Audit Keselamatan Maklumat: Objektif, kaedah dan alat, sebagai contoh. audit keselamatan maklumat bank

Hari ini, semua orang tahu frasa hampir suci yang memiliki maklumat, memiliki dunia. Itulah sebabnya dalam masa kita untuk mencuri maklumat sulit cuba untuk segala-galanya. Dalam hal ini, mengambil langkah-langkah belum pernah terjadi sebelumnya dan pelaksanaan cara-cara perlindungan terhadap kemungkinan serangan. Walau bagaimanapun, kadang-kadang anda mungkin perlu untuk menjalankan audit keselamatan maklumat perusahaan. Apa dan mengapa semua sekarang, dan cuba untuk memahami.

Apakah yang dimaksudkan dengan audit keselamatan maklumat dalam takrif umum?

Siapa yang tidak akan memberi kesan kepada istilah-istilah sains sukar difahami, dan cuba untuk menentukan sendiri konsep asas, menggambarkan mereka dalam bahasa yang paling mudah (orang-orang ia boleh dikatakan sebagai audit untuk "patung").

Nama acara kompleks bercakap untuk dirinya sendiri. audit keselamatan maklumat merupakan pengesahan atau bebas peer review untuk memastikan keselamatan sistem maklumat (IS) mana-mana syarikat, institusi atau organisasi berdasarkan kriteria yang dibangunkan khas dan petunjuk.

Dalam bahasa yang mudah, sebagai contoh, audit keselamatan maklumat bank disimpulkan di sini untuk menilai tahap perlindungan pangkalan data pelanggan yang dipegang oleh operasi perbankan, keselamatan wang elektronik, pemeliharaan kerahsiaan perbankan, dan sebagainya. D. Dalam kes gangguan dalam aktiviti-aktiviti institusi itu orang yang tidak dibenarkan dari luar, dengan menggunakan kemudahan elektronik dan komputer.

Sesungguhnya di antara pembaca terdapat sekurang-kurangnya seorang yang dipanggil rumah atau telefon bimbit dengan cadangan pemprosesan pinjaman atau deposit, bank dengan mana ia tidak ada kena mengena. Begitu juga dengan pembelian dan tawaran daripada beberapa kedai. Dari mana datang bilik anda?

Ia adalah mudah. Jika seseorang sebelum mengambil pinjaman atau dilaburkan dalam akaun deposit, sudah tentu, data yang disimpan di suatu asas pelanggan. Apabila anda memanggil dari bank lain atau kedai boleh hanya satu kesimpulan: maklumat tentang ia datang secara haram kepada pihak ketiga. Bagaimana? Secara umum, terdapat dua pilihan: sama ada ia telah dicuri, atau dipindahkan kepada pekerja bank kepada pihak ketiga sedar. Dalam usaha untuk perkara-perkara seumpama itu tidak berlaku, dan anda memerlukan masa untuk menjalankan audit keselamatan maklumat bank itu, dan ini terpakai bukan sahaja untuk komputer atau "besi" cara-cara perlindungan, tetapi seluruh kakitangan institusi.

Arahan utama audit keselamatan maklumat

Berkenaan dengan skop audit, sebagai peraturan, mereka beberapa:

• daftar penuh dengan objek yang terlibat dalam proses maklumat (sistem komputer automatik, bermakna komunikasi, penerimaan, penghantaran maklumat dan pemprosesan, kemudahan, premis untuk mesyuarat sulit, sistem pemantauan, dan lain-lain);
• memeriksa kebolehpercayaan perlindungan maklumat sulit dengan akses terhad (penentuan kebocoran mungkin dan lubang keselamatan yang berpotensi saluran yang membolehkan akses dari luar dengan menggunakan kaedah standard dan bukan standard);
• menyemak semua perkakasan dan tempatan sistem komputer elektronik bagi pendedahan kepada sinaran elektromagnet dan gangguan, yang membolehkan mereka untuk mematikan atau membawa ke rosak;
• projek bahagian, termasuk kerja-kerja pada penciptaan dan penggunaan konsep keselamatan dalam pelaksanaan praktikal (perlindungan sistem komputer, kemudahan, kemudahan komunikasi, dan sebagainya).

Apabila ia datang kepada audit?

Belum lagi keadaan kritikal di mana pertahanan itu sudah rosak, audit keselamatan maklumat dalam sesebuah organisasi boleh dilakukan, dan dalam beberapa kes-kes lain.

