Auditimi i sigurisë së informacionit: Objektivat, metodat dhe mjetet, shembulli. Auditimi i sigurisë Informacion i bankës

Sot, të gjithë e dinë frazën pothuajse shenjtë që zotëron informacionin, zotëron botën. Kjo është arsyeja pse në kohën tonë për të vjedhur informacion konfidencial janë duke u përpjekur për të gjithë dhe i ndryshëm. Në këtë drejtim, ndërmarrë hapa të paparë dhe zbatimin e mjeteve të mbrojtjes kundër sulmeve të mundshme. Megjithatë, ndonjëherë ju mund të kenë nevojë për të kryer auditimin e sigurisë së informacionit ndërmarrje. Çfarë është ajo dhe pse është e gjitha tani, dhe të përpiqet për të kuptuar.

Çfarë është auditimi i sigurisë së informacionit në përkufizimin e përgjithshëm?

Kush nuk do të ndikojë kushtet abstruse shkencore, dhe të përpiqen për të përcaktuar për veten e tyre konceptet themelore, duke i përshkruar ato në gjuhën më të thjeshtë (njerëzit që mund të quhet auditimi për "Dummies").

Emri i ngjarjeve komplekse flet për veten. Auditimi i sigurisë Informacioni është një verifikimi ose të pavarur peer shqyrtim për të garantuar sigurinë e sistemeve të informacionit (IS) të ndonjë kompanie, institucioni apo organizate në bazë të kritereve dhe treguesve të zhvilluar posaçërisht.

Në terma të thjeshtë, për shembull, të auditojë sigurinë e informacionit të bankës boils poshtë për të, për të vlerësuar nivelin e mbrojtjes së bazave të të dhënave të konsumatorëve të mbajtura nga operacionet bankare, siguria e parasë elektronike, ruajtja e sekretit bankar, dhe kështu me radhë. D. Në rastin e ndërhyrjes në aktivitetet e personave institucioneve të paautorizuara nga jashtë, duke përdorur elektronike dhe kompjuterike objekteve.

Sigurisht, në mesin e lexuesve ka të paktën një person i cili quhet shtëpi apo telefon celular me një propozim të përpunimit të kredisë ose depozitë, banka me të cilën ajo ka të bëjë asgjë. E njëjta gjë vlen edhe për blerjet dhe ofron nga disa dyqane. Prej nga erdhi deri dhomën tuaj?

Është e thjeshtë. Nëse një person më parë mori kredi ose të investuar në një llogari depozitë, natyrisht, të dhënat e tij është ruajtur në një të përbashkët bazë të konsumatorëve. Kur ju telefononi nga një bankë tjetër ose dyqan mund të jetë vetëm një përfundim: informacioni në lidhje me të ardhur në mënyrë të paligjshme të palëve të treta. Si? Në përgjithësi, ka dy opsione: ose ajo ishte e vjedhur, ose transferohen punonjësve të bankës ndaj palëve të treta të ndërgjegjshme. Në mënyrë që gjëra të tilla nuk ndodhi, dhe ju duhet kohë për të kryer auditimin e sigurisë së informacionit të bankës, dhe kjo vlen jo vetëm për kompjuter ose "Iron" do të thotë të mbrojtjes, por i gjithë stafi i institucionit.

Drejtimet kryesore të auditimit të sigurisë së informacionit

Për sa i përket fushëveprimin e auditimit, si rregull, ata janë disa:

• kontroll të plotë të objekteve të përfshira në proceset e informacionit (kompjuter automatizuar sistemin, mjetet e komunikimit, pranimit, transmetimin e informacionit dhe përpunimin, objekteve, lokaleve për takime konfidenciale, sistemet e monitorimit, etj);
• kontrolluar besueshmërinë e mbrojtjen e informacionit konfidencial me akses të kufizuar (përcaktimi i rrjedhjeve të mundshme dhe të mundshme kanalet vrima të sigurisë duke lejuar qasje atë nga jashtë me përdorimin e metodave standarde dhe jo-standarde);
• shikoni të gjitha hardware dhe lokale sistemeve elektronike kompjuterike për ekspozimin ndaj rrezatimit elektromagnetik dhe ndërhyrje, duke i lejuar ata për të fikur ose të sjellë në gjendje e keqe;
• Projekti pjese, e cila përfshin punën për krijimin dhe zbatimin e konceptit të sigurisë në zbatimin e tij praktik (mbrojtja e sistemeve kompjuterike, objektet, pajisjet e komunikimit, etj).

Kur është fjala për auditimin?

