Ინფორმაციული უსაფრთხოების აუდიტის: მიზნები, მეთოდები და ინსტრუმენტები, მაგალითად. ინფორმაციული უსაფრთხოების აუდიტის ბანკის

დღეს ყველამ იცის, რომ თითქმის წმინდა ფრაზა, რომ ფლობს ინფორმაციას, ფლობს მსოფლიოში. სწორედ ამიტომ, ჩვენი დროის მოიპაროს კონფიდენციალური ინფორმაციის ცდილობს ყველა და განსხვავებული. ამ მხრივ, მიღებული უპრეცედენტო ნაბიჯი და განხორციელების საშუალებების დაცვას შესაძლო თავდასხმები. თუმცა, ზოგჯერ თქვენ უნდა ჩაატაროს აუდიტი საწარმოს ინფორმაციის უსაფრთხოებას. რა არის ეს და რატომ არის ეს ყველაფერი ახლა, და ცდილობენ მესმის.

რა არის აუდიტი ინფორმაციული უსაფრთხოების ზოგადი განმარტება?

ვინ არ იმოქმედებს abstruse სამეცნიერო თვალსაზრისით, და ცდილობენ, რათა დადგინდეს თავს, ძირითადი ცნებები, ისინი ყველაზე მარტივი ენა (იმ ხალხს, ეს შეიძლება ეწოდოს აუდიტი, რომ "dummies").

სახელი რთული მოვლენების მეტყველებს. ინფორმაციული უსაფრთხოების აუდიტის დამოუკიდებელი გადამოწმების ან თანხმობა მიმოხილვა , რათა უზრუნველყოს უსაფრთხოება საინფორმაციო სისტემები (IS) ნებისმიერი კომპანია, დაწესებულება ან ორგანიზაცია საფუძველზე სპეციალურად შემუშავებული კრიტერიუმები და ინდიკატორები.

ამ მარტივი თვალსაზრისით, მაგალითად, აუდიტი ბანკის ინფორმაციული უსაფრთხოების boils ქვემოთ, რათა შეაფასოს დაცვის დონის კლიენტების მონაცემთა ბაზა გაიმართა საბანკო ოპერაციების, უსაფრთხოების ელექტრონული ფული, შენარჩუნებას საბანკო საიდუმლოება, და ასე შემდეგ. D. იმ შემთხვევაში ჩარევა დაწესებულების არაუფლებამოსილი პირების გარედან გამოყენებით ელექტრონული და კომპიუტერული ტექნიკა.

რა თქმა უნდა, მათ შორის მკითხველისთვის არსებობს მინიმუმ ერთი პირი, რომელსაც ეწოდება სახლში ან მობილური ტელეფონის წინადადებით დამუშავების სესხის და შენატანის, ბანკი, რომელიც მას არაფერი აქვს. იგივე ეხება შესყიდვები და გთავაზობთ რამდენიმე მაღაზიებში. საიდანაც მოვიდა თქვენი ოთახი?

ეს ძალიან მარტივია. თუ პირი მანამდე სესხების ან ინვესტიცია სადეპოზიტო ანგარიშზე, რა თქმა უნდა, მისი მონაცემები ინახება საერთო მომხმარებელთა ბაზის. როცა რეკავთ სხვა ბანკში ან მაღაზიაში შეიძლება იყოს მხოლოდ ერთი დასკვნა: ეს ინფორმაცია მოვიდა უკანონოდ მესამე მხარეს. როგორ? ზოგადად, არსებობს ორი ვარიანტი: ან მოპარული, ან გადაეცემა თანამშრომლებს ბანკის მესამე მხარეს, შეგნებულად. იმისათვის, რომ ასეთი რამ არ მოხდება, და თქვენ უნდა დრო, რომ ჩაატაროს აუდიტი ინფორმაციული უსაფრთხოების ბანკი, და ეს ეხება არა მხოლოდ კომპიუტერი ან "რკინის" დაცვის საშუალებებით, მაგრამ მთელი პერსონალი დაწესებულება.

