• ممیزی امنیت اطلاعات مبنایی برای حفاظت موثر سازمان است. نحوه انجام ممیزی امنیت اطلاعات

    به روز سیستم های خودکار(AS) نقشی کلیدی در تضمین اجرای کارآمد فرآیندهای تجاری شرکت‌های تجاری و دولتی دارند. در عین حال، استفاده گسترده از AS برای ذخیره، پردازش و انتقال اطلاعات منجر به افزایش فوریت مشکلات مرتبط با حفاظت از آنها می شود. این امر با این واقعیت تأیید می شود که طی چند سال گذشته، هم در روسیه و هم در کشورهای پیشرو خارجی، تمایل به افزایش تعداد حملات اطلاعاتی وجود داشته است که منجر به خسارات مالی و مادی قابل توجهی شده است. به منظور تضمین حفاظت موثر در برابر حملات اطلاعاتی توسط متجاوزان، شرکت ها نیاز به ارزیابی عینی از سطح فعلی امنیت AS دارند. برای این اهداف است که از ممیزی امنیتی استفاده می شود که جنبه های مختلف آن در چارچوب این مقاله در نظر گرفته شده است.

    1. ممیزی امنیتی چیست؟

    علیرغم این واقعیت که هنوز تعریف ثابتی از ممیزی امنیتی شکل نگرفته است، در حالت کلی می توان آن را به عنوان فرآیند جمع آوری و تجزیه و تحلیل اطلاعات در مورد AS، که برای ارزیابی کیفی یا کمی بعدی ضروری است، نشان داد. سطح حفاظت در برابر حملات متجاوزان موارد زیادی وجود دارد که انجام ممیزی امنیتی مناسب است. اینجا تنها تعداد کمی از آنها هستند:

    • ممیزی NPP به منظور آماده سازی شرایط مرجعبرای طراحی و توسعه یک سیستم امنیت اطلاعات؛
    • ممیزی NPP پس از اجرای سیستم امنیتی برای ارزیابی سطح اثربخشی آن؛
    • ممیزی با هدف تطبیق سیستم امنیتی فعلی با الزامات قوانین روسیه یا بین المللی؛
    • ممیزی طراحی شده برای نظام‌بندی و ساده‌سازی اقدامات موجود امنیت اطلاعات؛
    • حسابرسی به منظور بررسی یک حادثه مرتبط با تخلف امنیت اطلاعات.

    به عنوان یک قاعده، شرکت های خارجی که خدمات مشاوره ای در زمینه امنیت اطلاعات ارائه می دهند، در حسابرسی شرکت دارند. آغازگر روش حسابرسی ممکن است مدیریت شرکت، خدمات اتوماسیون یا سرویس امنیت اطلاعات باشد. در برخی موارد، حسابرسی ممکن است به درخواست شرکت های بیمه یا مراجع نظارتی نیز انجام شود. ممیزی امنیتی توسط گروهی از کارشناسان انجام می شود که تعداد و ترکیب آنها به اهداف و اهداف بررسی و همچنین پیچیدگی موضوع ارزیابی بستگی دارد.

    2. انواع ممیزی امنیتی

    در حال حاضر، انواع اصلی ممیزی امنیت اطلاعات زیر قابل تشخیص است:

    • ممیزی امنیتی متخصص، که طی آن کاستی ها در سیستم اقدامات حفاظت از اطلاعات بر اساس تجربه موجود کارشناسان شرکت کننده در روند بازرسی شناسایی می شوند.
    • ارزیابی انطباق با توصیه‌های استاندارد بین‌المللی ISO 17799، و همچنین الزامات دستورالعمل‌های FSTEC (کمیسیون فنی دولتی).
    • تجزیه و تحلیل ابزاری امنیت AS، با هدف شناسایی و از بین بردن آسیب پذیری ها در نرم افزار و سخت افزار سیستم؛
    • یک حسابرسی جامع که شامل تمام اشکال فوق برای انجام یک نظرسنجی می باشد.

    هر یک از انواع ممیزی فوق، بسته به وظایفی که شرکت باید حل کند، می تواند به صورت جداگانه یا ترکیبی انجام شود. هدف حسابرسی می تواند هم AS شرکت به عنوان یک کل و هم بخش های جداگانه آن باشد که در آن پردازش اطلاعات مشمول حفاظت انجام می شود.

    3. محدوده کار برای انجام ممیزی امنیتی

    به طور کلی، ممیزی امنیتی، صرف نظر از شکل اجرای آن، از چهار مرحله اصلی تشکیل شده است که هر یک از این مرحله ها، اجرای طیف خاصی از وظایف را فراهم می کند (شکل 1).

    شکل 1: مراحل کلیدی در انجام ممیزی امنیتی

    در مرحله اول، همراه با مشتری، مقرراتی تدوین می شود که ترکیب و رویه کار را تعیین می کند. وظیفه اصلی آیین نامه تعیین حدودی است که در آن بررسی انجام می شود. مقررات سندی است که به شما امکان می دهد پس از اتمام حسابرسی از ادعاهای متقابل اجتناب کنید، زیرا به وضوح تعهدات طرفین را مشخص می کند. به عنوان یک قاعده، مقررات حاوی اطلاعات اساسی زیر است:

    • ترکیب گروه های کاری از پیمانکار و مشتری شرکت کننده در فرآیند حسابرسی؛
    • فهرستی از اطلاعاتی که برای حسابرسی در اختیار پیمانکار قرار خواهد گرفت.
    • لیست و مکان امکانات مشتری مشمول ممیزی؛
    • فهرستی از منابعی که به عنوان اهداف حفاظتی در نظر گرفته می شوند (منابع اطلاعاتی، منابع نرم افزاری، منابع فیزیکی و غیره)؛
    • مدل تهدیدات امنیت اطلاعات که ممیزی بر اساس آن انجام می شود.
    • دسته هایی از کاربران که به عنوان متخلفان احتمالی در نظر گرفته می شوند.
    • روش و زمان انجام یک بررسی ابزاری از سیستم خودکار مشتری.

    در مرحله دوم، طبق مقررات توافق شده، اطلاعات اولیه جمع آوری می شود. روش های جمع آوری اطلاعات شامل مصاحبه با کارکنان مشتری، تکمیل پرسشنامه، تجزیه و تحلیل اسناد سازمانی، اداری و فنی ارائه شده و استفاده از ابزارهای تخصصی می باشد.

    مرحله سوم کار شامل تجزیه و تحلیل است اطلاعات جمع آوری شدهبه منظور ارزیابی سطح فعلی امنیت AS مشتری. بر اساس نتایج تجزیه و تحلیل، در مرحله چهارم، توصیه هایی برای افزایش سطح حفاظت از AU در برابر تهدیدات امنیت اطلاعات در حال توسعه است.

    در زیر در بیشتر نسخه دقیقمراحل ممیزی مربوط به جمع آوری اطلاعات، تجزیه و تحلیل آن و توسعه توصیه هایی برای افزایش سطح حفاظت از نیروگاه های هسته ای در نظر گرفته شده است.

    4. جمع آوری داده های اولیه برای حسابرسی

    کیفیت ممیزی امنیتی انجام شده تا حد زیادی به کامل بودن و صحت اطلاعاتی که در فرآیند جمع آوری داده های اولیه به دست آمده است بستگی دارد. بنابراین، اطلاعات باید شامل موارد زیر باشد: اسناد سازمانی و اداری موجود مربوط به مسائل امنیت اطلاعات، اطلاعات مربوط به سخت افزار و نرم افزار AS، اطلاعات مربوط به ویژگی های امنیتی نصب شده در AS و غیره. فهرست دقیق تری از داده های اولیه در جدول 1 ارائه شده است.

    جدول 1: فهرست داده های ورودی مورد نیاز برای انجام ممیزی امنیتی

    نوع اطلاعات شرح ترکیب داده های اولیه
    1 اسناد سازمانی و اداری در مورد مسائل امنیت اطلاعات
    1. سیاست امنیت اطلاعات AS;
    2. اسناد حاکم (دستورالعمل ها، دستورالعمل ها) در مورد مسائل ذخیره سازی، دسترسی و انتقال اطلاعات.
    3. مقررات مربوط به کار کاربران با منابع اطلاعاتی AS.
    2 اطلاعات سخت افزار میزبان
    1. لیست سرورها، ایستگاه های کاری و تجهیزات ارتباطی نصب شده در AU.
    2. اطلاعات در مورد پیکربندی سخت افزار سرورها و ایستگاه های کاری.
    3. اطلاعات در مورد تجهیزات جانبینصب شده در AS
    3 اطلاعات عمومی نرم افزار سیستم
    1. اطلاعات در مورد سیستم های عاملنصب شده بر روی ایستگاه های کاری و سرورهای AS؛
    2. داده های DBMS نصب شده در AS.
    4 اطلاعات نرم افزار کاربردی
    1. فهرستی از نرم افزارهای کاربردی برای مقاصد عمومی و ویژه نصب شده در AU.
    2. شرح وظایف عملکردی حل شده با کمک نرم افزار کاربردی نصب شده در AU.
    5 اطلاعات در مورد وسایل حفاظتی نصب شده در AU
    1. اطلاعات مربوط به سازنده تجهیزات حفاظتی؛
    2. تنظیمات پیکربندیراه حل ها؛
    3. طرح نصب تجهیزات حفاظتی.
    6 اطلاعات توپولوژی AS
    1. نقشه محلی شبکه کامپیوتری، که شامل طرحی برای توزیع سرورها و ایستگاه های کاری بر اساس بخش های شبکه است.
    2. اطلاعات در مورد انواع کانال های ارتباطی مورد استفاده در AU.
    3. اطلاعات در مورد پروتکل های شبکه مورد استفاده در AU.
    4. نمودار جریان اطلاعات AS.

    همانطور که در بالا ذکر شد، جمع آوری داده های اولیه را می توان با استفاده از روش های زیر انجام داد:

    • مصاحبه با کارکنان مشتری که اطلاعات لازم را دارند. در این مورد، مصاحبه، به عنوان یک قاعده، هم با متخصصان فنی و هم با نمایندگان مدیریت شرکت انجام می شود. لیست سوالاتی که در طول مصاحبه مورد بحث قرار می گیرند از قبل توافق شده است.
    • ارائه پرسشنامه در مورد یک موضوع خاص که به طور مستقل توسط کارمندان مشتری پر می شود. در مواردی که مطالب ارسالی به طور کامل به سوالات لازم پاسخ نمی دهد، مصاحبه های تکمیلی انجام می شود.
    • تجزیه و تحلیل اسناد سازمانی و فنی موجود مورد استفاده توسط مشتری؛
    • استفاده از ابزارهای نرم افزاری تخصصی که امکان کسب اطلاعات لازم در مورد ترکیب و تنظیمات نرم افزار و سخت افزار سیستم خودکار مشتری را فراهم می کند. بنابراین، به عنوان مثال، در طول فرآیند ممیزی، می توان از سیستم های تجزیه و تحلیل امنیتی (Security Scanners) استفاده کرد که به شما امکان می دهد منابع شبکه موجود را موجودی کنید و آسیب پذیری های موجود در آنها را شناسایی کنید. نمونه هایی از این سیستم ها عبارتند از Internet Scanner (توسط ISS) و XSpider (توسط Positive Technologies).

    5. ارزیابی سطح ایمنی NPP

    پس از جمع آوری اطلاعات لازمبه منظور ارزیابی سطح فعلی امنیت سیستم تجزیه و تحلیل شده است. در فرآیند چنین تحلیلی، خطرات امنیت اطلاعاتی که ممکن است شرکت در معرض آن قرار گیرد، تعیین می شود. در واقع، ریسک ارزیابی یکپارچه از این است که چگونه ابزارهای حفاظتی موجود به طور موثر قادر به مقاومت در برابر حملات اطلاعاتی هستند.

    معمولاً دو گروه اصلی از روش ها برای محاسبه ریسک های امنیتی وجود دارد. گروه اول به شما امکان می دهد با ارزیابی میزان انطباق با مجموعه خاصی از الزامات امنیت اطلاعات، سطح ریسک را تعیین کنید. منابع چنین الزاماتی می تواند باشد (شکل 2):

    • اسناد نظارتی شرکت مربوط به مسائل امنیت اطلاعات؛
    • الزامات قانون فعلی روسیه - اسناد حاکم FSTEC (کمیسیون فنی دولتی)، STR-K، الزامات سرویس امنیت فدرال فدراسیون روسیه، GOST ها و غیره؛
    • توصیه های استانداردهای بین المللی - ISO 17799، OCTAVE، CoBIT، و غیره؛
    • توصیه هایی از تولید کنندگان نرم افزار و سخت افزار - مایکروسافت، اوراکل، سیسکو و غیره.

    شکل 2: منابع الزامات امنیت اطلاعات که ارزیابی ریسک را می توان بر اساس آنها انجام داد

    گروه دوم از روش های ارزیابی ریسک امنیت اطلاعات بر اساس تعیین احتمال حملات و همچنین میزان آسیب آنها است. که در این موردارزش خطر به طور جداگانه برای هر حمله محاسبه می شود و به طور کلی به عنوان حاصل ضرب احتمال حمله با میزان آسیب احتمالی از این حمله ارائه می شود. ارزش خسارت توسط صاحب منبع اطلاعاتی تعیین می شود و احتمال حمله توسط گروهی از کارشناسان که روش حسابرسی را انجام می دهند محاسبه می شود.

