Maraming mga negosyante ang nagsisikap na lihim ang kanilang kumpanya. Dahil ang siglo ay ang edad ng mataas na teknolohiya, medyo mahirap gawin. Halos lahat ay sinusubukan na protektahan ang kanilang sarili mula sa pagtagas ng korporasyon at personal na impormasyon, ngunit hindi lihim na hindi ito magiging mahirap para sa isang propesyonal upang malaman ang kinakailangang data. Sa ngayon, maraming mga pamamaraan na nagpoprotekta laban sa mga naturang pag-atake. Ngunit upang mapatunayan ang pagiging epektibo ng tulad ng isang sistema ng seguridad, kinakailangan upang magsagawa ng isang audit sa seguridad ng impormasyon.
Ano ang isang audit?
Ayon sa Federal Law na "On Auditing", ang isang pag-audit ay nagsasama ng iba't ibang mga pamamaraan at pamamaraan, pati na rin ang praktikal na pagpapatupad ng mga inspeksyon. Tungkol sa seguridad ng impormasyon ng negosyo, ito ay isang independiyenteng pagtatasa ng estado ng system, pati na rin ang antas ng pagsunod nito sa itinatag na mga kinakailangan. Isinasagawa ang mga pagsusuri tungkol sa pag-uulat ng accounting at buwis, suporta sa ekonomiya at mga aktibidad sa pananalapi at pang-ekonomiya.
Bakit kinakailangan ang ganoong tseke?
Itinuturing ng ilan na ang gayong aktibidad ay isang pag-aaksaya ng pera. Gayunpaman, sa pamamagitan ng pagkilala ng mga problema sa sektor na ito sa isang napapanahong paraan, kahit na ang mas malaking pagkalugi sa ekonomiya ay maiiwasan. Ang mga layunin ng isang pag-audit ng impormasyon ng seguridad ay:
- pagpapasiya ng antas ng proteksyon at dalhin ito sa kinakailangan;
- pinansyal na pag-areglo sa mga tuntunin ng pagtiyak ng pagiging kompidensiyal ng samahan;
- pagpapakita ng pagiging posible ng pamumuhunan sa sektor na ito;
- Ang pagkuha ng higit sa iyong mga gastos sa seguridad
- kumpirmasyon ng pagiging epektibo ng mga panloob na pwersa, paraan ng kontrol at kanilang pagmuni-muni sa pagsasagawa ng negosyo.
Paano nasuri ang seguridad ng impormasyon sa isang negosyo?
Ang isang komprehensibong pag-audit ng seguridad ng impormasyon ay nagaganap sa maraming yugto. Ang proseso ay nahahati sa organisasyon at instrumental. Sa loob ng balangkas ng parehong mga bahagi ng kumplikado, ang isang pag-aaral ay ginawa ng seguridad ng sistema ng impormasyon sa korporasyon ng customer, at pagkatapos ay isang pagpapasiya ay ginawa ng pagsunod sa mga itinatag na pamantayan at mga kinakailangan. Ang isang pag-audit ng impormasyon ng seguridad ay nahahati sa mga sumusunod na yugto:
- Ang pagpapasiya ng mga kinakailangan ng customer at saklaw ng trabaho.
- Pag-aaral ng mga kinakailangang materyales at paggawa ng mga konklusyon.
- Pagsusuri ng mga posibleng panganib.
- Dalubhasa ang opinyon sa gawaing nagawa at ang pagpapalabas ng naaangkop na hatol.
Ano ang kasama sa unang yugto ng isang audit sa seguridad ng impormasyon?
Ang programa ng pag-audit ng impormasyon ng seguridad ay nagsisimula nang tumpak sa paglilinaw ng halaga ng trabaho na kinakailangan ng customer. Ipinapahayag ng kliyente ang kanyang opinyon at layunin, na hinahabol kung saan siya nag-apply para sa isang pagtatasa ng dalubhasa.
Sa yugtong ito, ang pagpapatunay ng pangkalahatang data na ibinibigay ng customer ay nagsisimula na. Inilarawan siya sa mga pamamaraan na gagamitin, at ang nakaplanong hanay ng mga hakbang.
