Infoturbe audit: eesmärkide, meetodite ja vahendite, näiteks. Infoturbe audit panga

Täna, igaüks teab peaaegu püha fraas, mis omab informatsiooni, mis omab maailma. See on põhjus, miks meie ajal varastada konfidentsiaalset teavet üritavad igaüht. Sellega seoses võetakse enneolematu sammu ja rakendamise abil kaitse võimalike rünnakute eest. Kuid mõnikord võib tekkida vajadus läbi auditi ettevõtte infoturbe. Mis see on ja miks see kõik nüüd ja proovida aru saada.

Mis on auditi infoturbe üldist määratlust?

Kes ei mõjuta segane teaduslikud terminid ja proovige ise otsustada põhimõisteid, kirjeldades neid kõige lihtsam keel (inimesed seda võiks nimetada auditi jaoks "mannekeenid").

Nimi keeruliste sündmuste räägib enda eest. Infoturbe audit on sõltumatu kontroll või eksperdihinnangu turvalisuse tagamiseks infosüsteemide (IS) mis tahes ettevõte, asutus või organisatsioon põhjal spetsiaalselt välja töötatud kriteeriumid ja näitajad.

Lihtsamalt öeldes, näiteks kontrollida panga infoturbe taandub, et hinnata kaitse kliendi hallatavaid andmebaase pangaoperatsioonide, ohutus elektroonilise raha, säilitamine pangasaladuse ja nii edasi. D. puhul sekkumist asutuse tegevuse kõrvaliste isikute poolt väljaspool, kasutades elektrooniliste ja arvutitehnika vahendite.

Kindlasti, lugejate seas on vähemalt üks inimene, kes kutsus kodus või mobiiltelefoni ettepaneku menetlemise laenu või hoiuse pank, kellega tal midagi teha. Sama kehtib ostude ja pakub mõned kauplused. Kust tulid oma tuba?

See on lihtne. Kui isik on varem võttis laenu või investeeritakse deposiitkontole, muidugi, selle andmed on salvestatud ühise kliendibaasi. Kui helistate teisest pangast või poest saab ainult ühe järelduse: informatsioon tuli ebaseaduslikult kolmandatele isikutele. Kuidas? Üldiselt on olemas kaks võimalust: kas see oli varastatud või üle töötajatele panga kolmandatele isikutele teadlikult. Et selliseid asju ei juhtu, ja selleks on vaja aega, et läbi auditi infoturbe panga ja see kehtib mitte ainult arvuti või "raud" kaitse vahendid, kuid kogu institutsiooni töötajate.

Põhisuunad infoturbe audit

Mis puudutab auditi ulatuse, reeglina on nad mitu:

• täielik kontroll objektide protsessidega seotud teabe (arvuti automatiseeritud süsteemi, sidevahendeid, vastuvõtt, teabe edastamine ja töötlemine, rajatised, ruumid konfidentsiaalne koosolekutel, järelevalvesüsteemide, jne);
• usaldusväärsuse kontrollimiseks kaitse konfidentsiaalset informatsiooni piiratud juurdepääsuga (määramiseks võimalikku leket ja võimalike turvaauke kanalid võimaldavad juurdepääsu seda väljastpoolt kasutamisega Standardi ja mittestandardsete meetodite);
• kontrollida kõigi elektroonilise riistvara ja kohalike arvutisüsteemide elektromagnetilise kiirguse ja häireid, mis võimaldab neil välja lülitada või tuua lagunev;
• Projekti osa, mis hõlmab töö loomine ja rakendamine turvalisuse mõiste selle rakendamisel (arvutisüsteemide kaitse, rajatised, sidevahendid jne).

Kui tegemist on audit?

Rääkimata kriitilistes olukordades, kus riigikaitse oli juba katki, auditi infoturbe organisatsioon saab läbi, ja kui mõnel teisel juhul.

Tavaliselt on selleks laienemine ettevõtte ühinemine, omandamine, ülevõtmise teiste ettevõtete poolt, muuta äritegevuse käigus mõistete või juhiste, muudatustest rahvusvahelistes seaduses või ühe riigi piires, vaid tõsine muutused informatsiooni infrastruktuuri.

tüüpi auditi

Täna, väga klassifitseerimise seda tüüpi auditi vastavalt paljud analüütikud ja eksperdid ei ole kehtestatud. Seetõttu jagamine klassidesse mõnel juhul võib olla üsna meelevaldne. Siiski üldiselt auditi infoturbe võib jagada välise ja sisemise.

Välisauditi läbi sõltumatud eksperdid, kellel on õigus teha, on tavaliselt ühekordne kontroll, mis võib algatada juhtimine, aktsionäride, õiguskaitseorganite, jne Arvatakse, et välise auditi infoturbe on soovitatav (kuid mitte kohustuslik), et teha regulaarselt kindla ajavahemiku jooksul. Aga mõned organisatsioonid ja ettevõtted, vastavalt seadusele, see on kohustuslik (näiteks finantsasutuste ja organisatsioonid, aktsiaseltsid, ja teised.).

Siseaudit infoturbe on pidev protsess. See põhineb spetsiaalse "määruste siseauditi". Mis see on? Tegelikult on see sertifitseerimine tegevuse korraldamisel, nii juhtkonna poolt heaks kiidetud. Infoturbe auditi erilist struktuuriüksuse ettevõte.

Alternatiivne liigitus audit

Lisaks eespool kirjeldatud jagunemine klasside üldise juhul saame eristada mitmeid komponente tehtud rahvusvahelise klassifikatsiooni:

• Expert kontrollimiseks Infoturbe ja infosüsteemide alusel isiklik kogemus eksperdid, oma läbiviimine;
• tunnistuste süsteemid ja turvameetmete vastavust rahvusvahelistele standarditele (ISO 17799) ja riiklike õigusaktidega, mis reguleerivad käesoleva tegevusalal;
• analüüsi infosüsteemide turvalisuse koos kasutada tehnilisi vahendeid, mille eesmärk on selgitada välja võimalikud nõrgad kohad tarkvara ja riistvara keeruline.

Mõnikord saab rakendada ja nn põhjaliku auditi, mis hõlmab kõiki eespool nimetatud liiki. Muide, ta annab kõige eesmärgi tulemusi.

Järkjärgulisi sihid ja eesmärgid

Kontrollimise, kas sisemised või välised, algab eesmärkide seadmine ja eesmärke. Lihtsamalt öeldes, peate välja selgitama, miks, kuidas ja mida testitakse. See määrab edasise protseduuri läbiviimiseks kogu protsessi.

Ülesanded, olenevalt konkreetsest ettevõtte struktuur, organisatsioon, asutus ja selle tegevus võib olla üsna palju. Kuid keset kõike seda vabastamist, ühtne eesmärk infoturbe audit:

• seisundi hindamise infoturbe ja infosüsteemide
• analüüs seotud võimalikke riske riski tungimise välise IP ja võimalike meetodite sellise sekkumise;
• lokaliseerimine avauste ja tühimike turvasüsteemis;
• analüüs vajalik turvalisuse tase infosüsteemide kehtivatele standarditele ning õigus- ja õigusaktid;
• arengut ning aitab kaasa soovitused hõlmavad eemaldamist olemasolevaid probleeme, samuti parandada juba olemasolevaid õiguskaitsevahendeid ja uute arengutega.

Metoodika ja auditi tööriistad

Nüüd paar sõna selle kohta, kuidas vaadata ja milliseid samme ja tähendab see hõlmab.

Infoturbe audit koosneb mitmest etapist:

• algatamise kontrollimise kord (selge määratlus õigused ja kohustused Audiitori kontrollib planeeringu koostamist ja selle kooskõlastamist juhtimise küsimus piiride uuringu liikmete kohustus organisatsiooni pühendumist hoolitseda ja õigeaegne esitamine asjakohane teave);
• algandmete kogumist (julgeoleku struktuuri jaotus turvaelemente, turvalisuse taseme süsteemi tulemuslikkuse analüüsi meetodid, kuidas saada ja anda teavet, määramine sidekanalite ja IP suhtlemist teiste struktuuride, hierarhia kasutajad arvutivõrgud, määramise protokollid jne);
• teostama põhjalikku või osalise kontrolli;
• andmed analüüsi (riskide mis tahes tüüpi ja vastavus);
• andes soovitusi võimalike probleemide lahendamiseks;
• genereerimise.

Esimene etapp on kõige lihtsam, sest tema otsus on tehtud üksnes vahel, mida ettevõtte juhtkond ja audiitor. Piire analüüsi võib pidada hetkel töötajate üldkoosolek või aktsionäridele. Kõik see ja palju muud, mis on seotud juriidilise valdkonnas.

Teine etapp kogumise lähteandmed, kas see on siseauditi infoturbe või välise sõltumatu sertifitseerimine on kõige ressursimahukas. See on tingitud asjaolust, et selles etapis pead mitte ainult kontrollima tehnilist dokumentatsiooni, mis on seotud kõik riistvara ja tarkvara, vaid ka kitsa intervjueerides ettevõtte töötajad, ning enamikul juhtudel isegi täites spetsiaalse küsimustiku või uuringud.

Nagu tehnilise dokumentatsiooni, on oluline, et saada andmeid IC struktuuri ja prioriteedi tasand juurdepääsuõiguste oma töötajatele, et kindlaks kogu ja rakendustarkvara (operatsioonisüsteemi äri rakendusi, nende haldamine ja raamatupidamine), samuti kehtestatud kaitse tarkvara ja mitte-programmi tüüp (viirusetõrje tarkvara, tulemüürid jne). Lisaks sisaldab see täielik kontroll võrkude ja telekommunikatsiooniteenuste osutajate (võrgu korraldamine, protokollid kasutatakse seoses liiki sidekanalite, edastamise ja vastuvõtmise meetodeid infovoogude ja rohkem). Nagu on selge, et see võtab palju aega.

Järgmises etapis, meetodid infoturbe audit. Nad on kolm:

• riskianalüüsi (kõige raskem tehnika, mis põhineb määramine audiitori tungimist IP rikkumise ja selle terviklikkust, kasutades kõiki võimalikke meetodeid ja vahendeid);
• vastavuse hindamist standardite ja õigusaktide (kõige lihtsam ja praktiline meetod põhineb võrdlusel praeguse olukorra ja rahvusvaheliste standardite nõuetele ja kodumaiste dokumente infoturbe valdkonnas);
• kombineeritud meetod, mis ühendab kaks esimest.

Pärast kontrollimist oma analüüsi tulemused. Fondide Audit infoturbe mida kasutatakse analüüsi, võib üsna erinev. See kõik sõltub spetsiifikat ettevõte, mis liiki teavet, tarkvara te kasutate, kaitse ja nii edasi. Kuid nagu võib näha esimest meetodit, audiitor peamiselt toetuma oma kogemusi.

Ja et ainult tähendab, et see peab olema täielikult kvalifitseeritud valdkonnas infotehnoloogia ja andmekaitse. Tuginedes sellele analüüsile audiitori ja arvutab võimalikud ohud.

Pange tähele, et see peaks tegelema mitte ainult operatsioonisüsteemi või programmi kasutada, näiteks äri või raamatupidamine, vaid ka mõista selgelt, kuidas ründaja võib tungida infosüsteemi eesmärgil varguse ja rikkumisega ja hävitamine, eelduste loomine rikkumisi arvutid, viiruste leviku või pahavara.

Hindamine Auditi tulemuste ja soovituste probleemide lahendamiseks

Analüüsi Ekspert järeldab umbes kaitse seisundi ja annab soovitused tegeleda olemasolevate või võimalike probleemide, turvalisuse tõstmine jms Soovitused ei peaks olema ainult õiglane, vaid ka selge seos tegelikkusega ettevõtte spetsiifikast. Teisisõnu, vihjeid ümberehitamise konfiguratsiooni arvutite või tarkvara ei ole lubatud. Sama kehtib ka nõu vallandamine "ebausaldusväärne" personali, paigaldada uus jälgimissüsteemid täpsustamata oma sihtkohta, asukoha ja sobivuse.

Analüüsi, reeglina on mitu riskirühmadele. Sel juhul koostada koondaruanne kasutab kahte peamist näitajat: tõenäosust rünnak ja tekitatud kahju ettevõtte tulemusena (kahjum varade vähendamine maine kaotus pilt ja nii edasi.). Kuid jõudlust rühmad ei ole sama. Näiteks madala näitaja tõenäosus rünnak on parim. Kahju hüvitamise nõue - vastupidi.

Ainult siis koostatud aruande, mis täpsustab maalitud kõik etapid, meetodid ja vahendid teadusuuringute. Ta nõustus juhtimisel ja allkirjastatud mõlema poole - ettevõtte ja audiitor. Kui auditi sisemine on aruande juht vastava struktuuriüksuse, mille järel ta jällegi juhi poolt allkirjastatud.

Infoturbe audit: Näide

Lõpuks oleme arvamusel, lihtsaim näide olukorrast, mis on juba juhtunud. Paljud, muide, see võib tunduda väga tuttav.

Näiteks ettevõtte hanke personali USA, asutatud ICQ sõnumside arvuti (nimi töötaja ja firma nimi ei ole nimetatud arusaadavatel põhjustel). Läbirääkimisi peeti täpselt abil selle programmi. Aga "ICQ" on üsna haavatavad turvalisuse mõttes. Self töötaja registreerimisnumbrid ajal või ei ole e-posti aadress, või lihtsalt ei taha anda seda. Selle asemel, ta osutas midagi e-posti ja isegi olematu domeeni.

Mis oleks ründaja? Nagu näitab auditi infoturbe, oleks registreeritud täpselt sama domeeni ja loodud oleks see teine registreerimise terminali ning võib saata sõnumi Mirabilis ettevõte, mis omab ICQ teenuse parooli taastamise taotluse tõttu kahju (mis oleks teinud ). Nagu saaja meiliserveri ei olnud, see oli lisatud suunata - suunata olemasoleva sissetungija mail.

Selle tulemusena saab ta juurdepääsu kirjavahetus antud ICQ number ja teavitab teenuse osutajat vahetada aadress kauba saaja teatud riigis. Seega kaup saadetakse teadmata sihtpunkti. Ja see on kõige kahjutu näiteks. Niisiis, korrarikkumises. Ja kuidas veel tõsised häkkerid, kes on võimelised palju muud ...

järeldus

Siin on lühike ja kõik, mis on seotud IP turbeaudit. Muidugi, see ei mõjuta kõiki aspekte. Põhjus on lihtsalt, et sõnastamisel probleeme ja meetodeid oma käitumist mõjutab palju tegureid, nii et lähenemine igal juhul on rangelt individuaalne. Lisaks meetodeid ja vahendeid infoturbe audit võib olla erinev erinevate integraallülitused. Kuid ma arvan, üldpõhimõtetest selliste katsete paljude ilmnevad isegi esmatasandil.