כותרות
...

ביקורת על אבטחת מידע ארגונית: מושג, סטנדרטים, דוגמה

אנשי עסקים רבים מנסים לשמור בסוד את החברה שלהם. מכיוון שהמאה היא עידן הטכנולוגיה הגבוהה, זה די קשה לעשות זאת. כמעט כולם מנסים להגן על עצמם מפני דליפת מידע ארגוני ואישי, אך אין זה סוד שלא יהיה לאיש מקצוע קשה לברר את הנתונים הדרושים. כרגע ישנן שיטות רבות המגנות מפני התקפות כאלה. אך כדי לאמת את היעילות של מערכת אבטחה כזו, יש צורך לערוך ביקורת אבטחת מידע.

ביקורת על אבטחת מידע ארגונית

מהו ביקורת?

על פי החוק הפדרלי "בנושא ביקורת", ביקורת כוללת שיטות ושיטות שונות, כמו גם יישום מעשי של בדיקות. לגבי אבטחת המידע של הארגון, מדובר בהערכה עצמאית של מצב המערכת, כמו גם רמת העמידה בדרישות שנקבעו. נערכות בחינות בנושא חשבונאות ודיווח מס, תמיכה כלכלית ופעילות פיננסית וכלכלית.

מדוע בדיקה כזו נחוצה?

יש הרואים בפעילות כזו בזבוז כסף. עם זאת, על ידי זיהוי בעיות בענף זה במועד, ניתן למנוע הפסדים כלכליים גדולים עוד יותר. היעדים של ביקורת אבטחת מידע הם:

  • קביעת רמת המיגון והבאתה לנחוץ;
  • הסדר כספי מבחינת הבטחת סודיות הארגון;
  • הדגמת כדאיות ההשקעה בענף זה;
  • להפיק את המרב מעלויות האבטחה שלך
  • אישור יעילותם של כוחות פנימיים, אמצעי שליטה והשתקפותם בהתנהלות העסק.

כיצד מבוקרים אבטחת מידע בארגון?

ביקורת מקיפה של אבטחת מידע מתקיימת במספר שלבים. התהליך מחולק לארגון ואינסטרומנטלי. בשני חלקי המתחם נערך מחקר על אבטחת מערכת המידע הארגונית של הלקוח ואז נקבעת קביעה לגבי עמידה בתקנים ודרישות קבועות. ביקורת אבטחת מידע מחולקת לשלבים הבאים:

  1. קביעת דרישות הלקוח והיקף העבודה.
  2. לימוד החומרים הדרושים והסקת מסקנות.
  3. ניתוח סיכונים אפשריים.
  4. חוות דעת מומחה על העבודה שבוצעה ועל מתן פסק הדין המתאים.

ביקורת אבטחת מידעמה כלול בשלב הראשון של ביקורת אבטחת מידע?

תוכנית ביקורת אבטחת המידע מתחילה בדיוק בבירור כמות העבודה הנדרשת על ידי הלקוח. הלקוח מביע את דעתו ומטרתו, ומבקש אחר כך להערכת מומחה.

בשלב זה כבר מתחיל אימות הנתונים הכלליים שהלקוח מספק. מתוארים לו את השיטות שישמשו ואת מערך האמצעים המתוכנן.

המשימה העיקרית בשלב זה היא להציב מטרה ספציפית. על הלקוח והארגון המבצע את הביקורת להבין אחד את השני, להסכים על דעה משותפת. לאחר הקמת הוועדה, אשר הרכבם נבחר על ידי המומחים המתאימים. המפרט הטכני הנדרש מוסכם בנפרד גם עם הלקוח.

נראה כי אירוע זה צריך לתאר רק את מצב המערכת המגן מפני התקפות מידע. אולם התוצאות הסופיות של הבדיקה עשויות להיות שונות.חלקם מעוניינים במידע מלא אודות עבודות ציוד מגן של חברת הלקוח, ואילו אחרים מעוניינים רק ביעילותם של קווי טכנולוגיות מידע בודדים. בחירת שיטות ואמצעי הערכה תלויה בדרישות. הגדרת המטרה משפיעה גם על המשך עבודתה של ועדת המומחים.