    روش‌های گروه اول و دوم می‌توانند از مقیاس‌های کمی یا کیفی برای تعیین میزان ریسک امنیت اطلاعات استفاده کنند. در حالت اول، ریسک و تمام پارامترهای آن در مقادیر عددی بیان می شود. بنابراین، به عنوان مثال، هنگام استفاده از مقیاس های کمی، احتمال حمله را می توان به عنوان یک عدد در بازه بیان کرد، و خسارت یک حمله را می توان به عنوان معادل پولی خسارات مادی که ممکن است یک سازمان در صورت وقوع آن متحمل شود، تعیین کرد. یک حمله موفق هنگام استفاده از مقیاس های کیفی، مقادیر عددی با سطوح مفهومی معادل جایگزین می شوند. در این حالت، هر سطح مفهومی با فاصله معینی از مقیاس ارزیابی کمی مطابقت دارد. تعداد سطوح ممکن است بسته به روش های ارزیابی ریسک اعمال شده متفاوت باشد. جداول 2 و 3 نمونه هایی از مقیاس های ارزیابی ریسک امنیت اطلاعات کیفی را ارائه می دهند که در آنها از پنج سطح مفهومی برای ارزیابی سطوح آسیب و احتمال حمله استفاده می شود.

    جدول 2: مقیاس کیفی برای ارزیابی سطح خسارت

    سطح آسیب شرح
    1 آسیب کوچک منجر به از دست دادن جزئی دارایی های مشهودی می شود که به سرعت بازیافت می شوند یا تأثیر ناچیزی بر شهرت شرکت دارد.
    2 آسیب متوسط تماس می گیرد زیان های قابل توجهدارایی های مشهود یا تأثیر متوسط ​​بر شهرت شرکت
    3 آسیب متوسط منجر به از دست دادن قابل توجه دارایی های مشهود یا آسیب قابل توجهی به شهرت شرکت می شود
    4 خسارت بزرگ باعث از بین رفتن زیاد دارایی های مشهود می شود و به اعتبار شرکت آسیب زیادی وارد می کند
    5 آسیب جدی منجر به از دست دادن بحرانی دارایی های مشهود یا به ضرر کلشهرت شرکت در بازار که ادامه فعالیت سازمان را غیر ممکن می سازد

    جدول 3: مقیاس کیفی برای ارزیابی احتمال حمله

    سطح احتمال حمله شرح
    1 خیلی کم حمله تقریباً هرگز انجام نخواهد شد. سطح مربوط به فاصله عددی احتمال است
    5 خیلی بالا حمله تقریباً به طور قطع انجام خواهد شد. سطح مربوط به فاصله عددی احتمال است (0.75, 1]

    هنگام استفاده از مقیاس های کیفی برای محاسبه سطح ریسک، جداول خاصی استفاده می شود که در ستون اول سطوح مفهومی آسیب و ردیف اول سطوح احتمال حمله را مشخص می کند. سلول های جدول، واقع در تقاطع ردیف و ستون اول، حاوی سطح خطر امنیتی هستند. ابعاد جدول به تعداد سطوح مفهومی حمله و احتمال آسیب بستگی دارد. نمونه ای از جدولی که بر اساس آن می توان سطح ریسک را تعیین کرد در زیر نشان داده شده است.

    جدول 4: نمونه ای از جدول تعیین خطر امنیت اطلاعات

    احتمال حمله خیلی کم کم متوسط بالا خیلی بالا
    خسارت
    کم اهمیت
    خسارت    		 ریسک کم ریسک کم ریسک کم ریسک متوسط ریسک متوسط
    در حد متوسط
    خسارت    		 ریسک کم ریسک کم ریسک متوسط ریسک متوسط ریسک بالا
    آسیب متوسط ریسک کم ریسک متوسط ریسک متوسط ریسک متوسط ریسک بالا
    بزرگ
    خسارت    		 ریسک متوسط ریسک متوسط ریسک متوسط ریسک متوسط ریسک بالا
    بحرانی
    خسارت    		 ریسک متوسط ریسک بالا ریسک بالا ریسک بالا ریسک بالا

    هنگام محاسبه مقادیر احتمال حمله و همچنین میزان آسیب احتمالی، می توان از روش های آماری، روش های ارزیابی کارشناسان یا عناصر تئوری تصمیم استفاده کرد. روش های آماری شامل تجزیه و تحلیل داده های انباشته شده در مورد حوادث واقعی مربوط به نقض امنیت اطلاعات است. بر اساس نتایج چنین تحلیلی، مفروضاتی در مورد احتمال حملات و میزان آسیب ناشی از آنها در سایر AS ها ساخته شده است. با این حال، استفاده از روش های آماری به دلیل عدم وجود داده های آماری کامل در مورد حملات قبلی به منابع اطلاعاتی AS، مشابه آنچه که به عنوان هدف ارزیابی عمل می کند، همیشه امکان پذیر نیست.

    هنگام استفاده از دستگاه ارزیابی کارشناسان، تجزیه و تحلیل نتایج کار گروهی از کارشناسان متخصص در زمینه امنیت اطلاعات انجام می شود که بر اساس تجربه آنها، سطوح کمی یا کیفی ریسک را تعیین می کنند. عناصر تئوری تصمیم گیری امکان اعمال الگوریتم های پیچیده تری را برای پردازش نتایج کار گروهی از متخصصان برای محاسبه ارزش ریسک امنیتی فراهم می کند.

    در فرآیند انجام ممیزی امنیتی، می توان از سیستم های نرم افزاری تخصصی برای خودکارسازی فرآیند تجزیه و تحلیل داده های اولیه و محاسبه مقادیر ریسک استفاده کرد. نمونه هایی از این مجتمع ها عبارتند از Grif و Condor (شرکت های امنیت دیجیتال) و همچنین Avangard (موسسه تحلیل سیستم آکادمی علوم روسیه).

    6. نتایج ممیزی امنیتی

    در آخرین مرحله ممیزی امنیت اطلاعات، توصیه هایی برای بهبود پشتیبانی سازمانی و فنی شرکت ایجاد می شود. چنین توصیه هایی ممکن است شامل شود انواع زیراقدامات با هدف به حداقل رساندن خطرات شناسایی شده:

    • کاهش خطر به دلیل استفاده از ابزارهای حفاظتی سازمانی و فنی اضافی که احتمال حمله را کاهش می دهد یا آسیب های احتمالی ناشی از آن را کاهش می دهد. به عنوان مثال، نصب فایروال در نقطه اتصال AS به اینترنت می تواند احتمال حمله موفقیت آمیز به منابع اطلاعات عمومی AS مانند سرورهای وب، سرورهای پست الکترونیکی و غیره را به میزان قابل توجهی کاهش دهد.
    • اجتناب از خطر با تغییر معماری یا طرح جریان اطلاعات AS، که امکان رد امکان انجام یک یا آن حمله را فراهم می کند. بنابراین، به عنوان مثال، قطع ارتباط فیزیکی از اینترنت بخش AS، که در آن اطلاعات محرمانه پردازش می شود، امکان حذف حملات به اطلاعات محرمانه از این شبکه را فراهم می کند.
    • تغییر در ماهیت ریسک در نتیجه اتخاذ تدابیر بیمه. نمونه هایی از چنین تغییری در ماهیت خطر عبارتند از بیمه تجهیزات NPP در برابر آتش سوزی یا بیمه منابع اطلاعاتی در برابر نقض احتمالیمحرمانه بودن، یکپارچگی یا در دسترس بودن آنها. در حال حاضر، شرکت های روسی در حال حاضر خدمات بیمه ریسک اطلاعات را ارائه می دهند.
    • پذیرش ریسک در صورتی که به سطحی کاهش یابد که خطری برای AU ایجاد نکند.

    به عنوان یک قاعده، توصیه های توسعه یافته با هدف حذف کامل همه خطرات شناسایی شده نیست، بلکه فقط کاهش آنها به سطح باقیمانده قابل قبول است. هنگام انتخاب اقدامات برای افزایش سطح حفاظت از AS، یک محدودیت اساسی در نظر گرفته می شود - هزینه اجرای آنها نباید از هزینه منابع اطلاعات محافظت شده تجاوز کند.

    در پایان روش حسابرسی، نتایج آن در قالب یک سند گزارش تهیه می شود که در اختیار مشتری قرار می گیرد. به طور کلی، این سند شامل بخش های اصلی زیر است:

    • شرح مرزهایی که ممیزی امنیتی در آن انجام شده است.
    • شرح ساختار AS مشتری؛
    • روشها و ابزارهایی که در فرآیند حسابرسی مورد استفاده قرار گرفت.
    • شرحی از آسیب‌پذیری‌ها و ضعف‌های شناسایی‌شده، از جمله سطح ریسک آن‌ها؛
    • توصیه هایی برای بهبود سیستم یکپارچه امنیت اطلاعات؛
    • پیشنهادهایی برای طرحی برای اجرای اقدامات اولویت دار با هدف به حداقل رساندن خطرات شناسایی شده.

    7. نتیجه گیری

    ممیزی امنیت اطلاعات امروزه یکی از مؤثرترین ابزارها برای به دست آوردن ارزیابی مستقل و عینی از سطح فعلی امنیت شرکت در برابر تهدیدات امنیت اطلاعات است. علاوه بر این، نتایج ممیزی مبنای شکل گیری استراتژی توسعه سیستم امنیت اطلاعات سازمان است.

    با این حال، باید درک کرد که ممیزی امنیتی یک رویه یک بار نیست، بلکه باید به طور منظم انجام شود. تنها در این صورت، حسابرسی بازده واقعی را به همراه خواهد داشت و به بهبود سطح امنیت اطلاعات شرکت کمک می کند.

    8. مراجع

    1. Vikhorev S.V.، Kobtsev R.Yu.، چگونه بفهمیم از کجا حمله کنیم یا تهدید امنیت اطلاعات از کجا می آید // Confident، شماره 2، 2001.
    2. Simonov S. تجزیه و تحلیل ریسک، مدیریت ریسک // خبرنامه جت اطلاعات شماره 1 (68). 1999. ص. 1-28.
    3. ISO/IEC 17799، فناوری اطلاعات - آیین نامه عملکرد مدیریت امنیت اطلاعات، 2000
    4. ارزیابی عملیاتی حیاتی تهدید، دارایی و آسیب پذیری (OCTAVE) – ارزیابی ریسک امنیتی – www.cert.org/octave.
    5. راهنمای مدیریت ریسک برای سیستم‌های فناوری اطلاعات، NIST، انتشارات ویژه 800-30.

    شرکت باید یک ممیزی امنیت اطلاعات انجام دهد. بیایید در نظر بگیریم که برای چیست و چگونه آن را بررسی کنیم. تقریباً تمام فعالیت های سازمان ها با پردازش کامپیوتری اطلاعات مرتبط است.

    تعداد و حجم معاملاتی که نیاز به استفاده گسترده از یک سیستم اطلاعاتی کامپیوتری دارند در حال افزایش است.
    در صورت وجود خطا، ممکن است سیستم مسدود شود.

    یک واکنش زنجیره ای می تواند باعث شود که منجر به کاهش سودآوری شرکت ها و از دست دادن شهرت آنها شود. به همین دلیل است که ارزش توجه ویژه به حسابرسی IS را دارد.

    چه چیزی میخواهید بدانید

    انجام ممیزی IS یک روش مهم است که در آن اهداف خاصی دنبال می شود و تعدادی از وظایف انجام می شود.

    شرایط مورد نیاز

    امنیت اطلاعات به یک رویه سیستمی گفته می شود که در آن کیفی عینی و برآوردهای کمیدر مورد وضعیت فعلی امنیت اطلاعات شرکت.

    در عین حال معیارها و شاخص های ایمنی خاصی رعایت می شود. امنیت اطلاعات به عنوان ایمنی منابع اطلاعاتی و حمایت از حقوق قانونی فرد و جامعه در صنعت اطلاعات درک می شود.

    چرا این مورد نیاز است؟

    با کمک ممیزی می توانید امنیت فعلی سیستم اطلاعاتی را ارزیابی کنید، ریسک ها را ارزیابی و پیش بینی کنید و تاثیر آنها را بر فرآیند کسب و کار مدیریت کنید.

    با تأیید صحیح، می توانید بازده وجوهی را که در ایجاد و نگهداری سیستم امنیتی شرکت سرمایه گذاری می شود، به حداکثر برسانید.

    هدف روش حسابرسی:

    • تحلیل ریسک؛
    • ارزیابی سطوح فعلی امنیت سیستم اطلاعاتی؛
    • محلی سازی یک گلوگاه در سیستم حفاظتی؛
    • توصیه هایی در مورد چگونگی پیاده سازی و بهبود اثربخشی مکانیسم امنیتی سیستم اطلاعات ارائه می دهد.

    وظیفه:

    • توسعه یک سیاست امنیتی برای حفاظت از داده ها؛
    • تعیین وظایف برای کارکنان فناوری اطلاعات؛
    • تجزیه و تحلیل حوادث مربوط به نقض امنیت اطلاعات.

