Audit informační bezpečnosti: cíle, metody a nástroje, například. Audit informační bezpečnosti banky
Dnes každý ví téměř posvátnou frázi, že vlastník informací vlastní svět. To je důvod, proč v našich dnech ukrást důvěrné informace vyzkoušejte všechny, kterým ne lenost. V této souvislosti jsou podniknuty bezprecedentní kroky k zavedení prostředků ochrany před možnými útoky. Někdy však může být nezbytné provést audit informační bezpečnosti podniku. Co je to a proč je to všechno nutné, a teď se pokuste to na to přijít.
Obsah
- Co je to audit bezpečnosti informací v obecné definici?
- Hlavní směry auditu informační bezpečnosti
- Kdy je nutné provést audit?
- Typy auditu
- Alternativní klasifikace typů auditů
- Stanovte cíle a cíle
- Metody a způsoby provádění auditu
- Hodnocení výsledků auditu a doporučení pro řešení problémů
- Audit zabezpečení informací: příklad
- Závěr
Co je to audit bezpečnosti informací v obecné definici?
Kdo nebude mít vliv na těžce pochopitelných vědecké termíny, a pokusit se zjistit, jak pro sebe, základní pojmy, popisovat je ve většině jednoduchým jazykem (lidi by to mohlo být nazváno audit pro „nechápavé“).
Název tohoto sdružení událostí hovoří samo za sebe. Audit informační bezpečnosti je nezávislá kontrola nebo peer review zajištění bezpečnosti informačního systému (IS) podniku, instituce nebo organizace na základě speciálně vytvořených kritérií a ukazatelů.
Zjednodušeně řečeno, například auditovat informační bezpečnost banky scvrkává, posoudit úroveň ochrany zákaznických databází v držení bankovních operací, bezpečnost elektronických peněz, zachování bankovního tajemství, a tak dále. D. V případě zásahu do činnosti tohoto orgánu neoprávněnými osobami z venku, pomocí elektronických a počítačových zařízení.
Jistě, mezi čtenáři existuje alespoň jedna osoba, která volal domů nebo mobilní telefon s návrhem zpracování úvěru či vkladu, banka, se kterou nemá nic společného. Totéž platí pro nabídku nákupů z některých obchodů. Kde se vaše číslo objevilo?
Je to jednoduché. Pokud osoba předtím vzala půjčku nebo investovala peníze na vkladový účet, samozřejmě její údaje byly uloženy v jednom účtu klientské základny. Při volání z jiné banky nebo obchodu můžete vyvodit jeden závěr: informace o něm nelegálně spadly do třetích rukou. Jak? Obecně lze rozlišit dvě možnosti: buď to bylo odcizeno, nebo vědomě předáno zaměstnanci banky třetím stranám. K tomu, aby se takové věci se nestalo, a ty potřebují čas, aby provedla audit informační bezpečnosti banky, a to platí nejen pro počítač nebo „železných“ ochrannými prostředky, ale všech zaměstnanců instituce.
Hlavní směry auditu informační bezpečnosti
Pokud jde o rozsah tohoto auditu, zpravidla se liší od několika:
- úplná kontrola předmětů zapojených do procesů informatizace (počítačové automatizované systémy, komunikační prostředky, příjem, přenos a zpracování informačních dat, zařízení, prostory pro důvěrné schůzky, systémy dohledu apod.);
- ověření spolehlivosti ochrany důvěrných informací s omezeným přístupem (určení možného úniku a potenciálních bezpečnostních děr kanálů, které umožňují přistupovat k němu z vnějšku s použitím standardních i nestandardních postupů);
- ověřování všech elektronických technických prostředků a místních počítačových systémů pro účinek elektromagnetického záření a snímačů na nich, což umožňuje jejich odpojení nebo znehodnocení;
- Projektová část, která zahrnuje práci na tvorbě koncepce bezpečnosti a její aplikaci při praktické implementaci (ochrana počítačových systémů, zařízení, komunikací atd.).
