Проведення внутрішнього аудиту інформаційної безпеки систем

  1. Інформаційний аудит - теоретичні основи
  2. Коли виникає необхідність проведення аудиту?
  3. Види аудиту інформаційних систем
  4. Методика і засоби для проведення аудиту на практиці
  5. Підвівши підсумки - оцінка результатів і рекомендації
  6. Аудит інформаційної безпеки на практиці

Сакральна фраза - «володіння інформацією - володіння світом» актуальна як ніколи. Тому, сьогодні «красти інформацію» властива більшості зловмисників. Уникнути цього можна шляхом впровадження ряду захисту від атак, а також своєчасне проведення аудиту інформаційної безпеки. Аудит інформаційної безпеки - поняття нове, яке має на увазі актуально і динамічне розвивається напрямок оперативного і стратегічного менеджменту, яке стосується безпеки інформаційної системи.

Інформаційний аудит - теоретичні основи

Обсяг інформації в сучасному світі зростає стрімко швидко, так як у всьому світі спостерігається тенденція глобалізації використання комп'ютерної техніки в усьому шарах людського суспільства. У житті пересічної людини, інформаційні технології є основною складовою.

У житті пересічної людини, інформаційні технології є основною складовою

Аудит інформаційної безпеки

Це виражається у використанні Інтернету, як в робочих цілях, так і з метою ігри та розваги. Паралельно з розвитком інформаційних технологій, зростає монетизація сервісів, а значить і кількість часу, який витрачається на вчинення різних платіжних операцій з використанням пластикових карт. У їх число входить безготівковий розрахунок за різні товари і спожиті послуги, транзакції в платіжній системі онлайн банкінгу, обмін валют, інші платіжні операції. Це все впливає на простір у всесвітній павутині, роблячи її більше.

Інформації про власників карт стає також, більше. Це є основою для розширення поля діяльності шахраїв, які на сьогоднішній день, ухіщряются зробити колосальну масу атак, серед яких атаки постачальника послуг і кінцевого користувача. В останньому випадку, запобігти атаці можна за рахунок використання відповідного програмного забезпечення, а ось якщо це стосується вендора, необхідне застосування комплексу заходів, які мінімізують перебої роботи, витік даних, зломи сервісу. Це здійснюється за рахунок своєчасного проведення аудиту інформаційної безпеки.

Завдання, яке переслідує інформаційні аудит лежить в своєчасної та точної оцінки стану безпеки інформації в поточний момент конкретного суб'єкта господарювання, а також відповідність поставленої мети і завдання ведення діяльності, за допомогою якого має проводитися підвищення рентабельності та ефективності економічної діяльності.

Іншими словами, аудит інформаційної безпеки - це перевірка того чи іншого ресурсу на можливість протистояти потенційним або реальним загрозам.

  • Аудит інформаційної безпеки переслідує такі цілі:
  • Оцінити стан інформаційної системи інформації на предмет захищеності.
  • Аналітичному виявленні потенційних ризиків, які пов'язані з зовнішнім проникненням в інформаційну мережу.
  • Виявленням локалізації дір в системі безпеки.
  • Аналітичному виявленні відповідності між рівнем безпеки та чинним стандартам законодавчої бази.
  • Ініціювання нових методів захисту, їх впровадження на практиці, а також створення рекомендацій, за допомогою яких буде відбуватися удосконалення проблем засобів захисту, а також пошук нових розробок в даному напрямі.

Застосовується аудит при:

  • Повної перевірки об'єкта, який задіяний в інформаційному процесі. Зокрема, мова йде про комп'ютерних системах, системах засобів комунікації, при прийомі, передачі, а також обробці даних певного обсягу інформації, технічних засобів, систем спостереження т.д.
  • Повної перевірки електронних технічних засобів, а також комп'ютерних системі на предмет впливу випромінювання і наведень, які сприятимуть їх відключення.
  • При перевірці проектної частини, в які включені роботи по створенню стратегій безпеки, а також їх практичного виконання.
  • Повної перевірки надійності захисту конфіденційної інформації, доступ до якої обмежується, а також визначення «дірок» за допомогою яких дана інформація оприлюднюється із застосуванням стандартних і нестандартних заходів.

Коли виникає необхідність проведення аудиту?

Важливо відзначити, що необхідність проведення інформаційного аудиту виникає при порушенні захисту даних. Також, перевірка рекомендована до проведення при:

  • Злиття компанії.
  • Розширенні бізнесу.
  • Поглинання або приєднання.
  • Зміні керівництва.

Види аудиту інформаційних систем

На сьогоднішній день, існує зовнішній і внутрішній інформаційний аудит.

Для зовнішнього аудиту характерно залучення сторонніх, незалежних експертів, які мають право на здійснення такої діяльності Для зовнішнього аудиту характерно залучення сторонніх, незалежних експертів, які мають право на здійснення такої діяльності. Як правило, даний вид перевірки має разовий характер і ініціюється керівником підприємства, акціонером або органами правоохоронні. Проведення зовнішнього аудиту не є обов'язковим, носить, швидше за все, рекомендований характер. Однак є нюанси, закріплені законодавством, при яких зовнішній аудит інформаційної безпеки є обов'язковим. Наприклад, під дію закону потрапляють фінансові установи, акціонерні товариства, а також фінансові організації.

