ביקורת אבטחת מידע: יעדים, שיטות וכלים, למשל. ביקורת אבטחת מידע של הבנק

היום, כולם יודעים את הביטוי המקודש כמעט שבבעלותו המידע, הבעלים של העולם. לכן בימינו לגנוב מידע סודי מנסים כולם יחד ולחוד. בהקשר זה, נקט צעדים חסרי תקדים ויישום של אמצעי הגנה מפני התקפות אפשריות. עם זאת, לעתים ייתכן שיהיה צורך לערוך ביקורת של אבטחת מידע בארגון. מה זה ולמה הוא כל מה עכשיו, ולנסות להבין.

מהי ביקורת אבטחת מידע של ההגדרה הכללית?

מי לא ישפיע על המונחים מדעיים הסתומים, ולנסות לקבוע לעצמם את המושגים הבסיסיים, המתאר אותם בשפה הפשוטה ביותר (עם זה יכול להיקרא הביקורת על "הבובות").

שמו של אירועים מורכבים מדבר בעד עצמו. ביקורת אבטחת מידע מהווה אימות או עצמאי ביקורת עמיתים כדי להבטיח את הביטחון של מערכות מידע (IS) של כל חברה, מוסד או ארגון על בסיס קריטריונים שפותחו במיוחד מחוונים.

במילים פשוטות, למשל, ביקרנו את אבטחת המידע של הבנק מסתכם, על מנת להעריך את רמת ההגנה של מאגרי מידע של לקוחות שנערך על ידי פעולות בנקאיות, את שלומם של כסף אלקטרוני, שמירה על הסודיות הבנקאית, וכן הלאה. ד במקרה של התערבות בפעילות של אנשים בלתי מורשים מוסד מבחוץ, באמצעות מתקנים אלקטרוניים במחשב.

אין ספק, בין הקוראים יש לפחות אדם אחד שקרא בבית או טלפון נייד עם הצעה של עיבוד ההלוואה או הפיקדון, הבנק שאיתו אין שום קשר. כנ"ל לגבי רכישות ומציע מחנויות כמה. מאין בא לחדר שלך?

זה פשוט. אם אדם בעבר לקח הלוואות או שקיעת חשבון פיקדון, כמובן, הנתונים שלה מאוחסן נפוץ בסיס לקוחות. כאשר אתה מתקשר בנק אחר או בחנות יכול להיות רק מסקנה אחת: המידע על זה הגיע באופן בלתי חוקי לצדדים שלישיים. איך? באופן כללי, קיימות שתי אפשרויות: או שהוא נגנב, או שהועבר לעובדי הבנק לצדדים שלישיים במודע. על מנת שדברים כאלה לא קורים, ואתה צריך זמן כדי לערוך ביקורת של אבטחת המידע של הבנק, וזה חל לא רק על המחשב או "ברזל" אמצעי הגנה, אבל הצוות כולו של המוסד.

הכיוונים העיקריים של ביקורת אבטחת מידע

באשר להיקף הביקורת, ככלל, הם כמה:

• בדיקה מלאה של האובייקטים מעורבים בתהליכים של מידע (מערכת אוטומטית למחשב, אמצעי תקשורת, קבלה, הולכת מידע ועיבוד, מתקנים, הנחות לפגישות סודיות, מערכות ניטור, וכו ');
• מבדיקת מהימנות של הגנה על מידע סודי עם גישה מוגבלת (קביעת זליגה אפשרית וערוצי חורי אבטחה פוטנציאליים ומאפשר גישה בומבחוץ עם שימוש בשיטות סטנדרטיות שאינם סטנדרטיים);
• לבדוק את כל המערכות למחשב החומרה מקומית האלקטרוניות עבור חשיפה לקרינת הפרעות אלקטרומגנטיות, המאפשר להם לכבות או להביא למצב של עזובה;
• פרויקט חלק, הכולל עבודה על היצירה והיישום של תפיסת ביטחון של היישום המעשי שלה (הגנה של מערכות מחשב, מתקנים, מתקני תקשורת, וכו ').

כשמדובר הביקורת?

שלא לדבר על מצבים קריטיים שבהם ההגנה כבר היה שבור, הביקורת של אבטחת מידע בארגון יכול להתבצע, ובמקרים מסוימים אחרים.

