Revizija informacijske sigurnosti: ciljevi, metode i alati, primjer. Revizija informacijske sigurnosti banke

Danas svi znaju gotovo svetu fraza koju vlasnik informacija posjeduje u svijetu. Zato u naše vrijeme ukrasti povjerljive informacije pokušajte sve kome ne lijenost. S tim u vezi, poduzimaju se koraci bez presedana za uvođenje sredstava zaštite od mogućih napada. Međutim, ponekad može biti potrebno revidirati informacijsku sigurnost poduzeća. Što je to i zašto je sve potrebno, sad i pokušajte shvatiti.

Što je revizija informacijske sigurnosti u općoj definiciji?

Tko neće utjecati na nejasan znanstvenih pojmova, te pokušati odrediti za sebe osnovne pojmove, opisujući ih u većini jednostavan jezik (ljudi to se može nazvati revizija za „lutke”).

Ime ovog kompleksa događaja govori za sebe. Revizija informacijske sigurnosti je neovisna provjera ili peer review osiguravanje sigurnosti informacijskog sustava (IS) poduzeća, ustanove ili organizacije na temelju posebno razvijenih kriterija i pokazatelja.

U jednostavnim uvjetima, na primjer, revizija informacijske sigurnosti banke svodi na, za procjenu razine zaštite korisnika baze podataka koje drže bankarskog poslovanja, sigurnost elektroničkog novca, čuvanje bankovne tajne, i tako dalje. D. U slučaju smetnji u radu ustanove neovlaštenih osoba izvana, pomoću elektroničkih i računalnih sadržaja.

Sigurno je da među čitateljima postoji barem jedna osoba koja se naziva domom ili mobilnim telefonom s prijedlogom za kredit ili depozit, i iz banke s kojom nije povezan. Isto vrijedi i za ponudu kupovine iz nekih trgovina. Gdje je došao vaš broj?

Jednostavno. Ako je osoba prethodno preuzela zajam ili uložila novac na depozitni račun, naravno, njegovi su podaci spremljeni u jednom klijentska baza. Kada zovete iz druge banke ili trgovine, možete izvući jedan zaključak: informacije o njemu ilegalno pale u treće ruke. Kako? Općenito, postoje dvije mogućnosti: ili da je ukraden, ili prenijeti na zaposlenike banke trećim osobama svjesno. Da bi se takve stvari nije dogodilo, a vi trebate vremena da provede reviziju informacijske sigurnosti banke, a to se ne odnosi samo na računalu ili „željeza” sredstva zaštite, ali cijelo osoblje ustanove.

Glavni smjerovi revizija informacijske sigurnosti

Što se tiče opsega takve revizije, u pravilu ih razlikuje nekoliko:

• puna provjera objekata koji su uključeni u procese informacija (računala automatizirani sustav, način komunikacije, recepcija, informacijski prijenosa i obrade, objekata, prostora za povjerljivim sastancima, sustave nadgledanja itd);
• provjeru pouzdanosti zaštite povjerljivih informacija s ograničenim pristupom (identifikacija mogućih propusnih kanala i mogućih sigurnosnih rupa koji omogućuju pristup izvana korištenjem standardnih i nestandardnih metoda);
• provjeru svih elektronskih tehničkih sredstava i lokalnih računalnih sustava za djelovanje elektromagnetskog zračenja i pokera na njih, čime ih se može odvojiti ili učiniti neupotrebljivima;
• Projektni dio, koji uključuje rad na stvaranju koncepta sigurnosti i njegove primjene u praktičnoj provedbi (zaštita računalnih sustava, objekata, komunikacija, itd.).

Kada postaje potrebno provesti reviziju?

Da ne spominjemo kritične situacije, kada je zaštita već bila narušena, u nekim slučajevima može se provesti revizija informacijske sigurnosti u organizaciji.

Tipično, to uključuje širenje tvrtke, spajanja, pripajanja, spajanja drugih tvrtki, promijeniti tijek poslovnih koncepata ili smjernice, promjene u međunarodnom pravu ili u zakonodavstvu unutar zemlje, a ozbiljnim promjenama u informacijskom infrastrukturom.

Vrste revizije

Danas vrlo klasifikacija ove vrste revizije, prema mnogim analitičarima i stručnjacima, nije riješena. Stoga, podjela u klase u nekim slučajevima može biti vrlo uvjetovana. Ipak, u općem slučaju, revizija informacijske sigurnosti može se podijeliti na vanjske i unutarnje.

Vanjska revizija koju provode nezavisni stručnjaci koji imaju pravo na to je obično jednokratna revizija, koju mogu pokrenuti uprava društva, dioničari, agencije za provedbu zakona itd. Vjeruje se da je vanjska revizija informacijske sigurnosti preporučena (a ne obvezna) za redovito obavljanje određenog vremenskog razdoblja. No, za neke organizacije i poduzeća, prema zakonu, obvezno je (na primjer, financijske institucije i organizacije, dionička društva itd.).

