Informazioa Segurtasun Ikuskaritza: Helburuak, metodo eta tresnak, adibidez. Informazioaren segurtasuna banku ikuskaritza

Gaurkoan guztiek Esaldi ia sakratua informazioa jabea daki, munduko jabea. Horregatik, gure denbora lapurtzen en informazio konfidentziala dira eta Hainbat nahian. Zentzu honetan, hartu aurrekaririk urratsak eta posible erasoetatik babesteko bitarteko ezartzea. Hala ere, batzuetan, enpresa informazioaren segurtasun auditoria bat egiteko behar izatea. Zer da eta zergatik da orain, eta saiatu ulertzen.

Zer da informazioaren segurtasun ikuskaritza bat definizioa orokorrean?

Nork ez du eraginik izango du abstruse Termino zientifikoak, eta saiatu oinarrizko kontzeptuak burua zehaztu, horiek deskribatzen du hizkuntza sinpleetan (jendea deitu ahal izango da ikuskaritza eta "dummies" egiteko).

gertakari konplexu baten izena bera hitz egiten. Informazioaren segurtasuna ikuskaritza egiaztapen edo independentea da adituen ebaluazioa informazio sistemak (DA) edozein enpresa, erakunde edo erakunde irizpide eta adierazle bereziki garatutako oinarrituta of segurtasuna bermatzeko.

Modu errazean, adibidez, ikuskatu banku horrek informazioaren segurtasuna irakiten behera, banku-eragiketak ospatutako bezeroaren base babes-maila ebaluatzea, diru elektronikoaren segurtasuna, banku-sekretua babesteko, eta abar. D. interferentzia kasuan erakunde baimendu gabeko kanpotik pertsona jardueretan, erabiliz instalazio elektronikoak eta informatika.

Zalantzarik gabe, irakurleen artean gutxienez pertsona bat nor izeneko etxean edo telefono mugikorra mailegua edo gordailua, bankuan, honekin ezer egin du hura prozesatu proposamen batekin. Gauza bera erosketak aplikatzen eta denda batzuk eskaintzen. Nondik sortu zen zure gela?

Erraza da. Pertsona baten aurrez hartu mailegu edo gordailu kontu bat inbertitu bada, jakina, bere datuak komun batean gordetzen den bezero-oinarri. Noiz deitu beste banku edo denda batetik ondorio bat bakarrik izan daiteke: hari buruzko informazioa iritsi ilegalki hirugarrenei. Nola? Oro har, daude bi aukera: edo lapurtu zuten, edo hirugarrenek kontzienteki banku langile transferitu. Ordena gauza, hala nola ez da gertatuko, eta denbora informazio bankuan segurtasuna auditoria bat egiteko behar duzu, eta hau aplikatzen ordenagailu edo "burdin" babes-bide, baina erakundearen langileek osoan bakarra da.

Informazio segurtasun ikuskaritza norabide nagusia

ikuskaritza esparrua dagokionez, oro har, hainbat dira:

• Informazio-prozesuetan parte hartzen duten objektuen check osoa (ordenagailua automatizatu sistema, komunikazioa, harrera, informazioa transmititzeko eta prozesatzeko, instalazioak, bilerak isilpeko lokalak, jarraipen-sistemak, etab esan);
• isilpeko informazioa babesteko sarbide mugatua duten fidagarritasuna egiaztatuz (posible isurketa eta balizko segurtasun zuloak kanalak sarbidea kanpotik metodo estandarra eta ez-estandarrak erabiltzea ahalbidetuz determinazioa);
• hardware eta tokiko ordenagailuaren sistema elektroniko guztiak erradiazio elektromagnetikoak eta interferentzia arriskuari of egiaztatu, itzali edo disrepair ekarri ahalbidetuz;
• Proiektu parte, eta hori sortzea eta segurtasun kontzeptua aplikatzea bere ezarpena praktikoa lan biltzen ditu (sistema informatikoak, instalazio, komunikazio-instalazioak, etab babesteko).

Orduan ikuskaritza da?

Ez da egoera kritikoa non defentsa dagoeneko hautsi zen, informazioaren segurtasun ikuskaritza erakunde batean egin daiteke, eta beste kasu batzuetan ez aipatzearren.

