Informacijska varnost Revizija: Cilji, metode in orodja, na primer. Informacijska varnost revizija banke

Danes, vsakdo pozna skoraj sveto stavek, ki je lastnik podatkov, ima svet. Zato je v našem času ukrasti zaupne informacije, se trudijo, da vse in razni. V zvezi s tem sprejeti brez primere korake in izvajanja sredstev za zaščito pred morebitnimi napadi. Včasih boste morda morali opraviti revizijo informacijske varnosti v podjetju. Kaj je to in zakaj je vse to zdaj, in poskusite razumeti.

Kaj je revizija informacijske varnosti v splošni definiciji?

Kdo ne bo vplivalo na Nejasno znanstvene izraze, in poskusite ugotoviti, da za svoje osnovne pojme, ki jih opisujejo v najbolj preprostem jeziku (ljudi, da bi lahko imenovali revizijsko za "telebane").

Ime kompleksnih dogodkov, govori sama zase. Informacijska varnost revizija je neodvisna preverjanja ali strokovni pregled , da se zagotovi varnost informacijskih sistemov (IS), katere koli podjetja, institucije ali organizacije, na podlagi posebej razvitih meril in kazalnikov.

Preprosto povedano, na primer, revidiranje informacijske varnosti banke izvira, da oceni raven varstva baz podatkov strank, ki jih bančnega poslovanja, varnost elektronskega denarja, ohranitev bančne tajnosti, in tako naprej. D. V primeru motenj v dejavnostih institucij nepooblaščenih oseb od zunaj, s pomočjo elektronske in računalniške zmogljivosti.

Seveda, med bralci pa je vsaj ena oseba, ki se imenuje dom ali mobilni telefon s predlogom za obdelavo posojilo ali depozit, banka, s katero nima nič skupnega. Enako velja tudi za nakupe in ponuja od nekaterih trgovinah. Od kod je prišel sobo?

To je enostavno. Če oseba, ki je prej vzel kredite ali vlagajo v depozitnega računa, seveda, je njena podatki shranjeni v skupno bazo strank. Ko kličete iz druge banke ali trgovine je lahko samo en sklep: informacije o tem prišel nezakonito tretjim osebam. Kako? Na splošno obstajata dve možnosti: ali je bil ukraden, ali prenese na delavce banke tretjim osebam zavestno. Da bi za take stvari ni zgodilo, in jih potrebujejo čas, da opravi revizijo informacijske varnosti banke, in to ne velja le za računalnikom ali "železnih" zaščitnimi sredstvi, temveč celotno osebje institucije.

Glavne smeri informacijske varnosti revizije

Kar zadeva obseg revizije, kot pravilo, so več:

• popoln pregled predmetov, ki sodelujejo v procesih informacij (računalnik avtomatiziran sistem, načini komuniciranja, recepcija, informacijski prenosa in obdelave, objektov, prostorov za zaupnih sestankov, nadzornih sistemov, itd);
• preverjanje zanesljivosti varstva zaupnih informacij z omejenim dostopom (ugotovitev možne uhajanja in morebitnih varnostnih lukenj kanali, ki omogočajo dostop od zunaj z uporabo standardnih in nestandardnih metod);
• preveriti vseh elektronskih strojne opreme in lokalnih računalniških sistemov za izpostavljenosti elektromagnetnim sevanjem in motenj, ki jim omogoča, da izklopite ali bi v slabem stanju;
• del projekta, ki vključuje delo na ustvarjanju in uporabi koncepta varnosti v praktičnem izvajanju (zaščita računalniških sistemov, objektov, komunikacijsko infrastrukturo, itd).

Ko gre za revizijo?

Da ne omenjam kritične situacije, kjer je obramba že razdeljene, revizija informacijske varnosti v organizaciji je mogoče opraviti, in v nekaterih drugih primerih.

Značilno je, da to vključuje širitev podjetja, združitev, prevzem, prevzem s strani druge družbe, spremeni potek poslovnih konceptov in smernic, spremembe v mednarodnem pravu ali v zakonodajo v državi, precej resne spremembe v informacijski infrastrukturi.

vrste revizije

Danes je zelo razvrstitev tovrstne revizije, po mnenju mnogih analitikov in strokovnjakov, ni dokazana. Zato je lahko delitev v razrede, v nekaterih primerih precej samovoljno. Kljub temu, na splošno, je revizija informacijske varnosti lahko razdelimo na zunanje in notranje.

Zunanja revizija s strani neodvisnih strokovnjakov, ki imajo pravico, da to poteka, je običajno preverjanje enkratni, ki se lahko sproži upravljanje, delničarji, organi pregona itd Menijo, da je priporočljivo, zunanja revizija informacijske varnosti (ne pa obvezno) redno opravlja za določeno časovno obdobje. Toda za nekatere organizacije in podjetja, v skladu z zakonom, je obvezna (na primer, finančne institucije in organizacije, delniške družbe, in drugi.).

