Auditoria Seguretat de la Informació: Objectius, mètodes i eines, exemple. auditoria de seguretat de la informació del banc

Avui en dia, tothom sap la frase gairebé sagrat que posseeix la informació, és l'amo del món. Per això, en el nostre temps per robar informació confidencial estan tractant a tothom. En aquest sentit, pres mesures i l'aplicació de mitjans de protecció contra possibles atacs sense precedents. No obstant això, de vegades és possible que necessiti per dur a terme una auditoria de seguretat de la informació empresarial. Què és i per què és tot ara, i tractar d'entendre.

Què és una auditoria de seguretat de la informació en la definició general?

Que no afectarà els termes científics abstrusos, i tractar de determinar per si mateixos els conceptes bàsics, descriure en el llenguatge més senzill (el poble al qual es podria cridar l'auditoria per als "maniquís").

El nom dels esdeveniments complexos parla per si mateix. auditoria de seguretat de la informació és una verificació independent o revisió per parells per assegurar la seguretat dels sistemes d'informació (SI) de qualsevol empresa, institució o organització sobre la base de criteris i indicadors desenvolupats especialment.

En termes simples, per exemple, auditoria de seguretat d'informació del banc es redueix a, per avaluar el nivell de protecció de les bases de dades de clients en poder de les operacions bancàries, la seguretat dels diners electrònics, la preservació del secret bancari, i així successivament. D. En el cas d'interferència en les activitats de la institució que persones no autoritzades des de l'exterior, utilitzant instal·lacions electròniques i informàtiques.

Certament, entre els lectors hi ha almenys una persona que va trucar a casa o telèfon mòbil amb una proposta de la tramitació del préstec o dipòsit, el banc amb el qual no té res a fer. El mateix s'aplica a les compres i les ofertes d'algunes botigues. On va caure a sobre del seu lloc?

És molt senzill. Si una persona prèviament va prendre préstecs o invertit en un compte de dipòsit, per descomptat, les seves dades s'emmagatzemen en una comuna base de clients. Quan es diu d'un altre banc o botiga pot ser una sola conclusió: la informació sobre ell va entrar il·legalment a tercers. Com? En general, hi ha dues opcions: o l'hi roben, o es transfereix als empleats del banc a tercers conscientment. Perquè aquestes coses no van succeir, i que necessiten temps per dur a terme una auditoria de seguretat de la informació del banc, i això s'aplica no només als mitjans informàtics o "ferro" de protecció, sinó a tot el personal de la institució.

Les direccions principals d'auditoria de seguretat de la informació

Quant a l'abast de l'auditoria, per regla general, són diverses:

• comprovació completa dels objectes que intervenen en els processos d'informació (sistema automatitzat ordinador, els mitjans de comunicació, la recepció, la transmissió d'informació i el processament, instal·lacions, locals per a reunions confidencials, els sistemes de vigilància, etc.);
• comprovar la fiabilitat de la protecció de la informació confidencial amb accés limitat (determinació de possibles fuites i possibles canals de forats de seguretat que permeten l'accés des de l'exterior amb l'ús de mètodes estàndard i no estàndard);
• de verificació de tots els sistemes informàtics de maquinari i locals electrònics per a l'exposició a la radiació electromagnètica i la interferència, el que els permet apagar o posar en mal estat;
• part del projecte, que inclou el treball sobre la creació i aplicació del concepte de seguretat en la seva aplicació pràctica (protecció dels sistemes informàtics, instal·lacions, mitjans de comunicació, etc.).

Quan es tracta de l'auditoria?

Per no parlar de les situacions crítiques en què la defensa ja estava trencat, l'auditoria de seguretat de la informació en una organització pot dur a terme, i en alguns altres casos.

En general, aquests inclouen l'expansió de l'empresa, fusió, adquisició, absorció per part d'altres empreses, canviar el curs de conceptes de negoci o directrius, els canvis en la llei internacional o en la legislació d'un país, en lloc canvis importants en la infraestructura d'informació.

tipus d'auditoria

Avui dia, no s'ha establert la pròpia classificació d'aquest tipus d'auditoria, d'acord amb molts analistes i experts. Per tant, la divisió en classes, en alguns casos pot ser bastant arbitrària. No obstant això, en general, l'auditoria de seguretat de la informació es pot dividir en externa i interna.

