Smerica za revidiranje splošne rabe interneta G33 General Considerations on the use of Internet

1. Smerica za revidiranje splošne rabe internetaG33 General Considerations on the use of Internet MINISTRSTVO ZA FINANCE, UNPISLjubljana 2007 Miro Javornik, CISA

2. Vsebina predstavitve • Splošno o smernici - potreba, namen in omejitve • Splošno o internetnih povezavah • Splošna tveganja, internetne storitve in njihova specifična tveganja • Varnostne mere • Internet za predstavitev podjetja in kot kanal za poslovanje • Izvedba revizije/varnostnega pregleda

3. Namen, cilji, omejitve Razlog: dejstvo, da je za mnoga podjetja povezava na Internet nuja Namen:opis priporočene prakse pri izvedbi revizije uporabe Interneta, dostopa do Interneta in /ali povezav nanj Cilj: napotki kako zadostiti zahtevam standarda glede izvedbe revizije (S6 Performance of Audit Work), da se pri pregledu internetnih povezav pridobi zadostne, zanesljive, relevantne in uporabne dokaze Omejitve: predvsem uporaba Interneta za pridobivanje in izmenjavo informacij in kot komunikacijskega kanala

4. Splošno o Internetu • Več možnih načinov priključitve • samostojni računalniki, v omrežje povezani računalniki, več ločenih omrežij, povezave z modemi, preko usmerjevalnikov, skozi požarne pregrade, ... • Več načinov uporabe • za pridobivanje in izmenjavo informacij • kot komunikacijski kanal • za predstavitev podjetja, ljudi • kot ena od prodajnih poti

5. Tveganja • V zaprti računalniški mreži brez zunanjih povezav: • tehnične okvare, napačna raba ali zloraba sistemov, ter nelojalnost zaposlenih, ki razširjajo zaupne informacije. • Ob stalni povezavi na Internet se navedenim dodajo številna nova tveganja: • pasivni napadi: prisluškovanje prometu • aktivni napadi: vdori, virusi, črvi, zloraba slabosti sistema za pridobitev zaupnih informacij • napadi na storitve: oviranje ali zaustavitev delovanja, preusmeritev transakcij, socialni inženiring

6. Tipične storitve Interneta • e-mail: elektronska pošta • www: svetovni splet • FTP: prenos datotek • News: novice • telnet/remote interractive access: oddaljeni interaktivni dostop • IRC/instant messaging: takojšnje sporočanje

7. Elektronska pošta • podatek o pošiljalcu ni zanesljiv • vsebina prosto čitljiva in spremenljiva • ni zagotovila, da bo sporočilo oziroma da je bilo sprejeto • težave in omejitve s priponkami • neželjena sporočila (SPAM) • ...

8. Svetovni splet • nezanesljive informacije (ni garancije za kvaliteto, pravilnost ali da je najnovejša) • obiskovanje spletnih strani pušča sledi (IP omrežni naslovi, kaj, kdaj, morebiti uporabniška imena) • slabosti programov, ki se uporabljajo za dostop, dodatno slabosti dodatkov (Plugin-komponent) • piškotki shranjeni na lokalnem disku vsebujejo različno informacijo, ki lahko razkrivajo zasebnost • ...

9. Druge storitve • FTP • anonimni dostop, varnost • Novice • potencialni kanal za odtekanje zaupnih informacij • Telnet • pomanjkljiva varnost, prevzem seje • IRC • varnostne pomanjkljivosti programov • socialni inženiring, kanal za odtekanje informacij

10. Varnostne mere • politike, produkti, spremljanje • požarne pregrade • gesla za enkratni dostop • penetracijsko testiranje • sistemi za preprečevanje in odkrivanje vdorov • šifriranje • digitalno podpisovanje • navidezno privatno omrežje (VPN) • protivirusni programi • protiprisluškovalni programi (Antispyware) • beleženje in nadzorovanje internetnega prometa

11. INTERNET za predstavitev • Pred objavo • prepodrobni podatki - podlaga za socialni inženiring • vdor in sprememba vsebine spletnih strani na nezadostno zaščitenih strežnikih • analiza primernosti za objavo in potencialnih tveganj • Po objavi • spletne strani, ki se ne obnavljajo pogosto so nezanimive. • razvoj, vzdrževanje sta ključna. • dnevno spremljanje - za odkritje morebitnih poskusov nedovoljenih ali neavtoriziranih aktivnosti

12. Izvedba pregleda • Primarni cilj načrtovalne faze - razumevanje groženj in tveganj, ki jih ima organizacija s povezavo na Internet • Ali dostop temelji na potrebah? • Ali se uprava zaveda tveganj? • Obstoj politik glede dostopa, navodil za nadzorovanje usmerjevalnikov, požarnih pregrad, postopka za obravnavanje incidentov, programa osveščanja in usposabljanja, navodil za posodabljanje spletnih strani, ...

13. Izvedba podrobnega pregleda • Ocena odgovornosti vodstva, razlogov za dodelitev dostopa, obstoj občutljivih podatkov, načina povezave, omejitev dostopa, prodajnih poti preko Interneta, sposobnosti • Ocena tveganj, groženj, pokritja s politikami, posledic incidentov, verjetnosti zanje, varnostnih mer • Navodila, pravila, sankcije, izobraževanje, osveščanje, nadzorovanje, odzivi • Dokumentacija – opis opreme, povezavnih točk, nastavitev, varnostnih mer, beleženja, postopkov nadzorovanja in pregledovanja, obravnave incidentov

14. Izvedba ... nadaljevanje • Odgovornosti • uporabnikov IT • vodstva varnostne službe • uprave • Tehnični vidiki, varnostne mere in ukrepi • povzetek tehničnih vidikov in varnostnih mer v povezavi z najbolj uporabljanimi storitvami Interneta • zaznavanje, alarmiranje in beleženje varnostnih incidentov s sistemskimi programi, • požarne pregrade -le dovoljene storitve. • pokrivanje slabosti uporabljanih storitev

15. Zaključek • Smernica je začela veljati 1. 3. 2006. • Mogoče že tehnično rahlo zastarela, vendar konceptualno ustrezna. • Pokriva najbolj pogosto običajno uporabo Interneta. • Spletne predstavitve podjetja/organizacije, e-poslovanje in finančno uporabo podrobneje pokrivajo druge smernice kot npr. G22 B2C E-Commerce Reviews in G24 Internet Banking