Informatiounen Sécherheetsrot Audit: Zilsetzung, Methoden an Instrumenter, Beispill. Informatiounen Sécherheet Audit vun der Bank

Haut weess jiddereen de bal Regnault Ausdrock, datt d'Informatiounen gehéiert, gehéiert der Welt. Dowéinst an eiser Zäit ze klauen vertraulech Informatioune si fir all an sundry versicht. An dësem virleien, Cargogesellschaft Schrëtt an Ëmsetzung vun heescht vun Schutz géint méiglech Attacke geholl. Mä heiansdo vläicht brauch Dir en Audit vum Projet Informatiounen Sécherheet ze Exercice. Wat ass dat a firwat ass et all elo, a probéieren ze verstoen.

Wat ass en Audit vun Informatiounen Sécherheet am allgemengen Definitioun?

Wien net de wëssenschaftleche onduerchsiichteg Begrëffer Afloss, a probéieren fir selwer d'Basis Konzepter ze bestëmmen, hinnen am meeschte einfach Sprooch beschreiwen (déi Leit et den Audit fir de "dummies" genannt ginn hätt).

Den Numm vun der komplex Evenementer schwätzt fir sech. Informatiounen Sécherheet Audit ass eng onofhängeg Kontrollen oder Praslin iwwerpréiwen d'Sécherheet vun Informatiounen Systemer (ASS) vun all Firma, Institutioun oder Organisatioun op der Basis vun speziell entwéckelt Critèren an Indicateuren ze garantéieren.

An einfach Begrëffer, zum Beispill, Audit d'Informatiounen Sécherheet d'Bank boils erof ze, den Niveau vun Schutz vun Client Datenbanken vum Bankgeheimnis Operatiounen ofgehalen ze bewäerten, d'Sécherheet vun der elektronescher Suen, d'Erhalen vun Bankgeheimnis, an sou op. D. Am Fall vun Amëschen an der Aktivitéite vun der Institutioun autoriséiert Persounen vu baussen, mat elektronesch a Computer Ariichtungen.

Sécher, ënnert de Lieser et ass op d'mannst eng Persoun, déi doheem oder Handy mat enger Propositioun vun der Veraarbechtung Prêt oder Hibléck genannt, der Bank mat deem et näischt huet ze maachen. Déi selwecht zielt fir Akeef an Offeren vun e puer Geschäfter. Prätorium duerch Är Sall an?

Et ass einfach. Wann eng Persoun virdrun Prêten huet oder an engem remuneréierten Kont investéiert, natierlech, ass seng Donnéeën an eng gemeinsam gespäichert Clientell. Wann Dir aus engem anere Bank oder Geschäft ruffen kann nëmmen eng Konklusioun ginn: d'Informatiounen doriwwer huet illegal zu drëtte Parteien. Wéi? Am Allgemengen, ginn et zwou Méiglechkeeten: entweder et war geklaut, oder fir Mataarbechter vun der Bank zu drëtte Parteien bewosst iwwerginn. Fir fir esou Saache geschéien rauszesichen, an Dir Zäit brauchen en Audit vun Informatiounen Sécherheet vun der Bank zu Exercice, an dëst gëllt net nëmme fir Computer oder "Eisen" heescht vun Schutz, mä de ganze Personal vun der Institutioun.

D'Haaptrei Richtungen vun Informatiounen Sécherheet Audit

Den Ëmfang vun der Audit Bezuch, als Regel, sinn se e puer:

• voll kontrolléieren vun der Objeten am Prozesser vun Informatiounen Équipe (Computer automatiséiert System, Kommunikatiounsmëttel, empfaangen, Informatiounen Transmissioun an Veraarbechtung, Ariichtungen, Raimlechkeeten fir vertraulech Reuniounen, Iwwerwachung Systemer, etc.);
• d'Zouverlässegkeet vun de Schutz vun vertraulech Informatioune mat limitéiert Zougang (Determinatioun vun méiglechen Auswee an Potential Sécherheet Lächer Channels Zougang et aus dem Strofraum mat der Benotzung vun Norm an Net-Standard Methoden Délaie) Check;
• kontrolléieren vun all elektronesch Schrauwen a lokal Computer Systemer fir aussetzt elektromagnéitesch Stralung an agemëscht, hinnen ze Tour ugefaangen oder bréngen an disrepair Délaie;
• Deel vum Projet, déi Aarbecht op der Schafung an Uwendung vun de Konzept vun Sécherheet a senger praktescher Ëmsetzung (Schutz vun Computer Systemer, Ariichtungen, Kommunikatioun Ariichtungen, etc.) ëmfaasst.

