Kiểm toán an ninh thông tin: Mục tiêu, phương pháp và công cụ, ví dụ. kiểm toán an ninh thông tin của ngân hàng

Ngày nay, mọi người đều biết những cụm từ gần như thiêng liêng mà sở hữu các thông tin, sở hữu trên thế giới. Đó là lý do tại sao trong thời đại chúng ta để ăn cắp thông tin bí mật đang cố gắng để tất cả và bệnh lặt vặt. Về vấn đề này, tiến hành các bước và thực hiện các biện pháp bảo vệ chống lại các cuộc tấn công có thể chưa từng thấy. Tuy nhiên, đôi khi bạn có thể cần phải thực hiện kiểm toán an ninh thông tin doanh nghiệp. Nó là gì và tại sao nó tất cả bây giờ, và cố gắng tìm hiểu.

kiểm toán an ninh thông tin trong định nghĩa chung là gì?

Ai sẽ không ảnh hưởng đến thuật ngữ khoa học sâu sắc, và cố gắng xác định cho mình những khái niệm cơ bản, mô tả chúng bằng ngôn ngữ đơn giản nhất (những người nó có thể được gọi là kiểm toán cho "núm vú cao su").

Tên của sự kiện phức tạp nói cho chính nó. kiểm toán an ninh thông tin là một xác minh hoặc độc lập ngang hàng xem xét để đảm bảo sự an toàn của hệ thống thông tin (IS) của bất kỳ công ty, tổ chức hoặc tổ chức trên cơ sở các tiêu chí phát triển đặc biệt và các chỉ số.

Trong thuật ngữ đơn giản, ví dụ, kiểm toán an ninh thông tin của ngân hàng nắm để, để đánh giá mức độ bảo vệ cơ sở dữ liệu khách hàng tổ chức bởi các hoạt động ngân hàng, sự an toàn của tiền điện tử, việc bảo tồn bí mật ngân hàng, và vân vân. D. Trong trường hợp can thiệp vào các hoạt động của tổ chức cá nhân trái phép từ bên ngoài, sử dụng điện tử và máy tính cơ sở vật chất.

Chắc chắn, trong số những độc giả có ít nhất một người được gọi là nhà hay điện thoại di động với một đề nghị xử lý các khoản vay hoặc tiền gửi, các ngân hàng mà nó không có gì để làm. Điều tương tự cũng áp dụng cho mua hàng và cung cấp từ một số cửa hàng. Từ đâu đến lên phòng của bạn?

Nó đơn giản. Nếu một người trước đây đã vay hoặc đầu tư vào một tài khoản tiền gửi, tất nhiên, dữ liệu của nó được lưu trữ trong một chung cơ sở khách hàng. Khi bạn gọi từ một ngân hàng hoặc cửa hàng có thể chỉ có một kết luận: các thông tin về nó đến bất hợp pháp cho bên thứ ba. Làm thế nào? Nói chung, có hai lựa chọn: hoặc là nó đã bị đánh cắp, hoặc chuyển giao cho các nhân viên của ngân hàng cho bên thứ ba có ý thức. Để cho những việc như vậy đã không xảy ra, và bạn cần thời gian để tiến hành một cuộc kiểm toán an ninh thông tin của ngân hàng, và điều này không chỉ áp dụng cho máy tính hoặc "sắt" phương tiện bảo vệ, nhưng toàn bộ nhân viên của tổ chức.

