Information Security Audit: Cíle, metody a nástroje, např. Audit informační bezpečností banky

Dnes každý ví téměř posvátnou větu, která je vlastníkem informací, vlastní svět. To je důvod, proč v dnešní době ukrást důvěrné informace, se snaží všechny a různé. V tomto ohledu přijata bezprecedentní kroky a realizace prostředků ochrany před možnými útoky. Někdy však může být nutné provést audit bezpečnosti podnikových informací. Co to je a proč je to všechno teď, a pokusit se pochopit.

Co je audit informační bezpečnosti v obecné definici?

Kdo nebude mít vliv na těžce pochopitelných vědecké termíny, a pokusit se zjistit, jak pro sebe, základní pojmy, popisovat je ve většině jednoduchým jazykem (lidi by to mohlo být nazváno audit pro „nechápavé“).

Název složitých událostech mluví samo za sebe. Informace o bezpečnostní audit je nezávislé ověření nebo peer review pro zajištění bezpečnosti informačních systémů (IS) jakékoliv firmy, instituce nebo organizace, na základě speciálně vyvinutých kritérií a ukazatelů.

Zjednodušeně řečeno, například auditovat informační bezpečnost banky scvrkává, posoudit úroveň ochrany zákaznických databází v držení bankovních operací, bezpečnost elektronických peněz, zachování bankovního tajemství, a tak dále. D. V případě zásahu do činnosti tohoto orgánu neoprávněnými osobami z venku, pomocí elektronických a počítačových zařízení.

Jistě, mezi čtenáři existuje alespoň jedna osoba, která volal domů nebo mobilní telefon s návrhem zpracování úvěru či vkladu, banka, se kterou nemá nic společného. Totéž platí pro nákup a nabízí od některých obchodech. Odkud přišel váš pokoj?

Je to jednoduché. Je-li osoba již dříve vzali půjčky nebo investuje do vkladový účet, samozřejmě, jeho data jsou uložena ve společné zákaznické základny. Voláte-li z jiné banky nebo z obchodu může být jen jeden závěr: informace o něm přišel nelegálně třetím stranám. Jak? Obecně platí, že existují dvě možnosti: buď to bylo ukradeno, nebo převedeny na zaměstnance banky třetím osobám vědomě. K tomu, aby se takové věci se nestalo, a ty potřebují čas, aby provedla audit informační bezpečnosti banky, a to platí nejen pro počítač nebo „železných“ ochrannými prostředky, ale všech zaměstnanců instituce.

Hlavní směry informace bezpečnostního auditu

Pokud jde o rozsah auditu, jako pravidlo, že je několik:

• plná kontrola objektů zapojených do procesů informace (počítačového automatizovaného systému, komunikačních prostředků, příjem, přenos a zpracování informací, zařízení, prostor pro důvěrných setkání, monitorovacích systémů, atd);
• ověření spolehlivosti ochrany důvěrných informací s omezeným přístupem (určení možného úniku a potenciálních bezpečnostních děr kanálů, které umožňují přistupovat k němu z vnějšku s použitím standardních i nestandardních postupů);
• zkontrolovat všech elektronických hardwarových a lokálních počítačových systémů pro vystavení elektromagnetickému záření a rušení, což jim umožňuje vypnout nebo přivést do rozpadu;
• Projekt část, která zahrnuje práci na tvorbě a uplatňování koncepce bezpečnosti v jejím praktickém provádění (ochrana počítačových systémů, zařízení, komunikační zařízení a podobně).

Pokud jde o audit?

Nemluvě o kritické situace, kdy byla obrana už rozbité, audit informační bezpečnosti v organizaci může být provedena, a v některých dalších případech.

Typicky mezi ně patří expanzi firmy, fúze, akvizice, převzetí jiných společností, změnit směr obchodních konceptů nebo pokyny, změny v mezinárodním právu nebo v rámci právních předpisů v rámci jedné země, spíše závažných změn v informační infrastruktury.

typy auditu

V současné době je velmi klasifikace auditu tohoto typu, podle mnoha analytiky a odborníky není stanovena. Proto je rozdělení do tříd v některých případech může být docela libovolný. Nicméně obecně platí, že audit informační bezpečnosti lze rozdělit na vnější a vnitřní.

Externí audit proveden nezávislými odborníky, kteří mají právo na práci, je obvykle kontrola jednorázový, který může být iniciován managementu, akcionářů, donucovacích orgánů, atd Předpokládá se, že se doporučuje externí audit informační bezpečnosti (ale nevyžaduje), aby pravidelně provádět po nastavenou dobu. Ale pro některé organizace a podniky, v souladu s právními předpisy, je povinné (například, finančních institucí a organizací, akciových společností a další.).

