Information Security Audit: doelstellingen, methoden en instrumenten, bijvoorbeeld. Information security audit van de bank

Vandaag kent iedereen de bijna heilige zin die de informatie bezit, is eigenaar van de wereld. Dat is de reden waarom in onze tijd om te stelen van vertrouwelijke informatie proberen om alles en iedereen. In dit verband genomen ongekende stappen en de uitvoering van de middelen van bescherming tegen mogelijke aanslagen. Echter, soms kan het nodig zijn om een audit van enterprise information security te voeren. Wat is het en waarom is het nu allemaal, en probeer te begrijpen.

Wat is een audit van informatiebeveiliging in de algemene definitie?

Wie zal geen invloed op de diepzinnige wetenschappelijke termen, en proberen om zelf te bepalen de basisbegrippen, beschrijft ze in de meest eenvoudige taal (de mensen die het kon de audit worden opgeroepen voor de "dummies").

De naam van het complex gebeurtenissen spreekt voor zich. Information security audit is een onafhankelijke verificatie of peer review om de beveiliging van informatiesystemen (IS) van een bedrijf, instelling of organisatie aan de hand van speciaal ontwikkelde criteria en indicatoren te garanderen.

In eenvoudige termen, bijvoorbeeld controleren informatiebeveiliging van de bank komt neer op, tot het niveau van bescherming van de klant databases in het bezit van bancaire activiteiten te beoordelen, de veiligheid van het elektronisch geld, het behoud van het bankgeheim, en ga zo maar door. D. In het geval van inmenging in de activiteiten van de instelling onbevoegden van buitenaf, met behulp elektronische en computer faciliteiten.

Zeker, onder de lezers is er ten minste één persoon die thuis of mobiele telefoon belde met een voorstel van de verwerking van de lening of voorschot, de bank waarmee het niets te maken heeft. Dat geldt ook voor aankopen en aanbiedingen van een aantal winkels. Vanwaar kwam je kamer?

Het is eenvoudig. Als een persoon die eerder nam leningen of geïnvesteerd in een depositorekening, natuurlijk, de gegevens worden opgeslagen in een gemeenschappelijk klantenbestand. Als u belt vanuit een andere bank of winkel kan maar één conclusie zijn: de informatie over het kwam illegaal aan derden. Hoe? In het algemeen zijn er twee opties: ofwel is gestolen, of overgedragen aan medewerkers van de bank aan derden bewust. Met het oog voor zulke dingen niet gebeuren, en je tijd nodig om een audit van informatiebeveiliging van de bank uit te voeren, en dit geldt niet alleen voor computer of "ijzeren" wijze van bescherming, maar het gehele personeel van de instelling.

De hoofdrichtingen van informatie security audit

Ten aanzien van de reikwijdte van de controle, in de regel, ze zijn verschillende:

• volledige controle van de objecten die betrokken zijn bij de processen van gegevens (computer automatisch systeem, communicatiemiddelen, ontvangst, informatie overdracht en verwerking, faciliteiten, ruimten voor vertrouwelijke vergaderingen, monitoren, enz);
• controleren van de betrouwbaarheid van de bescherming van vertrouwelijke informatie met beperkte toegang (bepaling van mogelijke lekkage en potentiële veiligheidslekken kanalen die toegang vanaf de buitenkant door het gebruik van standaard en niet-standaard werkwijzen);
• Controleer alle elektronische hardware en lokale computersystemen voor blootstelling aan elektromagnetische straling en interferentie, waardoor ze uit te schakelen of invoeren verval;
• project deel, dat het werk op de creatie en toepassing van het concept van de veiligheid in de praktische uitvoering omvat (bescherming van computersystemen, faciliteiten, communicatiemiddelen, enz.).

Als het gaat om de controle?

Niet te vergeten de kritieke situaties waarin de verdediging reeds was gebroken, audit van informatiebeveiliging in een organisatie kan worden uitgevoerd, en in sommige andere gevallen te noemen.

