Bilgi güvenliği denetimi, etkili kurumsal korumanın temelidir. Bilgi Güvenliği Denetimi Nasıl Yapılır?

Bugüne kadar otomatik sistemler(AS), hem ticari hem de kamu işletmelerinin iş süreçlerinin verimli bir şekilde yürütülmesinde kilit rol oynamaktadır. Aynı zamanda, bilgilerin depolanması, işlenmesi ve iletilmesi için AS'nin yaygın kullanımı, bunların korunmasıyla ilgili sorunların aciliyetinde bir artışa yol açmaktadır. Bu, son birkaç yılda hem Rusya'da hem de önde gelen yabancı ülkelerde, önemli mali ve maddi kayıplara yol açan bilgi saldırılarının sayısında artış eğilimi olduğu gerçeğiyle doğrulanmaktadır. Davetsiz misafirlerin bilgi saldırılarına karşı etkili korumayı garanti etmek için şirketlerin mevcut AS güvenlik düzeyi hakkında objektif bir değerlendirmeye sahip olmaları gerekir. Bu amaçlar için, çeşitli yönleri bu makale çerçevesinde ele alınan bir güvenlik denetimi kullanılır.

1. Güvenlik denetimi nedir?

Bir güvenlik denetiminin köklü bir tanımının henüz oluşturulmamış olmasına rağmen, genel durumda, izinsiz giriş saldırılarına karşı koruma seviyesinin daha sonraki nitel veya nicel değerlendirmesi için gerekli olan AS hakkında bilgi toplama ve analiz etme süreci olarak temsil edilebilir. Bir güvenlik denetimi gerçekleştirmenin uygun olduğu birçok durum vardır. İşte bunlardan sadece birkaçı:

hazırlanmak için NPP denetimi başvuru şartları bir bilgi güvenliği sisteminin tasarımı ve geliştirilmesi için;
Güvenlik sisteminin uygulanmasından sonra etkinliğinin seviyesini değerlendirmek için NPP denetimi;
mevcut güvenlik sistemini Rus veya uluslararası mevzuatın gerekliliklerine uygun hale getirmeyi amaçlayan bir denetim;
mevcut bilgi güvenliği önlemlerini sistematik hale getirmek ve düzene sokmak için tasarlanmış bir denetim;
ihlalle ilgili bir olayı araştırmak amacıyla denetim bilgi Güvenliği.

Kural olarak, bilgi güvenliği alanında danışmanlık hizmeti veren harici şirketler denetime dahil edilir. Denetim prosedürünü başlatan kuruluş yönetimi, otomasyon hizmeti veya bilgi güvenliği hizmeti olabilir. Bazı durumlarda denetim, sigorta şirketlerinin veya düzenleyici kurumların talebi üzerine de yapılabilir. Bir güvenlik denetimi, sayısı ve bileşimi anketin amaç ve hedeflerine ve ayrıca değerlendirme nesnesinin karmaşıklığına bağlı olan bir grup uzman tarafından gerçekleştirilir.

2. Güvenlik denetimi türleri

Şu anda, aşağıdaki ana bilgi güvenliği denetimi türleri ayırt edilebilir:

bilgi koruma önlemleri sistemindeki eksikliklerin, teftiş prosedürüne katılan uzmanların mevcut deneyimlerine dayanarak belirlendiği uzman güvenlik denetimi;
Uluslararası Standart ISO 17799'un tavsiyelerine ve FSTEC (Eyalet Teknik Komisyonu) yönergelerinin gerekliliklerine uygunluğun değerlendirilmesi;
sistemin yazılım ve donanımındaki güvenlik açıklarını belirlemeyi ve ortadan kaldırmayı amaçlayan AS güvenliğinin araçsal analizi;
yukarıdaki anket yürütme biçimlerinin tümünü içeren kapsamlı bir denetim.

Yukarıdaki denetim türlerinin her biri, şirketin çözmesi gereken görevlere bağlı olarak ayrı ayrı veya birlikte gerçekleştirilebilir. Denetimin amacı, hem bir bütün olarak şirketin AS'si hem de korumaya tabi bilgilerin işlenmesinin gerçekleştirildiği bireysel bölümleri olabilir.

3. Güvenlik denetimi yapmak için işin kapsamı

Genel olarak, bir güvenlik denetimi, uygulama biçiminden bağımsız olarak, her biri belirli bir görev yelpazesinin uygulanmasını sağlayan dört ana aşamadan oluşur (Şekil 1).

Şekil 1: Bir güvenlik denetimi yürütmenin temel adımları

İlk aşamada, Müşteri ile birlikte işin kompozisyonunu ve prosedürünü belirleyen bir yönetmelik geliştirilir. Yönetmeliğin temel görevi, anketin yürütüleceği sınırları belirlemektir. Yönetmelik, tarafların yükümlülüklerini açıkça tanımladığı için denetimin tamamlanmasıyla karşılıklı iddialardan kaçınmanızı sağlayan belgedir. Kural olarak, yönetmelik aşağıdaki temel bilgileri içerir:

denetim sürecine katılan Yüklenici ve Müşteriden oluşan çalışma gruplarının bileşimi;
denetim için Yükleniciye sağlanacak bilgilerin bir listesi;
denetime tabi Müşteri tesislerinin listesi ve yeri;
koruma nesneleri olarak kabul edilen kaynakların bir listesi (bilgi kaynakları, yazılım kaynakları, fiziksel kaynaklar, vb.);
denetimin temelinde yürütüldüğü bilgi güvenliği tehditleri modeli;
potansiyel ihlalciler olarak kabul edilen kullanıcı kategorileri;
Müşterinin otomatik sisteminin araçsal bir incelemesini yürütme prosedürü ve zamanı.

İkinci aşamada, mutabık kalınan düzenlemelere uygun olarak, ilk bilgiler toplanır. Bilgi toplama yöntemleri, Müşterinin çalışanlarıyla görüşmeyi, anketleri doldurmayı, sağlanan organizasyonel, idari ve teknik belgeleri analiz etmeyi ve özel araçlar kullanmayı içerir.

Çalışmanın üçüncü aşaması, analizi içerir. toplanan bilgiler Müşterinin AS'sinin mevcut güvenlik seviyesini değerlendirmek için. Analiz sonuçlarına dayalı olarak, dördüncü aşamada, AU'nun bilgi güvenliği tehditlerinden korunma düzeyini artırmak için öneriler geliştirilmektedir.

Aşağıda daha fazlası detaylı versiyon Bilgilerin toplanması, analizi ve nükleer santrallerin koruma seviyesinin artırılmasına yönelik tavsiyelerin geliştirilmesi ile ilgili denetim aşamaları dikkate alınır.

4. Denetim için başlangıç verilerinin toplanması

Yürütülen güvenlik denetiminin kalitesi, büyük ölçüde, ilk verilerin toplanması sürecinde elde edilen bilgilerin eksiksizliğine ve doğruluğuna bağlıdır. Bu nedenle bilgiler şunları içermelidir: bilgi güvenliği konularıyla ilgili mevcut organizasyonel ve idari belgeler, AS donanımı ve yazılımı hakkında bilgiler, AS'de kurulu güvenlik özellikleri hakkında bilgiler vb. İlk verilerin daha ayrıntılı bir listesi Tablo 1'de sunulmaktadır.

Tablo 1: Bir güvenlik denetimi yürütmek için gerekli girdi verilerinin listesi

№	Bilgi türü	İlk verilerin bileşiminin açıklaması
1	Bilgi güvenliği konularına ilişkin organizasyonel ve idari belgeler	1. AS bilgi güvenliği politikası; 2. bilgilerin saklanması, erişilmesi ve iletilmesi konularında geçerli belgeler (siparişler, talimatlar, talimatlar); 3. AS bilgi kaynakları ile kullanıcıların çalışmasına ilişkin düzenlemeler.
2	Ana Bilgisayar Donanım Bilgileri	1. AU'da kurulu sunucuların, iş istasyonlarının ve iletişim ekipmanlarının listesi; 2. sunucuların ve iş istasyonlarının donanım yapılandırması hakkında bilgi; 3. hakkında bilgi çevresel ekipman AS'de yüklü.
3	Genel Sistem Yazılım Bilgileri	1. hakkında bilgi işletim sistemleri iş istasyonlarına ve AS sunucularına kurulur; 2. AS'de kurulu olan VTYS'deki veriler.
4	Uygulama Yazılım Bilgileri	1. AU'da kurulu genel ve özel amaçlar için uygulama yazılımlarının bir listesi; 2. AU'da kurulu uygulama yazılımı yardımıyla çözülen fonksiyonel görevlerin tanımı.
5	AU'da kurulu koruma araçları hakkında bilgi	1. koruyucu ekipmanın üreticisi hakkında bilgi; 2. yapılandırma ayarlarıÇözümler; 3. Koruyucu ekipmanın kurulum şeması.
6	AS topoloji bilgisi	1. yerel harita bilgisayar ağı sunucuları ve iş istasyonlarını ağ bölümlerine göre dağıtmak için bir şema içeren; 2. AU'da kullanılan iletişim kanallarının türleri hakkında bilgi; 3. AU'da kullanılan ağ protokolleri hakkında bilgi; 4. AS bilgi akışlarının diyagramı.

Yukarıda belirtildiği gibi, ilk verilerin toplanması aşağıdaki yöntemler kullanılarak gerçekleştirilebilir:

Müşterinin gerekli bilgilere sahip çalışanları ile görüşmek. Bu durumda, görüşme kural olarak hem teknik uzmanlarla hem de şirket yönetiminin temsilcileriyle yapılır. Görüşme sırasında tartışılacak soruların listesi önceden kararlaştırılır;
Müşterinin çalışanları tarafından bağımsız olarak doldurulan belirli bir konuda anketlerin sağlanması. Gönderilen materyallerin gerekli soruları tam olarak yanıtlayamadığı durumlarda ek görüşmeler yapılır;
Müşteri tarafından kullanılan mevcut organizasyonel ve teknik belgelerin analizi;
Müşterinin otomatikleştirilmiş sisteminin yazılım ve donanımının bileşimi ve ayarları hakkında gerekli bilgilerin elde edilmesini sağlayan özel yazılım araçlarının kullanılması. Bu nedenle, örneğin denetim sürecinde, mevcut ağ kaynaklarının envanterini çıkarmanıza ve bunlardaki güvenlik açıklarını belirlemenize olanak tanıyan güvenlik analiz sistemleri (Güvenlik Tarayıcıları) kullanılabilir. Bu tür sistemlere örnek olarak Internet Scanner (ISS tarafından) ve XSpider (Pozitif Technologies tarafından) verilebilir.

5. NGS güvenlik seviyesinin değerlendirilmesi

Toplamadan sonra gerekli bilgi mevcut sistem güvenliği seviyesini değerlendirmek için analiz edilir. Böyle bir analiz sürecinde şirketin maruz kalabileceği bilgi güvenliği riskleri belirlenir. Aslında risk, mevcut koruma araçlarının bilgi saldırılarına ne kadar etkili bir şekilde dayanabildiğinin bütünleyici bir değerlendirmesidir.

Genellikle, güvenlik risklerini hesaplamak için iki ana yöntem grubu vardır. İlk grup, belirli bir dizi bilgi güvenliği gereksinimine uygunluk derecesini değerlendirerek risk seviyesini belirlemenize olanak tanır. Bu tür gereksinimlerin kaynakları şunlar olabilir (Şekil 2):

İşletmenin bilgi güvenliği konularına ilişkin düzenleyici belgeleri;
Mevcut Rus mevzuatının gereklilikleri - FSTEC'in (Devlet Teknik Komisyonu), STR-K'nin yönetici belgeleri, Rusya Federasyonu Federal Güvenlik Servisi'nin gereklilikleri, GOST'ler, vb.;
Uluslararası standartların tavsiyeleri - ISO 17799, OCTAVE, CoBIT, vb.;
Yazılım ve donanım üreticilerinden öneriler - Microsoft, Oracle, Cisco, vb.

Şekil 2: Bir risk değerlendirmesinin temel alınabileceği bilgi güvenliği gereksinimlerinin kaynakları

Bilgi güvenliği risk değerlendirme yöntemlerinin ikinci grubu, saldırıların olasılıklarının yanı sıra hasar düzeylerinin belirlenmesine dayanmaktadır. İÇİNDE bu durum risk değeri her saldırı için ayrı ayrı hesaplanır ve genellikle bir saldırı olasılığının bu saldırıdan olası hasar miktarının ürünü olarak sunulur. Hasarın değeri, bilgi kaynağının sahibi tarafından belirlenir ve bir saldırı olasılığı, denetim prosedürünü yürüten bir grup uzman tarafından hesaplanır.

