Ақпараттық қауіпсіздік Аудит: міндеттері, әдістері және құралдары, мысал. Банктің ақпараттық қауіпсіздік аудиті

Бүгін, әркім, ақпаратты тиесілі дерлік қасиетті сөз тіркесін біледі әлемді иеленеді. ұрлап біздің уақытта, сол себепті құпия ақпаратты барлық сұраймыз тырысады. Осыған байланысты, бұрын-соңды болмаған қадамдарды және ықтимал шабуылдардан қорғау құралдарын іске асыру қолға. Алайда, кейде сіз кәсіпорын ақпараттық қауіпсіздік аудитін жүргізу қажет болуы мүмкін. Бұл не және неге қазір бұл барлық болып табылады, және түсінуге тырысамыз.

Жалпы анықтау ақпараттық қауіпсіздік аудит дегеніміз не?

Кім abstruse ғылыми терминдерді әсер, және өздері үшін негізгі ұғымдар анықтау көріңіз, (ол «шайнектің» үшін аудит адамдарды атауға болар еді) ең қарапайым тілде, оларды сипаттайтын емес.

күрделі оқиғалардың атауы өзі айтып тұрғандай. Ақпараттық қауіпсіздік аудит тәуелсіз тексеру немесе табылады сараптау рәсімі арнайы әзірленген өлшемдер мен көрсеткіштер негізінде кез-келген компания, мекеменің немесе ұйымның (АЖ) ақпараттық жүйесінің ақпараттық қауіпсіздігін қамтамасыз ету үшін.

Қарапайым тілмен айтқанда, мысалы, банк операцияларының өткізетін тұтынушы деректер базасын қорғау деңгейін бағалау үшін, банктің ақпараттық қауіпсіздік азайтатын аудит, т.б. электрондық ақша қауіпсіздік, банктік құпияны сақтау, және сыртынан мекеме бөгде адамдардың қызметіне араласу жағдайда. Д., пайдаланып электрондық және есептеу техникасы.

Әрине, оқырмандар арасында қарыз немесе депозитті өңдеу ұсынысы, ол ештеңе жоқ, ол бар банкпен кем дегенде бір үйге деп аталатын тұлға немесе ұялы телефон бар. сол кейбір дүкендерде сатып алу мен ұсыныстар қолданылады. Қайдан сіздің бөлме келді?

Бәрі оңай. адам бұрын несие алды немесе депозиттік шотқа инвестиция болса, әрине, оның деректер ортақ сақталады клиенттік базаның. Бұл туралы ақпарат үшінші тұлғаларға заңсыз келіп: Сіз басқа банктен немесе дүкеннен қоңырау кезде тек бір қорытынды болуы мүмкін. Қалай? ол ұрланған немесе саналы үшінші тұлғаларға банктің қызметкерлеріне берілді, не: Жалпы, екі нұсқасы бар. Мұндай нәрселер үшін орын, және сіз банктің ақпараттық қауіпсіздік аудитін жүргізу үшін уақыт қажет, мен осы компьютер немесе қорғау «темір» құралдарына ғана емес, қолданылады, бірақ мекеменің бүкіл қызметкерлері жоқ.

Ақпараттық қауіпсіздік аудит негізгі бағыттары

әдетте, аудит саласын болсақ, олар бірнеше болып табылады:

• толық ақпарат процестеріне қатысатын объектілерді тексеру (компьютерлік автоматтандырылған жүйесінің, байланыс құралдарын, қабылдау, ақпараттық беру және өңдеу, өндірістік нысандар, құпия кездесулер үшін үй-жайлар, жүйелерін мониторинг және т.б.);
• шектеулі қол (стандартты және стандартты емес әдістерін қолдана отырып қол сырты оны беретін ықтимал сыртқа шығуын және әлеуетті қауіпсіздік тесіктер арналарын анықтау) құпия ақпаратты қорғау сенімділігін тексеру;
• оларды өшіріңіз немесе жарамсыз әкелуге мүмкіндік беретін, электромагниттік сәуле және кедергіге ұшырау үшін барлық электрондық аппараттық және жергілікті компьютерлік жүйелерді тексеру;
• оның практикалық жүзеге асыру (компьютерлік жүйелердің, құрылыстар, байланыс құралдарын, т.б. қорғау) қауіпсіздік тұжырымдамасын құру және қолдану жөніндегі жұмысты қамтиды жоба бөлігі.

Кезде, ол аудиттің келеді?

қорғаныс өзінде сынған болды, ұйымда ақпараттық қауіпсіздікті аудит, және кейбір басқа да жағдайларда жүзеге асырылуы мүмкін сыни жағдайларды айтпағанның өзінде.

