Informacije o sigurnosti za reviziju: Ciljevi, metode i alate, npr. Informacije o sigurnosti revizije banke

Danas svi znaju gotovo sveto fraza koja posjeduje informacije, posjeduje svijetu. Zato je u našem vremenu da ukrade povjerljive informacije pokušavaju da svima i svakome. U tom smislu, uzeti bez presedana korake i implementaciju sredstava zaštite od mogućih napada. Međutim, ponekad može biti potrebno da izvrši reviziju sigurnosti informacija preduzeća. Šta je to i zašto je sve to sada, i pokušati shvatiti.

Ono što je revizija informacijske sigurnosti u opštoj definiciji?

Koji neće uticati na nejasan naučnom smislu, i pokušajte odrediti za sebe osnovne pojmove, opisujući ih u većini jednostavan jezik (ljudi bi se moglo nazvati revizije za "lutke").

Ime kompleksa događaja govori sama za sebe. Informacije o sigurnosti revizija je neovisna verifikacija ili peer review kako bi se osigurala sigurnost informacionih sistema (IS) od bilo koje kompanije, institucije ili organizacije na osnovu posebno razvijen kriterijuma i indikatora.

Jednostavno rečeno, na primjer, revizija sigurnosti informacija banke svodi na, za procjenu nivo zaštite baza podataka kupaca drže bankarskog poslovanja, sigurnost elektronskog novca, čuvanje bankarske tajne, i tako dalje. D. U slučaju smetnji u radu institucije neovlaštene osobe izvana, koristeći elektronske i računalnom opremom.

Svakako, među čitaocima postoji barem jedna osoba koja se zove kuće ili mobilni telefon s prijedlogom obradu kredita i depozita, banke s kojima nema nikakve veze. Isto važi i za kupovinu i ponude iz neke radnje. Odakle je došao svoju sobu?

To je jednostavno. Ako osoba prethodno uzeli kredite ili uložio u depozitni račun, naravno, njegova podaci se čuvaju u zajedničku bazu klijenata. Kada zovete iz druge banke ili radnju može biti samo jedan zaključak: informacije o tome je ilegalno trećim stranama. Kako? U principu, postoje dvije opcije: ili da je ukraden, ili prenose zaposlenima u banci trećim licima svesno. Da bi se takve stvari se nije dogodilo, a ti treba vremena da izvrši reviziju sigurnosti informacija banke, a to se ne odnosi samo na računalu ili "pegla" sredstva zaštite, ali i cjelokupno osoblje ustanove.

Glavne pravce informacija sigurnosti revizije

Što se tiče obima revizije, po pravilu, oni su nekoliko:

• puna provjera objekata koji su uključeni u procese informacija (kompjuterski automatizovan sistem, način komunikacije, prijem, prenos i obrade informacija, objekata, prostorija za povjerljive sastanke, monitoring sistema, itd);
• provjeru pouzdanosti zaštite povjerljivih informacija sa ograničenim pristupom (određivanje mogućeg curenja i potencijalne sigurnosne rupe kanala što joj je omogućilo pristup izvana uz upotrebu standardnih i nestandardnih metoda);
• provjerite svih elektronskih hardvera i lokalne računarske sisteme za izlaganje elektromagnetskog zračenja i smetnji, što im omogućava da isključite ili dovode u lošem stanju;
• projekt dio, koji uključuje i rad na stvaranju i primjeni koncepta bezbednosti u praktičnu primjenu (zaštita računarskih sistema, postrojenja, sredstva za komunikaciju, itd.)

Kada je u pitanju revizije?

Da ne spominjemo kritične situacije u kojoj je obrana već razbijena, revizija informacijske sigurnosti u organizaciji može izvršiti, au nekim drugim slučajevima.

Tipično, oni uključuju i širenje kompanije, spajanja, akvizicije, preuzimanja od strane drugih kompanija, promijeniti tok poslovnih koncepata ili smjernice, promjene u međunarodnom pravu ili u zakonodavstvu unutar zemlje, a ozbiljne promjene u informatičke infrastrukture.

vrste revizije

Danas je vrlo klasifikaciju ove vrste revizije, prema mišljenju mnogih analitičara i stručnjaka nije uspostavljena. Dakle, podjela na klase u nekim slučajevima može biti prilično proizvoljna. Ipak, u cjelini, revizija informacijske sigurnosti može se podijeliti na eksterne i interne.

Jedan vanjske revizije od nezavisnih stručnjaka koji imaju pravo na to, je obično jednokratni ček, koji se može pokrenuti uprava, dioničari, agencija za provođenje zakona, itd Smatra se da se preporučuje eksternu reviziju sigurnosti informacija (ali ne i obavezno) da redovno obavlja na određeni vremenski period. Ali za neke organizacije i preduzeća, u skladu sa zakonom, da je obavezno (na primjer, financijskim institucijama i organizacijama, akcionarskih društava, i dr.).

sigurnost interne informacije revizija je stalni proces. Ona se temelji na posebnom "Pravilnik o internoj reviziji". Šta je to? U stvari, to certifikacijske aktivnosti koje provodi u organizaciji, u smislu odobren od strane menadžmenta. Informaciju sigurnost revizije posebnim strukturnim podjela preduzeća.

