DatoriDrošība

Informācijas drošības audits: mērķi, metodes un instrumentus, piemērs. Informācijas drošības audits bankas

Šodien visi zina gandrīz svēto frāzi, kas pieder informācija, pieder pasaule. Tas ir iemesls, kāpēc mūsu laika, lai nozagt konfidenciālu informāciju cenšas visiem un dažādi. Šajā sakarā veikusi bezprecedenta pasākumus un īstenošanu līdzekļu aizsardzību pret iespējamiem uzbrukumiem. Tomēr dažkārt var būt nepieciešams veikt auditu par uzņēmuma informācijas drošību. Kas tas ir un kāpēc to visu tagad, un mēģināt saprast.

Kas ir revīzija informācijas drošības vispārējā definīcijā?

Kurš neietekmēs dziļš zinātniskos terminus, un mēģināt noteikt sev pamatjēdzienus, aprakstot tos visvairāk vienkāršā valodā (cilvēkus, tas varētu būt sauc revīzijas par "manekeni").

Kompleksa notikumu nosaukums runā pats par sevi. Informācijas drošības audits ir neatkarīga pārbaude, vai salīdzinošo pārskatīšanu , lai nodrošinātu informācijas sistēmu (IS) jebkura uzņēmuma, iestādes vai organizācijas, balstoties uz speciāli izstrādāto kritēriju un indikatoru drošību.

Vienkārši izsakoties, piemēram, pārbaudīt bankas informācijas drošību vārīties uz leju, lai, lai novērtētu aizsardzības līmeni klientu datubāzēm rīcībā banku operācijām, drošība uz elektroniskās naudas saglabāšana banku noslēpumu, un tā tālāk. D. Attiecībā uz iejaukšanos institūcijas darbības nepiederošām personām no ārpuses, izmantojot elektroniskās un datoru iekārtas.

Protams, starp lasītājiem ir vismaz viena persona, kura saukta mājas vai mobilais telefons ar priekšlikumu par kredīta noformēšanu vai depozītu, banka, ar kuru tā nav nekāda sakara. Tas pats attiecas uz pirkumiem un piedāvājumus no dažiem veikaliem. No kurienes nāca klajā savu numuru?

Tas ir vienkārši. Ja persona iepriekš paņēma kredītus vai ieguldīti depozīta kontā, protams, tās dati tiek uzglabāti kopējā klientu bāzi. Kad zvanāt no citas bankas vai veikalā var būt tikai viens secinājums: informācija par to nonāca nelikumīgi trešajām personām. Kā? Kopumā, ir divas iespējas: vai nu tas ir nozagts vai nodota darbiniekiem bankas trešajām personām apzināti. Lai tādas lietas nenotika, un jums ir nepieciešams laiks, lai veiktu auditu bankas informācijas drošību, un tas attiecas ne tikai uz datora vai "dzelzs" aizsardzības līdzekļus, bet visu darbinieku iestādē.

Galvenie virzieni informācijas drošības audits

Attiecībā uz audita apjomu, kā likums, tie ir vairāki:

  • pilnīga pārbaude iesaistīto procesos informācijas objektu (datoru automatizētā sistēma, nozīmē sakaru, saņemšanu, informācijas pārraidei un apstrādei, iekārtas, telpas konfidenciālās sanāksmēs, monitoringa sistēmas, uc);
  • pārbaudi uzticamību konfidenciālas informācijas aizsardzību ar ierobežotu piekļuvi (noteikšana iespējamās noplūdes un iespējamo drošības caurumiem kanāliem, kas ļauj piekļūt no ārpuses, izmantojot standarta un nestandarta metodēm);
  • pārbaudiet visu elektronisko aparatūras un vietējo datorsistēmu par elektromagnētiskā starojuma iedarbības un iejaukšanās, ļaujot izslēgt vai celt nolaists;
  • projekta daļa, kas ietver darbu izveidi un piemērošanu drošības koncepcijas tās praktisko īstenošanu (datorsistēmu aizsardzība, telpas, sakaru iekārtām, uc).

Kad runa ir par audita?

Nemaz nerunājot par kritiskās situācijas, kad aizsardzības jau bija sadalīti, audits informācijas drošības organizācija var veikt, un dažos citos gadījumos.

