Uzņēmuma informācijas drošības audits: koncepcija, standarti, piemērs

Daudzi uzņēmēji mēģina noslēpumā saglabāt uzņēmuma slepenību. Tā kā gadsimts ir augsto tehnoloģiju laikmets, to ir diezgan grūti izdarīt. Gandrīz visi cenšas pasargāt sevi no korporatīvās un personīgās informācijas noplūdes, taču nav noslēpums, ka profesionālam nebūs grūti atrast nepieciešamos datus. Pašlaik ir daudz metožu, kas aizsargā pret šādiem uzbrukumiem. Bet, lai pārbaudītu šādas drošības sistēmas efektivitāti, ir jāveic informācijas drošības audits.

Kas ir audits?

Saskaņā ar federālo likumu "Par revīziju" revīzija ietver dažādas metodes un metodes, kā arī pārbaužu praktisko īstenošanu. Runājot par uzņēmuma informācijas drošību, tas ir neatkarīgs sistēmas stāvokļa novērtējums, kā arī tās atbilstības līmenis noteiktajām prasībām. Tiek veiktas pārbaudes par grāmatvedību un nodokļu deklarēšanu, ekonomisko atbalstu un finansiālo un saimniecisko darbību.

Kāpēc šāda pārbaude ir nepieciešama?

Daži uzskata šādu darbību par naudas izšķiešanu. Tomēr, savlaicīgi identificējot problēmas šajā nozarē, var novērst vēl lielākus ekonomiskos zaudējumus. Informācijas drošības audita mērķi ir:

• aizsardzības līmeņa noteikšana un nodrošināšana ar nepieciešamo;
• finanšu norēķini organizācijas konfidencialitātes nodrošināšanas ziņā;
• investīciju šajā nozarē iespējamības pierādīšana;
• Izmantojiet visas drošības izmaksas
• iekšējo spēku, kontroles līdzekļu efektivitātes apstiprināšana un to atspoguļojums uzņēmējdarbības veikšanā.

Kā uzņēmumā tiek revidēta informācijas drošība?

Visaptverošs informācijas drošības audits notiek vairākos posmos. Process ir sadalīts organizatoriskajā un instrumentālajā. Abu kompleksa daļu ietvaros tiek veikts pētījums par klienta korporatīvās informācijas sistēmas drošību, un pēc tam tiek noteikta atbilstība noteiktajiem standartiem un prasībām. Informācijas drošības auditu iedala šādos posmos:

1. Klientu prasību un darba apjoma noteikšana.
2. Nepieciešamo materiālu izpēte un secinājumu izdarīšana.
3. Iespējamo risku analīze.
4. Ekspertu atzinums par paveikto darbu un attiecīgā sprieduma pasludināšana.

Kas ir iekļauts informācijas drošības audita pirmajā posmā?

Informācijas drošības audita programma precīzi sākas ar klienta prasītā darba apjoma noskaidrošanu. Klients izsaka savu viedokli un mērķi, pēc kura viņš pieprasa ekspertu.

Šajā posmā klienta sniegto vispārīgo datu pārbaude jau ir sākusies. Viņam ir aprakstītas izmantotās metodes un plānotais pasākumu kopums.

Šajā posmā galvenais uzdevums ir noteikt konkrētu mērķi. Klientam un organizācijai, kas veic auditu, ir jāsaprot viens otram, jāvienojas par kopīgu viedokli. Pēc komisijas izveidošanas, kuras sastāvu izvēlas attiecīgie speciālisti. Nepieciešamās tehniskās specifikācijas tiek arī atsevišķi saskaņotas ar klientu.

Šķiet, ka šim notikumam vajadzētu tikai ieskicēt sistēmas stāvokli, kas aizsargā pret informācijas uzbrukumiem. Bet testa galīgie rezultāti var būt atšķirīgi.Dažus interesē pilnīga informācija par klienta uzņēmuma aizsardzības līdzekļu darbu, savukārt citus interesē tikai atsevišķu informācijas tehnoloģiju līniju efektivitāte. Novērtēšanas metožu un līdzekļu izvēle ir atkarīga no prasībām. Mērķa noteikšana ietekmē arī turpmāko ekspertu komisijas darba gaitu.

