Information Security Audit: tavoitteet, menetelmät ja työkalut, esimerkiksi. Tietoturvan tarkastus pankin

Nykyään kaikki tietävät melkein pyhä lause, joka omistaa tiedot, omistaa maailman. Siksi meidän aikanamme varastaa luottamuksellisia tietoja yrittävät iikka. Tältä osin otettu ennennäkemättömän askeleen ja toteuttamisesta keinoista suojautua mahdollisilta hyökkäyksiltä. Kuitenkin joskus voi olla tarpeen tarkastuttaa yrityksen tietoturvan. Mitä se on ja miksi se on kaikki nyt, ja yrittää ymmärtää.

Mikä on tarkastuksen tietoturvallisuuden yleisen määritelmän?

Joka ei vaikuta vaikeaselkoista tieteellisiä termejä, ja yrittää selvittää itse peruskäsitteet, kuvailemiseen kaikkein yksinkertaista kieltä (ihmisille se voitaisiin kutsua tilintarkastuksen "tutteja").

Nimi monimutkaisten tapahtumien puhuu puolestaan. Tietoturvan tarkastus on itsenäinen tarkastus tai vertaisarviointi turvallisuuden varmistamiseksi tietojärjestelmien (IS) tahansa yritys, laitos tai organisaatio pohjalta kehitetty kriteereitä ja indikaattoreita.

Yksinkertaisesti sanottuna, esimerkiksi tarkastaa pankin tietoturva kuihtuu, arvioimaan suojan tasoa asiakastietokantoja hallussa pankkitoimintaa, turvallisuuteen sähköisen rahan säilyttäminen pankkisalaisuuden, ja niin edelleen. D. Kun kyseessä puuttuminen laitoksen toimintaa asiattomilta ulkopuolelta käyttäen elektroniset ja tietokoneita.

Varmasti, lukijoiden keskuudessa on ainakin yksi henkilö, joka soitti kotiin tai matkapuhelimeen ehdotuksen käsittelyn lainan tai talletuksen, pankki, jonka kanssa sillä ei ole mitään tekemistä. Sama koskee ostoja ja tarjoaa joitakin myymälöissä. Mistä tuli huoneeseen?

Se on yksinkertaista. Jos henkilö on aiemmin otti lainaa tai sijoitetaan talletus tilille, tietenkin, sen tiedot on tallennettu yhteiseen asiakaskuntaan. Kun soitat toisen pankin tai myymälästä on vain yksi johtopäätös: tietoja tuli laittomasti kolmansille osapuolille. Miten? Yleisesti on olemassa kaksi vaihtoehtoa: joko se oli varastettu, tai siirtää työntekijöitä pankin kolmansille tietoisesti. Jotta tällaisia asioita ei tapahtunut, ja sinun täytyy aikaa tarkastuttaa tietoturva pankin, ja tämä ei koske ainoastaan tietokonetta tai "rauta" suojakeinoja, mutta koko toimielimen henkilöstölle.

Pääsuunnat tietoturvallisuuden tarkastuksen

Mitä tulee auditoinnin laajuus, pääsääntöisesti ne ovat useita:

• täysi tarkistus esineiden mukana prosesseissa informaation (Tietokoneautomatisoitujen järjestelmä, viestintävälineiden, vastaanotto, tiedonsiirron ja käsittelyä, tilat, tilat luottamuksellisia tapaamisia, seurantajärjestelmät jne);
• luotettavuuden valvontaan luottamuksellisten tietojen on rajoitettu pääsy (määritys mahdollisen vuodon ja mahdolliset tietoturva-aukkoja kanavien päästämällä sitä ulkopuolelta käyttämällä standardi ja ei-standardi menetelmät);
• tarkista kaikkien sähköisten laitteistojen ja paikallisten tietokonejärjestelmien altistumista sähkömagneettiselle säteilylle ja häiriöitä, joiden avulla ne voivat sammuttaa tai tuoda huonoon kuntoon;
• hanke osa, johon sisältyy työtä luominen ja soveltaminen turvallisuuskäsitteen sen käytännön toteutus (tietokonejärjestelmien suojaaminen, tilat, viestintäyhteyksiä, jne).

Kun se tulee tarkastuksen?

Puhumattakaan kriittisiä tilanteita, joissa koko joukkue lähti jo rikki, tilintarkastus tietoturvan organisaatiossa voidaan suorittaa, ja joissakin muissa tapauksissa.

