Տեղեկատվական անվտանգություն Աուդիտ նպատակները, մեթոդները եւ գործիքները, օրինակ. Տեղեկատվական անվտանգության աուդիտ բանկի

Այսօր, բոլորն էլ գիտեն, որ գրեթե սուրբ արտահայտությունը, որ պատկանում էր տեղեկատվություն, պատկանում է աշխարհը: Դա է պատճառը, որ մեր ժամանակ է գողանալ գաղտնի տեղեկատվություն փորձում են բոլորին, եւ sundry. Այս առումով, աննախադեպ քայլեր եւ իրականացումը միջոցների պաշտպանության իրավունք, ընդդեմ հնարավոր հարձակումներից: Սակայն, երբեմն դուք կարող եք անհրաժեշտ է անցկացնել աուդիտ ձեռնարկության տեղեկատվական անվտանգության. Որն է այն եւ ինչու է այն ամենը հիմա, եւ փորձում են հասկանալ, թե.

Ինչ է աուդիտ տեղեկատվական անվտանգության ընդհանուր սահմանման:

Ով չի անդրադառնա նաեւ խրթին գիտական պայմանները, եւ փորձում են պարզել, թե իրենց համար հիմնական հասկացությունները, նկարագրելով դրանք առավել պարզ լեզվով (այն մարդկանց, այն կարելի է անվանել աուդիտի համար «dummies»):

Անունը համալիր միջոցառումների խոսում է ինքն իրեն. Հայաստանի տեղեկատվական անվտանգության աուդիտը անկախ ստուգումն կամ գործընկերների վերանայման անվտանգությունն ապահովելու տեղեկատվական համակարգերի (է) ցանկացած ընկերության, հիմնարկի կամ կազմակերպության հիման վրա հատուկ մշակված չափանիշների եւ ցուցանիշների:

Այդ առումով պարզ է, օրինակ, աուդիտ իրականացնել բանկի տեղեկատվական անվտանգությունը եռում ներքեւ, գնահատել պաշտպանվածության մակարդակը հաճախորդների տվյալների բազաների կողմից պահվող բանկային գործառնությունների, անվտանգության էլեկտրոնային փողի, պահպանումը բանկային գաղտնիքի մասին, եւ այլն: D. Այն դեպքում միջամտության գործունեությունից չարտոնված անձանց դրսից, օգտագործելով էլեկտրոնային եւ համակարգչային հարմարություններ.

Իհարկե, ընթերցողների շրջանում կա առնվազն մեկ մարդ, ով կոչ է արել տուն կամ բջջային հեռախոսը մի առաջարկով մշակման վարկ կամ ավանդ, բանկին, որն այն ունի անելիք չունի: Նույնը վերաբերում է գնումների եւ առաջարկում է որոշ խանութներում: Ուրկէ եկած ձեր սենյակում.

Դա պարզ է. Եթե անձը նախկինում վերցրել վարկեր կամ ներդրվել է ավանդային հաշվին, իհարկե, դրա տվյալները պահվում են ընդհանուր հաճախորդների բազայի. Երբ դուք զանգահարել մեկ այլ բանկի կամ խանութում կարող է լինել միայն մեկը եզրակացությունը: տեղեկատվություն այդ մասին եկավ ապօրինաբար է երրորդ անձանց: Ինչպես? Ընդհանուր առմամբ, կա երկու տարբերակ. Կամ այն գողացել են, կամ փոխանցվել բանկի աշխատակիցների երրորդ անձանց գիտակցաբար: , Որպեսզի նման բաներ տեղի չունեցավ, եւ դուք պետք է ժամանակ անցկացնել աուդիտ տեղեկատվական անվտանգության բանկի, եւ դա վերաբերում է ոչ միայն համակարգչի կամ «Երկաթ» միջոցներով պաշտպանության, այլեւ ողջ անձնակազմի հիմնարկի:

Հիմնական ուղղությունները տեղեկատվական անվտանգության աուդիտի

Ինչ վերաբերում է աուդիտի շրջանակները,, որպես կանոն, նրանք մի քանի:

