Upplýsingar Öryggi Audit: Markmið, aðferðir og verkfæri, td. Upplýsingaöryggi endurskoðun bankans

Í dag, allir vita nánast heilagt setningu sem eigandi upplýsingar, eigandi heiminn. Það er ástæðan fyrir í okkar tíma að stela trúnaðarupplýsingum eru að reyna að öllum og ýmis. Í þessu sambandi tekið ótal skref og framkvæmd varnir gegn hugsanlegum árásum. Stundum getur þú þurft að fara fram endurskoðun á fyrirtæki öryggi upplýsinga. Hvað er það og hvers vegna er það nú, og reyna að skilja.

Hvað er endurskoðun á upplýsingaöryggi í almenna skilgreiningu?

Hver hefur ekki áhrif á abstruse vísindalegum hugtökum, og reyna að ákveða fyrir sig grunnhugtök, lýsa þeim í flestum einföldu máli (fólk það gæti verið kallað endurskoðun fyrir "imba").

Nafnið á flóknum atburðum talar fyrir sig. Upplýsingar um öryggi endurskoðun er sjálfstæð netið eða ritrýni til þess að tryggja öryggi upplýsingakerfa (IS) hvers fyrirtækis, stofnunar eða samtaka á grundvelli sérstaklega þróað viðmiðunum og vísa.

Í stuttu máli, til dæmis, endurskoða öryggi upplýsinga bankans snýst um að, til að meta vernd viðskiptavina gagnagrunna eigu bankastarfsemi, öryggi rafeyri, varðveislu bankaleynd, og svo framvegis. D. Í tilviki truflunum í starfsemi stofnunarinnar óviðkomandi utan með rafræn og tölvuaðstöðu.

Vissulega, meðal lesenda það er að minnsta kosti einn einstaklingur sem kallaðir heim eða farsíma með tillögu vinnslu láns eða trygging banka sem það hefur ekkert að gera. Sama gildir um kaup og tilboð frá nokkrum verslunum. Hvaðan kom upp herbergið þitt?

Það er einfalt. Ef maður tók áður lán eða fjárfest í innlánsreikningur, auðvitað, gögn þess er geymt í sameiginlegum viðskiptavina. Þegar hringt úr öðrum banka eða verslun getur verið aðeins ein niðurstaða: upplýsingar um það kom ólöglega til þriðja aðila. Hvernig? Almennt, það eru tveir valkostir: annað hvort það var stolið, eða flutt til starfsmanna bankans til þriðja aðila meðvitað. Til þess að slíkir hlutir ekki gerast, og þú þarft tíma til að framkvæma endurskoðun öryggi upplýsinga bankans, og þetta á ekki aðeins við tölvuna eða "járn" til verndar, en öllu starfsfólki stofnunarinnar.

Helstu leiðbeiningar um öryggi upplýsinga endurskoðun

Að því er varðar umfang úttektarinnar, sem að jafnaði eru þeir nokkrir:

• fullt athuga af hlutum sem taka þátt í ferli upplýsinga (tölva sjálfvirk kerfi, miðlunarleiðir móttöku, upplýsingar sending og vinnsla, aðstöðu, húsnæði fyrir trúnaðargögnum fundum, eftirlitskerfi, osfrv);
• haka áreiðanleika vernd trúnaðarupplýsinga með takmörkuðum aðgangi (athugun á því leka og mögulegum öryggisholur rásum leyfa aðgang að honum utan við notkun staðlaðra og non-staðall aðferðum);
• athuga allra rafrænna vélbúnaði og sveitarfélaga tölvukerfa fyrir útsetningu rafsegulgeislun og truflunum, sem gerir þeim kleift að slökkva á eða koma í niðurníðslu;
• Verkefnið hluta, sem felur í sér að vinna á sköpun og notkun hugtaksins öryggi í verklega framkvæmd hennar (verndun tölvukerfa, aðstöðu, samskipti aðstöðu, o.fl.).

Þegar það kemur að endurskoðun?

Ekki sé minnst á mikilvægum aðstæðum þar sem vörnin var þegar brotið, endurskoðun upplýsingaöryggis í fyrirtækjum er hægt að fara fram, og í sumum öðrum tilvikum.