    تنظیم حقوقی

    مقررات اصلی قانونگذاری:

    1. مستندات روشی

    ممیزی امنیت اطلاعات سازمانی

    جهت اصلی بررسی امنیت اطلاعات:

    گواهینامه
    • سیستم های خودکار، وسایل ارتباطی، پردازش و انتقال داده ها تایید شده اند.
    • محل مورد استفاده در مذاکرات تایید شده است.
    • وسایل فنی که در یک اتاق اختصاصی نصب می شوند دارای تاییدیه هستند
    کنترل داده های محافظت شده
    • کانال های فنی نشت داده ها شناسایی می شوند.
    • اثربخشی ابزارهای امنیتی داده مورد استفاده کنترل می شود
    مطالعه ویژه وسایل فنی
    • کامپیوتر، وسایل ارتباطی و پردازش داده ها بررسی می شود.
    • سیستم کامپیوتر محلی؛
    • نتایج مطالعه مطابق با استانداردهای کمیسیون فنی دولتی تهیه شده است
    اشیاء در نسخه های محافظت شده طراحی شده اند
    • مفهوم امنیت اطلاعات در حال توسعه است.
    • سیستم های خودکار طراحی شده اند، پردازش داده ها در نسخه های امن.
    • محل هایی طراحی شده است که برای مذاکره ضروری است

    روش های کاربردی

    امکان استفاده از این تکنیک وجود دارد:

    ممیزی تخصصی، که در آن میزان حفاظت آن جزء از سیستم اطلاعاتی ارزیابی می شود شامل چند مرحله است:
    • تجزیه و تحلیل سیستم های اطلاعاتی؛
    • دارایی های مهم تجزیه و تحلیل می شوند.
    • مدل های تهدید، متخلفان شکل می گیرند.
    • الزامات امنیت محیط داده را تجزیه و تحلیل می کند.
    • وضعیت فعلی ارزیابی می شود.
    • توصیه هایی برای رفع کمبودها ایجاد می شود.
    • توصیه گزارش ایجاد شده است
    حسابرسی فعال در طول آزمایش، امکان ارزیابی امنیت سیستم های اطلاعاتی، شناسایی نقاط ضعف، بررسی قابلیت اطمینان مکانیسم موجود برای محافظت از سیستم ها در برابر اقدامات غیرقانونی وجود دارد. این شرکت گزارش های دقیقی را با نتایج تجزیه و تحلیل دریافت می کند. هدف تست نفوذ یک سرور خارجی است. سخت افزار شبکه، سرویس جداگانه.

    چندین نوع آزمایش وجود دارد:

    1. روش جعبه سیاه آزمایش بدون اطلاع از شی مورد آزمایش انجام می شود. اطلاعات از یک منبع در دسترس عموم جمع آوری شده است.
    2. روش جعبه سفید. اشیاء با جزئیات بیشتری بررسی می شوند. آنها ممکن است اسناد اضافی، کد منبع، دسترسی به اشیاء را درخواست کنند. این تست موقعیتی را شبیه سازی می کند که با نشت داده ها امکان پذیر است.
    3. روش جعبه خاکستری. داده های شناخته شده را نادیده بگیرید و روش هایی را که در بالا نشان داده شده است ترکیب کنید.

    مراحل آزمون شامل:

    • تجزیه و تحلیل اطلاعات موجود؛
    • اجرای اسکن ابزاری هنگام استفاده از ابزارهای تخصصی؛
    • تجزیه و تحلیل دستی دقیق؛
    • تجزیه و تحلیل و ارزیابی شکاف ها
    بررسی برنامه های وب برای شناسایی و شناسایی آسیب پذیری ها مورد نیاز است. لزوما:
    • انجام اسکن خودکار؛
    • با استفاده از روش جعبه سیاه و سفید؛
    • ارزیابی ریسک؛
    • تهیه توصیه ها؛
    • اجرای توصیه ها
    ممیزی جامع می توان تهدید امنیت اطلاعات را نظام مند کرد و پیشنهاداتی برای رفع نواقص ارائه کرد. تایید فنی شبکه ها انجام می شود، تست نفوذ انجام می شود و غیره.
    حسابرسی انطباق سیستم مدیریت ریسک امنیت اطلاعات، خط مشی مقررات، اصول مدیریت دارایی و کارکنان تجزیه و تحلیل و ارزیابی می شود.

    برنامه ریزی

    هنگام انجام ممیزی امنیت اطلاعات، برنامه کاری و تعاریف هدف تهیه می شود. مشتریان و مجریان باید در مورد محدوده و ساختار شرکت تحت تأثیر حسابرسی توافق کنند.

    در مورد مسئولیت هر یک از طرفین بحث کنید. این طرح باید منعکس کننده موارد زیر باشد:

    • هدف چک؛
    • شاخص؛
    • حوزه های راستی آزمایی با در نظر گرفتن شناسایی واحد و فرآیند سازمانی و عملکردی که موضوع ممیزی است.
    • تاریخ و مکان حسابرسی؛
    • مدت زمان چک؛
    • نقش و مسئولیت اعضای تیم حسابرسی و افراد همراه.

    همچنین ممکن است شامل موارد زیر باشد:

    • فهرستی از نمایندگان شرکت حسابرسی شده که خدمات پشتیبانی را به تیم حسابرسی ارائه می دهند.
    • بخش های گزارش؛
    • پشتیبانی فنی؛
    • پرداختن به مسائل حریم خصوصی؛
    • ضرب الاجل ها و اهداف بررسی بعدیامنیت اطلاعات.

    این طرح قبل از انجام حسابرسی بررسی و به حسابرسی شونده ارائه می شود. سند اصلاح شده قبل از ادامه ممیزی توسط طرف درگیر موافقت می شود.

    انجام ممیزی داخلی

    حسابرسی شامل اقدامات زیر است:

    • فرآیند آغاز می شود (حقوق و تعهدات حسابرس در اسناد تعیین و تثبیت می شود، برنامه حسابرسی در حال تهیه است).
    • داده ها جمع آوری می شود؛
    • اطلاعات تجزیه و تحلیل می شود؛
    • توصیه هایی ارائه می شود؛
    • گزارشی در حال تهیه است.

    برای اجرای حسابرسی، معیارهایی تعیین می شود که در اسناد نظارتی منعکس شده است. ابتدا یک ممیزی سازماندهی می شود، اسناد تجزیه و تحلیل می شوند و مقدمات ممیزی IS در محل اجرای آن فراهم می شود.

    مطمئن شوید که رهبری تیم های حسابرسی را تعیین کنید، اهداف و دامنه حسابرسی، فرصت ها را تعیین کنید، تماس های اولیه را با شرکت حسابرسی شده برقرار کنید.

    تفاوت های ظریف برای یک کسب و کار کوچک

    در یک شرکت کوچک، امنیت اطلاعات به اندازه شرکت های بزرگ مورد توجه قرار نمی گیرد.

    اگرچه وضعیت فنی به گونه ای است که حفاظت از امنیت اطلاعات فقط برای شرکت های کوچک ضروری است. چنین شرکت هایی بودجه کمی برای فناوری اطلاعات دارند که به آنها امکان می دهد تمام تجهیزات و نرم افزارها را خریداری کنند.

    به همین دلیل است که ممیزی با بررسی موارد زیر امکان شناسایی به موقع آسیب پذیری ها را فراهم می کند:

    • نحوه استفاده از آن دیواره آتشبرای تضمین امنیت اطلاعات؛
    • آیا حفاظت ارائه شده است پست الکترونیک(این که آیا آنتی ویروس های لازم وجود دارد)؛
    • آیا حفاظت ضد ویروس ارائه شده است.
    • نحوه سازماندهی کار در شرکت 1C؛
    • چگونه کامپیوتر کاربر پیکربندی شده است.
    • نحوه استفاده از سرور پروکسی
    • آیا حفاظت ارائه شده است محیط اطلاعاتیشرکت ها

    در طول عمل در بانک

    • اطراف کامپیوتر را بررسی کنید.
    • چک کامپیوتر.

    کنترل می تواند عمومی و کاربردی باشد. عملیاتی که اطمینان به تداوم عملکرد یک سیستم کامپیوتری را فراهم می کند، کلی در نظر گرفته می شود.

    انواع کنترل زیر انجام می شود:

    • سازمانی؛
    • کنترل کامپیوتر؛
    • سیستم های عامل؛
    • کنترل دسترسی؛
    • کنترل محل با امکانات فنی؛
    • توسعه و نگهداری سیستم ها

    کنترل برنامه یک فرآیند برنامه ریزی شده از یک برنامه خاص است. نرم افزارو فرآیندهای دستی

    ارائه اطمینان معقول از کامل، دقیق و صحیح بودن پردازش خودکار اطلاعات ضروری است.

    ارایه شده:

    • کنترل ورودی (این ضعیف ترین نقطه در سیستم های اطلاعاتی است).
    • در حال پردازش؛
    • خروجی

    برنامه بررسی سیستم اطلاعاتی موسسات بانکی شامل:

    مشارکت حسابرسان داخلی هنگام توسعه سیستم ها و بسته نرم افزاری کاربردی
    بررسی و تایید تایید کننده تغییرات نرم افزار
    انجام ممیزی کنترل های داخلی و آزمون هایی با قوام و سازگاری
    بررسی اسناد نرم افزار آیا اسناد وجود دارد، آیا آنها به روز شده اند، آیا آنها وضعیت واقعی را منعکس می کنند؟
    انجام بررسی های نرم افزاری این واقعیت است که هیچ تغییر غیر مجاز وجود ندارد، خواه اطلاعات کامل باشد
    انجام ارزیابی نرم افزار خریداری شده انطباق با توضیحات سیستم های آماده شده
    بررسی سه ماهه و تجدید برنامه اقدام در صورت فورس ماژور و شرایط بحرانی

    برای جلوگیری از نفوذ و حملات ناخواسته در آینده، ارزش دارد:

    حسابرس ممکن است فعالیت های زیر را انجام دهد:

    سازمان سیستم های اطلاعات دولتی

    بیایید یک مدرسه را به عنوان مثال در نظر بگیریم. اجرای حسابرسی شامل 3 مرحله است. ابتدا موسسه باید تمامی مدارک لازم را ارائه کند.

    تعیین هدف، وظایف تأیید، تشکیل. مشخص کنید که چه کسی بخشی از تیم حسابرسی خواهد بود. برنامه های تأیید را بنویسید.

    ممیزی خود مطابق با برنامه ممیزی که با مدیریت مدرسه تهیه و توافق شده است انجام می شود.

    کیفیت اسناد نظارتی، اثربخشی اقدامات حفاظت از داده های فنی و همچنین اقدامات کارکنان را بررسی و ارزیابی می کند. نصب:

    • آیا ISPD به درستی طبقه بندی شده است.
    • آیا اطلاعات ارائه شده کافی است یا خیر؛
    • آیا الزامات امنیت اطلاعات برآورده شده است.

    هنگام انجام بررسی فنی از روش های کارشناسی، کارشناسی-اسنادی، ابزاری استفاده می شود. بر اساس نتایج ممیزی، آنها آماده می شوند، جایی که کاستی ها بیان شده و توصیه هایی برای رفع آنها ارائه می شود.

    گواهینامه سیستم های مدیریت

    تأیید و تأیید انطباق با استانداردها با هدف بهبود مدیریت شرکت و ایجاد اعتماد انجام می شود.

    اگرچه استانداردهای بین المللی ایجاد شده است، اما در حال حاضر هیچ گواهینامه ای برای ISO 17799 وجود ندارد، زیرا هیچ بخش 2 از آن برای توصیف گواهی انطباق با استانداردهای بریتانیا BS 7799 وجود ندارد.

    دارای گواهینامه استانداردهای بریتانیا. تأیید انطباق با استانداردها توسط مؤسسات حسابرسی / مشاوره ای که عضو UKAS هستند انجام می شود

    گواهینامه های مطابق با BS 7799-2 بر کیفیت سیستم های مدیریت امنیت اطلاعات ساختمان تأثیر می گذارد. تعدادی از مسائل فنی در حال رسیدگی است.

    استانداردهای دولتی برای مدیریت سیستم پذیرفته نشده است، به این معنی که آنالوگ الزامات و توصیه های ویژه برای محافظت از اطلاعات در مورد طرح فنی کمیسیون فنی دولتی روسیه است.

    ثبت نتایج

    در پایان حسابرسی، یک سند گزارش تهیه می شود که به مشتریان منتقل می شود. گزارش باید حاوی اطلاعات زیر باشد:

    • محدوده مقررات حسابرسی؛
    • ساختار سیستم اطلاعات سازمانی؛
    • روشها و ابزارهایی که در حین حسابرسی استفاده می شود.
    • شرح آسیب‌پذیری‌ها و کاستی‌های شناسایی‌شده، با در نظر گرفتن سطح ریسک آن‌ها؛
    • توصیه هایی برای بهبود سیستم های پیچیدهتامین امنیت اطلاعات؛
    • پیشنهادهایی برای برنامه های اجرایی اقدام که باید خطرات شناسایی شده را به حداقل برساند.

    گزارش باید حاوی اطلاعات کامل، واضح و دقیق در مورد بررسی امنیت اطلاعات باشد. مشخص شده است که ممیزی در کجا انجام شده است، مشتری و پیمانکار کیست، هدف از حسابرسی چیست.

    گزارش ها همچنین ممکن است شامل اطلاعات زیر باشد:

    • طرح تست؛
    • فهرست افراد همراه حسابرسان؛
    • خلاصه ای کوتاه از روش با در نظر گرفتن عنصر عدم قطعیت و مشکلاتی که ممکن است بر قابلیت اطمینان نتیجه گیری حسابرسی تأثیر بگذارد.
    • صنایعی که مشمول حسابرسی نیستند و غیره.

