Verifika Sigurtà Informazzjoni: Għanijiet, metodi u għodda, eżempju. verifika tas-sigurtà Informazzjoni tal-bank

Illum, kulħadd jaf il-frażi kważi sagru li tippossjedi l-informazzjoni, tippossjedi id-dinja. Dan huwa għaliex fil-ħin tagħna biex steal informazzjoni kunfidenzjali huma jippruvaw kulħadd u varji. F'dan ir-rigward, ħadet passi mingħajr preċedent u l-implimentazzjoni ta 'mezzi ta' protezzjoni kontra attakki possibbli. Madankollu, xi kultant jista 'jkollok bżonn sabiex issir verifika ta' sigurtà ta 'informazzjoni intrapriża. X'inhu u għaliex hi kollha issa, u jipprova jifhem.

X'inhu verifika ta 'sigurtà ta' informazzjoni fid-definizzjoni ġenerali?

Min mhux se jaffettwa t-termini xjentifiċi abstruse, u jippruvaw jiddeterminaw huma stess l-kunċetti bażiċi, li jiddeskrivi fil-lingwa l-aktar sempliċi (-poplu jista 'jissejjaħ l-verifika għall- "manikini").

L-isem tal-avvenimenti kumplessi titkellem għaliha nfisha. verifika tas-sigurtà informazzjoni hija verifika jew indipendenti bejn il-pari reviżjoni biex jiżguraw is-sigurtà ta 'sistemi ta' informazzjoni (IS) ta 'kwalunkwe kumpannija, istituzzjoni jew organizzazzjoni abbażi ta' kriterji u indikaturi żviluppati apposta.

F'termini sempliċi, per eżempju, jivverifikaw sigurtà ta 'informazzjoni tal-bank jeħodna għall, biex tevalwa l-livell ta' protezzjoni ta 'databases klijent miżmuma mill-operazzjonijiet bankarji, is-sigurtà tal-flus elettroniċi, il-preservazzjoni tas-sigriet bankarju, u l-bqija. D. Fil-każ ta' interferenza fl-attivitajiet tal-persuni mhux awtorizzati istituzzjoni minn barra, bl-użu faċilitajiet elettroniċi u tal-kompjuter.

Ċertament, fost il-qarrejja hemm mill-inqas persuna waħda li talab dar jew mowbajl ma 'proposta ta' l-ipproċessar l-self jew depożitu, il-banek li magħhom ikollha x'taqsam xejn. L-istess japplika għal xirjiet u offerti minn xi ħwienet. Minn fejn ħarāu kamra tiegħek?

Huwa sempliċi. Jekk persuna li qabel ħa self jew investiti fil-kont ta 'depożitu, naturalment, id-data tagħha hija maħżuna fil-komuni klijentela. Meta inti sejħa minn bank jew maħżen ieħor jista 'jkun wieħed biss konklużjoni: l-informazzjoni dwar dan wasal illegalment lil partijiet terzi. Kif? B'mod ġenerali, hemm żewġ għażliet: jew kienet misruqa, jew trasferiti lill-impjegati tal-bank lil partijiet terzi konxjament. Sabiex tali affarijiet ma seħħx, u inti għandek bżonn żmien biex issir verifika ta 'sigurtà ta' informazzjoni tal-bank, u dan japplika mhux biss għall-kompjuter jew "ħadid" mezz ta 'protezzjoni, iżda l-istaff kollu tal-istituzzjoni.

Id-direzzjonijiet ewlenin ta 'verifika tas-sigurta' informazzjoni

Fir-rigward tal-ambitu tal-verifika, bħala regola, huma diversi:

