Revizija informacijske sigurnosti: ciljevi, metode i alati, primjer. Revizija informacijske sigurnosti banke

Danas svatko zna gotovo sveti izraz koji posjeduje informacije, posjeduje svijet. Zato je u našem vremenu ukrasti povjerljive informacije pokušavaju sve i raznovrstan. U tom smislu, uzeti bez presedana korake i provedbe sredstava za zaštitu od mogućih napada. Međutim, ponekad vam svibanj je potrebno provesti reviziju poduzeća informacijske sigurnosti. Što je to i zašto je sve to sada, i pokušati razumjeti.

Što je revizija informacijske sigurnosti u općoj definiciji?

Tko neće utjecati na nejasan znanstvenih pojmova, te pokušati odrediti za sebe osnovne pojmove, opisujući ih u većini jednostavan jezik (ljudi to se može nazvati revizija za „lutke”).

Ime složenih događaja govori sama za sebe. Informacijska sigurnost revizija je neovisna provjera ili peer review kako bi se osigurala sigurnost informacijskih sustava (IS) od bilo koje tvrtke, institucije ili organizacije na temelju posebno razvijenih kriterija i pokazatelja.

U jednostavnim uvjetima, na primjer, revizija informacijske sigurnosti banke svodi na, za procjenu razine zaštite korisnika baze podataka koje drže bankarskog poslovanja, sigurnost elektroničkog novca, čuvanje bankovne tajne, i tako dalje. D. U slučaju smetnji u radu ustanove neovlaštenih osoba izvana, pomoću elektroničkih i računalnih sadržaja.

Dakako, među čitateljima postoji barem jedna osoba koja se zove dom ili mobilni telefon s prijedlogom obrade kredita ili depozita, banka s kojom nema veze. Isto vrijedi i za kupovinu i ponude od nekih dućana. Odakle je došao do svoje sobe?

To je jednostavno. Ako je osoba prethodno uzeo kredite ili uložio u depozitni račun, naravno, njegova se podaci pohranjuju u zajedničku bazu klijenata. Kad nazovete od druge banke ili trgovine može biti samo jedan zaključak: informacije o tome je došao ilegalno trećim stranama. Kako? Općenito, postoje dvije mogućnosti: ili da je ukraden, ili prenijeti na zaposlenike banke trećim osobama svjesno. Da bi se takve stvari nije dogodilo, a vi trebate vremena da provede reviziju informacijske sigurnosti banke, a to se ne odnosi samo na računalu ili „željeza” sredstva zaštite, ali cijelo osoblje ustanove.

Glavni pravci informacijske sigurnosti revizije

Što se tiče opsega revizije, u pravilu, oni su nekoliko:

• puna provjera objekata koji su uključeni u procese informacija (računala automatizirani sustav, način komunikacije, recepcija, informacijski prijenosa i obrade, objekata, prostora za povjerljivim sastancima, sustave nadgledanja itd);
• provjera pouzdanosti zaštite povjerljivih informacija s ograničenim pristupom (određivanje mogućeg curenja i potencijalnih sigurnosnih rupa kanala dopuštajući pristup izvana uz korištenje standardnih i nestandardnih metoda);
• provjerite svih elektroničkih hardverskih i lokalnih računalnih sustava za izloženost elektromagnetskom zračenju i smetnje, dopuštajući im da isključiti ili dovesti u zapuštenost;
• Projekt je dio, koji uključuje rad na stvaranju i primjeni koncepta sigurnosti u praktičnoj provedbi (zaštita od računalnih sustava, objekata, komunikacijskih objekata i slično).

Kada je riječ o reviziji?

Da ne spominjem kritične situacije u kojima je obrana već bio slomljen, revizija informacijske sigurnosti u organizaciji može se provesti i na nekim drugim slučajevima.

Tipično, to uključuje širenje tvrtke, spajanja, pripajanja, spajanja drugih tvrtki, promijeniti tijek poslovnih koncepata ili smjernice, promjene u međunarodnom pravu ili u zakonodavstvu unutar zemlje, a ozbiljnim promjenama u informacijskom infrastrukturom.

vrste revizije

Danas je vrlo klasifikacija ove vrste revizije, prema mnogim analitičarima i stručnjacima nije uspostavljena. Dakle, podjela na klase u nekim slučajevima može biti prilično proizvoljna. Ipak, u cjelini, revizija informacijske sigurnosti može se podijeliti na vanjske i unutarnje.

Vanjska revizija provedena od strane neovisnih stručnjaka koji imaju pravo na to, obično je jednokratna provjeriti, što može pokrenuti Uprava, dioničare, agencija za provođenje zakona, itd Smatra se da je vanjska revizija informacijske sigurnosti preporučuje se (ali nije uvjet) da redovito obavljaju za određeno vremensko razdoblje. No, za neke organizacije i poduzeća, u skladu sa zakonom, obvezno (na primjer, financijskih institucija i organizacija, dionička društva, i drugi.).