Alternativni klasifikaciju revizije

Osim gore opisane podjele na klase u opštem slučaju, možemo razlikovati nekoliko komponenti je u međunarodnoj klasifikaciji:

• Expert provjeru statusa sigurnosti informacija i informacijskih sistema na osnovu ličnog iskustva stručnjaka, njegovo provođenje;
• sistema certifikacije i sigurnosne mjere za usklađivanje s međunarodnim standardima (ISO 17799) i nacionalnih pravnih instrumenata koji regulišu ovu oblast aktivnosti;
• analiza sigurnosti informacionih sistema uz upotrebu tehničkih sredstava u cilju identifikacije potencijalnih ranjivosti u softver i hardver kompleksa.

Ponekad se može primijeniti i tzv sveobuhvatne revizije, koji uključuje sve od navedenih vrsta. Usput, on daje najobjektivniji rezultate.

Postavio ciljeve i zadatke

Ikakve provjere, da li interni ili eksterni, počinje postavljanje ciljeva i ciljeva. Jednostavno rečeno, trebate odrediti zašto, kako i šta će biti testirani. To će odrediti dalji postupak obavljanja čitavog procesa.

Zadataka, u zavisnosti od specifičnih struktura preduzeća, organizacija, institucija i njenih aktivnosti može biti dosta. Međutim, usred sve ovo izdanje, jedinstveni cilj informacija sigurnosti revizije:

• procjenu stanja sigurnosti informacija i informacijskih sistema;
• analize mogućih rizika povezanih s rizikom od prodiranja u vanjski IP i mogućim modalitetima takvih smetnji;
• lokalizacija otvore i pukotine u sistemu bezbednosti;
• analiza odgovarajući nivo sigurnosti informacionih sistema važećim standardima i regulatornih i pravnih akata;
• razvoj i isporuku preporuka uključuje uklanjanje postojećih problema, kao i poboljšanje postojećih pravnih lijekova i uvođenje novih trendova.

Metodologija i revizija alat

Sada nekoliko riječi o tome kako u polju i koje korake i znači da uključuje.

Informaciju sigurnost revizije sastoji se od nekoliko faza:

• pokretanje postupka verifikacije (jasnu definiciju prava i odgovornosti revizora, revizor provjerava pripremu plana i njegove koordinacije sa upravom, pitanje granice studije, nametanje na pripadnike posvećenost organizacije za brigu i pravovremeno pružanje relevantnih informacija);
• prikupljanje početnih podataka (sigurnost struktura, distribucija sigurnosne značajke, sigurnosne razine metoda performanse sistema analize za dobivanje i pružanje informacija, određivanje komunikacijskih kanala i IP interakciji sa drugim strukturama, hijerarhiju korisnika računalnih mreža, protokole odlučnost, itd);
• provesti sveobuhvatnu ili djelimično inspekcije;
• analiza podataka (analiza rizika bilo koje vrste i usklađenosti);
• izdavanje preporuke za rješavanje potencijalnih problema;
• izvještaj generacije.

Prva faza je najjednostavniji, jer je napravljen svoju odluku isključivo između društva za upravljanje i revizora. Granice analize može se smatrati na skupštini zaposlenih ili dioničara. Sve to i još mnogo toga u vezi sa pravnom polju.

Druga faza prikupljanja osnovnih podataka, bilo da je interna revizija informacijske sigurnosti ili vanjski nezavisni certifikaciju je najviše resursa-intenzivne. To je zbog činjenice da je u ovoj fazi potrebno je da ne samo pregledati tehničku dokumentaciju koja se odnosi na sve hardvera i softvera, ali i da se smanji-anketiranje zaposlenih u kompaniji, te u većini slučajeva čak i punjenje posebnih upitnika ili ankete.

Što se tiče tehničke dokumentacije, važno je dobiti podatke na IC strukture i razine prioritet prava pristupa svojim zaposlenima, identificirati sistem-širok i aplikativnog softvera (operativnog sistema za poslovne aplikacije, njihovo upravljanje i računovodstvo), kao i uspostavljena zaštita softvera i tip ne-program (antivirusni softver, firewall, itd.) Osim toga, to uključuje i punu verifikaciju mreža i pružatelja telekomunikacijskih usluga (mrežna organizacija, protokola koji se koriste za povezivanje, vrste komunikacijskih kanala, prijenos i metode prijem protok informacija, i više). Kao što je jasno, to je dosta vremena.

