Daugelis verslininkų bando paslaptį išlaikyti savo įmonę. Kadangi šimtmetis yra aukštųjų technologijų amžius, tai padaryti gana sunku. Beveik visi bando apsisaugoti nuo korporacinės ir asmeninės informacijos nutekėjimo, tačiau ne paslaptis, kad profesionalui nebus sunku sužinoti reikalingus duomenis. Šiuo metu yra daugybė metodų, saugančių nuo tokių išpuolių. Bet norint patikrinti tokios apsaugos sistemos efektyvumą, būtina atlikti informacijos saugumo auditą.
Kas yra auditas?
Pagal federalinį įstatymą „Dėl audito“ auditas apima įvairius metodus ir metodus, taip pat praktinį patikrinimų įgyvendinimą. Kalbant apie įmonės informacijos saugumą, tai yra nepriklausomas sistemos būklės, taip pat jos atitikties nustatytiems reikalavimams įvertinimas. Egzaminai vykdomi apskaitos ir mokesčių deklaravimo, ekonominės paramos ir finansinės bei ūkinės veiklos srityse.
Kodėl toks patikrinimas yra būtinas?
Kai kurie tokią veiklą laiko pinigų švaistymu. Tačiau laiku nustatant šio sektoriaus problemas galima išvengti dar didesnių ekonominių nuostolių. Informacijos saugumo audito tikslai yra šie:
- apsaugos lygio nustatymas ir pritaikymas būtinam;
- finansinis atsiskaitymas užtikrinant organizacijos konfidencialumą;
- investuoti į šį sektorių galimybių įrodymas;
- Išnaudokite visas savo saugumo išlaidas
- vidinių jėgų, kontrolės priemonių efektyvumo patvirtinimas ir jų atspindys vykdant verslą.
Kaip įmonėje atliekamas informacijos saugumo auditas?
Išsamus informacijos saugumo auditas vyksta keliais etapais. Procesas yra suskirstytas į organizacinį ir instrumentinį. Abiejose komplekso dalyse atliekamas kliento įmonės informacinės sistemos saugumo tyrimas, o tada nustatoma, ar laikomasi nustatytų standartų ir reikalavimų. Informacijos saugumo auditas skirstomas į šiuos etapus:
- Kliento reikalavimų ir darbo apimties nustatymas.
- Studijuoti reikalingą medžiagą ir padaryti išvadas.
- Galimos rizikos analizė.
- Ekspertų nuomonė apie nuveiktus darbus ir tinkamo verdikto paskelbimas.
Kas įtraukta į pirmąjį informacijos saugumo audito etapą?
Informacijos saugumo audito programa prasideda tiksliai paaiškinant kliento reikalaujamo darbo apimtį. Klientas pareiškia savo nuomonę ir tikslą, siekdamas, kad jis kreiptųsi dėl eksperto.
Šiame etape jau pradedama tikrinti kliento pateiktus bendruosius duomenis. Jis apibūdina metodus, kurie bus naudojami, ir planuojamą priemonių rinkinį.
Pagrindinė užduotis šiame etape yra išsikelti konkretų tikslą. Klientas ir auditą atliekanti organizacija turi suprasti vienas kitą, susitarti dėl bendros nuomonės. Sudarius komisiją, kurios sudėtį parenka atitinkami specialistai. Dėl būtinų techninių specifikacijų taip pat atskirai susitariama su klientu.
Atrodytų, kad šis įvykis turėtų tik apibūdinti sistemos, apsaugančios nuo informacijos atakų, būklę. Tačiau galutiniai testo rezultatai gali būti skirtingi.Kai kuriuos domina išsami informacija apie kliento įmonės apsauginių priemonių darbą, o kitus domina tik atskirų informacinių technologijų linijų efektyvumas. Įvertinimo metodų ir priemonių pasirinkimas priklauso nuo reikalavimų. Tikslo nustatymas taip pat turi įtakos tolimesnei ekspertų komisijos darbo eigai.
