Security Incident Audit Program

‫‪Point of View – “Security Incident‬‬
‫‪Management Audit / Assurance‬‬
‫”‪Program‬‬
‫רקע‬
‫צור קשר‬
‫במהלך ‪ 2009‬פרסם ‪ ,ISACA‬האיגוד הבינלאומי לביקורת ואבטחת מערכות מידע‪,‬‬
‫תוכנית ביקורת בתחום "ניהול אירועי אבטחה" בארגון‪.‬‬
‫מסגרת העבודה מיועדת לקהל רחב‪ :‬דירקטורים ומנהלים בכירים‪ ,‬מנהלי מערכות‬
‫מידע‪ ,‬מנהלי אבטחת מידע‪ ,‬מנהלי סיכונים‪ ,‬מבקרי מערכות מידע‪ ,‬מבקרים‬
‫חיצוניים ועוד‪.‬‬
‫מטרת תוכנית הביקורת לעזור למשתמשים בה ‪:‬‬
‫כיתוב המתאר תמונה או‬
‫גרפיקה‬
‫הסקירה נכתבה ע"י חבר‬
‫הועדה המקצועית של איגוד‬
‫‪ ISACA‬בישראל ‪-‬‬
‫אלכס גאפט ‪CFE CISA‬‬
‫ושי זנדני – ‪,CISA ,CISSP‬‬
‫‪CRISC ,CISM‬‬
‫‪[email protected]‬‬
‫הסקירה נבחנה ע"י חברי‬
‫של‬
‫המקצועית‬
‫הוועדה‬
‫האיגוד ואושרה ע"י יו"ר‬
‫הוועדה‬
‫‪‬‬
‫להבין מה כולל תחום ניהול אירועי אבטחת מידע‪.‬‬
‫‪‬‬
‫להבין כיצד מתמודדים עם אירועי אבטחת מידע‪.‬‬
‫‪‬‬
‫לקבל החלטות מושכלות בדבר רמת הסובלנות לסיכון זה של הארגון‪.‬‬
‫‪‬‬
‫למפות את הבקרות הקיימות בארגון כנגד סיכון זה‪.‬‬
‫"המטרה היא לסייע‬
‫‪‬‬
‫להבין מה חסר לשם התמודדות יעילה עם סיכון זה‪.‬‬
‫בהבניית תהליך ארגוני‬
‫תוכנית הביקורת מקושרת למתודולוגית ניהול הסיכונים של ‪ COSO‬ה‪ERM - -‬‬
‫לניהול אירועי אבטחת‬
‫‪ Enterprise Risk Management‬ולרכיבי ניהול הסיכון הכלולים במסגרת‬
‫מידע וקישורם למטרות‬
‫®‪ COBIT‬ו‪.Val ITTM -‬‬
‫סקירה זו‪ ,‬המבוססת על תוכנית הביקורת ועל ‪ Good Practice‬בתחום‪ ,‬באה‬
‫להדגיש את חשיבות ביקורת ניהול אירועי אבטחה בארגונים‪ ,‬וכיצד על ארגונים‬
‫להתמודד עם נושא חשוב זה‪.‬‬
‫הגדרות‬
‫‪ o‬אירוע אבטחה‪ :‬כל אירוע או תקרית שעלולים לגרום לפגיעה באמינות‪,‬‬
‫בסודיות‪ ,‬או בזמינות המידע‪ .‬תחת הגדרת אירוע אבטחת מידע‬
‫נכללות פעולות מכוונות ולא מכוונות‪ ,‬מורשות ושאינן מורשות‪ ,‬וכן‬
‫אירועים אשר גרמו או עלולים היו לגרום נזק‪.‬‬
‫‪ o‬התרעת אבטחה‪ :‬זיהוי קיומו של אירוע אבטחה באמצעות מערכת‬
‫בקרה וניטור המאפשרת הגדרת התנאים לקיומו של אירוע אבטחה‬
‫והתרעה ודיווח על קיומו של אירוע כזה‪.‬‬
‫‪ o‬איום‪ :‬אירוע לא רצוי העלול לפגוע במערכות המחשוב או בנכסי חברה‪.‬‬
‫‪ o‬חשיפה‪ :‬חולשה של נכס או מערכת מידע העלולה להיות מנוצלת על‬
‫ידי איום‪.‬‬
‫העסקיות"‬
‫‪Point of View – “Security Incident‬‬
‫‪Management Audit / Assurance‬‬
‫”‪Program‬‬
‫תמצית תוכנית הביקורת‬
