петак, 18. децембар 2009.

Preuzeto sa sigurnost.info, autor Saša Aksentijević
Praksa

U ovom članku izložit ćemo najčešće prijetnje informacijskoj sigurnosti koje mora otkloniti CISO (Chief Information Security Officer). One se mogu podijeliti u prijetnje na koje može utjecati rukovodstvo i uprava, one čiji su izvor korisnici, te one čiji je izvor u okolini poduzeća. Može se uočiti kako postoji jaka međuovisnost, te je tako ponekad teško kategorizirati određenu prijetnju.

Cilj članka je primarno ukazati potencijalnim kandidatima za stručne certifikacije iz područja informacijske sigurnosti kako certifikat koji se oslanja na određenu normu ili smjernice služi isključivo kao "checklista", odnosno evidencijski popis svih teoretskih situacija koje se mogu dogoditi. No, praksa često pobija i najmaštovitije teoretičare.

ISO 27001, ITIL, COBIT, Sarbanes-Oxley, ... certifikati koji su u potpunosti ili djelomično vezani uz informacijsku sigurnost niču kao gljive poslije kiše. Mnoge visokoškolske ustanove u svoje programe sve češće uvrštavaju predmete, seminare ili čitave smjerove koji su vezani uz područje informacijske sigurnosti, pokušavajući proizvesti kadrove koji će se manje ili više uspješno moći nositi s izazovima koje pruža okolina, ali i unutrašnjost poduzeća.

Svi sustavi certifikacije onome tko je bio te sreće ili nesreće da se mora certificirati po njima, ili da ih je morao proučiti ili primijeniti prilično su slični. Ugrubo, mogu se podijeliti na one koji područje informacijske sigurnosti dotiču rubno u okviru opće metodologije upravljanja ili konkretnog područja kojim se bave, te one usko fokusirane isključivo na informacijsku sigurnost. S druge strane, ovisno o načinu obrade tematike, postoje certifikati, standardi ili smjernice koji se fokusiraju vrlo detaljno na određeni operativni dio na koji se odnose te oni koji obuhvaćaju vrlo široko podrucje ali ne zadiru previše duboko. Vrlo često se tijekom pripremnih predavanja za takve upravljačke sustave ističe kako oni ne daju operativne prijedloge niti tehnička rješenja, nego daju formalni, situacijski okvir, pokušavajući s visokog nivoa apstrakcije obuhvatiti sve moguće situacije koje se mogu pojaviti na terenu, te tako dati okvir organizaciji unutar kojega će ona sama moći prilagoditi postojeći uvedeni standard vlastitim potrebama i specifičnostima.

Međutim, sama "općenitost" certifikacijskih sustava, standarda ili normi ujedno je njihovo najveće ograničenje. Za neke od njih i stručnjaci govore da su "milju široki, a pedalj duboki". Osim toga, većina certifikata ne daje kandidatima za rukovoditelje informacijskom sigurnošću ono na čemu se i temelji svaki uspješni rukovoditelj informacijskom sigurnošću ili član tima koji obavlja tu poslovnu funkciju: dodir sa stvarnim, svakodnevnim problemima.

Potrebno je naglasiti da se lista koja slijedi ne uzima kao definitivna niti "službena", radi se o osobnom iskustvu jednog CISO-a koje možda može poslužiti svim kolegama u struci u operacionalizaciji raznih standarda informacijske sigurnosti u organizaciji bilo koje veličine.