ძირითადი მიმართულებები ინფორმაციული უსაფრთხოების აუდიტის

რაც შეეხება ფარგლებს აუდიტი, როგორც წესი, ისინი რამდენიმე:

• სრული გამშვები ობიექტების ჩართული პროცესებში ინფორმაციის (კომპიუტერის ავტომატური სისტემა, საკომუნიკაციო საშუალებებით, მიღება, ინფორმაციის გადაცემის და დამუშავების, ობიექტებზე, კონფიდენციალური შეხვედრების, მონიტორინგის სისტემების და ა.შ.);
• შემოწმების საიმედოობის კონფიდენციალური ინფორმაციის შეზღუდული ხელმისაწვდომობა (განსაზღვრა შესაძლო გაჟონვის და პოტენციური უსაფრთხოების ხვრელებს არხების საშუალებითაც ხელმისაწვდომობის გარედან გამოყენებით სტანდარტული და არასტანდარტული მეთოდები);
• შეამოწმეთ ყველა ელექტრონული ტექნიკის და ადგილობრივი კომპიუტერული სისტემების ზემოქმედების ელექტრომაგნიტური გამოსხივება და ჩარევა, რომელიც საშუალებას აძლევს მათ, რომ გამორთოთ ან მოიყვანოს disrepair;
• პროექტის ნაწილი, რომელიც მოიცავს მუშაობა შექმნისა და გამოყენების კონცეფცია უსაფრთხოების მისი პრაქტიკული განხორციელება (დაცვის კომპიუტერული სისტემები, მოწყობილობები, კავშირგაბმულობის საშუალებები, და ა.შ.).

როდესაც საქმე ეხება აუდიტის?

რომ აღარაფერი ვთქვათ კრიტიკულ სიტუაციებში, სადაც თავდაცვის უკვე გატეხილი, აუდიტი ინფორმაციული უსაფრთხოების ორგანიზაცია შეიძლება განხორციელდეს, და რიგ შემთხვევებში.

როგორც წესი, ეს მოიცავს გაფართოებას კომპანია, შერწყმის, შეძენის, მიერთების სხვა კომპანიებს, შეცვალოს კურსი ბიზნესის კონცეფციების და მითითებები, ცვლილებები საერთაშორისო სამართლის ან კანონმდებლობით ქვეყნის შიგნით, საკმაოდ სერიოზული ცვლილებები საინფორმაციო ინფრასტრუქტურა.

სახის აუდიტის

დღეს, ძალიან კლასიფიკაცია ამ ტიპის აუდიტის თანახმად, ბევრი ანალიტიკოსები და ექსპერტები დადგენილი არ არის. აქედან გამომდინარე, დაყოფის კლასების რიგ შემთხვევებში შეიძლება იყოს საკმაოდ თვითნებური. მიუხედავად ამისა, ზოგადად, აუდიტი ინფორმაციული უსაფრთხოების შეიძლება დაიყოს შიდა და გარე.

გარე აუდიტის მიერ ჩატარებული დამოუკიდებელი ექსპერტები, რომლებმაც ამის უფლება, როგორც წესი, ერთჯერადი შემოწმება, რომელიც შეიძლება მიერ ინიცირებული მართვა, აქციონერები, სამართალდამცავი ორგანოები და ა.შ. მას სჯეროდა, რომ გარე აუდიტს ინფორმაციული უსაფრთხოების რეკომენდირებულია (მაგრამ არ არის საჭირო) შეასრულოს რეგულარულად მითითებული პერიოდის განმავლობაში. მაგრამ გარკვეული ორგანიზაციები და საწარმოები, კანონის თანახმად, ეს არის სავალდებულო (მაგალითად, ფინანსური ინსტიტუტები და ორგანიზაციები, სააქციო და სხვ.).

შიდა აუდიტის ინფორმაციული უსაფრთხოების არის მუდმივი პროცესი. იგი ეფუძნება სპეციალური "დებულება შიდა აუდიტის". რა არის ეს? ფაქტობრივად, ეს სერტიფიცირების განხორციელებული ღონისძიებების ორგანიზაცია, იმ თვალსაზრისით, ხელმძღვანელობის მიერ დამტკიცებული. ინფორმაციული უსაფრთხოების აუდიტის სპეციალური სტრუქტურული ქვედანაყოფი საწარმო.

ალტერნატიული კლასიფიკაცია აუდიტის

გარდა ზემოთ აღწერილი დაყოფის კლასების ზოგად შემთხვევაში, ჩვენ შეგვიძლია გამოვყოთ რამდენიმე კომპონენტები გააკეთა საერთაშორისო კლასიფიკაცია:

• ექსპერტი შემოწმების სტატუსი ინფორმაციული უსაფრთხოების და საინფორმაციო სისტემები საფუძველზე პირადი გამოცდილება ექსპერტები, მისი ჩატარების
• სერტიფიცირების სისტემის და უსაფრთხოების ზომების საერთაშორისო სტანდარტების დაცვით (ISO 17799) და ეროვნული სამართლებრივი ინსტრუმენტებით მარეგულირებელი საქმიანობის ამ სფეროში;
• ანალიზი უსაფრთხოების საინფორმაციო სისტემების ტექნიკური საშუალებების გამოყენების მიზნად ისახავს შესაძლო ხარვეზებს პროგრამული და აპარატურული კომპლექსი.

