Dziesiątka zdaniem audytora z The Security Practitioner

Replies to This Discussion

Permalink Reply by Tadeusz Lemańczyk on April 21, 2009 at 9:08am

Przeglądając po raz kolejny, tym razem bezpośrednio przed dzisiejszymi zajęciami laboratoryjnymi, wiadomości tematu Zarządzanie systemami i sieciami ( http://www.lemant.user.icpnet.pl/tad/ester4p-4.html ), postanowiłem tytułem użytecznego dla Was przykładu odpowiedzieć na pytanie "którą z uwag kontrolnych audytora odnośnie Zarządzania systemami i sieciami ( http://security.practitioner.com/introduction/infosec_7_9_12.htm ) uważacie za najbardziej istotną, i dlaczego?" cytując uwagę następującą:

The handling of information is always a problem especially if there are no well publicised rules managing information given a given classification. The Auditor will investigate how information is managed in relation to its classification.

Dlaczego? Otóż powyższa uwaga bardzo pożytecznie zachęca Was wszystkich do powtórzenia sobie z poprzedniego tematu zajęć projektowych ( http://www.lemant.user.icpnet.pl/tad/ester4p-3.html ) wiadomości Aktywa i zasoby ( http://groups.yahoo.com/group/yahoo-cls-europeaninformationsociety/... ), a z jeszcze wcześniejszego tematu wykładowego ( http://www.lemant.user.icpnet.pl/tad/ester4w-2.html ) - mojego komentarza do wiadomości Rola NATO w rozwoju zasad bezpieczeństwa informacji w Polsce ( http://fedcba.ning.com/group/bi/forum/topics/rola-nato-w-rozwoju-zasad ). Zawarte tam wzmianki o klauzulach tajności prowadzą nas wprost do rozdziału czwartego Klasyfikowanie informacji niejawnych. Klauzule tajności podręcznika Tomasza Szewca Ochrona informacji niejawnych: komentarz (Warszawa : Wydawnictwo C. H. Beck, 2007), którego zawartość z całą pewnością będzie nam bardzo potrzebna już za tydzień, na wykładzie Zasady udostępniania informacji – zagrożenia i mankamenty ( http://www.lemant.user.icpnet.pl/tad/ester4w-4.html ).

Proste pytanie, prosta odpowiedź, proste uzasadnienie - czy trzeba nam czegoś więcej?

Permalink Reply by Dorota Mieszała on May 28, 2010 at 9:46pm

Według mnie jedną z ważniejszych uwag audytora jest ta dotycząca bezpieczeństwa wymiany informacji poprzez wiadomości elektroniczne:

„Email is probably the most important application in many businesses and it has achieved the number one spot almost by stealth. Email has replaced much of the traditional forms of communications and by its very nature there are inherent security risks, and typically these differ from those relating to more traditional forms of communications. The Auditor will ensure that there is an organisational policy in place regarding the use of electronic mail. There are going to be times when email is inappropriate (such as very sensitive documents) and the Auditor will check to see that information is handled correctly in email.”

Jak wspomina autor w powyższym cytacie tradycyjne formy odchodzą do lamusa wypierane przez e-maile. W dzisiejszych czasach to przez wiadomości elektroniczne przekazuje się najistotniejsze informacje. To właśnie poprzez e-maile może nastąpić wyciek informacji. Jak możemy przeczytać na jednej ze stron internetowych (http://www.mpsec.pl/mp_sec/bezpieczenstwo_danych/bezpieczenstwo_e_mail ) tekst przesyłanych wiadomości nie jest wcale szyfrowany i bardzo łatwy do zdobycia.

Audytor systemów zarządzania bezpieczeństwem informacji powinien zwrócić szczególną uwagę na ten aspekt bezpieczeństwa przedsiębiorstw. Bardzo dobrze obrazuje to zagrożenie fragment artykułu dotyczącego audytu bezpieczeństwa informacji http://www.witczak.priv.pl/

Permalink Reply by Agnieszka Kościuszko on June 7, 2010 at 10:11pm

Uważam, że warto zwrócić również uwagę na fragment dotyczący monitorowania rejestru plików:
„Many organisations do not monitor log files until they have an event that makes them want to, i.e. they are only ever reactive after an event alerts them to a possible issue or incident. Many organisations do not have the appropriate software to monitor event logs or any other areas necessary for showing appropriate management of the information processing facilities. A number of organisations have the tools but do not check reports as this is seen as time consuming or the reports contain too much information to easily make sense of. The Auditor will check for evidence of active monitoring of the information processing systems and to ensure that there is appropriate action taken when an incident is detected.”