Typisch, deze omvatten de uitbreiding van het bedrijf, fusie, overname, overname door andere bedrijven, verander de gang van zaken concepten of richtlijnen, wijzigingen in het internationaal recht of in wetgeving binnen een land, in plaats van ingrijpende veranderingen in de informatie-infrastructuur.

soorten controles

Vandaag de dag is het zeer classificatie van dit soort controle, volgens veel analisten en experts niet vastgesteld. Daarom kan de indeling in klassen in sommige gevallen nogal willekeurig zijn. Niettemin, in het algemeen, de audit van informatiebeveiliging kan worden onderverdeeld in externe en interne.

Een externe audit uitgevoerd door onafhankelijke deskundigen die het recht om te doen, is meestal een one-time controle, die kan worden geïnitieerd door het management, aandeelhouders, wetshandhavingsinstanties, enz. Er wordt aangenomen dat er een externe audit van informatiebeveiliging wordt aanbevolen (maar niet verplicht) om regelmatig uit te voeren voor een bepaalde periode van tijd. Maar voor sommige organisaties en ondernemingen, volgens de wet, is het verplicht (bijvoorbeeld financiële instellingen en organisaties, naamloze vennootschappen, en anderen.).

Interne audit van informatiebeveiliging is een constant proces. Het is gebaseerd op een speciale "Reglement betreffende de interne audit". Wat is het? In feite is dit certificatieactiviteiten uitgevoerd in de organisatie, in termen goedgekeurd door het management. Een informatie security audit door speciale structurele onderverdeling van de onderneming.

Alternatieve indeling van de audit

Naast de hierboven beschreven indeling in klassen in het algemene geval kunnen we een aantal onderdelen die gemaakt zijn in de internationale classificatie te onderscheiden:

• Expert controleren van de status van informatiebeveiliging en informatiesystemen op basis van de persoonlijke ervaring van deskundigen, zijn geleidende;
• certificeringssystemen en veiligheidsmaatregelen voor de naleving van internationale normen (ISO 17799) en de nationale wetten die van toepassing op dit gebied van de activiteit;
• analyse van de beveiliging van informatiesystemen met behulp van technische middelen die gericht zijn op het identificeren van potentiële kwetsbaarheden in de software en hardware complex.

Soms kan worden toegepast en de zogenaamde uitgebreide audit, die alle van de bovengenoemde types omvat. By the way, geeft hij de meest objectieve resultaten.

Geënsceneerde doelen en doelstellingen

Verificatie, zowel intern als extern, begint met het stellen van doelen en doelstellingen. Simpel gezegd, moet u bepalen waarom, hoe en wat zal worden getest. Hierdoor wordt de verdere procedure voor het uitvoeren van het gehele proces te bepalen.

Taken, afhankelijk van de specifieke structuur van de onderneming, organisatie, instelling en haar activiteiten kan heel veel zijn. Echter, temidden van al deze release, verenigd doel van informatie security audit:

• evaluatie van de stand van informatiebeveiliging en informatiesystemen;
• analyse van de mogelijke risico's van de kans op penetratie in externe IP en de mogelijke modaliteiten van dergelijke storingen;
• lokalisatie van gaten en spleten in het beveiligingssysteem;
• analyse van het juiste niveau van beveiliging van informatiesystemen aan de huidige normen en regelgeving en besluiten;
• ontwikkeling en levering van aanbevelingen met betrekking tot het verwijderen van de bestaande problemen, evenals verbetering van de bestaande rechtsmiddelen en de introductie van nieuwe ontwikkelingen.

Methodologie en controle-instrumenten

Nu een paar woorden over hoe de controle en welke stappen en betekent het gaat.

