Audit Keamanan Informasi: Tujuan, metode dan alat, misalnya. audit keamanan informasi bank

Hari ini, semua orang tahu frase hampir sakral yang memiliki informasi, memiliki dunia. Itulah sebabnya di waktu kita untuk mencuri informasi rahasia berusaha untuk segala-galanya. Dalam hal ini, mengambil langkah-langkah belum pernah terjadi sebelumnya dan pelaksanaan sarana perlindungan terhadap kemungkinan serangan. Namun, kadang-kadang Anda mungkin perlu untuk melakukan audit keamanan informasi perusahaan. Apa itu dan mengapa itu semua sekarang, dan mencoba untuk memahami.

Apa audit keamanan informasi dalam definisi umum?

Siapa yang tidak akan mempengaruhi istilah ilmiah muskil, dan mencoba untuk menentukan sendiri konsep-konsep dasar, menggambarkan mereka dalam bahasa yang paling sederhana (orang-orang itu bisa disebut audit untuk "dummies").

Nama peristiwa kompleks berbicara untuk dirinya sendiri. Audit keamanan informasi adalah independen verifikasi atau peer review untuk menjamin keamanan sistem informasi (IS) dari setiap perusahaan, lembaga atau organisasi atas dasar kriteria khusus dikembangkan dan indikator.

Dalam istilah sederhana, misalnya, mengaudit keamanan informasi bank bermuara, untuk menilai tingkat perlindungan dari database pelanggan yang diselenggarakan oleh operasional perbankan, keamanan uang elektronik, pelestarian kerahasiaan perbankan, dan sebagainya. D. Dalam kasus gangguan dalam kegiatan orang-orang yang tidak sah lembaga dari luar, menggunakan elektronik dan komputer fasilitas.

Tentu saja, di antara pembaca ada setidaknya satu orang yang disebut rumah atau ponsel dengan proposal pengolahan pinjaman atau deposito, bank dengan yang tidak ada hubungannya. Hal yang sama berlaku untuk pembelian dan penawaran dari beberapa toko. Dari mana datang kamar Anda?

Ini sederhana. Jika seseorang sebelumnya mengambil pinjaman atau diinvestasikan dalam rekening deposito, tentu saja, data disimpan dalam umum basis pelanggan. Ketika Anda menelepon dari bank lain atau toko dapat hanya satu kesimpulan: informasi tentang hal itu datang secara ilegal kepada pihak ketiga. Bagaimana? Secara umum, ada dua pilihan: baik itu dicuri, atau ditransfer ke karyawan bank kepada pihak ketiga secara sadar. Agar hal-hal seperti itu tidak terjadi, dan Anda perlu waktu untuk melakukan audit keamanan informasi bank, dan ini berlaku tidak hanya untuk komputer atau "besi" sarana perlindungan, tetapi seluruh staf lembaga.

Arah utama dari audit keamanan informasi

Mengenai ruang lingkup audit, sebagai suatu peraturan, mereka adalah beberapa:

• cek penuh dari benda-benda yang terlibat dalam proses informasi (sistem komputer otomatis, berarti komunikasi, penerimaan, transmisi informasi dan pengolahan, fasilitas, tempat untuk pertemuan rahasia, sistem pemantauan, dll);
• memeriksa keandalan perlindungan informasi rahasia dengan akses terbatas (penentuan kemungkinan kebocoran dan potensi saluran lubang keamanan yang memungkinkan akses dari luar dengan menggunakan metode standar dan non-standar);
• memeriksa semua hardware dan lokal sistem komputer elektronik untuk paparan radiasi elektromagnetik dan interferensi, yang memungkinkan mereka untuk mematikan atau membawa ke dalam rusak;
• proyek bagian, yang meliputi pekerjaan pada penciptaan dan penerapan konsep keamanan dalam pelaksanaan praktis (perlindungan sistem komputer, fasilitas, sarana komunikasi, dll).

Ketika datang ke audit?

Belum lagi situasi kritis di mana pertahanan sudah rusak, audit keamanan informasi dalam suatu organisasi dapat dilakukan, dan dalam beberapa kasus lainnya.

Biasanya, ini termasuk perluasan perusahaan, merger, akuisisi, pengambilalihan oleh perusahaan lain, mengubah arah konsep bisnis atau pedoman, perubahan dalam hukum internasional atau dalam undang-undang dalam suatu negara, perubahan yang agak serius dalam infrastruktur informasi.

jenis audit

Saat ini, sangat klasifikasi dari jenis audit, menurut banyak analis dan ahli tidak didirikan. Oleh karena itu, pembagian ke dalam kelas dalam beberapa kasus bisa sangat sewenang-wenang. Namun demikian, secara umum, audit keamanan informasi dapat dibagi menjadi eksternal dan internal.

Audit eksternal yang dilakukan oleh para ahli independen yang memiliki hak untuk melakukan, biasanya pemeriksaan satu kali, yang dapat diprakarsai oleh manajemen, pemegang saham, lembaga penegak hukum, dll Hal ini diyakini bahwa audit eksternal keamanan informasi dianjurkan (tapi tidak wajib) untuk melakukan secara teratur untuk jangka waktu tertentu. Tapi untuk beberapa organisasi dan perusahaan, menurut hukum, itu adalah wajib (misalnya, lembaga keuangan dan organisasi, perusahaan saham gabungan, dan lain-lain.).

Internal keamanan informasi audit adalah proses konstan. Hal ini didasarkan pada "Peraturan tentang Internal Audit" khusus. Apa itu? Bahkan, kegiatan sertifikasi ini dilakukan dalam organisasi, dalam hal disetujui oleh manajemen. Audit keamanan informasi oleh subdivisi struktural khusus dari perusahaan.

klasifikasi alternatif audit

Selain divisi yang dijelaskan di atas ke dalam kelas dalam kasus umum, kita dapat membedakan beberapa komponen yang dibuat dalam klasifikasi internasional:

• Ahli memeriksa status keamanan dan informasi sistem informasi atas dasar pengalaman pribadi ahli, budidaya nya;
• sistem sertifikasi dan langkah-langkah keamanan untuk memenuhi standar internasional (ISO 17799) dan instrumen hukum nasional yang mengatur bidang ini kegiatan;
• analisis keamanan sistem informasi dengan menggunakan sarana teknis yang bertujuan untuk mengidentifikasi potensi kerentanan dalam perangkat lunak dan perangkat keras yang kompleks.

Kadang-kadang dapat diterapkan dan disebut audit komprehensif, yang mencakup semua jenis di atas. By the way, dia memberikan hasil yang paling objektif.

tujuan dan sasaran dipentaskan

Setiap verifikasi, baik internal maupun eksternal, dimulai dengan menetapkan tujuan dan sasaran. Sederhananya, Anda perlu menentukan mengapa, bagaimana dan apa yang akan diuji. Ini akan menentukan prosedur lanjut melaksanakan seluruh proses.

Tugas, tergantung pada struktur spesifik dari perusahaan, organisasi, lembaga dan kegiatan dapat cukup banyak. Namun, di tengah-tengah semua rilis ini, tujuan bersatu audit keamanan informasi:

• penilaian dari keadaan sistem keamanan informasi dan informasi;
• analisis risiko yang mungkin terkait dengan risiko penetrasi ke IP eksternal dan modalitas kemungkinan gangguan tersebut;
• lokalisasi lubang dan celah di sistem keamanan;
• analisis tingkat yang tepat dari keamanan sistem informasi dengan standar saat ini dan tindakan peraturan dan hukum;
• pengembangan dan pengiriman rekomendasi yang melibatkan penghapusan permasalahan yang ada, serta peningkatan obat yang ada dan pengenalan perkembangan baru.

Metodologi dan pemeriksaan alat

Sekarang beberapa kata tentang bagaimana cek dan apa langkah-langkah dan berarti melibatkan.

Audit keamanan informasi terdiri dari beberapa tahap:

• memulai prosedur verifikasi (definisi yang jelas tentang hak dan tanggung jawab auditor, auditor memeriksa penyusunan rencana dan koordinasi dengan manajemen, pertanyaan tentang batas-batas penelitian, pengenaan pada anggota komitmen organisasi untuk peduli dan penyediaan informasi yang relevan);
• mengumpulkan data awal (struktur keamanan, distribusi fitur keamanan, tingkat keamanan dari metode analisis kinerja sistem untuk memperoleh dan memberikan informasi, penentuan saluran komunikasi dan interaksi IP dengan struktur lainnya, hirarki pengguna jaringan komputer, protokol tekad, dll);
• melakukan pemeriksaan yang komprehensif atau parsial;
• Analisis data (analisis risiko dari setiap jenis dan kepatuhan);
• mengeluarkan rekomendasi untuk mengatasi potensi masalah;
• Laporan generasi.

Tahap pertama adalah yang paling sederhana, karena keputusan dibuat semata-mata antara manajemen perusahaan dan auditor. Batas-batas analisis dapat dipertimbangkan pada rapat umum karyawan atau pemegang saham. Semua ini dan lebih terkait dengan bidang hukum.

Tahap kedua dari pengumpulan data dasar, apakah itu audit internal keamanan informasi atau sertifikasi independen eksternal adalah yang paling sumber daya intensif. Hal ini disebabkan fakta bahwa pada tahap ini Anda perlu untuk tidak hanya memeriksa dokumentasi teknis yang berkaitan dengan semua perangkat keras dan perangkat lunak, tetapi juga untuk mempersempit-wawancara karyawan perusahaan, dan dalam kebanyakan kasus bahkan dengan mengisi kuesioner khusus atau survei.

Adapun dokumentasi teknis, penting untuk mendapatkan data pada struktur IC dan tingkat prioritas hak akses ke karyawan, untuk mengidentifikasi seluruh sistem dan perangkat lunak aplikasi (sistem operasi untuk aplikasi bisnis, manajemen dan akuntansi mereka), serta perlindungan mapan perangkat lunak dan jenis non-Program (software antivirus, firewall, dll). Selain itu, ini termasuk verifikasi penuh jaringan dan penyedia layanan telekomunikasi (jaringan organisasi, protokol yang digunakan untuk koneksi, jenis saluran komunikasi, transmisi dan metode penerimaan arus informasi, dan banyak lagi). Sebagaimana jelas, dibutuhkan banyak waktu.

Pada tahap berikutnya, metode audit keamanan informasi. Mereka adalah tiga:

• analisis risiko (teknik yang paling sulit, berdasarkan penentuan auditor untuk penetrasi pelanggaran IP dan integritas menggunakan semua metode yang mungkin dan alat);
• penilaian sesuai dengan standar dan peraturan perundang-undangan (metode paling sederhana dan paling praktis berdasarkan perbandingan kondisi saat ini urusan dan persyaratan standar internasional dan dokumen dalam negeri di bidang keamanan informasi);
• metode gabungan yang menggabungkan dua yang pertama.

Setelah menerima hasil verifikasi analisis mereka. Dana Audit keamanan informasi, yang digunakan untuk analisis, dapat cukup bervariasi. Itu semua tergantung pada spesifik dari perusahaan, jenis informasi, perangkat lunak yang Anda gunakan, perlindungan dan sebagainya. Namun, seperti dapat dilihat pada metode pertama, auditor terutama harus mengandalkan pengalaman mereka sendiri.

Dan itu hanya berarti bahwa itu harus memenuhi syarat di bidang teknologi informasi dan perlindungan data. Atas dasar analisis ini, auditor dan menghitung resiko yang mungkin.

Perhatikan bahwa itu harus berurusan tidak hanya dalam sistem operasi atau program yang digunakan, misalnya, untuk bisnis atau akuntansi, tetapi juga untuk memahami dengan jelas bagaimana penyerang dapat menembus ke dalam sistem informasi untuk tujuan pencurian, kerusakan dan kerusakan data, penciptaan prasyarat untuk pelanggaran di komputer, penyebaran virus atau malware.

Evaluasi temuan audit dan rekomendasi untuk mengatasi masalah

Berdasarkan analisis pakar menyimpulkan tentang status perlindungan dan memberikan rekomendasi untuk mengatasi permasalahan yang ada atau potensial, upgrade keamanan, dll Rekomendasi tidak hanya harus adil, tetapi juga jelas terkait dengan realitas spesifik perusahaan. Dengan kata lain, tips upgrade konfigurasi komputer atau perangkat lunak tidak diterima. Hal ini sama berlaku untuk saran dari pemecatan "diandalkan" personil, menginstal sistem pelacakan baru tanpa menentukan tujuan mereka, lokasi dan kesesuaian.

Berdasarkan hasil analisis, sebagai suatu peraturan, ada beberapa kelompok risiko. Dalam hal ini, untuk mengkompilasi laporan ringkasan menggunakan dua indikator kunci: (. Hilangnya aset, pengurangan reputasi, kehilangan gambar dan sebagainya) kemungkinan serangan dan kerusakan yang disebabkan kepada perusahaan sebagai hasilnya. Namun, kinerja kelompok yang tidak sama. Misalnya, indikator tingkat rendah untuk kemungkinan serangan adalah yang terbaik. Untuk kerusakan - sebaliknya.

Hanya kemudian disusun laporan yang detail dicat semua tahapan, metode dan sarana penelitian. Dia setuju dengan kepemimpinan dan ditandatangani oleh kedua belah pihak - perusahaan dan auditor. Jika audit internal, adalah laporan kepala unit struktural masing-masing, setelah itu ia, sekali lagi, yang ditandatangani oleh kepala.

audit keamanan informasi: Contoh

Akhirnya, kita pertimbangkan contoh sederhana dari situasi yang telah terjadi. Banyak, by the way, mungkin tampak sangat akrab.

Misalnya, staf pengadaan perusahaan di Amerika Serikat, didirikan di ICQ komputer instant messenger (nama karyawan dan nama perusahaan tidak disebutkan untuk alasan yang jelas). Negosiasi dilakukan secara tepat dengan cara program ini. Tapi "ICQ" cukup rentan dalam hal keamanan. karyawan diri pada nomor pendaftaran pada saat itu atau tidak memiliki alamat email, atau hanya tidak ingin memberikannya. Sebaliknya, ia menunjuk ke sesuatu seperti e-mail, dan bahkan domain tidak ada.

Apa yang akan penyerang? Seperti yang ditunjukkan oleh audit keamanan informasi, itu akan didaftarkan persis domain yang sama dan menciptakan akan di dalamnya, terminal pendaftaran lain, dan kemudian bisa mengirim pesan ke perusahaan Mirabilis yang memiliki layanan ICQ, meminta pemulihan password karena kerugian (yang akan dilakukan ). Sebagai penerima mail server tidak, itu termasuk redirect - redirect ke email penyusup yang ada.

Akibatnya, ia mendapat akses ke korespondensi dengan nomor ICQ yang diberikan dan menginformasikan pemasok untuk mengubah alamat penerima barang di suatu negara tertentu. Dengan demikian, barang dikirim ke tujuan yang tidak diketahui. Dan itu adalah contoh yang paling berbahaya. Jadi, perilaku tidak tertib. Dan apa tentang hacker yang lebih serius yang dapat jauh lebih ...

kesimpulan

Berikut adalah singkat dan semua yang berhubungan dengan audit keamanan IP. Tentu saja, itu tidak terpengaruh oleh semua aspek itu. Alasannya adalah hanya itu dalam perumusan masalah dan metode perilaku yang mempengaruhi banyak faktor, sehingga pendekatan dalam setiap kasus secara ketat individu. Selain itu, metode dan sarana audit keamanan informasi dapat berbeda untuk IC yang berbeda. Namun, saya pikir, prinsip-prinsip umum tes tersebut selama bertahun menjadi jelas bahkan pada tingkat dasar.