Jo për të përmendur situatat kritike, ku mbrojtja ishte thyer tashmë, auditimi i sigurisë së informacionit në një organizatë mund të kryhet, dhe në disa raste të tjera.

Në mënyrë tipike, këto përfshijnë zgjerimin e kompanisë, bashkimit, përvetësimit, marrjen nga kompani të tjera, të ndryshuar kursin e koncepteve të biznesit ose udhëzimeve, ndryshimet në ligjin ndërkombëtar apo në legjislacion brenda një vendi, ndryshimet tepër të rënda në infrastrukturën e informacionit.

llojet e auditimit

Sot, klasifikimi shumë të këtij lloji të auditimit, sipas shumë analistëve dhe ekspertëve nuk është themeluar. Prandaj, ndarja në klasa në disa raste mund të jetë mjaft arbitrare. Megjithatë, në përgjithësi, auditimi i sigurisë së informacionit mund të ndahet në jashtëm dhe të brendshëm.

Një auditim i jashtëm i kryer nga ekspertë të pavarur të cilët kanë të drejtë të bëjë, është zakonisht një kontroll, një herë, të cilat mund të iniciohet nga menaxhmenti, aksionarët, agjencitë e zbatimit të ligjit, etj Besohet se auditimi i jashtëm i sigurisë së informacionit është i rekomanduar (por nuk kërkohet) të kryejë rregullisht për një periudhë të caktuar kohe. Por për disa organizatave dhe ndërmarrjeve, sipas ligjit, është e detyrueshme (për shembull, institucionet financiare dhe organizatave, shoqërive aksionare, dhe të tjerët.).

Brendshëm Sigurimit të Informacionit Auditimi është një proces i vazhdueshëm. Ajo është e bazuar në një të veçantë "Rregulloret mbi auditimin e brendshëm". Çfarë është ajo? Në fakt, ky aktivitetet e çertifikimit të kryera në organizatë, në terma të miratuara nga menaxhimi. Një auditim i sigurisë informacion nga nënndarje të veçantë strukturore të ndërmarrjes.

Klasifikimi alternative të auditimit

Përveç ndarjes përshkruar më sipër në klasa në rastin e përgjithshëm, mund të dallojmë disa komponentë të bëra në klasifikimin ndërkombëtar:

• Ekspert kontrolluar statusin e sigurisë dhe sistemet e informacionit Informacion mbi bazën e përvojës personale të ekspertëve, kryerjen e saj;
• sistemet e certifikimit dhe masat e sigurisë për përputhje me standardet ndërkombëtare (ISO 17799) dhe instrumentet ligjore kombëtare që rregullojnë këtë fushë të veprimtarisë;
• Analiza e sigurisë së sistemeve të informacionit me përdorimin e mjeteve teknike që kanë për qëllim identifikimin e dobësitë potenciale në software dhe hardware komplekse.

Ndonjëherë ajo mund të aplikohet dhe të ashtuquajturit auditim gjithëpërfshirës, i cili përfshin të gjitha llojet e mësipërme. Nga rruga, ai jep rezultatet më objektive.

qëllimet dhe objektivat organizuan

Çdo verifikimin, qoftë të brendshme apo të jashtme, fillon me vendosjen e qëllimeve dhe objektivave. Ta themi thjesht, ju keni nevojë për të përcaktuar se pse, si dhe çfarë do të testohen. Kjo do të përcaktojë procedurën e mëtejshëm të kryerjes të gjithë procesin.

Detyrat, në varësi të strukturës specifike të ndërmarrjes, organizatë, institucion dhe aktivitetet e saj mund të jetë mjaft shumë. Megjithatë, në mes të gjithë këtij njoftimi, qëllimi i unifikuar i auditimit të sigurisë së informacionit:

• Vlerësimi i gjendjes së sistemeve të sigurisë së informacionit dhe informacionit;
• Analiza e rreziqet e mundshme që lidhen me rrezikun e depërtimit në IP të jashtëm dhe modalitetet e mundshme të ndërhyrjes të tillë;
• lokalizimin e vrimave dhe boshllëqet në sistemin e sigurisë;
• Analiza e nivelit të duhur të sigurisë së sistemeve të informacionit të standardeve aktuale dhe akteve rregullatore dhe ligjore;
• zhvillimin dhe shpërndarjen e rekomandimeve që përfshijnë heqjen e problemeve ekzistuese, si dhe përmirësimin e mjeteve juridike ekzistuese dhe futjen e zhvillimeve të reja.

Metodologjia dhe auditimit mjete

Tani disa fjalë për mënyrën se si kontrolloni dhe çfarë hapash dhe do të thotë ajo përfshin.

