Impormasyon Security Audit: katuyuan, mga pamaagi ug mga himan, panig-ingnan. Impormasyon seguridad audit sa bangko

Karon, ang tanan nasayud sa hapit sagrado nga hugpong sa mga pulong nga nanag-iya sa impormasyon, tag-iya sa kalibutan. Kana nganong sa atong panahon sa pagpangawat confidential nga impormasyon naningkamot sa tanan ug nagkalain-lain. Bahin niini, gikuha bag-o nga mga lakang ug sa pagpatuman sa paagi sa panalipod batok sa posible nga pag-atake. Apan, usahay kinahanglan kamo sa pagpahigayon og usa ka audit sa negosyo impormasyon seguridad. Unsa kini, ug sa ngano mao ang tanan nga kini karon, ug mosulay sa pagsabut.

Unsa ang usa ka audit sa impormasyon sa seguridad sa sa kinatibuk-ang kahulugan?

Kinsay dili makaapekto sa abstruse siyentipikanhong mga termino, ug maningkamot sa pagtino alang sa ilang kaugalingon sa mga nag-unang mga konsepto, nga naghulagway kanila sa labing yano nga pinulongan (sa mga tawo kini nga gitawag sa mga audit alang sa "dummies").

Ang ngalan sa komplikado nga mga panghitabo nagasulti alang sa iyang kaugalingon. Impormasyon security audit mao ang usa ka independente nga verification o peer review aron sa pagsiguro sa seguridad sa mga sistema sa impormasyon (ANG) sa bisan unsa nga kompaniya, institusyon o organisasyon sa basehan sa labi naugmad criteria ug mga indicators.

Sa yano nga mga pulong, alang sa panig-ingnan, audit impormasyon seguridad sa bangko sa hubag ngadto sa, aron sa pagtimbang-timbang sa ang-ang sa panalipod sa database customer nga gipahigayon pinaagi sa operasyon banking, ang kaluwasan sa mga electronic salapi, sa pagpreserba sa bangko secrecy, ug sa ingon sa. D. Sa kaso sa pagpanghilabot sa mga kalihokan sa mga institusyon awtorisado nga mga tawo gikan sa gawas, sa paggamit sa electronic ug computer mga pasilidad.

Pagkatinuod, sa taliwala sa mga magbabasa nga adunay sa labing menos usa ka tawo nga nagtawag sa balay o mobile phone uban sa usa ka proposal sa pagproseso sa loan o deposit, ang bangko nga kini adunay walay bisan unsa nga sa pagbuhat sa. Ang mao usab nga magamit ngadto sa mga gipamalit ug nagtanyag sa pipila ka mga tindahan. Diin ang inyong mga lawak?

Kini yano nga. Kon ang usa ka tawo nga kaniadto mikuha pautang o puhunan sa usa ka deposit account, siyempre, data niini nga gitipigan sa usa ka komon nga customer nga base. Sa diha nga gitawag mo gikan sa laing bangko o tindahan mahimong usa lamang ka konklusyon: ang impormasyon bahin sa nahitabo iligal sa ikatulo nga partido. Sa unsang paagi? Sa kinatibuk-, adunay duha ka mga kapilian: sa bisan kini gikawat, o gibalhin ngadto sa mga empleyado sa bangko ngadto sa ikatulo nga partido sa tinuyo. Aron alang sa maong mga butang wala mahitabo, ug kinahanglan kamo nga panahon sa pagpahigayon og usa ka audit sa impormasyon seguridad sa mga bangko, ug kini magamit dili lamang sa computer o "puthaw" paagi sa pagpanalipod sa, apan sa tibuok staff sa institusyon.

