İnformasiya Təhlükəsizliyi Audit: Məqsədlər, metodları və alətləri, məsələn. Bankın İnformasiya təhlükəsizliyi audit

Bu gün hər kəs dünya sahibi informasiya sahibi olan demək olar ki, müqəddəs söz bilir. oğurlamaq üçün vaxt Odur ki məxfi məlumat bütün və çeşitli üçün çalışırıq. Bu baxımdan, görünməmiş addımlar və mümkün hücumlara qarşı müdafiə vasitələrinin tətbiqinə aparıldı. Lakin, bəzən müəssisə informasiya təhlükəsizliyi auditini aparmaq üçün lazım ola bilər. Nə və nə indi bütün və anlamaq üçün cəhd edin.

general müəyyən informasiya təhlükəsizliyi audit nədir?

Kim abstruse elmi baxımından təsir və ( "butaforiya" üçün audit adlandırmaq olar insanları) ən sadə dil onları izah özləri üçün əsas anlayışlar müəyyən etmək üçün cəhd deyil.

kompleks tədbirlər adı özü üçün danışır. İnformasiya təhlükəsizliyi audit müstəqil yoxlama və ya peer review xüsusi hazırlanmış meyarlar və göstəricilər əsasında hər hansı bir şirkət, təşkilat və ya təşkilatın informasiya sistemlərinin (IS) təhlükəsizliyini təmin etmək.

Sadə baxımından, məsələn, xaricdən təşkilat icazəsiz şəxslərin fəaliyyətində müdaxilə halda elektron pul təhlükəsizlik, bank sirri qorunması və s. D. istifadə bank əməliyyatları keçirilən müştəri verilənlər bazası qorunması səviyyəsini qiymətləndirmək, aşağı sonunda bankın informasiya təhlükəsizliyinin auditinin elektron və kompüter qurğuları.

Əlbəttə ki, oxucular arasında kredit və ya əmanət, bu heç bir əlaqəsi yoxdur olan bank emal təklifi ilə ev və ya mobil telefon deyilən ən azı bir şəxs var. eyni alış aiddir və bəzi mağazalar təklif edir. Haradan otaq gəldi?

Bu sadə. Bir şəxs əvvəllər kredit aldı və ya bir əmanət hesabına investisiya varsa, əlbəttə, onun data ortaq saxlanılır müştəri bazası. Başqa bir bank və ya mağaza zəng zaman yalnız bir nəticə ola bilər: bu barədə məlumat üçüncü şəxslərə qanunsuz gəldi. Necə? Ümumiyyətlə, iki variant var: ya bu oğurlanmış və ya şüurlu üçüncü tərəflərə bankın əməkdaşlarına təhvil verildi. üçün belə şeylər baş vermədi, və bankın informasiya təhlükəsizliyi auditini aparmaq üçün vaxt lazımdır, və bu yalnız kompüter və ya qorunması "dəmir" vasitəsi, lakin təşkilat bütün heyətinə aiddir üçün.

informasiya təhlükəsizliyi auditin əsas istiqamətləri

Auditin əhatə dairəsi gəldikdə, bir qayda olaraq, onlar bir neçə var:

• informasiya proseslərində iştirak obyektlərin tam çek (kompüter avtomatlaşdırılmış sistemi, rabitə, qəbul, informasiya ötürülməsi və emalı, obyektlərin, gizli görüşlər binalar, monitorinq sistemlərinin və s deməkdir);
• məhdud çıxışı ilə məxfi məlumatların qorunması etibarlılığını yoxlanılması (mümkün sızma və standart və qeyri-standart metodlardan istifadə ilə xaricdən gedə imkan potensial təhlükəsizlik deşik kanallarının müəyyən edilməsi);
• onlara söndürmək və ya yararsız hala gətirmək imkan verir, elektromaqnit şüalanma və müdaxilə məruz qalma bütün elektron hardware və yerli kompüter sistemlərinin yoxlamaq;
• praktiki həyata keçirilməsi yaradılması və təhlükəsizlik konsepsiyasının tətbiqi üzrə işlər daxildir layihə hissəsi (kompüter sistemləri, qurğuların, rabitə obyektlərinin, və s. qorunması).

Bu audit gəldikdə?

müdafiə artıq bir təşkilat informasiya təhlükəsizliyi audit həyata keçirilə bilər sınıq və bəzi digər hallarda edildi kritik hallar qeyd etmək deyil.

