Мэдээллийн аюулгүй байдлын аудит: Зорилго, арга, хэрэгсэл, жишээ нь. банкны Мэдээллийн аюулгүй байдлын аудит

Өнөөдөр хүн бүр ертөнцийг эзэмшиж, мэдээлэл эзэмшдэг бараг л ариун нандин үгсийг мэддэг. яагаад хулгайлж бидний цаг үед байгаа юм нууц мэдээллийг бүгдийг мөн өөр өөр гэж оролдож байна. Энэ талаар урьд өмнө байгаагүй арга хэмжээ, гарч болзошгүй халдлагын эсрэг хамгаалах арга хэрэгжилтийг авсан. Гэсэн хэдий ч, заримдаа та аж ахуйн нэгжийн мэдээллийн аюулгүй байдлын аудит хийх хэрэгтэй байж болох юм. Энэ нь юу вэ, яагаад одоо бүх юм, ойлгох гэж оролддог.

ерөнхий тодорхойлолтод мэдээллийн аюулгүй байдлын аудит гэж юу вэ?

Хэн үгтэй шинжлэх ухааны нэр томъёо нөлөөлж, болон ( "арвин нөөцтэй" хувьд энэ нь аудитын гэж нэрлэдэг болох хүн) хамгийн энгийн хэлээр тэдгээрийг тодорхойлох, өөрсдөө үндсэн үзэл баримтлалыг тодорхойлохын тулд хичээх болно.

нарийн төвөгтэй үйл явдлын нэр нь өөрийн ярьдаг. Мэдээллийн аюулгүй байдлын аудит бие даасан шалгалт, эсвэл юм нэмэрлэж тусгайлан боловсруулсан шалгуур, үзүүлэлтийн үндсэн дээр ямар нэг компани, байгууллага, байгууллагын мэдээллийн системийн (IS) аюулгүй байдлыг хангах.

Энгийнээр хэлбэл, жишээ нь, банкны мэдээллийн аюулгүй байдал, цахим мөнгөний аюулгүй байдал, банкны нууцыг хадгалах, гэх мэт. Д. гаднаас байгууллага зөвшөөрөлгүй хүмүүсийн үйл ажиллагаанд хөндлөнгөөс тохиолдолд ашиглан банкны үйл ажиллагаа зохион байгуулсан хэрэглэгчийн мэдээллийн санг хамгаалах түвшинг үнэлэх аудит хийх доош багасвал электрон болон компьютерийн байгууламж.

Мэдээж, уншигчдын дунд бий зээл болон хадгаламж, банк аль нь энэ нь ямар ч холбоогүй боловсруулах санал гэртээ, эсвэл гар утас хэмээх наад зах нь нэг хүн байна. Нэг худалдан хамаатай, зарим дэлгүүрт санал болгож байна. Хаанаас таны өрөөнд дээр очсон юм бэ?

Энэ нь энгийн юм. хүн өмнө нь зээл авч, эсвэл хадгаламжийн дансанд хөрөнгө оруулалт бол, мэдээж, түүний өгөгдөл нь нийтлэг хадгалагдаж байгаа хэрэглэгчийн бааз. Хэрэв та өөр банк болон дэлгүүрээс дуудах үед зөвхөн нэг дүгнэлт байж болох юм: энэ тухай мэдээллийг гуравдагч этгээдэд хууль бусаар ирсэн. Вэ? Ер нь, хоёр сонголт бий: аль нь хулгайлсан, эсвэл ухамсартайгаар гуравдагч этгээдэд банкны ажилтан шилжүүлсэн байна. тулд ийм зүйл тохиолдох нь юм биш, та банкны мэдээллийн аюулгүй байдлын аудит хийх цаг хугацаа хэрэгтэй бөгөөд энэ нь зөвхөн компьютер эсвэл хамгаалах нь "төмөр" гэсэн утгатай ч байгууллагын нийт ажилтан хамаарна.

