Axborot xavfsizligi Audit: maqsadi, usullari va vositalari, misol. Bank axborot xavfsizligi auditi

Bugungi kunda, har bir dunyoni egalik, ma'lumotlarni egalik deyarli muqaddas iborani biladi. o'g'rilik, bizning vaqt ichida nima uchun, deb maxfiy ma'lumotlar barcha va har xil harakat qilmoqda. Shu munosabat bilan, misli ko'rilmagan qadamlarni va mumkin hujumlarga qarshi himoya vositalarini amalga oshirish olingan. Biroq, ba'zan siz korporativ axborot xavfsizligi auditini o'tkazish kerak bo'ladi. Bu nima va nima uchun endi uni hamma, va tushunishga harakat qiling.

umumiy ta'rifi axborot xavfsizligi audit nima?

Kim jiddiy ilmiy atamalar ta'sir va ( "Aptallar" uchun audit deb atash mumkin odamlarni) eng oddiy tilda, ularni tasvirlab, o'zlari uchun asosiy tushunchalar aniqlash uchun harakat qilmaydi.

murakkab voqealar nomi o'zi uchun gapiradi. Axborot xavfsizligi auditi, mustaqil tekshirish yoki taqriz maxsus ishlab chiqilgan mezonlar va ko'rsatkichlar asosida har qanday kompaniya, muassasa yoki tashkilot axborot tizimlari (IS) xavfsizligini ta'minlash uchun.

Sodda qilib aytganda, masalan, tashqaridan o'rnatish ruxsatsiz shaxslar faoliyatida aralashuvini holda elektron pul xavfsizlik, bank siri saqlanishini, va hokazo. D. yordamida bank operatsiyalarini tomonidan o'tkazilgan mijoz bazalari himoya darajasini baholash uchun, qaynoq pastga bank axborot xavfsizligi auditini elektron va kompyuter inshootlari.

Albatta, kitobxonlar o'rtasida kredit yoki omonatni, u hech qanday aloqasi yo'q bo'lgan bank qayta ishlash taklifi bilan uy yoki mobil telefon, deb nomlangan eng kamida bir kishi bor. Shu xaridlar uchun amal qiladi va ba'zi do'konlardan taklif etadi. Qaerdan sening xona kelib?

Hammasi oddiy. Agar shaxs ilgari kreditlar olib yoki depozit hisob sarmoya bo'lsa, albatta, uning ma'lumotlar bir umumiylik saqlanadi mijozlar bazasi. Agar boshqa bank yoki do'kondan qo'ng'iroq paytida faqat bitta xulosa bo'lishi mumkin: u haqida ma'lumot, uchinchi shaxslarga noqonuniy keldi. Qanday qilib? Umuman, ikki variant bor: yo u o'g'irlangan yoki ongli ravishda uchinchi shaxslarga bank xodimlariga berildi. maqsadida bunday narsalar sodir bo'lmadi, va siz bank axborot xavfsizligi auditini o'tkazish uchun vaqt kerak, va bu nafaqat kompyuter yoki himoya "temir" vositalar, lekin muassasasining butun xodimlari uchun amal qiladi.

Axborot xavfsizligi auditi asosiy yo'nalishlari

audit ko'lamini kelsak, qoida tariqasida, ular bir necha bor:

• axborot jarayonlarida ishtirok ob'ektlarini to'liq tekshirish (kompyuter avtomatlashtirilgan tizimi, aloqa, qabul qilish, axborot uzatish va qayta ishlash, muassasalari, maxfiy uchrashuvlar uchun binolar, monitoring tizimlari, va hokazo anglatadi);
• cheklangan kirish bilan maxfiy axborotni muhofaza ishonchliligini tekshirish (iloji oqish va standart va nostandart usullar foydalanish bilan tashqaridan kirish, uni beruvchi salohiyati xavfsizlik teshik kanallarni aniqlash);
• ularni o'chirish yoki tushib olib beruvchi, elektromagnit nurlanish va aralashish ta'sir qilish, barcha elektron apparat va mahalliy kompyuter tizimlarini tekshirish;
• uning amaliy amalga oshirishda yaratish va xavfsizlik tushunchasi qo'llash bo'yicha ishlar o'z ichiga oladi loyiha qismi, (kompyuter tizimlari, muassasalari, aloqa vositalari, va hokazo himoya qilish).

Bu audit kelganda?

mudofaa allaqachon, bir tashkilot axborot xavfsizligi auditi amalga oshirilishi mumkin singan va boshqa hollarda edi muhim vaziyatlarni haqida emas.

