सूचना सुरक्षा अडिट: उद्देश्य, विधि र उपकरण, उदाहरण। बैंक को जानकारी सुरक्षा अडिट

आज सबैको संसारको मालिक, जानकारी मालिक कि लगभग पवित्र वाक्यांश थाह छ। चोर्न हाम्रो समयमा किन हो गोप्य जानकारी सबै र विविध प्रयास गर्दै हुनुहुन्छ। यस सन्दर्भमा, अभूतपूर्व कदम र सम्भव आक्रमणबाट सुरक्षा को माध्यम को कार्यान्वयन लिएको। तर, कहिलेकाहीं तपाईं उद्यम जानकारी सुरक्षाको अडिट सञ्चालन गर्न आवश्यक पर्दछ। यो के हो र किन यो सबै अब छ, र बुझ्न प्रयास गर्नुहोस्।

सामान्य परिभाषा जानकारी सुरक्षाको अडिट के हो?

जो abstruse वैज्ञानिक सर्तहरू असर, र (को "साधाराणका" को लागि यो अडिट भनिन्छ सकिएन मानिसहरूलाई) सबैभन्दा सरल भाषामा तिनीहरूलाई वर्णन, आफूलाई लागि आधारभूत अवधारणाहरु निर्धारण गर्न प्रयास गर्नुहोस्।

परिसर घटनाहरू नाम नै लागि बताइएको छ। सूचना सुरक्षा अडिट एक स्वतन्त्र प्रमाणिकरण वा छ साथीहरूको समीक्षा सूचना प्रणाली (छ) कुनै पनि कम्पनी, विशेष विकास मापदण्ड र संकेतक को आधारमा संस्था वा संगठन को सुरक्षा सुनिश्चित गर्न।

सरल मामलामा, उदाहरणका लागि, बैंक जानकारी सुरक्षा गर्न तल फोडे, इलेक्ट्रनिक पैसा को सुरक्षा, बैंकिङ गुप्ति को संरक्षण, र यति मा। डी बाहिर बाट संस्थाले अनधिकृत व्यक्ति को गतिविधिहरु मा हस्तक्षेप को मामला मा, प्रयोग बैंकिङ सञ्चालन द्वारा आयोजित ग्राहक डेटाबेस को सुरक्षा को स्तर आकलन गर्न अडिट इलेक्ट्रोनिक र कम्प्युटर सुविधा।

पक्कै पनि, पाठकहरु बीच त्यहाँ ऋण वा जम्मा, यो गर्न केही छ जो संग बैंक प्रशोधन को एक प्रस्ताव संग घर वा मोबाइल फोन भनिन्छ जो कम्तिमा एक व्यक्ति छ। एउटै खरिद लागू र केही पसलहरु बाट प्रदान गर्दछ। कहाँबाट आफ्नो कोठा आए?

यसलाई सरल छ। एक व्यक्ति पहिले ऋण लिएर वा जम्मा खातामा निवेश भने, पाठ्यक्रम, आफ्नो डाटा एक साधारण भण्डारण गरिएको छ ग्राहक आधार। तपाईं अर्को बैंक वा स्टोरबाट कल गर्दा केवल एक निष्कर्षमा हुन सक्छ: यो बारेमा जानकारी तेस्रो पार्टीहरूलाई अवैध आए। कसरी? सामान्य मा, त्यहाँ दुई विकल्प हो: या त यो चोरी भएको थियो, वा consciously तेस्रो दल गर्न बैंक को कर्मचारीहरु हस्तान्तरण। क्रममा यस्ता कुराहरू गरेनन्, र तपाईंले बैंक को जानकारी सुरक्षाको अडिट सञ्चालन गर्न समय चाहिन्छ र यो मात्र कम्प्युटर वा सुरक्षा को "फलाम" मतलब छ, तर संस्था सम्पूर्ण कर्मचारी लागू हुन्छ।

जानकारी सुरक्षा अडिट को मुख्य निर्देशन

अडिट को स्कोप सम्बन्ध, नियम, तिनीहरूले धेरै छन्:

• जानकारी प्रक्रियाहरू संलग्न भएको वस्तुहरु को पूर्ण चेक (कम्प्युटर स्वचालित प्रणाली, संचार, स्वागत, जानकारी प्रसारण र प्रशोधन, सुविधा, परिसर गोप्य बैठकहरू लागि, अनुगमन प्रणाली, आदि को अर्थ);
• संग सीमित पहुँच गोप्य जानकारी सुरक्षाको विश्वसनीयता जाँच (सम्भव रिसाव र मानक र गैर-मानक विधिहरू प्रयोग पहुँच यो बाहिर बाट अनुमति सम्भावित सुरक्षा प्वालहरू च्यानलहरूको सङ्कल्प);
• , विद्युत चुम्बकीय विकिरण र हस्तक्षेप गर्न जोखिम लागि सबै इलेक्ट्रोनिक हार्डवेयर र स्थानीय कम्प्युटरबाट प्रणाली को जाँच तिनीहरूलाई बन्द गर्न वा जीर्णता मा ल्याउन अनुमति दिने;
• परियोजना भाग, यसको व्यावहारिक कार्यान्वयन मा सिर्जना र सुरक्षा को अवधारणा को आवेदन मा काम समावेश जो (कम्प्युटर प्रणाली, सुविधा, संचार सुविधा, आदि को सुरक्षा)।

जब यो अडिट गर्न आउँछ?

जहाँ रक्षा पहिले नै भङ्ग भएको थियो, एउटा संगठन जानकारी सुरक्षा अडिट बाहिर गर्न सकिन्छ, र केही अन्य अवस्थामा डरलाग्दो परिस्थिति उल्लेख छैन।

सामान्यतया, यी अन्य कम्पनीहरु द्वारा कम्पनी को विस्तार, विलय, अधिग्रहण, टेकओभर समावेश, व्यापार अवधारणाहरु वा निर्देशन, देश भित्र अन्तर्राष्ट्रिय व्यवस्था वा विधान परिवर्तन, जानकारी पूर्वाधार मा बरु गम्भीर परिवर्तन पाठ्यक्रम परिवर्तन।

अडिट को प्रकार

आज, अडिट यस प्रकारको को धेरै वर्गीकरण धेरै विश्लेषकहरुको र विशेषज्ञहरु अनुसार स्थापित छैन। त्यसैले, केही अवस्थामा कक्षाहरू मा विभाजन एकदम मनपरी हुन सक्छ। तैपनि, सामान्य मा, जानकारी सुरक्षा को अडिट बाह्य र आन्तरिक भागमा विभाजन गर्न सकिन्छ।

के गर्ने अधिकार छ जो स्वतन्त्र विशेषज्ञहरु द्वारा आयोजित बाह्य अडिट, सामान्यतया एक पटक चेक, द्वारा व्यवस्थापन, शेयरधारकों, कानुन प्रवर्तन निकायहरूबाट, आदि सुरु हुन सक्छ जो यो जानकारी सुरक्षाको बाह्य अडिट सिफारिस छ (तर आवश्यक छैन) समय को एक सेट अवधि लागि नियमित गर्न विश्वास छ। तर केही संगठन र उद्यम लागि, व्यवस्था अनुसार, यो अनिवार्य छ (उदाहरणका लागि, वित्तीय संस्थाहरू र संगठन, संयुक्त स्टक कम्पनीहरु, र अरूको लागि।)।

आन्तरिक लेखा परीक्षण जानकारी सुरक्षा स्थिर प्रक्रिया छ। यो एक विशेष "आन्तरिक लेखा परीक्षण मा विनियम" मा आधारित छ। यो के हो? वास्तवमा, यो प्रमाणीकरण गतिविधिहरु बाहिर संगठनमा, व्यवस्थापन द्वारा अनुमोदित मामलामा लगे। उद्यमी को विशेष संरचनात्मक उपशाखा द्वारा एक सूचना सुरक्षा अडिट।

अडिट को वैकल्पिक वर्गीकरण

सामान्य मामला मा वर्गमा माथि-वर्णन विभाजन बाहेक, हामी अन्तर्राष्ट्रिय वर्गीकरण बनेको धेरै घटक छुट्याउन सक्नुहुन्छ:

• विशेषज्ञ विशेषज्ञहरु को व्यक्तिगत अनुभव, आफ्नो सञ्चालन आधारमा जानकारी सुरक्षा र सूचना प्रणाली को स्थिति जाँच;
• अन्तर्राष्ट्रिय स्तर (आईएसओ 17799) र गतिविधिको यस क्षेत्र विनियमन राष्ट्रिय कानुनी साधन अनुपालनको लागि प्रमाणीकरण प्रणाली र सुरक्षा उपाय;
• सफ्टवेयर र हार्डवेयर जटिल मा संभावित संवेदनशीलता पहिचान उद्देश्य प्राविधिक माध्यम प्रयोग जानकारी प्रणाली को सुरक्षा को विश्लेषण।