• verifika sħiħa tad-oġġetti involuti fil-proċessi ta 'informazzjoni (kompjuter sistema awtomatizzata, mezzi ta' komunikazzjoni, riċeviment, trasmissjoni ta 'informazzjoni u l-ipproċessar, il-faċilitajiet, bini għal laqgħat konfidenzjali, sistemi ta' monitoraġġ, eċċ);
• tivverifika l-affidabilità tal-protezzjoni ta 'informazzjoni kunfidenzjali b'aċċess limitat (determinazzjoni ta' tnixxija possibbli u l-kanali potenzjali toqob ta 'sigurtà li jippermettu aċċess huwa minn barra bl-użu ta' metodi standard u mhux standard);
• iċċekkja ta 'hardware u lokali sistemi kollha elettroniċi tal-kompjuter għall-espożizzjoni għal radjazzjoni elettromanjetika u interferenza, li jippermettilhom li itfi jew iġibu fis disrepair;
• parti tal-proġett, li tinkludi xogħol fuq il-ħolqien u l-applikazzjoni tal-kunċett ta 'sigurtà fl-implimentazzjoni prattika tiegħu (protezzjoni tas-sistemi tal-kompjuter, faċilitajiet, faċilitajiet ta' komunikazzjoni, eċċ).

Meta niġu għall-verifika?

Biex ma nsemmux is-sitwazzjonijiet kritiċi fejn id-difiża kienet diġà miksur, verifika ta 'sigurtà ta' informazzjoni fl-organizzazzjoni tista 'ssir, u f'xi każijiet l-oħra.

Tipikament, dawn jinkludu l-espansjoni tal-kumpanija, amalgamazzjoni, akkwist, xiri minn kumpanniji oħra, jbiddlu l-andament ta 'kunċetti ta' negozju jew linji gwida, bidliet fil-liġi internazzjonali jew leġiżlazzjoni fl f'pajjiż, bidliet pjuttost serji fl-infrastruttura informazzjoni.

tipi ta 'verifika

Illum, il-klassifikazzjoni stess ta 'dan it-tip ta' verifika, skond l-analisti ħafna u l-esperti mhuwiex stabbilit. Għalhekk, id-diviżjoni fi klassijiet f'xi każijiet jista 'jkun pjuttost arbitrarja. Madankollu, b'mod ġenerali, il-verifika ta 'sigurtà ta' informazzjoni jistgħu jinqasmu esterni u interni.

Verifika esterna mwettqa minn esperti indipendenti li għandhom id-dritt li tagħmel, huwa normalment verifika ta 'darba, li jistgħu jinbdew mill-ġestjoni, l-azzjonisti, l-aġenziji infurzar tal-liġi, eċċ Huwa maħsub li l-verifika esterna tas-sigurtà informazzjoni hija rakkomandata (iżda mhux meħtieġ) li jwettaq regolarment għal perjodu stipulat ta 'żmien. Iżda għal xi organizzazzjonijiet u l-intrapriżi, skond il-liġi, huwa obbligatorju (pereżempju, istituzzjonijiet finanzjarji u organizzazzjonijiet, kumpaniji b'ishma konġunti, u oħrajn.).

sigurtà ta 'informazzjoni tal-verifika interna huwa proċess kostanti. Hija bbażata fuq "Regolamenti dwar Awditjar Intern" speċjali. X'inhu dan? Fil-fatt, dan attivitajiet ta 'ċertifikazzjoni mwettqa fl-organizzazzjoni, f'termini approvati mill-amministrazzjoni. Verifika sigurtà ta 'informazzjoni mill subdiviżjoni strutturali speċjali ta' l-intrapriża.

klassifikazzjoni alternattiva tal-verifika

Minbarra d-diviżjoni deskritta hawn fuq fi klassijiet fil-każ ġenerali, nistgħu jiddistingwu diversi komponenti magħmula fil-klassifikazzjoni internazzjonali:

• Espert iċċekkjar tal-istatus ta 'sistemi ta' sigurtà u informazzjoni ta 'informazzjoni fuq il-bażi tal-esperjenza personali ta' esperti, tmexxija tagħha;
• sistemi ta 'ċertifikazzjoni u miżuri ta' sigurtà għall-konformità ma 'standards internazzjonali (ISO 17799) u strumenti legali nazzjonali li jirregolaw il-qasam ta' attività;
• analiżi tas-sigurtà ta 'sistemi ta' informazzjoni bl-użu ta 'mezzi tekniċi mmirati lejn l-identifikazzjoni vulnerabilitajiet potenzali fis-software u hardware kumplessi.