Tyypillisesti nämä sisältävät yrityksen laajentumista, fuusio, yritysosto, haltuunotto muiden yhtiöiden, muuttaa aikana liiketoimintakonseptien tai ohjeet, muutokset kansainvälisessä oikeudessa tai lainsäädännössä tietyssä maassa, melko vakavia muutoksia tietoinfrastruktuurin.

tyyppisiä tarkastuksen

Nykyään hyvin luokittelu tämäntyyppisen tarkastuksen mukaan monet analyytikot ja asiantuntijat ei ole vahvistettu. Näin ollen, jako luokkiin voi joissakin tapauksissa olla varsin mielivaltainen. Kuitenkin yleensä, tarkastuksen tietoturvallisuuden voidaan jakaa ulkoisiin ja sisäisiin.

Ulkoinen auditointi Riippumattomat asiantuntijat, joilla on oikeus tehdä, on yleensä kertaluonteinen tarkistus, joka voidaan käynnistää Johdon, osakkaiden, lainvalvontaviranomaisten, jne Uskotaan, että ulkoisen tarkastuksen tietoturvallisuuden suositellaan (mutta ei pakollista) suorittamaan säännöllisesti tietyn ajan kuluessa. Mutta jostain organisaatioiden ja yritysten, lain mukaan, se on pakollista (esimerkiksi rahoituslaitosten ja järjestöjen osakeyhtiöiksi, ym.).

Sisäinen tarkastus tietoturva on jatkuva prosessi. Se perustuu erityiseen "asetusten sisäisen tarkastuksen". Mikä se on? Itse asiassa tämä sertifiointitoimien toteutetaan organisaation kannalta johdon hyväksymiin. Tietoturvallisuuden tarkastuksen erityisiä rakenteellisia alaosastoa yrityksen.

Vaihtoehtoinen luokittelu tarkastuksen

Lisäksi edellä kuvatun luokkiin jakoa yleisessä tapauksessa, voimme erottaa useita osia tehdään kansainvälistä luokitusta:

• Asiantuntija tarkistaa ja tietoturvan ja tietojärjestelmien pohjalta henkilökohtainen kokemus asiantuntijoita, sen johtavan;
• sertifiointijärjestelmät ja turvatoimia kansainvälisten standardien mukaisesti (ISO 17799) ja kansalliset koskevat säädökset tällä toimialalla;
• analyysi tietojärjestelmien turvallisuuden kanssa teknisten keinojen käytöstä, joilla pyritään tunnistamaan mahdolliset haavoittuvuudet ohjelmistot ja laitteistot monimutkainen.

Joskus sitä voidaan soveltaa sekä ns perusteellinen tarkastus, joka sisältää kaikki edellä mainitut. Muuten, hän antaa objektiivisimpia tuloksia.

Lavastettu päämäärät ja tavoitteet

Tarkistamisessa, onko sisäinen tai ulkoinen, alkaa asettamalla tavoitteet ja päämäärät. Yksinkertaisesti sanottuna, sinun täytyy selvittää, miksi, miten ja mitä testataan. Tämä määrittää seuraavan toimenpiteen suorittamista koko prosessin.

Tehtävät, riippuu kunkin yrityksen rakenteesta, organisaatio, instituutio ja sen toiminta voi olla aika paljon. Kuitenkin keskellä kaiken tämän julkaisun, yhtenäinen päämäärä tietoturvan tarkastus:

• tilan arviointiin tietoturvan ja tietojärjestelmien;
• analyysi mahdollisista riskeistä riski tunkeutumisen ulkoinen IP ja mahdollisia tapoja tällaista häiriötä;
• lokalisointi reikiä ja aukkoja turvajärjestelmää;
• analyysi riittävä turvallisuus tietojärjestelmien nykyisten standardien ja sääntely- ja säädösten;
• kehittämiseen ja toimittamiseen suosituksia, jotka aiheuttavat olemassa olevia ongelmia sekä parannetaan nykyistä korjaustoimenpiteitä ja uusien kehityksestä.

Menetelmät ja seurantavälineiden

Nyt muutaman sanan siitä, miten tarkistaa ja mihin toimenpiteisiin ja merkitsee siihen liittyy.

