Bilgi Güvenliği Denetimi: Hedefler, yöntemler ve araçlar, örnek. bankanın Bilgi güvenliği denetimi

Bugün herkes dünya sahibi, bilgi sahibi olan neredeyse kutsal cümleyi bilir. çalmaya zamanımızda nedeni budur gizli bilgileri her biri çalışıyoruz. Bu bağlamda, görülmemiş adımlar ve olası saldırılarına karşı güvenlik araçlarının uygulanmasını kaldırıldı. Ancak, bazen kurumsal bilgi güvenliği ilişkin bir denetimi gerekebilir. Bu nedir ve neden şimdi tek şey, ve anlamaya çalışın.

genel tanımı bilgi güvenliğinin bir denetim nedir?

Kim derin bilimsel terimler etkiler ve ( "Aptallar" için denetim denilebilir insanları) en basit dille nitelendirdiği kendileri için temel kavramları belirlemek için denemez.

Karmaşık olayların adı kendisi için konuşur. Bilgi güvenliği denetimi bağımsız bir doğrulama ya da akran değerlendirme özel olarak geliştirilen kriter ve göstergeler temelinde herhangi bir şirket, kurum veya kuruluşun bilgi sistemleri (IS) güvenliğini sağlamak için.

Basit bir ifadeyle, örneğin, dışarıdan kurum yetkisiz kişilerin faaliyetlerinde müdahale durumunda elektronik paranın güvenliği, bankacılık gizlilik koruma, vb. D. kullanarak bankacılık işlemleri tarafından tutulan müşteri veritabanlarının koruma seviyesini değerlendirmek için, aşağı kaynar bankanın bilgi güvenliği denetim elektronik ve bilgisayar tesisleri.

Kuşkusuz, okuyucular arasında Kredi veya depozito, bu ilgisi yoktur hangi banka işlem bir teklifle ev veya cep telefonu denilen en az bir kişi vardır. Aynı alımlar için geçerlidir ve bazı mağazalardan sunmaktadır. Nereden odanı geldi?

Çok basit. Bir kişinin daha önce kredi aldı ya da mevduat hesabında yatırım ise, tabii ki, veri ortak saklanır müşteri tabanına. Başka bir banka veya deposundan çağırdığınızda tek bir sonuç olabilir: bu konuda bilgiler üçüncü şahıslara yasadışı geldi. Nasıl? Genel olarak, iki seçenek vardır: ya çalınmış ya bilinçli üçüncü şahıslara banka çalışanlarına aktarıldı. Amacıyla böyle şeyler olmadı ve bankanın bilgi güvenliği ilişkin bir denetimi için zaman gerekir ve bu sadece bilgisayar veya koruma "demir" araçlar ancak kurumun tüm personeli için de geçerlidir için.

bilgi güvenliği denetim ana yön

Denetimin kapsamı ile ilgili olarak, bir kural olarak, bunlar birkaç şunlardır:

• bilginin süreçlerine dahil nesnelerin tam kontrol (bilgisayar otomatik bir sistem, iletişim, resepsiyon, bilgi iletim ve işleme, tesisler, gizli toplantılar için tesislerinde, izleme sistemleri, vb anlamına gelir);
• sınırlı erişimi olan gizli bilgilerin korunması güvenilirliğini kontrol edilmesi (olası kaçak ve standart olan ve olmayan standart yöntemler kullanılarak dışarıdan erişimi bunu sağlayan potansiyel güvenlik delikler kanal belirlenmesi);
• Onları kapatabilir veya bakıma muhtaç hale getirmek için izin elektromanyetik radyasyon ve parazite maruz kalma tüm elektronik donanım ve yerel bilgisayar sistemlerinin kontrol edin;
• pratik uygulamada oluşturulması ve güvenlik kavramının uygulamaya çalışmaları içermektedir proje bölümü (bilgisayar sistemleri, tesisleri, haberleşme tesisleri, vb korunması).

o denetime gelince?

Savunma zaten bir kuruluşta bilgi güvenliği denetim yapılabilir kırık ve diğer bazı durumlarda oldu kritik durumları cabası.

