Posouzení bezpečnosti informačních technologií - Information technology security assessment

Posouzení bezpečnosti informačních technologií (IT Security Assessment) je explicitní studie k vyhledání Zabezpečení IT zranitelnosti a rizika.

Pozadí

Při hodnocení by měl mít hodnotitel plnou spolupráci hodnocené organizace. Organizace uděluje přístup ke svým zařízením, poskytuje síť přístup, nastiňuje podrobné informace o síti atd. Všechny strany chápou, že cílem je studovat zabezpečení a identifikovat vylepšení pro zabezpečení systémů. Hodnocení bezpečnosti je potenciálně nejužitečnější ze všech bezpečnostní testy.

Účel posouzení bezpečnosti

Cíl posouzení zabezpečení (také známý jako audit zabezpečení, kontrola zabezpečení nebo hodnocení sítě)[1]), je zajistit, aby byly nezbytné bezpečnostní kontroly integrovány do návrhu a realizace projektu. Správně vyplněné hodnocení zabezpečení by mělo poskytnout dokumentaci popisující všechny bezpečnostní mezery mezi návrhem projektu a schválenými zásadami zabezpečení společnosti. Vedení může řešit mezery v zabezpečení třemi způsoby: Vedení se může rozhodnout zrušit projekt, přidělit potřebné zdroje k opravě mezer v zabezpečení nebo přijmout riziko na základě informované analýzy rizik a odměn.

Metodologie

Následující metodický nástin je předložen jako účinný prostředek při provádění hodnocení bezpečnosti.

  • Studie požadavků a analýza situace
  • Vytváření a aktualizace zásad zabezpečení
  • Kontrola dokumentu
  • Analýza rizik
  • Sken zranitelnosti
  • Analýza dat
  • Report & Briefing

Ukázka zprávy

Zpráva o posouzení zabezpečení by měla obsahovat následující informace:

  • Úvod / základní informace
  • Shrnutí výkonného ředitele a managementu
  • Rozsah a cíle hodnocení
  • Předpoklady a omezení
  • Použité metody a nástroje hodnocení
  • Popis aktuálního prostředí nebo systému se síťovými diagramy, pokud existují
  • Bezpečnostní požadavky
  • Shrnutí zjištění a doporučení
  • Výsledek kontroly obecné kontroly
  • Výsledky testu zranitelnosti
  • Výsledky posouzení rizik včetně identifikovaných aktiv, hrozeb, zranitelných míst, posouzení dopadů a pravděpodobnosti a analýza výsledků rizik
  • Doporučená ochranná opatření

Kritiky a nedostatky

Posouzení bezpečnostních rizik IT, jako mnoho posouzení rizik v IT, ve skutečnosti nejsou kvantitativní a nepředstavují riziko žádným pojistně matematickým způsobem. Kvantitativní měření rizika může mít významný dopad na stanovení priorit rizik a získání souhlasu s investicí.[2]

Kvantitativní analýza rizik byla aplikována na bezpečnost IT především Vláda USA studie v roce 2000. Federální rada CIO zadala studii investice do zabezpečení IT v hodnotě 100 milionů USD pro Ministerstvo pro záležitosti veteránů s výsledky ukázanými kvantitativně.[1] Ministerstvo pro záležitosti veteránů Spojených států

Profesionální certifikace

Pro provádění bezpečnostního hodnocení existují běžné profesionální certifikace neutrální vůči prodejci.

  • CISSP
  • CCSP
  • CISM
  • CISA
  • ISO / IEC 27001: 2013 auditor / hlavní auditor
  • CRISC
  • QSA / ISA

Automatizované nástroje pro hodnocení zabezpečení

Existují běžné nástroje pro automatické hodnocení zabezpečení pro použití vlastními osobami / třetími stranami.

  • Panoramata
  • Nástroje RapidFire
  • Mimo bezpečnost
  • Verakód
  • RiskWatch
  • SolarWinds

externí odkazy

Reference

  1. ^ „4 příznaky, které potřebujete, posouzení sítě“. ccbtechnology.com. Citováno 20. února 2018.
  2. ^ Hubbard, Doug (1998). „Překážkové riziko“. Časopis CIO.

Casas III, Victoriano. 2006. „Model hodnocení rizika informační bezpečnosti pro veřejné a univerzitní administrátory.“ Projekt aplikovaného výzkumu. Texaská státní univerzita. http://ecommons.txstate.edu/arp/109/