ביקורת של ארגוני אבטחת מידע

אגב, קבוצת העבודה מורכבת ממומחים משני ארגונים - החברה המבצעת את הביקורת, ועובדי הארגון המבוקר. אכן, האחרונים, כמו אף אחד אחר, אינם מכירים את המורכבויות של מוסדם ויכולים לספק את כל המידע הדרוש להערכה מקיפה. הם גם מבצעים סוג של שליטה על עבודתם של עובדי החברה המבצעת. חוות דעתם נלקחת בחשבון בעת ​​פרסום תוצאות הביקורת.

המומחים של החברה המבצעים ביקורת על אבטחת המידע של הארגון עוסקים בחקר תחומי הנושא. בעלי רמת הסמכה מתאימה, כמו גם חוות דעת עצמאית וחסרת פניות, הם מסוגלים להעריך בצורה מדויקת יותר את מצב העבודה של ציוד המגן. מומחים מבצעים את פעילותם בהתאם לתוכנית העבודה והיעדים המתוכננים. הם מפתחים תהליכים טכניים ומתאמים את התוצאות זה עם זה.

תנאי ההתייחסות קובעים בבירור את יעדי המבקר, קובעים את השיטות ליישומו. זה גם מגדיר את עיתוי הביקורת, יתכן אפילו שלכל שלב תהיה תקופה משלה.

בשלב זה נוצר קשר עם שירות האבטחה של המוסד המבוקר. המבקר מחויב לא למסור את תוצאות הביקורת.

איך יישום השלב השני?

ביקורת על אבטחת המידע של מיזם בשלב השני היא אוסף מידע מפורט הנחוץ להערכתו. ראשית, אנו שוקלים מערך כללי של אמצעים שמטרתם ליישם מדיניות פרטיות.

מכיוון שכעת רוב הנתונים משוכפלים בצורה אלקטרונית, או באופן כללי החברה מבצעת את פעילותה רק בעזרת טכנולוגיית מידע, אז תוכנה נופלת גם תחת המבחן. ביטחון גופני מנותח גם הוא.

בשלב זה מומחים מחויבים לבחון ולהעריך כיצד אבטחת המידע מבוטחת ומבוקרת במוסד. לשם כך, ארגון מערכת ההגנה, כמו גם היכולות והתנאים הטכניים להעמדתה, נותן את עצמו לניתוח. לנקודה האחרונה מוקדשים תשומת לב מיוחדת, מכיוון שמרמאות לרוב מוצאות הפרות בהגנה בדיוק באמצעות החלק הטכני. מסיבה זו, הנקודות הבאות נחשבות בנפרד:

  • מבנה תוכנה;
  • תצורת שרתים והתקני רשת;
  • מנגנוני פרטיות.

ביקורת על אבטחת המידע של הארגון בשלב זה מסתיימת בתחקיר וביטוי של תוצאות העבודה שנעשתה בצורה של דוח. המסקנות המתועדות הן שמהוות את הבסיס ליישום השלבים הבאים של הביקורת.

כיצד מנותחים סיכונים אפשריים?

כמו כן נערך ביקורת על אבטחת מידע של ארגונים כדי לזהות איומים אמיתיים ואת השלכותיהם. בסוף שלב זה, יש ליצור רשימה של צעדים אשר ימנעו או לפחות ימזערו את האפשרות להתקפות מידע.

הבטחת וביקורת אבטחת מידע

כדי למנוע הפרות פרטיות, עליך לנתח את הדוח שהתקבל בסוף השלב הקודם. בזכות זה ניתן לקבוע האם פריצה של ממש לחלל החברה אפשרית. ניתן פסק דין בנושא אמינות וביצועים של ציוד מגן טכני קיים.

מכיוון שלכל הארגונים יש תחומי עבודה שונים, רשימת דרישות האבטחה אינה יכולה להיות זהה.עבור המוסד המבוקר, מפתחת רשימה באופן אינדיבידואלי.

חולשות מזוהות גם בשלב זה, ולקוח מסופק עם מידע על תוקפים פוטנציאליים ואיומים קרובים. האחרון נחוץ על מנת לדעת לאיזה צד לחכות לטריק, ולשים לב לכך יותר.