Een informatie security audit bestaat uit verschillende fasen:

• initiëren van verificatieprocedures (duidelijke omschrijving van de rechten en verantwoordelijkheden van de accountant, de accountant controleert de voorbereiding van het plan en de coördinatie met het management, de vraag naar de grenzen van het onderzoek, het opleggen aan de leden van de organisatie inzet voor de zorg en tijdige verstrekking van relevante informatie);
• verzamelen van aanvangsdata (veiligheidsstructuur, de verdeling van veiligheidskenmerken, beveiligingsniveaus systeemprestaties analysemethoden voor het verkrijgen en verschaffen van informatie, bepaling communicatiekanalen en IP interactie met andere structuren, een hiërarchie van gebruikers van computernetwerken, de bepaling protocollen, etc.);
• een integrale of gedeeltelijke inspectie;
• data-analyse (analyse van de risico's van elk type en compliance);
• doen van aanbevelingen om mogelijke problemen aan te pakken;
• het genereren van rapporten.

De eerste fase is de meest eenvoudige, omdat de beslissing uitsluitend wordt gemaakt tussen de bedrijfsleiding en de accountant. De grenzen van de analyse kan worden beschouwd als op de algemene vergadering van de medewerkers of aandeelhouders. Dit alles en nog veel meer met betrekking tot het juridisch gebied.

De tweede fase van het verzamelen van basisgegevens, of het nu een interne audit van informatiebeveiliging of externe onafhankelijke certificering is de meest resource-intensieve. Dit is te wijten aan het feit dat in dit stadium moet je niet alleen de technische documentatie met betrekking tot alle hardware en software te onderzoeken, maar ook om een beperking-interviewen medewerkers van het bedrijf, en in de meeste gevallen zelfs met een vulling speciale vragenlijsten of enquêtes.

Wat betreft de technische documentatie, is het belangrijk om gegevens op de IC-structuur en de prioriteit niveaus van toegangsrechten te verkrijgen aan haar werknemers, om het hele systeem en applicatiesoftware (het besturingssysteem voor zakelijke toepassingen, beheer en boekhouding) te identificeren, evenals de gevestigde bescherming van de software en het type non-programma (antivirussoftware, firewalls, enz.). Bovendien, dit is inclusief de volledige controle van netwerken en aanbieders van telecommunicatiediensten (netwerkorganisatie, de protocollen die worden gebruikt voor de verbinding, de aard van de communicatiekanalen, de transmissie en ontvangst methoden van informatiestromen, en nog veel meer). Zoals duidelijk is, het kost veel tijd.

In de volgende fase, de methoden van de informatie security audit. Het zijn drie:

• risicoanalyse (de meest moeilijke techniek, gebaseerd op de bepaling van de accountant om de penetratie van IP-inbreuk en de integriteit met alle mogelijke methoden en hulpmiddelen);
• beoordeling van de naleving van de normen en wetgeving (de eenvoudigste en meest praktische methode gebaseerd op een vergelijking van de huidige stand van zaken en de eisen van de internationale normen en nationale documenten op het gebied van informatiebeveiliging);
• de gecombineerde methode die de eerste twee combineert.

Na ontvangst van de verificatie resultaten van hun analyse. Fondsen Audit van informatiebeveiliging, die worden gebruikt voor de analyse, kan vrij worden gevarieerd. Het hangt allemaal af van de specifieke kenmerken van de onderneming, de aard van de informatie, de software die u gebruikt, bescherming en ga zo maar door. Echter, zoals te zien is op de eerste methode, de accountant hebben vooral vertrouwen op hun eigen ervaring.

En dat betekent alleen dat het volledig gekwalificeerd zijn op het gebied van informatietechnologie en gegevensbescherming moeten zijn. Op basis van deze analyse, de accountant en berekent de mogelijke risico's.

Merk op dat het niet alleen in het besturingssysteem of de gebruikte, bijvoorbeeld programma aandacht moet besteden, voor zakelijke of financiële, maar ook om duidelijk te begrijpen hoe een aanvaller kan doordringen in het informatiesysteem voor het doel van diefstal, beschadiging en vernietiging van gegevens, scheppen van voorwaarden voor overtredingen in computers, de verspreiding van virussen of malware.