Organizacje nie monitorują swojego przedsiębiorstwa, dopóki nie wydarzy się coś złego, co spowoduje zagrożenie związane z utratą ważnych informacji. Brak prowadzenia rejestru może wynikać z braku lub nieznajomości obsługi odpowiedniego oprogramowania. Często związane jest to również z przekonaniem, że zajęcie to jest zbyt czasochłonne i zawiera łatwe do zrozumienia informacje. Takie podejście do sprawy powoduje stratę cennych dla nas informacji. Do zadań Audytora Zarządzania Bezpieczeństwem Informacji należy nadzór i kontrola monitorowania rejestru plików. Jeżeli zauważone zostaną jakiekolwiek nieprawidłowości zobowiązany jest on do natychmiastowego podjęcia odpowiednich kroków.

Audytor Zarządzania Bezpieczeństwem Informacji pełni dość ważną funkcję. To od jego kompetencji i skrupulatności zależy w jak dobrym stopniu będzie funkcjonowała instytucja, jaki będzie poziom bezpieczeństwa informacji.

Permalink Reply by Natalia Maćkowiak on June 8, 2010 at 7:19pm

Według mnie, biorąc przede wszystkim istotę naszego kierunku i to na co największą uwagę zwracają nam nasi Wykładowcy, najważniejszą uwagą kontrolną Audytora zawartą w http://security.practitioner.com/introduction/infosec_7_9_12.htm jest:
"Almost all organisations these days have some sort of network or another. The Auditor will ensure that there are appropriate controls, based on the risk assessment, in place for network management and monitoring. A range of controls should be implemented and the Auditor will check that they are all working properly and together."

W dzisiejszych czasach prawie wszystkie organizacje posiadają pewnego rodzaju segregację sieci komputerowych i nie tylko. Audytor powinien zapewnić odpowiednie kontrole, bazujące na szacowaniu ryzyka , zarządzaniu sieciami oraz monitorowaniu. Kontrole powinny być realizowane, a Audytor powinien sprawdzać czy działają one właściwie i spójnie.

Zdecydowanie ład, spójność, prawidłowe działanie sieci wewnątrz firmy są elementarnymi czynnikami przedsiębiorstwa. Wśród obowiązków Audytora ściśle znajduje się kontrola, to dzięki niej wszelkie wprowadzane działania mają rację bytu i ich funkcjonowanie się sprawdza.

Permalink Reply by Anita Krotofil on November 2, 2010 at 3:53pm

"Publicly available systems are often the first contact that an organisation has with the public. There are a number of legislative requirements for we sites as well as the problems of information leakage from web sites. There are numerous stories in the press of credit card or other personal details being acquired from web sites due to incorrect security being applied. On line payment systems must be secure and the Auditor will check that appropriate controls are in place and are effectively managed and monitored"

Myślę, że to jest ważna myśl. Przecież przekazuje nam ona samą prawdę i aktualnie jest to bardzo duży problem na świecie. Zarządzanie, monitorowanie jest bardzo ważne. Bez nich nie mogłyby istnieć żadne strony z danymi osobowymi. Co się okazuje w pewnym artykule (http://www.skarbiec.biz/gospodarka/20_05_10_wiadomosci.htm), w Polsce nie najlepiej jest to wszystko zorganizowane. Tak dużo jest przecież oszustw przez Internet.
Co zrobić, by temu przeciwdziałać? Co zrobić, żeby płatności on-line były bezpieczne?Takie pytania z pewnością nas wszystkich nurtują. Przecież nie jest powiedziane, że każdy nasz ruch w Internecie jest bezpieczny. W dzisiejszych czasach można przez Internet załatwiać tyle spraw, operować tak dużymi pieniędzmi, że powinno to być jakoś dokładnie zabezpieczone.
Co o tym sądzicie?