Маалымат коопсуздугу аудит: максаттары, методдору жана каражаттары, мисалы. Банктын Маалымат коопсуздугу аудит

Бүгүнкү күндө ар бир маалыматка ээ дээрлик ыйык сөз билген, дүйнөнү ээлик кылат. уурдап биздин күндөрдө Ошол себептен жашыруун маалыматты бардык жана ар кандай аракет кылып жатышат. Бул жагынан алганда, болуп көрбөгөндөй кадамдарды жана мүмкүн болгон кол салууларга каршы коргонуу каражаттары ишке ашырууга кабыл алынган. Бирок, кээде сиз ишкана маалыматтык коопсуздукту камсыз аудит жүргүзүү үчүн зарыл болушу мүмкүн. азыр баары бир болуп саналат жана эмне үчүн деген эмне жана түшүнүүгө аракет.

жалпы аныктамадан маалымат коопсуздугун текшерүү деген эмне?

Ким өтө жөнөкөй тил менен жазылган жана аларды (адамдарды ал "ортодо" үчүн аудитордук деп калышы мүмкүн) биржа илимий терминдерди жана өздөрү үчүн негизги түшүнүктөрүн аныктоо үчүн аракет, эч кандай таасири тийбейт.

комплекстүү иш-чаралардын аты өзү сүйлөйт. Маалымат коопсуздугу аудит көз карандысыз текшерүү же курдаштарынын карап атайын иштелип чыккан критерийлер жана индикаторлордун негизинде кандайдыр бир компания, мекеменин же уюмдун маалымат системалары (IS) коопсуздугун камсыз кылууга милдеттүү.

Жөнөкөй сөз менен айтканда, мисалы, банктын маалыматтык коопсуздукту алып келип такайт, банк иштеринин тарабынан өткөрүлгөн кардар базаларын коргоо даражасын баалоо үчүн, электрондук акча коопсуздугун текшерүү, банктык сырды сактоо, жана башкалар. D. сырттан мекеме уруксатсыз адамдардын ишине кийлигишүүнүн учурда, пайдалануу электрондук жана компьютер системалары.

Албетте, окурмандар арасында насыя же кенин иштетүү сунушу менен үй-жайын, же уюлдук байланыш деп аталган жок дегенде бир адам бар, банк менен ал эч кандай тиешеси жок. Ошол эле сатып алууларга тиешелүү жана кээ бир дүкөндөр сунуш кылат. Кайдан бөлмөнү чыкты?

Баары оңой. бир адам буга чейин да насыя же депозиттик эсебинде салынган алып, анда, албетте, анын маалымат жалпы сакталат кардар базасынын. башка банк же дүкөндөн чакырганда бир гана тыянак чыгарууга болот: бул жөнүндө маалыматты үчүнчү жактарга мыйзамсыз келди. Кандай? Жалпысынан алганда, эки параметрлер бар: же уурдалган, же банк пландуу үчүнчү жактарга кызматкерлерине өткөрүлүп берилди. мындай нерселер болгон эмес, үчүн, жана банктын маалымат коопсуздугунун аудит жүргүзүү үчүн убакыт керек, ал эми ушул коргоо ЭЭМ же "темир" аркылуу гана эмес, мекеменин бардык кызматкерлери.

маалыматтык коопсуздук аудиттин негизги багыттары

аудиттин көлөмүнө карата абал боюнча, эреже катары, алар бир нече болуп төмөнкүлөр саналат:

• маалымат жараянына катышкан объектилердин толук текшерүү (компьютер дардын системасы, байланыш каражаттары, кабыл алуу, маалымат берүү жана иштеп чыгуу, имараттарды, жашыруун жолугушуулар үчүн жайларды, мониторинг жүргүзүү, ж.б.);
• жетимдүүлүгү чектелүү болгон купуя маалыматты коргоо аныктыгын текшерүү (мүмкүн агуусу жана мүмкүн болуучу коопсуздук көзөнөктөрдү каналдар стандарттуу жана стандарттуу эмес ыкмаларды колдонуу менен сырттан, аны колдонуу мүмкүнчүлүгүн берип аныктоо);
• аларды өчүрүп же каралбай алып берип, электромагниттик нурлануунун жана кийлигишүүсү менен катнаш боюнча бардык электрондук жабдык жана жергиликтүү компьютер системалары текшерет;
• аны практикалык жактан ишке ашырууга коопсуздук түшүнүгү түзүү жана колдонуу боюнча иштерди камтыган долбоордун бир бөлүгү (компьютер системасын коргоо, курулуштарды, байланыш каражаттарын, ж.б.).

бул аудит келгенде?

коргонуу эле сынып, оор жагдайларды сөз үчүн эмес, уюмдун маалымат коопсуздугун текшерүү жүзөгө ашырылышы мүмкүн, ал эми кээ бир башка учурларда.

Эреже катары, бул башка компаниялардын менен коомду өнүктүрүүгө, биригүүнү, сатып алууну, кыйгап кирет, маалымат курууга эмес, олуттуу өзгөрүүлөр бизнес түшүнүктөрдү же колдонмолорду курсун эл аралык укуктун же өлкөнүн чегинде мыйзамга өзгөртүүлөрдү, өзгөрүп турат.

Аудиттин түрлөрү

Бүгүнкү күндө көптөгөн аналитиктер, эксперттер боюнча аудит бул түрү абдан классификация, белгиленген эмес. Ошондуктан, кээ бир учурларда класстарга бөлүштүрүү шарттуу болушу мүмкүн. Бирок, жалпысынан алганда, маалымат коопсуздугун текшерүү тышкы жана ички деп бөлүүгө болот.

эмне үчүн тышкы аудит укугу бар көз карандысыз эксперттер тарабынан жүргүзүлгөн, адатта, башкаруу тарабынан жасалышы мүмкүн бир жолку текшерүү, катышуучулары, укук коргоо органдарына эмес, ж.б. Бул маалыматтык коопсуздукту камсыз тышкы аудит (бирок милдеттүү эмес) сунуш кылынат белгилүү бир убакыттан үчүн дайыма аткарууга болот деп эсептелет. Бирок, кээ бир уюмдар жана ишканалар үчүн, мыйзам боюнча, ал милдеттүү түрдө (мисалы, каржылык мекемелердин жана уюмдардын, биргелешкен коомдорду жана башкалар үчүн.) Болуп саналат.

Ички аудит маалымат коопсуздугу дайыма жараян. Бул үчүн атайын "Ички аудит жөнүндө" жобого негизделген. Бул эмне? Чынында эле, бул иш-күбөлүк жетекчилик тарабынан бекитилген мөөнөттө, уюм менен жүзөгө ашырылат. ишкананын атайын структуралык бөлүмү тарабынан маалыматтык коопсуздук текшерүү.

аудиттин башка классификация

Жалпысынан учурда класстарга жогоруда сүрөттөлгөн бөлүмү Андан сырткары, биз эл аралык жашыруун жасалган бир нече компоненттерден бөлүп көрсөтүүгө болот:

• Эксперт эксперттердин жеке тажрыйбасы, анын жүргүзүү негизинде маалыматтык коопсуздугун жана маалыматтык системасынын абалын текшерүү;
• күбөлүк системалары жана эл аралык стандарттарга ылайык коопсуздук чаралары боюнча (ISO 17799) жана бул иштин чөйрөсүндө жөнгө салуучу улуттук укуктук актыларды;
• программалык жана аппараттык комплексинде мүмкүн болгон кемчиликтерди аныктоого багытталган техникалык каражаттарды колдонуу менен, маалымат тутумдарынын коопсуздугунун талдоо.

Кээде колдонулат жана жогоруда көрсөтүлгөн түрлөрүнө бардык кирет деп аталган комплекстүү текшерүү болот. Баса, ал көпчүлүк объективдүү жыйынтык берет.

Этап-этабы менен максаттар жана милдеттер

Ар кандай текшерүү, же ички да, тышкы да, максаттарды жана милдеттерди коюу менен башталат. Жөнөкөй сөз менен айтканда, эмне үчүн, кандай жана эмне сыналышы мүмкүн аныктоо үчүн керек. Бул толугу менен иш жүргүзүү боюнча мындан аркы жол-жобосун аныктайт.

ишкананы, уюмду, мекемени жана анын ишин конкреттүү түзүмүнө жараша милдеттери, бир кыйла көп болушу мүмкүн. Бирок бүт бул бошотуу арасына, маалыматтык коопсуздук текшерүүнүн бирдиктүү максаты:

• маалыматтык коопсуздугун жана маалыматтык системасынын абалын баалоо;
• мындай кийлигишүүдөн тышкы ИМ жана мүмкүн болгон шарттарды түзүш кирүү коркунучу менен байланышкан мүмкүн болуучу тобокелдиктерди талдоо;
• коопсуздук системасын тешиктерге жана өксүктөрдү чектөө;
• учурдагы стандарттардын жана ченемдик укуктук актыларга, маалымат тутумдарынын коопсуздугунун тийиштүү денгээлде талдоо;
• Учурдагы проблемаларды иштеп чыгуу жана чыгаруу менен байланышкан сунуштарды жеткирүү, ошондой эле иштеп жаткан каражаттарды өркүндөтүү жана жаңы иштеп чыгуу жана киргизүү.

Методология жана аудит аспаптар

Азыр текшерүү жана ал эмнени кадамдар жана дегенди кантип байланыштуу бир нече сөз.

Маалыматтык коопсуздук аудит бир нече этаптан турат:

• текшерүү жол-жоболорун козгоо (аудитордын укуктарын жана милдеттерин так аныктоо, аудитор планын жана башкаруу менен макулдашууну даярдоо текшерет, изилдөө чектерин суроо, тиешелүү маалымат кам жана өз убагында камсыз кылуу менен уюмдун милдеттенме мүчөлөрүнө киргизүү);
• баштапкы маалыматтарды чогултуу (коопсуздук түзүмү, коопсуздук белгилеринин бөлүштүрүү, коопсуздугу алуу жана камсыз кылуу үчүн белгиленген системасы аткаруу талдоо ыкмаларын маалымат, байланыш чечкиндүүлүк каналдарында жана IP башка структуралар менен өз ара аракеттенүү, компьютер тармактары жана колдонуучулардын иерархиясы, чечкиндүү протоколдор, ж.б.);
• толук же жарым-жартылай текшерүү жүргүзүү;
• маалыматтарды талдоо (бардык түрү жана шайкештик тобокелдиктерге талдоо);
• сунуштарды берүү мүмкүн болгон маселелерди чечүү үчүн;
• Кабарда муун.

анын чечими компаниясы башкаруу жана аудиторунун ортосунда гана жүргүзүлөт, анткени биринчи этабы, абдан жөнөкөй болуп саналат. талдоо чектери кызматкерлеринин же уюштуруучулардын жалпы жыйынында каралышы мүмкүн. Мунун баарын, дагы укуктук талаага байланыштуу.

маалыматтык коопсуздук жана тышкы көз карандысыз тастыктоо болгон ички аудит болобу, баштапкы маалыматтарды топтоо экинчи баскычы абдан ресурстарды талап кылат. Бул этапта гана бардык аппараттык жана программалык тиешелүү техникалык документтерди карап эмес, керек, бирок ошол эле компаниянын кызматкерлерине тар-сурамжылоо үчүн жаткандыгы менен байланыштуу, ал тургай атайын анкеталарды жана сурамжылоолор толтуруу менен көпчүлүк учурларда.

техникалык документтер үчүн, ал IC структурасы жана жетүү укуктары артыкчылыктуу көлөмүн, анын кызматкерлеринин, тутумдук жана колдонмо программалык аныктоо үчүн (бизнес-колдонмолор үчүн иштеп жаткан системасы, аларды контролдоо жана эсепке алуу), ошондой эле ЭЭМ үчүн белгиленген коргоо жөнүндө маалыматтарды алуу үчүн маанилүү жана программалык-түрү (программалык, Firewalls, ж.б.). Мындан тышкары, бул тармактарды жана байланыш кызмат көрсөтүүчүлөрдүн толук текшерүүнү камтыйт (тармак уюштуруу, байланыш үчүн колдонулган протоколдорду, байланыш каналдарын түрлөрүн, маалыматтык агымын өткөрүү жана кабыл алуу ыкмалары жана башкалар). ачык-айкын көрүнүп тургандай, ал көп убакыт талап кылынат.

кийинки этабында, маалыматтык коопсуздук аудиттин кабыл алынат. Алар үчөө:

• тобокелдиктерди талдоо (абдан оор техника IP бузуу жана анын бүтүндүгүн, мүмкүн болгон бардык ыкмаларды жана куралдарды кирип аудиторду аныктоо боюнча);
• стандарттарга жана мыйзамдарына ылайык баалоо (жөнөкөй жана практикалык ыкма азыркы иштердин абалы жана маалыматтык коопсуздук чөйрөсүндөгү эл аралык стандарттарга жана ички документтеринин талаптарын салыштыруу боюнча);
• бириккен ыкмасы биринчи эки айкалыштырат.

аларды талдоо текшерүү жыйынтыгын алгандан кийин. Каражаттар аудит маалымат коопсуздугу боюнча талдоо жүргүзүү үчүн пайдаланылат, кыйла ар түрдүү болот. Бул бардык ишкана өзгөчөлүгүнө жараша болот, маалымат түрлөрү, ошондой эле сиз колдонгон программалык камсыздоо, коргоо жана. Бирок, биринчи ыкма боюнча көрүнүп тургандай, аудитор негизинен өз тажрыйбасына гана таянуу керек.

Ошондо гана ал маалыматтык технологияларды жана маалыматтарды коргоо тармагында толук жарамдуу болушу керек дегенди билдирет. Бул талдоонун негизинде, аудитордун жана мүмкүн болгон коркунучтарды эсептейт.

ал өнөр жай же эсепке алуу үчүн, мисалы, иштөө системи же программаны пайдалануу менен гана эмес, мамиле кылышыбыз керек, ошондой эле чабуулчу уурулук кылуу, зыянга учуратуу жана маалыматтарды жок кылуу, бузуу үчүн шарттарды түзүү максатында маалымат тутумуна кире алат кантип түшүнүүгө Белгилей кетсек, эсептөө менен, программалар же зыянкеч жайылышы.

проблемаларды чечүү үчүн аудиттин сунуш-пикирлерин жана баалоо

талдоонун негизинде эксперттик коргоо абалы жөнүндө корутунду жана сунуштар болгон же мүмкүн болуучу маселелерди чечүү үчүн, коопсуздук жакшыртуу, ж.б. берет сунуштар гана адилеттүү болушу керек эмес, бирок ошол эле учурда ачык-айкын ишкана өзгөчөлүгүн реалдуулугуна байлап. Башка сөз менен айтканда, эсептөө машиналары же программалык орнотмолорун жогорулатуу жөнүндө жасала кабыл алынбайт. Бул бирдей "ишеничсиз" кадрларды, жаңы көз салуу системасын орнотуу боюнча иштен бошотуу сунушу менен, алардын көздөгөн көрсөтүүсүз тиешелүү, жайгашкан ордун жана орундуу.

талдоонун негизинде, эреже катары, бир нече коркунучу топтор бар. Бул учурда, кыскача отчет эки негизги көрсөткүчтөрүн колдонот түзүү үчүн: (., ошондой эле каражаттарын жоготуу, бедели кыскартуу, айкелдин жоготуу жана) натыйжасында компаниянын келтирилген кол салуу жана зыян ыктымалдыгы. Бирок, топтор аткаруу бирдей эмес. Мисалы, кол салуу ыктымалдыгы төмөн деңгээл көрсөткүчү жакшы. Үчүн зыяндын ордун толтуруу - тескерисинче.

Ошондо гана бардык этаптары, методдору жана изилдөө каражаттары сүрөттөмө чоо отчет түзүлөт. Ал жетекчилиги менен макулдашуу боюнча, эки тарап менен кол коюлган, - компанияны жана аудитор. Эгерде аудити, ички, ал дагы, жетекчиси кол коет, андан кийин тиешелүү түзүмдүк бөлүмдүн, бир отчет башчысы болуп саналат.

Маалымат коопсуздугу аудит: Мисал

Акыр-аягы, биз буга чейин эле болгон бир жагдай жөнөкөй мисал карап көрөлү. Көптөр, жол менен, ал абдан тааныш көрүнүшү мүмкүн.

Мисалы, ICQ заматта кабарчы отуруп белгиленген Кошмо Штаттарда бир компаниянын сатып алуулар кызматкерлери, (кызматкер жана компаниянын атынан атынан ачык себептерден улам деген жок). Сүйлөшүүлөр бул программанын жардамы менен так өткөрүлдү. Ал эми "ICQ" коопсуздук жагынан абдан аялуу болуп саналат. Өз убагында каттоо номерлери боюнча кызматкери же электрондук почта дарегин болгон эмес, же жөн эле бергим келген жок. Тескерисинче, электрондук почта, ал тургай жокко мүлктүн эле нерсени билдирет.

чабуулчу эмне кылмак? маалымат коопсуздугун текшерүү көрсөтүп тургандай, ал так эле домен катталган жана аны менен болот, башка каттоо терминалы, жана андан ары аны жоготуу үчүн (ошол жасала турган сөздү калыбына келтирүү жөнүндө өтүнүч, ICQ кызмат таандык Mirabilis компаниясы үчүн билдирүү жөнөтүү мүмкүн жаратылган болушу керек ). почта алуучу жок эле, аны кайра багыттоо кирген - Учурдагы зыян почта тарапка багыттайбыз.

Натыйжада, ал берген ICQ номери менен кат алышуу мүмкүнчүлүгүн алат жана бир өлкөдө жүк алуучунун дарегин өзгөртүү менен жабдуучу компанияны билдирет. Ошентип, мал белгисиз көздөгөн жиберди. Ал эми көпчүлүк зыянсыз мисал болуп саналат. Ошондуктан, тартипсиз жүрүм. Ал эми канча алат олуттуу кибер жөнүндө эмне ...

жыйынтыктоо

Бул IP коопсуздук аудиттин тиешелүү кыскача жана баары болуп саналат. Албетте, бул бардык аспектилери боюнча жабыр тарткан эмес. себеби, анын жүрүм-туруму көйгөйлөрү жана ыкмаларын иштеп чыгуу гана эмес себептерден улам бир топ таасирин тийгизет, ошондуктан ар бир учурда ыкма толугу менен инсан. Мындан тышкары, маалыматтык коопсуздук аудиттин ыкмалары жана каражаттары, ар кандай кырдаалга карата ар кандай болушу мүмкүн. Бирок, мен көп мындай тесттерди жалпы негиздери да негизги денгээлде ачык көрүнүп калды деп ойлойм.