操作風(fēng)險發(fā)生后表現(xiàn)為安全事件(事故),對事件(事故)的處理通常遵循如上圖所示的流程。
事件(事故)處理流程
信息安全審計正好包含標(biāo)識事件�����、分析事件����、收集相關(guān)證據(jù)等活動,從而為策略調(diào)整和優(yōu)化提供依據(jù)����。它的范圍至少應(yīng)該包括:安全策略的一致性檢查,人工操作的記錄與分析(操作審計)�����,程序行為的記錄與分析(日志分析與審計)���。
一般來說�����,信息安全審計的主要依據(jù)為信息安全管理相關(guān)的標(biāo)準(zhǔn)���。例如ISO/IEC 17799、COSO��、COBIT���、ITIL��、NIST SP800系列等��。這些標(biāo)準(zhǔn)實際上是出于不同的角度提出的控制體系����,基于這些控制體系可以有效地控制信息安全風(fēng)險,從而提高安全性�。
當(dāng)前信息安全審計主要為合規(guī)性審計。對銀行來說�����,這意味著要符合所有適用的法案�����、條約等�����。例如薩班斯-奧克斯利法案(SOX)與巴塞爾協(xié)議(Basel)都對風(fēng)險控制有明確的要求��。前者側(cè)重操作風(fēng)險控制�����,后者側(cè)重業(yè)務(wù)風(fēng)險(金融交易風(fēng)險)控制�����。如前所述�,由于銀行業(yè)務(wù)對IT系統(tǒng)的依賴性越來越高,操作風(fēng)險導(dǎo)致業(yè)務(wù)風(fēng)險的案例屢見不鮮��,因此有效地控制操作風(fēng)險是業(yè)務(wù)風(fēng)險控制的重要內(nèi)容�����。
銀行信息安全審計實現(xiàn)
信息安全審計的實現(xiàn)必須與信息安全策略的制訂與落實緊密結(jié)合在一起����,才能有效地控制風(fēng)險。銀行信息安全審計的實現(xiàn)需要考慮如下因素:
1.制訂信息安全策略所依據(jù)的標(biāo)準(zhǔn)(如ISO/IEC 17799)��;
2.IT系統(tǒng)中實際執(zhí)行的訪問控制策略(如交換機(jī)與路由器的ACL���、防火墻的規(guī)則等)�����;
3.在安全策略中規(guī)定但未落實到技術(shù)措施的安全策略(如口令更換周期�、口令強(qiáng)度、不可共同賬號����、最小授權(quán)等);
4.安全事件(病毒感染����、蠕蟲傳播、惡意程序植入等)對信息安全(機(jī)密性����、完整性以及可用性)的破壞;
5.盜版軟件�����、企業(yè)機(jī)密信息在網(wǎng)絡(luò)上的傳播與濫用�;
6.安全策略中未明確規(guī)定但隱含的與法律要求一致的內(nèi)容。
因此��,可以分析出銀行信息安全審計可以考慮如下方法:
1.行為記錄:記錄所有進(jìn)入��、離開特定物理區(qū)域�、IT系統(tǒng)區(qū)域的信息以及在IT系統(tǒng)中進(jìn)行的各種操作(業(yè)務(wù)訪問、系統(tǒng)維護(hù)����、策略配置等);
2.日志審計:采集���、分析IT系統(tǒng)(操作系統(tǒng)���、數(shù)據(jù)庫、可管理的網(wǎng)絡(luò)設(shè)備等)自身的日志���;
3.網(wǎng)絡(luò)活動審計:采集網(wǎng)絡(luò)數(shù)據(jù)包���,通過協(xié)議解析還原網(wǎng)絡(luò)活動并記錄;
4.對重點監(jiān)控對象(如存放有機(jī)密文件的辦公PC)進(jìn)行細(xì)粒度的行為(擊鍵���、文件讀寫�����、拷貝等)記錄與分析���。
顯然��,上述幾種方法只能獨立地滿足不同的審計要求���,尚不足以構(gòu)成完整的IT審計體系。因此���,需要采用合適的技術(shù)將各種不同的審計方法整合在一起�,形成獨立��、完整的綜合審計平臺��,從而建立一個行為不可抵賴�,數(shù)據(jù)可靠、完整的IT審計體系���。這些也正是信息安全企業(yè)的價值和義務(wù)所在����。
