Одит на сигурността на информацията: цели, методи и инструменти. Одит на информационната сигурност на банката
Днес всеки знае почти свещена фраза, че собственикът на информацията притежава света. Ето защо в наше време да откраднем поверителна информация опитайте всички, на които не мързел. Във връзка с това се предприемат безпрецедентни мерки за въвеждане на средства за защита срещу евентуални атаки. Понякога обаче може да е необходимо да се проверява информационната сигурност на предприятието. Какво е и защо е всичко необходимо, сега и се опитайте да го разбера.
съдържание
- Какво представлява одитът на сигурността на информацията в обща дефиниция?
- Основните насоки на одита на информационната сигурност
- Кога е необходимо да се извърши одит?
- Видове одит
- Алтернативна класификация на видовете одит
- Задайте цели и цели
- Методи и средства за извършване на одита
- Оценка на резултатите от одита и препоръки за решаване на проблеми
- Одит на информационната сигурност: Пример
- заключение
Какво представлява одитът на сигурността на информацията в обща дефиниция?
Кой няма да се отрази на неясни научни термини, и се опитват да определят за себе си основните понятия, описвайки ги в най-прост език (хората го могат да бъдат наречени одита за "манекени").
Името на този комплекс от събития говори сам за себе си. Одитът за информационна сигурност е независим чек или партньорска проверка осигуряване на сигурността на информационната система на предприятието, институцията или организацията въз основа на специално разработени критерии и показатели.
По-просто казано, например, Одит на информационната безопасност на банката се свежда до, за да се оцени нивото на защита на клиентски бази данни, съхранявани от банкови операции, безопасността на електронните пари, опазването на банковата тайна, и така нататък. Г. В случай на смущения в дейността на институцията на неупълномощени лица извън, като се използва електронни и компютърни съоръжения.
Разбира се, сред читателите има поне едно лице, което е било наречено у дома или на мобилен телефон с предложение за заем или депозит и от банка, с която той не е свързан. Същото важи и за предлагането на покупки от някои магазини. Къде дойде вашият номер?
Това е просто. Ако дадено лице преди това е взело заем или е инвестирал пари в депозитна сметка, разбира се, данните му са били записани в един клиентска база. Когато се обаждате от друга банка или магазин, можете да направите едно заключение: информацията за него незаконно падна в трети ръце. Как? Като цяло, ние можем да различим две възможности: или тя е била открадната, или предадена от служители на банката на трети лица съзнателно. За да не се случват такива неща и трябва да извършите одит на информационната сигурност на банката във времето, това важи не само за компютърни или "железни" средства за защита, но и за целия персонал на банковата институция.
Основните насоки на одита на информационната сигурност
Що се отнася до обхвата на такъв одит, по правило те се отличават с няколко:
- пълна проверка на обектите, участващи в процесите на информация (компютър автоматизирана система, средствата за комуникация, рецепция, предаване и обработка, съоръжения, помещения за конфиденциални срещи, системи за мониторинг и т.н.);
- проверка на надеждността на защитата на поверителна информация с ограничен достъп (идентифициране на евентуални канали за изтичане и потенциални отвори за сигурност, които позволяват достъп до нея отвън посредством стандартни и нестандартни методи);
- проверка на всички електронни технически средства и локални компютърни системи за въздействието на електромагнитно излъчване и пикапи върху тях, което им позволява да бъдат изключени или направени неизползваеми;
- Проектната част включва работа по създаването на концепцията за сигурност и нейното приложение в практическото приложение (защита на компютърни системи, съоръжения, комуникации и др.).
Кога е необходимо да се извърши одит?
Да не говорим за критични ситуации, когато защитата вече е била нарушена, може да се извърши одит на сигурността на информацията в дадена организация в някои други случаи.
Обикновено те включват разширяването на компанията, сливане, придобиване преврат от други фирми, промени хода на бизнес концепции или насоки, промени в международното право или в законодателството на територията на страната, по-скоро сериозни промени в информационната инфраструктура.
Видове одит
Днес самата класификация на този вид одит, според много анализатори и експерти, не е уредена. Следователно разделянето на класове в някои случаи може да бъде много условно. Въпреки това, в общия случай одитът на информационната сигурност може да бъде разделен на външни и вътрешни.
Външен одит, провеждан от независими експерти, които отговарят на условията за това, обикновено е еднократен одит, който може да бъде иницииран от ръководството на компанията, акционерите, правоохранителните органи и др. Смята се, че се препоръчва извършването на външен одит на информационната сигурност (и не е задължително) за редовно провеждане за определен период от време. Но за някои организации и предприятия, според законодателството, това е задължително (например финансови институции и организации, акционерни дружества и др.).
Вътрешният одит на информационната сигурност е постоянен процес. Тя се основава на специален "Наредба за вътрешния одит". Какво е това? Всъщност това са сертификационните дейности, извършени в организацията, в рамките на одобрените от ръководството срокове. Одитът на информационната сигурност се осигурява от специални структурни подразделения на предприятието.