Các hướng chính của kiểm toán an ninh thông tin

Liên quan đến phạm vi của cuộc kiểm toán, như một quy luật, họ rất nhiều:

• kiểm tra đầy đủ của các đối tượng tham gia vào các quá trình thông tin (hệ thống máy tính tự động, phương tiện truyền thông, tiếp nhận, truyền tải thông tin và chế biến, cơ sở vật chất, cơ sở cho các cuộc họp bí mật, hệ thống giám sát, vv);
• kiểm tra độ tin cậy của việc bảo vệ thông tin bí mật với giới hạn truy cập (xác định khả năng rò rỉ và các kênh truyền hình lỗ hổng bảo mật tiềm năng cho phép truy cập nó từ bên ngoài với việc sử dụng các phương pháp tiêu chuẩn và phi tiêu chuẩn);
• kiểm tra của tất cả các phần cứng và địa phương hệ thống máy tính điện tử để tiếp xúc với bức xạ điện từ và sự can thiệp, cho phép họ tắt hoặc đưa vào hư hỏng;
• Dự án là một phần, trong đó bao gồm việc trên việc tạo ra và áp dụng các khái niệm về an ninh trong việc thực hiện thực tế của nó (bảo vệ hệ thống máy tính, cơ sở vật chất, phương tiện truyền thông, vv).

Khi nói đến việc kiểm toán?

Chưa kể đến những tình huống nghiêm trọng mà quả banh bay vào đã bị hỏng, kiểm toán an ninh thông tin trong một tổ chức có thể được thực hiện, và trong một số trường hợp khác.

Thông thường, những bao gồm việc mở rộng của công ty, sáp nhập, mua lại, thâu tóm các công ty khác, thay đổi quá trình khái niệm kinh doanh hoặc hướng dẫn, những thay đổi trong luật pháp quốc tế hay trong pháp luật trong phạm vi một quốc gia, thay đổi khá nghiêm trọng trong cơ sở hạ tầng thông tin.

loại kiểm toán

Ngày nay, việc phân loại rất thuộc loại này của kiểm toán, theo nhiều nhà phân tích và chuyên gia không được thành lập. Do đó, việc phân chia thành các lớp trong một số trường hợp có thể khá tùy tiện. Tuy nhiên, nói chung, kiểm toán an ninh thông tin có thể được chia thành bên ngoài và nội bộ.

Công việc kiểm toán bên ngoài được tiến hành bởi các chuyên gia độc lập có quyền để làm, thường là một tấm séc một lần, có thể được khởi xướng bởi quản lý, cổ đông, các cơ quan thực thi pháp luật, vv Người ta tin rằng một kiểm toán độc lập về an ninh thông tin được đề xuất (nhưng không bắt buộc) để thực hiện thường xuyên cho một khoảng thời gian. Nhưng đối với một số tổ chức và doanh nghiệp, theo luật, nó là bắt buộc (ví dụ, các tổ chức tài chính và các tổ chức, các công ty cổ phần, và những người khác.).

an ninh thông tin kiểm toán nội bộ là một quá trình liên tục. Nó được dựa trên cơ sở "Quy định về kiểm toán nội bộ" đặc biệt. nó là gì? Trong thực tế, hoạt động chứng nhận này thực hiện trong tổ chức, trong điều kiện của Ban Giám đốc phê duyệt. Công việc kiểm toán an ninh thông tin của phân cấu trúc đặc biệt của doanh nghiệp.

phân loại Alternative kiểm toán

Bên cạnh những bộ phận trên mô tả vào các lớp học trong trường hợp tổng quát, chúng ta có thể phân biệt được một số thành phần được thực hiện trong phân loại quốc tế:

• Chuyên gia kiểm tra tình trạng của hệ thống an ninh và thông tin thông tin trên cơ sở kinh nghiệm cá nhân của các chuyên gia, tiến hành của nó;
• hệ thống cấp giấy chứng nhận và các biện pháp an ninh cho phù hợp với tiêu chuẩn quốc tế (ISO 17799) và văn bản pháp luật quốc gia điều chỉnh lĩnh vực này hoạt động;
• phân tích an ninh của hệ thống thông tin với việc sử dụng các phương tiện kỹ thuật nhằm xác định các lỗ hổng tiềm năng trong phần mềm và phần cứng phức tạp.