    ممیزی امنیت اطلاعات ابزار مؤثری است که به شما امکان می دهد ارزیابی مستقل و عینی از مرحله فعلی حفاظت در برابر تعدادی از تهدیدات به دست آورید.

    نتیجه ممیزی زمینه ای را برای شکل گیری استراتژی هایی برای توسعه سیستم هایی برای تضمین امنیت اطلاعات شرکت فراهم می کند.
    اما شایان ذکر است که ممیزی امنیتی یک روش یکبار مصرف نیست.

    باید به صورت مستمر انجام شود. تنها در این صورت است که بازگشت واقعی وجود خواهد داشت و امکان ارتقای امنیت اطلاعات وجود خواهد داشت.

    امروزه همه تقریباً یک عبارت مقدس را می شناسند که صاحب اطلاعات صاحب جهان است. به همین دلیل است که در زمان ما همه در صدد دزدی هستند. در این راستا اقدامات بی سابقه ای برای معرفی وسایل حفاظتی در برابر حملات احتمالی در حال انجام است. با این حال، گاهی اوقات ممکن است نیاز به حسابرسی شرکت باشد. چیست و چرا همه اینها مورد نیاز است، اکنون سعی خواهیم کرد آن را بفهمیم.

    ممیزی امنیت اطلاعات به طور کلی چیست؟

    اکنون ما به اصطلاحات علمی مبهم دست نخواهیم زد ، اما سعی خواهیم کرد مفاهیم اساسی را برای خود تعریف کنیم و آنها را به ساده ترین زبان توصیف کنیم (در مردم می توان آن را ممیزی برای "قلمک ها" نامید).

    نام این مجموعه از رویدادها برای خود صحبت می کند. ممیزی امنیت اطلاعات یک تأیید مستقل یا امنیت یک سیستم اطلاعاتی (IS) یک شرکت، مؤسسه یا سازمان بر اساس معیارها و شاخص های ویژه توسعه یافته است.

    به عبارت ساده، به عنوان مثال، ممیزی امنیت اطلاعات یک بانک به ارزیابی سطح حفاظت از پایگاه داده مشتریان، عملیات بانکی در حال انجام، ایمنی پول الکترونیکی، ایمنی رازداری بانکی و غیره در صورت تداخل با فعالیت های موسسه خارجی هااز بیرون با استفاده از وسایل الکترونیکی و کامپیوتری.

    مطمئناً در بین خوانندگان حداقل یک نفر وجود دارد که در خانه یا در خانه تماس گرفته است تلفن همراهبا پیشنهاد صدور وام یا سپرده، علاوه بر این، از بانکی که به هیچ وجه با آن ارتباط ندارد. همین امر در مورد پیشنهادهای خرید از برخی فروشگاه ها نیز صدق می کند. شماره شما از کجا آمده است؟

    همه چیز ساده است. اگر شخصی قبلاً وام گرفته یا در یک حساب سپرده سرمایه گذاری کرده باشد، طبیعتاً داده های او در یک حساب ذخیره می شود. هنگام تماس از بانک یا فروشگاه دیگر، تنها نتیجه می توان گرفت: اطلاعات مربوط به او به طور غیرقانونی به دست ثالث افتاد. چگونه؟ در حالت کلی، دو گزینه قابل تشخیص است: یا به سرقت رفته است یا عمداً توسط کارمندان بانک به اشخاص ثالث منتقل شده است. برای جلوگیری از وقوع چنین مواردی، لازم است به موقع حسابرسی امنیت اطلاعات بانک انجام شود و این امر نه تنها در مورد ابزارهای امنیتی رایانه ای یا «آهنی»، بلکه برای همه پرسنل مؤسسه بانکی صدق می کند.

    حوزه های اصلی ممیزی امنیت اطلاعات

    با توجه به دامنه چنین حسابرسی، به عنوان یک قاعده، آنها با چندین مورد متمایز می شوند:

    • تأیید کامل اشیاء درگیر در فرآیندهای اطلاعاتی (سیستم های خودکار رایانه ای، وسایل ارتباطی، دریافت، انتقال و پردازش داده های اطلاعاتی، وسایل فنی، محل برگزاری جلسات محرمانه، سیستم های نظارت و غیره).
    • بررسی قابلیت اطمینان حفاظت اطلاعات محرمانهبا دسترسی محدود(تعیین کانال های احتمالی نشت و سوراخ های احتمالی در سیستم امنیتی، امکان دسترسی به آن از خارج با استفاده از روش های استاندارد و غیر استاندارد).
    • تأیید کلیه وسایل فنی الکترونیکی و محلی سیستم های کامپیوتریبرای قرار گرفتن در معرض تشعشعات الکترومغناطیسی و پیکاپ ها، که به آنها اجازه می دهد خاموش یا غیر قابل استفاده شوند.
    • بخش طراحی، که شامل کار بر روی ایجاد یک مفهوم امنیتی و به کارگیری آن در عمل (حفاظت از سیستم های کامپیوتری، اماکن، ارتباطات و غیره) است.

    چه زمانی ممیزی لازم است؟

    بدون ذکر شرایط بحرانی که حفاظت قبلا نقض شده است، ممیزی امنیت اطلاعات در یک سازمان می تواند در برخی موارد دیگر انجام شود.

    به عنوان یک قاعده، این شامل گسترش شرکت، ادغام، تملک، تصاحب توسط سایر شرکت ها، تغییر در مفهوم کسب و کار یا مدیریت، تغییر در قوانین بین المللی یا در قوانین حقوقی در یک کشور واحد، تغییرات کاملا جدی در زیرساخت اطلاعاتی است. .

    انواع حسابرسی

    امروزه طبقه بندی این نوع حسابرسی، به گفته بسیاری از تحلیلگران و کارشناسان، به خوبی تثبیت نشده است. بنابراین، تقسیم به کلاس ها در برخی موارد می تواند بسیار مشروط باشد. با این وجود، در حالت کلی، ممیزی امنیت اطلاعات را می توان به خارجی و داخلی تقسیم کرد.

    حسابرسی خارجی، که توسط کارشناسان مستقلی که حق انجام آن را دارند، انجام می شود، معمولاً یک حسابرسی یکباره است که می تواند توسط مدیریت شرکت، سهامداران، اجرای قانونو غیره. در نظر گرفته شده است که ممیزی امنیت اطلاعات خارجی توصیه می شود (به جای اجباری) به طور منظم برای یک دوره زمانی مشخص انجام شود. اما برای برخی سازمان ها و بنگاه ها طبق قانون اجباری است (مثلا موسسات و سازمان های مالی شرکت های سهامیو غیره.).

    امنیت اطلاعات یک فرآیند مداوم است. این بر اساس "مقررات حسابرسی داخلی" ویژه است. آن چیست؟ در واقع اینها فعالیت های گواهی است که در سازمان و در محدوده زمانی مصوب مدیریت انجام می شود. انجام ممیزی امنیت اطلاعات توسط زیرمجموعه های ساختاری ویژه شرکت ارائه می شود.

    طبقه بندی جایگزین انواع حسابرسی

    علاوه بر تقسیم بندی فوق به طبقات در حالت کلی، چندین مؤلفه دیگر نیز در طبقه بندی بین المللی پذیرفته شده است:

    • بررسی تخصصی وضعیت امنیت اطلاعات و سیستم های اطلاعاتی بر اساس تجربه شخصی کارشناسان انجام دهنده آن؛
    • صدور گواهینامه سیستم ها و اقدامات امنیتی برای انطباق با استانداردهای بین المللی (ISO 17799) و اسناد قانونی دولتی تنظیم کننده این حوزه فعالیت.
    • تجزیه و تحلیل امنیتی سیستم های اطلاعاتی با استفاده از ابزارهای فنی، با هدف شناسایی آسیب پذیری های احتمالی در مجموعه نرم افزاری و سخت افزاری.

    گاهی اوقات می توان از ممیزی به اصطلاح پیچیده که شامل تمامی انواع فوق می باشد نیز استفاده کرد. به هر حال، این اوست که عینی ترین نتایج را می دهد.

    تعیین اهداف و مقاصد

    هر راستی آزمایی، چه داخلی و چه خارجی، با تعیین اهداف و مقاصد آغاز می شود. به بیان ساده، باید مشخص کنید که چرا، چه چیزی و چگونه بررسی می شود. این روش شناسی بعدی را برای کل فرآیند از پیش تعیین می کند.

    وظایف تعیین شده، بسته به ویژگی های ساختار خود شرکت، سازمان، موسسه و فعالیت های آن، می تواند بسیار زیاد باشد. با این حال، در میان همه اینها، اهداف یکپارچه ممیزی امنیت اطلاعات متمایز می شود:

    • ارزیابی وضعیت امنیت اطلاعات و سیستم های اطلاعاتی؛
    • تجزیه و تحلیل خطرات احتمالی مرتبط با تهدید نفوذ به IP از خارج و روش های ممکن برای اجرای چنین تداخلی.
    • محلی سازی سوراخ ها و شکاف ها در سیستم امنیتی؛
    • تجزیه و تحلیل انطباق سطح امنیت سیستم های اطلاعاتی با استانداردهای فعلی و قوانین قانونی نظارتی؛
    • توسعه و صدور توصیه هایی شامل رفع مشکلات موجود و همچنین بهبود وسایل حفاظتی موجود و معرفی پیشرفت های جدید.

    روش و ابزار انجام حسابرسی

    حال چند کلمه در مورد نحوه انجام چک و اینکه شامل چه مراحل و ابزاری می شود.

    انجام ممیزی امنیت اطلاعات شامل چندین مرحله اصلی است:

    • شروع روش حسابرسی (تعریف روشن حقوق و تعهدات حسابرس، تهیه برنامه حسابرسی توسط حسابرس و هماهنگی آن با مدیریت، حل مسئله حدود مطالعه، تحمیل به کارکنان سازمان تعهد به کمک و ارائه اطلاعات لازم به موقع)؛
    • جمع آوری داده های اولیه (ساختار سیستم امنیتی، توزیع ابزارهای امنیتی، سطوح عملکرد سیستم امنیتی، تجزیه و تحلیل روش های کسب و ارائه اطلاعات، تعیین کانال های ارتباطی و تعامل IS با سایر ساختارها، سلسله مراتب کاربران شبکه های کامپیوتری، تعریف پروتکل ها و غیره)؛
    • انجام ممیزی جامع یا جزئی؛
    • تجزیه و تحلیل داده های دریافتی (تجزیه و تحلیل خطرات از هر نوع و مطابقت با استانداردها)؛
    • ارائه توصیه هایی برای حذف مشکلات احتمالی;
    • ایجاد اسناد گزارشگری

    مرحله اول ساده ترین است، زیرا تصمیم گیری آن منحصراً بین مدیریت شرکت و حسابرس اتخاذ می شود. مرزهای تجزیه و تحلیل را می توان در مجمع عمومی کارکنان یا سهامداران در نظر گرفت. همه اینها بیشتر به حوزه حقوقی مربوط می شود.

    مرحله دوم جمع‌آوری داده‌های اولیه، خواه ممیزی امنیت اطلاعات داخلی یا صدور گواهینامه مستقل خارجی باشد، بیشترین منابع را به خود اختصاص می‌دهد. این امر به این دلیل است که در این مرحله نه تنها باید مدارک فنی مربوط به کل مجموعه نرم افزاری و سخت افزاری را مطالعه کرد، بلکه باید یک مصاحبه متمرکز با کارکنان شرکت انجام داد و در بیشتر موارد حتی با پر کردن موارد خاص. پرسشنامه یا پرسشنامه

    در مورد مستندات فنی، به دست آوردن اطلاعات در مورد ساختار IP و سطوح اولویت حقوق دسترسی به آن برای کارکنان، تعیین سیستم عمومی و نرم افزار کاربردی (سیستم عامل های مورد استفاده، برنامه های کاربردی برای انجام تجارت، مدیریت آن و حسابداری) مهم است. همچنین ابزارهای حفاظتی نرم افزاری نصب شده و نوع غیر نرم افزاری (آنتی ویروس، فایروال و غیره) علاوه بر این، این شامل بررسی کامل شبکه‌ها و ارائه دهندگان ارائه خدمات ارتباطی (سازمان شبکه، پروتکل‌های مورد استفاده برای اتصال، انواع کانال‌های ارتباطی، روش‌های انتقال و دریافت جریان اطلاعات و موارد دیگر) می‌شود. همانطور که می بینید، این کار زمان زیادی می برد.

    مرحله بعدی تعریف روش های ممیزی امنیت اطلاعات است. آنها با سه متمایز می شوند:

    • تجزیه و تحلیل ریسک (پیچیده ترین تکنیک مبتنی بر تشخیص حسابرس از امکان نفوذ به سیستم اطلاعاتی و نقض یکپارچگی آن با استفاده از تمام روش ها و ابزارهای ممکن).
    • ارزیابی انطباق با استانداردها و قوانین قانونی (ساده ترین و کاربردی ترین روش مبتنی بر مقایسه وضعیت فعلی و الزامات استانداردهای بین المللی و اسناد داخلی در زمینه امنیت اطلاعات).
    • یک روش ترکیبی که دو روش اول را ترکیب می کند.

    پس از دریافت نتایج آزمایش، تجزیه و تحلیل آنها آغاز می شود. ابزارهای ممیزی امنیت اطلاعات که برای تجزیه و تحلیل استفاده می شوند می توانند بسیار متنوع باشند. همه چیز به مشخصات شرکت، نوع اطلاعات، نرم افزار مورد استفاده، ابزارهای امنیتی و غیره بستگی دارد. با این حال، همانطور که از روش اول می بینید، حسابرس عمدتاً باید به تجربه خود تکیه کند.

