Dokumentumkezelő rendszerek biztonsági auditja

Az informatikai infrastruktúra egyre jelentősebb részét képezi mind a profit-orientált, mind a non-profit szervezetek erőforrásainak. Ezen szervezetek nagy részének működése kritikus mértékben függ az informatikai infrastruktúra működésétől, mivel a működéshez szükséges adatok és információk nagy részének kezelése és tárolása az informatikai infrastruktúrára hárul. Ez a nagy mértékű függés azt is jelenti, hogy biztonsági szempontból egy kritikus rendszerről van szó, melynek védelme kiemelt hangsúlyt kell, hogy kapjon, mivel egy sikeres támadás jelentős anyagi vagy erkölcsi kárt okozhat az adatok sérülése, illetéktelen kézbe kerülése vagy éppen megváltoztatása által.

Általánosan informatikai biztonság alatt az adatok sértetlenségét, bizalmasságát és rendelkezésre állását értjük, továbbá a működés biztonságának megteremtését. Ezen alapelvek a gyakorlatban valójában rendkívül sokféle feladatot jelentenek az adott rendszer sajátosságaitól függően. Egy biztonsági rendszer kialakításának első és nagyon fontos része a testre szabott biztonsági vizsgálat, amely egyik oldalról igazodik a hazai és nemzetközi biztonsági követelményrendszerekhez, ugyanakkor technikai oldalról is kellő mélységű.

A biztonsági vizsgálatban feltárt sérülékenységek, hiányosságok elhárítása a jelenlegi információbiztonsági rendszer kiegészítését, átgondolását indukálhatja, amelyet belső auditok, valamint esetlegesen felügyeleti szervek (pl. PSZÁF) által kezdeményezet független auditok minősítenek. Tehát egy ellenálló információ biztonsági rendszer kiépítésének és üzemeltetésének alapfeltétele a folyamatos ellenőrzés.

Az informatikai környezet kontrolljainak, az informatikai rendszerek biztonságának javítása, és a vezetés által elvárt szintre hozása érdekében az alábbi szolgáltatásokat ajánljuk ügyfeleink vezetőinek figyelmébe.

Információ biztonsági átvilágítás

Az informatikai biztonsági ellenőrzések alapvető célja, hogy a kockázatok csökkentése és a rendkívüli események elkerülése érdekében objektív információkat szolgáltasson a felelős vezetők számára az informatikai biztonság helyzetéről. Az informatikai biztonsági ellenőrzés célja, hogy teljes körűen, minden informatikai rendszerre és azok teljes életciklusára rendszeresen vizsgálja az alábbiakat:

• Megfelel-e az informatikai rendszerek biztonsága a szervezet által elfogadott biztonsági követelményeknek?

• Érvényesülnek-e a szervezeti és rendszerszintű biztonságpolitikában foglaltak, valamint egybevágnak-e az alkalmazott módszerek a jogszabályi előírásokkal?

• Mekkora az informatikai rendszerek és az általuk nyújtott szolgáltatások biztonságát sértő események bekövetkezési valószínűsége, illetve történtek-e már ilyenek?

Szabályzati struktúra kialakítása és bevezetése

Az Audit, illetve a közösen deklarált biztonsági célok ismeretében az ügyféllel közösen meghatározzuk a szabályzati struktúra felépítését. Eddigi tapasztalataink alapján a szabályzati struktúrában érdemes szétválasztani a stratégiai szintű és az operatív szabályzatokat.

Szabályzati struktúrák tipikus elemei:

• Információ Biztonsági Politika,

• Informatikai Stratégia,

• Informatikai Fejlesztési Terv,

• Információ Biztonsági Szabályzat,

• Informatikai Változáskezelési Szabályzat,

• Logikai hozzáférés kezelési szabályzat,

• Üzemeltetési szabályzat,

• Üzletfolytonossági és katasztrófa elhárítási terv,

• Információbiztonsági ellenőrzési szabályzat és ellenőrzési terv.

Információbiztonsági kockázatelemzés

Olyan célzott támadás szimulálására törekszünk, amely a lehető legközelebb áll az anyagi vagy egyéb érdekből lefolytatott hacker tevékenységhez. Ezért minden esetben a megszerzett információk alapján ügyfélspecifikus támadások kifejlesztését, alkalmazását javasoljuk, mivel tapasztalataink szerint az infrastruktúra elemek konfigurációja leginkább a standard és ismert sérülékenységek, károkozások kivédésre vannak felkészítve, viszont védtelenek a rafináltabb, újszerűbb kísérletekkel szemben.

Szerző: DocuWorld, dátum: 2006. 04. 20. Forrás: Delta Elektronik