Mnoho podnikateľov sa snaží udržať svoju spoločnosť v tajnosti v tajnosti. Keďže storočie je obdobím vysokej technológie, je dosť ťažké to urobiť. Takmer každý sa snaží chrániť pred únikom podnikových a osobných informácií, nie je však žiadnym tajomstvom, že odborník nebude mať ťažké nájsť potrebné údaje. V súčasnosti existuje veľa metód, ktoré chránia proti takýmto útokom. Na overenie účinnosti tohto bezpečnostného systému je však potrebné vykonať audit informačnej bezpečnosti.
Čo je audit?
Podľa spolkového zákona „o audite“ audit zahŕňa rôzne metódy a metódy, ako aj praktickú implementáciu inšpekcií. Pokiaľ ide o informačnú bezpečnosť podniku, ide o nezávislé posúdenie stavu systému, ako aj úrovne jeho súladu so stanovenými požiadavkami. Skúmajú sa účtovné a daňové správy, hospodárska podpora a finančné a hospodárske činnosti.
Prečo je takáto kontrola nevyhnutná?
Niektorí považujú takúto činnosť za plytvanie peniazmi. Ak sa však včas identifikujú problémy v tomto sektore, dá sa predísť ešte väčším hospodárskym stratám. Ciele auditu informačnej bezpečnosti sú:
- určenie úrovne ochrany a jej uvedenie do potrebného stavu;
- finančné vyrovnanie z hľadiska zabezpečenia dôvernosti organizácie;
- preukázanie uskutočniteľnosti investícií v tomto sektore;
- Získajte maximum z vašich bezpečnostných nákladov
- potvrdenie efektívnosti vnútorných síl, prostriedkov kontroly a ich odrazu v podnikaní.
Ako sa audituje informačná bezpečnosť v podniku?
Komplexný audit informačnej bezpečnosti sa uskutočňuje v niekoľkých etapách. Tento proces je rozdelený na organizačný a inštrumentálny. V rámci oboch častí komplexu sa vypracuje štúdia bezpečnosti podnikového informačného systému zákazníka a potom sa stanoví súlad so zavedenými normami a požiadavkami. Audit informačnej bezpečnosti je rozdelený do nasledujúcich etáp:
- Stanovenie požiadaviek zákazníka a rozsahu práce.
- Štúdium potrebných materiálov a vyvodenie záverov.
- Analýza možných rizík.
- Znalecký posudok o vykonanej práci a vydaní príslušného rozsudku.
Čo je súčasťou prvej fázy auditu informačnej bezpečnosti?
Program auditu informačnej bezpečnosti začína presne objasnením množstva práce, ktorú zákazník potrebuje. Klient vyjadruje svoj názor a účel a sleduje, čo požiadal o odborné posúdenie.
V tejto fáze sa už začína overovanie všeobecných údajov, ktoré poskytuje zákazník. Opisujú sa metódy, ktoré sa budú používať, a plánovaný súbor opatrení.
Hlavnou úlohou v tejto fáze je stanoviť konkrétny cieľ. Klient a organizácia vykonávajúca audit sa musia navzájom porozumieť, dohodnúť sa na spoločnom stanovisku. Po vytvorení provízie, ktorej zloženie vyberajú príslušní odborníci. Požadované technické špecifikácie sú tiež osobitne dohodnuté so zákazníkom.
Zdá sa, že táto udalosť by mala len načrtnúť stav systému, ktorý chráni pred útokmi na informácie. Konečné výsledky testu sa však môžu líšiť.Niektorí majú záujem o kompletné informácie o práci ochranných prostriedkov spoločnosti zákazníka, zatiaľ čo iní sa zaujímajú iba o efektívnosť jednotlivých liniek informačných technológií. Výber metód a prostriedkov posudzovania závisí od požiadaviek. Stanovenie cieľov ovplyvňuje aj ďalší priebeh práce odbornej komisie.