Odatda, bu boshqa kompaniyalar tomonidan kompaniya kengaytirish, birlashtirish bitimlarini o'z ichiga oladi, ish tushunchalar yoki ko'rsatmalar, bir mamlakat doirasida, xalqaro huquq yoki qonun o'zgarishlar, axborot infratuzilmasi ancha jiddiy o'zgarishlar kursni o'zgartirish.

audit turlari

Bugungi kunda juda ko'p tahlilchilar va mutaxassislarga ko'ra, audit Ushbu turdagi juda tasnifi, belgilangan emas. Shuning uchun, ba'zi hollarda sinflarga bo'linish juda o'zboshimchalik bo'lishi mumkin. Shunday bo'lsa-da, umuman, axborot xavfsizligi auditi, tashqi va ichki bo'linishi mumkin.

qilish huquqiga ega mustaqil ekspertlar tomonidan o'tkazilgan tashqi audit, odatda boshqaruv, aktsiyadorlar, huquq-tartibot organlari va boshqalar tashabbusi bilan mumkin bir martalik tekshirish, deb Bu axborot xavfsizligi, tashqi audit tavsiya (lekin zarur emas) vaqt muayyan vaqt uchun muntazam ravishda amalga oshirish uchun, deb ishoniladi. Lekin ba'zi tashkilotlar va korxonalar uchun, qonunga ko'ra, bu shart (masalan, moliya institutlari va tashkilotlari, aksiyadorlik jamiyatlari va boshqalar uchun.).

Ichki audit axborot xavfsizligi doimiy jarayon. Bu maxsus "Ichki audit to'g'risidagi nizomga" asoslanadi. Bu nima? Aslida, bu sertifikatlash faoliyati boshqaruvi tomonidan tasdiqlangan nazaridan, tashkilot amalga oshiriladi. korxonaning maxsus tarkibiy bo'linmasi tomonidan, axborot xavfsizligi auditi.

audit muqobil tasnifi

umumiy holda sinfga yuqorida tasvirlangan bo'limi Bundan tashqari, biz xalqaro tasnifi amalga necha komponentlarni ajratish mumkin:

• Ekspert mutaxassislar shaxsiy tajribasi, uning vakolatlari asosida axborot xavfsizligi va axborot tizimlari maqomini tekshirish;
• xalqaro standartlarga (ISO 17799) va faoliyatning bu sohada tartibga soluvchi milliy huquqiy vositalar muvofiqligini sertifikatlash tizimlari va xavfsizlik choralari;
• dasturiy va apparat kompleksi salohiyati zaifliklarni aniqlash qaratilgan texnik vositalaridan foydalanish bilan axborot tizimlarini xavfsizligini tahlil qilish.

Ba'zan amaliy va yuqorida turdagi barcha o'z ichiga oladi deb atalmish har tomonlama audit, mumkin. Darvoqe, u eng ob'ektiv natija beradi.

Uyushtirdilar maqsad va vazifalari

Har qanday tekshirish, ichki yoki tashqi bo'lsin, maqsad va vazifalarini belgilash bilan boshlanadi. Sodda qilib aytganda, siz nima uchun, sinovdan o'tadi qanday qilib va qanday aniqlash kerak bo'ladi. Bu butun jarayonini amalga oshiruvchi yanada tartibini belgilab beradi.

Korxona, tashkilot, muassasa va uning faoliyati muayyan tuzilishiga qarab vazifalari, juda ko'p bo'lishi mumkin. Biroq, bu ozod o'rtasida, axborot xavfsizligi auditi yagona maqsadi:

• axborot xavfsizligi va axborot tizimlari davlat baholash;
• tashqi IP va bunday aralashish mumkin usullarini kirib xavfi bilan bog'liq mumkin xatar tahlil qilish;
• xavfsizlik tizimi teshiklari va bo'shliqlar mahalliylashtirish;
• joriy standartlar va me'yoriy-huquqiy hujjatlari, axborot tizimlari xavfsizligini tegishli darajada tahlil qilish;
• ishlab chiqish va mavjud muammolarni olib tashlash, shuningdek, takomillashtirish, mavjud himoya vositalaridan va yangi ishlanmalarni joriy jalb tavsiyalar yetkazib berish.

Metodik va audit vositalari

Endi nima qadamlar va anglatadi tekshirish va o'z ichiga oladi haqida bir necha og'iz so'z.