Una auditoria externa realitzada per experts independents que tenen el dret de fer-ho, és en general un xec d'una sola vegada, el que pot ser iniciat per l'administració, els accionistes, els organismes d'aplicació de la llei, etc. Es creu que es recomana una auditoria externa de seguretat de la informació (encara que no és obligatori) per dur a terme amb regularitat durant un període determinat de temps. No obstant això, per a algunes organitzacions i empreses, d'acord amb la llei, és obligatori (per exemple, institucions financeres i organitzacions, societats per accions, i altres.).

seguretat de la informació d'auditoria interna és un procés constant. Es basa en un especial de "Reglament d'Auditoria Interna". Què és? De fet, aquesta activitat de certificació dutes a terme en l'organització, en termes aprovats per la direcció. Una auditoria de seguretat d'informació per la subdivisió estructural especial de l'empresa.

classificació alternativa d'auditoria

A més de la divisió descrita anteriorment en classes en el cas general, es poden distingir diversos components fets a la classificació internacional:

• Experts de comprovació de l'estat dels sistemes de seguretat i d'informació d'informació sobre la base de l'experiència personal d'experts, el seu conductor;
• sistemes de certificació i mesures de seguretat per al compliment de les normes internacionals (ISO 17799) i els instruments legals nacionals que regulen aquest camp d'activitat;
• L'anàlisi de la seguretat dels sistemes d'informació amb l'ús de mitjans tècnics destinats a identificar possibles vulnerabilitats en el complex de programari i maquinari.

A vegades pot ser aplicada i l'anomenada auditoria integral, que inclou tots els tipus anteriors. Per cert, ell dóna els resultats més objectius.

metes i objectius per etapes

Qualsevol verificació, ja sigui intern o extern, s'inicia amb l'establiment de metes i objectius. En poques paraules, cal determinar per què, com i què es va a provar. Això determinarà el procediment addicional de dur a terme tot el procés.

Tasques, depenent de l'estructura específica de l'empresa, organització, institució i les seves activitats poden ser bastant. No obstant això, enmig de tota aquesta versió, l'objectiu unificat d'auditoria de seguretat de la informació:

• avaluació de l'estat dels sistemes de seguretat de la informació i de la informació;
• anàlisi dels possibles riscos associats amb el risc de penetració en IP externa i les possibles modalitats de tal interferència;
• localització de forats i buits en el sistema de seguretat;
• anàlisi del nivell adequat de seguretat de sistemes d'informació als estàndards actuals i els actes reglamentaris i legals;
• desenvolupament i lliurament de recomanacions que impliquen l'eliminació dels problemes existents, així com la millora dels recursos existents i la introducció de nous desenvolupaments.

metodologia i eines d'auditoria

Ara unes paraules sobre com el xec i quines mesures i mitjans que implica.

Una auditoria de seguretat d'informació consta de diverses etapes:

• iniciar els procediments de verificació (clara definició dels drets i les responsabilitats de l'auditor, l'auditor comprova la preparació del pla i la seva coordinació amb la gestió, la qüestió dels límits de l'estudi, la imposició als membres del compromís de l'organització a l'atenció i el subministrament oportú d'informació rellevant);
• recopilació de dades inicials (estructura de seguretat, la distribució de característiques de seguretat, nivells de seguretat dels mètodes d'anàlisi de rendiment del sistema per obtenir i proporcionar informació, la determinació dels canals de comunicació i la interacció IP amb altres estructures, una jerarquia d'usuaris de xarxes d'ordinadors, els protocols de determinació, etc.);
• dur a terme una inspecció completa o parcial;
• anàlisi de dades (anàlisi de riscos de qualsevol tipus i compliment);
• l'emissió de recomanacions per fer front a possibles problemes;
• la generació d'informes.

La primera etapa és la més simple, ja que la seva decisió es realitza únicament entre la gestió de l'empresa i l'auditor. Els límits de l'anàlisi poden ser considerats en la reunió general dels empleats o accionistes. Tot això i molt més relacionat amb l'àmbit jurídic.

La segona etapa de la recol·lecció de dades de referència, si es tracta d'una auditoria interna de seguretat de la informació o certificació externa i independent és el més intensius en recursos. Això es deu al fet que en aquesta etapa es necessita no només per examinar la documentació tècnica relativa a tot el maquinari i programari, sinó també a l'estretor d'entrevistar als empleats de la companyia, i en la majoria dels casos, fins i tot amb l'ompliment de qüestionaris o enquestes especials.

Pel que fa a la documentació tècnica, és important per obtenir dades sobre l'estructura de l'IC i els nivells de prioritat dels drets d'accés als seus empleats, per identificar de tot el sistema i programari d'aplicació (el sistema operatiu per a aplicacions de negocis, la seva gestió i comptabilitat), així com la protecció establerta del programari i el tipus no-programa (programari antivirus, tallafocs, etc.). A més, això inclou la verificació completa de les xarxes i els proveïdors de serveis de telecomunicacions (organització de la xarxa, els protocols usats per a la connexió, els tipus de canals de comunicació, la transmissió i mètodes de recepció dels fluxos d'informació, i més). Com és evident, es triga molt de temps.

