Inligting Security Audit: doelwitte, metodes en gereedskap, byvoorbeeld. Inligting-sekuriteit oudit van die bank

Vandag, almal weet die byna heilige frase wat die inligting beskik, beskik oor die wêreld. Dit is waarom in ons tyd om te steel vertroulike inligting probeer om alles en almal. In hierdie verband, geneem ongekende stappe en implementering van die hand van beskerming teen moontlike aanvalle. Maar soms kan jy nodig het om 'n oudit van die onderneming inligting-sekuriteit te voer. Wat is dit en hoekom is dit alles nou, en probeer om te verstaan.

Wat is 'n oudit van inligting-sekuriteit in die algemene definisie?

Wie sal geen invloed op die diepsinnige wetenskaplike terme, en probeer om vas te stel vir hulself die basiese konsepte, beskryf hulle in die mees eenvoudige taal (die mense dit kon die oudit word gevra vir die "dummies").

Die naam van die kompleks gebeure spreek vanself. Inligting-sekuriteit oudit is 'n onafhanklike verifikasie of peer review om die veiligheid van inligtingstelsels (IS) van enige maatskappy, instelling of organisasie op die basis van spesiaal ontwikkel kriteria en aanwysers te verseker.

In eenvoudige terme, byvoorbeeld, oudit inligting-sekuriteit die bank se kom neer op, om die vlak van beskerming van databasisse kliënt gehou deur die bank bedrywighede te bepaal, die veiligheid van die elektroniese geld, die behoud van die bank geheim, en so aan. D. in die geval van inmenging in die werksaamhede van die instelling ongemagtigde persone van buite, met behulp van elektroniese en rekenaar fasiliteite.

Sekerlik, onder die lesers daar is ten minste een persoon wat die huis of selfoon genoem met 'n voorstel van die verwerking van die lening of deposito, die bank waarmee dit het niks te doen. Dieselfde geld vir die aankoop en bied van 'n paar winkels. Waarvandaan het jou kamer?

Dit is eenvoudig. Indien 'n persoon wat voorheen het lenings of belê in 'n deposito-rekening, natuurlik, sy data gestoor word in 'n gemeenskaplike kliëntebasis. Wanneer jy 'n beroep van 'n ander bank of winkel kan net een gevolgtrekking: die inligting daaroor het onwettig aan derde partye. Hoe? In die algemeen, is daar twee opsies: óf dit gesteel is, of oorgedra word aan werknemers van die bank aan derde partye doelbewus. Ten einde vir sulke dinge nie gebeur nie, en jy tyd nodig het om 'n oudit van inligting-sekuriteit van die bank uit te voer, en dit geld nie net vir rekenaar of "yster" middel van beskerming, maar die hele personeel van die instelling.

Die belangrikste rigtings van inligting-sekuriteit oudit

Met betrekking tot die omvang van die oudit, as 'n reël, is hulle 'n paar:

• volle tjek van die voorwerpe wat betrokke is in die prosesse van inligting (rekenaar outomatiese stelsel, beteken van kommunikasie, ontvangs, inligting oordrag en verwerking, fasiliteite, perseel vir vertroulike vergaderings, monitering stelsels, ens);
• nagaan van die betroubaarheid van die beskerming van vertroulike inligting met beperkte toegang (bepaling van moontlike lekkasie en potensiële sekuriteit gate kanale verlening van toegang is dit van buite af met die gebruik van standaard en nie-standaard metodes);
• kyk van alle elektroniese hardeware en plaaslike rekenaar stelsels vir blootstelling aan elektromagnetiese bestraling en inmenging, wat hulle toelaat om te draai af of bring in verval;
• projek deel, wat werk op die skepping en toepassing van die konsep van sekuriteit in die praktiese implementering sluit (beskerming van rekenaarstelsels, fasiliteite, kommunikasie fasiliteite, ens).

Wanneer dit kom by die oudit?

Nie aan die kritieke situasies waar die verdediging reeds gebreek, oudit van inligting-sekuriteit in 'n organisasie uitgevoer kan word, en in sommige ander gevalle te noem.