Алтернативна класификация на видовете одит
В допълнение към описаното по-горе разделение в класовете в общия случай е възможно да се разграничат още няколко компонента, приети в международната класификация:
- експертен преглед на състоянието на информационната сигурност и информационни системи въз основа на личния опит на експертите, които го провеждат;
- атестация на системи и мерки за сигурност за спазване на международните стандарти (ISO 17799) и държавни правни документи, уреждащи тази област на дейност;
- анализ на сигурността на информационните системи, използвайки технически средства, насочени към идентифициране на потенциални уязвимости в софтуерния и хардуерния комплекс.
Понякога може да се приложи така наречен сложен одит, който включва всички горепосочени типове. Между другото, той дава най-обективните резултати.
Задайте цели и цели
Всяка проверка, вътрешна или външна, започва с определяне на цели и цели. Ако искаш да говориш по-лесно, трябва да определиш какво, какво и как ще бъде проверено. Това ще предопредели по-нататъшния метод за провеждане на целия процес.
Зададените задачи, в зависимост от спецификата на структурата на самото предприятие, организацията, институцията и нейните дейности, могат да бъдат доста. Между всичко това обаче са изброени единните цели на одита на информационната сигурност:
- оценката на състоянието на сигурността на информационните и информационните системи;
- анализ на възможните рискове, свързани с опасността от проникване в ИП отвън, и възможните методи за осъществяване на такава намеса;
- локализиране на дупки и пропуски в системата за сигурност;
- анализ на съответствието на нивото на сигурност на информационните системи със съществуващите стандарти и регламенти;
- разработването и издаването на препоръки за премахване на съществуващите проблеми, както и подобряването на съществуващите средства за защита и въвеждането на нови разработки.
Методи и средства за извършване на одита
Сега няколко думи за това как се провежда теста и какви етапи и средства включва.
Одитът на информационната сигурност се състои от няколко основни етапа:
- започване на процедури за проверка (ясно дефиниране на правата и отговорностите на одитора, одиторът проверява подготовката на плана и координацията му с ръководството, въпросът за границите на проучването, задължение на членовете на ангажимента на организацията да се грижи и своевременно предоставяне на съответната информация);
- събиране на първоначални данни (структура за сигурност, разпределението на функции за сигурност, нивата на сигурност на методи за ефективността на системата за анализ за получаване и предоставяне на информация, определяне на комуникационни канали и IP взаимодействие с други структури, йерархия на потребителите на компютърни мрежи, протоколите за определяне и т.н.);
- извършване на цялостна или частична проверка;
- анализ на получените данни (анализ на рисковете от всякакъв вид и съответствие със стандартите);
- издаване на препоръки за решаване на евентуални проблеми;
- Създаване на счетоводна документация.
Първият етап е най-простият, тъй като решението му се взема изключително между ръководството на компанията и одитора. Границите на анализа могат да се разглеждат на общо събрание на служители или акционери. Всичко това се отнася повече за правната област.
Втората фаза на събиране на първоначалните данни, независимо дали става въпрос за вътрешен одит на информационната сигурност или външно независимо удостоверяване, е най-интензивното използване на ресурси. Това се дължи на факта, че на този етап ще трябва не само да се провери техническата документация, отнасяща се до всички хардуер и софтуер, но също така и с тясна интервюира служителите на компанията, както и в повечето случаи дори и с попълване на специални въпросници или проучвания.
Що се отнася до техническата документация, че е важно да се получат данни за структурата на IC и нивата на приоритет на правата за достъп до своите служители, за да видите какви цялата система и приложен софтуер (операционна система за бизнес приложения, тяхното управление и счетоводство), както и установената защита на софтуера и непрограмиран тип (антивирус, защитна стена и др.). В допълнение, това включва пълната проверка на мрежи и доставчици на телекомуникационни услуги (мрежова организация, протоколите, използвани за връзка, видовете комуникационни канали, предаването и методи за приемане на информационните потоци, и повече). Както вече става ясно, отнема много време.
На следващия етап се определят методите за одит на информационната сигурност. Те са разделени на три:
- анализ на риска (най-сложната методология, основаваща се на определянето от страна на одитора на възможността за проникване в интелектуалната собственост и нарушаване на нейната цялост, като се използват всички възможни методи и средства);
- оценка на съответствието със стандартите и нормативните актове (най-простият и най-практичен метод, основан на сравнение на текущото състояние и изискванията на международните стандарти и национални документи в областта на информационната сигурност);
- комбиниран метод, комбинирайки първите два.
След получаване на резултатите от проверката започва анализът им. Одиторски инструменти информационна сигурност, които се използват за анализ, могат да бъдат доста различни. Всичко зависи от спецификата на предприятието, вида на информацията, софтуерът, който използвате, защитата и така нататък. Въпреки това, както може да се види на първия метод, одиторът трябва да разчитат предимно на собствения си опит.
