Categorie: Securitate

SharePoint Fundation instrument pentru ISO 27001 (ep.1)

Într-un articol anterior spuneam că un instrument foarte bun pentru implementarea ISO27001 poate fi SharePoint. Versiunea care o vom folosi pentru această serie de episoade este SharePoint Fundation 2010 cu părțile bune și lipsurile aferente. Versiunea SharePoint Server chiar și versiunile mai vechi ar răspunde mai bine cerințelor de implementare a ISO27001, dar cum economisirea primează, am preferat să alegem o versiune gratuită a sistemului de management al documentelor și proceselor de afaceri.

În continuare vom detalia un exemplu de implementare pe faze și metode pentru suportul decizional pentru întreg ciclu de viață al unui sistem de management al securității.

0. Start

Organizaţia decide să implementeze prevederile standardului ISO 27001.

În această etapă se stabilește necesitatea implementării ISMS 27001 și se definesc pașii de implementare. Managerul de proiect poate folosi SPF2010 în sensul gestionării proiectului, prin crearea unui site specializat pentru această activitate sau prin crearea unei liste de tip Project Task:

Create Project Tasks list

În planul de proiect se definesc etapele și perioadele de timp necesare implementării. Pentru cei familiarizați cu instrumentele de project management, crearea și gestionarea ativităților este foarte simplă. Activitățile pot fi grupate pe categorii, conținând următoarele criterii:

Grup de activități

Componenta de noutate în SPF2010 față de versiunile anterioare de SharePoint este dată de Diagrama Gantt.

Diagrama Gantt

Pentru definirea subactivităților (A.2.1, A.2.2,…) trebuie creat un element de tip Summary Task.

Un proiect din SPF2010 poate fi exportat în Access, Excel, Outlook și, în cazul în care aveți instalat pe calculatorul client, în Microsoft Project.

SPF2010 deține un instrument destul de avansat de control al erorilor. În exemplul de mai jos, este prezentată modul în care data a fost introdusă greșit.

Eroare dată

Pentru gestionarea sedinței de deschidere se poate utiliza crearea unui eveniment în calendarul organizației și un site de tip Meeting Workspace, în care se pot posta prezentări, agenda, documentele de tip minuta ședinței, permițând integrarea agendei și invitațiilor folosind sistemul de e-mail.

 

1. Obţinerea sprijinului din partea conducerii:

Dacă s-a luat decizia de implementare, conducerea trebuie să desemneze o echipă care să elaboreze Politica de Securitate a organizaţiei. Acest document trebuie revizuit, aprobat şi adus la cunoştinţa tuturor angajaţilor, pentru a cunoaște faptul că organizația va trece la implementarea SMSI.

Pentru această etapă în SPF201 se poate defini un Document Workspace sau o listă de documente distinctă la care să aibă acces toți angajații cu permisiuni de Read pentru consultare.

Securitatea pe librarie de documente

Esențial în faza de construcție este înregistrarea versiunilor pentru a reflecta toate modificările aduse documentului.

Versiuni document

 

2. Definirea scopului SMSI:

Pentru definirea scopului nu avem un exemplu de implementare în SPF2010 fiind o rezultantă a discuției de la ședința de deschidere. Putem utiliza în schimb un Decision meeting workspace pentru a vedea rezultatele voturilor, etc.

 

3. Inventarierea activelor informaționale:

În cadrul Scopului trebuie identificate activele organizaţiei (şi valoarea asociată acestora) care trebuie protejate, rezultând documentul sau baza de date Inventarul activelor.

Sunt convins că în orice organizație există cel puțin un fișier Excel în care sunt stocate informații despre activele informaționale, cel puțin cele fizice. Sau o parte din aceste active se pot obține din aplicațiile financiar-contabile din cadrul organizației.

Varianta cea mai simplă este să centralizăm într-un fișier aceste active și să le completăm cu informațiile necesare unei liste corecte de inventar conform ISO27001.

În Excel (2007) creem această listă centralizată, după care o definim ca un tabel și o exportăm într-o nouă listă SharePoint. Ulterior putem personaliza și îmbunătăți această listă nou creată prin adăugarea de noi coloane sau personalizarea coloanelor existente. Elementele din listă se pot actualiza permanent.