Tipies, hierdie sluit in die uitbreiding van die maatskappy, samesmelting, verkryging, oorname deur ander maatskappye, verander die verloop van sake begrippe of riglyne, veranderinge in die internasionale reg of in wetgewing binne 'n land, eerder ernstige veranderinge in die inligting-infrastruktuur.

tipes oudit

Vandag, is die baie klassifikasie van hierdie tipe oudit, volgens baie ontleders en kenners nie vasgestel nie. Daarom kan die verdeling in klasse in sommige gevalle heeltemal arbitrêre wees. Tog, in die algemeen, die oudit van inligting-sekuriteit kan verdeel word in interne en eksterne.

'N eksterne oudit deur onafhanklike kundiges wat die reg het om te doen, is gewoonlik 'n one-time tjek, wat kan ingestel word deur die bestuur, aandeelhouers, wetstoepassingsagentskappe, ens Daar word geglo dat 'n eksterne oudit van inligting-sekuriteit word aanbeveel (maar nie 'n vereiste) om gereeld uit te voer vir 'n bepaalde tydperk van die tyd. Maar vir een of ander organisasies en ondernemings, volgens die wet, dit is verpligtend (byvoorbeeld, finansiële instellings en organisasies, gesamentlike stock companies, en ander.).

Interne oudit inligting-sekuriteit is 'n voortdurende proses. Dit is gebaseer op 'n spesiale "Regulasies op Interne Oudit". Wat is dit? Trouens, hierdie sertifisering aktiwiteite uitgevoer in die organisasie, in terme van die bestuur goedgekeur. 'N inligting-sekuriteit oudit deur 'n spesiale strukturele onderverdeling van die onderneming.

Alternatiewe klassifikasie van oudit

Behalwe die bogenoemde beskryf verdeling in klasse in die algemene geval, kan ons 'n paar komponente gemaak in die internasionale klassifikasie onderskei:

• Deskundige beheer van die status van inligting-sekuriteit en inligtingstelsels op grond van persoonlike ervaring van kenners, sy uitvoering;
• sertifisering stelsels en sekuriteitsmaatreëls vir die nakoming van internasionale standaarde (ISO 17799) en nasionale regsinstrumente reguleer hierdie gebied van die aktiwiteit;
• ontleding van die sekuriteit van inligting stelsels met die gebruik van tegniese hulpbronne wat gemik is op die identifisering van moontlike kwesbaarhede in die sagteware en hardeware kompleks.

Soms is dit toegepas kan word en die sogenaamde omvattende oudit, wat al die bogenoemde tipes sluit. By the way, gee hy die mees objektiewe resultate.

Opgevoer doelstellings en doelwitte

Enige verifikasie, hetsy intern of ekstern, begin met die opstel van doelwitte en doelstellings. Eenvoudig gestel, wat jy nodig het om vas te stel waarom, hoe en wat getoets sal word. Dit sal die verdere prosedure van die uitvoering van die hele proses te bepaal.

Take, afhangende van die spesifieke struktuur van die onderneming, organisasie, instelling en sy aktiwiteite kan nogal 'n baie wees. Maar te midde van al hierdie uitgawe, verenigde doel van inligting-sekuriteit oudit:

• assessering van die toestand van inligting-sekuriteit en inligtingstelsels;
• ontleding van die moontlike risiko's wat verband hou met die risiko van penetrasie in eksterne IP en die moontlike modaliteite van sulke inmenging;
• lokalisering van gate en gapings in die sekuriteit stelsel;
• ontleding van die toepaslike vlak van sekuriteit van inligtingstelsels om huidige standaarde en regulatoriese en wetlike dade;
• ontwikkeling en lewering van aanbevelings met betrekking tot die verwydering van die bestaande probleme, asook die verbetering van die bestaande middels en die bekendstelling van nuwe ontwikkelings.

Metodologie en oudit tools

Nou 'n paar woorde oor hoe die tjek en watter stappe en beteken dit behels.