Tietoturvallisuuden tarkastus käsittää useita vaiheita:

• aloitetaan todentamismenettelyistä (selkeää määrittelyä oikeudet ja velvollisuudet tilintarkastajan tämän tarkistaa suunnitelman valmisteluun ja sen yhteensovittamisesta johdon, kysymys rajojen Tutkimuksen määrääminen organisaation jäsenet hoitoon sitoutuminen ja oikea-aikaista tietojen perusteella);
• kerätä lähtötietoina (turvallisuus rakenne, jakelu turvaominaisuuksia, suojaustasot järjestelmän suorituskyvyn analyysi saamiseksi menetelmiä ja tarjoamalla tietoa, määritys viestintäkanavien ja IP-vuorovaikutusta muiden rakenteiden kanssa, hierarkia käyttäjien tietoverkkojen, määritys protokollat, jne.);
• tehdä kattava tai osittainen tarkastus;
• data-analyysi (analyysi riskeistä kaikenlaisen ja noudattamista);
• antaa suosituksia käsitellä mahdollisia ongelmia;
• raportti sukupolvi.

Ensimmäinen vaihe on yksinkertainen, koska sen päätös tehdään ainoastaan toisaalta yhtiön johdon ja tilintarkastajan. Rajojen analyysi voidaan harkita yhtiökokouksessa työntekijöiden tai osakkeenomistajat. Kaikki tämä ja paljon liittyviä oikeudellisia kysymyksiä.

Toisen vaiheen keräämisen perustietoja, onko sisäisen tarkastuksen tietoturvan tai ulkoinen riippumaton sertifiointi on eniten resursseja kuluttavilla. Tämä johtuu siitä, että tässä vaiheessa sinun täytyy paitsi tutkittava tekniset asiakirjat liittyvät kaikki laitteet ja ohjelmistot, mutta myös kapea-haastattelemalla yrityksen työntekijöitä, ja useimmissa tapauksissa jopa täytteellä erillinen kysely tai tutkimuksia.

Mitä teknisten asiakirjojen on tärkeää saada tietoa IC rakenteesta ja prioriteettitasoista käyttöoikeuksien työntekijöilleen, tunnistaa järjestelmän laajuisesti ja sovellusohjelmat (käyttöjärjestelmä liiketoiminnan sovelluksia, niiden hallinta ja kirjanpito), sekä vakiintunut suojaa ohjelmiston ja ei-ohjelmatyypin (virustorjuntaohjelmisto, palomuurit jne). Lisäksi, tämä sisältää täydellinen todentaminen verkkojen ja telepalvelujen tarjoajien (verkon organisaatio, käytettäviä protokollia yhteyden tyyppisiä viestintäkanavia, lähetys ja vastaanotto menetelmiä tietovirtojen, ja enemmän). Kuten on selvää, se vie paljon aikaa.

Seuraavassa vaiheessa, menetelmiä tietoturvan tarkastuksen. Ne ovat kolme:

• riskianalyysi (vaikein tekniikka, joka perustuu määrittämisen tilintarkastajan tunkeutuminen IP rikkomisesta ja sen eheyden käyttämällä kaikkia mahdollisia menetelmiä ja välineitä);
• arviointi vaatimusten mukaiseksi ja lainsäädännön (yksinkertaisin ja käytännöllisin perustuu vertailun nykytila ja vaatimukset kansainvälisten standardien ja kotimaisten asiakirjojen alalla tietoturva);
• yhdistetyt menetelmä, joka yhdistää kaksi ensimmäistä.

Saatuaan vahvistuksen analyysin tulokset. Varoja Audit tietoturvan, joita käytetään analysointiin, voidaan melko kirjavaa. Kaikki riippuu yksityiskohtien yrityksen, minkä tyyppistä tietoa, ohjelmisto käytät, suojaa ja niin edelleen. Kuten voidaan nähdä ensimmäinen menetelmä, tilintarkastaja lähinnä täytyy luottaa omaan kokemukseen.

Ja se tarkoittaa vain sitä, että sen on oltava täysin päteviä tietotekniikassa ja tietosuoja. Perusteella tämän analyysin tilintarkastaja ja laskee mahdolliset riskit.

Huomaa, että sen olisi käsiteltävä paitsi käyttöjärjestelmän tai ohjelmaa käytetään esimerkiksi, liike-tai kirjanpidon, mutta myös ymmärtää selvästi, miten hyökkääjä voi tunkeutua tietojärjestelmään varten varkaus, vahingot ja tuhoamisesta, edellytysten luomista rikkomuksista tietokoneet, leviämisen viruksia tai haittaohjelmia.