כמו כן, חשוב שהלקוח יידע עד כמה יהיו החידושים והתוצאות של ועדת המומחים יעילים.

לניתוח הסיכונים האפשריים מטרות הבאות:

  • סיווג מקורות מידע;
  • זיהוי נקודות תורפה בזרימת העבודה;
  • אב-טיפוס של רמאי אפשרי.

ניתוח וביקורת מאפשרים לך לקבוע עד כמה אפשרי הצלחת התקפות המידע. לשם כך נבדקת הביקורת על חולשות ודרכי השימוש בהן למטרות בלתי חוקיות.

מה השלב האחרון בביקורת?

השלב האחרון מאופיין בכתיבת תוצאות העבודה. המסמך שיוצא מכונה דוח ביקורת. זה מאחד את המסקנה לגבי רמת האבטחה הכללית של החברה המבוקרת. בנפרד, יש תיאור של היעילות של מערכת טכנולוגיית המידע ביחס לאבטחה. הדוח מספק הנחיות לגבי איומים פוטנציאליים ומתאר מודל של תוקף אפשרי. זה גם מפרט את האפשרות של פריצה בלתי מורשית בגלל גורמים פנימיים וחיצוניים.

תקני ביקורת אבטחת מידע מספקים לא רק הערכה של המצב, אלא גם מתן המלצות של ועדת מומחים על האמצעים הנדרשים. המומחים הם אלו שביצעו את העבודה המקיפה, שניתחו את תשתית המידע, שיכולים לומר מה צריך לעשות כדי להגן על עצמם מגניבת מידע. הם יציינו את המקומות שצריך לחזק. מומחים מספקים גם הנחיות לתמיכה טכנולוגית, כלומר ציוד, שרתים וחומות אש.

ביקורת פנימית על אבטחת מידע

ההמלצות הן אותם שינויים שצריך לבצע בתצורה של התקני רשת ושרתים. אולי ההוראות יתייחסו ישירות לשיטות הבטיחות שנבחרו. במידת הצורך, מומחים יקבעו מערך של צעדים שמטרתם לחזק עוד יותר את המנגנונים המספקים הגנה.

על החברה גם לבצע עבודות הוצאה מיוחדות, ולפתח מדיניות שמטרתה סודיות. אולי צריך ליישם רפורמות ביטחוניות. נקודה חשובה היא הבסיס הרגולטורי והטכני, המחויב לאחד את הוראות הבטיחות של החברה. יש להנחות את הצוות כראוי. תחומי השפעה ואחריות מוקצית משותפים בין כל העובדים. אם זה מתאים, עדיף לערוך קורס לשיפור ההשכלה של הצוות בנושא אבטחת מידע.

אילו סוגי ביקורת קיימים?

ביקורת על אבטחת מידע של עסק יכולה להיות משני סוגים. בהתאם למקור התהליך ניתן להבחין בין הסוגים הבאים:

  1. צורה חיצונית. זה שונה בכך שהוא חד פעמי. התכונה השנייה היא שהיא מיוצרת על ידי מומחים עצמאיים ונטולי משוא פנים. אם זה בעל אופי ממליץ, אזי הוא מוזמן על ידי בעל המוסד. בחלק מהמקרים נדרשת ביקורת חיצונית. זה יכול להיות בגלל סוג הארגון, כמו גם נסיבות יוצאות דופן. במקרה האחרון, יוזמי ביקורת מסוג זה, ככלל, הם רשויות אכיפת החוק.
  2. צורה פנימית. זה מבוסס על הוראה מיוחדת הקובעת התנהלות ביקורת. ביקורת פנימית של אבטחת מידע נחוצה על מנת לפקח כל העת על המערכת ולזהות פגיעויות.זוהי רשימת אירועים המתרחשים בפרק זמן מוגדר. לצורך עבודה זו, לרוב קמה מחלקה מיוחדת או עובד מורשה. הוא מאבחן את מצב ציוד המגן.

כיצד מתבצעת ביקורת פעילה?

