ΥπολογιστέςΑσφάλεια

Ελέγχου Ασφάλειας Πληροφοριών: Στόχοι, μέθοδοι και εργαλεία, παραδείγματος χάριν. Λογιστικός έλεγχος πληροφοριακής ασφάλειας της τράπεζας

Σήμερα, όλοι γνωρίζουν τη σχεδόν ιερή φράση που κατέχει τις πληροφορίες, να κατέχει τον κόσμο. Αυτός είναι ο λόγος για τον οποίο στην εποχή μας για να κλέψουν εμπιστευτικές πληροφορίες που προσπαθούν σε όλους ανεξαιρέτως. Από την άποψη αυτή, λαμβάνονται πρωτοφανή μέτρα και την εφαρμογή των μέσων προστασίας έναντι πιθανών επιθέσεων. Ωστόσο, μερικές φορές μπορεί να χρειαστεί να προβεί σε έλεγχο της ασφάλειας των πληροφοριών της επιχείρησης. Τι είναι και γιατί είναι όλα, τώρα και προσπαθώ να καταλάβω.

Τι είναι ένας έλεγχος της ασφάλειας των πληροφοριών στο γενικό ορισμό;

Ποιος δεν θα επηρεάσει τις δυσνόητες επιστημονικούς όρους, και να προσπαθήσει να καθορίσει για τον εαυτό τους τις βασικές έννοιες, περιγράφοντας τους με τον πιο απλή γλώσσα (τους ανθρώπους θα μπορούσε να ονομαστεί ο έλεγχος για τα «ανδρείκελα»).

Το όνομα του συγκροτήματος εκδηλώσεις μιλάει από μόνη της. Λογιστικός έλεγχος πληροφοριακής ασφάλειας είναι μια ανεξάρτητη επαλήθευση ή αξιολόγησης από ομοτίμους για τη διασφάλιση της ασφάλειας των συστημάτων πληροφοριών (IS) της κάθε εταιρείας, ίδρυμα ή οργανισμό με βάση ειδικά σχεδιασμένο κριτηρίων και δεικτών.

Με απλά λόγια, για παράδειγμα, ελέγχει την ασφάλεια των πληροφοριών της τράπεζας βράζει κάτω, για να αξιολογήσει το επίπεδο προστασίας των βάσεων δεδομένων των πελατών που κατέχονται από τραπεζικές εργασίες, η ασφάλεια του ηλεκτρονικού χρήματος, η διατήρηση του τραπεζικού απορρήτου, και ούτω καθεξής. Δ Στην περίπτωση των παρεμβολών στις δραστηριότητες του οργάνου μη εξουσιοδοτημένα άτομα από το εξωτερικό, με τη χρήση ηλεκτρονικών και πληροφορικής.

Βεβαίως, μεταξύ των αναγνωστών υπάρχει τουλάχιστον ένα άτομο που ονομάζεται σπίτι ή το κινητό τηλέφωνο με την πρόταση της επεξεργασίας του δανείου ή της κατάθεσης, η τράπεζα με την οποία έχει τίποτα να κάνει. Το ίδιο ισχύει και για τις αγορές και τις προσφορές από κάποια καταστήματα. Από πού ήρθε το δωμάτιό σας;

Είναι απλό. Εάν ένα πρόσωπο πήρε προηγουμένως δάνεια ή επενδύονται σε καταθετικό λογαριασμό, φυσικά, τα δεδομένα της αποθηκεύονται σε μια κοινή πελατειακή βάση. Όταν καλείτε από άλλη τράπεζα ή κατάστημα μπορεί να είναι μόνο ένα συμπέρασμα: οι πληροφορίες γι 'αυτό ήρθε παράνομα σε τρίτους. Πώς; Σε γενικές γραμμές, υπάρχουν δύο επιλογές: είτε να έχει κλαπεί, ή να μεταφερθούν σε υπαλλήλους της τράπεζας σε τρίτους συνειδητά. Για τέτοια πράγματα δεν συμβαίνουν, και χρειάζεται χρόνος για τη διεξαγωγή ελέγχου της ασφάλειας των πληροφοριών της τράπεζας, και αυτό δεν ισχύει μόνο για τον υπολογιστή ή το «σίδερο» μέσο προστασίας, αλλά το σύνολο του προσωπικού του ιδρύματος.

Οι κύριες κατευθύνσεις του ελέγχου της ασφάλειας των πληροφοριών

Όσον αφορά το πεδίο εφαρμογής του ελέγχου, κατά κανόνα, είναι πολλά:

  • πλήρη έλεγχο των αντικειμένων που εμπλέκονται στη διαδικασία της informatization (αυτοματοποιημένο σύστημα του υπολογιστή, τα μέσα επικοινωνίας, λήψης, διαβίβασης πληροφοριών και την επεξεργασία, εγκαταστάσεις, χώρους για εμπιστευτικές συναντήσεις, συστήματα παρακολούθησης, κλπ)?
  • τον έλεγχο της αξιοπιστίας της προστασίας των εμπιστευτικών πληροφοριών με περιορισμένη πρόσβαση (προσδιορισμός της πιθανής διαρροής και των δυνητικών τρύπες ασφαλείας κανάλια επιτρέποντας την πρόσβαση αυτή από το εξωτερικό με τη χρήση του προτύπου και των μη τυποποιημένων μεθόδων)?
  • ελέγξτε όλων των ηλεκτρονικών υπολογιστικών συστημάτων υλικού και των τοπικών για την έκθεση σε ηλεκτρομαγνητική ακτινοβολία και τις παρεμβολές, που τους επιτρέπει να απενεργοποιήσετε ή να θέτουν σε κακή κατάσταση?
  • έργο μέρος, το οποίο περιλαμβάνει τις εργασίες για την εξακρίβωση της ασφάλειας και την εφαρμογή της έννοιας στην πρακτική εφαρμογή της (προστασία των υπολογιστικών συστημάτων, εγκαταστάσεις, διευκολύνσεις επικοινωνίας, κλπ).

Όταν πρόκειται για τον έλεγχο;

Για να μην αναφέρουμε τις κρίσιμες καταστάσεις όπου η άμυνα ήταν ήδη σπασμένα, ο έλεγχος της ασφάλειας των πληροφοριών σε έναν οργανισμό μπορεί να πραγματοποιηθεί, και σε ορισμένες άλλες περιπτώσεις.

Συνήθως, αυτές περιλαμβάνουν την επέκταση της εταιρείας, συγχώνευση, εξαγορά, την εξαγορά από άλλες εταιρείες, να αλλάξει την πορεία των επιχειρήσεων έννοιες ή τις κατευθυντήριες γραμμές, οι αλλαγές στο διεθνές δίκαιο και στη νομοθεσία μιας χώρας, όχι σοβαρές αλλαγές στην υποδομή των πληροφοριών.

τύποι ελέγχου

Σήμερα, η ίδια η κατάταξη αυτού του είδους του ελέγχου, σύμφωνα με πολλούς αναλυτές και εμπειρογνώμονες δεν είναι εγκατεστημένος. Ως εκ τούτου, η διαίρεση σε τάξεις, σε ορισμένες περιπτώσεις μπορεί να είναι αρκετά αυθαίρετο. Παρ 'όλα αυτά, σε γενικές γραμμές, ο έλεγχος της ασφάλειας των πληροφοριών μπορούν να χωριστούν σε εξωτερικές και εσωτερικές.

Ένα εξωτερικό έλεγχο που διενεργείται από ανεξάρτητους εμπειρογνώμονες, οι οποίοι έχουν το δικαίωμα να κάνουν, είναι συνήθως ένας έλεγχος εφάπαξ, το οποίο μπορεί να κινηθεί από τη διοίκηση, τους μετόχους, υπηρεσίες επιβολής του νόμου, κ.λπ. Πιστεύεται ότι ένας εξωτερικός έλεγχος της ασφάλειας των πληροφοριών συνιστάται (αλλά δεν απαιτείται) να πραγματοποιεί τακτικά για μια καθορισμένη χρονική περίοδο. Αλλά για μερικούς οργανισμούς και επιχειρήσεις σύμφωνα με το νόμο, είναι υποχρεωτική (για παράδειγμα, τα χρηματοπιστωτικά ιδρύματα και οργανισμούς, μετοχικές εταιρείες, και άλλοι.).