Әдетте, бұл компанияның кеңейту, қосу, бiрiктiру, басқа компаниялар жұтылуы, бизнес ұғымдарды немесе нұсқаулардың барысын өзгерте, ел ішінде халықаралық құқық немесе заңнамаға өзгерістер, ақпараттық инфрақұрылымды айтарлықтай елеулі өзгерістерін қамтиды.

аудит түрлері

Бүгін, аудит осы түріне өте жіктеу, көптеген талдаушылар мен сарапшылардың сәйкес белгіленеді емес. Сондықтан, кейбір жағдайларда сынып бөлу өте еркін болуы мүмкін. Дегенмен, жалпы алғанда, ақпараттық қауіпсіздік аудиті сыртқы және ішкі деп бөлуге болады.

жасауға құқылы тәуелсіз сарапшылар жүргізген сыртқы аудит, әдетте басқару, акционерлер, құқық қорғау органдарының, т.б. бастамашы болуы мүмкін бір реттік тексеру болып табылады Ол белгілі бір уақыт кезеңі үшін үнемі орындауға ақпараттық қауіпсіздік сыртқы аудит ұсынылады (бірақ міндетті емес) деп саналады. Бірақ кейбір ұйымдар мен кәсіпорындар үшін, заңға сәйкес, ол міндетті болып табылады (мысалы, қаржы институттары мен ұйымдары, акционерлік қоғамдар және басқалар.).

Ішкі аудит ақпараттық қауіпсіздік тұрақты процесс болып табылады. Ол арнайы «Ішкі аудит туралы қағида» негізделген. Бұл не? Шын мәнінде, бұл сертификаттау қызметі басшылық бекіткен мерзімде, ұйымда жүзеге асырылады. Кәсіпорынның арнайы құрылымдық бөлімшесі ақпараттық қауіпсіздік аудиті.

аудит Балама жіктелуі

Жалпы жағдайда сыныптар жоғарыда сипатталған бөлу Сонымен қатар, біз халықаралық жіктеу жасалған бірнеше компоненттер ажырата алады:

• сарапшылар, оның өткізу жеке тәжірибесі негізінде ақпараттық қауіпсіздік және ақпараттық жүйелердің күйін тексеру сарапшысы;
• сертификаттау жүйелері және халықаралық стандарттарға (ISO 17799) және осы қызмет өрісін реттейтін ұлттық құқықтық құжаттарға сәйкестігіне қауіпсіздік шаралары;
• бағдарламалық-аппараттық кешен әлеуетті осалдық анықтау бағытталған техникалық құралдарды пайдалана отырып, ақпараттық жүйелердің қауіпсіздік талдау.

Кейде қолданбалы және жоғарыда аталған барлық түрлері кіреді деп аталатын кешенді аудит, мүмкін. Айтпақшы, ол ең объективті нәтижелер береді.

мақсаттары мен міндеттерін Кезеңді

Кез келген тексеру, ішкі немесе сыртқы ма, мақсаттары мен міндеттерін белгілеу басталады. Басқаша айтқанда, сіз неге, қалай және қандай сынақтан өтеді анықтау қажет. Бұл бүкіл процесін жүргізу одан әрі тәртібін анықтайды.

Кәсіпорын, ұйым, мекеме және оның қызметінің нақты құрылымына байланысты міндеттері, өте көп болуы мүмкін. Ақпараттық қауіпсіздік аудит Алайда, барлық осы шығарылымда аясында, бірыңғай мақсат:

• ақпараттық қауіпсіздік және ақпараттық жүйелердің мемлекеттік бағалау;
• сыртқы IP және осындай араласу ықтимал әдістері ену қаупі байланысты ықтимал тәуекелдер талдау;
• қауіпсіздік жүйесіндегі тесік және олқылықтарды оқшаулау;
• ағымдағы стандарттар мен нормативтік құқықтық актілеріне ақпараттық жүйелердің қауіпсіздік тиісті деңгейін талдау;
• проблемаларды жою, сондай-ақ қолда бар қорғану құралдарына жетілдіруді және жаңа әзірлемелерді енгізу қатысуымен ұсыныстар әзірлеу және жеткізу.

Методология және аудит құралдары

қалай тексеру және қандай қадамдар және ол көздейді білдіреді туралы Енді бірер сөз.

