Audit keselamatan maklumat perusahaan: konsep, piawaian, contohnya

Ramai ahli perniagaan cuba mengekalkan rahsia syarikat rahsia mereka. Sejak abad ini adalah zaman teknologi tinggi, agak sukar untuk dilakukan. Hampir semua orang cuba untuk melindungi diri mereka daripada kebocoran maklumat korporat dan peribadi, tetapi tidak rahsia lagi bahawa tidak sukar bagi seorang profesional untuk mengetahui data yang diperlukan. Pada masa ini, terdapat banyak kaedah yang melindungi terhadap serangan tersebut. Tetapi untuk mengesahkan keberkesanan sistem keselamatan sedemikian, adalah perlu untuk menjalankan audit keselamatan maklumat.

Apakah audit?

Menurut Undang-Undang Persekutuan "Pada Pengauditan", pengauditan merangkumi pelbagai kaedah dan kaedah, serta pelaksanaan pemeriksaan praktikal. Mengenai keselamatan maklumat perusahaan, ia adalah penilaian bebas mengenai keadaan sistem, serta tahap pematuhannya terhadap keperluan yang ditetapkan. Peperiksaan dijalankan mengenai laporan perakaunan dan cukai, sokongan ekonomi dan aktiviti kewangan dan ekonomi.

Kenapa semacam itu diperlukan?

Sesetengah menganggap aktiviti sedemikian sebagai pembaziran wang. Bagaimanapun, dengan mengenal pasti masalah dalam sektor ini pada masa yang tepat, kerugian ekonomi yang lebih besar dapat dicegah. Objektif audit keselamatan maklumat adalah:

• penentuan tahap perlindungan dan membawanya kepada yang perlu;
• penyelesaian kewangan dari segi memastikan kerahsiaan organisasi;
• demonstrasi kelayakan melabur dalam sektor ini;
• Mendapatkan yang terbaik daripada kos keselamatan anda
• pengesahan keberkesanan pasukan dalaman, cara kawalan dan pantulan mereka terhadap kelakuan perniagaan.

Bagaimanakah keselamatan maklumat yang diaudit di perusahaan?

Audit menyeluruh mengenai keselamatan maklumat berlaku dalam beberapa peringkat. Proses ini dibahagikan kepada organisasi dan instrumental. Di dalam kerangka kedua-dua bahagian kompleks ini, kajian dibuat tentang keselamatan sistem maklumat korporat pelanggan, dan kemudian penentuan dibuat dari kepatuhan terhadap standard dan keperluan yang ditetapkan. Audit keselamatan maklumat dibahagikan kepada peringkat berikut:

1. Penentuan keperluan pelanggan dan skop kerja.
2. Mempelajari bahan-bahan yang diperlukan dan membuat kesimpulan.
3. Analisis kemungkinan risiko.
4. Pendapat ahli mengenai kerja yang dilakukan dan pengeluaran keputusan yang sesuai.

Apakah yang termasuk dalam peringkat pertama audit keselamatan maklumat?

Program audit keselamatan maklumat bermula tepat dengan menjelaskan jumlah kerja yang diperlukan oleh pelanggan. Pelanggan menyatakan pendapat dan tujuannya, yang mana ia memohon untuk penilaian ahli.

Pada peringkat ini, pengesahan data umum yang disediakan pelanggan sudah bermula. Dia menggambarkan kaedah yang akan digunakan, dan langkah-langkah yang dirancang.

Tugas utama pada tahap ini adalah menetapkan matlamat tertentu. Pelanggan dan organisasi yang menjalankan audit perlu memahami satu sama lain, bersetuju dengan pendapat yang sama. Selepas komisen dibentuk, komposisinya dipilih oleh pakar-pakar yang sesuai. Spesifikasi teknikal yang diperlukan juga dipersetujui secara berasingan dengan pelanggan.

Nampaknya peristiwa ini hanya akan menggariskan keadaan sistem yang melindungi daripada serangan maklumat. Tetapi keputusan akhir ujian mungkin berbeza.Ada yang berminat dengan maklumat lengkap mengenai kerja peralatan pelindung syarikat pelanggan, sementara yang lain hanya tertarik dengan kecekapan lini teknologi maklumat individu. Pilihan kaedah dan cara penilaian bergantung kepada keperluan. Penentuan matlamat juga memberi kesan kepada kerja selanjutnya dari suruhanjaya pakar.

