信息安全審計：目標，方法和工具，例如。 銀行的信息安全審計

今天，大家都知道，擁有該信息的近乎神聖的詞，擁有世界。 這就是為什麼在我們這個時代，以盜取機密信息正試圖向所有人。 在這方面，採取了前所未有的措施及實施防止可能的攻擊防護手段。 不過，有時你可能需要進行企業信息的安全性進行了審計。 它是什麼和為什麼它現在的所有，並嘗試了解。

什麼是信息安全的一般定義的審核？

誰不會影響深奧的科學術語，並嘗試以確定自己的基本概念，描述他們在最簡單的語言（它可以被稱為審計人的“傻瓜”）。

複雜事件的名稱不言自明的。 信息安全審計是一種獨立核查或 同行審查 ，以確保專門開發的標準和指標的基礎上，任何公司，機構或組織的信息系統（IS）的安全性。

簡單地說，例如，審核銀行的信息安全歸結為，評估，電子貨幣的安全性，銀行保密的保護，等等。D.產生干擾，從外部機構未經授權的人的活動的情況下，使用銀行業務持有的客戶數據庫的保護水平電子和計算機設備。

當然，讀者中還有誰與處理貸款或存款，與它無關，銀行的提議稱為家庭電話或手機至少有一人。 這同樣適用於購買和一些商店提供。 從那裡來你的房間？

這很簡單。 如果一個人以前需要貸款或投資於存款賬戶，當然，它的數據存儲在一個共同的 客戶群。 當您從其他銀行或店鋪call只能得出一個結論：關於它的信息來自非法給第三方。 怎麼樣？ 在一般情況下，有兩種選擇：要么被偷了，或者轉移到銀行自覺第三方僱員。 為了讓這樣的事情並沒有發生，你需要時間來進行銀行的信息安全審計，這不僅適用於電腦或保護的“鐵”的意思，但該機構的全體工作人員。

信息安全審計的主要方向

至於審計範圍，作為一項規則，他們有幾個：

• 涉及的信息的處理的對象的全面檢查（計算機自動化系統，通信裝置，接收信息的傳輸和處理，設施，處所機密會議，監控系統等）;
• 檢查的機密信息有訪問限制的保護的可靠性（確定可能的洩漏和潛在的安全漏洞的通道允許與使用的標準和非標準方法從外部訪問它的）;
• 檢查所有的電子硬件和本地計算機系統暴露於電磁輻射和干擾，使他們能夠關閉或將年久失修;
• 計劃的一部分，其中包括在其實際執行的創建和安全概念的應用作品（計算機系統，設施，通信設施等的保護）。

當談到審計？

更何況在防守已經打破，一個組織的信息安全審計可以進行，而在其他一些情況下的緊急情況。

通常，這些包括該公司的其他公司的擴張，兼併，收購，接管，改變經營觀念或準則，在國際法律或法規中的一國之內的變化，在信息基礎設施，而嚴重的變化過程。

各類審計

如今，這種類型的審計的非常分類，根據許多分析師和專家是不成立的。 因此，劃分在某些情況下，類可以很隨意。 不過，在一般情況下，信息安全審計，可分為外部和內部。

由獨立的專家誰必須做正確進行的外部審計，通常是一次性的檢查，這可以由管理層，股東，執法機構等啟動 據信，建議信息安全的外部審計（但不要求）的時間設定的時間定期執行。 但對於一些組織和企業，根據法律規定，它是強制性的（例如，金融機構和組織，股份制公司等）。

內部審計信息安全是一個持續不斷的過程。 它是基於一種特殊的“內部審計條例”。 這是什麼？ 事實上，這種認證活動的組織進行，管理層批准的條件。 由企業的特殊結構細分的信息安全審計。

審計的另一種分類

除了上述的劃分一般情況下類，我們可以區分在國際分類由幾部分組成：

• 專家檢查信息安全和信息系統的專家的個人經驗，它的傳導的基礎上的地位;
• 認證制度和安全措施符合國際標準（ISO 17799）和調節活性的這一領域的國家法律文書;
• 信息系統與使用的目的是在軟件和硬件的複雜確定潛在的安全漏洞的技術手段的安全性分析。

有時候，它可以被應用，所謂的全面審計，其中包括所有上述類型。 順便說一句，他給出了最客觀的結果。

階段性目標和目的

任何驗證，無論是內部還是外部，始於確立目標和任務。 簡單地說，你需要找出原因，方式和內容將受到考驗。 這將決定執行的整個過程的進一步過程。

任務，根據不同的企業，組織，機構及其活動的具體結構可以是相當多的。 然而，所有之中本次發布，信息安全審計的統一目標：

• 信息安全和信息系統的狀況進行評估;
• 與滲透到外部IP和這種干擾的可能模式的風險可能存在的風險分析;
• 在安全系統中的孔和間隙的定位;
• 信息系統的現行標準和監管行為和法律行為的適當的安全水平的分析;
• 發展和涉及現有的救濟的去除存在的問題，以及改進和引進新的發展建議交付。

方法論和審計工具

現在關於檢查和哪些步驟和手段如何它涉及了幾句話。

信息安全審計包括幾個階段：

• 啟動驗證程序（的核數師的權利和責任明確的界定，審計檢查規劃的編制及其與管理協調，研究的邊界問題，對組織承諾的成員實行照顧和相關信息的及時提供）;
• 收集初始數據（安全結構，安全特徵的分佈，用於獲得並提供的通信信道並與其它結構，計算機網絡的用戶的層次結構，所述確定協議等IP交互的信息，確定系統性能的分析方法的安全級別）;
• 進行全面或部分檢查;
• 數據分析（任何類型和遵守的風險的分析）;
• 發出建議，以解決潛在的問題;
• 報告生成。

第一階段是最簡單的，因為它決定了公司管理層和審計師之間僅取得。 分析的邊界可以在員工或股東大會審議。 這和所有更相關的法律領域。

基線數據收集的第二階段，無論是信息安全或外部獨立認證的內部審計是資源最密集的。 這是因為，在這個階段，你不僅需要審查與所有硬件和軟件的技術文檔，還能縮小，面試的公司的員工其實在大多數情況下，即使填充特殊問卷調查或調查。

至於技術文件，它獲得的IC結構和數據的訪問權限的優先級，以它的員工，以確定全系統和應用軟件（操作系統為業務應用，管理，會計），以及軟件的建立保護是非常重要的和非節目類型（防病毒軟件，防火牆等）。 此外，這包括網絡和電信服務提供者的充分驗證（網絡組織，用於連接的協議，該類型的通信信道，發送和接收方法的信息流，和更多）。 由於是明確的，它需要大量的時間。

在下一階段，信息安全審計的方法。 他們有三個：

• 風險分析（最困難的技術的基礎上，審計師的決心知識產權侵權的滲透和利用一切可能的方法和工具的完整性）;
• 符合標準和法規（基於事務的當前狀態的比較和國際標準，在信息安全領域的國內文件的要求最簡單，最實用的方法）的評估;
• 將合併的方法，結合了前兩個。

接收他們的分析的驗證結果之後。 資金審核 信息的安全性，的 被用於該分析，可以相當變化。 這一切都依賴於企業的信息類型，您使用的軟件，保護等。但是，這些可以在第一個方法可以看出，審計主要還得靠自己的經驗的具體細節。

而這僅僅意味著它必須是在信息技術和數據保護領域完全合格。 在這個分析中，審計人員的基礎上，計算可能的風險。

需要注意的是，應該在操作系統或使用，例如該方案不僅處理，商務，會計，還要清楚地了解了攻擊者如何滲透到信息系統的盜竊，損壞和數據的破壞，創造前提條件對違法行為的目的在計算機的病毒或惡意軟件的傳播。

審計結果和建議，以解決問題的評價

基於分析的專家得出結論關於保護狀態，並給出建議，以解決現有的或潛在的問題，安全升級，等等。 這些建議不僅要公平，但也清楚地綁在企業具體的現實。 換句話說，在升級計算機或軟件的配置技巧是不能接受的。 這同樣適用於“不可靠”的人員，安裝新的跟踪系統解僱的意見不指定目的地，地點和適當性。

根據分析結果，作為一項規則，有幾個高危人群。 在這種情況下，編制一份總結報告使用了兩個關鍵指標：（資產流失，降低信譽，形象的損失等）攻擊的可能性，並給公司造成的損害結果。 然而，集團的表現也不盡相同。 例如，對於攻擊的概率低級別的指標是最好的。 損害 - 相反。

只有這樣，編譯，詳細畫所有階段，方法和研究手段的報告。 他同意領導和雙方簽署的 - 公司和審計師。 如果審計內部，是報告中的各結構單元，之後，他再次由負責人簽署的頭。

信息安全審計：例

最後，我們考慮的是已經發生的情況下最簡單的例子。 許多人，順便說一下，它可能看起來很熟悉。

例如，一家公司的採購人員在美國，成立於ICQ即時通訊計算機（員工和公司名稱的名稱未命名的原因很明顯）。 談判是由這個程序來精確進行。 但“ICQ”是在安全性方面相當脆弱。 在登記號碼自員工在時間或沒有電子郵件地址，或只是不想給它。 相反，他指出，像電子郵件，甚至是不存在的域名。

會是什麼攻擊？ 如圖所示的信息安全審計，將它準確地註冊了相同的域，並創建將是它的另一註冊終端，然後可以將消息發送到了Mirabilis公司，擁有ICQ服務，請求密碼恢復，由於其虧損（將完成）。 由於郵件服務器的接收者不是，它被列入重定向 - 重定向到一個現有的入侵者郵件。

其結果是，他得到與給定的ICQ號碼訪問的對應，並通知改變貨物的收件人的地址在某個國家的供應商。 因此，貨物發送到一個未知的目的地。 它是最無害的例子。 所以， 行為不檢。 而關於更嚴重的黑客誰能夠更多的...

結論

這裡，涉及到IP安全審計的簡要和所有。 當然，它不會受它的所有方面。 其原因就是，在問題和其行為的方法的制定影響的因素有很多，所以在每種情況下的做法是嚴格個人。 此外，信息安全審計的方法和手段可以為不同的IC不同。 不過，我認為，這種測試的許多的一般原則，即使在小學水平變得明顯。