Auditul securității informațiilor: obiective, metode și instrumente, de exemplu. Auditul securității informațiilor al băncii

Astăzi, toată lumea știe aproape o frază sacră că proprietarul informațiilor deține lumea. De aceea, în timpul nostru, să furăm informații confidențiale încercați toți la cine nu leneș. În acest sens, sunt luate măsuri fără precedent pentru a introduce mijloace de protecție împotriva posibilelor atacuri. Cu toate acestea, uneori poate fi necesar să se verifice securitatea informațiilor întreprinderii. Ce este și de ce este totul necesar, acum și încercați să vă dați seama.

Ce este un audit al securității informațiilor într-o definiție generală?

Cine nu va afecta termenii științifici absconse, și să încerce să stabilească pentru ele însele conceptele de bază, descriindu-le în limba cea mai simplă (oamenii ar putea fi numit de audit pentru „manechinele“).

Numele acestui complex de evenimente vorbește de la sine. Un audit de securitate a informațiilor este un cec independent sau evaluare reciprocă asigurarea securității sistemului informatic (IS) al unei întreprinderi, instituții sau organizație pe baza unor criterii și indicatori special dezvoltați.

În termeni simpli, de exemplu, audit de securitate a informațiilor băncii se reduce la, pentru a evalua nivelul de protecție a bazelor de date ale clienților deținute de operațiuni bancare, siguranța monedei electronice, păstrarea secretului bancar, și așa mai departe. D. în cazul interferențelor în activitățile instituției persoanelor neautorizate din exterior, folosind echipamente electronice și informatice.

Desigur, în rândul cititorilor există cel puțin o persoană care a sunat acasă sau telefon mobil cu o propunere de prelucrare a împrumutului sau de depozit, banca cu care nu are nimic de a face. Același lucru este valabil și pentru oferta de achiziții de la unele magazine. Unde ți-a venit numărul?

E simplu. Dacă o persoană a luat anterior un împrumut sau a investit bani într-un cont de depozit, firește, datele sale au fost salvate într-o singură dată baza de clienți. Când sunați de la o altă bancă sau magazin, puteți trage o singură concluzie: informațiile despre el au căzut ilegal în mâinile a treia. Cum? În general, putem distinge două opțiuni: fie a fost furat, fie predat conștient de angajații băncii către terțe părți. Pentru ca astfel de lucruri nu sa întâmplat, și ai nevoie de timp pentru a efectua un audit de securitate a informațiilor băncii, iar acest lucru se aplică nu numai la calculator sau „de fier“ mijloace de protecție, dar întregul personal al instituției.

Principalele direcții de audit al securității informațiilor

În ceea ce privește domeniul de aplicare al unui astfel de audit, de regulă, acestea se disting prin mai multe:

• verificarea completă a obiectelor implicate în procesele de informare (sistem informatic automatizat, mijloace de comunicare, recepție, transmitere și prelucrare a informațiilor, facilități, spații pentru întâlniri confidențiale, sisteme de monitorizare, etc.);
• verificarea fiabilității protecției informațiilor confidențiale, cu acces limitat (determinarea unei posibile scurgeri și potențiale canale de gauri de securitate care permit accesul din exterior cu utilizarea unor metode standard și non-standard);
• verificarea tuturor mijloacelor tehnice electronice și a sistemelor informatice locale pentru efectul radiației electromagnetice și a pickup-urilor pe ele, permițându-le să fie deconectate sau transformate inutilizabile;
• Partea de proiect, care include lucrări privind crearea conceptului de securitate și aplicarea sa în implementarea practică (protecția sistemelor informatice, facilități, comunicații etc.).

Când este necesar să se efectueze un audit?

Nu mai vorbim de situații critice, atunci când protecția a fost deja încălcată, în alte cazuri poate fi efectuat un audit al securității informațiilor într-o organizație.

De obicei, acestea includ extinderea companiei, fuziuni, achiziții, preluarea de alte companii, schimba cursul de concepte de afaceri sau orientări, modificări în dreptul internațional sau în legislația într-o țară, mai degrabă schimbări serioase în infrastructura de informații.

Tipuri de audit

Astăzi însăși clasificarea acestui tip de audit, conform multor analiști și experți, nu este soluționată. Prin urmare, împărțirea în clase în unele cazuri poate fi foarte condiționată. Cu toate acestea, în cazul general, auditul securității informațiilor poate fi împărțit în exterior și intern.

Un audit extern efectuat de experți independenți eligibili pentru acest lucru este, de obicei, un audit unic, care poate fi inițiat de conducerea societății, de acționari, de agențiile de aplicare a legii etc. Se crede că este recomandat un audit extern de securitate a informațiilor (și nu este obligatoriu) pentru efectuarea regulată pentru o anumită perioadă de timp. Dar pentru anumite organizații și întreprinderi, conform legislației, este obligatorie (de exemplu, instituțiile și organizațiile financiare, societățile pe acțiuni etc.).