कहिलेकाहीं यो लागू र तथाकथित व्यापक अडिट, माथि प्रकार को सबै समावेश जो गर्न सकिन्छ। खैर, त्यो भन्दा उद्देश्य परिणाम दिन्छ।

मंचन लक्ष्य र उद्देश्य

कुनै पनि प्रमाणिकरण, आन्तरिक वा बाह्य कि, लक्ष्य र उद्देश्य सेट साथ सुरु हुन्छ। बस राख्नु, तिमी किन, कसरी र के परीक्षण गरिने निर्धारण गर्न आवश्यक छ। यो सम्पूर्ण प्रक्रिया पूरा को थप प्रक्रिया निर्धारण गर्नेछ।

उद्यमी, संस्था, संस्था र यसको गतिविधिहरु को विशिष्ट संरचना आधारमा कार्य, एकदम धेरै हुन सक्छ। तर, सबै यो विज्ञप्ति amidst, जानकारी सुरक्षा अडिट को एकीकृत लक्ष्य:

• जानकारी सुरक्षा र सूचना प्रणाली को राज्य को मूल्यांकन;
• सम्भावित जोखिम बाह्य आईपी र यस्तो हस्तक्षेप गर्ने सम्भावित modalities मा प्रवेश को जोखिम सम्बन्धित विश्लेषण;
• सुरक्षा प्रणालीमा प्वालहरू र अंतराल को स्थानीयकरण;
• वर्तमान स्तर र नियामक र कानुनी प्रेरित गर्न सूचना प्रणाली को सुरक्षा को उपयुक्त स्तर को विश्लेषण;
• विकास र विद्यमान उपचार को विद्यमान समस्या हटाउन, साथै सुधार र नयाँ विकासक्रम को परिचय मुछिएको सिफारिसहरू को वितरण।

पद्धति र अडिट उपकरण

अब के कदम र अर्थ चेक र यसलाई कसरी समावेश बारेमा केही शब्द।

एक जानकारी सुरक्षा अडिट धेरै चरणमा हुन्छन्:

• प्रमाणिकरण प्रक्रिया सुरुवात (को लेखापरीक्षक को अधिकार र जिम्मेवारी स्पष्ट परिभाषा, को लेखापरीक्षक योजना को तैयारी र व्यवस्थापन यसको समन्वय गर्ला, अध्ययन को सीमाहरु को प्रश्न, हेरचाह गर्न र सान्दर्भिक जानकारी समय सुहाउँदो प्रावधान संगठन प्रतिबद्धता सदस्यहरू मा कर);
• प्रारम्भिक डाटा (सुरक्षा संरचना, सुरक्षा सुविधाहरू वितरण, प्राप्त र संचार च्यानल र, कम्प्युटर नेटवर्क को प्रयोगकर्ताहरूको वर्गीकरणका, संकल्पलाई प्रोटोकल, आदि अन्य संरचना संग आईपी अन्तरक्रिया को जानकारी, अठोट प्रदान लागि सिस्टम प्रदर्शन विश्लेषण विधि को सुरक्षा स्तर) सङ्कलन;
• एक व्यापक वा आंशिक निरीक्षण सञ्चालन;
• डाटा विश्लेषण (कुनै पनि प्रकार र पालन जोखिम विश्लेषण);
• सिफारिसहरू issuing संभावित समस्या सम्बोधन गर्न;
• प्रतिवेदन।

यसको निर्णय कम्पनी व्यवस्थापन र लेखापरीक्षक बीच केवल बनेको छ किनभने पहिलो चरणको सबैभन्दा सरल छ। विश्लेषण को सीमाहरु कर्मचारीहरु वा शेयरधारकों को सामान्य सभामा छलफल गर्न सकिन्छ। यो र सबै थप कानुनी क्षेत्रमा सम्बन्धित।

दोस्रो यो जानकारी सुरक्षा वा बाह्य स्वतन्त्र प्रमाणीकरण को आन्तरिक लेखा परीक्षण छ कि छैन भनेर, आधारलाइन डाटा को संग्रह को चरण सबैभन्दा स्रोत-गहन छ। यो यस चरण मा तपाईं मात्र होइन सबै हार्डवेयर र सफ्टवेयर सम्बन्धी प्रौद्योगिकी दस्तावेज जाँच्न आवश्यकता हो, तर पनि साँघुरो-साक्षात्कार गर्ने कम्पनीको कर्मचारीहरु गर्न भन्ने तथ्यलाई कारण छ, र विशेष questionnaires वा सर्वेक्षण भर्नु संग पनि प्रायजसो।

