kategorier
...

Granskning av företagets informationssäkerhet: koncept, standarder, exempel

Många affärsmän försöker hålla sitt företag hemligt. Eftersom seklet är en högteknologisk ålder är det ganska svårt att göra. Nästan alla försöker skydda sig mot läckage av företagsinformation och personlig information, men det är ingen hemlighet att det inte kommer att vara svårt för en professionell att ta reda på nödvändig information. För närvarande finns det många metoder som skyddar mot sådana attacker. Men för att kontrollera effektiviteten hos ett sådant säkerhetssystem är det nödvändigt att utföra en informationssäkerhetsrevision.

revision av företags informationssäkerhet

Vad är en revision?

Enligt den federala lagen "Om revision" inkluderar en revision olika metoder och metoder, såväl som det praktiska genomförandet av inspektioner. När det gäller företagets informationssäkerhet är det en oberoende bedömning av systemets tillstånd, liksom nivån på dess överensstämmelse med de fastställda kraven. Undersökningar görs avseende redovisning och skatterapportering, ekonomiskt stöd och finansiell och ekonomisk verksamhet.

Varför är en sådan kontroll nödvändig?

Vissa anser att en sådan aktivitet är slöseri med pengar. Genom att identifiera problem inom denna sektor i tid kan emellertid ännu större ekonomiska förluster förhindras. Målen för en informationssäkerhetsrevision är:

  • fastställande av skyddsnivån och att göra det nödvändigt;
  • finansiell avveckling när det gäller att säkerställa organisationens konfidentialitet;
  • demonstration av genomförbarheten av att investera i denna sektor;
  • Få ut mesta möjliga av dina säkerhetskostnader
  • bekräftelse av effektiviteten hos interna krafter, styrmedel och deras reflektion över affärsverksamheten.

Hur granskas informationssäkerhet hos ett företag?

En omfattande revision av informationssäkerhet sker i flera steg. Processen är indelad i organisatorisk och instrumental. Inom ramen för båda delarna av komplexet görs en studie av säkerheten i kundens företags informationssystem, och sedan fastställs huruvida de fastställda standarderna och kraven uppfylls. En informationssäkerhetsrevision är indelad i följande steg:

  1. Fastställande av kundkrav och omfattning av arbetet.
  2. Studera nödvändigt material och dra slutsatser.
  3. Analys av möjliga risker.
  4. Expertutlåtande om utfört arbete och utfärdande av lämplig dom.

revision av informationssäkerhetVad ingår i det första steget i en informationssäkerhetsrevision?

Programmet för revisionssäkerhet börjar exakt med att klargöra hur mycket arbete som krävs av kunden. Klienten uttrycker sin åsikt och syfte och fortsätter att han ansökt om en expertbedömning.

I detta skede börjar verifieringen av den allmänna information som kunden tillhandahåller redan. Han beskrivs de metoder som kommer att användas och den planerade uppsättningen av åtgärder.

Huvuduppgiften i detta skede är att sätta ett specifikt mål. Klienten och organisationen som utför revisionen måste förstå varandra, enas om en gemensam åsikt. Efter att kommissionen har bildats, vars sammansättning väljs av lämpliga specialister. De nödvändiga tekniska specifikationerna avtalas också separat med kunden.

Det verkar som om denna händelse endast bör beskriva läget i systemet som skyddar mot informationsattacker. Men de slutliga resultaten av testet kan vara annorlunda.Vissa är intresserade av fullständig information om arbetet med skyddsutrustning i kundens företag, medan andra bara är intresserade av effektiviteten i enskilda informationsteknologinjer. Valet av metoder och utvärderingsmedel beror på kraven. Målinställningen påverkar också expertkommissionens fortsatta arbete.

granskning av informationssäkerhetsorganisationer

Förresten består arbetsgruppen av specialister från två organisationer - företaget som utför revisionen och de anställda i den granskade organisationen. De senare, som ingen annan, känner faktiskt till deras institutioners komplikationer och kan tillhandahålla all information som krävs för en omfattande bedömning. De utför också en slags kontroll över arbetet för anställda i det verkställande företaget. Deras yttrande beaktas vid resultaten av revisionen.

Företagets experter som gör en granskning av företagets informationssäkerhet bedriver studier av ämnesområden. De har en lämplig kvalifikationsnivå, såväl som en oberoende och opartisk åsikt, de kan mer exakt bedöma skyddsutrustningens tillstånd. Experter bedriver sin verksamhet i enlighet med den planerade arbetsplanen och målen. De utvecklar tekniska processer och koordinerar resultaten med varandra.

Uppgifterna fastställer tydligt revisorns mål, bestämmer metoderna för dess genomförande. Det förklarar också tidpunkten för revisionen, det är till och med möjligt att varje steg kommer att ha sin egen period.

