Auditoría de Seguridade da Información: obxectivos, métodos e ferramentas, exemplo. auditoría da base de seguridade da información

Hoxe, todo o mundo sabe a frase case sagrada que posúe a información, é propietario do mundo. É por iso que no noso tempo para roubar información confidencial están tentando todos. A este respecto, tomou medidas e implementación de medios de protección contra posibles ataques sen precedentes. Con todo, ás veces pode ser necesario realizar unha auditoría de seguridade da información da empresa. Que é e por que todo é agora, e tentar entender.

¿Que é unha auditoría de seguridade da información na definición xeral?

Quen non afectará os termos científicos abstrusas, e tentar determinar por si mesmos os conceptos básicos, describindo os na linguaxe máis simple (as persoas que poderían ser chamados a auditoría para os "maniquíes").

O nome dos eventos complexos fala por si. auditoría de seguridade da información é unha verificación independente ou revisión por pares para garantir a seguridade dos sistemas de información (SI) de calquera empresa, institución ou organización en base a criterios e indicadores especialmente desenvolvidos.

En palabras simples, por exemplo, auditoría de seguridade de información da base ferve abaixo, para avaliar o nivel de protección de bases de datos de clientes detidos por operacións bancarias, a seguridade do diñeiro electrónico, a preservación do segredo bancario, e así por diante. D. No caso de interferencia nas actividades da institución que persoas non autorizadas fóra, usando instalacións electrónicos e informáticos.

Certamente, entre os lectores hai polo menos unha persoa que chamou a casa ou teléfono móbil con unha proposta de procesamento do préstamo ou depósito, a base coa que non ten nada que facer. O mesmo se aplica a compra e ofertas de algunhas tendas. De onde xurdiu o seu cuarto?

É sinxelo. Se unha persoa tivo anteriormente préstamos ou investidos nunha conta de depósito, por suposto, os seus datos gárdanse nunha común base de clientes. Cando chama doutro banco ou tenda pode ser só unha conclusión: a información sobre el entrou ilegalmente a terceiros. Como? En xeral, hai dúas opcións: ou foi roubado, ou transferir os funcionarios do banco a terceiros de forma consciente. Para que tales cousas non acontecen, e precisa de tempo para realizar unha auditoría de seguridade da información da base, e iso se aplica non só para ordenador ou medios "de ferro" de protección, pero todo o persoal da institución.

As direccións principais de auditoría de seguridade da información

En canto ao ámbito da auditoría, como norma xeral, son varios:

• comprobación completa dos obxectos implicados nos procesos de información (sistema informático automatizado, medios de comunicación, recepción, transmisión e procesamento de información, instalacións, instalacións para reunións confidenciais, sistemas de seguimento, etc.);
• comprobar a fiabilidade da protección da información confidencial con acceso limitado (determinación dunha posible extravasamento e potenciais canles buratos de seguridade que permite o acceso desde o exterior co uso de métodos estándar e non estándar);
• comprobar de todos os sistemas informáticos de hardware e locais electrónicos para a exposición ás radiacións electromagnéticas e interferencias, o que lles permite desactivar ou poñer en desuso;
• proxecto parte, que inclúe o traballo na creación e aplicación do concepto de seguridade na súa aplicación práctica (protección dos sistemas informáticos, instalacións, medios de comunicación, etc.).

Cando se trata da auditoría?

sen esquecer as situacións críticas, onde a defensa xa foi roto, auditoría de seguridade da información nunha organización pode ser realizada, e nalgúns outros casos.

Normalmente, estes inclúen a expansión da empresa, fusión, adquisición, incorporación por outras empresas, cambiar o curso de conceptos de negocio ou directrices, cambios na lei internacional ou na lexislación dentro dun país, cambios moi graves na infraestrutura de información.

tipo de auditoría

Hoxe, a propia clasificación deste tipo de auditoría, segundo moitos analistas e expertos non está establecida. Polo tanto, a división en clases, nalgúns casos pode ser moi arbitraria. Con todo, en xeral, a auditoría de seguridade da información pode ser dividida en externa e interna.