Auditimi Sigurimit të Informacionit përbëhet nga disa faza:

• fillimin e procedurave të verifikimit (përkufizim të qartë të drejtat dhe përgjegjësitë e auditorit, audituesi kontrollon përgatitjen e planit dhe koordinimin e tij me menaxhimin, çështja e kufijve të studimit, imponimi mbi anëtarët e angazhimit të organizatës për t'u kujdesur dhe sigurimi në kohë i informatave relevante);
• Mbledhja e të dhënave fillestare (strukturë e sigurisë, shpërndarjen e karakteristika të sigurisë, nivelet e sigurisë të metodave të analizave të performancës të sistemit për marrjen dhe dhënien e informacionit, përcaktimin e kanaleve të komunikimit dhe ndërveprimit IP me strukturat e tjera, një hierarki e përdoruesve të rrjeteve kompjuterike, protokollet vendosmëri, etj);
• të kryejë një inspektim të plotë ose të pjesshëm;
• Analiza e të dhënave (analiza e rreziqeve të çdo lloji dhe të pajtueshmërisë);
• dhënien e rekomandimeve për të adresuar problemet e mundshme;
• brez raport.

Faza e parë është më e thjeshtë, për shkak se vendimi i saj është bërë vetëm në mes të menaxhimit të kompanisë dhe auditorit. Kufijtë e analizës mund të shqyrtohen në mbledhjen e përgjithshme të punonjësve ose të aksionarëve. E gjithë kjo dhe më shumë në lidhje me fushën ligjore.

Faza e dytë e mbledhjes së të dhënave bazë, nëse ajo është një auditim i brendshëm i sigurisë së informacionit apo certifikimit të pavarur të jashtëm është më burim-intensiv. Kjo është për shkak të faktit se në këtë fazë ju duhet të shqyrtojë jo vetëm dokumentacionin teknik në lidhje me të gjithë hardware dhe software, por edhe për të ngushtë-intervistuar punonjësit e kompanisë, dhe në shumicën e rasteve edhe me plotësimin e pyetësorëve ose anketime të veçanta.

Sa për dokumentacionin teknik, është e rëndësishme për të marrë të dhëna mbi strukturën IC dhe nivelet prioritare të drejtave të aksesit të punonjësve të saj, për të identifikuar të sistemit të gjerë dhe software aplikimit (sistemi operativ për aplikacionet e biznesit, menaxhimin dhe kontabilitetin e tyre), si dhe mbrojtjen e vendosur të softuerit dhe lloji jo-program (software antivirus, firewalls, etj). Përveç kësaj, kjo përfshin verifikimin e plotë të rrjeteve dhe ofruesit e shërbimeve të telekomunikacionit (organizimin e rrjetit, protokollet e përdorura për lidhje, llojet e kanaleve të komunikimit, transmetimin dhe metodat marrjen e informacionit rrjedh, dhe më shumë). Siç është e qartë, ajo merr shumë kohë.

Në fazën e ardhshme, metodat e auditimit të sigurisë së informacionit. Ato janë tre:

• Analiza e rrezikut (teknika më e vështirë, bazuar në përcaktimin e auditorit për depërtimin e IP shkeljes dhe integritetin e saj duke përdorur të gjitha metodat e mundshme dhe mjete);
• vlerësimin e pajtueshmërisë me standardet dhe legjislacionin (metoda më e thjeshtë dhe më praktike të bazuar në krahasimin e gjendjes së tanishme të punëve dhe kërkesat e standardeve ndërkombëtare dhe dokumente të brendshme në fushën e sigurisë së informacionit);
• metoda e kombinuar që kombinon dy të parat.

Pas marrjes rezultatet verifikimit të analizave të tyre. Fondet Auditimi i sigurisë së informacionit, të cilat janë përdorur për analizën, mund të jetë e ndryshme mjaft. E gjitha varet nga specifikat e ndërmarrjes, llojin e informacionit, software ju përdorni, mbrojtjen dhe kështu me radhë. Megjithatë, siç mund të shihet në metodën e parë, auditori kryesisht duhet të mbështetet në përvojën e tyre.

Dhe kjo vetëm do të thotë se ajo duhet të jetë plotësisht i kualifikuar në fushën e teknologjisë së informacionit dhe mbrojtjen e të dhënave. Në bazë të kësaj analize, auditori dhe llogarit rreziqet e mundshme.

Vini re se ajo duhet të merren jo vetëm në sistemin operativ apo program përdoret, për shembull, për biznes apo të kontabilitetit, por edhe për të kuptuar qartë se si një sulmues mund të depërtojnë në sistemin informativ me qëllim të vjedhjes, dëmtimit dhe shkatërrimit të të dhënave, krijimin e parakushteve për shkelje në kompjuterë, përhapja e viruseve ose malware.