I detta skede kontaktas säkerhetstjänsten hos den granskade institutionen. Revisorn har en skyldighet att inte lämna ut resultat från revisionen.

Hur är genomförandet av det andra steget?

En granskning av ett företags informationssäkerhet i det andra steget är en detaljerad insamling av information som är nödvändig för att utvärdera den. Till att börja med överväger vi en allmän uppsättning åtgärder som syftar till att genomföra en integritetspolicy.

Eftersom nu de flesta av uppgifterna dupliceras i elektronisk form, eller i allmänhet bedriver företaget sin verksamhet endast med hjälp av informationsteknologi, faller även programvara under testet. Fysisk säkerhet analyseras också.

I detta skede är specialister engagerade i att granska och utvärdera hur informationssäkerhet säkerställs och granskas inom institutionen. För detta ändamål lämnar organisationen av skyddssystemet, liksom de tekniska kapaciteterna och villkoren för dess tillhandahållande, sig till analys. Den sista punkten ägnas särskild uppmärksamhet, eftersom bedrägare oftast upplever brott i skyddet just genom den tekniska delen. Av denna anledning beaktas följande punkter separat:

  • programvara struktur;
  • konfiguration av servrar och nätverksenheter;
  • sekretessmekanismer.

En granskning av företagets informationssäkerhet i detta skede avslutas med en sammanfattning och uttryck av resultaten av arbetet i form av en rapport. Det är de dokumenterade slutsatserna som ligger till grund för genomförandet av följande steg i revisionen.

Hur analyseras möjliga risker?

En informationssäkerhetsrevision av organisationer genomförs också för att identifiera verkliga hot och deras konsekvenser. I slutet av detta steg bör en lista över åtgärder utformas som undviker eller åtminstone minimerar risken för informationsattacker.

säkerställa och granska informationssäkerhet

För att förhindra kränkningar av sekretess måste du analysera rapporten som mottogs i slutet av föregående steg. Tack vare detta är det möjligt att avgöra om en verklig intrång i företagets rymd är möjlig. En dom meddelas om tillförlitlighet och prestanda för befintlig teknisk skyddsutrustning.

Eftersom alla organisationer har olika arbetsområden kan listan över säkerhetskrav inte vara identisk.För den granskade institutionen utvecklas en lista individuellt.

Svagheter identifieras också i detta skede, och klienten får information om potentiella angripare och hotande hot. Det senare är nödvändigt för att veta vilken sida att vänta på tricket och för att ägna mer uppmärksamhet åt detta.

Det är också viktigt för kunden att veta hur effektiva innovationerna och resultaten från expertkommissionen kommer att vara.

Analysen av möjliga risker har följande mål:

  • klassificering av informationskällor;
  • identifiering av sårbarheter i arbetsflödet;
  • prototyp för en möjlig scammer.

Analys och granskning gör att du kan avgöra hur möjligt informationsattackernas framgång är. För detta utvärderas kritiken på svagheter och sätt att använda dem för olagliga ändamål.

Vad är det sista skedet av revisionen?

Det sista steget kännetecknas av att resultaten av arbetet skrivs. Dokumentet som kommer ut kallas en revisionsrapport. Det konsoliderar slutsatsen om det granskade företagets allmänna säkerhetsnivå. Separat finns det en beskrivning av effektiviteten i informationsteknologisystemet i förhållande till säkerhet. Rapporten ger vägledning om potentiella hot och beskriver en modell av en eventuell angripare. Det förklarar också möjligheten till obehörig intrång på grund av interna och externa faktorer.

Standarder för revision av informationssäkerhet ger inte bara en bedömning av status utan också en rekommendation från en expertkommission om nödvändiga aktiviteter. Det är experterna som utförde det omfattande arbetet, analyserade informationsinfrastrukturen, som kan säga vad som måste göras för att skydda sig mot informationsstöld. De kommer att ange de platser som måste stärkas. Experter ger också vägledning om tekniskt stöd, det vill säga utrustning, servrar och brandväggar.

internrevision av informationssäkerhet

Rekommendationer är de ändringar som måste göras i konfigurationen av nätverksenheter och servrar. Kanske kommer instruktionerna att relatera direkt till utvalda säkerhetsmetoder. Vid behov kommer experter att föreskriva en uppsättning åtgärder som syftar till att ytterligare stärka mekanismerna som ger skydd.

Företaget bör också bedriva speciellt uppsökande arbete och utveckla en policy som syftar till konfidentialitet. Kanske borde säkerhetsreformer genomföras. En viktig punkt är den reglerande och tekniska basen, som är skyldig att konsolidera bestämmelserna om företagets säkerhet. Teamet måste instrueras ordentligt. Påverkansområden och tilldelat ansvar delas mellan alla anställda. Om detta är lämpligt är det bättre att genomföra en kurs för att förbättra utbildningen för teamet om informationssäkerhet.

Vilka typer av revisioner finns?

Granskning av ett företags informationssäkerhet kan vara av två typer. Beroende på källan till denna process kan följande typer skiljas:

  1. Extern form. Det skiljer sig genom att det är engångsbruk. Dess andra funktion är att den produceras av oberoende och opartiska experter. Om det är av rekommenderande karaktär beställs det av institutionens ägare. I vissa fall krävs en extern revision. Detta kan bero på organisationstypen och extraordinära omständigheter. I det senare fallet är initiativtagarna till en sådan revision som regel brottsbekämpande organ.
  2. Inre form. Det är baserat på en specialiserad bestämmelse som föreskriver revisionsuppförande. En internrevision av informationssäkerhet är nödvändig för att ständigt kunna övervaka systemet och identifiera sårbarheter.Det är en lista över händelser som äger rum under en viss tidsperiod. För detta arbete etableras oftast en specialavdelning eller en auktoriserad anställd. Han diagnostiserar skyddsutrustningens tillstånd.

Hur genomförs en aktiv revision?

Beroende på vad kunden strävar efter väljs också metoderna för informationssäkerhetsrevision. Ett av de vanligaste sätten att studera säkerhetsnivån är en aktiv revision. Det är ett uttalande om en riktig hackerattack.

standarder för revisionssäkerhet

Fördelen med denna metod är att den tillåter en mest realistisk simulering av risken för ett hot. Tack vare en aktiv revision kan du förstå hur en liknande situation kommer att utvecklas i livet. Denna metod kallas också instrumentell säkerhetsanalys.

Kärnan i en aktiv revision är implementeringen (med speciell programvara) av ett försök till obehörig intrång i ett informationssystem. Samtidigt måste skyddsutrustningen vara i full tillstånd. Tack vare detta är det möjligt att utvärdera deras arbete i ett sådant fall. En person som utför en artificiell hackerattack får ett minimum av information. Detta är nödvändigt för att återskapa de mest realistiska förhållandena.

De försöker utsätta systemet för så många attacker som möjligt. Med olika metoder kan du utvärdera de hackningsmetoder som systemet är mest utsatt för. Detta beror naturligtvis på kvalifikationerna hos den specialist som utför detta arbete. Men hans handlingar bör inte vara av någon destruktiv karaktär.

I slutändan genererar experten en rapport om svagheterna i systemet och den information som är mest tillgänglig. Det ger också rekommendationer om möjliga uppgraderingar, som bör garantera ökad säkerhet till rätt nivå.

Vad är en expertrevision?

För att fastställa om företaget uppfyller de fastställda kraven, genomförs också en informationssäkerhetsrevision. Ett exempel på en sådan uppgift kan ses i expertmetoden. Det består i en jämförande bedömning med källdata.

Det mycket idealiska skyddsarbetet kan baseras på en mängd olika källor. Klienten själv kan ställa krav och sätta mål. Företagets chef kanske vill veta hur långt säkerhetsnivån för hans organisation är från vad han vill.

Den prototyp mot vilken en jämförande bedömning kommer att genomföras kan vara allmänt erkända internationella standarder.

Enligt den federala lagen "Om revision" har det verkställande företaget tillräckligt med behörighet att samla relevant information och dra slutsatsen att de befintliga åtgärderna för att säkerställa informationssäkerhet är tillräckliga. Konsekvensen av lagstiftningsdokument och anställdas handlingar beträffande drift av skyddsutrustning utvärderas också.

Vad är efterlevnadskontrollen?

Denna art är mycket lik den föregående, eftersom dess väsen också är en jämförande bedömning. Men bara i detta fall är den ideala prototypen inte ett abstrakt begrepp, utan de tydliga kraven som fastställs i lagstadgad och teknisk dokumentation och standarder. Men det bestämmer också graden av överensstämmelse med den nivå som anges i företagets integritetspolicy. Utan att följa detta ögonblick kan vi inte tala om ytterligare arbete.

exempel på revisionssäkerhetsrevision

Oftast är denna typ av revision nödvändig för att certifiera det befintliga säkerhetssystemet hos företaget. Detta kräver yttrande från en oberoende expert. Här är inte bara skyddsnivån viktig utan också dess tillfredsställelse med erkända kvalitetsstandarder.

Därför kan vi dra slutsatsen att för att genomföra denna typ av procedur måste du bestämma exekutören och också lyfta fram mängden mål och mål baserade på dina egna behov och kapacitet.


Lägg till en kommentar
×
×
Är du säker på att du vill ta bort kommentaren?
Radera
×
Anledning till klagomål

Affärs

Framgångshistorier

utrustning