U narednoj fazi, metode sigurnosti informacija revizije. To su tri:

• analiza rizika (najteži tehniku, na osnovu određivanje revizora za prodor IP kršenje i njen integritet koristeći sve moguće metode i alati);
• procjena skladu sa standardima i zakonodavstvom (najjednostavniji i najpraktičniji način, na temelju uspoređivanja trenutnog stanja i zahtjevima međunarodnih standarda i domaćih dokumenata u oblasti sigurnosti informacija);
• kombinovani metod koji kombinira prva dva.

Nakon dobijanja rezultata provjere njihove analize. Sredstva za reviziju sigurnosti informacija, koje se koriste za analizu, može biti prilično različiti. To sve ovisi o specifičnosti poduhvata, vrstu informacija, softvera koji koristite, zaštitu i tako dalje. Međutim, kao što se može vidjeti na prvi metod, revizor uglavnom se osloniti na svoje vlastito iskustvo.

I to samo znači da mora biti potpuno kvalificirani u oblasti informacionih tehnologija i zaštite podataka. Na osnovu ove analize, revizor i izračunava moguće rizike.

Imajte na umu da to treba da se bave ne samo u operativnom sistemu ili programa koji se koristi, na primjer, za poslovne ili računovodstva, ali i da se jasno razumjeti kako napadač može prodrijeti u informacioni sistem u svrhu krađe, oštećenja i uništenja podataka, stvaranje pretpostavki za kršenje u kompjuterima, širenje virusa ili malware.

Evaluacija nalaza i preporuka za rješavanje problema revizije

Na osnovu analize stručnog zaključuje o statusu zaštite i daje preporuke za rješavanje postojećih ili potencijalnih problema, nadogradnje sigurnosti, itd Preporuke ne bi trebalo samo biti fer, ali i jasno povezano sa realnosti specifičnosti preduzeća. Drugim riječima, savjete o nadogradnji konfiguracije računala ili softvera se ne prihvataju. Ovo jednako važi i za savjet otpuštanje "nepouzdan" osoblje, instalirate nove sisteme za praćenje bez navođenja na svoje odredište, mjesto i prikladnost.

Na osnovu analize, po pravilu, postoji nekoliko rizične grupe. U ovom slučaju, da se sastavi zbirni izvještaj koristi dva ključna pokazatelja: (. Gubitak imovine, smanjenje ugleda, gubitak slike i tako dalje) je vjerojatnost napada i štete nastale društvu kao rezultat. Međutim, učinak grupe nisu iste. Na primjer, indikator niskog nivoa za verovatnoća napad je najbolja. Za štetu - naprotiv.

Tek tada sastavili izvještaj koji detaljno slikao sve faze, metode i sredstva za istraživanja. On se složio sa rukovodstvom i potpisan od strane dvije strane - kompanija i revizora. Ako je revizija unutrašnje, je izvještaj šefa odgovarajuće strukturne jedinice, nakon čega je, ponovo, potpisan od strane glave.

Informacije o sigurnosti revizije: Primjer

Na kraju, smatramo da je najjednostavniji primjer situacije koja je već dogodilo. Mnogi, usput, može izgledati vrlo poznato.

Na primjer, osoblje nabavke kompanije u SAD-u, koja je osnovana ICQ instant messenger kompjuter (ime zaposlenog i imena firme se ne zove iz razumljivih razloga). Pregovori su vođeni upravo putem ovog programa. Ali "ICQ" je prilično ranjiva u smislu sigurnosti. Self zaposlenih u registarski brojevi u to vrijeme, ili nije imao adresu e-pošte, ili jednostavno nije želio da ga. Umjesto toga, on je ukazao na nešto kao što su e-mail, pa čak i nepostojeća domena.

Šta bi napadač? Kao što je prikazano od strane revizije sigurnosti informacija, to će biti registrovana isti domenu i stvorili bi se u njemu, drugi registracija terminal, a zatim mogao poslati poruku Mirabilis kompanija koja posjeduje ICQ usluga, traži oporavak lozinke zbog gubitka (to će biti učinjeno ). Kao primalac mail servera nije bilo, bilo je uključeno preusmjeriti - preusmjeriti na postojeći uljeza pošte.

Kao rezultat toga, on dobiva pristup prepisku sa datim ICQ broj i obavještava dobavljača promijeniti adresu primaoca robe u određenoj zemlji. Tako je roba poslana u nepoznatom pravcu. I to je najviše bezopasan primjer. Dakle, nedolično ponašanje. A šta ozbiljnije hakeri koji su u stanju da još mnogo toga ...

zaključak

Ovdje je kratak i sve što se odnosi na IP sigurnost revizije. Naravno, to ne utiče na sve aspekte ga. Razlog je upravo to u formulaciji problema i metoda njegovog ponašanja utječe mnogo faktora, tako da je pristup u svakom slučaju je strogo pojedinca. Osim toga, metode i sredstva informacija sigurnosti revizije mogu biti različiti za različite IC. Međutim, mislim, općim načelima takvih testova za mnoge postaju vidljivi čak i na primarnom nivou.