Information Sistemi di Audit: Scopi, i metudi è arnesi, esempiu. cuntrollu di sicurità infurmazione di u riva

Oghje, tutti sapanu quasi una frase sacra chì u patrone di l'infurmazione pussede u mondu. Hè per quessa chì in u nostru tempu, ogni ghjornu hè prova di scurdà infurmazioni confidenciale . In questu cunnessu, i passageri senza precedentu sò stati purtati in modu di prutezzione contra l'attacche pussibuli. In ogni modu, quarchi cosa pò esse necessariu di audità a sicurezza di l'infurmazioni di l'impresa. Chì ghjè, è per quessa hè chì avete bisognu, ora è pruvate di scuperta fora.

Cosa hè una auditoria di survegazione di l'infurmazioni in una definizzione generale?

Avà ùn tocchi à i termichi astratti abbastanza, ma pruvamu di definisce i cuncetti basi di sè stessu, scrissi in a lingua più simplice (in i pòpuli pudete esse chjamatu auditoria per "manichi").

U nome di stu complexu di l'avvenimenti parle per ellu stessu. L'auditoria di surviglianza infurmazione hè un verificatu indipindentali o a valutazione periciale di a sicurità di u sistema di informazioni (IS) di una impria, istituzione o organizazione nantu à basa di criteri e indicatori apposta.

In termini semprici, per esempiu, l'audità di a securità d'informazione di u bancu hè ridutta à valutà u nivellu di prutezzione di i base di u cliente, realizà e transazzione bancaria, a prisirvazioni di e fondi elettroni, a sicura di u sicretu bancariu, in u casu di l'intirossu in l'attività di l'istituzione da fora di fora, usando Elettronica è facilità informatica.

Sicurissimu, frà i lecturi, ci sarà almenu una persona chì era chjamata casa o in un telèfonu celular cù una pruposta per un prublema o dipositu, è da un bancu cù quale ùn hè micca cunnessu. U stissu scrittu à l'offerta di compru da alcuni cummerciale. Cumu hè chì u vostru numiru prisentate?

Hè sempru. Sì una persona prumessa prestu soldi o investitu soldi in un cuntestu di depożitu, di manera naturali, e so dati si era salvatu in una sola clientella base. Quand'ellu si chjamava da un altru bancu o un magazinu, pudete sculaccià una sola cunclusione: l'infurmazioni annantu à quellu chì era illegale cagiu in terzu mani. Cumu? In generale, pudemu distinguishle dui opulentai: o era robatu, o assulutamente da l'impiegati di u bancu à terzu cunzientu. Per ciò chì e cose ùn succede micca, è avete bisognu di fà una auditoria di a sicurità di a basa di u bancu in u tempu, è questu ùn hè micca solu per l'urdinatore o "ferru" di a prutezzione, ma tutta u staffu di l'istituzione bancaria.

A principal indicazione di l'audituarii di sicurità di informazioni

In quantu u scopu di tali auditu, com'è regula, sò distinti da parechji:

• Prughjettu tutale di l'uggetti sottumessi à i prucessi di informatizazione (sistemi automatizati per l'aiutu, mezi di cumunicazione, ricunniscenza, trasmissioni è trasfurmazioni di informazioni d'infurmazioni, facilità, locali per riunioni confidenti, sistemi di survigazione, etc.);
• Verificazione di a fiducia di a prutezzione di l'infurmazione confidenti cù l'accessu limitatu (identifiazione di possible catene di fossa è i forsi di sicura di salute chì permettenu l'accessu da ellu fora di metudi standard è micca standard);
• Verificazione di tutti i mezi técnici tecnichi elettroni è sistemi di computer per l'effettu di a radiazioni elettromagnettichi è i capelli nantu à elli, chì facenu possibili di disconnectar o rendu micca inutilizà;
• A parti di u prughjettu, chì cumpresu u travagliu nantu à a creazione di u cuncettu di a sicurità è a so applicazione in l'implementazione pratica (prutezzione di sistemi informatici, facilitazioni, cumunicazioni, etc.).

Quandu ci hè necessariu di fà una auditoria?

