माहितीची सुरक्षा ऑडिट: लक्ष्य, पद्धती आणि साधने, उदा. बँकेच्या माहितीच्या सुरक्षेची ऑडिट

आज प्रत्येकजण माहिती मालकीचे जवळजवळ पवित्र वाक्यांश माहीत आहे, जग आहेत. चोरण्यासाठी आमच्या वेळेत का आहे गोपनीय माहिती सर्व आणि विविध प्रयत्न करीत आहात. या संदर्भात, अभूतपूर्व पावले आणि शक्य हल्ले संरक्षण अर्थ अंमलबजावणी घेतले. मात्र, कधी कधी आपण एंटरप्राइज माहिती सुरक्षा ऑडिट करणे आवश्यक आहे. हे काय आहे आणि का आता ते सर्व आहे, आणि समजून घेण्याचा प्रयत्न.

सामान्य व्याख्या माहिती सुरक्षा एक ऑडिट काय आहे?

गहन वैज्ञानिक अटी कोण प्रभावित करणार नाही आणि ( "नवशिक्यांसाठी" लोकांना हे ऑडिट म्हटले जाऊ शकते) सर्वात सोप्या भाषेत त्यांना वर्णन, मूलभूत संकल्पना स्वत: साठी निर्धारित करण्यासाठी प्रयत्न करा.

जटिल घटना नाव स्वतःच बोलली. माहिती सुरक्षा ऑडिट स्वतंत्र सत्यापन किंवा आहे सरदार पुनरावलोकन माहिती प्रणाली (आहे) खास विकसित निकष आणि निर्देशक आधारावर कोणत्याही कंपनी, संस्था किंवा संघटना यांच्या सुरक्षा सुनिश्चित करण्यासाठी.

सोप्या भाषेत, उदाहरणार्थ, बँकेच्या माहिती सुरक्षा निघतो, वापरून बाहेरून संस्था अनधिकृत व्यक्तींना उपक्रम हस्तक्षेप बाबतीत इलेक्ट्रॉनिक पैसे सुरक्षा, बँकिंग गुप्तता परिरक्षण, आणि त्यामुळे वर. डी बँकेचे व्यवहार आयोजित ग्राहक डाटाबेस संरक्षण पातळी जाणून ऑडिट इलेक्ट्रॉनिक आणि संगणक सुविधा.

नक्कीच, वाचकांना आपापसांत तेथे कर्ज किंवा ठेव, तो काहीही आहे जे बँक प्रक्रिया एक प्रस्ताव घरी किंवा मोबाइल फोन म्हणतात कोण किमान एक व्यक्ती आहे. त्याच खरेदी लागू आणि काही स्टोअर्स पासून देते. याला आपल्या खोली आले?

हे सोपे आहे. एक व्यक्ती पूर्वी कर्ज घेतले किंवा ठेव खाते गुंतवणूक असेल, तर अर्थातच, त्याच्या डेटा एक सामान्य मध्ये साठवली जाते ग्राहक. आपण दुसर्या बँक किंवा स्टोअर कॉल तेव्हा फक्त एक निष्कर्ष असू शकते: ती माहिती तृतीय पक्षांना बेकायदेशीरपणे आले. कसे? साधारणतया, दोन पर्याय आहेत: एकतर तो चोरीला गेल्यास किंवा तृतीय पक्ष जाणीवपूर्वक बँकेच्या कर्मचारी वर्ग करण्यात आले. अशा गोष्टी घडतात क्रमाने नाही, आणि बँकेच्या माहिती सुरक्षा ऑडिट करण्यासाठी वेळ लागेल, आणि हे केवळ संगणक किंवा "लोखंडी" संरक्षण अर्थ, पण संस्था संपूर्ण कर्मचारी लागू होते.