Birinci ve ikinci grubun yöntemleri, bilgi güvenliği riskinin büyüklüğünü belirlemek için nicel veya nitel ölçekler kullanabilir. İlk durumda, risk ve tüm parametreleri sayısal değerlerle ifade edilir. Bu nedenle, örneğin nicel ölçekler kullanılırken, bir saldırının olasılığı aralıktaki bir sayı olarak ifade edilebilir ve bir saldırının zararı, bir organizasyonun başarılı bir saldırı durumunda maruz kalabileceği maddi kayıpların parasal karşılığı olarak belirlenebilir. Niteliksel ölçekler kullanılırken, sayısal değerler eşdeğer kavramsal düzeylerle değiştirilir. Bu durumda her bir kavramsal düzey, nicel değerlendirme ölçeğinin belirli bir aralığına karşılık gelecektir. Seviye sayısı, uygulanan risk değerlendirme metodolojilerine bağlı olarak değişebilir. Tablo 2 ve 3, hasar düzeylerini ve bir saldırı olasılığını değerlendirmek için beş kavramsal düzeyin kullanıldığı niteliksel bilgi güvenliği risk değerlendirme ölçeklerinin örneklerini sunmaktadır.

Tablo 2: Hasar düzeyini değerlendirmek için niteliksel ölçek

№	Hasar seviyesi	Tanım
1	Küçük hasar	Hızlı bir şekilde geri kazanılan veya şirketin itibarı üzerinde önemsiz bir etkiye sahip olan maddi varlıkların küçük çaplı kaybına yol açar
2	orta hasar	aramalar dikkate değer kayıplar maddi varlıklar veya şirketin itibarı üzerinde orta düzeyde etki
3	Orta hasar	Maddi varlıkların önemli ölçüde kaybına veya şirketin itibarının önemli ölçüde zarar görmesine yol açar
4	Büyük hasar	Maddi varlıkların büyük ölçüde kaybına neden olur ve şirketin itibarının büyük ölçüde zedelenmesine neden olur
5	Kritik hasar	Maddi varlıkların kritik kaybına veya toplam kayıp kuruluşun faaliyetlerine devam etmesini imkansız hale getiren şirketin pazardaki itibarı

Tablo 3: Bir saldırı olasılığını değerlendirmek için niteliksel ölçek

№	Saldırı Olasılığı Düzeyi	Tanım
1	Çok düşük	Saldırı neredeyse hiçbir zaman gerçekleştirilmeyecek. Seviye, olasılığın sayısal aralığına karşılık gelir
5	Çok yüksek	Saldırı neredeyse kesinlikle gerçekleştirilecek. Düzey, olasılığın sayısal aralığına karşılık gelir (0.75, 1]

Risk düzeyini hesaplamak için niteliksel ölçekler kullanıldığında, ilk sütunun kavramsal hasar düzeylerini ve ilk satırın saldırı olasılığı düzeylerini belirttiği özel tablolar kullanılır. Tablonun ilk satır ve sütunun kesişim noktasında yer alan hücreleri güvenlik riski düzeyini içerir. Tablonun boyutu, kavramsal saldırı düzeylerinin sayısına ve hasar olasılığına bağlıdır. Risk seviyesinin belirlenebileceği bir tablo örneği aşağıda gösterilmiştir.

Tablo 4: Bilgi Güvenliği Risk Belirleme Tablosu Örneği

Saldırı Olasılığı	Çok düşük	Düşük	Orta	Yüksek	Çok yüksek
Zarar	Çok düşük	Düşük	Orta	Yüksek	Çok yüksek
Küçük zarar	Düşük risk	Düşük risk	Düşük risk	Orta risk	Orta risk
Ilıman zarar	Düşük risk	Düşük risk	Orta risk	Orta risk	yüksek risk
Orta hasar	Düşük risk	Orta risk	Orta risk	Orta risk	yüksek risk
Büyük zarar	Orta risk	Orta risk	Orta risk	Orta risk	yüksek risk
kritik zarar	Orta risk	yüksek risk	yüksek risk	yüksek risk	yüksek risk

Bir saldırı olasılığı değerlerinin yanı sıra olası hasar seviyesinin hesaplanmasında istatistiksel yöntemler, uzman değerlendirme yöntemleri veya karar teorisinin unsurları kullanılabilir. İstatistiksel yöntemler, bilgi güvenliği ihlalleriyle ilgili fiilen meydana gelen olaylara ilişkin halihazırda birikmiş verilerin analizini içerir. Böyle bir analizin sonuçlarına dayanarak, diğer AS'lerde saldırı olasılığı ve bunlardan kaynaklanan hasar seviyeleri hakkında varsayımlar yapılır. Bununla birlikte, değerlendirme nesnesi olarak hareket edene benzer şekilde AS'nin bilgi kaynaklarına yönelik daha önce gerçekleştirilen saldırılara ilişkin tam istatistiksel verilerin bulunmaması nedeniyle istatistiksel yöntemlerin kullanılması her zaman mümkün değildir.

Uzman değerlendirme aparatı kullanılırken, deneyimlerine dayanarak nicel veya nitel risk düzeylerini belirleyen bilgi güvenliği alanında yetkin bir grup uzmanın çalışmalarının sonuçlarının analizi yapılır. Karar teorisinin unsurları, güvenlik riskinin değerini hesaplamak için bir grup uzmanın çalışmasının sonuçlarını işlemek için daha karmaşık algoritmaların uygulanmasını mümkün kılar.

Bir güvenlik denetimi yürütme sürecinde, başlangıç verilerini analiz etme ve risk değerlerini hesaplama sürecini otomatikleştirmek için özel yazılım sistemleri kullanılabilir. Bu tür komplekslerin örnekleri, Grif ve Condor (Dijital Güvenlik şirketleri) ve Avangard'dır (Rusya Bilimler Akademisi Sistem Analizi Enstitüsü).

6. Güvenlik denetiminin sonuçları

Bilgi güvenliği denetiminin son aşamasında, işletmenin organizasyonel ve teknik desteğini geliştirmeye yönelik öneriler geliştirilir. Bu tür tavsiyeler şunları içerebilir: aşağıdaki türler belirlenen riskleri en aza indirmeyi amaçlayan eylemler:

saldırı olasılığını azaltan veya saldırıdan kaynaklanan olası hasarı azaltan ek organizasyonel ve teknik koruma araçlarının kullanılması nedeniyle risk azaltma. Örneğin, AS'nin İnternet'e bağlantı noktasına güvenlik duvarları kurmak, AS'nin Web sunucuları, posta sunucuları vb. gibi genel bilgi kaynaklarına başarılı bir saldırı olasılığını önemli ölçüde azaltabilir;
AS'nin mimarisini veya bilgi akış şemasını değiştirerek riskten kaçınma, bu da belirli bir saldırı gerçekleştirme olasılığını dışlamayı mümkün kılar. Bu nedenle, örneğin, gizli bilgilerin işlendiği AS segmentinin İnternet bağlantısının fiziksel olarak kesilmesi, bu ağdan gizli bilgilere yönelik saldırıların hariç tutulmasını mümkün kılar;
sigorta önlemlerinin benimsenmesinin bir sonucu olarak riskin niteliğindeki değişiklik. Riskin niteliğindeki bu tür bir değişikliğin örnekleri, nükleer santral ekipmanının yangına karşı sigortasını veya bilgi kaynaklarının yangına karşı sigortasını içerir. olası ihlal gizlilik, bütünlük veya kullanılabilirlik. Şu anda, Rus şirketleri zaten bilgi riski sigortası hizmetleri sunuyor;
AU için tehlike oluşturmayacak düzeye indirilmesi durumunda riskin kabul edilmesi.

Kural olarak, geliştirilen tavsiyeler tanımlanmış tüm risklerin tamamen ortadan kaldırılmasını değil, yalnızca bunların kabul edilebilir bir artık seviyeye indirilmesini amaçlar. AS'nin koruma seviyesini artırmak için önlemler seçerken, temel bir sınırlama dikkate alınır - bunların uygulanma maliyeti, korunan bilgi kaynaklarının maliyetini aşmamalıdır.

Denetim prosedürünün sonunda sonuçları, Müşteriye verilen bir raporlama belgesi şeklinde düzenlenir. Genel olarak, bu belge aşağıdaki ana bölümlerden oluşur:

güvenlik denetiminin yürütüldüğü sınırların bir açıklaması;
Müşterinin AS yapısının açıklaması;
denetim sürecinde kullanılan yöntemler ve araçlar;
risk seviyeleri de dahil olmak üzere belirlenen güvenlik açıklarının ve zayıflıkların bir açıklaması;
entegre bilgi güvenliği sisteminin iyileştirilmesi için öneriler;
belirlenen riskleri en aza indirmeyi amaçlayan öncelikli önlemlerin uygulanmasına yönelik bir plan için teklifler.

7. Karar

Bilgi güvenliği denetimi, günümüzde bilgi güvenliği tehditlerine karşı kurumsal güvenliğin mevcut düzeyine ilişkin bağımsız ve objektif bir değerlendirme elde etmek için en etkili araçlardan biridir. Ek olarak, denetimin sonuçları, kuruluşun bilgi güvenliği sisteminin geliştirilmesine yönelik bir stratejinin oluşturulmasına temel teşkil eder.

Ancak güvenlik denetiminin tek seferlik bir prosedür olmadığı, düzenli olarak yapılması gerektiği anlaşılmalıdır. Ancak bu durumda, denetim gerçek getiriler getirecek ve şirketin bilgi güvenliği seviyesinin iyileştirilmesine yardımcı olacaktır.

8. Referanslar

Vikhorev S.V., Kobtsev R.Yu., Nereye saldırılacağını veya bilgi güvenliği tehdidinin nereden geldiğini nasıl öğrenebilirim // Confident, No. 2, 2001.
Simonov S. Risk analizi, risk yönetimi // Jet Bilgi Bülteni No. 1(68). 1999. s. 1-28.
ISO/IEC 17799, Bilgi teknolojisi - Bilgi güvenliği yönetimi için uygulama kuralları, 2000
Operasyonel Olarak Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi (OCTAVE) – güvenlik riski değerlendirmesi – www.cert.org/octave.
Bilgi Teknolojisi Sistemleri için Risk Yönetimi Kılavuzu, NIST, Özel Yayın 800-30.

İşletme bir bilgi güvenliği denetimi yapmalıdır. Bunun ne için olduğunu ve nasıl kontrol edileceğini düşünelim. Kuruluşların hemen hemen tüm faaliyetleri, bilgilerin bilgisayarla işlenmesiyle ilişkilidir.

Bilgisayarlı bir bilgi sisteminin kapsamlı kullanımını gerektiren işlemlerin sayısı ve hacmi artıyor.
Hatalar varsa, sistem bloke olabilir.

Bir zincirleme reaksiyon tetiklenebilir, bu da şirketlerin karlılığının azalmasına ve itibarlarının kaybolmasına neden olabilir. Bu nedenle BS denetimine özel önem vermeye değer.

Ne bilmek istiyorsun

BS denetimi yürütmek, belirli hedeflerin takip edildiği ve bir takım görevlerin yerine getirildiği önemli bir prosedürdür.

Gerekli terimler

Bilgi güvenliği, nesnel niteliksel ve nicel tahminler işletmenin bilgi güvenliğinin mevcut durumu hakkında.

Aynı zamanda belirli kriterlere ve güvenlik göstergelerine uyulur. Bilgi güvenliği, bilgi kaynaklarının güvenliği ve bilgi endüstrisinde bireyin ve toplumun yasal haklarının korunması olarak anlaşılmaktadır.

Bu neden gerekli?

Bir denetimin yardımıyla bilgi sisteminin mevcut güvenliğini değerlendirebilir, riskleri değerlendirip tahmin edebilir ve bunların iş süreci üzerindeki etkilerini yönetebilirsiniz.

Doğru doğrulamayla, şirketin güvenlik sisteminin oluşturulmasına ve sürdürülmesine yatırılan fonların getirisini en üst düzeye çıkarabilirsiniz.

Denetim prosedürünün amacı:

risk analizi;
bilgi sistemi güvenliğinin mevcut seviyelerinin değerlendirilmesi;
koruyucu sistemde bir darboğazın lokalizasyonu;
bilgi sistemi güvenlik mekanizmasının etkinliğinin nasıl uygulanacağı ve iyileştirileceği konusunda önerilerde bulunmak.

Görev:

veri koruması için bir güvenlik politikası geliştirmek;
BT çalışanları için görevler belirleyin;
bilgi güvenliği ihlalleriyle ilgili olayları analiz eder.

Yasal düzenleme

Ana yasal hükümler:

Metodik belgeler.

