3 Wichtige Tools und Maßnahmen zur Beherrschung der Sicherheitsanfälligkeit von IT-Ressourcen

Nachfolgend sind einige wichtige Instrumente und Maßnahmen zur Kontrolle der Anfälligkeit von IT-Ressourcen aufgeführt:

Die Art der Schäden unterscheidet sich auf verschiedenen Ebenen der IT-Infrastruktur. Der Schaden an Informationen kann sich auf Änderungen oder Löschungen der Werte oder den Verlust ihrer Privatsphäre beziehen. Die Dienste und das Netzwerk werden im Allgemeinen durch einen Unfall beschädigt, der auf einen Ausfall von Hardware oder Software oder auf beides zurückzuführen ist.

Bild mit freundlicher Genehmigung: ipa.go.jp/files/000013242.png

Da die Informationen mit Hilfe von Diensten und Netzwerken generiert und gespeichert werden, beruht das Informationsrisiko auf Hardware- oder Softwarefehlern. Da die drei Elemente miteinander verknüpft sind, behindert jeder Schaden an Diensten oder Netzwerken das Funktionieren des Systems und Schäden an Informationen, wodurch die Dienste und das Netzwerk weniger nützlich sind. Daher ist ein integrierter Sicherheitsansatz für die IT-Infrastruktur gewährleistet.

Es ist möglich, die Anfälligkeit von IT-Ressourcen mithilfe verschiedener Steuerungsinstrumente und -maßnahmen zu kontrollieren. Diese werden klassifiziert als:

(a) Basissteuerungs-Tools

(b) Allgemeine Kontrollmaßnahmen

(c) Anwendungskontrollmaßnahmen

1. Grundlegende Steuerungswerkzeuge:

Im Folgenden sind einige der grundlegenden Steuerungswerkzeuge aufgeführt, mit denen üblicherweise die Sicherheitsanfälligkeit von IT-Ressourcen gesteuert wird:

(eine Sicherung:

Ein grundlegendes Instrument für den Informationsschutz besteht darin, eine Kopie aller Daten zu sichern. Es dient dem doppelten Zweck der Notfallwiederherstellung und der Erkennung von Missbrauch. Das System zum Sichern von Daten und Programmdateien kann sich von Anwendung zu Anwendung unterscheiden, aber ein systematisches und regelmäßiges Dateisicherungssystem wird in allen IT-Infrastrukturen als absolut unerlässlich angesehen.

Die Backup-Routinen müssen religiös befolgt werden, damit das Backup-System nicht ausfällt, wenn es am dringendsten benötigt wird. Die meisten Datenbankverwaltungssysteme enthalten jetzt Funktionen zur automatischen Sicherung von Daten. Außerdem müssen Programmdateien nach jeder Änderung gesichert werden. Die kritischen Daten und Programme müssen regelmäßig auf ihre Richtigkeit überprüft werden.

(b) Teilen und herrschen:

Diese bewährte Sicherheitsregel kann auch auf die Datensicherheit angewendet werden. Die Bereitstellung eines eingeschränkten Zugriffs für jeden Benutzer ist wichtig, um sicherzustellen, dass niemand mit dem gesamten System Schaden anrichtet. Der Missbrauch an einem Ort wird während des normalen Funktionierens des Informationssystems an einem anderen Ort erkannt.

Der Zugriff auf IT-Ressourcen muss so definiert sein, dass sie den Rechenanforderungen für die Entlastung der Benutzer entsprechen. nicht weniger und nicht mehr als das Wesentliche. Somit kann die Zugriffserlaubnis auf beliebige Operationen wie Lesen, Schreiben, Ändern und Ausführen beschränkt sein.

Die Zugriffsberechtigung kann für jedes Datenelement in den Datenbanken definiert werden. Ebenso müssen Zugriffsberechtigungen für jedes Modul in der Anwendungssoftware und für jeden Teil der Computerhardware definiert werden. Die Identifizierung und Validierung von Benutzern durch Kennwörter und andere Techniken sind für die Regulierung des Zugriffs auf die IT-Infrastruktur unerlässlich.