माहिती सुरक्षा ऑडिट मुख्य दिशा

ऑडिट व्याप्ती विनम्र म्हणून, एक नियम म्हणून, ते अनेक आहेत:

• माहिती प्रक्रिया सहभागी वस्तू पूर्ण तपासणी (संगणक स्वयंचलित प्रणाली, संवाद, आदरातिथ्य, माहिती प्रसार आणि प्रक्रिया, सुविधा, गोपनीय बैठकी आवारात, देखरेख प्रणाली, इ म्हणजे);
• मर्यादित प्रवेश गोपनीय माहिती संरक्षण विश्वसनीयता तपासणी (शक्य गळती व मानक आणि मानक-नसलेला पद्धतींचा वापर बाहेर तो प्रवेशाची अनुमती देऊन संभाव्य सुरक्षा राहील चॅनेल निश्चित);
• , इलेक्ट्रोमॅग्नेटिक किरणे आणि हस्तक्षेप प्रदर्शनासह सर्व इलेक्ट्रॉनिक हार्डवेअर आणि स्थानिक संगणक प्रणाली तपासा त्यांना बंद किंवा दुरूस्तीची आणण्यासाठी परवानगी;
• प्रकल्प भाग, त्याच्या व्यावहारिक अंमलबजावणी निर्मिती आणि सुरक्षा संकल्पना अर्ज काम, ज्यात (संगणक प्रणाली, सुविधा, दळणवळण सुविधा, इ संरक्षण).

तो ऑडिट येतो तेव्हा?

संरक्षण आधीच तुटलेली आले, एका संस्थेत माहिती सुरक्षा ऑडिट चालते जाऊ शकते, आणि इतर काही प्रकरणांमध्ये गंभीर परिस्थितीत उल्लेख नाही.

थोडक्यात, या इतर कंपन्या कंपनी विस्तार, विलीनीकरणात, संपादन, नियंत्रित समावेश, व्यवसाय संकल्पना किंवा मार्गदर्शक तत्त्वे, आंतरराष्ट्रीय कायदा किंवा देशात कायदे बदल, माहिती पायाभूत सुविधा ऐवजी गंभीर बदल नक्कीच बदलू.

ऑडिट प्रकार

आज, ऑडिट हा प्रकार फार वर्गीकरण, अनेक विश्लेषक आणि तज्ञांच्या मते स्थापना नाही. त्यामुळे काही प्रकरणांमध्ये वर्गांमध्ये विभागणी ्वैरपणे असू शकते. असे असले तरी, सर्वसाधारणपणे, माहिती सुरक्षा ऑडिट बाह्य आणि अंतर्गत विभागली जाऊ शकते.

स्वतंत्र तज्ञ करू हक्क आहे द्वारा आयोजित बाह्य ऑडिट, सहसा व्यवस्थापन, भागधारकांना, कायद्याची अंमलबजावणी संस्था, इ सुरू केले जाऊ शकते जे एक-वेळ चेक आहे, हे माहिती सुरक्षा बाह्य ऑडिट शिफारस केली आहे (परंतु आवश्यक नाही) वेळ एक संच कालावधीसाठी नियमितपणे सुरू आहे असे मानले जाते. पण काही संस्था आणि उद्योग, कायद्याचे त्यानुसार, तो अनिवार्य आहे (उदाहरणार्थ, आर्थिक संस्था आणि संघटनांच्या संयुक्त स्टॉक कंपन्या, आणि इतर.).

अंतर्गत हिशेब तपासणी माहिती सुरक्षा सतत प्रक्रिया आहे. तो एक विशेष "अंतर्गत लेखा परिक्षण वर विनियम" वर आधारित आहे. हे काय आहे? खरं तर, या प्रमाणपत्र उपक्रम संस्थेत, व्यवस्थापन मंजूर दृष्टीने चालते. एंटरप्राइझ विशेष स्ट्रक्चरल उपविभाग माहिती सुरक्षा ऑडिट.

ऑडिट पर्यायी वर्गीकरण

सामान्य परिस्थितीत वर्गांमध्ये वरील वर्णन विभागणी याशिवाय, आम्ही आंतरराष्ट्रीय वर्गीकरण केले अनेक घटक वेगळे करू शकता:

• तज्ज्ञ तपासणी तज्ञ वैयक्तिक अनुभव, त्याच्या आयोजित आधारे माहिती सुरक्षा आणि माहिती प्रणाली स्थिती;
• प्रमाणपत्र प्रणाली आणि आंतरराष्ट्रीय मानके (आयएसओ 17799) आणि क्रियाकलाप या क्षेत्रात नियमन राष्ट्रीय कायदेशीर साधने पालन करण्यासाठी सुरक्षा उपाय;
• सॉफ्टवेअर आणि हार्डवेअर जटिल संभाव्य असुरक्षा ओळख उद्देश तांत्रिक माध्यमांचा वापर माहिती प्रणाली सुरक्षा विश्लेषण.