Unutarnja revizija informacijske sigurnosti je konstantan proces. Temelji se na posebnoj "Uredbi o unutarnjoj reviziji". Što je to? Zapravo, to su aktivnosti certificiranja provedene u organizaciji, u vremenskim okvirima koje je odobrila uprava. Revizija informacijske sigurnosti osigurava posebne strukturne podjele poduzeća.

Alternativna klasifikacija vrsta revizije

Uz gore opisanu podjelu u klase u općem slučaju, moguće je razlikovati još nekoliko komponenti usvojene u međunarodnoj klasifikaciji:

• stručni pregled stanja informacijske sigurnosti i informacijskih sustava na temelju osobnog iskustva stručnjaka koji ga vode;
• potvrda sustava i sigurnosnih mjera za usklađivanje s međunarodnim standardima (ISO 17799) i državne pravne dokumente koji reguliraju ovo područje djelovanja;
• analiza sigurnosti informacijskih sustava korištenjem tehničkih sredstava, s ciljem identificiranja potencijalnih ranjivosti u softverskom i hardverskom kompleksu.

Ponekad se može primijeniti takozvana kompleksna revizija koja uključuje sve gore navedene vrste. Usput, on je onaj koji daje najcjelovitije rezultate.

Postavite ciljeve i ciljeve

Svaka verifikacija, bilo unutarnja ili vanjska, počinje s postavljanjem ciljeva i ciljeva. Ako je lakše govoriti, potrebno je definirati, što, kako i kako će se provjeriti. To će unaprijed odrediti daljnju metodu provođenja cijelog procesa.

Postavljeni zadaci, ovisno o specifičnostima strukture samog poduzeća, organizaciji, instituciji i njegovim aktivnostima, mogu biti dosta. Međutim, između ostalog, ističu se jedinstveni ciljevi revizije informacijske sigurnosti:

• procjena stanja sigurnosti informacijskih i informacijskih sustava;
• analiza mogućih rizika povezanih s prijetnjom prodiranja u IP izvana i mogućih metoda za provedbu takve intervencije;
• lokalizacija rupa i praznina u sigurnosnom sustavu;
• analiza usklađenosti razine sigurnosti informacijskih sustava s postojećim standardima i propisima;
• razvoj i izdavanje preporuka za uklanjanje postojećih problema, kao i poboljšanje postojećih lijekova i uvođenje novih događaja.

Metode i sredstva provođenja revizije

Sada nekoliko riječi o tome kako se test provodi i koje stadije i sredstva uključuje.

Revizija informacijske sigurnosti sastoji se od nekoliko glavnih faza:

• pokretanja postupka verifikacije (jasno definiranje prava i odgovornosti revizora, revizor provjerava pripremu plana i njegovu koordinaciju s upravom, pitanje granica studije, nametanje na članove organizacije opredjeljenje za brigu i pravovremeno pružanje relevantnih informacija);
• prikupljanje početnih podataka (sigurnosne strukture, distribucije sigurnosnih značajki, sigurnosne razine metode analize izvedbe sustava za pribavljanje informacija, određivanje komunikacijskih kanala i IP interakcije s drugim strukturama, hijerarhiju korisnika računalnih mreža, određivanje protokola i slično);
• provođenje cjelovite ili djelomične provjere;
• analiza primljenih podataka (analiza rizika bilo koje vrste i usklađenost sa standardima);
• izdavanje preporuka za rješavanje mogućih problema;
• Izrada računovodstvene dokumentacije.

Prva faza je najjednostavnija, budući da se odluka donosi isključivo između uprave tvrtke i revizora. Granice analize mogu se razmotriti na skupnoj skupštini zaposlenika ili dioničara. Sve se to više odnosi na pravno područje.

Druga faza prikupljanja osnovnih podataka, da li je unutarnja revizija informacijske sigurnosti ili vanjske neovisne ovjere je najviše resursa-intenzivne. To je zbog činjenice da je u ovoj fazi morate ne samo provjeriti tehničku dokumentaciju koja se odnosi na sve hardvera i softvera, ali i uskog razgovora zaposlenika tvrtke, te u većini slučajeva čak i punjenje posebnih upitnika ili ankete.

Što se tiče tehničke dokumentacije, važno je dobiti podatke o IC strukture i razine prioriteta pristupnih prava svojih zaposlenika, prepoznati kao dio sustava i aplikacijski softver (operativni sustav za poslovne aplikacije, njihovo upravljanje i računovodstvo), te utvrđenom zaštitu softvera i tip ne-programa (antivirusni softver, firewall, itd.) Osim toga, to uključuje potpunu provjeru mreže i davatelja telekomunikacijskih usluga (mrežna organizacija, protokole koji se koriste za spajanje, vrste komunikacijskih kanala, prijenos i metoda prijema informacija o struji, i više). Kao što je jasno, to je potrebno puno vremena.

