelor, sau alte centre tehnice,
precum instalaiile PABX, camerele de conferin, i instalaiile electrice mari.
Este de asemenea evident c controlul accesului logic la diferite sisteme (mainframe-uri, UNIX,
NT, i aa mai departe) va fi administrat n moduri diferite n funcie de tipul i nivelul sensibilitii
sistemului.
nainte chiar de a ne gndi la procesul de analiz i evaluare a serviciilor de securitate, CISO sau
auditorul de securitate ar trebui s identifice mai nti care soluii specifice ar trebui analizate i
auditate. n MEHARI acest lucru este numit planul de audit sau schema de audit.

2.1 Scopul unei scheme de audit

ntr-o lume ideal, fiecare serviciu de securitate n parte ar trebui examinat, i toate soluiile care
ofer aceste servicii n organizaie ar trebui identificate, astfel nct s poat fi auditate individual.
Acest lucru ar conduce la o cantitate de munc incredibil de mare pentru un rezultat al crui nivel al
detaliului ar fi de prisos. Simplificarea este, de aceea, recomandat prin gruparea serviciilor
asemntoare astfel nct s poat fi analizate ca seturi omogene.
Totui, nu este de obicei posibil s se ia n considerare ca echivalente toate soluiile implementate
n ntreprindere. Acest lucru ar fi ca i cum s-ar considera c toate cldirile i camerele sunt
protejate n acelai fel, c toate prile infrastructurii IT au aceleai planuri de rezerv, sau c toate
datele sunt depozitate i au back up n acelai mod. Evident, nu este cazul.
Este, desigur, ntotdeauna posibil s se grupeze diferite obiecte ntr-un singur set, care ar fi apoi
luat n considerare ca un ntreg omogen. Dar ar trebui observat faptul c o recenzie precaut a
vulnerabilitii poate aplica cea mai pesimist evaluare tuturor obiectelor unui set dat. Acest lucru
ar oferi o percepie general foarte slab asupra ntregului set.
Trebuie, de aceea, s gsim o cale de mijloc. Acest lucru ne va permite s difereniem ntre mai
multe soluii ale domeniilor care ar trebui auditate separat, i n cadrul crora soluiile de securitate
pot fi considerate omogene. Definiia acestor domenii este reprezentat de ctre schema de audit.

2.2 Construirea unei scheme de audit

Abordarea MEHARI este s ia n considerare faptul c serviciile de securitate sunt definite i
implementate de ctre echipe de dimensiuni limitate, cu o politic de securitate (fie c este
documentat explicit sau nu) care i va face s ia decizii omogene i consecvente, chiar i atunci
cnd constrngerile tehnice necesit soluii care difer n detalii.
Pe aceast baz, principiile MEHARI sunt s:
Ghid de evaluare pentru serviciile de securitate

10 februarie 2008

Fac distincia ntre domenii de responsabilitate unde o persoan poate fi clar definit ca
avnd responsabilitatea pentru un domeniu care are o politic de securitate
consecvent.
S analizeze, n cadrul acestor domenii, dac exist diferite persoane care ar putea avea
politici de securitate diferite, i astfel s defineasc diferite sub-domenii de responsabilitate.
De exemplu, administratorii de site pot avea, pentru securitatea site-lui lor, politici care sunt
diferite de cele ale altui site.
S analizeze, n fiecare domeniu sau sub-domeniu, sub-seturile care pot avea politici
diferite din oricare motiv (tehnic sau altul).

2.2.1 Domeniile MEHARI de responsabilitate

MEHARI definete domeniile de responsabilitate, numerotate de la 1 la 12, care, din punct de
vedere al securitii, acoper:
-

Organizaia
Securitatea fizic a site-ului
Securitatea fizic a cldirilor i camerelor
Arhitectura i nivelele de continuitate ale serviciului ale reelelor extinse inter-site
Arhitectura i nivelele de continuitate ale serviciului reelelor locale
Operarea reelei
Arhitectura sistemelor i securitatea logic
Operarea sistemelor IT
Securitatea aplicaiilor
Dezvoltarea IT
Spaiul de lucru, i mediul de lucru general
Aspecte legale i aplicarea reglementrilor sau directivelor

Finalitatea schemei de audit este de a defini audite specifice pentru fiecare domeniu. Chestionarele
de audit MEHARI sunt chiar i ele mprite urmnd aceast organizare. Ele sunt organizate n
acest mod pentru a optimiza procesul de audit.
Primul nivel structural al schemei de audit va reflecta deci aceast descompunere. Apoi auditorul va
trebui s decid, pentru fiecare domeniu care este acoperit, cte variaii ar trebui definite:
-

Cte organizaii diferite ar trebui auditate separat pentru funciile de securitate care depind
de organizaie?
Ci administratori de site pot avea o politic de securitate specific, care necesit recenzii
ale vulnerabilitii separate?
Ci administratori locali ai premiselor pot avea o politic de securitate specific, care
necesit recenzii ale vulnerabilitii separate?
Exist mai muli administratori de reea local care ar trebui s fie intervievai separat?
i aa mai departe.

De fiecare dat cnd exist nevoia de a se distinge ntre entiti sau responsabiliti (din motive de
autonomie, sau din imposibilitatea de a aplica politici consecvente), ar trebui create sub-domenii, i
multiplicate chestionarele pentru fiecare dintre ele.