(c) Zugangsberechtigung:

Der Zugriff auf Informationen kann mit Hilfe von Berechtigungswerkzeugen eingeschränkt werden. Diese Tools erlauben den Zugang zu Informationen nur nach ordnungsgemäßer Identifizierung der Benutzer. Jeder Benutzer hat eingeschränkten Zugriff auf die Informationen. Die Überprüfung der Identität des Benutzers kann mit Passwörtern erfolgen. Moderne Computerinstallationen verfügen über fortschrittlichere Identitätsüberprüfungstools, die auf Sprache oder anderen physischen Attributen wie Fingerabdrücken der Benutzer basieren.

(d) Verschlüsselung:

Verschlüsselung ist ein Prozess, bei dem die Informationen in eine Menge verwürfelter und bedeutungsloser Symbolkombinationen umgewandelt werden, die entschlüsselt werden können, um die Daten in die ursprüngliche Form zu konvertieren. Diese Umwandlung von Daten erfolgt unter Verwendung spezieller Hard- und Software.

Die Ver- und Entschlüsselung basiert auf dem vom Benutzer angegebenen Code. Dieser Code ist dem autorisierten Benutzer der Daten vorbehalten, und die Verwendung eines anderen Codes würde die Informationen nicht umwandeln. Die Verschlüsselungstools sind recht üblich, wenn die Informationen unter Verwendung üblicher Datenträger wie Telefonleitungen an weit entfernte Standorte übertragen werden sollen.

(e) Vergleiche

Der Vergleich ist eines der wichtigsten Instrumente zur Erkennung von Missbrauch. Regelmäßiger Datenabgleich mit Quelldokumenten, aktuelle Programmdateien mit Stammkopien von Programmdateien, frühere Begriffswerte mit aktuellen Begriffswerten dienen als nützliches Werkzeug für die rechtzeitige Erkennung von Missbrauch. Diese Vergleiche müssen von Personen durchgeführt werden, die nicht direkt an der Erstellung und Nutzung der IT-Ressourcen beteiligt sind.

(f) Verantwortlichkeit:

Die Sicherstellung der Einhaltung des Sicherheitsverfahrens ist ziemlich schwierig, da sich mangelnde Erkennung eines schwerwiegenden Missbrauchs mit Selbstzufriedenheit einstellt. Daher muss die Verantwortlichkeit für die Einhaltung der Sicherheitsverfahren geregelt werden.

(g) Benutzerprotokoll:

Das Nachverfolgen der Aktivitäten von Benutzern der IT-Infrastruktur ist eine wichtige Abschreckung bei Computermissbrauch. Durch die Wartung und regelmäßige Überprüfung der detaillierten Auflistung der von jedem Benutzer ausgeführten Vorgänge werden die Benutzer sehr unter Druck gesetzt, Sicherheitsnormen zu befolgen, und sie gewährleisten auch die frühzeitige Erkennung von Missbrauch. Audit-Trails sind erforderlich, um die Verarbeitung zu rekonstruieren und die Verantwortung für Missbrauch festzulegen.

(h) Anleitung:

Missbräuche sind oft aufgrund unzureichender Schulung im Umgang mit Sicherheitsmaßnahmen möglich. Es sollte ein System der Online-Hilfe für alle Benutzer in Form von Anleitungen und Unterstützung zum Verständnis der Sicherheitsbedrohung entwickelt werden. Ein solches System trägt wesentlich dazu bei, das Vertrauen der Benutzer in die Stärke des Sicherheitssystems zu entwickeln, und hilft dabei, Bedrohungen und Missbräuche frühzeitig zu erkennen.

(i) Audit:

Das Informationssystem-Audit ist ein weiteres wichtiges Instrument, um sicherzustellen, dass das Informationssystem seine festgelegten Funktionen korrekt ausführt. Die Information System Audit and Control Association (ISACA) ist eine in den USA ansässige Organisation, deren Ziel es ist, Standards für das Audit des Informationssystems zu entwickeln, um Fachleute für diesen Zweck auszubilden und zu akkreditieren.

