Information Security Audit: Doelstellings, metoaden en ark, bygelyks. Information Security kontrôle fan de bank

Hjoeddedei wit elkenien in heulende phrase dy't de eigner fan ynformaasje de wrâld hat. Dat is dêrom yn ús tiid te stellen fertroulike ynformaasje besykje oan alles en folle. Yn dizze ferbining wurde ungebrûklike stappen taken makke om middels beskerming te meitsjen tsjin mooglike oanfallen. Wol kin it wêze dat it nedich is om de ynformaasjefeiligens fan it bedriuw te kontrolearjen. Wat is it en wêrom is it nedich, no en besykje it út te fellen.

Wat is in ynformaasjebestriding yn in algemiene definysje?

No sille wy dan gjin wittenskiplike termen oanfreegje, mar wy sille besykje de basisbegripen foar ússels te definiearjen, yn 'e ienfâldige taal beskriuwe (yn it folk kin it in kontrôle foar "dummies" neamd wurde).

De namme fan dit kompleks fan eveneminten sprekt foar himsels. Information Security rekkenkeamer is in ûnôfhinklike ferifikaasje of peer resinsje te garandearjen de befeiliging fan ynformaasjesystemen (IS) fan in bedriuw, ynstelling of organisaasje op basis fan spesjaal ûntwikkele kritearia en yndikatoaren.

Yn ienfâldige terminen is bygelyks it kontrôle fan ynformaasjefersekering fan in bank minimaal foar it beoardieljen fan it nivo fan beskerming fan klantdatabases, bankbiljetten, it behâld fan elektroanyske fûnsen, de feiligens fan bankgeheimens ensfh. Yn gefal fan ynterferinsje yn 'e wurking fan' e ynstelling troch bûtenlânsken fan bûten, Elektronike en kompjûterynstellings.

Geweldich, by de lêzers sil op syn minst ien persoan wêze dy't hûs neamd is op in mobyl tillefoan mei in foarstel foar in liening of ynsette, en fan in bank mei hokker hy net ferbûn is. Itselde jildt foar it oanbod fan oankeapen fan guon winkels. Wêr hat jo nûmer kommen?

It is gewoan. As in persoan earder naam lieningen of ynvestearre yn in oanbetelling akkount, fansels, har gegevens wurdt opslein yn in mienskiplik klant basis. Wannear't jo fan in oare bank of winkel roppe, kinne jo in ienige konklúzje tekenje: ynformaasje oer him is illegally fallen yn tredde hannen. Hoe? Yn 't algemien kinne wy twa mooglikheden ûnderskiede: it waard stull, of troch de meiwurkers fan' e bank ôfstjoerd nei tredde partijen bewust. Om dat sokke dingen net foarkomme, moatte jo yn 'e tiid in kontrôle fan de ynformaasjefeiligens fan' e bank dwaan, en dat jildt net allinich foar komputer of "izer" middels beskerming, mar it hiele personiel fan 'e bankynstitút.

De wichtichste rjochtingen fan ynformaasjebestriding

Hoe't it gebiet fan sa'n kontrôle, yn oerhearsking, ûnderskiede wurde troch ferskate:

• Folslein kontrôle fan 'e objekten dy't belutsen binne by de ynformatisaasjeprosessen (komputer automatisearre systemen, middels kommunikaasje, ûntfangst, oerdracht en ferwurkjen fan ynformaasjegegevens, foarsjennings, foarsjennings foar fertroulike gearkomsten, surveillance systems, ensfh.);
• Ferifikaasje fan 'e betrouberens fan' e beskerming fan fertroude ynformaasje mei beheinde tagong (identiteit fan eventuele leakagekanalen en potensjele feiligingslokaasjes dy't tagonklik tagong krije ta gebrûk fan standert en net-standert metoaden);
• Ferifikaasje fan alle elektronike technyske middels en lokale komputersystemen foar it effekt fan elektromagnetyske strieling en pickups op har, wêrtroch it mooglik is te ferwiderjen of net te brûken;
• It projektdiel, wêryn wurk wurket oan it skeppen fan it konsept fan feiligens en syn tapassing yn praktyske útfiering (beskerming fan kompjûtersystemen, foarsjennings, kommunikaasje, ensfh.).

Wannear is it needsaaklik om in kontrôle út te fieren?

Net te bepalen krityske situaasjes, as beskerming al ferswakke is, kin in oardering fan ynformaasjefersoarging yn in organisaasje yn guon oare gefallen útfierd wurde.

