تدقيق أمن المعلومات: الأهداف والأساليب والأدوات، على سبيل المثال. تدقيق أمن المعلومات بالبنك

اليوم، والجميع يعرف هذه العبارة المقدسة تقريبا الذي يملك المعلومات، وتملك العالم. هذا هو السبب في وقتنا لسرقة معلومات سرية تحاول كل من هب ودب. وفي هذا الصدد، اتخذت خطوات وتنفيذ وسائل حماية ضد هجمات محتملة غير مسبوقة. ومع ذلك، في بعض الأحيان قد تحتاج إلى إجراء مراجعة لأمن المعلومات المؤسسة. ما هو عليه، وماذا يعني كل ذلك الآن، ونحاول أن نفهم.

ما هو التدقيق في أمن المعلومات في التعريف العام؟

الذي لن يؤثر على المصطلحات العلمية صعب، ومحاولة لتحديد لأنفسهم المفاهيم الأساسية، واصفا إياها بلغة أبسط (الشعب الذي يمكن أن يسمى التدقيق ل "الدمى").

اسم من الأحداث المعقدة يتحدث عن نفسه. تدقيق سلامة المعلومات هو التحقق أو مستقل مراجعة النظراء لضمان أمن نظم المعلومات (IS) من أي شركة أو مؤسسة أو منظمة على أساس المعايير والمؤشرات التي وضعت خصيصا لذلك.

بعبارات بسيطة، على سبيل المثال، تدقيق أمن المعلومات في البنك يتلخص، لتقييم مستوى حماية قواعد بيانات العملاء التي تحتفظ بها العمليات المصرفية، وسلامة النقود الإلكترونية، والحفاظ على السرية المصرفية، وهلم جرا. D. في حالة التدخل في أنشطة المؤسسات والأشخاص غير المرخص لهم من الخارج، وذلك باستخدام مرافق الإلكترونية والكمبيوتر.

بالتأكيد، بين القراء هناك شخص واحد على الأقل الذي دعا المنزل أو الهاتف المحمول مع اقتراح معالجة القروض أو الودائع، والبنك الذي عليها أن تفعل شيئا. الأمر نفسه ينطبق على عمليات الشراء والعروض من بعض المتاجر. جاء أين الغرفة الخاصة بك؟

انها بسيطة. إذا كان الشخص استغرق سابقا قروض أو استثمار في حساب وديعة، وبطبيعة الحال، يتم تخزين البيانات الخاصة به في المشترك قاعدة العملاء. عند استدعاء من بنك أو مخزن آخر يمكن أن يكون نتيجة واحدة فقط: المعلومات حول هذا الموضوع جاء بطريقة غير مشروعة إلى أطراف ثالثة. كيف؟ بشكل عام، هناك خياران: إما أنها سرقت، أو نقلها إلى موظفي البنك لأطراف ثالثة بوعي. من أجل لم مثل هذه الأمور لن يحدث، وكنت بحاجة الى وقت لإجراء مراجعة لأمن المعلومات في البنك، وهذا لا ينطبق فقط على الكمبيوتر أو وسائل "الحديد" الحماية، ولكن جميع موظفي المؤسسة.

الاتجاهات الرئيسية لتدقيق أمن المعلومات

وفيما يتعلق نطاق المراجعة، وكقاعدة عامة، فهي عدة:

• الاختيار الكامل للأعيان مستخدمة في عمليات المعلومات (الحاسوب الآلي النظام، ووسائل الاتصال، واستقبال ونقل المعلومات ومعالجتها والمرافق والمباني لاجتماعات سرية، نظم الرصد، الخ)؛
• التحقق من موثوقية حماية المعلومات السرية مع وصول محدود (تقرير من تسرب محتمل والمحتملة قنوات الثغرات الأمنية مما يتيح الوصول من الخارج مع استخدام الأساليب القياسية وغير القياسية)؛
• تحقق من جميع أنظمة الكمبيوتر والأجهزة الإلكترونية المحلية عن التعرض للإشعاع الكهرومغناطيسي والتدخل، والسماح لهم لإيقاف أو تحقيق في حالة سيئة.
• جزء المشروع، الذي يتضمن العمل على إنشاء وتطبيق مفهوم الأمن في تنفيذها عمليا (حماية أنظمة الكمبيوتر، ومرافق وخدمات الاتصال، وما إلى ذلك).

