Mga computerKaligtasan

Impormasyon Security Audit: Mga Layunin, mga pamamaraan at mga tool, halimbawa. Seguridad ng impormasyon audit ng bank

Ngayon, lahat ng tao nakakaalam ng halos banal na parirala na may-ari ng impormasyon, nagmamay-ari ng mundo. Iyon ay kung bakit sa ating panahon na nakawin ang kumpidensyal na impormasyon na sinusubukan sa lahat at sari-sari. Kaugnay nito, kinuha walang uliran hakbang at pagpapatupad ng paraan ng proteksyon laban sa posibleng pag-atake. Gayunman, kung minsan ay maaaring kailangan mong magsagawa ng isang audit ng mga enterprise impormasyon seguridad. Ano ito at kung bakit ay ang lahat ng ito ngayon, at subukan upang maunawaan.

Ano ang isang audit ng seguridad ng impormasyon sa pangkalahatang kahulugan?

Sino ay hindi makakaapekto sa abstruse pang-agham na mga tuntunin, at subukan upang matukoy para sa kanilang sarili ang mga pangunahing mga konsepto, na naglalarawan ito sa mga pinaka-simpleng wika (ang mga tao ay maaaring ito ay tinatawag na pag-audit para sa "dummies").

Ang pangalan ng masalimuot na mga kaganapan ay nagsasalita para sa sarili nito. Seguridad ng impormasyon audit ay isang malayang pag-verify o peer review upang matiyak ang seguridad ng mga sistema ng impormasyon (IS) ng anumang kumpanya, institusyon o organisasyon sa batayan ng espesyal na binuo pamantayan at mga tagapagpahiwatig.

Sa madaling salita, halimbawa, i-audit sa seguridad ng impormasyon ng bangko kahulihan babagsak ito sa, upang masuri ang antas ng proteksyon ng mga database ng customer na hawak ng mga operasyon banking, sa kaligtasan ng electronic ng pera, ang pangangalaga ng pagbabangko pagkamalihim, at iba pa. D. Sa kaso ng panghihimasok sa mga aktibidad ng mga institusyong di-awtorisadong tao mula sa labas, ang paggamit ng electronic at computer kagamitan.

Tiyak, kabilang sa mga mambabasa mayroong hindi bababa sa isang tao na tinatawag na bahay o mobile phone na may isang panukala ng pagproseso ng loan o deposito, ang bangko na kung saan ito ay walang kinalaman. Ang parehong naaangkop sa mga pagbili at nag-aalok ng mula sa ilang mga tindahan. Kung saan dumating up sa iyong kuwarto?

Ito ay simple. Kung ang isang tao na dati kinuha mga pautang o invested sa isang deposito account, siyempre, ang data nito ay naka-imbak sa isang karaniwang customer base. Kapag tumawag ka mula sa isa pang bangko o tindahan ay maaaring maging lamang ng isang konklusyon: ang mga impormasyon tungkol sa mga ito ay dumating ilegal na mga third party. Paano? Sa pangkalahatan, mayroong dalawang mga pagpipilian: alinman ito ay ninakaw, o ilipat sa mga empleyado ng mga bangko sa mga ikatlong partido sinasadya. Sa order para sa mga bagay ay hindi mangyayari, at kailangan mo ng oras upang magsagawa ng isang audit ng seguridad ng impormasyon ng bank, at ito ay sumasaklaw hindi lamang sa mga computer o "bakal" ay nangangahulugan ng proteksyon, ngunit ang buong kawani ng institusyon.