Normalean, horien artean, konpainiaren hedapen, fusioa, eskuratzea, erosketaren enpresa batzuen arabera, aldatu negozio-kontzeptu edo jarraibideak, nazioarteko zuzenbidean edo legedia herrialde baten barruan aldaketak, informazio-azpiegitura aldaketak baizik larriak ikastaroa.

ikuskaritza-mota

Gaur egun, oso auditoria mota hau sailkatu ostean, analista eta adituek askoren arabera, ez da ezarri. Hori dela eta, kasu batzuetan klaseak sartu zatiketa nahiko arbitrarioa izan daiteke. Hala ere, oro har, informazioaren segurtasun ikuskaritza kanpoko eta barruko banatu daiteke.

kanpoko ikuskaritza bat aditu independente batek eskuinetik egin behar zuzendaritzapean, izan ohi da bat-denbora txeke bat, eta horrek kudeaketa, akziodun, legea betearazteko agentziak, etab hasitako egon daiteke Uste da kanpoko informazioaren segurtasun ikuskaritza bat gomendatzen da (baina ez da beharrezkoa) aldizka egiteko denbora tarte multzo bat da. Baina erakunde eta enpresetako batzuk, legearen arabera, nahitaezkoa da (adibidez, finantza-erakundeek eta erakundeek, joint stock enpresak, eta besteentzat.).

Barne auditoria informazio segurtasun etengabeko prozesu bat da. Da berezi bat "Barne Ikuskaritza Araudia" oinarritzen da. Zer da? Izan ere, ziurtagiria jarduera honek egindako antolaketan, kudeaketa onartutako dagokionez. An informazio segurtasun ikuskaritza egiturazko enpresaren zatiketa bereziak.

Alternative ikuskaritza sailkapena

Goian azaldutako zatiketa kasu orokorrean klaseak sartu gain, nazioarteko sailkapena egin hainbat osagai bereiz ditzakegu:

• Aditu informazioaren segurtasuna eta informazio sistemak egoerari adituen esperientzia pertsonala, bere zuzendaritza oinarrituta egiaztapena;
• ziurtagiria sistemak eta segurtasun-neurriak nazioarteko estandarrak (ISO 17799) eta jarduera-eremu hori arautzen nazionala tresna juridikoak betetzen da;
• Informazio sistemen segurtasunaren balizko ahuleziak identifikatzea software eta hardware konplexua zuzendutako baliabide tekniko erabilera aztertzea.

Batzuetan aplikatu daiteke eta ikuskaritza integrala deiturikoak, biltzen gainetik mota guztiak. Bide batez, gehien objektiboa emaitzak ematen ditu.

Fasekako helburuak eta helburuak

Edozein egiaztapen, barruko nahiz kanpoko ala ez, helburuak eta helburuak ezarriz hasten da. Besterik gabe jarri, zergatik, nola eta zer probatu egingo zehaztu behar duzu. Hau prozesu osoa burutzeko prozedura aurrerago zehaztuko du.

Zereginak, enpresa, erakunde, instituzio eta bere jarduerak egitura espezifikoa arabera nahiko asko izan daitezke. Hala ere, bertsio honen guztiaren erdian, informazio segurtasun auditoria helburua bateratu:

• Informazio segurtasun eta informazio sistemen estatuko ebaluazioa;
• sartze kanpoko IP eta ahalik, interferentzia modalitate sartu arriskua lotutako ahalik eta arriskuen analisia;
• zuloak eta hutsuneak segurtasun sisteman lokalizazio;
• Egungo arauak eta egintzak arauzko eta legezko den informazio sistemen segurtasun-maila egokia du analisia;
• garapena eta gomendioak existitzen den arazo kentzea, baita hobekuntza Dagoen erremedioak eta garapen berrien sarrera inplikatuz entrega.

Metodologia eta ikuskaritza tresnak

Orain nola txekea eta zer urrats eta esan nahi dakar buruz hitz batzuk.

