Audit der Informationssicherheit von Unternehmen: Konzept, Standards, Beispiel

Viele Geschäftsleute versuchen, ihr Firmengeheimnis geheim zu halten. Da das Jahrhundert das Zeitalter der Hochtechnologie ist, ist es ziemlich schwierig, dies zu tun. Fast jeder versucht, sich vor dem Verlust von Unternehmens- und persönlichen Informationen zu schützen, aber es ist kein Geheimnis, dass es für einen Fachmann nicht schwierig sein wird, die erforderlichen Daten herauszufinden. Derzeit gibt es viele Methoden, die vor solchen Angriffen schützen. Um die Wirksamkeit eines solchen Sicherheitssystems zu überprüfen, muss jedoch ein Audit der Informationssicherheit durchgeführt werden.

Was ist ein Audit?

Nach dem Bundesgesetz über die Revision umfasst eine Revision verschiedene Methoden und Methoden sowie die praktische Durchführung von Inspektionen. In Bezug auf die Informationssicherheit des Unternehmens handelt es sich um eine unabhängige Bewertung des Zustands des Systems sowie der Übereinstimmung mit den festgelegten Anforderungen. Es werden Prüfungen in Bezug auf Rechnungslegung und Steuerberichterstattung, wirtschaftliche Unterstützung sowie finanzielle und wirtschaftliche Tätigkeiten durchgeführt.

Warum ist eine solche Prüfung notwendig?

Einige betrachten eine solche Tätigkeit als Geldverschwendung. Durch die rechtzeitige Erkennung von Problemen in diesem Bereich können jedoch noch größere wirtschaftliche Verluste vermieden werden. Die Ziele eines Informationssicherheits-Audits sind:

• Feststellung des Schutzniveaus und Herbeiführen des erforderlichen Schutzniveaus;
• finanzielle Abwicklung im Hinblick auf die Gewährleistung der Vertraulichkeit der Organisation;
• Demonstration der Durchführbarkeit von Investitionen in diesem Sektor;
• Holen Sie das Beste aus Ihren Sicherheitskosten heraus
• Bestätigung der Wirksamkeit von internen Kräften, Kontrollmitteln und deren Reflexion über die Geschäftsführung.

Wie wird Informationssicherheit in einem Unternehmen geprüft?

Eine umfassende Prüfung der Informationssicherheit erfolgt in mehreren Schritten. Der Prozess ist in organisatorische und instrumentelle unterteilt. Im Rahmen beider Teile des Komplexes wird die Sicherheit des Unternehmensinformationssystems des Kunden untersucht und anschließend festgestellt, ob die festgelegten Standards und Anforderungen eingehalten werden. Ein Informationssicherheitsaudit gliedert sich in folgende Phasen:

1. Ermittlung von Kundenanforderungen und Arbeitsumfang.
2. Die notwendigen Materialien studieren und Schlussfolgerungen ziehen.
3. Analyse möglicher Risiken.
4. Gutachten über die geleistete Arbeit und den Erlass des entsprechenden Urteils.

Was ist in der ersten Phase eines Informationssicherheits-Audits enthalten?

Das Informationssicherheitsprüfprogramm beginnt genau mit der Klärung des Arbeitsaufwands, den der Kunde benötigt. Der Klient bringt seine Meinung und seinen Zweck zum Ausdruck und beantragte daraufhin eine Sachverständigenbewertung.

Zu diesem Zeitpunkt beginnt bereits die Überprüfung der allgemeinen Daten, die der Kunde bereitstellt. Er wird beschrieben, welche Methoden angewendet werden und welche Maßnahmen geplant sind.

Die Hauptaufgabe in dieser Phase ist es, ein bestimmtes Ziel zu setzen. Der Kunde und die Organisation, die das Audit durchführt, müssen sich verstehen und sich auf eine gemeinsame Meinung einigen. Nach Bildung der Kommission wird deren Zusammensetzung von den zuständigen Fachleuten ausgewählt. Die erforderlichen technischen Spezifikationen werden ebenfalls separat mit dem Kunden vereinbart.

Anscheinend sollte dieses Ereignis nur den Status des Systems beschreiben, das vor Informationsangriffen schützt. Die endgültigen Ergebnisse des Tests können jedoch abweichen.Einige sind an vollständigen Informationen über die Arbeit der Schutzausrüstung des Kundenunternehmens interessiert, während andere nur an der Effizienz einzelner Informationstechnologielinien interessiert sind. Die Wahl der Bewertungsmethoden und -mittel hängt von den Anforderungen ab. Die Zielsetzung wirkt sich auch auf den weiteren Arbeitsablauf der Expertenkommission aus.