Foarte interesantă este funcția de versionare în 2010. De exemplu, dacă unui activ de tip server îi schimbăm memoria sau alte caracteristici tehnice, la actualizarea listei se păstrează și versiunea anterioară. Trebuie să știți că versionarea nu este activată implicit și putem stabili numărul maxim de versiuni. Nu trebuie să omitem prezența funcțiilor de validate a datelor introduse pentru a elimina inadvertențele sau greșelile:

Validation Rule for a text field

Adăugarea unui element nou este reprezentată schematic mai jos.

Adding a new asset

Owner-ul poate fi validat prin preluarea sa automată din sistemul de autentificare.

Pe o listă se pot activa filtre, sortări asemănător cu majoritatea operațiunilor aplicabile listelor din Excel, sau poate fi exportată direct în Excel pentru efectuarea de sinteze pivot sau importul în aplicațiile de Analiză a riscurilor.

Lista completă de operațiuni este prezentată în Ribonul List.

Ribonul List din SPF2010

O altă versiune de lucru, este ca fiecare departament să aibă propria sa librărie de documente sau o librărie de documente Excel comună în care să se salveze direct fișierele cu date, fiecare actualizare trebuind în acest fel să se realizeze doar prin deschiderea în aplicația client.

 

4. Stabilirea gradului de risc asociat activelor informaţionale:

Pe baza Inventarului activelor, se va realiza Analiza de Risc, care constă în identificarea pentru fiecare activ a ameninţărilor, vulnerabilităţilor şi impactului din prisma triadei Confidențialitate-Integritate-Disponibilitate.

Metoda de calcul am preluat-o de la Adi Munteanu.

Planul de evaluare a riscurilor

Modelul prezentat în figură este implementat într-o listă personalizată SharePoint care preia amenințările și vulnerabilitățile din alte două liste specifice. Sunt multe metodologii de evaluare a riscurilor (sau mai multe detalii aici), dar prin articolul curent am încercat să exemplificăm tehnica utilizată de aplicația vsRISK care după o serie de articole este menționat ca cel mai complet produs software pentru analiza de riscuri pentru implementarea și gestionarea ISO 27001.

Trebuie să mai amintim că în modelul referit nu am inclus și Planul de tratare a riscurilor care ar presupune adăugarea unei coloane noi în lista Planul de evaluare a riscurilor (PER).

Adăugarea unuei noi intrări în PER:

Adăugare element nou în PER

Fiecare asset trebuie tratat din prisma Triadei CID, numit aici Atribut, i se alocă o amenințare din lista de Amenințări. Mai departe Probabilitatea de apariție și Impactul sunt determinate pe baza experienței consultantului. În exemplul nostru, datorită Lipsei unui sistem de detecție a incendiilor, și a faptului că se fumează în sala în care se află DVD-ul cu softul respectiv, probabilitatea de apariție a unui incendiu a fost stabilită la nivelul 3, iar impactul este relativ mic (1) pentru că un kit de instalare poate fi descărcat de pe MSDN sau TechNet în lipsa DVD-ului original. Impactul ar fi mult mai mare dacă ar arde în incendiu, contractul sau certificatul de licențiere.

Nivelul de risc asociat se calculează automat pe baza Probabilității și Impactului.

Avantajul incontestabil al acestei metode, în contextul în care nu avem o altă aplicație de management al riscurilor este acela că anual sau ori de câte ori este cazul putem reface analiza de risc și poate fi partajată pentru mai mulți untilizatori simultan. Din cunoștințele mele, vsRISK este doar pentru monopost, adică un singur om poate lucra simultan la toată analiza de risc.

Lista generată în SharePoint poate fi migrată în alte aplicații de tip Office pentru analize avansate.

 

Încheind prezentul articol, într-o notă optimistă, avem credința că mulți manageri IT vor lua în calcul o analiză de risc folosind acest instrument. Rămâne de văzut!

Aștept părerile și propunerile de îmbunătățire.

 

Disclaimer:

Acest articol nu pretinde că cel mai bun instrument pentru implementarea ISO27001 este SharePoint Fundation, sau că metodele descrise aici sunt cele mai corecte și mai bune. El pune în evidență un mod de lucru, aducând la cunoștința celor interesați, faptul că Sistemul de Management al Securității nu reprezintă doar un standard procedural, un teanc de hîrtii cu care să te acoperi, ci un standar practic de lucru securizat în cadrul organizațiilor, chiar și din România.