Per micca di scuru di situazzioni crìtiche, quandu a tutela hè digià viulata, una auditoria di a sicurità di informazioni in una organizazione pò esse realizatu ind'un altri casi.

Hè tandu, cumpresi l'espansione di l'impresa, a fusione, l'acquistazione, a fusioni cù l'altre sucità, cambià u cuncettu di u cursu di l'impresa o di a gestione, cambiamenti in leghje internaziunale o in atti juridichi in un certu paese, mudificazione seriu di l'infrastruttura di l'infurmazioni.

Tipi di cuntrollu

Oghje a assai classificazione di stu tipu d'auditu, sicondu parechji analista è esperti, ùn hè micca solu. Dunque, a divisioni in classi in parechji casi pò esse assai cunnizziunata. In ogni casu, in u casu generale, l'audità di a sicurità di informazione pò esse diventata à esternu è internu.

Una auditoria esterna aduprata da l'autori indipendenti bisognu à a ghjente hè spessu una auditoria unica, chì pò esse iniziata da a gestione di l'impresa, accissori, agenzii di infurmazioni puliti, etc. Hè cresce chì una auditoria di survegazione di l'infurmazioni esterni hè cunsigliata (è micca obligatoriamente) per a realizazione regularmente per un periudu di tempu. Ma per qualchi organizzazioni è imprese, sicondu a leghera, hè mandatu (per esempiu, istituzione finanziaria è organizazione, societare, etc.).

A audità interna di a sicurità di informazione hè un prucessu constantu. Hè fundamentu nantu à un "Regulu tutte internatu nantu à a audità interna". Qual hè? In fattu, sò esse attuali di certificazione realizati ind'u urganizazione, in u tempu aghjuntu da a gestione. L'audità di a sicurità di informazione hè furnita da suntubisizzioni strutturali speziali di l'intrapriża.

Classificazione alternative di testi di auditu

In più di a divizzioni cumminata in a classi in u casu generale, hè pussibule distingue diversi cumpunenti adopti in a classificazione internaziunale:

• Prughjettu espertu di u statu di securità di i sistemi d'infurmazioni è infurmazioni nantu à a basa di l'esperienze pirsichi di l'espunenti chì a dirigenu;
• Attestation of systems and safety measures for compliance with standards internationale (ISO 17799) è statali documenti legale chì regulanu stu campu di attività;
• Analisi di a sicurità di i sistemi d'informazioni usendu e usi tècnichi, destinati à identificà e vulnerabili potenzali in u software è cumpagnu hardware.

A volte una auditoria cumplessa cumpreta pò esse appiicata, chì includenu tutti i tipi di supra. Per via, hè quellu chì dà i risultati i più ghjettivi.

Scelta mette e scopu

Qualchidica verificazione, sia interna o esterna, principia cù l'uggetti di scopu è l'aiutu. Sì di parlà più faciule, hè necessariu definisce, chì per, chì è cumu serà verificatu. Questu predeterminate u metuu di mette in tuttu u prucessu.

I so cumpagni, devenu à l'infurmazioni di l'estructura di l'intruduzza stessu, l'urganizazione, l'istituzione è e so attività, pò esse assai. In ogni modu, tra tutti questi, l'uggegiti unificati di l'audità di a securità d'informazione sò sappiutu:

• A valutazione di u statu di securità di i sistemi d'informazioni è infurmazioni;
• Un analisi di i risichi possibli assicate cù l'amelette di penetrazione in IP da fora è metudi possibbili per implementà una tale intervenzione;
• A lucazione di i buchi è i lassalli in u sistema di sicurità;
• Un analisi di a cumplizzione di u nivellu di securità di i sistemi di informazioni cù e normi u regulamentu esistenti;
• U sviluppu è l'emissione di ricunniscenza per eliminà i prublemi attuali, ancu a migliurà di rimedii esistenti è a presentazione di novi evuluzione.

Mètode è mezu di a realizazione di l'auditoria

Avà parechje persone nantu à cumu si svolge u teste è quale u palcuscenicu è i mezi chì inclusi.

