Informacijos saugumo auditas: Tikslai, metodai ir priemonės, pavyzdys. Informacijos saugumo audito, banko

Šiandien kiekvienas žino beveik šventą frazę, kuri valdo informaciją, valdo pasaulį. Štai kodėl mūsų laikais pavogti konfidencialią informaciją bando visi kartu ir kiekvienas. Šiuo atžvilgiu imtasi precedento veiksmus ir įgyvendinti apsaugos priemones nuo galimų atakų. Tačiau kartais gali tekti atlikti įmonių informacija saugumo auditą. Kas tai ir kodėl visa tai dabar, ir bandyti suprasti.

Kas yra informacijos saugumo auditas bendrojo apibrėžimo?

Kas nepaveiks painus mokslinius terminus ir pabandyti nustatyti sau pagrindines sąvokas, apibūdinti juos labiausiai paprasta kalba (žmones jis gali būti vadinamas audito už "žaliems").

Komplekso renginių vardas kalba pats už save. Informacijos saugumo auditas yra nepriklausoma patikra ar kolegų siekiant užtikrinti informacinių sistemų (IS) bet įmonės, įstaigos ar organizacijos, dėl specialiai sukurtų kriterijų ir rodiklių pagrindu saugumą.

Kalbant paprastai, pavyzdžiui, auditas banko informacijos apsaugą suvesta, įvertinti apsaugos turimų bankinių operacijų klientų duomenų bazių lygį, iš elektroninių pinigų pan., D. sauga, bankinės paslapties išsaugojimą, o trukdžių atveju įstaigos neįgaliotiems asmenims iš išorės veiklą, naudojant elektroninės ir kompiuterinės įrangos.

Žinoma, tarp skaitytojų yra bent vienas žmogus, kuris vadinamas namų arba mobilusis telefonas su perdirbimo paskolos ar indėlio, banko, su kuriuo ji neturi nieko pasiūlymą. Tas pats taikoma pirkimams ir pasiūlymus iš kai kurių parduotuvių. Iš kur atėjo savo kambarį?

Tai paprasta. Jei asmuo anksčiau buvo skolinamas ir investuojamas į depozitinę sąskaitą, žinoma, jo duomenys yra saugomi bendroje klientų bazę. Kai Jūs skambinate iš kito banko ar parduotuvėje gali būti tik viena išvada: informacija apie ją neteisėtai atvyko į trečiųjų šalių. Kaip? Apskritai, yra du variantai: arba jis buvo pavogtas, arba pervesti į darbuotojų banko trečiosioms šalims sąmoningai. Kad tokie dalykai neatsitiko, ir jums reikia laiko atlikti informacijos saugumo banko auditą, ir tai taikoma ne tik kompiuteryje ar "Geležinis" apsaugos priemonėmis, tačiau visą personalo įstaigoje.

Pagrindinės kryptys informacijos saugumo audito

Kalbant apie audito apimtį, kaip taisyklė, jie yra kelios:

• pilnas patikrinimas, dalyvauja informacijos procesų objektų (Computer automatizuota sistema, ryšio, registratūra, informacijos perdavimo ir apdorojimo, patalpas, patalpų konfidencialių posėdžių, stebėjimo sistemos ir tt);
• tikrinti konfidencialios informacijos apsaugos ribota prieiga patikimumą (nustatomi galimi nutekėjimo ir potencialių saugumo skylės kanalų, leidžiančių jį iš išorės su standartinių ir nestandartinių metodų naudojimo);
• Tikrinti visų elektroninių įrangos ir vietos kompiuterinėmis sistemomis poveikio elektromagnetinės spinduliuotės ir trukdžių, leidžiant jiems išjungti arba pareikšti apleistas;
• projektinė dalis, kuri apima darbus kuriant ir taikant saugumo koncepcija jos praktinį įgyvendinimą (kompiuterinių sistemų apsauga, įranga, ryšio priemonėmis ir kt.)

Kai jis ateina į auditą?

Jau nekalbant apie kritines situacijas, kai gynybos jau buvo sugadintas, auditas informacijos saugumo organizacijoje gali būti atliekamas, o kai kuriais kitais atvejais.