Dengan cara ini, kumpulan kerja terdiri daripada pakar dari dua organisasi - syarikat yang menjalankan audit, dan pekerja organisasi beraudit. Malah, yang terakhir, seperti tidak ada orang lain, mengetahui selok-belok institusi mereka dan dapat memberikan semua maklumat yang diperlukan untuk penilaian menyeluruh. Mereka juga menjalankan kawalan ke atas kerja-kerja kakitangan syarikat yang melaksanakan. Pendapat mereka diambil kira apabila mengeluarkan keputusan audit.

Pakar-pakar syarikat yang menjalankan pengauditan keselamatan maklumat perusahaan terlibat dalam kajian bidang subjek. Mempunyai tahap kelayakan yang sesuai, serta pendapat bebas dan tidak berat sebelah, mereka dapat menilai dengan lebih tepat keadaan kerja peralatan pelindung. Pakar menjalankan aktiviti mereka selaras dengan rancangan dan objektif kerja yang dirancang. Mereka membangunkan proses teknikal dan menyelaraskan hasil antara satu sama lain.

Terma rujukan dengan jelas membetulkan matlamat juruaudit, menentukan kaedah pelaksanaannya. Ia juga menjelaskan masa audit, bahkan mungkin setiap peringkat akan mempunyai tempoh sendiri.

Pada peringkat ini, hubungan dibuat dengan perkhidmatan keselamatan institusi beraudit. Juruaudit memberikan kewajipan untuk tidak mendedahkan hasil audit.

Bagaimana pelaksanaan peringkat kedua?

Pengauditan keselamatan maklumat sesebuah perusahaan di peringkat kedua adalah koleksi maklumat terperinci yang diperlukan untuk menilainya. Untuk memulakan, kami mempertimbangkan satu set langkah am yang bertujuan untuk melaksanakan dasar privasi.

Sejak sekarang kebanyakan data diduplikasi dalam bentuk elektronik, atau secara umum syarikat menjalankan aktivitinya hanya dengan bantuan teknologi maklumat, maka perisian juga berada di bawah ujian. Keselamatan fizikal juga sedang dianalisis.

Pada peringkat ini, para pakar komited untuk mengkaji semula dan menilai bagaimana keselamatan maklumat dipastikan dan diaudit dalam institusi tersebut. Untuk tujuan ini, organisasi sistem perlindungan, serta keupayaan teknikal dan syarat untuk peruntukannya, memberi pinjaman kepada analisa. Titik terakhir diberi perhatian khusus, kerana penipu paling sering menemui pelanggaran dalam perlindungan dengan tepat menerusi bahagian teknikal. Atas sebab ini, perkara berikut dianggap secara berasingan:

• struktur perisian;
• konfigurasi pelayan dan peranti rangkaian;
• mekanisme privasi.

Pengauditan keselamatan maklumat perusahaan pada peringkat ini berakhir dengan pembahasan dan ekspresi hasil kerja yang dilakukan dalam bentuk laporan. Ini adalah kesimpulan yang didokumenkan yang membentuk asas untuk pelaksanaan peringkat berikut audit.

Bagaimana risiko dianalisis?

Audit keselamatan maklumat pertubuhan juga dijalankan untuk mengenal pasti ancaman sebenar dan akibatnya. Pada akhir tahap ini, senarai langkah-langkah perlu dibentuk yang akan mengelakkan atau sekurang-kurangnya meminimumkan kemungkinan serangan maklumat.

Untuk mengelakkan pelanggaran privasi, anda perlu menganalisis laporan yang diterima pada akhir langkah sebelumnya. Terima kasih kepada ini, adalah mungkin untuk menentukan sama ada pencerobohan sebenar ke dalam ruang syarikat mungkin. Keputusan dibuat atas kebolehpercayaan dan prestasi peralatan pelindung teknikal yang ada.

Oleh kerana semua organisasi mempunyai bidang pekerjaan yang berlainan, senarai keperluan keselamatan tidak boleh sama.Bagi institusi yang diaudit, senarai dikembangkan secara individu.

