Az információs biztonsági audit: Célok, módszerek és eszközök, például. Az információs biztonsági audit a bank

Ma mindenki tudja, hogy a szinte szent kifejezés, hogy birtokolja az információt, birtokolja a világot. Ezért van az időnket, hogy lop bizalmas információkat próbálnak minden rendű és rangú. Ebben a tekintetben tett példátlan lépéseket és végrehajtása védelmi eszközök esetleges támadásaitól. Néha azonban előfordulhat, hogy végeznek ellenőrzést a vállalati adatok biztonságát. Mi ez, és miért van az, hogy minden most, és próbálja megérteni.

Mi az audit az informatikai biztonság általános meghatározásnak?

Ki nem befolyásolja a homályos tudományos kifejezés, és próbálja meghatározni a maguk számára az alapvető fogalmakat, ismertetve azokat a legegyszerűbb nyelv (az emberek lehetett nevezni az ellenőrzés a „bábuk”).

A név a komplex események önmagáért beszél. Az információs biztonsági audit független ellenőrzés vagy a peer review , hogy biztosítsák a biztonságos információs rendszerek (IS) bármely cég, intézmény vagy szervezet alapján kifejlesztett kritériumok és mutatók.

Leegyszerűsítve, például ellenőrizni a bank információbiztonsági csapódik le, hogy értékelje a védelmi szint az ügyfél adatbázisok által tartott banki műveletek, a biztonság, az elektronikus pénz, megőrzése a banktitok, és így tovább. D. A beavatkozás a tevékenységét az intézmény illetéktelen személyek kívülről segítségével elektronikus és számítógépes berendezéseket.

Természetesen, az olvasók körében van legalább egy személy, aki hívott haza, vagy mobiltelefon javaslatot feldolgozása a hitel vagy betét, a bank, amellyel semmi köze. Ugyanez vonatkozik a vásárlások és kínál néhány üzlet. Honnan jött fel a szobába?

Ez egyszerű. Ha valaki korábban vette kölcsön, vagy befektetni egy letéti számla, természetesen az adatok tárolása egy közös ügyfélkör. Ha telefonál egy másik bank, vagy boltban lehet csak egy következtetés: a tájékoztatás jött illegálisan harmadik félnek. Hogyan? Általában két lehetőség van: vagy ellopták, vagy át a munkavállalók a bank harmadik felek tudatosan. Annak érdekében, hogy az ilyen dolgok nem történnek, és időre van szüksége, hogy végezzen ellenőrzést az informatikai biztonság a bank, és ez nem csak a számítógép vagy a „vas” védelmi eszközök, de a teljes személyzet az intézmény.

A fő irány az információs biztonsági audit

Ami a hatóköre, mint általában, ők több:

• teljes ellenőrzést a tárgyak folyamatok során az információ (számítógépes automatizált rendszer, a kommunikációs eszközök, recepció, információs továbbítása és feldolgozása, létesítmények, területek bizalmas üléseken, monitoring rendszerek, stb);
• megbízhatóságának ellenőrzésére a bizalmas információkat a korlátozott hozzáférésű (meghatározása a lehetséges szivárgás és a potenciális biztonsági réseket csatornák lehetővé teszik, hogy kívülről a szabványos és nem szabványos módszerek);
• ellenőrizze az összes elektronikus hardver és helyi számítástechnikai rendszerek elektromágneses sugárzás és az interferencia, amely lehetővé teszi számukra, hogy kapcsolja ki, vagy hogy üzemképtelen;
• projekt része, amely magában foglalja a munka létrehozásának és alkalmazásának a biztonság fogalmát annak gyakorlati megvalósítása (számítógépes rendszerek védelme, szolgáltatások, kommunikációs eszközök, stb.)

Mikor jön az ellenőrzés?

Nem is beszélve a kritikus helyzetekben, amikor a védelem már törött, audit Az informatikai biztonság egy szervezet lehet végezni, és néhány más esetben.