ზოგჯერ ეს შეიძლება იყოს გამოყენებული და ე.წ. ყოვლისმომცველი აუდიტი, რომელიც მოიცავს ყველა ზემოთ ჩამოთვლილ. სხვათა შორის, იგი იძლევა საუკეთესო ობიექტური შედეგები.

დადგმული მიზნები და ამოცანები

თუ შემოწმების, არა შიდა ან გარე, იწყება შექმნის მიზნები და ამოცანები. მარტივად რომ ვთქვათ, თქვენ უნდა განსაზღვროს, თუ რატომ, როგორ და რა იქნება ტესტირება. ეს განსაზღვრავს შემდგომ პროცედურას ახორციელებს მთელი პროცესი.

ამოცანები, დამოკიდებულია კონკრეტული სტრუქტურის საწარმო, ორგანიზაცია, დაწესებულება და მისი საქმიანობა შეიძლება იყოს საკმაოდ ბევრი. თუმცა, ფონზე ყველა ამ გათავისუფლებას, ერთიანი მიზანი ინფორმაციული უსაფრთხოების აუდიტის:

• შეფასებას სახელმწიფო ინფორმაციული უსაფრთხოების და საინფორმაციო სისტემები;
• ანალიზი შესაძლო რისკების რისკი შეღწევა გარე IP და შესაძლო პირობები ასეთი ჩარევა;
• ლოკალიზაციის ხვრელებს და ხარვეზების უსაფრთხოების სისტემა;
• ანალიზი სათანადო დონეზე ინფორმაციული სისტემების უსაფრთხოება მოქმედი სტანდარტების და მარეგულირებელი და სამართლებრივი აქტების პროექტებს;
• განვითარება და მიწოდების რეკომენდაციების ჩართვის მოხსნა არსებული პრობლემები, ისევე როგორც გაუმჯობესება არსებული საშუალებები და ახალი განვითარებულ მოვლენებს.

მეთოდოლოგია და აუდიტი ინსტრუმენტები

ახლა ორიოდე სიტყვა, თუ როგორ გამშვები და რა ნაბიჯები და იმას ნიშნავს, რომ მოიცავს.

ინფორმაციული უსაფრთხოების აუდიტის შედგება რამდენიმე ეტაპად:

• წამოწყება შემოწმების პროცედურები (მკაფიოდ უფლებები და მოვალეობები აუდიტორის აუდიტორის ამოწმებს მომზადების გეგმა და მისი კოორდინაცია მართვა, კითხვა საზღვრების შესწავლა, დაკისრების შესახებ ორგანიზაციის წევრებმა ვალდებულება იზრუნოს და დროულად მიწოდება შესაბამისი ინფორმაცია);
• შეგროვება პირველადი მონაცემების (უსაფრთხოების სტრუქტურა, განაწილება უსაფრთხოების, უსაფრთხოების დონის სისტემის მუშაობის ანალიზის მეთოდები მოპოვების და ინფორმაციის განსაზღვრა საკომუნიკაციო არხები და IP ურთიერთქმედება სხვა სტრუქტურები, იერარქიის წევრებს კომპიუტერული ქსელების, განსაზღვრა ოქმები, და ა.შ.);
• სრულფასოვანი ან ნაწილობრივ ინსპექტირება;
• მონაცემთა ანალიზი (ანალიზი რისკების ნებისმიერი ტიპის და შესაბამისად);
• გაცემის რეკომენდაციებს პოტენციური პრობლემები;
• ანგარიში თაობის.

პირველი ეტაპი არის ყველაზე მარტივი, რადგან მისი გადაწყვეტილება, მხოლოდ შორის კომპანია მართვა და აუდიტორის. საზღვრები ანალიზი შეიძლება ჩაითვალოს საერთო კრებაზე თანამშრომლების ან აქციონერები. ყველა ამ და სხვა დაკავშირებულ სამართლებრივ სფეროში.

მეორე ეტაპი კოლექცია საბაზისო მონაცემები, იქნება ეს შიდა აუდიტი ინფორმაციული უსაფრთხოების და დამოუკიდებელ სერტიფიცირების ყველაზე რესურსების ინტენსიური. ეს არის იმის გამო, რომ ამ ეტაპზე თქვენ უნდა არა მხოლოდ შეამოწმოს ტექნიკური დოკუმენტაცია, რომელიც ეხება ყველა აპარატურის და პროგრამული უზრუნველყოფის, არამედ ვიწრო გასაუბრების კომპანიის თანამშრომლები, და ხშირ შემთხვევაში კი შევსების სპეციალური კითხვარები და კვლევები.

