حسابرسی اطلاعات امنیتی: اهداف، روش و ابزار، به عنوان مثال. حسابرسی اطلاعات امنیتی بانک

امروز، همه می دانند که عبارت تقریبا مقدس که صاحب اطلاعات، صاحب جهان است. به همین دلیل است که در زمان ما به سرقت اطلاعات محرمانه در حال تلاش برای همه و متفرقه. در این راستا، اقدامات و اجرای استفاده از محافظت در برابر حملات احتمالی بی سابقه است. با این حال، گاهی اوقات شما ممکن است نیاز به انجام ممیزی امنیت اطلاعات سازمانی. آن چیست و چرا آن همه است، و سعی کنید به درک.

حسابرسی از امنیت اطلاعات در تعریف کلی چیست؟

چه کسی به لحاظ علمی پیچیده تاثیر نمی گذارد، و سعی کنید به تعیین برای خود مفاهیم اساسی، توصیف آنها را در زبان ساده ترین (مردم آن را می تواند به نام ممیزی برای "گول زنک").

نام وقایع پیچیده برای خود صحبت می. حسابرسی اطلاعات امنیتی تأیید یا مستقل است همکار بررسی برای اطمینان از امنیت سیستم های اطلاعاتی (IS) از هر شرکت، موسسه یا سازمانی بر اساس معیارها و شاخص ها به خصوص توسعه

به عبارت ساده تر، برای مثال، حسابرسی اطلاعات امنیتی بانک جوش پایین به، برای ارزیابی سطح حفاظت از پایگاه های داده مشتری برگزار شده توسط عملیات بانکی، از ایمنی از پول الکترونیکی، حفظ رازداری بانکی، و غیره. D. در مورد تداخل در فعالیت های نهاد افراد غیر مجاز از خارج، با استفاده از الکترونیک و کامپیوتر امکانات.

بدیهی است، در میان خوانندگان است حداقل یک نفر که با یک پیشنهاد از پردازش وام و یا سپرده، بانک که با آن هیچ ربطی به خانه و یا تلفن همراه به نام وجود دارد. همین امر به خرید و پیشنهادات از برخی از فروشگاه ها. از کجا آمد اتاق خود را؟

این ساده است. اگر یک فرد قبلا در زمان وام و یا سرمایه گذاری در یک حساب سپرده، البته، اطلاعات آن در یک مشترک ذخیره می شود پایه مشتری. هنگامی که شما از یکی دیگر از بانک یا فروشگاه تماس را می توان تنها یک نتیجه گیری: اطلاعات مربوط به آن به طور غیر قانونی به اشخاص ثالث است. چگونه؟ به طور کلی، دو گزینه وجود دارد: یا آن را، به سرقت رفته بود و یا به کارکنان این بانک به اشخاص ثالث آگاهانه منتقل می شود. به منظور چنین چیزهایی اتفاق نمی افتد، و شما نیاز به زمان برای انجام ممیزی امنیت اطلاعات از بانک، و این امر نه تنها به کامپیوتر و یا "آهن" با استفاده از حفاظت، اما تمام کارکنان آن موسسه است.

جهات اصلی حسابرسی اطلاعات امنیتی

با توجه به دامنه حسابرسی، به عنوان یک قاعده، آنها چند عبارتند از:

• چک کردن کامل از اشیاء که در فرآیندهای اطلاعات (کامپیوتر خودکار سیستم، استفاده از ارتباطات، پذیرش، انتقال و پردازش اطلاعات، امکانات، محوطه برای جلسات محرمانه، سیستم های مانیتورینگ، و غیره)؛
• چک کردن قابلیت اطمینان از حفاظت از اطلاعات محرمانه با دسترسی محدود (تعیین نشت احتمالی و بالقوه حفره های امنیتی کانال اجازه می دهد آن دسترسی از خارج با استفاده از روش های استاندارد و غیر استاندارد)؛
• از تمام سخت افزار و سیستم های کامپیوتری محلی الکترونیکی برای گرفتن در معرض تابش الکترومغناطیسی و تداخل را بررسی کنید، اجازه می دهد آنها را برای خاموش کردن و یا آوردن به خرابی؛
• پروژه بخشی، که شامل کار بر روی ایجاد و استفاده از مفهوم امنیت در اجرای عملی آن (حفاظت از سیستم های کامپیوتری، امکانات، امکانات ارتباطی، و غیره).