Übrigens besteht die Arbeitsgruppe aus Spezialisten aus zwei Organisationen - dem Unternehmen, das die Prüfung durchführt, und den Mitarbeitern der geprüften Organisation. Letztere kennen wie kein anderer die Komplexität ihrer Einrichtung und können alle Informationen liefern, die für eine umfassende Bewertung erforderlich sind. Sie üben auch eine Art Kontrolle über die Arbeit der Mitarbeiter der ausführenden Firma aus. Ihre Beurteilung wird bei der Abgabe der Prüfungsergebnisse berücksichtigt.

Die Experten des Unternehmens, die eine Prüfung der Informationssicherheit des Unternehmens durchführen, befassen sich mit den Themenbereichen. Mit einem angemessenen Qualifikationsniveau sowie einer unabhängigen und unvoreingenommenen Stellungnahme können sie den Arbeitsstatus von Schutzausrüstungen genauer beurteilen. Experten führen ihre Aktivitäten in Übereinstimmung mit dem geplanten Arbeitsplan und den geplanten Zielen durch. Sie entwickeln technische Prozesse und stimmen die Ergebnisse aufeinander ab.

Die Leistungsbeschreibung legt die Ziele des Abschlussprüfers klar fest und legt die Methoden für deren Umsetzung fest. Es wird auch der zeitliche Ablauf des Audits festgelegt, und es ist sogar möglich, dass jede Phase einen eigenen Zeitraum hat.

In dieser Phase wird Kontakt mit dem Sicherheitsdienst der geprüften Einrichtung aufgenommen. Der Abschlussprüfer verpflichtet sich, die Ergebnisse der Prüfung nicht offenzulegen.

Wie ist die Umsetzung der zweiten Stufe?

Eine Prüfung der Informationssicherheit eines Unternehmens in der zweiten Stufe ist eine detaillierte Sammlung von Informationen, die für deren Bewertung erforderlich sind. Zunächst betrachten wir eine Reihe allgemeiner Maßnahmen, die auf die Umsetzung einer Datenschutzrichtlinie abzielen.

Da die meisten Daten inzwischen in elektronischer Form vervielfältigt werden oder das Unternehmen seine Tätigkeiten im Allgemeinen nur mit Hilfe der Informationstechnologie ausübt, wird auch die Software getestet. Die physische Sicherheit wird ebenfalls analysiert.

In dieser Phase haben sich Spezialisten verpflichtet, zu überprüfen und zu bewerten, wie die Informationssicherheit innerhalb der Institution gewährleistet und geprüft wird. Zu diesem Zweck eignen sich die Organisation des Schutzsystems sowie die technischen Fähigkeiten und Bedingungen für dessen Bereitstellung zur Analyse. Dem letzten Punkt wird besondere Aufmerksamkeit geschenkt, da Betrüger häufig gerade durch den technischen Teil Schutzverletzungen feststellen. Aus diesem Grund werden folgende Punkte gesondert betrachtet:

• Software-Struktur;
• Konfiguration von Servern und Netzwerkgeräten;
• Datenschutzmechanismen.

Eine Prüfung der Informationssicherheit des Unternehmens in dieser Phase endet mit einer Nachbesprechung und einer Darstellung der Arbeitsergebnisse in Form eines Berichts. Es sind die dokumentierten Schlussfolgerungen, die die Grundlage für die Durchführung der folgenden Prüfungsphasen bilden.

Wie werden mögliche Risiken analysiert?

Außerdem wird ein Informationssicherheitsaudit von Organisationen durchgeführt, um tatsächliche Bedrohungen und deren Folgen zu ermitteln. Am Ende dieser Phase sollte eine Liste von Maßnahmen erstellt werden, die die Möglichkeit von Informationsangriffen vermeiden oder zumindest minimieren.

Um Datenschutzverletzungen zu vermeiden, müssen Sie den am Ende des vorherigen Schritts erhaltenen Bericht analysieren. Dadurch kann festgestellt werden, ob ein tatsächlicher Eingriff in den Unternehmensraum möglich ist. Über die Zuverlässigkeit und Leistungsfähigkeit der vorhandenen technischen Schutzausrüstung wird ein Urteil gefällt.

Da alle Organisationen unterschiedliche Arbeitsbereiche haben, kann die Liste der Sicherheitsanforderungen nicht identisch sein.Für die geprüfte Einrichtung wird eine Liste individuell erstellt.