რაც შეეხება ტექნიკურ დოკუმენტაციას, მნიშვნელოვანია, რომ მიიღოს მონაცემები IC სტრუქტურა და პრიორიტეტული დონის დაშვების უფლება მის თანამშრომლებს, იდენტიფიცირება სისტემის მასშტაბით და გამოყენების პროგრამული უზრუნველყოფა (ოპერაციული სისტემის ბიზნეს პროგრამები, მათი მართვისა და აღრიცხვის), ისევე, როგორც დადგენილი დაცვის უზრუნველყოფა და არასამთავრობო პროგრამა ტიპები (ანტივირუსით, ეკრანები და ა.შ.). გარდა ამისა, ეს მოიცავს სრულ გადამოწმების ქსელები და პროვაიდერები სატელეკომუნიკაციო მომსახურეობები (ქსელის ორგანიზაცია, ოქმები გამოიყენება დაკავშირებით, სახის კომუნიკაცია არხები, გადაცემა და მიღება მეთოდები ინფორმაციული ნაკადები, და სხვა). როგორც ნათელია, იგი იღებს ბევრი დრო.

მომდევნო ეტაპზე, მეთოდები ინფორმაციული უსაფრთხოების აუდიტის. ისინი სამი:

• რისკის ანალიზი (ყველაზე რთული ტექნიკით, საფუძველზე განსაზღვრა აუდიტორის შეღწევას IP დარღვევის და მისი მთლიანობის გამოყენებით ყველა შესაძლო მეთოდები და ინსტრუმენტები);
• შეფასების სტანდარტებთან შესაბამისობის და კანონმდებლობით (ყველაზე მარტივი და პრაქტიკული მეთოდი შედარების საფუძველზე მიმდინარე მდგომარეობას და საერთაშორისო სტანდარტების მოთხოვნებს და შიდა დოკუმენტების ინფორმაციული უსაფრთხოების);
• კომბინირებული მეთოდი, რომელიც აერთიანებს პირველი ორი.

მას შემდეგ, რაც შემოწმების შედეგებს მათი ანალიზი. ფონდები აუდიტის ინფორმაციული უსაფრთხოების, რომლებიც გამოიყენება ანალიზი, შეიძლება საკმაოდ მრავალფეროვანი. ეს ყველაფერი დამოკიდებულია სპეციფიკა საწარმო, ტიპის ინფორმაცია, პროგრამული უზრუნველყოფის გამოყენების, დაცვისა და ასე შემდეგ. თუმცა, როგორც ჩანს, პირველი მეთოდი, აუდიტორის ძირითადად უნდა დაეყრდნოს საკუთარი გამოცდილება.

და ეს მხოლოდ იმას ნიშნავს, რომ ეს უნდა იყოს მთლიანად კვალიფიციური სფეროში საინფორმაციო ტექნოლოგიების და მონაცემთა დაცვის შესახებ. საფუძველზე ამ ანალიზის, აუდიტორის და ითვლის შესაძლო რისკს.

გაითვალისწინეთ, რომ ეს უნდა მოგვარდეს არა მარტო ოპერაციული სისტემის ან პროგრამა გამოიყენება, მაგალითად, ბიზნესის ან საბუღალტრო, არამედ ნათლად გაიგოს, თავდამსხმელი შეგიძლიათ შეღწევის საინფორმაციო სისტემის მიზნით ქურდობა, დაზიანება და განადგურება მონაცემები, წინაპირობების შექმნის დარღვევები კომპიუტერები, გავრცელების ვირუსები და malware.

შეფასების აუდიტის დასკვნები და რეკომენდაციები პრობლემების

ანალიზის საფუძველზე ასკვნის ექსპერტი დაცვის შესახებ სტატუსი და აძლევს რეკომენდაციებს არსებული ან პოტენციური პრობლემები, უსაფრთხოების განახლება და ა.შ. რეკომენდაციები არ უნდა იყოს მხოლოდ სამართლიანი, არამედ მკაფიოდ მიბმული რეალობას საწარმოს სპეციფიკას. სხვა სიტყვებით, რჩევები ამაღლების კონფიგურაციის კომპიუტერი ან პროგრამული უზრუნველყოფის არ მიიღება. ეს თანაბრად ეხება რჩევა თანამდებობიდან გათავისუფლება "არასანდო" საკადრო, დააყენოთ ახალი ნავიგაციის სისტემები დაკონკრეტების გარეშე მათი დანიშნულების, განთავსების და მიზანშეწონილობის.