هنگامی که آن را به ممیزی می آید؟

نه به ذکر است که در آن شرایط بحرانی دفاع در حال حاضر شکسته شد، ممیزی امنیت اطلاعات در یک سازمان می تواند انجام شود، و در برخی موارد دیگر.

به طور معمول، این شامل گسترش این شرکت، ادغام، اکتساب، تصاحب شده توسط شرکت های دیگر، تغییر مسیر مفاهیم کسب و کار و یا دستورالعمل، تغییرات در قوانین بین المللی و یا در قانون در داخل یک کشور، تغییرات جدی در زیرساخت اطلاعاتی.

انواع حسابرسی

امروز، طبقه بندی بسیار از این نوع حسابرسی، با توجه به بسیاری از تحلیلگران و کارشناسان برقرار نمی. بنابراین، تقسیم به طبقات در برخی موارد می تواند بسیار دلخواه. با این وجود، به طور کلی، این ممیزی امنیت اطلاعات را می توان به خارجی و داخلی تقسیم شده است.

یک ممیزی خارجی انجام شده توسط کارشناسان مستقل که حق را به انجام داشته باشد، معمولا یک چک یک بار، که ممکن است توسط مدیریت، سهامداران، سازمان های اجرای قانون، و غیره آغاز اعتقاد بر این است که یک ممیزی خارجی امنیت اطلاعات توصیه می شود (اما لازم نیست) به طور منظم انجام برای یک دوره مجموعه ای از زمان. اما برای برخی از سازمان ها و شرکت ها، بر اساس قانون، آن الزامی است (برای مثال، موسسات مالی و سازمان ها، شرکت های سهامی، و دیگران.).

امنیت اطلاعات ممیزی داخلی یک روند ثابت است. این است که در یک ویژه "مقررات حسابرسی داخلی" است. آن چیست؟ در واقع، این فعالیت های صدور گواهینامه در سازمان انجام شده، در نظر تایید شده توسط مدیریت. یک ممیزی امنیت اطلاعات با زیربخشهای ساختاری خاص از سرمایه گذاری.

طبقه بندی جایگزین حسابرسی

علاوه بر تقسیم در بالا شرح به طبقات در حالت کلی، ما می توانیم اجزای مختلف ساخته شده در طبقه بندی بین المللی را مشخص کرد:

• کارشناس بررسی وضعیت سیستم های امنیتی و اطلاعات بر اساس تجربه شخصی از کارشناسان، اجرای آن؛
• صدور گواهینامه سیستم های و اقدامات امنیتی برای انطباق با استانداردهای بین المللی (ISO 17799) و اسناد حقوقی ملی تنظیم این زمینه فعالیت؛
• تجزیه و تحلیل از امنیت سیستم های اطلاعاتی با استفاده از وسایل فنی با هدف شناسایی آسیب پذیری های بالقوه در نرم افزار و سخت افزار پیچیده است.

گاهی اوقات می توان آن را به کار برده و به اصطلاح ممیزی جامع، که شامل همه از انواع فوق. به هر حال، او نتایج عینی ترین می دهد.

اهداف و مقاصد صحنه

هر تأیید، چه داخلی و چه خارجی، با تعیین اهداف و مقاصد شروع می شود. به عبارت ساده، شما نیاز به تعیین که چرا، چگونه و چه آزمایش قرار خواهد شد. این روش بیشتر به انجام تمامی مراحل تعیین می کند.

وظایف، بسته به ساختار خاص از شرکت، سازمان، نهاد و فعالیت های آن را می توان بسیار زیادی است. با این حال، در میان این همه آزادی، هدف متحد ممیزی امنیت اطلاعات:

• ارزیابی را از وضعیت سیستم های امنیت اطلاعات و اطلاعات؛
• تجزیه و تحلیل از خطرات احتمالی مرتبط با خطر نفوذ به IP خارجی و روش ممکن است از این گونه مداخلات؛
• محلی سازی از حفره ها و شکاف ها در سیستم های امنیتی؛
• تجزیه و تحلیل از سطح مناسبی از امنیت سیستم های اطلاعاتی به استانداردهای فعلی و اقدامات قانونی و حقوقی؛
• توسعه و تحویل توصیه در رابطه با حذف مشکلات موجود، و همچنین بهبود از راه حل های موجود و معرفی پیشرفت های جدید.

روش و حسابرسی ابزار

در حال حاضر چند کلمه در مورد چگونه چک و چه مراحل و معنی آن را شامل است.

