Безбедност информација Ревизија: Циљеви, методе и средства, пример. Информациона безбедност ревизија банке

Данас, сви знају готово свети фразу која поседује информацију, поседује свет. Зато је у нашем времену да украду поверљиве информације покушавају на све и сушен на сунцу. У том смислу, предузети невиђене мере и примену средстава заштите од могућих напада. Међутим, понекад можда ћете морати да изврши ревизију безбедности информација предузећа. Шта је и зашто све то је сада, и покушамо да разумемо.

Шта је ревизија безбедности информација у општој дефиницији?

Који неће утицати на абструсе научне термине, и покушавају да утврде за себе основне појмове, их описује на најједноставнији језик (народ може да се назове ревизија за "лутке").

Име комплексних догађаја говори сама за себе. Безбедносне информације ревизија је независна верификација или колега преглед како би се осигурала безбедност информационих система (ИС) било које фирме, институције или организације на основу посебно развијених критеријума и индикатора.

Једноставно речено, на пример, ревизија информациону безбедност банке своди се, да се процени степен заштите база података клијената у поседу банкарских послова, сигурност електронског новца, очување банкарског тајности, и тако даље. Д. У случају сметњи у раду ове институције неовлашћена лица изван, користећи електронских и компјутери.

Свакако, међу читаоцима постоји барем једна особа која се зове дом или мобилни телефон са предлогом обраде кредита и депозита, банке са којима то нема никакве везе. Исто важи и за куповину и понуда од неких продавница. Одакле је своју собу?

То је једноставно. Ако је особа раније су узели кредите или уложен у обзир депозита, наравно, њени подаци се чувају у заједничком базе клијената. Када зовете из друге банке или продавнице може бити само један закључак: информације о томе је илегално трећим лицима. Како? У принципу, постоје две опције: или да је украден, или пренети на запослене у банци трећим лицима свесно. Да би се такве ствари не дешавају, и потребно је време да се изврши ревизију безбедносних информација банке, а то се односи не само на рачунару или "Ирон" средство заштите, али целокупног особља институције.

Главни правци информације безбедности ревизије

Што се тиче обима ревизије, као по правилу, они су неколико:

• проверу објеката који су укључени у процес информисања (компјутерски аутоматизована систем, средства комуникације, пријем, пренос информација и прераде, објеката, просторија за поверљиве састанке, систем за праћење, итд);
• проверу поузданости заштите поверљивих информација са ограниченим приступом (одређивање могућег цурења и потенцијалне безбедносне рупе канала који омогућавају приступ га од споља уз употребу стандардних и нестандардних метода);
• цхецк свих електронских хардверских и локалних рачунарских система за изложености електромагнетног зрачења и сметњи, што им омогућава да искључите или довести у лошем стању;
• Пројекат део, који обухвата рад на стварању и примјени концепта безбедности у његовој практичној имплементацији (заштита од компјутерских система, објеката, комуникација објеката, итд).

Када је у питању ревизија?

А да не помињемо критичне ситуације у којима је одбрана већ поломљене, ревизија безбедности информација у организацији може извршити, и у неким другим случајевима.

Типично, они укључују ширење компаније, спајање, припајање, преузимање од стране других компанија, променити ток пословних концепата или смернице, промене у међународном праву или закону у земљи, а озбиљне промене у информационе инфраструктуре.

врсте ревизије

Данас је веома класификација ове врсте ревизије, према многим аналитичарима и стручњацима није успостављена. Дакле, подела на класе у неким случајевима може бити сасвим произвољан. Ипак, генерално, ревизија безбедности информација се може поделити на спољашњи и унутрашњи.

Спољашњи ревизија спроведена од стране независних експерата који имају право да раде, обично провера само једном, који може да покрене управљање, акционара, органа за спровођење закона, итд Верује се да препоручује се спољна ревизија безбедности информација (али не и обавезно) да редовно обавља у одређеном временском периоду. Али за неке организације и предузећа, у складу са законом, обавезно (на пример, финансијским институцијама и организацијама, акционарских друштава, и други.).