RUKOVODSTVO I UPRAVA

  • nesukladnost sa zakonskim odredbama i lokalnom legislativom koja se tiče informacijske i opće sigurnosti poduzeća
  • nepostojanje obvezanosti i interesa Uprave za poboljšanjem informacijske i opće sigurnosti
  • rukovodstvo koje nema svijest o nužnosti poboljšavanja informacijske sigurnosti. U tvrtkama kojima core-business nije vezan uz visokotehnološke procese te u kojima uprava ne posjeduje svijest o konstantnoj potrebi poboljšavanja informacijske sigurnosti, ona je percipirana iskljucivo kao trošak, nametnuti zakonski zahtjev ili samopromocija odgovornih za informacijsku sigurnost. Jasno je da bez direktnog formalnog obvezivanja uprave, ali i stvarnog, svakodnevnog i aktivnog sudjelovanja uprave u poboljšavanju sigurnosnih funkcija poduzeća, informacijska i integralna sigurnost ostaju samo slovo na papiru.
  • rukovoditelji kojima pomoćnici (administrativno osoblje, sekretarice) vrše odobravanja unutar integralnog poslovnog sustava (SAP i sl.) U većim organizacijama rukovoditelji često delegiraju "svakodnevne" poslove na pomoćnike, dajući im pristup autorizacijskim sustavima za odobravanje nabave ili plaćanja, što predstavlja direktnu prijetnju informacijskoj sigurnosti. Isto se odnosi i na pristup emailovima, informacijama ili dokumentima.
  • stvaranje paralelnih sustava autorizacije (npr. "stariji" rukovoditelji koji imaju otpore prema informacijskoj tehnologiji te osim sustava autorizacije unutar integralnog poslovnog sustava inzistiraju na paralelnom "papirnatom" sustavu potpisa i autorizacija). U nekim poduzećima, osim procesa autorizacije unutar poslovnih sustava poput SAP-a, paralelno se vode poslovni procesi sustavom "papirnatih" autorizacija i potpisa, što predstavlja značajnu prijetnju informacijskoj sigurnosti, no isto tako, utječe i na smanjenje transparentnosti poslovnih procesa te ih čini manje efikasnima
  • nepostojanje dokumentiranih temeljnih politika, kriterija, standarda i radnih uputa u području informacijske sigurnosti
  • nedovoljni ljudski i materijalni resursi za provođenje predviđenih, ali i izostavljenih (!) mjera informacijske sigurnosti
  • nepostojanje plana kontinuiteta poslovanja, nerevidiranje postojećeg plana kontinuiteta poslovanja i neprilagođavanje plana novonastaloj situaciji
  • nema sustavnog planiranja IT kapaciteta i plana kontingencije usluge i ICT imovine, što rezultira nepotrebnim zastojima u pružanju usluga uslijed kvara ili prekida usluge ciji kontinuitet je mogao biti zajamčen uz minimalna ulaganja
  • nepostojanje plana oporavka,nerevidiranje postojećeg plana oporavka i neprilagođavanje plana oporavka novonastaloj situaciji (npr. rast poduzeća, novi odjeli, novi projekti, nove poslovnice)
  • nepridržavanje mjera određenih planom kontinuiteta poslovanja i planom oporavka
  • nepostojanje procesa sustavne edukacije o korištenju informacijskih resursa i informacijskoj sigurnosti a vrlo često se ne provode periodički tečajevi obnove temeljnih znanja
  • provjera referenci prije zapošljavanja novih zaposlenika, osobito onih na više i rukovodeće funkcije se ne obavlja ili se obavlja na neadekvatan način te prema kriterijima koji su nesukladni značaju pozicije
  • nema pokretanja disciplinskih mjera po nastanku informacijskih incidenata i implementiranog sustava učenja temeljem incidenata
  • po završetku radnog odnosa ili po transferu u drugu poslovnu jedinicu ili na drugi projekt, ne oduzimaju se prava pristupa i ne brišu email adrese; nije implementiran sustav revizije korisničkih prava ili se ne prate definirane procedure
  • ne postoji jasna implementacija servisnih nivoa (SLA),što rezultira kompromisnim rješenjima i potencijalnim opasnostima po sustav upravljanja informacijskom sigurnošcu
  • neposjedovanje polica osiguranja za opremu koja se koristi za daljinsko računalstvo jer uprava smatra kako je to neopravdan trošak
  • nisu implementirane mjere rukovođenja promjenama, ne vodi se dnevnik promjena
  • neadekvatne procedure pri izvođenju informacijske sigurnosti na mrežama
  • nedovoljno razrađene sigurnosne procedure pri korištenju procesa udaljenog rada
  • segregacija testne i radne okoline se ne provodi ili nije predviđena, zbog izbjegavanja dodatnih troškova ili zato što je tako jednostavnije
  • nepridržavanje ili potpuni izostanak mjera fizičke zaštite vezanih uz ulaz zaposlenika, stranaka i dobavljača u poslovne prostore
  • nepridržavanje ili nedonošenje kontrola zaštite i revizije ugovornih klauzula s trećim stranama i dobavljačima, a koje se tiču informacijske sigurnosti i čuvanja poslovne tajne
  • odnos sa trećim stranama kod njihovog boravka u poslovnim prostorima i dozvola pristupa resursima i informacijama poduzeća
  • nepostojanje jasno razgraničenog vlasništva nad resursima i inventorijem ICT imovine


