Informo Sekureco Audit: Celoj, metodojn kaj ilojn, ekzemple. Informo sekurecon auditoría de la banko

Hodiaŭ ĉiuj scias preskaŭ sanktajn frazojn, kiujn posedas la posedanto de informoj de la mondo. Tial en nia tempo por ŝteli konfidenca informo provas ĉiuj kaj diversaj. Ĉi-rilate, senprecedencaj paŝoj estas prenitaj por enkonduki rimedojn de protekto kontraŭ eblaj atakoj. Tamen, kelkfoje eble necesas aŭduri la sekurecon de informo de la entrepreno. Kion ĝi estas kaj kial ĉio bezonas, nun kaj provu eltrovi ĝin.

Kio estas sekureca informado en ĝenerala difino?

Nun ni ne tuŝos pri malpuraj sciencaj terminoj, sed ni provos difini la bazajn konceptojn por ni mem, priskribante ilin en la plej simpla lingvo (en la homoj, ĝi povus esti nomata auditorio por "dummies").

La nomo de ĉi tiu komplekso de eventoj parolas por si mem. Informo sekurecon auditoría estas sendependa konfirmo aŭ revizio por paroj por certigi la sekurecon de informsistemoj (ESTAS) de ajna entrepreno, institucio aŭ organizo surbaze de speciale evoluintaj kriterioj kaj indikiloj.

En simplaj terminoj, ekzemple, la auditorio pri informa sekureco de banko reduktas por taksi la nivelon de protekto de klientaj datumbazoj, realigi bankajn transakciojn, konservadon de elektronikaj fundoj, sekureco de bankaj sekretoj, ktp. En kazo de enmiksiĝo en la aktivecoj de la institucio fare de eksterlandaj eksterlandaj uzantoj. Elektronikaj kaj komputilaj instalaĵoj.

Certe, inter la legantoj estos almenaŭ unu persono, kiu estis nomata hejme aŭ sur poŝtelefono kun propono por prunto aŭ deponejo, kaj de banko kun kiu li ne estas konektita. Lin sama aplikas al la oferto de aĉetoj de iuj butikoj. Kie venis via nombro?

Ĝi estas simpla. Se persono antaŭe prenis pruntojn aŭ investis en kuŝejo konto kompreneble lia datumoj stokas en komuna kliento bazo. Kiam vi vokas de alia banko aŭ vendejo, vi povas eltiri unu konkludon: informoj pri li kontraŭleĝe falis en triajn manojn. Kiel? Ĝenerale ni povas distingi du eblojn: ĉu ĝi estis ŝtelita aŭ transdonita de oficistoj de la banko al triaj konscie. Por ke tiaj aferoj ne okazas, kaj vi devas realigi aŭditorion pri la sekurecaj informoj de la datenbanko en tempo, kaj ĉi tio aplikas ne nur al komputila aŭ "fero" de protekto, sed la tuta staff de la banka institucio.

La ĉefaj direktoj de la sekureca informo auditorio

Koncerne la amplekson de tia auditorio, kiel regulo, ili distingas per pluraj:

• Plena kontrolo de la objektoj implikitaj en la procezoj de informado (aŭtomataj sistemoj, komunikado, ricevo, transdono kaj prilaborado de informaj datumoj, instalaĵoj, lokaj por konfidaj kunvenoj, viglaj sistemoj ktp);
• Kontrolo pri la fidindeco de la protekto de konfidaj informoj kun limigita aliro (identigo de eblaj flugaj kanaloj kaj potencaj sekurecaj truoj, kiuj permesas aliron al ĝi ekstere per normaj kaj ne-normaj metodoj);
• Kontrolo de ĉiuj elektronikaj teknikaj rimedoj kaj lokaj komputilaj sistemoj por la efiko de elektromagneta radiado kaj elektoj sur ili, kiuj ebligas malkonekti ilin aŭ redonu ilin nekutimeblaj;
• La projekto parto, kiu inkluzivas laboron pri kreado de la koncepto de sekureco kaj ĝia apliko en praktika efektivigo (protekto de komputilaj sistemoj, instalaĵoj, komunikadoj, ktp.).

Kiam fariĝas necese efektivigi auditoron?

Sen mencii maltrankviligajn situaciojn, kiam protekto jam estis malobservita, ekzameno pri informa sekureco en organizo povas esti realigita en iuj aliaj kazoj.

