Revizija varnosti informacij: cilji, metode in orodja, na primer. Revizija informacijske varnosti banke

Danes vsi poznajo skoraj sveto frazo, da je lastnik informacij lastnik sveta. Zato je v našem času ukrasti zaupne informacije Poskusi vse, ki niso lenobje. V zvezi s tem se sprejmejo brez primere ukrepi za zaščito pred morebitnimi napadi. Včasih pa je morda treba revidirati informacijsko varnost podjetja. Kaj je in zakaj je vse potrebno, zdaj in poskusite ugotoviti.

Kaj je revizija informacijske varnosti v splošni opredelitvi?

Zdaj se ne bomo dotaknili abstruse znanstvenih izrazov, vendar bomo poskušali opredeliti osnovne pojme zase, jih opisati v najpreprostejšem jeziku (v ljudeh, ki bi jih lahko imenovali revizija za "lutke").

Ime tega kompleksa dogodkov govori zase. Revizija informacijske varnosti je neodvisen pregled ali medsebojni pregled zagotavljanje varnosti informacijskega sistema (IS) podjetja, institucije ali organizacije na podlagi posebej razvitih meril in kazalnikov.

Preprosto povedano, na primer, revidiranje informacijske varnosti banke izvira, da oceni raven varstva baz podatkov strank, ki jih bančnega poslovanja, varnost elektronskega denarja, ohranitev bančne tajnosti, in tako naprej. D. V primeru motenj v dejavnostih institucij nepooblaščenih oseb od zunaj, s pomočjo elektronskih in računalniških naprav.

Seveda med bralci obstaja vsaj ena oseba, ki je bila poklicana doma ali na mobilnem telefonu s predlogom za posojilo ali depozit in iz banke, s katero ni povezan. Enako velja za ponudbo nakupov iz nekaterih trgovin. Kje je prišlo tvoje število?

Preprosto je. Če je oseba že prejela posojilo ali vložila denar na depozitni račun, so seveda njegovi podatki shranjeni v enem samem baza strank. Ko kličete iz druge banke ali trgovine, lahko sklepate en sam zaključek: informacije o njem so nezakonito padle v tretje roke. Kako? Na splošno lahko razlikujemo dve možnosti: bodisi ukradeno ali da jih delavci banke predajo zavestno tretjim osebam. Da bi za take stvari ni zgodilo, in jih potrebujejo čas, da opravi revizijo informacijske varnosti banke, in to ne velja le za računalnikom ali "železnih" zaščitnimi sredstvi, temveč celotno osebje institucije.

Glavne usmeritve revizije informacijske varnosti

Kar zadeva obseg takšne revizije, se praviloma razlikujejo po več:

• popolno preverjanje predmetov, vključenih v informatizacijske procese (računalniško avtomatizirani sistemi, komunikacijska sredstva, sprejem, prenos in obdelava informacijskih podatkov, objekti, prostori za zaupne sestanke, nadzorni sistemi itd.);
• preverjanje zanesljivosti zaščite zaupnih informacij z omejenim dostopom (opredelitev možnih kanalov za uhajanje in morebitnih varnostnih lukenj, ki omogočajo dostop do njega od zunaj z uporabo standardnih in nestandardnih metod);
• preverjanje vseh elektronskih tehničnih sredstev in lokalnih računalniških sistemov za učinek elektromagnetnega sevanja in pickupov na njih, ki jim omogočajo, da se odklopijo ali postanejo neuporabni;
• Projektni del, ki vključuje delo pri oblikovanju koncepta varnosti in njegove uporabe pri praktičnem izvajanju (zaščita računalniških sistemov, naprav, komunikacij itd.).

Kdaj je treba opraviti revizijo?

Da ne omenjamo kritičnih situacij, ko je bila zaščita že kršena, se lahko v nekaterih drugih primerih izvede revizija varnosti informacij v organizaciji.

Značilno je, da to vključuje širitev podjetja, združitev, prevzem, prevzem s strani druge družbe, spremeni potek poslovnih konceptov in smernic, spremembe v mednarodnem pravu ali v zakonodajo v državi, precej resne spremembe v informacijski infrastrukturi.

Vrste revizije

Današnja razvrstitev te vrste revizije po mnenju številnih analitikov in strokovnjakov ni poravnana. Zato je lahko delitev v razrede v nekaterih primerih zelo pogojna. Kljub temu se v splošnem primeru lahko revizija varnosti informacij razdeli na zunanje in notranje.

Zunanja revizija neodvisnih strokovnjakov, ki so upravičena do tega, je ponavadi enkratna revizija, ki jo lahko sproži vodstvo družbe, delničarji, organi pregona itd. Verjame se, da je priporočljiva (in ne obvezna) zunanja revizija varnosti informacij za redno izvajanje določenega časovnega obdobja. Toda za nekatere organizacije in podjetja je v skladu z zakonodajo obvezno (na primer finančne institucije in organizacije, delniške družbe itd.).

