ÒdinatèSekirite

Enfòmasyon sou Sekirite Odit: Objektif, metòd ak zouti, egzanp. kontwòl kontab enfòmasyon sekirite nan bank la

Jodi a, tout moun konnen fraz la prèske sakre ki posede enfòmasyon an, posede mond lan. Se pou rezon sa nan tan nou an yo nan vole enfòmasyon konfidansyèl yo ap eseye tout ak diverses. Nan sans sa a, pran etap san parèy ak aplikasyon nan vle di nan pwoteksyon kont atak posib. Sepandan, pafwa ou ka bezwen fè yon kontwòl kontab nan sekirite antrepriz enfòmasyon. Ki sa li e poukisa li tout kounye a, epi eseye konprann.

Ki sa ki se yon kontwòl kontab nan enfòmasyon sekirite nan definisyon an jeneral?

Ki moun ki pa pral afekte kondisyon ki obscures syantifik, epi eseye detèmine pou tèt yo konsèp debaz yo, ki dekri yo nan lang ki pi senp (moun yo li ta ka rele kontwòl kontab la pou "nul yo").

Non a nan evènman yo konplèks pale pou tèt li. kontwòl kontab enfòmasyon sekirite se yon verifikasyon oswa endepandan kanmarad revizyon asire sekirite a nan sistèm enfòmasyon (IS) nan nenpòt ki konpayi, enstitisyon oswa òganizasyon sou baz la nan kritè espesyalman devlope ak endikatè.

An tèm senp, pou egzanp, odit enfòmasyon sekirite bank la a klou desann nan, evalye nivo a pwoteksyon nan baz done kliyan ki te fèt nan operasyon bankè, sekirite a nan lajan an elektwonik, prezèvasyon nan sekrè bankè a, ak sou sa. D. Nan ka a nan entèferans nan aktivite yo nan enstitisyon moun ki san otorizasyon soti an deyò de, lè l sèvi avèk elektwonik ak òdinatè fasilite.

Sètènman, nan mitan lektè sa yo gen omwen yon sèl moun ki te rele kay la oswa telefòn mobil avèk yon pwopozisyon nan pwosesis prè a oswa depo, bank la ak ki li pa gen anyen fè. Menm bagay la tou aplike nan acha epi li ofri nan kèk magazen yo. Bò te vini chanm ou a?

Li nan senp. Si yon moun te deja pran prè oswa envesti nan yon kont depo, nan kou, se done li yo ki estoke nan yon komen baz kliyan. Lè ou rele soti nan yon lòt labank oswa magazen kapab fèt sèlman yon sèl konklizyon: enfòmasyon sou, se te ilegalman bay twazyèm pati. Ki jan? An jeneral, ki te gen de opsyon: swa li te yo vòlè li, oswa transfere nan anplwaye nan bank la bay twazyèm pati konsyans. Nan lòd pou bagay sa yo pa t 'rive, epi ou bezwen tan yo ka fè yon kontwòl kontab nan enfòmasyon sekirite nan bank la, ak sa a aplike pa sèlman nan òdinatè oswa "fè" vle di nan pwoteksyon, men anplwaye a tout antye de enstitisyon an.

Esplikasyon yo prensipal nan kontwòl kontab enfòmasyon sekirite

Anseki konsern sijè ki abòde lan kontwòl kontab la, tankou yon règ yo, yo se plizyè:

  • chèk plen nan objè yo patisipe nan pwosesis yo nan enfòmasyon (òdinatè otomatik sistèm, vle di nan kominikasyon, reception, transmisyon enfòmasyon ak pwosesis, enstalasyon, lokal pou reyinyon konfidansyèl, siveyans sistèm, elatriye);
  • tcheke fyab la nan pwoteksyon an nan enfòmasyon konfidansyèl ki gen aksè limite (detèminasyon nan posib flit ak potansyèl twou sekirite chanèl sa ki pèmèt aksè li nan men deyò a ak itilize a nan metòd estanda ak ki pa estanda);
  • tcheke nan tout pyès ki nan konpitè ak lokal sistèm òdinatè elektwonik pou ekspoze a radyasyon elektwomayetik ak entèferans, pèmèt yo fèmen oswa pote nan Delambre;
  • pati pwojè, ki gen ladan travay sou kreyasyon an ak aplikasyon nan konsèp la nan sekirite nan aplikasyon pratik li yo (pwoteksyon nan sistèm òdinatè, enstalasyon, fasilite kominikasyon, elatriye).

Lè li rive kontwòl kontab la?

Nou pa mansyone sitiyasyon ki kritik kote yo te defans la deja kase, ka kontwòl kontab nan enfòmasyon sekirite nan yon òganizasyon dwe te pote soti, ak nan kèk lòt ka.

Tipikman, sa yo gen ladan ekspansyon an nan konpayi an, fizyon, akizisyon, kontwòl pa lòt konpayi yo, chanje kou a nan konsèp biznis oswa direktiv, chanjman nan lwa entènasyonal oswa nan lejislasyon nan yon peyi, chanjman olye grav nan enfrastrikti nan enfòmasyon.

kalite kontwòl kontab

Jodi a, klasifikasyon nan anpil nan sa a ki kalite kontwòl kontab, dapre analis anpil ak ekspè pa etabli. Se poutèt sa, divizyon an nan klas nan kèk ka kapab byen abitrè. Men, an jeneral, kontwòl kontab la nan enfòmasyon sekirite kapab divize an ekstèn ak entèn yo.

Yon kontwòl kontab ekstèn ki fèt pa ekspè endepandan ki gen dwa a fè, se nòmalman yon chèk yon sèl-fwa, ki ka inisye pa jesyon, aksyonè, ajans ki fè respekte lalwa, elatriye Yo kwè ke se yon kontwòl kontab ekstèn nan enfòmasyon sekirite rekòmande (men se pa obligatwa) fè regilyèman pou yon peryòd seri tan. Men, pou kèk òganizasyon ak antrepriz, dapre lalwa, li se obligatwa (pou egzanp, enstitisyon finansye ak òganizasyon, konpayi stock jwenti, ak lòt moun.).

Entèn enfòmasyon sekirite kontwòl kontab se yon pwosesis konstan. Li baze sou yon espesyal "Règleman sou Entèn Odit". Ki sa ki sa li ye? An reyalite, sa a aktivite sètifikasyon te pote soti nan òganizasyon an, an tèm ki te apwouve pa administrasyon yo. Yon kontwòl kontab enfòmasyon sekirite pa espesyal divizyon estriktirèl nan antrepriz la.

klasifikasyon Altènatif nan kontwòl kontab

Anplis divizyon nan pi wo pase-dekri nan klas nan ka a jeneral, nou ka distenge plizyè eleman te fè nan klasifikasyon an entènasyonal:

  • Ekspè tcheke estati a nan enfòmasyon sekirite ak sistèm enfòmasyon sou baz la nan eksperyans pèsonèl de ekspè nan, fè li yo;
  • sistèm sètifikasyon ak mezi sekirite pou konfòmite ak estanda entènasyonal (ISO 17799) ak nasyonal enstriman legal reglemante jaden sa a nan aktivite;
  • analiz de sekirite a nan sistèm enfòmasyon ak itilize a nan vle di teknik ki vize a idantifye frajilite potansyèl nan lojisyèl ak pyès ki nan konpitè konplèks la.

Pafwa li ka aplike ak sa yo rele kontwòl kontab la konplè, ki gen ladan tout kalite ki anwo yo. By wout la, li bay rezilta yo pi objektif.

Sèn bi ak objektif

Nenpòt verifikasyon, si wi ou non entèn oswa ekstèn, kòmanse ak etabli objektif ak objektif yo. Senpleman mete, ou bezwen detèmine poukisa, kouman ak ki sa yo pral teste. Sa a pral detèmine pwosedi a plis nan pote soti tout pwosesis la.

Travay, tou depann de estrikti nan espesifik nan antrepriz, òganizasyon, enstitisyon an ak aktivite li yo ka byen yon anpil. Sepandan, nan mitan tout sa a lage, inifye objektif nan kontwòl kontab enfòmasyon sekirite:

  • evalyasyon nan eta a nan enfòmasyon sekirite ak sistèm enfòmasyon;
  • analiz de risk ki genyen nan posib ki asosye ak risk pou yo pénétration nan IP ekstèn ak modalite yo posib pou entèferans sa yo;
  • lokalizasyon nan twou ak twou vid ki genyen nan sistèm nan sekirite;
  • analiz de nivo ki apwopriye a nan sekirite nan sistèm enfòmasyon nan estanda aktyèl ak regilasyon ak legal zak;
  • devlopman ak livrezon nan rekòmandasyon ki enplike retire elèv la nan pwoblèm yo ki deja egziste, osi byen ke amelyorasyon nan remèd yo ki deja egziste ak entwodiksyon de nouvo devlòpman.

Methodology ak kontwòl kontab zouti

Koulye a, yon kèk mo sou ki jan chèk la ak sa etap ak vle di li enplike.

Yon kontwòl kontab enfòmasyon sekirite konsiste de plizyè etap:

  • kòmanse pwosedi verifikasyon (definisyon klè nan dwa ak responsablite nan oditè a, oditè a chèk preparasyon an nan plan an ak kowòdinasyon li yo ak jesyon an, kesyon an nan limit yo nan etid la, enpozisyon la sou manm nan angajman nan òganizasyon nan swen e alè pwovizyon nan enfòmasyon ki enpòtan);
  • kolekte done inisyal (estrikti sekirite, distribisyon an nan karakteristik sekirite, nivo sekirite nan metòd analiz sistèm pèfòmans pou jwenn ak bay enfòmasyon, detèminasyon nan chanèl kominikasyon ak entèraksyon IP ak lòt estrikti, yon yerachi nan itilizatè yo nan rezo òdinatè, pwotokòl yo detèminasyon, elatriye);
  • fè yon enspeksyon konplè oswa pasyèl;
  • analiz done (analiz de risk nan nenpòt ki kalite epi si li konfòm);
  • founi dokiman yo rekòmandasyon nan adrès pwoblèm potansyèl;
  • rapò jenerasyon.

Premye etap-la se pi senp la, paske se desizyon li pran an te fè sèlman ant jesyon an konpayi ak oditè a. Limit yo nan analiz la ki kapab konsidere kòm nan reyinyon an jeneral nan anplwaye oswa aksyonè. Tout bagay sa a ak plis ankò ki gen rapò ak jaden legal la.

etap nan dezyèm nan koleksyon an nan done debaz, si li se yon kontwòl kontab entèn nan enfòmasyon sekirite oswa ekstèn sètifikasyon endepandan ki pi resous-entansif la. Sa a se akòz lefèt ke nan etap sa a ou bezwen pa sèlman egzaminen dokiman an teknik ki gen rapò ak tout pyès ki nan konpitè ak lojisyèl, men tou, etwat-entèvyou anplwaye yo nan konpayi an, ak nan pifò ka yo menm ak ranpli kesyonè espesyal oswa sondaj.

Kòm pou dokiman an teknik, li enpòtan yo jwenn done sou estrikti a IC ak nivo yo priyorite nan dwa aksè a anplwaye li yo, yo idantifye sistèm-lajè ak lojisyèl aplikasyon (sistèm nan fonksyone pou aplikasyon pou biznis, jesyon yo ak kontablite), osi byen ke pwoteksyon nan etabli nan lojisyèl an ak kalite ki pa pwogram (antivirus lojisyèl, firewall, elatriye). Anplis de sa, sa a gen ladan verifikasyon an plen nan rezo ak founisè nan sèvis telekominikasyon (òganizasyon rezo a, pwotokòl yo itilize pou koneksyon, ki kalite chanèl kominikasyon, transmisyon an ak metòd resepsyon nan enfòmasyon ap koule, ak plis ankò). Kòm se klè, li pran yon anpil nan tan.

Nan etap kap vini an, metòd yo nan kontwòl kontab enfòmasyon sekirite. Yo se twa:

  • risk analiz (teknik la ki pi difisil, ki baze sou detèminasyon an nan oditè a pénétration nan IP kontravansyon ak entegrite li yo lè l sèvi avèk tout metòd posib ak zouti);
  • evalyasyon nan konfòmite ak estanda ak lejislasyon (metòd la ki pi senp ak pi pratik ki baze sou yon konparezon nan aktyèl eta de zafè ak kondisyon yo ki nan estanda entènasyonal yo ak dokiman domestik nan jaden an nan enfòmasyon sekirite);
  • metòd la konbine ki konbine de a an premye.

Apre li fin resevwa rezilta yo verifikasyon nan analiz yo. Fon Odit nan sekirite enfòmasyon, ki yo te itilize pou analiz la, yo ka byen varye. Li tout depann sou spesifik yo nan antrepriz la, ki kalite enfòmasyon, lojisyèl an ou itilize, pwoteksyon ak sou sa. Men tou, kòm ka wè sou metòd la an premye, oditè a sitou dwe fè konfyans sou eksperyans pwòp yo.

Apre sa, ke se sèlman vle di ke li dwe konplètman kalifye nan jaden an nan teknoloji enfòmasyon ak pwoteksyon done. Sou baz la nan sa a analiz, oditè a ak kalkile risk ki genyen nan posib.

Remake byen ke li ta dwe fè fas pa sèlman nan sistèm nan fonksyone oswa pwogram nan itilize, pou egzanp, pou biznis oswa kontablite, men tou, yo konprann klèman ki jan yon atakè ka rantre nan sistèm lan enfòmasyon nan bi pou yo vòl, domaj ak destriksyon nan done, kreyasyon condition pou vyolasyon nan òdinatè, gaye nan viris oswa malveyan.

