Audit de securitate Informații: Obiective, metode și instrumente, de exemplu. Audit de securitate informatională al băncii

Astăzi, toată lumea știe aproape o frază sacră că proprietarul informațiilor deține lumea. De aceea, în timpul nostru, toată lumea încearcă să fure informații confidențiale . În acest sens, se iau măsuri fără precedent pentru a introduce mijloace de protecție împotriva posibilelor atacuri. Cu toate acestea, uneori poate fi necesar să se verifice securitatea informațiilor întreprinderii. Ce este și de ce este totul necesar, acum și încercați să vă dați seama.

Ce este un audit de securitate a informațiilor într-o definiție generală?

Acum nu vom atinge termenii științifici abstruți, dar vom încerca să definim conceptele de bază pentru noi înșine, descriindu-le în cea mai simplă limbă (la oameni ar putea fi numită un audit pentru "manechine").

Numele acestui complex de evenimente vorbește de la sine. Auditul securității informațiilor este o verificare independentă sau o evaluare de către experți a securității sistemului informatic (IS) al unei întreprinderi, instituții sau organizație pe baza unor criterii și indicatori special dezvoltați.

În termeni simpli, de exemplu, auditul securității informațiilor al unei bănci este redus la evaluarea nivelului de protecție a bazelor de date ale clienților, efectuarea tranzacțiilor bancare, păstrarea fondurilor electronice, siguranța secretului bancar etc., în cazul intervențiilor în activitatea instituției de către exterior din exterior, Instalații electronice și informatice.

Desigur, printre cititori va exista cel puțin o persoană care a fost chemată acasă sau pe un telefon mobil cu o propunere de împrumut sau depozit și de la o bancă cu care nu este conectat. Același lucru este valabil și pentru oferta de achiziții de la unele magazine. Unde ți-a venit numărul?

E simplu. Dacă o persoană a împrumutat bani sau a investit bani într-un cont de depozit, firește, datele sale au fost salvate într-o singură bază de clienți. Când sunați dintr-o altă bancă sau magazin, puteți trage o singură concluzie: informațiile despre el au căzut ilegal în mâinile a treia. Cum? În general, putem distinge două opțiuni: fie a fost furat, fie predat conștient de angajații băncii către terți. Pentru ca astfel de lucruri să nu se întâmple și trebuie să efectuați la timp un audit al securității informaționale a băncii, iar acest lucru nu se aplică numai calculatoarelor sau mijloacelor de protecție "feroase", ci întregului personal al instituției bancare.

Principalele direcții de audit al securității informațiilor

În ceea ce privește domeniul de aplicare al unui astfel de audit, de regulă, acestea se disting prin mai multe:

• Verificarea completă a obiectelor implicate în procesele de informatizare (sisteme automatizate informatice, mijloace de comunicare, recepție, transmitere și prelucrare a datelor de informare, facilități tehnice, sedii pentru desfășurarea de întâlniri confidențiale, sisteme de supraveghere etc.);
• Verificarea fiabilității protecției informațiilor confidențiale cu acces limitat (identificarea posibilelor canale de scurgere și a găurilor potențiale de securitate care permit accesul la acestea din exterior utilizând metode standard și nestandard);
• Verificarea tuturor mijloacelor tehnice electronice și a sistemelor informatice locale pentru efectul radiației electromagnetice și a dispozitivelor de luat vederi pe ele, care le permit să le deconecteze sau să le facă inutilizabile;
• Partea de proiect, care include lucrări privind crearea conceptului de securitate și aplicarea sa în implementarea practică (protecția sistemelor informatice, facilități, comunicații etc.).

Când devine necesară efectuarea unui audit?

Ca să nu mai vorbim de situații critice, atunci când protecția a fost deja încălcată, în alte cazuri poate fi efectuat un audit al securității informațiilor într-o organizație.

În mod obișnuit, aceasta include extinderea companiei, fuziuni, achiziții, fuziuni cu alte întreprinderi, modificarea conceptului de conduită sau de conducere, schimbări în legislația internațională sau în acte juridice într-o singură țară, schimbări destul de grave în infrastructura informațională.

Tipuri de audit

Astăzi însăși clasificarea acestui tip de audit, conform multor analiști și experți, nu este soluționată. Prin urmare, împărțirea în clase în unele cazuri poate fi foarte condiționată. Cu toate acestea, în cazul general, auditul securității informațiilor poate fi împărțit în exterior și intern.

Un audit extern realizat de experți independenți eligibili pentru aceasta este, de obicei, un audit unic, care poate fi inițiat de conducerea societății, de acționari, de organele de drept etc. Se crede că se recomandă un audit extern de securitate a informațiilor (și nu este obligatoriu) pentru efectuarea regulată pentru o anumită perioadă de timp. Dar pentru unele organizații și întreprinderi, conform legislației, este obligatorie (de exemplu, instituțiile și organizațiile financiare, societățile pe acțiuni etc.).