Venjulega, þessir fela í sér stækkun fyrirtækisins, samruna, yfirtöku, yfirtöku annarra fyrirtækja, breyta rás hugtök fyrirtæki eða leiðbeiningum, breytinga á alþjóðlegum lögum eða í löggjöf innan lands, fremur alvarlegum breytingum á upplýsingar innviði.

tegundir endurskoðun

Í dag, mjög flokkun af þessu tagi endurskoðunar, samkvæmt margir sérfræðingar og sérfræðingar eru ekki staðfest. Því skiptingu í flokka í sumum tilfellum getur verið mjög handahófskennt. Engu að síður, almennt, endurskoðun upplýsingaöryggis má skipta í ytri og innri.

Ytri úttekt sem gerð var af óháðum sérfræðingum sem hafa rétt til að gera, er yfirleitt einu sinni athuga, sem hægt er að hefja stjórnun, hluthafa, löggæslu stofnana osfrv Það er talið að utanaðkomandi úttekt á öryggi upplýsinga er mælt með því (en ekki skylt) að framkvæma reglulega í ákveðinn tíma. En fyrir sumum stofnunum og fyrirtækjum, samkvæmt lögum, það er nauðsynlegur (td, fjármálastofnanir og stofnanir, hlutafélög, og aðrir.).

Innra öryggi upplýsinga endurskoðun er stöðug vinna. Það er byggt á sérstökum "reglugerð um innra eftirlit". Hvað er það? Í staðreynd, this vottun starfsemi fer fram í skipulagi, með tilliti samþykktar af stjórn. An öryggi upplýsinga endurskoðun með sérstöku uppbyggingu sjálfstjórnarhéraðs fyrirtækisins.

Alternative flokkun úttektar

Að auki er hér að ofan er lýst skiptingu í flokka í almennu máli, getum við greint nokkra þætti í alþjóðlegri flokkun:

• Expert haka stöðu öryggis- og upplýsingakerfa upplýsingakerfi á grundvelli persónulegrar reynslu sérfræðinga, stunda sína;
• vottunarkerfum og öryggisráðstafanir til að uppfylla alþjóðlega staðla (ISO 17799) og innlend löggerninga er varða þessu sviði starfsemi;
• Greining á öryggi upplýsingakerfa með því að nota tækni sem ætlað er að bera kennsl á hugsanlega veikleika í hugbúnaði og vélbúnaði flókin.

Stundum er hægt að beita og svokallaða alhliða endurskoðun, sem felur í sér öll ofangreind gerðum. Við the vegur, gefur hann mest hlutlæg niðurstöður.

Leiksvið markmið og markmið

Allir sannprófun, hvort innri eða ytri, byrjar með að setja markmiðum og markmiðum. Einfaldlega setja, þú þarft að ákveða hvers vegna, hvernig og hvað verður prófað. Þetta mun ákvarða frekari málsmeðferð að framkvæma allt ferlið.

Verkefni, eftir sérstökum uppbyggingu fyrirtækisins, skipulagi, stofnun og starfsemi hennar getur verið mjög mikið. Hins vegar innan um alla þessa útgáfu, sameinað markmið öryggi upplýsinga endurskoðun:

• mat á stöðu upplýsingaöryggis og upplýsingakerfum;
• greining á hugsanlegri áhættu í tengslum við hættu á skarpskyggni í ytri IP og hugsanlegar aðferðir sem slík truflun;
• staðsetning holur og eyður í öryggi kerfisins;
• greiningu á viðeigandi stigi af öryggi upplýsingakerfa til gildandi staðla og reglur og löggerningum;
• þróun og afhending tillögur sem fela í sér afnám núverandi vandamál, auk endurbætur á núverandi úrræðum og kynning á nýjungum.

Aðferðafræði og endurskoðun verkfæri

Nú nokkur orð um hvernig stöðva og hvaða skref og þýðir það felur í sér.