KORISNICI

  • nepridržavanje politike čiste radne površine - vrlo cesto se povjerljivi dokumenti te oni dokumenti koji sadrže osobne informacije drže na stolovima i ormarima, umjesto pod ključem ili barem "licem dolje"
  • nepridržavanje politike čistog ekrana
  • nezaključavanje ladica/ormara s povjerljivim dokumentima, uz koje vrlo često ide neodržavanje ili nerevidiranje popisa ljudi koji imaju autorizaciju za pristup dokumentima
  • nekorištenje rezača papira i medija - povjerljiva dokumentacija se baca u smeće umjesto da se reže prije odlaganja. Uz ovu pojavu često ide i netransparentno arhiviranje dokumentacije te nepostojanje procesa arhiviranja i čuvanja dokumentacije
  • ostavljanje neuspjelih i suvišnih kopija te originala dokumenata uz fotokopirne strojeve
  • ostavljanje skenova dokumenata na mrežnim diskovima dostupnim ljudima koji nisu autorizirani za pristup skeniranim dokumentima
  • zapisivanje lozinki za pristup i ostavljanje istih uz računala (osobito na popularnim Post-It papirićima)
  • dijeljenje vlastite lozinke drugim korisnicima (izgovor: godišnji odmor, poslovni put, porodiljni dopust)
  • bespotrebna izrada kopija dokumenata na mrežnim diskovima (analiza pokazuje da su preko 40 % podataka u korporacijama u pravilu duplikati). Vrlo često, ovo se dogada u tvrtkama u kojima rukovodstvo srednje i više razine ima nisku svijest o potrebi upravljanja resursima ICT odjela, odnosno smatraju da je to posao "nekoga drugog".
  • gubljenje PDA uređaja, često kombinirano s korištenjem uređaja koji nisu zašticeni PIN-brojem, lozinkama za pristup emailu koje su upisane i trajno memorirane, te podacima koji se smještaju na nezaštićene memorijske kartice umetnute u PDA uređaje
  • gubljenje prijenosnih računala koja sadrže osjetljive informacije i aplikacije
  • gubljenje USB ključeva kojima se licencira uporaba aplikacija
  • gubljenje USB medija za backup podataka
  • nemaran odnos prema opremi (ostavljanje opreme bez nadzora u avionu, parkiranim automobilima, taxijima, na aerodromima itd.)
  • korištenje eksternih USB memorija za stalnu pohranu a ne backup podataka, što u slucaju gubitka ili kvara rezultira gubitkom ili kompromitiranjem radnih dokumenata poduzeća
  • slanje medija i podataka elektronskim sustavima razmjene ili dostavnom službom bez kriptiranja podataka koje sadrže te nepostojanje procedura vezanih uz masovni transport podataka i medija s podacima
  • izbjegavanje izrada rezervnih kopija osobnih podataka usprkos opetovanim upozorenjima i donesenim procedurama što rezultira gubitkom podataka nakon kvara na tvrdim diskovima, te neminovnim dodatnim troškovima
  • korištenje mrežnih diskova za pohranu osobnih arhiva elektroničke pošte bez lozinke
  • slanje računalne i telekomunikacijske opreme na popravak bez brisanja podataka i postavki s istih, često kao posljedica nedonošenja procedura vezanih uz servisiranje računalne opreme
  • nemaran odnos prema hardveru i softveru
  • izostanak korištenja temeljnog zdravog razuma, logike i neposjedovanje svijesti o potrebi očuvanja informacijske i opće sigurnosti kod korisnika


ZAKLJUČAK

Iz gore navedenog, jasno je da postoji međuovisnost između odnosa uprave i rukovodstva prema općoj i informacijskoj sigurnosti i odnosa korisnika. U pravilu, ukoliko je interes uprave za poboljšavanjem stanja informacijske sigurnosti veći, to će kroz provođenje politika informacijske sigurnosti i procedura rezultirati povećanom svijesti i kod korisnika. U protivnom, ukoliko je uprava nezainteresirana za sigurnosnu funkciju, u praksi će se korisnici teško "samoorganizirati" i postići ciljeve informacijske sigurnosti.