    و این فقط به این معنی است که او باید صلاحیت های مناسب در این زمینه را داشته باشد فناوری اطلاعاتو حفاظت از داده ها بر اساس این تحلیل، حسابرس خطرات احتمالی را محاسبه می کند.

    توجه داشته باشید که او نه تنها باید سیستم‌های عامل یا برنامه‌هایی را که به‌عنوان مثال برای انجام امور تجاری یا حسابداری استفاده می‌شوند، درک کند، بلکه باید به وضوح بفهمد که چگونه یک مهاجم می‌تواند به یک سیستم اطلاعاتی نفوذ کند تا داده‌ها را سرقت، فاسد و از بین ببرد، پیش‌نیازهایی برای نقض در عملکرد رایانه ها، انتشار ویروس ها یا بدافزارها.

    بر اساس تجزیه و تحلیل، کارشناس در مورد وضعیت حفاظت نتیجه گیری می کند و توصیه هایی را برای رفع مشکلات موجود یا احتمالی، ارتقاء سیستم امنیتی و غیره ارائه می دهد. در عین حال، توصیه ها باید نه تنها عینی باشند، بلکه باید به وضوح با واقعیت های خصوصیات شرکت مرتبط باشند. به عبارت دیگر، مشاوره در مورد ارتقاء پیکربندی رایانه یا نرم افزار پذیرفته نمی شود. این به همان اندازه در مورد مشاوره در مورد اخراج کارکنان "غیر قابل اعتماد" ، نصب سیستم های ردیابی جدید بدون اشاره خاصی به هدف ، محل نصب و مصلحت آنها صدق می کند.

    بر اساس تجزیه و تحلیل، به عنوان یک قاعده، چندین گروه از خطرات متمایز می شوند. در عین حال، از دو شاخص اصلی برای تهیه گزارش خلاصه استفاده می شود: احتمال حمله و آسیب وارد شده به شرکت در نتیجه (از دست دادن دارایی، از دست دادن شهرت، از دست دادن تصویر و غیره). با این حال، امتیازات گروه ها مطابقت ندارد. بنابراین، برای مثال، نشانگر سطح پایینزیرا احتمال حمله بهترین است. برای آسیب، برعکس است.

    تنها پس از آن گزارشی تهیه می شود که در آن تمام مراحل، روش ها و ابزار تحقیق انجام شده به تفصیل شرح داده می شود. با مدیریت توافق شده و توسط دو طرف - شرکت و حسابرس امضا می شود. در صورتی که حسابرسی داخلی باشد، رئیس واحد ساختاری مربوطه چنین گزارشی را تنظیم و پس از آن مجدداً به امضای رئیس می رسد.

    ممیزی امنیت اطلاعات: یک مثال

    در نهایت، ساده ترین مثال از موقعیتی را که قبلاً اتفاق افتاده است در نظر بگیرید. اتفاقاً برای بسیاری ممکن است بسیار آشنا به نظر برسد.

    بنابراین، به عنوان مثال، یک کارمند خاص از یک شرکت که در ایالات متحده مشغول خرید است، پیام رسان ICQ را روی رایانه خود نصب کرد (نام کارمند و نام شرکت به دلایل واضح ذکر نشده است). مذاکرات از طریق این برنامه انجام شد. اما «ICQ» از نظر امنیتی کاملاً آسیب پذیر است. خود کارمند هنگام ثبت شماره در آن زمان یا آدرس ایمیلی نداشت یا به سادگی نمی خواست آن را بدهد. در عوض، او چیزی را نشان داد که شبیه یک ایمیل بود، حتی با دامنه‌ای که وجود ندارد.

    مهاجم چه خواهد کرد؟ همانطور که ممیزی امنیت اطلاعات نشان داد، او دقیقاً همان دامنه را ثبت می کرد و ترمینال ثبت دیگری را در آن ایجاد می کرد و پس از آن می توانست پیامی به Mirabilis که مالک سرویس ICQ است با درخواست بازیابی رمز عبور به دلیل مفقود شدن آن ارسال کند. (که انجام خواهد شد). از آنجایی که سرور گیرنده یک سرور ایمیل نبود، یک تغییر مسیر در آن فعال شد - هدایت مجدد به ایمیل موجود مهاجم.

    در نتیجه به مکاتبات با شماره ICQ مشخص شده دسترسی پیدا می کند و تغییر آدرس گیرنده کالا در کشور خاصی را به اطلاع تامین کننده می رساند. بنابراین، محموله به جایی ارسال می شود که کسی نمی داند کجاست. و این بی ضررترین مثال است. بله، قلدری کوچک. و در مورد هکرهای جدی تری که قادر به کارهای بسیار بیشتر هستند چه می توان گفت ...

    نتیجه

    همه اینها به طور خلاصه در مورد ممیزی امنیت IP است. البته در اینجا به تمام جنبه های آن پرداخته نمی شود. دلیل آن تنها این است که عوامل زیادی در تعیین وظایف و روش های اجرای آن تأثیر می گذارد، بنابراین رویکرد در هر یک مورد خاصکاملا فردی علاوه بر این، روش ها و ابزارهای حسابرسی امنیت اطلاعات ممکن است برای IS های مختلف متفاوت باشد. با این حال، به نظر می رسد اصول کلیچنین بررسی هایی برای بسیاری حداقل در سطح اولیه مشخص خواهد شد.

    ممیزی امنیت اطلاعات نه تنها می تواند به بانک حق انجام انواع خاصی از فعالیت ها را بدهد، بلکه نقاط ضعف سیستم های بانک را نیز آشکار می کند. بنابراین لازم است در تصمیم گیری برای انجام و انتخاب شکل حسابرسی دقت شود.

    طبق قانون فدرال 30 دسامبر 2008 شماره 307-FZ "در مورد فعالیت های حسابرسی"، حسابرسی عبارت است از "تأیید مستقل از صورت های حسابداری (مالی) یک واحد حسابرسی شده به منظور اظهار نظر در مورد قابلیت اطمینان چنین مواردی. بیانیه." این عبارت ذکر شده در این قانون ربطی به امنیت اطلاعات ندارد. با این حال، این اتفاق افتاد که متخصصان امنیت اطلاعات کاملاً فعالانه از آن در سخنرانی خود استفاده می کنند. در این حالت، ممیزی به فرآیند ارزیابی مستقل فعالیت های یک سازمان، سیستم، فرآیند، پروژه یا محصول اطلاق می شود. در عین حال، باید درک کرد که در مقررات داخلی مختلف از اصطلاح "ممیزی امنیت اطلاعات" همیشه استفاده نمی شود - اغلب با عبارت "ارزیابی انطباق" یا اصطلاح کمی قدیمی، اما همچنان استفاده می شود "تصدیق" جایگزین می شود. . گاهی اوقات از اصطلاح "گواهینامه" نیز استفاده می شود، اما در رابطه با مقررات بین المللی خارجی. ممیزی امنیت اطلاعات یا برای تأیید انطباق با مقررات یا برای تأیید اعتبار و امنیت راه حل های اعمال شده انجام می شود. اما از هر اصطلاحی که استفاده شود، در واقع ممیزی امنیت اطلاعات یا برای تایید اجرای مقررات و یا برای تایید اعتبار و امنیت راه حل های کاربردی انجام می شود. در حالت دوم، حسابرسی داوطلبانه است و تصمیم گیری برای انجام آن توسط خود سازمان گرفته می شود. در مورد اول، امتناع از انجام ممیزی غیرممکن است، زیرا این مستلزم نقض الزامات تعیین شده توسط مقررات نظارتی است که منجر به مجازات در قالب جریمه، تعلیق فعالیت ها یا سایر اشکال مجازات می شود. اگر ممیزی اجباری باشد، می‌تواند هم توسط خود سازمان انجام شود، مثلاً به صورت خودارزیابی (البته در این مورد دیگر صحبتی از «استقلال» نیست و اصطلاح «حسابرسی» وجود ندارد. استفاده در اینجا کاملاً صحیح است) و توسط سازمان های مستقل خارجی - حسابرسان. گزینه سوم برای انجام حسابرسی قانونی، کنترل توسط نهادهای نظارتی است که حق انجام فعالیت های نظارتی مناسب را دارند. این گزینه اغلب نه ممیزی، بلکه یک چک بازرسی نامیده می شود. از آنجایی که حسابرسی داوطلبانه می تواند کاملاً به هر دلیلی انجام شود (برای بررسی امنیت سیستم بانکداری از راه دور، کنترل دارایی های یک بانک خریداری شده، بررسی یک شعبه تازه افتتاح شده و غیره)، سپس این گزینهدر نظر گرفته نخواهد شد. در این مورد، نمی توان به وضوح مرزهای آن را ترسیم کرد، یا اشکال گزارش آن را توصیف کرد، یا در مورد منظم بودن صحبت کرد - همه اینها با توافق بین حسابرس و سازمان حسابرسی شده تصمیم گیری می شود. بنابراین، ما فقط اشکال حسابرسی اجباری ذاتی بانک ها را در نظر خواهیم گرفت.

    استاندارد بین المللی ISO 27001

    گاهی اوقات می توانید در مورد یک بانک خاص بشنوید که برای مطابقت با الزامات استاندارد بین المللی "ISO / IEC 27001: 2005" تحت حسابرسی قرار می گیرد (همتای کامل روسی آن "GOST R ISO / IEC 27001-2006 - فناوری اطلاعات - روش ها و ابزارها" است. امنیت اطلاعات سیستم های مدیریت - الزامات"). در واقع این استاندارد مجموعه ای از بهترین روش ها برای مدیریت امنیت اطلاعات در سازمان های بزرگ است (سازمان های کوچک از جمله بانک ها همیشه قادر به رعایت کامل الزامات این استاندارد نیستند). مانند هر استاندارد دیگری در روسیه، ISO 27001 یک سند کاملاً داوطلبانه است که هر بانک تصمیم می گیرد آن را بپذیرد یا نپذیرد. اما ISO 27001 استاندارد دوفاکتو در سراسر جهان است و متخصصان بسیاری از کشورها از این استاندارد به عنوان نوعی زبان جهانی استفاده می کنند که باید در هنگام برخورد با امنیت اطلاعات رعایت شود. در ISO 27001 نیز چندین نکته نه چندان واضح و نه چندان واضح وجود دارد. با این حال، ISO 27001 همچنین دارای چند نکته کمتر آشکار و کمتر ذکر شده است. اولاً، کل سیستم امنیت اطلاعات یک بانک طبق این استاندارد مشمول حسابرسی نمی شود، بلکه فقط یک یا چند مورد از آن قطعات تشکیل دهنده. به عنوان مثال، سیستم حفاظت بانکی از راه دور، سیستم حفاظت از دفتر مرکزی بانک یا سیستم حفاظت از فرآیند مدیریت پرسنل. به عبارت دیگر، اخذ گواهی انطباق برای یکی از فرآیندهای ارزیابی شده به عنوان بخشی از حسابرسی تضمین نمی کند که سایر فرآیندها در همان وضعیت نزدیک به ایده آل هستند. نکته دوم مربوط به این است که ISO 27001 یک استاندارد جهانی است، یعنی برای هر سازمانی قابل اجرا است و بنابراین ویژگی های یک صنعت خاص را در نظر نمی گیرد. این امر منجر به این واقعیت شده است که در چارچوب سازمان بین المللی استاندارد ISO، مدت ها صحبت از ایجاد استاندارد ISO 27015 شده است که توسعه ایزو 27001/27002 به صنعت مالی است. بانک روسیه نیز در توسعه این استاندارد مشارکت فعال دارد. اما ویزا و مسترکارت مخالف پیش نویس این استاندارد هستند که قبلا توسعه یافته است. اولی معتقد است که پیش نویس استاندارد حاوی اطلاعات بسیار کمی است که برای صنعت مالی لازم است (مثلاً در مورد سیستم های پرداخت) و اگر در آنجا اضافه شود، استاندارد باید به کمیته ISO دیگری منتقل شود. مسترکارت همچنین پیشنهاد می کند که توسعه ISO 27015 متوقف شود، اما انگیزه متفاوت است - آنها می گویند، در صنعت مالی، اسنادی که موضوع امنیت اطلاعات را تنظیم می کنند، در حال حاضر بسیار پر هستند. ثالثاً، توجه به این نکته ضروری است که بسیاری از پیشنهادات موجود در بازار روسیه، آنها در مورد ممیزی انطباق صحبت نمی کنند، بلکه در مورد آماده شدن برای حسابرسی صحبت می کنند. واقعیت این است که تنها تعداد کمی از سازمان ها در جهان حق دارند که مطابقت با الزامات ISO 27001 را تأیید کنند. یکپارچه‌کننده‌ها فقط به شرکت‌ها کمک می‌کنند تا الزامات استاندارد را برآورده کنند، که سپس توسط حسابرسان رسمی تأیید می‌شود (به آن‌ها ثبت‌کننده، نهادهای صدور گواهی و غیره نیز گفته می‌شود). در حالی که بحث در مورد اینکه آیا بانک ها باید ISO 27001 را اجرا کنند یا خیر ادامه دارد، برخی از افراد شجاع به دنبال آن هستند و 3 مرحله ممیزی انطباق را پشت سر می گذارند:
    • مطالعه غیررسمی اولیه توسط حسابرس اسناد اصلی (هم در قلمرو مشتری حسابرسی و هم در خارج از آن).
    • ممیزی رسمی و عمیق تر از اقدامات حفاظتی اجرا شده، ارزیابی اثربخشی آنها و مطالعه توسعه یافته مدارک مورد نیاز. این مرحله معمولاً با تأیید انطباق به پایان می رسد و حسابرس گواهی مناسب را صادر می کند که در سراسر جهان به رسمیت شناخته شده است.
    • انجام سالانه ممیزی نظارتی برای تأیید گواهی انطباق که قبلاً به دست آمده است.
    چه کسی در روسیه به ISO 27001 نیاز دارد؟ اگر این استاندارد را نه تنها به عنوان مجموعه‌ای از بهترین روش‌ها که می‌توان بدون گذراندن حسابرسی اجرا کرد، بلکه به‌عنوان یک فرآیند صدور گواهینامه که نشان‌دهنده تأیید انطباق بانک با الزامات امنیتی شناخته‌شده بین‌المللی است، در نظر بگیریم، در آن صورت اجرای ISO 27001 منطقی است. بانک‌هایی که عضو گروه‌های بانکی بین‌المللی هستند که استاندارد ISO 27001 آنها است یا بانک‌هایی که قصد ورود به عرصه بین‌المللی را دارند. در سایر موارد ممیزی انطباق با ISO 27001 و اخذ گواهی به نظر من ضروری نیست. اما فقط برای بانک و فقط در روسیه. و همه به این دلیل است که ما استانداردهای خود را داریم که بر اساس ISO 27001 ساخته شده اند. بازرسی های عملی بانک روسیه تا همین اواخر دقیقاً مطابق با الزامات STO BR IBBS انجام می شد.

    مجموعه اسناد بانک روسیه STO BR IBBS

    چنین استاندارد یا بهتر بگوییم مجموعه ای از استانداردها مجموعه ای از اسناد بانک روسیه است که با در نظر گرفتن الزامات قانون روسیه رویکردی واحد برای ایجاد یک سیستم امنیت اطلاعات برای سازمان های بانکی را توصیف می کند. این مجموعه از اسناد (از این پس STO BR IBBS)، شامل سه استاندارد و پنج توصیه برای استانداردسازی، بر اساس ISO 27001 و تعدادی دیگر از استانداردهای بین المللی برای مدیریت فناوری اطلاعات و امنیت اطلاعات است. مسائل ممیزی و ارزیابی انطباق با الزامات استاندارد، و همچنین برای ISO 27001، در اسناد جداگانه - "STO BR IBBS-1.1-2007" تجویز می شود. ممیزی امنیت اطلاعات، "STO BR IBBS-1.2-2010. روش‌شناسی ارزیابی انطباق با امنیت اطلاعات سازمان‌ها سیستم بانکیفدراسیون روسیه به الزامات STO BR IBBS-1.0-2010" و "RS BR IBBS-2.1-2007". راهنمای خود ارزیابی انطباق امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه با الزامات STO BR IBBS-1.0. در طی ارزیابی انطباق طبق STO BR IBBS، تحقق 423 شاخص IS خاص، که در 34 شاخص گروه گروه بندی شده اند، بررسی می شود. نتیجه ارزیابی، شاخص نهایی است که باید در سطح 4 یا 5 در مقیاس پنج نقطه ای ایجاد شده توسط بانک روسیه باشد. این، به هر حال، حسابرسی طبق STO BR IBBS را بسیار متفاوت از حسابرسی طبق سایر اقدامات نظارتی در زمینه امنیت اطلاعات می کند. در STO BR IBBS هیچ تناقضی وجود ندارد، فقط سطح انطباق می تواند متفاوت باشد: از صفر تا پنج. و فقط سطوح بالای 4 مثبت تلقی می شوند. تا پایان سال 2011، حدود 70 تا 75 درصد از بانک ها این مجموعه استانداردها را اجرا کرده و یا در حال اجرای آن هستند. علیرغم همه چیز، آنها ماهیت مشاوره ای قانونی دارند، اما چک های بازرسی عملی بانک روسیه تا همین اواخر دقیقاً مطابق با الزامات STO BR IBBS انجام می شد (اگرچه این هرگز به صراحت در هیچ کجا بیان نشده است). وضعیت از 1 ژوئیه 2012، زمانی که قانون "در مورد سیستم پرداخت ملی" و اسناد نظارتی دولت روسیه و بانک روسیه برای اجرای آن به اجرا درآمد، تغییر کرده است. از آن زمان، موضوع لزوم ممیزی تطابق با الزامات STO BR IBBS دوباره در دستور کار قرار گرفت. واقعیت این است که روش ارزیابی انطباق پیشنهاد شده در چارچوب قانون سیستم پرداخت ملی (NPS) و روش ارزیابی انطباق با STO BR IBBS می تواند در مقادیر نهایی بسیار متفاوت باشد. در همان زمان، ارزیابی طبق روش اول (برای NPS) اجباری شد، در حالی که ارزیابی بر اساس STO BR IBBS هنوز قانونی توصیه می شود. و در زمان نگارش این مقاله، خود بانک روسیه هنوز تصمیمی در مورد سرنوشت آینده این ارزیابی نگرفته بود. اگر قبلاً همه موضوعات در اداره اصلی امنیت و حفاظت از اطلاعات بانک روسیه (GUBZI) همگرایی داشتند، پس با تقسیم اختیارات بین GUBZI و بخش تنظیم تسویه حساب (LHH)، این موضوع همچنان باز است. قبلاً واضح است که اقدامات قانونی در مورد NPS به ارزیابی انطباق اجباری ، یعنی ممیزی نیاز دارد.

    قانون نظام پرداخت ملی

    قانون NPS تنها در ابتدای شکل گیری خود است و ما منتظر اسناد جدید زیادی از جمله اسناد امنیت اطلاعات هستیم. اما در حال حاضر واضح است که مقررات 382-P، صادر و تصویب شده در 9 ژوئن 2012، "در مورد الزامات اطمینان از حفاظت از اطلاعات هنگام انجام نقل و انتقال پول و رویه نظارت بانک روسیه بر انطباق با الزامات مربوط به حصول اطمینان از حفاظت از اطلاعات هنگام انجام نقل و انتقال پول » در بند 2.15 نیاز به ارزیابی انطباق اجباری، یعنی حسابرسی دارد. چنین ارزیابی یا به طور مستقل یا با مشارکت اشخاص ثالث انجام می شود. همانطور که در بالا ذکر شد، ارزیابی انطباق انجام شده در چارچوب 382-P در اصل مشابه آنچه در روش ارزیابی انطباق STO BR IBBS شرح داده شده است، اما نتایج کاملاً متفاوتی را به دست می دهد که با معرفی ویژه مرتبط است. عوامل اصلاحی که نتایج متفاوتی را تعیین می کنند. مقررات 382-P هیچگونه الزامات خاصی را برای سازمانهای درگیر در حسابرسی ایجاد نمی کند، که در تضاد با مصوبه دولت 13 ژوئن 2012 شماره 584 "در مورد حفاظت از اطلاعات در سیستم پرداخت" است، که همچنین سازمان و رفتار را ملزم می کند. کنترل و ارزیابی انطباق با الزامات حفاظت از اطلاعات هر 2 سال یک بار. با این حال، فرمان دولت که توسط FSTEC تهیه شده است، ایجاب می کند که ممیزی های خارجی فقط توسط سازمان هایی انجام شود که دارای مجوز برای حفاظت فنی از اطلاعات محرمانه هستند. الزامات اضافی که به سختی می توان به یکی از اشکال حسابرسی نسبت داد، اما تعهدات جدیدی را بر بانک ها تحمیل می کند، در بخش 2.16 مقررات 382-P فهرست شده است. بر اساس این الزامات، اپراتور سیستم پرداخت موظف به توسعه است و بانک هایی که به این سیستم پرداخت ملحق شده اند، موظف به رعایت الزامات اطلاع رسانی منظم به اپراتور سیستم پرداخت در مورد مسائل مختلف امنیت اطلاعات در بانک هستند: در مورد رعایت اطلاعات. الزامات حفاظتی، در مورد حوادث شناسایی شده، در مورد خود ارزیابی های انجام شده در مورد تهدیدات و آسیب پذیری های شناسایی شده. علاوه بر ممیزی انجام شده بر اساس قرارداد، FZ-161 بر روی NPS همچنین تعیین می کند که کنترل و نظارت بر مطابقت با الزامات تعیین شده توسط دولت فدراسیون روسیه در قطعنامه 584 و بانک روسیه در مقررات 382 انجام می شود. توسط FSB FSTEK و بانک روسیه به ترتیب. در زمان نگارش این مقاله، نه FSTEC و نه FSB، برخلاف بانک روسیه که مقررات شماره 380-P مورخ 31 مه 2012 «در مورد رویه نظارت بر سیستم پرداخت ملی» را صادر کرد، رویه ای توسعه یافته برای انجام چنین نظارتی نداشتند. (برای مؤسسات اعتباری) و مقررات شماره 381-P مورخ 9 ژوئن 2012 «در مورد رویه نظارت بر انطباق با اپراتورهای سیستم پرداخت و اپراتورهای خدمات زیرساخت پرداخت مطابق با الزامات قانون فدرال شماره 161-FZ مورخ 27 ژوئن، 2011 "در مورد سیستم پرداخت ملی" مطابق با مقررات بانک روسیه به تصویب رسید. مقررات حوزه امنیت اطلاعات در نظام پرداخت ملی تنها در ابتدای توسعه تفصیلی است. در 1 ژوئیه 2012، بانک روسیه شروع به آزمایش آنها و جمع آوری حقایق در مورد عملکرد اجرای قانون کرد. بنابراین، امروز زود است که در مورد نحوه اعمال این مقررات، نحوه نظارت بر 380-P صحبت کنیم، بر اساس نتایج خودارزیابی که هر 2 سال یک بار انجام می شود و به بانک ارسال می شود، چه نتایجی گرفته می شود. روسیه

    استاندارد امنیتی کارت پرداخت PCI DSS

    استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) یک استاندارد امنیت داده کارت پرداخت است که توسط شورای استانداردهای امنیتی صنعت کارت پرداخت (PCI SSC) ایجاد شده است که توسط سیستم های پرداخت بین المللی Visa، MasterCard، American Express، JCB و Discover ایجاد شده است. استاندارد PCI DSS مجموعه ای از 12 الزامات سطح بالا و بیش از 200 الزامات دقیق برای اطمینان از امنیت داده های دارندگان کارت پرداخت است که در سیستم های اطلاعاتی سازمان ها منتقل، ذخیره و پردازش می شوند. الزامات این استاندارد برای کلیه شرکت هایی که با سیستم های پرداخت بین المللی ویزا و مسترکارت کار می کنند اعمال می شود. بسته به تعداد تراکنش های پردازش شده، به هر شرکت یک سطح مشخص با مجموعه ای از الزامات مربوطه اختصاص می یابد که این شرکت ها باید آنها را برآورده کنند. این سطوح بسته به سیستم پرداخت متفاوت است. حسابرسی موفق به این معنی نیست که همه چیز با امنیت بانک خوب است - ترفندهای زیادی وجود دارد که به سازمان حسابرسی شده اجازه می دهد برخی از کاستی ها را در سیستم امنیتی خود پنهان کند. تأیید انطباق با الزامات استاندارد PCI DSS به عنوان بخشی از صدور گواهینامه اجباری انجام می شود که الزامات آن بسته به نوع شرکتی که بررسی می شود متفاوت است - تاجری که کارت های پرداخت را برای پرداخت کالا و خدمات یا خدمات می پذیرد. ارائه دهنده ای که به بازرگانان خدمات ارائه می دهد و بانک ها، ناشران و غیره را خریداری می کند. (مراکز پردازش، درگاه های پرداخت و غیره). این ارزیابی می تواند اشکال مختلفی داشته باشد:
    • ممیزی سالانه توسط شرکت های معتبر با وضعیت ارزیاب های امنیتی واجد شرایط (QSA)؛
    • خود ارزیابی سالانه؛
    • اسکن سه ماهه شبکه ها با کمک سازمان های مجاز با وضعیت تایید شده اسکن فروشنده (ASV).

    قانون داده های شخصی

    آخرین سند نظارتی نیز مربوط به صنعت بانکداری و ایجاد الزامات ارزیابی انطباق است قانون فدرال"درباره داده های شخصی". با این حال، نه شکل چنین ممیزی، نه فراوانی آن، و نه الزامات سازمانی که چنین حسابرسی را انجام می دهد هنوز مشخص نشده است. شاید این موضوع در پاییز 2012 حذف شود، زمانی که بخش بعدی اسناد دولت فدراسیون روسیه، FSTEC و FSB منتشر شود و استانداردهای جدیدی در زمینه حفاظت از داده های شخصی معرفی شود. در این بین، بانک ها می توانند با آرامش بخوابند و به طور مستقل ویژگی های حسابرسی مسائل مربوط به حفاظت از داده های شخصی را تعیین کنند. کنترل و نظارت بر اجرای سازمانی و اقدامات فنیبرای اطمینان از امنیت داده های شخصی، که توسط ماده 19 152-FZ ایجاد شده است، توسط FSB و FSTEC انجام می شود، اما فقط برای سیستم های اطلاعات شخصی ایالتی. هنوز کسی برای اعمال کنترل بر سازمان های تجاری در زمینه تضمین امنیت اطلاعات داده های شخصی طبق قانون وجود ندارد. چیزی که نمی توان در مورد حمایت از حقوق افراد داده های شخصی، یعنی مشتریان، طرفین و فقط بازدیدکنندگان بانک گفت. این وظیفه توسط Roskomnadzor انجام شده است که در وظایف نظارتی خود بسیار فعال است و بانک ها را در زمره بدترین ناقضان قانون در مورد داده های شخصی می داند.