Kdy je nutné provést audit?
Nemluvě o kritických situacích, kdy již byla ochrana porušena, může být v některých případech proveden audit zabezpečení informací v organizaci.
Typicky mezi ně patří expanzi firmy, fúze, akvizice, převzetí jiných společností, změnit směr obchodních konceptů nebo pokyny, změny v mezinárodním právu nebo v rámci právních předpisů v rámci jedné země, spíše závažných změn v informační infrastruktury.
Typy auditu
Dnes se klasifikace tohoto typu auditu podle mnoha analytiků a odborníků nevyřeší. Proto může být rozdělení do tříd v některých případech velmi podmíněné. Nicméně v obecném případě lze audit zabezpečení informací rozdělit na vnější a vnitřní.
Externí audit prováděný nezávislými odborníky, kteří jsou na to způsobilí, je obvykle jednorázový audit, který může iniciovat vedení společnosti, akcionáři, donucovací orgány atd. Předpokládá se, že pro pravidelné provádění po určitou dobu je doporučován externí audit informační bezpečnosti (a není povinný). Ale pro některé organizace a podniky je podle právních předpisů povinné (například finanční instituce a organizace, akciové společnosti atd.).
Interní audit informační bezpečnosti je neustálý proces. Je založen na zvláštním nařízení o interním auditu. Co to je? Ve skutečnosti se jedná o certifikační činnosti prováděné v organizaci ve lhůtách schválených vedením. Audit informační bezpečnosti zajišťují zvláštní strukturální členění podniku.
Alternativní klasifikace typů auditů
Kromě výše popsaného rozdělení do tříd v obecném případě je možné rozlišit několik dalších složek přijatých v mezinárodní klasifikaci:
- odborná kontrola stavu informační bezpečnosti a informačních systémů na základě osobních zkušeností odborníků, kteří je provádějí;
- atestace systémů a bezpečnostních opatření pro dodržování mezinárodních norem (ISO 17799) a státní právní dokumenty upravující tuto oblast činnosti;
- analýza bezpečnosti informačních systémů pomocí technických prostředků zaměřených na identifikaci možných zranitelností v softwarovém a hardwarovém komplexu.
Někdy lze použít takzvaný komplexní audit, který zahrnuje všechny výše uvedené typy. Mimochodem, ten, kdo dává nejobjektivnější výsledky.
Stanovte cíle a cíle
Každé ověření, ať už interní nebo externí, začíná nastavením cílů a cílů. Chcete-li mluvit jednodušeji, je nutné definovat, co, co a jak bude kontrolováno. To předurčuje další způsob provádění celého procesu.
Stanovené úkoly mohou být v závislosti na struktuře samotného podniku, organizace, instituce a jejích aktivit hodně. Mezi těmito skutečnostmi jsou však jednotné cíle auditu informační bezpečnosti:
- posouzení stavu bezpečnosti informačních a informačních systémů;
- analýza možných rizik spojených s hrozbou pronikání do OV zvenčí a možné metody provádění takového zásahu;
- lokalizace otvorů a mezer v bezpečnostním systému;
- analýza souladu úrovně bezpečnosti informačních systémů s existujícími normami a předpisy;
- vypracování a vydávání doporučení k odstranění stávajících problémů, jakož i zlepšení stávajících opravných prostředků a zavedení nového vývoje.
Metody a způsoby provádění auditu
Nyní pár slov o tom, jak se zkouška provádí a jaké fáze a prostředky obsahuje.
