Information Security Audit: Mål, metoder og redskaber, eksempelvis. Informationssikkerhed revision af banken

I dag, alle kender den næsten hellige sætning, der ejer de oplysninger, der ejer verden. Det er derfor, i vores tid til at stjæle fortrolige oplysninger forsøger at alle og enhver. I den forbindelse taget hidtil usete skridt og implementering af metoder til beskyttelse mod mulige angreb. Men nogle gange kan det være nødvendigt at foretage en revision af virksomhedens informationssikkerhed. Hvad er det og hvorfor er det hele nu, og forsøge at forstå.

Hvad er en revision af informationssikkerhed i den generelle definition?

Hvem vil ikke påvirke de dunkle videnskabelige termer, og forsøge at bestemme for sig selv de grundlæggende begreber, der beskriver dem på den mest enkle sprog (de mennesker, det kunne kaldes revisionen for "dummies").

Navnet på de komplekse begivenheder taler for sig selv. Informationssikkerhed revision er en uafhængig verifikation eller peer review for at sikre sikkerheden i informationssystemer (IS) i enhver virksomhed, institution eller organisation på grundlag af specialudviklede kriterier og indikatorer.

I enkle vendinger, for eksempel, revidere bankens informationssikkerhed kan koges ned til, at vurdere niveauet for beskyttelse af kundedatabaser indehaves af banktransaktioner, sikkerheden af de elektroniske penge, bevarelse af bankhemmeligheden, og så videre. D. I tilfælde af indblanding i institutionens virksomhed uvedkommende udefra, ved hjælp af elektronisk, edb-,.

Bestemt, blandt læserne der er mindst én person, der ringede hjem eller mobiltelefon med et forslag til behandling af lån eller depositum, banker, hvor det har intet at gøre. Det samme gælder for køb og tilbud fra nogle butikker. Hvorfra kom op på dit værelse?

Det er simpelt. Hvis en person tidligere tog lån eller investeret i en indlånskonto, selvfølgelig, er dens data lagres i en fælles kundebase. Når du ringer fra en anden bank eller butik kan kun være én konklusion: de oplysninger om det kom ulovligt til tredjepart. Hvordan? Generelt er der to muligheder: enten det blev stjålet, eller overføres til ansatte i banken til tredjepart bevidst. For at sådanne ting ikke sker, og du har brug for tid til at foretage en revision af informationssikkerhed af banken, og dette gælder ikke kun for computer eller "jern" midler til beskyttelse, men hele personalet i institutionen.

De vigtigste retninger af informationssikkerhed revision

Med hensyn til omfanget af den revision, som regel, at de er flere:

• fuldstændig kontrol af de involverede i fremgangsmåderne ifølge oplysninger objekter (computer automatiseret system, kommunikationsmidler, modtagelse, information transmission og forarbejdning, faciliteter, lokaler til fortrolige møder, overvågningssystemer, etc.);
• kontrollere pålideligheden af beskyttelsen af fortrolige oplysninger med begrænset adgang (bestemmelse af mulig lækage og potentielle sikkerhedshuller kanaler giver adgang det udefra med brug af standard og ikke-standard metoder);
• tjek af alle elektroniske hardware og lokale edb-systemer for eksponering for elektromagnetisk stråling og interferens, der giver dem mulighed for at slukke eller bringe i forfald;
• projekt del, der omfatter arbejde på skabelsen og anvendelsen af begrebet sikkerhed i den praktiske gennemførelse (beskyttelse af edb-systemer, faciliteter, kommunikationsfaciliteter mv).

Når det kommer til revisionen?

For ikke at nævne de kritiske situationer, hvor forsvaret allerede blev brudt, revision af informationssikkerhed i en organisation kan gennemføres, og i andre tilfælde.

Typisk disse omfatter en udvidelse af virksomheden, fusion, opkøb, overtagelse af andre selskaber, ændre løbet af forretningskoncepter eller retningslinjer, ændringer i international lovgivning eller i lovgivningen i et land, snarere alvorlige ændringer i informationsinfrastruktur.

typer af revision

I dag er det meget klassifikation af denne form for revision, ifølge mange analytikere og eksperter ikke er etableret. Derfor kan opdelingen i klasser i nogle tilfælde være ganske vilkårligt. Ikke desto mindre, i almindelighed, revisionen af informationssikkerhed kan opdeles i eksterne og interne.

En ekstern revision foretaget af uafhængige eksperter, der har ret til at gøre, er normalt en engangs-check, som kan indledes af ledelse, aktionærer, retshåndhævende myndigheder mv Det menes, at en ekstern revision af informationssikkerhed anbefales (men ikke nødvendigt) at udføre regelmæssigt for en fastsat periode. Men for nogle organisationer og virksomheder, i overensstemmelse med loven, er det obligatorisk (for eksempel finansielle institutioner og organisationer, aktieselskaber og andre.).