Notranja revizija varnosti informacij je stalen proces. Temelji na posebni "uredbi o notranji reviziji". Kaj je to? Dejansko gre za certifikacijske dejavnosti, ki se izvajajo v organizaciji v časovnih okvirih, ki jih odobri vodstvo. Revizijo informacijske varnosti zagotavljajo posebne strukturne enote podjetja.

Alternativna klasifikacija vrst revizije

Poleg zgoraj opisanega razdelka v razrede v splošnem primeru je mogoče razlikovati še več komponent, sprejetih v mednarodni klasifikaciji:

• strokovni pregled stanja informacijske varnosti in informacijskih sistemov na podlagi osebnih izkušenj strokovnjakov, ki ga vodijo;
• potrjevanje sistemov in varnostni ukrepi za skladnost z mednarodnimi standardi (ISO 17799) in državnimi pravnimi dokumenti, ki urejajo to področje delovanja;
• analizo varnosti informacijskih sistemov s pomočjo tehničnih sredstev, namenjenih prepoznavanju potencialnih ranljivosti v programskem in strojnem kompleksu.

Včasih se lahko uporabi tako imenovana zapletena revizija, ki vključuje vse zgoraj navedene vrste. Mimogrede, on daje najbolj objektivne rezultate.

Določite cilje in cilje

Vsako preverjanje, bodisi notranje ali zunanje, se začne z določanjem ciljev in ciljev. Če je lažje govoriti, je treba opredeliti, za kaj, kaj in kako se bo preveril. To bo predodredilo nadaljnjo metodo izvajanja celotnega procesa.

Določene naloge, odvisno od specifike strukture podjetja samega, organizacije, institucije in njenih dejavnosti, je lahko precej veliko. Vendar pa je med vsem tem izločenih enotnih ciljev revizije informacijske varnosti:

• ocena stanja varnosti informacijskih in informacijskih sistemov;
• analizo morebitnih tveganj, povezanih z grožnjo prodora v IP od zunaj, in morebitnimi metodami za izvedbo take intervencije;
• lokalizacija lukenj in vrzeli v varnostnem sistemu;
• analizo skladnosti stopnje varnosti informacijskih sistemov z obstoječimi standardi in predpisi;
• razvoj in izdajanje priporočil za odpravo obstoječih problemov ter izboljšanje obstoječih pravnih sredstev in uvedbo novega razvoja.

Metode in sredstva izvajanja revizije

Zdaj nekaj besed o tem, kako se izvaja test in katere faze in sredstva vključuje.

Revizija varnosti informacij sestavlja več glavnih faz:

• sprožitev postopkov preverjanja (jasna opredelitev pravic in odgovornosti revizorja, revizor preveri pripravo načrta in njegovo usklajevanje z upravljanjem, vprašanje meja študije, naložitev na člane zavezo organizacije za nego in pravočasno zagotavljanje ustreznih informacij);
• zbiranje začetnih podatkov (varnostni strukturi, distribucijo varnostnih funkcij, raven varnostnih metod analize učinkovitosti sistema za pridobivanje in posredovanje informacij, določitev komunikacijskih kanalov in interakcijo IP z drugimi strukturami, hierarhija uporabnikov računalniških omrežij, določitev protokolov, itd);
• izvajanje integriranega ali delnega preverjanja;
• analizo prejetih podatkov (analiza tveganja vseh vrst in skladnost s standardi);
• izdaja priporočil za reševanje morebitnih težav;
• Izdelava računovodske dokumentacije.

Prva faza je najpreprostejša, saj je njena odločitev sprejeta izključno med vodstvom družbe in revizorjem. Meje analize je mogoče obravnavati na skupščini delničarjev ali delničarjev. Vse to velja bolj za pravno področje.

V drugi fazi zbiranja osnovnih podatkov, ali je notranja revizija informacijske varnosti ali zunanjega neodvisnega certificiranja je najbolj vir intenzivne. To je posledica dejstva, da v tej fazi, kar potrebujete, da ne samo pregleda tehnično dokumentacijo, ki se nanaša na vse strojne in programske opreme, ampak tudi, da se zmanjšajo, anketiranje zaposlenih družbe, in v večini primerov tudi z izpolnitvijo posebne vprašalnike in ankete.

Kot je za tehnično dokumentacijo, je pomembno, da pridobi podatke o strukturi IC in prednostne ravni pravic dostopa do svojih zaposlenih, da prepoznajo celotnega sistema in aplikativne programske opreme (operacijski sistem za poslovne aplikacije, njihovo upravljanje in računovodstvo), kot tudi sedež zaščito programske opreme in neprogramsko vrsto (protivirusni, požarni zid itd.). Poleg tega vključuje tudi popolno preverjanje omrežij in ponudnikov, ki zagotavljajo komunikacijske storitve (omrežna povezava, uporabljeni protokoli za povezavo, vrste komunikacijskih kanalov, načini prenosa in sprejem informacijskih tokov in še veliko več). Kot je že jasno, traja precej časa.

