De nombreux hommes d'affaires tentent de garder le secret de leur entreprise. Le siècle étant l’ère de la haute technologie, il est assez difficile à faire. Presque tout le monde essaie de se protéger de la fuite d'informations personnelles et d'entreprise, mais ce n'est un secret pour personne, il ne sera pas difficile pour un professionnel de trouver les données nécessaires. Il existe actuellement de nombreuses méthodes de protection contre de telles attaques. Mais pour vérifier l'efficacité d'un tel système de sécurité, il est nécessaire de réaliser un audit de la sécurité de l'information.
Qu'est-ce qu'un audit?
Conformément à la loi fédérale "sur l'audit", un audit comprend diverses méthodes et méthodes, ainsi que la mise en œuvre pratique des inspections. En ce qui concerne la sécurité de l'information de l'entreprise, il s'agit d'une évaluation indépendante de l'état du système, ainsi que du niveau de conformité avec les exigences établies. Les examens portent sur la comptabilité et les déclarations fiscales, le soutien économique et les activités financières et économiques.
Pourquoi une telle vérification est-elle nécessaire?
Certains considèrent qu'une telle activité est un gaspillage d'argent. Cependant, en identifiant rapidement les problèmes de ce secteur, on peut éviter des pertes économiques encore plus grandes. Les objectifs d'un audit de la sécurité de l'information sont les suivants:
- détermination du niveau de protection et mise au besoin;
- règlement financier en termes de garantie de la confidentialité de l'organisation;
- démonstration de la faisabilité d'investir dans ce secteur;
- Tirer le meilleur parti de vos coûts de sécurité
- confirmation de l'efficacité des forces internes, des moyens de contrôle et de leur réflexion sur la conduite des affaires.
Comment la sécurité de l'information est-elle auditée dans une entreprise?
Un audit complet de la sécurité de l'information se déroule en plusieurs étapes. Le processus est divisé en organisation et instrumental. Dans le cadre des deux parties du complexe, la sécurité du système d’information d’entreprise du client est étudiée, puis le respect des normes et exigences établies est déterminé. Un audit de la sécurité de l'information est divisé en plusieurs étapes:
- Détermination des besoins des clients et de la portée des travaux.
- Étudier le matériel nécessaire et tirer des conclusions.
- Analyse des risques possibles.
- Opinion d'expert sur le travail effectué et la publication du verdict approprié.
Que comprend la première étape d’un audit de la sécurité de l’information?
Le programme d'audit de la sécurité de l'information commence précisément par clarifier la quantité de travail requise par le client. Le client exprime son opinion et son but, recherchant une expertise.
À ce stade, la vérification des données générales fournies par le client commence déjà. Il décrit les méthodes qui seront utilisées et l’ensemble prévu de mesures.
La tâche principale à ce stade est de définir un objectif spécifique. Le client et l'organisation effectuant l'audit doivent se comprendre et s'entendre sur un avis commun. Après la formation de la commission, sa composition est choisie par les spécialistes appropriés. Les spécifications techniques requises sont également convenues séparément avec le client.
Il semblerait que cet événement ne devrait que décrire l'état du système qui protège contre les attaques d'informations. Mais les résultats finaux du test peuvent être différents.Certains sont intéressés par des informations complètes sur le travail des équipements de protection de la société du client, alors que d’autres ne s'intéressent qu’à l’efficacité des lignes informatiques individuelles. Le choix des méthodes et des moyens d’évaluation dépend des besoins. La fixation d’objectifs influe également sur la suite des travaux de la commission d’experts.
En passant, le groupe de travail est composé de spécialistes de deux organisations: l'entreprise effectuant l'audit et les employés de l'organisation auditée. En effet, ces derniers, comme personne, connaissent les subtilités de leur institution et peuvent fournir toutes les informations nécessaires à une évaluation complète. Ils exercent également une sorte de contrôle sur le travail des employés de la société exécutante. Leur avis est pris en compte lors de la publication des résultats de l'audit.
Les experts de la société qui effectuent un audit de la sécurité de l'information de l'entreprise sont engagés dans l'étude de domaines. Disposant d'un niveau de qualification approprié, ainsi que d'un avis indépendant et impartial, ils sont en mesure d'évaluer avec plus de précision l'état de travail des équipements de protection. Les experts mènent leurs activités conformément au plan de travail et aux objectifs prévus. Ils développent des processus techniques et coordonnent les résultats les uns avec les autres.
Les termes de référence fixent clairement les objectifs de l'auditeur, déterminent les méthodes pour sa mise en œuvre. Il précise également le calendrier de l'audit, il est même possible que chaque étape ait sa propre période.
A ce stade, le service de sécurité de l'institution auditée est contacté. L’auditeur donne l’obligation de ne pas divulguer les résultats de l’audit.
Comment se déroule la deuxième étape?
Un audit de la sécurité de l’information d’une entreprise à la deuxième étape est une collecte détaillée d’informations nécessaires à son évaluation. Pour commencer, nous considérons un ensemble général de mesures visant à mettre en œuvre une politique de confidentialité.
Étant donné que la plupart des données sont dupliquées sous forme électronique ou que, de manière générale, l'entreprise n'exerce ses activités qu'avec l'aide de la technologie de l'information, les logiciels sont également soumis au test. La sécurité physique est également en cours d'analyse.
À ce stade, les spécialistes s’engagent à examiner et à évaluer comment la sécurité de l’information est assurée et auditée au sein de l’institution. Pour cela, l'organisation du système de protection, ainsi que les capacités techniques et les conditions de sa mise en place, se prêtent à l'analyse. Le dernier point fait l'objet d'une attention particulière, car les fraudeurs constatent le plus souvent des violations de la protection précisément dans la partie technique. Pour cette raison, les points suivants sont considérés séparément:
- structure du logiciel;
- configuration des serveurs et des périphériques réseau;
- mécanismes de confidentialité.
Un audit de la sécurité de l'information de l'entreprise à ce stade se termine par un compte rendu et une expression des résultats du travail effectué sous la forme d'un rapport. Ce sont les conclusions documentées qui constituent la base de la mise en œuvre des étapes suivantes de l'audit.
Comment les risques possibles sont-ils analysés?
Un audit de la sécurité de l'information des organisations est également mené pour identifier les menaces réelles et leurs conséquences. À la fin de cette étape, une liste de mesures devrait être établie pour éviter ou du moins minimiser la possibilité d'attaques d'informations.
Pour éviter les violations de la confidentialité, vous devez analyser le rapport reçu à la fin de l'étape précédente. Grâce à cela, il est possible de déterminer si une réelle intrusion dans l’espace de la société est possible. Un verdict est rendu sur la fiabilité et les performances des équipements de protection techniques existants.
Toutes les organisations ayant des domaines d'activité différents, la liste des exigences de sécurité ne peut pas être identique.Pour l’établissement audité, une liste est développée individuellement.
Les faiblesses sont également identifiées à ce stade et le client reçoit des informations sur les attaquants potentiels et les menaces imminentes. Ce dernier est nécessaire pour savoir de quel côté attendre le tour et y faire plus attention.
Il est également important que le client connaisse l'efficacité des innovations et des résultats de la commission d'experts.
L’analyse des risques possibles a les objectifs suivants:
- classification des sources d'information;
- identification des vulnérabilités dans le flux de travail;
- prototype d'un fraudeur possible.
L'analyse et l'audit vous permettent de déterminer dans quelle mesure le succès des attaques d'informations est possible. Pour cela, la criticité des faiblesses et les moyens de les utiliser à des fins illégales sont évaluées.
Quelle est la dernière étape de l'audit?
La dernière étape est caractérisée par la rédaction des résultats du travail. Le document qui sort s'appelle un rapport d'audit. Il consolide la conclusion sur le niveau général de sécurité de la société auditée. Séparément, il existe une description de l'efficacité du système informatique en matière de sécurité. Le rapport fournit des informations sur les menaces potentielles et décrit un modèle d'attaquant possible. Il évoque également la possibilité d'intrusion non autorisée en raison de facteurs internes et externes.
Les normes d'audit de la sécurité de l'information fournissent non seulement une évaluation de l'état d'avancement, mais également des recommandations d'une commission d'experts sur les activités nécessaires. Ce sont les experts qui ont effectué le travail complet, analysé l’infrastructure informatique, qui peuvent dire ce qui doit être fait pour se protéger du vol d’informations. Ils indiqueront les lieux à renforcer. Les experts fournissent également des conseils sur l’assistance technique, c’est-à-dire l’équipement, les serveurs et les pare-feu.
Les recommandations sont les modifications à apporter à la configuration des périphériques et des serveurs du réseau. Peut-être que les instructions porteront directement sur les méthodes de sécurité sélectionnées. Si nécessaire, les experts prescriront un ensemble de mesures visant à renforcer davantage les mécanismes de protection.
La société devrait également effectuer des travaux spéciaux de sensibilisation et élaborer une politique de confidentialité. Des réformes de sécurité devraient peut-être être mises en œuvre. Un point important est la base réglementaire et technique, qui est obligée de consolider les dispositions sur la sécurité de l'entreprise. L'équipe doit être correctement instruite. Les sphères d'influence et les responsabilités attribuées sont partagées par tous les employés. Si cela convient, il vaut mieux organiser un cours pour améliorer la formation de l'équipe en matière de sécurité de l'information.
Quels types d'audit existent?
L'audit de la sécurité des informations d'une entreprise peut être de deux types. Selon la source de ce processus, les types suivants peuvent être distingués:
- Formulaire externe. Il diffère en ce qu'il est jetable. Sa deuxième caractéristique est qu’il est produit par des experts indépendants et impartiaux. S'il s'agit d'une recommandation, elle est ordonnée par le propriétaire de l'institution. Dans certains cas, un audit externe est requis. Cela peut être dû au type d’organisation, ainsi qu’à des circonstances extraordinaires. Dans ce dernier cas, les initiateurs d’un tel audit sont généralement les forces de l’ordre.
- Forme intérieure. Il est basé sur une disposition spécialisée qui prescrit la conduite de l'audit. Un audit interne de la sécurité de l'information est nécessaire afin de surveiller en permanence le système et d'identifier les vulnérabilités.C'est une liste d'événements qui se déroulent dans une période de temps spécifiée. Pour ce travail, le plus souvent un service spécial ou un employé autorisé est établi. Il diagnostique l'état de l'équipement de protection.
Comment se déroule un audit actif?
Selon les objectifs du client, les méthodes d'audit de la sécurité de l'information sont également choisies. Une vérification active est l’un des moyens les plus courants d’étudier le niveau de sécurité. C'est une déclaration d'une véritable attaque de hacker.
L'avantage de cette méthode est qu'elle permet la simulation la plus réaliste possible d'une menace. Grâce à un audit actif, vous pouvez comprendre comment une situation similaire va se développer dans la vie. Cette méthode s'appelle également analyse de sécurité instrumentale.
L'essence d'un audit actif est la mise en œuvre (à l'aide d'un logiciel spécial) d'une tentative d'intrusion non autorisée dans un système d'information. Dans le même temps, les équipements de protection doivent être prêts à être utilisés. Grâce à cela, il est possible d'évaluer leur travail dans un tel cas. Une personne qui effectue une attaque de pirate informatique artificielle reçoit un minimum d'informations. Cela est nécessaire pour recréer les conditions les plus réalistes.
Ils essaient d'exposer le système à autant d'attaques que possible. En utilisant différentes méthodes, vous pouvez évaluer les méthodes de piratage auxquelles le système est le plus exposé. Cela dépend bien entendu des qualifications du spécialiste qui effectue ce travail. Mais ses actions ne doivent pas être de nature destructrice.
En fin de compte, l'expert génère un rapport sur les faiblesses du système et les informations les plus accessibles. Il fournit également des recommandations sur les mises à niveau possibles, qui devraient garantir une sécurité accrue au bon niveau.
Qu'est-ce qu'un audit expert?
Un audit de la sécurité de l’information est également réalisé pour déterminer la conformité de la société aux exigences établies. Un exemple d'une telle tâche peut être vu dans la méthode expert. Il consiste en une évaluation comparative avec les données source.
Ce travail de protection très idéal peut être basé sur diverses sources. Le client lui-même peut définir des exigences et des objectifs. Le chef de l'entreprise peut vouloir savoir dans quelle mesure le niveau de sécurité de son organisation est loin de ce qu'il souhaite.
Le prototype par rapport auquel une évaluation comparative sera réalisée peut être généralement reconnu comme une norme internationale.
Conformément à la loi fédérale "sur l'audit", la société exécutante dispose de suffisamment d'autorité pour collecter les informations pertinentes et conclure que les mesures existantes pour assurer la sécurité de l'information sont suffisantes. La cohérence des documents réglementaires et les actions des employés concernant le fonctionnement des équipements de protection sont également évaluées.
Qu'est-ce que la vérification de conformité?
Cette espèce est très similaire à la précédente car son essence est aussi une évaluation comparative. Mais ce n’est que dans ce cas que le prototype idéal n’est pas un concept abstrait, mais les exigences claires énoncées dans la documentation et les normes réglementaires et techniques. Cependant, il détermine également le degré de conformité avec le niveau spécifié par la politique de confidentialité de l’entreprise. Sans respect de ce moment, nous ne pouvons pas parler de travail supplémentaire.
Le plus souvent, ce type d’audit est nécessaire à la certification du système de sécurité existant dans l’entreprise. Cela nécessite l'avis d'un expert indépendant. Ici, non seulement le niveau de protection est important, mais également sa satisfaction à l'égard des normes de qualité reconnues.
Nous pouvons donc en conclure que pour mener à bien ce type de procédure, vous devez choisir l'exécutant et mettre en évidence la gamme de buts et d'objectifs en fonction de vos propres besoins et capacités.