2.2.2. Tipuri de sub-seturi care ar trebui personalizate pentru audite de securitate

Al doilea nivel al descompunerii schemei de audit trateaz strategiile tehnice, sau alte motive care
necesit diferenierea, n cadrul fiecrui domeniu, ntre sub-seturi care ar putea necesita politici de
securitate specifice. Tipul de ntrebri care ar trebui puse la acest nivel este:
Ghid de evaluare pentru serviciile de securitate

10 februarie 2008

Cte tipuri diferite de organizaii trebuiesc auditate separat pentru funciile de securitate care
depind de organizaie?
Cte tipuri diferite de site au o politic de securitate specific, recenzii de vulnerabilitate
(centrale chimice, locaii cu acorduri de aprare specifice, care se ocup cu detalii personale,
sociale sau ale impozitelor, i aa mai departe)?
Cte tipuri de premise ar trebui difereniate n planul de securitate (birouri, camere ale
computerelor, centre tehnice, i aa mai departe)?
Cte reele extinse inter-site i externe (internet, de exemplu)?
Cte tipuri de reele locale?
Etc.

Pentru fiecare domeniu, va trebui s identificai cte variaii diferite trebuie identificate i auditate
individual.

2.2.3 Crearea unei scheme de audit detaliate

Schema de audit reprezint rezultatul acestor dou componente structurale: domeniile de
responsabilitate pe de o parte, i variaiile personalizate pe de alt parte.
O schem de audit global a corporaiei care reprezint rezultatul acestei abordri ar putea s redea
de obicei un tabel de tipul celui artat mai jos:
Domeniu

Sub-domenii (exemple)

Tipuri de sub-domenii

Organizaie

Lips (fr descompunere)

ntreaga ntreprindere

Locaii

Sediul central i ageniile de

vnzri
Fabrici
(administrate
de
departamentul
de
producie
industrial)

Premise

Sediul central
Agenii
de
vnzri
Locaii pentru
producie
Birouri i alte premise conduse Zone conduse de pri tere (ex.
de departamentul central al racordul la energie electric)
lucrrilor.
Camere ale computerelor
Domenii IT, electrice, tehnice i
Alte zone tehnice
al telecomunicaiilor

Arhitectura reelei extinse

Nici una (fr descompunere)

Arhitectura reelei locale

Reele IT
Reele IT
Reele ale proceselor de producie Reele ale
(administrate de departamentul de
producie
producie industrial)

proceselor

de

Reele IT
Reele IT
Reele ale proceselor de producie
(administrate de departamentul de Reele ale
producie
producie industrial)

proceselor

de

Operarea reelei

Ghid de evaluare pentru serviciile de securitate

Reeaua inter-site extins

10 februarie 2008

Sisteme

Sisteme IT
Sisteme ale proceselor de
producie
(administrate
de
departamentul
de
producie
industrial)

Mainframe-uri
Sisteme deschise (Unix & NT)
Sisteme de management a
procesului
Sisteme de management al
securitii procesului

Operarea sistemelor IT

Sisteme IT
Sisteme ale procesului de
producie
(administrate
de
departamentul
de
producie
industrial)

Mainframe-uri
Sisteme deschise (Unix & NT)
Sisteme de management a
procesului

Securitatea aplicaiilor

Nici una (fr descompunere)

Aplicaii mainframe
Aplicaii ale sistemelor deschise

Dezvoltarea IT

Dezvoltarea
condus
de
departamentul IT
Dezvoltarea specific executat de
utilizatori

Dezvoltarea
condus
de
departamentul IT
Dezvoltarea specific executat
de utilizatori

Mediul de lucru

Sediul central i puncte de vnzare Sediul central

Fabrici
(administrate
de Puncte de vnzare
departamentul
de
producie Fabrici de producie
industrial)

naional
i Statutul legal al ntreprinderii
Mediul legal i respectarea Legislaia
reglementrile i directivele n
directivelor
vigoare

O astfel de schem de audit permite definirea unei organizri detaliate pentru recenzia de
vulnerabilitate, i identificarea necesitii pentru o recenzie specific a vulnerabilitii pentru
fiecare din obiectele trecute n coloana din dreapta. Auditorul de securitate poate deci multiplica
chestionarul (dac se folosesc chestionare) n attea copii cte domenii sunt n domeniul
corespondent.

2.2.4 Construirea schemelor de audit specifice

Este, desigur, posibil s se construiasc scheme de audit specifice care s corespund nevoilor
specifice i care nu acoper toate domeniile.
Este posibil, de exemplu, s se construiasc o schem de audit specific pentru un departament sau
un proiect (de la mediul de lucru al utilizatorului prin sistemele i aplicaiile folosite). Acest lucru
s-ar realiza prin selectarea domeniilor n discuie i conectarea sub-seturilor corespunztoare cu
zonele n discuie.
Ghid de evaluare pentru serviciile de securitate

10 februarie 2008

3 Procesul de recenzie
3.1. Evaluarea calitii serviciului de securitate
Aceast sub-seciune face rezumatul aspectelor fundamentale deja descrise n Concepte i
Mecanisme. Cititorii care sunt deja bine versai n aceste principii ar trebui s treac direct la subseciunea 3.2.
Serviciile de securitate pot varia n performan. Acestea vor fi mai mult sau mai puin eficiente n
funcia lor, i mai mult sau mai puin robuste n capacitatea lor de a rezista atacurilor directe, n
funcie de mecanismele folosite i de aspectele organizaionale.

3.1.1 Parametri obligatorii

Pentru a msura performana serviciului de securitate, trebuie luai n considerare mai muli
parametri:
-

Eficiena
Robusteea
Permanena.

3.1.1.1 Eficiena serviciului de securitate

Pentru serviciile de natur tehnic, eficiena este o msur a capacitii lor de a asigura eficient
funcia necesar atunci cnd se confrunt cu un personal mai mult sau mai puin competent sau cu
circumstane mai mult sau mai puin obinuite.
S lum, ca exemplu, sub-serviciul Managementul autorizrii accesului la sisteme informaionale,
care implic atribuirea drepturilor de acces ale utilizatorilor. Funcia acestui serviciu este de a
asigura c doar acele persoane care au autorizaia managementului lor primesc accesul
corespunztor la sistemele informaionale. n practic, eficiena serviciului depinde de stricteea
controalelor, de autenticitatea cererii, i de corelarea relaiei ierarhice dintre petiionar i noul
utilizator. Dac tot ce se cere este o simpl trimitere potal, fr semntur sau certificat, oricine
cunoate cte ceva despre procesul de autorizare ar putea s i aloce singuri fr permisiune
drepturi de acces, i calitatea sub-serviciului ar fi considerat ca fiind slab.
Eficiena unui serviciu care administreaz aciunile umane reprezint astfel msura competenei
necesare pentru a permite unor persoane s treac de controalele n vigoare, sau chiar s abuzeze de
ele.
Pentru acele servicii care trateaz evenimentele naturale (precum detectarea incendiilor, stingerea
incendiilor), eficiena reprezint o msur a puterii evenimentului pentru care intervenia lor
rmne eficient.
Dac acest lucru privete, de exemplu, un baraj care trebuie s mpiedice un ru s se reverse din
cauza ploilor abundente, eficiena este direct legat de debitul apei (puterea inundaiei) creia i se
opune. n practic, puterea va fi deseori msurat ca o funcie a caracterului excepional al
evenimentului.
Serviciile care ofer acoperire general nu pot, n principiu, s fie evaluate pe baza efectului lor
direct, ci doar pe baza rolului lor indirect.
Eficiena msurilor generale reprezint rezultatul capacitii lor de a crea planuri de aciune sau
Ghid de evaluare pentru serviciile de securitate

10 februarie 2008

schimbri de comportament semnificative.

3.1.1.2 Ct de robust este un serviciu de securitate?

Robusteea unui serviciu de securitate msoar capacitatea sa de a rezista unei aciuni care este
menit s scurt-circuiteze serviciul, sau s-i restricioneze eficiena.
Robusteea privete doar acele servicii care sunt considerate tehnice.
n exemplul precedent (managementul accesului), robusteea sub-serviciului depinde n mod
deosebit de ct de uor este s se acceseze direct tabelul cu drepturile de acces ale utilizatorilor, i
astfel s se permit cuiva s i atribuie drepturi de acces fr necesitatea de a urma procesele de
control obinuite.
Atunci cnd avem de-a face cu servicii pentru managementul accidentelor sau al evenimentelor
naturale (precum detectarea incendiilor, stingerea automat a incendiilor, i aa mai departe),
robusteea lor va acoperi i capacitatea de a evita s fie scurt-circuitate sau evitate (fie accidental,
sau intenionat).

3.1.1.3 Permanena
Calitatea global a unui serviciu de securitate necesit ca serviciul s fie garantat n timp.
Pentru aceasta, orice ntrerupere a serviciului poate fi detectat i pot fi aplicate msuri paliative.
Totul depinde, de aceea, de viteza detectrii i de capacitatea de a reaciona.
Pentru msurile generale, supravegherea soluiilor este important pentru a arta c acestea pot fi
msurate cu adevrat, n ceea ce privete implementarea i eficacitatea, dar i c exist indicatori ai
calitii efective a serviciului i puncte de control implementate.

3.1.2 Definiia calitii nivelelor serviciului de securitate

Calitatea unui serviciu de securitatea msoar eficiena sa, ct de robust este, i existena
controalelor obinuite. Global, de aceea, calitatea unui serviciu de securitate reprezint capacitatea
sa de a rezista oricrui atac asupra msurilor sale de aprare - dei nici un castel nu poate fi
considerat a fi de necucerit.
Calitatea serviciului de securitate este notat pe o scar de la 0 la 4. Aceast scar reflect
competena sau hotrrea care este necesar pentru a trece de aprare, pentru a o scurt-circuita, sau
pentru a mpiedica sau face inutil detectarea neutralizrii serviciului.
Dei aceast scar de valori permite valori fracionale, credem c este util s se indice valorile
ntregi pentru un serviciu de securitate.
Calitatea serviciului evaluat de nivelul 1
Acest serviciu are un nivel minim. Ar putea fi total ineficient (sau nu rezist) cnd se confrunt cu un
utilizator obinuit, fr calificri deosebite, sau puin ducat. n evenimentele naturale, este probabil s nu
fie de nici un folos n problemele de zi cu zi. n general, va avea un efect mic sau deloc asupra
comportamentului sau eficienei organizaiei.
Calitatea serviciului evaluat ca fiind de nivelul 2