Axborot xavfsizligi auditi necha bosqichlardan iborat:

• tekshirish tartibini boshlash (auditor huquqlari va majburiyatlari aniq ta'rifi, auditor rejasi tayyorlash va boshqarish bilan muvofiqlashtirish tekshiradi, o'rganish chegaralarini savol, tashkilot tarafdori a'zolariga soliq g'amxo'rlik va tegishli ma'lumotlarni o'z vaqtida ta'minlash uchun);
• boshlang'ich ma'lumotlar (xavfsizlik tuzilishi, xavfsizlik xususiyatlari taqsimlash, olish va aloqa kanallari va boshqa tuzilmalar bilan IP o'zaro, kompyuter tarmoqlari foydalanuvchilari vakillari, aniqlash protokollari va boshqalar ma'lumotlarni, qat'iyat bilan ta'minlash uchun tizim ishlashi tahlil usullari xavfsizlik darajalari) yig'ish;
• keng qamrovli yoki qisman tekshirish o'tkazish;
• Ma'lumotlarni tahlil qilish (har qanday turi va rioya xavfi tahlil qilish);
• tavsiyalar berish mumkin bo'lgan muammolarni hal qilish uchun;
• hisobot avlod.

uning qaror kompaniyasi boshqaruvi va auditor o'rtasidagi yagona amalga oshiriladi, chunki birinchi bosqich, eng oddiy. tahlil chegaralari xodimlari yoki aktsiyadorlar umumiy yig'ilishida ko'rib chiqilishi mumkin. Barcha bu va yana huquqiy maydon bilan bog'liq.

axborot xavfsizligi yoki tashqi, mustaqil sertifikatlash ichki audit yoki yo'qligini asosiy ma'lumotlar yig'ish ikkinchi bosqichi, eng resurslarni talab qiladi. Bu bosqichda siz barcha apparat va dasturiy ta'minot bilan bog'liq texnik hujjatlarni o'rganish uchun emas, balki faqat kerak, balki tor-intervyu uchun kompaniya xodimlarini, deb aslida tufayli, va hatto maxsus anketa yoki anketalar to'ldirish bilan ko'p hollarda.

texnik hujjatlar kelsak, u dasturiy ta'minotni tashkil himoya, shuningdek, uning xodimlari uchun IC tuzilishi haqida ma'lumot va foydalanish huquqlarini ustuvor darajasini olish uchun tizim va amaliy dasturiy ta'minot (ish ilovalar uchun operatsion tizim, boshqaruv va buxgalteriya) aniqlash muhim ahamiyatga ega va nodavlat dasturi turi (antivirus dasturi, xavfsizlik devorlari va boshqalar). Bundan tashqari, bu (axborot oqimlari tarmoq tashkil, ulanish uchun ishlatiladigan protokollar, aloqa kanallari turlarini, uzatish va qabul usullarini, va yana), tarmoqlari va telekommunikatsiya xizmatlari provayderlarining to'liq tekshirish o'z ichiga oladi. aniq bo'lgani kabi, bu juda ko'p vaqt oladi.

Keyingi bosqichda, axborot xavfsizligi auditi usullari. Ular uch:

• (IP buzilishi kirib va barcha mumkin bo'lgan usullar va vositalarni foydalanib, uning yaxlitligiga auditor aniqlash asosida eng qiyin texnikasi,) xavf tahlil qilish;
• standartlari va qonun (ishlar hozirgi holati bir taqqoslash va xalqaro standartlar va axborot xavfsizligi sohasida ichki hujjatlar talablari asosida oddiy va eng amaliy usuli) muvofiq baholash;
• Birinchi ikki birlashtiradi birga usuli.

ularning tahlili tekshirish natijalarini olgandan keyin. Mablag'lar Audit axborot xavfsizligi bo'yicha tahlil qilish uchun ishlatiladi, juda turli xil bo'lishi mumkin. Bu barcha korxona, axborot turiga, foydalanadigan dasturiy ta'minot, muhofaza qilish va birinchi usuli ko'rish mumkin, deb shunday qilib. Ammo, auditor asosan o'z tajribasiga tayanib kerak xususiyatlariga bog'liq.

Va bu faqat axborot texnologiyasi va ma'lumotlar himoya qilish sohasida to'liq malakali bo'lishi kerak, degan ma'noni anglatadi. va bu tahlil, auditor asosida mumkin bo'lgan risklarni hisoblaydi.

Bu biznes yoki hisobga olish, operatsion tizim yoki masalan, ishlatiladigan dasturida nafaqat shug'ullanish kerak, balki bir tajovuzkor o'g'irlik, zarar va ma'lumotlar qirg'in, buzganlik uchun shartlarsiz yaratish maqsadida axborot tizimi kirib qanday aniq tushunish unutmang kompyuterlar bilan, viruslar yoki zararli tarqalishi.

audit topilmalar va muammolarni hal qilish uchun tavsiyalar baholash

tahlil qilish asosida ekspert himoya holati haqida xulosa va mavjud bo'lgan yoki mumkin bo'lgan muammolarni hal qilish uchun tavsiyalar, xavfsizlik yangilanishlari, va hokazo beradi tavsiyalar faqat adolatli bo'lishi, balki aniq korxona o'ziga xos haqiqat bog'langan kerak emas. Boshqa so'zlar bilan aytganda, kompyuter yoki dasturiy ta'minotni konfiguratsiyani oshirish Maslahatlar qabul qilinmaydi. Bu bir xil manzilga, joylashishi va o'rinli ko'rsatilgan holda "ishonchsiz" kadrlar, yangi kuzatuv tizimlarini o'rnatish tugatilgani maslahat uchun amal qiladi.

tahlil qilish asosida, qoida tariqasida, bir necha xavf guruhlari mavjud. Bu holda, bir xulosa hisobot ikki asosiy ko'rsatkichlar foydalanadi kompilyatsiya qilish: (. aktivlarni zarar, obro'siga kamaytirish, shunday qilib, tasvir zarar va) bir hujum ehtimoli va natijada kompaniya sabab zarar. Biroq, guruhlar ishlashi bir xil emas. Misol uchun, hujum ehtimoli kam darajasi ko'rsatkichi eng yaxshi bo'lgan. aksincha - zarar uchun.

Faqat keyin hamma bosqichlari, usullari va tadqiqot vositalari bo'yalgan tafsilotlar hisobot olingan. U rahbariyati bilan kelishilgan va ikki tomon tomonidan imzolangan - kompaniya va auditori. Agar audit, ichki, bir xabar u, yana, rahbari tomonidan imzolangan, shundan keyin tegishli tarkibiy birligi, boshlig'i.

Axborot xavfsizligi auditi: Misol

Nihoyat, biz allaqachon sodir bo'ldi bir vaziyat eng oddiy misol ko'rib. Ko'pchilik, aytmoqchi, juda tanish tuyuladi.

Misol uchun, ICQ zumda Rasululloh kompyuterdagi tashkil Amerika Qo'shma Shtatlarida bir kompaniyaning xaridlari xodimlari, (xodim va kompaniya nomi nomi ravshan sabablarga ko'ra nomidagi emas). Muzokaralar Ushbu dastur orqali aniq amalga oshirildi. Lekin "ICQ" xavfsizlik nuqtai nazaridan juda zaif bo'ladi. vaqtda yoki ro'yxatdan raqamlar o'zini o'zi xodimi elektron pochta manzilini yo'q edi, yoki faqat uni berishni istamadi. Buning o'rniga, u e-pochta, va hatto mavjud bo'lmagan domen kabi narsaga ishora qildi.

Qanday tajovuzkor edi? Axborot xavfsizligi audit tomonidan ko'rsatilgandek, u yo'qolgan tufayli Parolni qayta tiklash talab, ICQ xizmati egalik Mirabilis kompaniyasi xabar yuborish mumkin xuddi shu domen ro'yxatdan o'tgan va unda boshqa ro'yxatga olish terminali bo'ladi yaratgan, va bo'ladi (bu qilinishi ). Mavjud tajovuzkor pochta uchun yo'naltiruvchi - mail server oluvchi emas edi, u yo'naltiruvchi kiritilgan.

Natijada, u berilgan ICQ raqami bilan yozishmalari kirish oladi va muayyan mamlakatda tovarning Qabul qiluvchi manzili o'zgartirish etkazib beruvchi ma'lum. Shunday qilib, tovar noma'lum joyga yubordi. Va eng zararsiz namunasidir. Shunday qilib, tez o'tkazish. Va juda ham ko'p qodir ko'proq jiddiy hackerlar haqida nima ...

xulosa

Bu erda IP xavfsizligi auditi bilan bog'liq qisqa va barcha bo'ladi. Albatta, u barcha jihatlari bilan ta'sir emas. sababi muammolar va uning o'tkazish usullari shakllantirishdagi omillar ko'p ta'sir, shuning uchun har bir holatda yondashuv qat'iy individual bo'lib, faqat bu emas. Bundan tashqari, axborot xavfsizligi auditi usullari va vositalari, turli dizayn uchun har xil bo'lishi mumkin. Biroq, menimcha, ko'pchilik uchun bu kabi testlar umumiy tamoyillari, hatto asosiy darajada aniq bo'lib.