Informazio segurtasun Batzorde batek hainbat fase ditu:

• egiaztapen prozedura sustatzaileak (eskubideak eta erantzukizunak ikuskariaren definizioa argia, ikuskariaren planaren prestaketa eta haren koordinazioa kudeaketa egiaztatzen, azterketaren mugak auzia, erakunde konpromisoa kideen on inposaketa zaintzeko eta dagokion informazioa emateari puntuala);
• Hasierako datuak (segurtasun egitura, segurtasun banaketa, segurtasun-sistema performance azterketa lortzea eta informazioa, erabakitzeko komunikazio kanal eta IP beste egitura elkarrekintza, ordenagailu sareen erabiltzaileen hierarkia, determinazio protokoloak, etab emateko metodoak maila) jasotzen;
• ikuskatzeko integrala edo zati bat egitea;
• datuen analisia (edozein mota eta betetzearen arriskuak azterketa);
• gomendio igorri balizko arazoei aurre egiteko;
• Txosten belaunaldi.

Lehen etapa errazena da, bere erabakia dagoelako soilik enpresa kudeaketa eta ikuskariaren artean. azterketa mugak egon langile edo akziodunen batzar nagusiak aurrera jo daiteke. Hori guztia eta gehiago juridikoaren eremu zerikusia.

datuak oinarri bildumaren bigarren etapa, informazio segurtasun edo kanpoko ziurtagiria independentea barne ikuskaritza bat ote den gehien baliabide intentsiboa da. Hau da, izan ere, etapa honetan hardware eta software guztia inguruko dokumentazio teknikoak ez bakarrik aztertu behar duzu, baina baita estu-elkarrizketatuz konpainiaren langileei ondorioz, eta kasu gehienetan, nahiz eta galdeketak bereziak edo inkesta bete gabe.

dokumentazio tekniko dagokionez, garrantzitsua da IC egiturari buruzko datuak eta lehentasunezko sarbide eskubideak mailak lortzeko bere langileei, sistemaren eta aplikazioen softwarea (sistema eragilea enpresa-aplikazio, haien kudeaketa eta kontabilitate) identifikatzeko, baita ezarritako software babesteko gisa eta ez-programa mota (antibirusa, suebakiak, etab). Horrez gain, barne-sareen eta telekomunikazioen zerbitzuak hornitzaileak egiaztatzeko osoa (sare antolakuntza, konexioa egiteko erabiltzen protokoloak, komunikazio kanal motak, transmisioa eta harrera metodoak informazio isurtzen, eta gehiago). Argi denez, denbora asko hartzen du.

Hurrengo fasean, informazio segurtasun ikuskaritza metodoak. Hiru dira:

• arriskuen azterketa (zailena teknika oinarrituta ikuskariaren determinazioa IP urratzea sartze eta bere osotasuna posible metodo eta tresna guztiak erabiliz on);
• arauak eta legeria (metodo errazena eta praktikoena oinarritutako gaiak gaur egungo egoera konparatzeko eta nazioarteko estandarrak eta informazio segurtasun alorrean etxeko dokumentuak eskakizunen) betetzearen ebaluazioa;
• Metodo konbinatzen duten lehen bi uztartzen ditu.

egiaztapen bere analisien emaitzak jaso ondoren. Fondoen Ikuskaritza informazioaren segurtasuna, of bertan analisia egiteko erabiltzen dira, nahiko era askotakoak izan daitezke. Zen dena enpresa, informazio-mota, erabiliko duzun softwarea, babesa eta abar. Hala ere, lehen metodoaren ikus daitekeenez, ikuskariaren nagusiki dute beraien esperientzia propioa oinarritzen berezitasunak orrian.

Eta hori bakarrik esan nahi guztiz kualifikatua informazioaren teknologiak eta datuak babesteko alorrean izan behar du. azterketa honetan, ikuskariaren oinarrituta eta ahalik eta arriskuak kalkulatzen du.