Kurumsal bilgi güvenliği denetimi

Bilgi güvenliği kontrolünün ana yönü:

Sertifikasyon	otomatik sistemler, iletişim araçları, verilerin işlenmesi ve iletilmesi onaylanmıştır; müzakerelerde kullanılan tesisler onaylanmıştır; özel bir odaya kurulan teknik araçlar sertifikalıdır
Korumalı veri kontrolü	veri sızıntısının teknik kanalları belirlenir; kullanılan veri güvenliği araçlarının etkinliği kontrol edilir
Teknik araçların özel çalışması	bilgisayar, iletişim araçları ve veri işleme araştırılır; yerel bilgisayar sistemi; çalışmanın sonuçları Devlet Teknik Komisyonu standartlarına uygun olarak hazırlanmıştır.
Nesneler korumalı sürümlerde tasarlanmıştır	bilgi güvenliği kavramı geliştirilmektedir; otomatik sistemler tasarlanır, veri işleme güvenli sürümlerde yapılır; müzakereler için gerekli olan binalar tasarlandı

Uygulanan yöntemler

Tekniği kullanmak mümkündür:

Bilgi sisteminin bu bileşeninin koruma derecesinin değerlendirildiği uzman denetimi	Birkaç aşamadan oluşur: bilgi sistemlerinin analizi; önemli varlıklar analiz edilir; tehdit modelleri, ihlalciler oluşturulur; veri ortamının güvenliği için gereklilikleri analiz eder; mevcut durum değerlendirilir; eksikliklerin giderilmesi için öneriler geliştirilir; bir raporlama önerisi oluşturulur
Aktif Denetim	Test sırasında bilgi sistemlerinin güvenliğini değerlendirmek, zayıflıkları tespit etmek, sistemleri yasa dışı eylemlerden korumak için mevcut mekanizmanın güvenilirliğini kontrol etmek mümkündür. Şirket, analiz sonuçlarıyla birlikte ayrıntılı raporlar alır.Sızma testinin amacı harici bir sunucudur, ağ donanımı, ayrı hizmet. Birkaç test türü vardır: Kara kutu yöntemi. Test, test edilen nesne hakkında bilgi sahibi olmadan gerçekleştirilir. Bilgiler, herkesin erişebileceği bir kaynaktan toplanır. Beyaz kutu yöntemi. Nesneler daha ayrıntılı olarak incelenir. Ek belgeler, kaynak kodu, nesnelere erişim talep edebilirler. Test, veri sızıntılarıyla olası bir durumu simüle eder. Gri kutu yöntemi. Bilinen verileri göz ardı edin ve yukarıda belirtilen yöntemleri birleştirin. Test aşamaları şunları içerir: mevcut bilgilerin analizi; özel araçlar kullanıldığında enstrümantal taramanın uygulanması; ayrıntılı manuel analiz; boşlukların analizi ve değerlendirilmesi
Web uygulamalarını kontrol etme	Güvenlik açıklarını tespit etmek ve tanımlamak için gereklidir. zorunlu olarak: otomatik tarama yapmak; kara ve beyaz kutu yöntemini kullanarak; risk değerlendirmesi; tavsiyelerin hazırlanması; tavsiyelerin uygulanması
Kapsamlı denetim	Bilgi güvenliğine yönelik tehdidi sistematik hale getirmek ve eksiklikleri gidermeye yönelik önerilerde bulunmak mümkündür. Ağların teknik doğrulaması yapılır, sızma testi yapılır, vb.
Uygunluk denetimi	Bilgi güvenliği risk yönetim sistemi, yönetmelik politikası, varlık ve çalışan yönetimi ilkeleri analiz edilerek değerlendirilmektedir.

Planlama

Bilgi güvenliği denetimi yapılırken iş planı ve hedef tanımlamaları yapılır. Müşteriler ve uygulayıcılar, denetimden etkilenen şirketin kapsamı ve yapısı üzerinde anlaşmalıdır.

Her bir tarafın sorumluluğunu tartışın. Plan şunları yansıtmalıdır:

kontrolün amacı;
kriterler;
denetime tabi organizasyonel ve fonksiyonel birimin ve sürecin tanımlanması dikkate alınarak doğrulama alanları;
denetimin tarihi ve yeri;
kontrolün süresi;
denetim ekibi üyelerinin ve beraberindeki kişilerin rol ve sorumlulukları.

Şunları dahil etmek de mümkündür:

denetim ekibine destek hizmetleri sağlayacak denetlenen kuruluşun temsilcilerinin bir listesi;
raporun bölümleri;
teknik Destek;
gizlilik sorunlarının ele alınması;
son tarihler ve hedefler sonraki kontrol bilgi Güvenliği.

Plan gözden geçirilir ve denetim yapılmadan önce denetlenen kuruma sunulur. Gözden geçirilmiş belge, denetim devam etmeden önce ilgili tarafça kabul edilir.

İç denetim yapmak

Denetim aşağıdaki eylemleri içerir:

süreç başlatılır (denetçinin hak ve yükümlülükleri belgelerde belirlenir ve sabitlenir, bir denetim planı hazırlanır);
veriler toplanır;
bilgi analiz edilir;
tavsiyelerde bulunulur;
bir rapor hazırlanıyor.

Denetimin uygulanması için, düzenleyici belgelere yansıtılan kriterler belirlenir. İlk olarak, bir denetim düzenlenir, belgeler analiz edilir ve uygulama sahasında bir BS denetimi için hazırlıklar yapılır.

Denetim ekiplerinin liderliğini atadığınızdan, denetimin hedeflerini ve kapsamını, fırsatları belirlediğinizden, denetlenen kuruluşla ilk temasları kurduğunuzdan emin olun.

Küçük bir işletme için nüanslar

Küçük bir işletmede bilgi güvenliğine büyük şirketlerdeki kadar önem verilmez.

Teknik durum öyle olsa da bilgi güvenliği koruması sadece küçük şirketler için gereklidir. Bu tür işletmelerin, tüm ekipman ve yazılımları satın almalarına olanak tanıyan küçük bir BT bütçesi vardır.

Bu nedenle bir denetim, aşağıdakileri kontrol ederek güvenlik açıklarının zamanında tespit edilmesini sağlar:

nasıl kullanılır güvenlik duvarı bilgi güvenliğini sağlamak;
koruma sağlanıp sağlanmadığı E-posta(gerekli antivirüslerin olup olmadığı);
anti-virüs korumasının sağlanıp sağlanmadığı;
1C kuruluşunda iş nasıl organize edilir;
kullanıcının PC'sinin nasıl yapılandırıldığı;
proxy sunucusu nasıl kullanılır;
koruma sağlanıp sağlanmadığı bilgi ortamışirketler

Bankadaki işlem sırasında

PC'yi kontrol edin;
Bilgisayar kontrolü.

Kontrol genel ve uygulanabilir olabilir. Bir bilgisayar sisteminin işleyişinin devamlılığında güven sağlayan işlemler genel kabul edilir.

Aşağıdaki kontrol türleri gerçekleştirilir:

örgütsel;
bilgisayar kontrolü;
işletim sistemleri;
giriş kontrolu;
tesislerin teknik imkanlarla kontrolü;
sistemlerin geliştirilmesi ve bakımı.

Uygulama kontrolü, belirli bir uygulamanın programlanmış bir sürecidir. yazılım ve manuel süreçler.

Bilgilerin otomatik olarak işlenmesinin eksiksiz, doğru ve doğru olduğuna dair makul güvence sağlamak gereklidir.

Sunulan:

giriş kontrolü (bu, bilgi sistemlerindeki en zayıf noktadır);
işleme;
çıktı.

Bankacılık kurumlarının bilgi sistemini kontrol etme programı şunları içerir:

İç denetçilerin katılımı	Sistemler ve uygulama yazılım paketi geliştirirken
İnceleme ve onay	Yazılım değişikliklerinin doğrulayıcısı
İç kontrollerin denetiminin yapılması	Ve tutarlılık ve tutarlılık testleri
Yazılım belgelerinin kontrol edilmesi	Belgeler var mı, güncelleniyor mu, gerçek durumu yansıtıyor mu?
Yazılım kontrollerinin yapılması	Yetkisiz değişiklik olmaması, bilgilerin eksiksiz olup olmaması
Satın alınan yazılımın değerlendirilmesinin yapılması	Hazırlanan sistemlerin açıklamasına uygunluk
Eylem planının üç ayda bir gözden geçirilmesi ve yenilenmesi	Mücbir sebep ve kritik durumda

Gelecekte istenmeyen izinsiz girişleri ve saldırıları önlemek için buna değer:

Denetçi aşağıdaki faaliyetleri gerçekleştirebilir:

Devlet bilgi sistemleri organizasyonu

Örnek olarak bir okulu ele alalım. Denetimin uygulanması 3 aşamadan oluşur. İlk olarak, kurum gerekli tüm belgeleri sunmalıdır.

Amacı, doğrulama görevlerini belirleyin, makyaj yapın. Denetim ekibinin bir parçası olacak kişileri belirleyin. Doğrulama programları oluşturun.

Denetimin kendisi, okul yönetimi ile geliştirilen ve üzerinde anlaşmaya varılan denetim programına uygun olarak gerçekleştirilir.

Düzenleyici belgelerin kalitesini, teknik veri koruma önlemlerinin etkinliğini ve çalışanların eylemlerini kontrol eder ve değerlendirir. Düzenlemek:

ISPD'nin doğru sınıflandırılıp sınıflandırılmadığı;
sağlanan bilgilerin yeterli olup olmadığı;
bilgi güvenliği gereksinimlerinin karşılanıp karşılanmadığı.

Teknik kontrol yapılırken bilirkişi, bilirkişi-belgesel, araçsal yöntemler kullanılır. Denetimin sonuçlarına dayanarak, eksikliklerin dile getirildiği ve giderilmesi için tavsiyelerin verildiği yerde hazırlanırlar.

Yönetim sistemleri belgelendirmesi

Standartlara uygunluğun doğrulanması ve belgelendirilmesi, kurumsal yönetimi iyileştirmeyi ve güven oluşturmayı amaçlar.

Uluslararası standartlar oluşturulmuş olmasına rağmen, şu anda ISO 17799 için bir sertifika yoktur, çünkü bunun İngiliz standartları BS 7799'a uygunluk sertifikasını açıklayan 2. kısmı yoktur.

İngiliz standartlarına göre sertifikalıdır. Standartlara uygunluğun teyidi UKAS üyesi denetim/danışmanlık firmaları tarafından yapılmaktadır.

BS 7799-2'ye göre sertifikalar, bina bilgi güvenliği yönetim sistemlerinin kalitesini etkiler. Bir dizi teknik sorun ele alınmaktadır.

Sistem yönetimi için devlet standartları kabul edilmemiştir, bu, analogun Rusya Devlet Teknik Komisyonu'nun teknik planı hakkındaki bilgileri korumak için Özel gereksinimler ve tavsiyeler olduğu anlamına gelir.

sonuçların kaydı

Denetim sonunda müşterilere aktarılan bir raporlama belgesi düzenlenir. Rapor aşağıdaki bilgileri içermelidir:

denetim düzenlemelerinin kapsamı;
kurumsal bilgi sisteminin yapısı;
denetim sırasında kullanılan yöntemler ve araçlar;
risk seviyeleri dikkate alınarak belirlenen güvenlik açıklarının ve eksikliklerin açıklamaları;
iyileştirme önerileri karmaşık sistemler bilgi güvenliği sağlamak;
belirlenen riskleri en aza indirmesi gereken eylem uygulama planlarına öneriler.

Rapor, bilgi güvenliği kontrolüne ilişkin eksiksiz, açık ve doğru bilgiler içermelidir. Denetimin nerede yapıldığı, müşteri ve yüklenicinin kim olduğu, denetimin amacının ne olduğu belirtilir.

Raporlar ayrıca aşağıdaki bilgileri içerebilir:

test planı;
denetçilere eşlik eden kişilerin listesi;
belirsizlik unsurunu ve denetim sonucunun güvenilirliğini etkileyebilecek sorunları dikkate alarak prosedürün kısa bir özeti;
denetim kapsamına girmeyen sektörler vb.

Bilgi güvenliği denetimi, bir dizi tehdide karşı mevcut koruma aşamasının bağımsız ve nesnel bir değerlendirmesini elde etmenizi sağlayan etkili bir araçtır.

Denetimin sonucu, şirketin bilgi güvenliğini sağlamaya yönelik sistemlerin geliştirilmesine yönelik stratejilerin oluşturulmasına temel oluşturacaktır.
Ancak bir güvenlik denetiminin tek seferlik bir prosedür olmadığını hatırlamakta fayda var.

Sürekli olarak gerçekleştirilmelidir. Ancak bu durumda gerçek bir geri dönüş olacak ve bilgi güvenliğini artırmak mümkün olacaktır.

Bugün herkes, bilginin sahibi olanın dünyanın sahibi olduğuna dair neredeyse kutsal bir söz biliyor. Bu yüzden zamanımızda herkes çalmaya çalışıyor. Bu bağlamda, olası saldırılara karşı koruma araçlarının getirilmesi için benzeri görülmemiş adımlar atılmaktadır. Ancak bazen işletmeyi denetlemek gerekebilir. Nedir ve tüm bunlara neden ihtiyaç duyuluyor, şimdi anlamaya çalışacağız.

Genel anlamda bilgi güvenliği denetimi nedir?

Şimdi anlaşılması güç bilimsel terimlere değinmeyeceğiz, ancak temel kavramları kendimiz için tanımlamaya çalışacağız, bunları en basit dilde açıklayacağız (insanlarda buna "aptallar" denetimi denebilir).

Bu olaylar dizisinin adı kendisi için konuşur. Bilgi güvenliği denetimi, bir işletme, kurum veya kuruluşun bilgi sisteminin (IS) özel olarak geliştirilmiş kriter ve göstergelere dayalı olarak bağımsız olarak doğrulanması veya güvenliğidir.

Basit bir ifadeyle, örneğin bir bankanın bilgi güvenliği denetimi, kurumun faaliyetlerine müdahale durumunda müşteri veritabanlarının, devam eden bankacılık işlemlerinin, elektronik paranın güvenliğinin, banka gizliliğinin güvenliğinin vb. yabancılar dışarıdan, elektronik ve bilgisayar araçları kullanılarak.

Elbette, okuyucular arasında evinden veya evinden telefon alan en az bir kişi vardır. cep telefonu ayrıca hiçbir şekilde bağlı olmadığı bir bankadan borç veya mevduat verme teklifi ile. Aynısı, bazı mağazalardan satın alma teklifleri için de geçerlidir. Numaranız nereden geldi?

Her şey basit. Bir kişi daha önce borç aldıysa veya bir mevduat hesabına para yatırdıysa, doğal olarak verileri tek bir hesapta saklanıyordu, başka bir bankadan veya mağazadan ararken, tek sonuç çıkarılabilir: onunla ilgili bilgiler yasa dışı bir şekilde üçüncü ellere geçti. Nasıl? Genel durumda, iki seçenek ayırt edilebilir: ya çalındı ya da banka çalışanları tarafından kasıtlı olarak üçüncü şahıslara aktarıldı. Bu tür olayların yaşanmaması için bankanın bilgi güvenliği denetiminin zamanında yapılması gerekmektedir ve bu sadece bilgisayar veya “demir” güvenlik araçları için değil, bankacılık kurumunun tüm personeli için geçerlidir.

Bilgi güvenliği denetiminin ana alanları

Böyle bir denetimin kapsamı ile ilgili olarak, kural olarak, birkaç tanesi ile ayırt edilirler:

bilgilendirme süreçlerinde yer alan nesnelerin tam olarak doğrulanması (bilgisayar otomatik sistemleri, iletişim araçları, bilgi verilerinin alınması, iletilmesi ve işlenmesi, teknik araçlar, gizli toplantılar için tesisler, gözetim sistemleri vb.);
koruma güvenilirliği kontrolü kesin bilgiİle Sınırlı erişim(güvenlik sistemindeki olası sızıntı kanallarının ve potansiyel deliklerin belirlenmesi, standart ve standart olmayan yöntemler kullanılarak dışarıdan erişime izin verilmesi);
tüm elektronik teknik araçların ve yerel bilgisayar sistemleri elektromanyetik radyasyona ve alıcılara maruz kalma, bunların kapatılmasına veya kullanılamaz hale getirilmesine izin vermek için;
bir güvenlik konsepti oluşturma ve onu pratikte uygulama (bilgisayar sistemlerinin, tesislerin, iletişimin vb. korunması) çalışmalarını içeren tasarım bölümü.

Denetim ne zaman gereklidir?

Korumanın zaten ihlal edildiği kritik durumlardan bahsetmiyorum bile, diğer bazı durumlarda bir kuruluşta bilgi güvenliği denetimi yapılabilir.

Kural olarak, şirketin genişletilmesi, birleşmeler, satın almalar, başka şirketler tarafından devralmalar, iş veya yönetim anlayışındaki değişiklikler, uluslararası mevzuattaki veya tek bir ülke içindeki yasal düzenlemelerdeki değişiklikler, bilgi altyapısında oldukça ciddi değişiklikler buna dahildir.

denetim türleri

Bugün, birçok analist ve uzmana göre bu tür bir denetimin sınıflandırılması tam olarak yerleşik değildir. Bu nedenle, bazı durumlarda sınıflara bölünme çok şartlı olabilir. Bununla birlikte, genel durumda, bilgi güvenliği denetimi harici ve dahili olarak ayrılabilir.

Bağımsız ve buna hakkı olan uzmanlar tarafından gerçekleştirilen bir dış denetim, genellikle şirket yönetimi, hissedarları, kolluk kuvvetleri vesaire. Belirli bir süre boyunca düzenli olarak harici bir bilgi güvenliği denetiminin (zorunlu değil) yapılmasının tavsiye edildiği düşünülmektedir. Ancak kanuna göre bazı kurum ve kuruluşlar için zorunludur (örneğin, finansal kurum ve kuruluşlar anonim şirketler ve benzeri.).

Bilgi güvenliği devam eden bir süreçtir. Özel bir “İç denetim yönetmeliği”ne dayanmaktadır. Ne olduğunu? Aslında bunlar, yönetimin onayladığı süreler içerisinde kuruluşta gerçekleştirilen tasdik faaliyetleridir. Bir bilgi güvenliği denetiminin yapılması, işletmenin özel yapısal alt bölümleri tarafından sağlanır.

Denetim türlerinin alternatif sınıflandırması

Genel durumda yukarıda açıklanan sınıflara ayırmaya ek olarak, uluslararası sınıflandırmada kabul edilen birkaç bileşen daha vardır:

bilgi ve bilgi sistemlerinin güvenlik durumunun, onu yürüten uzmanların kişisel deneyimlerine dayalı olarak uzman tarafından doğrulanması;
uluslararası standartlara (ISO 17799) ve bu faaliyet alanını düzenleyen devlet yasal belgelerine uygunluk için sistemlerin ve güvenlik önlemlerinin sertifikasyonu;
yazılım ve donanım kompleksindeki potansiyel güvenlik açıklarını belirlemeyi amaçlayan teknik araçlar kullanarak bilgi sistemlerinin güvenlik analizi.

Bazen yukarıdaki türlerin tümünü içeren sözde karmaşık denetim de kullanılabilir. Bu arada, en objektif sonuçları veren odur.

Amaç ve hedeflerin belirlenmesi

Dahili veya harici herhangi bir doğrulama, amaç ve hedeflerin belirlenmesiyle başlar. Basitçe söylemek gerekirse, neden, neyin ve nasıl kontrol edileceğini belirlemeniz gerekir. Bu, tüm süreç için daha fazla metodolojiyi önceden belirleyecektir.

İşletmenin yapısının, kuruluşun, kurumun ve faaliyetlerinin özelliklerine bağlı olarak belirlenen görevler oldukça fazla olabilir. Bununla birlikte, tüm bunlar arasında, bilgi güvenliği denetiminin birleşik hedefleri ayırt edilir:

bilgi ve bilgi sistemlerinin güvenlik durumunun değerlendirilmesi;
dışarıdan IP'ye sızma tehdidiyle ilişkili olası risklerin ve bu tür bir müdahaleyi uygulamak için olası yöntemlerin analizi;
güvenlik sistemindeki deliklerin ve boşlukların yerelleştirilmesi;
bilgi sistemlerinin güvenlik seviyesinin mevcut standartlara ve düzenleyici yasal düzenlemelere uygunluğunun analizi;
mevcut sorunların ortadan kaldırılmasını ve mevcut koruma araçlarının iyileştirilmesini ve yeni gelişmelerin getirilmesini içeren tavsiyelerin geliştirilmesi ve yayınlanması.

Denetim yürütme metodolojisi ve araçları

Şimdi kontrolün nasıl yapıldığı ve hangi aşamaları ve araçları içerdiği hakkında birkaç söz.

Bir bilgi güvenliği denetimi yürütmek birkaç ana aşamadan oluşur:

denetim prosedürünün başlatılması (denetçinin hak ve yükümlülüklerinin açık bir şekilde tanımlanması, denetçi tarafından denetim planının hazırlanması ve bunun yönetimle koordinasyonu, çalışmanın sınırları sorununun çözülmesi, kuruluş çalışanlarına yardım etme ve gerekli bilgileri zamanında sağlama yükümlülüğü getirme);
ilk verilerin toplanması (güvenlik sisteminin yapısı, güvenlik araçlarının dağıtımı, güvenlik sisteminin çalışma seviyeleri, bilgi edinme ve sağlama yöntemlerinin analizi, iletişim kanallarının belirlenmesi ve IS'nin diğer yapılarla etkileşimi, bilgisayar ağı kullanıcılarının hiyerarşisi, protokollerin tanımı, vb.);
kapsamlı veya kısmi bir denetim yapmak;
alınan verilerin analizi (her türlü riskin analizi ve standartlara uygunluk);
ortadan kaldırılması için önerilerde bulunmak olası problemler;
raporlama belgelerinin oluşturulması.

İlk aşama en basit olanıdır, çünkü kararı yalnızca işletme yönetimi ile denetçi arasında verilir. Analizin sınırları, çalışanların veya hissedarların genel kurul toplantısında ele alınabilir. Bütün bunlar daha çok yasal alanla ilgilidir.

İlk veri toplamanın ikinci aşaması, ister dahili bir bilgi güvenliği denetimi isterse harici bağımsız sertifikalandırma olsun, en yoğun kaynak gerektiren aşamadır. Bunun nedeni, bu aşamada yalnızca tüm yazılım ve donanım kompleksiyle ilgili teknik belgeleri incelemek değil, aynı zamanda şirket çalışanları ile dar odaklı bir görüşme yapmak ve hatta çoğu durumda özel anketleri veya anketleri doldurmaktır.

Teknik belgelere gelince, IP'nin yapısı ve çalışanların buna erişim haklarının öncelik seviyeleri hakkında veri elde etmek, genel sistem ve uygulama yazılımını (kullanılan işletim sistemleri, iş yapma, yönetme ve muhasebe uygulamaları) ve ayrıca kurulu yazılım ve yazılım dışı koruma araçlarını (antivirüsler, güvenlik duvarları vb.) belirlemek önemlidir. Ek olarak, bu, iletişim hizmetleri sağlayan ağların ve sağlayıcıların (ağ organizasyonu, bağlantı için kullanılan protokoller, iletişim kanalı türleri, bilgi akışlarını iletme ve alma yöntemleri ve çok daha fazlası) eksiksiz bir kontrolünü içerir. Gördüğünüz gibi, bu çok zaman alıyor.

Bir sonraki adım, bilgi güvenliği denetim yöntemlerini tanımlamaktır. Üç ile ayırt edilirler:

risk analizi (en karmaşık teknik, denetçinin BS'ye girme olasılığını belirlemesine ve tüm olası yöntem ve araçları kullanarak bütünlüğünü ihlal etmesine dayanır);
standartlara ve yasal düzenlemelere uygunluğun değerlendirilmesi (mevcut durum ile uluslararası standartların ve bilgi güvenliği alanındaki yerel belgelerin gerekliliklerinin karşılaştırılmasına dayanan en basit ve en pratik yöntem);
ilk ikisini birleştiren birleşik bir yöntem.

Test sonuçlarını aldıktan sonra analizleri başlar. Analiz için kullanılan bilgi güvenliği denetim araçları oldukça çeşitli olabilir. Her şey işletmenin özelliklerine, bilgi türüne, kullanılan yazılıma, güvenlik araçlarına vb.

Ve bu sadece alanında uygun niteliklere sahip olması gerektiği anlamına gelir. Bilişim Teknolojileri ve veri koruması. Denetçi bu analize dayanarak olası riskleri hesaplar.

Yalnızca örneğin iş yapmak veya muhasebe yapmak için kullanılan işletim sistemlerini veya programları değil, aynı zamanda bir saldırganın verileri çalmak, verilere zarar vermek ve yok etmek, bilgisayar arızaları için ön koşullar oluşturmak, virüsleri veya kötü amaçlı yazılımları yaymak için bir bilgi sistemine nasıl girebileceğini de açıkça anlaması gerektiğini unutmayın.