'N inligting-sekuriteit oudit bestaan uit verskeie fases:

• inisieer verifikasie prosedures (duidelike definisie van regte en verantwoordelikhede van die ouditeur, die ouditeur kontroleer die voorbereiding van die plan en sy samewerking met die bestuur, die kwessie van die grense van die studie, die oplegging van lede van die organisasie verbintenis om te sorg en tydige voorsiening van relevante inligting);
• invordering van aanvanklike data (sekuriteit struktuur, die verspreiding van sekuriteit kenmerke, sekuriteit vlakke van die stelsel prestasie analise metodes vir die verkryging van en die verskaffing van inligting, bepaling van kommunikasiekanale en IP interaksie met ander strukture, 'n hiërargie van gebruikers van rekenaarnetwerke, die bepaling protokolle, ens);
• uit te voer 'n omvattende of gedeeltelike inspeksie;
• data-analise (ontleding van risiko's van enige soort en nakoming);
• die uitreiking van aanbevelings aan potensiële probleme aan te spreek;
• verslag generasie.

Die eerste fase is die mees eenvoudige, want sy besluit uitsluitlik gemaak word tussen die maatskappy bestuur en die ouditeur. Die grense van die analise kan oorweeg word by die algemene vergadering van werknemers of aandeelhouers. Dit alles en meer wat verband hou met die wettige veld.

Die tweede fase van die versameling van basislyndata, of dit is 'n interne oudit van inligting-sekuriteit of eksterne onafhanklike sertifisering is die mees hulpbron-intensiewe. Dit is te wyte aan die feit dat in hierdie stadium moet jy nie net die tegniese dokumentasie wat verband hou met al die hardeware en sagteware te ondersoek nie, maar ook om te verfyn-onderhoudvoering die maatskappy se werknemers, en in die meeste gevalle selfs met die vulling van spesiale vraelyste of opnames.

Soos vir die tegniese dokumentasie, is dit belangrik om data op die IC struktuur en die prioriteit vlakke van toegang regte verkry om sy werknemers, om die hele stelsel en toepassingsprogrammatuur (die bedryfstelsel vir korporatiewe toepassings, hul bestuur en rekeningkunde) identifiseer, sowel as die gevestigde beskerming van die sagteware en tipe non-program (antivirus sagteware, firewalls, ens). Daarbenewens, dit sluit in die volle verifikasie van netwerke en verskaffers van telekommunikasiedienste (netwerk organisasie, die protokolle wat gebruik word vir verbinding, die tipes kommunikasiekanale, die oordrag en ontvangs metodes van inligting vloei, en nog baie meer). Soos duidelik, dit neem baie tyd.

In die volgende fase, die metodes van inligting-sekuriteit oudit. Hulle is drie:

• risiko-analise (die moeilikste tegniek, wat gebaseer is op die bepaling van die ouditeur aan die penetrasie van IP oortreding en sy integriteit met behulp van alle moontlike metodes en gereedskap);
• assessering van die nakoming van standaarde en wetgewing (die eenvoudigste en mees praktiese metode wat gebaseer is op 'n vergelyking van die huidige stand van sake en die vereistes van die internasionale standaarde en binnelandse dokumente in die veld van inligting-sekuriteit);
• die gekombineerde metode wat die eerste twee kombineer.

Na ontvangs van die verifikasie resultate van hul analise. Fondse Oudit van inligting-sekuriteit, wat gebruik word vir die analise, kan nogal gewysig word. Dit hang alles af van die besonderhede van die onderneming, die tipe van inligting, die sagteware wat jy gebruik, beskerming en so aan. Maar soos gesien kan word op die eerste metode, die ouditeur het hoofsaaklik staatmaak op hul eie ervaring.

En dit beteken net dat dit ten volle gekwalifiseerde in die veld van inligtingstegnologie en die beskerming van data moet wees. Op grond van hierdie analise, die ouditeur en bereken die moontlike risiko's.

Let daarop dat dit nie net in die bedryfstelsel of die gebruik, byvoorbeeld program moet hanteer, vir besigheid of rekeningkunde, maar ook om duidelik te verstaan hoe 'n aanvaller kan deurdring na die inligtingstelsel vir die doel van diefstal, skade en vernietiging van data, skep van voorwaardes vir oortredings in rekenaars, die verspreiding van virusse of malware.