Ang pangunahing direksyon ng pag-audit sa seguridad ng impormasyon

Kung tungkol sa mga saklaw ng pag-audit, bilang isang panuntunan, ang mga ito ay ilang:

  • full check ng mga bagay na kasangkot sa proseso ng impormasyon (computer na automated system, ay nangangahulugan ng komunikasyon, reception, ang impormasyon na transmisyon at pagproseso, pasilidad, lugar para sa kumpidensyal na mga miting, monitoring systems, at iba pa);
  • pagsuri sa pagiging maaasahan ng ang proteksyon ng mga lihim na impormasyon na may limitadong pag-access (pagpapasiya ng mga posibleng pagtagas at potensyal na seguridad butas channels na nagpapahintulot sa access ito mula sa labas na may ang paggamit ng mga standard at non-standard na pamamaraan);
  • check ng lahat ng electronic hardware at mga lokal na sistema ng computer para sa pagkakalantad sa electromagnetic radiation at pagkagambala, na nagpapahintulot sa mga ito upang i-off o dalhin sa pagkasira;
  • proyektong bahagi, na kasama ang trabaho sa paglikha at application ng ang konsepto ng seguridad sa kanyang mga praktikal na pagpapatupad (proteksyon ng mga computer system, pasilidad, mga pasilidad sa komunikasyon, at iba pa).

Pagdating sa pag-audit?

Hindi sa banggitin ang mga kritikal na sitwasyon kung saan ang pagtatanggol ay na-sira, audit ng seguridad ng impormasyon sa isang samahan ay maaaring natupad, at sa ilang ibang mga kaso.

Karaniwan, ang mga isama ang pagpapalawak ng kumpanya, pagsasama, pagkuha, pagkuha ng ibang mga kumpanya, baguhin ang mga kurso ng mga konsepto ng negosyo o mga alituntunin, mga pagbabago sa internasyonal na batas o sa batas sa loob ng isang bansa, sa halip malubhang mga pagbabago sa impormasyon infrastructure.

mga uri ng pag-audit

Ngayon, ang mismong pag-uuri ng ganitong uri ng pag-audit, ayon sa maraming mga analyst at mga eksperto ay hindi itinatag. Samakatuwid, ang division sa mga klase sa ilang mga kaso ay maaaring maging lubos na arbitrary. Gayunpaman, sa pangkalahatan, ang pag-audit ng seguridad ng impormasyon ay maaaring nahahati sa mga panlabas at panloob.

Ang isang panlabas na audit na isinagawa ng independiyenteng mga eksperto na may karapatan na gawin, ay karaniwang isang isang-beses na check, na kung saan ay maaaring sinimulan sa pamamagitan ng pamamahala, shareholders, pagpapatupad ng batas mga ahensya, at iba pa Ito ay pinaniniwalaan na isang panlabas na audit ng seguridad ng impormasyon ay inirerekomenda (ngunit hindi kinakailangan) upang magsagawa ng regular para sa isang set na tagal ng panahon. Ngunit para sa ilang mga organisasyon at mga negosyo, ayon sa batas, ito ay ipinag-uutos (halimbawa, pampinansyal na mga institusyon at organisasyon, magkakasamang kompanya, at iba pa.).

Internal audit ng seguridad ng impormasyon ay isang pare-pareho ang proseso. Ito ay batay sa isang espesyal na "Regulations on Internal Audit". Ano ito? Sa katunayan, ito sertipikasyon gawain natupad sa organisasyon, sa mga tuntunin inaprubahan ng pamamahala. Ang isang pag-audit sa seguridad ng impormasyon sa pamamagitan ng mga espesyal na istruktura subdivision ng enterprise.

Alternatibong pag-uuri ng pag-audit

Bukod sa itaas-inilarawan division sa mga klase sa pangkalahatang kaso, maaari naming makilala sa maraming mga bahagi na ginawa sa internasyonal na pag-uuri:

  • Expert pagsuri sa katayuan ng seguridad ng impormasyon at impormasyon system sa batayan ng personal na karanasan ng mga eksperto, ang pagsasagawa;
  • certification system at seguridad para sa pagsunod sa mga internasyonal na pamantayan (ISO 17799) at pambansang mga legal na instrumento ipinaguutos ang patlang na ito ng aktibidad;
  • pagtatasa ng ang seguridad ng mga sistema ng impormasyon sa paggamit ng mga teknikal na paraan naglalayong sa pagtukoy ng mga potensyal na kahinaan sa software at hardware complex.

Minsan maaari itong ilapat at ang tinaguriang komprehensibong audit, na kung saan ay kasama ang lahat ng mga uri sa itaas. Sa pamamagitan ng ang paraan, siya ay nagbibigay sa pinakaobhetibong resulta.