Vlerësimi i gjetjeve dhe rekomandimeve për të adresuar problemet e auditimit

Bazuar në analizën eksperti konstaton në lidhje me statusin e mbrojtjes dhe jep rekomandime për adresimin e problemeve ekzistuese ose potenciale, përmirësimet e sigurisë, etj Rekomandimet jo vetëm që duhet të jetë e drejtë, por edhe i lidhur në mënyrë të qartë me realitetet e specifikave të ndërmarrjeve. Me fjalë të tjera, këshilla për përmirësimin e konfigurimin e kompjuterëve ose software nuk janë pranuar. Kjo vlen në mënyrë të barabartë me këshillën e shkarkimit të personelit "jo të besueshme", instalimin e sistemeve të reja ndjekja e pa specifikuar destinacionin e tyre, vendndodhjen dhe përshtatshmërinë.

Në bazë të analizës, si rregull, ka disa grupe të rrezikut. Në këtë rast, për të hartuar një raport përmbledhës përdor dy tregues kryesore: (. Humbjen e aktiveve, reduktimi i reputacionit, humbja e imazhit dhe kështu me radhë) mundësinë e një sulmi dhe dëmin e shkaktuar për të kompanisë si rezultat. Megjithatë, performanca e grupeve nuk janë të njëjta. Për shembull, nivelit të ulët tregues për mundësinë e sulmit është e mirë. Për dëmet - në të kundërtën.

Vetëm atëherë përpiluar një raport që detajet pikturuar të gjitha fazat, metodat dhe mjetet e hulumtimit të. Ai u pajtua me udhëheqjen dhe nënshkruhet nga të dy palët - të kompanisë dhe auditorin. Nëse auditimi i brendshëm, është një raport kreu i njësisë përkatëse strukturore, pas të cilës ai, përsëri, të nënshkruar nga kryetari.

Auditimi siguria e informacionit: Shembulli

Së fundi, ne e konsiderojmë shembullin më të thjeshtë e një situatë që ka ndodhur tashmë. Shumë, nga rruga, mund të duket shumë e njohur.

Për shembull, personeli i prokurimit një kompanie në Shtetet e Bashkuara, e themeluar në ICQ kompjuter të dërguarin e çastit (emri i të punësuarit dhe emrin e kompanisë nuk është emëruar për arsye të dukshme). Negociatat u zhvilluan pikërisht me anë të këtij programi. Por "ICQ" është mjaft i prekshëm në aspektin e sigurisë. Vetë punonjës në numrat e regjistrimit në atë kohë, ose nuk kanë një adresë email, ose thjesht nuk duan të japin atë. Në vend të kësaj, ai vuri në dukje diçka si e-mail, dhe madje domain jo-ekzistente.

Çfarë do sulmuesi? Siç tregohet nga një auditim i sigurisë së informacionit, ajo do të regjistrohen saktësisht të njëjtën domain dhe krijuar do të jetë në të, një tjetër terminal regjistrimi, dhe pastaj mund të dërgojë një mesazh për kompaninë mirabilis që zotëron shërbim ICQ, duke kërkuar shërim fjalëkalimin për shkak të humbjes së saj (që do të bëhet ). Si marrësi i mail server nuk ishte, ajo u përfshi përcjellëse - përcjellim një postë ekzistues njeri i bezdisshëm.

Si rezultat, ai merr qasje në korrespondencën me numrin e dhënë ICQ dhe informon furnizuesit për të ndryshuar adresën e marrësit të mallrave në një vend të caktuar. Kështu, mallrat dërgohen në një destinacion të panjohur. Dhe kjo është shembulli më i parrezikshëm. Pra, sjellje të çrregullt. Dhe çfarë lidhje me hakerat më të rënda të cilët janë në gjendje për të shumë më tepër ...

përfundim

Këtu është një e shkurtër dhe gjithçka që lidhet me auditimin e sigurisë IP. Sigurisht, kjo nuk është prekur nga të gjitha aspektet e saj. Arsyeja është vetëm se në formulimin e problemeve dhe metodat e sjelljes së saj ndikon shumë faktorë, në mënyrë që qasja në çdo rast është rreptësisht individuale. Përveç kësaj, metodat dhe mjetet e kontrollit të sigurisë së informacionit mund të jenë të ndryshme për ICS ndryshme. Megjithatë, unë mendoj se, parimet e përgjithshme të testeve të tilla për shumë bëhen të dukshme edhe në nivelin fillor.