Mimochodom, pracovná skupina sa skladá z odborníkov z dvoch organizácií - spoločnosti vykonávajúcej audit a zamestnancov kontrolovanej organizácie. Táto inštitúcia, rovnako ako nikto iný, pozná zložitosti svojej inštitúcie a môže poskytnúť všetky informácie potrebné na komplexné posúdenie. Vykonávajú aj určitú kontrolu nad prácou zamestnancov vykonávajúcej spoločnosti. Ich stanovisko sa pri vydávaní výsledkov auditu zohľadňuje.
Odborníci spoločnosti vykonávajúci audit informačnej bezpečnosti podniku sa zaoberajú štúdiom predmetových oblastí. Majú primeranú kvalifikáciu, ako aj nezávislý a nestranný názor, sú schopní presnejšie posúdiť stav práce ochranných prostriedkov. Experti vykonávajú svoje činnosti v súlade s plánovaným plánom práce a cieľmi. Vyvíjajú technické procesy a koordinujú výsledky navzájom.
Zadávacie podmienky jasne určujú ciele audítora, určujú metódy jeho vykonávania. Vysvetľuje tiež načasovanie auditu, je dokonca možné, že každá fáza bude mať svoje vlastné obdobie.
V tejto fáze sa nadväzuje kontakt s bezpečnostnou službou kontrolovanej inštitúcie. Audítor sa zaväzuje nezverejňovať výsledky auditu.
Ako prebieha druhá fáza?
Audit informačnej bezpečnosti podniku v druhej etape predstavuje podrobný súbor informácií potrebných na jeho vyhodnotenie. Najprv zvážime všeobecný súbor opatrení, ktorých cieľom je implementácia politiky ochrany osobných údajov.
Keďže v súčasnosti je väčšina údajov duplikovaná v elektronickej podobe alebo vo všeobecnosti spoločnosť vykonáva svoje činnosti iba pomocou informačných technológií, potom test spadá aj do softvéru. Analyzuje sa aj fyzická bezpečnosť.
V tejto fáze sa odborníci zaviazali prehodnotiť a vyhodnotiť, ako je v rámci inštitúcie zabezpečená a kontrolovaná informačná bezpečnosť. Na tento účel je možné analyzovať organizáciu systému ochrany, ako aj technické možnosti a podmienky jeho zabezpečenia. Poslednému bodu sa venuje osobitná pozornosť, pretože podvodníci najčastejšie zistia porušenia ochrany práve prostredníctvom technickej časti. Z tohto dôvodu sa nasledujúce body posudzujú osobitne:
- softvérová štruktúra;
- konfigurácia serverov a sieťových zariadení;
- mechanizmy ochrany súkromia.
Audit informačnej bezpečnosti podniku v tejto fáze sa končí debriefingom a vyjadrením výsledkov práce vykonanej vo forme správy. Základom pre vykonanie nasledujúcich etáp auditu sú zdokumentované závery.
Ako sa analyzujú možné riziká?
Vykonáva sa aj audit informačnej bezpečnosti organizácií s cieľom identifikovať skutočné hrozby a ich dôsledky. Na konci tejto fázy by sa mal vytvoriť zoznam opatrení, ktoré zabránia alebo aspoň minimalizujú možnosť útokov na informácie.
Ak chcete zabrániť porušovaniu ochrany osobných údajov, musíte analyzovať správu prijatú na konci predchádzajúceho kroku. Vďaka tomu je možné určiť, či je možný skutočný prienik do priestoru spoločnosti. Vydáva sa rozhodnutie o spoľahlivosti a výkonnosti existujúcich technických ochranných prostriedkov.
Pretože všetky organizácie majú rôzne oblasti práce, zoznam bezpečnostných požiadaviek nemôže byť totožný.V prípade kontrolovanej inštitúcie sa zoznam zostavuje individuálne.
V tejto fáze sú tiež zistené slabé stránky a klientovi sú poskytnuté informácie o potenciálnych útočníkoch a hroziacich hrozbách. Ten je potrebný, aby sme vedeli, na ktorej strane čakať na trik, a venovať tomu viac pozornosti.
