Mange forretningsmenn prøver å holde selskapet sitt hemmelig. Siden århundret er en alder av høyteknologi, er det ganske vanskelig å gjøre. Nesten alle prøver å beskytte seg mot lekkasje av bedrifts- og personlig informasjon, men det er ingen hemmelighet at det ikke vil være vanskelig for en profesjonell å finne ut nødvendige data. For øyeblikket er det mange metoder som beskytter mot slike angrep. Men for å verifisere effektiviteten av et slikt sikkerhetssystem, er det nødvendig å gjennomføre en informasjonssikkerhetsrevisjon.
Hva er en revisjon?
I henhold til føderal lov "On Auditing" inkluderer en revisjon forskjellige metoder og metoder, samt praktisk gjennomføring av inspeksjoner. Når det gjelder informasjonssikkerheten til foretaket, er det en uavhengig vurdering av systemets tilstand, så vel som nivået for at den overholder de etablerte kravene. Det gjennomføres undersøkelser angående regnskap og skatterapportering, økonomisk støtte og økonomiske og økonomiske aktiviteter.
Hvorfor er en slik sjekk nødvendig?
Noen anser en slik aktivitet som bortkastet penger. Ved å identifisere problemer i denne sektoren på en rettidig måte, kan imidlertid enda større økonomiske tap forhindres. Målene med en informasjonssikkerhetsrevisjon er:
- bestemmelse av beskyttelsesnivået og bringe det til det nødvendige;
- økonomisk oppgjør med tanke på å sikre konfidensialiteten til organisasjonen;
- demonstrasjon av muligheten for å investere i denne sektoren;
- Få mest mulig ut av sikkerhetskostnadene dine
- bekreftelse av effektiviteten av interne krefter, kontrollmidler og refleksjon over utførelsen av virksomheten.
Hvordan blir informasjonssikkerhet revidert hos en bedrift?
En omfattende revisjon av informasjonssikkerhet finner sted i flere stadier. Prosessen er delt inn i organisatorisk og instrumentell. Innenfor rammen av begge deler av komplekset blir det gjort en studie av sikkerheten til kundens bedriftsinformasjonssystem, og deretter blir det bestemt om overholdelse av etablerte standarder og krav. En informasjonssikkerhetsrevisjon er delt inn i følgende trinn:
- Fastsettelse av kundens krav og omfang av arbeidet.
- Å studere nødvendig materiale og komme med konklusjoner.
- Analyse av mulige risikoer.
- Ekspertuttalelse om utført arbeid og utstedelse av passende dom.
Hva er inkludert i den første fasen av en informasjonssikkerhetsrevisjon?
Programmet for revisjon av informasjonssikkerhet begynner nøyaktig med å avklare mengden arbeid som kreves av kunden. Klienten gir uttrykk for sin mening og formål og forfulgte den han søkte om en sakkyndig vurdering.
På dette stadiet begynner verifisering av de generelle dataene som kunden leverer. Han blir beskrevet metodene som vil bli brukt, og det planlagte settet med tiltak.
Hovedoppgaven på dette stadiet er å sette et spesifikt mål. Klienten og organisasjonen som utfører tilsynet, må forstå hverandre, bli enige om en felles mening. Etter at kommisjonen er dannet, vil sammensetningen bli valgt av de aktuelle spesialistene. De nødvendige tekniske spesifikasjonene avtales også separat med kunden.
Det ser ut til at denne hendelsen bare skal skissere tilstanden til systemet som beskytter mot informasjonsangrep. Men de endelige resultatene av testen kan være forskjellige.Noen er interessert i fullstendig informasjon om arbeidet med verneutstyr i kundens selskap, mens andre bare er interessert i effektiviteten til individuelle informasjonsteknologilinjer. Valg av metoder og vurderingsmidler avhenger av kravene. Målsettingen påvirker også ekspertkommisjonens videre arbeid.
For øvrig består arbeidsgruppen av spesialister fra to organisasjoner - selskapet som utfører tilsynet, og de ansatte i den reviderte organisasjonen. Sistnevnte, som ingen andre, kjenner faktisk intrikatene med institusjonen deres og kan gi all den informasjonen som er nødvendig for en omfattende vurdering. De utfører også en slags kontroll over arbeidet til ansatte i det utførende selskapet. Deres mening tas med i betraktningen når resultatene fra tilsynet utstedes.
Ekspertene til selskapet som utfører en revisjon av informasjonssikkerheten til foretaket, er engasjert i studiet av fagområder. De har et passende kvalifikasjonsnivå, så vel som en uavhengig og objektiv mening, og er i stand til å mer nøyaktig vurdere tilstanden til verneutstyrets arbeid. Eksperter utfører sine aktiviteter i samsvar med planlagt arbeidsplan og mål. De utvikler tekniske prosesser og koordinerer resultatene med hverandre.
Henvisningen fastsetter tydelig målene til revisor, bestemmer metodene for implementering. Det staver også ut tidspunktet for tilsynet, det er til og med mulig at hvert trinn har sin egen periode.