Paprastai, jie apima bendrovės plėtrą, susijungimas, įsigijimas, perėmimo kitų įmonių, keisti verslo koncepcijų ar gairių, pokyčių tarptautinės teisės ar teisės aktų šalies viduje, o rimtų pokyčių informacinės infrastruktūros kursą.

tipų auditą

Šiandien labai Šio audito rūšies klasifikacija, pasak daugelio analitikų ir ekspertų nesukurtas. Todėl skirstymas į klases, kai kuriais atvejais gali būti gana savavališkas. Tačiau, apskritai, informacijos saugumo auditas gali būti skirstomas į išorės ir vidaus.

Išorinis auditas, kurį atliko nepriklausomi ekspertai, kurie turi teisę daryti, paprastai yra vienkartinis patikrinimas, kuris gali būti inicijuotas valdymo, akcininkai, teisėsaugos agentūrų ir tt Manoma, kad išorinis auditas informacijos saugumo rekomenduojama (bet neprivalo) reguliariai atlikti tam tikrą nustatytą laiką. Tačiau kai kurių organizacijų ir įmonių, pagal įstatymą, jis yra privalomas (pavyzdžiui, finansinių institucijų ir organizacijų, akcinių bendrovių ir kt.).

Vidaus audito informacijos saugumas yra nuolatinis procesas. Jis yra pagrįstas dėl specialios "reglamentų dėl vidaus audito". Kas tai yra? Tiesą sakant, ši sertifikavimo veikla vykdoma organizavimo, vadovybės patvirtintomis sąlygomis. Informacijos saugumo audito specialiu struktūrinio padalinio įmonėje.

Alternatyvus klasifikacija audito

Be pirmiau aprašytos suskirstymą į klases bendrojo atveju, mes galime išskirti keletą komponentai, pagaminti iš tarptautinę klasifikaciją:

• Ekspertas tikrinti informacijos saugumas ir informacinių sistemų statusą dėl asmeninės patirties ekspertų, laidžią pagrindu;
• sertifikavimo sistemos ir apsaugos priemonės laikantis tarptautinių standartų (ISO 17799) ir nacionalinių teisinių priemonių, reglamentuojančių šioje veiklos srityje;
• analizė informacinių sistemų saugumo su techninėmis priemonėmis, kuriomis siekiama nustatyti galimas silpnąsias vietas programinės įrangos ir aparatūros komplekso naudojimo.

Kartais ji gali būti taikoma ir vadinamoji išsamus auditas, kuris apima visus aukščiau tipų. Beje, jis duoda pačius objektyvius rezultatus.

Režisūros tikslai ir uždaviniai

Bet tikrinimas, ar vidinis ar išorinis, prasideda nustatant tikslus ir uždavinius. Paprasčiau tariant, jums reikia siekiant nustatyti, kodėl, kaip ir kas bus išbandyta. Tai nulems tolesnę procedūrą atlikti visą procesą.

Užduotys, priklausomai nuo konkretaus struktūros įmonė, organizacija, įstaiga ir jos veikla gali būti gana daug. Tačiau apsuptyje visų šioje laidoje, vieningą tikslas informacijos saugumo audito:

• vertinimas informacija saugumo ir informacinių sistemų būklę;
• analizė iš galimų riziką, susijusią su įsiskverbimo į išorinį IP ir galimų sąlygų tokio trukdžių rizika;
• lokalizacija skyles ir spragas apsaugos sistemos;
• analizė atitinkamą saugumo lygį informacinių sistemų dabartinių standartų ir norminių ir teisės aktų;
• kūrimas ir pristatymas rekomendacijų, susijusių su esamų problemų šalinimas, taip pat gerinti esamų teisių gynimo ir naujų pokyčių įvedimas.

Metodikos ir audito įrankiai

Dabar keletas žodžių apie tai, kaip patikrinti ir kokių veiksmų ir priemonių ji apima.