Vnitřní bezpečnost informací audit je neustálý proces. Je založen na speciální „nařízení o interního auditu“. Co je to? Ve skutečnosti je tento certifikační činnosti vykonávané v organizaci z hlediska schválených vedením. Audit informační bezpečnosti zvláštní konstrukční rozdělení podniku.

Alternativní klasifikace auditu

Kromě výše popsaného rozdělení do tříd v obecném případě, můžeme rozlišit několik součásti vyrobené v mezinárodní klasifikaci:

• Expert kontrolu stavu bezpečnostních a informačních systémů informace na základě osobních zkušeností odborníků, jeho dirigentské;
• systémy certifikace a bezpečnostní opatření v souladu s mezinárodními normami (ISO 17799) a národními právními nástroji, které upravují tuto oblast činnosti;
• Analýza bezpečnosti informačních systémů s využitím technických prostředků, jejichž cílem je identifikovat potenciální slabiny v softwaru a hardwaru komplexu.

Někdy to může být použita i tzv komplexní audit, který zahrnuje všechny výše uvedené typy. Mimochodem, dává nejvíce objektivní výsledky.

Naplánovaných cílů a úkolů

Jakékoli ověření, zda interní nebo externí, začíná stanovení cílů a záměrů. Jednoduše řečeno, je třeba zjistit, proč, jak a co se bude testovat. To určí další postup spočívá v provedení celého procesu.

Úkoly, v závislosti na konkrétní struktuře podniku, organizace, instituce a jejích činností může být hodně. Avšak uprostřed vší této verzi, jednotný cíl informace bezpečnostního auditu:

• posouzení stavu informační bezpečnosti a informačních systémů;
• rozbor možných rizik spojených s rizikem průniku do vnější IP a možných způsobech takového zásahu;
• lokalizace otvorů a mezer v zabezpečení;
• Analýza přiměřené úrovně bezpečnosti informačních systémů platných norem a předpisů a právních předpisů;
• Vývoj a dodávka doporučení týkajících se odstranění existujících problémů, stejně jako zlepšení stávajících nápravných opatření a zavedení nových vývojových trendů.

Metodologie a kontrolní nástroje

Nyní pár slov o tom, jak se kontrola a jaké kroky, a znamená, že zahrnuje.

Audit informační bezpečnosti se skládá z několika fází:

• zahájením ověřovacích postupů (jasné vymezení práv a povinností auditora, auditor kontroluje přípravu plánu a jeho koordinaci s vedením, otázka hranic studie předepisování členy závazku organizace na péči a včasné poskytování relevantních informací);
• sběru vstupních dat (struktura bezpečnosti, distribuce bezpečnostních prvků, úrovní zabezpečení výkonu systému analytických metod pro získávání a poskytování informací, určení komunikačních kanálů a IP interakce s jinými strukturami, hierarchii uživatelů počítačových sítí, stanovení protokoly, atd);
• provést komplexní nebo částečnou kontrolu;
• Analýza dat (analýza rizik jakéhokoli typu a dodržování předpisů);
• vydávat doporučení k řešení případných problémů;
• generování reportů.

První etapa je nejjednodušší, protože její rozhodnutí je vyroben výhradně mezi vedením společnosti a auditora. Hranice analýzy lze považovat při výkonu působnosti valné hromady zaměstnanců nebo akcionářů. To vše a ještě více v souvislosti s právní oblasti.

Druhá etapa shromažďování základních údajů, ať už se jedná o interní audit informační bezpečnosti nebo externí nezávislou certifikaci je velmi náročná na zdroje. To je způsobeno tím, že v této fázi budete muset zkoumat nejen technickou dokumentaci týkající se veškerého hardwaru a softwaru, ale i úzký dotazování pracovníků společnosti, a ve většině případů i při plnění speciální dotazníky nebo průzkumy.

Pokud jde o technickou dokumentaci, je důležité získat údaje o struktuře IC a prioritní úrovní přístupových práv ke svým zaměstnancům, s cílem určit celý systém a aplikační software (operační systém pro podnikové aplikace, jejich řízení a účetnictví), stejně jako zavedené ochrany softwaru a typ non-programu (antivirový software, firewall, atd.). Navíc to zahrnuje plnou kontrolu sítí a poskytovatelů telekomunikačních služeb (organizace sítě, protokoly použité pro připojení, druhy komunikačních kanálů, přenos a způsoby přijímání informačních toků, a další). Jak je zřejmé, to trvá hodně času.