בדרך כלל, אלה כוללים את ההתרחבות של החברה, מיזוג, רכישה, השתלטות על ידי חברות אחרות, לשנות את מהלך מושגים עסקיים או הנחיות, שינויים במשפט בינלאומי או בחקיקה בתוך מדינה, שינויים רציניים למדי בתשתית המידע.

סוגים של ביקורת

היום, בעצם סיווגו של סוג זה של ביקורת, על פי אנליסטים רבים ומומחים לא הוקם. לכן, החלוקה למעמדות ובמקרים מסוימים יכול להיות די שרירותית. עם זאת, באופן כללי, את הביקורת של אבטחת מידע ניתן לחלק חיצוני ופנימי.

ביקורת חיצונית שנערכה על ידי מומחים עצמאיים שיש להם את הזכות לעשות, היא בדרך כלל בדיקה חד פעמית, אשר עשוי להיות שיזמת הנהלה, בעלי מניות, רשויות אכיפת החוק, וכו ' הוא האמין כי ביקורת חיצונית של אבטחת מידע מומלצת (אך לא חובה) לבצע באופן קבוע למשך פרק זמן מוגדר. אבל עבור כמה ארגונים ומפעלים, על פי החוק, חובה (למשל, מוסדות פיננסיים וארגונים, חברות מניות משותפות, ועוד.).

אבטחת מידע ביקורת פנימית היא תהליך מתמיד. היא מבוססת על "תקנות על ביקורת פנימית" מיוחדות. מה זה? למעשה, פעילויות הסמכה זו מתבצעת בארגון, מבחינת שאושרו על ידי ההנהלה. ביקורת אבטחת מידע על ידי יחידת משנה מבנית מיוחדת של המפעל.

סיווג של ביקורת אלטרנטיבי

לצד החלוקה המתוארת לעיל למעמדות במקרה הכללי, נוכל להבחין בכמה רכיבים מתוצרת הסיווג הבינלאומי:

• מומחה לבדיקת מעמדם של מערכות אבטחה ומידע המידע על בסיס ניסיון אישי של מומחים, ניצוח שלה;
• מערכות הסמכת אמצעי אבטחה עבור עמידה בסטנדרטים בינלאומיים (ISO 17,799) ומכשירים משפטיים לאומיים להסדרת תחום פעילות זה;
• ניתוח של אבטחת מערכות מידע עם שימוש באמצעים טכניים שמטרתו לאתר נקודות תורפה פוטנציאליות במתחם תוכנה וחומרה.

לפעמים זה יכול להיות מיושם ואת הביקורת המקיפה שנקראת, אשר כוללת את כל הסוגים הנ"ל. אגב, הוא נותן את התוצאות האובייקטיביות ביותר.

מטרות ויעדים מבוימים

כל אימות, פנימי וחיצוני, מתחילה עם קביעת מטרות ויעדים. במילים פשוטות, אתה צריך לברר מדוע, איך ומה ייבדקו. זה יקבע את הליך נוסף של ביצוע התהליך כולו.

משימות, בהתאם למבנה הספציפי של העסק, ארגון, מוסד ופעילותה יכול להיות הרבה למדי. עם זאת, בתוך כל במהדורה זו, מטרה המאוחדת של ביקורת אבטחת מידע:

• הערכה של מצב מערכות אבטחת מידע מידע;
• ניתוח של הסיכונים האפשריים הקשורים הסיכון של חדירת IP חיצוני לאופנים אפשריים להפרעות כגון;
• לוקליזציה של חורים ופערים במערכת הביטחון;
• ניתוח של הרמה המתאימה של אבטחת מערכות מידע בסטנדרטים הנוכחיים מעשים רגולטוריים ומשפטיים;
• פיתוח ואספקה של המלצות בנוגע להסרה של הבעיות הקיימות, כמו גם השיפור של התרופות הקיימות לבין המבוא של התפתחויות חדשות.

מתודולוגיה וכלי ביקורת

עכשיו כמה מילים על איך המחאה ואילו צעדים ואמצעים זה כרוך.

