Revizija sigurnosti informacija poduzeća: koncept, standardi, primjer

Mnogi gospodarstvenici pokušavaju sačuvati svoju tvrtku u tajnosti. Budući da je stoljeće doba visoke tehnologije, to je prilično teško učiniti. Gotovo svi se pokušavaju zaštititi od curenja korporativnih i osobnih podataka, ali nije tajna da profesionalcu neće biti teško pronaći potrebne podatke. Trenutno postoje mnoge metode koje štite od takvih napada. No, da bi se provjerila učinkovitost takvog sigurnosnog sustava, potrebno je provesti reviziju informacijske sigurnosti.

Što je revizija?

Prema saveznom zakonu "o reviziji", revizija uključuje različite metode i metode, kao i praktičnu provedbu inspekcija. Što se tiče informacijske sigurnosti poduzeća, to je neovisna procjena stanja sustava, kao i stupnja njegove usklađenosti s utvrđenim zahtjevima. Ispitivanja se provode u vezi s računovodstvenim i poreznim izvještavanjem, ekonomskom potporom te financijskim i gospodarskim aktivnostima.

Zašto je takva provjera potrebna?

Neki smatraju da je takva aktivnost gubitak novca. Međutim, pravovremenom prepoznavanjem problema u ovom sektoru mogu se spriječiti još veći ekonomski gubici. Ciljevi revizije informacijske sigurnosti su:

• određivanje razine zaštite i dovođenje iste na potrebno;
• financijska nagodba u smislu osiguranja povjerljivosti organizacije;
• demonstracija izvedivosti ulaganja u ovaj sektor;
• Izvući maksimum iz svojih troškova sigurnosti
• potvrda učinkovitosti unutarnjih snaga, sredstava kontrole i njihov odraz na vođenje poslovanja.

Kako se revidira sigurnost informacija u poduzeću?

Cjelovita revizija sigurnosti informacija odvija se u nekoliko faza. Proces je podijeljen na organizacijski i instrumentalni. U okviru oba dijela kompleksa, proučava se sigurnost korporacijskog informacijskog sustava, a zatim se utvrđuje usklađenost s utvrđenim standardima i zahtjevima. Revizija informacijske sigurnosti podijeljena je u sljedeće faze:

1. Određivanje zahtjeva kupaca i opseg posla.
2. Proučavanje potrebnih materijala i donošenje zaključaka.
3. Analiza mogućih rizika.
4. Stručno mišljenje o obavljenom poslu i donošenje odgovarajuće presude.

Što je uključeno u prvu fazu revizije informacijske sigurnosti?

Program revizije informacijske sigurnosti započinje precizno razjašnjenjem količine posla koja je potrebna kupcu. Naručitelj izražava svoje mišljenje i svrhu, slijedeći svoju prijavu za vještačenje.

U ovoj fazi provjera općih podataka koje kupac daje već počinje. Opisane su mu metode koje će se koristiti i planirani skup mjera.

Glavni zadatak u ovoj fazi je postavljanje određenog cilja. Klijent i organizacija koja provodi reviziju moraju se razumjeti, dogovoriti zajedničko mišljenje. Nakon što se formira komisija, čiji sastav biraju odgovarajući stručnjaci. Tražene tehničke specifikacije su također posebno dogovorene s kupcem.

Čini se da bi ovaj događaj trebao samo ocrtati stanje sustava koji štiti od informativnih napada. No, konačni rezultati testa mogu biti različiti.Neki su zainteresirani za cjelovite informacije o radu zaštitne opreme tvrtke kupca, dok su druge zainteresirane samo za učinkovitost pojedinih linija informacijske tehnologije. Izbor metoda i načina procjene ovisi o zahtjevima. Postavljanje ciljeva također utječe na daljnji tijek rada stručne komisije.

Usput, radnu skupinu čine stručnjaci iz dvije organizacije - tvrtke koja vrši reviziju i zaposlenika revizijske organizacije. Doista, potonji, kao nitko drugi, poznaje sitnice njihove institucije i mogu pružiti sve informacije potrebne za sveobuhvatnu procjenu. Obavljaju i svojevrsnu kontrolu nad radom radnika izvršne tvrtke. Njihovo se mišljenje uzima u obzir pri objavljivanju rezultata revizije.

U istraživanju predmetnih područja sudjeluju stručnjaci tvrtke koja provodi reviziju informacijske sigurnosti poduzeća. Imajući odgovarajuću kvalifikacijsku razinu, kao i neovisno i nepristrano mišljenje, oni mogu preciznije procijeniti stanje rada zaštitne opreme. Stručnjaci svoje aktivnosti provode u skladu s planiranim planom rada i ciljevima. Oni razvijaju tehničke procese i međusobno koordiniraju rezultate.

Opis rada jasno fiksira ciljeve revizora, određuje metode za njegovu provedbu. Također se navodi i vrijeme revizije, čak je moguće i da svaka faza ima svoje razdoblje.