Ghid de evaluare pentru serviciile de securitate

10

10 februarie 2008

Serviciul este de obicei eficient i rezist unui hacker mediu sau puin competent. Totui, el este cu
siguran insuficient atunci cnd se confrunt cu un profesionist cu experien n acel domeniu (acesta ar
putea fi un profesionist IT, un ho bine echipat, sau un expert n spargeri fizice). n ceea ce privete
fenomenele naturale, este rareori suficient pentru a acoperi evenimente grave dei acestea sunt rare. n
general, astfel de servicii ar mbunti doar situaiile de zi ci zi.
Calitatea serviciului evaluat ca fiind de nivelul 3
Serviciul este mai eficient i rezist la atacurile i evenimentele descrise mai sus, dar ar putea fi
insuficient mpotriva atacurilor specializate (hackeri bine echipai i cu experien, ingineri de sistem
specializai, mai ales dac acetia au unelte sau expertiz aplicat pe domeniu, spioni profesioniti, i aa
mai departe), sau dezastre naturale cu adevrat excepionale. O soluie generalizat ar avea un oarecare
efect asupra unui numr mare de circumstane. Totui, ea nu ar oferi cu siguran nici o garanie pentru
probleme sau atacuri foarte grave.
Calitatea serviciului evaluat ca fiind de nivelul 4
Acesta este cel mai ridicat nivel, i serviciul de securitate va rmne activ i eficient n faa tuturor
agresiunilor descrise mai sus. Ar putea totui fi spart n circumstane excepionale: cei mai buni sprgtori
de coduri din lume cu cele mai bune unelte de spart coduri (ceea ce este posibil dac unele ri vor ca
acest lucru s se ntmple) sau o combinaie excepional de circumstane excepionale.
Procesul de evaluare a calitii serviciului de securitate folosit de MEHARI a fost construit pentru a oferi
evaluri de calitate corespunztoare pentru definiiile de mai sus.

3.2 Evaluarea direct a calitii serviciului de securitate

Folosind definiiile calitii serviciului de mai sus, nivelul calitii fiecrui serviciu poate fi evaluat direct.
Manualul de referin al serviciului de securitate oferit cu baza de cunotine, este o unealt valoroas
pentru o astfel de evaluare. El conine descrieri ale fiecrui serviciu de securitate. Fiecare descriere
acoper:
-

Obiectivele serviciului, i rezultatele ateptate.

Mecanisme i soluii care ar putea sau ar trebui s fie folosite pentru a obine funcia necesar de
la serviciu.
Criterii care ar trebui luate n calcul la stabilirea calitii serviciului. Aceste criterii se refer n
mod explicit la eficiena, robusteea, i permanena serviciului.

3.3. Evaluarea calitii serviciului de securitate folosind chestionare MEHARI

Pe lng metoda n sine, metodologia MEHARI cuprinde baze de cunotine. Una din aceste baze de
cunotine este o baz de audit a serviciilor de securitate pentru audit, compus din chestionare i un
sistem de evaluare pentru rspunsurile la ntrebrile din ele.
Chestionarele cuprind un set de ntrebri pentru care este necesar un rspuns de tipul da/nu, cu un
sistem asociat de notare i evaluare pe care l vom examina mai trziu n acest document.
Mai jos este un extras din chestionar, care prezint ntrebri privind domeniul arhitecturii sistemului.
ntrebarea Chestionar de audit: Securitatea Arhitecturii sistemelor (07)
nr.
ntrebare
A Controlul accesului la sisteme i aplicaii
Ghid de evaluare pentru serviciile de securitate

11

10 februarie 2008

A 02
07A02-01
07A02-02
07A02-03
07A02-04
07A02-05
07A02-06
07A02-07

Managementul autorizaiilor i privilegiilor de acces (oferire, delegare, revocare)

Necesit procedura de acordare a autorizrii accesului aprobarea oficial a
managementului de linie (la un nivel suficient de nalt)?
Autorizaiile sunt acordate ctre indivizii numii doar ca o funcie a profilului lor?
Este procedura de acordare (sau schimbare sau revocare) a autorizaiei ctre o
persoan (fie direct sau prin profilul su) strict controlat?
Exist un proces sistematic de actualizare a tabelului de autorizaii la momentul
plecrii personalului sau la finalul contractului pentru personalul extern sau la
schimbarea funciei?
Exist un proces strict controlat (precum cel de sus) care permite delegarea
autorizaiei proprie, n parte sau n ntregime, unei persoane la alegere pentru o
perioad de timp determinat (n cazul absenei)?
Este posibil s se controleze n orice moment, pentru toi utilizatorii, drepturile,
autorizaiile i privilegiile n vigoare?
Exist un audit regulat, cel puin o dat pe an, al profilurilor i autorizaiilor acordate
tuturor utilizatorilor i al procedurilor pentru managementul profilurilor atribuite?

Chestionarele cuprind ntrebri de diferite feluri. Acestea ar putea fi ntrebri orientate ctre eficacitatea
msurilor de securitate (ex.: frecven back-up-ului, tipul controlului accesului fizic: cititor de carduri,
digicod, etc., existena detectoarelor de incendiu, etc.), ntrebri orientate ctre robusteea msurilor de
securitate (ex.: unde sunt depozitate rezervele, i cum este protejat accesul, dac exist o u dubl, i ct
de bine sunt construite uile, cum este protejat sistemul de detectare a incendiilor, etc.). n general, sunt i
una sau dou ntrebri despre monitorizarea, controlul i auditul funciilor ateptate de la serviciu.