תלוי במה שהלקוח רודף, גם שיטות הביקורת לאבטחת מידע נבחרות. אחת הדרכים הנפוצות ביותר ללמוד את רמת האבטחה היא ביקורת פעילה. זו הצהרה על מתקפת האקרים אמיתית.

תקני ביקורת אבטחת מידע

היתרון בשיטה זו הוא בכך שהיא מאפשרת הדמיה מציאותית ביותר של האפשרות לאיום. הודות לביקורת פעילה תוכלו להבין כיצד יתפתח מצב דומה בחיים. שיטה זו נקראת גם ניתוח אבטחה אינסטרומנטלי.

מהות ביקורת פעילה היא יישום (באמצעות תוכנה מיוחדת) של ניסיון חדירה בלתי מורשית למערכת מידע. במקביל, ציוד ההגנה חייב להיות במצב של מוכנות מלאה. בזכות זה ניתן להעריך את עבודתם במקרה כזה. לאדם שמבצע פיגוע מלאכותי של האקר ניתנת מינימום של מידע. זה הכרחי כדי ליצור מחדש את התנאים המציאותיים ביותר.

הם מנסים לחשוף את המערכת לכמה שיותר התקפות. בשיטות שונות תוכלו להעריך את שיטות הפריצה אליהם המערכת חשופה ביותר. זה כמובן תלוי בכישוריו של המומחה המבצע עבודה זו. אך מעשיו לא צריכים להיות בעלי אופי הרסני.

בסופו של דבר המומחה מייצר דוח על חולשות המערכת והמידע הנגיש ביותר. הוא גם מספק המלצות על שדרוגים אפשריים, שאמורים להבטיח אבטחה מוגברת לרמה הנכונה.

מהי ביקורת מומחה?

כדי לקבוע את עמידתה של החברה בדרישות שנקבעו, נערך גם ביקורת אבטחת מידע. דוגמה למשימה כזו ניתן לראות בשיטת המומחים. זה מורכב בהערכה השוואתית עם נתוני המקור.

עבודת הגנה אידיאלית מאוד יכולה להיות מבוססת על מגוון מקורות. הלקוח עצמו יכול להציב דרישות ולהציב יעדים. יתכן שראש החברה ירצה לדעת עד כמה רמת האבטחה של הארגון שלו היא מה שהוא רוצה.

אבטיפוס שכנגדו יבוצע הערכה השוואתית יכול להיות מוכר בדרך כלל בסטנדרטים בינלאומיים.

על פי החוק הפדראלי "בנושא ביקורת", לחברה המבצעת יש מספיק סמכות לאסוף מידע רלוונטי ולהסיק כי האמצעים הקיימים להבטיח אבטחת מידע מספיקים. נבדקת גם עקביותם של מסמכי הרגולציה ומעשי העובדים ביחס להפעלת ציוד מגן.

מהי בדיקת התאימות?

מין זה דומה מאוד לזה הקודם, שכן מהותו היא גם הערכה השוואתית. אך רק במקרה זה, האבטיפוס האידיאלי אינו מושג מופשט, אלא הדרישות הברורות המעוגנות בתיעוד הרגולטורי והטכני. עם זאת, היא קובעת גם את מידת הציות לרמה המצוינת במדיניות הפרטיות של החברה. ללא עמידה ברגע זה, איננו יכולים לדבר על עבודה נוספת.

דוגמה לביקורת אבטחת מידע

לרוב ביקורת מסוג זה נחוצה לצורך הסמכת מערכת האבטחה הקיימת בארגון. זה דורש חוות דעת של מומחה עצמאי. כאן, לא רק רמת המיגון חשובה, אלא גם שביעות רצונה מתקני האיכות המוכרים.

לפיכך, אנו יכולים להסיק שכדי לבצע הליך מסוג זה עליכם להחליט על הקבלן, וכן להדגיש את מגוון היעדים והיעדים המבוססים על הצרכים והיכולות שלכם.


הוסף תגובה
×
×
האם אתה בטוח שברצונך למחוק את התגובה?
מחק
×
סיבת התלונה

עסקים

סיפורי הצלחה

ציוד