Ang pangunahing gawain sa yugtong ito ay upang magtakda ng isang tukoy na layunin. Ang kliyente at ang samahan na nagsasagawa ng pag-audit ay dapat maunawaan ang bawat isa, sumasang-ayon sa isang karaniwang opinyon. Matapos mabuo ang komisyon, ang komposisyon ng kung saan ay pinili ng naaangkop na mga espesyalista. Ang kinakailangang mga pagtutukoy sa teknikal ay hiwalay din na sumang-ayon sa customer.
Tila na ang kaganapang ito ay dapat lamang ibalangkas ang estado ng system na nagpoprotekta laban sa mga pag-atake sa impormasyon. Ngunit maaaring magkakaiba ang pangwakas na mga resulta ng pagsubok.Ang ilan ay interesado sa kumpletong impormasyon tungkol sa gawain ng proteksiyon na kagamitan ng kumpanya ng customer, habang ang iba ay interesado lamang sa kahusayan ng mga indibidwal na linya ng teknolohiya ng impormasyon. Ang pagpili ng mga pamamaraan at paraan ng pagtatasa ay nakasalalay sa mga kinakailangan. Ang setting ng layunin ay nakakaapekto sa karagdagang kurso ng trabaho ng komisyon ng dalubhasa.
Sa pamamagitan ng paraan, ang nagtatrabaho na grupo ay binubuo ng mga espesyalista mula sa dalawang mga organisasyon - ang kumpanya na nagsasagawa ng pag-audit, at ang mga empleyado ng samahan na na-awdit. Sa katunayan, ang huli, tulad ng walang ibang tao, ay nakakaalam ng mga pagkasalimuot ng kanilang institusyon at maaaring magbigay ng lahat ng impormasyon na kinakailangan para sa isang komprehensibong pagtatasa. Nagsasagawa rin sila ng isang uri ng kontrol sa gawain ng mga empleyado ng executive executive. Ang kanilang opinyon ay isinasaalang-alang kapag naglalabas ng mga resulta ng pag-audit.
Ang mga eksperto ng kumpanya na nagsasagawa ng isang pag-audit ng seguridad ng impormasyon ng negosyo ay nakikibahagi sa pag-aaral ng mga lugar na sakop. Ang pagkakaroon ng isang naaangkop na antas ng kwalipikasyon, pati na rin ang isang independiyenteng at walang pinapanigan na opinyon, nagagawa nilang mas tumpak na masuri ang estado ng trabaho ng mga kagamitan sa proteksiyon. Isinasagawa ng mga eksperto ang kanilang mga aktibidad alinsunod sa nakaplanong plano at layunin ng trabaho. Bumubuo sila ng mga teknikal na proseso at nakikipag-ugnay sa mga resulta sa bawat isa.
Malinaw na inaayos ng mga tuntunin ng sanggunian ang mga layunin ng auditor, tinutukoy ang mga pamamaraan para sa pagpapatupad nito. Binubuo din nito ang tiyempo ng pag-audit, posible na ang bawat yugto ay magkakaroon ng sariling panahon.
Sa yugtong ito, ang pakikipag-ugnay ay ginawa gamit ang serbisyo ng seguridad ng institusyong na-awdit. Ang auditor ay nagbibigay ng isang obligasyon na hindi ibunyag ang mga resulta ng pag-audit.
Paano ang pagpapatupad ng ikalawang yugto?
Ang isang pag-audit ng seguridad ng impormasyon ng isang negosyo sa ikalawang yugto ay isang detalyadong koleksyon ng impormasyon na kinakailangan para sa pagsusuri nito. Upang magsimula, isinasaalang-alang namin ang isang pangkalahatang hanay ng mga hakbang na naglalayong ipatupad ang isang patakaran sa privacy.
Dahil ngayon ang karamihan sa data ay doble sa electronic form, o sa pangkalahatan ang kumpanya ay isinasagawa lamang ang mga aktibidad nito sa tulong ng teknolohiya ng impormasyon, kung gayon ang software ay nahuhulog din sa ilalim ng pagsubok. Nasusuri din ang security security.