Внутрішній аудит безпеки інформаційних потоків являє собою постійний процес, проведення якого регламентовано відповідним документом «Положенням про проведення внутрішнього аудиту». Цей захід, в рамках компанії має атестаційний характер, проведення якого відрегульовано відповідним наказом по підприємству. За рахунок проведення внутрішнього аудиту, в компанії забезпечується за рахунок спеціального підрозділу в компанії.

Аудит класифікують також як:

  • Експертна.
  • Атестаційний.
  • Аналітичний.

Експертна включає в себе перевірку стану захисту інформаційних потоків і систем, які ґрунтуються на досвіді експертів і тих, хто проводить цю перевірку.

Атестаційний вид аудиту стосується систем, а також заходів безпеки, зокрема їх відповідність прийнятим стандартам в міжнародному співтоваристві, а також відповідними державними документами, які регулюю правову основу даної діяльності.

Аналітичний вид аудиту стосується проведення глибокого аналізу інформаційної системи, із застосуванням технічних пристосувань. Дані дії повинні бути спрямовані на те, щоб виявити вразливі місця програмно-апаратного комплексу.

Методика і засоби для проведення аудиту на практиці

Аудит проводиться поетапно і включає в себе:

Перший етап вважається найпростішим. Він визначає права і обов'язки проводить аудит, розробку покрокового плану дій та узгодження з керівництвом. При цьому на зборах співробітників визначаються межі аналізу.

На другому етапі застосовуються великі обсяги споживання ресурсів. Це обумовлено тим, що вивчається вся технічна документація, яка стосується програмно-апаратного комплексу.

Третій етап проводиться за допомогою одного з трьох методів, а саме:

  • Аналізу ризиків.
  • Аналізу відповідності стандартам і законодавству.
  • Комбінації аналізу ризиків та відповідності закону.

Четвертий етап дозволяє систематизувати отримані дані провести глибокий аналіз. При цьому перевіряючий обов'язково повинен бути компетентним у цьому питанні.

Як пройти пожежний аудит , Щоб не виникло проблем Як пройти пожежний аудит , Щоб не виникло проблем? Для чого потрібна така перевірка? Наша стаття розповість про це.

Що таке аудиторська перевірка і які види аудиту бувають? Про це написано тут .

тут ви дізнаєтеся, що таке податкова перевірка і для яких цілей вона потрібна.

Підвівши підсумки - оцінка результатів і рекомендації

Після проведення перевірки обов'язково має бути складено висновок, який відображено у відповідному звітному документі. У звіті, як правило, відображаються такі відомості:

  1. Регламент проведеного аудиту.
  2. Структуру системи інформаційних потоків на підприємстві.
  3. Якими методами і засобами була проведена перевірка
  4. Точний опис вразливих місць і недоліків, з урахуванням ризику і рівня недоліків.
  5. Рекомендовані дії щодо усунення небезпечних місць, а також поліпшенню комплексу всієї системи.
    Реальні практичні поради, за допомогою яких повинні бути реалізовані заходи, спрямовані на мінімізацію ризиків, які були виявлені під час перевірки.

Аудит інформаційної безпеки

Аудит інформаційної безпеки на практиці

На практиці, досить поширеним нешкідливим прикладом, є ситуація при якій співробітник А, що займається закупівлями торгового обладнання вів переговори з допомогою певної програми «В».

При цьому сама програма є вразливою, а при реєстрації, співробітник не вказав ні електронної адреси, ні номера, а використовував альтернативний абстрактний адресу пошти з неіснуючим доменом.

За підсумком, зловмисник може зареєструвати аналогічний домен і створити реєстраційний термінал. Це дозволить йому відправляти повідомлення компанії, яка володіє сервісом програми «В», з проханням вислати загублений пароль. При цьому сервер буде відправляти пошту на існуючу адресу шахрая, так як у нього працює редирект. В результаті цієї операції, шахрай має доступ до листування, оголошує постачальнику інші інформаційні дані, і управляє напрямком вантажу по невідомому, для співробітника, напрямку.

Актуальність інформаційного аудиту в сучасному світі, стає все більш востребование, на увазі зростання числа користувачів, як простору всесвітньої павутини, так і застосування різних способів монетизації в різних сервісах. Таким чином, дані кожного з користувачів стають доступними для зловмисників. Захистити їх можна шляхом виявлення вогнища проблеми - слабких місць інформаційних потоків.

Коли виникає необхідність проведення аудиту?
Для чого потрібна така перевірка?
Що таке аудиторська перевірка і які види аудиту бувають?
Навигация сайта
Новости
Реклама
Панель управления
Информация
Экономика стран www.muzruk.if.ua © 1995-2016
При копировании материала, ссылка на сайт обязательна.