Ang nag-unang mga direksyon sa audit impormasyon seguridad

Kon mahitungod sa kasangkaran sa mga audit, ingon sa usa ka pagmando sa, sila sa pipila ka mga:

• bug-os nga check sa mga butang nga nalangkit sa mga proseso sa impormasyon (computer automated nga sistema, nagpasabot sa komunikasyon, pagdawat, impormasyon transmission, ug sa pagproseso, pasilidad, pasikaran alang sa kompidensyal nga mga miting, monitor sistema sa, ug uban pa);
• pagsusi sa pagkakasaligan sa pagpanalipod sa confidential nga impormasyon uban sa limitado nga access (determinasyon sa posible nga leakage ug potensyal seguridad lungag kanal sa pagtugot access niini gikan sa gawas sa paggamit sa standard ug non-standard nga mga pamaagi);
• check sa tanan nga electronic hardware ug mga lokal nga mga sistema sa computer alang sa exposure sa electromagnetic radiation ug pagpanghilabot, nga nagtugot kanila aron sa pagpabalik sa o dad-on ngadto sa guba;
• proyekto nga bahin, nga naglakip sa buhat sa paglalang ug paggamit sa sa konsepto sa seguridad sa iyang praktikal nga pagpatuman (pagpanalipod sa sistema sa computer, mga pasilidad, mga pasilidad sa komunikasyon, ug uban pa).

Sa diha nga kini moabut ngadto sa audit?

Dili sa naghisgot sa kritikal nga mga sitwasyon diin ang depensa na mabungkag, audit sa impormasyon sa seguridad sa usa ka organisasyon mahimong gidala sa gawas, ug sa pipila sa ubang mga kaso.

Kasagaran, kini nga mga naglakip sa pagpalapad sa kompanya, gitapo, angkon, takeover sa ubang mga kompaniya, sa pag-usab sa dagan sa mga konsepto sa negosyo o sa mga giya, mga kausaban sa internasyonal nga balaod o sa balaod sulod sa usa ka nasud, hinoon seryoso nga mga kausaban sa impormasyon nga imprastruktura.

matang sa audit

Karon, ang klasipikasyon sa niini nga matang sa audit, sumala sa daghang mga analista ug mga eksperto dili malig-on. Busa, ang division sa klase sa pipila ka kaso mahimong na arbitraryong. Bisan pa niana, sa kinatibuk-an, ang audit sa impormasyon seguridad mahimong bahinon ngadto sa gawas ug sa sulod.

Sa usa ka eksternal audit nga gihimo sa independenteng mga eksperto nga adunay katungod sa pagbuhat sa, sa kasagaran usa ka usa ka-higayon nga check, nga mahimong gipasiugdahan sa management, aksyonista, pagpatuman sa balaod nga mga ahensiya, ug uban pa Kini mao ang nagtuo nga usa ka eksternal nga audit sa impormasyon seguridad girekomendar (apan dili nga gikinahanglan) sa pagbuhat sa regular nga alang sa usa ka set nga yugto sa panahon. Apan alang sa pipila ka mga organisasyon ug mga negosyo, sumala sa balaod, kini mao ang mandatory (alang sa panig-ingnan, pinansyal nga mga institusyon ug organisasyon, joint stock mga kompaniya, ug uban pa.).

Internal audit sa impormasyon seguridad mao ang usa ka kanunay nga proseso. Kini gibase sa usa ka espesyal nga "regulasyon sa Internal Audit". Unsa kini? Sa pagkatinuod, kini nga certification mga kalihokan gidala sa gawas sa organisasyon, sa mga termino aprobahan sa management. Usa ka audit sa impormasyon sa seguridad pinaagi sa espesyal nga structural subdivision sa negosyo sa.

Alternative klasipikasyon sa audit

Gawas pa sa mga sa ibabaw-nga gihulagway division sa klase sa kinatibuk-ang kaso, mahimo kita-ila sa pipila ka mga components nga gihimo sa internasyonal nga klasipikasyon:

• Expert sa pagsusi sa kahimtang sa impormasyon seguridad ug impormasyon sistema sa base sa personal nga kasinatian sa mga eksperto, ang iyang pagdumala;
• certification sistema ug seguridad alang sa pagsunod sa internasyonal nga mga sumbanan (ISO 17799) ug nasudnong legal nga mga instrumento sa pagkontrol uma niini sa kalihokan;
• pagtuki sa mga sa seguridad sa sistema sa impormasyon uban sa paggamit sa mga teknikal nga mga paagi nga nagtumong sa pag-ila sa potensyal nga vulnerabilities sa software ug hardware complex.