Unha auditoría externa, por expertos independentes que teñen o dereito de facer, é xeralmente un cheque dunha soa vez, o que pode ser iniciado pola administración, accionistas, axencias de aplicación da lei, etc. Crese que unha auditoría externa de seguridade da información recoméndase (pero non obrigatorio) para realizar regularmente por un determinado período de tempo. Pero, para algunhas organizacións e empresas, de acordo coa lei, é obrigatorio (por exemplo, institucións financeiras e organizacións, sociedades de economía mixta, e outros.).

seguridade da información de auditoría interna é un proceso constante. Baséase nun especial "Regulamento sobre Auditoría Interna". ¿Que é iso? En realidade, este actividades de certificación realizada na organización, en termos aprobados pola administración. Unha auditoría de seguridade da información pola subdivisión estrutural especial da empresa.

clasificación alternativa de auditoría

Ademais da división anterior describe en clases, no caso xeral, podemos distinguir varios compoñentes feitos na clasificación internacional:

• Especialista comprobar o estado dos sistemas de seguridade e de información de información con base na experiencia persoal dos expertos, a súa realización;
• sistemas de certificación e medidas de seguridade para a conformidade coas normas internacionais (ISO 17799) e instrumentos xurídicos nacionais que regulan esta área de actividade;
• análise da seguridade dos sistemas de información co uso de medios técnicos destinados a identificar potenciais vulnerabilidades no complexo software e hardware.

Ás veces, pode ser aplicado ea chamada auditoría ampla, que inclúe todo tipo anteriores. By the way, dá os resultados máis obxectivos.

metas e obxectivos encenadas

Verificación, sexa interno ou externo, comeza co establecemento de obxectivos e obxectivos. Simplificando, ten que determinar por que, como e que será probado. Isto pode determinar o novo procedemento de realización de todo o proceso.

Tarefas, dependendo da estrutura específica da empresa, organización, institución e as súas actividades poden ser moi. Con todo, no medio de toda esta versión, o obxectivo unificado de auditoría de seguridade da información:

• avaliación do estado dos sistemas de seguridade da información e de información;
• análise dos posibles riscos asociados co risco de penetración IP externa e as modalidades posibles de tales inxerencias;
• Localización dos furados e os fallos no sistema de seguridade;
• análise do nivel adecuado de seguridade de sistemas de información para os estándares actuais e actos normativos e legais;
• desenvolvemento e entrega de recomendacións que implica a eliminación dos problemas existentes, así como a mellora dos Remedios existentes ea introdución de novos desenvolvementos.

ferramentas de metodoloxía e de auditoría

Agora, algunhas palabras sobre como o cheque e que medidas e significa que implica.

Unha auditoría de seguridade da información consiste en varias etapas:

• dar inicio aos procedementos de verificación (definición clara dos dereitos e responsabilidades do auditor, o auditor verifica a preparación do plan ea súa coordinación coa xestión, a cuestión dos límites do estudo, a imposición aos membros do compromiso organización ao coidado e subministración atempado de información relevante);
• recollida de datos iniciais (estrutura de seguridade, a distribución de elementos de seguridade, os niveis de métodos de análise de rendemento do sistema de obtención e subministración de información, a determinación de canles de comunicación e interacción IP con outras estruturas, unha xerarquía de usuarios de redes de ordenadores, os protocolos de determinación, etc. de seguridade);
• realizar unha inspección completa ou parcial;
• análise de datos (análise de riscos de calquera tipo e Compliance);
• emitindo recomendacións para resolver problemas potenciais;
• xeración de informes.

O primeiro paso é a máis sinxela, xa que é feito a súa decisión exclusivamente entre a administración da empresa eo auditor. Os límites da análise pode ser considerado na reunión xeral de traballadores ou accionistas. Todo isto e moito máis relacionado co campo legal.

A segunda etapa da obtención de datos de base, se é unha auditoría interna de seguridade da información ou de certificación externa independente é o máis recurso intensivo. Isto é debido ao feito de que, nesta fase ten que non só examinar a documentación técnica relativa a todo o hardware e software, senón tamén para estreitar-entrevistando empregados da empresa, e na maioría dos casos, incluso co recheo de cuestionarios especiais ou investigacións.

En canto á documentación técnica, é importante para obter datos sobre a estrutura IC e os niveis de prioridade de dereitos de acceso aos seus empregados, para identificar o sistema e software de aplicación (sistema operativo para aplicacións de negocios, a súa xestión e contabilidade), así como a protección establecida do software e do tipo non-programa (software antivirus, cortalumes, etc.). Ademais, o que inclúe a comprobación completa de redes e prestadores de servizos de telecomunicacións (organización en rede, os protocolos utilizados para a conexión, tipo de canles de comunicación, a transmisión e métodos de recepción de fluxos de información, e máis). Como é evidente, ten unha morea de tempo.