Jellemzően ezek közé tartoznak a terjeszkedés a társaság, egyesülés, felvásárlás, átvétel más cégek által megváltoztathatják az üzleti koncepciók vagy iránymutatás, a nemzetközi jog vagy a jogszabályokban egy országon belül, hanem komoly változásokat az információs infrastruktúra.

típusú ellenőrzés

Ma nagyon besorolása az ilyen típusú ellenőrzés, sokak szerint elemzők és szakértők nem jött létre. Ezért a felosztás osztályok bizonyos esetekben lehet elég önkényes. Mindazonáltal általában, az ellenőrzés az informatikai biztonság osztható külső és belső.

A külső ellenőrzés által végzett független szakértők, akik a jogot, hogy nem, ez általában egy egyszeri ellenőrzést, amely kezdeményezheti vezetés, a részvényesek, a bűnüldöző szervek, stb Úgy véljük, hogy a külső ellenőrzés az információbiztonsági ajánlott (de nem kötelező), hogy végre rendszeresen egy meghatározott ideig. De néhány szervezetek és vállalkozások, a törvény szerint, akkor kötelező (például a pénzügyi intézmények és szervezetek, részvénytársaságok, és mások.).

A belső ellenőrzés informatikai biztonság egy állandó folyamat. Ez alapján egy speciális „rendeletek Belső Ellenőrzési”. Mi ez? Tény, hogy ez a tanúsítási végzett tevékenységek a szervezet szempontjából a vezetés által jóváhagyott. Az információs biztonsági audit speciális szerkezeti egysége a vállalat.

Alternatív besorolása audit

Emellett a fent leírt felosztás osztályok az általános esetben, meg tudjuk különböztetni több összetevőből készült a nemzetközi osztályozás:

• Szakértői állapotának ellenőrzésére az informatikai biztonság és az információs rendszerek a személyes tapasztalatok alapján a szakértők, a vezető;
• tanúsítási rendszerek és a biztonsági intézkedések tiszteletben tartják a nemzetközi szabványok (ISO 17799) és a nemzeti szabályozó jogi eszközök Ezen a szakterületen;
• elemzése az információs rendszerek biztonságára a technikai eszközök használata célzó potenciális sebezhetőség a szoftver és hardver komplexum.

Néha lehet alkalmazni, és az úgynevezett átfogó ellenőrzés, amely magában foglalja az összes fenti típusok. By the way, ő adja a legtöbb objektív eredményeket.

Színpadra célok és célkitűzések

Az ellenőrzést, akár belső vagy külső, beállításával kezdődik célokat és feladatokat. Egyszerűen fogalmazva, meg kell állapítanunk, hogy miért, hogyan és mit fognak tesztelni. Ez fogja meghatározni a további eljárást elvégezzük az egész folyamatot.

Feladatok, függően az adott szerkezet a vállalkozás, szervezet, intézmény és annak tevékenységei lehet elég sokat. Azonban közepette ez a kiadás, egységes cél az információs biztonsági audit:

• állapotának értékelése az informatikai biztonság és az információs rendszerek;
• elemzése a lehetséges kockázatok a kockázat behatolás külső IP és az, hogy miként lehetne az ilyen beavatkozás;
• lokalizációja lyukak és rések a biztonsági rendszerben;
• elemzése a megfelelő biztonsági szint az információs rendszerek a jelenlegi szabványok valamint a szabályozási és jogi aktusok;
• fejlesztése és szállítása ajánlások, amelyek eltávolítását a meglévő problémákat, valamint javítani kell a meglévő jogorvoslatok és az új fejlesztéseket.

Módszertan és ellenőrzési eszközök

Most néhány szót arról, hogy a csekket, és milyen lépéseket, és azt jelenti, hogy magában foglalja.

Az információs biztonsági audit több szintből áll:

• kezdeményező ellenőrzési eljárások (egyértelmű meghatározása jogait és kötelezettségeit a könyvvizsgáló, a könyvvizsgáló ellenőrzi a terv elkészítésének és a koordinációt a menedzsment, a kérdés, hogy a határokat a vizsgálat elrendelését a szervezet tagjai elkötelezettség ápolási és kellő időben történő releváns információk);
• gyűjtése kezdeti adatok (biztonsági struktúrát, a forgalmazás biztonsági funkciókat, a biztonsági szint a rendszer teljesítményének elemzési módszereket tájékozódás, tájékoztatás, meghatározása a kommunikációs csatornák és IP kölcsönhatás egyéb szerkezetek hierarchiája felhasználó a számítógépes hálózatok, a meghatározó protokollt, stb);
• végezzenek átfogó vagy részleges ellenőrzés;
• adatelemzés (kockázatelemzés bármilyen típusú és compliance);
• tehetnek javaslatot a felmerülő problémákra;
• jelentés generáció.

Az első lépés a legegyszerűbb, mert a döntés kizárólag a vállalati menedzsment és a könyvvizsgáló. A határokat az elemzés lehet tekinteni a közgyűlésen az alkalmazottak, illetve a részvényesek. Mindez és még több kapcsolódó jogi területen.

A második szakaszban a vonatkozó alapvető adatok gyűjtését, függetlenül attól, hogy a belső ellenőrzési információs biztonság vagy a külső független tanúsító a leginkább erőforrás-igényes. Ez annak a ténynek köszönhető, hogy ebben a szakaszban meg kell, hogy ne csak megvizsgálja a műszaki dokumentációt kapcsolatos összes hardver és szoftver, hanem a keskeny interjúk a cég alkalmazottai, és a legtöbb esetben még a töltés külön kérdőíveket vagy felmérések.

Ami a műszaki dokumentáció, fontos, hogy adatokat szerezzen az IC szerkezet és a prioritási szintek hozzáférési jogokat az alkalmazottak, hogy azonosítsa az egész rendszerre kiterjedő és szoftverek (az operációs rendszer az üzleti alkalmazások, a menedzsment és számvitel), valamint a létrehozott védelmi szoftver és nem műsortípus (vírusirtó, tűzfal, stb.) Ezen túlmenően, ez magában foglalja a teljes ellenőrzést a hálózatok és távközlési szolgáltatást nyújtó (hálózati szervezet, a használt protokollok kapcsolatban, hogy milyen típusú kommunikációs csatornákon, az átviteli és vételi eljárások információáramlást, és így tovább). Mint látszik, hogy vesz igénybe sok időt.

A következő szakaszban a módszerek az információs biztonsági audit. Ezek három:

• kockázatelemzés (a legnehezebb technika, a meghatározás alapján a könyvvizsgáló a beszivárgó IP jogsértés és annak integritását minden lehetséges módszerek és eszközök);
• betartásának értékelése szabványoknak és jogszabályoknak (a legegyszerűbb és legpraktikusabb módszer összehasonlításán alapul a jelenlegi helyzetről és a követelményeket a nemzetközi szabványok és hazai dokumentumok terén az informatikai biztonság);
• a kombinált módszer, amely kombinálja az első két.

Miután megkapta az ellenőrzés eredményeit azok elemzését. Alapok Audit az informatikai biztonság, amelyeket az elemzés is igen változatos. Minden attól függ, a részleteket a vállalat, az információk típusa, a használt szoftver, a védelem és így tovább. Azonban, amint látható az első módszer, a könyvvizsgáló elsősorban kell támaszkodnia a saját tapasztalat.

És ez csak azt jelenti, hogy teljesen meg kell adni az információs technológia területén és az adatvédelem. Az elemzés alapján a könyvvizsgáló és kiszámítja a lehetséges kockázatokat.

Figyeljük meg, hogy meg kell foglalkozni nem csak az operációs rendszer vagy a használt program, például az üzleti vagy számviteli, hanem megérteni, hogy mennyire támadó be tud hatolni az információs rendszer célja a lopás, a sérülés és az adatok megsemmisítését, feltételek létrehozása megsértése a számítógépek, a vírusok terjedésének és rosszindulatú.