Itinanghal mga layunin at mga layunin

Ang anumang pag-verify, kung ang panloob o panlabas, ay nagsisimula sa pag-set ng mga layunin at mga layunin. Sa madaling sabi, kailangan mo upang matukoy kung bakit, kung paano at kung ano ay sinubukan. Ito ay matukoy ang karagdagang procedure ng pagdala out ang buong proseso.

Gawain, depende sa mga tiyak na istraktura ng enterprise, organisasyon, institusyon at mga gawain nito ay maaaring maging lubos ng maraming. Gayunman, sa gitna ng lahat ng release na ito, pinag-isang layunin ng pag-audit ng impormasyon sa seguridad:

  • pagtatasa ng estado ng seguridad ng impormasyon at impormasyon systems;
  • pagtatasa ng mga posibleng panganib na kaugnay sa ang panganib ng pagtagos sa mga panlabas na IP at ang mga posibleng mga modalities ng gayong mga panghihimasok;
  • localization ng mga butas at gaps sa sistema ng seguridad;
  • pagtatasa ng mga naaangkop na antas ng seguridad ng mga sistema ng impormasyon sa kasalukuyang pamantayan at mga regulasyon at mga legal na kilos;
  • pag-unlad at paghahatid ng mga rekomendasyon na kinasasangkutan ng pag-alis ng mga umiiral na mga problema, pati na rin ang pagpapabuti ng mga umiiral na mga remedyo at ang pagpapakilala ng mga bagong development.

Pamamaraan at pag-audit tools

Ngayon ng ilang mga salita tungkol sa kung paano ang tseke at kung ano ang hakbang na ito at ang ibig sabihin nito ay nagsasangkot.

Ang isang pag-audit sa seguridad ng impormasyon ay binubuo ng ilang yugto:

  • pagpapasimuno pamamaraan verification (malinaw na kahulugan ng mga karapatan at responsibilidad ng auditor, ang auditor sumusuri sa paghahanda ng mga plano at koordinasyon nito sa management, ang tanong ng mga hangganan ng pag-aaral, ang pagpapataw sa mga kasapi ng commitment organisasyon upang pakialam at napapanahong pagkakaloob ng mga kaugnay na impormasyon);
  • pagkolekta ng paunang data (seguridad istraktura, ang pamamahagi ng mga tampok ng seguridad, mga antas ng seguridad ng sistema ng pagganap ng pagsusuri pamamaraan para sa pagkuha at pagbibigay ng impormasyon, pagpapasiya ng komunikasyon channels at IP pakikipag-ugnayan sa iba pang mga istraktura, isang hierarchy ng mga gumagamit ng mga network na computer, ang pagpapasiya protocol, atbp);
  • magsagawa ng isang komprehensibong o bahagyang inspeksyon;
  • data analysis (pagsusuri ng mga panganib ng anumang uri at pagsunod);
  • nag-isyu ng mga rekomendasyon upang matugunan ang mga potensyal na mga problema;
  • pagbuo ng ulat.

Ang unang yugto ay ang pinaka-simple, dahil ang desisyon nito ay ginawa para lamang sa pagitan ng pamamahala ng kumpanya at ang auditor. Ang mga hangganan ng pag-aaral ay maaaring ituring sa pangkalahatang pulong ng mga empleyado o shareholders. Ang lahat ng ito at higit pa na may kaugnayan sa mga legal na patlang.

Ang ikalawang yugto ng koleksyon ng baseline data, kung ito ay isang panloob na pag-audit ng seguridad ng impormasyon o panlabas na independiyenteng sertipikasyon ay ang pinaka-resource-intensive. Ito ay dahil sa ang katunayan na sa yugtong ito kailangan mong hindi lamang suriin ang mga teknikal na dokumentasyon na may kaugnayan sa lahat ng hardware at software, ngunit din upang paliitin-interviewing mga empleyado ng kumpanya, at sa karamihan ng mga kaso kahit na may pagpuno espesyal na questionnaires o survey.