3.3.1 Tipuri de chestionare

Bazele de cunotine MEHARI cuprind multe chestionare, fiecare specializat pe domenii, aa cum este
descris n paragraful 2.2.1: Domenii de responsabilitate Mehari.

3.3.2 Sistemul de evaluare

ntrebrile privind un serviciu de securitate depind de msurile de securitate utile sau necesare ale acelui
serviciu. Totui, nu toate msurile au acelai rol de jucat, i trebuie fcut o distincie ntre msuri
contributive, msuri majore sau suficiente, i msuri eseniale.

3.3.2.1 Msuri contributive

Anumite ntrebri au legtur cu msuri care au un anumit rol n contribuia la calitatea serviciului, fr
ca implementarea lor total s fie neaprat necesar.
n termeni cantitativi, o evaluare clasic aplicat la aceste msuri reflect ideea de contribuie. n acest
caz, anumite msuri mai importante dect altele ar avea o valoare diferit. Baza de cunotine
MEHARI arat valoarea aplicat fiecrei ntrebri.
Tabelul de mai jos mrete extrasul de mai devreme din baza de cunotine MEHARI. n el, o coloan
este rezervat pentru rspunsurile la ntrebri (1 pentru da, 0 pentru nu): coloana urmtoare arat valoarea
aplicat rspunsurilor.
ntrebarea
nr.

Chestionar de audit: Securitatea Arhitecturii sistemelor (07)

ntrebare

Ghid de evaluare pentru serviciile de securitate

12

DA/NU V

10 februarie 2008

A Controlul accesului la sisteme i aplicaii

A 02
Managementul autorizaiilor i privilegiilor de acces (oferire, delegare, revocare)
07A02-01
Necesit procedura de acordare a autorizare a accesului aprobarea 0
4
oficial a managementului de linie (la un nivel suficient de nalt)?
07A02-02
Sunt acordate autorizaiile ctre indivizii numii doar ca o funcie a 1
2
profilului lor?
07A02-03
Este procedura de acordare (sau schimbare sau revocare) a autorizaiei 1
4
ctre o persoan (fie direct sau prin profilul su) strict controlat?
07A02-04
Exist un proces sistematic de actualizare a tabelului de autorizaii la 0
2
momentul plecrii personalului sau la finalul contractului pentru
personalul extern sau schimbarea funciei?
07A02-05
Exist un proces strict controlat (precum cel de sus) care permite 0
4
delegarea autorizaiei proprie, n parte sau n ntregime, unei persoane
la alegere pentru o perioad de timp determinat (n cazul absenei)?
07A02-06
Este posibil s se controleze n orice moment, pentru toi utilizatorii, 1
1
drepturile, autorizaiile i privilegiile n vigoare?
07A02-07
Exist un audit regulat, cel puin o dat pe an, al profilurilor i 0
1
autorizaiilor acordate tuturor utilizatorilor i al procedurilor pentru
managementul profilurilor atribuite?
Valorarea medie evaluat este pur i simplu suma msurilor active evaluate (cele ale cror rspuns este
da), plus suma valorii posibile, rezultatul fiind normalizat pe o scar de la 0 la 4. Deci, dac Ri este
rspunsul la ntrebarea i, Wi este valoarea lui i i Mw valoarea medie stabilit:
Mw = 4 * S R; * W; / S W;
Deci, pentru rspunsurile artate n chestionarul de exemplu de mai sus, valoarea medie stabilit este:
Mw = 4 * 7 / 1 8 = 1,6
Iar calitatea serviciului, Q = Mw = 1,6

3.3.2.2 Msuri majore sau suficiente

Unele msuri ar putea fi considerate suficiente pentru a asigura un anumit nivel de calitate al serviciului.
De exemplu, un sistem de detectarea a incendiilor poate fi considerat suficient n oferirea nivelului 2
pentru sub-serviciul corespondent.
De aceea am adugat un prag minim, care reprezint nota minim pentru calitatea serviciului dac msura
este activ.
Coloana Min arat c dac este dat un rspuns pozitiv la o ntrebare pentru care a fost fixat un prag
minim, atunci acel prag a fost atins sau ntrecut de ctre sub-serviciu.
Mi jos este prezentat o lat privire asupra tabelului de mai devreme, de aceast dat cu coloana pentru
min adugat.

ntrebarea Chestionar de audit: Securitatea Arhitecturii sistemelor (07)

nr.
ntrebare
DA/NU V Min
A Controlul accesului la sisteme i aplicaii
A 02
Managementul autorizaiilor i privilegiilor de acces (oferire, delegare, revocare)
07A02-01 Necesit procedura de acordare a autorizare a accesului aprobarea 0
4
Ghid de evaluare pentru serviciile de securitate

13

10 februarie 2008

07A02-02
07A02-03
07A02-04
07A02-05
07A02-06
07A02-07

oficial a managementului de linie (la un nivel suficient de nalt)?