ביקורת אבטחת מידע מורכבת מכמה שלבים:

• להתחיל בתהליכי אימות (הגדרה ברורה של זכויות וחובות של המבקר, המבקר בודק את הכנת התכנית והתיאום שלו עם ההנהלה, שאלת הגבולות של המחקר, הטיל על חברים המחויבים לארגון אכפת ומתן בזמן של מידע רלוונטי);
• איסוף נתונים ראשוניים (מבנה ביטחון, חלוקת תכונות אבטחה, רמות אבטחה של שיטות ניתוח ביצועי מערכת לקבלה ומסירת מידע, קביעת ערוצי תקשורת ואינטראקצית IP עם מבנים אחרים, היררכיה של משתמשים של רשתות מחשבים, פרוטוקולי הנחישות, וכו ');
• לערוך בדיקה מקיפה או חלקית;
• ניתוח נתונים (ניתוח סיכונים מכל סוג ותאימות);
• הנפקת המלצות כדי לטפל בבעיות פוטנציאליות;
• דור דו"ח.

השלב הראשון הוא פשוט ביותר, כי החלטתה נעשית אך ורק בין הנהלת החברה לבין המבקר. הגבולות של הניתוח יכולים להיחשב באסיפה הכללית של עובדים או בעלי מניות. כל זה ועוד הקשורים לתחום המשפטי.

השלב השני של איסוף נתוני בסיס, בין אם מדוברת בביקורת פנימית של אבטחת מידע או הסמכה עצמאית חיצונית הוא הכי עתיר משאבים. זאת בשל העובדה כי בשלב זה אתה צריך לא רק לבחון את התיעוד הטכני המתייחס לכל החומרה והתוכנה, אלא גם כדי לצמצם-מראיין עובדי החברה, וברוב המקרים גם עם מילוי שאלונים או סקרים מיוחדים.

ובאשר התיעוד הטכני, חשוב לקבל נתונים על מבנה IC והרמות העדיפות של זכויות גישת עובדיה, לזהות מערכתית ותוכנות יישום (מערכת ההפעלה עבור יישומים עסקיים, הניהול והספירה שלהם), כמו גם את ההגנה הקימה את התוכנה וסוג הלא התוכנית (תוכנת אנטי-וירוס, חומת אש, וכו '). בנוסף, זה כולל את האימות המלאה של רשתות וספקי שירותי תקשורת (ארגון רשת, פרוטוקולים המשמשים לחיבור, סוגי ערוצי תקשורת, שידור ושיטות קבלה של מידע זורם, ועוד). כפי שעולה בבירור, זה לוקח הרבה זמן.

בשלב הבא, בשיטות של ביקורת אבטחת מידע. הם שלושה:

• ניתוח סיכונים (הטכניקה הקשה ביותר, המבוססים על קביעת המבקר לחדירה של הפרת IP ואת שלמותה באמצעות כל שיטות אפשריות וכלים);
• הערכה של עמידה בסטנדרטים וחקיקה (השיטה הפשוטה והמעשית ביותר בהתבסס על השוואה בין המצב הקיים לבין הדרישות של תקנים בינלאומיים ומסמכים מקומיים בתחום אבטחת מידע);
• השיטה המשולבת המשלב את השניים הראשונים.

לאחר קבלת תוצאות האימות של הניתוח שלהם. ביקורת קרנות של אבטחת מידע, אשר משמשות לניתוח, יכולה להיות מגוונת למדי. הכל תלוי את הפרטים של העסק, את סוג המידע, התוכנה תשתמש, הגנה וכן הלאה. עם זאת, כפי שניתן לראות על השיטה הראשונה, המבקר בעיקר צריך להסתמך על ניסיונם האישי.

וזה רק אומר שזה חייב להיות מלא בתחום טכנולוגיית מידע והגנה על נתונים. על בסיס ניתוח זה, המבקר ומחשב את הסיכונים האפשריים.

שימו לב כי הוא צריך להתמודד לא רק במערכת ההפעלה או של התוכנית בשימוש, למשל, לצורך עסקים או חשבונאות, אלא גם להבין בבירור כיצד תוקף יכול לחדור לתוך מערכת מידע לצורך גניבה, נזק והרס של נתונים, יצירת תנאים מוקדמים עבור הפרות במחשבים, התפשטות של וירוסים או תוכנות זדוניות.