Starp citu, darba grupu veido speciālisti no divām organizācijām - uzņēmuma, kas veic revīziju, un revidētās organizācijas darbiniekiem. Patiešām, pēdējie, tāpat kā neviens cits, zina savas iestādes sarežģītību un var sniegt visu informāciju, kas nepieciešama visaptverošam novērtējumam. Viņi arī veic sava veida kontroli pār izpildes uzņēmuma darbiniekiem. Viņu viedoklis tiek ņemts vērā, izdodot revīzijas rezultātus.

Uzņēmuma eksperti, kas veic uzņēmuma informācijas drošības auditu, nodarbojas ar priekšmetu izpēti. Viņiem ir atbilstošs kvalifikācijas līmenis, kā arī neatkarīgs un objektīvs viedoklis, viņi spēj precīzāk novērtēt aizsardzības līdzekļu darba stāvokli. Eksperti veic savas darbības saskaņā ar plānoto darba plānu un mērķiem. Viņi izstrādā tehniskos procesus un saskaņo rezultātus savā starpā.

Darba uzdevumā skaidri noteikti revidenta mērķi, noteiktas metodes tā ieviešanai. Tas arī precīzi norāda revīzijas laiku, ir pat iespējams, ka katram posmam būs savs periods.

Šajā posmā tiek izveidots kontakts ar revidētās iestādes drošības dienestu. Revidents uzliek pienākumu neizpaust audita rezultātus.

Kā notiek otrā posma ieviešana?

Uzņēmuma informācijas drošības revīzija otrajā posmā ir detalizēts informācijas apkopojums, kas nepieciešams tā novērtēšanai. Sākumā mēs apsveram vispārīgu pasākumu kopumu, kas vērsti uz privātuma politikas ieviešanu.

Tā kā tagad lielākā daļa datu tiek dublēti elektroniskā formā vai parasti uzņēmums savas darbības veic tikai ar informācijas tehnoloģiju palīdzību, tad pārbaude ir pakļauta arī programmatūrai. Tiek analizēta arī fiziskā drošība.

Šajā posmā speciālisti ir apņēmušies pārskatīt un novērtēt, kā iestādē tiek nodrošināta un auditēta informācijas drošība. Šajā nolūkā ir jāanalizē aizsardzības sistēmas organizācija, kā arī tās nodrošināšanas tehniskās iespējas un nosacījumi. Pēdējam punktam tiek pievērsta īpaša uzmanība, jo krāpnieki aizsardzības pārkāpumus visbiežāk atrod tieši caur tehnisko daļu. Šī iemesla dēļ atsevišķi tiek apskatīti šādi punkti:

• programmatūras struktūra;
• serveru un tīkla ierīču konfigurēšana;
• privātuma mehānismi.

Uzņēmuma informācijas drošības revīzija šajā posmā beidzas ar pārskatu un paveiktā darba rezultātu pārskatu un izteikšanu. Dokumentētie secinājumi ir pamats šādu revīzijas posmu īstenošanai.

Kā tiek analizēti iespējamie riski?

Tiek veikts arī organizāciju informācijas drošības audits, lai identificētu reālus draudus un to sekas. Šī posma beigās būtu jāizveido to pasākumu saraksts, kuri ļaus izvairīties no informācijas uzbrukumiem vai vismaz to mazinās.

Lai novērstu konfidencialitātes pārkāpumus, jums jāanalizē ziņojums, kas saņemts iepriekšējā darbības beigās. Pateicoties tam, ir iespējams noteikt, vai ir iespējama reāla ielaušanās uzņēmuma telpā. Tiek pasludināts spriedums par esošo tehnisko aizsardzības līdzekļu uzticamību un darbību.

Tā kā visām organizācijām ir atšķirīgas darba jomas, drošības prasību saraksts nevar būt identisks.Revidējamai iestādei saraksts tiek izstrādāts individuāli.