Мэдээллийн аюулгүй байдлын аудитын үндсэн чиглэл

Аудитын хамрах хүрээ хувьд нь зарчмын хувьд, тэд хэд хэдэн байна:

• мэдээллийн үйл явцад оролцож буй объектын бүрэн шалгалт (компьютер автоматжуулсан систем, харилцаа холбоо, хүлээн авах, мэдээлэл дамжуулах, боловсруулах, барилга байгууламж, нууц уулзалтын байранд, хяналт-шинжилгээ систем гэх мэт нь гэсэн үг юм);
• хязгаарлагдмал хандалттай нууц мэдээллийг хамгаалах найдвартай байдлыг шалгах (боломжтой алдагдах, стандарт болон стандарт бус аргаар гаднаас үүнийг хандалтыг зөвшөөрөхийн боломжит аюулгүй байдлын цоорхойнууд сувгуудыг тодорхойлох);
• Тэднийг унтраах эсвэл эвдэрсэн нь авчрах боломж олгох, цахилгаан соронзон цацраг болон хөндлөнгийн нөлөөнд бүх электрон техник хангамж болон орон нутгийн компьютерийн системийг шалгах;
• Төслийн нэг хэсэг, түүний практик хэрэгжүүлэхэд бий болгох, аюулгүй байдлын үзэл баримтлал хэрэглэх ажлыг орно (компьютерийн систем, барилга байгууламж, харилцаа холбоо байгууламж, гэх мэт хамгаалалт).

Энэ нь аудит ирдэг вэ?

Батлан хамгаалахын аль хэдийн эвдэрсэн байсан нь байгууллагын мэдээллийн аюулгүй байдлын аудит хийж болно, бусад зарим тохиолдолд чухал ач холбогдолтой нөхцөл байдлыг дурьдах байх.

Ерөнхийдөө эдгээр нь бусад компаниудын компанийн өргөжүүлэх, нэгдэх, худалдан авах, төрийн эргэлт зэрэг, бизнесийн үзэл баримтлал, эсвэл удирдамж, улс орны дотор нь олон улсын хууль болон хууль тогтоомжийн өөрчлөлт, мэдээллийн дэд бүтэц гэхээсээ ноцтой өөрчлөлтийн чиглэлээ өөрчлөх.

Аудитын төрөл

Өнөөдөр олон шинжээч, мэргэжилтнүүдийн дагуу аудитын энэ төрлийн маш ангилал, тогтоосон байна. Тиймээс зарим тохиолдолд анги болгон хуваах нь маш дур мэдэн байж болно. Гэсэн хэдий ч, ерөнхийдөө, мэдээллийн аюулгүй байдлын аудит гадаад, дотоод хувааж болно.

хийх эрхтэй бие даасан шинжээчдийн хийсэн нь хөндлөнгийн аудит, ихэвчлэн нэг удаа шалгах, удирдлага, хувьцаа эзэмшигчид, хууль сахиулах байгууллага гэх мэт санаачилж болно байх Энэ нь мэдээллийн аюулгүй байдлын гадны аудитын санал болгосон байна (шаардлагатай боловч) цаг тогтоосон хугацаанд тогтмол хийх гэж үздэг. Гэвч зарим байгууллага, аж ахуйн нэгж нь хуулийн дагуу, энэ нь заавал байх (жишээ нь, санхүүгийн байгууллагууд, байгууллага, хувьцаат компаниуд, бусдын төлөө.).

Дотоод аудитын мэдээллийн аюулгүй байдлын байнгын үйл явц юм. Энэ нь тусгай "Дотоод хяналт шалгалтын тухай журам" дээр үндэслэсэн байна. Энэ юу вэ? Үнэн хэрэгтээ энэ баталгаажуулалтын үйл ажиллагааг зохион байгуулалт, удирдлага баталсан хувьд хийсэн. аж ахуйн нэгжийн тусгай бүтцийн салбарт гэхэд нь мэдээллийн аюулгүй байдлын аудит.

Аудитын хувилбарт ангилал

Ерөнхий тохиолдолд анги руу Дээр дурдсан хэлтсийн гадна, бид олон улсын ангилал хийсэн хэд хэдэн бүрэлдэхүүн хэсгүүдийг ялгаж болно:

• Шинжээч мэргэжилтнүүд хувийн туршлага, түүний явуулах үндсэн дээр мэдээллийн аюулгүй байдлын болон мэдээллийн систем статусыг шалгах;
• олон улсын стандарт (ISO 17799) болон үйл ажиллагааны энэ салбарт зохицуулах үндэсний эрх зүйн дагуу баталгаажуулалтын систем, аюулгүй байдлын арга хэмжээ;
• програм хангамж, тоног төхөөрөмжийн цогцолборын болзошгүй эмзэг байдлыг тодорхойлох зорилготой техник хэрэгслийг ашиглах нь мэдээллийн системийн аюулгүй байдлын дүн шинжилгээ хийх.

Заримдаа энэ нь хэрэглэж, гэж нэрлэгддэг цогц аудитын дээрх төрлийн бүх багтаасан болно. Дашрамд хэлэхэд, тэр хамгийн үнэн үр дүнг өгсөн.

Шат дараалсан зорилго, зорилтууд

Аливаа шалгалт, дотоод буюу гадаад эсэх, зорилго, зорилтуудыг тогтоох эхэлнэ. Энгийнээр хэлэхэд, та яагаад, яаж, ямар туршиж болно тодорхойлох хэрэгтэй. Энэ нь бүх үйл явцыг явуулах цаашдын үйл ажиллагааг тодорхойлох болно.

Асуудлууд, аж ахуйн нэгж, байгууллага, байгууллага, түүний үйл ажиллагааны онцлог бүтцээс хамааран маш их байж болно. Гэсэн хэдий ч, энэ бүх хувилбар алхмуудаа, мэдээллийн аюулгүй байдлын аудитын нэгдсэн зорилго:

• Мэдээллийн аюулгүй байдал, мэдээллийн системийн улсын үнэлгээ хийх;
• гадаад IP болон хөндлөнгийн боломжтой дэг руу нэвтрэх эрсдэлтэй холбоотой байж болох эрсдлийн дүн шинжилгээ хийх;
• аюулгүй байдлын систем дэх нүх ба цоорхойг Нутагшуулалт;
• Одоогийн стандарт, зохицуулалтын болон хууль тогтоомжийн мэдээллийн системийн аюулгүй байдлыг зохих түвшинд нь дүн шинжилгээ хийх;
• хөгжил, одоо байгаа арга одоогийн асуудлыг арилгах, түүнчлэн сайжруулах, шинэ хөгжлийн нэвтрүүлэх оролцсон зөвлөмжийг хүргэх.

Арга зүй, аудитын арга хэрэгсэл

Одоо ямар алхам, үг шалгах, энэ нь хэр орно талаар цөөн хэдэн үг.

Мэдээллийн аюулгүй байдлын аудит нь хэд хэдэн үе шаттайгаар бүрдэнэ:

• баталгаажуулах журам санаачилсан (аудиторын эрх, үүрэг хариуцлагыг тодорхой тодорхойлолтыг аудитор төлөвлөгөөний бэлтгэл болон удирдлагын өөрийн зохицуулалт шалгаж, судалгааны хил хязгаарын асуудал, зохион байгуулалт үүрэг гишүүдийг ногдуулах анхаарал тавьж, холбогдох мэдээллийг цаг тухайд нь хангах нь);
• Эхний мэдээлэл (аюулгүй байдал бүтэц, аюулгүй байдлын онцлог түгээх, олж авах, харилцаа холбооны сувгууд болон бусад байгууламж нь IP харилцаа, компьютерийн сүлжээний хэрэглэгчдийн нь шатлал, шийдвэр протокол, гэх мэт мэдээлэл, тодорхойлолтыг хангах системийн үйл ажиллагааны шинжилгээ хийх арга, аюулгүй байдлын түвшин) цуглуулах;
• иж бүрэн, эсвэл хэсэгчлэн хяналт шалгалт явуулах;
• мэдээллийн дүн шинжилгээ хийх (ямар ч төрөл, мөрдөх эрсдлийн дүн шинжилгээ хийх);
• зөвлөмж гаргах боломжит асуудлыг шийдвэрлэх;
• тайлан үе.

шийдвэр компанийн удирдлага болон аудиторын хооронд зөвхөн хийсэн тул эхний үе шат нь хамгийн хялбар юм. шинжилгээний хил хязгаар ажилтан, эсвэл хувьцаа эзэмшигчдийн хурал дээр гэж үзэж болно. Энэ бүх илүү хууль эрх зүйн салбарт холбоотой.

суурь мэдээлэл цуглуулах хоёр дахь үе шат, энэ нь мэдээллийн аюулгүй байдлыг хангах, бие даасан гадаад баталгаажуулалтын дотоод аудитын эсэхийг хамгийн их нөөц ихтэй юм. Энэ үе шатанд та нь зөвхөн бүх тоног төхөөрөмж, программ хангамж, холбогдох техникийн бичиг баримтыг шалгах хэрэгтэй, бас нарийн ярилцлага компанийн ажилчдын холбоотой юм, тэр ч байтугай тусгай санал асуулга болон судалгаа дүүргэх нь ихэнх тохиолдолд.

техникийн баримт бичиг хувьд энэ нь IC бүтэц дээр өгөгдөл болон хандалтын эрхийг тэргүүлэх түвшинд өөрийн ажилчиддаа, програм хангамж байгуулагдсан хамгаалах талаар, түүнчлэн олж системийн өргөн хэрэглээний програм хангамж (бизнесийн хэрэглээнд үйлдлийн систем, тэдгээрийн удирдлага, нягтлан бодох бүртгэлийн) тодорхойлох нь чухал юм болон төрийн бус хөтөлбөрийн төрөл (вирусны эсрэг программ хангамж, галт хана, гэх мэт). Үүнээс гадна, энэ (мэдээллийн урсгалын сүлжээний зохион байгуулалт, холболт ашигладаг протокол, харилцаа холбооны сувгийг төрөл, дамжуулах, хүлээн авах аргууд, түүнээс дээш) сүлжээ, харилцаа холбооны үйлчилгээг үзүүлэгч бүрэн шалгалт орно. тодорхой байна, энэ нь цаг хугацаа маш их шаарддаг.

Дараагийн үе шатанд, мэдээллийн аюулгүй байдлын аудитын арга. Тэд гурван байна:

• (IP зөрчсөн нэвтрэх, түүний бүрэн бүтэн боломжтой бүх арга, хэрэгслийг ашиглан аудиторын тодорхойлох үндсэн дээр хамгийн хүнд хэцүү арга) эрсдлийн дүн шинжилгээ хийх;
• стандарт, хууль тогтоомж (асуудал өнөөгийн байдалд нь харьцуулан, олон улсын стандарт, мэдээллийн аюулгүй байдлын салбар дахь дотоодын баримт бичгийн шаардлагад үндэслэн энгийн бөгөөд хамгийн бодит арга) дагаж мөрдөх үнэлгээ хийх;
• Эхний хоёр хослуулсан хосолсон арга.

Тэдний шинжилгээний шалгалт үр дүнг хүлээн авсны дараа. Сан Аудитын мэдээллийн аюулгүй байдлыг хангах,-ын шинжилгээнд ашиглаж байгаа бол энэ нь маш ялгаатай байж болно. Энэ нь бүх аж ахуйн нэгж, мэдээллийн төрөл, та нар ашиглах программ хангамж, хамгаалалт гэх мэт. Гэсэн хэдий ч, эхний арга дээр харж болно аудитор нь гол төлөв өөрсдийн туршлага дээр тулгуурлах ёстой онцлогоос хамаарна.

Тэр зөвхөн мэдээллийн технологи, мэдээлэл хамгаалах салбарт бүрэн хангасан байх ёстой гэсэн үг юм. бөгөөд энэ нь дүн шинжилгээ хийх, аудиторын үндсэн дээр аль болох эрсдэлийг тооцоолдог.

Энэ нь бизнесийн болон нягтлан бодох бүртгэлийн систем нь үйлдлийн систем буюу жишээ нь, ашиглаж хөтөлбөрт нь зөвхөн шийдвэрлэх ёстой гэж, бас хэрхэн халдагч хулгай, гэмтэл, өгөгдлийг устгах, зөрчлийн урьдчилсан нөхцөл бий болгох зорилгоор мэдээллийн системд нэвтрэн орж чадах нь тодорхой ойлгох анхаарна уу компьютер, вирус буюу үзүүлж чадахгүй нь тархсан.

аудитын үр дүн, асуудлыг шийдвэрлэх зөвлөмж үнэлгээ

шинжилгээнд үндэслэн мэргэжилтэн хамгаалах статусын талаар дүгнэсэн, одоо байгаа болон боломжит асуудлыг шийдвэрлэх санал, аюулгүй байдлын шинэчлэх гэх мэт өгдөг зөвлөмж нь зөвхөн шударга байх ёсгүй, гэхдээ бас тодорхой аж ахуйн нэгжийн онцлогийг нь бодит холбоотой. Өөрөөр хэлбэл, компьютер, программ хангамж тохиргоог сайжруулах талаар зөвлөмжүүд хүлээн авахгүй байна. Энэ нь мөн адил тэдний очих, байршил, зохистой тодорхойлсон ч "найдваргүй" ажилтан, шинэ хянах системийг суулгах халах зөвлөгөөг хамаарна.

шинжилгээнд үндэслэн дүрмийн дагуу хэд хэдэн эрсдэлт бүлэг байдаг. Энэ тохиолдолд, товч тайлан гол хоёр үзүүлэлтийг ашигладаг эмхэтгэх: (. хөрөнгийн алдагдал, нэр хүндийг бууруулах, гэх мэт дүрс алдагдах ба) нь халдлагын магадлалыг бөгөөд үүний үр дүнд компанид учирсан хохирол. Гэсэн хэдий ч, бүлгийн үйл ажиллагааны адил биш юм. Жишээ нь, довтолгооны магадлал бага түвшний үзүүлэлт хамгийн сайн арга юм. эсрэгээр - хохирлыг.

Зөвхөн тэр л үе шат, арга барил, судалгааны арга будсан дэлгэрэнгүй тайланг эмхэтгэн. компани болон аудиторт - Тэр удирдлага нь зөвшөөрч, хоёр тал гарын үсэг зурлаа. Хэрэв аудитын дотоод, тайланг холбогдох бүтцийн нэгж, үүний дараа тэр дахин, дарга гарын үсэг зурж тэргүүн юм.

Мэдээллийн аюулгүй байдлын аудит: Жишээ

Эцэст нь хэлэхэд, бид аль хэдийн тохиолдсон нөхцөлд хялбар жишээг авч үзье. Олон, замаар энэ нь маш их танил юм шиг санагдаж болох юм.

Жишээ нь, АНУ-д компанийн худалдан авах ажиллагааны ажилтнууд, ICQ шуурхай элч компьютер онд байгуулагдсан (ажилтан болон компанийн нэр нэрээр нь тодорхой шалтгааны улмаас нэрлэсэн байна). Хэлэлцээ энэ хөтөлбөрийн аргаар нарийн зохион байгуулсан байна. Харин "ICQ" аюулгүй байдлын хувьд маш эмзэг байдаг. үед, эсвэл бүртгэлийн дугаар үед өөрөө ажилтан и-мэйл хаяг байхгүй байсан, эсвэл зүгээр л өгөхийг хүсээгүй. Харин оронд нь тэрээр и-мэйл, тэр ч байтугай огт домэйн шиг зүйлийг сануулъя.

Халдагч нь юу байсан бол? Мэдээллийн аюулгүй байдлын аудит үзүүлсэн, энэ нь яг адил домэйн нэр Нууц үг сэргээх хүсэлт, ICQ үйлчилгээг эзэмшдэг Mirabilis компанид мессеж илгээх боломжтой улмаас түүний алдагдал бүртгүүлсэн байсан бөгөөд өөр нэг бүртгэлийн терминал Хэрэв байх юм бүтээсэн, дараа нь (энэ нь хийж болно ). Одоо байгаа халдагч шуудангаар руу дахин чиглүүлэх - захидлын серверийн хүлээн авагч биш байсан тул, энэ нь дахин чиглүүлэх орсон байна.

Үүний үр дүнд тэрээр өгсөн ICQ дугаар бүхий захидал хандалтыг авдаг, тодорхой улс оронд бараа, хүлээн авагчийн хаягийг өөрчлөх нийлүүлэгч мэдээлж байна. Тиймээс бараа нь үл мэдэгдэх зорьсон газар руу илгээсэн байна. Мөн энэ нь хамгийн аюулгүй жишээ юм. Тиймээс эмх замбараагүй явуулах. Тэгээд их чадвартай илүү ноцтой хакеруудын тухай юу ...

дүгнэлт

Энд товчхон бөгөөд бүх IP Аюулгүй байдлын аудитийн холбоотой юм. Мэдээж хэрэг, энэ бүх асуудалд өртсөн байна. Учир нь асуудал, түүний ёс зүйн аргыг боловсруулахад хүчин зүйл нь маш их нөлөөлдөг зүгээр л тийм тохиолдолд тус бүр арга нь заавал бие даасан юм. Үүнээс гадна, мэдээллийн аюулгүй байдлын аудитын арга зүй, арга өөр өөр ICS хувьд өөр өөр байж болно. Гэсэн хэдий ч, миний бодлоор олон ийм туршилт ерөнхий зарчим нь адил анхан шатны түвшинд нь тодорхой болж байна.