कधी कधी ती लागू आणि त्यामुळे-म्हणतात व्यापक ऑडिट, वरील सर्व प्रकारच्या समाविष्ट केले जाऊ शकते. तसे, तो सर्वात उद्देश परिणाम देते.

प्रयोग ध्येये आणि उद्दिष्ट्ये

कोणतीही सत्यापन, अंतर्गत किंवा बाह्य की नाही, ध्येय आणि उद्दिष्टे सेट सुरू होते. फक्त, 'तू का, चाचणी केली जाईल कसे आणि काय निश्चित करणे आवश्यक आहे. ही संपूर्ण प्रक्रिया पार पाडणे अधिक प्रक्रिया निश्चित करेल.

कार्ये, एंटरप्राइज, संस्था, संस्था आणि त्याच्या उपक्रम विशिष्ट रचना अवलंबून जोरदार भरपूर असू शकते. तथापि, या सर्व प्रकाशन मधे, माहिती सुरक्षा ऑडिट समग्र ध्येय:

• माहिती सुरक्षा आणि माहिती प्रणाली राज्यातील मूल्यांकन;
• बाह्य IP आणि अशा हस्तक्षेप शक्य नियमांनुसार चालत मध्ये आत प्रवेश करणे धोका संबद्ध शक्य जोखीम विश्लेषण;
• सुरक्षा प्रणाली राहील आणि अंतर स्थानिकीकरण;
• माहिती प्रणाली चालू दर्जा आणि नियामक आणि कायदेशीर कृत्ये सुरक्षा योग्य पातळी विश्लेषण;
• विकास आणि विद्यमान उपाय विद्यमान समस्या काढण्याची, तसेच सुधारणा आणि नवीन घडामोडी परिचय समावेश शिफारसी चेंडू.

पद्धती आणि ऑडिट साधने

आता चेक आणि काय पावले आणि अर्थ कसे यांचा समावेश आहे बद्दल काही शब्द.

माहिती सुरक्षा ऑडिट अनेक पायऱ्यांमध्ये बाबींचा समावेश होतो:

• पडताळणी या प सुरूवात (हिशेबतपासनिसाची हक्क व जबाबदा-स्पष्ट व्याख्या, लेखापरीक्षकाची योजना तयार करणे आणि व्यवस्थापन त्याच्या समन्वय तपासते, अभ्यास सीमा प्रश्न, संस्था बांधिलकी सदस्य ओझे काळजी आणि संबंधित माहिती वेळेवर तरतूद);
• प्रारंभिक डेटा (सुरक्षा रचना, सुरक्षा वैशिष्ट्ये वितरण प्राप्त आणि संवाद माध्यमे आणि इतर संरचना IP संवाद, संगणक नेटवर्क वापरकर्त्यांना पदक्रमानुसार, निर्धार प्रोटोकॉल, इ माहिती, निर्धार प्रदान प्रणाली कामगिरी विश्लेषण पद्धती सुरक्षा पातळी) गोळा;
• एक सर्वसमावेशक किंवा आंशिक तपासणी;
• डेटा विश्लेषण (कोणत्याही प्रकारच्या आणि पालन जोखीम विश्लेषण);
• संभाव्य समस्या सोडविण्यास शिफारसी जारी;
• अहवाल पिढी.

त्याचा निर्णय कंपनी व्यवस्थापन आणि लेखापरीक्षक दरम्यान पूर्णपणे केले जाणार आहे म्हणून पहिल्या टप्प्यात सर्वात सोपे आहे. विश्लेषण सीमा कर्मचारी किंवा भागधारकांच्या सर्वसाधारण बैठक येथे मानले जाऊ शकते. हे सर्व आणि अधिक कायदेशीर क्षेत्रात संबंधित.

मूलभूत माहिती गोळा दुसऱ्या टप्प्यावर, तो माहिती सुरक्षा किंवा बाह्य स्वतंत्र प्रमाणपत्र एक अंतर्गत हिशेब तपासणी आहे की नाही हे सर्वात संसाधन-गहन आहे. या टप्प्यावर आपण नाही फक्त सर्व हार्डवेअर आणि सॉफ्टवेअर संबंधित तांत्रीक दस्तऐवजीकरण परीक्षण करणे आवश्यक आहे, पण अचूक-मुलाखतही घेतली कंपनीच्या कर्मचार्यांना खरं आहे, आणि अगदी विशेष प्रश्नावली किंवा सर्वेक्षणे भरणे बहुतांश घटनांमध्ये.