Ohartu ez bakarrik aurre egiten behar sistema eragilea edo erabiltzen da, adibidez programan, enpresa edo kontabilitate, baina baita argi eta garbi ulertu nola erasotzaileak dezake informazio-sisteman barneratzeko lapurreta, kalte eta datuak suntsiketa, aurrebaldintza sortzea urraketak helburua ordenagailuak ere, birus edo malware hedatzea.

ikuskaritza aurkikuntzak eta gomendioak arazoei aurre egiteko ebaluazioa

Oinarritutako analisi aditua babes egoerari buruz ondorioztatzen eta gomendioak existitzen edo balizko arazoei aurre egiteko, segurtasun bertsio berritzeko, eta abar ematen gomendioak behar ez bakarrik izango da azoka, baina baita argi enpresa berezitasunak errealitateak lotuta. Bestela esanda, ordenagailuak edo software konfigurazioa berritzea aholkuak ez dira onartuko. Hau berdin "ezinda" langileak, jarraipen-sistema berriak instalatu kaleratzea aholkuei aplikatzen helmugara, kokapena eta egokitasuna zehaztu gabe.

Oinarritutako azterketa oinarrituta, arau gisa, hainbat arrisku talde daude. Kasu honetan, laburpen-txosten bat funtsezko bi adierazle erabiltzen biltzeko: (. aktiboen galera, ospe murriztea, irudi galtzea eta abar) eraso baten probabilitatea eta enpresari eragindako kaltea eraginez. Hala ere, talde errendimendua ez dira berdinak. Adibidez, behe-mailako eraso probabilitatea adierazle onena da. aitzitik - kalteengatik.

Orduan bakarrik konpilatu dela etapa, metodo eta ikerketaren baliabide guztiak margotu Xehetasunak txosten bat. adostu zuen lidergoa, eta bi aldeak sinatutako - Enpresaren eta ikuskariaren. badu ikuskaritza barne, dagokion egiturazko unitatea, zuen, berriz ere, sinatu eta horren ondoren burua by buru-txosten bat da.

Informazioaren segurtasuna ikuskaritza: Adibidea

Azkenik, egoera hori dagoeneko gertatu adibide errazena uste dugu. Askok, bide batez, oso ezagunak iruditu.

Adibidez, enpresa baten kontratazio laburrari langileek, eta ICQ berehalako mezulari ordenagailuan ezarri (langile eta enpresaren izena izenean, ez dago arrazoi bistako izeneko). Negoziazioak egin ziren, hain zuzen programa honen bitartez. Baina "ICQ" nahiko segurtasun aldetik zaurgarria da. Auto matrikula zenbakiak langile unean edo ez zuen helbide elektroniko bat, edo besterik ez zuen nahi hori emateko. Horren ordez, adierazi e-mail, eta are existitzen ez domeinu antzeko zerbait egin zuen.

Zer izango litzateke erasotzaile? informazioaren segurtasun-ikuskaritza baten bidez ikusten den bezala, erregistratu beharko litzateke zehazki domeinu berean eta sortutako luke izan, beste erregistro-terminal, eta ondoren Mirabilis konpainia ICQ zerbitzu jabea, pasahitza berreskuratzeko eskatzeko mezu bat bidali izan dela bere galera (hori egin beharko litzateke ). posta zerbitzari baten hartzaileak ez zen bezala, barne zen birbideratu - Dagoen intruder mail bat redirect.

Ondorioz, korrespondentzia sarbidea eman ICQ zenbakia batekin lortzen zuen eta hornitzaile ondasunen hartzailearen helbidea aldatzeko herrialde jakin batean informatzen. Horrela, ondasun helmuga ezezagun bat bidali. Eta gehien Kalterik adibide da. Beraz, jokabide disorderly. Eta hacker serioago nor askoz ere gai buruz zer ...

ondorio

Hemen labur bat eta hori guztia IP segurtasun ikuskaritza erlazionatzen da. Jakina, ez da alderdi guztiak kaltetutako. Arrazoia da hori bakarrik arazo eta bere jokabide-metodoen formulazioa faktore asko eragiten du, beraz, kasu bakoitzean hurbilketa zorrozki banakako da. Horrez gain, metodoak eta bitartekoak informazio segurtasun ikuskaritza zirkuitu batetik bestera ezberdina izan daiteke. Hala ere, uste dut, probak, hala nola printzipio orokorrak askorentzat, agerikoa nahiz eta lehen mailan.