प्रौद्योगिकी दस्तावेज लागि, यो आईसी संरचना मा डाटा र पहुँच अधिकार को प्राथमिकता स्तर यसको कर्मचारीहरु गर्न, प्रणाली-विस्तृत र (व्यापार आवेदन सञ्चालन प्रणाली, आफ्नो व्यवस्थापन र लेखा) आवेदन सफ्टवेयर पहिचान गर्न सफ्टवेयर को स्थापना संरक्षण साथै प्राप्त गर्न, महत्त्वपूर्ण छ र गैर-कार्यक्रम प्रकार (एन्टिभाइरस सफ्टवेयर, फायरवाल, आदि)। साथै, यो सञ्जाल र दूरसञ्चार सेवा को प्रदायक पूर्ण प्रमाणिकरण समावेश (नेटवर्क संगठन, जडान लागि प्रयोग प्रोटोकल, सञ्चार च्यानलहरू प्रकार, प्रसारण र स्वागत विधिहरू जानकारी प्रवाह, र थप)। स्पष्ट छ, यो धेरै समय लाग्छ।

अर्को चरणमा, जानकारी सुरक्षा अडिट को विधिहरू। तीन हो:

• जोखिम विश्लेषण (सबै भन्दा कठिन प्रविधी, आईपी उल्लङ्घन को प्रवेश र सबै सम्भव विधिहरू र उपकरण प्रयोग गरेर यसको निष्ठा गर्न लेखापरीक्षक को संकल्प मा आधारित);
• स्तर र कानून (साधारण र सबै भन्दा व्यावहारिक विधि मामिलामा को वर्तमान स्थिति को एक तुलना र अन्तर्राष्ट्रिय स्तर र जानकारी सुरक्षा को क्षेत्र मा घरेलू कागजातहरू को आवश्यकताहरु मा आधारित) अनुपालन को मूल्यांकन;
• संयुक्त विधि पहिलो दुई जोडती छ।

आफ्नो विश्लेषण को प्रमाणिकरण परिणाम प्राप्त गरेपछि। धन अडिट जानकारी सुरक्षा, को विश्लेषण लागि प्रयोग गरिन्छ जो, एकदम अंतर रहन्थ्यो गर्न सकिन्छ। यो सबै उद्यम, जानकारी को प्रकार, तपाईं प्रयोग सफ्टवेयर, सुरक्षा र यति मा। तर, पहिलो विधि मा देख्न सकिन्छ को रूप मा, लेखापरीक्षक मुख्य रूप आफ्नै अनुभव भर छ को विशेष मा निर्भर गर्दछ।

र मात्र यो पूर्णतया सूचना प्रविधि र डाटा सुरक्षा क्षेत्रमा योग्य हुनुपर्छ भन्ने हो। यो विश्लेषण, को लेखापरीक्षक को आधार र सम्भावित जोखिम गणना गर्छ।

यो व्यापार वा लेखा लागि, सञ्चालन प्रणाली वा उदाहरणका लागि, प्रयोग कार्यक्रममा मात्र व्यवहार गर्नुपर्छ, तर पनि एउटा आक्रमणकारीले कसरी चोरी, क्षति र डाटा को विनाश, उल्लंघन preconditions सिर्जना गर्ने उद्देश्यका लागि जानकारी प्रणाली भित्र भित्र पस्नु सक्नुहुन्छ स्पष्ट बुझ्न नोट कम्प्युटर मा, भाइरस वा मालवेयर फैलाउने।

अडिट निष्कर्ष र समस्या सम्बोधन गर्न सिफारिसहरू मूल्यांकन

विश्लेषण आधारित विशेषज्ञ सुरक्षा स्थितिको बारेमा निष्कर्ष र विद्यमान वा संभावित समस्या सम्बोधन गर्न सिफारिसहरू, सुरक्षा अपग्रेड, आदि दिन्छ सिफारिसहरू मात्र निष्पक्ष छैन हुनुपर्छ, तर पनि स्पष्ट उद्यम विशेष को वास्तविकताहरु बाँधिएको। अर्को शब्दमा, कम्प्युटर वा सफ्टवेयरको कन्फिगरेसन अपग्रेड सुझावहरूको स्वीकार्य छैन। यो उत्तिकै आफ्नो गन्तव्य, स्थान र औचित्य निर्दिष्ट बिना "अविश्वसनीय" कर्मियों, नयाँ ट्रयाकिङ सिस्टम स्थापना को निष्कासन को सल्लाह लागू हुन्छ।