तांत्रीक दस्तऐवजीकरण म्हणून, तो, तसेच सॉफ्टवेअर स्थापन संरक्षण कर्मचा आणि आयसी रचना डेटा प्रवेश अधिकार प्राधान्य पातळी प्राप्त प्रणाली-भर आणि अनुप्रयोग सॉफ्टवेअर (व्यावसायिक अनुप्रयोग करीता कार्य प्रणाली, त्यांच्या व्यवस्थापन आणि लेखा) ओळखण्यासाठी महत्वाचे आहे आणि गैर-कार्यक्रम प्रकार (अँटीव्हायरस सॉफ्टवेअर, फायरवॉल, इ.) याच्या व्यतिरीक्त, या (माहिती 'प्रवाह नेटवर्क संस्था, कनेक्शन वापरले प्रोटोकॉल, संवाद माध्यमे प्रकार, ट्रान्समिशन आणि आदरातिथ्य पद्धती, आणि अधिक) नेटवर्क आणि दूरसंचार सेवा प्रदाते पूर्ण सत्यापन समावेश आहे. स्पष्ट आहे म्हणून, तो खूप वेळ लागतो.

पुढील टप्प्यात, माहिती सुरक्षा ऑडिट पद्धती. ते तीन आहेत:

• धोका विश्लेषण (सर्वात कठीण तंत्र, IP उल्लंघन च्या आत प्रवेश करणे आणि सर्व शक्य पद्धती आणि साधनांचा वापर करून त्याच्या देवाशी निष्ठावान लेखापरीक्षकाची निश्चित आधारित);
• दर्जा आणि कायदे (सोपा आणि सर्वात व्यावहारिक पद्धत घडामोडी वर्तमान स्थिती तुलना आणि आंतरराष्ट्रीय मानके आणि माहिती सुरक्षा क्षेत्रात देशांतर्गत दस्तऐवज आवश्यकता वर आधारित) पालन मूल्यांकन;
• मेळ पहिल्या दोन एकत्र पद्धत.

त्यांच्या विश्लेषण पडताळणी परिणाम प्राप्त केल्यानंतर. निधी ऑडिट माहिती रोख्याच्या जे विश्लेषण वापरले जातात, जोरदार बदलेला जाऊ शकते. हे सर्व उपक्रम, माहिती प्रकार, आपण वापरू सॉफ्टवेअर, संरक्षण आणि त्यामुळे वर. तथापि, पहिल्या पद्धत पाहिले जाऊ शकते म्हणून, लेखापरीक्षक प्रामुख्याने त्यांच्या स्वत: च्या अनुभवावर अवलंबून आहे संयोजना अवलंबून असते.

आणि केवळ अर्थ तो माहिती तंत्रज्ञान आणि डेटा संरक्षण क्षेत्रात पूर्णपणे पात्र असणे आवश्यक आहे. हे विश्लेषण, लेखापरीक्षकाची आधारावर आणि शक्य जोखीम गणना करतो.

लक्षात ठेवा, ऑपरेटिंग सिस्टम किंवा, उदाहरणार्थ, वापरले कार्यक्रम नाही फक्त सामोरे व्यवसाय किंवा लेखा पाहिजे, पण आक्रमणकर्ता चोरी, नुकसान आणि डेटा नाश, उल्लंघनामुळे preconditions निर्मिती हेतूने माहिती प्रणाली मध्ये आत प्रवेश करू शकतो कसे स्पष्टपणे समजून संगणक मध्ये, व्हायरस किंवा मालवेअर प्रसार.

ऑडिट निष्कर्ष आणि समस्या शिफारसी मूल्यांकन

विश्लेषण आधारित तज्ज्ञ संरक्षण स्थिती सांगता आणि विद्यमान किंवा संभाव्य समस्या शिफारसी, सुरक्षा सुधारणा, इ देते शिफारसी केवळ सुंदर असू नये, पण स्पष्टपणे उपक्रम संयोजना यथार्थ बद्ध. दुसऱ्या शब्दांत, संगणक किंवा सॉफ्टवेअर संरचना सुधारीत करणे टिपा स्वीकारली जाणार नाहीत. या तितकेच त्यांच्या गंतव्य, स्थान आणि योग्यता निर्देशीत न "अविश्वसनीय" कर्मचारी, नवीन ट्रॅकिंग प्रणाली प्रतिष्ठापीत बरखास्त सल्ला लागू होते.