ISO27001: Sistemul de management al securităţii informaţionale (SMSI)

Separarea responsabilităţilor este unul din cele mai importante aspecte ale securităţii unui sistem, indiferent dacă este vorba despre securitatea unui întreg sistem sau doar a unei singure componente, de exemplu, modul de acces la sistemul de baze de date al organizaţiei.

În prezent, există un standard, ISO 27001, prin care se pot reglementa politicile şi procedurile de securitate la nivel de organizaţie sau unitate funcţională, adresată în scopul definit prin procesul implementare a unui sistem de management al securităţii (figura).

Etapele proiectării şi implementării sistemului centralizat de management al securităţii, conform ISO27001, pot fi sintetizate astfel:

Schema de proiectare şi implementare a standardului ISO27001

0. Start: Organizaţia decide să implementeze prevederile standardului ISO 27001;

1. Obţinerea sprijinului din partea conducerii: Dacă s-a luat decizia de implementare, conducerea trebuie să desemneze o echipă care să elaboreze Politica de Securitate a organizaţiei. Acest document trebuie revizuit, aprobat şi adus la cunoştinţa tuturor angajaţilor, pentru a cunoaște faptul că organizația va trece la implementarea SMSI.

2. Definirea scopului SMSI: Organizaţia trebuie să decidă asupra componentei organizaţionale ce va fi supusă certificării ISO (Scopul/domeniul certificării). În general, se stabileşte o singură componentă a sistemului informaţional: un departament, o activitate. În lume, în prezent, există doar 2700 de companii certificate pentru întregul sistem informațional. Scopul trebuie justificat, rezultând un document cunoscut sub numele de: Scopul Sistemului de Management al Securităţii Informaţionale.

3. Inventarierea activelor informaționale: În cadrul Scopului trebuie identificate activele organizaţiei (şi valoarea asociată acestora) care trebuie protejate, rezultând documentul sau baza de date Inventarul activelor.

4. Stabilirea gradului de risc asociat activelor informaţionale: Pe baza Inventarului activelor, se va realiza Analiza de Risc, care constă în identificarea pentru fiecare activ a ameninţărilor, vulnerabilităţilor şi impactului.

5a. Declaraţia de aplicabilitate (SOA – Statement Of Aplicability): În baza analizei de risc, se realizează declaraţia de aplicabilitate, specificând detaliat zonele din Scop adresate de SMSI.

5b. Planul de tratare a riscurilor: Tot în baza analizei de risc şi în conjuncţie cu SOA, se documentează controalele care vor fi implementate pentru a menţine riscurile în limite acceptabile. Acestea vor fi preluate din Anexa A ISO 27001 sau din alte documente recunoscute ca fiind „cele mai bune practici” ale domeniului. Fiecare control considerat relevant trebuie să se adreseze unui risc.

6. Stabilirea planului de implementare: Rol care trebuie asumat de managerul de proiect desemnat în faza 1 a procesului. Planul de implementare conține fazele detaliate ale proiectului, momentele de livrare a documentației alcătuită din manuale, proceduri și instrucțiuni de lucru. De asemenea, sunt desemnați responsabilii cu securitatea și responsabilii pentru fiecare etapă din proiect.

7. Derularea planului de implementare: conform fazelor planului de proiect realizat în etapa anterioară prin implementarea controalelor definite în etapele anterioare.

8. Sistemul de Management al Securităţii Informaţiilor: Este etapa în care organizaţia începe să funcţioneze după regulile stabilite în planul de implementare. Documentația de implementare a SMSI va conține: Manualul de Securitate, Manualul politicilor de securitate, Manualul procedurilor operaţionale, Manualul metricilor de securitate, Planul de continuitate a afacerii.

9. Rezultatele sistemului: Odată implementat SMSI, sistemul începe să înregistreze operațiunile derulate pe o perioadă de cel puţin 3 luni de zile. Informațiile se vor centraliza în: jurnalele de securitate, rapoartele de audit şi aplicabilitate, rapoartele de testare a componentelor sistemului, rapoartele testării utilizatorilor privire la elementele de bază ale securităţii sistemelor informaţionale.

10. Revizia rezultatelor: După implementarea controalelor, se analizează breşele pentru a identifica controalele care nu au fost implementate în totalitate sau pentru care utilizatorii necesită instruire suplimentară.

