1.システムへのアクセス制御(コンソールアクセス、ネットワークアクセス)およびアクセス制御の手段
2.ソフトウェアの整合性と不変性を確実に制御します(ウイルスの導入はソフトウェアの変更であるため、ここではウイルス対策ツールも参照します)。
3.暗号保護の手段
4.外部からの侵入に対する保護手段(外部の影響)
5.ユーザーアクションをログに記録する手段。これはセキュリティの確保にも役立ちます(ただし、それだけではありません)
6.侵入検知ツール
7.システムセキュリティステータス監視ツール(脆弱性検出)
最も興味深いのは最後の3つのクラスで、セキュリティを確保する上で受動的な役割を果たしますが、それらの重要性を減らさないでください。 たとえば、ソフトウェアレベルでの情報セキュリティの確保に関してデミングサイクルを検討すると、これら3つのクラスの位置は、セキュリティプロセス全体の4分の1を完全に占有します。
PDCA(デミングサイクル)方法論は、プロセスを管理し、その目標を達成するためのマネージャーのアクションの最も単純なアルゴリズムです。 制御サイクルは計画から始まります。
1.計画-目標を達成するために必要な目標とプロセスを設定し、プロセスの目標と顧客満足を達成するための作業を計画し、必要なリソースの割り当てと分配を計画します。
2.実装-計画された作業の実装。
3.検証-プロセス中に取得した重要業績評価指標(KPI)に基づく情報の収集と結果の監視、偏差の特定と分析、偏差の原因の確立。
4.影響(管理、調整)-計画された結果からの逸脱の原因、計画の変更、リソースの割り当てを排除する手段を講じます。
これらのツールはセキュリティシステムに影響しませんが(他のシステムと組み合わせても)、セキュリティシステムの状態に関する完全な情報(イベントログ、サービス拒否情報、疑わしい承認に関する情報、分析ログに関する情報)を収集して保存するだけですシステムと個々のノードの脆弱性画像の比較。
こうしたシステムの反対側、特に脆弱性検出ツールは、意思決定支援サブシステム(PPR)であり、入力データに基づいて、PDCAサイクルの次のノード、つまり「影響」に対するかなり公平な確率的意思決定を行います。 PPRサブシステムは自律的であり、システム全体の機能には影響しませんが、より効率的なシステムはPPRの結果に基づいて自動的に調整されます。
このような調整の例としては、特定のポートの単位時間あたりのパケット制限を超えたときに新しいルールを自動的に追加するファイアウォールがあります。 個々のノードの相互運用のルールを決定する、より複雑なIDS + IPSシステムがあります。
明らかに、そのようなシステムを正しく、正しく、合理的に運用するには、既存のセキュリティシステムの機能に関する入力情報の関連性と完全性が重要になります。 偽(偽陰性と偽陽性の両方)の情報は、情報セキュリティ保護システムの近代化に関する意思決定チェーンの弱点となるため、主なタスクは、高品質のセキュリティ管理と監査システムを構築することです。
不正なセキュリティ監査システムを使用する攻撃者の潜在的な利点は非常に多様であり、すべては彼の視線の目的に依存します。 たとえば、攻撃者が既存のセキュリティシステムに現在脆弱性がまったく存在せず、インシデントポリシーも存在しないことを理解している場合、攻撃(特に分散)は、根本的に新しい攻撃スキームを使用した後、短時間で非常に成功します。 または、攻撃を特定できないことも、CISの裏口になります。 また、攻撃の結果は異なる場合があります-情報の盗難、サービス拒否、ウイルス攻撃など。
また、不正なセキュリティ監査システムが、「Act」の時点でのデミングサイクルでの非論理的な決定の理由になる可能性があります。 これは、不正なデータとその分析により、システム(またはPPRシステム)がシステムをアップグレードすることを決定したときに発生する可能性があります。 この近代化は、不合理な経済的コストである可能性があり、また、保護を迂回して機密情報を取得しないという目標を追求した攻撃者にとっては有益である可能性があります。
品質監視システムは、85%から100%の確率で、組織の情報セキュリティの状態(許可ログ、攻撃の時間、または不在の保証)をいつでも監視するシステムと呼ばれます。
現在、情報セキュリティの状況に対する監視制御システム(またはその一般的な存在)の信頼性のテストは、既存およびすでに稼働しているCISでのテストテストにしかなれません。 これらは、さまざまなタイプの攻撃、システムの脆弱性を悪用する実用的な手段の検索、保存された情報の完全性のチェックです。
予想される結果が実際の結果と異なる場合、これらの偏差の品質と量を分析し、これらのテスト中に生じたリスクを評価し、それらを排除するためのすべての対策を実行し、コントロールテストを実施する必要があります。 リスクが残っている場合、テストと最新化を続けます。
システムが100%の結果でも情報フローの制御を示した場合、正確性を保証するために、最新のテクノロジーを使用して、定期的および予定外のテストを時々実施する必要があります。
通常、情報セキュリティの監視および制御システムの検証はサードパーティによって実行されます。これは非常に高価で常に不必要なツールであり、バイアスは結果とリスクの価格に影響を与える以外にありません。 その一環として、いくつかのソリューションが提案されています。
情報システムのセキュリティの監査中に解決される主なタスク:
1.情報システムの情報の自動処理と送信に使用される構造、機能、技術の分析、ビジネスプロセスの分析、規制および技術文書。
2.情報セキュリティに対する重大な脅威とその実装方法の特定。 情報システムにおける技術的および組織的性質の既存の脆弱性の危険度に応じた識別とランキング。
3.侵入者の非公式モデルの編集、情報セキュリティに対する識別された脅威を侵入者が実現する可能性を検証するための積極的な監査手法の適用。
4. IPアドレスの外部境界に沿って侵入テストを実施し、ソーシャルエンジニアリング手法を使用して情報システムに侵入する可能性を確認します。
5.顧客の情報リソースのセキュリティに対する脅威に関連するリスクの分析と評価。
6.国際規格ISO / IEC 27001:2005の要件に対する情報セキュリティ管理システムの評価、およびIS管理システムを改善するための推奨事項の開発。
7.情報セキュリティを確保するための既存のメカニズムの新しい有効性を改善するための提案と推奨事項の開発。
サードパーティ組織から推奨事項を受け取る場合、財務の健全性と理想的なオプションからの無条件の逸脱を覚えておく必要があり、以前の欠点からPDCAサイクルの次の反復を開始することが可能です。