Ревизија за безбедност на информации: цели, методи и алатки, на пример. ревизија на безбедноста на информациите на банката

Денес, секој знае речиси свето фраза, која е сопственик на информации, е сопственик на светот. Тоа е причината зошто во нашето време за да украдат доверливи информации се обидуваат на сите и Преземање. Во овој поглед, преземени невидени мерки и спроведување на средства за заштита од можни напади. Сепак, понекогаш можеби ќе треба да спроведе ревизија на претпријатието безбедноста на информациите. Што е тоа и зошто сето тоа е сега, и да се обидат да се разбере.

Што е ревизија на безбедноста на информациите во општата дефиниција?

Кој нема да влијае на разбирливите научни термини, и обидете се да се утврди за себе основните концепти, опишувајќи ги во повеќето едноставен јазик (луѓето тоа би можело да се нарече ревизија за "Dummies").

Името на сложени настани зборува за себе. ревизија на безбедноста на информациите е независна верификација или рецензија за да се обезбеди сигурноста на информациските системи (ИС) на секоја компанија, институција или организација врз основа на специјално развиени критериуми и индикатори.

Во едноставни термини, на пример, ревизија на безбедноста на информациите на банката се сведува на, за да се процени нивото на заштита на базите на податоци на клиентите се одржа од страна на банкарското работење, безбедноста на електронски пари, за зачувување на банкарска тајна, и така натаму. Д. Во случај на мешање во активностите на институцијата неовластени лица од надвор, со користење на електронски и компјутерски капацитети.

Секако, меѓу читателите постои барем еден човек кој се јави дома или мобилен телефон со предлог на обработка на кредит или депозит, банката со која таа не треба ништо да се направи. Истото важи и за купување и понуди од некои продавници. Од каде дојде до вашата соба?

Тоа е едноставно. Ако некое лице претходно ја заеми или инвестираат во депозитна сметка, се разбира, неговите податоци се чуваат во една заедничка база на клиенти. Кога ќе се јавите од друга банка или продавница може да биде само еден заклучок: на информации во врска со тоа дојде нелегално на трети лица. Како? Општо земено, постојат две опции: или тоа беше украдена, или префрлени на вработените на банката на трети лица свесно. Со цел за такви работи не се случи, и ви треба време да се спроведе ревизија на безбедноста на информациите на банката, и ова се однесува не само на компјутер или "железо" средства за заштита, туку и на целиот персонал на институцијата.

Главните насоки на ревизија на безбедноста на информациите

Во однос на обемот на ревизијата, како по правило, тие се неколку:

• целосна проверка на објекти кои се вклучени во процесот на информации (компјутер автоматски систем, средствата за комуникација, рецепција, информации за пренос и обработка, објекти, простории за доверливи средби, системи за следење, итн);
• проверка на веродостојноста на заштита на доверливи информации со ограничен пристап (утврдување на можни истекување и потенцијалните безбедносни дупки канали овозможува пристап што однадвор со употреба на стандардни и нестандардни методи);
• проверка на сите електронски хардвер и локалните компјутерски системи за изложеност на електромагнетно зрачење и пречки, овозможувајќи им да го исклучите или да донесе во лоша состојба;
• Проектот дел, кој вклучува работа на создавање и примена на концептот на безбедност во неговата практична примена (заштита на компјутерски системи, објекти, комуникација, итн.)

Кога станува збор за ревизијата?

Да не зборуваме за критични ситуации каде одбрана веќе беше скршен, ревизија на безбедноста на информациите во една организација може да се врши и во некои други случаи.

Обично, овие вклучуваат проширување на компанијата, спојување, стекнување, преземање од страна на други компании, промена на курсот на бизнис концепти или насоки, промени во меѓународното право или во законите во една земја, а сериозни промени во информатичката инфраструктура.

видови на ревизија

Денес, самиот пласман на овој вид на ревизија, според многумина аналитичари и експерти не е воспоставен. Затоа, поделба на класи во некои случаи може да биде прилично произволно. Сепак, во принцип, ревизија на безбедноста на информациите може да се подели во надворешни и внатрешни.

Надворешна ревизија спроведена од страна на независни експерти, кои имаат право да го стори, обично е проверка на едно време, што може да се поведе и со управување, акционерите, за спроведување на законот, итн Се верува дека се препорачува надворешна ревизија на безбедноста на информациите (но не се бара) да врши редовно за определен период на време. Но, за некои организации и претпријатија, во согласност со закон, тоа е задолжително (на пример, финансиски институции и организации, акционерски друштва и др.).

