Audit bezpečnosti informácií: ciele, metódy a nástroje, príklad. Audit informačnej bezpečnosti banky

Dnes každý vie takmer posvätnou vetu, ktorá je vlastníkom informácií, vlastný svet. To je dôvod, prečo v dnešnej dobe ukradnúť dôverné informácie, sa snaží všetky a rôzne. V tomto ohľade prijatá bezprecedentné kroky a realizácia prostriedkov ochrany pred možnými útokmi. Niekedy však môže byť potrebné vykonať audit bezpečnosti podnikových informácií. Čo to je a prečo je to všetko teraz, a pokúsiť sa pochopiť.

Čo je audit informačnej bezpečnosti vo všeobecnej definícii?

Kto nebude mať vplyv na ťažko pochopiteľných vedecké termíny, a pokúsiť sa zistiť, ako pre seba, základné pojmy, popisovať je vo väčšine jednoduchým jazykom (ľudí by to mohlo byť nazvané audit pre "nechápavo").

Názov zložitých udalostiach hovorí samo za seba. Informácie o bezpečnostný audit je nezávislé overenie alebo peer review na zaistenie bezpečnosti informačných systémov (IS) akékoľvek firmy, inštitúcie alebo organizácie, na základe špeciálne vyvinutých kritérií a ukazovateľov.

Zjednodušene povedané, napríklad auditovať informačnú bezpečnosť banky scvrkáva, posúdiť úroveň ochrany zákazníckych databáz v držbe bankových operácií, bezpečnosť elektronických peňazí, bankové tajomstvo, a tak ďalej. D. V prípade zásahu do činnosti tejto inštitúcie neoprávnenými osobami z vonku, pomocou elektronických a počítačových zariadení.

Iste, medzi čitateľmi existuje aspoň jedna osoba, ktorá volal domov alebo mobilný telefón s návrhom spracovanie úveru či vkladu, banka, s ktorou nemá nič spoločné. To isté platí pre nákup a ponúka od niektorých obchodoch. Odkiaľ prišiel váš pokoj?

Je to jednoduché. Ak je osoba už skôr vzali pôžičky alebo investuje do vkladový účet, samozrejme, jeho dáta sú uložené v spoločnej zákazníckej základne. Ak voláte z inej banky alebo z obchodu môže byť len jeden záver: informácie o ňom prišiel nelegálne tretím stranám. Ako? Všeobecne platí, že existujú dve možnosti: buď to bolo odcudzené, alebo prevedené na zamestnancov banky tretím osobám vedome. K tomu, aby sa takéto veci sa nestalo, a tie potrebujú čas, aby vykonala audit informačnej bezpečnosti banky, a to platí nielen pre počítač alebo "železných" ochrannými prostriedkami, ale všetkých zamestnancov inštitúcie.

Hlavné smery informácie bezpečnostného auditu

Pokiaľ ide o rozsah auditu, ako pravidlo, že je niekoľko:

• plná kontrola objektov zapojených do procesov informácie (počítačového automatizovaného systému, komunikačných prostriedkov, príjem, prenos a spracovanie informácií, zariadenia, priestor pre dôverných stretnutí, monitorovacích systémov, atď);
• overenie spoľahlivosti ochrany dôverných informácií s obmedzeným prístupom (zistenie možného úniku a potenciálnych bezpečnostných dier kanálov, ktoré umožňujú pristupovať k nemu z vonkajšku s použitím štandardných i neštandardných postupov);
• skontrolovať všetkých elektronických hardvérových a lokálnych počítačových systémov pre vystavenie elektromagnetickému žiareniu a rušenia, čo im umožňuje vypnúť alebo priviesť do rozpadu;
• Projekt časť, ktorá zahŕňa prácu na tvorbe a uplatňovaní koncepcie bezpečnosti v jej praktickom vykonávaní (ochrana počítačových systémov, zariadení, komunikačné zariadenia a podobne).

Pokiaľ ide o audit?