En la següent etapa, els mètodes d'auditoria de seguretat de la informació. Són tres:

• anàlisi de riscos (la tècnica més difícil, basat en la determinació de l'auditor a la penetració de la infracció d'IP i la seva integritat utilitzant tots els mètodes possibles i eines);
• avaluació del compliment de les normes i la legislació (el mètode més senzill i pràctic basat en una comparació de la situació actual i els requisits de les normes internacionals i els documents interns en el camp de la seguretat de la informació);
• el mètode combinat que combina els dos primers.

Després de rebre els resultats de la verificació de la seva anàlisi. Fons d'auditoria de seguretat de la informació, que s'utilitzen per a l'anàlisi, poden ser molt variats. Tot depèn de les característiques específiques de l'empresa, el tipus d'informació, el programari que utilitza, la protecció i així successivament. No obstant això, com es pot veure al primer mètode, l'auditor té principalment a confiar en la seva pròpia experiència.

I això només vol dir que ha de ser plenament qualificat en el camp de la tecnologia de la informació i protecció de dades. Sobre la base d'aquesta anàlisi, l'auditor i calcula els possibles riscos.

Recordeu que ha de fer front no només en el sistema operatiu o del programa que s'utilitza, per exemple, per als negocis o la comptabilitat, sinó també per comprendre amb claredat com un atacant pot penetrar en el sistema d'informació amb el propòsit de robatori, danys i destrucció de dades, creació de condicions prèvies per violacions en els ordinadors, la propagació de virus o malware.

Avaluació de resultats de l'auditoria i recomanacions per fer front als problemes

Amb base en l'anàlisi conclou l'expert sobre l'estat de protecció i dóna recomanacions per abordar els problemes existents o potencials, les actualitzacions de seguretat, etc. Les recomanacions no només han de ser justos, sinó també clarament lligada a les realitats de les característiques específiques de l'empresa. En altres paraules, no s'accepten consells sobre com actualitzar la configuració dels equips o programari. Això s'aplica igualment als consells de l'acomiadament de personal "poc fiables", instal·lar nous sistemes de localització sense especificar la seva destinació, la ubicació i la conveniència.

Basant-se en l'anàlisi, per regla general, hi ha diversos grups de risc. En aquest cas, per compilar un informe de resum utilitza dos indicadors clau: (. La pèrdua d'actius, la reducció de la reputació, pèrdua d'imatge, etc.) la probabilitat d'un atac i els danys causats a l'empresa com a conseqüència d'això. No obstant això, el rendiment dels grups no són el mateix. Per exemple, l'indicador de baix nivell per a la probabilitat d'atac és la millor. Per als danys - per contra.

Només llavors compilat un informe que detalla pintat totes les etapes, mètodes i mitjans de la investigació. Està d'acord amb la direcció i signat per les dues parts - la societat i l'auditor. Si la auditoria interna, és un informe del cap de la unitat estructural corresponent, després de la qual cosa, de nou, signat pel cap.

auditoria de seguretat de la informació: Exemple

Finalment, considerem l'exemple més simple d'una situació que ja ha succeït. Molts d'ells, per cert, pot semblar molt familiar.

Per exemple, el personal de compres d'una empresa als Estats Units, establerta a l'ordinador de missatgeria instantània ICQ (el nom de l'empleat i el nom de l'empresa no està identificat per raons òbvies). Les negociacions es van dur a terme amb precisió per mitjà d'aquest programa. Però el "ICQ" és bastant vulnerable en termes de seguretat. emprat acte en números de registre al moment o no té una adreça de correu electrònic, o simplement no volia donar-li. En el seu lloc, es va referir a una cosa així com el correu electrònic, i fins i tot domini inexistent.

Com seria l'atacant? Com es mostra mitjançant una auditoria de seguretat de la informació, que es va registrar exactament el mateix domini i va crear seria en ella, un altre terminal de registre, i després podria enviar un missatge a l'empresa Mirabilis que posseeix el servei ICQ, sol·licitant la recuperació de contrasenyes, per la seva pèrdua (que es duria a terme ). A mesura que el destinatari del servidor de correu no hi era, es va incloure redirigir - redirigir a un intrús electrònic existent.

Com a resultat, s'obté accés a la correspondència amb el nombre de ICQ donat i informa al proveïdor per canviar la direcció del destinatari de les mercaderies en un determinat país. Per tant, els béns enviats a una destinació desconeguda. I és l'exemple més inofensiu. Per tant, la conducta desordenada. I què dir dels pirates informàtics més greus que són capaços de molt més ...

conclusió

Heus aquí una breu i tot pel que fa a l'auditoria de seguretat IP. Per descomptat, no es veu afectada per tots els aspectes de la mateixa. La raó és que en la formulació dels problemes i mètodes de la seva conducta afecta una gran quantitat de factors, de manera que l'enfocament en cada cas és estrictament individual. A més, els mètodes i mitjans d'auditoria seguretat de la informació pot ser diferent per a diferents ICs. No obstant això, crec que, els principis generals d'aquest tipus de proves per a molts es fan evidents fins i tot al nivell primari.