Tipik olaraq, bu digər şirkətlər tərəfindən şirkətin genişləndirilməsi, birləşməsi, alınması, ələ daxildir, biznes anlayışlar və ya qaydalar, bir ölkə daxilində beynəlxalq hüquq və ya qanunvericilikdə dəyişikliklər, informasiya infrastrukturu olduqca ciddi dəyişikliklər kurs dəyişir.

auditin növləri

Bu gün bir çox analitiklər və ekspertlər görə auditin bu cür çox təsnifatı, müəyyən deyil. Buna görə də, bəzi hallarda siniflərə bölünməsi olduqca ixtiyari ola bilər. Buna baxmayaraq, ümumiyyətlə, informasiya təhlükəsizliyi audit xarici və daxili bölmək olar.

Bunu etmək hüququ var müstəqil ekspertlər tərəfindən aparılan xarici audit, adətən idarə, səhmdarlar, hüquq-mühafizə orqanları və s təşəbbüsü ilə edilə bilər bir dəfə çek edir Bu informasiya təhlükəsizliyi xarici audit tövsiyə (lakin tələb olunmur) zaman müəyyən dövr üçün müntəzəm yerinə yetirmək üçün ki, güman edilir. Lakin bəzi təşkilat və müəssisələrin, qanuna görə, məcburi (məsələn, maliyyə institutları və təşkilatları, səhmdar və başqaları üçün.).

Daxili audit informasiya təhlükəsizliyi daimi prosesdir. Bu xüsusi "Daxili audit haqqında Əsasnamə" əsaslanır. Bu nədir? Əslində, bu sertifikatlaşdırma fəaliyyəti rəhbərliyi tərəfindən təsdiq edilmiş baxımından, təşkilat həyata keçirilir. Müəssisənin xüsusi struktur bölməsi tərəfindən informasiya təhlükəsizliyi audit.

auditin Alternative təsnifatı

ümumi halda siniflərə yuxarıda təsvir bölgüsü Bundan başqa, biz beynəlxalq təsnifat bir neçə komponentləri ayırmaq olar:

• Expert ekspertlərin şəxsi təcrübə, onun aparılması əsasında informasiya təhlükəsizliyi və informasiya sistemlərinin statusu yoxlanılması;
• beynəlxalq standartlara (ISO 17799) və fəaliyyəti bu sahədə tənzimləyən milli hüquqi sənədlərdə uyğun sertifikatlaşdırma sistemləri və təhlükəsizlik tədbirləri;
• proqram və apparat kompleksinin potensial zəifliklərin müəyyən yönəlmiş texniki vasitələrdən istifadə etməklə informasiya sistemlərinin təhlükəsizliyinin təhlili.

Bəzən tətbiq və yuxarıda növ bütün daxildir qondarma hərtərəfli audit, ola bilər. Yeri gəlmişkən, o, ən obyektiv nəticələr verir.

Səhnələşdirilən məqsəd və vəzifələri

Hər hansı bir yoxlama, daxili və ya xarici olub, məqsəd və vəzifələri qəbulu ilə başlayır. Sadəcə qoymaq, siz niyə sınaqdan keçiriləcək necə və nə müəyyən etmək lazımdır. Bu bütün prosesi həyata keçirən gələcək proseduru müəyyən edəcək.

Müəssisə, təşkilat, müəssisə və onun fəaliyyətinin xüsusi strukturundan asılı olaraq tapşırıqlar, bir çox ola bilər. Lakin, bütün bu azad arasında, informasiya təhlükəsizliyi audit vahid məqsədi:

• informasiya təhlükəsizliyi və informasiya sistemlərinin dövlət qiymətləndirilməsi;
• xarici IP və müdaxilə mümkün üsulları daxil nüfuz riski ilə bağlı mümkün risklərin təhlili;
• təhlükəsizlik sistemində deşik və boşluqların localisation;
• cari standartları və normativ-hüquqi aktlarına informasiya sistemlərinin təhlükəsizliyi lazımi səviyyədə təhlili;
• inkişaf və mövcud problemlərin aradan qaldırılması, eləcə də təkmilləşdirilməsi, mövcud vasitələrin və yeni inkişafları tətbiqi cəlb tövsiyələr çatdırılması.