عندما يتعلق الأمر إلى مراجعة؟

ناهيك عن الحالات الحرجة حيث تم دفاع كسر بالفعل، يمكن أن يتم مراجعة أمن المعلومات في المؤسسة بها، وفي بعض الحالات الأخرى.

عادة، وهذه تشمل التوسع للشركة، والاندماج والحيازة والاستيلاء عليها من قبل شركات أخرى، وتغيير مسار مفاهيم الأعمال أو المبادئ التوجيهية، والتغييرات في القانون الدولي أو في التشريعات داخل البلد، والتغيرات خطيرة إلى حد ما في البنية التحتية للمعلومات.

أنواع التدقيق

اليوم، لم يتم تأسيس تصنيف جدا لهذا النوع من التدقيق، وفقا لكثير من المحللين والخبراء. ولذلك، فإن الانقسام إلى طبقات في بعض الحالات يمكن أن يكون تعسفيا تماما. ومع ذلك، في العام، ومراجعة أمن المعلومات يمكن تقسيمها إلى الخارجية والداخلية.

التدقيق الخارجي الذي أجراه الخبراء المستقلين الذين لديهم الحق في القيام به، وعادة ما يكون الاختيار لمرة واحدة، والتي قد تكون بدأت من قبل الإدارة، والمساهمين، ووكالات إنفاذ القانون، الخ ويعتقد أن المراجعة الخارجية لأمن المعلومات ويوصى (ولكن غير مطلوب) لأداء بانتظام لفترة معينة من الزمن. لكن بالنسبة لبعض المنظمات والمؤسسات، وفقا للقانون، وهو إلزامي (على سبيل المثال، والمؤسسات المالية والمنظمات والشركات المساهمة، وغيرها).

أمن المعلومات التدقيق الداخلي هو عملية مستمرة. لأنه يقوم على "لائحة المراجعة الداخلية" الخاصة. ما هو؟ في الواقع، قامت هذه الأنشطة شهادة في المنظمة، من حيث المعتمدة من قبل الإدارة. عملية تدقيق أمن المعلومات من خلال وحداتها الهيكلية خاص للمشروع.

تصنيف بديل التدقيق

وبالاضافة الى تقسيم المبين أعلاه إلى طبقات في الحالة العامة، يمكننا أن نميز عدة مكونات مصنوعة في التصنيف الدولي:

• خبير فحص حالة نظم المعلومات الأمنية والمعلومات على أساس تجربة شخصية من الخبراء وإجراء فيه؛
• نظم إصدار الشهادات والتدابير الأمنية لتتماشى مع المعايير الدولية (ISO 17799) والصكوك القانونية الوطنية المنظمة لهذا المجال من النشاط؛
• تحليل أمن نظم المعلومات باستخدام الوسائل التقنية التي تهدف إلى تحديد نقاط الضعف المحتملة في البرامج والأجهزة المعقدة.

أحيانا يمكن تطبيقه وما يسمى المراجعة الشاملة، التي تشمل جميع أنواع المذكورة أعلاه. من جانب الطريق، وقال انه يعطي نتائج أكثر موضوعية.

الأهداف والغايات نظموا

أي التحقق، سواء كانت داخلية أو خارجية، يبدأ مع تحديد الأهداف والغايات. ببساطة، تحتاج إلى تحديد لماذا وكيف وماذا وسيتم اختبار. هذا وسوف يحدد إجراء مزيد من تنفيذ العملية برمتها.

المهام، اعتمادا على بنية محددة للمؤسسة أو منظمة أو مؤسسة وأنشطتها يمكن أن يكون الكثير جدا. ومع ذلك، وسط كل هذا الإصدار، هدف موحد للتدقيق أمن المعلومات:

• تقييم حالة نظم أمن المعلومات والمعلومات؛
• تحليل المخاطر المحتملة المرتبطة خطر اختراق IP الخارجي والطرائق الممكنة لمثل هذا التدخل.
• الترجمة من الثقوب والثغرات في النظام الأمني.
• تحليل لمستوى مناسب من أمن نظم المعلومات إلى المعايير الحالية والأعمال التنظيمية والقانونية؛
• تطوير وتقديم التوصيات التي تنطوي على إزالة المشاكل القائمة، فضلا عن تحسين العلاجات الحالية وإدخال التطورات الجديدة.

منهجية التدقيق وأدوات

الآن بضع كلمات عن كيفية الاختيار وما هي الخطوات والوسائل تنطوي عليه.