Audit informační bezpečnosti se skládá z několika hlavních fází:
- zahájením ověřovacích postupů (jasné vymezení práv a povinností auditora, auditor kontroluje přípravu plánu a jeho koordinaci s vedením, otázka hranic studie předepisování členy závazku organizace na péči a včasné poskytování relevantních informací);
- sběru vstupních dat (struktura bezpečnosti, distribuce bezpečnostních prvků, úrovní zabezpečení výkonu systému analytických metod pro získávání a poskytování informací, určení komunikačních kanálů a IP interakce s jinými strukturami, hierarchii uživatelů počítačových sítí, stanovení protokoly, atd);
- provádění integrovaného nebo částečného ověření;
- analýza přijatých údajů (analýza rizik jakéhokoli typu a shoda s normami);
- vydávání doporučení k řešení možných problémů;
- Tvorba účetní dokumentace.
První fáze je nejjednodušší, jelikož její rozhodnutí se přijímá výlučně mezi vedením společnosti a auditem. Hranice analýzy lze posuzovat na valné hromadě zaměstnanců nebo akcionářů. To vše platí více pro právní oblast.
Druhá etapa shromažďování základních údajů, ať už se jedná o interní audit informační bezpečnosti nebo externí nezávislou certifikaci je velmi náročná na zdroje. To je způsobeno tím, že v této fázi budete muset zkoumat nejen technickou dokumentaci týkající se veškerého hardwaru a softwaru, ale i úzký dotazování pracovníků společnosti, a ve většině případů i při plnění speciální dotazníky nebo průzkumy.
Pokud jde o technickou dokumentaci, je důležité získat údaje o struktuře IC a prioritní úrovní přístupových práv ke svým zaměstnancům, s cílem určit celý systém a aplikační software (operační systém pro podnikové aplikace, jejich řízení a účetnictví), stejně jako zavedené ochrany softwaru a non-program typu (antivirus, firewall, atd.). Navíc to zahrnuje plnou kontrolu sítí a poskytovatelů telekomunikačních služeb (organizace sítě, protokoly použité pro připojení, druhy komunikačních kanálů, přenos a způsoby přijímání informačních toků, a další). Jak je již zřejmé, trvá to spousta času.
V další fázi jsou definovány metody auditu informační bezpečnosti. Jsou rozděleny do tří částí:
- analýza rizik (nejsložitější metodika založená na tom, že auditor zjistí možnost proniknout do IP a porušovat jeho integritu pomocí všech možných metod a prostředků);
- hodnocení dodržování norem a legislativních aktů (nejjednodušší a nejpraktičtější metoda založená na porovnání současného stavu věcí a požadavků mezinárodních norem a národních dokumentů v oblasti informační bezpečnosti);
- kombinovaná metoda, kombinující první dvě.
Po obdržení výsledků kontroly začíná jejich analýza. Auditní nástroje bezpečnost informací, které se používají k analýze, mohou být docela různorodé. Vše závisí na konkrétních aktivitách společnosti, jako jsou informace, použitý software, prostředky ochrany atd. Nicméně, jak je zřejmé z první metody, bude se auditor především spoléhat na své vlastní zkušenosti.
A to jen znamená, že musí mít odpovídající kvalifikaci v oblasti informačních technologií a ochrany dat. Na základě této analýzy auditor také vypočítá možná rizika.
Všimněte si, že by se měla zabývat nejen v operačním systému nebo použitém programu, například pro podnikání nebo účetnictví, ale také jasně pochopit, jak může útočník proniknout do informačního systému za účelem odcizení, poškození nebo zničení dat, vytvoření předpokladů pro porušení v práci počítačů, šíření virů nebo malware.
Hodnocení výsledků auditu a doporučení pro řešení problémů
Na základě analýzy odborník uzavírá závěr o stavu ochrany a vydává doporučení k odstranění stávajících nebo potenciálních problémů, modernizaci bezpečnostního systému atd. Současně by doporučení měla být nejen objektivní, ale také jasně spojená s realitou specifické povahy podniku. Jinými slovy, neexistují žádné tipy pro upgrade konfigurace počítačů nebo softwaru. Totéž platí pro rady týkající se odvolání "nespolehlivých" zaměstnanců, instalace nových sledovacích systémů bez konkrétního uvedení jejich účelu, umístění a proveditelnosti.