Usahay kini mahimong apply ug ang mao nga-gitawag nga komprehensibo nga audit, nga naglakip sa tanan nga mga matang sa ibabaw. Pinaagi sa dalan, siya nagahatag sa labing tumong resulta.

Nagpahigayon mga tumong ug mga tumong

Ang bisan unsang verification, bisan internal o sa gawas, magsugod uban sa paghimo og mga tumong ug mga tumong. Sa yanong pagkasulti, kamo kinahanglan nga sa pagtino kon ngano, sa unsa nga paagi ug unsa ang pagasulayan. Kini pagtino sa dugang nga pamaagi sa pagtuman sa bug-os nga proseso.

Buluhaton, depende sa piho nga mga istruktura sa mga negosyo, organisasyon, institusyon ug mga kalihokan niini mahimong na sa usa ka daghan. Apan, taliwala sa tanan nga pagpagawas niini, nagkahiusa nga tumong sa audit impormasyon seguridad:

• assessment sa kahimtang sa impormasyon seguridad ug impormasyon sistema sa;
• pagtuki sa mga posible nga mga risgo nga nakig-uban sa mga risgo sa penetration ngadto sa gawas nga IP ug sa posible nga modalities sa maong paghilabut;
• localization sa mga buslot ug mga kal-sa sistema sa seguridad;
• pagtuki sa mga angay nga ang-ang sa seguridad sa mga sistema sa impormasyon ngadto sa kasamtangan nga mga sumbanan ug regulatory ug legal nga mga buhat;
• kalamboan ug paghatod sa mga rekomendasyon nga naglambigit sa pagtangtang sa sa kasamtangan nga mga problema, ingon man usab sa pagpalambo sa sa kasamtangan nga tambal ug ang pasiuna sa bag-o nga mga kalambuan.

Pamaagi ug audit mga himan

Karon sa usa ka pipila ka mga pulong kon sa unsang paagi nga ang tseke ug unsa lakang ug mga paagi nalangkit niini.

Usa ka audit sa impormasyon seguridad naglangkob sa pipila ka mga yugto:

• pagsugod pamaagi verification (tin-aw nga kahulogan sa mga katungod ug responsibilidad sa mga auditor, ang auditor nagsusi sa pag-andam sa plano ug koordinasyon sa iyang uban sa pagdumala, ang mga pangutana sa mga utlanan sa mga pagtuon, ang pagpahamtang sa mga sakop sa pasalig nga organisasyon sa pag-atiman ug sa tukma sa panahon nga probisyon sa may kalabutan nga impormasyon);
• pagkolekta inisyal nga data (seguridad gambalay, ang-apod-apod sa mga security features, nga lebel sa seguridad sa sistema sa performance pamaagi sa analysis alang sa pag-angkon ug paghatag og impormasyon, determinasyon sa komunikasyon kasapaan ug IP pakig-uban sa ubang mga istruktura, usa ka herarkiya sa mga tiggamit sa network computer, ang determinasyon protocol, ug uban pa);
• pagpahigayon sa usa ka komprehensibo nga o sa partial inspection;
• data pagtuki (pagtuki sa mga risgo sa bisan unsa nga matang ug sa pagtuman);
• sa paghatag rekomendasyon sa pagsulbad sa potensyal nga mga problema;
• report nga kaliwatan.

Ang unang yugto mao ang labing yano nga, tungod kay ang desisyon sa iyang gihimo lamang tali sa management sa kompanya ug sa auditor. Sa mga utlanan sa mga pagtuki mahimong giisip sa kinatibuk-ang miting sa mga empleyado o mga aksyonista. Niining tanan ug labaw pa nga may kalabutan sa mga legal nga uma.

Ang ikaduhang hugna sa mga koleksyon sa mga baseline data, bisan kon kini mao ang usa ka internal nga audit sa impormasyon seguridad o sa gawas independente certification mao ang labing kapanguhaan-intensive. Kini mao ang tungod sa kamatuoran nga sa niini nga yugto kamo kinahanglan nga dili lamang sa pagsusi sa teknikal nga dokumento nga may kalabutan sa tanan nga hardware ug software, kondili usab sa pig-ot-interbyu mga empleyado sa kompanya, ug sa kadaghanan sa mga kaso bisan pa uban sa pagpuno espesyal nga mga pangutana o mga survey.