‫המסמך מציע תוכנית ביקורת המבוססת על ‪ 4‬ראשי פרקים עיקריים ומצביעה‬
‫תוכנית ביקורת המבוססת על‬
‫‪ 4‬ראשי פרקים עיקריים‪:‬‬
‫על הקישור הרלוונטי לסעיפי ה‪ .CobiT -‬ארבע ראשי הפרקים הם‪:‬‬
‫‪ .1‬תכנון וקביעת מסגרת הביקורת )‪(Planning and Scoping the Audit‬‬
‫‪ .2‬הבנה של התשתיות התומכות ) ‪Understanding Supporting‬‬
‫‪(Infrastructure‬‬
‫‪ .1‬תכנון מסגרת הביקורת‬
‫‪ .2‬הבנת התשתיות‬
‫התומכות‬
‫‪ .3‬מדיניות ונהלים לניהול‬
‫אירועים חריגים‬
‫‪ .3‬מדיניות ונהלים לניהול אירועים ) ‪Incident Management Policy‬‬
‫‪ .4‬יישום‬
‫‪(and Procedure‬‬
‫‪ .4‬יישום )‪(Implementation‬‬
‫כל ראש פרק מכיל את הנושאים העיקריים אותם יש לבחון במסגרת הביקורת‬
‫בטבלה מפורטת‪ .‬בנספח למסמך זה מובאים‪ ,‬בשפת המקור ‪ -‬פירוט הסעיפים‬
‫לראשי הפרקים הנ"ל‪.‬‬
‫הסיבה לניסיון הפריצה למאגרי המידע של הארגון יכולה להיות שונה בכל מגזר‬
‫עסקי‪ :‬רווח כלכלי ישיר‪ ,‬גניבת מידע שחלים עליו זכויות יוצרים‪ ,‬הפרעה לפעילות‬
‫עסקית תקינה וכד'‪ .‬הגורם הפורץ יכול להיות גורם חיצוני ו‪/‬או גורם פנימי‬
‫בארגון‪ .‬כתוצאה מהתממשות הפריצה יכול הארגון להינזק במגוון מישורים‪:‬‬
‫תדמיתי‪ ,‬מול הגוף הרגולטורי‪ ,‬תפעולי ופיננסי‪.‬‬
‫‪ POV‬מס' ‪ ,4‬עמוד ‪2‬‬
‫‪ - ISACA‬האיגוד הישראלי לביקורת ואבטחת מערכות מידע‬
‫ינואר ‪2011‬‬
‫‪Point of View – “Security Incident‬‬
‫‪Management Audit / Assurance‬‬
‫”‪Program‬‬
‫תגובה הולמת לאירועים אלה הינה מרכיב חיוני לתהליכי המשכיות עסקית‪ ,‬לניהול‬
‫סיכונים‪ ,‬לתחזוקת תשתית אבטחת המידע ובכמה מקרים לציות לרגולציה‪ .‬הטמעה‬
‫מהירה של תהליך תיקון והפקת לקחים‪ ,‬תוך הפרעה מינימאלית לשירותי המידע‬
‫בארגון הוא המרכיב העיקרי של היערכות לתגובה לאירועי אבטחת מידע‪ .‬היעד הוא‬
‫להביא לכך‪ ,‬שאירוע אבטחה יטופל תוך השפעה מזערית על סך פעילות הארגון‪.‬‬
‫מרכיב נוסף הינו יכולת חקירתית )‪ – (forensic‬ביצוע הבדיקה כיצד התאפשרה‬
‫הפריצה ובאיזה פעולות יש לנקוט על מנת לצמצם את היתכנות הפריצה בעתיד‪.‬‬
‫יכולת זו תלויה באפקטיביות הבקרות בארגון‪ ,‬כולל שימוש נכון בלוג ממוחשב )‪(log‬‬
‫כיתוב המתאר תמונה או‬
‫גרפיקה‬
‫ושמירה על נתיב ביקורת מפורט )‪ .(audit trail‬לדוגמא‪ ,‬העדר אבטחה פיזית‪ ,‬העדר‬
‫מדיניות סיסמאות‪ ,‬העדר שימוש בלוגים‪ ,‬תהליך גיבוי פגום‪ ,‬תהליך העברה לייצור‬
‫פגום‪ ,‬כל אלה ועוד יכולים להשפיע באופן דרמטי על היכולת לנהל חקירה של אירוע‬
‫אבטחת מידע‪.‬‬
‫" העדר אבטחה פיזית‪,‬‬