Većina CISO-a naići će u svom radu na probleme uzrokovane primarno od strane korisnika. Korisnici najčešće ne koriste logiku i zdrav razum pri korištenju informacijskih resursa i usluga, ;skloni su zaobilaziti procedure i modelirati ih prema vlastitom nahođenju, bilo da bi došli do ICT usluga ili podataka za koje nisu autorizirani ili zato što im je tako jednostavnije raditi, odnosno zato što su tako naviknunti. S druge strane, u odnosu CISO-a i uprave, najčešći problem nije činjenje nego nečinjenje - uprava koja nije partner CISO-u, njegova je noćna mora, jer očekuje izvanredne rezultate, ne pružajući mu alat za rad, niti podršku i još povrh toga, ne razumijevajući kontekst, prozivaju CISO-a na odgovornost zbog propusta i lošeg stanja informacijske sigurnosti. Stoga je u praksi zadaća CISO-a i educiranje uprave, korištenje "soft skills" taktika, ne bi li uspio ostvariti povjerene mu ciljeve, od strane te iste uprave! Iz tog razloga, CISO mora ne samo posjedovati tehničko i organizacijsko znanje te
znanje o tehnikama poboljšanja informacijske sigurnosti, nego i izražene komunikacijske i prezentacijske vještine.

Naposlijetku, naši čitatelji uočit će da se u ovom članku ne razrađuje detaljnije treća strana - hakeri, te vanjski čimbenici. Oni predstavljaju treći "vrh" trokuta prijetnji i poteškoća s kojima se CISO susreće, no nećemo ga ovom prigodom obrađivati - cilj je bio ukazati CISO-ima i potencijalnim CISO-ima na "checklistu" unutrašnjih prijetnji na koje će naići tijekom svog rada u poduzeću i pokušajima da učine informacijski sistem sigurnijim. Obrada tematike vanjskih napada i prijetnji nužno vodi u operativne i specijalističke vode i manje sadrži komponentu neposrednosti. Dapače, usudili bismo se ustvrditi da dobar dio CISO-a, te operativno odgovornih za informacijsku sigurnost u svom svakodnevnom poslu vrlo rijetko nailazi na napade izvana, osobito u segmentu srednjih i manjih organizacija, a na prijetnje iznutra nailazi konstantno. Stoga smatramo da je ovim postignut cilj sistematskog izlaganja konkretnih prijetnji i poteškoća s kojima se CISO najčešće suočava - a one ujedno predstavljaju prijetnje koje je najteže otkloniti, jer ako sustav upravljanja informacijskom sigurnošću nije postavljen na robusnim osnovama, niti tehničko-operativne zadaće obrane od vanjskih rizika i prijetnji zasigurno neće biti adekvatno odrađene.

Објавио у Нема коментара:

уторак, 7. јул 2009.

Мапе ума, први домен

Сматрам да су мапе ума добар начин ка систематском учењу, те сам направио мапе ума за први домен. Нисам завршио део са Risk Management-ом, не замерите.
Објавио у Нема коментара:

субота, 4. јул 2009.

Аудио снимци

Преузмите аудио линкове са директним ftp линкова у формату читљивом ITunes-у, за пребацивање у .mp3 користите TuneBite
(недостаје први и последњи део, ускоро ћу допунити)

hxxp://www.radost.rs/cissp/audio/CISSPDomain02.m4b
hxxp://www.radost.rs/cissp/audio/CISSPDomain03.m4b
hxxp://www.radost.rs/cissp/audio/CISSPDomain04.m4b
hxxp://www.radost.rs/cissp/audio/CISSPDomain05.m4b
hxxp://www.radost.rs/cissp/audio/CISSPDomain06.m4b
hxxp://www.radost.rs/cissp/audio/CISSPDomain07.m4b
hxxp://www.radost.rs/cissp/audio/CISSPDomain08.m4b
hxxp://www.radost.rs/cissp/audio/CISSPDomain09.m4b
Објавио у Нема коментара:

среда, 24. јун 2009.