U ovoj fazi se uspostavlja kontakt sa službom sigurnosti revidirane institucije. Revizor daje obvezu da neće objaviti rezultate revizije.

Kako je s provedbom druge faze?

Revizija informacijske sigurnosti poduzeća u drugoj fazi detaljno je prikupljanje podataka potrebnih za ocjenu. Za početak, razmotrimo opći skup mjera koji su usmjereni na provedbu politike o privatnosti.

Budući da je sada većina podataka duplicirana u elektroničkom obliku, ili općenito tvrtka svoje aktivnosti obavlja samo uz pomoć informacijske tehnologije, tada softver također postaje test. Analizira se i fizička sigurnost.

U ovoj se fazi, stručnjaci zalažu za pregled i ocjenu načina osiguranja i revizije informacija unutar institucije. Zbog toga se organizacija sustava zaštite, kao i tehničke mogućnosti i uvjeti za njegovo pružanje, podvrgavaju analizi. Posljednjoj točki se pridaje posebna pažnja, jer prevaranti najčešće nalaze kršenja zaštite upravo kroz tehnički dio. Zbog toga se sljedeće točke razmatraju odvojeno:

• softverska struktura;
• konfiguracija poslužitelja i mrežnih uređaja;
• mehanizmi privatnosti.

Revizija sigurnosti informacija poduzeća u ovoj fazi završava se ispitivanjem podataka i iskazom rezultata obavljenog rada u obliku izvještaja. Upravo dokumentirani zaključci čine osnovu za provedbu sljedećih faza revizije.

Kako se mogu analizirati mogući rizici?

Također se provodi revizija informacijske sigurnosti organizacija radi utvrđivanja stvarnih prijetnji i njihovih posljedica. Na kraju ove faze trebalo bi sastaviti popis mjera kojima će se izbjeći ili barem umanjiti mogućnost informativnih napada.

Da biste spriječili kršenje privatnosti, morate analizirati izvješće zaprimljeno na kraju prethodnog koraka. Zahvaljujući tome, moguće je utvrditi je li moguća stvarna upada u prostor tvrtke. Donosi se presuda o pouzdanosti i učinkovitosti postojeće tehničke zaštitne opreme.

Budući da sve organizacije imaju različita područja rada, popis sigurnosnih zahtjeva ne može biti identičan.Za revidiranu instituciju, popis se izrađuje pojedinačno.

U ovoj su fazi također utvrđene slabosti, a klijentu se pružaju informacije o potencijalnim napadačima i prijetnjama koje dolaze. Potonje je potrebno kako bismo znali na kojoj će strani pričekati trik i na to posvetiti više pozornosti.

Također je važno da kupac zna koliko će učinkovite inovacije i rezultati stručnog povjerenstva biti korisni.

Analiza mogućih rizika ima sljedeće ciljeve:

• klasifikacija izvora informacija;
• prepoznavanje ranjivosti u tijeku rada;
• prototip mogućeg prevaranta.

Analiza i revizija omogućuju vam da odredite kako je moguć uspjeh informativnih napada. Zbog toga se ocjenjuju kritičnost slabosti i načini njihove upotrebe u ilegalne svrhe.

Koja je završna faza revizije?

Završnu fazu karakterizira pisanje rezultata rada. Dokument koji izlazi naziva se revizijskim izvješćem. Konsolidira zaključak o općoj razini sigurnosti revidirane tvrtke. Zasebno se opisuje učinkovitost sustava informacijske tehnologije u odnosu na sigurnost. Izvješće daje smjernice o potencijalnim prijetnjama i opisuje model mogućeg napadača. Također se opisuje mogućnost neovlaštenog upada zbog unutarnjih i vanjskih čimbenika.

Standardi revizije informacijske sigurnosti pružaju ne samo procjenu stanja, već i davanje preporuka stručnog povjerenstva o potrebnim aktivnostima. Stručnjaci koji su proveli sveobuhvatni rad, analizirali informacijsku infrastrukturu, mogu reći što treba učiniti kako bi se zaštitili od krađe informacija. Oni će naznačiti mjesta koja je potrebno ojačati. Stručnjaci također daju smjernice o tehnološkoj podršci, odnosno opremi, poslužiteljima i vatrozidima.

Preporuke su one promjene koje je potrebno izvršiti u konfiguraciji mrežnih uređaja i poslužitelja. Možda će se upute odnositi izravno na odabrane sigurnosne metode. Ako je potrebno, stručnjaci će propisati set mjera usmjerenih na daljnje jačanje mehanizama koji pružaju zaštitu.

Tvrtka bi također trebala provoditi posebne aktivnosti informiranja i razviti politiku usmjerenu na povjerljivost. Možda bi trebalo provesti sigurnosne reforme. Važna točka je regulatorna i tehnička osnova koja je dužna konsolidirati odredbe o sigurnosti tvrtke. Tim mora biti pravilno upućen. Sfere utjecaja i dodijeljena odgovornost dijele se između svih zaposlenika. Ako je to prikladno, bolje je provesti tečaj za poboljšanje obrazovanja tima o informacijskoj sigurnosti.