Biasanya, ini termasuk pengembangan syarikat, penggabungan, pemerolehan, pengambilalihan oleh syarikat-syarikat lain, mengubah perjalanan konsep perniagaan atau garis panduan, perubahan dalam undang-undang antarabangsa atau dalam undang-undang dalam sesebuah negara, perubahan yang agak serius dalam infrastruktur maklumat.

jenis audit

Hari ini, klasifikasi yang jenis ini audit, menurut ramai penganalisis dan pakar-pakar tidak ditubuhkan. Oleh itu, bahagian ini ke dalam kelas dalam beberapa kes boleh agak sewenang-wenangnya. Walau bagaimanapun, secara umum, audit keselamatan maklumat boleh dibahagikan kepada dalaman dan luaran.

Audit luar dijalankan oleh pakar-pakar bebas yang mempunyai hak untuk berbuat demikian, biasanya cek satu masa, yang boleh dimulakan oleh pihak pengurusan, pemegang saham, agensi-agensi penguatkuasaan undang-undang, dan lain-lain Adalah dipercayai bahawa audit luaran keselamatan maklumat adalah disyorkan (tetapi tidak diperlukan) untuk melaksanakan secara tetap untuk tempoh satu set masa. Tetapi bagi sesetengah organisasi dan perusahaan, mengikut undang-undang, ia adalah wajib (contohnya, institusi kewangan dan organisasi, syarikat saham bersama, dan lain-lain.).

Dalaman keselamatan maklumat audit adalah satu proses yang berterusan. Ia berdasarkan "Peraturan mengenai Audit Dalaman" khas. Apa yang ia? Sebenarnya, ini aktiviti pensijilan dijalankan dalam organisasi, dari segi yang diluluskan oleh pihak pengurusan. Audit keselamatan maklumat dengan pecah bahagian struktur khas perusahaan.

pengelasan alternatif audit

Selain bahagian di atas diterangkan ke dalam kelas dalam kes umum, kita boleh membezakan beberapa komponen dibuat dalam klasifikasi antarabangsa:

• Pakar memeriksa status keselamatan dan sistem maklumat maklumat berdasarkan pengalaman peribadi pakar, penjalanan tugasnya;
• sistem pensijilan dan langkah-langkah keselamatan bagi pematuhan dengan standard antarabangsa (ISO 17799) dan instrumen undang-undang negara yang mengawal selia bidang kegiatan;
• analisis keselamatan sistem maklumat dengan menggunakan cara-cara teknikal bertujuan untuk mengenal pasti kelemahan yang mungkin dalam perisian dan perkakasan yang kompleks.

Kadang-kadang ia boleh digunakan dan apa yang dipanggil audit yang komprehensif, yang merangkumi semua jenis di atas. Dengan cara ini, dia memberikan hasil yang paling objektif.

matlamat dan objektif dipentaskan

Apa-apa pengesahan, sama ada dalaman atau luaran, bermula dengan menetapkan matlamat dan objektif. Ringkasnya, anda perlu untuk menentukan mengapa, bagaimana dan apa yang akan diuji. Ini akan menentukan prosedur selanjutnya menjalankan keseluruhan proses.

Tugas, bergantung kepada struktur tertentu daripada syarikat, organisasi, institusi dan aktivitinya boleh agak banyak. Walau bagaimanapun, di tengah-tengah semua siaran ini, matlamat bersatu audit keselamatan maklumat:

• penilaian keadaan sistem keselamatan maklumat dan maklumat;
• analisis risiko yang mungkin dikaitkan dengan risiko penembusan ke IP luar dan mungkin kaedah gangguan itu;
• penyetempatan lubang dan jurang dalam sistem keselamatan;
• analisis tahap yang sesuai keselamatan sistem maklumat kepada piawaian semasa dan bertindak peraturan dan undang-undang;
• pembangunan dan penyampaian cadangan yang melibatkan penyingkiran masalah yang sedia ada, serta peningkatan remedi yang sedia ada dan pengenalan perkembangan baru.

Metodologi dan audit alat

Sekarang beberapa perkataan tentang bagaimana cek dan apa langkah-langkah dan bermakna ia melibatkan.

