정보 보안 감사 : 목적, 방법 및 도구, 예. 은행의 정보 보안 감사

오늘, 모두가 세상을 소유하고, 정보를 소유하고있는 거의 신성한 문구를 알고있다. 훔치기 위해 우리의 시간에 이유입니다 기밀 정보를 모든 잡다한에 노력하고 있습니다. 이러한 점에서, 새로운 단계 가능한 공격에 대한 보호 수단의 구현을 수행. 그러나, 때로는 기업 정보 보안 감사를 수행해야 할 수 있습니다. 무엇을하고 왜 지금 모든 것을, 그리고 이해하려고합니다.

일반적인 정의에 정보 보안 감사는 무엇입니까?

누가 난해한 과학 용어에 영향을 주며 (이하 "인형"것이 감사 호출 할 수있는 사람을) 가장 간단한 언어를 설명, 자신에 대한 기본 개념을 결정하기 위해 시도하지 않습니다.

복잡한 이벤트의 이름은 명백해. 정보 보안 감사는 독립적 인 검증 또는이다 피어 리뷰 특별히 개발 된 기준과 지표에 근거하여 어떤 회사, 기관 또는 조직의 정보 시스템 (IS)의 보안을 보장하기 위해.

간단히 말해, 예를 들어, 외부 기관 승인되지 않은 사람의 활동에 간섭의 경우 전자 화폐의 안전, 은행 비밀의 보전, 등등. D.을 사용하여 은행 업무가 보유한 고객 데이터베이스의 보호 수준을 평가하기 위해, 아래로 비등 은행의 정보 보안 감사 전자 및 컴퓨터 시설을 갖추고 있습니다.

물론, 독자 중 대출이나 예금, 그것은 아무 상관이있는 은행을 처리하는 제안에 가정이나 휴대 전화라고 적어도 한 사람이있다. 같은 구매에 적용되며 일부 점포에서 제공합니다. 어디서 당신의 방에서 등장?

그것은 간단합니다. 사람이 이전에 대출을했다거나 예금 계좌에 투자하면, 물론, 그 데이터는 일반에 저장되어있는 고객 기반. 다른 은행이나 상점에서 호출하면 하나의 결론이 될 수 있습니다 : 그것은에 대한 정보를 제 3 자에게 불법으로왔다. 어떻게? 일반적으로 두 가지 옵션이 있습니다 : 하나 그것은 도난, 또는 의식적으로 제삼자에게 은행의 직원들에게 전달했다. 위해서는 이러한 일이 발생하지 않았고, 당신은 은행의 정보 보안 감사를 수행 할 시간이 필요하고,이뿐만 아니라 컴퓨터 나 보호의 "철"의미하지만 기관의 전체 직원에게 적용하십시오.

정보 보안 감사의 주요 방향

감사의 범위에 관해서는, 원칙적으로, 그들은 몇 가지 있습니다 :

• 정보의 처리에 관련된 오브젝트의 전체 검사 (컴퓨터 자동화 시스템, 통신, 수신 정보의 전송 및 처리 시설, 비밀 회의 소재지, 감시 등을 의미);
• 제한된 액세스 기밀 정보의 보호의 신뢰성을 검사 (누출 표준 및 비 - 표준 방법을 사용하여, 외부로부터의 액세스를 허용하는 구멍이 잠재적 보안 채널을 결정);
• 그들이 끄거나 파손으로 가져올 수 있도록 전자파 간섭에 노출에 대한 모든 전자 하드웨어 및 로컬 컴퓨터 시스템의 확인;
• 그것의 실제 구현의 생성 및 보안의 개념의 응용 프로그램에 대한 작업을 포함 프로젝트 부분 (컴퓨터 시스템, 시설, 통신 시설 등의 보호).

이 감사에 올 때?

방어가 이미 조직의 정보 보안 감사를 수행 할 수 파괴하고, 다른 경우에 한 중요한 상황을 언급 할 필요가 없을 것입니다.

일반적으로 이러한 다른 회사로 회사의 확장, 합병, 인수, 인수를 포함, 비즈니스 개념이나 지침, 국가 내 국제 법에 대한 법률 또는 법률의 변화, 정보 인프라 오히려 심각한 변화의 과정을 변경합니다.

감사의 종류

오늘날, 많은 분석가와 전문가에 따르면 감사의이 유형의 매우 분류는 확립되지 않습니다. 따라서, 어떤 경우에는 클래스로 분할은 매우 임의적 일 수 있습니다. 그럼에도 불구하고, 일반적으로 정보 보안의 감사는 외부와 내부로 나눌 수 있습니다.

할 수있는 권리가 독립적 인 전문가에 의해 수행 외부 감사는 일반적으로 관리, 주주, 법 집행 기관 등으로 개시 될 수있다 한 번 확인한다 정보 보안의 외부 감사 권장 (필수 사항은 아님) 시간의 집합 기간 동안 정기적으로 수행되는 것으로 생각된다. 그러나 일부 단체와 기업을위한 법률에 따르면, 필수입니다 (예를 들어, 금융 기관 및 단체, 주식 회사, 그리고 다른 사람을 위해.).