Tulad ng para sa mga teknikal na dokumentasyon, ito ay mahalaga upang makakuha ng data sa istraktura IC at ang mga antas ng priority ng mga karapatan ng access sa mga empleyado nito, upang makilala ang mga system-wide at application software (operating system para sa mga aplikasyon ng negosyo, ang kanilang pamamahala at accounting), pati na rin ang itinatag na proteksyon ng software at di-program uri (antivirus software, firewall, atbp). Sa karagdagan, ito ay may kasamang ang buong pag-verify ng mga network at mga nagbibigay ng mga serbisyo ng telekomunikasyon (network organisasyon, ang protocol na ginagamit para sa koneksyon, ang mga uri ng komunikasyon channels, ang paghahatid at reception pamamaraan ng impormasyon daloy, at higit pa). Bilang ay malinaw, ito ay tumatagal ng maraming oras.

Sa susunod na yugto, ang mga pamamaraan ng pag-audit sa seguridad ng impormasyon. Ang mga ito ay tatlo:

  • risk analysis (ang pinakamahirap na diskarteng ito, batay sa pagpapasiya ng auditor sa pagtagos ng IP paglabag at integridad nito gamit ang lahat ng posibleng pamamaraan at mga kasangkapan);
  • pagtatasa ng pagsunod sa mga pamantayan at batas (ang pinakasimpleng at pinaka-praktikal na paraan batay sa isang paghahambing ng kasalukuyang kalagayan at mga pangangailangan ng mga internasyonal na pamantayan at domestic mga dokumento sa larangan ng seguridad ng impormasyon);
  • ang pinagsamang pamamaraan na pinagsasama ang unang dalawa.

Pagkatapos matanggap ang mga resulta ng pag-verify ng kanilang pag-aaral. Pondo Audit ng seguridad ng impormasyon, na kung saan ay ginagamit para sa pag-aaral, maaaring lubos na iba-iba. Ito lahat ay depende sa mga pagtutukoy ng ang enterprise, ang uri ng impormasyon, ang software na ginagamit mo, proteksyon at iba pa. Subalit, bilang ay maaaring makita sa ang unang paraan, ang auditor higit sa lahat kailangang umasa sa kanilang sariling mga karanasan.

At na lamang ay nangangahulugan na dapat itong maging ganap na kwalipikadong sa larangan ng information technology at data proteksyon. Sa batayan ng pagtatasa, ang auditor at kinakalkula ang posibleng mga panganib.

Tandaan na ito ay dapat harapin hindi lamang sa operating system o ang program na ginagamit, halimbawa, para sa negosyo o accounting, ngunit din upang maunawaan ang malinaw na kung paano ang isang magsasalakay ay maaaring tumagos sa sistema ng impormasyon para sa layunin ng pagnanakaw ng pagkakakilanlan, pinsala at pagsira ng data, paglikha ng mga preconditions para sa mga paglabag sa mga computer, ang pagkalat ng mga virus o malware.

Pagsusuri ng pag-audit natuklasan at mga rekomendasyon upang tugunan ang mga problema

Batay sa mga pagsusuri ng mga eksperto idinagdag niya tungkol sa kalagayan proteksyon at nagbibigay sa mga rekomendasyon upang matugunan ang mga umiiral na o potensyal na mga problema, mga upgrade ng seguridad, at iba pa Ang mga rekomendasyon ay hindi dapat lamang maging patas, ngunit din malinaw na nakatali sa mga katotohanan ng specifics enterprise. Sa ibang salita, mga tip sa pag-upgrade ang configuration ng computer o software ay hindi tinatanggap. Ito pantay naaangkop sa ang mga payo ng pagpapaalis ng "hindi mapagkakatiwalaan" personnel, i-install ng mga bagong sistema ng pagsubaybay nang hindi tinutukoy ang kanilang patutunguhan, ang lokasyon at kaangkupan.