Šajā posmā tiek identificēti arī trūkumi, un klientam tiek sniegta informācija par iespējamiem uzbrucējiem un gaidāmajiem draudiem. Pēdējais ir nepieciešams, lai zinātu, kurā pusē gaidīt triku, un tam pievērst lielāku uzmanību.

Klientam ir arī svarīgi zināt, cik efektīvi būs ekspertu komisijas jauninājumi un rezultāti.

Iespējamo risku analīzei ir šādi mērķi:

• informācijas avotu klasifikācija;
• darbplūsmas ievainojamību identificēšana;
• iespējamā krāpnieka prototips.

Analīze un audits ļauj noteikt, cik iespējams ir informācijas uzbrukumu panākums. Šajā nolūkā tiek novērtēta vājo vietu kritika un to izmantošanas veidi nelikumīgiem mērķiem.

Kāds ir pēdējais revīzijas posms?

Pēdējo posmu raksturo darba rezultātu uzrakstīšana. Iznākošo dokumentu sauc par revīzijas ziņojumu. Tas konsolidē secinājumus par revidētā uzņēmuma vispārējo drošības līmeni. Atsevišķi ir informācijas tehnoloģiju sistēmas efektivitātes apraksts attiecībā uz drošību. Ziņojumā sniegti norādījumi par iespējamiem draudiem un aprakstīts iespējamā uzbrucēja modelis. Tas arī izskaidro nesankcionētas ielaušanās iespēju iekšēju un ārēju faktoru ietekmē.

Informācijas drošības audita standarti sniedz ne tikai statusa novērtējumu, bet arī ekspertu komisijas ieteikumus par nepieciešamajām darbībām. Tieši eksperti veica visaptverošo darbu, analizēja informācijas infrastruktūru, un viņi var pateikt, kas jādara, lai pasargātu sevi no informācijas zādzībām. Viņi norādīs vietas, kuras jānostiprina. Eksperti sniedz arī norādes par tehnoloģisko atbalstu, tas ir, par aprīkojumu, serveriem un ugunsmūriem.

Ieteikumi ir tās izmaiņas, kas jāveic tīkla ierīču un serveru konfigurācijā. Varbūt instrukcijas būs tieši saistītas ar izvēlētajām drošības metodēm. Ja nepieciešams, eksperti izrakstīs pasākumu kopumu, kuru mērķis ir vēl vairāk stiprināt aizsardzības mehānismus.

Uzņēmumam jāveic arī īpašs saziņas darbs un jāizstrādā konfidencialitātes politika. Varbūt jāīsteno drošības reformas. Svarīgs punkts ir normatīvā un tehniskā bāze, kurai ir pienākums konsolidēt noteikumus par uzņēmuma drošību. Komandai jābūt pienācīgi instruētai. Ietekmes sfēras un uzticētā atbildība ir dalīta starp visiem darbiniekiem. Ja tas ir lietderīgi, labāk ir vadīt kursu, lai uzlabotu komandas izglītību informācijas drošības jomā.

Kādi auditi pastāv?

Uzņēmuma informācijas drošības auditam var būt divi veidi. Atkarībā no šī procesa avota var atšķirt šādus veidus:

1. Ārējā forma. Tas atšķiras ar to, ka tas ir vienreizlietojams. Otra iezīme ir tā, ka to ražo neatkarīgi un objektīvi eksperti. Ja tam ir ieteikuma raksturs, to pasūta iestādes īpašnieks. Dažos gadījumos ir nepieciešams ārējs audits. Tas var būt saistīts ar organizācijas veidu, kā arī ārkārtas apstākļiem. Pēdējā gadījumā šādas revīzijas iniciatori parasti ir tiesībaizsardzības aģentūras.
2. Iekšējā forma. Tā pamatā ir īpašs noteikums, kas nosaka revīzijas veikšanu. Informācijas drošības iekšējais audits ir nepieciešams, lai pastāvīgi uzraudzītu sistēmu un identificētu ievainojamības.Tas ir notikumu saraksts, kas notiek noteiktā laika posmā. Šim darbam visbiežāk tiek izveidota īpaša nodaļa vai pilnvarots darbinieks. Viņš diagnosticē aizsardzības līdzekļu stāvokli.