Typysk befetsje it útwreidzjen fan bedriuwen, fúzjes, akwisysjes, fúzjes mei oare bedriuwen, it feroarjen fan it begryp fan 'e bedriuwsfiering of management, feroaringen yn ynternasjonale wetjouwing of yn juridyske akten binnen ien inkeld lân, earder serieuze feroaringen yn' e ynformaasjesyk.

Typen fan kontrôle

Tsjintwurdich is de heule klassifikaasje fan dizze soarte fan kontrôle, neffens in protte analysers en saakkundigen, net opnommen. Dêrom kin de ferdieling yn klassen yn guon gefallen tige bedriging wêze. Dochs kin yn it algemiene gefal it kontrôle fan ynformaasjefeiligens ferdield wurde yn eksterne en yntern.

In eksterne kontrôle útfierd troch ûnôfhinklike eksperten dy't hjirbû dwaande binne, is meast in ien-oere kontrôle, dy't kin begjinne mei de direksje fan 'e bedriuwsfiering, sintraalfertsjintwurdigers, hanthaveningsorganisaasjes ensfh. It is leauwe dat in eksterne ynformaasje-feiligens-kontrôle wurdt advisearre (en net ferplichtend) foar geregeld foar in bepaalde perioade. Mar foar guon organisaasjes en bedriuwen, neffens de wetjouwing, is it ferplicht (bygelyks finansjele ynstellingen en organisaasjes, bedriuwsbedriuwen, ensfh.).

Ynterne kontrôle fan ynformaasjefeiligens is in konstantisaasje. It is basearre op in spesjale "Oardering oer ynterne kontrôle". Wat is it? Yn feite binne dizze sertifikaataktiviteiten dy't yn 'e organisaasje fiere binne, binnen de tiidframes dy't troch management bewurke binne. De kontrôle fan de ynformaasjefeiligens wurdt steld troch spesjale struktureel subdivisionen fan it bedriuw.

Alternative klassifikaasje fan auditypen

Neist de hjirboppe beskreaune divyzje yn klassen yn it algemiene gefal is it mooglik om ferskate mear komponinten te ûnderskieden dy't yn 'e ynternasjonale klassifikaasje fêststeld binne:

• Expertekontrôle fan de steat fan feiligens fan ynformaasje- en ynformaasjesystemen op basis fan persoanlike ûnderfining fan eksperts dy't it leverje;
• Belesting fan systemen en feiligensmaatregels foar konformiteit mei ynternasjonale standerts (ISO 17799) en juridyske dokuminten dy't bestjoere oan dit gebiet fan aktiviteiten;
• Analyse fan 'e feiligens fan ynformaasjesystemen mei technyske middels, rjochte op it identifisearjen fan potinsjele kwetsberens yn' e software- en hardware kompleks.

Somtiden kin in saneamde kompleks kontrôle oanbrocht wurde, wêrby't alle boppesteande typen binne. Oan 'e wei is it dy't hy de meast objektive resultaten jout.

Set doelen en doelstellingen

Elke ferifikaasje, of ynterne of eksterne, begjint mei it ynstellen fan doelen en doelstellingen. As it maklik te praten is, is it nedich om te definiearjen, wat foar, wat en hoe't it kontroleard wurde. Dit sil de fierdere metoade foarstelle foar it útfieren fan it folsleine proses.

De opsette taken, ôfhinklik fan 'e spesifiken fan' e struktuer fan it bedriuw sels, organisaasje, ynstelling en aktiviteiten, kin in soad wêze. Dochs ûnder oaren binne de unifoarme doelen fan 'e kontrôle fan ynformaasjefersekering útdield:

• De beoardieling fan de steat fan feiligens fan ynformaasje- en ynformaasjesystemen;
• In analyze fan 'e mooglike risiko' s dy't ferbûn binne mei de bedriging fan penetratie yn IP fan bûten en mooglik middels foar it útfieren fan sa'n yntervinsje;
• Lokaasje fan gatten en gatten yn it feiligenssysteem;
• In analyze fan de konformiteit fan it nivo fan feiligens fan ynformaasjesystemen mei besteande nasjonale en regeljouwing;
• De ûntwikkeling en útjeften fan oanbefellingen om besteande problemen te eliminearjen, lykas it ferbetterjen fan besteande effekten en de ynfiering fan nije ûntjouwings.

Methods en middels om it kontrôle te fieren

No dan in pear wurden oer hoe't de test útfierd wurdt en hokker stap en betsjut dat it befet.