Wann et drëms geet, fir d'Audit?

Net ze ernimmen d'kritesch Situatiounen wou d'Ofwier schon gebrach war, Audit vun Informatiounen Sécherheet an eng Organisatioun duerchgefouert ginn, an an e puer anere Fäll.

Typesch, dës och den Ausbau vun der Firma, Fusioun, Acquisitioun, Reprise vun anere Firmen, änneren Laf vun Affär Konzepter oder Richtlinnen, Ännerungen am internationale Recht oder zu Gesetzgebung bannent engem Land, zimlech sérieux Ännerungen am Informatiounen Infrastruktur.

Zorte vun Audit

Haut, de ganz Klassifikatioun vun dëser Zort vun Audit, no vill Analysten an Experten ass net etabléiert. Also, kann d'Divisioun an Klassen an e puer Fäll relativ arbiträr ginn. Trotzdem, am Allgemengen, kann den Audit vun Informatiounen Sécherheet an extern an intern ënnerdeelt ginn.

Engem externen Audit duerch onofhängeg Experten gehaal déi de Recht hutt, ass normalerweis eng ee-Zäit kontrolléiert, déi duerch Gestioun, Actionnairen ageleet ginn Mee Vollzuchs- Agencen, etc. Et gëtt ugeholl, datt en externen Audit vun Informatiounen Sécherheet ass recommandéiert (awer net néideg) zu Leeschtunge regelméisseg fir eng Formatioun Zäit. Mee fir puer Organisatiounen an Entreprisen, laut Gesetz, ass et Musse (zum Beispill, finanziell Institutiounen an Organisatiounen, gemeinsame Stock Entreprisen, an anerer.).

Intern Audit Informatiounen Sécherheet ass e konstante Prozess. Et ass op Basis vun engem spezielle "Spillconditiounen op Interne Audit". Wat ass et? An Tatsaach, duerchgefouert dëser Zertifikatioun Aktivitéite vun der Organisatioun eraus, wat duerch Gestioun guttgeheescht. Eng Informatiounen Sécherheet Audit duerch speziell strukturell Ënnerdeelung vun der Entreprise.

Alternativ Klassifikatioun vun Audit

Nieft de uewen beschriwwen-Divisioun an Klassen am allgemenge Fall, kënne mir feieren verschidden Deeler vun der internationaler Klassifikatioun z'ënnerscheeden:

• Expert Check de Status vun Informatiounen Sécherheet an Informatiounen Systemer op der Basis vun perséinlech Erfahrung vun Experten, seng Dirigent;
• Zertifikatioun Systemer a Sécherheetskonzept fir conforme international Standarden (ISO 17799) an national legal Instrumenter Reguléierung dëst Gebitt vun Aktivitéit;
• Analyse vun der Sécherheet vun Informatiounen Systemer mat der Benotzung vun technesch Moyenen Identifikatioun Potential bëssen an der Software an Hardware komplex anzeschätzen.

Heiansdo kann et applizéiert ginn an déi sougenannten iwwergräifend Audit, déi all vun der uewen Zorte ëmfaasst. Iwwregens, gëtt hien am meeschte Zil Resultater.

Inszenéieren Goaler an Ziler

Keng Kontrollen, ob intern oder extern, fänkt mat Goaler an Ziler Kader. Einfach Mëtt duerchgesat huet, braucht Dir firwat ze bestëmmen, wéi a wat getest ginn. Dëst wäert der weider Prozedur vun zügeg de ganze Prozess bestëmmen.

Aufgaben, je der spezifesch Struktur vun der Entreprise, Organisatioun, Institutioun an hir Aktivitéite kann relativ vill ginn. Mä Top all dës Verëffentlechung, vereenegt Zil vun Informatiounen Sécherheet Audit:

• Bilan vun der Staat Informatiounen Sécherheet an Informatiounen Systemer;
• Analyse vun der méiglech Risiken mat de Risiko vun Pénétratioun an extern IP an de méiglech Aberuffung vun esou en Amëschen verbonnen;
• Lokalisatioun vun de Lächer an thematiséieren an der Sécherheet System;
• Analyse vun de Nivo vun der Sécherheet vun Informatiounen Systemer ze aktuell Standarden a reglementaresche a juristesch Akten;
• Entwécklung an Liwwerung vun Recommandatiounen der Entféierung vum bestehend Problemer, wéi och Verbesserung vun der bestehend Schrëtt an d'Aféiere vun neien Entwécklungen sensibiliséieren.

Methodik an Audit Handwierksgeschir

Elo e puer Wierder iwwert wéi d'kontrolléieren a wat Schrëtt an heescht et doranner.