L'audità di a sicurità di informazione si compie di parechje staddi principali:

• Inizzione di u prucessu di verificazione (definizioni clara di i diritti è risposti di l'auditoru, preparazione di u pianu d'auditoriu da u auditor è a so appruvazioni cù a gestione, risoluzione di l'issueu di e fruntiere di l'studiu, impone impostazione di l'assistenza di l'utilizatori di l'organizazione è a puntualtia provisione d'informazioni necessaria);
• A cullizzioni di e dati iniziali (a struttura di u sistema di sicurità, a distribuzione di l'equipaggiu di securità, i niveli di u funziunamentu di u sistema di sicurità, l'analisi di i metudi per ottene u furnisce infurmazioni, l'identifione di i canali di cumunicazione è l'interaction of IP cù altre strutture, a ghjerarchia di l'utilizatori di a reta informatica, a definizione di protocoli, etc.);
• Cumprà una verificazione integratua o parali;
• L'analisi di e datu ricunnisciuti (l'analizamentu di risichi di qualsiasi tipu è cunformità à i standards);
• Emissione di ricunniscenza per l'eliminazione di prublemi possibili;
• A creazione di a documentazione di rapportu.

U primu stadiu hè u più simplice, postu chì a so decisione hè stata sclusiva solu da a gestione di l'impresa è l'auditor. I fronti di l'analizamentu ponu esse cunsideratu in una reunione generale di l'impiegati è i accaduti. Tuttu ciò hè applicatu più à u situ legale.

A seconda stampa di cullizzioni di dati iniziali, sezione hè una auditoria interna di a sicurità di informazioni o certifidenza esterni indipendenti, hè a più ricerca in più. Questu hè duvutu à u fattu chì in questu staghjunu hè necessariu no solamente studià a documentazioni tècnica in quantu à tuttu u software è cumpagnu hardware, ma ancu per cunducerete una entrevista stretta di i so cumpagni di a cumpagnia, è in a maiò parte di casi, ancu cun omplete dumande nantu à i filigranati privati.

In quantu à a ducumentazione tècnica, hè impurtante di ottene infurmazioni nantu à l'estructura di l'IP è di i niveli di prubleità di diritti d'accessu per i travagliati, identificanu l'appiecazione à l'sistema è l'appiecu di software (sistemi operativi, applicazioni per a gestione, gestione è contabilité), E non tipu di programa (antivirus, firewall, etc.). Inoltre, chistu cuntene a verificazione sana di i rettiche è di i fornituri chì furnenu servizii di cumunicazione (networking, protokolli usti per cunnessione, tipi di canali di a cumunicazione, metudi di trasmissioni è accolta di flussi d'infurmazioni è assai più). Cumu hè digià chjaru, vi bastassi assai tempu.

A l'urganisazione dopu, i metudi per a verificazione di sicurezza di informazioni sò definiti. Hè distinti da trè:

• Analisi di risorsu (a metodulugia più cumplicata basata nantu à a decisione di l'auditoru di a pussibilità di penetrazione IP è incumpustenu a so integrità cù tutti i metudi è i mezi medici pussibuli);
• A valutazione di u cumplimentu di i normi è l'atti legislativu (u metudu simplice è più praticu, basatu nantu à una comparatione di l'estatutu di l'affare è i richieste di l'internaziunale internaziunali è i ducumenti naziunali in u campu di a securità d'infurmazioni);
• Metu Combinatu, cumminendu i primi dui.

Dopu avè ricivutu i risultati di l'inspezione, analizà a so analisi. I mediechi di a sicurezza di l'infurmazioni, chì sò utilizati per l'analisi, pò esse assai diversi. Tuttu devenu di l'infurmazioni di l'attività di l'intrattenimentu, cum'è l'infurmazioni, u software utilizatu, i media di prutezzione, ecc. Siccomu, cumu pò esse vistutu da u primu mètudu, l'auditoru duverà principalmente di cunfidenza di a so pròpia experience.

È questu solu significa chì deve avè i diplomi approprciati in u campu di a tecnulugia d'informazioni è a prutezzione di data. Basatu annantu à stu analisi, l'auditor calcula ancu risichi possibbili.

Avè chì ùn deve trattà micca solu cù sistemi operativi o di prugrammi utilizati, per esempiu, per a scopi di cumerciu o di cuntabilità, ma ancu capisce bè chì un intrusu pò intrutu in u sistema di informazioni per u scopu di robba, curuzziari è distruzzione di dati, creendu prerequisite per e viulazione In u travagliu di l'informatica, l'espansione di virus o malware.