    مقررات نهایی

    اقدامات نظارتی اصلی در زمینه امنیت اطلاعات مربوط به موسسات اعتباری در بالا مورد بحث قرار گرفته است. بسیاری از این مقررات وجود دارد و هر یک از آنها الزامات خاص خود را برای انجام ارزیابی انطباق به یک شکل یا شکل دیگر - از خود ارزیابی در قالب پر کردن پرسشنامه ها (PCI DSS) گرفته تا گذراندن ممیزی اجباری هر دو سال یکبار ( 382-P) یا یک بار در سال (ISO 27001). بین این رایج‌ترین اشکال ارزیابی انطباق، موارد دیگری وجود دارد - اعلان‌های اپراتور سیستم پرداخت، اسکن‌های فصلی و غیره. همچنین شایان ذکر است که کشور هنوز فاقد آن است یک سیستمدیدگاه‌ها نه تنها در مورد مقررات دولتی فرآیندهای ممیزی امنیت اطلاعات سازمان‌ها و سیستم‌های فناوری اطلاعات، بلکه در مورد موضوع حسابرسی امنیت اطلاعات به طور کلی. در فدراسیون روسیه تعدادی بخش و سازمان (FSTEC، FSB، Bank of Russia، Roskomnadzor، PCI SSC و غیره) مسئول امنیت اطلاعات هستند. و همه آنها بر اساس مقررات و دستورالعمل های خود عمل می کنند. رویکردهای مختلف، استانداردهای مختلف، سطوح مختلف بلوغ... همه اینها مانع از ایجاد قوانین یکسان بازی می شود. این تصویر همچنین با ظهور شرکت های یک روزه ای که به دنبال سود، خدمات بسیار کم کیفیتی را در زمینه ارزیابی انطباق با الزامات امنیت اطلاعات ارائه می دهند، خراب می شود. و بعید است که وضعیت به سمت بهتر شدن تغییر کند. به محض وجود نیاز، کسانی خواهند بود که می خواهند آن را برآورده کنند، در حالی که حسابرسان واجد شرایط کافی برای همه وجود ندارد. با تعداد کمی از آنها (در جدول نشان داده شده) و مدت زمان حسابرسی از چند هفته تا چند ماه، بدیهی است که نیازهای حسابرسی به طور جدی بیش از توانایی حسابرسان است. در مفهوم ممیزی امنیت اطلاعات سیستم‌ها و سازمان‌های فناوری اطلاعات که هرگز توسط FSTEC پذیرفته نشد، این عبارت وجود داشت: «در عین حال، در غیاب تنظیم‌کننده‌های ملی لازم، چنین فعالیت‌هایی / بر روی حسابرسی غیرقانونی توسط شرکت های خصوصی/ می تواند صدمات جبران ناپذیری به سازمان ها وارد کند. در پایان، نویسندگان مفهوم پیشنهاد کردند رویکردهای حسابرسی را متحد کنند و قوانین بازی را به طور قانونی ایجاد کنند، از جمله قوانین اعتبارسنجی حسابرسان، الزامات صلاحیت آنها، روش های حسابرسی و غیره، اما چیزهایی هنوز وجود دارد. اگرچه با توجه به توجهی که رگولاتورهای داخلی در حوزه امنیت اطلاعات (و ما 9 مورد از آنها داریم) به مسائل امنیت اطلاعات می پردازند (تنها در سال گذشته 52 آیین نامه در مورد مسائل امنیت اطلاعات تصویب یا تدوین شده است - یک آیین نامه در هفته. !)، من این موضوع را رد نمی کنم که به زودی دوباره بازگردد.

    استانداردهای حسابرسی امنیت اطلاعات

    در چنین شرایطی، متأسفانه، باید بپذیریم که هدف اصلی ممیزی امنیت اطلاعات یک بانک - افزایش اعتماد به فعالیت های آن - در روسیه دست نیافتنی است. تعداد کمی از مشتریان بانک ما به سطح امنیت آن یا به نتایج حسابرسی انجام شده در بانک توجه می کنند. ما یا در صورت وقوع یک حادثه بسیار جدی که منجر به خسارت مادی جدی به بانک (یا سهامداران و صاحبان آن) شده است، یا در مورد الزامات قانونی که همانطور که در بالا نشان داده شد، ما به حسابرسی مراجعه می کنیم. و برای شش ماه آینده، نیاز شماره 1، که برای آن ارزش توجه به ممیزی امنیتی را دارد، ارائه بانک روسیه 382-P است. در حال حاضر اولین سوابق برای درخواست اطلاعات از ادارات منطقه ای بانک مرکزی در مورد سطح حفاظت از بانک ها و رعایت الزامات 382-P وجود دارد و این اطلاعات دقیقاً در نتیجه یک حسابرسی خارجی یا خود به دست آمده است. ارزیابی در وهله دوم، من حسابرسی انطباق با الزامات قانون "در مورد داده های شخصی" را قرار می دهم. اما تا بهار که تمام اسناد وعده داده شده توسط FSTEC و FSB منتشر می شود و سرنوشت STO BR IBBS مشخص می شود، نباید چنین ممیزی انجام شود. سپس می توان موضوع انجام ممیزی از انطباق با الزامات STO BR IBBS را مطرح کرد. نه تنها آینده مجموعه اسناد بانک روسیه، بلکه وضعیت آن در رابطه با 382-P مشابه، اما همچنان عالی، و همچنین اینکه آیا STO BR IBBS همچنان مسائل حفاظت از داده های شخصی را پوشش خواهد داد، مشخص خواهد شد. . حسابرسی موفق به این معنی نیست که همه چیز با امنیت بانک خوب است - ترفندهای زیادی وجود دارد که به سازمان حسابرسی شده اجازه می دهد برخی از کاستی ها را در سیستم امنیتی خود پنهان کند. و خیلی به صلاحیت و استقلال حسابرسان بستگی دارد. تجربه سال های گذشته نشان می دهد که حتی در سازمان هایی که ممیزی انطباق را با موفقیت پشت سر گذاشته اند استانداردهای PCI DSS، ISO 27001 یا STO BR IBBS، حوادث و حوادث جدی وجود دارد.

    نظر متخصص

    دیمیتری مارکین، رئیس بخش حسابرسی و مشاوره، AMT-GROUP:

    تا همین اواخر، مسائل مربوط به گذراندن ممیزی اجباری از وضعیت امنیت اطلاعات برای موسسات اعتباری در چارچوب قوانین روسیه فقط توسط قانون فدرال-152 "در مورد داده های شخصی" از نظر کنترل داخلی بر اقدامات انجام شده برای اطمینان از امنیت PD، و همچنین مقررات بانک مرکزی فدراسیون روسیه شماره 242-P "در مورد سازماندهی کنترل داخلی در موسسات اعتباری و گروه های بانکی". علاوه بر این، مطابق با الزامات آیین نامه شماره 242-P، روش نظارت بر تأمین امنیت اطلاعات توسط اسناد داخلی مؤسسه اعتباری به طور مستقل بدون اشاره به الزامات خاص برای تأمین امنیت اطلاعات ایجاد می شود. در رابطه با لازم الاجرا شدن ماده 27 قانون فدرال-161 "در مورد سیستم پرداخت ملی" که الزامات حفاظت از اطلاعات در سیستم پرداخت را تعریف می کند، فرمان شماره 584 دولت فدراسیون روسیه " در مورد تصویب آیین نامه حفاظت از اطلاعات در سیستم پرداخت" و مقررات بانک مرکزی RF №382-P. بر اساس الزامات مصوبه شماره 584 و آیین نامه شماره 382-P، حفاظت از اطلاعات در سیستم پرداخت باید مطابق با الزامات این قوانین نظارتی و الزامات مندرج توسط اپراتورهای سیستم پرداخت در مقررات انجام شود. سیستم های پرداخت نکته کلیدی در اینجا ادغام در سطح قوانین ملی حق اپراتورهای سیستم پرداخت (به عنوان مثال ویزا و مسترکارت) برای ایجاد مستقل الزامات حفاظت از اطلاعات است. آیین نامه شماره 382-P همچنین تعهد مؤسسات اعتباری را برای ارزیابی انطباق با الزامات IS حداقل هر 2 سال یک بار مشخص می کند، روش شناسی ارزیابی انطباق، معیارهای حسابرسی و روش مستندسازی نتایج آن را به وضوح تعریف می کند. به نظر ما، ظاهر مقررات فوق باید آمار موسسات اعتباری را که گواهینامه را بر اساس الزامات استاندارد امنیت داده صنعت کارت پرداخت PCI DSS 2.0 که با مشارکت سیستم های پرداخت بین المللی پیشرو Visa و MasterCard تهیه شده است، افزایش دهد.

    بسیاری از تاجران سعی می کنند راز شرکت خود را مخفی نگه دارند. از آنجایی که یک قرن در حیاط است تکنولوژی پیشرفته، انجام این کار نسبتاً دشوار است. تقریباً همه سعی می کنند از خود در برابر نشت اطلاعات شرکتی و شخصی محافظت کنند ، اما این راز نیست که یافتن اطلاعات لازم برای یک حرفه ای دشوار نخواهد بود. در حال حاضر، روش های زیادی وجود دارد که در برابر چنین حملاتی محافظت می کند. اما برای بررسی اثربخشی چنین سیستم امنیتی، انجام ممیزی امنیت اطلاعات ضروری است.

    ممیزی چیست؟

    طبق قانون فدرال "در مورد فعالیت های حسابرسی"، حسابرسی شامل روش های مختلفو روش ها، و اجرای عملیچک ها در رابطه با امنیت اطلاعات یک شرکت، ارزیابی مستقل از وضعیت سیستم و همچنین میزان انطباق آن با الزامات تعیین شده است. بررسی ها در رابطه با حسابداری و گزارش مالیاتی، حمایت های اقتصادی و فعالیت های مالی و اقتصادی.

    چرا چنین بررسی لازم است؟

    برخی چنین فعالیت هایی را هدر دادن پول می دانند. اما با شناسایی به موقع مشکلات این بخش می توان از زیان های اقتصادی بیشتر جلوگیری کرد. اهداف ممیزی امنیت اطلاعات عبارتند از:

    • تعیین سطح حفاظت و رساندن آن به سطح مورد نیاز؛
    • حل و فصل موضوع مالی از نظر اطمینان از محرمانه بودن سازمان؛
    • نشان دادن امکان سرمایه گذاری در این بخش؛
    • کسب حداکثر سود از هزینه های امنیتی؛
    • تأیید اثربخشی نیروهای داخلی، ابزارهای کنترل و بازتاب آنها در انجام تجارت.

    امنیت اطلاعات در شرکت چگونه بررسی می شود؟

    ممیزی جامع امنیت اطلاعات در چند مرحله انجام می شود. فرآیند به سازمانی و ابزاری تقسیم می شود. در چهارچوب هر دو قسمت مجموعه، امنیت سیستم اطلاعات شرکتی مشتری بررسی شده و سپس انطباق با هنجارها و الزامات تعیین شده مشخص می شود. انجام ممیزی امنیت اطلاعات به مراحل زیر تقسیم می شود:

    1. تعیین نیاز مشتری و محدوده کار.
    2. مطالعه مطالب لازم و نتیجه گیری.
    3. تجزیه و تحلیل خطرات احتمالی
    4. نظر کارشناسی نسبت به کار انجام شده و صدور رای مقتضی.


    اولین مرحله ممیزی امنیت اطلاعات شامل چه مواردی می شود؟

    برنامه ممیزی امنیت اطلاعات دقیقاً با شفاف سازی حیطه کاری مورد نیاز مشتری آغاز می شود. مشتری نظر و هدف خود را بیان می کند که به دنبال آن برای ارزیابی کارشناسی درخواست داده است.

    در این مرحله، تأیید داده های کلی ارائه شده توسط مشتری از قبل آغاز می شود. روش هایی را که مورد استفاده قرار خواهد گرفت و مجموعه فعالیت های برنامه ریزی شده را شرح می دهد.

    وظیفه اصلی در این مرحله تعیین یک هدف خاص است. مشتری و سازمانی که حسابرسی را انجام می دهد باید یکدیگر را درک کنند، بر روی یک نظر مشترک توافق کنند. پس از آن کمیسیونی تشکیل می شود که در آن متخصصان مربوطه انتخاب می شوند. شرایط مرجع مورد نیاز نیز به طور جداگانه با مشتری توافق می شود.

    به نظر می رسد که این رویداد فقط باید وضعیت سیستمی را که از حملات اطلاعاتی محافظت می کند، ترسیم کند. اما نتایج نهایی بررسی ممکن است متفاوت باشد. برخی علاقه مند هستند اطلاعات کاملدر مورد عملکرد تجهیزات حفاظتی شرکت مشتری و دیگران - فقط کارایی خطوط فناوری اطلاعات فردی. انتخاب روش ها و روش های ارزیابی بستگی به الزامات دارد. تعیین هدف نیز بر روند بعدی کار کمیسیون کارشناسی تأثیر می گذارد.