Đôi khi nó có thể được áp dụng và cái gọi là kiểm tra toàn diện, trong đó bao gồm tất cả các loại trên. Bằng cách này, ông cho kết quả khách quan nhất.

mục tiêu và mục tiêu tổ chức

Bất kỳ xác minh, cho dù nội bộ hay bên ngoài, bắt đầu với thiết lập mục tiêu và mục tiêu. Đơn giản chỉ cần đặt, bạn cần phải xác định lý do tại sao, như thế nào và những gì sẽ được kiểm tra. Điều này sẽ xác định các thủ tục tiếp tục thực hiện toàn bộ quá trình.

Nhiệm vụ, tùy thuộc vào cấu trúc cụ thể của doanh nghiệp, tổ chức, tổ chức và hoạt động của nó có thể khá nhiều. Tuy nhiên, trong bối cảnh tất cả các phiên bản này, thống nhất mục tiêu của kiểm toán an ninh thông tin:

• đánh giá tình trạng của hệ thống an ninh thông tin và thông tin;
• phân tích các rủi ro có thể liên quan đến nguy cơ xâm nhập vào IP bên ngoài và các phương thức có thể bị nhiễu như vậy;
• nội địa hóa của lỗ và lỗ hổng trong hệ thống an ninh;
• phân tích về mức độ phù hợp về an ninh hệ thống thông tin theo các tiêu chuẩn hiện hành và các hành vi quy phạm pháp luật;
• phát triển và cung cấp các khuyến nghị liên quan đến việc loại bỏ các vấn đề tồn tại, cũng như cải thiện các biện pháp hiện có và sự ra đời của những phát triển mới.

Phương pháp và công cụ kiểm toán

Bây giờ một vài lời về cách thức kiểm tra và những gì các bước và phương tiện liên quan đến nó.

Công việc kiểm toán an ninh thông tin bao gồm nhiều giai đoạn:

• bắt đầu thủ tục xác minh (định nghĩa rõ ràng về quyền và trách nhiệm của kiểm toán viên, kiểm toán viên sẽ kiểm tra việc chuẩn bị kế hoạch và phối hợp với công tác quản lý, câu hỏi về ranh giới của nghiên cứu này, việc áp dụng trên các thành viên của cam kết tổ chức chăm sóc và cung cấp kịp thời các thông tin liên quan);
• thu thập dữ liệu ban đầu (cấu trúc an ninh, sự phân bố của tính năng bảo mật, mức độ an toàn của phương pháp phân tích hiệu năng hệ thống cho việc thu thập và cung cấp thông tin, quyết tâm của các kênh truyền thông và tương tác IP với các cấu trúc khác, một hệ thống phân cấp của người sử dụng mạng máy tính, các giao thức quyết tâm, vv);
• tiến hành thanh tra toàn diện hoặc một phần;
• phân tích dữ liệu (phân tích rủi ro của bất kỳ loại và tuân thủ);
• ra các khuyến nghị để giải quyết các vấn đề tiềm năng;
• tạo báo cáo.

Giai đoạn đầu tiên là đơn giản nhất, bởi vì quyết định của mình được thực hiện duy nhất giữa công tác quản lý công ty và kiểm toán viên. Các ranh giới của phân tích có thể được coi tại cuộc họp chung của nhân viên hoặc cổ đông. Tất cả điều này và nhiều hơn nữa liên quan đến lĩnh vực pháp lý.

Giai đoạn thứ hai của bộ sưu tập dữ liệu ban đầu, cho dù đó là một kiểm toán nội bộ của an ninh thông tin hoặc chứng nhận độc lập bên ngoài là hầu hết các tài nguyên. Điều này là do thực tế rằng ở giai đoạn này bạn cần không chỉ kiểm tra các tài liệu kỹ thuật liên quan đến tất cả phần cứng và phần mềm, mà còn để thu hẹp-phỏng vấn nhân viên của công ty, và trong nhiều trường hợp ngay cả với điền bảng câu hỏi đặc biệt hoặc các cuộc điều tra.