Tipik olarak, bu diğer şirketlerin şirketin genişlemesini, birleşme, satın alma, devralma dahil, iş konseptleri veya kurallar, bir ülke içindeki uluslararası hukukta veya mevzuat değişiklikleri, bilgi altyapısında oldukça ciddi değişimlerin seyrini değiştirir.

Denetimin türleri

Bugün birçok analist ve uzmanlara göre denetimin bu tip çok sınıflandırılması, oluşturulmamıştır. Bu nedenle, bazı durumlarda sınıfa bölünmesi oldukça keyfi olabilir. Bununla birlikte, genel olarak, bilgi güvenliği denetim, dış ve iç ayrılabilir.

yapmaya hakkım var bağımsız uzmanlar tarafından yürütülen bir dış denetim, genellikle yönetimi, hissedarlar, kolluk kuvvetleri vb tarafından başlatılabilir bir kerelik çek vardır Bilgi güvenliğinin dış denetim tavsiye (ancak zorunlu değildir) zaman belirli bir süre için düzenli olarak gerçekleştirmek için olduğuna inanılmaktadır. Ancak bazı kuruluşlar ve işletmeler için, kanuna göre, bu zorunludur (örneğin, finans kurumları ve kuruluşları, anonim şirketlerin, ve diğerleri için.).

İç denetim bilgi güvenliği kesintisiz bir süreçtir. Bu özel bir "İç Denetim Yönetmeliği" dayanmaktadır. Bu nedir? Aslında, bu sertifika faaliyetleri yönetim tarafından onaylanan açısından, bünyesinde yürütülmektedir. işletmenin özel yapısal alt bölümü tarafından bir bilgi güvenliği denetimi.

Denetimin Alternatif sınıflandırma

genel durumda sınıfa yukarıda açıklanan bölümü yanı sıra, uluslararası sınıflandırmaya yapılan birkaç bileşen ayırt edebilirsiniz:

• Uzman uzmanların kişisel deneyim, onun iletken temelinde bilgi güvenliği ve bilgi sistemlerinin durumunu kontrol;
• uluslararası standartlara (ISO 17799) ve faaliyet bu alanda düzenleyen ulusal yasal enstrümanlar uygunluk için belgelendirme sistemleri ve güvenlik önlemleri;
• yazılım ve donanım kompleksi potansiyel güvenlik açıklarını tespit etmeye yönelik teknik araçların kullanımı ile bilgi sistemlerinin güvenliği analizi.

Bazen uygulamalı ve yukarıdaki türleri içerir sözde kapsamlı denetim, yapılabilir. Bu arada, o en objektif sonuçlar verir.

Sahnelenen amaçlar ve hedefler

Herhangi doğrulama, iç veya dış olsun, amaç ve hedefler belirleyerek başlar. Basitçe söylemek gerekirse, neden test edilecektir nasıl ve ne olduğunu belirlemek gerekir. Bu, tüm işlemin gerçekleştirilmesi daha prosedür belirleyecektir.

işletme, organizasyon, kurum ve faaliyetleri belirli yapısına bağlı olarak Görevler, oldukça fazla olabilir. Ancak, tüm bu sürümde ortasında, bilgi güvenliği denetim birleşik hedefi:

• bilgi güvenliği ve bilgi sistemlerinin durum değerlendirmesinde
• dış IP ve müdahalenin mümkün yöntemleri nüfuz riski ile ilişkili olası riskleri analizi;
• Güvenlik sistemindeki delikler ve boşluklar yerleştirilmesi;
• mevcut standartlar ve düzenleyici ve yasal eylemlerine bilgi sistemlerinin güvenliği uygun düzeyde analizi;
• geliştirme ve mevcut sorunların ortadan kaldırılması, hem de iyileşme mevcut ilaçlar ve yeni gelişmeler verilmesinden oluşan önerilerin teslimat.

Metodoloji ve denetim araçları

Şimdi hangi adımların ve anlamı çek ve bulaştığı konusunda birkaç söz.