Je tiež dôležité, aby zákazník vedel, aké efektívne budú inovácie a výsledky odbornej komisie.
Analýza možných rizík má tieto ciele:
- klasifikácia informačných zdrojov;
- identifikácia slabých miest v pracovnom postupe;
- prototyp možného scammera.
Analýza a audit vám umožňujú určiť, ako je to možné, úspech informačných útokov. Z tohto dôvodu sa hodnotí kritickosť slabých stránok a spôsoby ich použitia na nezákonné účely.
Aká je záverečná fáza auditu?
Záverečná fáza je charakterizovaná napísaním výsledkov práce. Dokument, ktorý vychádza, sa nazýva audítorská správa. Konsoliduje sa záver o všeobecnej úrovni bezpečnosti auditovanej spoločnosti. Samostatne je uvedený popis účinnosti systému informačných technológií vo vzťahu k bezpečnosti. Správa poskytuje návod na potenciálne hrozby a popisuje model možného útočníka. Vysvetľuje tiež možnosť neoprávneného vniknutia z dôvodu vnútorných a vonkajších faktorov.
Normy auditu informačnej bezpečnosti poskytujú nielen hodnotenie stavu, ale aj vydávanie odporúčaní odbornej komisie o potrebných činnostiach. Sú to odborníci, ktorí vykonali komplexnú prácu, analyzovali informačnú infraštruktúru a môžu povedať, čo je potrebné urobiť, aby sa chránili pred krádežou informácií. Označia miesta, ktoré je potrebné posilniť. Odborníci tiež poskytujú poradenstvo v oblasti technologickej podpory, tj zariadení, serverov a brán firewall.
Odporúčania sú tie zmeny, ktoré je potrebné vykonať v konfigurácii sieťových zariadení a serverov. Pokyny sa možno budú týkať priamo vybraných bezpečnostných metód. V prípade potreby odborníci stanovia súbor opatrení zameraných na ďalšie posilnenie mechanizmov, ktoré poskytujú ochranu.
Spoločnosť by mala tiež vykonávať osobitné informačné činnosti a vypracovať politiku zameranú na dôvernosť. Možno by sa mali vykonať bezpečnostné reformy. Dôležitým bodom je regulačný a technický základ, ktorý je povinný skonsolidovať ustanovenia o bezpečnosti spoločnosti. Tím musí byť riadne poučený. Oblasti vplyvu a pridelená zodpovednosť sú zdieľané medzi všetkými zamestnancami. Ak je to vhodné, je lepšie viesť kurz na zlepšenie vzdelávania tímu v oblasti informačnej bezpečnosti.
Aké druhy auditu existujú?
Audit informačnej bezpečnosti podniku môže byť dvoch typov. V závislosti od zdroja tohto procesu je možné rozlišovať tieto typy:
- Vonkajšia forma. Líši sa tým, že je k dispozícii. Druhou vlastnosťou je, že sa vyrába prostredníctvom nezávislých a nestranných odborníkov. Ak má odporúčajúcu povahu, nariadi to majiteľ inštitúcie. V niektorých prípadoch sa vyžaduje externý audit. Môže to byť spôsobené typom organizácie, ako aj mimoriadnymi okolnosťami. V druhom prípade iniciátormi takéhoto auditu sú spravidla orgány činné v trestnom konaní.
- Vnútorná forma. Vychádza zo špecializovaného ustanovenia, ktoré predpisuje vykonanie auditu. Na neustále monitorovanie systému a identifikáciu slabých miest je potrebný vnútorný audit informačnej bezpečnosti.Je to zoznam udalostí, ktoré sa konajú v stanovenom časovom období. Na túto prácu sa najčastejšie zriaďuje špeciálne oddelenie alebo poverený zamestnanec. Diagnostikuje stav ochranných prostriedkov.