Intern revision informationssikkerhed er en konstant proces. Den er baseret på en særlig "forordninger om Intern Revision". Hvad er det? Faktisk denne certificering aktiviteter, der udføres i organisationen, i form godkendt af ledelsen. En informationssikkerhed revision af særlig strukturel opdeling af virksomheden.

Alternativ klassifikation af revision

Udover den ovenfor beskrevne opdeling i klasser i det generelle tilfælde, kan vi skelne flere komponenter fremstillet i den internationale klassifikation:

• Ekspert kontrollere status for informationssikkerhed og informationssystemer på grundlag af personlig erfaring af eksperter, dets ledende;
• certificeringssystemer og sikkerhedsforanstaltninger for overensstemmelse med internationale standarder (ISO 17799) og nationale juridiske instrumenter, der regulerer dette aktivitetsområde;
• analyse af sikkerheden i informationssystemer med brug af tekniske midler til formål at identificere potentielle sårbarheder i software og hardware kompleks.

Nogle gange kan anvendes, og den såkaldte omfattende revision, der omfatter alle de ovennævnte typer. Af den måde, han giver de mest objektive resultater.

Iscenesat mål og målsætninger

Enhver verifikation, hvad enten interne eller eksterne, starter med at opstille mål. Kort sagt, du har brug for at afgøre, hvorfor, hvordan og hvad der vil blive testet. Dette vil afgøre den videre procedure for at gennemføre hele processen.

Opgaver, afhængigt af den specifikke struktur i virksomheden, organisation, institution og dens aktiviteter kan være en hel del. Men midt i al denne udgivelse, samlet mål for informationssikkerhed revision:

• vurdering af tilstanden af informationssikkerhed og informationssystemer;
• analyse af de mulige risici, der er forbundet med risiko for indtrængning i eksterne IP og de mulige retningslinjer for en sådan interferens;
• lokalisering af huller og huller i sikkerhedssystemet;
• analyse af det relevante niveau af sikkerhed for informationssystemer til gældende normer og lovgivningsmæssige og retsakter;
• udvikling og levering af anbefalinger, der involverer fjernelse af de eksisterende problemer, samt forbedring af de eksisterende retsmidler og indførelsen af nye udviklinger.

Metode og revision værktøjer

Nu et par ord om, hvordan kontrollen og hvilke skridt og betyder det indebærer.

En informationssikkerhed revision består af flere faser:

• indlede kontrolprocedurer (klar definition af rettigheder og ansvar revisor, kontrollerer revisor udarbejdelsen af planen og dens samarbejde med ledelsen, at spørgsmålet om grænserne for undersøgelsen, at medlemmerne skal erlægge i organisationen forpligtelse til omsorg og rettidig levering af relevante oplysninger);
• indsamling oprindelige data (sikkerhed struktur, fordelingen af sikkerhedselementer, sikkerhedsniveauer af systemets ydeevne analysemetoder for opnåelse og give oplysninger, bestemmelse af kommunikationskanaler og IP interaktion med andre strukturer, et hierarki af brugerne af computernetværk, bestemmelsesdataene protokoller, etc.);
• gennemføre en omfattende eller delvis kontrol;
• dataanalyse (risikoanalyse af enhver type og overholdelse);
• fremsætte henstillinger for at løse potentielle problemer;
• rapport generation.

Den første fase er den mest enkle, fordi dens beslutning er truffet udelukkende mellem virksomhedens ledelse og revisor. Grænserne for analysen kan betragtes på generalforsamlingen af medarbejdere eller aktionærer. Alt dette og meget mere relateret til det juridiske område.

Den anden fase af grunddata, uanset om det er en intern revision af informationssikkerhed eller ekstern uafhængig certificering er den mest ressourcekrævende. Dette skyldes det faktum, at på dette tidspunkt er du nødt til ikke kun at undersøge den tekniske dokumentation vedrørende al hardware og software, men også at indsnævre-interviewe virksomhedens medarbejdere, og i de fleste tilfælde endda med at udfylde særlige spørgeskemaer eller undersøgelser.

Med hensyn til den tekniske dokumentation, er det vigtigt at opnå data om IC struktur og de prioriterede niveauer af adgangsrettigheder til sine ansatte, for at identificere hele systemet og applikationssoftware (operativsystemet for forretningsapplikationer, deres ledelse og regnskabsføring), samt den etablerede beskyttelse af softwaren og ikke-programtype (antivirussoftware, firewalls, etc.). Hertil kommer, dette inkluderer den fulde kontrol af netværk og udbydere af teletjenester (netværksorganisation, de protokoller, der anvendes til tilslutning, de typer af kommunikationskanaler, transmission og modtagelse metoder af informationsstrømme, og mere). Som det fremgår, det tager en masse tid.