11. Acţiuni corective: Se implementează acţiunile corective prin care se remediază situaţiile identificate anterior.

12. Test de precertificare: Auditorii firmei vor efectua o verificare formală prin care certifică existenţa fizică a controalelor documentate în etapele anterioare.

13. Audit de certificare: Toată documentaţia se pune la dispoziţia unei firme/auditor acreditată să ofere certificare în baza ISO 27001. În România cele mai cunoscute organisme de certificare a SMSI sunt: Simtex şi SRAC.

 

Avantajele unui sistem standardizat de management al securităţii (SMSI) sunt regăsite în reducerea riscurilor la adresa securităţii informatice şi abordarea structurată şi standardizată a sistemului informaţional. Familiarizarea conducerii cu problemele legate de securitatea informaţiilor şi controalele asociate va determina, în mod direct, îmbunătăţirea mediului de control, implicând, în acelaşi timp, revizia cu regularitate a politicilor şi procedurilor de securitate.

Abordarea profesionistă a managementului riscurilor şi asigurarea consistenţei de securitate în schimbul de informații între componentele sistemului informaţional, va duce la creşterea capacităţii de identificare şi tratare a riscurilor.

O abordare general aplicabilă, indiferent de domeniul de activitate al organizaţiei, va determina eliminarea nevoii de evaluare separată a sistemelor şi implementare de controale individuale, constituindu-se într-un denominator comun pentru implementarea unor controale specifice. Totodată, SMSI poate asigura o reducere a costurilor cu securitatea, prin adoptarea „celor mai bune practici” ale domeniului IT&C, concentrând efortul pe implementarea controalelor.

Sumarizat, reducerea costurilor de operare şi administrare a securităţii se identifică prin:

  • Organizaţia îşi poate alege singură setul de acţiuni ce se implementează în baza analizelor cost-beneficiu.
  • Se poate demonstra conformitatea cu alte acte normative.
  • Eliminarea potenţialelor incriminări juridice.

Politicile şi procedurile de lucru formalizate reprezintă un mecanism prin care se poate măsura şi îmbunătăţi performanța securităţii informaţiilor, asigurând un cadru de lucru general, dar, în acelaşi timp, particularizabil pe specificul oricărei companii.

În studiul nostru în diferite companii din România, am identificat o serie de avantaje directe ale certificării în conformitate cu standardul ISO 27001:

  • Satisfacerea cerinţelor partenerilor de afaceri prin evidenţierea controalelor de securitate.
  • Securitatea este evaluată în raport cu un referenţial independent tehnologic.
  • Obţinerea de avantaje competitive pe piaţă.
  • Promovarea imaginii companiei ca un partener de afaceri sigur.
  • Oferirea de asigurări beneficiarilor şi demonstrarea implicării în reducerea riscurilor legate de securitatea informaţiilor.

Sunt multe companii care se ocupă cu implementarea acestui standard dar și organisme de certificare autohtone. Nu ne-am propus să discutăm despre modul în care sunt puse în practică aceste implementări, dar aducem totuși la cunoștința sau conștiința cititorilor faptul că de cele mai multe ori, certificarea pe ISO27001 înseamnă obținerea unui certificat și a unei documentații… la un preț de cele mai multe ori sub limita prețurilor de dumping.

După mai multe surse, sunt puțini implementatori sau companii care își pun problema unui instrument pentru implementarea corectă a standardului. Asta pentru că afacerea cu certificarea ISO27001 a fost dusă în zona balcanizării certificărilor asemănător standardelor ISO9001:Quality management systems (Managementul calității) sau ISO14001: Managementul Mediului… Pentru 700 de euro ai trei standarde! Nu este greu să dați o căutare pe Internet după unul din cele 3 standarde ca să vedeți listele de prețuri. Cât durează o astfel de implementare? Un răspuns probabil, îl dă ISO27006 cu privire la standardele de auditare. Dacă pentru o companie cu 2 – 10 angajați, auditul de certificare este bugetat 2 oameni 5 zile… e cineva în măsură să justifice prețuri ca cele vehiculate pe Internet pentru implementare?

În episodul următor, despre SharePoint Fundation 2010 ca instrument de implementare a ISO27001. Keep close!

Autoruns – Why and How

În Windows avem la dispoziție tot felul de instrumente de raportare și configurare. Printre acestea cele mai cunoscute și utilizate (by default) sunt: msconfig din care pot fi lansate și celelalte instrumente: System Information (msinfo32), Registry Editor (regedit) și altele.

