Information Security Audit: Mål, metoder och verktyg, exempelvis. Informationssäkerhet granskning av banken

Idag, alla vet nästan helig fras som äger informationen, äger världen. Det är därför i vår tid för att stjäla konfidentiell information försöker alla och envar. I detta avseende tagit exempellösa åtgärder och genomförande av medel för skydd mot eventuella attacker. Men ibland kan du behöva genomföra en granskning av företagets informationssäkerhet. Vad är det och varför är det allt nu, och försöka förstå.

Vad är en granskning av informationssäkerheten i den allmänna definitionen?

Vem kommer inte att påverka de svårfattliga vetenskapliga termer, och försöka avgöra själva de grundläggande begrepp som beskriver dem på det mest enkla språket (de människor som det skulle kunna kallas revisionen för "dummies").

Namnet på de komplexa händelser talar för sig själv. Information säkerhetsrevision är en oberoende granskning eller peer review att garantera säkerheten för informationssystem (IS) av alla företag, institution eller organisation på grundval av specialutvecklade kriterier och indikatorer.

Enkelt uttryckt, till exempel granska bankens informationssäkerhet handlar om att, för att bedöma skyddsnivån för kunddatabaser som innehas av bankverksamheten, säkerheten för elektroniska pengar, bevarandet av banksekretessen, och så vidare. D. När det gäller inblandning i institutionens verksamhet obehöriga från utsidan, med hjälp av elektronisk och informations.

Visst, bland läsarna finns det åtminstone en person som ringde hem eller mobiltelefon med ett förslag att behandla lånet eller insättning, banken som det har ingenting att göra. Detsamma gäller för inköp och erbjudanden från vissa butiker. Varifrån kom upp ditt rum?

Det är enkelt. Om en person som tidigare tog lån eller investeras i ett inlåningskonto, naturligtvis, dess data som lagras i en gemensam kundbas. När du ringer från en annan bank eller butik kan bara finnas en slutsats: information om det kom illegalt till tredje part. Hur? I allmänhet finns det två alternativ: antingen den var stulen, eller överlåtas till anställda i banken till tredje part medvetet. För att sådana saker inte händer, och du behöver tid för att genomföra en granskning av säkerheten i bankinformation, och detta gäller inte bara dator eller "Iron" medel för skydd, men hela personalen på institutionen.

De huvudsakliga riktningar information säkerhetsgranskning

När det gäller omfattningen av revisionen, som regel, de är flera:

• Fullständig kontroll av de involverade i processerna för informationsobjekt (dator automatiserat system, innebär kommunikation, mottagning, överföring och behandling av information, faciliteter, lokaler för konfidentiella möten, övervakningssystem etc. hos);
• kontrollera tillförlitligheten i skyddet av konfidentiell information med begränsad tillgång (bestämning av eventuellt läckage och potentiella säkerhetshål kanaler som ger tillgång den från utsidan med användning av standard- och icke-standardmetoder);
• kontrollera alla elektroniska hårdvara och lokala datasystem för exponering för elektromagnetisk strålning och störningar, så att de kan stänga av eller sätta i förfall;
• projektdel, som omfattar arbetet med att skapa och tillämpning av begreppet säkerhet i det praktiska genomförandet (skydd av datorsystem, anläggningar, kommunikationsmöjligheter, etc.).

När det gäller revisionen?

För att inte nämna de kritiska situationer där försvaret var redan brutit, granskning av informationssäkerheten i en organisation kan genomföras, och i vissa andra fall.

Vanligtvis inkluderar dessa expansion av företaget, fusion, förvärv, övertagande av andra företag, förändra affärsidéer eller riktlinjer, ändringar i internationell lagstiftning eller i lagstiftningen inom ett land, ganska allvarliga förändringar i informationsinfrastrukturen.

typer av revision

Idag är det mycket klassificeringen av den här typen av granskning, enligt många analytiker och experter som inte är etablerade. Därför kan uppdelningen i klasser i vissa fall vara ganska godtyckligt. Men i allmänhet, revisionen av informationssäkerheten kan delas in i yttre och inre.

En extern revision av oberoende experter som har rätt att göra, är vanligtvis en engångskontroll, som kan initieras av ledning, aktieägare, brottsbekämpande organ, etc. Man tror att en extern revision av datasäkerhet rekommenderas (men inte obligatoriskt) att utföra regelbundet under en viss tid. Men för vissa organisationer och företag, enligt lag, är det obligatoriskt (t.ex. finansiella institutioner och organisationer, aktiebolag och andra.).

