Audit Keamanan Informasi: Objectives, cara lan pribadi, contone. audit keamanan informasi saka bank

Dina iki, everyone mangerténi tembung meh suci sing ndarbeni informasi, ndarbeni donya. Môngka ing wektu kita kanggo nyolong informasi rahasia sing nyoba kanggo kabeh lan sundry. Ing gati, dijupuk langkah-langkah unprecedented lan implementasine saka liya saka pangayoman marang serangan bisa. Nanging, kadang sampeyan uga kudu tumindak audit kaamanan informasi perusahaan. Apa iku lan apa iku kabeh saiki, lan nyoba kanggo ngerti.

Apa audit kaamanan informasi ing definition umum?

Sing ora bakal mengaruhi istilah ilmiah abstruse, lan nyoba kanggo nemtokake kanggo piyambak konsep dhasar, njlentrehke ing basa paling prasaja (wong iku bisa disebut audit kanggo "pager").

Jeneng acara Komplek ngandika kanggo dhewe. audit keamanan informasi iku sawijining verifikasi utawa peer review kanggo njamin keamanan sistem informasi (IS) saka perusahaan sembarang, institusi utawa organisasi ing basis saka kritéria dikembangaké khusus lan pratondho.

Ing istilah prasaja, contone, audit keamanan informasi bank iku boils mudhun kanggo, kanggo netepke tingkat saka pangayoman saka data customer dianakaké dening operasi banking, safety saka dhuwit elektronik, pengawetan pump banking, lan ing. D. Ing cilik saka gangguan ing aktivitas saka sah wong institusi saka njaba, nggunakake elektronik lan komputer fasilitas.

Mesthi, antarane nonton ana ing paling siji wong sing disebut ngarep utawa telpon seluler karo proposal saka proses etangan utawa simpenan, Bank kang wis boten apa. Padha ditrapake kanggo tumbas lan nawakake saka sawetara toko. Sangka ngendi tekané munggah kamar?

Iku prasaja. Yen wong sadurunge njupuk silihan utawa nandur modhal ing akun simpenan, mesthi, datane wis disimpen ing umum basa customer. Nalika sampeyan nelpon saka bank liyane utawa nyimpen bisa mung siji kesimpulan: informasi bab teka ilegal kanggo pihak katelu. Carane? Umumé, ana rong opsi: salah siji iki dicolong, utawa ditransfer kanggo karyawan bank kanggo pihak katelu sadar. Supaya kanggo mengkono iku durung kelakon, lan sampeyan kudu wektu kanggo tumindak audit kaamanan informasi saka bank, lan iki ditrapake ora mung kanggo komputer utawa "wesi" liya saka pangayoman, nanging kabeh Staff institusi.

Pituduh utama audit keamanan informasi

Minangka regards orane katrangan saka audit, minangka aturan, lagi saperangan:

• mriksa kebak obyek melu ing pangolahan informasi (sistem komputer otomatis, tegese komunikasi, reception, transmisi informasi lan Processing, fasilitas, latar kanggo rapat-rapat rahasia, sistem ngawasi, lan sapiturute);
• mriksa linuwih saka pangayoman saka informasi rahasia karo akses winates (netepake bisa bocor lan potensial saluran bolongan keamanan ngijini akses saka njaba kanthi nggunakake cara standar lan non-standard);
• mriksa kabeh hardware lan lokal sistem komputer elektronik kanggo cahya kanggo radiasi elektromagnetik lan gangguan, saéngga mateni utawa nggawa menyang disrepair;
• project part, kang kalebu karya ing tumitah lan aplikasi saka konsep keamanan ing implementasine praktis sawijining (perlindungan sistem komputer, fasilitas, fasilitas komunikasi, lan sapiturute).

Nalika nerangake audit?

Ora kanggo sebutno kahanan kritis ngendi nimbali iki wis bejat, audit kaamanan informasi ing organisasi bisa digawa metu, lan ing sawetara kasus liyane.

Biasane, iki kalebu ing expansion saka perusahaan, dados setunggal, disualekno, takeover dening perusahaan, ngganti mesthi saka konsep bisnis utawa pedoman, owah-owahan ing hukum internasional utawa ing aturan ing negara, owah-owahan rodo serius ing infrastruktur informasi.

jinis audit

Dina iki, banget klasifikasi iki jinis audit, miturut akeh Analysts lan ahli ora mantep. Mulane, ing divisi menyang kelas ing sawetara kasus bisa cukup kasepakatan. Nanging, ing umum, ing audit kaamanan informasi bisa dipérang dadi njaba lan internal.

Audit external conducted dening ahli sawijining sing duwe hak apa, biasane mriksa siji-wektu, kang bisa miwiti dening Manajemen, kang nyekel saham, agensi pelaksanaane hukum, etc. Punika pitados bilih audit external kaamanan informasi dianjurake (nanging ora dibutuhake) kanggo nindakake ajeg kanggo periode pesawat wektu. Nanging kanggo sawetara organisasi lan Enterprises, miturut hukum, iku prentah (contone, institusi financial lan organisasi, perusahaan gabungan, lan liya-liyane.).

Internal keamanan informasi audit proses pancet. Punika adhedhasar "Peraturan ing Audit Internal" khusus. Apa iku? Ing kasunyatan, aktivitas sertifikat iki digawa metu ing organisasi, ing syarat-syarat disetujoni dening Manajemen. Audit keamanan informasi kanthi bagean-bagean struktural khusus ing perusahaan.

Klasifikasi alternatif saka audit

Kejabi divisi ndhuwur-diterangake menyang kelas ing kasus umum, kita bisa mbedakake sawetara komponen digawe ing klasifikasi internasional:

• Expert mriksa status keamanan lan informasi sistem informasi ing basis saka pengalaman pribadi saka ahli, ngleksanakke sawijining;
• sistem sertifikat lan keamanan ngukur kanggo netepi standar internasional (ISO 17799) lan instrumen legal nasional ngatur iki kegiatan;
• analisis keamanan sistem informasi kanthi nggunakake liya technical ngarahke ing Ngenali potensial vulnerabilities ing software lan hardware Komplek.

Kadang bisa Applied lan supaya disebut-audit lengkap, kang kalebu kabeh jinis ndhuwur. Miturut cara, kang menehi asil paling adil.

gol lan dislametaké gelaran

Sembarang verifikasi, apa internal utawa njaba, wiwit karo nyetel gol lan dislametaké. Cukup, sampeyan perlu kanggo nemtokake apa, carane lan apa bakal dites. Iki bakal nemtokake prosedur luwih saka mbeta metu kabeh proses.

Tugas, gumantung ing struktur tartamtu saka perusahaan, organisasi, institusi lan aktivitas bisa dadi cukup akèh. Nanging, ngawulo kabeh release iki, goal ndadekake audit keamanan informasi:

• Assessment negara sistem keamanan informasi lan informasi;
• analisis risiko bisa gadhah resiko seng nembus menyang IP lan modalities bisa kuwi campur tangan;
• pelokalan bolongan lan kesenjangan ing sistem keamanan;
• analisis saka tingkat cocok saka keamanan sistem informasi standar saiki lan tumindak peraturan lan legal;
• pembangunan lan pangiriman Rekomendasi nglibatno aman saka masalah sing ana, uga asil dandan saka obat ana lan introduksi saka pembangunan anyar.

Tata lan audit pribadi

Saiki sawetara tembung bab carane mriksa lan apa langkah lan tegese iku melu.

Audit keamanan informasi kasusun saka sawetara orane tumrap sekolah:

• mulai tata cara verifikasi (definisi cetha saka hak-hak lan tanggung jawab auditor ing, auditor ing kir preparation saka rencana lan sesambungan karo manajemen, pitakonan saka wates saka sinau, ing imposition ing anggota saka prasetya organisasi kanggo Care lan panentu pas wektune saka informasi sing cocog);
• ngempalaken data dhisikan (struktur keamanan, distribusi fitur keamanan, tingkat keamanan cara analisis kinerja sistem kanggo nggayuh lan mènèhi informasi, netepake saluran komunikasi lan interaksi IP karo struktur liya, hirarki kedhaftar saka jaringan komputer, protokol netepake, lan sapiturute);
• tumindak pengawasan lengkap utawa sebagean;
• analisis data (analisis risiko sembarang tipe lan selaras);
• nerbitake Rekomendasi kanggo alamat masalah potensial;
• laporan generasi.

Ing tataran kapisan paling prasaja, amarga menehi keputusan digawe namung antarane management company lan auditor ing. Wates analisis bisa dianggep ing patemon umum karyawan utawa pemegang saham. Kabeh iki lan liyane related kanggo lapangan legal.

Ing tataran kapindho kempalan data garis dasar, apa iku audit internal kaamanan informasi utawa sertifikat sawijining external paling sumber-intensif. Iki amarga nyatanipun bilih ing tataran iki sampeyan kudu ora mung nliti dokumentasi technical hubungane kabeh hardware lan software, nanging uga kanggo panah-Interviewing karyawan perusahaan, lan ing paling kasus malah karo Isi questionnaires khusus utawa survey.

Minangka kanggo dokumentasi technical, iku penting kanggo njupuk data ing struktur IC lan tingkat prioritas hak akses kanggo karyawan, kanggo ngenali sistem-sudhut lan software aplikasi (sistem operasi kanggo aplikasi bisnis, manajemen lan accounting sing), sarta pangayoman diadegaké saka piranti lunak lan jinis non-program (software antivirus, firewalls, etc.). Kajaba iku, iki kalebu verifikasi kebak jaringan lan panyedhiya layanan telekomunikasi (organisasi jaringan, protokol digunakake kanggo sambungan, jinis saluran komunikasi, transmisi lan cara reception informasi mili, lan liyane). Minangka Cetha, iku njupuk akèh wektu.

Ing tataran iki sabanjuré, cara saka audit keamanan informasi. Padha telung:

• analisis resiko (teknik paling angel, adhedhasar netepake auditor kanggo seng nembus saka pelanggaran IP lan integritas sawijining nggunakake kabeh cara bisa lan pribadi);
• Assessment selaras karo standar lan aturan (cara paling gampang lan paling praktis adhedhasar comparison saka negara sing saiki urusane lan syarat standar internasional lan dokumen domestik ing lapangan kaamanan informasi);
• cara digabungake sing nggabungke loro.

Sawise nampa asil verifikasi analisis sing. Dana Audit kaamanan informasi, kang digunakake kanggo analisis, bisa cukup mawarni-warni. Iku kabeh gumantung ing spesifik saka perusahaan, jenis informasi, piranti lunak sing nggunakake, pangayoman lan ing. Nanging, bisa ndeleng ing cara kapisan, auditor utamané kudu gumantung ing dhewe pengalaman.

Lan sing mung tegese iku kudu kebak qualified ing bidang teknologi informasi lan data pangayoman. Ing basis saka analisis iki, auditor lan ngétung risiko bisa.

Elinga yen iku kudu menehi hasil ora mung ing sistem operasi utawa program digunakake, contone, kanggo bisnis utawa accounting, nanging uga kanggo ngerti cetha carane panyerangan bisa nembus menyang sistem informasi kanggo tujuan nyolong, karusakan lan karusakan saka data, nitahaken saka preconditions kanggo Pelanggaran ing komputer, panyebaran virus utawa malware.

Evaluasi temonan audit lan Rekomendasi kanggo ngrampungi perkawis

Adhedhasar analisis pakar ateges bab status pangayoman lan menehi Rekomendasi kanggo alamat masalah ana utawa potensial, nginggilaken keamanan, etc. Rekomendasi sing ora mung dadi padha, nanging uga cetha disambungake kasunyatan saka spesifik perusahaan. Ing tembung liyane, tips nganyarke konfigurasi komputer utawa piranti lunak sing ora ditampa. Iki merata ditrapake kanggo saran saka buyaran saka "ora" personel, nginstal sistem ranging anyar tanpa khusus panggonan sing, lokasi lan appropriateness.

Adhedhasar analisis, minangka aturan, ana sawetara klompok risiko. Ing kasus iki, kanggo ngumpulake laporan ringkesan migunakake loro pratondho tombol: (. Mundhut aset, abang reputasi, mundhut saka gambar lan ing) kemungkinan serangan lan karusakan nyebabake kanggo perusahaan minangka asil. Nanging, ing kinerja saka kelompok ora padha. Contone, indikator-tingkat kurang kanggo kemungkinan serangan paling. Kanggo kerusakan - ing nalisir.

Mung banjur nyawiji laporan rincian dicet kabeh orane tumrap sekolah, cara lan liya panaliten. Dheweke sarujuk karo kepemimpinan lan mlebu dening loro - perusahaan lan auditor ing. Yen audit internal, iku laporan kepala unit struktural pamilike, sawise kang, maneh, mlebu dening sirah.

audit keamanan Informasi: Conto

Akhire, kita nimbang conto gampang saka kahanan sing wis kedaden. Akeh, dening cara, sampeyan koyone banget menowo.

Contone, Staff mundhut barang utowo jasa perusahaan ing Amerika Serikat, diadegaké ing ICQ komputer cepet utusan (jeneng saka pegawe lan jeneng perusahaan ora dijenengi kanggo alasan ketok). Rembugan conducted sabenere kanthi program iki. Nanging "ICQ" cukup ngrugekke ing syarat-syarat keamanan. pegawe poto ing nomer Pendhaftaran ing wektu utawa ora duwe alamat email, utawa mung ora arep menehi iku. Nanging, nuding menyang kaya e-mail, lan malah domain non-ana.

Apa bakal penyerang? Nalika ditampilake dening audit kaamanan informasi, iku bakal kedhaftar persis domain padha lan digawe bakal ing, terminal Pendhaftaran liyane, lan banjur bisa ngirim pesen kanggo perusahaan Mirabilis sing ndarbeni layanan ICQ, njaluk pèngetan tembung sandhi amarga mundhut sawijining (sing bakal rampung ). Minangka panampa saka server mail iki ora, iku klebu pangalihan - pangalihan menyang mail intruder ana.

Akibaté, piyambakipun nemu akses kanggo Correspondence karo nomer ICQ diwenehi lan informs Supplier kanggo ngganti alamat panampa saka barang ing negara tartamtu. Mangkono, barang dikirim menyang panggonan sing ora dingerteni. Lan iku conto sing paling aman. Dadi, tumindak pasulayan. Lan apa bab peretas liyane serius sing bisa kanggo luwih ...

kesimpulan

Punika ringkes lan kabeh sing ono kanggo audit keamanan IP. Mesti wae, iku wis ora kena pengaruh dening kabeh aspèk iku. Alasanipun mung sing ing formulasi masalah lan cara saka sawijining tumindak mengaruhi akèh faktor, supaya pendekatan ing saben cilik strictly individu. Kajaba iku, ing cara lan liya saka audit keamanan informasi bisa beda-beda kanggo ICS beda. Nanging, aku, prinsip umum tes kuwi kanggo akeh dadi nyoto malah ing tingkat utami.