Auditul intern al securității informațiilor este un proces constant. Aceasta se bazează pe un "regulament special privind auditul intern". Ce este? De fapt, acestea sunt activitățile de certificare efectuate în organizație, în termenele aprobate de conducere. Auditul securității informațiilor este asigurat de subdiviziuni structurale speciale ale întreprinderii.

Clasificarea alternativă a tipurilor de audit

În plus față de diviziunea claselor descrise mai sus în cazul general, este posibil să se facă distincția între alte câteva componente adoptate în clasificarea internațională:

• expertizarea stării securității informațiilor și a sistemelor informatice pe baza experienței personale a experților care o conduc;
• atestarea sistemelor și a măsurilor de securitate pentru respectarea standardelor internaționale (ISO 17799) și a documentelor juridice de stat care reglementează acest domeniu de activitate;
• analiza securității sistemelor informatice folosind mijloace tehnice, care vizează identificarea potențialelor vulnerabilități ale complexului software și hardware.

Uneori se poate aplica un așa-zis audit complex, care include toate tipurile de mai sus. Apropo, este cel care dă cele mai obiective rezultate.

Stabiliți obiective și obiective

Orice verificare, internă sau externă, începe cu stabilirea obiectivelor și obiectivelor. Pentru a vorbi mai ușor, este necesar să se definească ce, ce și cum va fi verificat. Aceasta va predetermina metoda ulterioară de desfășurare a întregului proces.

Sarcini stabilite, în funcție de specificul structurii întreprinderii în sine, organizație, instituție și activitățile acesteia, pot fi destul de multe. Cu toate acestea, printre toate acestea, obiectivele unificate ale auditului securității informațiilor sunt evidențiate:

• evaluarea stării de securitate a sistemelor de informare și informare;
• analiza posibilelor riscuri asociate cu amenințarea penetrării în PI din exterior și posibilele metode de punere în aplicare a unei astfel de intervenții;
• localizarea găurilor și golurilor în sistemul de securitate;
• o analiză a conformității nivelului de securitate al sistemelor de informații cu standardele și reglementările existente;
• elaborarea și emiterea de recomandări pentru eliminarea problemelor existente, precum și îmbunătățirea remedierilor existente și introducerea noilor evoluții.

Metode și mijloace de efectuare a auditului

Acum câteva cuvinte despre modul în care se desfășoară testul și despre ce etape și mijloace include acesta.

Auditul securității informațiilor constă în mai multe etape principale:

• inițierea procedurilor de verificare (definirea clară a drepturilor și responsabilităților auditorului, auditorul verifică pregătirea planului și coordonarea acestuia cu conducerea, problema limitelor studiului, impunerea asupra membrilor angajamentului organizației de a avea grijă și furnizarea în timp util de informații relevante);
• colectarea datelor inițiale (structura de securitate, distribuția de caracteristici de securitate, nivelurile de securitate ale metodelor de analiză a performanței sistemului pentru obținerea și furnizarea de informații, determinarea canalelor de comunicare și interacțiune IP cu alte structuri, o ierarhie a utilizatorilor de rețele de calculatoare, protocoalele de determinare, etc.);
• efectuarea unei verificări integrate sau parțiale;
• analiza datelor primite (analiza riscurilor de orice tip și conformitatea cu standardele);
• emiterea de recomandări pentru abordarea posibilelor probleme;
• Crearea de documente contabile.

Prima etapă este cea mai simplă, deoarece decizia sa este luată exclusiv între conducerea societății și auditor. Limitele analizei pot fi luate în considerare la o adunare generală a angajaților sau acționarilor. Toate acestea se aplică mai mult domeniului juridic.

A doua etapă a colectării datelor de bază, fie că este vorba de un audit intern de securitate a informațiilor sau de certificare independentă externă este cea mai resurse. Acest lucru se datorează faptului că în această etapă trebuie să examineze nu numai documentația tehnică referitoare la toate componentele hardware și software, dar, de asemenea, pentru a restrânge-intervievarea angajaților companiei, iar în cele mai multe cazuri, chiar și cu completarea de chestionare speciale sau anchete.

În ceea ce privește documentația tehnică, este important să se obțină date despre structura IC și nivelurile de prioritate a drepturilor de acces la angajații săi, pentru a identifica la nivel de sistem și software de aplicație (sistemul de operare pentru aplicațiile de afaceri, management și contabilitate a acestora), precum și protecția stabilită a software-ului și non-tip de program (antivirus, firewall, etc.). În plus, aceasta include verificarea completă a rețelelor și a furnizorilor de servicii de telecomunicații (organizarea rețelei, protocoalele utilizate pentru conectare, tipurile de canale de comunicare, de transmitere și metodele de primire a fluxurilor de informații, și mai mult). Așa cum este deja clar, este nevoie de mult timp.

În etapa următoare sunt definite metode de audit al securității informațiilor. Ele sunt împărțite în trei:

• analiza riscului (cea mai complexă metodă bazată pe determinarea de către auditor a posibilității de a penetra IP și a încălca integritatea sa folosind toate metodele și mijloacele posibile);
• evaluarea conformității cu standardele și actele legislative (metoda cea mai simplă și cea mai practică, bazată pe o comparație a stării actuale și a cerințelor standardelor internaționale și a documentelor naționale în domeniul securității informaționale);
• metoda combinată, combinând primele două.