An öryggi upplýsinga endurskoðun samanstendur af nokkrum stigum:

• hefja sannprófun (skýra skilgreiningu á réttindum og skyldum endurskoðanda, endurskoðandi kannar gerð áætlun og samræmingu hennar við stjórnun, spurningin á mörkum rannsóknarinnar, álagning á meðlimum stofnunarinnar skuldbindingu til að annast og tímabær veiting viðeigandi upplýsingar);
• safna fyrstu gögn (öryggi uppbyggingu, dreifingu öryggisþáttum, öryggi stigum kerfisins árangur greiningaraðferðir til að afla og veita upplýsingar, ákvörðun boðleiðum og IP samskiptum við önnur mannvirki, stigveldi notendur net tölva, ákvörðun bókunum, osfrv);
• stunda alhliða eða að hluta skoðun;
• greiningu gagna (greining á hættu af hvaða gerð og samræmi);
• útgáfu tillögur til að takast á hugsanleg vandamál;
• Skýrsla kynslóð.

Fyrsti áfanginn er mest einfalt, vegna þess að ákvörðun hennar er eingöngu á milli stjórnenda félagsins og endurskoðanda. Mörk greiningarinnar getur talist á aðalfundi starfsmanna eða hluthafa. Allt þetta og meira í tengslum við lögum sviði.

Seinni áfanga söfnun upphafi gagna, hvort sem það er innri endurskoðun á öryggi upplýsinga eða ytri sjálfstæða vottun er mest auðlind-ákafur. Þetta er vegna þess að á þessu stigi sem þú þarft að ekki aðeins að rannsaka tækniskjölin er varða öllum vélbúnaði og hugbúnaði, en einnig til að þrengja, viðtölum starfsmanna félagsins, og í flestum tilvikum, jafnvel með því að fylla sérstökum spurningalista eða kannanir.

Eins og fyrir tækniskjölin, það er mikilvægt að afla gagna um IC uppbyggingu og forgang stigum umgengnisréttar til starfsmanna sinna, til að bera kennsl kerfi-breiður og umsókn hugbúnaður (stýrikerfi fyrir umsóknir fyrirtækja, stjórnun þeirra og bókhald), sem og komið verndun hugbúnaður og ekki program gerð (antivirus hugbúnaður, brunavörður, osfrv). Þar að auki, þetta felur í sér fulla staðfestingu á net og veita fjarskiptaþjónustu (net skipulag, þær samskiptareglur sem notuð er til tengingar, þær tegundir boðleiðum, sendingu og móttöku aðferðir upplýsinga flæði, og fleira). Eins er ljóst, það tekur a einhver fjöldi af tími.

Í næsta áfanga, aðferðir við öryggi upplýsinga endurskoðun. Þeir eru þrír:

• áhættugreining (erfiðast tækni, byggt á ákvörðun endurskoðanda til kemst IP brots og heilleika sínum að nota allar mögulegar aðferðir og verkfæri);
• Mat á samræmi við staðla og löggjöf (einfaldasta og mest hagnýt aðferð sem byggir á samanburði á núverandi stöðu mála og kröfum alþjóðlegra staðla og innlendum skjölum á sviði upplýsingaöryggis);
• þar sem aðferðin sameina sem sameinar fyrstu tveimur.

Eftir að hafa fengið sannprófanir niðurstöður greiningar þeirra. Sjóðir Endurskoðun á öryggi upplýsinga, sem eru notuð til greiningar, má alveg fjölbreytt. Það veltur allt á sérstöðu fyrirtækisins, tegund upplýsinga, the hugbúnaður þú notar, vernd og svo framvegis. Hins vegar, eins og sjá má á fyrstu aðferðinni, endurskoðandi hefur aðallega að reiða sig á eigin reynslu þeirra.

Og það bara þýðir að það verður að vera fullgildur á sviði upplýsingatækni og gagnavernd. Á grundvelli þessarar greiningar, endurskoðandi og reiknar mögulegar áhættu.

Athugið að það ætti að takast ekki aðeins í stýrikerfinu eða forrit er notað, til dæmis, fyrir fyrirtæki eða bókhald, heldur einnig til að skilja skýrt hvernig árásarmaður getur komist inn í upplýsingakerfi í þeim tilgangi að þjófnaði, skemmdum og eyðingu gagna, sköpun forsendur fyrir brot í tölvum, útbreiðslu vírusa eða malware.