Eng Informatiounen Sécherheet Audit besteet aus verschidden Etappen:

• kënnen Prozeduren domat (kloer Definitioun vu Rechter a Responsabilitéiten vun de Virdeeler, déi Virdeeler fir Schecken der Virbereedung vun der plangen a seng Koordinatioun mat der Gestioun, d'Fro vun de Grenze vun der Etude, déi Geldboussen op Membere vun der Organisatioun Engagement fir Pfleeg an virgesinnen Dispositioun vun relevant Informatiounen);
• Sammelt initial Donnéeën (d'Verdeelung vun Sécherheet Fonctiounen, Sécherheet Niveau vun System Leeschtung Analyse Methoden Sécherheet Struktur, fir Maîtrise a mat anere Strukturen Informatiounen, Determinatioun vun Kommunikatioun Channels an IP Interaktioun suergt, eng Hierarchie vun de Benotzer vun Computer Netzwierker, d'Determinatioun Adhésiounsprotokollen, etc.);
• eng ëmfaassend oder partiell Inspektioun Exercice;
• Donnéeën Analyse (Analyse vun Risiken vun all Zort a Anhale);
• potentiell Problemer Recommandatiounen nes zu Adress;
• Rapport Generatioun.

Déi éischt Etapp ass déi einfach, well seng Decisioun Alleng tëscht der Direktioun gemaach ass an d'Virdeeler. De Grenze vun der Analyse kann op der Generalversammlung vun Mataarbechter oder Actionnairen considéréiert ginn. All dëst a méi un de legal Terrain dinn.

Déi zweet Etapp vun der Kollektioun vun baseline Donnéeën, ob et eng intern Audit vun Informatiounen Sécherheet oder extern Zertifikatioun onofhängeg ass, ass déi Ressource-intensiv. Dat ass wéinst der Tatsaach, datt Dir bei dëser Etapp musst all Hardware a Software déi de technesch Dokumentatioun fir net nëmmen ënnersicht, mä och ze-schmuel Interviewe der Firma an d'Mataarbechter, an an de meeschte Fäll och mat llt speziell questionnaires oder Ëmfroen.

Wéi fir déi technesch Dokumentatioun, ass et wichteg Donnéeën iwwert d'IC Struktur an d'Prioritéit Niveau vun Zougang Rechter fir seng Mataarbechter ze kréien, System-breet an Applikatioun Software (de Betribssystem fir Entreprise Uwendungen, hir Gestioun an Comptablesmethod), wéi och der etabléierter Schutz vun der Software ze identifizéieren an net-Programm Typ (Virus Software, däi, etc.). Zousätzlech, ëmfaasst dat déi voll kënnen vun Netzwierker an Fournisseur vun Telekommunikatioun Servicer (Reseau Organisatioun, déi fir Verbindung benotzt Adhésiounsprotokollen, der Zorte vu Kommunikatioun Channels, d'Iwwerdroung an Opnam Methode vun Informatiounen leeft, a méi). Wéi kloer ass, dauert et vill Zäit.

An déi nächst Etapp, déi Methode vun Informatiounen Sécherheet Audit. Si sinn dräi:

• Risiko Analyse (déi schwéier Technik, baséiert op der Determinatioun vun de Virdeeler zu der Pénétratioun vun IP Gemeinschaftsrecht a seng Integritéit all méiglech Methoden an Instrumenter benotzt);
• Bewäerte vun conforme Standarden a Gesetzer (déi einfach an déi praktesch Method baséiert op engem Verglach vun den aktuellen Zoustand vun Affären an den Ufuerderunge vum international Standarden a Gewalt Dokumenter am Beräich vun Informatioun Sécherheet);
• der kombinéiert Method, datt déi éischt zwee kombinéiert.

Nom kënnen Resultater vun hirer Analyse feieren. Fongen Audit vun Informatiounen Sécherheet, déi fir d'Analyse benotzt ginn, kann relativ variéiert gin. Et all hänkt op der Spezifizitéiten vun der Entreprise, déi Zort vun Informatioun, d'Software Dir benotzt, Schutz an sou op. Mä wéi kann een op der éischter Method gesi ginn, d'Virdeeler fir haaptsächlech op hir eegen Erfahrung vertrauen mussen.

An dat heescht just, datt et am Beräich vun Informatioun Technologie an Dateschutz voll qualifizéiert ginn muss. Op der Basis vun dëser Analyse, d'Virdeeler an rechent d'méiglech Risiken.