Audit keselamatan maklumat terdiri daripada beberapa peringkat:

• memulakan prosedur pengesahan (definisi yang jelas mengenai hak-hak dan tanggungjawab juruaudit, juruaudit memeriksa penyediaan pelan dan penyelarasan dengan pihak pengurusan, soal sempadan kajian itu, pengenaan ke atas ahli-ahli komitmen organisasi untuk menjaga dan peruntukan tepat pada masanya maklumat yang berkaitan);
• mengumpul data awal (struktur keselamatan, pengagihan ciri-ciri keselamatan, tahap keselamatan kaedah analisis prestasi sistem untuk mendapatkan dan memberikan maklumat, penentuan saluran komunikasi dan interaksi IP dengan struktur lain, hierarki pengguna rangkaian komputer, protokol keazaman, dan lain-lain);
• menjalankan pemeriksaan yang menyeluruh atau sebahagian;
• analisis data (analisis risiko apa-apa jenis dan pematuhan);
• mengeluarkan cadangan untuk menangani masalah yang mungkin berlaku;
• penjanaan laporan.

Peringkat pertama adalah yang paling mudah, kerana keputusannya dibuat semata-mata antara pengurusan syarikat dan juruaudit. Sempadan analisis boleh dipertimbangkan pada mesyuarat agung pekerja atau pemegang saham. Semua ini dan banyak lagi yang berkaitan dengan bidang undang-undang.

Peringkat kedua pengumpulan data asas, sama ada ia adalah satu audit dalaman keselamatan maklumat atau pensijilan bebas luar adalah yang paling intensif sumber. Ini adalah disebabkan oleh hakikat bahawa pada peringkat ini, anda perlu bukan sahaja memeriksa dokumentasi teknikal yang berkaitan dengan semua perkakasan dan perisian, tetapi juga untuk merapatkan-menemubual kakitangan syarikat, dan dalam kebanyakan kes walaupun dengan mengisi soal selidik khas atau kaji selidik.

Bagi dokumentasi teknikal, ia adalah penting untuk mendapatkan data mengenai struktur IC dan tahap keutamaan hak akses kepada pekerjanya, untuk mengenal pasti seluruh sistem dan perisian aplikasi (sistem operasi untuk aplikasi perniagaan, pengurusan dan perakaunan mereka), serta perlindungan yang ditubuhkan perisian dan jenis bukan program (perisian antivirus, firewall, dan lain-lain). Di samping itu, ini termasuk pengesahan penuh rangkaian dan pembekal perkhidmatan telekomunikasi (organisasi rangkaian, protokol yang digunakan untuk sambungan, jenis-jenis saluran komunikasi, penghantaran dan kaedah penerimaan aliran maklumat, dan banyak lagi). Seperti yang jelas, ia mengambil banyak masa.

Pada peringkat seterusnya, kaedah audit keselamatan maklumat. Mereka adalah tiga:

• analisis risiko (teknik yang paling sukar, berdasarkan penentuan juruaudit untuk penembusan pelanggaran IP dan kewibawaannya menggunakan semua kaedah yang mungkin dan alat-alat);
• penilaian pematuhan kepada piawaian dan undang-undang (kaedah yang paling mudah dan paling praktikal berdasarkan perbandingan antara keadaan semasa hal ehwal dan keperluan piawaian dan dokumen antarabangsa dalam negeri di bidang keselamatan maklumat);
• kaedah gabungan yang menggabungkan dua yang pertama.

Selepas menerima keputusan pengesahan analisis. Dana Audit keselamatan maklumat, yang digunakan untuk analisis, boleh agak berbeza-beza. Ia semua bergantung kepada khusus perusahaan, jenis maklumat, perisian yang anda gunakan, perlindungan dan sebagainya. Walau bagaimanapun, seperti yang dapat dilihat pada kaedah pertama, juruaudit terutamanya terpaksa bergantung kepada pengalaman mereka sendiri.

Dan yang hanya bermakna bahawa ia mesti memenuhi syarat dalam bidang teknologi maklumat dan perlindungan data. Berdasarkan analisis ini, juruaudit dan mengira risiko yang mungkin.

Ambil perhatian bahawa ia harus berurusan bukan sahaja dalam sistem operasi atau program yang digunakan, sebagai contoh, untuk perniagaan atau perakaunan, tetapi juga untuk memahami dengan jelas bagaimana penyerang boleh menembusi ke dalam sistem maklumat untuk tujuan kecurian, kerosakan dan kemusnahan data, penciptaan pra-syarat bagi pelanggaran dalam komputer, penyebaran virus atau malware.

