542 Shares 5244 views

Information Security Audit: Ziele, Methoden und Werkzeuge, beispielsweise. Audit der Informationssicherheit der Bank

Heute weiß jeder, der fast sakralen Ausdruck, der die Informationen besitzt, besitzt die Welt. Deshalb ist in unserer Zeit zu stehlen vertrauliche Informationen an alle und jeden Versuch. In dieser Hinsicht beispiellos Schritte und Umsetzung der Mittel zum Schutz gegen mögliche Angriffe getroffen. Aber manchmal müssen Sie eine Prüfung der Datensicherheit von Unternehmen führen. Was ist das und warum ist es jetzt alles, und versuchen zu verstehen.

Was ist ein Audit der Informationssicherheit in der allgemeinen Definition?

Wer nicht die abstruse wissenschaftlichen Begriffe beeinflussen, und versuchen, für sich selbst die grundlegenden Konzepte, um zu bestimmen, so dass sie in der einfachsten Sprache beschreiben (die Leute sie die Prüfung für die „Dummies“ genannt werden könnte).

Der Name der komplexen Ereignisse spricht für sich. Audit der Informationssicherheit ist eine unabhängige Überprüfung oder Peer – Review die Sicherheit von Informationssystemen (IS) von jeder Firma, Institution oder Organisation auf der Basis von speziell entwickelten Kriterien und Indikatoren zu gewährleisten.

In einfachen Worten, zum Beispiel überprüfen, um die Informationssicherheit der Bank läuft darauf hinaus, das Niveau des Schutzes von Kundendatenbanken von Bankgeschäften gehalten beurteilen zu können, die Sicherheit des elektronischen Geldes, die Erhaltung des Bankgeheimnisses, und so weiter. D. Im Fall der Einmischung in der Tätigkeit der Institution nicht autorisierten Personen von außen, mit elektronische und EDV-Anlagen.

Sicherlich unter den Lesern gibt es mindestens eine Person, die zu Hause oder Handy mit einem Vorschlag der Verarbeitung des Darlehens oder Hinterlegung genannt, die Bank, mit dem er nichts zu tun hat. Das gleiche gilt für Käufe und Angebote von einigen Geschäften. Woher kam dein Zimmer?

Es ist ganz einfach. Wenn eine Person zuvor nahm Kredite oder in einem Sparkonto angelegt, natürlich, seine Daten in einer gemeinsamen gespeicherten Kundenbasis. Wenn Sie von einer anderen Bank oder Speicher aufrufen kann nur einen Schluss zu: die Informationen über sie kam illegal an Dritte weitergegeben. Wie? Im Allgemeinen gibt es zwei Möglichkeiten: Entweder es gestohlen wurde, oder an Mitarbeiter der Bank an Dritte bewusst übertragen. Damit solche Dinge nicht geschehen, und Sie brauchen Zeit, eine Prüfung der Informationssicherheit der Bank zu leiten, und dies gilt nicht nur für Computer oder „Eisen“ Mittel zum Schutz, sondern das gesamte Personal des Organs.

Die Hauptrichtungen der Informationssicherheit Audit

Was den Umfang der Prüfung angeht, in der Regel sind sie mehrere:

  • vollständige Prüfung der Objekte in den Prozessen der Informationen beteiligt sind (Computer automatisiertes System, Kommunikationsmittel, Empfang, Informationsübertragung und -verarbeitung, Einrichtungen, Räumlichkeiten für vertrauliche Sitzungen, Überwachungssysteme, etc.);
  • um die Zuverlässigkeit des Schutzes vertraulicher Informationen mit begrenztem Zugang (Bestimmung möglicher Leckage und potentieller Sicherheitslöcher Kanälen Zugang von außen mit dem Einsatz von Standard- und Nicht-Standard-Methoden ermöglichen) prüfen;
  • Überprüfung aller elektronischen Hardware und die lokalen Computersysteme für die Belichtung mit elektromagnetischer Strahlung und Interferenz, um sie zu deaktivieren oder zu bringen, in einem schlechten Zustand ermöglicht;
  • Teilprojekt, die Arbeit an der Schaffung und Anwendung des Konzepts der Sicherheit in der praktischen Umsetzung (Schutz von Computersystemen, Einrichtungen, Kommunikationseinrichtungen, etc.) enthält.

Wenn es um die Prüfung?

Ganz zu schweigen von den kritischen Situationen, in denen die Verteidigung bereits gebrochen war, Audit der Informationssicherheit in einer Organisation durchgeführt werden kann, und in einigen anderen Fällen.