Bedenkt datt et fir den Zweck vun Abréch, Schued an Zerstéierung vun Daten, Kreatioun vun Obama an d'Informatiounen System Laascht soll fir Violatioune ageréckt kann net nëmmen am Betribssystem oder Programm benotzt, zum Beispill, fir Entreprise oder ausmaachen, awer och kloer ze verstoen, wéi e Stiermer an Computeren, d'Verbreedung vun Viren oder malware.

Evaluatioun vun Audit Conclusiounen a Recommandatiounen d'Problemer ze Adress

Baséiert op der Analyse schléisst den Expert iwwert de Schutz Status a gëtt Recommandatiounen bestehend oder potentiell Problemer ze Adress, Sécherheet Verbesserunge, etc. D'Recommandatiounen soll net nëmmen gerecht ginn, mä och fir de Realitéite vun der Entreprise Spezifizitéiten kloer Kierf. An anere Wierder, si Tipps op Upgrade der Configuratioun vun Computeren oder Software net akzeptéiert. Dat gëllt gläich op de Rot vun der Entloossung vum "unreliable" Personal, nei Tracking Systemer installéiert ouni hir Destinatioun Precisioun, der Lag an appropriateness.

Baséiert op der Analyse, als Regel, sinn et e puer Risiko Gruppen. An dësem Fall, e Resumé Rapport benotzt zwee Schlëssel Indicateuren ze sicht: (. Verloscht vun Verméigen, Reduktioun vun Ruff, Verloscht vu Bild an sou op) d'Wahrscheinlechkeet vun engem schéinen Ugrëff an de Schued verursaacht zu der Gesellschaft als Resultat. Allerdéngs sinn der Leeschtung vun de Gruppen net déi selwecht. Zum Beispill, ass niddereg-Niveau Luucht fir d'Wahrscheinlechkeet vun probéieren déi bescht. Fir Schuedenersaz - am Géigendeel.

Nëmmen dann e Rapport iwwerlieft, datt all d'Etappe, Methoden an heescht vun der Fuerschung gemoolt Detailer. Hien ausgemaach mat der Leedung an ënnerschriwwen vun den zwou Säiten - de Betrib an d'Virdeeler. Wann den Audit intern, ass e Rapport de Chef vun der jeweileger strukturell Eenheet, no deem hien, erëm, duerch de Kapp ënnerschriwwen.

Informatiounen Sécherheet Audit: Beispill

Endlech, betruecht mir de einfach Beispill vun enger Situatioun, datt schon geschitt ass. Vill, iwwregens, kann et ganz gutt schéngen.

Zum Beispill, eng Opträg Personal an d'Firma an den USA, am ICQ Instant Messenger Computer etabléiert (den Numm vun der Employé an der Firma Numm ass fir kloer Grënn net genannt). Verhandlungen sech genee vum heescht vun dësem Programm gehaal. Mee de "ICQ" ass ganz prekärer Situatioun am Sënn vun der Sécherheet. Selbstänneg Employé bei Aschreiwung Zuelen an der Zäit oder hu rauszesichen eng Email Adress, oder hutt wëllt just net et ze ginn. Amplaz, elo huet hien op eppes wéi E-Mail, an och Net-Existéiert Domän.

Wat géif den Täter? Wéi vun engem Audit vun Informatiounen Sécherheet dës Distanz, wier et genee d'selwecht Domain enregistréiert ginn an et wier, eng aner Aschreiwung Opluedstatioun geschaf, an dann e Message ze mirabilis Firma schécken kéint, datt ICQ Service gehéiert, Passwuert Erhuelung wéinst senge Verloscht ugefrot (dat géif gemaach ginn ). Den Destinataire vun der Mail Server net war, war et och Viruleedung - op eng bestehend Adréngléngs Mail Viruleedung.

Als Resultat, kritt hien Zougang zu der Korrespondenz mat der ICQ unzeruffen an informéiert de Fournisseur d'Adress vum Destinataire vun de Wueren an engem bestëmmte Land ofzesécheren. Also, wou d'Wueren op eng onbekannt Destinatioun. An et ass déi Gefor Beispill. Also disorderly Exercice. A wat iwwer méi grave Hacker déi gebass sinn zu vill méi ...

Konklusioun

Hei ass dowéinst an all dat ze IP Sécherheet Audit beschäftegt. Natierlech, ass et net vun all Aspekter dovun betraff. De Grond ass just dass an der Formuléierung vun de Problemer a Methoden vu sengem Behuelen vill Faktore Impakt, sou d'Approche an all Fall ass strikt individuell. Zousätzlech, kann d'Methoden an heescht vun Informatiounen Sécherheet Audit fir verschidden ICS anescht ginn. Allerdéngs, mengen ech, déi allgemeng Prinzipië vun esou Tester fir vill méi offensichtlech och an der Primärschoul Niveau.