V naslednji fazi so definirane metode za revizijo informacijske varnosti. Razdeljeni so na tri:

• analiza tveganja (najzahtevnejša metodologija, ki temelji na revizorjevem ugotavljanju možnosti prodiranja IP-ja in kršitve njene celovitosti z uporabo vseh možnih metod in sredstev);
• oceno skladnosti s standardi in zakonodajo (najenostavnejši in najbolj praktično metodo, ki temelji na primerjavi trenutnega stanja in zahtev mednarodnih standardov in domačih dokumentov na področju informacijske varnosti);
• kombinirana metoda, ki združuje prva dva.

Po prejemu rezultatov pregleda se začne analiza. Orodja za revizijo varnost informacij, ki se uporabljajo za analizo, lahko precej raznolika. Vse je odvisno od posebnosti podjetja, vrsto podatkov, programske opreme, ki jo uporabljate, zaščite in tako naprej. Vendar pa, kot je mogoče videti na prvi metodi, revizor v glavnem zanašajo na lastne izkušnje.

To pomeni samo, da mora imeti ustrezne kvalifikacije na področju informacijske tehnologije in varstva podatkov. Na podlagi te analize revizor izračuna tudi morebitna tveganja.

Upoštevajte, da mora obravnavati ne samo v operacijski sistem ali program, ki se uporablja, na primer, za poslovno ali računovodstvo, ampak tudi, da jasno razumeti, kako lahko napadalec prodrejo v informacijski sistem za kraje, poškodbe in uničenja podatkov, ustvarjanje pogojev za kršitev v delu računalnikov, širjenju virusov ali zlonamerne programske opreme.

Vrednotenje rezultatov revizije in priporočila za reševanje problemov

Na podlagi analize izvedenec sprejme sklep o stanju varstva in izda priporočila za odpravo obstoječih ali morebitnih problemov, nadgradnjo varnostnega sistema itd. Hkrati priporočila ne bi smela biti le objektivna, temveč tudi jasno vezana na resničnost specifičnosti podjetja. Z drugimi besedami, ni nobenih nasvetov za nadgradnjo konfiguracije računalnikov ali programske opreme. To velja tudi za nasvete o odpuščanju "nezanesljivih" zaposlenih, namestitvi novih sistemov za sledenje brez posebnega označevanja njihovega namena, lokacije in izvedljivosti.

Na podlagi analize praviloma obstaja več skupin tveganj. Istočasno se za zbiranje konsolidiranega poročila uporabljajo dve glavni kazalniki: verjetnost napada in škode, ki jo je družbi povzročila (izguba sredstev, izguba ugleda, izguba slike itd.). Vendar indikatorji za skupine ne sovpadajo. Na primer, najboljša je nizka ocena verjetnosti napada. Za škodo - nasprotno.

Šele po tem je pripravljeno poročilo, v katerem so podrobno opisani vsi koraki, metode in orodja študij. Dogovorjeno je z vodstvom in sta ga podpisali dve stranki - podjetje in revizor. Če je notranja revizija, vodja ustrezne strukturne enote sestavi takšno poročilo, potem pa ga znova podpiše vodja.

Revizija varnosti informacij: primer

Nazadnje, razmislite o najpreprostejšem primeru situacije, ki se je že zgodila. Mnogim, mimogrede, se morda zdi zelo dobro znano.

Na primer, osebje naročil neke družbe v Združenih državah Amerike, s sedežem v ICQ instant messenger računalniku (ki je ime zaposlenega in firmo ni imenovan za očitnih razlogov). S tem programom so potekala pogajanja. Toda "ICQ" je zelo ranljiv glede varnosti. Zaposleni pri registraciji števila takrat nima e-poštnega naslova ali ga preprosto ni želel dati. Namesto tega je navedel nekaj podobnega e-pošti, tudi z neobstoječo domeno.

Kaj bi storil napadalec? Kot je razvidno iz reviziji informacijske varnosti, bi bilo treba registrirati natanko isto domeno in ustvarili bi bilo v njej, drugi registracija terminal, nato pa lahko pošljete sporočilo mirabilis podjetje, ki ima v lasti ICQ storitve, zahtevali obnovitev gesla zaradi izgube (da bi naredili ). Ker prejemnikovi strežnik ni bil poštni strežnik, je vključeval preusmeritev na obstoječo pošto napadalca.

Kot rezultat, dobi dostop do korespondence z določeno ICQ številko in obvesti dobavitelja o spremembi naslova prejemnika blaga v določeni državi. Tako je tovor poslan, da nihče ne ve kje. In to je najbolj neškodljiv primer. Na primer, manjši huliganstvo. Kaj pa resnejši hekerji, ki so sposobni veliko več ...

Zaključek

Tukaj na kratko in vse, kar je povezano z revizijo varnosti IP. Seveda se vsi njeni vidiki tukaj ne dotikajo. Razlog je le, da na oblikovanje nalog in načinov njenega izvajanja vplivajo številni dejavniki, zato je pristop v posameznem primeru strogo individualen. Poleg tega so lahko različni načini in orodja za revizijo informacijske varnosti različni. Vendar se zdi, da bodo splošna načela takšnih pregledov za mnoge postala jasna tudi na začetni ravni.