Evalyasyon nan rezilta kontwòl kontab ak rekòmandasyon nan adrès pwoblèm sa yo

Baze sou analiz la ekspè nan konkli de sitiyasyon an nan pwoteksyon ak bay rekòmandasyon nan adrès pwoblèm ki egziste deja oswa potansyèl, amelyorasyon sekirite, elatriye Rekòmandasyon yo pa ta dwe sèlman ki jis, men tou, klèman mare nan reyalite yo nan spesifik yo antrepriz. Nan lòt mo, konsèy sou amelyore configuration la, te nan òdinatè oswa lojisyèl yo pa aksepte. Sa a egalman aplike nan konsèy nan lekòl lage pi a nan pèsonèl "enfidèl", enstale sistèm swiv nouvo san yo pa espesifye destinasyon yo, kote a ak apwopriye.

Baze sou analiz la, tankou yon règ, gen plizyè gwoup risk. Nan ka sa a, nan konpile yon rapò rezime itilize de endikatè kle: (. Pèt nan byen, rediksyon nan repitasyon, pèt nan imaj ak sou sa) pwobabilite ki genyen pou yon atak ak domaj la ki te koze nan konpayi an kòm yon rezilta. Sepandan, pèfòmans nan nan gwoup yo pa menm bagay la. Pou egzanp, endikatè ki ba-nivo pou pwobabilite ki genyen pou atak se pi bon an. Pou domaj - sou kontrè an.

Se sèlman lè sa fin fè yon rapò ki detay pentire tout etap, metòd yo ak mwayen pou rechèch la. Li te dakò ak lidèchip an ak ki te siyen pa de kote sa yo - konpayi an ak oditè a. Si kontwòl kontab la entèn yo, se yon rapò tèt la nan respektif inite a estriktirèl, apre yo fin ki li, ankò, ki te siyen pa tèt la.

kontwòl kontab Enfòmasyon sekirite: Egzanp

Finalman, nou konsidere egzanp lan pi senp nan yon sitiyasyon ki te deja ki te pase. Anpil, nan chemen an, li ka sanble trè yo konnen yo.

Pou egzanp, anplwaye akizisyon yon konpayi a nan Etazini yo, te etabli nan ICQ enstantane òdinatè a mesaje (non an nan anplwaye a ak non an konpayi se pa sa yo te rele pou rezon evidan). Negosyasyon te fèt jisteman pa vle di nan pwogram sa a. Men, "ICQ nan" se byen frajil an tèm de sekirite. anplwaye Oto nan nimewo enskripsyon nan moman an oswa ou pa t 'gen yon adrès imel, oswa jis pa t' vle ba ou li. Olye de sa, li te atire nan yon bagay tankou e-mail, e menm ki pa-inexistant domèn.

Ki sa ki ta atakè a? Jan yo montre nan yon kontwòl kontab nan enfòmasyon sekirite, li ta dwe anrejistre egzakteman domèn nan menm ak kreye ta dwe nan li, yon lòt tèminal enskripsyon, ak Lè sa a te kapab voye yon mesaj bay Mirabilis konpayi ki posede sèvis ICQ, mande rekiperasyon modpas akòz pèt li yo (ki ta ka fè ). Kòm moun k ap resevwa a nan sèvè a lapòs pa t ', li te enkli redireksyon - redireksyon nan yon lapòs entru ki egziste deja.

Kòm yon rezilta, li te vin aksè nan korespondans lan ak anpil ICQ bay ak enfòme founisè a chanje adrès ki nan moun k ap resevwa a nan byen yo nan yon peyi sèten. Kidonk, byen yo voye nan yon destinasyon enkoni. Epi li se egzanp ki pi inonsan. Se konsa, dezòdone konduit. Ak sa ki sou entru pi grav ki kapab pi plis ...

konklizyon

Isit la se yon kout ak tou sa gen rapò ak IP kontwòl kontab sekirite. Natirèlman, li pa afekte pa tout aspè nan li. Rezon ki fè la se jis ke nan fòmilasyon a nan pwoblèm yo ak metòd konduit li yo afekte yon anpil nan faktè, se konsa apwòch la nan chak ka se senpman endividyèl elèv yo. Anplis de sa, metòd yo ak mwayen pou enfòmasyon kontwòl kontab sekirite yo kapab diferan pou trik diferan. Sepandan, mwen panse, prensip jeneral yo nan tès sa yo pou anpil vin aparan menm nan nivo a prensipal.

Similar articles

 

 

 

 

Trending Now

 

 

 

 

Newest

Copyright © 2018 ht.atomiyme.com. Theme powered by WordPress.