Revisjon av informasjonssikkerhet: mål, metoder og verktøy, et eksempel. Revisjon av sikkerhetsinformasjon for banken

I dag, alle vet nesten hellig uttrykk som eier informasjonen, eier verden. Det er derfor i vår tid til å stjele konfidensiell informasjon prøver til alle og enhver. I denne forbindelse tatt enestående skritt og implementering av midler for beskyttelse mot mulige angrep. Men noen ganger kan det hende du trenger for å gjennomføre en revisjon av systemer for informasjon sikkerhet. Hva er det og hvorfor er det alt nå, og prøve å forstå.

Hva er en revisjon av informasjonssikkerheten i den generelle definisjonen?

Hvem vil ikke påvirke abstruse vitenskapelige termer, og prøve å finne ut for seg selv de grunnleggende begreper og beskriver dem i den mest enkelt språk (folket det kan kalles revisjonen for "dummies").

Navnet på de komplekse hendelser taler for seg selv. Revisjon av informasjonssikkerheten er en uavhengig bekreftelse eller fagfellevurdering for å sikre sikkerheten til informasjonssystemer (IS) i ethvert selskap, institusjon eller organisasjon på grunnlag av spesialutviklede kriterier og indikatorer.

Enkelt sagt, for eksempel granske bankens informasjonssikkerhet koker ned til, for å vurdere graden av beskyttelse av kundedatabaser holdt av bankdriften, sikkerheten til elektroniske penger, bevaring av banktjenester hemmelighold, og så videre. D. Ved forstyrrelser i aktivitetene ved institusjonen uvedkommende utenfra, ved hjelp elektronikk og datatjenester.

Riktignok blant leserne det er minst en person som ringte hjem eller mobiltelefon med et forslag om å behandle lån eller innskudd, banken som den ikke har noe å gjøre. Det samme gjelder for kjøp og tilbud fra noen butikker. Hvorfra kom opp rommet ditt?

Det er enkelt. Hvis en person som tidligere tok lån eller investert i en depositumskonto, selvfølgelig, er dens data lagret i en felles kundebase. Når du ringer fra en annen bank eller butikken kan bare være én konklusjon: informasjon om det kom ulovlig til tredjepart. Hvordan? Vanligvis er det to alternativer: enten den ble stjålet, eller overført til ansatte i banken til tredjepart bevisst. For at slike ting ikke skjedde, og du trenger tid til å gjennomføre en revisjon av informasjonssikkerhet av banken, og dette gjelder ikke bare til datamaskinen eller "jern" middel for beskyttelse, men hele staben av institusjonen.

De viktigste retninger av informasjon sikkerhet tilsynet

Når det gjelder omfanget av revisjonen, som regel, de er flere:

• fullstendig kontroll av objektene som er involvert i prosessene for informasjon (data automatisert system, kommunikasjonsmidler, mottak, informasjonsoverføring og behandling, anlegg, lokaler for konfidensielle møter, overvåkingssystemer, etc.);
• å sjekke påliteligheten av beskyttelse av konfidensiell informasjon med begrenset tilgang (bestemmelse av mulig lekkasje og potensielle sikkerhetshull kanaler som tillater tilgang til det fra utsiden ved bruk av standard og ikke-standard metode);
• sjekk av alle elektroniske hardware og lokale datasystemer for eksponering til elektromagnetisk stråling og forstyrrelser, som tillater dem å slå av eller bringe i forfall;
• prosjekt del, som omfatter arbeid på etablering og anvendelsen av konseptet med sikkerhet i sin praktiske gjennomføring (beskyttelse av datasystemer, anlegg, kommunikasjonsfasiliteter, etc.).

Når det gjelder revisjon?

For ikke å nevne de kritiske situasjoner der forsvaret var allerede brutt, revisjon av informasjonssikkerheten i en organisasjon kan utføres, og i noen andre tilfeller.

Vanligvis, disse inkluderer utvidelse av selskapet, fusjon, oppkjøp, oppkjøp av andre selskaper, endre kurs i forretningskonsepter eller retningslinjer, endringer i folkeretten eller i lovgivningen i et land, heller alvorlige endringer i informasjonsinfrastrukturen.

typer revisjon

I dag er det svært klassifisering av denne type revisjon, ifølge mange analytikere og eksperter ikke etablert. Derfor kan inndeling i klasser i noen tilfeller være ganske vilkårlig. Ikke desto mindre, i alminnelighet ved revisjon av informasjonssikkerheten kan deles inn i ytre og indre.

En ekstern revisjon utført av uavhengige eksperter som har rett til å gjøre, er vanligvis en engangs sjekk, som kan være initiert av ledelsen, aksjonærer, politi, etc. Det antas at en ekstern revisjon av informasjonssikkerhet er anbefalt (men ikke nødvendig) å utføre regelmessig for en bestemt periode. Men for enkelte organisasjoner og bedrifter, i henhold til loven, er det obligatorisk (for eksempel finansinstitusjoner og organisasjoner, aksjeselskaper og andre.).