Uzman, analize dayanarak koruma durumu hakkında bir sonuca varır ve mevcut veya olası sorunları ortadan kaldırmak, güvenlik sistemini yükseltmek vb. için önerilerde bulunur. Aynı zamanda, öneriler yalnızca nesnel olmamalı, aynı zamanda işletmenin özelliklerinin gerçeklerine de açıkça bağlı olmalıdır. Başka bir deyişle, bilgisayarların veya yazılımların konfigürasyonunun yükseltilmesine ilişkin tavsiyeler kabul edilmez. Bu, "güvenilmez" çalışanların işten çıkarılması, amaçlarına, kurulum yeri ve uygunluğuna dair özel bir gösterge olmaksızın yeni izleme sistemlerinin kurulumuna ilişkin tavsiyeler için de aynı şekilde geçerlidir.

Analize dayanarak, kural olarak, birkaç risk grubu ayırt edilir. Aynı zamanda, bir özet rapor hazırlamak için iki ana gösterge kullanılır: bir saldırı olasılığı ve bunun sonucunda şirkete verilen zarar (varlık kaybı, itibar kaybı, imaj kaybı, vb.). Ancak grupların puanları uyuşmuyor. Yani, örneğin, indeks düşük seviyeçünkü saldırı olasılığı en iyisidir. Hasar için, tam tersi.

Ancak bundan sonra, yürütülen araştırmanın tüm aşamalarının, yöntemlerinin ve araçlarının ayrıntılı olarak açıklandığı bir rapor hazırlanır. Yönetim ile kararlaştırılır ve iki tarafça imzalanır - işletme ve denetçi. Denetim dahili ise, ilgili yapısal birimin başkanı böyle bir rapor hazırlar ve ardından yine başkan tarafından imzalanır.

Bilgi güvenliği denetimi: bir örnek

Son olarak, zaten gerçekleşmiş bir durumun en basit örneğini ele alalım. Bu arada, çoğu kişiye çok tanıdık gelebilir.

Bu nedenle, örneğin, Amerika Birleşik Devletleri'nde tedarikle uğraşan bir şirketin belirli bir çalışanı, bilgisayarına ICQ habercisini yükledi (çalışanın adı ve şirketin adı, bariz nedenlerden dolayı isimlendirilmemiştir). Müzakereler bu program üzerinden yürütüldü. Ancak "ICQ" güvenlik açısından oldukça savunmasızdır. Çalışanın kendisi, o sırada numarayı kaydederken ya bir e-posta adresine sahip değildi ya da sadece vermek istemiyordu. Bunun yerine, var olmayan bir etki alanıyla bile e-postaya benzeyen bir şey gösterdi.

Bir saldırgan ne yapardı? Bilgi güvenliği denetiminin gösterdiği gibi, tam olarak aynı etki alanını kaydedecek ve içinde başka bir kayıt terminali oluşturacaktı, ardından ICQ hizmetinin sahibi olan Mirabilis şirketine, kaybı nedeniyle parolayı kurtarma talebiyle bir mesaj gönderebilecekti (ki bu yapılacaktı). Alıcının sunucusu bir posta sunucusu olmadığından, üzerinde bir yönlendirme etkinleştirildi - saldırganın mevcut postasına yönlendirme.

Sonuç olarak, belirtilen ICQ numarası ile yazışmaya erişir ve belirli bir ülkedeki malların alıcısının adresindeki değişikliği tedarikçiye bildirir. Böylece kargo kimsenin bilmediği yere gönderilir. Ve bu en zararsız örnek. Evet, küçük zorbalık. Peki ya çok daha fazlasını yapabilen daha ciddi bilgisayar korsanları ...

Çözüm

IP güvenlik denetimiyle ilgili özet olarak bu kadar. Tabii ki, tüm yönleri burada ele alınmamaktadır. Bunun nedeni, görevlerin belirlenmesini ve uygulama yöntemlerini birçok faktörün etkilemesidir, bu nedenle her bir yaklaşımdaki yaklaşım özel durum kesinlikle bireysel. Ek olarak, bilgi güvenliğini denetleme yöntemleri ve araçları farklı IS'ler için farklı olabilir. Ancak, öyle görünüyor Genel İlkelerçoğu kişi için bu tür kontroller en azından başlangıç düzeyinde netleşecektir.

Bir bilgi güvenliği denetimi, bankaya yalnızca belirli türde faaliyetleri yürütme hakkı vermekle kalmaz, aynı zamanda bankanın sistemlerindeki zayıflıkları da ortaya çıkarır. Bu nedenle, denetimin yürütülme kararına ve denetim biçiminin seçimine dikkatle yaklaşmak gerekir.

30 Aralık 2008 tarihli ve 307-FZ sayılı “Denetim Faaliyetleri Hakkında” Federal Yasasına göre denetim, “denetlenen bir kuruluşun muhasebe (mali) tablolarının, bu tür tabloların güvenilirliği hakkında görüş bildirmek üzere bağımsız olarak doğrulanmasıdır.” Bu kanunda geçen bu terimin bilgi güvenliği ile ilgisi yoktur. Ancak öyle oldu ki bilgi güvenliği uzmanları bunu konuşmalarında oldukça aktif bir şekilde kullanıyor. Bu durumda denetim, bir kuruluşun, sistemin, sürecin, projenin veya ürünün faaliyetlerinin bağımsız olarak değerlendirilmesi sürecini ifade eder. Aynı zamanda, çeşitli yerel düzenlemelerde "bilgi güvenliği denetimi" teriminin her zaman kullanılmadığı anlaşılmalıdır - genellikle "uygunluk değerlendirmesi" terimi veya biraz modası geçmiş, ancak hala kullanılan "onay" terimi ile değiştirilir. Bazen "belgelendirme" terimi de kullanılır, ancak uluslararası yabancı düzenlemelerle ilgili olarak. Mevzuata uygunluğu doğrulamak veya uygulanan çözümlerin geçerliliğini ve güvenliğini doğrulamak için bilgi güvenliği denetimi yapılır. Ancak hangi terim kullanılırsa kullanılsın, aslında bir bilgi güvenliği denetimi, ya düzenlemelerin uygulandığını doğrulamak ya da uygulanan çözümlerin geçerliliğini ve güvenliğini doğrulamak için yapılır. İkinci durumda, denetim isteğe bağlıdır ve yürütme kararı kuruluşun kendisi tarafından verilir. İlk durumda, denetim yapmayı reddetmek imkansızdır, çünkü bu, düzenleyici kanunlar tarafından belirlenen gerekliliklerin ihlal edilmesini gerektirir ve bu da para cezası, faaliyetlerin askıya alınması veya diğer ceza biçimleri şeklinde cezaya yol açar. Bir denetim zorunluysa, hem kuruluşun kendisi tarafından, örneğin öz değerlendirme şeklinde gerçekleştirilebilir (ancak bu durumda artık "bağımsızlıktan" söz edilmez ve burada "denetim" terimini kullanmak pek doğru değildir) ve harici bağımsız kuruluşlar - denetçiler tarafından. Yasal bir denetim yürütmek için üçüncü seçenek, uygun denetim faaliyetlerini yürütme hakkına sahip düzenleyici kurumlar tarafından yapılan kontroldür. Bu seçeneğe genellikle denetim değil, denetim kontrolü denir. Gönüllü denetim kesinlikle herhangi bir nedenle (uzak bankacılık sisteminin güvenliğini kontrol etmek, satın alınan bir bankanın varlıklarını kontrol etmek, yeni açılan bir şubeyi kontrol etmek vb.) bu seçenek dikkate alınmayacaktır. Bu durumda, sınırlarını açıkça belirtmek veya raporlama biçimlerini açıklamak veya düzenlilik hakkında konuşmak imkansızdır - tüm bunlara denetçi ile denetlenen kuruluş arasındaki bir anlaşma ile karar verilir. Bu nedenle, yalnızca bankaların doğasında bulunan zorunlu denetim biçimlerini ele alacağız.

Uluslararası Standart ISO 27001

Bazen belirli bir bankanın "ISO / IEC 27001: 2005" uluslararası standardının gerekliliklerine uygunluk denetiminden geçtiğini duyabilirsiniz (tam Rus muadili "GOST R ISO / IEC 27001-2006 - Bilgi teknolojisi - Güvenliği sağlama yöntemleri ve araçları. Bilgi güvenliği yönetim sistemleri - Gereksinimler"). Aslında bu standart, büyük kuruluşlarda bilgi güvenliğini yönetmek için bir dizi en iyi uygulamadır (bankalar dahil küçük kuruluşlar, bu standardın gerekliliklerine her zaman tam olarak uyamayabilir). Rusya'daki herhangi bir standart gibi, ISO 27001 de her bankanın kendi başına kabul edip etmemeye karar verdiği tamamen isteğe bağlı bir belgedir. Ancak ISO 27001, dünya çapında fiili standarttır ve birçok ülkedeki uzmanlar, bu standardı bilgi güvenliği söz konusu olduğunda uyulması gereken evrensel bir dil olarak kullanır. ISO 27001 ile birlikte, çok açık olmayan ve sıklıkla dile getirilmeyen birkaç nokta da vardır. Bununla birlikte, ISO 27001'in daha az belirgin ve daha az bahsedilen birkaç noktası da vardır. Birincisi, bir bankanın bilgi güvenliği sisteminin tamamı bu standarda göre denetime tabi tutulmaz, sadece bir veya birkaçı bu standarda göre denetime tabi tutulur. oluşturan parçalar. Örneğin, bir uzaktan bankacılık koruma sistemi, bir banka genel müdürlüğü koruma sistemi veya bir personel yönetimi süreç koruma sistemi. Diğer bir deyişle, denetim kapsamında değerlendirilen süreçlerden biri için uygunluk belgesi alınması, diğer süreçlerin aynı ideale yakın durumda olduğunu garanti etmez. İkinci nokta, ISO 27001'in evrensel bir standart olması, yani herhangi bir kuruluş için geçerli olması ve bu nedenle belirli bir endüstrinin özelliklerini dikkate almaması ile ilgilidir. Bu, uluslararası ISO standardizasyon organizasyonu çerçevesinde, uzun süredir ISO 27001/27002'nin finansal sektöre bir uzantısı olan ISO 27015 standardının oluşturulmasından söz edilmesine yol açmıştır. Rusya Merkez Bankası da bu standardın geliştirilmesinde aktif rol almaktadır. Ancak Visa ve MasterCard, halihazırda geliştirilmiş olan bu standardın taslağına karşıdır. İlki, taslak standardın finans sektörü için gerekli olan (örneğin ödeme sistemleri hakkında) çok az bilgi içerdiğine ve oraya eklenirse standardın başka bir ISO komitesine devredilmesi gerektiğine inanıyor. MasterCard ayrıca ISO 27015'in geliştirilmesini durdurmayı teklif ediyor, ancak motivasyon farklı - diyorlar ki, finans endüstrisinde bilgi güvenliği konusunu düzenleyen belgeler zaten çok dolu. Üçüncüsü, üzerinde bulunan tekliflerin birçoğunun gerçeğine dikkat etmek gerekir. Rusya pazarı, uygunluk denetiminden değil, denetime hazırlanmaktan bahsediyorlar. Gerçek şu ki, dünyada sadece birkaç kuruluş ISO 27001 gerekliliklerine uygunluğu belgeleme hakkına sahiptir. Öte yandan entegratörler, şirketlerin yalnızca standardın gerekliliklerini karşılamalarına yardımcı olur ve bu daha sonra resmi denetçiler tarafından doğrulanır (bunlara ayrıca kayıt şirketleri, belgelendirme kuruluşları vb. denir). Bankaların ISO 27001'i uygulayıp uygulamamaları konusunda tartışmalar devam ederken, bazı cesur ruhlar bunun peşine düşüyor ve 3 aşamalı uygunluk denetiminden geçiyor:

Ana belgelerin denetçisi tarafından ön gayri resmi çalışma (hem denetim müşterisinin topraklarında hem de dışında).
Uygulanan koruyucu önlemlerin resmi ve derinlemesine denetimi, etkinliklerinin değerlendirilmesi ve geliştirilen önlemlerin incelenmesi gerekli belgeler. Bu aşama genellikle uygunluğun teyidi ile sona erer ve denetçi, dünya çapında tanınan uygun sertifikayı verir.
Önceden alınan uygunluk sertifikasını doğrulamak için yıllık bir gözetim denetiminin gerçekleştirilmesi.

Rusya'da ISO 27001'e kimin ihtiyacı var? Bu standardı sadece bir denetimden geçmeden uygulanabilecek bir dizi en iyi uygulama olarak değil, aynı zamanda bankanın uluslararası kabul görmüş güvenlik gereksinimlerine uygunluğunu onaylayan bir belgelendirme süreci olarak düşünürsek, ISO 27001'in standart olduğu uluslararası bankacılık gruplarına üye bankalar veya uluslararası arenaya girmeyi planlayan bankalar için ISO 27001'i uygulamak mantıklıdır. Diğer durumlarda, bence ISO 27001'e uygunluk denetimi ve sertifika alınması gerekli değildir. Ancak yalnızca banka için ve yalnızca Rusya'da. Ve hepsi ISO 27001 temelinde oluşturulmuş kendi standartlarımıza sahip olduğumuz için. Bank of Russia'nın fiili teftişleri yakın zamana kadar tam olarak STO BR IBBS'nin gerekliliklerine uygun olarak gerçekleştiriliyordu.