Kultant jista 'jiġi applikat u l-hekk imsejħa verifika komprensiva, li tinkludi kollha tat-tipi ta' hawn fuq. Mill-mod, huwa jagħti l-aktar riżultati oġġettivi.

miri u għanijiet fi stadji

Kull verifikazzjoni, kemm interni kif ukoll esterni, tibda bil stabbiliet miri u l-għanijiet. Fi kliem sempliċi, inti għandek bżonn biex tiddetermina għalfejn, kif u dak li se jiġu ttestjati. Dan se jiddetermina l-proċedura ulterjuri li titwettaq l-proċess kollu.

Kompiti, jiddependi fuq l-istruttura speċifika ta 'l-intrapriża, organizzazzjoni, istituzzjoni u l-attivitajiet tiegħu jistgħu jkunu pjuttost ħafna. Madankollu, f'nofs dan kollu rilaxx, l-għan unifikata tal-verifika sigurtà ta 'informazzjoni:

• evalwazzjoni tal-istat tas-sistemi tas-sigurtà ta 'informazzjoni u ta' informazzjoni;
• analiżi tar-riskji possibbli marbuta mar-riskju ta 'penetrazzjoni fis-IP esterna u l-modalitajiet possibbli ta' interferenza bħal din;
• lokalizzazzjoni ta 'toqob u nuqqasijiet fis-sistema tas-sigurtà;
• analiżi tal-livell xieraq ta 'sigurtà ta' sistemi għall-istandards attwali u atti regolatorji u legali;
• iżvilupp u t-twassil ta 'rakkomandazzjonijiet li jinvolvu t-tneħħija tal-problemi eżistenti, kif ukoll titjib tar-rimedji eżistenti u l-introduzzjoni ta' żviluppi ġodda.

Metodoloġija u verifika għodod

Issa ftit kliem dwar kif il-verifika u x'passi u jfisser li tinvolvi.

Verifika sigurtà ta 'informazzjoni jikkonsisti f'diversi stadji:

• jinbdew proċeduri ta 'verifika (definizzjoni ċara tad-drittijiet u r-responsabbiltajiet tal-awditur, l-awditur kontrolli l-preparazzjoni tal-pjan u l-koordinazzjoni tagħha mal-ġestjoni, il-kwistjoni tal-konfini tal-istudju, l-impożizzjoni fuq il-membri tal-impenn organizzazzjoni għall-kura u l-għoti f'waqtu ta' informazzjoni rilevanti);
• ġbir ta 'data inizjali (l-istruttura ta' sigurtà, id-distribuzzjoni ta 'karatteristiċi ta' sigurtà, il-livelli ta 'sigurtà ta' metodi ta 'analiżi tal-prestazzjoni tas-sistema biex jiksbu u jipprovdu informazzjoni, id-determinazzjoni ta' kanali ta 'komunikazzjoni u l-interazzjoni PI ma' strutturi oħra, ta 'ġerarkija ta' utenti ta 'netwerks tal-kompjuter, il-protokolli determinazzjoni, eċċ);
• twettaq spezzjoni komprensiva jew parzjali;
• analiżi tad-data (analiżi tar-riskji ta 'kull tip u konformità);
• ħruġ ta 'rakkomandazzjonijiet biex jiġu indirizzati problemi potenzjali;
• ġenerazzjoni rapport.

L-ewwel stadju huwa l-aktar sempliċi, għaliex d-deċiżjoni tagħha hija magħmula biss bejn l-amministrazzjoni kumpanija u l-awditur. Il-konfini tal-analiżi jistgħu jiġu kkunsidrati fil-laqgħa ġenerali ta 'l-impjegati jew l-azzjonisti. Dan kollu u aktar relatati mal-qasam legali.

It-tieni stadju tal-ġbir tad-data bażi, kemm jekk huwa verifika interna tar sigurtà ta 'informazzjoni jew ċertifikazzjoni indipendenti esterna hija l-aktar riżorsa intensiv. Dan huwa dovut għall-fatt li f'dan l-istadju li għandek bżonn biex mhux biss teżamina d-dokumentazzjoni teknika relatata ma 'l-hardware u software, iżda wkoll biex iċekknu-intervisti impjegati tal-kumpannija, u f'ħafna każijiet anki fil-mili kwestjonarji speċjali jew stħarriġ.