विश्लेषण आधारित नियम, त्यहाँ धेरै जोखिम समूहहरू छन्। यस मामला मा, सङ्कलन गर्न एक सारांश रिपोर्ट दुई प्रमुख संकेतक प्रयोग गर्दछ: (। सम्पत्ति हानि, प्रतिष्ठा को कमी, छवि को हानि र यति मा) आक्रमण को सम्भावना र फलस्वरूप कम्पनी गर्न कारण भएको क्षति। तर, समूह को प्रदर्शन गर्न नै हो। उदाहरणका लागि, आक्रमण को सम्भावना कम-स्तर सूचक सबै भन्दा राम्रो छ। त्यसको विपरीत - क्षतिहरूको लागि।

त्यसपछि मात्र सबै चरणमा, विधि र अनुसन्धान को माध्यम चित्रित विवरणहरू एक रिपोर्ट संकलित। कम्पनी र लेखापरीक्षक - उहाँले नेतृत्व संग सहमत र दुई पक्ष द्वारा हस्ताक्षर गरे। यदि , अडिट आन्तरिक एक रिपोर्ट सम्बन्धित संरचनात्मक एकाइ, जो पछि उहाँले फेरि, टाउको द्वारा हस्ताक्षर को टाउको छ।

सूचना सुरक्षा अडिट: उदाहरण

अन्तमा, हामी पहिले देखि नै भएको छ कि एक अवस्थाको साधारण उदाहरण विचार गर्नुहोस्। धेरै, खैर, यो धेरै परिचित लाग्न सक्छ।

उदाहरणका लागि, संयुक्त राज्य अमेरिका मा एक कम्पनीको खरीद कर्मचारी, को ICQ तत्काल दूत कम्प्युटर मा स्थापित (कर्मचारी र कम्पनीको नाम को नाम को स्पष्ट कारण नाम छैन)। वार्ता यो कार्यक्रम को माध्यम द्वारा ठीक सञ्चालन गरेका थिए। तर "ICQ" एकदम सुरक्षा मामलामा कमजोर छ। समय वा मा दर्ता संख्या मा आत्म कर्मचारी इमेल ठेगाना छैन, वा यसलाई दिन चाहेनन्। बरु, उहाँले ई-मेल, र गैर-अस्तित्वहीन डोमेन जस्तै कुरा औंल्याउनुभयो।

को आक्रमणकारीले के हुनेछ? जानकारी सुरक्षाको अडिट देखाएको, यो ठीक त्यही डोमेन पासवर्ड रिकभरी अनुरोध, ICQ सेवा स्वामित्व Mirabilis कम्पनी सन्देश पठाउन सकिएन कारण यसको हानि दर्ता हुनेछ गर्न र सिर्जना, यो मा हुनेछ अर्को दर्ता टर्मिनल, र त्यसपछि (कि गरेको थियो )। मेल सर्भर को प्राप्तकर्ता थियो, यो समावेश थियो पुनर्निर्देशित - अवस्थित विना अधिकार घुस्ने व्यक्ति मेल गर्न पुनर्निर्देशित।

फलस्वरूप, उहाँले दिइएको ICQ नम्बर संग पत्राचार पहुँच हुन्छ र एक निश्चित देशमा माल को प्राप्तकर्ता को ठेगाना परिवर्तन गर्न आपूर्तिकर्ता जानकारी। यसरी, एउटा अज्ञात गन्तव्यमा माल पठाए। र यो सबै भन्दा अहानिकारक उदाहरण हो। त्यसैले, disorderly आचरण। र अधिक गर्न सक्षम छन् जो थप गम्भीर ह्याकरहरूलाई के ...

निष्कर्षमा

यहाँ एक संक्षिप्त र सबै आईपी सुरक्षा अडिट गर्न भन्छिन् छ। निस्सन्देह, यो सबै पक्षहरू प्रभावित छैन। कारण समस्या र यसको आचरणको विधिहरू को तैयार मा कारक को धेरै असर गर्छ, त्यसैले प्रत्येक मामला मा दृष्टिकोण कडाई व्यक्तिगत बस छ। साथै, सूचना सुरक्षा अडिट को विधि र माध्यम फरक आईसीएस लागि अलग अलग हुन सक्छन्। तर, मलाई लाग्छ, धेरै यस्ता परीक्षण को सामान्य सिद्धान्त पनि प्राथमिक तहमा स्पष्ट हुन्छन्।