LearnKey CISSP Solutions 11 CD

Проверите да ли вреде ови курсеви и јавите на утиске...

The Certified Information Systems Security Professional (CISSP)
designation is a recognized international standard for information
security certifications. The CISSP series from LearnKey will provide
certification candidates an understanding of crucial security issues.
Expert instructor Michael Solomon covers the full CISSP Common Body of
Knowledge (CBK) and explains how the

various domains relate in an overall security policy. At the conclusion
of this series, you will understand security concepts and issues in the
CBK required for the CISSP exam. CISSP Certification Series Michael
Solomon

Benefits

• This course meets objectives to prepare you for the CISSP exam.
• Increase your earning potential with the CISSP certification.
• Information security skills are in demand throughout the world.

LearnKey understands that security certification is highly desired by
students. Partnering with International Information Systems Security
Certification Consortium or (ISC)², enables LearnKey to compile a
comprehensive CISSP course that covers the topics in the (ISC)² exam
such as, Access Control Systems, Cryptography, and Security Management
Practices. This enables students to confidently prepare for the (ISC)² CISSP exam.

http://rapidshare.com/files/51299420/C--IISSSS__PPP.part01.rar
http://rapidshare.com/files/51299485/C--IISSSS__PPP.part02.rar
http://rapidshare.com/files/51299544/C--IISSSS__PPP.part03.rar
http://rapidshare.com/files/51299593/C--IISSSS__PPP.part04.rar
http://rapidshare.com/files/51299660/C--IISSSS__PPP.part05.rar
http://rapidshare.com/files/51299736/C--IISSSS__PPP.part06.rar
http://rapidshare.com/files/51299807/C--IISSSS__PPP.part07.rar
http://rapidshare.com/files/51299896/C--IISSSS__PPP.part08.rar
http://rapidshare.com/files/51299970/C--IISSSS__PPP.part09.rar
http://rapidshare.com/files/51300063/C--IISSSS__PPP.part10.rar
http://rapidshare.com/files/51300130/C--IISSSS__PPP.part11.rar
http://rapidshare.com/files/51300217/C--IISSSS__PPP.part12.rar
http://rapidshare.com/files/51300291/C--IISSSS__PPP.part13.rar
http://rapidshare.com/files/51300391/C--IISSSS__PPP.part14.rar
http://rapidshare.com/files/51300472/C--IISSSS__PPP.part15.rar
http://rapidshare.com/files/51300567/C--IISSSS__PPP.part16.rar
http://rapidshare.com/files/51300653/C--IISSSS__PPP.part17.rar
http://rapidshare.com/files/51300728/C--IISSSS__PPP.part18.rar
http://rapidshare.com/files/51300792/C--IISSSS__PPP.part19.rar
http://rapidshare.com/files/51300865/C--IISSSS__PPP.part20.rar
http://rapidshare.com/files/51300943/C--IISSSS__PPP.part21.rar
http://rapidshare.com/files/51301023/C--IISSSS__PPP.part22.rar
http://rapidshare.com/files/51301093/C--IISSSS__PPP.part23.rar
http://rapidshare.com/files/51301150/C--IISSSS__PPP.part24.rar
http://rapidshare.com/files/51299348/C--IISSSS__PPP.part25.rar
Објавио у Нема коментара:

уторак, 23. јун 2009.

Препоручена литература:

Krutz, "Advanced CISSP Prep Guide" - pomalo nalik rječniku, puuuuuuno golih činjenica
Tipton, "Information Security Management Handbook, 4th edition" - pitkija za čitati
Krutz, "The CISSP Prep Guide: Mastering the Ten Domains of Computer Security" -
Shon Harris, All In One, 3rd edition - mnogi kažu najbolji izvor, opširna, puno primera
Mike Meyers CISSP Certification Passport (autor_ Shon Harris)

www.sigurnost.info

неке од ових књига се налазе на листи литературе.
Објавио у Нема коментара:
Овај блог је направљен са намером да помогне свима у полагању CISSP сертификата. Шаљите своје утиске, сугестије, материјале, предлоге за учење, концепте, тестове и све остало што мислите да може помоћи у учењу и спремању.

у здравље
Објавио у Нема коментара:
Ознаке:
Пријавите се на: Постови (Atom)