ანალიზის საფუძველზე, როგორც წესი, არსებობს რამდენიმე რისკის ჯგუფებში. ამ შემთხვევაში, შედგენის შემაჯამებელი ანგარიში იყენებს ორი ძირითადი მაჩვენებლები: ალბათობა თავდასხმა და მიყენებული ზიანის კომპანია შედეგად (ზარალი აქტივების შემცირება რეპუტაცია, დაკარგვის იმიჯი და სხვ.). თუმცა, შესრულება, რომლებიც არ არიან ერთი და იგივე. მაგალითად, დაბალი დონის მაჩვენებელი ალბათობა თავდასხმა არის საუკეთესო. ზიანის ანაზღაურების - პირიქით.

მხოლოდ ამის შემდეგ შედგენილი მოხსენება, რომელიც ვრცლად მოხატული ყველა ეტაპს, მეთოდები და საშუალებები კვლევა. ის დათანხმდა ხელმძღვანელობას და ხელს აწერს ორი მხარე - კომპანია და აუდიტორის. იმ შემთხვევაში, თუ აუდიტის შიდა, არის ხელმძღვანელი მოხსენების შესაბამისი სტრუქტურული ერთეულის, რის შემდეგაც, კიდევ ერთხელ, ხელმძღვანელის მიერ ხელმოწერილი.

ინფორმაციული უსაფრთხოების აუდიტის: მაგალითი

და ბოლოს, ჩვენ მიგვაჩნია, რომ მარტივი მაგალითია სიტუაცია, რომ უკვე მოხდა. ბევრი, სხვათა შორის, ეს შეიძლება, როგორც ჩანს, ძალიან კარგად იცნობს.

მაგალითად, კომპანია შესყიდვების თანამშრომლები ამერიკის შეერთებულ შტატებში, დაარსდა ICQ მყისიერი მესენჯერი კომპიუტერული (სახელი თანამშრომელი და კომპანიის სახელი არ არის დასახელებული გასაგები მიზეზების გამო). მოლაპარაკება ზუსტად საშუალებით ეს პროგრამა. მაგრამ "ICQ" საკმაოდ დაუცველი უსაფრთხოების თვალსაზრისით. თვითმმართველობის თანამშრომელი სარეგისტრაციო ნომრები დროს ან არ უნდა ელექტრონული ფოსტის მისამართი, ან უბრალოდ არ მინდა ეს. ამის ნაცვლად, მან აღნიშნა, რომ რაღაც e-mail, და კიდევ არარსებული domain.

რას თავდამსხმელი? როგორც ნაჩვენებია მიერ აუდიტის ინფორმაციული უსაფრთხოების, ეს იქნება რეგისტრირებული ზუსტად იგივე დომენი და შექმნილი იქნება ეს, სხვა რეგისტრაციის ტერმინალში და მაშინ შეიძლება გაგზავნა, რათა Mirabilis კომპანია, რომელიც ფლობს ICQ მომსახურება, პაროლის აღდგენის თხოვნის გამო დაკარგვა (რომ უნდა გაკეთდეს ). როგორც მიმღები ფოსტა სერვერი არ იყო, ეს იყო ჩართული გადამისამართება - გადამისამართება არსებული intruder mail.

შედეგად, მან იღებს დაშვების მიმოწერა მოცემულ ICQ ნომერი და აცნობებს მიმწოდებელი შეცვალოს მისამართი მიმღები საქონლის კონკრეტულ ქვეყანაში. ასე რომ, საქონლის გაგზავნილი უცნობი დანიშნულების. და ეს არის ყველაზე უვნებელია მაგალითად. ასე რომ, ხულიგნობისა. რაც შეეხება უფრო სერიოზული ჰაკერების, რომელთაც შეუძლიათ ბევრი სხვა რამ ...

დასკვნა

აქ არის მოკლე და ყველა რომ ეხება IP უსაფრთხოების აუდიტი. რა თქმა უნდა, არ არის დაზარალებული ყველა ასპექტები. ამის მიზეზი ის არის მხოლოდ, რომ ფორმულირება პრობლემები და მეთოდები მისი ჩატარების გავლენას ახდენს ბევრი ფაქტორი, ასე მიდგომა თითოეულ შემთხვევაში მკაცრად ინდივიდუალური. გარდა ამისა, მეთოდები და საშუალებები ინფორმაციული უსაფრთხოების აუდიტის შეიძლება იყოს სხვადასხვა სხვადასხვა ICS. თუმცა, მე ვფიქრობ, ზოგადი პრინციპების ასეთი ტესტები მრავალი აშკარა გახდა თუნდაც პირველადი დონეზე.