De kontrôle fan ynformaasjefeiligens bestiet út ferskate haadstikken:

• Inisaasje fan 'e ferifikaasjeproseduere (dúdlike definysje fan rjochten en ferantwurdigers fan' e kontrôle, tarieding fan it kontrôleplan troch de akteurs en syn goedkarring mei behear, resolúsje fan it oandiel fan 'e grinzen fan' e stúdzje, ynstellingen fan ferplichtingsferplichtingen op 'e meiwurkers fan' e organisaasje en yntellekt oanjaan fan needsaaklike ynformaasje);
• De kolleksje fan 'e begjinnende gegevens (de struktuer fan it feiligenssysteem, de ferdieling fan feilichensysteem, de nivo's fan it funksjonearjen fan it feiligenssysteem, de analyze fan metoaden foar it krijen en foarljochting, de identifikaasje fan kommunikaasjewapens en de ynteraksje fan IP mei oare struktueren, de hierargy fan brûkers fan komputernetwurken, de definysje fan protokollen, ensfh.);
• It útfieren fan in yntegreare of foar in part ferifikaasje;
• De analyze fan de ûntfangen gegevens (de analyze fan risiko's fan elke type en konformiteit oan normen);
• Utjaan oanbefellings foar it fuortsterkjen fan problemen problemen;
• Untwerp fan dokumintaasje rapportearje.

De earste poadium is it ienfâldichste, om't syn beslút útsluten is tusken it bestjoer en de kontrôler. De grinzen fan 'e analyze kinne wurde beskôge by in algemiene gearkomste fan meiwurkers of oandielhâlders. Dit alles jildt mear foar it juridysk fjild.

De twadde poadium fan it sammeljen fan earste gegevens, of it is in ynterne kontrôle fan ynformaasjefeiligens of eksterne ûnôfhinklike sertifikaasje, is de measte boarneintensifike. Dit is fanwege it feit dat op dit stuit needsaaklik is net allinich de technyske dokumintaasje te studearjen dy't oangeande it hiele software- en hardware kompleks bestudearret, mar ek in smelle yntervigje fan 'e meiwurkers fan' e bedriuwen, en yn 'e measte gefallen sels ek mei spesjale fragelisten of fragelisten útfiere.

Wat de technyske dokumintaasje is, is it wichtich om gegevens te krijen oer de struktuer fan IP en de prioriteit nivo's fan tagongsrjochten foar meiwurkers, symboalysearje en applikaasje-software (bestjoeringssysteem, applikaasjes foar bedriuw, behears en rekkening) En net-programma-type (antivirus, firewall, ensfh.). Dêrneist befettet dit de folsleine ferifikaasje fan netwurken en providers dy't kommunikaasjinsten leverje (netwurk, gebrûksprotokollen foar ferbining, soarten fan kommunikaasjekanas, metoade foar oerdracht en ûntfangst fan ynformaasjeflows en folle mear). As it al dúdlik is, nimt in protte tiid.

Op de folgjende poadium binne metoaden foar kontrôleynformaasje-feiligens definiearre. Se ûnderskiede troch trije:

• Risiko-analyse (de meast komplekse metodyk dy't basearre is op de beslút fan 'e kontrôler fan' e mooglikheid fan yndrukking fan IP en brekt syn yntegriteit mei alle mooglikheden en middels);
• Assessment fan oerienstimming mei nasjonale en wetjouwingshannelingen (de ienfâldige en meast praktyske metoade, basearre op in fergeliking fan 'e hjoeddeistige steat fan' e saken en de easken fan ynternasjonale standert en nasjonale dokuminten op it mêd fan de ynformaasjefeiligens);
• Kombinearre metoade, kombinearret de earste twa.

Nei it berikken fan de resultaten fan 'e ynspeksje begjint de analyze. Fûnsen Audit fan ynformaasje feiligens, dy't brûkt wurde foar de analyse, kin hiel fariearre. It hinget allinich ôf fan 'e spesifike aktiviteiten fan' e ûndernimmings, lykas ynformaasje, software brûkt, beskerming, ensfh. Oangeande, lykas út 'e earste metoade sjoen wurde kin, moat de ôftanker foaral op syn eigen ûnderfining opjaan.

En dit allinne betsjut dat hy de passende kwalifikaasjes hawwe moat op it gebiet fan ynformaasjetechnology en data beskerming. Op grûn fan dizze analyse berekkene de kontrôler ek mooglike risiko's.

Tink derom dat it net allinne omgean moat mei bestjoeringssysteem of programma's, bygelyks foar bedriuwen of accountingdielen, mar ek dúdlik begrepen hoe't in yndrukteur kin it ynformaasjebestân yntsjinje foar it ferstjoeren, korrumpearjen en ferwiderjen fan gegevens, it meitsjen fan foarstellings foar ferdraggen Yn it wurk fan computers, de fersprieding fan 'e firus of malware.