Intern revisjon informasjonssikkerhet er en kontinuerlig prosess. Den er basert på en spesiell "Forskrift om internrevisjon". Hva er det? Faktisk, denne sertifiseringen aktiviteter utføres i organisasjonen, i form godkjent av ledelsen. En informasjonssikkerhet revisjon av spesiell strukturell inndeling av virksomheten.

Alternative klassifisering av tilsynet

Foruten de ovennevnte inndeling i klasser i det generelle tilfellet, kan vi skille flere komponenter som er gjort i den internasjonale klassifisering:

• Expert sjekke status for informasjonssikkerhet og informasjonssystemer på grunnlag av personlig erfaring av eksperter, den ledende;
• sertifiseringssystemer og sikkerhetstiltak for samsvar med internasjonale standarder (ISO 17799) og nasjonale juridiske virkemidler som regulerer dette feltet aktivitet;
• analyse av sikkerheten av informasjonssystemer med bruk av tekniske hjelpemidler for å identifisere potensielle svakheter i programvaren og maskinvaren kompleks.

Noen ganger det kan brukes og den såkalte omfattende revisjon, som omfatter alle de ovennevnte typer. Forresten, han gir de mest objektive resultater.

Iscenesatt og mål

Noen bekreftelse, enten internt eller eksternt, starter med å sette mål og målsettinger. Enkelt sagt, må du finne ut hvorfor, hvordan og hva som vil bli testet. Dette vil bestemme den ytterligere prosedyre for utførelse av hele prosessen.

Oppgaver, avhengig av den spesifikke strukturen i bedriften, organisasjonen, institusjonen og dens aktiviteter kan være ganske mye. Men midt i all denne utgivelsen, enhetlig mål av informasjon sikkerhet tilsynet:

• vurdering av tilstanden av informasjonssikkerhet og informasjonssystemer;
• analyse av de mulige farer forbundet med risiko for gjennomtrengning inn i ekstern IP og de mulige modaliteter av slike forstyrrelser;
• lokalisering av hull og mellomrom i sikkerhetssystemet;
• analyse av det passende nivå av sikkerhet av informasjonssystemer til gjeldende standarder og regulatoriske og juridiske handlinger;
• utvikling og levering av anbefalingene som involverer fjerning av eksisterende problemer, samt forbedring av eksisterende løsninger og innføring av nye utbygginger.

Metodikk og revisjonsverktøy

Nå noen ord om hvordan sjekken og hvilke tiltak og betyr det innebærer.

En informasjonssikkerhet revisjon består av flere trinn:

• initiere verifisering (klar definisjon av rettigheter og plikter for revisor, kontrollerer revisor utarbeidelse av planen og dens samordning med ledelsen, spørsmålet om grensene for studien, ileggelse på medlemmer av organisasjonen forpliktelse til omsorg og rettidig levering av relevant informasjon);
• innsamling av første data (sikkerhetsstruktur, fordeling av sikkerhetsfunksjonene, sikkerhetsnivåer av systemytelse analysemetoder for innhenting og gi informasjon, bestemmelse av kommunikasjonskanaler og IP interaksjon med andre strukturer, et hierarki av brukere av datanettverk, bestemmelse protokollene, etc.);
• gjennomføre en omfattende eller delvis inspeksjon;
• dataanalyse (analyse av risikoen for enhver type og compliance);
• utstede anbefalinger for å løse potensielle problemer;
• rapportgenerering.

Den første fasen er den mest enkle, fordi vedtaket er gjort utelukkende mellom selskapets ledelse og revisor. Grensene for analysen kan behandles på generalforsamlingen i ansatte eller aksjonærer. Alt dette og mer knyttet til det juridiske feltet.

Den andre fasen av samlingen av en basislinje-data, enten det er en intern revisjon av informasjonssikkerheten eller ekstern uavhengig sertifisering er det mest ressurskrevende. Dette skyldes det faktum at på dette stadiet må du ikke bare undersøke den tekniske dokumentasjonen knyttet til all maskinvare og programvare, men også for å begrense-intervjue selskapets ansatte, og i de fleste tilfeller også med å fylle spesielle spørreskjemaer eller undersøkelser.

Som for den tekniske dokumentasjonen, er det viktig å få data om IC struktur og de prioriterte nivåer av tilgangsrettigheter til sine ansatte, for å identifisere hele systemet og programvaren (operativsystemet for forretningsapplikasjoner, deres ledelse og regnskap), samt etablert beskyttelse av programvare og ikke-programtype (antivirus-programvare, brannmurer, etc.). I tillegg omfatter den fullstendige verifisering av nettverk og tilbydere av teletjenester (nettverks organisasjon, protokollene som brukes for tilkobling, hvilke typer kommunikasjonskanaler, overføring og mottak metoder av informasjonsflyt, og mer). Som er klart, det tar mye tid.