Εσωτερική ασφάλεια των πληροφοριών ελέγχου είναι μια συνεχής διαδικασία. Βασίζεται σε ένα ειδικό «Κανονισμοί για τον Εσωτερικό Έλεγχο». Τι είναι αυτό; Στην πραγματικότητα, αυτό δραστηριότητες πιστοποίησης αναλαμβάνει η οργάνωση, από την άποψη εγκριθεί από τη διοίκηση. Ο έλεγχος ασφάλειας των πληροφοριών, ειδικά δομικά υποδιαίρεση της επιχείρησης.

Εναλλακτικές κατάταξη των ελεγκτικών

Εκτός από την παραπάνω περιγραφείσα διαίρεση σε τάξεις στη γενική περίπτωση, μπορούμε να διακρίνουμε διάφορα στοιχεία που αναφέρονται στη διεθνή κατάταξη:

  • Εμπειρογνώμονας τον έλεγχο της κατάστασης των συστημάτων ασφαλείας και πληροφοριών των πληροφοριών με βάση την προσωπική εμπειρία των στελεχών της, τη διεξαγωγή του?
  • συστήματα πιστοποίησης και τα μέτρα ασφαλείας για τη συμμόρφωση με τα διεθνή πρότυπα (ISO 17799) και οι εθνικές νομικές πράξεις που ρυθμίζουν αυτόν τον τομέα δραστηριότητας?
  • ανάλυση της ασφάλειας των συστημάτων πληροφοριών με τη χρήση τεχνικών μέσων για τον εντοπισμό των πιθανών τρωτών σημείων στο συγκρότημα του λογισμικού-υλικού.

Μερικές φορές μπορεί να εφαρμοστεί και η λεγόμενη πλήρης έλεγχος, ο οποίος περιλαμβάνει όλα τα παραπάνω είδη. Με την ευκαιρία, δίνει τις πιο αντικειμενικά αποτελέσματα.

Σταδιακή σκοπών και των στόχων

Κάθε επαλήθευση, είτε εσωτερικά είτε εξωτερικά, αρχίζει με τον καθορισμό των στόχων και των στόχων. Με απλά λόγια, θα πρέπει να προσδιορίσετε το λόγο, πώς και τι θα δοκιμαστεί. Αυτό θα καθορίσει την περαιτέρω διαδικασία της διεξαγωγής της όλης διαδικασίας.

Εργασίες, ανάλογα με τη συγκεκριμένη δομή της επιχείρησης, οργανισμού, ιδρύματος και οι δραστηριότητές του μπορεί να είναι αρκετά μεγάλη. Ωστόσο, μέσα σε όλη αυτή την έκδοση, ενιαία στόχος του ελέγχου της ασφάλειας των πληροφοριών:

  • αξιολόγηση της κατάστασης των συστημάτων ασφάλειας των πληροφοριών και των πληροφοριών?
  • ανάλυση των πιθανών κινδύνων που συνδέονται με τον κίνδυνο της διείσδυσης στην εξωτερική IP και τις πιθανές λεπτομέρειες αυτών των παρεμβολών?
  • εντοπισμός των τρύπες και κενά στο σύστημα ασφαλείας?
  • ανάλυση του κατάλληλου επιπέδου ασφάλειας των συστημάτων πληροφοριών για τα ισχύοντα πρότυπα και τις κανονιστικές και νομικές πράξεις?
  • ανάπτυξη και παράδοση των συστάσεων που αφορούν την άρση των υφιστάμενων προβλημάτων, καθώς και η βελτίωση των υφιστάμενων μέσων και την εισαγωγή των νέων εξελίξεων.

Μεθοδολογία και τον έλεγχο εργαλεία

Τώρα λίγα λόγια για το πώς ο έλεγχος και τι μέτρα και να σημαίνει αυτό συνεπάγεται.