Evaluaasje fan auditresultaten en oanbefellingen foar it oplossen fan problemen

Op grûn fan 'e analyse makket de saakkundige in konklúzje oer de beskerming fan' e beskerming en gegevens oanbefellingen foar it bewarjen fan besteande of potinsjeel problemen, it opsjen fan it feiligenssysteem, ensfh. Yn dat gefal moatte de oanbefellingen net allinich objektyf wêze, mar ek dúdlik ferbûn oan de realiteiten fan 'e spesifike punten fan it bedriuw. Mei oare wurden: der binne gjin tips foar it opwurdearjen fan de konfiguraasje fan kompjûters of software. Dat jildt ek foar advys oer de ôfwaging fan "untrustige" meiwurkers, de ynstallaasje fan nije trackingsystemen sûnder spesifike oantsjutting fan har doel, lokaasje en machigens.

Op grûn fan 'e analyze, yn' e regel, binne der ferskate groepen fan risiko 's. Tagelyk wurde twa wichtige yndikators brûkt om it konsolidearre rapport te sammeljen: de wikseling fan in oanfal en de skea dy't it bedriuw feroarsake hat (ferlies fan aktiva, ferlies fan reputaasje, ferlies fan byld, ensfh.). De yndikators foar de groepen lykwols binne net oerien. Bygelyks in leech skoare foar de oanfallerswapens is it bêste. Foar skea - yn 't tsjinste.

Allinne dêrnei wurdt in rapport makke, wêryn alle stappen, metoaden en ark fan 'e stúdzjes detailearre binne. It is ôfpraat mei it bestjoer en tekene troch twa partijen - it bedriuw en de kontrôler. As de kontrôle ynterne, is in ferslach fan de kop fan 'e oanbelangjende strukturele ienheid, wêrnei't er, wer, tekene troch de holle.

Audit fan ynformaasjefeiligens: in foarbyld

As lêste besykje it ienfâldige foarbyld fan in situaasje dy't al bard is. Foar in protte, troch de manier, kin it ferskriklik wêze.

Sa, bygelyks, in bepaalde meiwurker fan it bedriuw, dy't yn 'e Feriene Steaten wurke, hat in ICQ-boader op' e kompjûter ynstallearre (de namme fan 'e meiwurker en de namme fan it bedriuw is net ferneamd fan redenen neamd). Feroaten waarden fia dit programma fêststeld. Mar "ICQ" is frijwat kwetsber yn termen fan feiligens. De meiwurker doe't it nûmer te registrearjen, hie gjin e-postadres, of gewoan net it jaan. Ynstee dêrfan oanjûn hy wat eartiids oan e-post, sels mei in net-besteand domein.

Wat soe in oanfaller dwaan? Omdat de ynformaasje-feiligens-kontrôle sjen litte soe, soe hy it krekte selde domein registrearje en in oar registrauswaardagel ynstelje, wêrnei hy in berjocht nei Mirabilis stjoere kin, dy't de ICQ-tsjinst hat, mei in fersyk om it wachtwurd werom te setten troch syn ferlies (wat soe dien wurde ). Omdat de tsjinner fan 'e ûntfanger net in e-mailtsjinner wie, hat it in trochferwizing nei de besteande e-mail fan' e oanfaller opnommen.

Dêrtroch krijt hy tagong ta de korrespondinsje mei it oanjûne ICQ-nûmer en jout de leveransier oer it feroarjen fan it adres fan de ûntfanger fan 'e saak yn in bepaald lân. Sa wurdt de fracht stjoerd omdat gjinien wêr wêr't. En dit is it meast ûnskuldige foarbyld. Dus, Disorderly gedrach. En wat oer mear serieuze hackers dy't folle mear binne?

Fermelding

Hjir yn 'e koarte en alles wat it giet om it kontrôle fan IP-befeiliging. Fansels binne net alle fan har aspekten hjirre berikt. De reden is allinich dat in protte faktoaren ynfloed hawwe op de formulearring fan taken en metoaden fan har útfiering, dus de oanpak yn elke spesifike saak is strang yndividu. Dêrnjonken kinne metoaden en ark foar it kontrolearjen fan ynformaasjefersoarging ferskille foar ferskate IP. It liket derop dat de algemiene begjinsels fan sokke kontrôles foar in protte sille sels op it earste nivo dúdlik wurden wurde.