Beje, darbo grupę sudaro dviejų organizacijų specialistai - auditą atliekančios įmonės, ir audituojamos organizacijos darbuotojai. Iš tiesų, pastarieji, kaip niekas kitas, žino savo įstaigos painiavą ir gali pateikti visą informaciją, reikalingą išsamiam vertinimui. Jie taip pat kontroliuoja vykdomosios įmonės darbuotojų darbą. Į jų nuomonę atsižvelgiama darant audito rezultatus.
Įmonės informacijos saugumo auditą atliekantys įmonės ekspertai užsiima dalykinių sričių tyrimu. Turėdami tinkamą kvalifikacijos lygį, taip pat nepriklausomą ir nešališką nuomonę, jie sugeba tiksliau įvertinti apsauginių priemonių darbo būklę. Ekspertai vykdo savo veiklą pagal numatytą darbo planą ir tikslus. Jie kuria techninius procesus ir derina rezultatus tarpusavyje.
Techninės užduotys aiškiai nustato auditoriaus tikslus, nustato jo įgyvendinimo metodus. Taip pat nurodomas audito laikas, net įmanoma, kad kiekvienas etapas turės savo periodą.
Šiame etape užmezgamas ryšys su audituojamos įstaigos saugos tarnyba. Auditorius įpareigoja neatskleisti audito rezultatų.
Kaip įgyvendinamas antrasis etapas?
Antrame etape atliekamas įmonės informacijos saugumo auditas - tai išsamus informacijos rinkimas, reikalingas tam įvertinti. Pirmiausia mes apsvarstysime bendrą priemonių rinkinį, skirtą įgyvendinti privatumo politiką.
Kadangi dabar didžioji dalis duomenų yra kopijuojami elektronine forma arba apskritai įmonė vykdo savo veiklą tik pasitelkdama informacines technologijas, tada testuojama ir programinė įranga. Taip pat analizuojamas fizinis saugumas.
Šiame etape specialistai yra įsipareigoję peržiūrėti ir įvertinti, kaip įstaigoje užtikrinamas ir audituojamas informacijos saugumas. Tam reikia analizuoti apsaugos sistemos organizavimą, taip pat technines galimybes ir jos teikimo sąlygas. Paskutiniam punktui skiriamas ypatingas dėmesys, nes sukčiai dažniausiai randa apsaugos pažeidimus būtent per techninę dalį. Dėl šios priežasties šie punktai nagrinėjami atskirai:
- programinės įrangos struktūra;
- serverių ir tinklo įrenginių konfigūracija;
- privatumo mechanizmai.
Įmonės informacijos saugumo auditas šiame etape baigiamas pateikiant ataskaitą ir pateikiant atlikto darbo rezultatus. Dokumentuotos išvados yra pagrindas šiems audito etapams įgyvendinti.
Kaip analizuojama galima rizika?
Taip pat atliekamas organizacijų informacijos saugumo auditas, siekiant nustatyti realias grėsmes ir jų padarinius. Šio etapo pabaigoje turėtų būti sudarytas priemonių, kurios padės išvengti informacijos išpuolių ar bent jau sumažinti tai, sąrašas.
Norėdami išvengti privatumo pažeidimų, turite išanalizuoti ataskaitą, gautą atlikus ankstesnį veiksmą. Dėl šios priežasties galima nustatyti, ar įmanomas tikras įsibrovimas į įmonės erdvę. Paskelbtas sprendimas dėl esamų techninių apsaugos priemonių patikimumo ir veikimo.
Kadangi visos organizacijos dirba skirtingai, saugumo reikalavimų sąrašas negali būti vienodas.Audituotai institucijai sąrašas sudaromas individualiai.
Šiame etape taip pat nustatomi trūkumai, o klientui pateikiama informacija apie galimus užpuolikus ir gresiančias grėsmes. Pastaroji yra būtina norint žinoti, kurioje pusėje laukti triuko, ir tam skirti daugiau dėmesio.