Ο έλεγχος της ασφάλειας των πληροφοριών αποτελείται από διάφορα στάδια:

  • την κίνηση των διαδικασιών επαλήθευσης (σαφής καθορισμός των δικαιωμάτων και των ευθυνών του ελεγκτή, ο ελεγκτής ελέγχει την προετοιμασία του σχεδίου και συντονισμού της με τη διοίκηση, το ζήτημα των ορίων της μελέτης, η υποχρέωση των μελών της δέσμευσης οργάνωσης για τη φροντίδα και την έγκαιρη παροχή των σχετικών πληροφοριών)?
  • συλλογή αρχικά δεδομένα (δομή ασφάλειας, την κατανομή των χαρακτηριστικών ασφαλείας, τα επίπεδα ασφάλειας των μεθόδων ανάλυσης της απόδοσης του συστήματος για τη λήψη και την παροχή πληροφοριών, προσδιορισμός των καναλιών επικοινωνίας και αλληλεπίδρασης IP με άλλες δομές, μια ιεραρχία των χρηστών των δικτύων υπολογιστών, τα πρωτόκολλα προσδιορισμού, κλπ)?
  • προβούν σε λεπτομερή ή μερική επιθεώρηση?
  • ανάλυσης δεδομένων (ανάλυση των κινδύνων κάθε είδους και συμμόρφωση)?
  • εκδίδει συστάσεις για την αντιμετώπιση πιθανών προβλημάτων?
  • δημιουργίας αναφορών.

Το πρώτο στάδιο είναι η πιο απλή, γιατί η απόφασή του γίνεται αποκλειστικά μεταξύ της διοίκησης της εταιρείας και του ελεγκτή. Τα όρια της ανάλυσης μπορεί να θεωρηθεί ότι στη γενική συνέλευση των εργαζομένων ή των μετόχων. Όλα αυτά και πολλά άλλα που σχετίζονται με το νομικό τομέα.

Το δεύτερο στάδιο της συλλογής των δεδομένων βάσης, είτε πρόκειται για εσωτερικό έλεγχο της ασφάλειας των πληροφοριών ή εξωτερική ανεξάρτητη πιστοποίηση είναι το πιο έντασης πόρων. Αυτό οφείλεται στο γεγονός ότι σε αυτό το στάδιο θα πρέπει να εξετάσει όχι μόνο την τεχνική τεκμηρίωση σχετικά με όλο το υλικό και το λογισμικό, αλλά και να περιορίσετε-συνεντεύξεις εργαζομένων της εταιρείας, και στις περισσότερες περιπτώσεις, ακόμη και με τη συμπλήρωση ειδικών ερωτηματολογίων ή ερευνών.

Όσο για τον τεχνικό φάκελο, είναι σημαντικό να αποκτήσει δεδομένα σχετικά με τη δομή IC και τα επίπεδα προτεραιότητας των δικαιωμάτων πρόσβασης στους εργαζομένους της, για τον εντοπισμό όλο το σύστημα και το λογισμικό εφαρμογών (το λειτουργικό σύστημα για επιχειρηματικές εφαρμογές, τη διαχείριση και τη λογιστική τους), καθώς και την καθιερωμένη προστασία του λογισμικού και ο τύπος μη-πρόγραμμα (λογισμικό προστασίας από ιούς, firewalls, κλπ). Επιπλέον, αυτό περιλαμβάνει την πλήρη εξακρίβωση των δικτύων και των παρόχων τηλεπικοινωνιακών υπηρεσιών (οργάνωση του δικτύου, τα πρωτόκολλα που χρησιμοποιούνται για τη σύνδεση, τα είδη των διαύλων επικοινωνίας, τη μετάδοση και τις μεθόδους λήψης των ροών πληροφοριών, και πολλά άλλα). Όπως είναι προφανές, παίρνει πολύ χρόνο.

Στο επόμενο στάδιο, οι μέθοδοι ελέγχου της ασφάλειας των πληροφοριών. Είναι τρεις:

  • ανάλυσης κινδύνου (η πιο δύσκολη τεχνική, βασίζεται στον προσδιορισμό του ελεγκτή στη διείσδυση της παράβασης IP και την ακεραιότητά του, χρησιμοποιώντας όλες τις πιθανές μεθόδους και εργαλεία)?
  • αξιολόγηση της συμμόρφωσης με τα πρότυπα και τη νομοθεσία (η πιο απλή και πιο πρακτική μέθοδος που βασίζεται στη σύγκριση της σημερινής κατάστασης και τις απαιτήσεις των διεθνών προτύπων και εγχώριων έγγραφα στον τομέα της ασφάλειας των πληροφοριών)?
  • η συνδυασμένη μέθοδος που συνδυάζει τα δύο πρώτα.