Auditul intern al securității informațiilor este un proces constant. Aceasta se bazează pe un "regulament special privind auditul intern". Ce este? De fapt, acestea sunt activități de certificare desfășurate în cadrul organizației, în termenele aprobate de conducere. Auditul securității informațiilor este asigurat de subdiviziuni structurale speciale ale întreprinderii.

Clasificarea alternativă a tipurilor de audit

În plus față de diviziunea claselor descrise mai sus în cazul general, este posibil să se facă distincția între mai multe componente adoptate în clasificarea internațională:

• Verificarea de către experți a stării de securitate a sistemelor de informare și informare pe baza experienței personale a experților care o conduc;
• Atestarea sistemelor și a măsurilor de securitate pentru respectarea standardelor internaționale (ISO 17799) și a documentelor juridice de stat care reglementează acest domeniu de activitate;
• Analiza securității sistemelor informatice utilizând mijloace tehnice, care vizează identificarea potențialelor vulnerabilități ale complexului software și hardware.

Uneori se poate aplica un așa-zis audit complex, care include toate tipurile de mai sus. Apropo, acesta este cel care dă cele mai obiective rezultate.

Stabiliți obiective și obiective

Orice verificare, internă sau externă, începe cu stabilirea obiectivelor și obiectivelor. Pentru a vorbi mai ușor, este necesar să se definească, ce, ce și cum va fi verificat. Aceasta va predetermina metoda ulterioară de realizare a întregului proces.

Sarcinile stabilite, în funcție de specificul structurii întreprinderii în sine, a organizației, a instituției și a activităților acesteia, pot fi destul de multe. Cu toate acestea, printre toate acestea, obiectivele unificate ale auditului securității informațiilor sunt evidențiate:

• Evaluarea stării de securitate a sistemelor de informare și informare;
• O analiză a riscurilor posibile asociate cu amenințarea penetrării în PI din exterior și a posibilelor metode de punere în aplicare a unei astfel de intervenții;
• Localizarea găurilor și golurilor în sistemul de securitate;
• O analiză a conformității nivelului de securitate al sistemelor de informații cu standardele și reglementările existente;
• Elaborarea și emiterea de recomandări pentru eliminarea problemelor existente, precum și îmbunătățirea remedierilor existente și introducerea noilor evoluții.

Metode și mijloace de efectuare a auditului

Acum câteva cuvinte despre modul în care se desfășoară testul și ce etape și mijloace include acesta.

Auditul securității informațiilor constă în mai multe etape principale:

• Inițierea procedurii de verificare (definirea clară a drepturilor și responsabilităților auditorului, pregătirea planului de audit de către auditor și aprobarea acestuia de către conducere, soluționarea problemei limitelor studiului, impunerea obligațiilor de asistență angajaților organizației și furnizarea la timp a informațiilor necesare);
• Colectarea datelor inițiale (structura sistemului de securitate, distribuirea echipamentelor de securitate, nivelurile funcționării sistemului de securitate, analiza metodelor de obținere și furnizare a informațiilor, identificarea canalelor de comunicare și interacțiunea IP cu alte structuri, ierarhia utilizatorilor rețelelor de calculatoare, definirea protocoalelor etc.);
• Efectuarea unei verificări integrate sau parțiale;
• Analiza datelor primite (analiza riscurilor de orice tip și conformitatea cu standardele);
• Emiterea de recomandări pentru eliminarea posibilelor probleme;
• Crearea documentației de raportare.

Prima etapă este cea mai simplă, deoarece decizia sa este luată exclusiv între conducerea companiei și auditor. Limitele analizei pot fi luate în considerare la o adunare generală a angajaților sau acționarilor. Toate acestea se aplică mai mult domeniului juridic.

A doua etapă a colectării datelor inițiale, fie că este vorba despre un audit intern al securității informațiilor sau de certificare independentă externă, este cea mai intensivă din punct de vedere al resurselor. Acest lucru se datorează faptului că în acest stadiu este necesar nu numai să se studieze documentația tehnică referitoare la întregul complex de software și hardware, ci și să se realizeze un interviu restrâns al angajaților companiei și, în majoritatea cazurilor, chiar și cu completarea unor chestionare sau chestionare speciale.

În ceea ce privește documentația tehnică, este important să se obțină date privind structura IP și nivelurile de prioritate a drepturilor de acces pentru angajați, să se identifice software-ul la nivel de sistem și aplicație (sisteme de operare, aplicații pentru afaceri, management și contabilitate) Și non-tip de program (antivirus, firewall, etc.). În plus, aceasta include verificarea completă a rețelelor și furnizorilor care furnizează servicii de comunicații (rețele, protocoale utilizate pentru conectare, tipuri de canale de comunicații, metode de transmitere și recepție a fluxurilor de informații și multe altele). Așa cum este deja clar, este nevoie de mult timp.