Fir-rigward tal dokumentazzjoni teknika, huwa importanti li tinkiseb dejta dwar l-istruttura IC u l-livelli ta 'prijorità tad-drittijiet ta' aċċess lill-impjegati tagħha, li jiġu identifikati tas-sistema kollha u softwer ta 'applikazzjoni (is-sistema operattiva għall-applikazzjonijiet ta' kummerċ, il-ġestjoni tagħhom u l-kontabilità), kif ukoll il-protezzjoni stabbilita tas-software u t-tip mhux programm (antivirus software, firewalls, eċċ). Barra minn hekk, dan jinkludi l-verifika sħiħa tar netwerks u fornituri ta 'servizzi ta' telekomunikazzjoni (organizzazzjoni tan-netwerk, il-protokolli użati għall-konnessjoni, it-tipi ta 'mezzi ta' komunikazzjoni, it-trasmissjoni u l-metodi akkoljenza ta 'flussi ta' informazzjoni, u aktar). Kif jirriżulta, hija tieħu ħafna ħin.

Fl-istadju li jmiss, il-metodi tal-verifika sigurtà ta 'informazzjoni. Dawn huma tlieta:

• analiżi tar-riskju (l-teknika l-aktar diffiċli, ibbażata fuq id-determinazzjoni tal-awditur għall-penetrazzjoni ta 'ksur PI u l-integrità tagħha jużaw metodi kollha possibbli u għodod);
• valutazzjoni tal-konformità ma 'standards u leġiżlazzjoni (il-metodu sempliċi u aktar prattiċi bbażati fuq paragun tal-qagħda attwali u r-rekwiżiti ta' standards internazzjonali u dokumenti domestiku fil-qasam tas-sigurtà ta 'informazzjoni);
• il-metodu kombinat li tgħaqqad l-ewwel tnejn.

Wara li jirċievi r-riżultati tal-verifika tal-analiżi tagħhom. Fondi Verifika ta 'sigurtà ta' informazzjoni, li huma użati għall-analiżi, jistgħu jiġu pjuttost varjata. Dan kollu jiddependi fuq l-ispeċifiċitajiet ta 'l-intrapriża, it-tip ta' informazzjoni, is-software tuża, protezzjoni u l-bqija. Madankollu, kif jidher fl-ewwel metodu, l-awditur prinċipalment jkollhom jiddependu fuq l-esperjenza tagħhom stess.

U dan biss ifisser li għandu jkun kompletament ikkwalifikat fil-qasam tat-teknoloġija informatika u l-protezzjoni tad-data. Abbażi ta 'din l-analiżi, l-awditur u jikkalkola r-riskji possibbli.

Innota li dan għandu jittratta mhux biss fis-sistema operattiva jew il-programm użat, per eżempju, għan-negozju jew ta 'kontabilità, iżda wkoll li jifhmu b'mod ċar kif attakkant jistgħu jippenetraw fis-sistema ta' informazzjoni għall-iskop ta 'serq, ħsara u l-qerda ta' data, ħolqien ta 'prekundizzjonijiet għal vjolazzjonijiet fil-kompjuters, il-firxa ta 'viruses jew malware.

Evalwazzjoni tar-riżultati u r-rakkomandazzjonijiet biex jiġu indirizzati l-problemi ta 'verifika

Ibbażat fuq l-analiżi tal-espert jikkonkludi dwar l-istatus protezzjoni u tagħti rakkomandazzjonijiet biex jiġu indirizzati problemi eżistenti jew potenzjali, promozzjonijiet sigurtà, eċċ Ir-rakkomandazzjonijiet għandhom mhux biss ikunu ġusti, iżda wkoll marbuta b'mod ċar mal-realtajiet tal-ispeċifiċitajiet intrapriża. Fi kliem ieħor, suġġerimenti dwar titjib tal-konfigurazzjoni ta 'kompjuters jew software ma jiġux aċċettati. Dan japplika wkoll għall-parir tal-tkeċċija tal-persunal "mhux affidabbli", jinstallaw sistemi ta 'traċċar ġodda mingħajr ma jispeċifikaw destinazzjoni tagħhom, il-post u l-adegwatezza.