După primirea rezultatelor inspecției, analiza lor începe. Instrumente de audit securitatea informațiilor, care sunt folosite pentru analiză, pot fi destul de diverse. Totul depinde de specificul întreprinderii, tipul de informații, software-ul utilizat, protecție și așa mai departe. Cu toate acestea, după cum se poate observa pe prima metodă, auditorul au, în principal să se bazeze pe propria lor experiență.

Și aceasta înseamnă doar că trebuie să aibă calificările corespunzătoare în domeniul tehnologiei informației și al protecției datelor. Pe baza acestei analize, auditorul calculează și riscurile posibile.

Rețineți că aceasta ar trebui să se ocupe nu numai în sistemul de operare sau programul folosit, de exemplu, pentru afaceri sau de contabilitate, dar, de asemenea, pentru a înțelege în mod clar modul în care un atacator poate pătrunde în sistemul de informații în scopul de furt, deteriorare și distrugerea datelor, crearea de condiții prealabile pentru încălcări în activitatea calculatoarelor, răspândirea virușilor sau a malware-ului.

Evaluarea rezultatelor auditului și recomandări pentru rezolvarea problemelor

Pe baza analizei, expertul face o concluzie asupra stării de protecție și emite recomandări pentru eliminarea problemelor existente sau potențiale, modernizarea sistemului de securitate etc. În același timp, recomandările ar trebui să fie nu numai obiective, ci și clare legate de realitățile specificului întreprinderii. Cu alte cuvinte, nu există sfaturi pentru actualizarea configurației computerelor sau software-ului. În mod similar, aceasta se referă la consiliere privind concedierea angajaților "nefiabi", instalarea de noi sisteme de urmărire fără indicarea specifică a destinației, locației și fezabilității acestora.

Pe baza analizei, de regulă, există mai multe grupuri de riscuri. În același timp, pentru compilarea raportului consolidat sunt utilizați doi indicatori principali: probabilitatea unui atac și daunele cauzate societății ca rezultat (pierderea activelor, pierderea reputației, pierderea imaginii etc.). Cu toate acestea, indicatorii pentru grupuri nu coincid. De exemplu, un scor scăzut pentru probabilitatea de atac este cel mai bun. Pentru daune - dimpotrivă.

Numai după acest lucru este pregătit un raport în care sunt detaliate toate etapele, metodele și instrumentele studiilor. Este convenit cu conducerea și semnat de două părți - întreprinderea și auditorul. În cazul în care auditul intern, șeful unității structurale respective întocmește un astfel de raport, după care el, din nou, este semnat de către șef.

Auditul securității informațiilor: Exemplu

În cele din urmă, ia în considerare cel mai simplu exemplu de situație care sa întâmplat deja. Pentru mulți, apropo, poate părea foarte familiar.

De exemplu, personalul de achiziții unei companii din Statele Unite, cu sediul în computer instant messenger ICQ (numele angajatului și numele companiei nu este numit din motive evidente). Negocierile s-au derulat prin acest program. Dar "ICQ" este destul de vulnerabil din punct de vedere al securității. Angajatul la înregistrarea numărului la momentul respectiv nu avea o adresă de e-mail sau pur și simplu nu dorea să-l dea. În schimb, a indicat ceva similar e-mailului, chiar și cu un domeniu inexistent.

Ce ar face un atacator? Așa cum se arată de către un audit de securitate a informațiilor, ar fi înregistrat exact același domeniu și a creat ar fi în ea, un alt terminal de înregistrare, și apoi ar putea trimite un mesaj companiei Mirabilis care deține serviciul ICQ, solicitarea de recuperare a parolei din cauza pierderii sale (care ar fi făcut ). Deoarece serverul destinatarului nu era un server de poștă, acesta a inclus o redirecționare la mesajul existent al atacatorului.

În consecință, el primește acces la corespondența cu numărul ICQ specificat și informează furnizorul cu privire la schimbarea adresei destinatarului mărfurilor într-o anumită țară. Astfel, încărcătura este trimisă nimănui nu știe unde. Și acesta este cel mai inofensiv exemplu. De exemplu, minore huliganism. Și hackerii mai serioși care sunt capabili de mult mai mult ...

concluzie

Aici pe scurt și totul legat de auditul securității IP. Desigur, nu toate aspectele sale sunt atinse aici. Motivul este numai că o mulțime de factori influențează formularea sarcinilor și a metodelor de punere în aplicare a acesteia, prin urmare abordarea în fiecare caz specific este strict individuală. În plus, metodele și instrumentele pentru auditarea securității informațiilor pot fi diferite pentru diferite IP-uri. Cu toate acestea, se pare că principiile generale ale acestor controale pentru mulți vor deveni clare chiar și la nivelul inițial.