Batay sa mga pagsusuri, bilang isang panuntunan, may mga ilang mga panganib na grupo. Sa kasong ito, upang makatipon ng isang buod ng ulat ay gumagamit ng dalawang mga susi tagapagpahiwatig: (. Pagkawala ng mga asset, pagbabawas ng reputasyon, pagkawala ng imahe at iba pa) ang posibilidad ng isang pag-atake at ang pinsala na dulot sa kumpanya bilang isang resulta. Gayunpaman, ang pagganap ng grupo ay hindi ang pareho. Halimbawa, ang mababang antas tagapagpahiwatig para sa posibilidad ng pag-atake ay ang pinakamahusay na. Para sa mga pinsala - sa salungat.

Tanging pagkatapos ay pinagsama-sama ng isang ulat na detalye pininturahan lahat ng mga yugto, pamamaraan at mga paraan ng pananaliksik. Siya ay sumang-ayon sa pangunguna at pinirmahan ng dalawang panig - ang kumpanya at ang auditor. Kung ang pag-audit panloob, ay isang ulat ang pinuno ng kani-kanilang mga istruktura unit, matapos na siya, muli, pinirmahan ng ulo.

audit ng impormasyon sa seguridad: Halimbawa

Sa wakas, isaalang-alang namin ang pinakasimpleng halimbawa ng isang sitwasyon na iyon ay nangyari. Maraming, sa pamamagitan ng ang paraan, ito ay maaaring mukhang napaka-pamilyar.

Halimbawa, pagkuha kawani ng isang kumpanya sa Estados Unidos, na itinatag sa ICQ instant messenger computer (ang pangalan ng empleyado at ang pangalan ng kumpanya ay hindi na pinangalanan para sa malinaw na dahilan). Negotiations ay isinasagawa tiyak sa pamamagitan ng programang ito. Ngunit ang "ICQ" ay lubos na mahina laban sa mga tuntunin ng seguridad. Self employee sa numero ng rehistrasyon sa oras o hindi ay may isang email address, o lamang ay hindi gusto upang bigyan ito. Sa halip, itinuro niya ang isang bagay tulad ng e-mail, at kahit na di-umiiral na domain.

Ano ang gusto ang attacker? Tulad ng ipinapakita sa pamamagitan ng isang pag-audit ng seguridad ng impormasyon, ito ay mairehistro eksakto ang parehong domain at nilikha ay sa loob nito, isa pang registration terminal, at pagkatapos ay maaaring magpadala ng mensahe sa Mirabilis kumpanya na nagmamay-ari ng ICQ service, humihiling password recovery dahil sa kanyang pagkawala (na maaaring gawin ). Tulad ng ang tatanggap ng mail server ay hindi, ito ay kasama redirect - redirect sa isang umiiral na nanghihimasok mail.

Bilang isang resulta, siya ay makakakuha ng access sa mga liham na may ibinigay na numero ICQ at informs ang supplier upang baguhin ang address ng tatanggap ng mga kalakal sa isang tiyak na bansa. Kaya, ipinadala ang mga kalakal sa isang hindi kilalang destinasyon. At ito ay ang pinaka-hindi nakakapinsala halimbawa. Kaya, hindi maayos na asal. At kung ano ang tungkol sa mas seryosong mga hacker kung sino ay magagawang marami pang iba ...

konklusyon

Narito ang isang maikling at ang lahat na may kaugnayan sa IP audit sa seguridad. Of course, ito ay hindi apektado ng lahat ng mga aspeto ng mga ito. Ang dahilan dito ay lamang na sa pagbabalangkas ng mga problema at mga pamamaraan ng kanyang pag-uugali ay nakakaapekto sa isang pulutong ng mga kadahilanan, kaya ang diskarte sa bawat kaso ay mahigpit na indibidwal. Sa karagdagan, ang pamamaraan at mga paraan ng impormasyon audit seguridad ay maaaring naiiba para sa iba't ibang mga ICS. Gayunpaman, sa palagay ko, ang pangkalahatang mga prinsipyo ng naturang mga pagsubok para sa maraming naging maliwanag kahit na sa ang pangunahing antas.

Similar articles

 

 

 

 

Trending Now

 

 

 

 

Newest

Copyright © 2018 tl.atomiyme.com. Theme powered by WordPress.