Sa yugtong ito, ang mga espesyalista ay nakatuon upang suriin at suriin kung paano nakasisiguro at nasuri ang seguridad ng impormasyon sa loob ng institusyon. Hanggang dito, ang samahan ng sistema ng proteksyon, pati na rin ang mga kakayahan sa teknikal at kundisyon para sa pagkakaloob nito, ay nagpapahiram mismo sa pagsusuri. Ang huling punto ay binibigyan ng espesyal na pansin, dahil ang mga fraudsters ay madalas na makahanap ng mga paglabag sa proteksyon nang tumpak sa pamamagitan ng teknikal na bahagi. Para sa kadahilanang ito, ang mga sumusunod na puntos ay itinuturing na hiwalay:
- istraktura ng software;
- pagsasaayos ng mga server at aparato sa network;
- mekanismo ng privacy.
Ang isang pag-audit ng seguridad ng impormasyon ng negosyo sa yugtong ito ay nagtatapos sa isang pagdidiskusyon at pagpapahayag ng mga resulta ng gawa na ginawa sa anyo ng isang ulat. Ito ang mga dokumentong konklusyon na bumubuo ng batayan para sa pagpapatupad ng mga sumusunod na yugto ng pag-audit.
Paano nasuri ang mga posibleng panganib?
Ang isang pag-audit ng impormasyon ng seguridad ng mga organisasyon ay isinasagawa din upang makilala ang tunay na mga banta at ang kanilang mga kahihinatnan. Sa pagtatapos ng yugtong ito, ang isang listahan ng mga hakbang ay dapat mabuo na maiiwasan o hindi bababa sa mabawasan ang posibilidad ng mga pag-atake ng impormasyon.
Upang maiwasan ang mga paglabag sa privacy, kailangan mong pag-aralan ang ulat na natanggap sa pagtatapos ng nakaraang hakbang. Salamat sa ito, posible na matukoy kung posible ang isang tunay na panghihimasok sa puwang ng kumpanya. Ang isang hatol ay inisyu sa pagiging maaasahan at pagganap ng umiiral na teknikal na kagamitan sa proteksiyon.
Yamang ang lahat ng mga organisasyon ay may iba't ibang mga lugar ng trabaho, ang listahan ng mga kinakailangan sa seguridad ay hindi maaaring magkapareho.Para sa institusyong na-awdit, isang listahan ang isa-isa na binuo.
Ang mga kahinaan ay nakilala din sa yugtong ito, at ang kliyente ay binigyan ng impormasyon tungkol sa mga potensyal na umaatake at nagbabanta ng mga banta. Ang huli ay kinakailangan upang malaman kung aling panig ang maghihintay sa lansangan, at mabigyan pansin ang tungkol dito.
Mahalaga rin para sa customer na malaman kung gaano epektibo ang mga pagbabago at resulta ng ekspertong eksperto.
Ang pagsusuri ng mga posibleng panganib ay may mga sumusunod na layunin:
- pag-uuri ng mga mapagkukunan ng impormasyon;
- pagkilala ng mga kahinaan sa daloy ng trabaho;
- prototype ng isang posibleng scammer.
Pinapayagan ka ng pagtatasa at pag-audit sa iyo upang matukoy kung paano posible ang tagumpay ng mga pag-atake ng impormasyon. Para sa mga ito, ang kritikal ng mga kahinaan at paraan ng paggamit nito para sa mga iligal na layunin ay nasuri.
Ano ang pangwakas na yugto ng pag-audit?
Ang pangwakas na yugto ay nailalarawan sa pamamagitan ng pagsulat ng mga resulta ng akda. Ang dokumento na lalabas ay tinatawag na isang ulat sa pag-audit. Pinagsama nito ang konklusyon tungkol sa pangkalahatang antas ng seguridad ng kumpanya na na-awdit. Hiwalay, mayroong isang paglalarawan ng pagiging epektibo ng sistema ng teknolohiya ng impormasyon na may kaugnayan sa seguridad. Ang ulat ay nagbibigay ng gabay sa mga potensyal na banta at inilarawan ang isang modelo ng isang posibleng atake. Inilalabas din nito ang posibilidad ng hindi awtorisadong panghihimasok dahil sa panloob at panlabas na mga kadahilanan.
Ang mga pamantayan sa pag-audit ng impormasyon ng seguridad ay nagbibigay hindi lamang isang pagtatasa ng katayuan, kundi pati na rin ang pagbibigay ng mga rekomendasyon ng isang dalubhasang komisyon sa mga kinakailangang gawain. Ito ay ang mga dalubhasa na nagsagawa ng komprehensibong gawain, sinuri ang impormasyong impormasyong, na maaaring sabihin kung ano ang kailangang gawin upang maprotektahan ang kanilang sarili sa pagnanakaw ng impormasyon. Ipahiwatig nila ang mga lugar na kailangang palakasin. Nagbibigay din ang mga eksperto ng gabay sa suporta sa teknolohiya, iyon ay, kagamitan, server, at firewall.
Ang mga rekomendasyon ay mga pagbabago na kailangang gawin sa pagsasaayos ng mga aparato sa network at server. Marahil ay maiuugnay ang mga tagubilin nang direkta sa mga napiling pamamaraan ng kaligtasan. Kung kinakailangan, magrereseta ang mga eksperto ng isang hanay ng mga hakbang na naglalayong palakasin ang mga mekanismo na nagbibigay proteksyon.
Ang kumpanya ay dapat ding magsagawa ng espesyal na gawaing outreach, at bumuo ng isang patakaran na naglalayong kumpidensyal. Marahil ay dapat ipatupad ang mga reporma sa seguridad. Ang isang mahalagang punto ay ang regulasyon at teknikal na base, na obligadong pagsama-samahin ang mga probisyon sa kaligtasan ng kumpanya. Ang pangkat ay dapat na maituro nang maayos. Ang mga sphere ng impluwensya at itinalagang responsibilidad ay ibinahagi sa lahat ng mga empleyado. Kung angkop ito, mas mahusay na magsagawa ng isang kurso upang mapagbuti ang edukasyon ng koponan patungkol sa seguridad ng impormasyon.
Anong mga uri ng pag-audit ang umiiral?
Ang pag-audit ng seguridad ng impormasyon ng isang negosyo ay maaaring may dalawang uri. Depende sa mapagkukunan ng prosesong ito, ang mga sumusunod na uri ay maaaring makilala:
- Panlabas na form. Nag-iiba ito sa ito ay maaaring itapon. Ang pangalawang tampok na ito ay ginawa sa pamamagitan ng mga independiyenteng at walang pinapanigan na mga eksperto. Kung ito ay isang likas na rekomendasyon, pagkatapos ay iniutos ito ng may-ari ng institusyon. Sa ilang mga kaso, kinakailangan ang isang panlabas na pag-audit. Maaaring ito ay dahil sa uri ng samahan, pati na rin ang mga pambihirang kalagayan. Sa huling kaso, ang mga nagsisimula ng naturang pag-audit, bilang panuntunan, ay mga ahensya ng pagpapatupad ng batas.
- Pormularyo ng panloob. Ito ay batay sa isang dalubhasang probisyon na nagrereseta sa pag-uugali ng pag-audit. Ang isang panloob na pag-audit ng seguridad ng impormasyon ay kinakailangan upang patuloy na subaybayan ang system at makilala ang mga kahinaan.Ito ay isang listahan ng mga kaganapan na nagaganap sa isang tinukoy na tagal ng panahon. Para sa gawaing ito, madalas na isang espesyal na departamento o isang awtorisadong empleyado ang itinatag. Sinusuri niya ang estado ng kagamitan sa proteksiyon.
Paano isinasagawa ang isang aktibong pag-audit?
Depende sa kung ano ang hinahabol ng customer, ang mga pamamaraan ng pag-audit ng impormasyon ng seguridad ay pinili din. Ang isa sa mga pinaka-karaniwang paraan upang pag-aralan ang antas ng seguridad ay isang aktibong pag-audit. Ito ay isang pahayag ng isang tunay na pag-atake ng hacker.
Ang bentahe ng pamamaraang ito ay pinapayagan nito ang pinaka-makatotohanang kunwa ng posibilidad ng isang banta. Salamat sa isang aktibong pag-audit, mauunawaan mo kung paano bubuo ang isang katulad na sitwasyon sa buhay. Ang pamamaraang ito ay tinatawag ding instrumental security analysis.