내부 감사 정보 보안은 지속적인 과정이다. 그것은 특별한 "내부 감사에 관한 규정"을 기반으로합니다. 그것은 무엇입니까? 사실,이 인증 활동 관리 승인 측면에서, 조직에서 수행. 기업의 특수한 구조 세분화하여 정보 보안 감사.

감사의 대체 분류

일반적인 경우에 클래스로 전술 부문 외에, 우리는 국제 분류에 만든 여러 구성 요소를 구별 할 수 있습니다 :

• 전문가는 전문가의 개인적인 경험, 그 전도의 기초 정보 보안 및 정보 시스템의 상태를 확인하는 단계;
• 국제 표준 (ISO 17799) 및 활동의이 분야 규제 국가 법적 장치 준수에 대한 인증 시스템 및 보안 조치;
• 소프트웨어 및 하드웨어 단지의 잠재적 취약성을 식별하기위한 기술적 수단의 사용과 정보 시스템의 보안 분석.

때로는 적용하고 위의 모든 유형을 포함하는 소위 종합 감사 할 수 있습니다. 그런데, 그는 가장 객관적인 결과를 제공합니다.

단계적 목표와 목적

모든 검증은 내부 또는 외부 여부, 목적과 목표를 설정 시작합니다. 간단하게 말해서, 당신은 왜, 테스트 방법 및이 무엇인지를 결정해야한다. 이 전체 과정을 수행하는 추가적인 절차를 결정합니다.

기업, 조직, 기관 및 그 활동의 구체적인 구조에 따라 작업은 꽤 많이 할 수 있습니다. 그러나, 모든이 릴리스 가운데, 정보 보안 감사의 통일 목표 :

• 정보 보안 및 정보 시스템의 상태 평가;
• 외부 IP와 간섭의 가능한 양상으로 침투의 위험과 관련된 가능한 위험 분석;
• 보안 시스템의 구멍의 간극 제이션;
• 현재 표준 및 규제 및 법적 행위에 대한 정보 시스템의 보안을 적절한 수준의 분석;
• 개발 및 기존 문제의 제거뿐만 아니라 개선 기존 치료의 새로운 발전의 도입을 포함하는 권고의 배달.

방법론 및 감사 도구

이제 어떤 단계와 의미 체크 및 그것을 포함하는 방법에 대한 몇 마디.

정보 보안 감사는 여러 단계로 구성된다 :

• 검증 절차 시작 (감사의 권한과 책임의 명확한 정의를, 감사는 계획의 준비 및 관리와의 조정을 확인, 연구의 경계의 문제는, 조직 헌신의 구성원에 부과 신경 및 관련 정보를 적시에 제공하기 위해);
• 초기 데이터 (보안 구조, 보안 기능의 분포를 취득하고, 통신 채널과 다른 구조를 갖는 IP 상호 작용, 컴퓨터 네트워크의 사용자의 계층 구조, 결정 프로토콜 등의 정보를 판별을 제공하는 시스템의 성능 분석 방법의 보안 수준) 수집하는 단계;
• 종합 또는 부분 검사를 실시;
• 데이터 분석 (모든 유형 및 준수의 위험 분석);
• 권고 사항을 발행하는 것은 잠재적 인 문제를 해결하기 위해;
• 보고서 생성.

결정은 회사의 관리 및 감사 사이에만 이루어지기 때문에 첫 번째 단계는 가장 간단하다. 분석의 경계는 직원 또는 주주 총회에서 고려 될 수있다. 모든 이것과 더 법률 분야에 관한.

이 보안 정보 또는 외부 독립 인증 내부 감사인지 초기 데이터 수집의 두 번째 단계가 가장 자원 집약적이다. 이이 단계에서 모든 하드웨어 및 소프트웨어에 관한 기술 문서를 검토 할뿐만 아니라 필요하지만 또한 좁은-인터뷰를하기 위해 회사의 직원이 때문이다, 심지어 특별한 설문 조사 또는 설문 조사를 작성 대부분의 경우이다.

기술 문서에 관해서는,은 IP의 구조와 직원에 대한 액세스 권한의 우선 순위 레벨에서 데이터를 얻기 위해 전체 시스템 및 응용 프로그램 소프트웨어 (운영 체제, 비즈니스, 경영 및 회계 용 응용 프로그램)뿐만 아니라 소프트웨어를 보호하는 기존의 방법을 파악하는 것이 중요하다 비 프로그램 타입 (안티 바이러스 소프트웨어, 방화벽 등). 또한, 이것은 (정보 흐름의 네트워크 조직, 연결에 사용되는 프로토콜, 통신 채널의 종류, 송신 및 수신 방법, 등) 네트워크 및 통신 서비스 제공자의 전체 검증을 포함한다. 알 수있는 바와 같이, 그것은 시간이 많이 걸립니다.

다음 단계에서, 정보 보안 감사의 방법. 그들은 세 가지이다 :

• 합니다 (IP 침해의 침투 가능한 모든 방법과 도구를 사용하여 무결성에 대한 감사의 결정에 따라 가장 어려운 기술) 위험 분석;
• 표준 및 법령 (업무의 현재 상태의 비교 및 국제 표준과 정보 보안 분야에서 국내 문서의 요구 사항에 따라 가장 간단하고 실용적인 방법) 준수의 평가;
• 처음 두 조합 합성 방법.

그들의 분석의 검증 결과를받은 후. 기금 감사 정보 보안의 분석에 사용되는, 상당히 변화 될 수있다. 그것은 모든 기업, 정보의 종류, 사용하는 소프트웨어, 보호 및 첫 번째 방법에서 볼 수 있듯이 등등. 그러나 감사는 주로 자신의 경험에 의존해야의 특성에 따라 달라집니다.

그리고는이 정보 기술 및 데이터 보호 분야의 정규화해야한다는 것을 의미합니다. 이 분석, 감사에 기초하여 가능한 위험을 계산합니다.

이 비즈니스 또는 회계, 운영 체제 또는 예를 들어, 사용하는 프로그램에서뿐만 아니라 처리해야하지만, 또한 공격자가 도난, 손상 및 데이터의 파괴, 위반에 대한 전제 조건의 창조의 목적을 위해 정보 시스템에 침투 할 수있는 방법을 명확하게 이해하고 있습니다 컴퓨터에서 바이러스 나 악성 코드의 확산.

감사 결과 및 문제를 해결하기위한 권장 사항 평가

분석을 바탕으로 전문가는 보호 상태에 대한 결론 및 기존 또는 잠재적 인 문제를 해결하기위한 권장 사항, 보안 업그레이드 등을 제공합니다 권장 사항은 공정하게, 또한 명확하게 기업 특성의 현실에 연결해서는 안된다. 즉, 컴퓨터 또는 소프트웨어의 구성을 업그레이드에 대한 팁은 허용되지 않습니다. 이 동등하게 목적지, 위치 및 적합성을 지정하지 않고 "신뢰할 수없는"사람, 새로운 추적 시스템을 설치의 해고의 조언에 적용됩니다.

분석을 바탕으로, 원칙적으로, 여러 가지 위험 그룹이 있습니다. 이 경우, 요약 보고서는 두 가지 핵심 지표를 사용하여 컴파일 : (. 자산의 손실, 평판의 감소, 등등 이미지의 손실) 공격의 가능성과 그 결과로 회사에 피해를. 그러나, 그룹의 성능은 동일하지 않습니다. 예를 들어, 공격의 가능성에 대한 낮은 수준의 표시등이 최고입니다. 반대로 - 손해하십시오.

그런 다음에야 모든 단계, 방법 및 연구의 수단을 그린 자세한 사항 보고서를 컴파일. 그는 리더십에 동의하고 양측이 서명 - 회사와 감사를. 경우 감사 내부 보고서 그가, 다시 머리가 서명 한 후 각각의 구조 단위의 머리입니다.

정보 보안 감사 : 예

마지막으로, 우리는 이미 일어난 상황의 간단한 예를 고려해보십시오. 많은, 그런데, 아주 익숙한 것처럼 보일 수 있습니다.

예를 들어, ICQ 인스턴트 메신저 컴퓨터에 설립 된 미국 기업의 조달 직원 (직원과 회사 이름의 이름은 명백한 이유를 지명하지 않음). 협상은이 프로그램에 의해 정확하게 실시 하였다. 그러나 "ICQ는"보안 측면에서 매우 취약합니다. 당시 또는 등록 번호에서 자기 직원이 이메일 주소를 가지고 있지 않았거나 그냥 포기하고 싶지 않았다. 대신, 그는 이메일, 심지어 존재하지 않는 도메인과 같이 지적했다.

무엇 공격자는 것? 정보 보안 감사 수 있듯이, 그것은 인해 손실 암호 복구를 요청, ICQ 서비스를 소유 mirabilis에 회사에 메시지를 보낼 수 후 정확하게 같은 도메인을 등록하고, 그 안에 또 다른 등록 단자 것 생성 될 것이다 (즉, 할 것 ). 기존 침입자 메일로 리디렉션 - 메일 서버의받는 사람이 아니었다, 그것은이 리디렉션 포함되었다.

그 결과, 그는 주어진 ICQ 번호의 대응에 대한 액세스 권한을 얻고 특정 국가에 제품의받는 사람의 주소를 변경할 수있는 공급 업체를 알려줍니다. 따라서, 제품은 알 수없는 목적지로 전송. 그리고 그것은 가장 무해한 예입니다. 그래서, 무질서한 행위. 그리고 훨씬 더 할 수 있습니다 더 심각한 해커에 대한 어떤 ...

결론

다음은 IP 보안 감사에 관한 간략한 모든입니다. 물론, 그것은 그것의 모든 측면에 영향을받지 않습니다. 그 이유는 그 문제 행동 방법 제형에 많은 요인에 영향을 미치므로, 각 경우의 개별 접근이 엄격 단지이다. 또한, 정보의 보안 감사의 방법 및 수단은, 다른 IC가 상이 할 수있다. 그러나, 나는 생각한다, 많은 이러한 시험의 일반 원칙도 기본 수준에서 명백해질.