Informacijos saugumo auditas susideda iš kelių etapų:

• inicijuoti patikrinimo procedūras (aiškiai apibrėžti teisių ir pareigų auditorius, auditorius tikrina plano rengimą ir koordinavimą su valdymą, iš tyrimo ribų klausimas, nustatytas įpareigojimas organizacijos narių įsipareigojimą rūpintis ir laiku pateikti svarbią informaciją);
• rinkti pradinių duomenų (saugos struktūros, saugumo funkcijų paskirstymo, saugumo lygių sistema veiklos analizės metodus gauti ir teikti informaciją, nustatymo ryšių kanalus ir IP sąveika su kitomis struktūromis, iš vartotojų kompiuterių tinklų hierarchijoje nustatymo protokolai ir tt);
• atlikti visapusišką arba dalinį patikrinimą;
• duomenų analizė (analizė rizikos bet kokio tipo ir susiejimas);
• rekomendacijas spręsti galimas problemas;
• Ataskaitoje karta.

Pirmasis etapas yra paprasta, nes jos sprendimas yra pagamintas vien tik tarp įmonės vadovybės ir auditoriaus. Analizės ribos gali būti laikomas ne visuotinio akcininkų susirinkimo darbuotojų ar akcininkų. Visa tai ir dar daugiau susijęs su teisės srityje.

Antrasis etapas Pradinių duomenų rinkimo, ar tai yra vidaus audito informacijos saugumo ar nepriklausomo išorės sertifikavimo yra daug išteklių. Taip yra dėl to, kad šiame etape jums reikia ne tik išnagrinėti techninius dokumentus, susijusius su visais techninės ir programinės įrangos, bet ir siauros interviu įmonės darbuotojų, o daugeliu atvejų net su įdaru specialius klausimynus ar tyrimus.

Kalbant apie techninius dokumentus, svarbu gauti duomenis apie IC struktūra ir prioritetiniai lygius prieigos teises prie savo darbuotojus, nustatyti visos sistemos ir programinė įranga (operacinė sistema verslo taikomąsias programas, jų valdymo ir apskaitos), taip pat nustatytą apsaugos programinės įrangos ir ne programos tipo (antivirusinė programinė įranga, ugniasienės, ir tt). Be to, tai apima visą patikrą tinklų ir telekomunikacijų paslaugų teikėjams (tinklo organizacija, protokolus, naudojamus ryšys, komunikacijos kanalų tipai, perdavimo ir priėmimo metodus informacinių srautų, ir daugiau). Kaip matyti, tai užima daug laiko.

Kitame etape, informacijos saugumo audito metodai. Jie yra trys:

• rizikos analizė (sunkiausia technika, grindžiama auditoriaus nustatymo į IP pažeidimo skverbtis ir jos vientisumą, naudojant visus galimus būdus ir priemones);
• vertinimas laikantis standartų ir teisės aktų (paprasčiausias ir praktinio metodo remiantis dabartinės valstybės reikalus palyginti ir tarptautinių standartų ir vidaus dokumentų, susijusių su informacijos saugumo srityje reikalavimus);
• bendras metodas, kuris jungia pirmieji du.

Gavusi patikrinimo rezultatus jų analizė. Lėšos audito informacijos saugumą, kurie yra naudojami analizės, gali būti gana įvairios. Viskas priklauso nuo įmonės, informacijos tipą, naudojamos programinės įrangos, apsaugos ir pan. Tačiau, kaip matyti pirmąjį metodą, auditorius daugiausia turi remtis savo patirtimi specifiką.

Ir tai tik reiškia, kad ji turi būti visiškai kvalifikuotas informacinių technologijų ir duomenų apsaugos srityje. Remiantis šia analize, auditoriaus pagrindu ir apskaičiuoja galimą riziką.

Atkreipkite dėmesį, kad jis turėtų elgtis ne tik operacinės sistemos ar programos, naudojami, pavyzdžiui, verslo ar apskaitos, bet ir aiškiai suprasti, kaip užpuolikas gali prasiskverbti į informacinę sistemą už vagystės, sugadinimo ir sunaikinimo duomenimis, kūrimo prielaidos už pažeidimus tikslais kompiuterių, virusų ar kenkėjiškų programų plitimo.