• լի ստուգում օբյեկտների ներգրավված գործընթացներում տեղեկատվության (համակարգչային ավտոմատացված համակարգի, կապի միջոցներ, ընդունելության, տեղեկատվության փոխանցման եւ մշակման, օբյեկտների, տարածքների համար գաղտնի հանդիպումների, մոնիտորինգի համակարգեր եւ այլն);
• ստուգում հուսալիությունը պաշտպանության գաղտնի տեղեկատվության Սահմանափակ մուտքի (վճռականությունը հնարավոր արտահոսքի եւ պոտենցիալ անվտանգության անցքեր ուղիներով, որոնք թույլատրում են մուտք գործել այն դրսից օգտագործման ստանդարտ եւ ոչ ստանդարտ մեթոդներով):
• ստուգեք բոլոր էլեկտրոնային ապարատային եւ տեղական համակարգչային համակարգերի համար ազդեցության էլեկտրամագնիսական ճառագայթման եւ միջամտության, որը թույլ է տալիս նրանց անջատել կամ բերում են անմխիթար վիճակում.
• Ծրագիրը մաս, որը ներառում է աշխատանքը ստեղծման եւ կիրառման հայեցակարգի անվտանգության իր գործնական կիրառման (պաշտպանություն համակարգչային համակարգերի, օբյեկտների, կապի օբյեկտների եւ այլն):

Երբ խոսքը վերաբերում է աուդիտի

Էլ չենք խոսում այն կրիտիկական իրավիճակները, որտեղ պաշտպանական էր արդեն ջարդված, աուդիտ տեղեկատվական անվտանգության կազմակերպությունը կարող է իրականացվել, եւ մի շարք այլ դեպքերում:

Որպես կանոն, դրանք ներառում են ընդլայնումը ընկերության, միաձուլում, takeover կողմից այլ ընկերությունների, փոխել ընթացքը գործարար հասկացությունների կամ ուղեցույցների, միջազգային իրավունքի փոփոխությունների կամ օրենսդրության շրջանակներում երկրի, բավականին լուրջ փոփոխությունների տեղեկատվական ենթակառուցվածքի:

տեսակներ աուդիտի

Այսօր, շատ դասակարգումը այս տեսակի աուդիտի, ըստ բազմաթիվ վերլուծաբանների եւ փորձագետների չի հաստատվել: Հետեւաբար, բաժանումը դասերի որոշ դեպքերում կարող է լինել բավականին կամայական: Այնուամենայնիվ, ընդհանուր առմամբ, աուդիտը տեղեկատվական անվտանգության կարելի է բաժանել արտաքին եւ ներքին:

Արտաքին աուդիտի կողմից իրականացված անկախ փորձագետներ, ովքեր իրավունք ունեն անելու, սովորաբար, մեկ անգամ ստուգում, որը կարող է նախաձեռնել կառավարման, բաժնետերերի, իրավապահ մարմինների եւ այլն Ենթադրվում է, որ արտաքին աուդիտ տեղեկատվական անվտանգության խորհուրդ է տրվում (բայց ոչ պարտադիր) է կատարել պարբերաբար սահմանված ժամանակահատվածում: Բայց որոշ կազմակերպությունների եւ ձեռնարկությունների, ըստ օրենքի, դա պարտադիր (օրինակ, ֆինանսական հաստատությունների եւ կազմակերպությունների, բաժնետիրական ընկերությունների, եւ այլոց):

Ներքին աուդիտը տեղեկատվական անվտանգության մշտական գործընթաց: Այն հիմնված է հատուկ «կանոնակարգի Ներքին աուդիտի մասին»: Ինչ է դա: Ըստ էության, այս սերտիֆիկացման աշխատանքները իրականացվում են կազմակերպության առումով ղեկավարության կողմից հաստատված: An տեղեկատվական անվտանգության աուդիտի հատուկ կառուցվածքային ստորաբաժանման ձեռնարկության.

Այլընտրանքային դասակարգումը աուդիտի

Բացի այդ, վերը նկարագրված բաժնի մեջ դասերի ընդհանուր դեպքում, մենք կարող ենք տարբերակել մի քանի բաղադրիչներ կատարված միջազգային դասակարգման:

• Գիտունի ստուգում կարգավիճակ տեղեկատվական անվտանգության եւ տեղեկատվական համակարգերի հիման վրա անհատական փորձի փորձագետների, դրա դիրիժորական.
• սերտիֆիկացման համակարգերի եւ անվտանգության միջոցառումները, միջազգային չափանիշներին համապատասխան (ԻՍՕ 17799) եւ ազգային իրավական գործիքների կարգավորող Այս ոլորտում գործունեության.
• վերլուծություն անվտանգության տեղեկատվական համակարգերի օգտագործման հետ տեխնիկական միջոցների, որոնք ուղղված են բացահայտելով հնարավոր խոցելի ծրագրային եւ ապարատային համալիրի:

Երբեմն դա կարող է կիրառվել, եւ, այսպես կոչված համապարփակ աուդիտորական, որը ներառում է բոլոր վերը նշված տեսակների. Ի դեպ, նա տալիս է առավել օբյեկտիվ արդյունքները:

Բեմադրած նպատակներն ու խնդիրները

Ցանկացած ստուգման, լինեն դրանք ներքին կամ արտաքին, սկսվում է նպատակներ ու նպատակները: Պարզապես, դուք պետք է պարզել, թե ինչու, ինչպես եւ այն, ինչ կարող է փորձարկվել: Սա կլինի որոշելու հետագա ընթացքը իրականացնելու ողջ գործընթացը:

Խնդիրները, կախված կոնկրետ կառուցվածքի ձեռնարկության, կազմակերպության, հիմնարկի եւ իր գործունեության, կարող է լինել բավականին շատ: Սակայն, մեջտեղ այս հաղորդագրության, միավորված նպատակն է տեղեկատվական անվտանգության աուդիտի:

• գնահատումը պետության տեղեկատվական անվտանգության եւ տեղեկատվական համակարգերի,
• վերլուծությունը հնարավոր ռիսկերի հետ կապված ռիսկի ներթափանցել արտաքին IP եւ հնարավոր եղանակների նման միջամտության.
• տեղայնացման անցքերի ու բացթողումների անվտանգության համակարգում.
• վերլուծություն համապատասխան անվտանգության մակարդակի տեղեկատվական համակարգերի ընթացիկ չափանիշներին եւ նորմատիվ եւ իրավական ակտերի,
• զարգացման եւ առաքում առաջարկությունների, որոնք ներառում վերացումը առկա խնդիրների, ինչպես նաեւ բարելավել գոյություն ունեցող միջոցները եւ ներդրմանը, նոր զարգացումների:

Մեթոդաբանությունը եւ աուդիտի գործիքներ

Հիմա մի քանի խոսք, թե ինչպես է ստուգում, եւ ինչ քայլեր է եւ նշանակում է, որ այն ներառում է.

An տեղեկատվական անվտանգության աուդիտի բաղկացած է մի քանի փուլերից:

• նախաձեռնելու ստուգման ընթացակարգերը (հստակ իրավունքների եւ պարտականությունների վերաբերյալ աուդիտորի, ապա աուդիտորը ստուգում նախապատրաստումը պլանի եւ դրա հետ համակարգումն կառավարման հարցը սահմաններում ուսումնասիրության, հարկադրանք է կազմակերպության անդամները հանձնառության խնամքի եւ ժամանակին համապատասխան տեղեկատվության),
• հավաքելով նախնական տվյալների (անվտանգության կառուցվածքի, բաշխման անվտանգության առանձնահատկություններ, անվտանգության մակարդակների համակարգը կատարողականի վերլուծության մեթոդների ստանալու համար եւ տեղեկատվության տրամադրում, վճռականությունը կապուղիները եւ IP փոխազդեցության հետ, այլ կառույցների, մի հիերարխիա օգտվողների համակարգչային ցանցերի, որոշման արձանագրությունների, եւ այլն).
• իրականացնել մի համապարփակ կամ մասնակի ստուգումն.
• տվյալների վերլուծություն (վերլուծություն ռիսկերի ցանկացած տեսակի եւ համապատասխանության).
• թողարկող առաջարկություններ է անդրադառնալ հնարավոր խնդիրները.
• Զեկուցել սերունդը:

Առաջին փուլը հանդիսանում է առավել պարզ, քանի որ նրա որոշումը կատարվում է բացառապես միջեւ ընկերության ղեկավարության եւ աուդիտորի: Սահմանները վերլուծության կարելի է համարել ընդհանուր աշխատողների ժողովի կամ բաժնետերերի. Այս ամենը եւ ավելին կապված իրավական դաշտ:

Երկրորդ փուլը հավաքածուի ելակետային տվյալների, արդյոք դա ներքին աուդիտի տեղեկատվական անվտանգության կամ արտաքին անկախ հավաստագրման է առավել ռեսուրսատար. Դա պայմանավորված է այն հանգամանքով, որ այս փուլում անհրաժեշտ է ոչ միայն ուսումնասիրել տեխնիկական փաստաթղթերը վերաբերում է բոլոր ապարատային եւ ծրագրային ապահովման, այլեւ նեղ հարցազրույցի ընկերության աշխատակիցներին, եւ շատ դեպքերում նույնիսկ լրացնելու հատուկ հարցաթերթիկներ կամ հարցումներ:

Ինչ վերաբերում է տեխնիկական փաստաթղթերի, դա կարեւոր է ձեռք բերել տվյալներ IC կառուցվածքի եւ առաջնային մակարդակներում մատչելիության իրավունքներ իր աշխատակիցների, բացահայտել համակարգի եւ ծրագրեր (օպերացիոն համակարգը բիզնեսի համար դիմումների, նրանց կառավարման եւ հաշվապահական), ինչպես նաեւ սահմանված պաշտպանության ծրագրային ապահովման եւ ոչ-ծրագիր տիպը (հակավիրուսային ծրագրային ապահովման, արգելապատնեշներ, եւ այլն): Ի լրումն, սա ներառում է ամբողջական ստուգման ցանցերի եւ պրովայդերների հեռահաղորդակցության ծառայությունների (ցանցային կազմակերպություն, հայ-թուրքական արձանագրությունները, որոնք օգտագործվում են կապի, տեսակները կապուղիները, փոխանցման եւ ընդունման մեթոդները Տեղեկատվական հոսքերի, եւ ավելի): Քանի որ պարզ է, որ դա տեւում է շատ ժամանակ.

Իսկ հաջորդ փուլում, մեթոդները տեղեկատվական անվտանգության աուդիտի: Նրանք երեքն են:

• ռիսկերի վերլուծություն (առավել դժվար է տեխնիկան, որը հիմնված է որոշման աուդիտորի ներթափանցման IP խախտման եւ դրա ամբողջականության, օգտագործելով բոլոր հնարավոր մեթոդները եւ գործիքները).
• գնահատումը համապատասխանության չափանիշներին եւ օրենսդրության (ամենապարզ եւ առավել գործնական եղանակով հիման վրա համեմատության ներկայիս վիճակին գործերի եւ պահանջների միջազգային չափանիշներին եւ ներպետական փաստաթղթերի տեղեկատվական անվտանգության ոլորտում),
• համակցված մեթոդ է, որ համատեղում է առաջին երկու.

Ստանալուց հետո ստուգման արդյունքներն իրենց վերլուծության. Միջոցները Աուդիտ տեղեկատվական անվտանգության, որոնք օգտագործվում են վերլուծության, կարելի է բավականին բազմազան: Այն ամենը կախված է առանձնահատկություններից ձեռնարկության, տեսակի տեղեկատվության, ծրագրային կարող օգտագործել, պաշտպանության եւ այլն: Սակայն, քանի որ կարելի է տեսնել առաջին մեթոդի, ապա աուդիտորը հիմնականում ստիպված են ապավինել իրենց սեփական փորձից:

Եւ որ միայն նշանակում է, որ այն պետք է լինի լիովին որակավորված ոլորտում տեղեկատվական տեխնոլոգիաների եւ տվյալների պաշտպանության. Հիման վրա այդ վերլուծության, ինչպես նաեւ աուդիտորի եւ հաշվարկում հնարավոր ռիսկերը:

Նկատի ունեցեք, որ այն պետք է զբաղվի ոչ միայն օպերացիոն համակարգի կամ ծրագրի, որն օգտագործվում է, օրինակ, բիզնեսի համար, կամ հաշվապահական հաշվառման, այլեւ հստակ հասկանալ, թե ինչպես է հարձակվող կարող են ներթափանցել տեղեկատվական համակարգի նպատակով հափշտակման, վնասման եւ ոչնչացման տվյալների, ստեղծման նախադրյալների խախտումների համակարգիչների, վիրուսներ կամ չարամիտ.

Գնահատումը աուդիտի արդյունքների եւ առաջարկությունների ուղղված խնդիրները

Հիման վրա վերլուծության փորձագետը եզրակացնում է, որ պաշտպանության կարգավիճակի եւ հնարավորություն է տալիս առաջարկություններ, որոնք ուղղված առկա կամ պոտենցիալ խնդիրները, անվտանգության կատարելագործման եւ այլն Առաջարկությունները պետք է ոչ միայն արդար, այլեւ ակնհայտորեն կապված է իրողությունների ձեռնարկությունների առանձնահատկությունները: Այլ կերպ ասած, խորհուրդներ արդիականացման կոնֆիգուրացիան համակարգիչների եւ ծրագրային չեն ընդունվում: Այս հավասարապես կիրառվում է խորհրդով պաշտոնանկության «հավաստի» անձնակազմի, տեղադրել նոր հետեւող համակարգեր, առանց նշելու իրենց նպատակակետին, գտնվելու վայրը եւ համապատասխանության.