Mat á niðurstöðum og tillögur til að takast á við vandamál endurskoðun

Byggt á greiningu sérfræðingur lýkur um vernd stöðu og gefur ráðleggingar til að bregðast við núverandi eða hugsanleg vandamál, öryggi uppfærsla, o.fl. Tillögurnar ættu ekki bara að vera sanngjörn, en einnig greinilega bundinn við raunveruleika fyrirtækinu sérstöðu. Með öðrum orðum, eru ábendingar um að uppfæra stillingar á tölvum eða hugbúnaði ekki samþykkt. Þetta gildir jafnt um ráðleggingar uppsögn "óáreiðanlegar" starfsfólk, setja upp nýjar mælingar kerfi án þess að tilgreina áfangastað, staðsetning og viðeigandi.

Byggt á greiningu, sem að jafnaði eru nokkrir áhættuhópar. Í þessu tilviki, að taka saman yfirlitsskýrslu notar tvær helstu vísbendingar: (. Tap eigna, lækkun mannorð, tap á myndina og svo framvegis) líkurnar á árás og tjón til félagsins í kjölfarið. Hins vegar er árangur af þeim hópum eru ekki það sama. Til dæmis, lág-stigi mælikvarði á líkur á árás er best. Skaðabótamál - þvert á móti.

Aðeins þá tekið saman skýrslu sem upplýsingar um málaður öllum stigum, aðferðir og leiðir í rannsóknum. Hann samið við forystu og undirrituð af tveimur hliðum - fyrirtæki og endurskoðanda. Ef endurskoðun innri, er skýrsla yfirmaður viðkomandi uppbyggingu einingu, eftir sem hann aftur, undirritað af forstöðumanni.

Upplýsingar um öryggi endurskoðun: Dæmi

Loks skaltu íhuga að einföldustu dæmi um ástand sem hefur nú þegar gerst. Margir, við the vegur, getur það virst mjög kunnugleg.

Til dæmis, innkaup starfsfólk fyrirtækisins í Bandaríkjunum, stofnað í ICQ augnablik boðberi tölvu (nafn starfsmanns og nafn fyrirtækis er ekki nefnt augljósum ástæðum). Samningaviðræður fóru fram nákvæmlega með þessari áætlun. En "ICQ" er alveg varnarlaus í skilmálar af öryggi. Sjálf starfsmaður skráningarnúmer á þeim tíma eða ekki með netfang, eða bara vildi ekki gefa það. Þess í stað benti hann á að eitthvað eins e-mail, og jafnvel non-lén.

Hvað myndi árásarmaður? Eins og sést af úttekt á öryggi upplýsinga, myndi það vera skráð nákvæmlega sama lén og búið væri í henni, annar skráning flugstöðinni, og þá gæti sent skilaboð til mirabilis fyrirtæki sem á ICQ þjónustu, biðja lykilorð bata vegna taps hans (sem myndi vera ). Sem viðtakandi póstþjóninn var ekki, það var með beina - áframsenda við núverandi boðflenna pósti.

Þess vegna fær hann aðgang að samskiptum við tiltekinn ICQ númer og upplýsir birgir að breyta viðtakanda vörunnar í landi. Þannig vörur sendar til óþekkt áfangastað. Og það er mest skaðlaus dæmi. Svo, disorderly háttsemi. Og hvað um alvarlegri tölvusnápur sem eru færir um að miklu meira ...

niðurstaða

Hér er stutt og allt sem tengist IP öryggi endurskoðun. Að sjálfsögðu, það er ekki fyrir áhrifum af öllum þáttum þess. Ástæðan er bara að í mótun á vandamálum og aðferðir við framkvæmd hennar hefur áhrif á fullt af þáttum, svo nálgun í hverju tilfelli er stranglega einstaklingur. Að auki, aðferðir og leiðir til að öryggi upplýsinga endurskoðun getur verið mismunandi fyrir mismunandi ICS. Hins vegar held ég, að almennar meginreglur slíkra prófana til margar ljós, jafnvel á grunnskólastigi.