Ақпараттық қауіпсіздік аудиті бірнеше кезеңнен тұрады:

• тексеру рәсімдерін бастамашы (аудитордың құқықтары мен міндеттері айқын анықтамасы, аудитор жоспар және басшылықпен оның үйлестіру дайындауды тексереді, зерттеу шекараларын мәселе, ұйымдастыру міндеттеме мүшелері туралы салу қамқорлық және тиісті ақпаратты уақтылы ұсыну);
• бастапқы деректерді жинау (қауіпсіздік құрылымы, қауіпсіздік мүмкіндіктерінің тарату, ақпарат алу және қамтамасыз ету үшін жүйелік өнімділігін талдау әдістері қауіпсіздік деңгейлері, т.б. басқа да құрылыстарды, компьютерлік желілерді пайдаланушылардың иерархия, анықтау хаттамалар, байланыс арналарын анықтау және IP өзара іс-қимыл);
• кешенді немесе ішінара тексеру жүргізу;
• деректерді талдау (кез келген түріне және сәйкестігін тәуекелдерді талдау);
• әлеуетті проблемаларды шешу үшін ұсынымдар беру;
• ұрпақ есеп.

оның шешімі тек компания басшылығы мен аудитор арасында жасалған, себебі бірінші кезеңі, ең қарапайым болып табылады. талдау шекаралары қызметкерлердің немесе акционерлердің жалпы жиналысында қаралуы мүмкін. Барлық осы және құқықтық саладағы көп байланысты.

ол ақпараттық қауіпсіздік немесе сыртқы тәуелсіз сертификаттау ішкі аудит болып табылады ма бастапқы деректерді жинау, екінші кезеңі ең ресурсы сыйымды болып табылады. Бұл осы кезеңде сіз барлық аппараттық және бағдарламалық қамтамасыз ету қатысты техникалық құжаттаманы зерттеу үшін ғана емес, сонымен қатар тарылту-сұхбат қоғам қызметкерлерінің қажет, бұл шын мәнінде, және көп жағдайда тіпті арнайы сауалнаманы немесе зерттеулер толтыру бар байланысты.

техникалық құжаттаманы болсақ, ол жүйелік және қолданбалы бағдарламалық қамтамасыз (бизнес-қосымшаларды, оларды басқару және есепке алу операциялық жүйе), сондай-ақ бағдарламалық қамтамасыз белгіленген қорғауды анықтау үшін, IC құрылымы және оның қызметкерлеріне қол жеткізу құқықтарын басым деңгейлері туралы деректерді алу өте маңызды болып табылады және емес бағдарлама түрі (және т.б. антивирустық бағдарламалық қамтамасыз ету, брандмауэрлер,). Сонымен қатар, осы телекоммуникациялық қызметтердің желілері мен провайдерлер толық тексеру (желі ұйымдастыру, қосылу үшін пайдаланылатын хаттамалар, байланыс арналарын түрлері, ақпаратты беру және қабылдау әдістері ағып, және одан да көп) қамтиды. анық болғандықтан, ол көп уақыт алады.

Келесі кезеңде, ақпараттық қауіпсіздік аудит әдістері. Олар үш түрі бар:

• тәуекел талдау (барлық ықтимал әдістері мен құралдарын пайдалана отырып, IP бұзу ену және оның тұтастығын аудитор анықтауға негізделген ең қиын техника,);
• (Ақпараттық қауіпсіздік саласындағы істердің ағымдағы жағдайын салыстыру негізінде қарапайым және ең практикалық әдісі және халықаралық стандарттар мен ішкі құжаттарының талаптарына) стандарттар мен заңнамасының сақталуын бағалау;
• Бірінші екі біріктіреді аралас әдісі.

оларды талдау тексеру нәтижелерін алғаннан кейін. Қаражат Аудит ақпараттық қауіпсіздік, бойынша талдау үшін пайдаланылады, өте алуан түрлі болуы мүмкін. Ол барлық бірінші әдісі бойынша көруге болады, Бірақ. Сондықтан кәсіпорынның, ақпарат түрі, сіз пайдаланатын бағдарламалық қамтамасыз ету, қорғау және ерекшелігіне байланысты, аудитор негізінен өз тәжірибесіне сүйенеді керек.

Және ол тек ақпараттық технологиялар мен деректерді қорғау саласында толық білікті болуы керек дегенді білдіреді. Осы талдау негізінде, аудитор және ықтимал тәуекелдерді есептейді.

ол операциялық жүйе немесе пайдаланылатын бағдарламаға, мысалы, бизнес немесе есепке алу ғана емес, ісі керек екенін ескеріңіз, бірақ сондай-ақ шабуылшы деректерді ұрлау, залал мен жою мақсатында ақпараттық жүйеге еніп болады қалай анық түсіну үшін, бұзғаны үшін алғышарттар жасау компьютерлер, вирустар немесе зиянды бағдарламаларды тарату.