Kā tiek veikts aktīvs audits?

Atkarībā no tā, ko klients tiecas, tiek izvēlētas arī informācijas drošības audita metodes. Viens no izplatītākajiem drošības līmeņa izpētes veidiem ir aktīvs audits. Tas ir paziņojums par reālu hakeru uzbrukumu.

Šīs metodes priekšrocība ir tā, ka tā ļauj reālāk simulēt draudu iespējamību. Pateicoties aktīvam auditam, jūs varat saprast, kā līdzīga situācija attīstīsies dzīvē. Šo metodi sauc arī par instrumentālo drošības analīzi.

Aktīva audita būtība ir neatļautas ielaušanās mēģinājums informācijas sistēmā (izmantojot īpašu programmatūru). Tajā pašā laikā aizsardzības līdzekļiem jābūt pilnībā gataviem. Pateicoties tam, šādā gadījumā ir iespējams novērtēt viņu darbu. Personai, kas veic mākslīgu hakeru uzbrukumu, tiek sniegta minimāla informācija. Tas ir nepieciešams, lai atjaunotu visreālākos apstākļus.

Viņi cenšas pakļaut sistēmu pēc iespējas lielākam uzbrukumam. Izmantojot dažādas metodes, varat novērtēt uzlaušanas metodes, kurām sistēma ir visvairāk pakļauta. Tas, protams, ir atkarīgs no speciālista, kurš veic šo darbu, kvalifikācijas. Bet viņa rīcībai nevajadzētu būt iznīcinošai.

Galu galā eksperts sagatavo ziņojumu par sistēmas nepilnībām un vispieejamāko informāciju. Tas arī sniedz ieteikumus par iespējamiem jauninājumiem, kuriem vajadzētu garantēt paaugstinātu drošību līdz pienācīgam līmenim.

Kas ir ekspertu audits?

Lai noteiktu uzņēmuma atbilstību noteiktajām prasībām, tiek veikts arī informācijas drošības audits. Šāda uzdevuma piemērs ir redzams ekspertu metodē. Tas sastāv no salīdzinoša novērtējuma ar avota datiem.

Šis ļoti ideālais aizsardzības darbs var būt balstīts uz dažādiem avotiem. Klients pats var izvirzīt prasības un izvirzīt mērķus. Uzņēmuma vadītājs var vēlēties zināt, cik tālu viņa organizācijas drošības līmenis ir no tā, ko viņš vēlas.

Prototips, ar kuru tiks veikts salīdzinošais novērtējums, var būt vispārēji atzīti starptautiski standarti.

Saskaņā ar federālo likumu "Par revīziju" izpildītājai sabiedrībai ir pietiekami daudz pilnvaru, lai savāktu būtisku informāciju un secinātu, ka esošie pasākumi informācijas drošības nodrošināšanai ir pietiekami. Novērtēta ir arī normatīvo dokumentu un darbinieku rīcība attiecībā uz aizsardzības līdzekļu darbību.

Kāda ir atbilstības pārbaude?

Šī suga ir ļoti līdzīga iepriekšējai, jo tās būtība ir arī salīdzinošs novērtējums. Bet tikai šajā gadījumā ideālais prototips nav abstrakts jēdziens, bet gan skaidras prasības, kas ietvertas normatīvajā un tehniskajā dokumentācijā un standartos. Tomēr tas arī nosaka atbilstību pakāpei, kas norādīta uzņēmuma privātuma politikā. Neievērojot šo brīdi, mēs nevaram runāt par turpmāko darbu.

Visbiežāk šāda veida audits ir nepieciešams, lai sertificētu esošo drošības sistēmu uzņēmumā. Tam nepieciešams neatkarīga eksperta atzinums. Šeit svarīgs ir ne tikai aizsardzības līmenis, bet arī apmierinātība ar atzītiem kvalitātes standartiem.

Tādējādi mēs varam secināt, ka, lai veiktu šāda veida procedūras, jums ir jāizlemj par izpildītāju, kā arī jāizceļ mērķu un mērķu diapazons, pamatojoties uz jūsu pašu vajadzībām un iespējām.