Parasti tie ietver paplašināšanos uzņēmuma, apvienošanās, pārņemšanas ar citiem uzņēmumiem, mainīt kursu biznesa koncepcijas un vadlīnijas, izmaiņām starptautisko tiesību vai tiesību aktos valsts ietvaros, nevis nopietnām izmaiņām informācijas infrastruktūrā.

veidi audita

Šodien nav izveidots ļoti klasifikācija šāda veida revīzijas, saskaņā ar daudziem analītiķiem un ekspertiem. Tāpēc, iedalījums klasēs dažos gadījumos var būt diezgan patvaļīgs. Tomēr kopumā, revīzijas informācijas drošību var iedalīt ārējā un iekšējā.

Ārējā revīzija neatkarīgi eksperti, kuriem ir tiesības to darīt veikta, parasti ir vienreizēja pārbaude, kas var ierosināt vadība, akcionāri, tiesībaizsardzības iestādēm, uc Tiek uzskatīts, ka ārējais audits informācijas drošība ir ieteicama (bet ne obligāti) regulāri veic uz noteiktu laika periodu. Bet dažām organizācijām un uzņēmumiem, saskaņā ar likumu, tas ir obligāti (piemēram, finanšu iestādēm un organizācijām, akciju sabiedrības, un citi.).

Iekšējā audita informācijas drošība ir pastāvīgs process. Tā ir balstīta uz īpašiem noteikumiem "Noteikumi par iekšējo auditu". Kas tas ir? Faktiski, šis sertifikācijas darbības, ko veic organizācijā, attiecībā vadības apstiprinātajiem. Informācijas drošības audits ar īpašu strukturālās apakšvienības uzņēmuma.

Alternatīva klasifikācija audita

Bez iepriekš aprakstītā dalījumu klasēs vispārējā gadījumā mēs varam atšķirt vairākus komponentus, kurus starptautiskajā klasifikācijā:

  • Eksperts pārbaudot statusu informācijas drošību un informācijas sistēmām, pamatojoties uz personīgo pieredzi ekspertu, tā īstenošanu;
  • sertifikācijas sistēmas un drošības pasākumi attiecībā uz atbilstību starptautiskajiem standartiem (ISO 17799) un valstu tiesību aktos, kas reglamentē šajā darbības jomā;
  • analīze par informācijas sistēmu drošību ar tehniskiem līdzekļiem, kuru mērķis ir identificēt iespējamās vājās programmatūras un aparatūras kompleksu.

Dažreiz to var piemērot un tā saukto visaptverošs audits, kas ietver visus no iepriekš minētajiem veidiem. Starp citu, viņš dod visvairāk objektīvus rezultātus.

Pakāpenisku mērķi un uzdevumi

Visas pārbaudes, gan iekšējās, gan ārējās, sākas ar nosakot mērķus un uzdevumus. Vienkārši runājot, jums ir nepieciešams, lai noteiktu, kāpēc, kā un kas tiks pārbaudīta. Tas noteiks turpmāko kārtību veic visu procesu.

Uzdevumi, atkarībā no konkrētā struktūru uzņēmumu, organizāciju, iestādi un tās darbību var būt diezgan daudz. Tomēr amidst visi šajā release, vienotais mērķis informācijas drošības audits:

  • novērtējums stāvokļa informācijas drošības un informācijas sistēmu;
  • analīze par iespējamiem riskiem, kas saistīti ar risku iespiešanās ārējo IP un iespējamām kārtību šādas iejaukšanās;
  • lokalizācija caurumiem un nepilnības drošības sistēmā;
  • analīze atbilstoša līmeņa informācijas sistēmu pašreizējiem standartiem un normatīvajiem un tiesību aktiem drošību;
  • izstrāde un piegāde ieteikumi, kas saistīti ar izņemšanu no esošās problēmas, kā arī uzlabošanu esošajiem līdzekļiem un jauninājumu ieviešanu.

Metodoloģija un audita rīki

Tagad daži vārdi par to, kā pārbaudīt un kādi soļi, un nozīmē, ka tas ir saistīts.