Kelemahan juga dikenalpasti pada tahap ini, dan klien diberikan maklumat tentang penyerang yang berpotensi dan ancaman yang akan datang. Yang terakhir adalah perlu untuk mengetahui sisi mana untuk menunggu silap mata, dan untuk memberi perhatian lebih kepada ini.

Ia juga penting bagi pelanggan untuk mengetahui seberapa berkesan inovasi dan hasil komisen pakar.

Analisis kemungkinan risiko mempunyai objektif berikut:

• klasifikasi sumber maklumat;
• pengenalpastian kelemahan dalam aliran kerja;
• prototaip kemungkinan scammer.

Analisis dan audit membolehkan anda menentukan sejauh mana kejayaan serangan maklumat. Untuk ini, kritikal kelemahan dan cara menggunakannya untuk tujuan haram dinilai.

Apakah peringkat akhir audit?

Peringkat akhir dicirikan oleh penulisan hasil kerja. Dokumen yang keluar disebut laporan audit. Ia menyatukan kesimpulan tentang tahap keselamatan umum syarikat yang diaudit. Secara berasingan, terdapat penerangan tentang keberkesanan sistem teknologi maklumat berhubung keselamatan. Laporan ini menyediakan panduan tentang potensi ancaman dan menggambarkan model penyerang yang mungkin. Ia juga menjelaskan kemungkinan gangguan yang tidak dibenarkan kerana faktor dalaman dan luaran.

Piawaian audit keselamatan maklumat tidak hanya memberi penilaian tentang status, tetapi juga memberi cadangan oleh komisi pakar mengenai kegiatan yang diperlukan. Ia adalah pakar yang melakukan kerja komprehensif, menganalisis infrastruktur maklumat, yang boleh mengatakan apa yang perlu dilakukan untuk melindungi diri mereka daripada pencurian maklumat. Mereka akan menunjukkan tempat yang perlu dikukuhkan. Pakar juga memberi panduan mengenai sokongan teknologi, iaitu peralatan, pelayan, dan firewall.

Cadangan adalah perubahan yang perlu dilakukan dalam konfigurasi peranti rangkaian dan pelayan. Mungkin arahan akan berkaitan secara langsung dengan kaedah keselamatan yang dipilih. Jika perlu, pakar akan menetapkan satu set langkah yang bertujuan untuk mengukuhkan lagi mekanisme yang memberi perlindungan.

Syarikat itu juga harus menjalankan kerja jangkauan khas, dan membangunkan dasar yang bertujuan untuk kerahsiaan. Mungkin pembaharuan keselamatan perlu dilaksanakan. Satu perkara penting ialah asas kawal selia dan teknikal, yang diwajibkan untuk menyatukan peruntukan mengenai keselamatan syarikat. Pasukan mesti diarahkan dengan betul. Kepentingan pengaruh dan tanggungjawab yang diberikan adalah dikongsi di kalangan semua pekerja. Sekiranya ini sesuai, adalah lebih baik untuk menjalankan kursus untuk meningkatkan pendidikan pasukan mengenai keselamatan maklumat.

Apakah jenis audit yang wujud?

Audit keselamatan maklumat sesuatu perusahaan boleh terdiri daripada dua jenis. Bergantung pada sumber proses ini, jenis berikut boleh dibezakan:

1. Borang luaran. Ia berbeza di mana ia boleh guna. Ciri kedua ialah ia dihasilkan melalui pakar bebas dan tidak berat sebelah. Jika ia adalah sifat syor, maka ia diperintahkan oleh pemilik institusi. Dalam sesetengah kes, audit luaran diperlukan. Ini mungkin disebabkan oleh jenis organisasi, serta keadaan luar biasa. Dalam kes yang kedua, pemula audit sedemikian, sebagai peraturan, adalah agensi penguatkuasaan undang-undang.
2. Bentuk dalaman. Ia berdasarkan peruntukan khusus yang menetapkan kelakuan audit. Audit dalaman keselamatan maklumat diperlukan untuk sentiasa memantau sistem dan mengenalpasti kelemahan.Ia adalah senarai peristiwa yang berlaku dalam tempoh tertentu. Untuk kerja ini, selalunya jabatan khas atau pekerja yang sah diwujudkan. Dia mendiagnosis keadaan peralatan pelindung.

Bagaimanakah audit aktif dijalankan?

Bergantung pada apa yang dikehendaki pelanggan, kaedah-kaedah audit keselamatan maklumat juga dipilih. Salah satu cara yang paling biasa untuk mengkaji tahap keselamatan adalah audit aktif. Ia adalah pernyataan serangan penggodam sebenar.

Kelebihan kaedah ini adalah membolehkan simulasi kemungkinan yang paling realistik kemungkinan ancaman. Terima kasih kepada audit yang aktif, anda boleh memahami bagaimana keadaan yang sama akan berkembang dalam hidup. Kaedah ini juga dipanggil analisis keselamatan instrumental.

Inti audit aktif ialah pelaksanaan (menggunakan perisian khas) percubaan pencerobohan yang tidak dibenarkan ke dalam sistem maklumat. Pada masa yang sama, peralatan pelindung mesti berada dalam kesediaan penuh. Terima kasih kepada ini, adalah mungkin untuk menilai kerja mereka dalam kes sedemikian. Seseorang yang menjalankan serangan penggodam tiruan disediakan dengan maklumat minimum. Ini diperlukan untuk mencipta keadaan yang paling realistik.

Mereka cuba untuk mendedahkan sistem untuk serangan sebanyak mungkin. Menggunakan kaedah yang berbeza, anda boleh menilai kaedah penggodam yang mana sistem paling terdedah. Ini sememangnya bergantung kepada kelayakan pakar yang menjalankan kerja ini. Tetapi perbuatannya tidak boleh bersifat merosakkan.

Pada akhirnya, pakar menghasilkan laporan mengenai kelemahan sistem dan maklumat yang paling mudah diakses. Ia juga menyediakan cadangan mengenai peningkatan yang mungkin, yang harus menjamin peningkatan keselamatan ke tahap yang sepatutnya.

Apakah audit pakar?

Untuk menentukan pematuhan syarikat dengan keperluan yang ditetapkan, audit keselamatan maklumat juga dijalankan. Contoh tugas sedemikian dapat dilihat dalam kaedah pakar. Ia terdiri daripada penilaian perbandingan dengan data sumber.

Kerja perlindungan yang sangat ideal ini boleh berdasarkan pelbagai sumber. Pelanggan sendiri boleh menetapkan keperluan dan menetapkan matlamat. Ketua syarikat mungkin ingin mengetahui sejauh mana tahap keselamatan organisasinya dari apa yang dia inginkan.

Prototaip yang mana penilaian perbandingan akan dilaksanakan secara umumnya boleh diiktiraf piawaian antarabangsa.

Menurut Undang-Undang Persekutuan "Pada Pengauditan", syarikat pelaksana mempunyai kuasa yang mencukupi untuk mengumpulkan maklumat yang relevan dan menyimpulkan bahawa langkah-langkah yang ada untuk memastikan keselamatan maklumat adalah mencukupi. Konsistensi dokumen pengawalseliaan dan tindakan pekerja mengenai operasi peralatan pelindung juga dinilai.

Apakah pemeriksaan kepatuhan?

Spesies ini sangat mirip dengan yang terdahulu, kerana intinya juga merupakan penilaian perbandingan. Tetapi hanya dalam kes ini, prototaip ideal bukanlah konsep abstrak, tetapi keperluan jelas yang termaktub dalam dokumentasi dan dokumentasi dan piawaian teknikal. Walau bagaimanapun, ia juga menentukan tahap pematuhan dengan tahap yang ditetapkan oleh dasar privasi syarikat. Tanpa mematuhi masa ini, kita tidak boleh bercakap tentang kerja selanjutnya.

Selalunya, jenis audit diperlukan untuk pengesahan sistem keselamatan sedia ada di perusahaan. Ini memerlukan pandangan seorang pakar bebas. Di sini, bukan sahaja tahap perlindungan adalah penting, tetapi juga kepuasannya dengan piawaian kualiti yang diiktiraf.

Oleh itu, kita dapat membuat kesimpulan bahawa untuk menjalankan prosedur seperti ini, anda perlu membuat keputusan tentang pelaksana, dan juga menyerlahkan pelbagai matlamat dan objektif berdasarkan keperluan dan keupayaan anda sendiri.