In dieser Phase werden auch Schwachstellen identifiziert und dem Kunden Informationen über potenzielle Angreifer und drohende Bedrohungen bereitgestellt. Letzteres ist notwendig, um zu wissen, auf welche Seite der Trick wartet und um diesem mehr Aufmerksamkeit zu schenken.

Für den Kunden ist es auch wichtig zu wissen, wie effektiv die Innovationen und Ergebnisse der Expertenkommission sein werden.

Die Analyse möglicher Risiken hat folgende Ziele:

• Klassifizierung von Informationsquellen;
• Identifizierung von Schwachstellen im Workflow;
• Prototyp eines möglichen Betrügers.

Mithilfe von Analysen und Audits können Sie feststellen, wie erfolgreich Informationsangriffe sein können. Dazu werden die Kritikalität von Schwachstellen und deren Verwendung für illegale Zwecke bewertet.

Was ist die letzte Phase des Audits?

Die Endphase ist durch das Schreiben der Arbeitsergebnisse gekennzeichnet. Das ausgegebene Dokument wird als Prüfbericht bezeichnet. Sie konsolidiert die Schlussfolgerung über das allgemeine Sicherheitsniveau des geprüften Unternehmens. Separat wird die Wirksamkeit des Informationstechnologiesystems in Bezug auf die Sicherheit beschrieben. Der Bericht enthält Hinweise zu potenziellen Bedrohungen und beschreibt ein Modell eines möglichen Angreifers. Außerdem wird die Möglichkeit eines unbefugten Eindringens aufgrund interner und externer Faktoren aufgezeigt.

Prüfungsstandards für Informationssicherheit bieten nicht nur eine Bewertung des Status, sondern auch die Abgabe von Empfehlungen einer Expertenkommission zu den erforderlichen Aktivitäten. Es sind die Experten, die die umfassende Arbeit durchgeführt und die Informationsinfrastruktur analysiert haben. Sie können sagen, was zu tun ist, um sich vor Informationsdiebstahl zu schützen. Sie zeigen die Stellen auf, die verstärkt werden müssen. Experten geben auch Anleitungen zum technischen Support, dh zu Geräten, Servern und Firewalls.

Empfehlungen sind Änderungen, die an der Konfiguration von Netzwerkgeräten und Servern vorgenommen werden müssen. Möglicherweise beziehen sich die Anweisungen direkt auf ausgewählte Sicherheitsmethoden. Falls erforderlich, werden Experten eine Reihe von Maßnahmen vorschreiben, die darauf abzielen, die Schutzmechanismen weiter zu stärken.

Das Unternehmen sollte auch spezielle Öffentlichkeitsarbeit leisten und eine Politik entwickeln, die auf Vertraulichkeit abzielt. Vielleicht sollten Sicherheitsreformen durchgeführt werden. Ein wichtiger Punkt ist die regulatorische und technische Basis, die verpflichtet ist, die Bestimmungen über die Sicherheit des Unternehmens zu konsolidieren. Das Team muss ordnungsgemäß unterrichtet werden. Einflussbereiche und zugewiesene Verantwortung teilen sich alle Mitarbeiter. Wenn dies angemessen ist, ist es besser, einen Kurs durchzuführen, um die Ausbildung des Teams in Bezug auf Informationssicherheit zu verbessern.

Welche Arten von Audits gibt es?

Es gibt zwei Arten der Prüfung der Informationssicherheit eines Unternehmens. Abhängig von der Quelle dieses Prozesses können die folgenden Typen unterschieden werden:

1. Äußere Form. Es unterscheidet sich darin, dass es wegwerfbar ist. Das zweite Merkmal ist, dass es von unabhängigen und unvoreingenommenen Experten hergestellt wird. Wenn es sich um eine Empfehlung handelt, wird sie vom Eigentümer der Einrichtung bestellt. In einigen Fällen ist eine externe Prüfung erforderlich. Dies kann sowohl auf die Art der Organisation als auch auf außergewöhnliche Umstände zurückzuführen sein. Im letzteren Fall sind die Initiatoren einer solchen Prüfung in der Regel Strafverfolgungsbehörden.
2. Innere Form. Es basiert auf einer speziellen Bestimmung, die Prüfungshandlungen vorschreibt. Eine interne Prüfung der Informationssicherheit ist erforderlich, um das System ständig zu überwachen und Schwachstellen zu identifizieren.Es ist eine Liste von Ereignissen, die in einem bestimmten Zeitraum stattfinden. Für diese Arbeit wird meist eine spezielle Abteilung oder ein autorisierter Mitarbeiter eingerichtet. Er diagnostiziert den Zustand der Schutzausrüstung.