Унутрашња безбедност информација ревизија је константан процес. Она се заснива на посебним "Правилника о унутрашњој ревизији". Шта је то? У ствари, ова потврда активности спроводи у организацији, у смислу одобрени од стране руководства. Информациони безбедност ревизија посебним структурне поделе предузећа.

Алтернативни класификација ревизије

Поред горе описаног поделе на класе у општем случају, можемо разликовати неколико компоненти направљене у међународној класификацији:

• Експерт проверу статуса безбедности информационих система и информационих система на основу личног искуства стручњака, његов спроводног;
• сертификацију система и мере безбедности за усаглашавање са међународним стандардима (ИСО 17799) и националних правних инструмената који регулишу ову област деловања;
• Анализа безбедности информационих система уз коришћење техничких средстава у циљу идентификације потенцијалних рањивости у комплексу софтвера и хардвера.

Понекад се може применити и тзв свеобухватна ревизија, која укључује све горе наведене врсте. Узгред, он даје највише објективне резултате.

Постепено циљеви и задаци

Било верификација, без обзира да ли унутрашњи или спољашњи, почиње са постављањем циљева. Једноставно речено, треба да утврде зашто, како и шта ће бити тестиран. Ово ће одредити даљи поступак вршења цео процес.

Задаци, у зависности од специфичне структуре предузећа, организације, институције и њених активности могу бити доста. Међутим, усред све ово издање, јединствена циљ сигурности информација ревизије:

• Процена стања безбедности информација и информационих система;
• анализа могућих ризика повезаних са ризиком од продирању екстерне ИП и могућим модалитетима таквог мешања;
• локализација рупа и празнина у систему безбедности;
• Анализа одговарајућем нивоу безбедности информационих система са важећим стандардима и регулаторних и правних аката;
• развој и испорука препорука које укључују уклањање постојећих проблема, као и побољшање постојећих правних лекова и увођење нових развоја.

Методологија и ревизија алати

Сада неколико речи о томе како је чек и које кораке и значи да подразумева.

Ревизија безбедносних информација састоји се од неколико фаза:

• покретање процедуре верификације (јасну дефиницију права и одговорности ревизора, ревизор проверава припрему плана и њихова координација са управом, питање граница студије, наметање на припаднике организације обавезу да брину и правовремено пружање релевантних информација);
• прикупљања почетних података (безбедносне структуре, дистрибуцију безбедносних функција, ниво безбедности перформанси система методама анализе за добијање и пружање информација, одређивање комуникационих канала и ИП интеракције са другим структурама, хијерархија корисника рачунарских мрежа, утврђивање протокола, итд);
• спровести свеобухватну или делимичну надзор;
• анализа података (анализа ризика било ког типа и усклађености);
• издавање препоруке за решавање потенцијалних проблема;
• генерисање извештаја.

Прва фаза је најједноставнији, јер је његова одлука се доноси искључиво између менаџмента компаније и ревизора. Границе анализе могу се разматрати на скупштини акционара запослених или. Све то и више у вези са правном пољу.

Друга фаза прикупљања основних података, без обзира да ли је то интерна ревизија безбедности информација или спољашње независно сертификације је највише ресурс-интензивне. То је због чињенице да је у овој фази потребно је да не само разматра техничку документацију која се односи на све хардвера и софтвера, али такође се смањио анкетирање радника компаније, а у већини случајева чак и са попуњавањем посебних упитника или истраживања.

Што се тиче техничке документације, важно је да добије податке о ИЦ структуру и нивое приоритета приступних права својим запосленима, да се идентификују на нивоу система и апликативни софтвер (оперативни систем за пословне апликације, њихово управљање и рачуноводство), као и успостављена заштита софтвера и тип нон-програм (антивирусни софтвер, фиревалл, итд). Осим тога, ово укључује потпуну верификацију мрежа и провајдера телекомуникационих услуга (мрежни организација, протокола који се користе за повезивање, врсте канала комуникације, пренос и методе пријем проток информација, и више). Као што је јасно, потребно је много времена.

У наредној фази, методе информационе безбедности ревизије. Они су три:

• Анализа ризика (најтеже техника, базирана на одређивање ревизора до продирања ИП повреде и њеног интегритета, користећи све могуће методе и средства);
• оцјена усклађености са стандардима и прописима (најједноставнији и најпрактичнији начин на основу поређења постојећег стања и захтевима међународних стандарда и домаћих докумената из области безбедности информација);
• комбиновани метод који комбинује прва два.

Након пријема резултата верификације својих анализа. Средства за ревизију безбедности информација, које се користе за анализу, може бити сасвим варира. Све зависи од специфичности предузећа, врсту информација, софтвера који користите, заштиту и тако даље. Међутим, као што се може видети на првој методи, ревизор углавном морају да се ослањају на сопственом искуству.

И то само значи да то мора бити у потпуности оспособљена у области информационих технологија и заштити података. На основу ове анализе, ревизора и рачуна на могуће ризике.

Имајте на уму да треба да се баве не само у оперативни систем или програм користи, на пример, за посао или рачуноводства, али и да јасно разумеју како нападач може да продре у информациони систем ради крађе, оштећења и уништења података, стварање предуслова за прекршаје у рачунарима, ширење вируса или малваре.

Процена налаза и препорука за решавање проблема ревизије

На основу анализе стручњак закључује о статусу заштите и даје препоруке за решавање постојеће или потенцијалне проблеме, безбедносне надоградње, итд Препоруке не би требало само да буде фер, али и јасно повезана са реалношћу специфичности предузећа. Другим речима, савети о унапређењу конфигурацију рачунара или софтвера се не прихватају. То подједнако важи и за савете о разрешењу "непоузданих" особље, инсталацију нових система за праћење без навођења на одредиште, место и адекватности.

На основу анализе, по правилу, постоји неколико ризичних група. У том случају, саставити извештај резиме користи две кључне показатеље: (. Губитак имовине, смањење угледа, губитак имиџа и тако даље) вероватноћу напада и стварну штету компанији као резултат. Међутим, перформансе групе нису исти. На пример, индикатор за вероватноћу напада на ниском нивоу је најбољи. За штете - Напротив.

Тек тада саставили извештај који Детаљи осликане свим фазама, методе и средства за истраживања. Он се сложио са руководством и потписан од стране две стране - компанију и ревизора. Ако је ревизија унутрашње, је извештај на челу одговарајуће структурне јединице, након чега је, опет, потписаног од стране главе.

Информациона безбедност ревизија: Пример

На крају, сматрамо да је најједноставнији пример ситуације која је већ догодило. Многи, успут, може изгледати веома познато.

На пример, особље набавке једне компаније у Сједињеним Америчким Државама, основана у ИЦК инстант мессенгер рачунару (име радника и име компаније није именован из очигледних разлога). Преговори су вођени управо путем овог програма. Али "Номер ИЦК" је прилично рањив у погледу безбедности. Само запослени у бројевима регистарских у то време, или није имао адресу е-поште, или једноставно не желе да га дам. Уместо тога, он је указао да тако нешто е-маил, па чак и непостојеће домену.

Шта би нападач? Као што је приказано ревизије безбедности информација, било би регистровано тачно исти домен и створили би се у њему, друга регистрација терминала, а онда би могла да пошаље поруку компанији Мирабилис, која је власник сервиса ИЦК, тражи лозинку опоравак због губитка (који ће бити урађено ). Као прималац е-маил сервер није било, да је укључен преусмери - преусмере на постојећу уљеза поште.

Као резултат тога, он добија приступ преписци са датим ИЦК број и обавештава добављача да промените адресу примаоца робе у одређеној земљи. Тако, роба послата у непознатом правцу. И то је највише безопасна пример. Дакле, напасни. А шта је са тежим хакера који су у стању да много више ...

закључак

Овде је кратак и све што се односи на ИП безбедности ревизије. Наравно, то не утиче на све аспекте тога. Разлог је само да у формулисању проблема и начина његовог понашања утиче много фактора, тако да је приступ у сваком случају је строго индивидуално. Поред тога, методе и средства за информациону безбедност ревизије може бити различит за различите ИЦС. Ипак, мислим, општи принципи тих тестова за многе постало јасно чак и на примарном нивоу.