Bank of Russia STO BR IBBS'nin belge seti

Böyle bir standart veya daha doğrusu bir dizi standart, Rusya Merkez Bankası'nın, Rus mevzuatının gereklerini dikkate alarak bankacılık kuruluşları için bir bilgi güvenliği sistemi oluşturmaya yönelik birleşik bir yaklaşımı tanımlayan bir dizi belgedir. Standardizasyon için üç standart ve beş tavsiye içeren bu belge seti (bundan böyle STO BR IBBS olarak anılacaktır), ISO 27001'e ve bilgi teknolojisi yönetimi ve bilgi güvenliğine yönelik bir dizi başka uluslararası standarda dayanmaktadır. ISO 27001'in yanı sıra standardın gerekliliklerine uygunluğun denetimi ve değerlendirilmesi konuları ayrı belgelerde belirtilmiştir - “STO BR IBBS-1.1-2007. Bilgi güvenliği denetimi”, “STO BR IBBS-1.2-2010. Kuruluşların bilgi güvenliğine uygunluğu değerlendirme metodolojisi banka sistemi Rusya Federasyonu STO BR IBBS-1.0-2010” ve “RS BR IBBS-2.1-2007 gerekliliklerine uygundur. Rusya Federasyonu bankacılık sistemi kuruluşlarının bilgi güvenliğinin STO BR IBBS-1.0 gerekliliklerine uygunluğunun öz değerlendirmesine ilişkin rehberlik. STO BR IBBS'ye göre uygunluk değerlendirmesi sırasında, 34 grup göstergesinde gruplandırılmış 423 belirli IS göstergesinin yerine getirilmesi kontrol edilir. Değerlendirmenin sonucu, Rusya Merkez Bankası tarafından belirlenen beş puanlık bir ölçekte 4. veya 5. seviyede olması gereken nihai göstergedir. Bu, bu arada, STO BR IBBS'ye göre bir denetimi, bilgi güvenliği alanındaki diğer düzenleyici yasalara göre yapılan bir denetimden çok farklı kılar. STO BR IBBS'de tutarsızlık yoktur, yalnızca uyum düzeyi farklı olabilir: sıfırdan beşe. Ve sadece 4'ün üzerindeki seviyeler pozitif olarak kabul edilir. 2011 sonu itibariyle, bankaların yaklaşık %70-75'i bu standart setini uygulamış veya uygulama sürecindedir. Her şeye rağmen, doğası gereği yasal tavsiye niteliğindedirler, ancak Rusya Merkez Bankası'nın fiili teftiş kontrolleri yakın zamana kadar tam olarak STO BR IBBS'nin gerekliliklerine uygun olarak gerçekleştiriliyordu (bu hiçbir yerde açıkça belirtilmemiş olsa da). Durum, “Ulusal Ödeme Sistemine Dair” kanunun ve Rusya Hükümeti ile Rusya Bankası'nın uygulanması için geliştirilen düzenleyici belgelerinin tam olarak yürürlüğe girdiği 1 Temmuz 2012'den bu yana değişti. O zamandan beri, STO BR IBBS gerekliliklerine uygunluğu denetleme ihtiyacı konusu yeniden gündemde. Gerçek şu ki, ulusal ödeme sistemi (NPS) mevzuatı çerçevesinde önerilen uygunluk değerlendirme metodolojisi ve STO BR IBBS'ye uygunluğu değerlendirme metodolojisi nihai değerlerde büyük farklılıklar gösterebilir. Aynı zamanda, birinci yönteme (NPS için) göre değerlendirme zorunlu hale gelirken, STO BR IBBS'ye göre değerlendirme hala yasal olarak tavsiye niteliğindedir. Ve bu yazıyı yazarken, Rusya Merkez Bankası bu değerlendirmenin gelecekteki kaderi hakkında henüz bir karar vermemişti. Daha önce tüm konular Rusya Bankası Güvenlik ve Bilgi Koruma Ana Müdürlüğünde (GUBZI) birleştiyse, o zaman GUBZI ile Uzlaşma Düzenleme Departmanı (LHH) arasındaki yetki ayrılığı ile sorun hala açık kalır. NPS ile ilgili yasal düzenlemelerin zorunlu bir uygunluk değerlendirmesi, yani bir denetim gerektirdiği zaten açıktır.

Ulusal ödeme sistemine ilişkin mevzuat

NPS ile ilgili mevzuat henüz oluşumunun şafağında ve bilgi güvenliği ile ilgili olanlar da dahil olmak üzere birçok yeni belge bekliyoruz. Ancak, 9 Haziran 2012'de yayınlanan ve onaylanan 382-P Yönetmeliğinin “Para transferleri yaparken bilgi güvenliğini sağlama gereklilikleri ve Rusya Merkez Bankası'nın para transferleri yaparken bilgi güvenliğini sağlama gerekliliklerine uygunluk üzerinde kontrol uygulama prosedürü hakkında”, madde 2.15'te zorunlu bir uygunluk değerlendirmesi, yani bir denetim gerektirdiği açıktır. Bu değerlendirme, bağımsız olarak veya üçüncü tarafların katılımıyla gerçekleştirilir. Yukarıda bahsedildiği gibi, 382-P çerçevesinde gerçekleştirilen uygunluk değerlendirmesi, özünde STO BR IBBS'nin uygunluğunu değerlendirme metodolojisinde açıklanana benzer, ancak farklı sonuçları belirleyen özel düzeltme faktörlerinin getirilmesiyle ilişkili tamamen farklı sonuçlar verir. 382-P sayılı Yönetmelik, denetime katılan kuruluşlar için herhangi bir özel gereklilik oluşturmaz; bu, aynı zamanda her 2 yılda bir bilgi koruma gereksinimlerine uygunluğun kontrolünün ve değerlendirmesinin düzenlenmesini ve yürütülmesini gerektiren 13 Haziran 2012 tarihli ve 584 sayılı "Ödeme sistemindeki bilgilerin korunmasına ilişkin" Hükümet Kararnamesi ile çelişir. Ancak, FSTEC tarafından geliştirilen Hükümet Kararnamesi, dış denetimlerin yalnızca gizli bilgilerin teknik olarak korunması için lisansa sahip kuruluşlar tarafından yapılmasını şart koşmaktadır. Denetim biçimlerinden birine atfedilmesi zor olan ancak bankalara yeni yükümlülükler getiren ek gereklilikler, 382-P Yönetmeliğinin 2.16. bölümünde listelenmiştir. Bu gerekliliklere göre, ödeme sistemi operatörü geliştirmekle yükümlüdür ve bu ödeme sistemine katılan bankalar, ödeme sistemi operatörünü bankadaki çeşitli bilgi güvenliği konuları hakkında düzenli olarak bilgilendirme gerekliliklerine uymakla yükümlüdür: bilgi koruma gerekliliklerine uyum, tespit edilen olaylar, öz değerlendirmeler, tespit edilen tehditler ve güvenlik açıkları hakkında. Sözleşmeye dayalı olarak yürütülen denetime ek olarak, NPS'de FZ-161, Rusya Federasyonu Hükümeti tarafından 584. Kararda ve Rusya Merkez Bankası tarafından 382. Yönetmelikte belirlenen gerekliliklere uyumun sırasıyla FSB FSTEC ve Rusya Merkez Bankası tarafından gerçekleştirildiğini de belirler. 31 Mayıs 2012 tarihli "Ulusal ödeme sistemini izleme prosedürü hakkında" (kredi kurumları için) 380-P sayılı Tüzüğü ve Rusya Merkez Bankası düzenlemelerine uygun olarak kabul edilen 27 Haziran 2011 tarihli 161-FZ "Ulusal Ödeme Sistemine Dair" Tüzüğü yayınlayan Rusya Merkez Bankası'nın aksine, bu yazının yazıldığı sırada ne FSTEC ne de FSB bu tür bir denetimi yürütmek için gelişmiş bir prosedüre sahip değildi. Ulusal ödeme sisteminde bilgi güvenliği alanındaki düzenlemeler, detaylı gelişimin henüz başında. 1 Temmuz 2012'de Rusya Merkez Bankası bunları test etmeye ve kanun uygulama uygulamalarıyla ilgili gerçekleri toplamaya başladı. Bu nedenle, bugün bu düzenlemelerin nasıl uygulanacağı, 380-P kapsamında denetimin nasıl yapılacağı, 2 yılda bir yapılan ve Rusya Merkez Bankası'na gönderilen öz değerlendirme sonuçlarına göre hangi sonuçların çıkarılacağı hakkında konuşmak için erken.

PCI DSS Ödeme Kartı Güvenlik Standardı

Payment Card Industry Data Security Standard (PCI DSS), uluslararası ödeme sistemleri Visa, MasterCard, American Express, JCB ve Discover tarafından oluşturulan Payment Card Industry Security Standards Council (PCI SSC) tarafından geliştirilmiş bir ödeme kartı veri güvenliği standardıdır. PCI DSS standardı, kuruluşların bilgi sistemlerinde iletilen, depolanan ve işlenen ödeme kartı sahiplerine ilişkin verilerin güvenliğini sağlamak için 12 üst düzey ve 200'den fazla ayrıntılı gereksinimden oluşan bir dizidir. Standardın gereklilikleri, uluslararası ödeme sistemleri Visa ve MasterCard ile çalışan tüm şirketler için geçerlidir. İşlenen işlem sayısına bağlı olarak, her şirkete, bu şirketlerin yerine getirmesi gereken karşılık gelen gereksinimlerle birlikte belirli bir seviye atanır. Bu seviyeler ödeme sistemine göre değişiklik göstermektedir. Başarılı denetim, banka güvenliğinde her şeyin yolunda olduğu anlamına gelmez - denetlenen kuruluşun güvenlik sistemindeki bazı eksiklikleri gizlemesine olanak tanıyan birçok hile vardır. PCI DSS standardının gerekliliklerine uygunluğun doğrulanması, zorunlu sertifikasyonun bir parçası olarak gerçekleştirilir; gereklilikler kontrol edilen şirketin türüne göre değişir - mal ve hizmetler için ödeme kartlarını kabul eden bir tüccar veya tüccarlara, alıcı bankalara, ihraççılara vb. hizmet sağlayan bir hizmet sağlayıcı. (işleme merkezleri, ödeme ağ geçitleri vb.). Bu değerlendirme çeşitli şekillerde olabilir:

Nitelikli Güvenlik Değerlendiricileri (QSA) statüsüne sahip akredite şirketler tarafından yapılan yıllık denetimler;
yıllık öz değerlendirme;
Onaylı Tarama Satıcısı (ASV) statüsündeki yetkili kuruluşların yardımıyla ağların üç ayda bir taranması.

kişisel veri mevzuatı

Bankacılık sektörüyle de ilgili olan ve uygunluk değerlendirmesi için gereklilikleri belirleyen en son düzenleyici belge, federal yasa"Kişisel veriler hakkında". Ancak ne böyle bir denetimin şekli, ne sıklığı ne de böyle bir denetim yürüten bir kuruluş için gereklilikler henüz belirlenmemiştir. Belki de bu sorun, kişisel verilerin korunması alanında yeni standartlar getiren Rusya Federasyonu Hükümeti, FSTEC ve FSB belgelerinin bir sonraki bölümünün yayınlanacağı 2012 sonbaharında kaldırılacaktır. Bu esnada bankaların huzur içinde uyuyabilecekleri ve bağımsız olarak kişisel verilerin korunması konularının denetiminin özelliklerini belirlemektedir. Organizasyonun uygulanması üzerinde kontrol ve denetim ve teknik önlemler 152-FZ'nin 19. Maddesi ile kurulan kişisel verilerin güvenliğini sağlamak, FSB ve FSTEC tarafından, ancak yalnızca devlet kişisel veri bilgi sistemleri için gerçekleştirilir. Kanuna göre kişisel verilerin bilgi güvenliğinin sağlanması alanında ticari kuruluşlar üzerinde denetim yapacak kimse bulunmamaktadır. Kişisel veri konularının, yani müşterilerin, karşı tarafların ve sadece banka ziyaretçilerinin haklarının korunması hakkında söylenemez. Bu görev, denetim işlevlerinde çok aktif olan ve bankaları kişisel veriler yasasını en kötü ihlal edenler arasında gören Roskomnadzor tarafından üstlenildi.

Nihai hükümler

Kredi kurumlarıyla ilgili bilgi güvenliği alanındaki ana düzenleyici işlemler yukarıda tartışılmaktadır. Bu düzenlemelerin birçoğu vardır ve her biri, anket doldurma şeklindeki öz değerlendirmeden (PCI DSS) iki yılda bir (382-P) veya yılda bir (ISO 27001) zorunlu denetimden geçmeye kadar, şu veya bu şekilde uygunluk değerlendirmesi yapmak için kendi gerekliliklerini belirler. Bu en yaygın uyumluluk değerlendirmesi biçimleri arasında başkaları da vardır - ödeme sistemi operatörü bildirimleri, üç aylık taramalar vb. Ülkenin hala eksik olduğunu hatırlamaya ve anlamaya değer. tek sistem yalnızca kuruluşların ve bilgi teknolojisi sistemlerinin bilgi güvenliği denetim süreçlerinin devlet düzenlemesi hakkında değil, aynı zamanda genel olarak bilgi güvenliği denetimi konusu hakkında da görüşler. Rusya Federasyonu'nda bilgi güvenliğinden sorumlu çok sayıda departman ve kuruluş (FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC, vb.) bulunmaktadır. Ve hepsi kendi düzenlemeleri ve yönergeleri temelinde çalışır. Farklı yaklaşımlar, farklı standartlar, farklı olgunluk seviyeleri… Bütün bunlar oyunun tek tip kurallarının oluşmasını engelliyor. Resim, bilgi güvenliği gereksinimlerine uygunluğu değerlendirme alanında çok düşük kaliteli hizmetler sunan, kâr peşinde koşan bir günlük firmaların ortaya çıkmasıyla da bozuluyor. Ve durumun daha iyiye doğru değişmesi pek olası değil. Bir ihtiyaç olduğunda, onu karşılamak isteyenler olacaktır, oysa herkes için yeterli sayıda kalifiye denetçi yoktur. Az sayıda (tabloda gösterilmiştir) ve denetimin birkaç haftadan birkaç aya kadar olan süresi ile, denetim ihtiyaçlarının denetçilerin yeteneklerini ciddi şekilde aştığı açıktır. FSTEC tarafından hiçbir zaman benimsenmeyen “Bilgi Teknolojisi Sistemleri ve Kuruluşlarının Bilgi Güvenliği Denetimi Konsepti”nde şu ibare yer alıyordu: “Aynı zamanda, gerekli ulusal düzenleyicilerin yokluğunda, bu tür faaliyetler / özel firmalar tarafından kanunla düzenlenmemiş bir denetimde / kuruluşlara onarılamaz zararlar verebilir." Sonuç olarak, Konseptin yazarları, denetim yaklaşımlarını birleştirmeyi ve denetçilerin akreditasyon kuralları, nitelikleri için gereklilikler, denetim prosedürleri vb. dahil olmak üzere oyunun kurallarını yasal olarak oluşturmayı önerdi, ancak işler hala orada. Bilgi güvenliği alanındaki yerel düzenleyicilerin (ve bizde 9 tane var) bilgi güvenliği konularına gösterdiği dikkat göz önüne alındığında (yalnızca geçen takvim yılında, bilgi güvenliği konularıyla ilgili 52 düzenleme kabul edildi veya geliştirildi - haftada bir düzenleme!), Bu konunun yakında tekrar ele alınacağını göz ardı etmiyorum.

BİLGİ GÜVENLİĞİ DENETİM STANDARTLARI

Bu koşullarda, ne yazık ki, Rusya'da bir bankanın bilgi güvenliği denetiminin ana hedefinin - faaliyetlerine olan güveni artırmak - ulaşılamaz olduğunu kabul etmek zorundayız. Bankamızın müşterilerinin çok azı bankanın güvenliğine veya bankada yapılan denetimin sonuçlarına dikkat etmektedir. Bankaya (veya hissedarlarına ve sahiplerine) ciddi maddi hasara yol açan çok ciddi bir olay olması durumunda veya yukarıda gösterildiği gibi çok şeyimiz olan yasal gereklilikler durumunda denetime başvuruyoruz. Ve önümüzdeki altı ay boyunca, bir güvenlik denetimine dikkat etmeye değer olan 1 numaralı gereklilik, Bank of Russia 382-P'nin hükmüdür. Merkez Bankası'nın bölgesel departmanlarından bankaların korunma düzeyi ve 382-P gerekliliklerine uygunluk hakkında bilgi talep etmenin ilk emsalleri zaten var ve bu bilgiler tam olarak bir dış denetim veya öz değerlendirme sonucunda elde ediliyor. İkinci sırada, "Kişisel Verilere İlişkin" kanunun gerekliliklerine uygunluk denetimini koyardım. Ancak böyle bir denetim, FSTEC ve FSB tarafından vaat edilen tüm belgelerin yayınlanacağı ve STO BR IBBS'nin kaderi netleşene kadar bahara kadar yapılmamalıdır. Ardından, STO BR IBBS gerekliliklerine uygunluk denetimi yapma konusunu gündeme getirmek mümkün olacaktır. Yalnızca Rusya Merkez Bankası belge setinin geleceği değil, aynı zamanda benzer, ancak yine de mükemmel 382-P ile ilgili durumu ve ayrıca STO BR IBBS'nin kişisel verilerin korunmasına ilişkin konuları hâlâ kapsayıp kapsamayacağı şimdiden netleşecek. Başarılı denetim, banka güvenliğinde her şeyin yolunda olduğu anlamına gelmez - denetlenen kuruluşun güvenlik sistemindeki bazı eksiklikleri gizlemesine olanak tanıyan birçok hile vardır. Ve çoğu, denetçilerin niteliklerine ve bağımsızlığına bağlıdır. Geçmiş yılların deneyimi, uyumluluk denetimini başarıyla geçen kuruluşlarda bile PCI standartları DSS, ISO 27001 veya STO BR IBBS, olaylar ve ciddi olaylar var.

UZMAN GÖRÜŞÜ

AMT-GROUP Denetim ve Danışmanlık Departmanı Başkanı Dmitry Markin:

Yakın zamana kadar, Rusya mevzuatı çerçevesinde kredi kurumları için IS durumunun zorunlu denetiminden geçme konuları, PD'nin güvenliğini sağlamak için alınan önlemler üzerindeki iç kontrol açısından yalnızca Federal Kanun-152 "Kişisel Veriler Hakkında" ve ayrıca Rusya Federasyonu Merkez Bankası'nın 242-P sayılı "Kredi kurumlarında ve bankacılık gruplarında iç kontrolün organizasyonu hakkında" Yönetmeliği ile düzenleniyordu. Ayrıca, 242-P sayılı Yönetmelik gerekliliklerine uygun olarak, bilgi güvenliği sağlanmasına yönelik özel gerekliliklere atıfta bulunulmaksızın, kredi kuruluşunun dahili belgeleri tarafından bağımsız olarak bilgi güvenliği sağlanmasının izlenmesi prosedürü belirlenir. Ödeme sistemindeki bilgilerin korunmasına ilişkin gereklilikleri tanımlayan Federal Yasa-161 "Ulusal Ödeme Sistemi Hakkında" 27. Maddesinin yürürlüğe girmesiyle bağlantılı olarak, 584 sayılı "Ödeme sisteminde bilgilerin korunmasına ilişkin Yönetmeliğin onaylanması hakkında" Rusya Federasyonu Hükümeti Kararı ve 382-P sayılı Rusya Federasyonu Merkez Bankası Yönetmeliği yayınlandı. 584 sayılı Kararname ve 382-P sayılı Yönetmelik gerekliliklerine göre, ödeme sistemindeki bilgilerin korunması, bu düzenleyici kanunların gerekliliklerine ve ödeme sistemi operatörleri tarafından ödeme sistemleri kurallarında yer verilen gerekliliklere uygun olarak yapılmalıdır. Buradaki kilit nokta, ödeme sistemi operatörlerinin (örneğin, Visa ve MasterCard) bilgi koruması için gereklilikleri bağımsız olarak belirleme hakkının ulusal mevzuat düzeyinde birleştirilmesidir. 382-P sayılı Yönetmelik ayrıca, kredi kurumlarının IS gerekliliklerine uyumu en az 2 yılda bir değerlendirme yükümlülüğünü belirtir, uygunluğu değerlendirme metodolojisini, denetim kriterlerini ve sonuçlarını belgeleme prosedürünü açıkça tanımlar. Kanaatimizce, yukarıdaki düzenlemelerin ortaya çıkışı, önde gelen uluslararası ödeme sistemleri Visa ve MasterCard'ın katılımıyla geliştirilen PCI DSS 2.0 ödeme kartı sektörü veri güvenliği standardının gerekliliklerine göre sertifika alan kredi kuruluşlarının istatistiklerini artırmalıdır.

Birçok iş adamı, firmalarının sırrını bir sır olarak saklamaya çalışır. Avluda bir asır olduğundan beri yüksek teknoloji, bunu yapmak oldukça zordur. Neredeyse herkes kendini kurumsal ve kişisel bilgilerin sızmasından korumaya çalışıyor, ancak bir profesyonelin gerekli verileri bulmasının zor olmayacağı bir sır değil. Şu anda, bu tür saldırılara karşı koruma sağlayan epeyce yöntem var. Ancak böyle bir güvenlik sisteminin etkinliğini kontrol etmek için bilgi güvenliği denetimi yapmak gerekir.

Denetim nedir?

"Denetim Faaliyetleri Hakkında" Federal Yasasına göre, bir denetim şunları içerir: çeşitli metodlar ve yöntemler ve pratik uygulamaçekler. Bir işletmenin bilgi güvenliği ile ilgili olarak, sistemin durumunun ve ayrıca belirlenen gerekliliklere uygunluk seviyesinin bağımsız bir değerlendirmesidir. Muhasebe ile ilgili sınavlar yapılır ve vergi bildirimi, ekonomik destek ve finansal ve ekonomik faaliyetler.

Böyle bir kontrol neden gerekli?

Bazıları bu tür faaliyetleri para kaybı olarak görüyor. Ancak bu sektördeki sorunların zamanında tespiti ile daha da büyük ekonomik kayıpların önüne geçilebilir. Bir bilgi güvenliği denetiminin amaçları şunlardır:

koruma seviyesinin belirlenmesi ve gerekli seviyeye getirilmesi;
kuruluşun gizliliğinin sağlanması açısından mali konunun çözülmesi;
bu sektöre yatırım yapmanın fizibilitesini göstermek;
güvenlik maliyetlerinden maksimum faydayı elde etmek;
iç güçlerin etkinliğinin, kontrol araçlarının ve bunların işin yürütülmesine yansımasının teyidi.

İşletmede bilgi güvenliği nasıl kontrol edilir?

Kapsamlı bir bilgi güvenliği denetimi birkaç aşamada gerçekleşir. Süreç örgütsel ve araçsal olarak ayrılmıştır. Kompleksin her iki bölümü çerçevesinde müşterinin kurumsal bilgi sisteminin güvenliği incelenir ve ardından belirlenen norm ve gereksinimlere uygunluk belirlenir. Bir bilgi güvenliği denetiminin yürütülmesi aşağıdaki aşamalara ayrılır:

Müşteri gereksinimlerinin ve iş kapsamının belirlenmesi.
Gerekli materyalleri incelemek ve sonuçlar çıkarmak.
Olası risklerin analizi.
Yapılan işe ilişkin bilirkişi görüşü ve uygun kararın verilmesi.

Bilgi güvenliği denetiminin ilk aşamasına neler dahildir?

Bilgi güvenliği denetim programı, tam olarak müşterinin ihtiyaç duyduğu iş kapsamının netleştirilmesiyle başlar. Müşteri, uzman değerlendirmesi için başvurduğu görüşünü ve amacını ifade eder.

Bu aşamada, müşteri tarafından sağlanan genel verilerin doğrulanması zaten başlar. Kullanılacak yöntemleri ve planlanan faaliyetler dizisini açıklar.

Bu aşamadaki asıl görev, belirli bir hedef belirlemektir. Müşteri ve denetimi yapan kuruluş birbirini anlamalı, ortak bir görüş üzerinde anlaşmalıdır. Bundan sonra ilgili uzmanların seçildiği bir komisyon oluşturulur. Gerekli görev tanımları ayrıca müşteri ile ayrıca kararlaştırılır.

Görünüşe göre bu olay, yalnızca bilgi saldırılarına karşı koruma sağlayan sistemin durumunu özetlemelidir. Ancak kontrolün nihai sonuçları farklı olabilir. Bazıları ilgileniyor full bilgi müşterinin şirketinin ve diğerlerinin koruyucu ekipmanının çalışması hakkında - yalnızca bireysel bilgi teknolojisi hatlarının verimliliği. Yöntem ve değerlendirme araçlarının seçimi gereksinimlere bağlıdır. Hedef belirleme, uzman komisyonunun çalışmalarının bundan sonraki seyrini de etkiler.

Bu arada, çalışma grubu iki kuruluştan uzmanlardan oluşur - denetimi yapan şirket ve denetlenen kuruluşun çalışanları. Ne de olsa, ikincisi, hiç kimse gibi, kurumlarının inceliklerini bilir ve kapsamlı bir değerlendirme için gerekli tüm bilgileri sağlayabilir. Ayrıca, yürütücü şirketin çalışanlarının çalışmaları üzerinde bir tür kontrol yürütürler. Denetim sonuçları oluşturulurken onların görüşleri de dikkate alınır.

İşletmenin bilgi güvenliği denetimini yürüten firmanın uzmanları, konu alanlarını inceler. Uygun nitelik seviyesine sahip olmanın yanı sıra bağımsız ve tarafsız bir görüşe sahip olanlar, koruyucu ekipmanın çalışma durumunu daha doğru bir şekilde değerlendirebilirler. Uzmanlar, planlanan iş planı ve görevlere uygun olarak faaliyetlerini yürütürler. Teknik süreçleri geliştirir ve elde edilen sonuçları kendi aralarında koordine ederler.

Görev tanımı, denetçi şirketin çalışmalarının hedeflerini açıkça belirler, uygulama yöntemlerini belirler. Ayrıca denetimin zamanlamasını da açıklamıştır, hatta her aşamanın kendi dönemi olması da mümkündür.

Bu aşamada denetlenen kurumun güvenlik servisi ile de iletişim kurulur. Firma-denetçisi, denetim sonuçlarını ifşa etmeme yükümlülüğü getirir.

İkinci aşama nasıl uygulanır?

İşletmenin bilgi güvenliği denetiminin ikinci aşamasında, değerlendirme için gerekli bilgilerin ayrıntılı bir şekilde toplanması yer alır. Başlamak için, gizlilik politikasının uygulanmasını amaçlayan genel bir dizi önlem düşünülür.

Artık verilerin çoğu elektronik biçimde veya genel olarak çoğaltıldığından, şirket faaliyetlerini yalnızca bilgi teknolojisi yardımıyla yürütür, ardından yazılım. Fiziksel güvenliğin sağlanması da analiz edilmektedir.

Bu aşamada uzmanlar kurum içinde bilgi güvenliğinin nasıl sağlandığını ve denetlendiğini ele alıp değerlendirmekle meşgul olurlar. Bunu yapmak için, koruma sisteminin çalışmalarının organizasyonu ve ayrıca analiz edilebilir. Tekniksel kabiliyetler ve sağlanması için koşullar. Dolandırıcılar genellikle teknik kısımda korumada delikler bulduklarından, son noktaya özellikle dikkat edilir. Bu sebeple aşağıdaki hususlar ayrı ayrı ele alınmaktadır:

yazılım yapısı;
sunucu yapılandırması ve ağ cihazları;
gizlilik mekanizmaları.

Bu aşamada işletmenin bilgi güvenliği denetimi, yapılan çalışmaların sonuçlarının bir rapor halinde özetlenmesi ve ifade edilmesi ile sona erer. Denetimin sonraki aşamalarının uygulanmasına temel teşkil eden belgelenmiş sonuçlardır.

Olası riskler nasıl analiz edilir?

Kuruluşların bilgi güvenliği denetimi de kimlik tespiti amacıyla yapılmaktadır. gerçek tehditler ve sonuçları. Bu aşamanın sonunda, bilgi saldırılarını önleyecek veya en azından olasılığını en aza indirecek önlemlerin bir listesi oluşturulmalıdır.

Gizlilik ihlallerini önlemek için bir önceki adımın sonunda alınan raporun analiz edilmesi gerekmektedir. Bu sayede, firmanın alanına gerçek bir saldırının mümkün olup olmadığını belirlemek mümkündür. Mevcut teknik koruyucu ekipmanın güvenilirliği ve performansı hakkında bir karar verilir.

Tüm kuruluşların farklı çalışma alanları olduğundan, güvenlik gereksinimleri listesi aynı olamaz. Denetlenen kurum için kişi bazında bir liste oluşturulur.

Bu aşamada, zayıflıklar da belirlenir, müşteriye potansiyel saldırganlar ve yaklaşan tehditler hakkında veriler sağlanır. İkincisi, hangi taraftan kirli bir numara bekleyeceğinizi bilmek ve buna daha fazla dikkat etmek için gereklidir.

Ekspertiz komisyonunun çalışmalarının sonuçlarının ve yeniliklerin ne kadar etkili olacağını müşterinin bilmesi de önemlidir.

Muhtemel risklerin analizi aşağıdaki hedefleri takip eder:

bilgi kaynaklarının sınıflandırılması;
iş akışının savunmasız anlarının belirlenmesi;
olası bir dolandırıcının prototipini oluşturmak.

Analiz ve denetim, bilgi saldırılarının ne kadar başarılı olduğunu belirlemenizi sağlar. Bunu yapmak için, zayıflıkların kritikliği ve bunları yasa dışı amaçlar için kullanma yolları değerlendirilir.

Denetimin son aşaması nedir?

Son aşama, çalışmanın sonuçlarının yazılı sunumu ile karakterize edilir. Ortaya çıkan belgeye denetim raporu denir. Denetlenen şirketin genel güvenlik düzeyi hakkındaki sonucu pekiştirir. Ayrı olarak, bilgi teknolojisi sisteminin güvenlikle ilgili etkinliğinin bir açıklaması vardır. Rapor ayrıca potansiyel tehditler hakkında rehberlik sağlar ve olası bir saldırganın modelini açıklar. Ayrıca, iç ve dış faktörler nedeniyle yetkisiz izinsiz giriş olasılığını da öngörür.

Bilgi güvenliği denetim standartları, sadece durumun değerlendirilmesini değil, gerekli önlemlerin alınması konusunda uzman komisyona tavsiyelerde bulunulmasını da sağlar. Karmaşık işleri yürüten, bilgi altyapısını analiz eden, bilgi hırsızlığına karşı korunmak için yapılması gerekenleri söyleyebilen uzmanlardır. Güçlendirilmesi gereken yerleri gösterecekler. Uzmanlar rehberlik ediyor teknolojik destek, yani donanım, sunucular ve güvenlik duvarları.

Öneriler, ağ cihazlarının ve sunucuların yapılandırmasında yapılması gereken değişikliklerdir. Belki de talimatlar, güvenliği sağlamak için seçilen yöntemlerle doğrudan ilgili olacaktır. Gerekirse, uzmanlar koruma sağlayan mekanizmaları daha da güçlendirmeyi amaçlayan bir dizi önlem önereceklerdir.

Şirket ayrıca özel açıklayıcı çalışmalar yapmalı, gizliliğe yönelik bir politika geliştirmelidir. Belki de güvenlik hizmetiyle ilgili reformlar yapılmalıdır. Önemli bir nokta, şirketin güvenliği ile ilgili hükümleri pekiştirmekle yükümlü olan düzenleyici ve teknik temeldir. Takıma uygun şekilde talimat verilmelidir. Etki alanları ve atanan sorumluluk tüm çalışanlar arasında paylaştırılmıştır. Uygunsa, ekibin bilgi güvenliği ile ilgili eğitimini geliştirmek için bir kurs düzenlemek daha iyidir.

Denetim türleri nelerdir?

Kurumsal bilgi güvenliği denetimi iki tür olabilir. Bu sürecin kaynağına bağlı olarak, aşağıdaki türler ayırt edilebilir:

dış biçim. Tek kullanımlık olması bakımından farklıdır. İkinci özelliği ise bağımsız ve tarafsız uzmanlar tarafından üretilmiş olmasıdır. Tavsiye niteliği taşıyorsa, kurum sahibinin emriyle üretilir. Bazı durumlarda, dış denetim zorunludur. Bu, organizasyonun türünden kaynaklanabileceği gibi olağanüstü durumlardan da kaynaklanabilir. İkinci durumda, böyle bir kontrolün başlatıcıları, kural olarak, kolluk kuvvetleridir.
İç şekil. Bir denetimin yürütülmesini öngören özel bir hükme dayanmaktadır. Sistemi sürekli olarak izlemek ve güvenlik açıklarını belirlemek için bilgi güvenliğinin iç denetimi gereklidir. Belirli bir zaman diliminde gerçekleştirilen faaliyetlerin bir listesidir. Bu iş için çoğunlukla özel bir departman veya yetkili bir çalışan kurulur. Koruyucu ekipmanın durumunu teşhis eder.

Aktif denetim nasıl yapılır?

Müşterinin izlediği amaca bağlı olarak bilgi güvenliği denetim yöntemleri de seçilir. Güvenlik seviyesini incelemenin en yaygın yollarından biri aktif denetimdir. Gerçek bir hacker saldırısının sahnelenmesidir.

Bu yöntemin avantajı, bir tehdit olasılığını olabildiğince gerçekçi bir şekilde simüle etmenize izin vermesidir. Aktif denetim sayesinde benzer bir durumun hayatta nasıl gelişeceğini anlayabilirsiniz. Bu yöntem aynı zamanda enstrümantal güvenlik analizi olarak da adlandırılır.

Aktif denetimin özü, bilgi sistemine izinsiz girme girişiminin (özel yazılım yardımıyla) uygulanmasıdır. Bu durumda, koruyucu ekipman tam olarak hazır durumda olmalıdır. Bu sayede çalışmalarını böyle bir durumda değerlendirmek mümkündür. Yapay bir hacker saldırısı gerçekleştiren kişiye minimum bilgi sağlanır. En gerçekçi koşulları yeniden yaratmak için bu gereklidir.

Mümkün olduğu kadar sistemi boyunduruk altına almaya çalışıyorlar. Daha saldırılar. Farklı yöntemler kullanarak, sistemin en duyarlı olduğu bilgisayar korsanlığı yöntemlerini değerlendirmek mümkündür. Bu, elbette, bu işi yapan uzmanın niteliklerine bağlıdır. Ancak eylemleri herhangi bir yıkıcı nitelikte olmamalıdır.

Sonuçta uzman, sistemin zayıf noktaları ve en erişilebilir bilgiler hakkında bir rapor oluşturur. Ayrıca, güvenliğin gerekli düzeye çıkarılmasını sağlayacak olası yükseltmeler için öneriler sunar.

Uzman denetimi nedir?

Firmanın belirlenen gerekliliklere uygunluğunu belirlemek için bir bilgi güvenliği denetimi de yapılır. Böyle bir görevin bir örneği uzman yönteminde görülebilir. Orijinal verilerle karşılaştırmalı bir değerlendirmeden oluşur.

Koruyucu ekipmanların bu ideal çalışması çeşitli kaynaklara dayandırılabilir. Müşterinin kendisi taleplerde bulunabilir ve görevler belirleyebilir. Bir şirket yöneticisi, kuruluşunun güvenlik seviyesinin istenen seviyeden ne kadar uzakta olduğunu bilmek isteyebilir.

Karşılaştırmalı bir değerlendirmenin yapılacağı prototip, genel olarak kabul görmüş dünya standartları olabilir.

"Denetim Hakkında" Federal Yasasına göre, yüklenici, ilgili bilgileri toplama ve bilgi güvenliğini sağlamak için mevcut önlemlerin yeterliliği hakkında bir sonuca varma konusunda yeterli yetkiye sahiptir. Düzenleyici belgelerin tutarlılığı ve çalışanların koruyucu ekipmanın çalıştırılmasına ilişkin eylemleri de değerlendirilir.

Uygunluk kontrolü nedir?

Bu tür, özü aynı zamanda karşılaştırmalı bir değerlendirme olduğu için öncekine çok benzer. Ancak yalnızca bu durumda, ideal prototip soyut bir kavram değil, düzenleyici ve teknik belgelerde ve standartlarda yer alan açık gereksinimlerdir. Bununla birlikte, şirketin gizlilik politikası tarafından belirlenen düzeye uygunluk derecesini de belirlemektedir. Bu noktaya yazışma olmadan, daha fazla çalışma hakkında konuşmak imkansızdır.

Çoğu zaman, bu tür bir denetim, kuruluştaki güvenlik sistemini onaylamak için gereklidir. Bu, bağımsız bir uzmanın görüşünü gerektirir. Burada sadece koruma düzeyi değil, aynı zamanda kabul görmüş kalite standartlarına uygunluğu da önemlidir.

Bu nedenle, bu tür bir prosedürü gerçekleştirmek için, icracıya karar vermeniz ve ayrıca kendi ihtiyaç ve yeteneklerinize göre bir dizi amaç ve hedefi vurgulamanız gerektiği sonucuna varabiliriz.