Notranja presoja varnosti informacij je stalen proces. Temelji na posebnem "predpisov o notranjem revidiranju". Kaj je to? V bistvu je to potrditev dejavnosti izvajajo v organizaciji, v smislu, ki ga potrdi uprava. Informacijsko varnost revizija s posebnim strukturne pregrajevanja podjetja.

Alternativna razvrstitev revizije

Poleg zgoraj opisane delitve v razrede v splošnem primeru lahko ločimo več komponent, sprejete na mednarodni klasifikaciji:

• Strokovno preverjanje stanja varnosti in informacijskih sistemov obveščanja na podlagi osebnih izkušenj strokovnjakov, njegova prevodna;
• sistemi certificiranja in varnostni ukrepi za skladnost z mednarodnimi standardi (ISO 17799) in nacionalnih pravnih instrumentov, ki urejajo to področje dejavnosti;
• analiza varnosti informacijskih sistemov z uporabo tehničnih sredstev, katerih namen je ugotavljanje morebitnih ranljivosti v programsko in strojno opremo kompleksa.

Včasih se lahko uporabljajo in tako imenovano celovito revizijo, ki vključuje vse zgoraj naštete vrste. Mimogrede, on daje najbolj objektivne rezultate.

Postopno cilji in cilji

Vsako preverjanje, ali je notranja ali zunanja, se začne z določitvijo ciljev in ciljev. Preprosto povedano, morate ugotoviti, zakaj, kako in kaj se bodo testirali. Ta bo določil nadaljnji postopek izvajanja celotnega procesa.

Naloge, odvisno od posebne strukture podjetja, organizacije, institucije in njene dejavnosti, je lahko zelo veliko. Vendar pa je sredi vse te objave, enoten cilj informacijske varnosti revizije:

• Ocena stanja varnosti informacij in informacijskih sistemov;
• Analiza možnih tveganj, povezanih z nevarnostjo penetracije v zunanji IP in možnih oblik takšnih motenj;
• lokalizacija lukenj in pomanjkljivosti v varnostnem sistemu;
• analiza ustrezne ravni varnosti informacijskih sistemov na veljavne standarde in regulativnih in pravnih aktov;
• razvoj in izvajanje priporočil, ki vključujejo odpravo obstoječih problemov, kot tudi izboljšanje obstoječih pravnih sredstev in uvajanje novosti.

Metodologija in revizijska orodja

Zdaj pa še nekaj besed o tem, kako se s pregledom in kakšne ukrepe in pomeni, da gre.

Informacijski varnostni pregled je sestavljen iz več faz:

• sprožitev postopkov preverjanja (jasna opredelitev pravic in odgovornosti revizorja, revizor preveri pripravo načrta in njegovo usklajevanje z upravljanjem, vprašanje meja študije, naložitev na člane zavezo organizacije za nego in pravočasno zagotavljanje ustreznih informacij);
• zbiranje začetnih podatkov (varnostni strukturi, distribucijo varnostnih funkcij, raven varnostnih metod analize učinkovitosti sistema za pridobivanje in posredovanje informacij, določitev komunikacijskih kanalov in interakcijo IP z drugimi strukturami, hierarhija uporabnikov računalniških omrežij, določitev protokolov, itd);
• izvesti celovito ali delno pregled;
• Analiza podatkov (analiza tveganj vseh vrst in skladnost);
• izdajanje priporočil za reševanje morebitnih težav;
• generacija poročilo.

V prvi fazi je najbolj enostavna, saj je njena odločitev izključno med upravo družbe in revizorja. Meje analize se lahko obravnava na skupščini zaposlenih in delničarjev. Vse to in še več v zvezi s pravno področje.

V drugi fazi zbiranja osnovnih podatkov, ali je notranja revizija informacijske varnosti ali zunanjega neodvisnega certificiranja je najbolj vir intenzivne. To je posledica dejstva, da v tej fazi, kar potrebujete, da ne samo pregleda tehnično dokumentacijo, ki se nanaša na vse strojne in programske opreme, ampak tudi, da se zmanjšajo, anketiranje zaposlenih družbe, in v večini primerov tudi z izpolnitvijo posebne vprašalnike in ankete.

Kot je za tehnično dokumentacijo, je pomembno, da pridobi podatke o strukturi IC in prednostne ravni pravic dostopa do svojih zaposlenih, da prepoznajo celotnega sistema in aplikativne programske opreme (operacijski sistem za poslovne aplikacije, njihovo upravljanje in računovodstvo), kot tudi sedež zaščito programske opreme in tip brez programa (protivirusno programsko opremo, požarni zidovi, itd). Poleg tega, to vključuje popolno preverjanje omrežij in ponudniki telekomunikacijskih storitev (omrežna organizacija, protokole, ki se uporabljajo za povezavo, vrste komunikacijskih kanalov, prenosne naprave in metode za sprejem, od pretoka informacij, in še več). Kot je razvidno, je potrebno veliko časa.