Wie wird eine aktive Prüfung durchgeführt?

Je nachdem, was der Kunde verfolgt, werden auch die Methoden für die Prüfung der Informationssicherheit ausgewählt. Eine der häufigsten Methoden zum Ermitteln des Sicherheitsniveaus ist eine aktive Prüfung. Es ist eine Aussage über einen echten Hackerangriff.

Der Vorteil dieser Methode besteht darin, dass die Möglichkeit einer Bedrohung möglichst realistisch simuliert werden kann. Dank eines aktiven Audits können Sie nachvollziehen, wie sich eine ähnliche Situation im Leben entwickeln wird. Diese Methode wird auch instrumentelle Sicherheitsanalyse genannt.

Das Wesentliche einer aktiven Prüfung ist die Implementierung (unter Verwendung einer speziellen Software) eines Versuchs eines unbefugten Eindringens in ein Informationssystem. Gleichzeitig muss die Schutzausrüstung voll einsatzbereit sein. Dank dessen ist es möglich, ihre Arbeit in einem solchen Fall zu bewerten. Eine Person, die einen künstlichen Hackerangriff ausführt, erhält ein Minimum an Informationen. Dies ist erforderlich, um die realistischsten Bedingungen wiederherzustellen.

Sie versuchen, das System so vielen Angriffen wie möglich auszusetzen. Mit verschiedenen Methoden können Sie die Hacking-Methoden bewerten, denen das System am meisten ausgesetzt ist. Dies hängt natürlich von der Qualifikation des Fachmanns ab, der diese Arbeit ausführt. Aber seine Handlungen sollten nicht destruktiv sein.

Letztendlich erstellt der Experte einen Bericht über die Schwachstellen des Systems und die am besten zugänglichen Informationen. Es enthält auch Empfehlungen zu möglichen Upgrades, die eine angemessene Erhöhung der Sicherheit gewährleisten sollen.

Was ist ein Expertenaudit?

Um festzustellen, ob das Unternehmen die festgelegten Anforderungen erfüllt, wird auch ein Informationssicherheitsaudit durchgeführt. Ein Beispiel für eine solche Aufgabe ist die Expertenmethode. Es besteht in einer vergleichenden Bewertung mit den Quelldaten.

Diese sehr ideale Schutzarbeit kann auf einer Vielzahl von Quellen beruhen. Der Kunde kann selbst Anforderungen und Ziele festlegen. Der Leiter des Unternehmens möchte möglicherweise wissen, wie weit das Sicherheitsniveau seiner Organisation von dem entfernt ist, was er möchte.

Der Prototyp, anhand dessen eine vergleichende Bewertung durchgeführt wird, kann allgemein als internationaler Standard anerkannt werden.

Nach dem Bundesgesetz über die Revision verfügt die ausführende Gesellschaft über ausreichende Befugnisse, um relevante Informationen zu erheben und zu dem Schluss zu gelangen, dass die bestehenden Maßnahmen zur Gewährleistung der Informationssicherheit ausreichend sind. Die Kohärenz der behördlichen Dokumente und der Maßnahmen der Mitarbeiter in Bezug auf den Betrieb der Schutzausrüstung wird ebenfalls bewertet.

Was ist die Konformitätsprüfung?

Diese Art ist der vorherigen sehr ähnlich, da ihr Wesen auch eine vergleichende Bewertung ist. Aber nur in diesem Fall ist der ideale Prototyp kein abstraktes Konzept, sondern die klaren Anforderungen, die in den behördlichen und technischen Dokumentationen und Normen verankert sind. Sie bestimmt jedoch auch den Grad der Einhaltung der in den Datenschutzrichtlinien des Unternehmens festgelegten Stufe. Ohne Einhaltung dieses Moments können wir nicht über weitere Arbeiten sprechen.

In den meisten Fällen ist diese Art der Prüfung für die Zertifizierung des vorhandenen Sicherheitssystems im Unternehmen erforderlich. Dies erfordert die Stellungnahme eines unabhängigen Sachverständigen. Hierbei ist nicht nur das Schutzniveau von Bedeutung, sondern auch die Zufriedenheit mit anerkannten Qualitätsstandards.

Wir können daher den Schluss ziehen, dass Sie für diese Art von Verfahren den Auftragnehmer auswählen und die Bandbreite der Ziele auf der Grundlage Ihrer eigenen Bedürfnisse und Fähigkeiten hervorheben müssen.