Evaluering van oudit bevindinge en aanbevelings aan die probleme aan te spreek

Gebaseer op die ontleding van die deskundige gevolgtrekking oor die status beskerming en gee aanbevelings aan bestaande of potensiële probleme aan te spreek, sekuriteit opgraderings, ens Die aanbevelings moet nie net eerlik te wees, maar ook duidelik wat gekoppel is aan die realiteite van die onderneming besonderhede. Met ander woorde, is wenke oor die opgradering van die opset van rekenaars of sagteware nie aanvaar nie. Dit geld ook vir die advies van die ontslag van "onbetroubaar" personeel, nuwe dop stelsels te installeer sonder om hul bestemming, die plek en toepaslikheid.

Gebaseer op die ontleding, as 'n reël, is daar verskeie risiko groepe. In hierdie geval, om saam te stel 'n opsomming verslag maak gebruik van twee sleutel aanwysers: (. Verlies van bates, vermindering van reputasie, verlies van beeld en so aan) die waarskynlikheid van 'n aanval en die skade aan die maatskappy as 'n resultaat. Maar die prestasie van die groepe is nie dieselfde nie. Byvoorbeeld, 'n lae-vlak aanwyser vir die waarskynlikheid van aanval is die beste. Vir skadevergoeding - op die teendeel.

Eers dan 'n verslag met besonderhede oor geverf al die stadiums, metodes en middele van die navorsing. Hy stem saam met die leierskap en onderteken deur die twee kante - die maatskappy en die ouditeur. As die oudit interne, is 'n verslag van die hoof van die onderskeie strukturele eenheid, waarna hy weer, onderteken deur die hoof.

Inligting-sekuriteit oudit: Voorbeeld

Ten slotte, ons kyk na die eenvoudigste voorbeeld van 'n situasie wat reeds gebeur het. Baie, by the way, dit kan baie vertroud lyk.

Byvoorbeeld, 'n maatskappy se verkryging personeel in die Verenigde State van Amerika, in die ICQ instant messenger rekenaar gestig (is die naam van die werknemer en die maatskappy se naam nie genoem vir ooglopende redes). Onderhandelinge is presies wat deur middel van hierdie program. Maar die "ICQ" is nogal kwesbaar in terme van sekuriteit. Self werknemer by registrasienommers by die tyd of het nie 'n e-pos adres, of net nie wil gee nie. In plaas daarvan, het hy iets soos e-pos, en selfs nie-bestaande domein.

Wat sou die aanvaller? Soos blyk uit 'n oudit van inligting-sekuriteit, sou dit presies dieselfde domein geregistreer en geskep sou wees in dit, 'n ander registrasie terminale, en dan kan 'n boodskap aan Mirabilis maatskappy wat ICQ diens besit, versoek wagwoord herstel stuur as gevolg van sy verlies (wat sal gedoen word ). As die ontvanger van die e-pos bediener was nie, was dit ingesluit lei - lei tot 'n bestaande indringer pos.

As gevolg hiervan, kry hy toegang tot die korrespondensie met die gegewe ICQ nommer en stel die verskaffer aan die adres van die ontvanger van die goedere in 'n sekere land te verander. So, die goedere gestuur aan 'n onbekende bestemming. En dit is die mees onskadelike voorbeeld. So, wanordelike gedrag. En wat van meer ernstige hackers wat in staat is om baie meer ...

gevolgtrekking

Hier is 'n kort en alles wat verband hou met IP sekuriteit oudit. Natuurlik, is dit nie geraak word deur alle aspekte van dit. Die rede hiervoor is net dat in die formulering van die probleme en metodes van sy gedrag beïnvloed baie faktore, so die benadering in elke geval is streng individuele. Daarbenewens kan die metodes en middele van inligting-sekuriteit oudit verskillend weer vir verskillende IC wees. Maar ek dink, die algemene beginsels van sulke toetse vir baie duidelik geword selfs op die primêre vlak.