Vertinimas audito išvadas ir rekomendacijas, kaip spręsti problemas

Remiantis analizės ekspertas daro išvadą apie apsaugos būklę ir suteikia rekomendacijas reaguoti į esamas ar galimas problemas, saugumo atnaujinimus ir tt Rekomendacijos turėtų būti ne tik graži, bet ir aiškiai susieta su įmonės specifika realijas. Kitaip tariant, patarimai atnaujinti kompiuterių ar programinės įrangos konfigūraciją yra nepriimami. Tai vienodai taikoma nuo "nepatikimų" personalo, įdiekite naują stebėjimo sistemas atleidimo patarimų nenurodant savo paskirties vietą, vietą ir tinkamumą.

Remiantis šia analize, kaip taisyklė, yra keletas rizikos grupėms. Šiuo atveju, siekiant sudaryti suvestinę ataskaitą naudoja du pagrindinius rodiklius: (. Turto praradimas, mažinimo reputacijos praradimas vaizdą ir tt) išpuolio tikimybę ir padarytą žalą bendrovei, kaip rezultatas. Tačiau iš šių grupių pasirodymas yra ne tas pats. Pavyzdžiui, žemo lygio rodiklis atakos tikimybė yra geriausias. Dėl žalos atlyginimo - priešingai.

Tik tada parengė ataskaitą, kad detales nudažyti visus etapus, metodus ir priemones tyrimams. Jis sutiko su vadovybe ir pasirašytas abiejų pusių - bendrovę ir auditorių. Jei audito vidaus, yra ataskaita atitinkamo struktūrinio padalinio, po kurio jis, vėlgi, pasirašytą vadovo vadovas.

Informacijos saugumo audito pavyzdys

Galiausiai, mes manome, paprasčiausias pavyzdys situacijoje, kuri jau įvyko. Daugelis, beje, tai gali atrodyti labai gerai susipažinęs.

Pavyzdžiui, įmonė pirkimų darbuotojai Jungtinėse Amerikos Valstijose, įsteigta ICQ greitųjų žinučių kompiuterio (darbuotojo ir įmonės pavadinimu yra ne pavadintas dėl akivaizdžių priežasčių). Derybos buvo tiksliai atliekami naudojant šią programą. Tačiau "ICQ" yra gana pažeidžiami saugumo požiūriu. Savęs darbuotojui registracijos numerius tuo metu arba nebuvo elektroninio pašto adresą, arba tiesiog nenorėjo duoti. Vietoj to, jis atkreipė dėmesį į kažką panašaus elektroniniu paštu, ir net neegzistuojančio srityje.

Kas būtų užpuolikas? Kaip parodė kaip informacijos saugumo audito, ji būtų registruota tiksliai tą patį domeną ir sukūrė būtų jame, kita registracija terminalas, ir tada gali siųsti žinutę mirabilis įmonės, kuriai priklauso ICQ paslaugą, prašydama slaptažodžio atstatymas dėl savo nuostolių (kad būtų daroma ). Kadangi iš pašto serverio gavėjas nebuvo, ji buvo įtraukta nukreipti - nukreipti į esamą įsilaužimo paštu.

Kaip rezultatas, jis gauna prieigą prie susirašinėjimo su tikru ICQ numeris ir informuoja tiekėją keisti į prekių gavėjo adresą tam tikroje šalyje. Taigi, prekės siunčiamos į nežinomą vietą. Ir tai yra nekenksmingas pavyzdys. Taigi, netvarkingai elgesio. O ką apie rimtesnius įsilaužėlių, kurie gali daug daugiau ...

išvada

Čia yra trumpas ir visi, kad yra susijęs su IP saugumo auditą. Žinoma, tai neturi įtakos visa tai aspektus. Priežastis yra tik tai, kad į problemas ir būdus nuo jo elgesio formavimą įtakoja daug veiksnių, todėl kiekvienu atveju metodas yra griežtai individualus. Be to, metodai ir priemonės informacijos saugumo audito gali būti skirtingas skirtingiems mikroschemos. Tačiau, manau, kad bendrieji principai tokių bandymų daugeliui tapo aišku net pirminiu lygiu.