Bir bilgi güvenliği denetimi birkaç aşamadan oluşmaktadır:

• doğrulama işlemlerini başlatarak (denetçi hak ve sorumluluklarının net bir tanımını, denetçi planının hazırlanmasını ve yönetimi ile koordinasyon denetler, çalışmanın sınırlarının soru, organizasyon bağlılık üyeleri dayatma bakım ve ilgili bilgilerin zamanında sağlanması için);
• ilk veri (güvenlik yapısı, güvenlik özelliklerinin dağılımı, elde etmek ve iletişim kanalları ve diğer yapılar IP etkileşim, bilgisayar ağları bir kullanıcı hiyerarşisi, tespit protokolleri, vb bilgi, kararlılık sağlamak için sistem performansının analiz yöntemleri güvenlik seviyeleri) toplanması;
• kapsamlı ya da kısmi bir inceleme yapmak;
• Veri analizi (herhangi bir tip ve uyum riskleri analizi);
• öneriler veren potansiyel sorunları çözmek için;
• rapor oluşturma.

kararının şirket yönetimi ile denetçi arasında sadece yapılır çünkü ilk aşama, en basit. Analiz sınırları çalışanları veya hissedarlar genel toplantısında kabul edilebilir. Tüm bunlar ve daha hukuki alanla ilgili.

o bilgi güvenliği veya harici bağımsız sertifikasyon bir iç denetim olup olmadığı temel verilerin toplanması ikinci aşama, en kaynak yoğun olduğunu. Bu, bu aşamada tüm donanım ve yazılım ile ilgili teknik belgeleri incelemek için sadece ihtiyaç değil, aynı zamanda dar-mülakat için şirketin çalışanları olmasından kaynaklanmaktadır, ve hatta özel anketler veya anket doldurma ile çoğu durumda.

teknik dokümantasyon gelince, yazılımın kurulu yanı sıra koruma, çalışanlarına IC yapısına veri ve erişim haklarının öncelik düzeyleri elde etmek sistem çapında ve uygulama yazılımı (iş uygulamaları için işletim sistemi, yönetim ve muhasebe) belirlemek önemlidir ve olmayan program tipi (virüs programı, firewall, vs.). Buna ek olarak, bu (bilgi akışının ağ organizasyonu, bağlantı için kullanılan protokoller, iletişim kanallarının tipleri, iletim ve alım yöntemi ve daha fazlasını) ağları ve telekomünikasyon hizmetleri sağlayıcıları tam doğrulanmasını içerir. anlaşılacağı gibi, bu çok zaman alır.

Bir sonraki aşamada, bilgi güvenliği denetim yöntemleri. Bunlar üç şunlardır:

• (IP ihlali penetrasyonu ve mümkün olan tüm yöntem ve araçları kullanarak kendi bütünlüğü denetçi tayini dayalı en zor teknik) Risk analizi;
• standartlar ve mevzuat (işlerin mevcut durumu bir karşılaştırması ve uluslararası standart ve bilgi güvenliği alanında yerli belgelerin gereksinimlerine göre en basit ve en pratik yöntemle) uygunluk değerlendirilmesi;
• İlk iki bir araya kombine yöntemi.

analizleri doğrulanması sonuçları aldıktan sonra. Fon Denetim Bilgi güvenliğinin analizi için kullanılan oldukça değiştirilebilir. Her işletmenin, bilgilerin türü, kullandığınız yazılım, koruma ve ilk yöntem üzerinde görülebileceği gibi böyle devam eder. Ancak denetçi esas kendi deneyimlerine güvenmek zorunda özelliklerine bağlıdır.

Ve bu sadece bilgi teknolojisi ve veri koruma alanında tam olması gerektiği anlamına gelir. ve bu analiz, denetçi temelinde olası riskleri hesaplar.

İster iş ister muhasebe için, işletim sistemi veya örneğin, kullanılan programda sadece mücadele etmesi değil, aynı zamanda bir saldırganın hırsızlık, hasar ve veri imha ihlalleri için ön koşulları yaratılması amacıyla bilgi sistemine nüfuz nasıl olduğunu iyi anlamak unutmayın bilgisayar, virüs veya zararlı yazılım yayıldı.