Na základě analýzy je zpravidla několik skupin rizik. Současně se ke sestavení konsolidované zprávy používá dva hlavní ukazatele: pravděpodobnost útoku a škoda způsobená podniku (ztráta majetku, ztráta pověsti, ztráta obrazu atd.). Ukazatele pro skupiny se však neshodují. Například nízké skóre pro pravděpodobnost útoku je nejlepší. Za škody - naopak.
Teprve poté je připravena zpráva, ve které jsou podrobně popsány všechny kroky, metody a nástroje studií. To je dohodnuto se správou a podepsáno dvěma stranami - podnikem a auditem. Pokud interní audit, vedoucí příslušné strukturální jednotky vypracuje takovou zprávu, po které opět podepíše vedoucí.
Audit zabezpečení informací: Příklad
Nakonec zvažte nejjednodušší příklad situace, která se již stala. Mnoho z nich se mimochodem může zdát velmi známé.
Takže například určitý zaměstnanec společnosti, který se zabývá zadáváním veřejných zakázek ve Spojených státech, nainstaloval do počítače ICQ messenger (jméno zaměstnance a jméno společnosti není zrozumitelných důvodů). Jednání probíhala prostřednictvím tohoto programu. Ale "ICQ" je poměrně zranitelná z hlediska bezpečnosti. Zaměstnanec při registraci čísla v té době buď neměl e-mailovou adresu, nebo jej prostě nechtěl dát. Namísto toho označil něco podobného e-mailu, dokonce i bez neexistující domény.
Co by útočník udělal? Jak je znázorněno auditu informační bezpečnosti, bylo by být zaregistrován přesně stejnou doménu a vytvořila by v něm jiný registrační terminál, a pak mohl poslat zprávu společnosti Mirabilis, která je vlastníkem ICQ službu, žádost o obnovení hesla v důsledku její ztráty (které by bylo provedeno ). Jako příjemce poštovní server nebyl, byl zařazen přesměrovat - přesměrovat do existujícího vloupání mailu.
V důsledku toho získá přístup k korespondenci se zadaným číslem ICQ a informuje dodavatele o změně adresy příjemce zboží v určité zemi. Proto je náklad odeslán komu nikdo neví. A to je nejnebezpečnější příklad. Například, drobné chuligánství. A co vážnější hackeři, kteří jsou schopni mnohem víc ...
Závěr
Stručně a vše, co se týká auditu zabezpečení IP. Samozřejmě se zde nedotknou všechny jeho aspekty. Důvodem je pouze to, že řada faktorů ovlivňuje formulaci úkolů a metod implementace, proto je přístup v každém konkrétním případě striktně individuální. Navíc metody a nástroje pro kontrolu zabezpečení informací mohou být různé pro různé IP. Zdá se však, že obecné zásady těchto kontrol pro mnohé budou jasné i na počáteční úrovni.
IT audit. Jeho vlastnosti
Role a standardy auditu v systému environmentální kontroly
Auditové kontroly - co to je?
Účetnictví a audit jsou důležitými funkcemi správy- Audit finančních výsledků a jejich úkolů
- Povinný audit
- Audit dlouhodobého majetku: teorie a praktické rady
- Interní a externí audit: velké rozdíly a podobnosti
- Audit finančních prostředků: právě kolem komplexu
- Typy auditu a jejich charakteristiky
- Audit operací s dlouhodobými aktivy
- Audit transakcí běžného účtu - je základem pro výpočet daňového základu v nepřítomnosti prvotních…
Daňový audit: typy, funkce
Kontrola požární bezpečnosti. Nezávislé posouzení rizika požáru- Audit účetních pravidel. Pravidla jeho chování
- Informační podpora pro management
- Politika zabezpečení informací a zásady její organizace
- Špecialista na informační bezpečnost - požadavky na povolání
Environmentální audit - velká potřeba úplné kontroly
Kontrola a audit
Revize je ... Základní pojmy