Értékelése az ellenőrzési megállapítások és ajánlások a problémák kezelésére

Az elemzés alapján a szakértő megállapítja, a védelem állapotát és ad ajánlás meglévő vagy potenciális problémák, biztonsági frissítések, stb Az ajánlások nem csak igazságos, hanem egyértelműen kötődik a valóság a vállalkozás sajátosságait. Más szóval, tippeket korszerűsítése a konfigurációs számítógépek vagy szoftver nem fogadunk el. Ez egyaránt vonatkozik a tanács a felmondás „megbízhatatlan” személyi telepíteni az új nyomkövető rendszerek meghatározása nélkül a rendeltetési helyükre, a hely és a megfelelőség.

Az elemzés alapján, mint általában, több kockázati csoportok. Ebben az esetben, hogy állítson össze egy összefoglaló jelentést használ két legfontosabb mutatói: a támadás valószínűségét, és az okozott kár, hogy a vállalat eredményeként (vagyonvesztés, csökken a hírnév, csökkenti a kép és így tovább.). Ugyanakkor a teljesítmény a csoportok nem ugyanaz. Például, alacsony szintű mutatója a valószínűsége támadás a legjobb. Kártérítési - éppen ellenkezőleg.

Csak akkor összeállított egy jelentést, amely részletezi festett minden szakaszában, módszerek és eszközök a kutatás. Egyetértett a vezetés által aláírt és a két fél - a társaság és a könyvvizsgáló. Ha az ellenőrzés a belső, egy jelentést a feje a mindenkori szerkezeti egységet, ami után ismét vezetője által aláírt.

Az információs biztonsági audit: Példa

Végül úgy véljük, a legegyszerűbb példa a helyzet, hogy már megtörtént. Sok, egyébként, úgy tűnhet, nagyon ismerős.

Például egy cég beszerzési munkatársak az Egyesült Államokban, székhelye ICQ azonnali üzenetküldő számítógép (a név a munkavállaló és a cég nevét nem nevezték nyilvánvaló okokból). Tárgyalások lebonyolításának pontos révén ezt a programot. De a „ICQ” elég sérülékeny biztonsági szempontból. Self alkalmazottja nyilvántartási szám idején, vagy nem rendelkezik e-mail címét, vagy csak nem akarja, hogy ez. Ehelyett mutatott valamit, mint az e-mail, és még nem létező domaint.

Mi lenne a támadó? Amint az ellenőrzést informatikai biztonság, akkor regisztrálni pontosan ugyanabban a tartományban, és létrehozta lennének benne, egy másik bejegyzés terminál, majd küldhet el a Mirabilis cég tulajdonosa ICQ szolgáltatás, kérve a jelszó-visszaállítási miatt veszteséget (ami történhet ). Mivel a címzett e-mail szerver nem volt, volt benne átirányítani - átirányítja egy meglévő betolakodó mailben.

Ennek eredményeképpen, ő kap hozzáférést a levelezés az adott ICQ számát és tájékoztatja a szállítót, hogy változtatni a címet a címzett az áruk egy bizonyos országban. Így az árut küldött egy ismeretlen helyre. És ez a legnagyobb ártalmatlan példa. Tehát, rendbontás. És mi a helyzet sokkal súlyosabb hackerek, akik képesek még sok más ...

következtetés

Itt van egy rövid és minden, ami az IP-alapú biztonsági audit. Persze, ez nem befolyásolja a minden szempontból meg. Ennek az az oka, hogy csak a készítményben a problémák és módszerek magatartásának érint sok tényező befolyásolja, ezért a megközelítés minden esetben szigorúan egyéni. Ezen túlmenően, a módszereket és eszközöket az információ biztonsági audit eltérő lehet a különböző IC. Azonban azt hiszem, az általános elveket az ilyen vizsgálatok többféle nyilvánvalóvá vált, még az alapfokú.