یک ممیزی امنیت اطلاعات شامل چند مرحله:

• شروع روش تایید (تعریف روشن از حقوق و مسئولیت حسابرس، حسابرس چک تهیه طرح و هماهنگی آن با مدیریت، سوال از مرزهای این مطالعه، تحمیل بر اعضای تعهد سازمان به مراقبت و ارائه به موقع اطلاعات مربوطه).
• جمع آوری داده های اولیه (ساختار امنیتی، توزیع ویژگی های امنیتی، سطح امنیت از روش های تجزیه و تحلیل عملکرد سیستم برای به دست آوردن و ارائه اطلاعات، تعیین کانال های ارتباطی و تعامل IP با سازه های دیگر، یک سلسله مراتب از کاربران شبکه های کامپیوتری، پروتکل های عزم و اراده، و غیره)؛
• انجام بازرسی جامع یا جزئی.
• تجزیه و تحلیل داده ها (تجزیه و تحلیل خطرات از هر نوع و انطباق)؛
• صدور توصیه برای رسیدگی به مشکلات بالقوه؛
• تولید گزارش.

مرحله اول ساده ترین است، چرا که تصمیم خود را تنها بین مدیریت شرکت و حسابرس ساخته شده است. مرزهای تجزیه و تحلیل را می توان در مجمع عمومی از کارمندان و یا سهامداران در نظر گرفته. این همه و بیشتر مربوط به حوزه قانونی است.

مرحله دوم از مجموعه ای از داده های اصلی، که آیا آن یک حسابرسی داخلی از امنیت اطلاعات و یا صدور گواهینامه خارجی مستقل است که بسیاری از منابع فشرده است. این به خاطر این واقعیت است که در این مرحله شما نیاز به نه تنها به بررسی اسناد و مدارک فنی مربوط به تمام سخت افزار و نرم افزار، بلکه برای محدود-مصاحبه با کارمندان این شرکت، و در بسیاری از موارد حتی با پر کردن پرسشنامه های مخصوص یا نظر سنجی.

همانطور که برای اسناد و مدارک فنی، مهم است که به دست آوردن اطلاعات در مورد ساختار کننده آی سی و سطح اولویت حقوق دسترسی به کارکنان خود، برای شناسایی سیستم گسترده و نرم افزار کاربردی (سیستم عامل برای برنامه های کاربردی کسب و کار، مدیریت و حسابداری خود را)، و همچنین به عنوان حفاظت تاسیس از نرم افزار و نوع غیر برنامه (نرم افزار آنتی ویروس، فایروال ها، و غیره). علاوه بر این، این شامل بررسی کامل شبکه ها و ارائه دهندگان خدمات ارتباطات راه دور (سازمان شبکه، پروتکل های مورد استفاده برای اتصال، انواع کانال های ارتباطی، انتقال و روش های دریافت جریان اطلاعات، و بیشتر). همانطور که روشن است، طول می کشد بسیاری از زمان است.

در مرحله بعد، روش های حسابرسی اطلاعات امنیتی. آنها سه عبارتند از:

• تجزیه و تحلیل ریسک (روش سخت ترین، بر اساس تعیین حسابرس به نفوذ نقض IP و یکپارچگی آن با استفاده از تمام روش های ممکن و ابزار)؛
• ارزیابی انطباق با استانداردها و قوانین (روش ساده ترین و عملی ترین ها بر اساس یک مقایسه از وضعیت فعلی امور و الزامات استانداردهای بین المللی و اسناد و مدارک داخلی در زمینه امنیت اطلاعات).
• روش ترکیب است که ترکیبی از دو مورد اول.

پس از دریافت نتایج تایید تجزیه و تحلیل است. وجوه حسابرسی امنیت اطلاعات، که برای تجزیه و تحلیل استفاده می شود، می تواند کاملا متفاوت بود. این همه در جزئیات از سازمانی، نوع اطلاعات، نرم افزار استفاده می کنید، حفاظت و غیره. با این حال، می توان در روش اول دیده می شود، حسابرس به طور عمده باید با تکیه بر تجربه خود را بستگی دارد.

و این تنها بدان معنی است که آن را باید به طور کامل در زمینه فن آوری اطلاعات و حفاظت از داده ها واجد شرایط باشد. بر اساس این تجزیه و تحلیل، حسابرس و محاسبه خطرات احتمالی.

توجه داشته باشید که باید آن را نه تنها در سیستم عامل یا برنامه استفاده می شود، برای مثال معامله، برای کسب و کار و یا حسابداری، بلکه به درک روشنی چگونه یک مهاجم می تواند به سیستم اطلاعات به منظور سرقت، خسارت و تخریب اطلاعات، ایجاد پیش شرط برای نقض نفوذ در کامپیوتر، از گسترش ویروس ها و یا نرم افزارهای مخرب.