Intern revision informationssäkerhet är en ständig process. Den är baserad på en speciell "förordningar om internrevision". Vad är det? Faktum är att denna certifieringsverksamhet genomförs i organisationen när det gäller godkänts av ledningen. En informationssäkerhets granskning av särskild strukturell uppdelning av företaget.

Alternativ klassificering av revision

Förutom den ovan beskrivna uppdelningen i klasser i det allmänna fallet, kan vi urskilja flera komponenter i det internationella klassificering:

• Expert kontrollera status för informationssäkerhet och informationssystem på grundval av personlig erfarenhet av experter, dess ledande;
• certifieringssystem och säkerhetsåtgärder för överensstämmelse med internationella standarder (ISO 17799) och nationella rättsliga instrument som reglerar detta verksamhetsområde;
• analys av IT-säkerhet med hjälp av tekniska hjälpmedel som syftar till att identifiera potentiella sårbarheter i mjukvara och hårdvara komplex.

Ibland kan tillämpas och den så kallade omfattande revision, som inkluderar alla ovanstående typer. Förresten, ger han den mest objektiva resultat.

Iscensatta mål och syften

Varje kontroll, vare sig internt eller externt, börjar med att sätta mål och syften. Enkelt uttryckt, måste du ta reda på varför, hur och vad som ska testas. Detta kommer att avgöra det fortsatta förfarandet att utföra hela processen.

Uppgifter, beroende på den specifika strukturen i företaget, organisation, institution och dess verksamhet kan vara en hel del. Men mitt i allt detta release, enhetlig mål för informationssäkerhet revision:

• bedömning av tillståndet i system informationssäkerhet och informationssystem;
• analys av de eventuella riskerna med risken för inträngning i externa IP och de möjliga formerna för sådan interferens;
• lokalisering av hål och luckor i säkerhetssystemet;
• analys av lämplig nivå av säkerhet informationssystem gällande normer och regelverk och rättsakter;
• utveckling och leverans av rekommendationer som involverar avlägsnande av de befintliga problemen, samt förbättring av befintliga åtgärder och införandet av ny utveckling.

Metodik och verktyg revision

Nu några ord om hur kontrollen och vilka åtgärder och innebär att det innebär.

Ett informationssäkerhetsrevision består av flera steg:

• kontrollförfaranden initiera (tydlig definition av rättigheter och skyldigheter för revisorn kontrollerar revisorn utarbetandet av planen och dess samordning med ledningen, frågan om gränserna för studien, införandet på medlemmar i organisationen engagemang för vård och tillhandahållande av relevant information i rätt tid);
• samla initiala data (säkerhetsstruktur, fördelningen av säkerhetsfunktioner, säkerhetsnivåer av analysmetoder systemprestanda för att erhålla och tillhandahålla information, bestämning av kommunikationskanaler och IP-interaktion med andra strukturer, en hierarki av användare av datornätverk, bestämningsprotokoll, etc.);
• genomföra en omfattande eller partiell inspektion;
• dataanalys (analys av risker av något slag och efterlevnad);
• utfärda rekommendationer för att ta itu med eventuella problem;
• rapportgenerering.

Det första steget är den enklaste, eftersom dess beslut enbart mellan företagsledningen och revisorn. Gränserna för analysen kan behandlas vid bolagsstämman anställda eller aktieägare. Allt detta och mer relaterade till det rättsliga området.

Det andra steget i insamlingen av grundläggande uppgifter, oavsett om det är en intern revision av informationssäkerheten eller extern oberoende certifiering är den mest resurskrävande. Detta beror på det faktum att i detta skede måste du inte bara granska den tekniska dokumentationen rörande all hårdvara och mjukvara, men även på smal intervjua bolagets anställda, och i de flesta fall även med att fylla särskilda enkäter eller undersökningar.

När det gäller den tekniska dokumentationen, är det viktigt att få fram data om IC-struktur och de prioriterade nivåerna av åtkomsträttigheter till sina anställda, för att identifiera hela systemet och programvara (operativsystemet för affärsapplikationer, deras förvaltning och redovisning), liksom den etablerade skydd av programvaran och icke-programtyp (antivirusprogram, brandväggar, etc.). Dessutom inkluderar detta fullständig kontroll av nät och leverantörer av telekommunikationstjänster (nätverksorganisation, de protokoll som används för anslutning, vilka typer av kommunikationskanaler, transmissionen och mottagningsmetoder av informationsflöden, och mer). Som framgår, det tar en hel del tid.