Ako sa vykonáva aktívny audit?
V závislosti od toho, čo zákazník sleduje, sa vyberajú aj metódy auditu bezpečnosti informácií. Jedným z najbežnejších spôsobov, ako študovať úroveň bezpečnosti, je aktívny audit. Je to vyhlásenie o skutočnom útoku hackerov.
Výhodou tejto metódy je, že umožňuje najrealistickejšiu simuláciu možnosti hrozby. Vďaka aktívnemu auditu môžete pochopiť, ako sa bude podobná situácia v živote vyvíjať. Táto metóda sa nazýva aj inštrumentálna analýza bezpečnosti.
Podstatou aktívneho auditu je implementácia (pomocou špeciálneho softvéru) pokusu o neoprávnené vniknutie do informačného systému. Zároveň musí byť ochranné vybavenie v stave plnej pripravenosti. Vďaka tomu je možné vyhodnotiť ich prácu v takom prípade. Osobe, ktorá vykonáva umelý hackerský útok, sa poskytne minimum informácií. Je to potrebné na obnovenie najrealistickejších podmienok.
Pokúšajú sa vystaviť systém čo najväčšiemu počtu útokov. Pomocou rôznych metód môžete vyhodnotiť metódy hackerstva, ktorým je systém najviac vystavený. To, samozrejme, závisí od kvalifikácie odborníka, ktorý túto prácu vykonáva. Jeho činy by však nemali mať ničivý charakter.
Nakoniec expert vygeneruje správu o slabých stránkach systému a o informáciách, ktoré sú najdostupnejšie. Poskytuje tiež odporúčania týkajúce sa možných inovácií, ktoré by mali zaručiť zvýšenú bezpečnosť na primeranú úroveň.
Čo je to odborný audit?
Na zistenie súladu spoločnosti so stanovenými požiadavkami sa vykonáva aj audit informačnej bezpečnosti. Príklad takejto úlohy je možné vidieť v odbornej metóde. Spočíva v porovnávacom hodnotení so zdrojovými údajmi.
Táto veľmi ideálna ochranná práca môže byť založená na rôznych zdrojoch. Klient si sám môže stanoviť požiadavky a stanoviť ciele. Vedúci spoločnosti môže chcieť vedieť, do akej miery je úroveň bezpečnosti jeho organizácie od toho, čo chce.
Prototyp, proti ktorému sa vykoná porovnávacie hodnotenie, môže byť všeobecne uznávaným medzinárodným štandardom.
Podľa spolkového zákona „o audite“ má vykonávajúca spoločnosť dostatočné oprávnenie na zhromažďovanie relevantných informácií a dospela k záveru, že existujúce opatrenia na zabezpečenie informačnej bezpečnosti sú dostatočné. Hodnotí sa tiež súlad regulačných dokumentov a opatrení zamestnancov v súvislosti s prevádzkou ochranných prostriedkov.
Čo je kontrola súladu?
Tento druh je veľmi podobný predchádzajúcemu, pretože jeho podstatou je aj porovnávacie hodnotenie. Ale iba v tomto prípade nie je ideálny prototyp abstraktným konceptom, ale jasnými požiadavkami zakotvenými v regulačnej a technickej dokumentácii a normách. Určuje však aj stupeň súladu s úrovňou stanovenou v zásadách ochrany osobných údajov spoločnosti. Bez dodržania tohto okamihu nemôžeme hovoriť o ďalšej práci.
Tento typ auditu je najčastejšie potrebný na certifikáciu existujúceho bezpečnostného systému v podniku. Vyžaduje si to stanovisko nezávislého odborníka. Tu je dôležitá nielen úroveň ochrany, ale aj jej spokojnosť s uznávanými normami kvality.
Môžeme teda vyvodiť záver, že na vykonanie tohto druhu postupu musíte rozhodnúť o exekútorovi a tiež zdôrazniť rozsah cieľov a cieľov na základe vašich vlastných potrieb a schopností.