Nehovoriac o kritickej situácie, kedy bola obrana už rozbité, audit informačnej bezpečnosti v organizácii môže byť vykonaná, a v niektorých ďalších prípadoch.

Typicky medzi ne patrí expanziu firmy, fúzie, akvizície, prevzatie iných spoločností, zmeniť smer obchodných konceptov alebo pokyny, zmeny v medzinárodnom práve, alebo v rámci právnych predpisov v rámci jednej krajiny, skôr závažných zmien v informačnej infraštruktúry.

typy auditu

V súčasnej dobe je veľmi klasifikácia auditu tohto typu, podľa mnohých analytikov a odborníkov nie je stanovená. Preto je rozdelenie do tried v niektorých prípadoch môže byť docela ľubovoľný. Avšak všeobecne platí, že audit informačnej bezpečnosti možno rozdeliť na vonkajšie a vnútorné.

Externý audit vykonaný nezávislými odborníkmi, ktorí majú právo na prácu, je zvyčajne kontrola jednorazový, ktorý môže byť iniciovaný manažmentu, akcionárov, orgánov presadzovania práva, atď Predpokladá sa, že sa odporúča externý audit informačnej bezpečnosti (ale nevyžaduje), aby pravidelne prevádzať po nastavenú dobu. Ale pre niektoré organizácie a podniky, v súlade s právnymi predpismi, je povinné (napríklad, finančných inštitúcií a organizácií, akciových spoločností a ďalšie.).

Vnútorná bezpečnosť informácií audit je neustály proces. Je založený na špeciálnej "nariadenie o vnútorného auditu". Čo je to? V skutočnosti je tento certifikačnej činnosti vykonávanej v organizácii z hľadiska schválených vedením. Audit informačnej bezpečnosti zvláštne konštrukčné rozdelenie podniku.

Alternatívne klasifikácie auditu

Okrem opísaného rozdelenie do tried vo všeobecnom prípade, môžeme rozlíšiť niekoľko súčasti vyrobené v medzinárodnej klasifikácii:

• Expert kontrolu stavu bezpečnostných a informačných systémov informácie na základe osobných skúseností odborníkov, jeho dirigentskej;
• systémy certifikácie a bezpečnostné opatrenia v súlade s medzinárodnými normami (ISO 17799) a národnými právnymi nástrojmi, ktoré upravujú túto oblasť činnosti;
• Analýza bezpečnosti informačných systémov s využitím technických prostriedkov, ktorých cieľom je identifikovať potenciálne slabiny v softvéru a hardvéru komplexu.

Niekedy to môže byť použitá aj tzv komplexný audit, ktorý zahŕňa všetky vyššie uvedené typy. Mimochodom, dáva najviac objektívne výsledky.

Naplánovaných cieľov a úloh

Akékoľvek overenie, či interné alebo externé, začína stanovenie cieľov a zámerov. Jednoducho povedané, je potrebné zistiť, prečo, ako a čo sa bude testovať. To určí ďalší postup spočíva v prevedení celého procesu.

Úlohy, v závislosti na konkrétnej štruktúre podniku, organizácie, inštitúcie a jej činností môže byť veľa. Avšak uprostred všetkej tejto verzii, jednotný cieľ informácie bezpečnostného auditu:

• posúdenie stavu informačnej bezpečnosti a informačných systémov;
• analýza možných rizík spojených s rizikom prieniku do vonkajšej IP a možných spôsoboch takéhoto zásahu;
• lokalizácia otvorov a medzier v zabezpečení;
• Analýza primeranej úrovne bezpečnosti informačných systémov platných noriem a predpisov a právnych predpisov;
• Vývoj a dodávka odporúčaní týkajúcich sa odstránenia existujúcich problémov, rovnako ako zlepšenie existujúcich nápravných opatrení a zavedenie nových vývojových trendov.

Metodológia a kontrolné nástroje

Teraz pár slov o tom, ako sa kontrola a aké kroky, a znamená, že zahŕňa.