Հիման վրա վերլուծության, որպես կանոն, կան մի քանի ռիսկային խմբեր: Այս դեպքում, կազմել է ամփոփ հաշվետվություն օգտագործում է երկու հիմնական ցուցանիշները `է հավանականությունը, որ հարձակման եւ հասցված վնասը ընկերության հետեւանքով կորուստ (ակտիվների, նվազեցման հեղինակության, կորուստ պատկերով եւ այլն): Սակայն, կատարումը խմբերի նույնը չեն: Օրինակ, ցածր մակարդակի ցուցանիշը հավանականության հարձակման է լավագույն. Այն վնասների համար, ընդհակառակը.

Միայն դրանից հետո կազմվում է հաշվետվություն, որը Մանրամասնորեն ներկված բոլոր փուլերը, մեթոդները եւ միջոցները հետազոտության. Նա համաձայնեց ղեկավարության հետ եւ ստորագրել են երկու կողմերի ընկերությանը եւ աուդիտորին: Եթե աուդիտի ներքին, մի զեկույց է ղեկավարը համապատասխան կառուցվածքային ստորաբաժանման, որից հետո նա, կրկին, ստորագրված ղեկավարի կողմից:

Տեղեկատվական անվտանգության աուդիտի: Օրինակ

Վերջապես, մենք համարում ենք, ամենապարզ օրինակը մի իրավիճակում, որ արդեն տեղի է ունեցել: Շատերը, ի դեպ, դա կարող է թվալ շատ ծանոթ.

Օրինակ, ընկերության գնումների անձնակազմը Միացյալ Նահանգների, որը հիմնադրվել է ICQ Instant Messenger համակարգչի (անունը, աշխատողի եւ ընկերության անունը չի նշվում, հասկանալի պատճառներով): Բանակցություններ են անցկացվել թե միջոցով այս ծրագրի. Բայց «ICQ» բավականին խոցելի է անվտանգության առումով: Self աշխատակից պետհամարանիշերով պահին, կամ չեն ունենա էլեկտրոնային փոստի հասցե, կամ պարզապես չէր ուզում տալ այն. Փոխարենը, նա նշել է նման բան, e-mail, եւ նույնիսկ գոյություն չունեցող տիրույթում.

Թե ինչ կլինի հարձակվող: Ինչպես ցույց է աուդիտի տեղեկատվական անվտանգության, որ դա կլինի գրանցվել հենց նույն տիրույթում, եւ ստեղծվել կլիներ այն, մյուսը գրանցման տերմինալ, եւ ապա կարող ուղարկել հաղորդագրություն Mirabilis ընկերությանը, որին պատկանում ծառայությունը, ICQ-, գաղտնաբառի վերականգնման հայցում շնորհիվ իր կորստի (որը պետք է արվի ). Քանի որ ստացողը փոստի սերվերի չէր, այն ընդգրկված վերահղման - վերահղման գոյություն ունեցող զավթիչ փոստով.

Որպես հետեւանք, նա ստանում է մուտք դեպի նամակագրության հետ տվյալ ICQ թվի եւ տեղեկացնում է մատակարարին փոխելու հասցեն ստացողի ապրանքի որոշակի երկրում: Այսպիսով, ապրանքները ուղարկվել անհայտ ուղղությամբ: Եւ դա առավել անվնաս օրինակը: Այնպես որ, խուլիգանություն: Իսկ ինչ վերաբերում է ավելի լուրջ հաքերների, ովքեր ի վիճակի են շատ ավելի ...

եզրափակում

Ահա համառոտ եւ այդ ամենը վերաբերում է IP անվտանգության աուդիտի: Իհարկե, դա չի ազդում բոլոր ասպեկտներով: Պատճառն այն է, հենց որ ձեւավորման խնդիրների եւ դրա վարքի ազդում է շատ գործոններից, ուստի մոտեցումը յուրաքանչյուր դեպքում խիստ անհատական է: Բացի այդ, մեթոդներն ու միջոցները տեղեկատվական անվտանգության աուդիտի կարող են տարբեր լինել տարբեր ICs. Սակայն, ես կարծում եմ, որ ընդհանուր սկզբունքները նման թեստերի շատերի համար ակնհայտ են դառնում նույնիսկ առաջնային մակարդակում: