Revision af virksomhedsinformationssikkerhed: koncept, standarder, eksempel

Mange forretningsfolk prøver at holde deres virksomhed hemmelig. Da århundrede er højteknologiens tidsalder, er det ret vanskeligt at gøre. Næsten alle forsøger at beskytte sig mod lækage af virksomheds- og personoplysninger, men det er ingen hemmelighed, at det ikke vil være vanskeligt for en professionel at finde ud af de nødvendige data. I øjeblikket er der mange metoder, der beskytter mod sådanne angreb. Men for at verificere effektiviteten af ​​et sådant sikkerhedssystem er det nødvendigt at foretage en informationssikkerhedsrevision.

Hvad er en revision?

I henhold til den føderale lov "On Auditing" inkluderer en revision forskellige metoder og metoder samt den praktiske gennemførelse af inspektioner. Med hensyn til virksomhedens informationssikkerhed er det en uafhængig vurdering af systemets tilstand samt niveauet for dens overholdelse af de etablerede krav. Der gennemføres undersøgelser vedrørende regnskabs- og skattemæssig rapportering, økonomisk støtte og økonomiske og økonomiske aktiviteter.

Hvorfor er en sådan kontrol nødvendig?

Nogle betragter en sådan aktivitet som spild af penge. Ved imidlertid at identificere problemer i denne sektor rettidigt, kan endnu større økonomiske tab forhindres. Formålet med en informationssikkerhedsrevision er som følger:

• bestemmelse af beskyttelsesniveauet og bringe det til det nødvendige;
• finansiel afvikling med hensyn til at sikre organisationens fortrolighed;
• demonstration af muligheden for at investere i denne sektor;
• Få mest muligt ud af dine sikkerhedsomkostninger
• bekræftelse af effektiviteten af ​​interne kræfter, kontrolmidler og deres refleksion over forretningsførelsen.

Hvordan revideres informationssikkerhed hos en virksomhed?

En omfattende revision af informationssikkerhed finder sted i flere faser. Processen er opdelt i organisatorisk og instrumentel. Inden for rammerne af begge dele af komplekset foretages en undersøgelse af sikkerheden i kundens virksomhedsinformationssystem, hvorefter der bestemmes en overholdelse af etablerede standarder og krav. En informationssikkerhedsrevision er opdelt i følgende faser:

1. Bestemmelse af kundens krav og arbejdsomfang.
2. Undersøgelse af det nødvendige materiale og konklusioner.
3. Analyse af mulige risici.
4. Ekspertudtalelse om det udførte arbejde og afsigelse af passende dom.

Hvad er inkluderet i den første fase af en informationssikkerhedsrevision?

Programmet til informationssikkerhedsrevision begynder nøjagtigt med at afklare det mængde arbejde, som kunden kræver. Klienten giver udtryk for sin mening og formål og forfølger det, han ansøgte om en ekspertvurdering.

På dette tidspunkt begynder verifikation af de generelle data, som kunden leverer, allerede. Han beskrives de metoder, der vil blive brugt, og det planlagte sæt af foranstaltninger.

Hovedopgaven på dette trin er at sætte et specifikt mål. Klienten og organisationen, der udfører revisionen, skal forstå hinanden, blive enige om en fælles holdning. Efter at Kommissionen er dannet, hvis sammensætning vælges af de relevante specialister. De nødvendige tekniske specifikationer aftales også separat med kunden.

Det ser ud til, at denne begivenhed kun skulle skitsere tilstanden i systemet, der beskytter mod informationsangreb. Men de endelige resultater af testen kan være forskellige.Nogle er interesserede i komplette oplysninger om arbejdet med beskyttelsesudstyr i kundens virksomhed, mens andre kun er interesseret i effektiviteten af ​​individuelle informationsteknologilinjer. Valg af metoder og vurderingsmåder afhænger af kravene. Målindstillingen påvirker også ekspertkommissionens videre forløb.

For øvrig består arbejdsgruppen af ​​specialister fra to organisationer - virksomheden, der udfører revisionen, og medarbejderne i den reviderede organisation. Sidstnævnte, som ingen anden, kender faktisk deres institutioners forviklinger og kan give alle de nødvendige oplysninger til en omfattende vurdering. De udfører også en slags kontrol over arbejdet for medarbejdere i den udførende virksomhed. Deres mening tages i betragtning ved udstedelse af resultaterne af revisionen.

Virksomhedens eksperter, der foretager en revision af virksomhedens informationssikkerhed, beskæftiger sig med undersøgelse af emneområder. De har et passende kvalifikationsniveau såvel som en uafhængig og uvildig mening, og de er i stand til mere præcist at vurdere arbejdsstanden for beskyttelsesudstyr. Eksperter udfører deres aktiviteter i overensstemmelse med den planlagte arbejdsplan og mål. De udvikler tekniske processer og koordinerer resultaterne med hinanden.

Henvisningen fastlægger tydeligt revisorens mål, bestemmer metoderne til dens implementering. Det præciserer også tidspunktet for revisionen, det er endda muligt, at hver fase har sin egen periode.

På dette tidspunkt er der kontakt med sikkerhedstjenesten i den reviderede institution. Revisor har pligt til ikke at videregive resultaterne af revisionen.

Hvordan er implementeringen af ​​anden fase?

En revision af en virksomheds informationssikkerhed i anden fase er en detaljeret indsamling af oplysninger, der er nødvendige for at evaluere den. Til at begynde med overvejer vi et generelt sæt af foranstaltninger, der sigter mod at gennemføre en privatlivspolitik.

Da de fleste af dataene nu duplikeres i elektronisk form, eller generelt foretager virksomheden kun sine aktiviteter ved hjælp af informationsteknologi, falder software også under testen. Fysisk sikkerhed analyseres også.

På dette stadium er specialister forpligtet til at gennemgå og evaluere, hvordan informationssikkerhed er sikret og revideret i institutionen. Med henblik herpå egner organisationen af ​​beskyttelsessystemet såvel som de tekniske muligheder og betingelser for dets tilvejebringelse sig til analyse. Det sidste punkt er særlig opmærksom, da svindlere oftest finder brud på beskyttelsen netop gennem den tekniske del. Af denne grund betragtes følgende punkter separat:

• software struktur;
• konfiguration af servere og netværksenheder;
• mekanismer til beskyttelse af personlige oplysninger.

En revision af virksomhedens informationssikkerhed på dette trin slutter med en oversigt og udtryk for resultaterne af det udførte arbejde i form af en rapport. Det er de dokumenterede konklusioner, der danner grundlaget for gennemførelsen af ​​de følgende faser i revisionen.

Hvordan analyseres mulige risici?

Der gennemføres også en informationssikkerhedsrevision af organisationer for at identificere reelle trusler og deres konsekvenser. I slutningen af ​​dette trin bør der udarbejdes en liste over foranstaltninger, der vil undgå eller i det mindste minimere muligheden for informationsangreb.

For at forhindre krænkelser af privatlivets fred skal du analysere den modtagne rapport i slutningen af ​​det forrige trin. Takket være dette er det muligt at afgøre, om en reel indtrængen i virksomhedens rum er mulig. Der afsiges en dom om pålidelighed og ydelse af eksisterende teknisk beskyttelsesudstyr.

Da alle organisationer har forskellige arbejdsområder, kan listen over sikkerhedskrav ikke være identisk.For den reviderede institution udvikles en liste individuelt.

Svagheder identificeres også på dette tidspunkt, og klienten får information om potentielle angribere og forestående trusler. Det sidstnævnte er nødvendigt for at vide, hvilken side man skal vente på, og for at være mere opmærksom på dette.

Det er også vigtigt for kunden at vide, hvor effektive innovationer og resultater fra ekspertkommissionen vil være.

Analysen af ​​mulige risici har følgende mål:

• klassificering af informationskilder;
• identificering af sårbarheder i arbejdsgangen
• prototype af en mulig svindler.

Analyse og revision giver dig mulighed for at bestemme, hvor muligt succes med informationsangreb er. Til dette vurderes kritikken af ​​svagheder og måder at bruge dem til ulovlige formål.

Hvad er den sidste fase af revisionen?

Den sidste fase er kendetegnet ved skrivning af resultaterne af arbejdet. Det dokument, der kommer ud, kaldes en revisionsrapport. Det konsoliderer konklusionen om det reviderede virksomheds generelle sikkerhedsniveau. Hver for sig er der en beskrivelse af effektiviteten af ​​informationsteknologisystemet i forhold til sikkerhed. Rapporten giver vejledning om potentielle trusler og beskriver en model af en mulig angriber. Det præciserer også muligheden for uautoriseret indtrængen på grund af interne og eksterne faktorer.

Standarder for informationssikkerhedsrevision giver ikke kun en vurdering af status, men også afgivelse af anbefalinger fra en ekspertkommission om de nødvendige aktiviteter. Det er eksperterne, der udførte det omfattende arbejde, analyserede informationsinfrastrukturen, der kan sige, hvad der skal gøres for at beskytte sig mod informationstyveri. De vil angive de steder, der skal styrkes. Eksperter giver også vejledning om teknologisk support, det vil sige udstyr, servere og firewalls.

Anbefalinger er de ændringer, der skal foretages i konfigurationen af ​​netværksenheder og servere. Måske vedrører instruktionerne direkte de valgte sikkerhedsmetoder. Om nødvendigt vil eksperter ordinere et sæt af foranstaltninger, der sigter mod at styrke de mekanismer, der yder beskyttelse.

Virksomheden bør også udføre særligt opsøgende arbejde og udvikle en politik rettet mod fortrolighed. Måske bør sikkerhedsreformer gennemføres. Et vigtigt punkt er det lovgivningsmæssige og tekniske grundlag, der er forpligtet til at konsolidere bestemmelserne om virksomhedens sikkerhed. Holdet skal instrueres korrekt. Indflydelsesfærer og tildelt ansvar deles mellem alle ansatte. Hvis dette er passende, er det bedre at gennemføre et kursus for at forbedre uddannelsen af ​​teamet vedrørende informationssikkerhed.

Hvilke typer revision findes?

Revision af en virksomheds informationssikkerhed kan være af to typer. Afhængig af kilden til denne proces kan der skelnes mellem følgende typer:

1. Ekstern form. Det adskiller sig i, at det er engangs. Det andet træk er, at det er produceret af uafhængige og uvildige eksperter. Hvis det er af anbefalende art, bestilles det af institutionens ejer. I nogle tilfælde kræves en ekstern revision. Dette kan skyldes organisationstypen samt ekstraordinære omstændigheder. I sidstnævnte tilfælde er initiativtagerne til en sådan revision som regel retshåndhævende myndigheder.
2. Indre form. Det er baseret på en specialiseret bestemmelse, der foreskriver revisionsadfærd. En intern revision af informationssikkerhed er nødvendig for konstant at overvåge systemet og identificere sårbarheder.Det er en liste over begivenheder, der finder sted i et bestemt tidsrum. Til dette arbejde etableres oftest en særlig afdeling eller en autoriseret medarbejder. Han diagnosticerer beskyttelsesudstyrets tilstand.

Hvordan gennemføres en aktiv revision?

Afhængigt af hvad kunden forfølger, vælges også metoderne til informationssikkerhedsrevision. En af de mest almindelige måder til at studere sikkerhedsniveauet er en aktiv revision. Det er en erklæring om et ægte hackerangreb.

Fordelen ved denne metode er, at den tillader den mest realistiske simulering af muligheden for en trussel. Takket være en aktiv revision kan du forstå, hvordan en lignende situation vil udvikle sig i livet. Denne metode kaldes også instrumentel sikkerhedsanalyse.

Essensen af ​​en aktiv revision er implementeringen (ved hjælp af speciel software) af et forsøg på uautoriseret indtrængen i et informationssystem. Samtidig skal beskyttelsesudstyr være i en tilstand af fuld beredskab. Takket være dette er det muligt at evaluere deres arbejde i et sådant tilfælde. En person, der udfører et kunstigt hackerangreb, får et minimum af information. Dette er nødvendigt for at genskabe de mest realistiske forhold.

De prøver at udsætte systemet for så mange angreb som muligt. Ved hjælp af forskellige metoder kan du evaluere de hackingmetoder, som systemet er mest eksponeret for. Dette afhænger naturligvis af kvalifikationerne for den specialist, der udfører dette arbejde. Men hans handlinger bør ikke være af nogen destruktiv karakter.

I sidste ende genererer eksperten en rapport om svaghederne ved systemet og de oplysninger, der er mest tilgængelige. Det giver også anbefalinger om mulige opgraderinger, som skal garantere øget sikkerhed til det rette niveau.

Hvad er en ekspertrevision?

For at bestemme, om virksomheden overholder de fastlagte krav, gennemføres der også en informationssikkerhedsrevision. Et eksempel på en sådan opgave kan ses i ekspertmetoden. Det består i en sammenlignende vurdering med kildedataene.

Det meget ideelle beskyttelsesarbejde kan være baseret på forskellige kilder. Klienten kan selv stille krav og sætte mål. Virksomhedslederen ønsker måske at vide, hvor langt sikkerhedsniveauet i hans organisation er fra det, han ønsker.

Den prototype, som en sammenlignende vurdering vil blive gennemført mod, kan generelt være anerkendte internationale standarder.

I henhold til føderal lov "om revision" har det udførende selskab tilstrækkelig myndighed til at indsamle relevant information og konkludere, at de eksisterende foranstaltninger til at sikre informationssikkerhed er tilstrækkelige. Konsistensen af ​​forskriftsdokumenter og medarbejdernes handlinger med hensyn til betjening af beskyttelsesudstyr vurderes også.

Hvad er overholdelseskontrollen?

Denne art ligner meget den foregående, da dens essens også er en sammenlignende vurdering. Men kun i dette tilfælde er den ideelle prototype ikke et abstrakt koncept, men de klare krav, der er nedfældet i lovgivningsmæssig og teknisk dokumentation og standarder. Det bestemmer dog også graden af ​​overholdelse af det niveau, der er specificeret i virksomhedens privatlivspolitik. Uden at overholde dette øjeblik, kan vi ikke tale om yderligere arbejde.

Oftest er denne type revision nødvendig for certificering af det eksisterende sikkerhedssystem hos virksomheden. Dette kræver udtalelse fra en uafhængig ekspert. Her er ikke kun beskyttelsesniveauet vigtigt, men også dets tilfredshed med anerkendte kvalitetsstandarder.

Således kan vi konkludere, at for at udføre denne form for procedure, er du nødt til at beslutte om eksekutoren og også fremhæve række af mål og målsætninger baseret på dine egne behov og muligheder.