Одит на информационната сигурност: Цели, методи и инструменти, например. Одит на информационната безопасност на банката

Днес всеки знае почти свещено фразата, която е собственик на информацията, е собственик на света. Ето защо в наше време да крадат конфиденциална информация се опитваме да всички и разни. В тази връзка, взети безпрецедентни мерки и изпълнение на средство за защита срещу евентуални атаки. Въпреки това, понякога може да се наложи да се извърши одит на предприятието информационна сигурност. Какво е това и защо всичко това е, сега, и да се опитаме да разберем.

Какво е одит на информационната сигурност в общото определение?

Кой няма да се отрази на неясни научни термини, и се опитват да определят за себе си основните понятия, описвайки ги в най-прост език (хората го могат да бъдат наречени одита за "манекени").

Името на комплекса събитията говори за себе си. Одит на информационната безопасност е независима проверка или партньорски проверки , за да се гарантира сигурността на информационните системи (IS) на всяка фирма, институция или организация, въз основа на специално разработените критерии и показатели.

По-просто казано, например, Одит на информационната безопасност на банката се свежда до, за да се оцени нивото на защита на клиентски бази данни, съхранявани от банкови операции, безопасността на електронните пари, опазването на банковата тайна, и така нататък. Г. В случай на смущения в дейността на институцията на неупълномощени лица извън, като се използва електронни и компютърни съоръжения.

Разбира се, сред читателите има поне един човек, който нарича дом или мобилен телефон с предложение за преработка на кредита или депозита, банката, с която няма нищо общо. Същото важи и за покупки и оферти от някои магазини. Откъде дойде стаята си?

Толкова е просто. Ако човек преди това взеха заеми или инвестира в депозитна сметка, разбира се, му данни се съхраняват в обща клиентска база. Когато се обадите от друга банка или магазин може да бъде само един извод: информацията за него дойде незаконно на трети лица. Как? Като цяло, има два варианта: или да се откраднат или прехвърлен на работниците и служителите на банката на трети лица съзнателно. За такива неща не се случват, и имате нужда от време, за да извърши одит на сигурността на информацията на банката, и това се отнася не само за компютър или "железни" средства за защита, но целият персонал на институцията.

Основните направления на одит на информационната сигурност

По отношение на обхвата на одита, като правило, те са няколко:

• пълна проверка на обектите, участващи в процесите на информация (компютър автоматизирана система, средствата за комуникация, рецепция, предаване и обработка, съоръжения, помещения за конфиденциални срещи, системи за мониторинг и т.н.);
• проверка на надеждността на защитата на поверителна информация с ограничен достъп (определяне на евентуални течове и потенциални дупки в сигурността канали, позволяващи достъп го отвън с използването на стандартни и нестандартни методи);
• Проверка на всички електронни хардуерни и локални компютърни системи за експозицията на електромагнитни лъчения и смущения, което им позволява да изключите или въвеждат в лошо състояние;
• проект част, която включва работа по създаването и прилагането на концепцията за сигурност в нейната практическа реализация (защита на компютърни системи, съоръжения, средства за комуникация и т.н.).

Когато става въпрос за одита?

Да не говорим на критичните ситуации, в които защитата е вече разбити, одит на сигурността на информацията в една организация може да се извърши, както и в някои други случаи.

Обикновено те включват разширяването на компанията, сливане, придобиване преврат от други фирми, промени хода на бизнес концепции или насоки, промени в международното право или в законодателството на територията на страната, по-скоро сериозни промени в информационната инфраструктура.

видове одит

Днес, много Класификацията на този вид одит, според много анализатори и експерти не е установен. Следователно, разделянето на класове в някои случаи може да бъде доста произволно. Въпреки това, като цяло, одита на сигурността на информацията могат да бъдат разделени на външни и вътрешни.

Външен одит, проведено от независими експерти, които имат право да правят, обикновено е проверка на едно време, което може да бъде инициирана от ръководството, акционери, правоприлагащите органи и т.н. Смята се, че се препоръчва за външен одит на информационната сигурност (но не задължително) да изпълнява редовно за определен период от време. Но за някои организации и предприятия, в съответствие със закона, е задължително (например, финансови институции и организации, акционерни дружества и др.).