V naslednji fazi, metode informacijske varnosti revizije. To so tri:

• analiza tveganja (najbolj težko tehniko, ki temelji na določitvi revizorja za penetracijo kršitve IP in njeno celovitost uporabo vse možne metode in orodja);
• oceno skladnosti s standardi in zakonodajo (najenostavnejši in najbolj praktično metodo, ki temelji na primerjavi trenutnega stanja in zahtev mednarodnih standardov in domačih dokumentov na področju informacijske varnosti);
• Kombinirana metoda, ki združuje prva dva.

Po prejemu rezultatov preverjanja njihove analize. Sredstva za revizijo informacijske varnosti, ki se uporabljajo za analizo, se lahko precej spreminja. Vse je odvisno od posebnosti podjetja, vrsto podatkov, programske opreme, ki jo uporabljate, zaščite in tako naprej. Vendar pa, kot je mogoče videti na prvi metodi, revizor v glavnem zanašajo na lastne izkušnje.

In to samo pomeni, da mora biti v celoti usposobljeni na področju informacijske tehnologije in varovanja podatkov. Na podlagi te analize, revizorjem in izračuna možnih tveganj.

Upoštevajte, da mora obravnavati ne samo v operacijski sistem ali program, ki se uporablja, na primer, za poslovno ali računovodstvo, ampak tudi, da jasno razumeti, kako lahko napadalec prodrejo v informacijski sistem za kraje, poškodbe in uničenja podatkov, ustvarjanje pogojev za kršitev v računalnikih, širjenje virusov in zlonamerne programske opreme.

Vrednotenje revizijskih ugotovitev in priporočil za odpravo težav

Na podlagi analize strokovnjak sklepa o stanju varstva in daje priporočila za odpravo obstoječih ali potencialnih težav, varnostne nadgradnje, itd Priporočila ne sme biti edino pošteno, ampak tudi jasno povezan z realnostjo podjetja posebnosti. Z drugimi besedami, so nasveti za nadgradnjo konfiguracijo računalnikov in programske opreme, ne bo sprejet. Enako velja za nasvet razrešitev "nezanesljivih" osebje, namestitev novih sistemov za sledenje brez navedbo svoj cilj, lokacije in ustreznost.

Na podlagi analize, kot pravilo, obstaja več rizične skupine. V tem primeru, da pripravijo povzetek poročila uporablja dva ključnih kazalnikov: (. Izgubo sredstev, zmanjšanje ugleda, izgube podobe in tako naprej), je verjetnost napada in povzročene škode za družbo kot rezultat. Vendar pa je uspešnost skupin niso enaki. Na primer, kazalnik nizko raven za verjetnost napada je najboljši. Za škodo - ravno nasprotno.

Šele nato pripravi poročilo, ki podrobno naslikal vse faze, metode in sredstva za raziskave o. Strinjal se je z vodstvom in obe strani podpisali - podjetja in revizorja. Če revizija notranji, je poročilo vodja posameznih strukturnih enoto, po kateri se je, spet z glavo je bil podpisan.

Informacijska varnost Revizija: Primer

Končno, menimo, da je najpreprostejši primer situacijo, ki se je že zgodilo. Mnogi, mimogrede, se zdi zelo pozna.

Na primer, osebje naročil neke družbe v Združenih državah Amerike, s sedežem v ICQ instant messenger računalniku (ki je ime zaposlenega in firmo ni imenovan za očitnih razlogov). Pogajanja so se ravno poteka s pomočjo tega programa. Toda "ICQ" je precej ranljiva z vidika varnosti. Self zaposleni na registrskih številk v času ali ni imel e-poštni naslov, ali pa ni hotel dati. Namesto tega je opozoril, da nekaj takega kot e-pošto, in celo neobstoječe domene.

Kaj bi napadalec? Kot je razvidno iz reviziji informacijske varnosti, bi bilo treba registrirati natanko isto domeno in ustvarili bi bilo v njej, drugi registracija terminal, nato pa lahko pošljete sporočilo mirabilis podjetje, ki ima v lasti ICQ storitve, zahtevali obnovitev gesla zaradi izgube (da bi naredili ). Kot prejemnik poštnega strežnika ni bilo, je bilo vključeno preusmeritev - preusmeri na obstoječi protivlomni pošti.

Kot rezultat, bo dobil dostop do korespondence z določenim številom ICQ in obvesti dobavitelja, da spremenite naslov prejemnika blaga v določeni državi. Tako se blago poslano na neznano lokacijo. In to je najbolj neškodljiva primer. Torej, neurejeno ravnanje. In kaj je bolj resnih hekerji, ki so sposobni še veliko več ...

zaključek

Tukaj je kratek in vse, ki se nanaša na IP revizije varnosti. Seveda, se to ne vpliva na vse vidike. Razlog je le, da pri oblikovanju problemov in načinov njenega ravnanja vpliva veliko dejavnikov, tako da je pristop v vsakem primeru je strogo individualna. Poleg tega lahko metode in sredstva za informacijske revizije varnosti biti različna za različne IC. Vendar pa mislim, da splošna načela takšnih testov za mnoge postala očitna tudi na primarni ravni.