безбедност внатрешна ревизија информации е постојан процес. Тоа е врз основа на посебна "Правилникот за внатрешна ревизија". Што е тоа? Всушност, овој сертификат активности спроведени во организацијата, во однос одобрени од страна на раководството. ревизија на безбедноста на информациите со посебни структурни единици на претпријатието.

Алтернативни класификација на ревизија

Покрај погоре опишаната поделба на класи во општиот случај, може да се разликуваат неколку компоненти направени во меѓународната класификација:

• Експерт проверка на статусот на информации системи за безбедност и информации врз основа на лично искуство на експерти, неговата спроведување;
• системи за сертификација и безбедносни мерки за усогласување со меѓународните стандарди (ISO 17799) и националните правни инструменти кои ја регулираат оваа област на активност;
• анализа на безбедноста на информатичките системи со употреба на технички средства во насока на идентификување на потенцијални слабости во софтверот и хардверот комплекс.

Понекогаш тоа може да се примени и на т.н. сеопфатна ревизија, кој ги вклучува сите од горенаведените видови. Патем, тој дава најмногу објективни резултати.

Изведена цели и задачи

Секое верификација, било внатрешни или надворешни, започнува со поставување на цели и задачи. Едноставно кажано, треба да се утврди зошто, како и што ќе се тестираат. Ова ќе се утврди понатамошната постапка на извршување на целиот процес.

Задачи, во зависност од специфичната структура на претпријатието, организација, установа и нејзините активности може да биде доста. Меѓутоа, среде сето ова издание, заедничка цел на ревизијата безбедност на информации:

• проценка на состојбата на системите за безбедност на информации и информации;
• анализа на можните ризици поврзани со ризикот на пенетрација во надворешна IP и можните модалитети на такви пречки;
• локализација на дупки и празнини во системот на безбедност;
• анализа на соодветно ниво на безбедноста на информатичките системи важечките стандарди и регулаторните и законските акти;
• развој и испорака на препораките кои вклучуваат отстранување на постојните проблеми, како и подобрување на постоечките правни лекови и воведувањето на новите случувања.

Методологија и алатки за ревизија

Сега неколку збора за тоа како проверка и што чекори и да значи таа ги бара.

ревизија на безбедноста на информациите се состои од неколку фази:

• иницирање на постапки за верификација (јасно дефинирање на правата и одговорностите на ревизорот, ревизорот проверува подготвување на планот и нејзината координација со раководството, прашањето за границите на студијата, наметнување на членови на посветеноста на организацијата да се грижи и навремено обезбедување на релевантни информации);
• собирање првичните податоци (безбедносна структура, дистрибуција на безбедносни карактеристики, нивото на безбедноста на ефикасноста методи за анализа на системот за добивање и давање информации, одредување на канали за комуникација и IP интеракција со други структури, хиерархија на корисниците на компјутерски мрежи, протоколи определување, итн);
• спроведе сеопфатна или делумно инспекција;
• анализа на податоци (анализа на ризиците од било кој тип и усогласеност);
• издавање на препораки за решавање на потенцијалните проблеми;
• генерирање на извештаи.

Првата фаза е најстариот едноставна, бидејќи неговата одлука е направен исклучиво помеѓу управување на компанијата и на ревизорот. Границите на анализа може да се смета на Генералното собрание на вработените или на акционерите. Сето ова и многу повеќе во врска со правната област.

Втората фаза на собирање на основни податоци, без разлика дали тоа е внатрешна ревизија на безбедноста на информациите или надворешна независна сертификација е најстариот ресурс-интензивни. Ова се должи на фактот дека во оваа фаза не треба само да ја испита техничката документација во врска со сите хардвер и софтвер, но исто така и да се намали-интервјуирање на вработените во компанијата, и во повеќето случаи, дури и со пополнување на посебни обрасци или анкети.

Што се однесува до техничката документација, важно е да се добијат податоци за структурата на ИЦ и нивоа на приоритет на правата за пристап на своите вработени, да се идентификуваат на целиот систем и апликациски софтвер (на оперативниот систем за бизнис апликации, нивното управување и сметководство), како и утврдените заштита на софтвер и тип не-програма (анти-вирусен софтвер, firewalls, итн.) Покрај тоа, ова вклучува целосна верификација на мрежи и давателите на телекомуникациски услуги (организација на мрежата, на протоколи се користат за поврзување, видови на канали за комуникација, пренос и методи за прием на протокот на информации, и многу повеќе). Како што е јасно, тоа е потребно многу време.