Ibbażat fuq l-analiżi, bħala regola, hemm diversi gruppi ta 'riskju. F'dan il-każ, biex jikkompilaw rapport fil-qosor tuża żewġ indikaturi ewlenin: (. Telf ta 'assi, tnaqqis ta' reputazzjoni, telf ta 'immaġni u l-bqija) il-probabbiltà ta' attakk u l-ħsara kkawżata lill-kumpannija bħala riżultat. Madankollu, il-prestazzjoni tal-gruppi mhumiex l-istess. Per eżempju, l-indikatur ta 'livell baxx għall-probabbiltà ta' attakk huwa l-aħjar. Għal danni - għall-kuntrarju.

Imbagħad biss ikkompilat rapport li Dettalji miżbugħa l-istadji, metodi u mezzi tar-riċerka. Huwa qabel mat-tmexxija u ffirmat miż-żewġ naħat - il-kumpannija u l-awditur. Jekk il- verifika interna, huwa rapport l-kap tal-unità strutturali rispettiv, wara li jkun, għal darb'oħra, iffirmat mill-kap.

verifika tas-sigurtà Informazzjoni: Eżempju

Fl-aħħarnett, aħna nikkunsidraw l-eżempju sempliċi ta 'sitwazzjoni li diġà ġara. Ħafna, mill-mod, jista 'jidher familjari ħafna.

Per eżempju, il-persunal akkwist ta 'kumpanija fl-Istati Uniti, stabbiliti fis-ICQ kompjuter instant messenger (l-isem tal-impjegat u l-isem tal-kumpannija ma jissemmiex għal raġunijiet ovvji). In-negozjati tmexxew preċiżament permezz ta 'dan il-programm. Iżda l- "ICQ" hija pjuttost vulnerabbli f'termini ta 'sigurtà. Awto impjegat fi numri tar-reġistrazzjoni fil-ħin jew ma jkollu indirizz email, jew biss ma riedx li tagħtiha. Minflok, huwa indikat xi ħaġa bħall-e-mail, u anke dominju ineżistenti.

Xi jkun l-attakkant? Kif muri permezz ta 'verifika ta' sigurtà ta 'informazzjoni, ikun irreġistrat eżattament l-istess dominju u maħluqa jkunu fiha, ieħor terminali reġistrazzjoni, u mbagħad tista' tibgħat messaġġ lill-kumpannija Mirabilis li tippossjedi servizz ICQ, jitlob irkupru password minħabba telf tagħha (li se jsir ). Bħala destinatarja tat server tal-posta ma kienx, kien inkluż idawwru - direzzjoni ġdida fil-posta intruż eżistenti.

Bħala riżultat, hu gets aċċess għall-korrispondenza bin-numru ICQ partikolari u tinforma lill-fornitur biex jibdlu l-indirizz ta 'min jirċievi l-merkanzija f'ċertu pajjiż. Għalhekk, il-merkanzija mibgħuta lejn destinazzjoni mhux magħrufa. U huwa l-aktar eżempju ma jagħmilx ħsara. Allura, kondotta diżordinati. U xi ngħidu dwar hackers aktar serji li huma kapaċi ħafna aktar ...

konklużjoni

Hawnhekk huwa qasir u dak kollu li jirrelata għal verifika tas-sigurtà PI. Naturalment, mhuwiex affettwat minn aspetti kollha ta 'dan. Ir-raġuni huwa biss li fil-formulazzjoni tal-problemi u l-metodi ta 'kondotta tagħha jaffettwa ħafna fatturi, sabiex l-approċċ f'kull każ huwa strettament individwali. Barra minn hekk, il-metodi u mezzi ta 'verifika tas-sigurtà informazzjoni tista' tkun differenti għal IC differenti. Madankollu, naħseb, il-prinċipji ġenerali ta 'tali testijiet għal ħafna isiru apparenti anke fil-livell primarju.