Arviointi tarkastushavainnot ja suositukset ongelmien ratkaisemiseksi

Analyysin perusteella asiantuntija päättelee siitä suojaustilaa ja antaa suosituksia, jotka koskevat olemassa olevia tai mahdollisia ongelmia, turvallisuus päivityksiä, jne Suositukset pitäisi vain olla oikeudenmukainen, mutta myös selvästi sidoksissa todellisuuteen yrityksen yksityiskohtia. Toisin sanoen, vinkkejä päivittämisestä tietokoneiden konfiguraation tai ohjelmiston ei hyväksytä. Tämä pätee myös neuvoja irtisanomisen "epäluotettavia" henkilöstö, asentaa uudet seurantajärjestelmät täsmentämättä määränpäähänsä, sijainti ja tarkoituksenmukaisuutta.

Analyysin perusteella pääsääntöisesti on useita riskiryhmiin. Tässä tapauksessa laatia yhteenvetoraportti käyttää kahta keskeiset tunnusluvut: todennäköisyys hyökkäyksen vahinkoa aiheuttaneen yhtiölle seurauksena (varallisuuden menetyksestä, vähentäminen maineen menetys kuvan jne.). Kuitenkin suorituskyky ryhmistä eivät ole samat. Esimerkiksi, matalan tason ilmaisin todennäköisyys hyökkäys on paras. Vahingonkorvausvaatimus - päinvastoin.

Vasta sitten laati selonteon, joka sisältää tietoja maalattu kaikki vaiheet, menetelmät ja keinot tutkimuksen. Hän yhtyi johdon ja allekirjoittanut molemmat osapuolet - yhtiön ja tilintarkastaja. Jos tarkastus sisäinen, on raportti pää kunkin rakenneyksikön, jonka jälkeen hän taas allekirjoittanut pää.

Tietoturvan tarkastus: Esimerkki

Lopuksi katsomme yksinkertaisin esimerkki tilanteesta, joka on jo tapahtunut. Monet, muuten se voi tuntua hyvin tuttu.

Esimerkiksi yrityksen hankintojen henkilöstö Yhdysvalloissa, perustettiin vuonna ICQ Instant Messenger tietokoneen (nimi työntekijän ja yrityksen nimi ei ole nimetty ilmeisistä syistä). Neuvottelut käytiin tarkasti tällä ohjelmalla. Mutta "ICQ" on varsin haavoittuva turvallisuuden kannalta. Self työntekijä rekisterinumerot tuolloin vai ei on sähköpostiosoite, tai vain ei halua antaa sitä. Sen sijaan hän osoitti jotain sähköpostin ja jopa olematonta verkkotunnuksen.

Mikä olisi hyökkääjä? Mikä näkyy tarkastuksen tietoturvallisuuden, se rekisteröidään täsmälleen sama verkkotunnus ja loi olisi se, toinen rekisteröinti terminaali, ja sitten voisi lähettää viestin mirabilis omistavan yhtiön ICQ palvelu, salasanan pyytämisestä sen katoamisen (joka tehtäisiin ). Koska vastaanottaja sähköpostipalvelin ei ollut, se sisältyi suunnata - ohjata olemassa olevaan tunkeilija postia.

Sen seurauksena hän saa pääsyn kirjeenvaihtoon annetuilla ICQ numero ja informoi toimittaja muuttaa vastaanottajan osoite tavaran tietyssä maassa. Niinpä tavarat lähetetään kohti tuntematonta määränpäätä. Ja se on kaikkein vaaraton esimerkki. Joten, häiriökäyttäytymistä. Entä vakavampia hakkereita jotka pystyvät paljon muuta ...

johtopäätös

Tässä on lyhyt, ja kaikki mikä liittyy IP turvallisuuden tarkastus. Tietenkään se ei vaikuta kaikkia puolia. Syynä on vain, että muotoilussa ongelmia ja menetelmiä sen käyttäytyminen vaikuttaa paljon tekijöitä, joten lähestymistapa kulloinkin on täysin erillinen. Lisäksi, menetelmät ja keinot tietoturvan tarkastuksen voi olla erilainen eri ICS. Olen kuitenkin sitä mieltä, yleiset periaatteet tällaisten testien monille selviävät jopa ala-asteella.