În etapa următoare sunt definite metode de audit al securității informațiilor. Ele se disting prin trei:

• Analiza riscului (cea mai complexă metodă bazată pe determinarea de către auditor a posibilității de a penetra IP și a încălca integritatea sa folosind toate metodele și mijloacele posibile);
• Evaluarea conformității cu standardele și actele legislative (metoda cea mai simplă și cea mai practică, bazată pe o comparație a stării actuale și a cerințelor standardelor internaționale și a documentelor naționale în domeniul securității informaționale);
• Metoda combinată, combinând primele două.

După primirea rezultatelor inspecției, analiza lor începe. Mijloacele de audit al securității informațiilor, folosite pentru analiză, pot fi destul de diverse. Totul depinde de specificul activităților întreprinderii, cum ar fi informațiile, software-ul utilizat, mijloacele de protecție etc. Cu toate acestea, după cum se poate vedea din prima metodă, auditorul va trebui să se bazeze, în principal, pe propria sa experiență.

Și aceasta înseamnă că el trebuie să aibă calificările corespunzătoare în domeniul tehnologiei informației și al protecției datelor. Pe baza acestei analize, auditorul calculează și riscurile posibile.

Rețineți că trebuie să se ocupe nu numai de sistemele de operare sau de programele utilizate, de exemplu, în scopuri comerciale sau de contabilitate, ci și să înțeleagă în mod clar modul în care un intrus poate intra în sistemul informatic în scopul furtului, corupției și distrugerii datelor, În activitatea calculatoarelor, răspândirea de viruși sau malware.

Evaluarea rezultatelor auditului și recomandări pentru rezolvarea problemelor

Pe baza analizei, expertul face o concluzie asupra stării de protecție și emite recomandări pentru eliminarea problemelor existente sau potențiale, modernizarea sistemului de securitate etc. În acest caz, recomandările ar trebui să fie nu numai obiective, ci și clare legate de realitățile specificului întreprinderii. Cu alte cuvinte, nu există sfaturi pentru actualizarea configurației computerelor sau software-ului. În mod similar, aceasta se referă la consiliere cu privire la concedierea angajaților "nedemni de încredere", la instalarea de noi sisteme de urmărire fără indicarea specifică a destinației, locației și fezabilității acestora.

Pe baza analizei, de regulă, există mai multe grupuri de riscuri. În același timp, pentru întocmirea raportului consolidat sunt utilizați doi indicatori principali: probabilitatea unui atac și pagubele cauzate companiei (pierderea activelor, pierderea reputației, pierderea imaginii etc.). Cu toate acestea, indicatorii pentru grupuri nu coincid. De exemplu, un scor scăzut pentru probabilitatea de atac este cel mai bun. Pentru daune - dimpotrivă.

Numai după acest lucru este pregătit un raport în care sunt detaliate toate etapele, metodele și instrumentele studiilor. Este convenit cu conducerea și semnat de două părți - întreprinderea și auditorul. În cazul în care auditul este intern, șeful unității structurale relevante întocmește un astfel de raport, după care el, din nou, este semnat de către șef.

Auditul securității informațiilor: un exemplu

În cele din urmă, ia în considerare cel mai simplu exemplu de situație care sa întâmplat deja. Pentru mulți, apropo, poate părea foarte familiar.

De exemplu, un anumit angajat al companiei, angajat în achiziții în Statele Unite, a instalat pe computer un mesager ICQ (numele angajatului și numele companiei nu este solicitat din motive întemeiate). Negocierile s-au desfășurat prin acest program. Dar "ICQ" este destul de vulnerabil din punct de vedere al securității. Angajatul la înregistrarea numărului la acel moment fie nu avea o adresă de e-mail, fie pur și simplu nu dorea să-l dea. În schimb, a indicat ceva similar e-mailului, chiar și cu un domeniu inexistent.

Ce ar face un atacator? După cum a arătat auditul securității informațiilor, el va înregistra același domeniu și va crea un alt terminal de înregistrare în el, după care va putea trimite un mesaj către Mirabilis, care deține serviciul ICQ, cu o cerere de restabilire a parolei datorită pierderii sale (ceea ce ar fi fost făcut ). Deoarece serverul destinatarului nu a fost un server de poștă, acesta a inclus o redirecționare la mesajul existent al atacatorului.

În consecință, el primește acces la corespondența cu numărul ICQ specificat și informează furnizorul cu privire la schimbarea adresei destinatarului mărfurilor într-o anumită țară. Astfel, încărcătura este trimisă nimănui nu știe unde. Și acesta este cel mai inofensiv exemplu. Deci, huliganism mic. Și hackerii mai serioși care sunt capabili de mult mai mult ...

concluzie

Aici pe scurt și tot ce se referă la auditul securității IP. Desigur, nu toate aspectele sale sunt atinse aici. Motivul este numai că o mulțime de factori influențează formularea sarcinilor și metodelor de punere în aplicare a acesteia, prin urmare abordarea în fiecare caz specific este strict individuală. În plus, metodele și instrumentele pentru auditarea securității informațiilor pot fi diferite pentru diferite IP-uri. Cu toate acestea, se pare că principiile generale ale acestor controale pentru mulți vor deveni clare chiar și la nivelul inițial.