Metodologiya və audit alətləri

İndi nə addımlar və deməkdir çek və bu əhatə necə haqqında bir neçə söz.

An informasiya təhlükəsizliyi audit bir neçə mərhələdən ibarətdir:

• yoxlama prosedurları təşəbbüs (auditorun hüquq və vəzifələri aydın müəyyən, auditor planının hazırlanması və idarə ilə koordinasiya yoxlayır, təhsil sərhədləri məsələsi təşkilat öhdəliyin üzvləri qoyulması qayğı və müvafiq məlumatların vaxtında təmin etmək);
• İlkin məlumatlara (təhlükəsizlik strukturu, təhlükəsizlik xüsusiyyətləri paylanması, əldə və rabitə kanallarından və digər strukturları ilə IP qarşılıqlı kompüter şəbəkələrinin istifadəçiləri bir iyerarxiya, müəyyən protokollar və s məlumat müəyyən təmin etmək üçün sistem performansını analiz üsullarının təhlükəsizlik səviyyəsi) toplanması;
• hərtərəfli və ya qismən yoxlama;
• analiz (hər hansı bir növü və uyğunluq risklərin təhlili);
• tövsiyələr verilməsi potensial problemləri həll etmək üçün;
• hesabat nəsil.

qərarı şirkət rəhbərliyi və auditor arasında yalnız edilir, çünki birinci mərhələsi, ən sadə. təhlili sərhədləri işçilərin və ya səhmdarların ümumi iclasında hesab edilə bilər. Bütün bu və daha hüquqi sahədə bağlı.

Bu informasiya təhlükəsizliyi və ya müstəqil sertifikatlaşdırma daxili audit olub ilkin məlumatların toplanması ikinci mərhələsi, ən resurs intensiv deyil. Bu mərhələdə bütün avadanlıq və proqram təminatı ilə bağlı texniki sənədləri yoxlamaq üçün yalnız lazımdır, həm də dar-müsahibə şirkətin işçilərin ki, bağlıdır, hətta xüsusi sorğu və ya sorğular doldurulması ilə əksər hallarda.

texniki sənədlərin kimi, bu proqram müəyyən qorunması, eləcə də, öz işçilərinə IC strukturu haqqında məlumat və istifadə hüquqlarının prioritet səviyyəsi əldə etmək sistem geniş və tətbiqi proqram (iş applications üçün əməliyyat sistemi, onların idarəetmə və mühasibat) müəyyən etmək vacibdir və qeyri-proqram növü (antivirus software, firewall, və s.) Bundan əlavə, bu (informasiya axınlarının şəbəkə təşkilat, bağlantısı üçün istifadə protokolları, rabitə kanallarının növ ötürülməsi və qəbul üsulları, və daha çox) şəbəkələri və telekommunikasiya xidmətlərinin provayderləri tam yoxlama daxildir. aydın olduğu kimi, bu zaman bir çox edir.

Növbəti mərhələdə, informasiya təhlükəsizliyi audit metodları. Onlar üç:

• (IP pozulması nüfuz və bütün mümkün üsulları və vasitələrdən istifadə onun bütövlüyü auditor müəyyən əsasında ən çətin texnika) risk təhlili;
• standartları və qanunvericiliyin (işlər cari vəziyyəti müqayisə və beynəlxalq standartlara və informasiya təhlükəsizliyi sahəsində daxili sənədlərin tələbləri əsasında sadə və ən praktik üsul) uyğun qiymətləndirilməsi;
• İlk iki birləşdirən birləşdirilmiş üsulu.

onların təhlili yoxlama nəticələrini aldıqdan sonra. Funds Audit informasiya təhlükəsizliyi təhlili üçün istifadə olunur, olduqca müxtəlif ola bilər. Bu, bütün müəssisənin informasiya növü, istifadə proqram, qorunması və ilk metodu göründüyü kimi belə. Lakin, auditor əsasən öz təcrübə etibar xüsusiyyətindən asılıdır.

Və yalnız informasiya texnologiyaları və məlumatların qorunması sahəsində tam ixtisaslı olmalıdır deməkdir. və bu analiz, auditor əsasında mümkün riskləri hesablayır.