Tipe, ĉi tio inkluzivas vastigi la kompanion, kunfandojn, akirojn, kunfandojn kun aliaj entreprenoj, ŝanĝante la koncepton pri la kurso de komerco aŭ administrado, ŝanĝoj en internacia leĝaro aŭ laŭ juraj agoj ene de unu lando, sed gravaj ŝanĝoj en la infrastrukturo de informoj.

Tipoj de auditorio

Hodiaŭ la tre klasifiko de ĉi tiu tipo de auditorio, laŭ multaj analizistoj kaj spertuloj, ne estas solvita. Sekve, la divido en klasojn en iuj kazoj povas esti tre kondiĉa. Tamen, en la ĝenerala kazo, la auditorio pri informa sekureco povas esti dividita en ekstera kaj interna.

Ekstera auditorio realigita de sendependaj fakuloj elektitaj por ĉi tio estas kutime unu-tempo auditorio, kiu povas esti iniciatita de la administrado de la kompanio, akciuloj, leĝaj agentejoj, ktp. Oni kredas, ke ekstera informo pri sekureca reklamado estas rekomendinda (kaj ne deviga) por konduki regule por determinita tempo. Sed por iuj organizoj kaj entreprenoj, laŭ la leĝaro, ĝi estas devigebla (ekzemple, financaj institucioj kaj organizoj, komunumaj kompanioj, ktp.).

Interna auditorio pri informa sekureco estas konstanta procezo. Ĝi estas bazita sur speciala "Reguligo pri interna auditorio". Kio estas? Fakte, ĉi tiuj estas certaj agadoj realigitaj en la organizo, ene de la temploj aprobitaj de administrado. La auditorio pri informa sekureco estas provizita de specialaj strukturaj subdividoj de la entrepreno.

Alternativaj klasifikoj de aŭditoriaj tipoj

Krom la supre priskribita divido en klasojn en la ĝenerala kazo, ĝi eblas distingi plurajn pli da komponantoj adoptitaj en la internacia klasifiko:

• Sperta kontrolo pri la sekureco de informoj kaj informaj sistemoj surbaze de persona sperto de spertuloj kondukantaj ĝin;
• Atestado de sistemoj kaj sekurecaj mezuroj por plenumi kun internaciaj normoj (ISO 17799) kaj ŝtataj leĝaj dokumentoj regantaj ĉi tiun agadon;
• Analizo pri la sekureco de informaj sistemoj uzantaj teknikajn rimedojn, celis identigi eblajn vulnerabilojn en la programaro kaj aparataro.

Kelkfoje, oni povas apliki tiel nomatan kompleksan auditoron, kiu inkluzivas ĉiujn el la supraj tipoj. Por iu, estas li kiu donas la plej objektivajn rezultojn.

Metu celojn kaj celojn

Ajna konfirmo, ĉu interna aŭ ekstera, komenciĝas per fiksado de celoj kaj objektivoj. Se por paroli pli facila, oni devas difini, kio por, kio kaj kiel ĝi estos kontrolita. Ĉi tio antaŭdeterminos la plian metodon por plenumi la tutan procezon.

La aro de taskoj, laŭ la specifaĵoj de la strukturo de la entrepreno mem, organizo, institucio kaj ĝiaj agadoj, povas esti tre multe. Tamen, inter ĉio tio, la unuigitaj celoj de la auditorio pri informa sekureco estas ekskluditaj:

• La taksado de la stato de sekureco de informoj kaj informaj sistemoj;
• Analizo de la eblaj riskoj asociitaj kun la minaco de penetrado en IP ekstere kaj eblajn metodojn por efektivigi tia interveno;
• Lokigo de truoj kaj randoj en la sekureca sistemo;
• Analizo pri la plenumo de la nivelo de sekureco de informaj sistemoj kun ekzistantaj normoj kaj reguligoj;
• La disvolviĝo kaj elsendo de rekomendoj por forigi ekzistantajn problemojn, same kiel plibonigon de ekzistantaj kuraciloj kaj enkonduko de novaj evoluoj.

Metodoj kaj rimedoj por realigi la auditoron

Nun kelkaj vortoj pri kiel la testo estas efektivigita kaj kio stadioj kaj signifas ĝi inkluzivas.