I den neste fasen, metodene for informasjonssikkerhet revisjon. De er tre:

• risikoanalyse (den mest vanskelig teknikk, basert på bestemmelsen av revisor til penetrering av IP brudd og dens integritet ved hjelp av alle mulige metoder og verktøy);
• vurdering av samsvar med standarder og lovgivning (den enkleste og mest praktiske metoden basert på en sammenligning av nåværende tilstand og kravene til internasjonale standarder og innenlandske dokumenter innen informasjonssikkerhet);
• den kombinerte metode som kombinerer de to første.

Etter å motta bekreftelses resultatene av analysen. Midler Tilsyn av informasjonssikkerhet, som blir brukt for analyse, kan være ganske varieres. Det hele avhenger av detaljene i bedriften, type informasjon, programvaren du bruker, beskyttelse og så videre. Men som kan sees på den første metoden, revisor hovedsak må stole på sine egne erfaringer.

Og det betyr bare at det må være fullt kvalifisert innen informasjonsteknologi og databeskyttelse. På grunnlag av denne analysen, revisor og beregner mulige risikoer.

Legg merke til at det skal forholde seg ikke bare i operativsystemet eller programmet som brukes, for eksempel for forretninger eller regnskap, men også for å forstå tydelig hvordan en angriper kan trenge inn i informasjonssystemet for formålet med tyveri, skade og ødeleggelse av data, opprettelse av forutsetningene for brudd i datamaskiner, spredning av virus eller malware.

Evaluering av revisjonsfunn og anbefalinger for å løse problemer

Basert på analysen ekspert konkluderer om beskyttelsesstatus og gir anbefalinger for å håndtere eksisterende eller potensielle problemer, sikkerhetsoppgradering etc. Anbefalingene skal ikke bare være rettferdig, men også klart knyttet til realitetene i foretaket detaljer. Med andre ord, er tips om oppgradering av konfigurasjon av datamaskiner eller programvare ikke akseptert. Dette gjelder også for råd fra oppsigelsen av "upålitelige" personell, installere nye sporingssystemer uten å spesifisere sin destinasjon, plassering og hensiktsmessigheten.

Basert på analysen, som en regel, er det flere risikogrupper. I dette tilfellet, å utarbeide en sammendragsrapport bruker to viktige indikatorer: (. Tap av eiendeler, reduksjon av omdømme, tap av bilde og så videre) sannsynligheten for et angrep, og skadene på selskapet som et resultat. Men resultatene av gruppene er ikke det samme. For eksempel, er lav-nivåindikator for sannsynligheten for angrep det beste. For skader - tvert imot.

Bare da utarbeidet en rapport som detaljer malt alle stadier, metoder og midler for forskningen. Han var enig med ledelsen og signert av de to sidene - selskapet og revisor. Dersom tilsynet indre, er en rapport hodet til den respektive strukturelle enhet, hvoretter han igjen, undertegnet av hodet.

Revisjon av informasjonssikkerheten: Eksempel

Til slutt ser vi på det enkleste eksempel på en situasjon som allerede har skjedd. Mange, forresten, kan det virke veldig kjent.

For eksempel et selskaps innkjøpere i USA, etablert i ICQ instant messenger datamaskin (er navnet på den ansatte og firmanavnet ikke navngitt for åpenbare grunner). Forhandlingene ble gjennomført nettopp ved hjelp av dette programmet. Men "ICQ" er ganske sårbar når det gjelder sikkerhet. Selv ansatt ved registreringsnumrene på den tiden eller ikke har en e-postadresse, eller bare ikke ønsker å gi den. I stedet pekte han på noe sånt som e-post, og til og med ikke-eksisterende domene.

Hva ville angriperen? Som vist av en revisjon av informasjonssikkerhet, ville det være registrert nøyaktig samme domene og skapte ville være i det, en annen registreringsterminal, og da kunne sende en melding til Mirabilis selskap som eier ICQ service, ber passord utvinning på grunn av sine tap (som ville skje ). Som mottaker av e-postserveren var ikke, det var inkludert omdirigere - omdirigere til en eksisterende inntrenger post.

Som et resultat, får han tilgang til korrespondanse med den gitte ICQ nummer og informerer leverandøren for å endre adressen til mottakeren av varene i et bestemt land. Dermed blir varene sendt til en ukjent destinasjon. Og det er den mest harmløse eksempel. Så bot. Og hva mer alvorlige hackere som er i stand til mye mer ...

konklusjon

Her er en kort og alt som er relatert til IP-sikkerhet revisjon. Selvfølgelig er det ikke påvirket av alle aspekter av det. Grunnen er bare at i utformingen av problemene og metoder for sin oppførsel påvirker en rekke faktorer, slik tilnærming i hvert enkelt tilfelle er strengt individ. I tillegg kan de metoder og midler for informasjonssikkerheten være forskjellig for forskjellige kretser. Men jeg tror, de generelle prinsippene for slike tester for mange blir tydelig selv på barnetrinnet.