सूचना सुरक्षा ऑडिट: उद्देश्य, विधियाँ और उपकरण, उदाहरण के। बैंक की सूचना सुरक्षा लेखा परीक्षा

आज, हर कोई, लगभग पवित्र मुहावरा है कि जानकारी का मालिक जानता है दुनिया का मालिक है। यही कारण है कि हमारे समय चोरी करने में है गोपनीय जानकारी सभी और विविध करने की कोशिश कर रहे हैं। इस संबंध में अभूतपूर्व कदम और संभावित हमलों के खिलाफ संरक्षण के साधन के कार्यान्वयन लिया। लेकिन, कभी कभी आप उद्यम सूचना सुरक्षा के एक लेखा परीक्षा का संचालन करने की आवश्यकता हो सकती। यह क्या है और क्यों अब यह सब है, और समझने की कोशिश करो।

सामान्य परिभाषा में सूचना सुरक्षा के एक लेखा परीक्षा क्या है?

कौन गूढ़ वैज्ञानिक दृष्टि को प्रभावित नहीं करेगा, और ( "dummies" के लिए लोगों को यह लेखा परीक्षा कहा जा सकता है) सबसे सरल भाषा में उन्हें का वर्णन करते हुए खुद के लिए बुनियादी अवधारणाओं निर्धारित करने के लिए प्रयास करें।

जटिल घटनाओं के नाम खुद कहता है। सूचना सुरक्षा लेखा परीक्षा एक स्वतंत्र सत्यापन या है सहकर्मी की समीक्षा किसी भी कंपनी, संस्था या विशेष रूप से विकसित मापदंड और संकेतकों के आधार पर संगठन के सूचना प्रणाली (है) की सुरक्षा सुनिश्चित करने।

सरल शब्दों में, उदाहरण के लिए, बैंक की जानकारी सुरक्षा ऑडिट करने के लिए नीचे फोड़े,, इलेक्ट्रॉनिक धन की सुरक्षा, बैंकिंग गोपनीयता के संरक्षण, और बाहर से संस्था अनधिकृत व्यक्तियों की गतिविधियों में हस्तक्षेप के मामले में इतने पर। डी, का उपयोग कर ग्राहक डेटाबेस बैंकिंग परिचालन द्वारा आयोजित की सुरक्षा के स्तर का आकलन करने के लिए इलेक्ट्रॉनिक और कंप्यूटर की सुविधा।

निश्चित रूप से, पाठकों के बीच कम से कम एक व्यक्ति जो ऋण या जमा, बैंक, जिसके साथ उसे लेना देना नहीं है प्रसंस्करण की एक प्रस्ताव के साथ घर या मोबाइल फोन कहा जाता है। एक ही खरीद पर लागू होता है और कुछ दुकानों से प्रदान करता है। जिस कारण से अपने कमरे आया?

यह आसान है। एक व्यक्ति पहले से ऋण ले लिया है या एक जमा खाते में निवेश किया है, तो जाहिर है, अपने डेटा एक आम में संग्रहित है ग्राहक आधार। जब आप किसी अन्य बैंक या दुकान से फोन केवल एक ही निष्कर्ष हो सकता है: इसके बारे में जानकारी तीसरे पक्ष को अवैध रूप से आया था। कैसे? सामान्य तौर पर, वहाँ दो विकल्प हैं: या तो वह चोरी हो गया था, या तीसरे पक्ष बूझकर करने के लिए बैंक के कर्मचारियों के लिए स्थानांतरित कर दिया। आदेश में इस तरह के बातें होती हैं के लिए नहीं किया है, और आप बैंक की सूचना सुरक्षा के एक लेखा परीक्षा का संचालन करने के लिए समय की आवश्यकता है, और इस न केवल कंप्यूटर या संरक्षण के "लोहा" का अर्थ है, लेकिन संस्था के पूरे स्टाफ के लिए लागू होता है।

सूचना सुरक्षा लेखा परीक्षा की मुख्य दिशाओं

जैसा कि ऑडिट के दायरे का संबंध, एक नियम के रूप में, वे कई हैं:

• जानकारी की प्रक्रियाओं में शामिल वस्तुओं से भरा चेक (कंप्यूटर स्वचालित प्रणाली, संचार, स्वागत, सूचना प्रसारण और प्रसंस्करण, सुविधाओं, गोपनीय बैठकों के लिए परिसर, निगरानी प्रणाली, आदि के अर्थ है);
• सीमित पहुंच के साथ गोपनीय जानकारी की सुरक्षा की विश्वसनीयता की जाँच (संभव रिसाव और संभावित सुरक्षा छेद मानक और गैर मानक तरीकों के उपयोग के साथ बाहर से यह पहुंच की अनुमति देते चैनलों का निर्धारण);
• विद्युत चुम्बकीय विकिरण और हस्तक्षेप करने के लिए जोखिम के लिए सभी इलेक्ट्रॉनिक हार्डवेयर और स्थानीय कंप्यूटर प्रणालियों के चेक, उन्हें बंद या जीर्णता में लाने के लिए अनुमति देता है;
• परियोजना हिस्सा है, जो निर्माण और उसके व्यावहारिक कार्यान्वयन में सुरक्षा की अवधारणा के आवेदन पर काम भी शामिल है (कंप्यूटर प्रणाली, सुविधाएं, संचार सुविधाओं, आदि के संरक्षण)।

यह लेखा परीक्षा की बात आती है?

नहीं महत्वपूर्ण स्थितियों जहां रक्षा पहले से ही टूट गया था, एक संगठन में सूचना सुरक्षा के लेखा परीक्षा किया जा सकता है, और कुछ अन्य मामलों में उल्लेख करने के लिए।

आमतौर पर इन अन्य कंपनियों द्वारा कंपनी के विस्तार, विलय, अधिग्रहण, अधिग्रहण में शामिल हैं, व्यापार अवधारणाओं या दिशा-निर्देश, किसी देश के अंतरराष्ट्रीय कानून में या कानून में परिवर्तन, जानकारी के बुनियादी ढांचे में नहीं बल्कि गंभीर परिवर्तन के पाठ्यक्रम को बदलने।

लेखा परीक्षा के प्रकार

आज, लेखा परीक्षा के इस प्रकार के बहुत वर्गीकरण कई विश्लेषकों और विशेषज्ञों के अनुसार, स्थापित नहीं है। इसलिए, कुछ मामलों में वर्गों में विभाजन काफी मनमाने ढंग से हो सकता है। फिर भी, सामान्य रूप में, सूचना सुरक्षा के लेखा परीक्षा बाह्य और आंतरिक में विभाजित किया जा सकता है।

स्वतंत्र विशेषज्ञों, जो करने का अधिकार है द्वारा किए गए एक बाह्य लेखा परीक्षा, आम तौर पर एक बार की जांच, जो प्रबंधन, शेयरधारकों, कानून प्रवर्तन एजेंसियों, आदि द्वारा शुरू किया जा सकता है माना जाता है कि सूचना सुरक्षा के एक बाह्य लेखा परीक्षा की सिफारिश की है (लेकिन जरूरी नहीं) समय की एक निश्चित अवधि के लिए नियमित रूप से प्रदर्शन करने के लिए। लेकिन कुछ संगठनों और उद्यमों के लिए, कानून के अनुसार, यह अनिवार्य है (उदाहरण के लिए, वित्तीय संस्थाओं और संगठनों, संयुक्त शेयर कंपनियों, और दूसरों के लिए।)।

आंतरिक लेखा परीक्षा सूचना सुरक्षा एक निरंतर प्रक्रिया है। यह एक विशेष "आंतरिक लेखा परीक्षा पर विनियमों" पर आधारित है। यह क्या है? वास्तव में, इस प्रमाणीकरण गतिविधियों, संगठन में किए गए प्रबंधन द्वारा अनुमोदित संदर्भ में। उद्यम की विशेष संरचनात्मक उपखंड द्वारा एक सूचना सुरक्षा लेखा परीक्षा।

लेखा परीक्षा के वैकल्पिक वर्गीकरण

सामान्य स्थिति में वर्गों में ऊपर-वर्णित विभाजन के अलावा, हम कई अंतरराष्ट्रीय वर्गीकरण में किए गए घटकों भेद कर सकते हैं:

• विशेषज्ञ विशेषज्ञों की व्यक्तिगत अनुभव, अपने संचालन के आधार पर सूचना सुरक्षा और सूचना प्रणालियों की स्थिति की जांच कर;
• प्रमाणीकरण प्रणाली और अंतरराष्ट्रीय मानकों (आईएसओ 17799) और गतिविधि के इस क्षेत्र को विनियमित राष्ट्रीय कानूनी उपकरणों के अनुपालन के लिए सुरक्षा उपायों;
• तकनीकी सॉफ्टवेयर और हार्डवेयर के परिसर में संभावित कमजोरियों की पहचान करने के उद्देश्य से साधन के उपयोग के साथ सूचना प्रणालियों की सुरक्षा का विश्लेषण।

कभी कभी यह लागू किया जा सकता और तथाकथित व्यापक ऑडिट, जो ऊपर प्रकार के सभी शामिल हैं। वैसे, वह सबसे उद्देश्य परिणाम देता है।

मंचन लक्ष्यों और उद्देश्यों

किसी भी सत्यापन, आंतरिक या बाह्य चाहे, लक्ष्यों और उद्देश्यों को स्थापित करने के साथ शुरू होता है। सीधे शब्दों में कहें, तो आप क्यों, कैसे और क्या परीक्षण किया जाएगा निर्धारित करने के लिए की जरूरत है। इस पूरी प्रक्रिया से बाहर ले जाने के लिए आगे की प्रक्रिया का निर्धारण करेगा।

कार्य, उद्यम, संगठन, संस्था और इसकी गतिविधियों के विशिष्ट संरचना के आधार पर काफी एक बहुत कुछ हो सकता है। बहरहाल, यह सब रिहाई के बीच, सूचना सुरक्षा लेखा परीक्षा के एकीकृत लक्ष्य:

• सूचना सुरक्षा और सूचना प्रणालियों के राज्य के आकलन;
• संभव बाहरी IP और इस तरह के हस्तक्षेप के संभावित तौर-तरीकों में प्रवेश के जोखिम के साथ जुड़े जोखिम का विश्लेषण;
• छेद और सुरक्षा प्रणाली में अंतराल के स्थानीयकरण;
• मौजूदा मानकों और विनियामक और कानूनी कृत्यों में जानकारी सिस्टम की सुरक्षा के उचित स्तर का विश्लेषण;
• विकास और मौजूदा समस्याओं को दूर करने के साथ-साथ मौजूदा उपचार के सुधार और नए घटनाक्रम की शुरूआत से जुड़े सिफारिशों के वितरण।

कार्यप्रणाली और अंकेक्षण उपकरण

अब के बारे में कैसे की जांच और क्या कदम है और इसका मतलब यह शामिल है में कुछ शब्द।

एक सूचना सुरक्षा लेखा परीक्षा कई चरणों के होते हैं:

• सत्यापन प्रक्रियाओं की शुरुआत (अधिकारों और लेखा परीक्षक की जिम्मेदारियों का स्पष्ट परिभाषा, लेखा परीक्षक योजना की तैयारी और प्रबंधन के साथ अपने समन्वय की जाँच करता है, अध्ययन की सीमाओं का सवाल, संगठन प्रतिबद्धता के सदस्यों पर लागू होने देखभाल करने के लिए और प्रासंगिक जानकारी का समय पर प्रावधान);
• प्रारंभिक डेटा (सुरक्षा संरचना, सुरक्षा सुविधाओं का वितरण, प्राप्त करने और संचार चैनलों और अन्य संरचनाओं के साथ आईपी बातचीत, कंप्यूटर नेटवर्क के उपयोगकर्ताओं के एक पदानुक्रम, दृढ़ संकल्प प्रोटोकॉल, आदि की जानकारी, दृढ़ संकल्प प्रदान करने के लिए प्रणाली के प्रदर्शन विश्लेषण विधियों की सुरक्षा का स्तर) एकत्र करना;
• एक व्यापक या आंशिक निरीक्षण का संचालन;
• डेटा विश्लेषण (किसी भी प्रकार के और अनुपालन के जोखिम के विश्लेषण);
• सिफारिशें जारी करने के संभावित समस्याओं का समाधान करने के लिए;
• रिपोर्ट जनरेशन।

क्योंकि अपने निर्णय कंपनी के प्रबंधन और लेखा परीक्षक के बीच पूरी तरह से किया जाता है पहले चरण में, सबसे सरल है। विश्लेषण की सीमाओं कर्मचारियों या शेयरधारकों की आम बैठक में माना जा सकता है। इस और सभी को और अधिक कानूनी क्षेत्र से संबंधित।

आधारभूत डेटा के संग्रह के दूसरे चरण में, यह सूचना सुरक्षा या बाहरी स्वतंत्र प्रमाणीकरण के एक आंतरिक लेखा परीक्षा है कि क्या सबसे संसाधन प्रधान है। यह तथ्य यह है कि इस स्तर पर आप न केवल तकनीकी सभी हार्डवेयर और सॉफ्टवेयर से संबंधित प्रलेखन की जांच करने की जरूरत है, लेकिन यह भी संकीर्ण-साक्षात्कार कंपनी के कर्मचारियों के लिए की वजह से है, और ज्यादातर मामलों में भी विशेष प्रश्नावली या सर्वेक्षण भरने के साथ।

तकनीकी दस्तावेज के रूप में, यह सॉफ्टवेयर की स्थापना की सुरक्षा के रूप में, अपने कर्मचारियों को और उपयोग के अधिकार का प्राथमिकता के स्तर आईसी संरचना पर डेटा प्राप्त सिस्टम-वाइड और अनुप्रयोग सॉफ्टवेयर (व्यावसायिक अनुप्रयोगों के लिए ऑपरेटिंग सिस्टम, उनके प्रबंधन और लेखा) की पहचान करने, साथ ही के लिए महत्वपूर्ण है और गैर कार्यक्रम का प्रकार (एंटीवायरस सॉफ्टवेयर, फायरवॉल, आदि)। इसके अलावा, इस नेटवर्क और दूरसंचार सेवाओं के प्रदाताओं से भरा सत्यापन (नेटवर्क संगठन, प्रोटोकॉल कनेक्शन के लिए इस्तेमाल किया, संचार चैनलों के प्रकार, पारेषण और स्वागत के तरीकों की जानकारी बहती है, और अधिक) भी शामिल है। के रूप में स्पष्ट है, यह समय की एक बहुत लेता है।

अगले चरण में, सूचना सुरक्षा लेखा परीक्षा के तरीके। वे तीन हैं:

• जोखिम विश्लेषण (सबसे कठिन तकनीक, आईपी उल्लंघन के प्रवेश और इसकी अखंडता के लिए सभी संभव तरीकों और उपकरणों का उपयोग करने के लिए लेखा परीक्षक के निर्धारण के आधार पर);
• मानकों और कानून (सरल और सबसे व्यावहारिक विधि मामलों की वर्तमान स्थिति की तुलना और अंतरराष्ट्रीय मानकों और सूचना सुरक्षा के क्षेत्र में घरेलू दस्तावेजों की आवश्यकताओं के आधार पर) के अनुपालन के आकलन;
• संयुक्त विधि है कि पहले दो को जोड़ती है।

उनके विश्लेषण के सत्यापन के परिणाम प्राप्त करने के बाद। फंड ऑडिट सूचना सुरक्षा, का जो विश्लेषण के लिए उपयोग किया जाता है, काफी अलग किया जा सकता। यह सब उद्यम है, जानकारी के प्रकार, सॉफ्टवेयर का उपयोग करें, सुरक्षा और इतने पर। लेकिन, जैसा कि पहली विधि पर देखा जा सकता, लेखा परीक्षक मुख्य रूप से अपने स्वयं के अनुभव का सहारा लेना पड़ की बारीकियों पर निर्भर करता है।

और वह केवल अर्थ यह है कि यह पूरी तरह से सूचना प्रौद्योगिकी और डेटा संरक्षण के क्षेत्र में योग्य होना चाहिए। और इस विश्लेषण, लेखा परीक्षक के आधार पर संभावित खतरों गणना करता है।

ध्यान दें कि यह ऑपरेटिंग सिस्टम या इस्तेमाल किया, उदाहरण के लिए कार्यक्रम में न केवल सौदा करना चाहिए, व्यापार या लेखा के लिए, लेकिन यह भी स्पष्ट रूप से समझने के लिए एक हमलावर चोरी, नुकसान और डेटा का विनाश, उल्लंघन के लिए पूर्व शर्त के निर्माण के उद्देश्य के लिए सूचना प्रणाली में प्रवेश कर सकते हैं कंप्यूटर में, वायरस या मैलवेयर के प्रसार।

लेखापरीक्षा निष्कर्ष और समस्याओं का समाधान करने की सिफारिशों का मूल्यांकन

विश्लेषण के आधार पर विशेषज्ञ की सुरक्षा स्थिति के बारे में निष्कर्ष निकाला है और मौजूदा या संभावित समस्याओं का समाधान करने की सिफारिशों, सुरक्षा उन्नयन, आदि देता है सिफारिशों केवल उचित नहीं होना चाहिए, लेकिन यह भी स्पष्ट रूप से उद्यम बारीकियों की वास्तविकताओं से बंधा। दूसरे शब्दों में, कंप्यूटर या सॉफ्टवेयर के विन्यास के उन्नयन पर सुझाव स्वीकार्य नहीं हैं। यह समान रूप से अपने गंतव्य, स्थान और औचित्य निर्दिष्ट किए बिना "अविश्वसनीय" कर्मियों, नए ट्रैकिंग प्रणाली स्थापित की बर्खास्तगी की सलाह पर लागू होता है।

विश्लेषण के आधार पर, एक नियम के रूप में, वहाँ कई जोखिम वाले समूहों रहे हैं। इस मामले में, एक सारांश रिपोर्ट दो महत्वपूर्ण संकेतक का उपयोग करता संकलित करने के लिए: (। संपत्ति की हानि, प्रतिष्ठा में कमी, छवि के नुकसान और इसी तरह) एक हमले की संभावना है और इसके परिणामस्वरूप कंपनी को होने वाली क्षति। हालांकि, समूह के प्रदर्शन में ही नहीं हैं। उदाहरण के लिए, हमले की संभावना के लिए निम्न स्तर सूचक सबसे अच्छा है। इसके विपरीत - क्षति के लिए।

उसके बाद ही एक रिपोर्ट जानकारी है कि सभी स्तरों, तरीके और अनुसंधान के माध्यम से चित्रित संकलित। उन्होंने कहा कि नेतृत्व के साथ सहमति व्यक्त की और दोनों पक्षों द्वारा हस्ताक्षर किए - कंपनी और लेखा परीक्षक। यदि लेखा परीक्षा आंतरिक, एक रिपोर्ट संबंधित संरचनात्मक इकाई है, जिसके बाद वह, फिर से, सिर द्वारा हस्ताक्षर किए का सिर है।

सूचना सुरक्षा लेखा परीक्षा: उदाहरण

अंत में, हम एक ऐसी स्थिति है कि पहले से ही हुआ है की सबसे सरल उदाहरण पर विचार करें। कई, वैसे, यह बहुत परिचित लग सकता है।

उदाहरण के लिए, एक कंपनी के संयुक्त राज्य अमेरिका में खरीद स्टाफ, ICQ त्वरित मेसेंजर कंप्यूटर में स्थापित किया गया (कर्मचारी और कंपनी का नाम का नाम स्पष्ट कारणों के लिए नाम नहीं है)। वार्ता के लिए इस कार्यक्रम के माध्यम से ठीक आयोजित की गई। लेकिन "ICQ" सुरक्षा के मामले में काफी असुरक्षित है। समय पर या पंजीकरण संख्या में स्व कर्मचारी एक ईमेल पता नहीं था, या बस इसे देने के लिए नहीं चाहता था। इसके बजाय, वह ई-मेल, और यहां तक कि गैर-मौजूद डोमेन की तरह कुछ की ओर इशारा किया।

हमलावर क्या होता? सूचना सुरक्षा के एक लेखा परीक्षा द्वारा दिखाए गए, यह वास्तव में अपने नुकसान की वजह से एक ही डोमेन पंजीकृत किया जाएगा और उस में हो सकता है, एक और पंजीकरण टर्मिनल बनाया, और फिर मिराबिलिस कंपनी है कि, ICQ सेवा का मालिक पासवर्ड पुनर्प्राप्ति का अनुरोध करने के लिए संदेश भेज सकता है (कि किए जाएंगे )। एक मौजूदा घुसपैठिया मेल को अनुप्रेषित - मेल सर्वर का प्राप्तकर्ता के रूप में नहीं था, यह अनुप्रेषित शामिल किया गया था।

नतीजतन, वह दिया ICQ संख्या के साथ पत्राचार के लिए उपयोग हो जाता है और आपूर्तिकर्ता को किसी एक देश में माल की प्राप्तकर्ता का पता बदलने के लिए सूचित। इस प्रकार, माल एक अज्ञात गंतव्य के लिए भेज दिया है। और यह ज्यादातर हानिरहित उदाहरण है। तो, उच्छृंखल आचरण। अधिक गंभीर हैकर्स भी बहुत कुछ करने में सक्षम हैं जो के बारे में क्या ...

निष्कर्ष

यहाँ एक संक्षिप्त और सभी कि आईपी सुरक्षा लेखापरीक्षा से संबंधित है। बेशक, यह के सभी पहलुओं से प्रभावित नहीं है। कारण सिर्फ इतना है कि समस्याओं और इसके संचालन के तरीकों के निर्माण में कारकों में से एक बहुत प्रभावित करता है, तो प्रत्येक मामले में दृष्टिकोण को कड़ाई से अलग-अलग है। इसके अलावा, तरीकों और सूचना सुरक्षा लेखा परीक्षा के माध्यम अलग ICs के लिए अलग अलग हो सकता है। हालांकि, मुझे लगता है, कई के लिए इस तरह के परीक्षणों के सामान्य सिद्धांतों भी प्राथमिक स्तर पर स्पष्ट हो।