Đối với các tài liệu kỹ thuật, điều quan trọng là để có được dữ liệu về cấu trúc vi mạch và mức độ ưu tiên của quyền tiếp cận với nhân viên của mình, để xác định toàn hệ thống và phần mềm ứng dụng (hệ điều hành cho các ứng dụng kinh doanh, quản lý và kế toán của họ), cũng như bảo vệ thành lập của phần mềm và loại không chương trình (phần mềm chống virus, tường lửa, vv). Bên cạnh đó, điều này bao gồm việc xác minh đầy đủ các mạng lưới và cung cấp dịch vụ viễn thông (tổ chức mạng, các giao thức được sử dụng để kết nối, các loại của các kênh truyền thông, việc truyền tải và các phương pháp tiếp nhận các luồng thông tin, và nhiều hơn nữa). Như là rõ ràng, phải mất rất nhiều thời gian.

Trong giai đoạn tiếp theo, các phương pháp kiểm toán an ninh thông tin. Họ là ba:

• phân tích rủi ro (các kỹ thuật khó khăn nhất, dựa trên việc xác định đơn vị kiểm toán cho sự xâm nhập của vi phạm IP và toàn vẹn của nó sử dụng tất cả các phương pháp có thể và công cụ);
• đánh giá việc tuân thủ các tiêu chuẩn và luật pháp (phương pháp đơn giản và thiết thực nhất dựa trên sự so sánh giữa tình trạng hiện tại của các vấn đề và các yêu cầu của tiêu chuẩn quốc tế và các văn bản trong nước trong lĩnh vực an ninh thông tin);
• phương pháp kết hợp kết hợp lần đầu tiên hai.

Sau khi nhận được kết quả xác minh của phân tích của họ. Quỹ Kiểm toán an ninh thông tin, được sử dụng để phân tích, có thể được khá đa dạng. Tất cả đều phụ thuộc vào chi tiết cụ thể của doanh nghiệp, các loại thông tin, phần mềm bạn sử dụng, bảo vệ và như vậy. Tuy nhiên, như có thể được nhìn thấy trên phương pháp đầu tiên, kiểm toán viên chủ yếu phải dựa vào kinh nghiệm riêng của họ.

Và điều đó chỉ có nghĩa là nó phải có đủ điều kiện trong lĩnh vực công nghệ thông tin và bảo vệ dữ liệu. Trên cơ sở phân tích này, kiểm toán viên và tính toán những rủi ro có thể.

Lưu ý rằng nó nên đối phó không chỉ trong hệ điều hành hoặc các chương trình sử dụng, ví dụ, đối với kinh doanh hoặc kế toán, mà còn để hiểu rõ làm thế nào một kẻ tấn công có thể xâm nhập vào hệ thống thông tin với mục đích trộm cắp, hư hỏng và phá hủy dữ liệu, tạo ra các điều kiện tiên quyết cho vi phạm trong máy tính, sự lây lan của virus hoặc phần mềm độc hại.

Đánh giá kết quả kiểm toán và kiến nghị để giải quyết các vấn đề

Dựa trên việc phân tích các chuyên gia kết luận về tình trạng bảo vệ và cung cấp cho các khuyến nghị để giải quyết vấn đề hiện tại hoặc tiềm năng, nâng cấp an ninh, vv Các khuyến nghị không nên chỉ được công bằng, mà còn gắn rõ ràng với thực tế của các chi tiết cụ thể của doanh nghiệp. Nói cách khác, lời khuyên về việc nâng cấp cấu hình của máy tính hoặc phần mềm không được chấp nhận. Đây không kém phần áp dụng đối với những lời khuyên của việc sa thải nhân sự "đáng tin cậy", cài đặt hệ thống theo dõi mới mà không chỉ định điểm đến của họ, vị trí và sự phù hợp.