بررسی یافته های ممیزی و توصیه برای رسیدگی به مشکلات

بر اساس تجزیه و تحلیل کارشناس نتیجه گیری در مورد وضعیت حفاظت و توصیه برای رسیدگی به مشکلات موجود و بالقوه، ارتقاء امنیت، و غیره می دهد توصیه نه تنها باید عادلانه باشد، بلکه به وضوح به واقعیت های شرکت جزئیات گره خورده است. به عبارت دیگر، راهنمایی در ارتقاء پیکربندی کامپیوتر یا نرم افزار قابل قبول نیست. این به همان اندازه به مشاوره از اخراج پرسنل "غیر قابل اعتماد"، نصب سیستم های ردیابی جدید وجود دارد که بدون تعیین مقصد خود، محل و تناسب.

بر اساس تجزیه و تحلیل، به عنوان یک قاعده، چندین گروه خطر وجود دارد. در این مورد، به کامپایل یک گزارش خلاصه با استفاده از دو شاخص کلیدی: (از دست دادن دارایی ها، کاهش اعتبار، از دست دادن تصویر و غیره) احتمال یک حمله و آسیب ناشی از به این شرکت به عنوان یک نتیجه است. با این حال، عملکرد گروههای یکسان نیست. به عنوان مثال، شاخص سطح پایین برای احتمال حمله بهترین است. خسارت - در مقابل.

تنها پس از آن یک گزارش است که جزئیات رنگ تمام مراحل، روش ها و ابزار پژوهش وارد شده است. او با رهبری توافق و امضا شده توسط دو طرف - شرکت و حسابرس. اگر حسابرسی داخلی، گزارش رئیس واحد ساختاری مربوطه، پس از آن او، دوباره، امضا شده توسط رئیس است.

حسابرسی اطلاعات امنیتی: مثال

در نهایت، ما ساده ترین مثال از یک وضعیت است که در حال حاضر رخ در نظر بگیرید. بسیاری، به هر حال، ممکن است بسیار آشنا به نظر می رسد.

برای مثال، کارکنان تدارکات شرکت در ایالات متحده، در ICQ کامپیوتر مسنجر از طریق مسنجر تاسیس (نام کارمند و نام شرکت به دلایل روشن به نام نمی شود). مذاکرات دقیقا با استفاده از این برنامه انجام شد. اما "ICQ" از لحاظ امنیتی کاملا آسیب پذیر است. کارمند خود در تعداد ثبت نام در زمان و یا به یک آدرس ایمیل را نداشته باشند، و یا فقط نمی خواست به آن می دهد. در عوض، او را به چیزی مانند ایمیل، و حتی دامنه غیر موجود اشاره کرد.

چه می مهاجم؟ همانطور که توسط حسابرسی از امنیت اطلاعات نشان داده شده است، این امر می تواند ثبت نام دقیقا همان دامنه و ایجاد در آن می شود، ترمینال ثبت نام دیگر، و سپس می تواند یک پیام را به شرکت فیزیک که صاحب خدمات ICQ، درخواست بازیابی رمز عبور ارسال علت از دست دادن خود را (که می شود انجام ). به عنوان دریافت کننده میل سرور نبود، آن را شامل شد تغییر مسیر - تغییر مسیر به ایمیل دریافت خواهید کرد امنیت موجود است.

به عنوان یک نتیجه، او می شود دسترسی به مکاتبه با شماره ICQ داده شده و به تامین کننده را تغییر آدرس گیرنده کالا در یک کشور خاص، است. بنابراین، کالاها را به مقصد نامعلومی ارسال می شود. و آن را به عنوان مثال بی ضرر ترین است. بنابراین، رفتار آشوبگرانه. و آنچه در مورد هکرها جدی تر که قادر به خیلی بیشتر ...

نتیجه

در اینجا مختصر و همه که مربوط به ممیزی امنیت IP است. البته، آن است که توسط تمام جنبه های آن نمی شود. دلیل آن این است که در تدوین مشکلات و روش انجام آن را تحت تاثیر قرار بسیاری از عوامل، به طوری که رویکرد در هر مورد به شدت فردی است. علاوه بر این، روش ها و ابزار حسابرسی اطلاعات امنیتی می تواند برای IC های مختلف متفاوت است. با این حال، من فکر می کنم، اصول کلی این آزمون ها برای بسیاری از حتی در سطح اولیه ظاهر شوند.