3 Ważne narzędzia i środki kontroli podatności zasobów IT
Poniżej wymieniono niektóre z ważnych narzędzi i środków kontroli podatności na awarie zasobów IT:
Charakter szkód jest różny na różnych poziomach infrastruktury IT. Uszkodzenie informacji może polegać na zmianie lub usunięciu wartości lub utracie jej prywatności. Usługi i sieć są generalnie uszkodzone przez przypadek spowodowany awarią sprzętu lub oprogramowania lub obu.
Zdjęcie dzięki uprzejmości: ipa.go.jp/files/000013242.png
Ponieważ informacje są generowane i przechowywane za pomocą usług i sieci, narażenie na informacje wynika z awarii sprzętu lub oprogramowania. Ponieważ te trzy elementy są ze sobą powiązane, wszelkie uszkodzenia usług lub sieci utrudniają funkcjonowanie systemu i uszkodzenie informacji, czyni usługi i sieć mniej użytecznymi. W związku z tym uzasadnione jest zintegrowane podejście do bezpieczeństwa infrastruktury IT.
Możliwe jest kontrolowanie podatności na awarie zasobów IT za pomocą różnych narzędzi i środków kontrolnych. Są one klasyfikowane jako:
(a) Podstawowe narzędzia kontroli
(b) Ogólne środki kontroli
(c) Środki kontroli aplikacji
1. Podstawowe narzędzia kontroli:
Poniżej przedstawiono niektóre z podstawowych narzędzi kontrolnych, które są powszechnie używane do kontrolowania luki w zabezpieczeniach zasobów IT:
(kopia zapasowa:
Podstawowym narzędziem ochrony informacji jest przechowywanie kopii zapasowych wszystkich danych. Służy dwóm celom odzyskiwania po awarii i wykrywaniu nadużyć. System przechowywania kopii zapasowych danych i plików programów może różnić się w zależności od aplikacji, ale systematyczny i regularny system tworzenia kopii zapasowych plików jest uważany za absolutnie niezbędny we wszystkich infrastrukturach IT.
Procedury kopii zapasowych muszą być przestrzegane w sposób religijny, aby system kopii zapasowej nie działał, gdy był najbardziej potrzebny. Większość systemów zarządzania bazami danych zawiera teraz funkcje automatycznego tworzenia kopii zapasowych danych. Co więcej, pliki programów muszą mieć kopię zapasową po każdej zmianie. Krytyczne dane i programy muszą być regularnie sprawdzane pod kątem dokładności.
(b) Dziel i rządź:
Ta sprawdzona w czasie zasada bezpieczeństwa może być również zastosowana do bezpieczeństwa danych. Zapewnienie ograniczonego dostępu do każdego użytkownika jest niezbędne, aby upewnić się, że nikt nie spustoszy całego systemu. Nadużycia w jednym miejscu wykrywane są w innym miejscu podczas normalnego funkcjonowania systemu informacyjnego.
Dostęp do zasobów IT musi być zdefiniowany w taki sposób, aby były współmierne do potrzeb obliczeniowych w celu wypełnienia obowiązków użytkownika; nie mniej i nie więcej niż to, co jest niezbędne. Tak więc uprawnienie dostępu może być ograniczone do dowolnej operacji, takiej jak odczyt, zapis, zmiana i wykonanie.
Uprawnienie dostępu może być zdefiniowane dla każdego elementu danych w bazach danych. Podobnie należy zdefiniować uprawnienia dostępu dla każdego modułu w oprogramowaniu aplikacyjnym i każdej części sprzętu komputerowego. Identyfikacja i weryfikacja użytkownika za pomocą hasła i innych technik są niezbędne do regulacji dostępu do infrastruktury IT.
(c) Autoryzacja dostępu:
Dostęp do informacji może być ograniczony za pomocą narzędzi autoryzacji. Narzędzia te umożliwiają dostęp do informacji tylko po właściwej identyfikacji użytkowników. Każdy użytkownik ma ograniczony dostęp do informacji. Weryfikacja tożsamości użytkownika może odbywać się za pomocą haseł. Nowoczesne instalacje komputerowe mają bardziej zaawansowane narzędzia weryfikacji tożsamości, które opierają się na głosie lub innych atrybutach fizycznych, takich jak odciski palców użytkowników.
(d) Szyfrowanie:
Szyfrowanie to proces przekształcania informacji w masę zaszyfrowanej i pozbawionej znaczenia kombinacji symboli, którą można odszyfrować w celu przekształcenia danych w oryginalną formę. Ta transformacja danych odbywa się przy użyciu specjalnego sprzętu i oprogramowania.