Taip pat svarbu, kad klientas žinotų, kiek efektyvios bus ekspertų komisijos naujovės ir rezultatai.
Galimos rizikos analizė turi šiuos tikslus:
- informacijos šaltinių klasifikacija;
- pažeidžiamumų atpažinimas darbo eigoje;
- galimo sukčiaus prototipas.
Analizė ir auditas leidžia nustatyti, kokia yra informacijos atakų sėkmė. Tam įvertinamas trūkumų kritiškumas ir jų panaudojimo neteisėtiems tikslams būdai.
Koks yra paskutinis audito etapas?
Paskutinis etapas pasižymi darbo rezultatų rašymu. Išleistas dokumentas vadinamas audito ataskaita. Tai konsoliduoja išvadą apie bendrą audituojamos įmonės saugumo lygį. Atskirai aprašomas informacinių technologijų sistemos veiksmingumas saugumo atžvilgiu. Ataskaitoje pateikiamos galimų grėsmių gairės ir aprašomas galimo užpuoliko modelis. Jame taip pat išaiškinta neteisėto įsilaužimo galimybė dėl vidinių ir išorinių veiksnių.
Informacijos saugumo audito standartai suteikia ne tik būklės vertinimą, bet ir ekspertų komisijos rekomendacijas dėl būtinos veiklos. Būtent ekspertai atliko išsamų darbą, išanalizavo informacinę infrastruktūrą ir gali pasakyti, ką reikia padaryti norint apsisaugoti nuo informacijos vagystės. Jie nurodys vietas, kurias reikia sustiprinti. Ekspertai taip pat teikia rekomendacijas dėl technologinės paramos, tai yra, įrangos, serverių ir ugniasienių.
Rekomendacijos yra tie pakeitimai, kuriuos reikia atlikti tinklo įrenginių ir serverių konfigūracijoje. Galbūt instrukcijos bus tiesiogiai susijusios su pasirinktais saugos metodais. Prireikus ekspertai paskirs priemonių rinkinį, skirtą dar labiau sustiprinti apsaugą užtikrinančius mechanizmus.
Bendrovė taip pat turėtų vykdyti specialų informavimo darbą ir parengti konfidencialumo politiką. Galbūt reikėtų įgyvendinti saugumo reformas. Svarbus dalykas yra norminė ir techninė bazė, įpareigojanti konsoliduoti įmonės saugos nuostatas. Komanda turi būti tinkamai instruktuojama. Įtakos sfera ir paskirta atsakomybė paskirstoma visiems darbuotojams. Jei tai tinkama, geriau atlikti kursą, siekiant pagerinti komandos mokymąsi informacijos saugumo srityje.
Kokie audito tipai egzistuoja?
Įmonės informacijos saugumo auditas gali būti dviejų rūšių. Atsižvelgiant į šio proceso šaltinį, galima atskirti šiuos tipus:
- Išorinė forma. Jis skiriasi tuo, kad yra vienkartinis. Antrasis jo bruožas yra tas, kad jį gamina nepriklausomi ir nešališki ekspertai. Jei jis yra rekomendacinio pobūdžio, tada jį užsako įstaigos savininkas. Kai kuriais atvejais reikalingas išorinis auditas. Tai gali būti dėl organizacijos tipo, taip pat dėl ypatingų aplinkybių. Pastaruoju atveju tokio audito iniciatoriai paprastai yra teisėsaugos agentūros.
- Vidinė forma. Jis grindžiamas specializuota nuostata, nustatančia audito atlikimą. Informacijos saugumo vidaus auditas yra būtinas norint nuolat stebėti sistemą ir nustatyti silpnąsias vietas.Tai įvykių, kurie vyksta per tam tikrą laiką, sąrašas. Šiam darbui dažniausiai yra įsteigiamas specialus skyrius arba įgaliotas darbuotojas. Jis diagnozuoja apsauginių priemonių būklę.
Kaip atliekamas aktyvus auditas?