Informācijas drošības audits sastāv no vairākiem posmiem:

  • uzsākt pārbaudes procedūru (skaidru definīciju par tiesībām un pienākumiem, nodrošinot revidenta auditors pārbauda plāna sagatavošanu un koordināciju ar vadību, jautājums par robežām pētījuma uzlikšanu biedriem organizācijas apņemšanos rūpēties un savlaicīga sniegšana attiecīgās informācijas);
  • vācot sākotnējiem datiem (drošības struktūru, par drošības elementu izplatīšanu, drošības līmeņa sistēmas darbības analīzes metodes, lai iegūtu un sniegtu informāciju, noteikšanu saziņas kanālu un IP mijiedarbību ar citām struktūrām, hierarhiju lietotāju datoru tīklu, noteikšanai protokolus, utt);
  • veikt visaptverošu vai daļēju pārbaudi;
  • datu analīze (analīze riskiem jebkura veida un atbilstība);
  • sniedz ieteikumus, lai novērstu iespējamās problēmas;
  • ziņojums paaudze.

Pirmais posms ir visvienkāršākā, jo tās lēmums tiek pieņemts tikai starp uzņēmuma vadību un revidentam. Analīzes robežas var uzskatīt kopsapulcē darbinieku vai akcionāru. Tas viss un daudz kas saistīti ar juridisko laukā.

Otrais posms pamatdatu vākšanu, vai tas ir iekšējais audits informācijas drošības vai ārējo neatkarīgai sertifikācijai ir visvairāk resursu. Tas ir saistīts ar to, ka šajā posmā jums ir nepieciešams, lai ne tikai pārbauda tehnisko dokumentāciju, kas saistīta ar visu aparatūru un programmatūru, bet arī sašaurināt, intervējot uzņēmuma darbiniekiem, un vairumā gadījumu pat aizpildot īpašas anketas vai aptaujas.

Attiecībā uz tehnisko dokumentāciju, ir svarīgi, lai iegūtu datus par IC struktūru un prioritātes līmeņus piekļuves tiesības saviem darbiniekiem, lai noteiktu visas sistēmas un programmatūru (operētājsistēma biznesa lietojumprogrammām, to vadība un grāmatvedība), kā arī noteikts aizsardzības programmatūru un nav programmas veids (pretvīrusu programmatūra, ugunsmūri uc). Turklāt, tas ietver pilnu pārbaudi tīklu un pakalpojumu sniedzējiem telekomunikāciju pakalpojumu (tīkla organizācija, protokolus, ko izmanto, lai savienojumu, par saziņas kanālu veidus, pārraide un pieņemšana metodes informācijas plūsmu, un vairāk). Kā ir skaidrs, tas aizņem daudz laika.

Nākamajā posmā, tad metodes, informācijas drošības audits. Tie ir trīs:

  • Riska analīze (visgrūtākais metode, kas balstīta uz noteikšanu revidentam iekļūšanu IP pārkāpumu un tās integritāti, izmantojot visas iespējamās metodes un instrumentus);
  • novērtējums par atbilstību standartiem un tiesību aktiem (vienkāršākais un praktiskās metodes, pamatojoties uz salīdzinājumu ar pašreizējo stāvokli un starptautisko standartu un vietējo dokumentu jomā informācijas drošības prasībām);
  • apvienotais metode, kas apvieno pirmās divas.

Pēc verifikācijas rezultātus to analīzi. Līdzekļi audits informācijas drošību, kas tiek izmantots, lai analīzes, var būt diezgan dažādi. Tas viss ir atkarīgs specifiku uzņēmuma, informācijas veida, izmantotās programmatūras, aizsardzības un tā tālāk. Tomēr, kā var redzēt uz pirmā metode, auditoram galvenokārt jāpaļaujas uz savu pieredzi.

Un tas tikai nozīmē, ka tai ir jābūt pilnībā kvalificēts jomā informācijas tehnoloģiju un datu aizsardzību. Pamatojoties uz šo analīzi, auditoru un aprēķina iespējamos riskus.

Ņemiet vērā, ka vajadzētu tikt galā ne tikai ar operētājsistēmas vai programmas izmanto, piemēram, biznesa vai grāmatvedību, bet arī skaidri saprast, kā uzbrucējs var iekļūt informācijas sistēmā, lai zādzības, bojājumu un iznīcināšanu datu izveides priekšnosacījumiem par pārkāpumiem datoros, izplatīšanos vīrusu vai ļaunprātīgas programmatūras.