Typischerweise ist dies die Expansion des Unternehmens, Fusion, Akquisition, Übernahme durch andere Unternehmen, ändert den Kurs der Business-Konzepte oder Richtlinien, Änderungen im internationalen Recht oder in der Gesetzgebung innerhalb eines Landes, sondern gravierender Veränderungen in der Informationsinfrastruktur.

Prüfungsarten

Heute ist die sehr Einstufung dieser Art von Prüfung, nach Meinung vieler Analysten und Experten nicht eingerichtet ist. Daher kann die Einteilung in Klassen in einigen Fällen ziemlich willkürlich. Dennoch kann im Allgemeinen die Prüfung der Informationssicherheit in externen und internen aufgeteilt werden.

Eine externe Prüfung durch unabhängige Experten durchgeführt, die das Recht zu tun haben, ist in der Regel eine einmalige Überprüfung, die vom Management, Aktionäre eingeleitet werden kann, die Strafverfolgungsbehörden usw. Es wird angenommen, dass eine externe Prüfung der Informationssicherheit wird empfohlen (aber nicht erforderlich) zur Durchführung regelmäßig für einen bestimmten Zeitraum. Aber für einige Organisationen und Unternehmen, die nach dem Gesetz, ist es zwingend notwendig (zB Finanzinstitutionen und Organisationen, Aktiengesellschaften und andere.).

Die interne Revision der Informationssicherheit ist ein ständiger Prozess. Es basiert auf einer speziellen „Bestimmungen über die Interne Revision“. Was ist das? In der Tat führten diese Zertifizierung-Aktivitäten in der Organisation aus, in Bezug auf vom Management genehmigt. Eine Informationssicherheitsüberprüfung durch besondere strukturelle Unterteilung des Unternehmens.

Alternative Klassifizierung von Prüfungs

Neben der oben beschriebene Einteilung in Klassen im allgemeinen Fall können wir aus mehreren Komponenten in der internationalen Klassifikation unterscheiden:

  • Expert Überprüfung des Status der Informationssicherheit und Informationssysteme auf der Grundlage der persönlichen Erfahrung von Experten, seine leitenden;
  • Zertifizierungssysteme und Sicherheitsmaßnahmen für die Einhaltung der internationalen Normen (ISO 17799) und nationale Rechtsinstrumenten zur Regulierung dieses Tätigkeitsbereiches;
  • Analyse der Sicherheit von Informationssystemen mit dem Einsatz technischer Mittel zu identifizieren, mögliche Schwachstellen in dem Software-und Hardware-Komplex gerichtet.

Manchmal kann es angewandt werden, und die so genannte umfassende Prüfung, die alle oben genannten Arten umfasst. By the way, gibt er dir die objektiven Ergebnisse.

Inszenierte Ziele

Jede Überprüfung, ob intern oder extern, beginnt mit Zielen und Zielsetzungen. Einfach ausgedrückt, müssen Sie warum, um zu bestimmen, wie und was getestet werden. Dies wird die weitere Vorgehensweise zur Durchführung des gesamten Prozesses bestimmen.

Aufgaben, abhängig von der spezifischen Struktur der Unternehmen, Organisation, Institution und ihren Aktivitäten können sehr viel sein. Doch inmitten all dieser Pressemitteilung, einheitliches Ziel der Informationssicherheit Audit:

  • Bewertung des Zustands der Informationssicherheit und Informationssysteme;
  • Analyse der möglichen Risiken im Zusammenhang mit der Gefahr des Eindringens in die externe IP und die möglichen Modalitäten einer solchen Störung verbunden sind;
  • Lokalisierung von Löchern und Lücken in dem Sicherheitssystem;
  • Analyse des angemessenen Grades der Sicherheit von Informationssystemen zu aktuellen Standards und regulatorischen und rechtlichen Handlungen;
  • Entwicklung und Bereitstellung von Empfehlungen für die Beseitigung der bestehenden Probleme, sowie die Verbesserung der bestehenden Heilmittel und die Einführung neuer Entwicklungen beteiligt.

Methodik und Audit-Tools

Nun ein paar Worte darüber, wie die Überprüfung und welche Schritte und bedeutet es geht.