‫העדר מדיניות סיסמאות‪,‬‬
‫העדר שימוש בלוגים‪,‬‬
‫תהליך גיבוי פגום‪ ,‬תהליך‬
‫העברה לייצור פגום‪ ,‬כל‬
‫אלה ועוד יכולים להשפיע‬
‫באופן דרמטי על היכולת‬
‫לנהל חקירה של אירוע‬
‫אבטחת מידע "‪.‬‬
‫עקרונות תוכנית הביקורת‬
‫הארגון המבקש להתמודד בהצלחה עם אירועי אבטחת מידע ומשברים דומים‬
‫אחרים יבצע את הצעדים הבאים‪:‬‬
‫‪ ‬מיפוי של כל נכסי המידע בארגון‬
‫‪ ‬הכנת מדיניות ונהלים כגון‪:‬‬
‫‪‬‬
‫מדיניות אבטחת מידע‬
‫‪‬‬
‫נוהל תגובה לאירועי אבטחת מידע‬
‫‪‬‬
‫נוהל פיתוח מאובטח‬
‫‪‬‬
‫נוהל שינויים והתקנות‬
‫‪‬‬
‫נוהל הביטי אבטחת מידע למשתמשים‬
‫‪‬‬
‫נוהל סיסמאות‬
‫‪‬‬
‫נוהל גיבויים‬
‫‪‬‬
‫נוהל הדרכה לעובדים בנושא אבטחת מידע‬
‫‪‬‬
‫תוכנית המשכיות עסקית‬
‫‪‬‬
‫נוהל עבודה עם גורמים חיצוניים‬
‫‪‬‬
‫נוהל הצפנות‬
‫‪‬‬
‫נוהל סיווג מידע‬
‫‪ POV‬מס'‪4‬‬
‫‪ - ISACA‬האיגוד הישראלי לביקורת ואבטחת מערכות מידע‬
‫ינואר ‪2011‬‬
‫‪Point of View – “Security Incident‬‬
‫‪Management Audit / Assurance‬‬
‫”‪Program‬‬
‫‪‬‬
‫מיקום המסמך‬
‫מיפוי וניתוח סיכונים פוטנציאליים ) וירוסים‪,‬האקרים‪ ,‬עובד הארגון‪ ,‬כשל‬
‫בחומת –אש ‪( Fire-Wall‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ניתן למצוא את המסמך‬
‫מיפוי כל הגורמים החוץ‪-‬ארגוניים שיש להם נגישות לרשת הפנימית של‬
‫במלואו באתר ‪ISACA‬‬
‫הארגון;‬
‫בכתובת ‪:‬‬
‫הקמת צוות תגובה לאירועים‪Computer Incident Response -‬‬
‫‪http://www.isaca.org/T‬‬
‫)‪Team (CIRT‬‬
‫‪emplateRedirect.cfm?t‬‬
‫לבצע סקר סיכונים שכולל את כל נכסי המידע בארגון‪ ,‬על מנת להתאים את‬
‫התגובה לרמת הקריטיות של כל נכס‬
‫כיתוב המתאר תמונה או‬
‫גרפיקה‬
‫‪emplate=/ContentMan‬‬
‫‪agement/ContentDispl‬‬
‫‪‬‬
‫לוודא שלכל נכס מידע קיים בעלים )‪( owner‬‬
‫‪ay.cfm&ContentID=473‬‬
‫‪‬‬
‫לפרט את תהליך התגובה לאירוע תוך חלוקת אחריות ברורה ‪:‬‬
‫‪55‬‬
‫‪ o‬זיהוי האירוע‬
‫‪ o‬תיעוד האירוע‬
‫‪ o‬תגובה ראשונית‬
‫‪ o‬דיווח על אירוע‬
‫‪" o‬הקפאה וצילום מצב"‬
‫‪ o‬ניתוח נתונים וחקירה ‪Forensic‬‬
‫‪ o‬תיקון כשלים ושיפור בקרות‬
‫‪ o‬טיפול משמעתי או פנייה לגורמי אכיפה‬
‫‪ o‬תגובה להסלמה באירוע‬
‫‪ o‬הפקת לקחים‬
‫‪‬‬
‫קיום תרגילים )או "תרגול תגובה לאירוע‪/‬ים‬
‫‪‬‬
‫עדכון נהלים ומדיניות מדי תקופה‬
‫‪‬‬
‫בחינה של הטמעת כלים‪ /‬מנגנונים ייעודיים ואוטומטיים לאבחון והתראה‪,‬‬
‫כגון קבצי לוג‪Intrusion Prevention Tools – IPS/IDS ,‬‬
‫‪‬‬