La aŭditorio pri sekureco pri informoj konsistas el pluraj ĉefaj etapoj:

• Komenco de la procedo de verificación (klara difino de la rajtoj kaj obligacioj de la aŭditoro, preparado de la plano de auditorio fare de la aŭditoro kaj ĝia aprobo kun administrado, rezolucio de la afero de la limoj de la studo, impostado de helpo-obligacioj pri la dungitoj de la organizo kaj oportuna provizado de necesaj informoj);
• La kolekto de la komenca datumo (la strukturo de la sekureca sistemo, la distribuado de sekureco, la niveloj de la funkciado de la sekureca sistemo, la analizon de metodoj por akiri kaj provizi informojn, identigon de komunikiloj kaj interago de IP kun aliaj strukturoj, hierarkio de uzantoj de komputilaj retoj, difino de protokoloj ktp);
• Plenumi integran aŭ partan verkon;
• La analizo de la ricevitaj datumoj (la analizo de riskoj de iu ajn tipo kaj konformeco al normoj);
• Proponi rekomendojn por forigo de eblaj problemoj;
• Kreo de raportado dokumentado.

La unua etapo estas la plej simpla, ĉar ĝia decido estas prenita ekskluzive inter la administrado de la kompanio kaj la aŭditoro. La limoj de la analizo povas esti konsiderata ĉe ĝenerala kunveno de dungitoj aŭ akciuloj. Ĉio ĉi validas pli al la jura kampo.

La dua etapo de recolektado de komenca datumo, ĉu ĝi estas interna auditorio pri informa sekureco aŭ ekstera sendependa atesto, estas la plej multekosta. Ĉi tio estas pro tio, ke en ĉi tiu etapo necesas ne nur studi la teknikan dokumentadon rilatantan al la kompleta programaro kaj aparataro, sed ankaŭ por fari mallarĝan intervjuon de la dungitoj de la kompanio, kaj en la plej multaj kazoj eĉ plenigante specialajn demandojn aŭ demandojn.

Koncerne al la teknika dokumentado, estas grave akiri informojn pri la strukturo de IP kaj la prioritataj niveloj de rajtoj de aliro por dungitoj, identigi sistemajn programojn kaj aplikojn (mastrumajn sistemojn, aplikojn por komerco, administrado kaj kontado), kaj ankaŭ softvaraj protektoj Kaj ne-programo-tipo (antiviruso, fajrujo, ktp.). Krome, ĉi tio inkluzivas la plenan verkon de retoj kaj provizantoj kiuj provizas komunikajn servojn (retoj, uzataj protokoloj por konekto, tipoj de komunikiloj, metodoj de transdono kaj ricevo de informaj fluoj kaj multe pli). Kiel ĝi jam estas klara, ĝi prenas sufiĉe da tempo.

En la sekva etapo, difinitaj metodoj por audado de sekureco pri informoj. Ili distingas per tri:

• Riska analizo (la plej kompleksa metodiko bazita sur la determino de la aŭditoro pri la ebleco penetri IP kaj bremsi ĝian integrecon uzante ĉiujn eblajn metodojn kaj rimedojn);
• Takso de plenumo de normoj kaj leĝdonaj agoj (la plej simpla kaj plej praktika metodo, bazita sur komparo de la aktualaj aferoj kaj la postuloj de internaciaj normoj kaj naciaj dokumentoj en la kampo de sekureco de informoj);
• Kombinita metodo, kombinante la du unuaj.

Post ricevi la rezultojn de la inspektado, ilia analizo komenciĝas. Fondusoj Audit de informo sekureco, kiuj estas uzataj por la analizo, eblas tute diversaj. Ĉio dependas de la specifaĵoj de la entreprenoj, kiel ekzemple informoj, programaroj, protektatoj, ktp. Tamen, kiel oni povas vidi de la unua metodo, la aŭditoro devas dependi ĉefe pri sia propra sperto.

Kaj ĉi tio nur signifas, ke li devas havi la taŭgajn kvalifikojn en la kampo de informa teknologio kaj datuma protekto. Surbaze de ĉi tiu analizo, la aŭditoro ankaŭ kalkulas eblajn riskojn.

Rimarku, ke ĝi devas trakti ne nur kun mastrumaj sistemoj aŭ programoj uzataj, ekzemple por komercaj aŭ kontadaj celoj, sed ankaŭ klare komprenas, kiel entrudulo povas eniri la sistemon de informo por ŝtelas, korupte kaj detruas datumojn, kreante kondiĉojn por seksperfortadoj En la laboro de komputiloj, la disvastigo de virusoj aŭ malware.