Eine Informationssicherheitsüberprüfung besteht aus mehreren Phasen:

  • Prüfungsverfahren initiieren (klare Definition der Rechte und Pflichten des Abschlussprüfers, der Prüfer überprüft die Ausarbeitung des Plans und seine Abstimmung mit dem Management, die Frage nach den Grenzen der Studie, die Erhebung auf die Mitglieder der Organisation Engagement für die Pflege und rechtzeitige Bereitstellung relevanter Informationen);
  • Sammeln von Ausgangsdaten (die Verteilung von Sicherheitsmerkmalen, Sicherheitsstufen der Systemleistung Analyseverfahren Sicherheitsstruktur, zum Erhalten und mit anderen Strukturen Informationen, die Bestimmung der Kommunikationskanäle und die IP-Interaktion bereitstellt, eine Hierarchie von Benutzern von Computernetzwerken, die Bestimmungsprotokolle, etc.);
  • eine umfassende oder teilweise Inspektion durchzuführen;
  • Datenanalyse (Analyse der Risiken jeglicher Art und Compliance);
  • potenzielle Probleme Empfehlungen Ausgeben zu adressieren;
  • Erstellung von Berichten.

Die erste Stufe ist die einfachste, weil seine Entscheidung allein zwischen der Unternehmensleitung und dem Abschlussprüfer. Die Grenzen der Analyse kann auf der Hauptversammlung der Mitarbeiter oder Aktionäre in Betracht gezogen werden. All dies und mehr in den juristischen Bereich bezogen.

Die zweite Stufe der Sammlung von Basisdaten, ob es eine interne Prüfung der Informationssicherheit oder externer unabhängiger Zertifizierung ist die ressourcenintensiv. Dies ist aufgrund der Tatsache, dass Sie in dieser Phase müssen alle Hard- und Software beziehen, die technischen Unterlagen nicht nur untersuchen, sondern auch verengen interviewen die Mitarbeiter des Unternehmens, und in den meisten Fällen sogar mit Füllung spezieller Fragebögen oder Umfragen.

Wie für die technische Dokumentation ist es, wichtige Daten auf der IC-Struktur und die Prioritätsstufen der Zugriffsrechte an ihre Mitarbeiter zu erhalten, systemweite und Anwendungssoftware (das Betriebssystem für Business-Anwendungen, dessen Management und Accounting) sowie der etablierten Schutz der Software zu identifizieren und nicht-Programmtyp (Anti-Virus-Software, Firewalls, etc.). Darüber hinaus enthält diese die vollständige Überprüfung der Netze und Anbieter von Telekommunikationsdiensten (Netzwerkorganisation, die für die Verbindung verwendeten Protokolle, die Arten von Kommunikationskanälen, die Sende- und Empfangs Methoden der Informationsflüsse und vieles mehr). Wie klar ist, dauert es eine Menge Zeit.

In der nächsten Stufe werden die Methoden der Informationssicherheit Audit. Sie sind drei:

  • Risikoanalyse (die schwierigste Technik, basierend auf der Bestimmung des Abschlussprüfers für das Eindringen von IP-Verletzung und seiner Integrität aller möglichen Methoden und Instrumente);
  • Bewertung der Einhaltung von Normen und Gesetze (die einfachste und praktischste Methode basiert auf einem Vergleich des aktuellen Stand der Dinge und die Anforderungen der internationalen Normen und nationalen Dokumente auf dem Gebiet der Informationssicherheit);
  • das kombinierte Verfahren, die die ersten beiden miteinander verbindet.

Nach der Überprüfung Ergebnisse ihrer Analyse erhalten. Fonds Audit der Informationssicherheit, die für die Analyse verwendet werden, können durchaus variiert werden. Es hängt alles von den spezifischen Gegebenheiten des Unternehmens, die Art der Informationen, die Software, die Sie verwenden, Schutz und so weiter. Wie jedoch auf dem ersten Verfahren zu sehen ist, der Prüfer vor allem auf ihre eigenen Erfahrungen angewiesen.

Und das bedeutet nur, dass es auf dem Gebiet der Informationstechnologie und den Datenschutz voll qualifiziert sein muß. Auf der Grundlage dieser Analyse der Wirtschaftsprüfer und berechnet die möglichen Risiken.

Beachten Sie, dass es für die Zwecke des Diebstahl, Beschädigung und Zerstörung von Daten, die Schaffung von Voraussetzungen in das Informationssystem umgehen sollte für Verletzungen eindringen kann nicht nur im Betriebssystem oder Programm verwendet, beispielsweise für Geschäfts- und Buchführung, sondern auch deutlich zu verstehen, wie ein Angreifer in Computern, die Verbreitung von Viren oder Malware.