‫בחינה של הקמת מרכז לניטור אירועי אבטחת מידע – ‪– SOC/SIM‬‬
‫‪Security Operating Center / Security Information‬‬
‫‪Management‬‬
‫‪ POV‬מס' ‪4‬‬
‫‪ - ISACA‬האיגוד הישראלי לביקורת ואבטחת מערכות מידע‬
‫ינואר ‪2011‬‬
‫‪Point of View – “Security Incident‬‬
‫‪Management Audit / Assurance‬‬
‫”‪Program‬‬
‫"תהליך ניהול אירועי‬
‫אבטחת מידע הינו תהליך‬
‫חוצה ארגון שנוגע גם‬
‫נקודת מבט של האיגוד‬
‫בתהליכים העסקיים וגם‬
‫תהליך ניהול אירועי אבטחת מידע‬
‫שרלוונטית היום יותר מתמיד‪ ,‬גם ע"מ‬
‫במערכות המידע התומכות‬
‫הינו תהליך חוצה ארגון שנוגע גם‬
‫לענות לדרישות הרגולציה שפורסמו‬
‫בהם‪ .‬חשוב מאוד שתהליך‬
‫בתהליכים העסקיים וגם במערכות‬
‫בתחום‪.‬‬
‫זה יכלל בניהול הסיכונים‬
‫המידע התומכות בהם‪ .‬חשוב מאוד‬
‫הפעולה עם מכון התקנים הישראלי‬
‫כיתוב המתאר תמונה או‬
‫גרפיקהט"מ‬
‫ממשל‬
‫שתהליך זה יכלל בניהול הסיכונים של‬
‫במטרה לקדם את נושא‬
‫הארגון‪ ,‬כך שבנוסף לפן תגובתי יהיה‬
‫במשק ובמטרה לספק כלים וסיוע‬
‫לו גם פן מניעתי!‬
‫מקצועי לארגונים בארץ להיערך לנושא‬
‫בשלב זה ועפ"י היכרותנו – רבים‬
‫זה‪.‬‬
‫מהארגונים בישראל לא רואים את‬
‫הסתייגויות‬
‫נושא ניהול אירועי אבטחת מידע ברוח‬
‫הכתוב ב – ‪ POV‬זה מובא באופן כללי‬
‫זו ועיקר תוכניות התגובה מצטמצמות‬
‫ותמציתי ונועד להפניית תשומת הלב‬
‫להתקפות ווירוסים ולא באות כמענה‬
‫בלבד‪ .‬כל הסתמכות על תוכנו נעשית על‬
‫כלל ארגוני‪.‬‬
‫אחריותו של הקורא בלבד‪ .‬למידע נוסף‬
‫של הארגון‪ ,‬כך שבנוסף לפן‬
‫תגובתי יהיה לו גם פן‬
‫מניעתי! "‬
‫"תמצית מודל הביקורת‬
‫המוצע יוכל לסייע בהבניית‬
‫התהליך הארגוני לניהול‬
‫אירועי אבטחת המידע‬
‫וקישורם למטרות העסקיות"‬
‫מוצע לפנות לפרסום המקורי‪.‬‬
‫תמצית מודל הביקורת המוצע יוכל‬
‫בנוסף‪ ,‬המסמך מיועד לחברי ‪ISACA‬‬
‫לסייע בהבניית התהליך הארגוני‬
‫בלבד‪ ,‬וקיימת מחויבות לשמירה על‬
‫לניהול אירועי אבטחת המידע‬
‫זכויות יוצרים‪.‬‬
‫וקישורם למטרות העסקיות‪ ,‬דרישה‬
‫‪ POV‬מס' ‪4‬‬
‫‪ - ISACA‬האיגוד הישראלי לביקורת ואבטחת מערכות מידע‬
‫ינואר ‪2011‬‬
‫נספח א' – פירוט ראשי פרקים לבחינה‬
‫מצ"ב תמצית הנושאים העיקריים שיש לבחון במסגרת תוכנית הביקורת לנוהל‬
.‫טיפול באירועים חריגים‬
1. PLANNING AND SCOPING THE AUDIT
1.1 Define boundaries of review.
The review must have a defined scope. The reviewer must understand the operating environment and prepare a
proposed scope, subject to a later risk assessment.