Μετά την παραλαβή των αποτελεσμάτων ελέγχου της ανάλυσής τους. Ταμεία ελέγχου της ασφάλειας των πληροφοριών, οι οποίες χρησιμοποιούνται για την ανάλυση, μπορεί να είναι αρκετά ποικίλη. Όλα εξαρτώνται από τις ιδιαιτερότητες της επιχείρησης, το είδος των πληροφοριών, του λογισμικού που χρησιμοποιείτε, την προστασία και ούτω καθεξής. Ωστόσο, όπως μπορεί να δει κανείς την πρώτη μέθοδο, ο ελεγκτής κυρίως πρέπει να βασίζονται στις δικές τους εμπειρίες.

Και αυτό σημαίνει μόνο ότι πρέπει να είναι πλήρως καταρτισμένοι στον τομέα της τεχνολογίας των πληροφοριών και την προστασία των δεδομένων. Με βάση την ανάλυση αυτή, ο ελεγκτής και υπολογίζει τους πιθανούς κινδύνους.

Σημειώστε ότι θα πρέπει να αντιμετωπίσει όχι μόνο στο λειτουργικό σύστημα ή το πρόγραμμα που χρησιμοποιείται, για παράδειγμα, για την επιχείρηση ή τη λογιστική, αλλά και να έχει κατανοήσει πλήρως πώς ένας εισβολέας μπορεί να διεισδύσει στο σύστημα πληροφοριών με σκοπό την κλοπή, βλάβη και καταστροφή των δεδομένων, τη δημιουργία των προϋποθέσεων για τις παραβιάσεις σε ηλεκτρονικούς υπολογιστές, η εξάπλωση των ιών ή κακόβουλο λογισμικό.

Η αξιολόγηση των ευρημάτων του ελέγχου και τις συστάσεις για την αντιμετώπιση των προβλημάτων

Με βάση την ανάλυση ο εμπειρογνώμονας καταλήγει στο συμπέρασμα σχετικά με την κατάσταση προστασίας και παρέχει συστάσεις για την αντιμετώπιση των υφιστάμενων ή πιθανών προβλημάτων, αναβαθμίσεις ασφαλείας, κ.λπ. Οι συστάσεις θα πρέπει όχι μόνο να είναι δίκαιη, αλλά και σαφώς συνδεδεμένη με την πραγματικότητα της τις ιδιαιτερότητες της επιχείρησης. Με άλλα λόγια, οι συμβουλές για την αναβάθμιση της διαμόρφωσης των υπολογιστών ή λογισμικού που δεν έγιναν δεκτές. Αυτό ισχύει και για την παροχή συμβουλών σχετικά με την απόλυση των «αναξιόπιστων» του προσωπικού, την εγκατάσταση νέων συστημάτων παρακολούθησης χωρίς να προσδιορίζει τον προορισμό τους, τη θέση και την καταλληλότητα.

Με βάση την ανάλυση, κατά κανόνα, υπάρχουν αρκετές ομάδες κινδύνου. Σε αυτή την περίπτωση, να συντάξει συνοπτική έκθεση χρησιμοποιεί δύο βασικούς δείκτες: (. Η απώλεια των περιουσιακών στοιχείων, τη μείωση της φήμης, απώλεια εικόνας και ούτω καθεξής), η πιθανότητα μιας επίθεσης και τη ζημία που προκλήθηκε στην εταιρεία, ως αποτέλεσμα. Ωστόσο, η απόδοση των ομάδων δεν είναι το ίδιο. Για παράδειγμα, ένδειξη χαμηλής στάθμης για την πιθανότητα της επίθεσης είναι η καλύτερη. Για τις ζημίες - το αντίθετο μάλιστα.