Bewertung der Prüfungsergebnisse und Empfehlungen zur Bewältigung der Probleme

Basierend auf der Analyse kommt zu dem Schluss der Experte über den Schutzstatus und gibt Empfehlungen bestehende oder mögliche Probleme zu lösen, Sicherheits-Upgrades usw. Die Empfehlungen sollen nicht nur fair, sondern auch an die Gegebenheiten des Unternehmens Besonderheiten deutlich gebunden. Mit anderen Worten, werden Tipps zur Aktualisierung der Konfiguration von Computern oder Software nicht akzeptiert. Dies gilt auch für den Rat der Entlassung von „unzuverlässig“ Personal, neue Tracking-Systeme installieren, ohne deren Ziel angegeben wird, die Position und die Angemessenheit.

Basierend auf der Analyse, in der Regel gibt es mehrere Risikogruppen. In diesem Fall wird ein zusammenfassender Bericht verwendet zwei Schlüsselindikatoren zu kompilieren: (. Vermögensverlust, Reduzierung des Rufes, Imageverlust und so weiter), um die Wahrscheinlichkeit eines Angriffs und den verursachten Schaden für das Unternehmen als Folge. Allerdings ist die Leistung der Gruppen nicht gleich. Zum Beispiel ist Low-Level-Indikator für die Wahrscheinlichkeit eines Angriffs am besten. Für Schäden – im Gegenteil.

Erst dann einen Bericht zusammengestellt, die alle Phasen, Methoden und Mittel der Forschung gemalt Einzelheiten. Er stimmte mit der Führung und unterzeichnet von den beiden Seiten – das Unternehmen und den Abschlussprüfer. Wenn die Prüfung intern, ist ein Bericht der Leiter der jeweiligen Struktureinheit, nach dem er wieder durch den Kopf unterzeichnet.

Audit der Informationssicherheit: Beispiel

Schließlich betrachten wir das einfachste Beispiel für eine Situation, die bereits geschehen ist. Viele, nebenbei bemerkt, kann es sehr bekannt vorkommen.

Zum Beispiel kann ein Mitarbeiter im Einkauf des Unternehmens in den Vereinigten Staaten, in dem ICQ Instant-Messenger-Computer hergestellt (der Namen des Mitarbeiters und der Firmennamen wird aus offensichtlichen Gründen nicht genannt). Die Verhandlungen wurden genau mit Hilfe dieses Programms durchgeführt. Aber die „ICQ“ ist ziemlich anfällig in Bezug auf Sicherheit. Selbst Mitarbeiter bei Registrierungsnummern zu der Zeit oder haben keine E-Mail-Adresse oder wollten es einfach nicht geben. Stattdessen wies er auf so etwas wie E-Mail und sogar inexistent Domain.

Was würde der Angreifer? Wie durch einen Audit der Informationssicherheit gezeigt, wäre es genau die gleiche Domain registriert werden und in es wäre, ein anderer Registrierungsterminal erstellt, und dann eine Nachricht an Mirabilis Firma senden könnte, die ICQ-Dienst besitzt, Passwort-Wiederherstellung aufgrund seines Verlustes anfordert (das wäre geschehen ). Da der Empfänger der Mail-Server nicht war, wurde sie enthalten umleiten – zu einem vorhandenen Eindringling Mail umleiten.

Als Ergebnis erhält er Zugriff auf die Korrespondenz mit der ICQ-Nummer gegeben und informiert die Lieferanten die Adresse des Empfängers der Ware in einem bestimmten Land zu ändern. So schickte die Ware an einen unbekannten Ort. Und es ist das harmloseste Beispiel. Also, ordnungswidriges Verhalten. Und was ist ernster Hacker die in der Lage sind zu viel mehr …

Abschluss

Hier ist eine kurze und alle, die auf IP-Security-Audit bezieht. Natürlich ist es nicht von allen Aspekten davon betroffen. Der Grund dafür ist einfach, dass bei der Formulierung der Probleme und Methoden ihres Verhaltens viele Faktoren beeinflusst, so dass der Ansatz in jedem Fall streng individuell. Darüber hinaus können die Methoden und Mittel zur Informationssicherheit Audit für verschiedene ICs unterschiedlich sein. Aber ich denke, die allgemeinen Grundsätze eines solchen Tests für viele geworden offensichtlich auch in der Primarstufe.