Novērtējums revīzijas konstatējumus un ieteikumus, lai risinātu problēmas,

Pamatojoties uz analīzi eksperts secina par aizsardzības statusu, un sniedz ieteikumus, lai risinātu esošās vai potenciālās problēmas, drošības uzlabojumus, utt Ieteikumos ir ne tikai godīgi, bet arī skaidri saistīts ar realitātei uzņēmuma specifiku. Citiem vārdiem sakot, netiek pieņemti padomus par uzlabot konfigurāciju datoru vai programmatūru. Tas attiecas arī uz konsultācijām par atlaišanu "neuzticamiem" darbiniekiem, instalēt jaunas izsekošanas sistēmas, nenorādot vietu un atbilstību savu galamērķi,.

Pamatojoties uz analīzi, kā likums, ir vairāki riska grupas. Šajā gadījumā, lai apkopotu kopsavilkuma ziņojumu izmanto divus galvenos rādītājus: (. Aktīvu zudumu samazināšana reputāciju, attēla zudumu un tā tālāk) varbūtību uzbrukumu un nodarīto kaitējumu uzņēmumam, kā rezultātā. Tomēr sniegums grupu, nav vienādi. Piemēram, zema līmeņa indikators varbūtību uzbrukuma ir vislabākais. Par zaudējumiem - uz pretējo.

Tikai tad sastādīja ziņojumu, detalizētu krāsotas visus posmus, metodes un līdzekļus pētījumiem. Viņš piekrita ar vadību, un abas puses parakstīja - uzņēmums un revidents. Ja audits iekšējā, ir ziņojums vadītājs attiecīgajā struktūrvienībā, pēc kura viņš, atkal, parakstīts ar galvu.

Informācijas drošības audits: piemērs

Visbeidzot, mēs uzskatām, ka vienkāršāko piemēru situāciju, kas jau ir noticis. Daudzi, starp citu, tas var likties ļoti pazīstams.

Piemēram, kāda uzņēmuma iepirkumu darbinieki ASV, dibināta ICQ instant messenger datoru (nosaukums darbinieka un uzņēmuma nosaukums netiek nosaukta acīmredzamu iemeslu dēļ). Sarunas tika veikta tieši ar šo programmu. Bet "ICQ" ir diezgan neaizsargāti drošības ziņā. Self darbinieks reģistrācijas numuru tajā laikā, vai nav e-pasta adresi, vai vienkārši nevēlējās dot to. Tā vietā, viņš norādīja uz kaut ko līdzīgu e-pastu, un pat neeksistējošs domēnu.

Kas notiktu, uzbrucējs? Kā liecina revīziju informācijas drošību, būtu jāreģistrē tieši to pašu domēnu un radīja būtu tajā, cits reģistrācijas termināls, un pēc tam varētu nosūtīt ziņu uzņēmumam mirabilis, kas pieder pakalpojumu ICQ uz, pieprasot paroles atgūšanu, jo tās zaudējumus (kas būtu jādara ). Kā saņēmējs pasta serveri nebija, tas bija iekļauts novirzīt - novirzīt esošam ielaušanās pastu.

Kā rezultātā, viņš saņem piekļuvi sarakstei ar doto ICQ numuru un informē piegādātāju mainīt adresi saņēmējam preču noteiktā valstī. Tādējādi preces, kas nosūtītas uz nezināmu galamērķi. Un tas ir visvairāk nekaitīgs piemērs. Tātad, nesakārtotus rīcību. Un ko par nopietnākām hakeriem, kuri spēj daudz vairāk ...

secinājums

Šeit ir īss, un visu, kas attiecas uz IP drošības audits. Protams, tas nav skārusi visos tā. Iemesls ir tikai, ka, formulējot problēmas un metodes to uzvedību ietekmē daudz faktoru, tāpēc pieeja katrā gadījumā ir stingri individuāli. Turklāt, metodes un līdzekļus informācijas drošības audits var būt atšķirīgs dažādiem ICS. Tomēr es domāju, ka vispārējie principi šādu pārbaužu uz daudziem kļuvis skaidrs pat pamatskolas līmenī.

Similar articles

 

 

 

 

Trending Now

 

 

 

 

Newest

Copyright © 2018 lv.atomiyme.com. Theme powered by WordPress.