Sama sa alang sa teknikal nga dokumentasyon, kini mao ang importante sa pag-angkon sa data sa gambalay IC ug sa mga prayoridad nga lebel sa mga katungod sa access sa mga empleyado niini, sa pag-ila nga sistema-ang gilapdon ug paggamit software (ang operating system alang sa mga aplikasyon sa negosyo, ang ilang pagdumala ug accounting), ingon man ang malig-on nga panalipod sa software ug non-programa nga matang (Antivirus software, firewalls, ug uban pa). Dugang pa, kini naglakip sa bug-os nga verification sa mga network ug providers sa mga serbisyo sa telekomunikasyon (network nga organisasyon, ang mga protocol nga gigamit alang sa koneksyon, sa mga matang sa komunikasyon kanal, ang transmission ug pagdawat pamaagi sa impormasyon nagapaagay, ug labaw pa). Ingon nga mao ang tin-aw, kini nagkinahanglan og usa ka daghan sa mga panahon.

Sa sunod nga yugto, ang mga pamaagi sa audit impormasyon seguridad. Sila mao ang tulo ka mga:

• risgo pagtuki (ang labing lisud nga teknik, base sa determinasyon sa mga auditor sa penetration sa IP paglapas ug sa iyang integridad sa paggamit sa tanan nga posible nga mga pamaagi ug mga himan);
• assessment sa pagsunod sa mga sumbanan ug sa balaod (ang simplest ug labing praktikal nga pamaagi base sa usa ka pagtandi sa mga kasamtangan nga kahimtang sa mga kalihokan ug sa mga gikinahanglan sa mga internasyonal nga mga sumbanan ug domestic nga mga dokumento sa kapatagan sa impormasyon security);
• ang hiniusang pamaagi nga kombinar ang unang duha ka.

Human sa pagdawat sa mga resulta panghimatuud sa ilang pagtuki. Funds Audit sa impormasyon sa seguridad, nga gigamit alang sa pagtuki, mahimong na nagkalainlain. Kini ang tanan-agad sa detalye sa negosyo, ang matang sa impormasyon, ang software imong gamiton, sa pagpanalipod ug sa ingon sa. Apan, ingon sa makita sa una nga pamaagi, ang auditor nag-una nga mosalig sa ilang kaugalingon nga kasinatian.

Ug nga nagpasabot lamang nga kini kinahanglan nga bug-os nga mga kwalipikado nga sa sa kapatagan sa impormasyon nga teknolohiya ug sa data panalipod. Sa basehan sa niini nga pagtuki, ang auditor ug nagtinguha sa posible nga mga risgo.

Matikdi nga kini atubang dili lang sa operating system o sa programa nga gigamit, alang sa panig-ingnan, alang sa negosyo o sa accounting, apan usab sa pagsabot sa tin-aw kon sa unsang paagi ang usa ka tig-atake mahimong motuhop ngadto sa sistema sa impormasyon alang sa katuyoan sa pagpangawat, kadaot ug pagkalaglag sa data, paglalang sa gikinahanglan alang sa mga paglapas sa sa computer, ang pagkaylap sa virus o malware.

Evaluation sa audit findings ug mga rekomendasyon sa pagsulbad sa mga problema

Base sa pagtuki sa eksperto mitapos mahitungod sa kahimtang sa pagpanalipod ug naghatag rekomendasyon sa pagsulbad sa kasamtangan o sa potensyal nga mga problema, bag-ohon sa seguridad, ug uban pa Ang mga rekomendasyon kinahanglan dili lamang matahum, apan usab sa tin-aw nga gihigot sa mga kamatuoran sa mga detalye negosyo. Sa laing mga pulong, mga tips sa pag-upgrade sa kontorno sa computer o software dili madawat. Kini parehong magamit sa tambag sa sa dismissal sa "dili kasaligan" personnel, instalar bag-ong sistema sa tracking walay specifying sa ilang destinasyon, ang nahimutangan ug haom.