Penilaian penemuan audit dan cadangan untuk menangani masalah

Berdasarkan analisis pakar menyimpulkan tentang status perlindungan dan memberi cadangan untuk menangani masalah yang sedia ada atau yang berpotensi, naik taraf keselamatan, dan lain-lain Cadangan bukan sahaja perlu adil, tetapi juga jelas terikat kepada realiti khusus perusahaan. Dalam erti kata lain, tips menaik taraf konfigurasi komputer atau perisian tidak diterima. Ini sama-sama boleh digunakan untuk nasihat pemecatan kakitangan "tidak boleh dipercayai", memasang sistem pengesanan baru tanpa menentukan destinasi mereka, lokasi dan kesesuaian.

Berdasarkan analisis, sebagai peraturan, terdapat beberapa kumpulan risiko. Dalam kes ini, untuk menyusun laporan ringkasan menggunakan dua penunjuk utama: (. Kehilangan aset, pengurangan reputasi, kehilangan imej dan sebagainya) kebarangkalian serangan dan kerosakan yang disebabkan kepada syarikat akibat. Walau bagaimanapun, prestasi kumpulan tidak sama. Sebagai contoh, penunjuk tahap rendah untuk kebarangkalian serangan adalah yang terbaik. Ganti rugi - sebaliknya.

Hanya kemudian menyusun laporan bahawa butiran dicat semua peringkat, kaedah dan cara kajian. Beliau bersetuju dengan kepimpinan dan ditandatangani oleh kedua-dua pihak - syarikat dan juruaudit. Jika audit dalaman, adalah laporan ketua unit struktur masing-masing, selepas itu dia, sekali lagi, yang ditandatangani oleh kepala.

audit keselamatan maklumat: Contoh

Akhirnya, kami mengambil kira contoh yang paling mudah daripada satu keadaan yang telah pun berlaku. Banyak, dengan cara itu, ia mungkin kelihatan sangat biasa.

Sebagai contoh, kakitangan perolehan syarikat di Amerika Syarikat, ditubuhkan pada ICQ segera komputer Rasul (nama pekerja dan nama syarikat yang tidak dinamakan atas sebab-sebab yang jelas). Rundingan telah dijalankan dengan tepat melalui program ini. Tetapi "ICQ" agak lemah dari segi keselamatan. pekerja sendiri di nombor pendaftaran pada masa atau tidak mempunyai alamat e-mel, atau hanya tidak mahu memberikannya. Sebaliknya, beliau menegaskan kepada sesuatu seperti e-mel, dan juga domain yang tidak wujud.

Apa yang akan penyerang? Seperti yang ditunjukkan oleh audit keselamatan maklumat, ia akan didaftarkan tepat domain yang sama dan dicipta akan berada di dalamnya, terminal pendaftaran lain, dan kemudian boleh menghantar mesej kepada syarikat Mirabilis yang memiliki perkhidmatan ICQ, meminta pemulihan kata laluan kerana kehilangannya (yang akan dilakukan ). Sebagai penerima pelayan mel yang tidak, ia telah dimasukkan mengarahkan - mengarahkan kepada mel penceroboh yang sedia ada.

Akibatnya, dia mendapat akses kepada surat-menyurat dengan nombor ICQ yang diberikan dan memaklumkan pembekal untuk menukar alamat penerima barang-barang dalam sebuah negara tertentu. Oleh itu, barang-barang dihantar ke destinasi yang tidak diketahui. Dan ia adalah contoh yang paling berbahaya. Jadi, kelakuan tidak senonoh. Dan bagaimana pula dengan penggodam yang lebih serius yang mampu banyak lagi ...

kesimpulan

Berikut adalah ringkas dan semua yang berkaitan dengan audit keselamatan IP. Sudah tentu, ia tidak terjejas oleh semua aspek itu. sebab hanya itu dalam perumusan masalah dan kaedah dari perbuatannya memberi kesan kepada banyak faktor, maka pendekatan dalam setiap kes adalah ketat individu. Di samping itu, kaedah dan cara audit keselamatan maklumat boleh berbeza untuk IC yang berbeza. Walau bagaimanapun, saya fikir, prinsip-prinsip umum ujian itu untuk banyak menjadi ketara walaupun pada peringkat sekolah rendah.