På dette stadiet blir det tatt kontakt med sikkerhetstjenesten til den reviderte institusjonen. Revisor har plikt til ikke å opplyse om resultatene av revisjonen.
Hvordan er implementeringen av den andre fasen?
En revisjon av informasjonssikkerheten til et foretak i den andre fasen er en detaljert samling av informasjon som er nødvendig for å evaluere den. Til å begynne med vurderer vi et generelt sett med tiltak som er rettet mot å implementere en personvernpolicy.
Siden nå de fleste dataene dupliseres i elektronisk form, eller generelt foretar selskapet bare sine aktiviteter ved hjelp av informasjonsteknologi, faller også programvare under testen. Fysisk sikkerhet blir også analysert.
På dette stadiet er spesialister opptatt av å gjennomgå og evaluere hvordan informasjonssikkerhet er sikret og revidert i institusjonen. Til dette formål gir organisasjonen av beskyttelsessystemet, så vel som de tekniske mulighetene og betingelsene for dets tilveiebringelse seg, analyse. Det siste punktet blir gitt spesiell oppmerksomhet, siden svindlere ofte finner brudd på beskyttelsen nettopp gjennom den tekniske delen. Av denne grunn blir følgende punkter vurdert separat:
- programvarestruktur;
- konfigurasjon av servere og nettverksenheter;
- personvernmekanismer.
En revisjon av informasjonssikkerheten til foretaket på dette stadiet ender med en debriefing og uttrykk for resultatene av arbeidet som er utført i form av en rapport. Det er de dokumenterte konklusjonene som ligger til grunn for gjennomføringen av de følgende faser av tilsynet.
Hvordan analyseres mulige risikoer?
Det gjennomføres også en informasjonssikkerhetsrevisjon av organisasjoner for å identifisere reelle trusler og konsekvensene av dem. På slutten av dette stadiet bør det utformes en liste over tiltak som vil unngå eller i det minste minimere muligheten for informasjonsangrep.
For å forhindre brudd på personvernet, må du analysere rapporten som ble mottatt på slutten av forrige trinn. Takket være dette er det mulig å avgjøre om en reell inntrenging i selskapets rom er mulig. En dom blir avsagt om påliteligheten og ytelsen til eksisterende teknisk verneutstyr.
Siden alle organisasjoner har forskjellige arbeidsområder, kan ikke listen over sikkerhetskrav være identisk.For den reviderte institusjonen utvikles en liste individuelt.
Svakheter blir også identifisert på dette stadiet, og klienten får informasjon om potensielle angripere og forestående trusler. Det siste er nødvendig for å vite hvilken side du kan vente på trikset, og for å være mer oppmerksom på dette.
Det er også viktig for kunden å vite hvor effektive innovasjonene og resultatene fra ekspertkommisjonen vil være.
Analysen av mulige risikoer har følgende mål:
- klassifisering av informasjonskilder;
- identifisering av sårbarheter i arbeidsflyten;
- prototype av en mulig svindler.
Analyse og revisjon lar deg bestemme hvor mulig suksessen til informasjonsangrep er. For dette blir kritikken av svakheter og måter å bruke dem til ulovlige formål vurdert.
Hva er den siste fasen av tilsynet?
Den siste fasen er preget av skrivingen av resultatene av arbeidet. Dokumentet som kommer ut kalles en tilsynsrapport. Det befester konklusjonen om det generelle sikkerhetsnivået til det reviderte selskapet. Hver for seg er det en beskrivelse av effektiviteten til informasjonsteknologisystemet i forhold til sikkerhet. Rapporten gir veiledning om potensielle trusler og beskriver en modell av en mulig angriper. Det staver også ut muligheten for uautorisert inntrenging på grunn av interne og eksterne faktorer.
Standarder for revisjon av informasjonssikkerhet gir ikke bare en vurdering av status, men også å gi anbefalinger fra en ekspertkommisjon om nødvendige aktiviteter. Det er ekspertene som utførte det omfattende arbeidet, analyserte informasjonsinfrastrukturen, som kan si hva som må gjøres for å beskytte seg mot informasjonstyveri. De vil indikere stedene som må styrkes. Eksperter gir også veiledning om teknologisk støtte, det vil si utstyr, servere og brannmurer.
Anbefalingene er de endringene som må gjøres i konfigurasjonen av nettverksenheter og servere. Kanskje vil instruksjonene forholde seg direkte til utvalgte sikkerhetsmetoder. Om nødvendig vil eksperter foreskrive et sett med tiltak som tar sikte på å ytterligere styrke mekanismene som gir beskyttelse.
Selskapet bør også utføre spesielt oppsøkende arbeid, og utvikle en policy rettet mot konfidensialitet. Kanskje bør sikkerhetsreformer gjennomføres. Et viktig poeng er det regulatoriske og tekniske grunnlaget, som er forpliktet til å konsolidere bestemmelsene om selskapets sikkerhet. Teamet må instrueres riktig. Innflytelsesfærer og tildelt ansvar deles mellom alle ansatte. Hvis dette er aktuelt, er det bedre å gjennomføre et kurs for å forbedre utdannelsen til teamet angående informasjonssikkerhet.