V další fázi, metody informační bezpečnosti auditu. Jsou tři:

• Analýza rizik (nejtěžší techniku, na základě určení auditora k pronikání porušování duševního vlastnictví a jeho integritu s využitím všech možných metod a nástrojů);
• Posouzení souladu s normami a právními předpisy (nejjednodušší a nejpraktičtější metoda založená na srovnání současného stavu a požadavky mezinárodních norem a domácích dokumentů v oblasti informační bezpečnosti);
• kombinovaná metoda, která kombinuje první dva.

Po obdržení výsledků ověření jejich analýzy. Fondy Audit informační bezpečnosti, které se používají pro analýzu, může být velmi pestrá. To vše závisí na specifika podniku, druhu informací, softwaru, který používáte, ochrany a tak dále. Nicméně, jak je možné vidět na první metoda, auditor musí především spoléhat na své vlastní zkušenosti.

A to pouze znamená, že musí mít plnou kvalifikaci v oblasti informačních technologií a ochrany osobních údajů. Na základě této analýzy, auditor a vypočítává možná rizika.

Všimněte si, že by se měla zabývat nejen v operačním systému nebo použitém programu, například pro podnikání nebo účetnictví, ale také jasně pochopit, jak může útočník proniknout do informačního systému za účelem odcizení, poškození nebo zničení dat, vytvoření předpokladů pro porušení v oblasti počítačů, šíření virů a malware.

Vyhodnocení zjištění auditu a doporučení k řešení problémů

Na základě analýzy odborník k závěru o stavu ochrany a dává doporučení k řešení stávající či potenciální problémy, aktualizace zabezpečení, atd Doporučení by měla být nejen spravedlivé, ale také jasně vázána na realitě podnikových specifik. Jinými slovy, tipy na upgrade konfiguraci počítačů nebo softwaru nejsou akceptovány. To platí i pro radu odvolání „nespolehlivých“ personálu, instalovat nové sledovací systémy bez uvedení svého cíle, umístění a přiměřenost.

Na základě analýzy, zpravidla existuje několik rizikových skupin. V takovém případě kompilovat souhrnná zpráva využívá dva klíčové ukazatele: (. Ztráta majetku, snížení reputace, ztráta obrazu a tak dále), pravděpodobnost útoku a škody způsobené na společnost jako výsledek. Nicméně výkonnost skupiny nejsou stejné. Například, indikátor nízké hladiny u pravděpodobnost útoku je nejlepší. Na náhradu škody - naopak.

Teprve pak sestavují zprávu, která podrobně popisuje pomalované všemi fázemi, metody a prostředky výzkumu. On souhlasil s vedením a podepsána oběma stranami - společnosti a auditora. V případě, že audit interní, je zpráva vedoucí příslušné konstrukční jednotky, po kterém se opět podepsané hlavy.

Audit informační bezpečností: Příklad

Nakonec jsme se zvážit nejjednodušší příklad situace, která se již stalo. Mnozí, mimochodem, se může zdát velmi dobře obeznámeni.

Například zaměstnanci zakázky společnost ve Spojených státech, se sídlem v ICQ instant messenger počítače (jméno zaměstnance a název firmy není jmenován z pochopitelných důvodů). Jednání byla vedena právě pomocí tohoto programu. Ale „ICQ“ je poměrně zranitelná z hlediska bezpečnosti. Vlastní zaměstnanci v registračních čísel v té době ani neměla mít e-mailovou adresu, nebo prostě nechtěl, aby to. Místo toho poukázal na něco jako e-mail, a dokonce neexistující domény.

Co by útočník? Jak je znázorněno auditu informační bezpečnosti, bylo by být zaregistrován přesně stejnou doménu a vytvořila by v něm jiný registrační terminál, a pak mohl poslat zprávu společnosti Mirabilis, která je vlastníkem ICQ službu, žádost o obnovení hesla v důsledku její ztráty (které by bylo provedeno ). Jako příjemce poštovní server nebyl, byl zařazen přesměrovat - přesměrovat do existujícího vloupání mailu.

Výsledkem je, že se mu dostane přístup ke korespondenci s daným číslem ICQ a informuje dodavatele změnit adresu příjemce zboží v určité zemi. To znamená, že odeslání zboží k neznámému cíli. A to je nejvíce neškodný příklad. Takže, výtržnictví. A co víc vážných hackerů, kteří jsou schopni mnohem více ...

závěr

Zde je stručný a vše, co se týká bezpečnostního auditu IP. Samozřejmě, že to není ovlivněna všemi aspekty toho. Důvodem je právě to ve formulaci problémů a způsoby jeho chování ovlivňuje mnoho faktorů, takže přístup v každém případě je přísně individuální. Kromě toho metody a prostředky bezpečnostního auditu informačního může být odlišná pro různé obvody. Nicméně si myslím, že obecné principy těchto testů pro mnohé se projevila i na primární úrovni.