Koje vrste revizije postoje?

Revizija informacijske sigurnosti poduzeća može biti dvije vrste. Ovisno o izvoru ovog postupka, mogu se razlikovati sljedeće vrste:

1. Vanjski oblik. Razlikuje se po tome što je za jednokratnu upotrebu. Njegova druga karakteristika je da se proizvodi neovisnim i nepristranim stručnjacima. Ako je preporučene naravi, onda to nalaže vlasnik ustanove. U nekim je slučajevima potrebna vanjska revizija. To može biti posljedica vrste organizacije, kao i izvanrednih okolnosti. U potonjem slučaju inicijatori takve revizije u pravilu su agencije za provođenje zakona.
2. Unutarnji oblik. Temelji se na specijaliziranoj odredbi koja propisuje provođenje revizije. Interna revizija sigurnosti informacija potrebna je radi stalnog praćenja sustava i prepoznavanja ranjivosti.To je popis događaja koji se odvijaju u određenom vremenskom razdoblju. Za taj se rad najčešće uspostavlja poseban odjel ili ovlašteni zaposlenik. Dijagnosticira stanje zaštitne opreme.

Kako se provodi aktivna revizija?

Ovisno o tome što kupac slijedi, također se odabiru metode revizije informacijske sigurnosti. Jedan od najčešćih načina za proučavanje razine sigurnosti je aktivna revizija. To je izjava pravog hakerskog napada.

Prednost ove metode je u tome što omogućava najrealniju simulaciju mogućnosti prijetnje. Zahvaljujući aktivnoj reviziji, možete shvatiti kako će se slična situacija razvijati u životu. Ova metoda se također naziva instrumentalna analiza sigurnosti.

Suština aktivne revizije je provedba (korištenjem posebnog softvera) pokušaja neovlaštenog upada u informacijski sustav. Istovremeno, zaštitna oprema mora biti u stanju pune pripravnosti. Zahvaljujući tome, moguće je procijeniti njihov rad u takvom slučaju. Osoba koja izvrši umjetni hakerski napad pruža se najmanje informacija. To je potrebno kako bi se stvorili najrealniji uvjeti.

Pokušavaju izložiti sustav što većem broju napada. Pomoću različitih metoda možete procijeniti metode hakiranja kojima je sustav najviše izložen. To, naravno, ovisi o kvalifikaciji stručnjaka koji obavlja ovaj posao. Ali njegovi postupci ne bi trebali biti destruktivne prirode.

Na kraju, stručnjak izrađuje izvještaj o slabostima sustava i najdostupnijim informacijama. Također daje preporuke za moguće nadogradnje, što bi trebalo jamčiti povećanu sigurnost na odgovarajuću razinu.

Što je stručna revizija?

Kako bi se utvrdilo sukladnost poduzeća s utvrđenim zahtjevima, provodi se i revizija sigurnosti podataka. Primjer takvog zadatka može se vidjeti u stručnoj metodi. Sastoji se od komparativne procjene s izvornim podacima.

Taj se idealni posao zaštite može temeljiti na različitim izvorima. Klijent sam može postaviti zahtjeve i postaviti ciljeve. Čelnik tvrtke možda želi znati koliko je razina sigurnosti njegove organizacije od onoga što želi.

Prototip na kojem će se provesti usporedna procjena mogu biti opće priznati međunarodni standardi.

Prema saveznom zakonu "o reviziji", izvršna tvrtka ima dovoljno ovlasti za prikupljanje relevantnih podataka i zaključivanje da su postojeće mjere za osiguranje informacijske sigurnosti dovoljne. Također se ocjenjuje dosljednost regulatornih dokumenata i radnji zaposlenika u vezi s radom zaštitne opreme.

Što je provjera sukladnosti?

Ova je vrsta vrlo slična prethodnoj, jer je njena suština i komparativna procjena. Ali samo u ovom slučaju, idealan prototip nije apstraktni koncept, već jasni zahtjevi sadržani u regulatornoj i tehničkoj dokumentaciji i standardima. Međutim, ona također određuje stupanj usklađenosti s razinom utvrđenom politikom privatnosti tvrtke. Bez poštivanja ovog trenutka ne možemo razgovarati o daljnjem radu.

Ova vrsta revizije najčešće je potrebna za potvrđivanje postojećeg sigurnosnog sustava u poduzeću. To zahtijeva mišljenje neovisnog stručnjaka. Ovdje nije važna samo razina zaštite, već i njezino zadovoljstvo priznatim standardima kvalitete.

Dakle, možemo zaključiti da za provođenje ove vrste postupka trebate odlučiti o izvršitelju, a također istaknuti raspon ciljeva na temelju vlastitih potreba i mogućnosti.