U sljedećoj fazi definirane su metode za reviziju informacijske sigurnosti. Podijeljeni su na tri:

• analiza rizika (najsloženija metodologija utemeljena na revizorskoj odluci o mogućnosti prodiranja IP i kršenja njezinog integriteta koristeći sve moguće metode i sredstva);
• procjena usklađenosti sa standardima i zakonodavnim aktima (najjednostavnija i najprikladnija metoda, koja se temelji na usporedbi sadašnjeg stanja i zahtjeva međunarodnih standarda i nacionalnih dokumenata iz područja informacijske sigurnosti);
• kombiniranom metodom, kombinirajući prva dva.

Nakon primitka rezultata inspekcije započinje njihova analiza. Alati za reviziju sigurnost informacija, koji se koriste za analizu, mogu biti vrlo različiti. Sve ovisi o specifičnostima djelatnosti tvrtke, kao što su informacije, korišteni softver, sredstva zaštite, itd. Međutim, kako se može vidjeti iz prve metode, revizor će se uglavnom oslanjati na svoje iskustvo.

A to samo znači da mora imati odgovarajuće kvalifikacije u području informacijske tehnologije i zaštite podataka. Na temelju ove analize, revizor također izračunava moguće rizike.

Imajte na umu da to treba rješavati ne samo u operacijskom sustavu ili programu koji se koristi, primjerice, za posao ili računovodstva, ali i jasno razumjeti kako napadač može prodrijeti u informacijskom sustavu u svrhu krađe, oštećenja i uništenja podataka, stvaranje uvjeta za prekršaje u radu računala, širenje virusa ili malwarea.

Procjena rezultata revizije i preporuka za rješavanje problema

Na temelju analize, stručnjak zaključuje stanje zaštite i daje preporuke za otklanjanje postojećih ili potencijalnih problema, nadogradnju sigurnosnog sustava itd. Istovremeno, preporuke bi trebale biti ne samo objektivne, već i jasno povezane s realnostima specifičnosti poduzeća. Drugim riječima, nema savjeta za nadogradnju konfiguracije računala ili softvera. Jednako tako, to vrijedi i za savjet o otkazu "nepouzdanih" zaposlenika, instalaciji novih sustava praćenja bez posebne naznake njihove svrhe, lokacije i izvedivosti.

Na temelju analize, u pravilu postoji nekoliko skupina rizika. Istodobno, za sastavljanje konsolidiranog izvješća koriste se dva glavna pokazatelja: vjerojatnost napada i štetu nanesenu tvrtki kao rezultat (gubitak imovine, gubitak ugleda, gubitak slike itd.). Međutim, pokazatelji za grupe ne podudaraju se. Na primjer, nizak rezultat za vjerojatnost napada je najbolji. Za štetu - naprotiv.

Tek nakon toga, priprema se izvješće u kojem su detaljno opisani svi koraci, metode i alati studija. Dogovoreno je s menadžmentom i potpisano od strane dvije strane - poduzeća i revizora. Ako je unutarnja revizija, voditelj odgovarajuće strukturalne jedinice sastavlja takvo izvješće, nakon čega ga ponovno potpiše glavu.

Revizija informacijske sigurnosti: Primjer

Konačno, razmislite o najjednostavnijem primjeru situacije koja se već dogodila. Mnogima se, usput, čini vrlo poznatim.

Tako je, primjerice, određeni zaposlenik tvrtke koji se bavio nabavom u Sjedinjenim Državama instalirao ICQ Messenger na računalo (ime zaposlenika i naziv tvrtke nije pozvan na razumljive razloge). Pregovori su provedeni kroz ovaj program. Ali "ICQ" je prilično ranjiva u smislu sigurnosti. Zaposlenik pri upisu broja u to vrijeme nije imao e-mail adresu, ili ga jednostavno nije želio dati. Umjesto toga, on je upozorio na nešto slično e-pošti, čak i sa nepostojećom domenom.

Što bi napadač učinio? Kao što je prikazano od strane revizije informacijske sigurnosti, to će biti registrirana točno istu domenu i stvorili bi se u njega, drugi registracija terminala, a onda može poslati poruku na Mirabilis tvrtke koja posjeduje ICQ usluga, zahtjevu za oporavak zaporke zbog gubitka (to će biti učinjeno ). Budući da poslužitelj primatelja nije bio poslužitelj pošte, uključio je preusmjeravanje na postojeću poštu napadača.

Kao rezultat toga, on dobiva pristup dopisivanju s navedenim ICQ brojem i obavještava dobavljača o promjeni adrese primatelja robe u određenoj zemlji. Dakle, teret se šalje nitko ne zna gdje. A ovo je najoštriji primjer. Na primjer, manje huliganstva. A što je s ozbiljnijim hakerima koji su sposobni za puno više ...

zaključak

Ovdje ukratko i sve što se tiče revizije IP sigurnosti. Naravno, ovdje se ne diraju svi njezini aspekti. Razlog je samo to što mnogi čimbenici utječu na formuliranje zadataka i metoda njegove implementacije, stoga je pristup u svakom pojedinom slučaju strogo individualan. Osim toga, metode i alati za reviziju informacijske sigurnosti mogu biti različiti za različite IP adrese. Međutim, čini se da će opća načela takvih provjera za mnoge postati jasna čak i na početnoj razini.