وتشمل عملية المراجعة أمن المعلومات من عدة مراحل:

• بدء إجراءات التحقق (تعريف واضح للحقوق ومسؤوليات المدقق والمدقق يتحقق إعداد الخطة والتنسيق مع الإدارة، ومسألة حدود الدراسة، وفرض على أعضاء التزام منظمة لرعاية وتوفير المعلومات في الوقت المناسب ذات الصلة)؛
• جمع البيانات الأولية (الهيكل الأمني، وتوزيع ميزات الأمان، ومستويات أمن طرق تحليل أداء النظام للحصول على وتوفير المعلومات، وتحديد قنوات الاتصال والتفاعل IP مع غيرها من الهياكل، والتسلسل الهرمي من مستخدمي الشبكات الحاسوبية والبروتوكولات تقرير، الخ)؛
• إجراء تفتيش شامل أو جزئي.
• تحليل البيانات (تحليل مخاطر من أي نوع والامتثال)؛
• إصدار توصيات لمعالجة المشاكل المحتملة.
• الجيل التقرير.

المرحلة الأولى هي الأكثر بسيطة، ليتم قرارها وحدها بين إدارة الشركة ومراقب الحسابات. يمكن اعتبار حدود التحليل في الاجتماع العام للموظفين أو المساهمين. كل هذا وأكثر ذات العلاقة بالمجال القانوني.

المرحلة الثانية من جمع البيانات الأساسية، سواء كان هو التدقيق الداخلي لأمن المعلومات أو شهادة خارجية مستقلة هي الأكثر الموارد كثيفة. ويرجع ذلك إلى حقيقة أنه في هذه المرحلة تحتاج إلى دراسة ليس فقط الوثائق الفنية المتعلقة بجميع الأجهزة والبرمجيات، ولكن أيضا لتضييق-إجراء مقابلات مع موظفي الشركة، وفي معظم الحالات حتى مع ملء الاستبيانات أو المسوحات الخاصة.

أما بالنسبة للالوثائق التقنية، من المهم الحصول على بيانات عن هيكل IC ومستويات الأولوية لحقوق الوصول إلى موظفيها، لتحديد وتطبيق البرمجيات (نظام التشغيل لتطبيقات الأعمال، والإدارة، والمحاسبة) على نطاق المنظومة و، فضلا عن حماية المنشأة من البرنامج ونوع غير برنامج (برامج مكافحة الفيروسات، والجدران النارية، وغيرها). وبالإضافة إلى ذلك، وهذا يشمل التحقق الكامل للشبكات ومزودي خدمات الاتصالات (منظمة شبكة، البروتوكولات المستخدمة للاتصال، وأنواع من قنوات الاتصال، ونقل وطرق استقبال تدفق المعلومات، وأكثر من ذلك). كما هو واضح، فإنه يأخذ الكثير من الوقت.

في المرحلة المقبلة، وأساليب التدقيق أمن المعلومات. هم ثلاثة:

• تحليل المخاطر (تقنية أصعب، استنادا إلى تقرير مراقب الحسابات للاختراق من التعدي على الملكية الفكرية وسلامتها بكل الوسائل الممكنة والأدوات).
• تقييم الامتثال مع المعايير والتشريعات (أبسط والأكثر عملية طريقة تقوم على المقارنة بين الوضع الراهن ومتطلبات المعايير الدولية والوثائق المحلية في مجال أمن المعلومات)؛
• طريقة المشتركة التي تجمع بين الأولين.

بعد تلقي نتائج التحقق من تحليلها. الأموال التدقيق أمن المعلومات، والتي تستخدم لهذا التحليل، يمكن أن تختلف تماما. كل هذا يتوقف على تفاصيل المشروع، ونوع من المعلومات، البرامج التي تستخدمها، وحماية وهلم جرا. ومع ذلك، كما يمكن أن ينظر إليه على الطريقة الأولى، ومدقق الحسابات بشكل رئيسي إلى الاعتماد على خبراتهم الخاصة.

وهذا يعني فقط أنه يجب أن يكون مؤهل في مجال تكنولوجيا المعلومات وحماية البيانات. على أساس هذا التحليل، ومدقق الحسابات وحساب المخاطر المحتملة.

لاحظ أنه يجب التعامل ليس فقط في نظام التشغيل أو البرنامج المستخدم، على سبيل المثال، للعمل أو المحاسبة، ولكن أيضا لفهم بوضوح كيف يمكن للمهاجم اختراق في نظام المعلومات لغرض السرقة والتلف والتدمير من البيانات، وإنشاء شروط مسبقة للانتهاكات في أجهزة الكمبيوتر، وانتشار الفيروسات أو البرمجيات الخبيثة.