Во следната фаза, методите на ревизија на безбедноста на информациите. Тие се три:

• анализа на ризик (на повеќето тешко техника, врз основа на утврдување на ревизорот на пенетрација на IP повреда и нејзиниот интегритет користење на сите можни методи и алатки);
• проценка на усогласеноста со стандардите и законите (од наједноставните и повеќето практичен метод врз основа на споредба на сегашната состојба на работите и барањата на меѓународните стандарди и домашни документи во областа на безбедноста на информациите);
• комбинираната метод, кој е комбинација на првите две.

По добивањето на резултатите од верификацијата на анализа. Средства за ревизија на безбедноста на информациите, кои се користат за анализа, може да бидат доста различни. Сето тоа зависи од спецификите на претпријатието, тип на информации, софтвер го користите, заштита и сл. Меѓутоа, како што може да се види на првиот метод, ревизорот, главно, мора да се потпираат на сопствените искуства.

И тоа само значи дека тоа мора да биде целосно квалификувани во областа на информатичката технологија и заштита на податоците. Врз основа на оваа анализа, ревизорот и пресметува можни ризици.

Имајте на ум дека тоа треба да се справи не само во оперативниот систем или програма која се користи, на пример, за бизнис или сметководство, но, исто така, јасно да се разбере како напаѓачот може да навлезат во информацискиот систем за целите на кражба, оштетување и уништување на податоците, создавање предуслови за прекршоци во компјутери, ширењето на вируси или малвер.

Евалуација на наоди и препораки за решавање на проблемите ревизија

Врз основа на анализата заклучува експертот за статусот на заштита и дава препораки за решавање на постоечките или потенцијалните проблеми, безбедносни надградби, итн Препораките не треба да биде само фер, но, исто така, јасно поврзана со реалноста на спецификите на претпријатието. Со други зборови, совети за подобрување на конфигурацијата на компјутери или софтвер не се прифаќаат. Ова подеднакво важи и за советот на разрешување на "неверодостојни" персонал, инсталирање на нови системи за следење без наведување на нивната дестинација, локацијата и соодветност.

Врз основа на анализата, како по правило, постојат неколку ризични групи. Во овој случај, да се состави краток извештај користи две клучни индикатори: (. Загуба на средствата, намалување на углед, губење на сликата и така натаму) веројатноста за напад и на штета на компанијата, како резултат. Сепак, претставата на групи не се исти. На пример, индикатор за ниско ниво за веројатноста за напад е најдобар. За надомест на штета - напротив.

Само тогаш состави извештај во кој детално се насликани сите фази, методи и средства на истражувањето. Тој се согласи со раководството и потпишан од двете страни - на компанијата и на ревизорот. Ако ревизија внатрешни, е извештајот на шефот на соодветните структурна единица, по што, повторно, потпишан од страна на шефот.

ревизија на безбедноста на информациите: Пример

Конечно, ние ги сметаме Наједноставен пример за ситуација што веќе се случило. Многу од нив, патем, тоа може да изгледа многу познато.

На пример, вработените на компанијата набавка во Соединетите Американски Држави, основана во ICQ инстант месинџер компјутер (името на работникот и името на компанијата не е именуван за очигледни причини). Преговорите беа спроведени токму со помош на оваа програма. Но, "ICQ" е прилично ранлива во однос на безбедноста. Авто вработен на регистарските броеви на време или не имате е-мејл адреса, или едноставно не сакаат да го даде. Наместо тоа, тој укажа на нешто како што се e-mail, па дури и непостоечки домен.

Што би напаѓачот? Како што е прикажано од страна на ревизија на безбедноста на информациите, ќе бидат регистрирани точно ист домен и создаде ќе биде во него, уште регистрација терминал, а потоа може да се испрати порака до Mirabilis компанија која е сопственик ICQ услуга, бара наплата на лозинка, поради неговата загуба (тоа да се направи ). Како на примачот на mail серверот не е, тоа беше вклучен пренасочување - да се пренасочува кон постоечки натрапникот пошта.

Како резултат на тоа, тој ќе добие пристап до преписката со даден број на ICQ и го информира снабдувачот за промена на адресата на примачот на стоката во одредена земја. Така, стока испратена на некоја непозната дестинација. И тоа е најстариот безопасни пример. Значи, неуредно однесување. А што е со посериозни хакери кои се во можност да многу повеќе ...

заклучок

Еве краток и сето она што се однесува на ревизија IP безбедност. Се разбира, тоа не е под влијание од страна на сите аспекти од него. Причината за тоа е само дека во формулирањето на проблеми и методи на своето однесување влијае многу фактори, па пристап во секој случај е строго индивидуално. Покрај тоа, методи и средства за ревизија на безбедноста на информациите може да биде различен за различни шеми. Сепак, мислам дека, општите принципи на таквите тестови за многумина стануваат очигледни дури и на примарно ниво.