Base sa pagtuki, ingon sa usa ka pagmando sa, adunay mga pipila ka mga risgo nga mga grupo. Sa kini nga kaso, sa pagtipon sa usa ka summary report naggamit sa duha ka yawe nga mga timailhan: (. Pagkawala sa kabtangan, pagkunhod sa reputasyon, pagkawala sa larawan ug sa ingon sa) sa kalagmitan sa usa ka pag-atake ug sa kadaot nga gipahinabo sa panon sa ingon nga usa ka resulta. Apan, ang performance sa mga grupo dili sa mao usab nga. Pananglitan, ubos-level nga timailhan alang sa kalagmitan sa pag-atake mao ang labing maayo. Alang sa mga danyos - sa sukwahi.

Lamang nga natigum sa usa ka report nga detalye gipintalan ang tanan nga mga hugna, mga pamaagi ug mga paagi sa research. Siya miuyon sa pagpangulo ug gipirmahan sa sa duha ka kilid - ang kompaniya ug ang mga auditor. Kon ang audit internal, mao ang usa ka taho sa ulo sa tagsa-tagsa structural yunit, sa tapus nga siya, usab, nga gipirmahan sa sa ulo.

audit sa impormasyon seguridad: Panig-ingnan

Sa kataposan, atong tagdon ang simple nga panig-ingnan sa usa ka kahimtang nga nahitabo na. Daghan, sa dalan, kini daw kaayo pamilyar.

Pananglitan, pagpamalit sungkod sa usa ka kompaniya sa Estados Unidos, nga natukod sa ICQ takna nga mensaherong computer (ang ngalan sa empleyado ug ang ngalan sa kompaniya wala nga ginganlan alang sa klaro nga mga rason). Negosasyon gihimo tukma pinaagi sa niini nga programa. Apan ang "ICQ" mao na huyang sa mga termino sa seguridad. Kaugalingon empleyado sa numero registration sa panahon o sa wala sa usa ka email address, o dili gusto sa paghatag niini. Hinunoa, siya nagpunting sa usa ka butang nga sama sa e-mail, ug bisan non-existent domain.

Unsay buot sa kaaway? Ingon sa gipakita sa usa ka audit sa impormasyon seguridad, kini narehistro gayud sa sama nga domain ug gibuhat nga diha niana, sa laing registration terminal, ug unya mahimo ipadala sa usa ka mensahe ngadto sa mirabilis kompaniya nga tag-iya ICQ nga pag-alagad, nga naghangyo password pagkaayo tungod sa iyang pagkawala (nga matuman ). Ingon nga ang dumadawat sa mga mail server dili, kini naglakip sa ibalhin sa laing direksiyon - ibalhin sa laing direksiyon sa usa ka kasamtangan nga nanglungkab mail.

Ingon sa usa ka resulta, siya gets access sa mga sulat uban sa gihatag nga numero sa ICQ ug nagpahibalo sa supplier sa pag-usab sa address sa mga nakadawat sa mga butang sa usa ka nasud. Busa, nagpadala sa mga butang ngadto sa usa ka wala mailhi nga destinasyon. Ug kini mao ang labing makadaot nga panig-ingnan. Busa, mga pamatasan. Ug unsa ang mahitungod sa mas seryoso nga mga hackers nga makahimo sa mas labaw pa ...

konklusyon

Ania ang usa ka mubo nga ug sa tanan nga may kalabutan sa IP audit sa seguridad. Siyempre, kini dili apektado sa tanan nga mga bahin sa niini. Ang rason mao lang nga sa paghimo sa mga problema ug mga pamaagi sa iyang panggawi makaapektar sa usa ka daghan sa mga butang, mao nga ang mga pamaagi sa matag kaso mao ang hugot nga tagsa-tagsa. Dugang pa, ang mga pamaagi ug mga paagi sa impormasyon audit seguridad mahimong lahi alang sa lain-laing mga ICS. Apan, sa akong hunahuna, ang kinatibuk-ang mga baruganan sa maong mga pagsulay alang sa daghan nga mahimong dayag bisan sa nag-unang ang-ang.