تقييم نتائج المراجعة وتوصيات لمعالجة المشاكل

استنادا إلى تحليل يخلص الخبير حول وضع الحماية ويعطي توصيات لمعالجة المشاكل القائمة أو المحتملة، ورفع مستوى الأمن، الخ لا ينبغي أن يكون التوصيات فقط عادلة، ولكن أيضا يرتبط بشكل واضح إلى واقع تفاصيل المشاريع. وبعبارة أخرى، لا تقبل النصائح حول تطوير التكوين من أجهزة الكمبيوتر أو البرامج. وهذا ينطبق أيضا على نصيحة إقالة الموظفين "غير موثوق بها"، تركيب أنظمة التتبع الجديدة دون تحديد وجهتهم، ومكان وملاءمة.

استنادا إلى تحليل، وكقاعدة عامة، وهناك العديد من الفئات المعرضة للخطر. في هذه الحالة، لتجميع يستخدم تقريرا موجزا اثنين من المؤشرات الرئيسية: (خسارة الأصول، والحد من سمعة، وفقدان الصورة وهلم جرا) احتمال وقوع هجوم والأضرار التي لحقت الشركة نتيجة لذلك. ومع ذلك، فإن أداء المجموعات ليست هي نفسها. على سبيل المثال، مؤشر على مستوى منخفض لاحتمال الهجوم هو أفضل. عن الأضرار - على العكس من ذلك.

عندها فقط بتجميع التقرير أن تفاصيل رسمت كل المراحل والأساليب والوسائل للبحث. واتفق مع القيادة والذي وقعه الجانبان - الشركة ومدقق الحسابات. إذا كان التدقيق الداخلي، هو تقرير رئيس وحدة الهيكلية منها، وبعد ذلك، مرة أخرى، وقعت من قبل رئيس.

تدقيق سلامة المعلومات: مثال

وأخيرا، فإننا نعتبر أبسط مثال على الحالة التي قد حدث بالفعل. كثير، بالمناسبة، قد يبدو مألوفا جدا.

على سبيل المثال، موظفي المشتريات الشركة في الولايات المتحدة، التي أنشئت في ICQ الكمبيوتر حظة رسول (اسم الموظف واسم الشركة لا يدعى لأسباب واضحة). وأجريت المفاوضات على وجه التحديد عن طريق هذا البرنامج. ولكن "ICQ" عرضة للغاية من الناحية الأمنية. لم موظف النفس في أرقام التسجيل في الوقت أو لم يكن لديك عنوان بريد إلكتروني، أو فقط لا تريد أن تعطيه. بدلا من ذلك، أشار إلى شيء مثل البريد الإلكتروني، وحتى نطاق غير موجود.

ما من شأنه المهاجم؟ كما يتضح من مراجعة لأمن المعلومات، وسيتم تسجيله بالضبط نفس المجال وخلق سيكون في ذلك، محطة تسجيل آخر، وبعد ذلك يمكن ان ترسل رسالة الى شركة ميرابيليس التي تملك خدمة ICQ، طلب استعادة كلمة المرور بسبب خسارتها (التي سيتم القيام به ). كما كان المستفيد من خادم البريد لا، أدرج إعادة توجيه - إعادة توجيه إلى ملكك الدخيل القائمة.

ونتيجة لذلك، وقال انه يحصل على الوصول إلى مراسلات مع عدد ICQ معين، ويبلغ المورد لتغيير عنوان المستلم من البضائع في بلد معين. وهكذا، البضائع المرسلة إلى جهة مجهولة. وهذا هو المثال الأكثر مؤذية. لذلك، السلوك غير المنضبط. وماذا عن المتسللين أكثر خطورة القادرين على أكثر من ذلك بكثير ...

استنتاج

وفيما يلي نبذة مختصرة وكل ما يتعلق التدقيق الأمني IP. وبطبيعة الحال، لا يتأثر بها كل جوانب منه. والسبب هو أن مجرد في صياغة المشاكل وطرق سلوكها يؤثر على الكثير من العوامل، وبالتالي فإن النهج في كل حالة هو فرد بدقة. وبالإضافة إلى ذلك، يمكن للأساليب ووسائل التدقيق أمن المعلومات تكون مختلفة عن المرحلية مختلفة. ومع ذلك، أعتقد، والمبادئ العامة لهذه الاختبارات بالنسبة للكثيرين أصبح واضحا حتى في المرحلة الابتدائية.