Kleinere Unternehmen, die es sich nicht leisten können, interne Prüfungssysteme für Informationssysteme einzurichten, können zu diesem Zweck die Informationen der in der Praxis befindlichen Informationen und Systemprüfer einstellen. Eine solche Überprüfung erkennt und entmutigt ein Versehen und hält die Sicherheitswarnung aufrecht.

Der spezifische Einsatz dieser Instrumente und die genaue Art der Kontrollverfahren hängen von der Art der Ressource und der Schwere der Bedrohung ab.

2. Allgemeine Kontrollmaßnahmen:

Diese Kontrollmaßnahmen gelten für alle Anwendungs- und Datenressourcen. Sie bestehen aus physischen und Softwarekontrollen, die in der IT-Infrastruktur ausgeführt werden können.

(a) Organisationskontrollen:

Das wichtigste Kontrollinstrument für Informationssysteme ist die Organisationsstruktur und die Verantwortlichkeiten der Mitarbeiter der Organisation. Zwei grundlegende Arten der Organisationskontrolle beziehen sich auf die Aufgabentrennung in einem einzigen Job.

Zum Beispiel kann die Aufzeichnung einer Transaktion von der Autorisierung von Transaktionen getrennt werden. Softwareentwicklung und Softwaretest können getrennt werden, um sicherzustellen, dass eine Kollision für Missbrauch erforderlich ist. Arbeitsplatzrotation und Zwangsurlaub sind andere organisatorische Kontrollen allgemeiner Natur, die sich als sehr nützlich bei der Aufdeckung von Missbrauch erwiesen haben.

(b) Systementwicklungs- und Implementierungskontrollen:

Dazu gehören Kontrollen wie die ordnungsgemäße Autorisierung der Systemspezifikation (Abzeichnen von Spezifikationen), das Testen und die Genehmigung von Änderungen im vorhandenen System usw. Die Kontrolle über Masterkopien von Software einschließlich Quellcode, Dokumentation und anderen zugehörigen Bestandteilen ist ein wesentlicher Bestandteil der Systementwicklung und Implementierungskontrollen. Die Festlegung von Standards für Informationssysteme und deren Implementierung sind aus Sicherheitsgründen wichtig.

(c) Körperliche Kontrollen:

Diese Kontrollen umfassen das Sichern der Positionen von Hardware und Software gegen Feuer, Überschwemmungen, Diebstahl, Aufruhr usw. mit verschiedenen Sicherheitswerkzeugen, wie Rauchmeldern, Sicherheitsvorrichtungen, individuellen Schlössern, Nahkameras, Identifikationssystemen usw. Diese Kontrollen sind für bestimmt Abwehr der Bedrohung des physischen Lebens der IT-Infrastruktur. Diese Kontrollen laufen parallel zur Kontrolle anderer physischer Vermögenswerte wie Bargeld, Aktien usw. ab.

(d) Wiederherstellungskontrollen:

Kontrollmaßnahmen für die Notfallwiederherstellung werden bei kritischen Anwendungen und großen Schäden an Informationssystemen sehr wichtig. Es ist notwendig, ein alternatives Setup aufzubauen, um sicherzustellen, dass die Wiederherstellung nach einem Notfall zu minimalen Kosten und mit minimalem Zeit- und Opportunitätsverlust möglich ist.

In einigen Fällen wird dies durch die Aufrechterhaltung einer parallelen IT-Infrastruktur erreicht, die im Katastrophenfall genutzt werden kann. Bei einem Ausfall des Börsenhandelssystems oder eines Reisereservierungssystems können die Kosten für die Verzögerung der Wiederherstellung oder das Versagen dies extrem hoch sein.

In solchen Fällen wird die parallele IT-Infrastruktur für absolut notwendig gehalten. Es sind jedoch auch alternative Systeme zur Notfallwiederherstellung verfügbar. Einige Anbieter sind auf die Datenwiederherstellung bei Unfällen wie Festplattenabstürzen, Virenangriffen usw. spezialisiert.

(e) Software-basierte Kontrollen:

Softwarebasierte Kontrollmaßnahmen beziehen sich normalerweise auf die Kontrolle des Datenzugriffs und der Datenvalidierung zum Zeitpunkt der Dateneingabe. Es sei darauf hingewiesen, dass der Missbrauch von Computern meistens durch die Dateneingabe erfolgt. Zugriffspfade in Software können mehrschichtig gestaltet werden, und empfindliche Dienstprogramme und Daten können durch Softwaresteuerungen ordnungsgemäß gesichert werden.