Audit informačnej bezpečnosti sa skladá z niekoľkých fáz:

• začatím overovacích postupov (jasné vymedzenie práv a povinností audítora, audítor kontroluje prípravu plánu a jeho koordináciu s vedením, otázka hraníc štúdie predpisovaní členmi záväzku organizácie na starostlivosť a včasné poskytovanie relevantných informácií);
• zberu vstupných dát (štruktúra bezpečnosti, distribúcia bezpečnostných prvkov, úrovňou zabezpečenia výkonu systému analytických metód pre získavanie a poskytovanie informácií, určenie komunikačných kanálov a IP interakcie s inými štruktúrami, hierarchiu používateľov počítačových sietí, stanovenie protokoly, atď);
• vykonať komplexné alebo čiastočnú kontrolu;
• Analýza dát (analýza rizík akéhokoľvek typu a dodržiavanie predpisov);
• vydávať odporúčania k riešeniu prípadných problémov;
• generovanie reportov.

Prvá etapa je najjednoduchšie, pretože jej rozhodnutie je vyrobený výhradne medzi vedením spoločnosti a audítora. Hranice analýzy možno považovať pri výkone pôsobnosti valného zhromaždenia zamestnancov alebo akcionárov. To všetko a ešte viac v súvislosti s právnej oblasti.

Druhá etapa zhromažďovanie základných údajov, či už sa jedná o interný audit informačnej bezpečnosti alebo externý nezávislú certifikáciu je veľmi náročná na zdroje. To je spôsobené tým, že v tejto fáze budete musieť skúmať nielen technickú dokumentáciu týkajúcu sa každého hardvéru a softvéru, ale aj úzky dotazovanie pracovníkov spoločnosti, a vo väčšine prípadov aj pri plnení špeciálnej dotazníky alebo prieskumy.

Pokiaľ ide o technickú dokumentáciu, je dôležité získať údaje o štruktúre IC a prioritné úrovňou prístupových práv k svojim zamestnancom, s cieľom určiť celý systém a aplikačný softvér (operačný systém pre podnikové aplikácie, ich riadenie a účtovníctvo), rovnako ako zavedené ochrany softvéru a typ non-programu (antivírusový softvér, firewall, atď.). Navyše to zahŕňa plnú kontrolu sietí a poskytovateľov telekomunikačných služieb (organizácie siete, protokoly použité pre pripojenie, druhy komunikačných kanálov, prenos a spôsoby prijímanie informačných tokov, a ďalšie). Ako je zrejmé, to trvá veľa času.

V ďalšej fáze, metódy informačnej bezpečnosti auditu. Sú tri:

• Analýza rizík (najťažšie techniku, na základe určenia audítora k prenikaniu porušovaniu duševného vlastníctva a jeho integritu s využitím všetkých možných metód a nástrojov);
• Posúdenie súladu s normami a právnymi predpismi (najjednoduchšia a najpraktickejší metóda založená na porovnaní súčasného stavu a požiadavky medzinárodných noriem a domácich dokumentov v oblasti informačnej bezpečnosti);
• kombinovaná metóda, ktorá kombinuje prvé dva.

Po obdržaní výsledkov overení ich analýzy. Fondy Audit informačnej bezpečnosti, ktoré sa používajú pre analýzu, môže byť veľmi pestrá. To všetko závisí na špecifiká podniku, druhu informácií, softvéru, ktorý používate, ochrany a tak ďalej. Avšak, ako je možné vidieť na prvý metóda, audítor musí predovšetkým spoliehať na svoje vlastné skúsenosti.

A to len znamená, že musí mať plnú kvalifikáciu v oblasti informačných technológií a ochrany osobných údajov. Na základe tejto analýzy, audítor a vypočítava možné riziká.

Všimnite si, že by sa mala zaoberať nielen v operačnom systéme alebo použitého softvéru, napríklad pre podnikanie alebo účtovníctvo, ale tiež jasne pochopiť, ako môže útočník preniknúť do informačného systému za účelom odcudzenie, poškodenie alebo zničenie dát, vytvorenie predpokladov pre porušenie v oblasti počítačov, šírenie vírusov a malware.