No paso seguinte, os métodos de auditoría de seguridade da información. Son tres:

• análise de risco (a técnica máis difícil, con base na determinación de que o auditor a penetración de violación IP ea súa integridade utilizando todos os métodos posibles e ferramentas);
• avaliación do cumprimento das normas e lexislación (o método máis simple e máis práctica con base nunha comparación da situación actual e os requisitos das normas internacionais e documentos internos no campo da seguridade da información);
• o método combinado que combina os dous primeiros.

Despois de recibir os resultados de verificación da súa análise. Fondos de Auditoría da seguridade da información, que son utilizados para a análise, pode ser moi variado. Todo depende das particularidades da empresa, o tipo de información, o software que utiliza, protección e así por diante. Con todo, como se pode ver no primeiro método, o auditor principalmente ten que confiar na súa propia experiencia.

E iso só significa que debe ser totalmente cualificado no campo da tecnoloxía da información e protección de datos. Derivada análise, o auditor e calcula os posibles riscos.

Nótese que debe tratar non só no sistema operativo ou o programa usado, por exemplo, a empresas ou contabilidade, pero tamén para comprender claramente como un atacante pode penetrar no sistema de información coa finalidade de roubo, danos e destrución de datos, creación de condicións para violacións en computadores, a propagación de virus ou malware.

Avaliación de resultados e as recomendacións para resolver os problemas de auditoría

Con base na análise conclúe o especialista sobre o estado da protección e dá recomendacións para resolver os problemas existentes ou potenciais, actualizacións de seguridade, etc. As recomendacións non só debe ser xusto, pero tamén claramente ligada ás realidades das particularidades da empresa. Noutras palabras, consellos para aumentar a configuración de ordenadores ou software non son válidos. Isto aplícase igualmente ao Consello de rescisões de persoal "non fiables", instalar novos sistemas de seguimento sen especificar o seu destino, a localización e adecuación.

Con base na análise, como regra xeral, existen varios grupos de risco. Neste caso, para compilar un informe de síntese utiliza dous indicadores fundamentais: (. Perda de activos, redución de reputación, perda de imaxe e así por diante) a probabilidade dun ataque e os danos causados á empresa como un resultado. Con todo, a actuación dos grupos non son os mesmos. Por exemplo, o indicador de baixo nivel para a probabilidade de ataque é a mellor. Para os danos - pola contra.

Só entón compilou un informe que detalla pintado todos os pasos, métodos e medios de investigación. Concorda con o liderado e asinado polos dous lados - a empresa eo auditor. A auditoría interna, é un informe do xefe da unidade estructural respectiva, tras o que, de novo, asinado polo xefe.

auditoría de seguridade da información: Exemplo

Finalmente, consideramos o exemplo máis simple de unha situación que xa pasou. Moitos, de feito, pode parecer moi familiar.

Por exemplo, o persoal de compras dunha empresa nos Estados Unidos, establecida no ordenador de mensaxería instantánea ICQ (nome do emprego eo nome da empresa non é nomeado por razóns obvias). As negociacións foron conducidas con precisión por medio deste programa. Pero o "ICQ" é moi vulnerable en termos de seguridade. Auto empregado en números de rexistro no momento ou non ter un enderezo de correo electrónico, ou simplemente non quería darlle. Pola contra, sinalou algo como correo electrónico, e mesmo dominio inexistente.

Cal sería o dianteiro? Como se mostra por unha auditoría de seguridade da información, que sería rexistrado exactamente o mesmo dominio e creou estaría nela, outro terminal de rexistro e, a continuación, pode enviar unha mensaxe a empresa Mirabilis que posúe servizo ICQ, solicitando a recuperación do contrasinal, debido á súa perda (que sería feito ). Como o destinatario do servidor de correo non foi, foi incluído redireccionar - redireccionar para un correo intruso existente.

Como resultado, el recibe acceso á correspondencia co número dado ICQ e informa o provedor para cambiar a dirección do destinatario das mercadorías en un país. Así, os produtos enviados a un destino descoñecido. E é o exemplo máis inofensivo. Así, conduta desordeira. E que dicir de hackers máis graves que son capaces de moito máis ...

conclusión

Aquí está unha breve e todo o que se refire a auditoría de seguridade IP. Por suposto, non é afectado por todos os aspectos do mesmo. A razón é simplemente que na formulación dos problemas e métodos da súa conduta afecta unha serie de factores, para visión en cada caso é estrictamente individual. Ademais, os métodos e medios de auditoría de seguridade da información pode ser diferente en distintos ICS. Con todo, creo, os principios xerais de tales probas para moitos se fan aparentes mesmo no nivel primario.