Denetim bulguları ve sorunları çözmek için önerilerin değerlendirilmesi

analize dayanarak uzman koruma durumuyla ilgili sonucuna ve mevcut veya potansiyel sorunları çözmek için tavsiyeler, güvenlik yükseltmeleri, vb verir öneriler sadece adil olmak, ama aynı zamanda açıkça kurumsal özelliklerini gerçeklerine bağlı olmamalıdır. Başka bir deyişle, bilgisayar veya yazılım yapılandırmasını yükseltme ipuçları kabul edilmez. Bu eşit hedeflerine, yer ve uygunluğunu belirtmeden "güvenilmez" personel, yeni izleme sistemleri kurmak görevden alınması tavsiyesi için de geçerlidir.

analize dayanarak, bir kural olarak, çeşitli risk grupları bulunmaktadır. Bu durumda, bir özet rapor iki önemli göstergelerini kullanır derlemeye: (. varlıklarının kaybı, itibar azaltılması, böylece görüntünün kaybı ve) bir saldırı olasılığını ve bunun sonucu olarak, şirkete verdiği zararı. Bununla birlikte, grupların performansı aynı değildir. Örneğin, saldırının olasılığı için düşük seviye göstergesi en iyisidir. tam tersine - zararlardan.

Ancak o zaman bütün aşamaları, yöntemleri ve araştırma araçları boyalı ayrıntıları bir rapor derlenmiş. O yönetimiyle kabul etti ve iki taraf tarafından imzalanmış - şirket ve denetçiyi. Eğer denetim, iç, bir rapor o yine başkanı tarafından imzalanan daha sonra ilişkin yapısal biriminin başıdır.

Bilgi güvenliği denetimi: Örnek

Son olarak, biz zaten oldu bir durumun en basit örneği düşünün. Birçok arada, çok tanıdık gelebilir.

Örneğin, ICQ anlık mesajlaşma bilgisayarda kurulan ABD'de bir şirketin tedarik personeli, (çalışan ve şirket adı adı bilinen nedenlerle adlı değildir). Müzakereler bu program vasıtasıyla tam yürütülmüştür. Ama "ICQ" güvenlik açısından oldukça savunmasızdır. zamanda veya kayıt numaralardan Öz çalışan bir e-posta adresi yoktu, ya da sadece vermek istemiyordu. Bunun yerine, e-posta, ve hatta yok denecek etki gibi bir şey işaret etti.

Ne saldırgan olur? Bilgi güvenliğinin bir denetim gösterdiği gibi, kayıp nedeniyle Şifre kurtarma isteğinde, ICQ hizmetini sahibi Mirabilis şirketi bir mesaj gönderebilir sonra tam olarak aynı etki alanını kayıtlı ve bunun içinde başka bir kayıt terminali olacağını oluşturulur ve olacağını (yani bitmiş olacaktır ). Varolan davetsiz misafir posta yönlendirme - posta sunucusu alıcı değildi olarak, yönlendirme dahil edildi.

Sonuç olarak, ona verilen ICQ numarası ile yazışma erişim alır ve belli bir ülkedeki mal alıcının adresini değiştirmek için tedarikçi bildirir. Böylece mallar bilinmeyen bir yere gönderdi. Ve en zararsız örneğidir. Yani, ahlâka aykırı davranış. Ve çok daha fazlası edebiliyoruz daha ciddi hacker ne olacak ...

Sonuç

İşte IP güvenlik denetimi ile ilgilidir kısa ve hepsi bu. Tabii ki, bunun tüm yönleriyle etkilenmez. nedeni sorunları ve onun davranış yöntemleri formülasyonunda bir çok faktörü etkiler, dolayısıyla her durumda yaklaşım kesinlikle bireydir sadece budur. Buna ek olarak, bilgi güvenliği denetim yöntemleri ve araçları farklı IC için farklı olabilir. Ancak, bence, birçok tür testler genel prensipleri bile birincil düzeyde belirgin hale gelir.