I nästa steg, metoderna för informationssäkerhet revision. De är tre:

• riskanalys (den svåraste tekniken, baserat på fastställandet av revisorn att penetrationen av IP överträdelse och dess integritet genom att använda alla tänkbara metoder och verktyg);
• Bedömningen av efterlevnaden av normer och lagstiftning (det enklaste och mest praktiska metod som bygger på en jämförelse mellan den nuvarande situationen och de krav som internationella standarder och inhemska dokument inom informationssäkerhet);
• den kombinerade metod som kombinerar de två första.

Efter att ha mottagit kontroll resultaten av sin analys. Fonder Revision av informationssäkerhet, som används för analysen, kan vara ganska varierade. Det beror på detaljerna i företaget, den typ av information, programvaran du använder, skydd och så vidare. Men som kan ses på den första metoden revisorn har i huvudsak förlita sig på sina egna erfarenheter.

Och det betyder bara att det måste vara fullt kvalificerad inom området informationsteknologi och dataskydd. På grundval av denna analys, revisorn och beräknar de eventuella riskerna.

Observera att det ska hantera inte bara i operativsystemet eller det program som användes till exempel i affärer eller redovisning, men också för att tydligt förstå hur en angripare kan tränga in i informationssystemet för att stöld, skador och förstörelse av data, skapa förutsättningar för brott i datorer, spridning av virus eller skadlig kod.

Utvärdering av revisionen och rekommendationer för att ta itu med de problem

Baserat på analysen experten avslutar om skyddsstatus och ger rekommendationer för att ta itu med befintliga eller potentiella problem, uppgraderingar säkerhet, etc. Rekommendationerna ska inte bara vara rättvis, men också tydligt knuten till verkligheten av företaget detaljerna. Med andra ord, är tips på att uppgradera konfigurationen av datorer eller programvara inte accepteras. Detta gäller även inrådan av uppsägning av "opålitliga" personal, installera nya tracking system utan att ange sin destination, platsen och lämplighet.

Baserat på analysen, som regel, det finns flera riskgrupper. I det här fallet, att sammanställa en sammanfattande rapport använder två nyckeltal: (. Förlust av tillgångar, minskning av rykte, förlust av bild och så vidare) sannolikheten för en attack och skador på företaget som följd. Men resultatet av grupperna är inte samma sak. Till exempel är indikatorn låg nivå för sannolikheten för angrepp bäst. För skador - tvärtom.

Först då sammanställt en rapport som beskriver målade alla stadier, metoder och medel för forskningen. Han höll med ledning och undertecknas av de båda sidorna - företaget och revisorn. Om revisionen internt, är en rapport chefen för respektive strukturell enhet, varefter han återigen undertecknad av huvudet.

Information säkerhetsrevision: Exempel

Slutligen anser vi det enklaste exemplet på en situation som redan har hänt. Många, förresten, kan det tyckas mycket bekant.

Till exempel kan ett företagets personal upphandling i USA, etablerad i ICQ Instant Messenger dator (är namnet på den anställde och företagsnamnet inte namngivna av uppenbara skäl). Förhandlingarna genomfördes exakt med hjälp av detta program. Men "ICQ" är ganska sårbar i fråga om säkerhet. Själv anställd på registreringsnumren på tiden eller inte har en e-postadress eller bara inte vill ge det. Istället pekade han på något som e-post, och till och med obefintlig domän.

Vad skulle angriparen? Som framgår av en granskning av informationssäkerheten, skulle det vara registrerade exakt samma domän och skapade skulle vara i det, en annan registreringsterminal, och sedan kan skicka ett meddelande till Mirabilis företag som äger ICQ service, begär återställning av lösenord på grund av dess förlust (som skulle göras ). Som mottagare av e-postservern inte var det ingår omdirigera - omdirigera till en befintlig inkräktare mail.

Som ett resultat av detta får han tillgång till korrespondens med det givna ICQ nummer och informerar leverantören att ändra adressen för mottagaren av varorna i ett visst land. Således, varorna skickas till en okänd destination. Och det är den mest ofarliga exemplet. Så förargelseväckande beteende. Och hur allvarligare hackers som har möjlighet att mycket mer ...

slutsats

Här är en kort och allt som rör IP säkerhetsgranskning. Naturligtvis är det inte påverkas av alla aspekter av det. Anledningen är just att i utformningen av de problem och metoder för dess agerande påverkar en mängd faktorer, så det tillvägagångssätt i varje enskilt fall är strikt individuellt. Dessutom kan de metoder och medel för informationssäkerhetsrevision vara olika för olika integrerade kretsar. Men jag tror att de allmänna principerna för sådana tester för många blivit uppenbart även på grundskolenivå.