विश्लेषण आधारित, एक नियम म्हणून, अनेक धोका गट आहेत. या प्रकरणात, एक सारांश अहवाल दोन की निर्देशक वापर संकलित करण्यासाठी: (. मालमत्ता नुकसान, प्रतिष्ठा घट, प्रतिमा नुकसान आणि त्यामुळे वर) हल्ला संभाव्यता आणि परिणामी कंपनी नुकसान. तथापि, गट कामगिरी समान नाहीत. उदाहरणार्थ, हल्ला संभाव्यता कमी-स्तरीय निर्देशक सर्वोत्तम आहे. त्याउलट - नुकसान आहे.

तरच पायही तपशील सर्व पायऱ्या, पद्धती आणि संशोधन अर्थ एक अहवाल संकलित. तो नेतृत्व सहमती आणि दोन बाजू स्वाक्षरी - कंपनी आणि लेखापरीक्षक. तर ऑडिट अंतर्गत, एक अहवाल ज्यानंतर तो, पुन्हा एकदा, डोके स्वाक्षरी संबंधित स्ट्रक्चरल युनिट, मस्तक आहे.

माहिती सुरक्षा ऑडिट: उदाहरण

शेवटी, आम्ही आधीच झाले आहे की एक परिस्थिती सोपा उदाहरण. अनेक, मार्ग, तो फार परिचित वाटू शकते.

उदाहरणार्थ, युनायटेड स्टेट्स मध्ये एक कंपनीच्या खरेदी कर्मचारी, ICQ जलद संदेशवाहक संगणकावर स्थापन (कर्मचारी आणि कंपनी नाव स्पष्ट कारणांमुळे नाव नाही). वाटाघाटी या कार्यक्रमाच्या माध्यमातून तंतोतंत घेण्यात आले. पण "ICQ" सुरक्षा दृष्टीने जोरदार संवेदनशील आहे. वेळी किंवा नोंदणी क्रमांक स्वत: कर्मचारी ई-मेल पत्ता नाही, किंवा फक्त देऊ इच्छित नाही. त्याऐवजी तो ई-मेल, आणि अगदी अस्तित्वात नसलेल्या सारखे काहीतरी निदर्शनास आणून दिले.

हल्लेखोर तर काय होईल? माहिती सुरक्षा एक ऑडिट दर्शवल्या, त्याच्या नुकसान ते त्याच डोमेन नोंदणी जाईल आणि तयार दुसरा नोंदणी टर्मिनल, तो होईल, आणि नंतर, ICQ सेवा मालकीचे संकेतशब्द पुनर्प्राप्ती विनंती Mirabilis कंपनी एक संदेश पाठवू शकतात (पूर्ण होईल ). विद्यमान घुसखोर मेल पुनर्निर्देशित - मेल सर्व्हरचे प्राप्तकर्ता नाही म्हणून, तो पुनर्निर्देशित समावेश करण्यात आला होता.

एक परिणाम म्हणून, तो देण्यात ICQ संख्या पत्रव्यवहार प्रवेश नाही आणि एक विशिष्ट देशात माल प्राप्तकर्ता पत्ता बदलण्यासाठी पुरवठादार माहिती. त्यामुळे, वस्तू अज्ञात गंतव्य पाठविले. आणि तो सर्वात निरुपद्रवी उदाहरण आहे. त्यामुळे, दंगलखोर आचार. आणि बरेच काही करण्यास सक्षम आहेत ज्यांनी अधिक गंभीर हॅकर्स काय ...

निष्कर्ष

येथे IP सुरक्षा ऑडिट संबंधित की एक संक्षिप्त आणि सर्व आहे. अर्थात, तो सर्व पैलू प्रभावित नाही. कारण समस्या आणि त्याचे आचार पद्धती आखताना घटक भरपूर प्रभावित फक्त आहे, त्यामुळे प्रत्येक बाबतीत दृष्टिकोन काटेकोरपणे वैयक्तिक आहे. याव्यतिरिक्त, माहिती सुरक्षा ऑडिट पद्धती आणि याचा विविध ICS साठी भिन्न असू शकते. मात्र, मला वाटतं, अनेक अशा चाचण्या सर्वसाधारण तत्त्वे अगदी प्राथमिक पातळीवर उघड झाले.