1.2 Define assurance.
The review requires two sources of standards. The corporate standards defined in the policy and procedure
documentation establish the corporate expectations. At minimum, corporate standards should be implemented.
The second source, a good-practice reference, establishes industry standards. Enhancements should be proposed
to address gaps between the two.
1.3 Identify and document risks.
The risk assessment is necessary to evaluate where audit resources should be focused. The risk-based approach
assures utilization of audit resources in the most effective manner.
1.4 Define the change process.
The initial audit approach is based on the reviewer’s understanding of the operating environment and associated
risks. As further research and analysis are performed, changes to the scope and approach will result.
1.5 Define assignment success.
The success factors need to be identified. Communication among the IT audit/assurance team, other assurance
teams and the enterprise is essential.
1.6 Define audit/assurance resources required.
The resources required are defined in the introduction to this audit/assurance program.
1.7 Define deliverables.
The deliverable is not limited to the final report. Communication between the audit/assurance teams and the
process owner is essential to assignment success.
1.8 Communications
The audit/assurance process is clearly communicated to the customer/client.
2. UNDERSTANDING SUPPORTING INFRASTRUCTURE
2.1 Security incident management is supported by entity standards, processes and procedures. To
properly evaluate the process, the supporting infrastructure and documentation need to be reviewed
and evaluated.
Obtain a copy of 21 issues one should check, while auditing, like – Security Policy, Security Strategy, etc.
3. INCIDENT MANAGEMENT POLICY AND PROCEDURES
The establishment of policy and procedures is the starting point for a good-practice security incident management
system. The first phase of the audit/assurance process is to ensure that the policy and standards on which the process
is based are sound and address the essential issues.
3.1 Risk analysis and asset prioritization
Audit/assurance objective: Policies and procedures should be established to ensure that a risk analysis and asset
prioritization are part of the incident evaluation process.
3.2 Incident response policy
Audit/assurance objective: Incident response policies and processes should identify the scope, objectives and
requirements defining how and who should respond to an incident, what constitutes an incident, and the specific
processes for monitoring and reporting the incident activities.
3.3 Forensic policy
Audit/assurance objective: Forensic policies and procedures should ensure that documented management trails
are preserved to permit internal investigations and support any legal or regulatory investigations (internal and
external).
3.4 Incident reporting analysis and management tool
Audit/assurance objective: The process of selecting and implementing incident reports and analysis and
management tools should be performed by trained and technically competent professionals.
3.5 Training and professional development
Audit/assurance objective: Training and ongoing professional development of information security professionals
responsible for incident management should be relevant and timely, and provide staff members with adequate
knowledge of current practices, threats, preventive approaches and remediation action plans.
3.6 Management reporting
Audit/assurance objective: Reporting and escalation procedures should provide timely reporting and escalation
to management and relevant authorities, and should maintain a real-time notification process with affected
parties.
4. IMPLEMENTATION
Once the policies, standards and procedures are established, the audit/assurance function seeks to verify that
management adheres to and complies with the policies, standards and procedures.
4.1 Policies and procedures
Audit/assurance objective: The enterprise should be in compliance with the security incident management
policies, standards and procedures previously established.
4.2 Training
Audit/assurance objective: Incident response training should be in compliance with the training policy.
4.3 Incident response and forensic systems/tools
Audit/assurance objective: Incident response tools should be installed, scheduled, monitored and secured to
avoid unauthorized access to investigation activities.
4.4 Testing and automation of processes
Audit/assurance objective: Appropriate testing should be performed prior to implementation to ensure that the
applications are functioning as intended and that the availability of these processes will ensure recording of all
activities scheduled.
4.5 Initial implementation testing and evaluation
4.6 Ongoing maintenance
Audit/assurance objective: Maintenance procedures should be in effect to ensure the security of the
incident/forensic tools and the continued effectiveness of the program.