сигурност Вътрешен одит информация е постоянен процес. Тя се основава на специален "Правилник за вътрешния одит". Какво е това? В действителност, това сертифициране дейности, осъществявани в организацията, в условия, одобрени от ръководството. одит на информационната сигурност чрез специална структурна подразделение на предприятието.

Алтернативен класификация на одит

Освен описаните по-горе разделение на класове в най-общия случай, можем да разграничим няколко компонента, направени в международната класификация:

• Експертна проверка на състоянието на системите за сигурност на информацията и информационните въз основа на личен опит на експертите, провеждането му;
• системи за сертифициране и мерки за сигурност за съответствие с международните стандарти (ISO 17799) и националните правни актове, регламентиращи тази област на дейност;
• анализ на сигурността на информационните системи с използването на технически средства, насочени към идентифициране на потенциални уязвимости в софтуера и хардуера комплекс.

Понякога това може да се прилага и т.нар цялостен одит, който включва всички по-горе видове. Между другото, той дава най-обективните резултати.

Поетапно цели и задачи

Всяка проверка, дали е външна или вътрешна започва с определяне на цели и задачи. Казано по-просто, трябва да се определи защо, как и какво ще бъде тествана. Това ще определи по-нататъшната процедура за провеждане на целия процес.

Задачи, в зависимост от конкретната структура на предприятието, организацията, институцията и нейните дейности могат да бъдат доста. Въпреки това, сред всичко това освобождаване, единна цел за извършване на одит на информационната сигурност:

• оценка на състоянието на системите за информационна сигурност и информация;
• анализ на възможни рискове, свързани с риска от проникване на външен IP и възможните условията на такова смущение;
• локализиране на дупки и пропуски в системата за сигурност;
• анализ на съответното ниво на сигурност на информационните системи към съществуващи стандарти и регулаторни и правни актове;
• разработване и доставка на препоръки, свързани с отстраняване на съществуващите проблеми, както и подобряването на съществуващите средства за защита и въвеждането на нови разработки.

Методология и инструменти за одит

Сега няколко думи за това как проверката и какви стъпки и означава той предполага.

одит на информационната сигурност се състои от няколко етапа:

• започване на процедури за проверка (ясно дефиниране на правата и отговорностите на одитора, одиторът проверява подготовката на плана и координацията му с ръководството, въпросът за границите на проучването, задължение на членовете на ангажимента на организацията да се грижи и своевременно предоставяне на съответната информация);
• събиране на първоначални данни (структура за сигурност, разпределението на функции за сигурност, нивата на сигурност на методи за ефективността на системата за анализ за получаване и предоставяне на информация, определяне на комуникационни канали и IP взаимодействие с други структури, йерархия на потребителите на компютърни мрежи, протоколите за определяне и т.н.);
• провеждане на цялостна или частична проверка;
• анализ на данни (анализ на рисковете от всякакъв тип и спазване);
• даването на препоръки за справяне с потенциални проблеми;
• генериране на отчети.

Първият етап е най-простите, защото решението е направено единствено между ръководството на дружеството и одитора. Границите на анализа могат да бъдат разглеждани в общото събрание на работниците и служителите или акционери. Всичко това и още, свързани с областта на правото.

Вторият етап на събиране на основни данни, независимо дали това е вътрешен одит на сигурността на информацията или външна независима сертификация е най-ресурс интензивни. Това се дължи на факта, че на този етап ще трябва не само да се провери техническата документация, отнасяща се до всички хардуер и софтуер, но също така и с тясна интервюира служителите на компанията, както и в повечето случаи дори и с попълване на специални въпросници или проучвания.

Що се отнася до техническата документация, че е важно да се получат данни за структурата на IC и нивата на приоритет на правата за достъп до своите служители, за да видите какви цялата система и приложен софтуер (операционна система за бизнес приложения, тяхното управление и счетоводство), както и установената защита на софтуера и тип не-програма (антивирусен софтуер, защитни стени и т.н.). В допълнение, това включва пълната проверка на мрежи и доставчици на телекомуникационни услуги (мрежова организация, протоколите, използвани за връзка, видовете комуникационни канали, предаването и методи за приемане на информационните потоци, и повече). Както е видно, че отнема много време.

В следващия етап, методите за одит на информационната сигурност. Те са три:

• анализ на риска (най-трудно техниката, въз основа на определяне на одитора да проникването на IP нарушение и целостта използват всички възможни методи и средства);
• оценка на спазването на стандартите и законодателството (най-простият и най-практичен метод се основава на сравнение на текущото състояние на нещата и на изискванията на международните стандарти и вътрешни документи в областта на информационната сигурност);
• Комбинираната метод, който комбинира първите две.