Sunt acordate autorizaiile ctre indivizii numii doar ca o funcie a
profilului lor?
Este procedura de acordare (sau schimbare sau revocare) a autorizaiei
ctre o persoan (fie direct sau prin profilul su) strict controlat?
Exist un proces sistematic de actualizare a tabelului de autorizaii la
momentul plecrii personalului sau la finalul contractului pentru
personalul extern sau schimbarea funciei?
Exist un proces strict controlat (precum cel de sus) care permite
delegarea autorizaiei proprie, n parte sau n ntregime, unei persoane la
alegere pentru o perioad de timp determinat (n cazul absenei)?
Este posibil s se controleze n orice moment, pentru toi utilizatorii,
drepturile, autorizaiile i privilegiile n vigoare?
Exist un audit regulat, cel puin o dat pe an, al profilurilor i
autorizaiilor acordate tuturor utilizatorilor i al procedurilor pentru
managementul profilurilor atribuite?

n exemplu, faptul c procesul pentru alocarea, modificarea sau ridicarea drepturilor (ntrebarea 03) este
administrat strict a fost considerat suficient pentru a mri nota calitii serviciului la pragul de minim de
3.

3.3.2.3 Msuri eseniale

Pe de alt parte, anumite msuri pot fi considerate obligatorii n asigurarea unui anumit nivel al calitii
serviciului.
MEHARI asociaz cu ntrebrile privind acele msuri considerate obligatorii n asigurarea unui anumit
nivel al calitii, un prag al calitii. Dac pragul este depit, implementarea msurii este obligatorie.
Cu alte cuvinte, pragul artat n coloana Max reprezint nivelul maxim de calitate pe care sub-serviciul
l poate obine dac msura nu este implementat.
Atunci cnd exist un conflict ntre pragul minim i cel maxim, valoarea maxim este cea care are
prioritate.
Cu aceast adugare la tabelul anterior obinem urmtoarea imagine:

Ghid de evaluare pentru serviciile de securitate

14

10 februarie 2008

ntrebarea Chestionar de audit: Securitatea Arhitecturii sistemelor (07)

nr.
ntrebare
DA/NU V Max
A Controlul accesului la sisteme i aplicaii
A 02
Managementul autorizaiilor i privilegiilor de acces (oferire, delegare, revocare)
07A02-01 Necesit procedura de acordare a autorizare a accesului 0
4
aprobarea oficial a managementului de linie (la un nivel
suficient de nalt)?
07A02-02 Sunt acordate autorizaiile ctre indivizii numii doar ca o funcie 1
2
2
a profilului lor?
07A02-03 Este procedura de acordare (sau schimbare sau revocare) a 1
4
autorizaiei ctre o persoan (fie direct sau prin profilul su)
strict controlat?
07A02-04 Exist un proces sistematic de actualizare a tabelului de 0
2
2
autorizaii la momentul plecrii personalului sau la finalul
contractului pentru personalul extern sau schimbarea funciei?
07A02-05 Exist un proces strict controlat (precum cel de sus) care permite 0
4
delegarea autorizaiei proprie, n parte sau n ntregime, unei
persoane la alegere pentru o perioad de timp determinat (n
cazul absenei)?
07A02-06 Este posibil s se controleze n orice moment, pentru toi 1
1
utilizatorii, drepturile, autorizaiile i privilegiile n vigoare?
07A02-07 Exist un audit regulat, cel puin o dat pe an, al profilurilor i 0
1
2
autorizaiilor acordate tuturor utilizatorilor i al procedurilor
pentru managementul profilurilor atribuite?

Min

n exemplul de mai sus, opinia experilor susine c rspunsurile negative la ntrebrile 1 i 7 nseamn c
nivelul calitii serviciului nu poate fi mai mare de 2. Aceast limit are prioritate n faa valorii nivelului
3 propus mai devreme.
Acest sistem triplu de msurare a calitii serviciului evit riscul de a vedea c se d un nivel al calitii
supraevaluat unei serii de msuri ineficiente atunci cnd msurile eseniale nu sunt active sau, dimpotriv,
o serie de msuri greit estimate sub-evalueaz calitatea serviciului atunci cnd o msur esenial este
implementat. Aceast abordare este una din caracteristicile distinctive ale MEHARI, oferind o valoare
real pe baza expertizei persoanelor care ntrein bazele de cunotine.

3.3.2.4 ntrebri inaplicabile

Anumite ntrebri pot fi considerate inaplicabile pentru anumite organizaii. n acest caz, estimarea
ntrebrilor va fi forat la zero.
Trebuie acordat atenie pentru a se asigura c o ntrebare inaplicabil rmne aa, indiferent de evoluia
planificat a sistemului IT i a serviciilor de securitate.

3.4. Procesul de audit

3.4.1 Procesul de revizie
Din cauz c chestionarele de audit ale serviciului de securitate sunt organizate pe domenii de
responsabilitate, odat ce schema de audit este definit, ele pot fi copiate pentru a acoperi orice variaii ale
domeniilor care vor fi analizate. La ntrebri ar trebui s rspund persoana sau persoanele
corespunztoare care sunt cel mai bine calificate pentru acel domeniu. Aceeai abordare general poate fi
Ghid de evaluare pentru serviciile de securitate

15

10 februarie 2008

folosit pentru evaluarea direct a calitii serviciului de securitate.

Se poate ca, n timpul auditului, anumite sub-servicii s par a nu fi aplicabile pentru organizaia dat.
Chestionarele corespondente pot fi atunci terse.
A rspunde doar cu da sau nu la chestionare poate crea uneori dificulti. Rspunsurile normale ar putea
fi:
- n general, DA, dar exist excepii
- n teorie, DA, dar n practic, nu sunt sigur c se aplic peste tot
- DA, parial (X%)
- DA, se desfoar chiar acum
- DA, este planificat, dar nc nu s-a aplicat
- Etc.
Sfatul nostru n asemenea circumstane este:
Notai-v ntotdeauna orice explicaii care nsoesc rspunsurile, i pstrai-le. n chestionarele din hrtie
care sunt folosite n timpul edinelor de audit, ar trebui adugat o coloan cu comentarii pentru astfel
de explicaii.
Deoarece sistemul de notare necesit un rspuns cu da sau nu, auditorul de securitate va trebui s ia o
decizie. Ruta sigur ar fi s rspund nu la toate ntrebrile unde exist o ndoial (precum
rspunsurile de mai sus). Indiferent de alegere, este important ca rspunsurile s nu influeneze
necorespunztor deciziile care rezult din audit. Mai ales, nu ar trebui s ascund nici o imperfeciune.
Ar trebui purtat n minte, totui, faptul c ar putea demotiva personalul i s duneze credibilitii
auditului s introduc un rspuns nu n acele zone care sunt n mod clar corectate i se afl sub control
mai ales dac sunt minore.
O abordare rezonabil pare a fi s se rspund cu da de fiecare dat cnd procesul de corectare i reacia
la lipsa msurilor sau a implementrii este sub control, i cu nu dac nu este cazul.
Observai c, pentru ca aceste rspunsuri s fie acceptabile, auditul trebuie s treac printr-o edin fa
n fa ntre auditor i persoana responsabil cu domeniul care este auditat, iar chestionarele trebuiesc
completate n timpul acelei edine. Chestionarele completate de ctre persoana care este auditat fr
prezena auditorului pot masca complet realitatea i pot introduce erori grave n audit i n calitatea
acestuia per total.

3.4.2 Notarea i corectarea notrii

Pentru acele note obinute prin chestionare, odat completate, poate fi fcut o notare a serviciilor de
securitate. Acest lucru va fi fcut folosind sistemul de evaluare din MEHARI, dup cum s-a explicat mai
devreme.
Sistemul de evaluare a fost proiectat i acordat de ctre experii CLUSIF. Totui, este posibil s apar
anumite imperfeciuni pe plan local. El nu poate, efectiv, s ia n considerare fiecare caz local sau specific
care poate fi ntlnit n timpul unui audit, i nici nu poate fi adaptat specific la fiecare organizaie.
Ghid de evaluare pentru serviciile de securitate

16

10 februarie 2008

Auditorul ar trebui, deci, nainte de a trage concluziile i de a prezenta concluziile auditului, s verifice
dac notarea folosit pentru fiecare serviciu i sub-serviciu este corespunztoare, prin referirea la
definiiile nivelelor de calitate obinute.
Este, deci, obligatoriu ca auditorul s fie un profesionist cu experien n securitate.

Ghid de evaluare pentru serviciile de securitate

17

10 februarie 2008

4 Produse livrabile
Rezultatele brute reprezint fie chestionarele completate, cu comentariile adiacente dup cum s-a descris
mai devreme, fie evaluarea direct a calitii serviciului de securitate.
n general, produsele livrabile sunt prezentate printr-un numr de grafice sintetice.

4.1 Graficul sintetic al serviciului de securitate

Recenzia final a vulnerabilitii este de obicei prezentat ca un grafic tip diagram pianjen, cu mai
multe dimensiuni
-

Pe serviciu de securitate (artnd diferitele sub-servicii i notarea acestora),

Pe domeniu de responsabilitate (artnd diferitele servicii care compun domeniul i notarea
acestora, obinut prin notarea medie a sub-serviciilor lor componente),
Global (artnd diferitele domenii i notarea acestora).

4.2 Graficul sintetic tematic

Anumite servicii de securitate, dei apar n diferite domenii de audit, sunt complementare n atingerea
unui obiectiv de securitate global. De aceea, pentru a avea o idee general asupra calitii planurilor de
rezerv, va trebui s combinai rezultatele planurilor de securitate pentru reea i IT, planurile de
continuitate, planurile de securitate electric, i aa mai departe.
CLUSIF a definit 16 teme care reprezint domenii de securitate majore care pot fi folosite pentru a
construi grafice. Aceti indicatori, pentru care calculele sunt disponibile n baza de cunotine
MEHARI, sunt:
-

Organizaia de securitate (roluri i structuri),

Contientizarea i antrenarea n securitate,
Securitatea locaiei fizice (controlul accesului, instalaia),
Controlul accesului n zonele sensibile,
Protecia contra diferitelor riscuri (incendiu, inundaii, etc),
Securitatea arhitecturii reelei (controlul accesului, sub-reelele logice, firewall-urile, nivelele
serviciului, etc),
Confidenialitatea comunicaiilor i managementul integritii,
Controlul accesului logic (sisteme, aplicaii, i date),
Securitatea datelor,
Proceduri operaionale,
Managementul mediului IT,
Managementul crizei i planurile de rezerv,
Rezervele, planificarea lor i planurile de restaurare a serviciului,
ntreinerea,
Securitatea proiectului IT i a dezvoltrii,
Managementul incident.

Merit observat faptul c, n timpul unui audit parial, prin acoperirea uneia sau a mai multor teme (de
exemplu ntreinerea, sau securitatea proiectelor de dezvoltare) este mai uor s concentrm auditul
asupra serviciilor de securitate care contribuie la temele selectate.

4.3 Msuri de concordan legate de standardul ISO 17799:2005

Dup cum s-a explicat n documentul MEHARI Concepte generale i mecanisme principale, o recenzie
Ghid de evaluare pentru serviciile de securitate

18

10 februarie 2008

a securitii poate servi la fel de bine ca mijloc de a documenta nivelul de bun practic recomandat de
ctre standardul ISO 17799:2005.
Efectiv, fiecare ntrebare din procesul de audit MEHARI poate fi vzut ca un punct de control elementar
care este menit s valideze soluii i procese de securitate implementate de entitatea organizaional.
Deoarece organizarea auditului MEHARI aduce la lumin capacitatea de a reduce riscul, la fiecare nivel
operaional i cu contribuia managerilor operaionali, structura serviciilor nu este perfect aliniat cu
structura descriptiv a standardului.
n plus, chestionarele MEHARI conin mai multe servicii i controale care merg mai departe de
recomandrile standardului. De aceea a fost fcut o aplicaie a ntrebrilor MEHARI pe practicile
standardului ISO.
Chestionarele de audit MEHARI 2007 au fost puin modificate pentru a facilita aceast aplicaie i se
ofer oferit un tabel al corespondenelor (cu formulele corespunztoare) n baza de date a cunotinelor.
Astfel este posibil s se vizualizeze1 nivelul de maturitate al entitii operaionale pentru fiecare punct de
control al standardului (cu o notare de la 0 la 4, de exemplu). Acesta nu reprezint scopul primar al lui
MEHARI, dar poate oferi informaii utile n timpul procesului de certificare sau atunci cnd se compar
diferite organizaii.

Instrumentul RISICARE ofer acest nivel de vizualizare

Ghid de evaluare pentru serviciile de securitate

19

10 februarie 2008

5 Sfaturi practice
5.1. Puncte importante care trebuiesc incluse n schemele de audit
O schem de audit este perceput uneori ca fiind complicat. Nu exist nici un motiv pentru acest lucru
ea este doar o fotografie a strii a diferite soluii i situaii.
Un sistem mainframe este diferit de unul UNIX; iar sistemele lor de securitate, precum i operaiunile lor,
sunt inevitabil diferite. Aceste diferene pot fi ignorate sau luate n calcul, n funcie de circumstane.
Dac se vrea ca diferenele s fie scoase la iveal, chestionarele ar trebui multiplicate corespunztor, i ar
trebui puse ntrebri asemntoare unor grupuri diferite. Dac preferai s ignorai diferenele, ntrebrile
vor fi puse doar o dat la nivel global dar acest lucru este independent de metodologia auditului.
Schema de audit este doar un mijloc simplu de a diferenia diferitele domenii ale soluiei n timpul
procesului de audit.
Distincia dintre domeniile soluiei este doar o chestiune de alegere. O abordare de obicei bun pentru
aceast problem este s se ia n considerare cte persoane vor trebui intervievate pentru acelai domeniu.
Practic, ntrebarea este cte persoane diferite pot avea att de multe preri diferite asupra aceleiai
situaii?. Deoarece fiecare prere diferit necesit un interviu specific, iar dou preri foarte
asemntoare pot s nu justifice timpul i energia interviurilor separate.

5.2 Puncte importante care trebuiesc acoperite n procesul de audit

Am insistat deja asupra necesitii ca chestionarele s fie completate n timpul interviurilor fa n fa,
aa c acele comentarii i aa mai departe pot fi i ele incluse.
De asemenea am sugerat, acolo unde rspunsurilor nu sunt n mod clar da sau nu, c este mai bine s
se ia o abordare pesimist, n timp ce se adaug explicaiile ca i comentarii, artnd o parte mai pozitiv.
Bazele de cunotine MEHARI, i, mai ales chestionarele pentru audit, au fost concepute folosind
urmtorul principiu de avertizare:
Procedurile automate ale abordrii nu trebuie s permit niciodat unui risc s fie subevaluat. Este
ntotdeauna preferabil ca un risc s fie supraevaluat iniial, atunci cnd poate fi redus mai trziu,
dect s fie subevaluat i s nu apar ntr-o analiz mai detaliat.
Unul din principiile de baz este s se ncerce evitarea cazurilor n care procedurile automate ar elimina
un scenariu ca fiind un risc sczut, cnd acesta ar putea fi foarte grav. La subevaluarea gravitii unui
scenariu contribuie mai muli factori, dintre care, supraevaluarea anumitor servicii de securitate.
Urmnd acest principiu, de vreme ce rezultatele unui audit de securitate ar putea fi folosite pentru a
analiza riscurile ntlnite de o organizaie n general, notarea aplicat serviciilor de securitate este destul
de prudent.
Notarea final poate prea sever uneori, atunci cnd este comparat cu ale sisteme de audit. Cititorul ar
trebui s rein faptul c MEHARI insist c serviciile de securitate trebuie s fie eficiente, robuste i
permanente, ceea ce nseamn c sunt supuse unui control regulat. Cuvntul nostru final este c noi
cutm s oferim asigurarea securitii prin aceast abordare. Acesta nu este ntotdeauna cazul cu alte
abordri.

Ghid de evaluare pentru serviciile de securitate

20

10 februarie 2008