Vyhodnotenie zistení auditu a odporúčania na riešenie problémov

Na základe analýzy odborník k záveru o stave ochrany a dáva odporúčania k riešeniu existujúce alebo potenciálne problémy, aktualizácie zabezpečenia, atď Odporúčania by mali byť nielen spravodlivé, ale tiež jasne viazaná na realite podnikových špecifík. Inými slovami, tipy na upgrade konfiguráciu počítačov alebo softvéru nie sú akceptované. To platí aj pre radu odvolanie "nespoľahlivých" personálu, inštalovať nové sledovacie systémy bez uvedenia svojho cieľa, umiestnenia a primeranosť.

Na základe analýzy, spravidla existuje niekoľko rizikových skupín. V takom prípade kompilovať súhrnná správa využíva dva kľúčové ukazovatele: (. Strata majetku, zníženie reputácie, strata obrazu a tak ďalej), pravdepodobnosť útoku a škody spôsobené na spoločnosť ako výsledok. Avšak výkonnosť skupiny nie sú rovnaké. Napríklad, indikátor nízkej hladiny u pravdepodobnosť útoku je najlepší. Na náhradu škody - naopak.

Až potom zostavujú správu, ktorá podrobne popisuje pomaľované všetkými fázami, metódy a prostriedky výskumu. On súhlasil s vedením a podpísaná oboma stranami - spoločnosti a audítora. V prípade, že audit interná, je správa vedúci príslušnej konštrukčnej jednotky, po ktorom sa opäť podpísané hlavy.

Audit informačnej bezpečnosťou: Príklad

Nakoniec sme sa zvážiť najjednoduchšie príklad situácie, ktorá sa už stalo. Mnohí, mimochodom, sa môže zdať veľmi dobre oboznámení.

Napríklad zamestnanci zákazky spoločnosť v Spojených štátoch, so sídlom v ICQ instant messenger počítača (meno zamestnanca a názov firmy nie je menovaný z pochopiteľných dôvodov). Rokovania bola vedená práve pomocou tohto programu. Ale "ICQ" je pomerne zraniteľná z hľadiska bezpečnosti. Vlastné zamestnanci v registračných čísel v tom čase ani nemala mať e-mailovú adresu, alebo jednoducho nechcel, aby to. Namiesto toho poukázal na niečo ako e-mail, a dokonca neexistujúci domény.

Čo by útočník? Ako je znázornené auditu informačnej bezpečnosti, bolo by byť zaregistrovaný presne rovnakú doménu a vytvorila by v ňom iný registračný terminál, a potom mohol poslať správu spoločnosti Mirabilis, ktorá je vlastníkom ICQ službu, žiadosť o obnovenie hesla v dôsledku jej straty (ktoré by bolo vykonané ). Ako príjemca poštový server nebol, bol zaradený presmerovať - presmerovať do existujúceho vlámaniu mailu.

Výsledkom je, že sa mu dostane prístup ku korešpondencii s daným číslom ICQ a informuje dodávateľa zmeniť adresu príjemcu tovaru v určitej krajine. To znamená, že odoslanie tovaru k neznámemu cieľu. A to je najviac neškodný príklad. Takže, výtržníctva. A čo viac vážnych hackerov, ktorí sú schopní oveľa viac ...

záver

Tu je stručný a všetko, čo sa týka bezpečnostného auditu IP. Samozrejme, že to nie je ovplyvnená všetkými aspekty toho. Dôvodom je práve to vo formulácii problémov a spôsoby jeho správanie ovplyvňuje mnoho faktorov, takže prístup v každom prípade je prísne individuálne. Okrem toho metódy a prostriedky bezpečnostného auditu informačného môže byť odlišná pre rôzne obvody. Avšak si myslím, že všeobecné princípy týchto testov pre mnohých sa prejavila aj na primárnej úrovni.