И това означава само, че той трябва да притежава необходимата квалификация в областта на информационните технологии и защитата на данните. Въз основа на този анализ одиторът изчислява и възможните рискове.
Имайте предвид, че тя трябва да се справи не само в операционната система или програмата се използва, например, за бизнес или за счетоводството, но също така ясно да се разбере как един хакер може да проникне в информационната система за целите на кражба, повреда и унищожаване на данни, създаване на предпоставки за нарушения в работата на компютрите, разпространението на вируси или злонамерен софтуер.
Оценка на резултатите от одита и препоръки за решаване на проблеми
Въз основа на анализа експертът прави заключение за състоянието на защитата и издава препоръки за отстраняване на съществуващи или потенциални проблеми, подобряване на системата за сигурност и др. Същевременно препоръките трябва да бъдат не само обективни, но и ясно свързани с реалностите на спецификата на предприятието. С други думи, няма съвети за надстройване на конфигурацията на компютри или софтуер. Същото важи и за съветите относно освобождаването на "ненадеждни" служители, инсталирането на нови системи за проследяване без конкретно указание за тяхната цел, местоположение и приложимост.
Въз основа на анализа, като правило, има няколко групи рискове. В този случай, за съставяне на обобщен доклад използва два основни показатели: (. Загуба на активи, намаляване на репутация, загуба на имидж и т.н.) вероятността от атака и вредите, причинени на дружеството като резултат. Индикаторите за групите обаче не съвпадат. Например, най-добър е нисък резултат за вероятността за атака. За щети - напротив.
Едва след това се изготвя доклад, в който са описани подробно всички стъпки, методи и инструменти на изследванията. Тя се договаря с ръководството и се подписва от две страни - предприятието и одитора. Ако вътрешен одит, ръководителят на съответната структурна единица изготвя такъв доклад, след което той отново се подписва от главата.
Одит на информационната сигурност: Пример
И накрая, помислете за най-простия пример за ситуация, която вече се е случила. За мнозина, между другото, може да изглежда много познато.
Така например, някой служител на компанията, ангажиран с обществени поръчки в Съединените щати, е инсталирал ICQ куриер на компютъра (името на служителя и името на компанията не са извикани по разбираеми причини). Преговорите бяха проведени чрез тази програма. Но "ICQ" е доста уязвим по отношение на сигурността. Служителят, когато е регистрирал номера по това време, не е имал имейл адрес, или просто не искал да го даде. Вместо това той посочи нещо подобно на електронната поща, дори и с несъществуващ домейн.
Какво би направил нападателят? Както се вижда от одит на сигурността на информацията, че ще бъде регистриран точно същия домейн и би била в това, че друга регистрация терминал, а след това може да изпратите съобщение на Mirabilis компания, която е собственик на ICQ услуга, с искане за възстановяване на паролата, поради загубата му (това ще бъде направено ). Тъй като сървърът на получателя не е пощенски сървър, той включва пренасочване към съществуващата поща на атакуващия.
В резултат на това той получава достъп до кореспонденцията със зададения номер на ICQ и информира доставчика за промяна на адреса на получателя на стоките в определена държава. По този начин товарът се изпраща на никой не знае къде. И това е най-безобидният пример. Например, малък хулиганство. И какво ще кажете за по-сериозни хакери, които са способни на много повече ...
заключение
Тук накратко и всичко, свързано с одита на сигурността на IP. Разбира се, не всички аспекти са засегнати тук. Причината е само, че много фактори влияят върху формулирането на задачите и методите за неговото прилагане, поради което подходът във всеки отделен случай е строго индивидуален. Освен това, методите и инструментите за одит на сигурността на информацията могат да бъдат различни за различните ПР. Изглежда обаче, че общите принципи на такива проверки за мнозина ще станат ясни дори и на първоначалното ниво.
Заплахи за сигурността на информацията- Видове одит
ИТ одит. Неговите характеристики
Счетоводството и одитът са важни управленски функции- Одит на финансовите резултати и задачите им
- Задължителен одит
- Одит на дълготрайните активи: теория и практически съвети
- Одит на касовия отдел
- Концепцията и целите на одита, същността на одита на дълготрайните активи
- Одит на средствата: точно около комплекса
- Одитът на операциите по сетълмента е основа за изчисляване на облагаемата основа при липса на…
Одит на пожарна безопасност. Независима оценка на риска от пожар- Одитът на финансовите отчети е гаранция за стабилността на компанията
- Одит на счетоводната политика. Правила за неговото поведение
- Какво представлява одитът?
- Политиката за сигурност на информацията и принципите на нейната организация
- Специалист по информационната сигурност - изисквания за професията
Контрол и одит
Информационна сигурност на автоматизираните системи: видове заплахи и методи за превенция
Каква е сигурността на информацията?
Ревизията е ... Основни понятия