Autoruns este un utiltar oferit gratuit de Microsoft, de fapt de echipa de la Sysinternals, preluată de Microsoft,  care prezintă într-un format unitar și grupat, toate informațiile de bază legate de lansarea în execuție și rularea aplicațiilor de bază Windows.

Aplicația poate fi descărcată de la adresa: http://technet.microsoft.com/ro-ro/sysinternals/bb963902(en-us).aspx și nu necesită instalare.

Autoruns Tool

Una din funcțiile principale ale Autoruns este aceea de verificare și validare a DLL-urile utilizate de anumite aplicații sau servicii. Este binecunoscut faptul că hackerii și aplicațiile troian modifică DLL-urile de bază ale aplicațiilor și serviciilor, de aceea este recomandat să le ținem permanent sub observație.

Pentru a nu vă rătăci printre DLL-uri puteți să ascundeți serviciile well known de tip Microsoft sau Windows, fiind în acest fel mai ușor să identificați serviciile și DLL-urile de la alți furnizori de aplicații. (Meniul Options, Hide Microsoft and Windows Entries)

Din Autoruns nu puteți realiza modificări dar un simplu dublu click pe o linie afișată vă deschide automat registry editor. Modificați în regiștri doar dacă vă pricepeți, altfel ignorați acest paragraf. Sunt destule metode, sfaturi, recomandări și fișiere de configurare în net și în underground care vă propun diferite metode de optimizare a sistemului dumneavoastră:

Dar cât de safe sunt acestea? Clar reformatarea nu este o opțiune ci doar o soluție în caz de dezastru absolut… chiar dacă nici System restore nu-ți mai funcționează.

Mulți alți utilizatori utilizează, de multe ori, fără licență, aplicații de tip Ghost pentru a crea o imagine a sistemului după ce au realizat o instalare clean.

Autorun în schimb ne permite să realizăm o imagine verificată a DLL-urilor, serviciilor și aplicațiilor din start-up la un moment dat. Pentru a crea imaginea parcurgeți următorii pași:

1. Verificați DLL-urile: Options –> Verify Code Signatures.

2. Salvarea imaginii curente: File –> Save.

Extensia fișierelor este ARN. Păstrați aceste fișiere într-un loc diferit, pe un CD, pe un HDD extern. Realizați operațiunea de salvare în mod frecvent, să spunem odată pe lună.

În momentul în care sesizați o disfuncționalitate în rularea calculatorului puteți să deschideți din nou Autoruns și realizați o comparare (File –> Compare) cu ceea ce aveați în momentul în care funcționa bine.

Autoruns - Compare

Aplicațiile noi instalate apar evidențiate cu fundal verde fluorescent.

O altă utilitate a aplicației este aceea de a identifica lista de Codecuri instalate pe calculator dar și a Add-on-urilor din Internet Explorer.

Pentru administratorii care doresc să-și păstreze o imagine a sistemelor din rețea se poate realiza o scriptare a rulării Autoruns, dintr-un file share folosind PsExec.

Pentru această operațiune se crează un share public pe server, cu drepturi de scriere doar pentru utilizatorul care rulează scriptul. Acolo se salvează Autoruns.exe și psexec.exe. Trebuie creată apoi o listă a serverelor din rețea, de exemplu: CompList.txt în care se trece pe fiecare linie numele de NetBios al fiecărui server pe care dorim să-l documentăm.

CompList.txt

Exemplu de rulare a psexec cu autoruns:

PsExec @CompList.txt -u Administrator -p P@ssw0rd -e -c -f -d \\AppSrv-Adm\AutoRuns\AutoRuns.exe -a -v \\AppSrv-Adm\AutoRuns\%computername%.arn

Execuția:

PsExec cu Autoruns

Rezultatul va consta într-o listă de fișiere ARN salvate în Share-ul specificat în comandă. Sigur în figura de mai sus sunt ceva probleme legate de parola :).

Parametrul –a se folosește pentru salvare și ieșire iar –v pentru verificarea și validarea DLL-urilor.

Spor la documentat.

Disclaimer:

Acesta este un articol pentru utilizatorii mai puțin experimentați și poate nu numai.

Blog la WordPress.com.

SUS ↑