Priklausomai nuo to, ko siekia klientas, pasirenkami ir informacijos saugumo audito metodai. Vienas iš labiausiai paplitusių būdų įvertinti saugumo lygį yra aktyvus auditas. Tai tikros įsilaužėlių atakos pareiškimas.
Šio metodo pranašumas yra tas, kad jis leidžia kuo realiau modeliuoti grėsmės galimybę. Aktyvaus audito dėka galite suprasti, kaip panaši situacija susiklostys gyvenime. Šis metodas dar vadinamas instrumentine saugumo analize.
Aktyvaus audito esmė yra bandymo neteisėtai įsibrauti į informacinę sistemą įgyvendinimas (naudojant specialią programinę įrangą). Tuo pačiu metu apsauginės priemonės turi būti visiškai parengtos. Dėl to tokiu atveju galima įvertinti jų darbą. Asmeniui, vykdančiam dirbtinio įsilaužėlio išpuolį, suteikiama kuo mažiau informacijos. Tai būtina norint sukurti realiausias sąlygas.
Jie stengiasi, kad sistema būtų kuo daugiau išpuolių. Naudodamiesi skirtingais metodais, galite įvertinti įsilaužimo metodus, kuriems sistema yra veikiama labiausiai. Tai, be abejo, priklauso nuo specialisto, atliekančio šį darbą, kvalifikacijos. Tačiau jo veiksmai neturėtų būti destruktyvaus pobūdžio.
Galiausiai ekspertas parengia ataskaitą apie sistemos trūkumus ir prieinamiausią informaciją. Jame taip pat pateikiamos rekomendacijos dėl galimo atnaujinimo, kuris turėtų garantuoti padidintą saugumą iki tinkamo lygio.
Kas yra ekspertų auditas?
Siekiant nustatyti įmonės atitiktį nustatytiems reikalavimams, taip pat atliekamas informacijos saugumo auditas. Tokios užduoties pavyzdį galima pamatyti naudojant ekspertų metodą. Tai susideda iš lyginamojo įvertinimo su pirminiais duomenimis.
Tas idealus apsaugos darbas gali būti pagrįstas įvairiais šaltiniais. Pats klientas gali nusistatyti reikalavimus ir išsikelti tikslus. Bendrovės vadovas gali norėti žinoti, kiek nuo jo norimo lygio yra organizacijos saugumas.
Prototipas, pagal kurį bus atliekamas lyginamasis vertinimas, gali būti visuotinai pripažinti tarptautiniai standartai.
Pagal federalinį įstatymą „Dėl audito“, vykdančioji įmonė turi pakankamai įgaliojimų rinkti svarbią informaciją ir daryti išvadą, kad esamų priemonių informacijos saugumui užtikrinti pakanka. Taip pat įvertinamas norminių dokumentų nuoseklumas ir darbuotojų veiksmai, susiję su apsauginių priemonių naudojimu.
Kas yra atitikties tikrinimas?
Ši rūšis yra labai panaši į ankstesnę, nes jos esmė taip pat yra lyginamasis įvertinimas. Tačiau tik šiuo atveju idealus prototipas nėra abstrakti sąvoka, o aiškūs reikalavimai, įtvirtinti norminėje ir techninėje dokumentacijoje bei standartuose. Tačiau tai taip pat nustato atitikties lygį, nurodytą įmonės privatumo politikoje. Nepaisydami šios akimirkos, negalime kalbėti apie tolimesnį darbą.
Dažniausiai šis auditas yra būtinas norint patvirtinti esamą apsaugos sistemą įmonėje. Tam reikalinga nepriklausomo eksperto nuomonė. Čia svarbus ne tik apsaugos lygis, bet ir atitikimas pripažintiems kokybės standartams.
Taigi galime daryti išvadą, kad norint atlikti tokią procedūrą, reikia nuspręsti dėl vykdytojo, taip pat išryškinti tikslų ir uždavinių spektrą, atsižvelgiant į jūsų pačių poreikius ir galimybes.