Ang kakanyahan ng isang aktibong pag-audit ay ang pagpapatupad (gamit ang espesyal na software) ng isang pagtatangka ng hindi awtorisadong panghihimasok sa isang sistema ng impormasyon. Kasabay nito, ang mga kagamitan sa proteksiyon ay dapat nasa isang estado ng buong kahandaan. Salamat sa ito, posible na suriin ang kanilang trabaho sa naturang kaso. Ang isang tao na nagdadala ng isang artipisyal na pag-atake ng hacker ay binibigyan ng isang minimum na impormasyon. Ito ay kinakailangan upang muling likhain ang pinaka-makatotohanang mga kondisyon.
Sinusubukan nilang ilantad ang system sa maraming mga pag-atake hangga't maaari. Gamit ang iba't ibang mga pamamaraan, maaari mong suriin ang mga pamamaraan ng pag-hack na kung saan ang sistema ay pinaka-nakalantad. Ito, siyempre, ay nakasalalay sa mga kwalipikasyon ng espesyalista na nagsasagawa ng gawaing ito. Ngunit ang kanyang mga aksyon ay hindi dapat maging anumang mapanirang kalikasan.
Sa huli, ang dalubhasa ay bumubuo ng isang ulat tungkol sa mga kahinaan ng system at ang impormasyon na pinaka-naa-access. Nagbibigay din ito ng mga rekomendasyon sa mga posibleng pag-upgrade, na dapat ginagarantiyahan ang pagtaas ng seguridad sa tamang antas.
Ano ang isang dalubhasa sa pag-audit?
Upang matukoy ang pagsunod ng kumpanya sa mga naitatag na kinakailangan, isinasagawa din ang isang pag-audit ng impormasyon ng seguridad. Ang isang halimbawa ng naturang gawain ay makikita sa pamamaraan ng eksperto. Binubuo ito sa isang paghahambing na pagtatasa kasama ang data ng mapagkukunan.
Ang napakahusay na gawaing proteksyon ay maaaring batay sa iba't ibang mga mapagkukunan. Ang kliyente mismo ay maaaring magtakda ng mga kinakailangan at magtakda ng mga layunin. Ang nais ng pinuno ng kumpanya ay maaaring nais malaman kung gaano kalayo ang antas ng seguridad ng kanyang samahan ay mula sa gusto niya.
Ang prototype laban sa kung saan isinasagawa ang isang paghahambing na pagtatasa ay maaaring kilalanin sa pangkalahatang pamantayan sa internasyonal.
Ayon sa Pederal na Batas "Sa Pag-Auditing", ang may-akda na kumpanya ay may sapat na awtoridad upang mangolekta ng may-katuturang impormasyon at tapusin na ang umiiral na mga hakbang upang matiyak na sapat ang seguridad ng impormasyon. Ang pagkakapareho ng mga dokumento ng regulasyon at mga aksyon ng mga empleyado patungkol sa pagpapatakbo ng mga kagamitan sa proteksiyon ay nasuri din.
Ano ang tseke ng pagsunod?
Ang species na ito ay halos kapareho ng nauna, dahil ang kakanyahan nito ay isang paghahambing din sa pagtatasa. Ngunit lamang sa kasong ito, ang perpektong prototype ay hindi isang konsepto na mahirap unawain, ngunit ang mga malinaw na kinakailangan ay nabuo sa regulasyon at teknikal na dokumentasyon at pamantayan. Gayunpaman, tinutukoy din nito ang antas ng pagsunod sa antas na tinukoy ng patakaran sa privacy ng kumpanya. Kung walang pagsunod sa sandaling ito, hindi namin maaaring pag-usapan ang tungkol sa karagdagang trabaho.
Kadalasan, ang ganitong uri ng pag-audit ay kinakailangan para sa sertipikasyon ng umiiral na sistema ng seguridad sa negosyo. Nangangailangan ito ng opinyon ng isang independiyenteng dalubhasa. Dito, hindi lamang ang antas ng proteksyon ay mahalaga, kundi pati na rin ang kasiyahan nito sa kinikilalang pamantayan sa kalidad.
Kaya, maaari nating tapusin na upang maisagawa ang ganitong uri ng pamamaraan, kailangan mong magpasya sa tagapagpatupad, at i-highlight din ang hanay ng mga layunin at layunin batay sa iyong sariling mga pangangailangan at kakayahan.