操作風險發(fā)生后表現(xiàn)為安全事件(事故)�,對事件(事故)的處理通常遵循如上圖所示的流程。
事件(事故)處理流程
信息安全審計正好包含標識事件�、分析事件�、收集相關證據(jù)等活動,從而為策略調整和優(yōu)化提供依據(jù)���。它的范圍至少應該包括:安全策略的一致性檢查�����,人工操作的記錄與分析(操作審計)�����,程序行為的記錄與分析(日志分析與審計)�����。
一般來說�����,信息安全審計的主要依據(jù)為信息安全管理相關的標準�����。例如ISO/IEC 17799�、COSO��、COBIT、ITIL����、NIST SP800系列等。這些標準實際上是出于不同的角度提出的控制體系����,基于這些控制體系可以有效地控制信息安全風險,從而提高安全性����。
當前信息安全審計主要為合規(guī)性審計。對銀行來說�����,這意味著要符合所有適用的法案�、條約等。例如薩班斯-奧克斯利法案(SOX)與巴塞爾協(xié)議(Basel)都對風險控制有明確的要求��。前者側重操作風險控制�����,后者側重業(yè)務風險(金融交易風險)控制�����。如前所述��,由于銀行業(yè)務對IT系統(tǒng)的依賴性越來越高��,操作風險導致業(yè)務風險的案例屢見不鮮���,因此有效地控制操作風險是業(yè)務風險控制的重要內(nèi)容�����。
銀行信息安全審計實現(xiàn)
信息安全審計的實現(xiàn)必須與信息安全策略的制訂與落實緊密結合在一起��,才能有效地控制風險��。銀行信息安全審計的實現(xiàn)需要考慮如下因素:
1.制訂信息安全策略所依據(jù)的標準(如ISO/IEC 17799)����;
2.IT系統(tǒng)中實際執(zhí)行的訪問控制策略(如交換機與路由器的ACL��、防火墻的規(guī)則等)����;
3.在安全策略中規(guī)定但未落實到技術措施的安全策略(如口令更換周期����、口令強度�����、不可共同賬號����、最小授權等);
4.安全事件(病毒感染�、蠕蟲傳播、惡意程序植入等)對信息安全(機密性����、完整性以及可用性)的破壞;
5.盜版軟件���、企業(yè)機密信息在網(wǎng)絡上的傳播與濫用�����;
6.安全策略中未明確規(guī)定但隱含的與法律要求一致的內(nèi)容����。
因此���,可以分析出銀行信息安全審計可以考慮如下方法:
1.行為記錄:記錄所有進入�、離開特定物理區(qū)域�、IT系統(tǒng)區(qū)域的信息以及在IT系統(tǒng)中進行的各種操作(業(yè)務訪問、系統(tǒng)維護���、策略配置等)�����;
2.日志審計:采集�����、分析IT系統(tǒng)(操作系統(tǒng)����、數(shù)據(jù)庫�、可管理的網(wǎng)絡設備等)自身的日志;
3.網(wǎng)絡活動審計:采集網(wǎng)絡數(shù)據(jù)包�����,通過協(xié)議解析還原網(wǎng)絡活動并記錄;
4.對重點監(jiān)控對象(如存放有機密文件的辦公PC)進行細粒度的行為(擊鍵���、文件讀寫�、拷貝等)記錄與分析��。
顯然�����,上述幾種方法只能獨立地滿足不同的審計要求�����,尚不足以構成完整的IT審計體系���。因此�����,需要采用合適的技術將各種不同的審計方法整合在一起����,形成獨立�����、完整的綜合審計平臺,從而建立一個行為不可抵賴���,數(shù)據(jù)可靠、完整的IT審計體系�����。這些也正是信息安全企業(yè)的價值和義務所在���。