הערכת ממצאי ביקורת והמלצות כדי לטפל בבעיות

בהתבסס על ניתוח המומחה מסכם על מצב ההגנה ונותן המלצות כדי לטפל בבעיות קיימות או פוטנציאל, שדרוגי אבטחה, וכו ' ההמלצות לא צריכות רק להיות הוגנות, אלא גם קשורה בבירור למציאות של פרטי העסק. במילים אחרות, טיפים על שדרוג התצורה של המחשבים או תוכנה לא יתקבלו. זה שווה חל על העצה של הפיטורים של אנשים "לא אמינים", להתקין מערכות מעקב חדשות מבלי לציין ליעדם, את המיקום ואת נאותות.

בהתבסס על הניתוח, ככלל, ישנם מספר קבוצות סיכון. במקרה זה, כדי לקמפל דו"ח סיכום משתמשת בשני אינדיקטורים מרכזיים: (. אובדן של נכסים, הפחתה של המוניטין, אובדן תמונה וכן הלאה) את ההסתברות של מתקפה ואת הנזק שנגרם לחברה כתוצאה מכך. עם זאת, הביצועים של הקבוצות אינם זהים. לדוגמא, מחוון ברמה נמוכה עבור ההסתברות של התקפה הוא הטוב ביותר. בגין נזקים - להיפך.

רק אז הידור דוח שכולל צבועים כל השלבים, שיטות ואמצעי המחקר. הוא הסכים עם ההנהגה ונחתם על ידי שני הצדדים - החברה לבין המבקר. אם הביקורת הפנימית, הוא דיווח ראש היחידה המבנית בהתאמה, לאחר שהוא, שוב, חתום על ידי ראש.

ביקורת אבטחת מידע: דוגמה

לבסוף, אנו רואים את הדוגמא הפשוטה ביותר של מצב זה כבר קרה. רב, אגב, זה אולי נראה מאוד מוכר.

לדוגמה, צוות הרכש של החברה בארצות הברית, הוקמה בשנת המחשב תוכנת המסרים המידיים ICQ (על שם העובד ואת שם החברה לא שם מסיבות מובנות). המו"מ נערכו דווקא באמצעות תוכנית זו. אבל "ICQ" פגיע למדי במונחים של ביטחון. עובד עצמאי לפי מספרי הרישום במועד או לא להיות בעל כתובת דוא"ל, או פשוט לא רוצה לתת אותו. במקום זאת, הוא הצביע על משהו כמו דואר אלקטרוני, ואפילו דומיין שאינו קיים.

מה היה התוקף? כפי שניתן לראות על ידי ביקורת של אבטחת מידע, זה יהיה רשום בדיוק באותו התחום והיצר יהיה בה, אחרת מסוף רישום, ולאחר מכן יכול לשלוח הודעה לחברת מיראביליס שבבעלותו שירות ICQ, בקשת איפוס סיסמא בשל האובדן שלה (כי ייעשה ). כמי שקבל את שרת הדואר לא היה, זה היה כלול להפנות - מחדש אל דואר פורץ קיים.

כתוצאה מכך, הוא מקבל גישת ההתכתבות עם מספר ICQ הנתון מודיע ההספק לשנות את הכתובת של הנמען של הטובין במדינה מסוימת. לפיכך, את הסחורה שנשלחה אל יעד בלתי ידוע. וזה הוא הדוגמא הכי התמימה. אז, התנהגות פרועה. ומה עם האקרים רציניים יותר שמסוגלים הרבה יותר ...

מסקנה

הנה בקצרה וכל הקשור ביקורת אבטחה IP. כמובן, זה אינו מושפע כל ההיבטים של זה. הסיבה היא פשוט כי ניסוח הבעיות ודרכי התנהלותה משפיעה הרבה גורמים, כך הגישה בכל מקרה היא פרט בקפדנות. בנוסף, השיטות ואמצעי ביקורת אבטחת מידע יכולים להיות שונות עבור שבבים שונים. עם זאת, אני חושב, את העקרונות הכלליים של בדיקות כאלה עבור רבים להתברר אפילו בדרג היסודי.