Szyfrowanie i deszyfrowanie są oparte na kodzie określonym przez użytkownika. Ten kod jest zastrzeżony dla autoryzowanego użytkownika danych, a użycie jakiegokolwiek innego kodu nie przekształciłoby tych informacji. Narzędzia szyfrujące są dość powszechne, gdy informacje mają być przesyłane do odległych lokalizacji przy użyciu popularnych nośników danych, takich jak linie telefoniczne.
(e) Porównania:
Porównanie jest jednym z ważnych narzędzi wykrywania nadużyć. Regularne porównywanie danych z dokumentami źródłowymi, bieżącymi plikami programów z kopiami wzorcowymi plików programów, wartości z poprzedniego okresu z aktualnymi wartościami terminów działają jako przydatne narzędzie do szybkiego wykrywania nadużyć. Te porównania muszą być wykonywane przez osoby, które nie są bezpośrednio zaangażowane w tworzenie i używanie zasobów IT.
(f) Odpowiedzialność:
W celu zapewnienia zgodności z procedurą bezpieczeństwa jest dość trudne, ponieważ w przypadku braku wykrycia poważnego nadużycia, samozadowolenie zaczyna wkradać się. Dlatego konieczne jest ustalenie odpowiedzialności za zgodność z procedurami bezpieczeństwa.
(g) Dziennik użytkownika:
Śledzenie działań użytkowników infrastruktury IT stanowi ważny czynnik zniechęcający do wykorzystywania komputerów. Utrzymanie i okresowa kontrola szczegółowego wykazu operacji wykonywanych przez każdego użytkownika wywiera duży nacisk na użytkowników, aby przestrzegali norm bezpieczeństwa, a także zapewniał wczesne wykrywanie nadużyć. Ścieżki audytu są niezbędne do odtworzenia przetwarzania i ustalenia odpowiedzialności za nadużycia.
(h) Wytyczne:
Niejednokrotnie nadużycia są możliwe z powodu niewystarczającego szkolenia w zakresie obsługi środków bezpieczeństwa. Należy opracować system pomocy online dla wszystkich użytkowników w formie wskazówek i pomocy w zrozumieniu zagrożenia bezpieczeństwa. Taki system ma duży wpływ na zwiększenie zaufania użytkowników do siły systemu bezpieczeństwa i pomaga we wczesnym wykrywaniu zagrożeń i nadużyć.
(i) Audyt:
Audyt systemu informacyjnego jest kolejnym ważnym narzędziem zapewniającym prawidłowe działanie wyznaczonych funkcji systemu informatycznego. Information System Audit and Control Association (ISACA) to organizacja z siedzibą w USA, która ma na celu opracowanie standardów audytu systemów informatycznych do szkolenia i akredytowania specjalistów w tym zakresie.
Mniejsze przedsiębiorstwa, które nie mogą sobie pozwolić na ustanowienie wewnętrznych procedur audytu systemu informatycznego, mogą zatrudniać w tym celu usługi informacji praktycznych, audytorów systemowych. Taki audyt wykrywa i zniechęca do nadzoru i utrzymuje alarm bezpieczeństwa.
Specyficzne wykorzystanie tych narzędzi i dokładny charakter procedur kontrolnych zależą od charakteru zasobów i stopnia zagrożenia.
2. Ogólne środki kontroli:
Te środki kontroli mają zastosowanie do wszystkich zasobów aplikacji i danych. Obejmują one fizyczne i programowe mechanizmy kontrolne, które mogą być wykonywane na infrastrukturze IT.
(a) Kontrola organizacyjna:
Najważniejszym narzędziem kontroli systemów informacyjnych jest struktura organizacyjna i obowiązki osób w organizacji. Dwa podstawowe sposoby kontroli organizacji odnoszą się do rozdzielenia obowiązków w ramach jednej pracy.
Na przykład rejestracja transakcji może być oddzielona od autoryzacji transakcji. Tworzenie oprogramowania i testowanie oprogramowania mogą być rozdzielone, aby zapewnić, że kolizja jest niezbędna do nadużyć. Rotacja stanowisk pracy i urlop przymusowy to inne kontrole organizacyjne o charakterze ogólnym, które okazały się dość przydatne w wykrywaniu nadużyć.
(b) Kontrola rozwoju systemu i jego wdrażanie:
Obejmują one kontrole, takie jak właściwa autoryzacja specyfikacji systemu (podpisanie specyfikacji), testowanie i zatwierdzanie zmian w istniejącym systemie itp. Kontrole nad wzorcowymi kopiami oprogramowania, w tym kodu źródłowego, dokumentacji i innych powiązanych zasobów, są istotnymi elementami rozwoju systemu i kontroli wdrażania. Ustalanie standardów dla systemu informacyjnego i ich wdrażanie jest ważne z punktu widzenia bezpieczeństwa.
(c) Kontrola fizyczna:
Te kontrole obejmują zabezpieczenie lokalizacji sprzętu i oprogramowania przed ogniem, powodzią, kradzieżą, zamieszkami itp. Za pomocą różnych narzędzi zabezpieczających, takich jak wykrywacze dymu, osłony zabezpieczające, indywidualne zamki, kamery o zamkniętych obwodach, systemy identyfikacji itp. Te elementy sterowania są przeznaczone do chroni przed zagrożeniem życia fizycznego infrastruktury IT. Te kontrole działają równolegle do kontroli nad innymi aktywami fizycznymi, takimi jak gotówka, akcje itp.
(d) Kontrolki odzyskiwania po awarii:
Środki kontroli odtwarzania po awarii stają się bardzo ważne w przypadku krytycznych zastosowań i szkód na dużą skalę w systemach informatycznych. Konieczne jest zbudowanie alternatywnej konfiguracji, aby zapewnić możliwość odzyskania skutków katastrofy przy minimalnych kosztach i przy minimalnej stracie czasu i okazji.
W niektórych przypadkach osiąga się to poprzez utrzymywanie równoległej infrastruktury informatycznej do wykorzystania w razie katastrofy. W przypadku niepowodzenia systemu obrotu giełdowego lub systemu rezerwacji podróżnych, koszt opóźnienia w odzyskiwaniu lub jego niepowodzenia może być bardzo wysoki.
W takich przypadkach równoległa infrastruktura IT jest uważana za absolutnie niezbędną. Dostępne są jednak również alternatywne systemy odzyskiwania po awarii. Niektórzy dostawcy specjalizują się w odzyskiwaniu danych w razie wypadków, takich jak awarie dysków twardych, ataki wirusów itp.
(e) Kontrola oparta na oprogramowaniu:
Oparte na oprogramowaniu środki kontroli zwykle odnoszą się do kontroli dostępu do danych i walidacji danych w momencie wprowadzania danych. Można zauważyć, że większość nadużyć komputerowych polega na manipulowaniu przy wprowadzaniu danych. Ścieżki dostępu w oprogramowaniu mogą mieć wielowarstwowe i czułe narzędzia, a dane mogą być odpowiednio zabezpieczone za pomocą kontroli oprogramowania.
Kontrole te dotyczą, na ogół, uwierzytelniania użytkownika, definicji funkcji dla każdego użytkownika i tworzenia niezmiennych zapisów sekwencji operacji wykonywanych na danym terminalu (ścieżka audytu).
Ma to na celu ustalenie kolejności zdarzeń prowadzących do konkretnego nadużycia. Nieautoryzowany dostęp powinien skutkować ostrzeżeniem, a wielokrotne próby nieautoryzowanego dostępu powinny być traktowane jako poważna próba przebicia się przez system bezpieczeństwa. W związku z tym wielokrotne próby nieautoryzowanego dostępu mogą doprowadzić do zakończenia przetwarzania, zamknięcia terminala i zarejestrowania śladu rewizyjnego do dalszej analizy.
(f) Kontrola komunikacji danych:
Kontrolki te stają się coraz ważniejsze, ponieważ ruch danych rośnie w geometrycznych proporcjach wraz ze wzrostem odległości między nadawcą a odbiorcą. Oba te skutkują zwiększoną ekspozycją danych na ryzyko podsłuchu. Istnieje wiele metod ochrony danych w drodze do terminala docelowego.
Ogólnie rzecz biorąc, zagrożenia związane z transmisją danych mogą mieć trzy rodzaje: (a) zagrożenie nieuprawnionym dostępem, (b) zagrożenie dla dokładności i kompletności danych oraz (c) zagrożenie związane z terminowym pobieraniem danych.
(i) Nieautoryzowany dostęp do danych:
Sieci przewodowe (wykorzystujące przewody koncentryczne lub nośniki światłowodowe) są mniej podatne na podsłuchiwanie niż kanały elektroniczne. Modemy bezpieczeństwa zyskują również popularność w sieciach korzystających z linii telefonicznych. Inna metoda nazywana automatycznym systemem oddzwaniania służy do sprawdzania autentyczności użytkownika. W tym systemie rozmówca informacji wybiera i czeka.
Nadawca sprawdza autentyczność, rejestruje hasło używane przez dzwoniącego informacji i wybiera numer z powrotem do osoby dzwoniącej. Ten rodzaj podwójnej kontroli tożsamości i lokalizacji dzwoniącego jest bardzo przydatny w wykrywaniu podsłuchów. System automatycznego wylogowania jest również bardzo popularnym systemem kontroli.
Wraz z rosnącą presją obowiązków wykonawczych, istnieje możliwość, że menedżer zapomni o wylogowaniu się lub wylogowaniu. Takie systemy zapewniają, że jeśli terminal nie będzie używany przez określony czas, terminal automatycznie wyloguje się z serwera. Dalszy dostęp do informacji jest możliwy tylko po powtórzeniu procedury logowania. Ten rodzaj kontroli minimalizuje możliwość podszywania się pod inne osoby.
(ii) Kontrola integralności danych:
Dokładność danych i kontrola kompletności są niezbędne dla zapewnienia integralności przesyłanych danych. Błędy w transmisji danych mogą być spowodowane zakłóceniami w kanale transmisji danych lub pewną awarią sprzętu służącego do przełączania danych.
Aby sprawdzić, czy dane dotarły dokładnie do celu, można użyć bitów parzystości. Inną popularną metodą jest dzielenie wiadomości na pakiety z nagłówkami i stopkami (zwiastunami) i sprawdzanie ich istnienia na końcu odbiorcy.
(g) Sterowanie pracą komputera:
Kontrola nad działaniem systemów komputerowych i terminali może odgrywać ważną rolę w unikaniu nadużyć komputerowych. Opłaca się planowanie harmonogramu pracy komputera dla zwykłych użytkowników, w szczególności na niższych poziomach hierarchii menedżerskiej, gdzie wymagania operacyjne są przewidywalne i mogą być odpowiednio zaplanowane. Wszelkie odstępstwa od zaplanowanych operacji mogą być analizowane w celu zniechęcenia do działania systemu komputerowego w przypadku funkcji innych niż określone w danym dniu.
Kontrola nad działaniem systemów komputerowych staje się trudniejsza w przypadku terminali współdzielonych i interaktywnych. Jeśli jednak identyfikacja i hasła nie są udostępniane, większość problemów związanych z kontrolą nad terminalami współdzielonymi można rozwiązać.
(h) Sterowanie sprzętowe:
Sterowanie sprzętowe komputera to kontrole dokonywane przez producentów sprzętu komputerowego w celu sprawdzenia, czy system działa nieprawidłowo i ostrzeżeń w przypadku awarii. Należą do nich słynne kontrole parzystości w urządzeniach pamięci masowej, sprawdzanie poprawności oraz weryfikacja podwójnego odczytu. Te kontrole są bardzo przydatne w przechowywaniu i wyszukiwaniu danych oraz wykonywaniu funkcji arytmetycznych na danych.
Ogólne kontrole należy poddać przeglądowi pod kątem ich skuteczności. Te kontrole stanowią rdzeń środka bezpieczeństwa dla systemu informatycznego jako całości.
3. Kontrola aplikacji:
W przypadku konkretnych zastosowań konieczne jest wykonywanie specjalnych kontroli w związku z ich szczególnymi wymaganiami i postrzeganiem ryzyka. Takie kontrole mają na celu zapewnienie dokładności, ważności i kompletności danych wejściowych i utrzymywania zapasów informacyjnych. Obejmują one zarówno automatyczne, jak i ręczne sterowanie.
(a) Kontrole wejściowe:
Kontrolki wejściowe zapewniają, że dane wejściowe są odpowiednio autoryzowane i zapisane zgodnie z dokumentem źródłowym. Dokumenty źródłowe są ponumerowane szeregowo, a dane wejściowe są weryfikowane partiami, zanim wpłyną na bazę danych. Sumy kontrolne partii i procedury edycji są używane w celu zapewnienia dokładności i kompletności danych wejściowych oraz wyeliminowania duplikatów danych wejściowych.
Monity wejściowe ekranu i menu ekranowe służą do zapewnienia dokładności i kompletności danych wejściowych. Kontrole weryfikacji danych są używane w celu zapewnienia prawidłowych typów danych, długości pola, identyfikacji transakcji i sprawdzenia zasadności wartości liczbowych w danych wejściowych.
(b) Kontrola przetwarzania:
Te kontrole mają na celu zapewnienie właściwego wykonywania procedur, które powinny być wykonywane na danych wejściowych. Uruchamianie sum kontrolnych, dopasowywanie komputerowe rekordów danych podstawowych z wybranymi elementami danych w transakcjach, sprawdzanie rozsądności, sprawdzanie formatu, sprawdzanie zależności, sprawdzanie wizualne itp. To niektóre z typowych sprawdzeń, które są używane w celu zapewnienia, że przetwarzanie danych wejściowych zostało wykonane poprawnie .
(c) Kontrola wyników:
Te kontrole mają na celu zapewnienie dokładności i kompletności danych wyjściowych przebiegu aplikacji. Te kontrole obejmują równoważenie sumy danych wyjściowych z sumami wejściowymi i procesowymi, audyt raportów wyjściowych i procedurę dostarczania raportów wyjściowych do upoważnionych odbiorców.