Diese Steuerungen beziehen sich im Allgemeinen auf die Benutzerauthentifizierung, die Funktionsdefinition für jeden Benutzer und die Erstellung einer unveränderlichen Aufzeichnung der Folge von Operationen, die an einem bestimmten Terminal ausgeführt werden (Prüfpfad).

Dies geschieht, um die Reihenfolge der Ereignisse herauszufinden, die zu einem bestimmten Missbrauch führen. Ein nicht autorisierter Zugriff sollte zu einer Warnung führen und wiederholte Versuche eines nicht autorisierten Zugriffs sollten als ernsthafter Versuch betrachtet werden, das Sicherheitssystem zu durchbrechen. Somit können wiederholte Versuche eines nicht autorisierten Zugriffs dazu führen, dass die Verarbeitung beendet wird, das Terminal heruntergefahren wird und der Prüfpfad für die weitere Analyse aufgezeichnet wird.

(f) Datenkommunikationskontrollen:

Diese Steuerelemente werden immer wichtiger, da der Datenverkehr geometrisch zunimmt und der Abstand zwischen Sender und Empfänger zunimmt. Beides führt dazu, dass die Daten einem erhöhten Risiko ausgesetzt sind. Es gibt viele Methoden, um Daten auf dem Weg zum Zielterminal zu schützen.

Im Allgemeinen können die Bedrohungen für Daten bei der Übertragung drei Arten haben: (a) Bedrohung durch unbefugten Zugriff, (b) Bedrohung der Datengenauigkeit und -vollständigkeit und (c) Bedrohung durch rechtzeitiges Herunterladen von Daten.

(i) Unberechtigter Zugriff auf Daten:

Festverdrahtete Netzwerke (unter Verwendung von Koaxialdrähten oder faseroptischen Medien) sind weniger anfällig für das Anzapfen auf dem Weg als elektronische Kanäle. Sicherheitsmodems werden auch in Netzwerken mit Telefonleitungen immer beliebter. Eine andere Methode, die als automatisches Rückrufsystem bezeichnet wird, wird verwendet, um die Authentizität des Benutzers zu überprüfen. In diesem System wählt der Anrufer von Informationen und wartet.

Der Absender prüft die Authentizität, zeichnet das vom Anrufer der Informationen verwendete Passwort auf und wählt den Anrufer zurück. Diese Art der Überprüfung der Identität und des Standorts des Anrufers ist sehr hilfreich bei der Erkennung von Abhören. Das automatische Abmeldesystem ist auch ein sehr beliebtes Steuersystem.

Mit dem zunehmenden Druck der Verantwortlichkeiten der Exekutive besteht die Möglichkeit, dass sich die Exekutive vergisst, sich ordnungsgemäß abzumelden oder sich überhaupt abzumelden. Solche Systeme stellen sicher, dass sich das Terminal automatisch vom Server abmeldet, wenn das Terminal für einen bestimmten Zeitraum nicht verwendet wird. Ein weiterer Zugriff auf Informationen ist nur möglich, wenn der Anmeldevorgang wiederholt wird. Diese Art der Steuerung minimiert die Möglichkeit des Identitätswechsels.

(ii) Kontrollen der Datenintegrität:

Datengenauigkeits- und Vollständigkeitskontrollen sind unerlässlich, um die Integrität der übertragenen Daten sicherzustellen. Fehler bei der Datenübertragung können durch eine Störung im Datenübertragungskanal oder durch einen Fehler in der Datenvermittlungshardware verursacht werden.

Um zu prüfen, ob die Daten das Ziel genau und vollständig erreicht haben, können Paritätsbits verwendet werden. Eine andere beliebte Methode ist die Aufteilung der Nachricht in Pakete mit Kopf- und Fußzeilen (Anhänger) und die Überprüfung auf Vorhandensein beim Empfänger.