Μόνο τότε συνέταξε μια έκθεση που περιγράφει με λεπτομέρειες ζωγραφισμένα όλα τα στάδια, τις μεθόδους και τα μέσα της έρευνας. Συμφώνησε με την ηγεσία και υπογράφεται από τα δύο μέρη - την εταιρεία και τον ελεγκτή. Αν ο έλεγχος των εσωτερικών, είναι μια έκθεση ο επικεφαλής της αντίστοιχης δομική μονάδα, μετά την οποία, και πάλι, υπογράφεται από τον προϊστάμενο.

Λογιστικός έλεγχος πληροφοριακής ασφάλειας: Παράδειγμα

Τέλος, θεωρούμε το πιο απλό παράδειγμα μιας κατάστασης που έχει ήδη συμβεί. Πολλοί, από τον τρόπο, μπορεί να φανεί πολύ οικείο.

Για παράδειγμα, το προσωπικό προμηθειών της εταιρείας στις Ηνωμένες Πολιτείες, που ιδρύθηκε στο ICQ instant messenger υπολογιστή (το όνομα του υπαλλήλου και το όνομα της εταιρείας δεν είναι το όνομα για ευνόητους λόγους). Οι διαπραγματεύσεις διεξήχθησαν με ακρίβεια με τη βοήθεια αυτού του προγράμματος. Αλλά το «ICQ» είναι αρκετά ευάλωτη όσον αφορά την ασφάλεια. υπάλληλος Αυτο σε αριθμούς εγγραφής στο χρόνο ή δεν έχουν μια διεύθυνση ηλεκτρονικού ταχυδρομείου, ή απλά δεν ήθελε να το δώσει. Αντ 'αυτού, τόνισε σε κάτι σαν e-mail, ακόμα και ανύπαρκτη τομέα.

Τι θα ο εισβολέας; Όπως φαίνεται από έναν έλεγχο της ασφάλειας των πληροφοριών, θα πρέπει να καταχωρηθεί ακριβώς την ίδια περιοχή και δημιούργησε θα είναι σε αυτό, ένα άλλο τερματικό εγγραφής, και στη συνέχεια θα μπορούσε να στείλει ένα μήνυμα προς την εταιρεία Mirabilis που διαθέτει την υπηρεσία ICQ, ζητώντας ανάκτησης κωδικού πρόσβασης λόγω της απώλειας του (ότι θα πρέπει να γίνει ). Δεδομένου ότι ο παραλήπτης του διακομιστή αλληλογραφίας που δεν ήταν, δεν είχε συμπεριληφθεί ανακατευθύνει - ανακατευθύνει σε ένα υπάρχον μήνυμα εισβολέα.

Ως εκ τούτου, παίρνει την πρόσβαση στην αλληλογραφία με τον συγκεκριμένο αριθμό ICQ και ενημερώνει τον προμηθευτή για να αλλάξετε τη διεύθυνση του παραλήπτη των αγαθών σε μια συγκεκριμένη χώρα. Έτσι, τα αγαθά αποστέλλονται σε άγνωστο προορισμό. Και αυτό είναι το πιο ακίνδυνο παράδειγμα. Έτσι, άτακτη συμπεριφορά. Και τι γίνεται με πιο σοβαρή χάκερ οι οποίοι είναι σε θέση να πολύ περισσότερο ...

συμπέρασμα

Εδώ είναι μια σύντομη και ό, τι σχετίζεται με τον έλεγχο ασφαλείας IP. Φυσικά, αυτό δεν επηρεάζεται από όλες τις πτυχές της. Ο λόγος είναι απλά ότι στη διαμόρφωση των προβλημάτων και των μεθόδων της συμπεριφοράς της επηρεάζει πολλούς παράγοντες, έτσι ώστε η προσέγγιση σε κάθε περίπτωση είναι αυστηρά ατομική. Επιπλέον, οι μέθοδοι και τα μέσα ελέγχου της ασφάλειας των πληροφοριών μπορεί να είναι διαφορετική για διαφορετικές ΣΔ. Ωστόσο, νομίζω, οι γενικές αρχές των εν λόγω δοκιμών για πολλούς γίνουν εμφανείς ακόμη και στην πρωτοβάθμια εκπαίδευση.

Similar articles

 

 

 

 

Trending Now

 

 

 

 

Newest

Copyright © 2018 el.atomiyme.com. Theme powered by WordPress.