Bu iş və ya mühasibat uçotu üçün, əməliyyat sistemi və ya məsələn, istifadə proqram yalnız məşğul olmalıdır, həm də təcavüzkar oğurluq, zərər və məlumatların məhv pozulmasına görə ilkin yaradılması məqsədilə informasiya sisteminə nüfuz edə bilər necə aydın anlamaq üçün Qeyd edək ki, kompüter, virus və ya malware yayılması.

Audit və problemləri həll etmək üçün tövsiyələr qiymətləndirilməsi

təhlili əsasında ekspert müdafiə vəziyyəti haqqında bağlayır və mövcud və ya potensial problemləri həll etmək üçün tövsiyələr, təhlükəsizlik yükseltmeler, və s. verir tövsiyələr yalnız ədalətli olmaq, həm də aydın müəssisənin xüsusiyyətləri reallıqları bağlı deyil. Başqa sözlə, kompüter və ya proqram konfiqurasiya təkmilləşdirilməsi haqqında göstərişlər qəbul olunmur. Bu bərabər, onların təyinat, yeri və uyğunluğunun göstərmədən "etibarsız" kadr, yeni izleme sistemi qurmaq vəzifədən məsləhət aiddir.

təhlili əsasında, bir qayda olaraq, bir neçə risk qrupları var. Bu halda, bir xülasə hesabat iki əsas göstəriciləri istifadə tərtib etmək (. aktivlərinin itirilməsi, nüfuzunun azalması, belə ki, image zərər və) bir hücum ehtimalı və nəticəsində şirkətə dəyən zərərin. Lakin qrupların icra eyni deyil. Məsələn, hücum ehtimalı aşağı səviyyəli göstərici yaxşı deyil. əksinə - zərərə görə.

Yalnız bundan sonra bütün mərhələləri, metodları və tədqiqat vasitələri boyalı ətraflı hesabat tərtib. O, rəhbərliyi ilə razılaşdırılmış və hər iki tərəfin imzaladığı - şirkət və auditor. Əgər audit daxili hesabat o, yenə rəhbəri tərəfindən imzalanmış sonra müvafiq struktur bölmənin rəhbəri.

İnformasiya təhlükəsizliyi audit Misal:

Nəhayət, biz artıq baş verib bir vəziyyət sadə nümunə hesab edir. Bir çox, yeri gəlmişkən, bu, çox tanış görünə bilər.

Məsələn, ICQ anlık kompüter müəyyən Amerika Birləşmiş Ştatları şirkətin satınalma heyəti (işçi və şirkətin adı adı məlum səbəblərdən adına deyil). Danışıqlar bu proqram vasitəsi ilə dəqiq aparılmışdır. Amma "ICQ" təhlükəsizlik baxımından olduqca həssasdır. vaxt və ya qeydiyyat nömrələri Self əməkdaşı bir e-mail yox idi, və ya sadəcə vermək istəmədi. Bunun əvəzinə, o e-poçt, və hətta qeyri-mövcud domen kimi bir şey işarə etdi.

Nə təcavüzkar ki? informasiya təhlükəsizliyinin auditi göstərdiyi kimi, onun zərər parol bərpa tələb ICQ xidmət sahibi Mirabilis şirkəti bir mesaj göndərə bilər sonra eyni domen qeydiyyatdan və bu başqa qeydiyyat terminal olacaq yaradılmış və olunacaq (bu edilə bilər ). Mövcud Giriş mail yönlendirme - mail server alan yox idi ki, bu yönlendirme daxil edilmişdir.

Nəticədə, o, verilən ICQ nömrəsi ilə yazışma daxil olur və müəyyən bir ölkədə malların alıcının ünvanını dəyişmək üçün təchizatçı məlumat. Belə ki, mal naməlum istiqamətə göndərdi. Və ən zərərsiz nümunəsidir. Belə ki, nizamsız davranış. Və daha çox edə bilərlər daha ciddi hakerlər haqqında nə ...

nəticə

Burada IP təhlükəsizlik audit aid qısa və bütün. Əlbəttə ki, bu bütün aspektləri təsir deyil. səbəb problemləri və onun davranış üsulları formalaşmasında amillər bir çox təsir, belə ki, hər bir halda yanaşma ciddi fərdi yalnız edir. Bundan əlavə, informasiya təhlükəsizliyi audit metodları və vasitələri müxtəlif ICS üçün müxtəlif ola bilər. Ancaq mən hesab edirəm ki, çox belə testlər ümumi prinsipləri hətta ibtidai səviyyədə aydın olur.