Dựa trên phân tích, như một quy luật, có một số nhóm nguy cơ. Trong trường hợp này, để biên soạn một báo cáo tóm tắt sử dụng hai chỉ số chính: (. Mất mát tài sản, giảm danh tiếng, mất hình ảnh và vân vân) xác suất của một cuộc tấn công và thiệt hại cho công ty như một kết quả. Tuy nhiên, hiệu suất của các nhóm là không giống nhau. Ví dụ, chỉ số ở mức độ thấp cho khả năng tấn công là tốt nhất. Bồi thường thiệt hại - ngược lại.

Chỉ khi đó biên soạn một báo cáo rằng các chi tiết sơn tất cả các giai đoạn, phương pháp và phương tiện nghiên cứu. Ông đồng ý với sự lãnh đạo và có chữ ký của hai bên - các công ty và kiểm toán viên. Nếu kiểm toán nội bộ, là một báo cáo người đứng đầu các đơn vị cấu trúc tương ứng, sau đó anh, một lần nữa, có chữ ký của người đứng đầu.

kiểm toán an ninh thông tin: Ví dụ

Cuối cùng, chúng ta xem xét ví dụ đơn giản nhất của một tình huống đã xảy ra rồi. Nhiều, bằng cách này, nó có vẻ rất quen thuộc.

Ví dụ, nhân viên thu mua của công ty tại Hoa Kỳ, được thành lập trong ICQ máy tính instant messenger (tên của người lao động và tên công ty không được đặt tên vì lý do rõ ràng). Các cuộc đàm phán đã được tiến hành một cách chính xác bằng phương tiện của chương trình này. Nhưng "ICQ" là khá dễ bị tổn thương về mặt an ninh. người lao động tự tại số đăng ký vào thời điểm đó hay không có địa chỉ email, hoặc chỉ không muốn từ bỏ nó. Thay vào đó, ông chỉ vào một cái gì đó giống như e-mail, và thậm chí cả miền không tồn tại.

sẽ kẻ tấn công là gì? Như đã trình bày bởi một kiểm toán an ninh thông tin, nó sẽ được đăng ký chính xác cùng một tên miền và tạo sẽ được ở trong đó, một thiết bị đầu cuối đăng ký, và sau đó có thể gửi một thông điệp tới công ty Mirabilis sở hữu dịch vụ ICQ, yêu cầu khôi phục mật khẩu do mất của nó (mà sẽ được thực hiện ). Như người nhận mail server là không, nó đã được bao gồm chuyển hướng - chuyển hướng đến một email kẻ xâm nhập hiện có.

Kết quả là, anh nhận được quyền truy cập vào các thư từ với số ICQ nhất định và thông báo cho nhà cung cấp để thay đổi địa chỉ của người nhận hàng hoá trong một quốc gia nhất định. Như vậy, hàng hoá gửi đến một địa điểm không rõ. Và nó là ví dụ vô hại nhất. Vì vậy, hành vi mất trật tự. Và những gì về hacker nghiêm trọng hơn người có thể nhiều hơn nữa ...

phần kết luận

Dưới đây là một tóm tắt và tất cả những gì liên quan đến kiểm toán an ninh IP. Tất nhiên, nó không bị ảnh hưởng bởi tất cả các khía cạnh của nó. Lý do là chỉ là trong việc xây dựng những vấn đề và phương pháp ứng xử của nó ảnh hưởng đến rất nhiều yếu tố, vì vậy cách tiếp cận trong mỗi trường hợp là nghiêm cá nhân. Bên cạnh đó, các phương pháp và phương tiện kiểm toán an ninh thông tin có thể khác nhau đối với các CCN khác nhau. Tuy nhiên, tôi nghĩ rằng, những nguyên tắc chung của xét nghiệm như vậy đối với nhiều người trở nên rõ ràng ngay cả ở bậc tiểu học.