Hvilke typer tilsyn finnes?
Tilsyn med informasjonssikkerhet til et selskap kan være av to typer. Avhengig av kilden til denne prosessen, kan følgende typer skilles:
- Ekstern form. Det skiller seg ut ved at det er engangsbruk. Den andre funksjonen er at den er produsert av uavhengige og objektive eksperter. Hvis det er av en anbefalende art, blir det bestilt av eieren av institusjonen. I noen tilfeller er det nødvendig med en ekstern revisjon. Dette kan skyldes organisasjonstypen, samt ekstraordinære omstendigheter. I sistnevnte tilfelle er initiativtakerne til en slik revisjon, som regel, lovhåndteringsbyråer.
- Indre form. Det er basert på en spesialisert bestemmelse som foreskriver revisjonsatferd. En intern revisjon av informasjonssikkerhet er nødvendig for kontinuerlig å overvåke systemet og identifisere sårbarheter.Det er en liste over hendelser som finner sted i et spesifikt tidsrom. For dette arbeidet etableres oftest en spesialavdeling eller en autorisert ansatt. Han diagnostiserer tilstanden til verneutstyr.
Hvordan gjennomføres en aktiv revisjon?
Avhengig av hva kunden forfølger, velges også metodene for informasjonssikkerhetsrevisjon. En av de vanligste måtene å studere sikkerhetsnivået på er en aktiv revisjon. Det er en uttalelse om et ekte hackerangrep.
Fordelen med denne metoden er at den tillater en mest mulig realistisk simulering av muligheten for en trussel. Takket være en aktiv revisjon kan du forstå hvordan en lignende situasjon vil utvikle seg i livet. Denne metoden kalles også instrumental sikkerhetsanalyse.
Essensen av en aktiv revisjon er implementering (ved hjelp av spesiell programvare) av et forsøk på uautorisert inntrenging i et informasjonssystem. Samtidig må verneutstyr være i full tilstand. Takket være dette er det mulig å evaluere arbeidet deres i et slikt tilfelle. En person som utfører et kunstig hackerangrep får et minimum av informasjon. Dette er nødvendig for å gjenskape de mest realistiske forholdene.
De prøver å utsette systemet for så mange angrep som mulig. Ved hjelp av forskjellige metoder kan du evaluere hackingmetodene som systemet er mest utsatt for. Dette avhenger selvfølgelig av kvalifikasjonene til spesialisten som utfører dette arbeidet. Men handlingene hans skal ikke være av noen destruktiv karakter.
I siste instans genererer eksperten en rapport om svakhetene ved systemet og informasjonen som er mest tilgjengelig. Den gir også anbefalinger om mulige oppgraderinger, som skal garantere økt sikkerhet til riktig nivå.
Hva er en ekspertrevisjon?
For å fastslå om selskapets overholdelse av de etablerte kravene blir det også utført en informasjonssikkerhetsrevisjon. Et eksempel på en slik oppgave kan sees i ekspertmetoden. Det består i en sammenlignende vurdering med kildedataene.
Det veldig ideelle beskyttelsesarbeidet kan være basert på en rekke kilder. Klienten kan selv stille krav og sette seg mål. Lederen for selskapet vil kanskje vite hvor langt sikkerhetsnivået til organisasjonen hans er fra det han ønsker.
Prototypen som en sammenlignende vurdering blir utført mot, kan være anerkjente internasjonale standarder.
I henhold til føderal lov "On Auditing" har det utførende selskapet autoritet nok til å samle relevant informasjon og konkludere med at de eksisterende tiltak for å sikre informasjonssikkerhet er tilstrekkelig. Konsistensen av forskriftsdokumenter og de ansattes handlinger angående drift av verneutstyr blir også vurdert.
Hva er samsvarskontrollen?
Denne arten er veldig lik den forrige, siden essensen også er en sammenlignende vurdering. Men bare i dette tilfellet er den ideelle prototypen ikke et abstrakt konsept, men de klare kravene som er nedfelt i forskriftsmessig og teknisk dokumentasjon og standarder. Imidlertid bestemmer det også graden av samsvar med nivået som er spesifisert i selskapets personvernregler. Uten å overholde dette øyeblikket, kan vi ikke snakke om videre arbeid.
Oftest er denne typen tilsyn nødvendig for sertifisering av det eksisterende sikkerhetssystemet i bedriften. Dette krever en uavhengig eksperters mening. Her er ikke bare beskyttelsesnivået viktig, men også dens tilfredshet med anerkjente kvalitetsstandarder.
Dermed kan vi konkludere med at for å utføre denne typen prosedyrer, må du bestemme deg for utføreren, og også fremheve rekke mål og mål basert på dine egne behov og evner.