Audit
Az IT infrastruktúra illetve a védelmi rendszerek kialakítása és fejlesztése gyakran evolúciós módszerekkel történik. Az éppen aktuális igényeknek megfelelően illesztünk újabb és újabb alrendszereket, szolgáltatásokat a már meglévő környezethez jobbára szűkös anyagi is időbeni korlátok mellett. Ilyenkor hajlamosak vagyunk háttérbe szorítani a működésbiztonság szempontjait a funkcionalitással szemben. Ha mindez ráadásul időben eltolva, hiányosan dokumentált rendszerkörnyezetben, esetleg cserélődő IT személyzet mellett történik, szinte biztos, hogy mind az alapinfrastruktúra, mind a védelmi alrendszerek tartalmaznak tervezési, implementációs vagy konfigurációs hibákat.
Az audit célja ezen anomáliák feltárása és olyan javaslatok megfogalmazása melyek képesek a hiányosságok kiküszöbölésére. Lehet szó magáról az IT infrastruktúráról, annak üzemeltetési vagy információ biztonsági menedzsment környezetéről vagy a biztonság technológiai alrendszereiről is.
IT rendszeraudit
Ha IT infrastruktúrán működik és többé kevésbé hibamentesen képes nyújtani a szolgáltatásokat, hajlamosak lehetünk azt gondolni, hogy egy jó rendszert birtoklunk. Ez azonban koránt sem biztos, hiszen:
- a rendszerfejlesztéseket nem mindig előzik meg megfelelő tervezési lépések, így a fejlesztések nem mindig optimálisak
- az alaprendszer, illetve a további fejlesztések ritkán kellő képen dokumentáltak
- a rövid határidők néha funkcionalitásra optimalizált, félig kész megoldásokat szülnek, melyeket később sem készülnek el
- nem mindig vagyunk naprakészek a technológiai újdonságok terén, így lehet, hogy néhány dolgot bonyolultabban, nagyobb erőforrás ráfordítással működtetünk
- az üzemeltetési, a patch vagy a kapacitásmenedzsment folyamatok nem mindig kellően kidolgozottak, illetve érvényesítettek.
Az IT rendszeraudit célja, hogy a:
- fizikai és logikai struktúrában
- a konfigurációs és
- az üzemeltetés szabályozási környezetben
megtalálja azon tervezési, implementációs, konfigurációs vagy eljárásbeli hibákat, melyek incidenseket, leállásokat, kapacitás problémákat eredményezhetnek vagy a kelleténél nagyobb, nem optimalizált ráfordításigényekkel bírnak.
Információ biztonsági audit
Attól, hogy van egy tűzfalunk vagy telepítettünk vírusirtót a gépeinkre még nem biztos, hogy biztonságban vagyunk. Bizalmas adataink védelme, működésünk fenntartása ugyanis átfogó, komplex megközelítést igényel. Amennyiben nincs lehetőségünk egy lépésben megvalósítani ezt, fontos legalább azt feltárnunk, hogy hol vannak a legnagyobb hiányosságok. Ezzel javíthatunk a ráfordítások hatékonyságán és elmozdulhatunk az ideális, kockázatarányos, egyenszilárd védelemszervezés irányába.
Gyakran néhány ésszerű szabály érvényesítése jobban növeli az általános biztonsági szintet, mint egy több milliós beruházás. Az átfogó biztonsági audit során áttekintjük:
- A már kialakított szabályozási környezetet
- A szervezeti, szervezési sajátosságokat
- Az IT vagyontárgyak kezelését
- Az embberi erőforrások biztonsági kérdéseit
- A fizikai környezet kialakítását, védelmi sajátosságait
- A kommunikáció és üzemeltetés jellemzőit
- A hozzáférések menedzsmentjét és ellenőrzését
- Az IT rendszerek beszerzésének, fejlesztésének és karbantartásának sajátosságait
- Az incidens és problémakezelést
- A működésfolytonosság érdekében tett intézkedések megfelelőségét
- Az ágazati szokásoknak megfelelő egyéb követelményeknek való megfelelést
Sérülékenység vizsgálat
A biztonsági alrendszerek (tűzfal, IDS, IPS, DLP, mentési rendszer, logelemző rendszer...) megléte önmagában nem jelent garanciát a megfelelő védelemre. Ezen alrendszerek erőssége a megfelelő konfigurációban és az integráltságban gyökeredzik. A sérülékenység vizsgálat a meglévő alrendszerek próbája mely során ellenőrzésre kerül azok támadással szembeni ellenálló képessége.
A vizsgálat történhet kívülről, belső ismeretek nélkül, csak a publikusan elérhető információkra támaszkodva (black box teszt), vagy belülről, belsős jogosultságokkal felvértezve (white box teszt). A tesztek eredménye a feltárt sérülékenységeken túl az azok befoldozására tett javaslatok megfogalmazása is.