(g) Computerbetriebskontrollen:

Die Kontrolle über den Betrieb von Computersystemen und Terminals kann eine wichtige Rolle bei der Vermeidung von Computermissbrauch spielen. Es lohnt sich, den Computerbetriebszeitplan für normale Benutzer zu planen, insbesondere auf den unteren Ebenen der Verwaltungshierarchie, wo die Betriebsanforderungen vorhersehbar sind und ordnungsgemäß geplant werden können. Jede Abweichung von den geplanten Vorgängen kann überprüft werden, um den Betrieb des Computersystems für andere als die für den Tag festgelegten Funktionen zu unterbinden.

Die Kontrolle über den Betrieb von Computersystemen wird bei gemeinsam genutzten Terminals und bei interaktiver Kommunikation schwieriger. Wenn jedoch Kennwörter und Kennwörter nicht gemeinsam genutzt werden, können die meisten Probleme bei der Kontrolle über gemeinsam genutzte Terminals behoben werden.

(h) Hardware-Steuerelemente:

Computer-Hardware-Steuerelemente sind Kontrollen, die von Computerhardware-Herstellern vorgenommen werden, um die Fehlfunktion des Systems zu überprüfen und im Fehlerfall Warnungen auszugeben. Dazu gehören die bekannten Paritätsprüfungen in Speichergeräten, die Gültigkeitsprüfungen und die doppelten Lesekontrollen zur Überprüfung. Diese Steuerelemente sind sehr nützlich beim Speichern und Abrufen von Daten und beim Ausführen von Rechenfunktionen für Daten.

Die allgemeinen Kontrollen müssen auf ihre Wirksamkeit überprüft werden. Diese Kontrollen bilden den Kern der Sicherheitsmaßnahme für das Informationssystem insgesamt.

3. Anwendungskontrollen:

Für bestimmte Anwendungen ist es aufgrund ihrer besonderen Anforderungen und Risikowahrnehmung unbedingt erforderlich, besondere Kontrollen durchzuführen. Diese Kontrollen zielen auf die Richtigkeit, Gültigkeit und Vollständigkeit der Eingabe und Pflege von Informationsbeständen ab. Sie umfassen sowohl automatische als auch manuelle Steuerungen.

(a) Eingabesteuerungen:

Die Eingabesteuerelemente stellen sicher, dass die Eingabe ordnungsgemäß autorisiert und gemäß dem Quelldokument aufgezeichnet wird. Die Quelldokumente werden fortlaufend nummeriert und die Eingabe wird stapelweise überprüft, bevor sie die Datenbank beeinflussen. Mithilfe von Stapelkontrollsummen und Bearbeitungsroutinen wird sichergestellt, dass die Eingabedaten genau und vollständig sind und doppelte Eingaben eliminiert werden.

Eingabeaufforderungen und Bildschirmmenüs werden verwendet, um die Genauigkeit und Vollständigkeit der Dateneingabe sicherzustellen. Datenüberprüfungskontrollen werden verwendet, um gültige Datentypen, Feldlänge, Identifikation der Transaktion und die Plausibilität der numerischen Werte bei der Eingabe sicherzustellen.

(b) Verarbeitungskontrollen:

Diese Kontrollen zielen darauf ab, die ordnungsgemäße Ausführung der Prozeduren sicherzustellen, die an der Eingabe ausgeführt werden sollten. Kontrollsummen, Computerabgleich von Stammdatensätzen mit ausgewählten Datenelementen in Transaktionen, Plausibilitätsprüfungen, Formatprüfungen, Abhängigkeitsprüfungen, Sichtprüfungen usw. sind einige der häufigsten Überprüfungen, mit denen sichergestellt wird, dass die Verarbeitung der Eingaben korrekt durchgeführt wurde .

(c) Ausgabesteuerungen:

Diese Steuerelemente sollen sicherstellen, dass die Ausgabe eines Anwendungslaufs genau und vollständig ist. Diese Kontrollen umfassen den Abgleich der Ausgabesummen mit den Eingabe- und Verarbeitungssummen, die Prüfung der Ausgabeberichte und das Verfahren für die Zustellung der Ausgabeberichte an autorisierte Empfänger.