След получаване на резултатите от проверката за техния анализ. Фондове Одит на информационната сигурност, които се използват за анализ, може да бъде доста разнообразна. Всичко зависи от спецификата на предприятието, вида на информацията, софтуерът, който използвате, защитата и така нататък. Въпреки това, както може да се види на първия метод, одиторът трябва да разчитат предимно на собствения си опит.

И това само означава, че тя трябва да бъде напълно квалифициран в областта на информационните технологии и защита на данните. Въз основа на този анализ, одиторът и изчислява възможните рискове.

Имайте предвид, че тя трябва да се справи не само в операционната система или програмата се използва, например, за бизнес или за счетоводството, но също така ясно да се разбере как един хакер може да проникне в информационната система за целите на кражба, повреда и унищожаване на данни, създаване на предпоставки за нарушения в компютри, разпространението на вируси или зловреден софтуер.

Оценка на констатации и препоръки за справяне с проблемите на одита

Въз основа на анализа на експерта заключава за състоянието на защита и дава препоръки за преодоляване на съществуващи или потенциални проблеми, надстройки за сигурност и т.н. Препоръките не трябва да бъде само справедливи, но също така ясно обвързани с реалностите на спецификата на предприятието. С други думи, съвети за подобряване на конфигурацията на компютъра или софтуера не се приемат. Това се отнася и до съветите на уволнението на "ненадеждни" персонал, инсталиране на нови системи за проследяване, без да уточнява тяхното предназначение, местоположението и целесъобразност.

Въз основа на анализа, като правило, има няколко рискови групи. В този случай, за съставяне на обобщен доклад използва два основни показатели: (. Загуба на активи, намаляване на репутация, загуба на имидж и т.н.) вероятността от атака и вредите, причинени на дружеството като резултат. Въпреки това, резултатите от работата на групите не са едни и същи. Например, индикатор на ниско ниво, за вероятността от атака е най-добрият. За вреди - напротив.

Само тогава съставен доклад, че данните за боядисани всички етапи, методи и средства за изследването. Той се съгласи с ръководството и се подписва от двете страни - дружеството и одитора. Ако одитът вътрешна, е доклад на ръководителя на съответното структурно звено, след което той отново подписан от ръководителя.

Одит на информационната безопасност: Пример

И накрая, ние считаме, най-простият пример за ситуация, която вече се е случило. Много от тях, между другото, това може да изглежда много познато.

Така например, служителите на компанията поръчки в САЩ, създадена през ICQ месинджър компютър (името на служителя и името на фирмата не е кръстен по обясними причини). Преговорите бяха проведени именно с помощта на тази програма. Но "ICQ" е доста уязвими от гледна точка на сигурността. Самостоятелно служител в регистрационни номера в момента или не са имали един имейл адрес, или просто не искат да го дам. Вместо това, той посочи към нещо като електронна поща и дори несъществуваща домейн.

Какво би нападателя? Както се вижда от одит на сигурността на информацията, че ще бъде регистриран точно същия домейн и би била в това, че друга регистрация терминал, а след това може да изпратите съобщение на Mirabilis компания, която е собственик на ICQ услуга, с искане за възстановяване на паролата, поради загубата му (това ще бъде направено ). Като получател на пощенски сървър не е, тя е включена пренасочи - пренасочване към съществуващ нарушител поща.

В резултат на това той получава достъп до кореспонденцията с даден номер на ICQ и информира доставчика за промяна на адреса на получателя на стоката в дадена страна. По този начин, на стоките, изпратени в неизвестна посока. И това е най-безвреден пример. Така че, безредно поведение. А какво да кажем по-сериозни хакери, които са в състояние да още много други ...

заключение

Ето кратко и всичко, което се отнася до одит IP сигурност. Разбира се, че не се влияе от всички аспекти на това. Причината за това е само, че при формулирането на проблемите и начините за неговото поведение се отразява много фактори, така че подходът във всеки случай е строго индивидуален. В допълнение, методите и средствата за одит на информационната сигурност могат да бъдат различни за различните ИС. Въпреки това, аз мисля, общите принципи на такива тестове за мнозина стават очевидни дори на първо ниво.