Unutarnja informacije revizija sigurnosti je stalan proces. Ona se temelji na posebnom „Pravilnikom o unutarnjoj reviziji”. Što je to? U stvari, ovaj certifikat aktivnosti koje se provode u organizaciji, u smislu odobreni od strane Uprave. Informacijski sigurnost reviziju posebnim strukturne podjele poduzeća.

Alternativni klasifikacija revizije

Osim gore opisanog podjele na klase u općem slučaju, možemo razlikovati nekoliko komponenti napravljene u međunarodnoj klasifikaciji:

• Stručna provjera stanja sigurnosti i informacijskih sustava informiranja na temelju osobnog iskustva stručnjaka, sprovođenju;
• certificiranja sustava i sigurnosnih mjera za usklađivanje s međunarodnim standardima (ISO 17799) i nacionalnih pravnih instrumenata kojima se uređuje ovom području djelovanja;
• Analiza sigurnosti informacijskih sustava uz korištenje tehničkih sredstava usmjerenih na identificiranje potencijalnih ranjivosti u softver i hardver kompleksa.

Ponekad se može primijeniti i tzv sveobuhvatna revizija, koja uključuje sve gore navedene vrste. Usput, on daje najviše objektivne rezultate.

Postupna ciljevi i zadaci

Svaka provjera, da li unutarnji ili vanjski, počinje s postavljanjem ciljeva. Jednostavno rečeno, morate odrediti zašto, kako i što će biti testirani. To će odrediti daljnji postupak obavljanja cijeli proces.

Zadataka, ovisno o specifičnoj strukturi poduzeća, organizacija, institucija i njegove aktivnosti može biti dosta. Međutim, među svim ovim izdanjem, jedinstven cilj informacijske sigurnosti revizije:

• Procjena stanja sigurnosti informacija i informacijskih sustava;
• Analiza mogućih rizika povezanih s rizikom od prodiranja vanjske IP i mogućim načinima smetnji;
• lokalizacija rupe i praznine u sigurnosnom sustavu;
• Analiza odgovarajuću razinu sigurnosti informacijskih sustava u važećim standardima i zakonskim i pravnim aktima;
• razvoj i isporuka preporuka koji uključuju uklanjanje postojećih problema, kao i poboljšanje postojećih lijekova i uvođenje novih trendova.

Metodologija i revizije alati

Sada nekoliko riječi o tome kako je provjera i koje korake i znači to uključuje.

Informacijski sigurnost reviziju sastoji od nekoliko faza:

• pokretanja postupka verifikacije (jasno definiranje prava i odgovornosti revizora, revizor provjerava pripremu plana i njegovu koordinaciju s upravom, pitanje granica studije, nametanje na članove organizacije opredjeljenje za brigu i pravovremeno pružanje relevantnih informacija);
• prikupljanje početnih podataka (sigurnosne strukture, distribucije sigurnosnih značajki, sigurnosne razine metode analize izvedbe sustava za pribavljanje informacija, određivanje komunikacijskih kanala i IP interakcije s drugim strukturama, hijerarhiju korisnika računalnih mreža, određivanje protokola i slično);
• provesti sveobuhvatnu ili djelomičan nadzor;
• Analiza podataka (analiza rizika od bilo koje vrste i usklađenosti);
• izdavanje preporuke za rješavanje potencijalnih problema;
• Izvješće generacije.

Prva faza je većina jednostavna, jer je odluka donesena isključivo između uprave društva i revizora. Granice analize može se smatrati na glavnoj skupštini zaposlenika ili dioničara. Sve to i više u vezi s pravnom području.

Druga faza prikupljanja osnovnih podataka, da li je unutarnja revizija informacijske sigurnosti ili vanjske neovisne ovjere je najviše resursa-intenzivne. To je zbog činjenice da je u ovoj fazi morate ne samo provjeriti tehničku dokumentaciju koja se odnosi na sve hardvera i softvera, ali i uskog razgovora zaposlenika tvrtke, te u većini slučajeva čak i punjenje posebnih upitnika ili ankete.

Što se tiče tehničke dokumentacije, važno je dobiti podatke o IC strukture i razine prioriteta pristupnih prava svojih zaposlenika, prepoznati kao dio sustava i aplikacijski softver (operativni sustav za poslovne aplikacije, njihovo upravljanje i računovodstvo), te utvrđenom zaštitu softvera i tip ne-programa (antivirusni softver, firewall, itd.) Osim toga, to uključuje potpunu provjeru mreže i davatelja telekomunikacijskih usluga (mrežna organizacija, protokole koji se koriste za spajanje, vrste komunikacijskih kanala, prijenos i metoda prijema informacija o struji, i više). Kao što je jasno, to je potrebno puno vremena.

U sljedećoj fazi, metode informacijske sigurnosti revizije. Oni su tri:

• Analiza rizika (najteži tehnika, temeljen na utvrđivanju revizora prodiranja IP povrede i njene cjelovitosti koristeći sve moguće metode i alati);
• Procjena usklađenosti sa standardima i propisima (najjednostavniji i najpraktičniji način temelji na usporedbi s trenutnom stanju i zahtjevima međunarodnih normi i domaćih dokumenata iz područja informacijske sigurnosti);
• kombinirana metoda koja kombinira prva dva.

Nakon primitka rezultata verifikacije svojih analiza. Sredstva za reviziju informacijske sigurnosti, koji se koristi za analizu, može biti prilično različiti. To sve ovisi o specifičnosti poduzeća, vrsti informacija, softvera koji koristite, zaštite i sl. Međutim, kao što se može vidjeti na prvom metodom, revizor uglavnom morati osloniti na vlastito iskustvo.

A to samo znači da to mora biti u potpunosti osposobljen u području informacijskih tehnologija i zaštite podataka. Na temelju ove analize, revizora i izračunava moguće rizike.

Imajte na umu da to treba rješavati ne samo u operacijskom sustavu ili programu koji se koristi, primjerice, za posao ili računovodstva, ali i jasno razumjeti kako napadač može prodrijeti u informacijskom sustavu u svrhu krađe, oštećenja i uništenja podataka, stvaranje uvjeta za prekršaje u računalima, širenje virusa i zlonamjernih programa.

Procjena revizijskih nalaza i preporuka za rješavanje problema

Na temelju analize stručnjak zaključuje o statusu zaštite i daje preporuke za rješavanje postojećih ili potencijalnih problema, sigurnosne nadogradnje, itd Preporuke ne samo da bi trebao biti fer, ali i jasno povezane sa stvarnostima poduzeća specifičnosti. Drugim riječima, savjete o nadogradnji konfiguraciju računala ili softvera se ne prihvaćaju. To jednako vrijedi i za savjet smjenu „nepouzdanih” osoblje, instalaciju novih sustava za praćenje bez navođenja na svoje odredište, mjesto i prikladnost.

Na temelju analize, u pravilu, postoji nekoliko rizične skupine. U tom slučaju, sastaviti sažetak izvješća koristi dva ključna pokazatelja: (. Gubitak imovine, smanjenje ugleda, gubitak slike i tako dalje), vjerojatnost napada i nanesene štete društvu kao rezultat. Međutim, izvedba grupe nisu iste. Na primjer, indikator niske razine za vjerojatnost napada je najbolji. Za štete - naprotiv.

Tek tada sastavio izvješće koje detalje naslikao sve faze, metode i sredstva za istraživanja. Složio se s vodstvom i potpisan od strane obje strane - tvrtku i revizora. Ako je revizija unutarnje, je izvješće voditelj dotičnog strukturne jedinice, nakon čega je, opet, potpisan od strane glave.

Informacijska sigurnost revizije: Primjer

Konačno, smatramo najjednostavniji primjer situacije koja je već dogodilo. Mnogi su, usput, to se može činiti vrlo poznato.

Na primjer, tvrtka nabave osoblje u Sjedinjenim Američkim Državama, osnovana ICQ Instant Messenger računala (ime zaposlenika i naziv tvrtke ne zove za očitih razloga). Pregovori su provedena upravo pomoću ovog programa. No, „ICQ” je prilično ranjiva u smislu sigurnosti. Samostalno zaposlenik registarskih brojeva na vrijeme ili nisu imali adresu e-pošte, ili jednostavno nije htio dati. Umjesto toga, on je ukazao na nešto poput e-maila, pa čak i nepostojeće domene.

Što bi napadač? Kao što je prikazano od strane revizije informacijske sigurnosti, to će biti registrirana točno istu domenu i stvorili bi se u njega, drugi registracija terminala, a onda može poslati poruku na Mirabilis tvrtke koja posjeduje ICQ usluga, zahtjevu za oporavak zaporke zbog gubitka (to će biti učinjeno ). Kao primatelj poslužitelja e-pošte nije bilo, bilo je uključeno preusmjeravanje - preusmjeriti na postojeći uljeza mail.

Kao rezultat toga, on dobiva pristup korespondenciju s određenim brojem ICQ i obavještava dobavljača da promijeni adresu primatelja robe u određenoj zemlji. Dakle, dobra šalju u nepoznatom pravcu. I to je najviše bezopasan primjer. Dakle, nasilničkog ponašanja. A što je više ozbiljnih hakera koji su u stanju mnogo toga ...

zaključak

Ovdje je kratak i sve što se odnosi na IP sigurnosne revizije. Naravno, to ne utječe na sve aspekte toga. Razlog je upravo to u formulaciji problema i načina njegovog ponašanja utječe mnogo faktora, tako da je pristup u svakom slučaju je strogo individualan. Osim toga, metode i sredstva informacijske sigurnosti revizije mogu biti različiti za različite ICS. Međutim, mislim, opća načela takvih testova za mnoge postati jasno čak i na primarnoj razini.