проблемаларды шешу үшін аудиторлық қорытындылар мен ұсынымдар бағалау

талдау негізінде сараптамалық қорғау күйі туралы қорытынды жасайды және бар немесе ықтимал мәселелерді шешу үшін ұсыныстар береді, қауіпсіздік жаңартулары, т.б. ұсынымдар әділ болуы, сондай-ақ нақты кәсіпорын ерекшелігін шындығына байлаулы тиіс ғана емес. Басқаша айтқанда, компьютер немесе бағдарламалық қамтамасыз етуді конфигурациясын жаңарту бойынша кеңестер қабылданбайды. Бұл тең дәрежеде «сенімсіз» кадрларды жұмыстан босату кеңес қолданылады, оларды тағайындау, орнын және орындылығын көрсетпестен жаңа бақылай жүйелерін орнату.

талдау негізінде, әдетте, бірнеше тәуекел топтар бар. Бұл жағдайда, жиынтық есеп жасауға екі негізгі көрсеткіштер пайдаланылады: шабуыл және залал ықтималдығы нәтижесінде Қоғамға келтірілген (т.б. активтерді жоғалту, беделін төмендету, имиджін жоғалту және.). Алайда, топтардың өнімділігі бірдей емес. Мысалы, шабуыл ықтималдығы төмен деңгейлі көрсеткіш ең жақсы болып табылады. керісінше - зиян үшін.

Тек содан кейін боялған барлық кезеңдері, әдістері мен зерттеудің құралдарын деректемелері баяндама құрастырылды. компания мен аудитор - Ол көшбасшылық және екі тараптар қол қойған келісті. Егер аудит ішкі, есеп ол тағы да, басшысы қол, содан кейін тиісті құрылымдық бөлімшенің басшысы болып табылады.

Ақпараттық қауіпсіздік аудиті: Мысал

Соңында, біз қазірдің өзінде ақталды жағдайды қарапайым мысалды қарастырайық. Көптеген, айтпақшы, ол өте таныс көрінуі мүмкін.

Мысалы, ICQ Instant Messenger компьютердің (қызметкердің аты және компания аты айқын себептер бойынша атындағы емес) жылы құрылған Құрама Штаттарында компанияның сатып алу қызметкерлері. Келіссөздер осы бағдарлама арқылы дәл жүргізілді. Бірақ «ICQ» қауіпсіздік тұрғысынан өте осал болып табылады. уақытта тіркеу нөмірлері Өзін қызметкер немесе электрондық пошта мекенжайын болған жоқ, немесе жай ғана оны беруге келмеді. Оның орнына, ол электрондық пошта, тіпті болмаған сияқты домен нәрсе атап көрсетті.

Қандай шабуылшы еді? ақпараттық қауіпсіздік аудиті көрсеткендей, ол дәл сол домен тіркелген және құрылатын еді, оған тағы бір тіркеу терминал болар еді, содан кейін оның салдарынан шығын қалпына келтіру үшін құпия сұрау салушы, ICQ қызмет тиесілі Mirabilis компаниясына хабар жіберу алмады (бұл жасалатынын ). пошта сервері алушы емес сияқты, ол нөмірге енгізілді - қолданыстағы қаскүнем пошта бағыттауда.

Нәтижесінде, ол берілген ICQ нөмірі сәйкес қол алады және белгілі бір елде тауарларды алушының мекенжайын өзгерту үшін жеткізушіге хабарлайды. Осылайша, тауарлар белгісіз жаққа жіберді. Және бұл ең зиянсыз үлгісі болып табылады. Сондықтан, бұзақылық. Және қандай әлдеқайда қабілетті неғұрлым ауыр хакерлер туралы ...

қорытынды

Мұнда IP қауіпсіздік аудит қатысты қысқаша және барлық болып табылады. Әрине, ол барлық аспектілері әсер етпейді. себебі оның мінез-құлық проблемалары мен әдістерін тұжырымдау факторлардың көп әсер етеді, сондықтан әрбір жағдайда тәсіл қатаң жеке болып табылады жай ғана болып табылады. Сонымен қатар, ақпараттық қауіпсіздік аудит әдістері мен құралдары, әр түрлі АЖ үшін әр түрлі болуы мүмкін. Алайда, мен, көптеген осындай сынақтардың жалпы принциптері, тіпті бастауыш деңгейінде айқын болуға ойлаймын.