Takso de elsendaj rezultoj kaj rekomendoj por solvi problemojn

Surbaze de la analizo, la spertulo konkludas pri la stato de protekto kaj demandaj rekomendoj por forigi ekzistantajn aŭ potencajn problemojn, ĝisdatigante la sekurecan sistemon, ktp. En ĉi tiu kazo, la rekomendoj devas esti ne nur objektivaj, sed ankaŭ klare ligitaj al la realaĵoj de la specifaĵoj de la entrepreno. Alivorte, ne ekzistas konsiletoj por ĝisdatigi la agordon de komputiloj aŭ programaro. Egala, ĉi tio aplikas konsilojn pri la maldungo de "malkontentaj" dungitoj, la instaladon de novaj sistemoj de spuroj sen specifa indiko pri ilia celo, loko kaj farebleco.

Bazita sur la analizo, kiel regulo, ekzistas pluraj grupoj de riskoj. Al la sama tempo, du ĉefaj indikiloj uzas por kompili la solidigitan raporton: la verŝajnecon de atako kaj damaĝo kaŭzita al la kompanio kiel rezulto (perdo de aktivaĵoj, perdo de reputacio, perdo de bildo, ktp.). Tamen, la indikiloj por la grupoj ne koincidas. Ekzemple, malalta interpunkcio por la atesta probablo estas la plej bona. Por damaĝo - kontraŭe.

Nur post ĉi tio, oni preparas raporton, en kiu detala ĉiuj paŝoj, metodoj kaj iloj de la studoj. Ĝi konsentas pri la administrado kaj subskribita de du partioj - la entrepreno kaj la aŭditoro. Se la auditoría interna, estas raporto la estro de la respektivaj struktura unuo, post kiu, denove, subskribita de la kapo.

Kontrolo pri informa sekureco: ekzemplo

Fine, konsideras la plej simplan ekzemplon de situacio, kiu jam okazis. Al multaj, laŭ la vojo, ŝajnas tre familiara.

Do, ekzemple, certa oficisto de la kompanio, kiu engaĝiĝis en Usono, instalis ICQ-mesaĝilon en la komputilo (la nomo de la oficisto kaj la nomo de la kompanio ne estas nomataj por kompreneblaj kialoj). La intertraktadoj estis efektivigitaj tra ĉi tiu programo. Sed "ICQ" estas sufiĉe vundebla en terminoj de sekureco. La oficisto dum registri la numeron tiam ne havis retpoŝtadreson aŭ simple ne volis doni ĝin. Anstataŭe, li indikis ion similan al retpoŝto, eĉ kun ne ekzistanta domajno.

Kion farus atacanto? Kiel la sekureca sekureco pruvis, li registrus la saman domon kaj kreus alian registran finaĵon en ĝi, post kiam li povus sendi mesaĝon al Mirabilis, kiu posedas la ICQ-servon, kun peto por restarigi la pasvorton pro ĝia perdo (kio estus farita ). Ĉar la servilo de la ricevilo ne estis retpoŝta servilo, ĝi inkludis alidirektilon al la ekzistanta poŝto de la atacanto.

Kiel rezulto, li ricevas aliron al la respondeco kun la specifita ICQ-nombro kaj informas al la provizanto pri ŝanĝi la adreson de la ricevanto de la varoj en iu lando. Tiel, la kargo estas sendita al neniu sciu kie. Kaj jen la plej senkulpa ekzemplo. Do, senorda konduto. Kaj kio pri pli seriozaj hakistoj kapablaj multe pli ...

Konkludo

Ĉi tie mallonge kaj ĉio, kio koncernas la auditoron pri IP-sekureco. Kompreneble, ne ĉiuj ĝiaj aspektoj estas tuŝitaj ĉi tie. La kialo estas nur ke multaj faktoroj influas la formulaĵon de taskoj kaj metodoj de ĝia efektivigo, tial la aliro en ĉiu specifa kazo estas strikte individua. Krome, metodoj kaj iloj por sekurecaj informoj sekureco povas esti malsamaj por malsamaj IP. Tamen, ŝajnas, ke la ĝeneralaj principoj de tiaj ĉekoj por multaj fariĝos klaraj eĉ ĉe la komenca nivelo.