Evaluatie van de audit bevindingen en aanbevelingen om de problemen aan te pakken

Op basis van de analyse concludeert de deskundige over de beveiligingsstatus en geeft aanbevelingen aan bestaande of potentiële problemen aan te pakken, security upgrades, enz. De aanbevelingen moeten niet alleen eerlijk zijn, maar ook duidelijk gebonden aan de realiteit van de onderneming details. Met andere woorden, zijn tips over het upgraden van de configuratie van computers of software niet geaccepteerd. Dit geldt ook voor het advies van het ontslag van de "onbetrouwbare" personeel, nieuwe tracking systemen te installeren zonder vermelding van de plaats van bestemming, de locatie en geschiktheid.

Op basis van de analyse, in de regel, zijn er verschillende risicogroepen. In dit geval, te compileren een samenvattend verslag maakt gebruik van twee belangrijke indicatoren: (. Verlies van activa, verlaging van de reputatie, verlies van imago en ga zo maar door) de mogelijkheid van een aanval en de schade aan het bedrijf als gevolg. Echter, de prestaties van de groepen zijn niet hetzelfde. Bijvoorbeeld, low-level indicator voor de waarschijnlijkheid van de aanval is de beste. Voor schade - integendeel.

Pas daarna stelde een rapport dat de details schilderde alle fasen, methoden en middelen van het onderzoek. Hij was het eens met de leiding en ondertekend door de twee partijen - de onderneming en de accountant. Als de audit intern, is een verslag van het hoofd van de desbetreffende structurele eenheid, waarna hij, wederom, ondertekend door het hoofd.

Information security audit: Voorbeeld

Tot slot beschouwen we de eenvoudigste voorbeeld van een situatie die al gebeurd. Velen, door de manier, kan het heel vertrouwd lijken.

Bijvoorbeeld, een bedrijf procurement personeel in de Verenigde Staten, in de ICQ instant messenger computer vastgesteld (is de naam van de werknemer en de bedrijfsnaam niet genoemd voor de hand liggende redenen). De onderhandelingen werden juist uitgevoerd door middel van dit programma. Maar de "ICQ" is heel kwetsbaar in termen van veiligheid. Zelf medewerker van registratienummers op het tijdstip of niet over een e-mailadres, of gewoon niet willen geven. In plaats daarvan wees hij op iets als e-mail, en zelfs niet-bestaand domein.

Wat zou de aanvaller? Zoals blijkt uit een audit van informatiebeveiliging, zou het exact hetzelfde domein geregistreerd en creëerde zou zijn in het, een andere registratie terminal, en dan kan een bericht naar Mirabilis bedrijf dat ICQ dienst bezit, met het verzoek herstellen van het wachtwoord te sturen als gevolg van het verlies (dat zou worden gedaan ). Als de ontvanger van de e-mailserver niet was, werd het opgenomen redirect - doorsturen naar een bestaande indringer mail.

Als gevolg hiervan, krijgt hij toegang tot de correspondentie met de gegeven ICQ nummer en informeert de leverancier aan het adres van de ontvanger van de goederen in een bepaald land te veranderen. Zo is de goederen naar een onbekende bestemming. En het is de meest onschuldige voorbeeld. Dus, wanordelijk gedrag. En hoe zit het meer serieuze hackers die in staat zijn om veel meer ...

conclusie

Hier is een korte en alles wat betrekking heeft op IP security audit. Natuurlijk, het is niet beïnvloed door alle aspecten van het. De reden is gewoon dat in de formulering van de problemen en de methoden van haar gedrag van invloed op een heleboel factoren, zodat de aanpak in elk geval strikt individueel. Bovendien kunnen de werkwijzen en middelen van informatiebeveiliging audit voor verschillende ICs zijn. Maar, denk ik, de algemene beginselen van dergelijke tests voor velen duidelijk geworden, zelfs op het eerste niveau.