I den næste fase, metoderne til informationssikkerhed revision. De er tre:

• risikoanalyse (den sværeste teknik, baseret på bestemmelse af, at revisor penetrering af IP overtrædelse og dens integritet anvende alle mulige metoder og værktøjer);
• vurdering af overholdelsen af standarder og lovgivning (den enkleste og mest praktiske metode baseret på en sammenligning af den nuværende situation og kravene i internationale standarder og indenlandske dokumenter inden for informationssikkerhed);
• den kombinerede fremgangsmåde, der kombinerer de to første.

Efter at have modtaget de kontrolforanstaltninger resultaterne af deres analyse. Midler Revision af informationssikkerhed, der anvendes til analysen, kan ganske varieret. Det hele afhænger af detaljerne i virksomheden, den type oplysninger, den software, du bruger, beskyttelse og så videre. Men som det kan ses på den første metode, revisor primært nødt til at stole på deres egne erfaringer.

Og at det kun betyder, at det skal være fuldt kvalificerede inden for informationsteknologi og databeskyttelse. På grundlag af denne analyse, revisor og beregner de mulige risici.

Bemærk, at det ikke alene bør omhandle i operativsystemet eller det program, der anvendes, for eksempel for erhvervslivet eller regnskab, men også for at forstå tydeligt, hvordan en hacker kan trænge ind i informationssystemet med henblik på tyveri, beskadigelse og ødelæggelse af data, oprettelse af forudsætningerne for overtrædelser i computere, spredning af virus eller malware.

Evaluering af resultater og anbefalinger til at løse de problemer, revision

På baggrund af analysen eksperten konkluderer om beskyttelse status og giver anbefalinger til at løse eksisterende eller potentielle problemer, sikkerhed opgraderinger mv Anbefalingerne skal ikke kun være fair, men også klart bundet til realiteterne af virksomheden detaljerne. Med andre ord, er tips om at opgradere konfigurationen af computere eller software ikke accepteret. Dette gælder ligeledes for rådgivning af afskedigelse af "upålidelige" personale, installere nye sporingssystemer uden at angive deres destination, placeringen og hensigtsmæssighed.

Baseret på analysen, som regel, er der flere risikogrupper. I dette tilfælde, at udarbejde en sammenfattende rapport bruger to nøgleindikatorer: (. Tab af aktiver, reduktion af omdømme, tab af billede og så videre) sandsynligheden for et angreb, og skaderne på selskabet som følge heraf. Men udførelsen af grupperne er ikke det samme. For eksempel lav-niveau-indikator for sandsynligheden for angreb er bedst. For skader - tværtimod.

Først derefter udarbejdet en rapport, der beskriver malet alle de faser, metoder og midler til forskningen. Han var enig med ledelsen og underskrevet af de to sider - virksomheden og revisor. Hvis revisionen interne, er en rapport i spidsen for de relevante strukturelle enhed, hvorefter han, igen, underskrevet af lederen.

Informationssikkerhed revision: Eksempel

Endelig mener vi, det simpleste eksempel på en situation, der er allerede sket. Mange, ved den måde, kan det virke meget bekendt.

For eksempel kan en virksomheds medarbejdere indkøb i USA, der er etableret i ICQ instant messenger computer (er navnet på medarbejderen og virksomhedens navn ikke navngivet af indlysende årsager). Forhandlingerne blev gennemført netop ved hjælp af dette program. Men "ICQ" er ganske sårbar med hensyn til sikkerhed. Self ansat ved registreringsnumre på det tidspunkt, eller ikke har en e-mailadresse, eller bare ikke ønsker at give det. I stedet pegede han på noget som e-mail, og endda ikke-eksisterende domæne.

Hvad ville hackeren? Som det fremgår af en revision af informationssikkerhed, ville det blive registreret nøjagtig det samme domæne og skabte ville være i det, en anden registrering terminal, og så kunne sende en besked til Mirabilis selskab, der ejer ICQ tjeneste, der anmoder om password opsving på grund af sit tab (der ville ske ). Som modtager af mailserveren ikke var, blev det medtaget omdirigere - omdirigere til en eksisterende ubuden gæst mail.

Som et resultat, får han adgang til korrespondancen med den givne ICQ nummer og informerer leverandøren at ændre adressen på modtageren af varerne i et bestemt land. Således varerne sendt til en ukendt destination. Og det er den mest harmløse eksempel. Så gadeuorden. Og hvad mere alvorlige hackere, der er i stand til meget mere ...

konklusion

Her er en kort og alt, der vedrører IP-sikkerhed revision. Selvfølgelig er det ikke påvirkes af alle aspekter af det. Årsagen er bare, at i formuleringen af de problemer og metoder til dens adfærd påvirker en masse faktorer, så tilgangen i hvert enkelt tilfælde er strengt individuelt. Desuden kan de metoder og midler til informationssikkerhed revision være forskellige for forskellige IC'er. Men jeg tror, de generelle principper for disse tests for mange blive synlige selv på det primære niveau.