Avaliazione di risultati di l'auditu è i raccordji per risolve i prublemi

A basa di l'analisi, l'espertu fa una cunclusione nantu à u statu di prutezzione è temi recomandanti per l'eliminazione di prublemi risistenti o potenzale, modernizazione di u sistema di sicurità, etc. In questu casu, e ricunniscenza ùn deve esse solu ughjettivu, ma ancu claramente affissata à e realità di e particularità di l'intrapriża. In altri palori, ùn sò micca cunsiglii per rinfriscà a cunfigurazione di cumpunenti o software. In quantu, questu hè appiicatu à cunsiglii annantu à a dispensa di "impegni di cunnessu", a stallazione di novi sistemi di seguimentu senza indicazione specifica di u so propiu, u locu è di a fattibilità.

Basatu nantu à l'analisi, per regula, ci sò parechji gruppi di risichi. À u listessu tempu, dui indicatori principali sò utilizati per cumpilà l'rapportu cunsolidatu: a probabilità d'un attaccu è i danni causati à a cumpagnia per risultatu (perdita di assi, perdita di reputazione, perdita d'imaghjini, etc.). In ogni casu, l'indicatori per i gruppi ùn anu micca coincide. Per esempiu, un puntuu low per a probabilità di attache hè u megliu. Per danni - à u cuntrariu.

Solu solu questu, un rapportu hè preparatu, in quale tutti i passi, metudi è utili di i studii sò detallati. Hè accunsentutu cù a gestione è firmata da dui partiti - l'affari è l'auditor. Se u cuntrollu hè internu, u capu di a unità strutturale pertinenti cumpone un rapportu, dopu chì ellu hè torna firmatu da a testa.

Verificazione di a sicurità di informazioni: un esempiu

Infine, cunzidira l'esempiu simplice di una situazione chì hà già accadutu. Per parechji, per via, pò esse assai familiari.

Cusì, per esempiu, un certu impegneru di a cumpagnia, impegata in l'acquistu in i Stati Uniti, hà stallatu un messenger ICQ à l'informazione (u nomu di l'impiigatu è u nome di l'impresa ùn hè micca chjamatu per un scopu comprensibile). Negotiationsi sò stati cunducini stu prugramma. Ma "ICQ" hè assai vulnerable in quantu di segurità. L'impiigatu à registrà u numaru in quellu tempu o ùn hà micca un indirizzu email, o simpricamente ùn volenu micca dà. Invece, ellu indicava quarchi cosa simili à e-mail, ancu cun un duminiu esistenti.

Chì avete un attaccu? Cumu l'audità di sicurezza di informazioni dimustrò, ellu register the exact same dominiu è crea un altru terminal di registrazione in questu, postu chì puderia mandà un messagiu à Mirabilis, chì ghjè propiu u serviziu ICQ, cun una dumanda di restituà a password per via di a so perdita (chì avaria statu fattu ). Perchè u servitore di u destinatariu ùn era un servitore di mail, inclusa un redirectu à u mail di l'attaccu.

In u risultatu, riceve accede à a corrispondenza cù u numicu d'ICQ indicatu è informa à u provee chì cambia l'indirizzu di u destinatariu di e merchenzie in un certu paese. Cusì, u càrjanu hè mandatu à nimu chì sapi unni. È questu hè l'esemplariu più inocudu. Allora, vene ghjovanu à pocu pressu. E quantu più di i pirati serii chì sò capaci di più ...

Chjave

Quì in breve è tuttu ciò chì cuntene a verificazione di a sicura di l'IP. Di sicuru, no tutti i so aspetti sò toccu toccu quì. A ragiuni hè solu chì assai fatturius influenza a formulazione di e mette è metudi di a so implementazione, per quessa l'approcciu in ogni casu specificu hè strettu individuu. Inoltre, metudi è utili per a verificazione di sicurezza di informazioni pò esse sfarenti per difetti IP. Tuttavia, pare chì i principii generali di ei cuntrolli per parechje sò diventà chjaru ancu à u livellu iniziale.