    به هر حال ، گروه کاری متشکل از متخصصان دو سازمان - شرکتی که حسابرسی را انجام می دهد و کارمندان سازمان حسابرسی شده است. از این گذشته ، دومی ، مانند هیچ کس دیگری ، پیچیدگی های موسسه خود را می داند و می تواند تمام اطلاعات لازم برای یک ارزیابی جامع را ارائه دهد. آنها همچنین نوعی کنترل بر کار کارکنان شرکت مجری را انجام می دهند. نظر آنها نیز در هنگام ایجاد نتایج حسابرسی مورد توجه قرار می گیرد.

    کارشناسان شرکتی که ممیزی امنیت اطلاعات شرکت را انجام می دهند، مشغول مطالعه حوزه های موضوعی هستند. آنها با داشتن سطح صلاحیت مناسب و همچنین نظر مستقل و بی طرفانه می توانند وضعیت کار تجهیزات حفاظتی را با دقت بیشتری ارزیابی کنند. کارشناسان فعالیت های خود را مطابق با برنامه کاری و وظایف برنامه ریزی شده انجام می دهند. آنها فرآیندهای فنی را توسعه می دهند و نتایج به دست آمده را بین خود هماهنگ می کنند.

    شرایط مرجع به وضوح اهداف کار شرکت حسابرس را مشخص می کند، روش های اجرای آن را تعیین می کند. همچنین زمان ممیزی را مشخص کرده است، حتی ممکن است هر مرحله دوره خاص خود را داشته باشد.

    در این مرحله با سرویس امنیتی موسسه بازرسی شده نیز تماس برقرار می شود. حسابرس شرکت تعهد می کند که نتایج حسابرسی را افشا نکند.

    مرحله دوم چگونه اجرا می شود؟

    ممیزی امنیت اطلاعات شرکت در مرحله دوم مجموعه ای دقیق از اطلاعات لازم برای ارزیابی است. برای شروع، مجموعه ای کلی از اقدامات در نظر گرفته شده است که با هدف اجرای سیاست حفظ حریم خصوصی انجام می شود.

    از آنجایی که در حال حاضر بیشتر داده ها به صورت الکترونیکی کپی شده و یا به طور کلی این شرکت فعالیت های خود را تنها با کمک فناوری اطلاعات انجام می دهد، پس نرم افزار. ارائه امنیت فیزیکی نیز مورد تجزیه و تحلیل قرار می گیرد.

    در این مرحله، متخصصان درگیر این واقعیت هستند که چگونه امنیت اطلاعات را در داخل موسسه تضمین و حسابرسی می کنند. برای انجام این کار، سازماندهی کار سیستم حفاظتی را می توان تجزیه و تحلیل کرد، همچنین قابلیت های فنیو شرایط تامین آن. توجه خاصی به آخرین نکته می شود ، زیرا کلاهبرداران اغلب سوراخ هایی را در محافظت از طریق قسمت فنی پیدا می کنند. به همین دلیل نکات زیر به طور جداگانه مورد توجه قرار می گیرد:

    ممیزی امنیت اطلاعات شرکت در این مرحله با جمع بندی و بیان نتایج کار انجام شده در قالب گزارش به پایان می رسد. این نتیجه گیری های مستند است که مبنای اجرای مراحل بعدی حسابرسی را تشکیل می دهد.

    خطرات احتمالی چگونه تحلیل می شوند؟

    ممیزی امنیت اطلاعات سازمان ها نیز به منظور شناسایی انجام می شود تهدیدات واقعیو پیامدهای آنها در پایان این مرحله باید فهرستی از اقداماتی تشکیل شود که از حملات اطلاعاتی جلوگیری کرده یا حداقل آن را به حداقل برساند.

    به منظور جلوگیری از نقض محرمانگی، لازم است گزارش دریافتی در پایان مرحله قبل مورد تجزیه و تحلیل قرار گیرد. به لطف این، می توان تعیین کرد که آیا نفوذ واقعی به فضای شرکت امکان پذیر است یا خیر. حکمی در مورد قابلیت اطمینان و عملکرد تجهیزات حفاظت فنی موجود صادر می شود.

    از آنجایی که همه سازمان‌ها حوزه‌های کاری متفاوتی دارند، فهرست الزامات امنیتی نمی‌تواند یکسان باشد. برای موسسه حسابرسی شده، فهرستی به صورت فردی تهیه می شود.

    در این مرحله، نقاط ضعف نیز شناسایی می شوند، داده هایی در مورد مهاجمان بالقوه و تهدیدات قریب الوقوع به مشتری ارائه می شود. مورد دوم برای اینکه بدانیم از کدام طرف باید یک ترفند کثیف را انتظار داشت، و توجه بیشتر به این امر ضروری است.

    همچنین برای مشتری مهم است که بداند نوآوری ها و نتایج کار کمیسیون تخصصی تا چه اندازه موثر خواهد بود.

    تجزیه و تحلیل خطرات احتمالی اهداف زیر را دنبال می کند:

    • طبقه بندی منابع اطلاعاتی؛
    • شناسایی لحظات آسیب پذیر گردش کار؛
    • نمونه سازی یک کلاهبردار احتمالی

    تجزیه و تحلیل و ممیزی به شما امکان می دهد تا میزان موفقیت حملات اطلاعاتی را تعیین کنید. برای انجام این کار، انتقاد از نقاط ضعف و راه های استفاده از آنها برای مقاصد غیرقانونی ارزیابی می شود.

    مرحله نهایی ممیزی چیست؟

    مرحله نهایی با ارائه کتبی نتایج کار مشخص می شود. سند حاصل را گزارش حسابرسی می نامند. این نتیجه گیری در مورد سطح عمومی امنیت شرکت حسابرسی شده را تقویت می کند. به طور جداگانه، شرحی از اثربخشی سیستم فناوری اطلاعات در رابطه با امنیت وجود دارد. این گزارش همچنین راهنمایی هایی در مورد تهدیدات احتمالی ارائه می دهد و مدلی از یک مهاجم احتمالی را توصیف می کند. همچنین احتمال نفوذ غیرمجاز ناشی از عوامل داخلی و خارجی را تجویز می کند.

    استانداردهای ممیزی امنیت اطلاعات نه تنها برای ارزیابی وضعیت، بلکه برای ارائه توصیه‌هایی به کمیسیون تخصصی در مورد انجام اقدامات لازم را نیز فراهم می‌کند. این متخصصان هستند که کار جامعی انجام داده اند، زیرساخت های اطلاعاتی را تجزیه و تحلیل کرده اند و می توانند بگویند که برای محافظت در برابر سرقت اطلاعات چه باید کرد. آنها مکان هایی را که باید تقویت شوند را نشان می دهند. کارشناسان راهنمایی می کنند پشتیبانی تکنولوژیکی، یعنی سخت افزار، سرورها و فایروال ها.

    توصیه ها تغییراتی هستند که باید در پیکربندی دستگاه ها و سرورهای شبکه ایجاد شوند. شاید دستورالعمل ها مستقیماً به روش های انتخاب شده برای تضمین امنیت مربوط باشد. در صورت لزوم، کارشناسان مجموعه ای از اقدامات را با هدف تقویت بیشتر مکانیسم هایی که محافظت می کنند تجویز می کنند.

    این شرکت همچنین باید کار توضیحی خاصی را انجام دهد، سیاستی را با هدف محرمانگی ایجاد کند. شاید باید اصلاحاتی در رابطه با سرویس امنیتی صورت گیرد. نکته مهم، پایگاه نظارتی و فنی است که موظف به تجمیع مقررات مربوط به امنیت شرکت است. تیم باید به درستی آموزش داده شود. حوزه نفوذ و مسئولیت تعیین شده بین همه کارکنان تقسیم شده است. در صورت لزوم، بهتر است دوره ای برای بهبود آموزش تیم در رابطه با امنیت اطلاعات برگزار شود.

    انواع حسابرسی چیست؟

    ممیزی امنیت اطلاعات سازمانی می تواند دو نوع باشد. بسته به منبع این فرآیند، انواع زیر قابل تشخیص است:

    1. فرم خارجی تفاوت آن در یکبار مصرف بودن آن است. دومین ویژگی آن این است که توسط کارشناسان مستقل و بی طرف تولید می شود. اگر ماهیت مشاوره ای داشته باشد به سفارش صاحب موسسه تولید می شود. در برخی موارد، ممیزی خارجی اجباری است. این ممکن است به دلیل نوع سازمان و همچنین شرایط فوق العاده باشد. در مورد دوم، آغازگر چنین چکی، به عنوان یک قاعده، سازمان های اجرای قانون هستند.
    2. فرم داخلی. بر اساس یک ماده تخصصی است که انجام حسابرسی را تجویز می کند. ممیزی داخلی امنیت اطلاعات به منظور نظارت مداوم بر سیستم و شناسایی آسیب پذیری ها ضروری است. فهرستی از فعالیت هایی است که در یک بازه زمانی مشخص انجام می شوند. برای این کار، اغلب یک بخش ویژه یا یک کارمند مجاز ایجاد می شود. او وضعیت تجهیزات حفاظتی را تشخیص می دهد.

    حسابرسی فعال چگونه انجام می شود؟

    بسته به هدفی که مشتری دنبال می کند، روش های ممیزی امنیت اطلاعات نیز انتخاب می شود. یکی از رایج ترین روش ها برای بررسی سطح امنیت، حسابرسی فعال است. این صحنه سازی یک حمله هکری واقعی است.

    مزیت این روش این است که به شما امکان می دهد تا حد امکان واقعی یک تهدید را شبیه سازی کنید. با تشکر از حسابرسی فعال، می توانید درک کنید که چگونه یک وضعیت مشابه در زندگی ایجاد می شود. به این روش آنالیز امنیتی ابزاری نیز می گویند.

    ماهیت حسابرسی فعال، اجرای (با کمک نرم افزار ویژه) تلاش برای نفوذ غیرمجاز به سیستم اطلاعاتی است. در این حالت تجهیزات حفاظتی باید در حالت آماده باش کامل باشند. با تشکر از این، می توان کار آنها را در چنین موردی ارزیابی کرد. فردی که حمله هکری مصنوعی را انجام می دهد حداقل اطلاعات را در اختیار دارد. این برای بازسازی واقعی ترین شرایط ضروری است.

    آنها سعی می کنند تا آنجا که ممکن است سیستم را تحت تأثیر قرار دهند بیشترحملات با استفاده از روش‌های مختلف، می‌توان آن دسته از روش‌های هک را که سیستم بیشتر در معرض آن است، ارزیابی کرد. البته این بستگی به صلاحیت متخصص انجام این کار دارد. اما اعمال او نباید ماهیت تخریبی داشته باشد.

    در نهایت، کارشناس گزارشی از نقاط ضعف سیستم و اطلاعاتی که بیشترین دسترسی را دارد تهیه می کند. همچنین توصیه هایی برای ارتقاهای احتمالی ارائه می دهد تا اطمینان حاصل شود که امنیت به سطح مورد نیاز بهبود می یابد.

    ممیزی تخصصی چیست؟

    ممیزی امنیت اطلاعات نیز برای تعیین انطباق شرکت با الزامات تعیین شده انجام می شود. نمونه ای از چنین کاری را می توان در روش کارشناسی مشاهده کرد. این شامل یک ارزیابی مقایسه ای با داده های اصلی است.

    کار ایده آل تجهیزات حفاظتی می تواند بر اساس منابع مختلف باشد. مشتری خودش می تواند خواسته ها و وظایف را تعیین کند. یک مدیر تجاری ممکن است بخواهد بداند سطح امنیتی سازمانش تا چه اندازه از سطح مطلوب خود فاصله دارد.

    نمونه اولیه، که در برابر آن ارزیابی مقایسه ای انجام خواهد شد، می تواند به طور کلی استانداردهای جهانی شناخته شود.

    طبق قانون فدرال "در مورد حسابرسی"، پیمانکار دارای اختیارات کافی برای جمع آوری اطلاعات مربوطه و نتیجه گیری در مورد کفایت اقدامات موجود برای اطمینان از امنیت اطلاعات است. سازگاری اسناد نظارتی و اقدامات کارکنان در مورد عملکرد تجهیزات حفاظتی نیز ارزیابی می شود.

    بررسی انطباق چیست؟

    این نوع بسیار شبیه به قبلی است، زیرا ماهیت آن نیز یک ارزیابی مقایسه ای است. اما تنها در این مورد، نمونه اولیه ایده آل یک مفهوم انتزاعی نیست، بلکه الزامات روشنی است که در اسناد و استانداردهای نظارتی و فنی ذکر شده است. با این حال، میزان انطباق با سطح تعیین شده توسط سیاست حفظ حریم خصوصی شرکت را نیز تعیین می کند. بدون مکاتبه با این نقطه، نمی توان در مورد کار بیشتر صحبت کرد.

    اغلب، این نوع ممیزی برای تأیید سیستم امنیتی موجود در شرکت ضروری است. این امر مستلزم نظر یک کارشناس مستقل است. نه تنها سطح حفاظت در اینجا مهم است، بلکه رضایت آن از استانداردهای کیفیت شناخته شده نیز مهم است.

    بنابراین، می‌توان نتیجه گرفت که برای انجام این نوع روش، باید در مورد مجری تصمیم بگیرید و همچنین طیف اهداف و مقاصد را بر اساس نیازها و توانایی‌های خود برجسته کنید.

    بیشتر بخوانید: