ممیزی امنیت اطلاعات سیستم ها و شبکه های کامپیوتری امکان استفاده از تکنیک وجود دارد

ممیزی امنیت اطلاعات نه تنها می تواند به بانک حق انجام انواع خاصی از فعالیت ها را بدهد، بلکه ضعف هایی را در سیستم های بانک نشان می دهد. بنابراین لازم است رویکردی متعادل در تصمیم گیری برای انجام و انتخاب شکل حسابرسی اتخاذ شود.

بر اساس قانون فدرال 30 دسامبر 2008 شماره 307-FZ "در مورد فعالیت های حسابرسی"، حسابرسی عبارت است از "تأیید مستقل از صورت های حسابداری (مالی) واحد حسابرسی شده به منظور اظهار نظر در مورد قابلیت اطمینان چنین مواردی. بیانیه." این عبارت ذکر شده در این قانون ربطی به امنیت اطلاعات ندارد. با این حال، اتفاقاً متخصصان امنیت اطلاعات کاملاً فعالانه از آن در سخنرانی خود استفاده می کنند. در این حالت حسابرسی به فرآیند ارزیابی مستقل فعالیت های یک سازمان، سیستم، فرآیند، پروژه یا محصول اطلاق می شود. در عین حال، باید درک کرد که در مقررات داخلی مختلف از اصطلاح "ممیزی امنیت اطلاعات" همیشه استفاده نمی شود - اغلب با عبارت "ارزیابی انطباق" یا اصطلاح کمی قدیمی اما هنوز استفاده می شود "گواهینامه" جایگزین می شود. گاهی اوقات از اصطلاح "گواهینامه" نیز استفاده می شود، اما در رابطه با مقررات بین المللی خارجی. ممیزی امنیت اطلاعات یا برای تأیید انطباق با مقررات یا برای تأیید اعتبار و امنیت راه حل های مورد استفاده انجام می شود. اما مهم نیست از چه اصطلاحی استفاده می شود، در اصل، ممیزی امنیت اطلاعات یا برای تأیید انطباق با مقررات یا برای تأیید اعتبار و امنیت راه حل های مورد استفاده انجام می شود. در حالت دوم، حسابرسی داوطلبانه است و تصمیم گیری برای انجام آن توسط خود سازمان گرفته می شود. در مورد اول، امتناع از انجام ممیزی غیرممکن است، زیرا این مستلزم نقض الزامات مقرر در مقررات است که منجر به مجازات در قالب جریمه، تعلیق فعالیت ها یا سایر اشکال مجازات می شود. اگر ممیزی اجباری باشد، می‌تواند هم توسط خود سازمان انجام شود، مثلاً به صورت خودارزیابی (البته در این مورد صحبتی از «استقلال» نیست و اصطلاح «حسابرسی» کاملاً نیست. درست است که در اینجا استفاده شود)، یا توسط سازمان های مستقل خارجی - حسابرسان. گزینه سوم برای انجام ممیزی اجباری، کنترل توسط نهادهای نظارتی است که اختیار انجام فعالیت های نظارتی مناسب را دارند. این گزینه اغلب بازرسی نامیده می شود تا ممیزی. از آنجایی که حسابرسی داوطلبانه می تواند کاملاً به هر دلیلی (برای بررسی امنیت سیستم بانکداری از راه دور، کنترل دارایی های یک بانک خریداری شده، بررسی شعبه تازه افتتاح شده و غیره) انجام شود، ما این گزینه را در نظر نخواهیم گرفت. در این مورد، نمی توان مرزهای آن را به وضوح ترسیم کرد، اشکال گزارشگری آن را توصیف نکرد، یا در مورد منظم بودن صحبت کرد - همه اینها با توافق بین حسابرس و سازمان حسابرسی شده تصمیم گیری می شود. بنابراین، ما فقط اشکال حسابرسی اجباری را که مختص بانک ها است در نظر خواهیم گرفت.

استاندارد بین المللی ISO 27001

گاهی اوقات شما می توانید در مورد یک بانک خاص بشنوید که برای مطابقت با الزامات استاندارد بین المللی "ISO/IEC 27001:2005" (معادل کامل روسی آن "GOST R ISO/IEC 27001-2006 - فناوری اطلاعات - روش ها و ابزارها" حسابرسی می شود. امنیت اطلاعات سیستم های مدیریت - الزامات"). در اصل، این استاندارد مجموعه ای از بهترین روش ها برای مدیریت امنیت اطلاعات در سازمان های بزرگ است (سازمان های کوچک از جمله بانک ها همیشه قادر به رعایت کامل الزامات این استاندارد نیستند). مانند هر استاندارد دیگری در روسیه، ISO 27001 یک سند کاملاً داوطلبانه است که هر بانک به طور مستقل تصمیم می گیرد آن را بپذیرد یا نپذیرد. اما ISO 27001 یک استاندارد عملی در سراسر جهان است و کارشناسان بسیاری از کشورها از این استاندارد به عنوان نوعی زبان جهانی برای هدایت تلاش های امنیت اطلاعات خود استفاده می کنند. ISO 27001 همچنین با چندین نکته نه چندان واضح و نامشخص همراه است. با این حال، ISO 27001 همچنین شامل چندین نکته کمتر آشکار و کمتر ذکر شده است. اولاً، نه کل سیستم امنیت اطلاعات بانک بر اساس این استاندارد، بلکه فقط یک یا چند جزء آن مشمول ممیزی می شود. به عنوان مثال، یک سیستم امنیتی بانکداری از راه دور، یک سیستم امنیتی دفتر مرکزی بانک، یا یک سیستم امنیتی فرآیند مدیریت پرسنل. به عبارت دیگر، دریافت گواهی انطباق برای یکی از فرآیندهای ارزیابی شده به عنوان بخشی از حسابرسی تضمین نمی کند که فرآیندهای باقی مانده در همان شرایط نزدیک به ایده آل هستند. نکته دوم مربوط به این است که ISO 27001 یک استاندارد جهانی است، یعنی برای هر سازمانی قابل اجرا است و بنابراین ویژگی های یک صنعت خاص را در نظر نمی گیرد. این امر منجر به این واقعیت شده است که در چارچوب سازمان بین المللی استاندارد ISO، مدت ها در مورد ایجاد استاندارد ISO 27015 که ترجمه ای از ISO 27001/27002 برای صنعت مالی است صحبت شده است. بانک روسیه نیز در توسعه این استاندارد مشارکت فعال دارد. اما ویزا و مسترکارت مخالف پیش نویس این استاندارد هستند که قبلا توسعه یافته است. اولی معتقد است که پیش نویس استاندارد حاوی اطلاعات بسیار کمی است که برای صنعت مالی لازم است (مثلاً در مورد سیستم های پرداخت) و اگر در آنجا اضافه شود، استاندارد باید به کمیته ISO دیگری منتقل شود. مسترکارت همچنین پیشنهاد می کند که توسعه ISO 27015 متوقف شود، اما انگیزه آن متفاوت است - آنها می گویند، صنعت مالی در حال حاضر مملو از اسنادی است که موضوع امنیت اطلاعات را تنظیم می کند. ثالثاً، توجه به این نکته ضروری است که بسیاری از پیشنهادات موجود در بازار روسیه، آنها در مورد ممیزی انطباق صحبت نمی کنند، بلکه در مورد آماده شدن برای حسابرسی صحبت می کنند. واقعیت این است که تنها تعداد کمی از سازمان ها در جهان حق دارند که مطابقت با الزامات ISO 27001 را تأیید کنند. یکپارچه‌کننده‌ها فقط به شرکت‌ها کمک می‌کنند تا الزامات استاندارد را برآورده کنند، که سپس توسط حسابرسان رسمی تأیید می‌شود (به آنها ثبت‌کننده، سازمان‌های صدور گواهی و غیره نیز گفته می‌شود). در حالی که بحث در مورد اینکه آیا بانک ها باید ISO 27001 را اجرا کنند یا خیر ادامه دارد، برخی از افراد شجاع به دنبال آن هستند و تحت 3 مرحله ممیزی انطباق قرار می گیرند:

• بررسی غیررسمی اولیه توسط حسابرس اسناد کلیدی (هم در محل و هم خارج از سایت مشتری حسابرسی).
• ممیزی رسمی و عمیق تر اقدامات حفاظتی اجرا شده، ارزیابی اثربخشی آنها و مطالعه توسعه یافته مدارک لازم. این مرحله معمولاً با تأیید انطباق به پایان می رسد و حسابرس گواهی مربوطه را صادر می کند که در سراسر جهان به رسمیت شناخته شده است.
• انجام ممیزی بازرسی سالانه برای تأیید گواهی انطباق که قبلاً اخذ شده است.

چه کسی در روسیه به ISO 27001 نیاز دارد؟ اگر این استاندارد را نه تنها به‌عنوان مجموعه‌ای از بهترین روش‌ها که می‌توان بدون انجام ممیزی اجرا کرد، بلکه به‌عنوان یک فرآیند صدور گواهینامه که نشان‌دهنده تأیید انطباق بانک با الزامات امنیتی شناخته‌شده بین‌المللی است، در نظر بگیریم، در آن صورت اجرای ISO 27001 منطقی است. توسط بانک‌هایی که عضو گروه‌های بانکی بین‌المللی هستند، که استاندارد ISO 27001 است، یا برای بانک‌هایی که قصد ورود به عرصه بین‌المللی را دارند. در سایر موارد ممیزی مطابقت با ISO 27001 و اخذ گواهینامه به نظر من ضروری نیست. اما فقط برای بانک و فقط در روسیه. و همه به این دلیل است که ما استانداردهای خود را داریم که بر اساس ISO 27001 ساخته شده است. در عمل بازرسی های بانک روسیه تا همین اواخر دقیقاً مطابق با الزامات STO BR IBBS انجام می شد.

مجموعه اسناد بانک روسیه STO BR IBBS

چنین استاندارد یا به عبارتی مجموعه ای از استانداردها مجموعه ای از اسناد بانک روسیه است که رویکردی واحد برای ایجاد یک سیستم امنیت اطلاعات برای سازمان های بانکی با در نظر گرفتن الزامات قانون روسیه را توصیف می کند. این مجموعه از اسناد (از این پس STO BR IBBS) که شامل سه استاندارد و پنج توصیه برای استانداردسازی است، بر اساس ISO 27001 و تعدادی دیگر از استانداردهای بین المللی برای مدیریت فناوری اطلاعات و امنیت اطلاعات است. مسائل مربوط به ممیزی و ارزیابی انطباق با الزامات استاندارد، همانطور که برای ISO 27001، در اسناد جداگانه مشخص شده است - "STO BR IBBS-1.1-2007. ممیزی امنیت اطلاعات، "STO BR IBBS-1.2-2010. روش‌شناسی ارزیابی انطباق با امنیت اطلاعات سازمان‌ها سیستم بانکیالزامات فدراسیون روسیه STO BR IBBS-1.0-2010" و "RS BR IBBS-2.1-2007". دستورالعمل های خود ارزیابی انطباق امنیت اطلاعات سازمان های سیستم بانکی فدراسیون روسیه با الزامات STO BR IBBS-1.0." در طی ارزیابی انطباق طبق STO BR IBBS، اجرای 423 شاخص امنیت اطلاعات خصوصی، که در 34 شاخص گروه گروه بندی شده اند، بررسی می شود. نتیجه ارزیابی، شاخص نهایی است که باید در سطح 4 یا 5 در مقیاس پنج نقطه ای ایجاد شده توسط بانک روسیه باشد. به هر حال، این موضوع حسابرسی طبق استاندارد STO BR IBBS را از ممیزی مطابق با سایر مقررات در زمینه امنیت اطلاعات بسیار متمایز می کند. در STO BR IBBS هیچ تناقضی وجود ندارد، فقط سطح انطباق می تواند متفاوت باشد: از صفر تا پنج. و فقط سطوح بالای 4 مثبت تلقی می شوند. تا پایان سال 2011، تقریباً 70 تا 75 درصد از بانک ها این مجموعه استانداردها را اجرا کرده و یا در حال اجرای آن هستند. علیرغم همه چیز، آنها ماهیت مشاوره ای قانونی دارند، اما بازرسی های عملی بانک روسیه تا همین اواخر دقیقاً مطابق با الزامات STO BR IBBS انجام می شد (اگرچه این هرگز به صراحت در هیچ کجا بیان نشده بود). وضعیت در 1 ژوئیه 2012 تغییر کرد، زمانی که قانون "در مورد ملی سیستم پرداختو اسناد نظارتی دولت روسیه و بانک روسیه برای اجرای آن تدوین شده است. از این لحظه به بعد موضوع لزوم انجام ممیزی در مورد رعایت الزامات STO BR IBBS دوباره در دستور کار قرار گرفت. واقعیت این است که روش ارزیابی انطباق، پیشنهاد شده در چارچوب قانون سیستم پرداخت ملی (NPS) و روش ارزیابی انطباق با STO BR IBBS می تواند در مقادیر نهایی بسیار متفاوت باشد. در عین حال، ارزیابی با استفاده از روش اول (برای NPS) اجباری شده است، در حالی که ارزیابی با استفاده از STO BR IBBS هنوز هم ماهیت توصیه‌ای است. و در زمان نگارش این مقاله، خود بانک روسیه هنوز تصمیمی در مورد سرنوشت آینده این ارزیابی نگرفته بود. اگر قبلاً همه موضوعات در اداره اصلی امنیت و حفاظت اطلاعات بانک روسیه (GUBZI) همگرا شده بودند، پس تقسیم اختیارات بین GUBZI و وزارت تنظیم تسویه حساب (LHH) هنوز یک سؤال باز است. از قبل واضح است که اقدامات قانونی در مورد NPS نیاز به ارزیابی انطباق اجباری، یعنی ممیزی دارد.

قانون نظام پرداخت ملی

قانون NPS تنها در ابتدای شکل گیری خود است و اسناد جدید بسیاری از جمله موارد مربوط به تضمین امنیت اطلاعات در انتظار ما است. اما در حال حاضر واضح است که مقررات 382-P، صادر و تصویب شده در 9 ژوئن 2012، "در مورد الزامات اطمینان از حفاظت از اطلاعات هنگام انجام نقل و انتقال پول و رویه نظارت بانک روسیه بر انطباق با الزامات مربوط به حصول اطمینان از حفاظت از اطلاعات هنگام انجام نقل و انتقال پول»» در بند 2.15 نیاز به ارزیابی انطباق اجباری، یعنی حسابرسی دارد. چنین ارزیابی یا به طور مستقل یا با دخالت اشخاص ثالث انجام می شود. همانطور که در بالا ذکر شد، ارزیابی انطباق انجام شده در چارچوب 382-P در اصل مشابه آنچه در روش ارزیابی انطباق STO BR IBBS توضیح داده شده است، اما نتایج کاملا متفاوتی را تولید می کند که با معرفی فاکتورهای اصلاحی خاص همراه است. که نتایج مختلف را تعیین می کند. هیچ یک نیازمندی های ویژه مقررات 382-P در مورد سازمان های درگیر در حسابرسی اعمال نمی شود، که با مصوبه دولت شماره 584 مورخ 13 ژوئن 2012 "در مورد حفاظت از اطلاعات در سیستم پرداخت" که همچنین مستلزم سازماندهی و انجام نظارت است، در تضاد است. و ارزیابی انطباق با الزامات حفاظت از اطلاعات هر 2 سال یک بار. با این حال، فرمان دولت تدوین شده توسط FSTEC ایجاب می کند که ممیزی های خارجی فقط توسط سازمان هایی انجام شود که مجوز فعالیت در حفاظت فنی از اطلاعات محرمانه را دارند. الزامات اضافی که طبقه بندی آنها به عنوان یکی از اشکال حسابرسی دشوار است، اما مسئولیت های جدیدی را بر بانک ها تحمیل می کند، در بخش 2.16 مقررات 382-P فهرست شده است. با توجه به این الزامات، اپراتور سیستم پرداخت موظف به توسعه است و بانک هایی که به این سیستم پرداخت ملحق شده اند، موظف به رعایت الزامات اطلاع رسانی منظم به اپراتور سیستم پرداخت در مورد مسائل مختلف امنیت اطلاعات در بانک هستند: در مورد رعایت الزامات امنیت اطلاعات. ، در مورد حوادث شناسایی شده، در مورد خود ارزیابی های انجام شده، در مورد تهدیدات و آسیب پذیری های شناسایی شده. علاوه بر ممیزی انجام شده بر اساس قرارداد، قانون فدرال شماره 161 در مورد NPS همچنین تعیین می کند که کنترل و نظارت بر انطباق با الزامات تعیین شده توسط دولت فدراسیون روسیه در قطعنامه 584 و بانک روسیه در مقررات 382 انجام می شود. توسط FSB FSTEC و بانک روسیه، به ترتیب. در زمان نگارش این مقاله، نه FSTEC و نه FSB رویه ای توسعه یافته برای انجام چنین نظارتی نداشتند، برخلاف بانک روسیه، که مقررات شماره 380-P مورخ 31 مه 2012 "در مورد رویه نظارت بر سیستم پرداخت ملی" را صادر کرد. (برای موسسات اعتباری) و مقررات مورخ 9 ژوئن 2012 شماره 381-P "در مورد رویه نظارت بر رعایت اپراتورهای سیستم پرداخت و اپراتورهای خدمات زیرساخت پرداخت که موسسات اعتباری با الزامات قانون فدرال 27 ژوئن 2011 نیستند. شماره 161-FZ "در مورد سیستم پرداخت ملی" که مطابق با مقررات بانک روسیه تصویب شده است." اقدامات نظارتی در زمینه حفاظت از اطلاعات در نظام پرداخت ملی تنها در ابتدای توسعه تفصیلی است. در 1 ژوئیه 2012، بانک روسیه شروع به آزمایش آنها و جمع آوری حقایق در مورد عملکرد اجرای قانون کرد. بنابراین، امروز زود است که در مورد نحوه اعمال این مقررات، نحوه نظارت بر 380-P صحبت کنیم، بر اساس نتایج خودارزیابی که هر 2 سال یک بار انجام می شود و به بانک ارسال می شود، چه نتایجی گرفته می شود. روسیه

استاندارد امنیتی کارت پرداخت PCI DSS

استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) یک استاندارد امنیت داده کارت پرداخت است که توسط شورای استانداردهای امنیتی صنعت کارت پرداخت (PCI SSC) ایجاد شده است که توسط سیستم های پرداخت بین المللی Visa، MasterCard، American Express، JCB و Discover ایجاد شده است. استاندارد PCI DSS مجموعه ای از 12 سطح بالا و بیش از 200 الزامات دقیق برای اطمینان از امنیت داده های دارنده کارت پرداخت است که در انتقال، ذخیره و پردازش می شود. سیستم های اطلاعاتیآه سازمان ها الزامات این استاندارد برای کلیه شرکت هایی که با سیستم های پرداخت بین المللی ویزا و مسترکارت کار می کنند اعمال می شود. بسته به تعداد تراکنش های پردازش شده، به هر شرکت یک سطح مشخص با مجموعه ای از الزامات مربوطه اختصاص می یابد که این شرکت ها باید آنها را برآورده کنند. این سطوح بسته به سیستم پرداخت متفاوت است. گذراندن موفقیت آمیز حسابرسی به این معنی نیست که همه چیز از نظر امنیت در بانک خوب است - ترفندهای زیادی وجود دارد که به سازمان حسابرسی شده اجازه می دهد برخی از کاستی ها را در سیستم امنیتی خود پنهان کند. تأیید انطباق با الزامات استاندارد PCI DSS در چارچوب صدور گواهینامه اجباری انجام می شود که الزامات آن بسته به نوع شرکت مورد بازرسی متفاوت است - یک شرکت تجاری و خدماتی که کارت های پرداخت را برای پرداخت کالا و خدمات می پذیرد. ، یا ارائه دهنده خدماتی که به بازرگانان خدمات ارائه می دهد و بانک ها، ناشران و غیره را خریداری می کند. (مراکز پردازش، درگاه های پرداخت و غیره). این ارزیابی می تواند اشکال مختلفی داشته باشد:

• ممیزی سالانه توسط شرکت های معتبر با وضعیت ارزیاب های امنیتی واجد شرایط (QSA)؛
• خود ارزیابی سالانه؛
• اسکن شبکه سه ماهه با کمک سازمان های مجاز با وضعیت فروشنده اسکن تایید شده (ASV).

قوانین مربوط به داده های شخصی

آخرین سند نظارتی، همچنین مربوط به صنعت بانکداری و ایجاد الزامات ارزیابی انطباق، قانون فدرال "در مورد داده های شخصی" است. با این حال، نه شکل چنین ممیزی، نه فراوانی آن، و نه الزامات سازمانی که چنین ممیزی را انجام می دهد هنوز مشخص نشده است. شاید این مشکل در پاییز 2012 حل شود، زمانی که دسته بعدی اسناد از دولت فدراسیون روسیه، FSTEC و FSB منتشر شد و استانداردهای جدیدی را در زمینه حفاظت از داده های شخصی معرفی کرد. در این میان، بانک‌ها می‌توانند آسوده خاطر باشند و به‌طور مستقل جزئیات حسابرسی مسائل حفاظت از داده‌های شخصی را تعیین کنند. کنترل و نظارت بر اجرای اقدامات سازمانی و فنی برای اطمینان از امنیت داده های شخصی تعیین شده توسط ماده 19 152-FZ توسط FSB و FSTEC انجام می شود، اما فقط برای سیستم های اطلاعات دولتی داده های شخصی. طبق قانون، هیچ کس برای اعمال کنترل بر سازمان های تجاری در زمینه تضمین امنیت اطلاعات داده های شخصی وجود ندارد. در مورد مسائل مربوط به حمایت از حقوق افراد داده های شخصی، یعنی مشتریان، طرفین و صرفاً بازدیدکنندگان بانک نمی توان همین را گفت. این وظیفه توسط Roskomnadzor انجام شد که بسیار فعالانه وظایف نظارتی خود را انجام می دهد و بانک ها را از بدترین ناقضان قانون در مورد داده های شخصی می داند.

مقررات نهایی

مقررات اصلی در زمینه امنیت اطلاعات مربوط به موسسات اعتباری در بالا مورد بحث قرار گرفته است. بسیاری از این مقررات وجود دارد و هر یک از آنها الزامات خاص خود را برای انجام ارزیابی انطباق به یک شکل یا شکل دیگر - از خود ارزیابی در قالب پر کردن پرسشنامه ها (PCI DSS) گرفته تا گذراندن ممیزی اجباری هر دو سال یکبار ( 382-P) یا یک بار در سال (ISO 27001). بین این رایج‌ترین اشکال ارزیابی انطباق، موارد دیگری وجود دارد - اعلان‌های اپراتور سیستم پرداخت، اسکن‌های فصلی و غیره. همچنین شایان ذکر است که کشور هنوز فاقد آن است یک سیستمدیدگاه ها نه تنها در مقررات دولتیفرآیندهای ممیزی امنیت اطلاعات سازمان ها و سیستم های فناوری اطلاعات، بلکه موضوع حسابرسی امنیت اطلاعات به طور کلی است. در فدراسیون روسیه تعدادی بخش و سازمان (FSTEC، FSB، Bank of Russia، Roskomnadzor، PCI SSC و غیره) مسئول امنیت اطلاعات هستند. و همه آنها بر اساس مقررات و دستورالعمل های خود عمل می کنند. رویکردهای مختلف، استانداردهای متفاوت، سطوح مختلفبلوغ... همه اینها با ایجاد قوانین یکسان بازی تداخل دارد. این تصویر همچنین با ظهور شرکت‌هایی که به دنبال کسب سود هستند، خدمات بسیار کم‌کیفیتی را در زمینه ارزیابی انطباق با الزامات امنیت اطلاعات ارائه می‌کنند، خراب شده است. و بعید است که وضعیت به سمت بهتر شدن تغییر کند. اگر نیازی وجود داشته باشد، کسانی وجود خواهند داشت که مایل به ارضای آن هستند، در حالی که حسابرسان واجد شرایط کافی برای همه وجود ندارد. با تعداد کم آنها (نشان داده شده در جدول) و مدت زمان حسابرسی از چند هفته تا چند ماه، بدیهی است که نیازهای حسابرسی به طور جدی بیش از توانایی حسابرسان است. در مفهوم حسابرسی امنیت اطلاعات سیستم‌ها و سازمان‌های فناوری اطلاعات، که هرگز توسط FSTEC پذیرفته نشد، این عبارت وجود داشت: «در عین حال، در غیاب تنظیم‌کننده‌های ملی لازم، این گونه فعالیت‌ها / ممیزی‌های غیرقانونی توسط شرکت‌های خصوصی/ می‌توانند صدمات جبران‌ناپذیری به سازمان‌ها وارد کنند.» در پایان، نویسندگان مفهوم پیشنهاد کردند رویکردهای حسابرسی را متحد کنند و قوانین بازی را به طور قانونی ایجاد کنند، از جمله قوانین اعتبارسنجی حسابرسان، الزامات صلاحیت آنها، روش های حسابرسی و غیره، اما چیزهایی هنوز وجود دارد. اگرچه با توجه به توجهی که رگولاتورهای داخلی در حوزه امنیت اطلاعات (و ما 9 مورد از آنها داریم) به مسائل امنیت اطلاعات می پردازند (تنها در سال گذشته، 52 آیین نامه در مورد مسائل امنیت اطلاعات تصویب یا تدوین شده است - یک آیین نامه در هفته. !)، من این موضوع را رد نمی کنم که به زودی مجدداً مورد بررسی قرار گیرد.

استانداردهای حسابرسی امنیت اطلاعات

در چنین شرایطی، متأسفانه، باید بپذیریم که هدف اصلی حسابرسی امنیت اطلاعات یک بانک - افزایش اعتماد به فعالیت های آن - در روسیه دست نیافتنی است. تعداد کمی از مشتریان بانک ما به سطح امنیت آن یا به نتایج حسابرسی انجام شده در بانک توجه می کنند. ما به حسابرسی مراجعه می کنیم یا در صورت شناسایی یک حادثه بسیار جدی که منجر به خسارت مادی جدی به بانک (یا سهامداران و صاحبان آن) شده است، یا در مورد الزامات قانونی، که، همانطور که در بالا نشان داده شد، ما به حسابرسی مراجعه می کنیم. زیاد. و برای شش ماه آینده، الزام شماره 1، که برای آن ارزش توجه به ممیزی امنیتی را دارد، مقررات بانک روسیه 382-P است. در حال حاضر اولین سوابق درخواست از ادارات منطقه ای بانک مرکزی برای اطلاع از سطح امنیت بانک ها و رعایت الزامات 382-P وجود دارد و این اطلاعات دقیقاً در نتیجه یک حسابرسی خارجی یا خود به دست آمده است. -ارزیابی در وهله دوم، حسابرسی انطباق با الزامات قانون "در مورد داده های شخصی" را قرار می دهم. اما چنین ممیزی نباید زودتر از بهار انجام شود، زمانی که تمام اسناد وعده داده شده توسط FSTEC و FSB منتشر می شود و سرنوشت STO BR IBBS مشخص می شود. سپس می توان موضوع انجام ممیزی از انطباق با الزامات STO BR IBBS را مطرح کرد. نه تنها آینده مجموعه اسناد بانک روسیه، بلکه وضعیت آن در رابطه با 382-P مشابه، اما همچنان متفاوت و همچنین مشخص خواهد شد که آیا STO BR IBBS به پوشش مسائل مربوط به حفاظت از داده های شخصی ادامه خواهد داد. . گذراندن موفقیت آمیز حسابرسی به این معنی نیست که همه چیز از نظر امنیت در بانک خوب است - ترفندهای زیادی وجود دارد که به سازمان حسابرسی شده اجازه می دهد برخی از کاستی ها را در سیستم امنیتی خود پنهان کند. و خیلی به صلاحیت و استقلال حسابرسان بستگی دارد. تجربه سال‌های گذشته نشان می‌دهد که حتی در سازمان‌هایی که ممیزی انطباق با استانداردهای PCI DSS، ISO 27001 یا STO BR IBBS را با موفقیت پشت سر گذاشته‌اند، حوادث و حوادث جدی وجود دارد.

نظر متخصص

دیمیتری مارکین، رئیس بخش حسابرسی و مشاوره AMT-GROUP:

تا همین اواخر، مسائل مربوط به گذراندن ممیزی اجباری وضعیت امنیت اطلاعات برای موسسات اعتباری در چارچوب قوانین روسیه فقط توسط قانون فدرال-152 "در مورد داده های شخصی" از نظر کنترل داخلی بر اقدامات انجام شده برای اطمینان از امنیت داده های شخصی، و همچنین با مقررات بانک مرکزی فدراسیون روسیه شماره 242-P "در مورد سازماندهی کنترل داخلی در موسسات اعتباری و گروه های بانکی". علاوه بر این، مطابق با الزامات آیین نامه شماره 242-P، روش نظارت بر پشتیبانی امنیت اطلاعات به طور مستقل توسط اسناد داخلی سازمان اعتباری بدون اشاره به الزامات خاص برای پشتیبانی امنیت اطلاعات ایجاد می شود. در رابطه با لازم الاجرا شدن ماده 27 قانون فدرال شماره 161 "در مورد سیستم پرداخت ملی" که الزامات حفاظت از اطلاعات در سیستم پرداخت را تعریف می کند، فرمان شماره 584 دولت فدراسیون روسیه "در مورد تصویب مقررات حفاظت از اطلاعات در سیستم پرداخت" و مقررات بانک مرکزی RF شماره 382-P منتشر شد. بر اساس الزامات مصوبه شماره 584 و آیین نامه شماره 382-P، حفاظت از اطلاعات در سیستم پرداخت باید مطابق با الزامات این آیین نامه و الزامات مندرج توسط اپراتورهای سیستم پرداخت در قوانین پرداخت انجام شود. سیستم های. نکته کلیدیدر اینجا ادغام در سطح قوانین ملی حق اپراتورهای سیستم پرداخت (به عنوان مثال ویزا و مسترکارت) برای ایجاد مستقل الزامات حفاظت از اطلاعات است. آیین نامه شماره 382-P همچنین الزام موسسات اعتباری را برای ارزیابی انطباق با الزامات امنیت اطلاعات حداقل هر 2 سال یک بار مشخص می کند، روش ارزیابی انطباق، معیارهای حسابرسی و روش مستندسازی نتایج آن را به وضوح تعریف می کند. به نظر ما، ظهور مقررات فوق باید آمار صدور گواهینامه توسط موسسات اعتباری را بر اساس الزامات استاندارد امنیت داده صنعت پرداخت افزایش دهد. کارت های PCI DSS 2.0 که با مشارکت سیستم های پرداخت بین المللی پیشرو Visa و MasterCard توسعه یافته است.

معرفی

حسابرسی نوعی کنترل مستقل و خنثی بر هر حوزه از فعالیت یک شرکت تجاری است که به طور گسترده در عمل اقتصاد بازار به ویژه در زمینه حسابداری استفاده می شود. از نقطه نظر توسعه کلی یک شرکت، ممیزی امنیتی آن کم اهمیت نیست، که شامل تجزیه و تحلیل خطرات مرتبط با احتمال تهدیدات امنیتی، به ویژه در رابطه با منابع اطلاعاتارزیابی سطح فعلی امنیت سیستم های اطلاعاتی (IS)، بومی سازی گلوگاه ها در سیستم حفاظت از آنها، ارزیابی انطباق سیستم اطلاعاتی با استانداردهای موجود در زمینه امنیت اطلاعات و ارائه توصیه هایی برای معرفی و بهبود سیستم های اطلاعاتی. کارایی مکانیسم های امنیتی IS موجود

اگر در مورد هدف اصلی ممیزی امنیت اطلاعات صحبت کنیم، می توان آن را به عنوان ارزیابی سطح امنیت سیستم اطلاعات یک شرکت برای مدیریت آن به عنوان یک کل با در نظر گرفتن چشم انداز توسعه آن تعریف کرد.

در شرایط مدرن، زمانی که سیستم‌های اطلاعاتی در تمام حوزه‌های فعالیت یک شرکت نفوذ می‌کنند و با توجه به نیاز به ارتباط آن‌ها با اینترنت، در معرض تهدیدات داخلی و خارجی قرار دارند، مشکل امنیت اطلاعات کمتر از امنیت اقتصادی یا فیزیکی نمی‌شود.

علیرغم اهمیت موضوع مورد بررسی برای آموزش متخصصان امنیت اطلاعات، هنوز به عنوان یک دوره مجزا در دوره های موجود گنجانده نشده است. طرح های آموزشیو در کتاب های درسی و وسایل کمک آموزشی مطرح نشده بود. این به دلیل نبود چارچوب نظارتی لازم، متخصصان آموزش ندیده و تجربه عملی ناکافی در زمینه ممیزی امنیت اطلاعات بود.

ساختار کلی کار شامل دنباله ای از مسائل زیر است:

مدلی را برای ایجاد یک سیستم امنیت اطلاعات (IS) توصیف می کند که تهدیدها، آسیب پذیری ها، خطرات و اقدامات متقابل اتخاذ شده برای کاهش یا جلوگیری از آنها را در نظر می گیرد.

روش های تجزیه و تحلیل ریسک و مدیریت در نظر گرفته شده است.

مفاهیم اساسی ممیزی امنیتی تشریح شده و اهداف اجرای آن تشریح شده است.

تجزیه و تحلیل استانداردهای اصلی بین المللی و روسی مورد استفاده در انجام ممیزی امنیت اطلاعات؛

امکانات استفاده نشان داده شده است نرم افزاربرای انجام ممیزی IS؛

انتخاب ساختار توصیف شده کمک آموزشیبا هدف به حداکثر رساندن جهت گیری دانش آموزان به سمت انجام شد استفاده عملیاز مطالب مورد نظر، اولاً هنگام مطالعه یک دوره سخنرانی، ثانیاً هنگام گذراندن دوره های کارآموزی تولید (تجزیه و تحلیل وضعیت امنیت اطلاعات در شرکت)، ثالثاً هنگام تکمیل دوره ها و پایان نامه ها.

مطالب ارائه شده ممکن است برای مدیران و کارکنان خدمات امنیتی و خدمات حفاظت اطلاعات یک شرکت برای تهیه و انجام داخلی و توجیه نیاز به ممیزی امنیت اطلاعات خارجی مفید باشد.

فصل اول. ممیزی امنیتی و روشهای انجام آن

1 مفهوم ممیزی امنیتی

حسابرسی یک بررسی مستقل از حوزه های خاصی از عملکرد سازمان است. ممیزی خارجی و داخلی وجود دارد. حسابرسی خارجی معمولاً یک رویداد یکباره است که به ابتکار مدیریت یا سهامداران سازمان انجام می شود. انجام ممیزی های خارجی به طور منظم توصیه می شود و به عنوان مثال، برای بسیاری از سازمان های مالی و شرکت های سهامی این یک الزام اجباری از طرف موسسان و سهامداران آنها است. حسابرسی داخلی فعالیت مستمری است که بر اساس «آیین نامه حسابرسی داخلی» و بر اساس برنامه انجام می شود که تهیه آن توسط واحدهای خدمات حراست و به تأیید مدیریت سازمان می رسد.

اهداف ممیزی امنیتی عبارتند از:

تجزیه و تحلیل خطرات مرتبط با احتمال تهدیدات امنیتی در رابطه با منابع؛

ارزیابی سطح فعلی امنیت IP؛

بومی سازی تنگناها در سیستم حفاظت IP؛

ارزیابی انطباق IP با استانداردهای موجود در زمینه امنیت اطلاعات؛

ممیزی امنیتی یک شرکت (شرکت، سازمان) باید به عنوان یک ابزار مدیریتی محرمانه در نظر گرفته شود که به منظور توطئه، امکان ارائه اطلاعات در مورد نتایج فعالیت های آن به اشخاص و سازمان های ثالث را حذف می کند.

برای انجام ممیزی امنیت سازمانی، دنباله اقدامات زیر را می توان توصیه کرد.

1. آمادگی برای ممیزی امنیتی:

انتخاب موضوع حسابرسی (شرکت، ساختمان ها و اماکن فردی، سیستم های جداگانهیا اجزای آنها)؛

تشکیل تیمی از حسابرسان خبره؛

تعیین دامنه و دامنه ممیزی و تعیین چارچوب های زمانی مشخص برای کار.

2.انجام ممیزی:

تجزیه و تحلیل کلی از وضعیت امنیتی شی ممیزی.

ثبت، جمع آوری و تأیید داده های آماری و نتایج اندازه گیری های ابزاری خطرات و تهدیدها.

ارزیابی نتایج بازرسی؛

تهیه گزارشی از نتایج بازرسی برای اجزای جداگانه.

3.تکمیل ممیزی:

تهیه گزارش نهایی؛

توسعه یک برنامه عملیاتی برای رفع تنگناها و کاستی ها در تضمین امنیت شرکت.

برای انجام موفقیت آمیز ممیزی امنیتی باید:

مشارکت فعال مدیریت شرکت در اجرای آن؛

عینیت و استقلال حسابرسان (کارشناسان)، شایستگی و حرفه ای بودن آنها؛

رویه راستی آزمایی ساختار یافته به وضوح؛

اجرای فعال اقدامات پیشنهادی برای تضمین و افزایش امنیت.

ممیزی امنیتی به نوبه خود ابزاری موثر برای ارزیابی امنیت و مدیریت ریسک است. پیشگیری از تهدیدات امنیتی نیز به معنای حفاظت اقتصادی، اجتماعی و علایق اطلاعاتیشرکت ها

از اینجا می توان نتیجه گرفت که حسابرسی امنیتی در حال تبدیل شدن به یک ابزار مدیریت اقتصادی است.

بسته به حجم اشیاء سازمانی تجزیه و تحلیل شده، دامنه حسابرسی تعیین می شود:

-ممیزی امنیتی کل شرکت؛

-ممیزی ایمنی ساختمان ها و اماکن فردی (محل تعیین شده)؛

-ممیزی تجهیزات و وسایل فنیانواع و گونه های خاص؛

-حسابرسی گونه های منفردو زمینه های فعالیت: اقتصادی، زیست محیطی، اطلاعاتی، مالی و غیره.

باید تاکید کرد که حسابرسی نه به ابتکار حسابرس، بلکه به ابتکار مدیریت شرکت انجام می شود که این مسالهذینفع اصلی است. پشتیبانی مدیریت شرکت است یک شرط ضروریبرای انجام ممیزی

حسابرسی مجموعه‌ای از فعالیت‌هاست که علاوه بر خود حسابرس، نمایندگان اکثر بخش‌های ساختاری شرکت در آن مشارکت دارند. اقدامات همه شرکت کنندگان در این فرآیند باید هماهنگ باشد. بنابراین، در مرحله شروع روش حسابرسی، مسائل سازمانی زیر باید حل شود:

حقوق و مسئولیت های حسابرس باید در شرح وظایف وی و همچنین در مقررات مربوط به حسابرسی داخلی (خارجی) به وضوح تعریف و مستند شود.

حسابرس باید برنامه حسابرسی را تهیه و با مدیریت موافقت کند.

مقررات مربوط به حسابرسی داخلی باید به ویژه تصریح کند که کارکنان مؤسسه موظف به کمک به حسابرس و ارائه کلیه اطلاعات لازم برای حسابرسی هستند.

در مرحله شروع روش حسابرسی، حدود بررسی باید مشخص شود. اگر برخی از زیرسیستم های اطلاعاتی شرکت به اندازه کافی حیاتی نباشند، می توان آنها را از محدوده بررسی حذف کرد.

سایر زیرسیستم ها به دلیل نگرانی های مربوط به محرمانه بودن ممکن است قابل حسابرسی نباشند.

مرزهای نظرسنجی در دسته بندی های زیر تعیین می شود:

فهرست منابع فیزیکی، نرم افزاری و اطلاعاتی بررسی شده.

2.سایت ها (امکان) که در محدوده های بررسی قرار می گیرند.

3.انواع اصلی تهدیدات امنیتی در نظر گرفته شده در طول ممیزی.

4.جنبه‌های امنیتی سازمانی (قانونی، اداری و رویه‌ای)، فیزیکی، نرم‌افزاری، سخت‌افزاری و سایر جنبه‌های امنیتی که باید در نظرسنجی مورد توجه قرار گیرند و اولویت‌های آنها (تا چه اندازه باید در نظر گرفته شوند).

طرح و حدود حسابرسی در یک جلسه کاری که با حضور حسابرسان، مدیریت شرکت و روسای بخش‌های ساختاری برگزار می‌شود، مورد بحث و بررسی قرار می‌گیرد.

برای درک ممیزی امنیت اطلاعات به عنوان یک سیستم پیچیده، مدل مفهومی آن در شکل 1 نشان داده شده است. 1.1. اجزای اصلی فرآیند در اینجا برجسته شده است:

موضوع حسابرسی:

هدف حسابرسی:

برنج. 1.1. مدل مفهومی حسابرسی IS

الزامات؛

روش های مورد استفاده؛

مجریان؛

ترتیب رفتار

از نقطه نظر سازماندهی کار هنگام انجام ممیزی امنیت اطلاعات، سه مرحله اساسی وجود دارد:

1.جمع آوری اطلاعات؛

2.تحلیل داده ها؛

2 روش های تجزیه و تحلیل داده ها در طول ممیزی IS

در حال حاضر از سه روش (رویکرد) اصلی برای انجام حسابرسی استفاده می شود که تفاوت های چشمگیری با یکدیگر دارند.

اولین روش، پیچیده ترین، مبتنی بر تجزیه و تحلیل ریسک است. بر اساس روش های تحلیل ریسک، حسابرس مجموعه ای جداگانه از الزامات امنیتی را برای IP مورد بررسی تعیین می کند به بیشترین میزانبا در نظر گرفتن ویژگی های یک IS معین، محیط عملیاتی آن و تهدیدات امنیتی موجود در این محیط. این رویکرد پر زحمت ترین است و به بالاترین صلاحیت حسابرس نیاز دارد. کیفیت نتایج حسابرسی، در این مورد، به شدت تحت تأثیر روش مورد استفاده برای تجزیه و تحلیل و مدیریت ریسک و کاربرد آن در این نوع IS است.

روش دوم، کاربردی ترین، بر استفاده از استانداردهای امنیت اطلاعات متکی است. استانداردها مجموعه ای اساسی از الزامات امنیتی را برای کلاس گسترده ای از IP تعریف می کنند که در نتیجه تعمیم رویه جهانی شکل می گیرد. استانداردها بسته به سطح امنیت IP که باید تضمین شود، وابستگی آن (سازمان تجاری یا سازمان دولتی)، و هدف (مالی، صنعت، ارتباطات و غیره) می‌توانند مجموعه‌های مختلفی از الزامات امنیتی را تعریف کنند. از حسابرس به در این موردلازم است مجموعه الزامات استانداردی که باید برای یک IS معین برآورده شوند به درستی تعیین شود. یک روش نیز برای ارزیابی این انطباق مورد نیاز است. به دلیل سادگی ( مجموعه استانداردالزامات انجام حسابرسی قبلاً توسط استاندارد از پیش تعیین شده است) و قابلیت اطمینان (استاندارد یک استاندارد است و هیچ کس سعی نمی کند الزامات آن را به چالش بکشد)، رویکرد توصیف شده در عمل رایج ترین است (به ویژه هنگام انجام حسابرسی خارجی). به شما اجازه می دهد حداقل هزینه هامنابع برای نتیجه گیری آگاهانه در مورد وضعیت IP.

روش سوم، مؤثرترین، شامل ترکیب دو روش اول است.

اگر رویکردی مبتنی بر تحلیل ریسک برای انجام ممیزی امنیتی انتخاب شود، گروه‌های زیر معمولاً در مرحله تجزیه و تحلیل داده‌های حسابرسی انجام می‌شوند:

تجزیه و تحلیل منابع IP شامل منابع اطلاعاتی، نرم افزار و سخت افزار و منابع انسانی.

2.تجزیه و تحلیل گروهی از وظایف حل شده توسط سیستم و فرآیندهای تجاری.

3.ساخت یک مدل (غیررسمی) از منابع IS که روابط بین اطلاعات، نرم افزار، منابع فنی و انسانی، موقعیت نسبی آنها و روش های تعامل را تعریف می کند.

4.ارزیابی بحرانی بودن منابع اطلاعاتی و همچنین نرم افزار و سخت افزار.

5.تعیین بحرانی بودن منابع با در نظر گرفتن وابستگی متقابل آنها.

6.تعیین محتمل ترین تهدیدات امنیتی برای منابع IP و آسیب پذیری های امنیتی که این تهدیدات را ممکن می سازد.

7.ارزیابی احتمال تهدیدها، میزان آسیب‌پذیری‌ها و آسیب‌های وارد شده به سازمان در صورت اجرای موفقیت‌آمیز تهدیدات.

8.تعیین میزان خطرات برای هر سه قلو: تهدید - گروه منبع - آسیب پذیری.

مجموعه وظایف ذکر شده کاملاً کلی است. برای حل آنها می توان از تکنیک های مختلف رسمی و غیررسمی، کمی و کیفی، دستی و تحلیل ریسک خودکار استفاده کرد. ماهیت رویکرد تغییر نمی کند.

ارزیابی ریسک را می توان با استفاده از مقیاس های کیفی و کمی مختلف انجام داد. نکته اصلی این است که ریسک های موجود به درستی شناسایی و بر اساس درجه اهمیت آنها برای سازمان رتبه بندی شوند. بر اساس چنین تحلیلی، می توان سیستمی از اقدامات اولویت دار ایجاد کرد تا میزان خطرات را تا حد قابل قبولی کاهش دهد.

هنگام انجام ممیزی امنیتی برای انطباق با الزامات استاندارد، حسابرس با اتکا به تجربه خود، قابلیت اعمال الزامات استاندارد را در IP مورد بررسی و انطباق آن با این الزامات ارزیابی می کند. داده های انطباق مناطق مختلفعملکرد الزامات استاندارد IS معمولا در ارائه شده است فرم جدولی. جدول نشان می دهد که کدام الزامات امنیتی در سیستم پیاده سازی نشده اند. بر این اساس، نتیجه گیری در مورد انطباق IP مورد بررسی با الزامات استاندارد و توصیه هایی برای پیاده سازی مکانیسم های امنیتی در سیستم برای اطمینان از این انطباق ارائه می شود.

3 تجزیه و تحلیل ریسک های اطلاعات سازمانی

تجزیه و تحلیل ریسک جایی است که ساخت هر سیستم امنیت اطلاعات باید آغاز شود و آنچه برای انجام ممیزی امنیت اطلاعات ضروری است. این شامل فعالیت هایی برای بررسی امنیت شرکت به منظور تعیین اینکه کدام منابع و در برابر کدام تهدیدها باید محافظت شوند، و همچنین تا چه حد منابع خاصی نیاز به حفاظت دارند. تعیین مجموعه ای از اقدامات متقابل کافی در طول مدیریت ریسک انجام می شود. ریسک بر اساس احتمال آسیب و میزان آسیب وارد شده به منابع سیستم اطلاعاتی (IS) در صورت تهدید امنیتی تعیین می شود.

تجزیه و تحلیل ریسک شامل شناسایی ریسک های موجود و ارزیابی بزرگی آنها (ارائه ارزیابی کمی یا کیفی به آنها) است. فرآیند تحلیل ریسک شامل حل وظایف زیر است:

1.شناسایی منابع IP کلیدی

2.تعیین اهمیت برخی منابع برای سازمان.

3.شناسایی تهدیدات امنیتی موجود و آسیب پذیری هایی که تهدیدات را ممکن می سازد.

4.محاسبه خطرات مرتبط با اجرای تهدیدات امنیتی.

منابع IP را می توان به دسته های زیر تقسیم کرد:

منابع اطلاعاتی؛

نرم افزار؛

وسایل فنی (سرورها، ایستگاههای کاری، فعال سخت افزار شبکهو غیره.)

منابع انسانی.

در هر دسته، منابع به کلاس ها و زیر کلاس ها تقسیم می شوند. شناسایی تنها منابعی ضروری است که عملکرد IS را تعیین می کنند و از نظر امنیتی مهم هستند.

اهمیت (یا ارزش) یک منبع با میزان آسیب وارد شده در صورت به خطر افتادن محرمانه بودن، یکپارچگی یا در دسترس بودن آن منبع تعیین می شود. معمولاً انواع آسیب های زیر در نظر گرفته می شود:

داده افشا شد، تغییر کرد، حذف شد یا در دسترس نبود.

تجهیزات آسیب دیده یا از بین رفته است.

یکپارچگی به خطر افتاده است نرم افزار.

در نتیجه اجرای موفقیت آمیز انواع تهدیدات امنیتی زیر می تواند به یک سازمان آسیب وارد شود:

حملات محلی و از راه دور به منابع داعش؛

بلایای طبیعی؛

خطاها یا اقدامات عمدی کارکنان داعش؛

اختلالات آی سی ناشی از خطاهای نرم افزاری یا نقص سخت افزاری است.

میزان ریسک را می توان بر اساس ارزش منبع، احتمال وقوع تهدید و میزان آسیب پذیری با استفاده از فرمول زیر تعیین کرد:

هزینه منبع x احتمال تهدید ریسک = میزان آسیب پذیری

وظیفه مدیریت ریسک انتخاب مجموعه ای معقول از اقدامات متقابل برای کاهش سطح ریسک به سطح قابل قبولی است. هزینه اجرای اقدامات متقابل باید کمتر از میزان خسارت احتمالی باشد. تفاوت بین هزینه اجرای اقدامات متقابل و میزان خسارت احتمالی باید با احتمال ایجاد خسارت نسبت معکوس داشته باشد.

رویکرد مبتنی بر تجزیه و تحلیل ریسک های اطلاعات سازمانی مهم ترین روش برای تضمین امنیت اطلاعات است. این با این واقعیت توضیح داده می شود که تجزیه و تحلیل ریسک به شما امکان می دهد تا به طور موثر امنیت اطلاعات یک شرکت را مدیریت کنید. برای انجام این کار، در ابتدای کار تجزیه و تحلیل ریسک، باید مشخص شود که دقیقاً چه چیزی در شرکت تحت حمایت است، در معرض چه تهدیداتی قرار دارد و اقدامات حفاظتی. تجزیه و تحلیل ریسک بر اساس اهداف و اهداف فوری حفاظت از نوع خاصی از اطلاعات محرمانه انجام می شود. یکی از مهمترین وظایف در چارچوب حفاظت از اطلاعات، اطمینان از یکپارچگی و در دسترس بودن آن است. باید در نظر داشت که نقض یکپارچگی نه تنها در نتیجه اقدامات عمدی، بلکه به دلایل دیگر نیز ممکن است رخ دهد:

· خرابی تجهیزات منجر به از دست دادن یا فساد اطلاعات.

· اثرات فیزیکی، از جمله در نتیجه بلایای طبیعی؛

· خطاهای نرم افزار (از جمله ویژگی های غیر مستند).

بنابراین، اصطلاح «حمله» برای درک نه تنها تأثیرات انسانی بر منابع اطلاعاتی، بلکه تأثیرات محیطی که سیستم پردازش اطلاعات سازمانی در آن عمل می‌کند، امیدوارکننده‌تر است.

هنگام انجام تجزیه و تحلیل ریسک، موارد زیر ایجاد می شود:

· استراتژی و تاکتیک های کلی برای یک متخلف بالقوه برای انجام "عملیات تهاجمی و عملیات رزمی"؛

· راه های ممکنانجام حملات به سیستم پردازش و حفاظت اطلاعات؛

· سناریوی پیاده سازی اقدامات غیرقانونی;

· ویژگی های کانال های نشت اطلاعات و دسترسی غیرمجاز؛

· احتمال برقراری تماس اطلاعاتی (تحقق تهدیدات)؛

· لیست عفونت های اطلاعاتی احتمالی؛

· مدل مزاحم;

· روش ارزیابی امنیت اطلاعات

علاوه بر این، برای ایجاد یک سیستم امنیت اطلاعات سازمانی قابل اعتماد لازم است:

· شناسایی تمام تهدیدات احتمالی برای امنیت اطلاعات؛

· ارزیابی عواقب تظاهرات آنها؛

· با در نظر گرفتن الزامات اسناد نظارتی، اقتصادی، اقدامات و وسایل حفاظتی لازم را تعیین کنید

· امکان سنجی، سازگاری و عدم تضاد با نرم افزار مورد استفاده؛

· ارزیابی اثربخشی اقدامات و وسایل حفاظتی انتخاب شده.

برنج. 1.2. سناریوی تجزیه و تحلیل منابع اطلاعاتی

تمام 6 مرحله تحلیل ریسک در اینجا ارائه شده است. در مرحله اول و دوم، اطلاعاتی مشخص می شود که یک راز تجاری برای شرکت است و باید محافظت شود. واضح است که چنین اطلاعاتی در مکان های خاص و در رسانه های خاصی ذخیره می شود و از طریق کانال های ارتباطی مخابره می شود. در عین حال، عامل تعیین کننده در فناوری مدیریت اطلاعات، معماری IS است که تا حد زیادی امنیت منابع اطلاعاتی یک سازمان را تعیین می کند. مرحله سوم تحلیل ریسک، ساخت کانال های دسترسی، نشت یا تاثیر بر منابع اطلاعاتی گره های اصلی IS است. هر کانال دسترسی با نقاط بسیاری مشخص می شود که می توان اطلاعات را از آنها "بازیابی" کرد. این آنها هستند که نشان دهنده آسیب پذیری ها هستند و نیاز به استفاده از ابزارهایی برای جلوگیری از تأثیرات ناخواسته بر اطلاعات دارند.

مرحله چهارم تجزیه و تحلیل روش های حفاظت از تمام نقاط ممکن با اهداف حفاظت مطابقت دارد و نتیجه آن باید توصیف شکاف های احتمالی در دفاع از جمله به دلیل ترکیب نامطلوب شرایط باشد.

در مرحله پنجم بر اساس معلوم این لحظهراه‌ها و ابزارهای غلبه بر خطوط دفاعی بر اساس احتمال تحقق تهدیدات در هر یک از نقاط حمله احتمالی تعیین می‌شود.

در مرحله ششم نهایی، آسیب به سازمان در صورت هر حمله ارزیابی می شود که همراه با ارزیابی آسیب پذیری، به ما امکان می دهد لیست رتبه بندی شده ای از تهدیدات منابع اطلاعاتی را بدست آوریم. نتایج کار به شکلی مناسب برای درک و توسعه تصمیمات اصلاحی ارائه شده است سیستم موجودحفاظت از اطلاعات علاوه بر این، هر منبع اطلاعاتی ممکن است در معرض چندین تهدید بالقوه قرار گیرد. احتمال کل دسترسی به منابع اطلاعاتی از اهمیت اساسی برخوردار است که از احتمالات اولیه دسترسی به نقاط منفرد جریان اطلاعات تشکیل شده است.

میزان ریسک اطلاعات برای هر منبع بر اساس حاصلضرب احتمال حمله به منبع، احتمال اجرا و تهدید و آسیب ناشی از تهاجم اطلاعاتی تعیین می شود. این کار ممکن است استفاده کند راه های مختلفاجزای توزین

افزودن ریسک‌ها برای همه منابع، ارزش کل ریسک را برای معماری IS اتخاذ شده و سیستم امنیت اطلاعات پیاده‌سازی شده در آن نشان می‌دهد.

بنابراین، با تغییر گزینه‌های ساخت سیستم امنیت اطلاعات و معماری IS، می‌توان با تغییر احتمال وقوع تهدید، مقادیر متفاوتی از ریسک کل را تصور و در نظر گرفت. در اینجا مرحله بسیار مهم انتخاب یکی از گزینه ها مطابق با معیار تصمیم گیری انتخاب شده است. چنین معیاری ممکن است میزان قابل قبول ریسک یا نسبت هزینه های تضمین امنیت اطلاعات به ریسک باقیمانده باشد.

هنگام ساخت سیستم های امنیت اطلاعات، تعیین استراتژی مدیریت ریسک برای شرکت نیز ضروری است.

امروزه چندین رویکرد برای مدیریت ریسک وجود دارد.

یکی از رایج ترین آنها کاهش خطر با استفاده از روش ها و وسایل حفاظتی مناسب است. در اصل رویکرد مرتبط با ریسک گریزی مشابه است. مشخص است که می توان از برخی از کلاس های خطرات اجتناب کرد: به عنوان مثال، انتقال وب سرور یک سازمان به خارج از شبکه محلی از خطر دسترسی غیرمجاز به شبکه محلی توسط مشتریان وب جلوگیری می کند.

در نهایت، در برخی موارد پذیرش ریسک قابل قبول است. در اینجا مهم است که در مورد معضل زیر تصمیم بگیرید: چه چیزی برای شرکت سودآورتر است - مقابله با خطرات یا عواقب آنها. در این صورت باید یک مسئله بهینه سازی را حل کنیم.

پس از تعیین استراتژی مدیریت ریسک، ارزیابی نهایی اقدامات امنیت اطلاعات با تهیه نظر کارشناسی در مورد امنیت منابع اطلاعاتی انجام می شود. نظر کارشناسی شامل کلیه مواد تحلیل ریسک و توصیه هایی برای کاهش آنها می باشد.

1.4 روش های ارزیابی ریسک های اطلاعات سازمانی

در عمل از روش های مختلفی برای ارزیابی و مدیریت ریسک های اطلاعاتی در شرکت ها استفاده می شود. در این مورد، ارزیابی ریسک های اطلاعاتی شامل مراحل زیر است:

· شناسایی و ارزیابی کمی منابع اطلاعاتی شرکت هایی که برای تجارت مهم هستند.

· ارزیابی تهدیدات احتمالی;

· ارزیابی آسیب پذیری های موجود؛

· ارزیابی اثربخشی ابزارهای امنیت اطلاعات

فرض بر این است که منابع اطلاعاتی آسیب‌پذیر تجاری یک شرکت سازمانی در صورت وجود هرگونه تهدیدی در معرض خطر هستند. به عبارت دیگر، ریسک ها خطری را مشخص می کنند که ممکن است اجزا در معرض آن قرار گیرند. سیستم شرکتیاینترنت/اینترانت در عین حال، ریسک های اطلاعاتی شرکت به موارد زیر بستگی دارد:

· در مورد شاخص های ارزش منابع اطلاعاتی؛

· احتمال تحقق تهدیدات برای منابع؛

· اثربخشی ابزارهای امنیت اطلاعات موجود یا برنامه ریزی شده

هدف از ارزیابی ریسک تعیین ویژگی های ریسک یک سیستم اطلاعاتی شرکت و منابع آن است. در نتیجه ارزیابی ریسک، انتخاب ابزارهایی که سطح مطلوب امنیت اطلاعات سازمانی را تضمین می کنند، امکان پذیر می شود. هنگام ارزیابی ریسک ها، ارزش منابع، اهمیت تهدیدات و آسیب پذیری ها و اثربخشی ابزارهای حفاظتی موجود و برنامه ریزی شده در نظر گرفته می شود. خود شاخص های منابع، اهمیت تهدیدات و آسیب پذیری ها و اثربخشی اقدامات حفاظتی را می توان با روش های کمی، به عنوان مثال، هنگام تعیین ویژگی های هزینه، و با روش های کیفی، به عنوان مثال، با در نظر گرفتن عادی یا بسیار خطرناک تعیین کرد. اثرات غیر طبیعی محیط خارجی

امکان تحقق یک تهدید با احتمال اجرای آن در یک دوره زمانی معین برای یک منبع سازمانی خاص ارزیابی می شود. در این مورد، احتمال تحقق تهدید توسط شاخص های اصلی زیر تعیین می شود:

· هنگام در نظر گرفتن تهدید ناشی از نفوذ عمدی انسانی از جذابیت منبع استفاده می شود.

· امکان استفاده از یک منبع برای ایجاد درآمد هنگام در نظر گرفتن تهدید ناشی از نفوذ عمدی انسانی؛

· توانایی های فنی اجرای تهدید با نفوذ عمدی از طرف شخص استفاده می شود.

· درجه سهولتی که با آن می توان از یک آسیب پذیری سوء استفاده کرد.

در حال حاضر روش های جدولی زیادی برای ارزیابی ریسک های اطلاعاتی یک شرکت وجود دارد. مهم است که پرسنل امنیتی روش مناسبی را انتخاب کنند که نتایج قابل تکرار صحیح و قابل اعتمادی را ارائه دهد.

توصیه می شود شاخص های کمی منابع اطلاعاتی را بر اساس نتایج نظرسنجی از کارکنان شرکتی که اطلاعات دارند، یعنی مقاماتی که می توانند ارزش اطلاعات، ویژگی ها و درجه اهمیت آن را بر اساس وضعیت واقعی امور تعیین کنند، ارزیابی کنید. بر اساس نتایج نظرسنجی، شاخص‌ها و درجه بحرانی بودن منابع اطلاعاتی برای بدترین سناریو تا در نظر گرفتن اثرات بالقوه بر فعالیت‌های تجاری شرکت در صورت دسترسی غیرمجاز احتمالی به اطلاعات محرمانه، نقض، ارزیابی می‌شوند. یکپارچگی آن، در دسترس نبودن برای دوره های مختلف ناشی از خرابی در سرویس دهی سیستم های پردازش داده ها و حتی تخریب فیزیکی است. در عین حال، فرآیند به دست آوردن شاخص های کمی را می توان با روش های مناسب برای ارزیابی سایر منابع حیاتی شرکت با در نظر گرفتن موارد زیر تکمیل کرد:

· ایمنی پرسنل؛

· افشای اطلاعات خصوصی؛

· الزامات انطباق قانونی و مقرراتی؛

· محدودیت های ناشی از قانون؛

· منافع تجاری و اقتصادی؛

· خسارات مالی و تخلفات در فعالیت های تولیدی;

· روابط عمومی؛

· سیاست تجاری و عملیات تجاری؛

· از دست دادن شهرت شرکت

بعلاوه، در جاهایی که مجاز و موجه باشد از شاخص های کمی استفاده می شود و در مواردی که ارزیابی کمی به دلایلی دشوار است، از شاخص های کیفی استفاده می شود. در عین حال، گسترده ترین ارزیابی شاخص های کیفیت با استفاده از مقیاس های نقطه ای است که مخصوصاً برای این اهداف توسعه یافته است، به عنوان مثال، با مقیاس چهار نقطه ای.

عملیات بعدی پر کردن جفت پرسشنامه است که در آن، برای هر نوع تهدید و گروه منابع مرتبط، سطوح تهدید به عنوان احتمال تحقق تهدیدات و سطوح آسیب پذیری به عنوان درجه سهولت یک تهدید تحقق یافته ارزیابی می شود. منجر به تأثیر منفی شود. ارزیابی در مقیاس کیفی انجام می شود. برای مثال، سطح تهدیدات و آسیب‌پذیری‌ها در مقیاس «بالا-کم» ارزیابی می‌شود. اطلاعات لازم با مصاحبه با مدیران ارشد شرکت، کارکنان بخش های بازرگانی، فنی، پرسنلی و خدماتی، مراجعه به میدان و تجزیه و تحلیل مستندات شرکت جمع آوری می شود.

در کنار روش‌های جدولی برای ارزیابی ریسک‌های اطلاعاتی، می‌توان از روش‌های ریاضی مدرن برای مثال روش دلفی و همچنین سیستم‌های خودکار ویژه استفاده کرد که در ادامه به برخی از آنها پرداخته می‌شود.

الگوریتم کلی فرآیند ارزیابی ریسک (شکل 1.3.) در این سیستم ها شامل مراحل زیر می باشد.

· شرح تأسیسات و اقدامات حفاظتی؛

· شناسایی یک منبع و ارزیابی شاخص های کمی آن (شناسایی تأثیر منفی بالقوه بر تجارت).

· تجزیه و تحلیل تهدید امنیت اطلاعات؛

· ارزیابی آسیب پذیری؛

· ارزیابی وجوه موجود و پیشنهادی

تضمین امنیت اطلاعات؛

· ارزیابی ریسک

5 مدیریت ریسک اطلاعات

در حال حاضر مدیریت ریسک اطلاعات یکی از مرتبط ترین و پویاترین حوزه های مدیریت استراتژیک و عملیاتی در حوزه امنیت اطلاعات است. وظیفه اصلی آن شناسایی و ارزیابی عینی مهم‌ترین ریسک‌های اطلاعات تجاری شرکت و همچنین کفایت کنترل‌های ریسک مورد استفاده برای افزایش کارایی و سودآوری فعالیت‌های اقتصادی شرکت است. بنابراین، اصطلاح "مدیریت ریسک اطلاعات" معمولاً به معنی است فرآیند سیستمشناسایی، کنترل و کاهش خطرات اطلاعاتی شرکت ها مطابق با محدودیت های خاصی از چارچوب نظارتی روسیه در زمینه حفاظت از اطلاعات و خط مشی امنیتی شرکت خود.

برنج. 1.3. الگوریتم ارزیابی ریسک

استفاده از سیستم های اطلاعاتی با مجموعه ای از خطرات همراه است. هنگامی که آسیب احتمالی به طور غیرقابل قبولی بزرگ است، اقدامات حفاظتی از نظر اقتصادی امکان پذیر ضروری است. ارزیابی (دوباره) دوره ای ریسک ها برای نظارت بر اثربخشی فعالیت های امنیتی و به حساب آوردن تغییرات در محیط ضروری است.

ماهیت مدیریت ریسک این است که اندازه ریسک را ارزیابی کند، اقدامات موثر و مقرون به صرفه برای کاهش ریسک ایجاد کند، و سپس اطمینان حاصل شود که ریسک ها در محدوده های قابل قبول مهار می شوند (و همچنان باقی می مانند). در نتیجه، مدیریت ریسک شامل دو نوع فعالیت است که به صورت دوره ای متناوب می شوند:

)(دوباره) ارزیابی (اندازه گیری) خطرات؛

)انتخاب تجهیزات حفاظتی موثر و اقتصادی (خنثی سازی خطر).

اقدامات زیر در رابطه با خطرات شناسایی شده امکان پذیر است:

· از بین بردن خطر (به عنوان مثال، از بین بردن علت)؛

· کاهش خطر (به عنوان مثال، از طریق استفاده از تجهیزات حفاظتی اضافی)؛

· پذیرش ریسک (با تدوین برنامه اقدام در شرایط مناسب):

· تغییر جهت ریسک (مثلاً با انعقاد قرارداد بیمه).

فرآیند مدیریت ریسک را می توان به مراحل زیر تقسیم کرد:

1.انتخاب اشیاء مورد تجزیه و تحلیل و سطح جزئیات در نظر گرفتن آنها.

2.انتخاب روش ارزیابی ریسک

.شناسایی دارایی

.تجزیه و تحلیل تهدیدها و پیامدهای آنها، شناسایی آسیب پذیری های امنیتی.

.ارزیابی ریسک

.انتخاب اقدامات حفاظتی

.پیاده سازی و آزمایش اقدامات منتخب.

.ارزیابی ریسک باقیمانده

مراحل 6 مربوط به انتخاب تجهیزات حفاظتی (خنثی سازی خطرات) و بقیه - به ارزیابی ریسک.

از قبل فهرست کردن مراحل نشان می دهد که مدیریت ریسک یک فرآیند چرخه ای است. در اصل، آخرین مرحله یک عبارت پایان حلقه است که به شما دستور می دهد به ابتدا بازگردید. ریسک ها باید دائماً پایش شوند و به صورت دوره ای مجدداً ارزیابی شوند. لازم به ذکر است که یک ارزیابی کامل و مستند به دقت می تواند فعالیت های بعدی را به طور قابل توجهی ساده کند.

مدیریت ریسک، مانند هر فعالیت دیگر امنیت اطلاعات، باید در چرخه حیات IS ادغام شود. در این صورت تأثیر بیشترین و هزینه ها حداقل است.

مدیریت ریسک باید در تمام مراحل چرخه حیات یک سیستم اطلاعاتی انجام شود: راه اندازی - توسعه - نصب - بهره برداری - دفع (از رده خارج کردن).

در مرحله شروع، هنگام توسعه الزامات برای سیستم به طور کلی و ویژگی های امنیتی به طور خاص باید خطرات شناخته شده در نظر گرفته شود.

در طول مرحله توسعه، دانش ریسک ها به انتخاب راه حل های معماری مناسب که نقش کلیدی در تضمین امنیت دارند، کمک می کند.

در مرحله نصب، خطرات شناسایی شده باید هنگام پیکربندی، آزمایش و تأیید فرمول قبلی در نظر گرفته شود.

الزامات، و چرخه مدیریت ریسک کامل باید قبل از پیاده سازی سیستم به بهره برداری برسد.

در طول مرحله عملیاتی، مدیریت ریسک باید با تمام تغییرات مهم در سیستم همراه باشد.

هنگام از کار انداختن یک سیستم، مدیریت ریسک کمک می کند تا اطمینان حاصل شود که انتقال داده ها به شیوه ای ایمن انجام می شود.

فصل دوم. استانداردهای امنیت اطلاعات

1 پیش نیازهای ایجاد استانداردهای امنیت اطلاعات

انجام ممیزی امنیت اطلاعات مبتنی بر استفاده از توصیه های متعددی است که اساساً در استانداردهای بین المللی امنیت اطلاعات آمده است.

یکی از نتایج ممیزی در سالهای اخیر به طور فزاینده ای به گواهینامه ای تبدیل شده است که انطباق IP مورد بررسی را با یک استاندارد بین المللی شناخته شده خاص تأیید می کند. وجود چنین گواهینامه ای به سازمان امکان دریافت آن را می دهد مزایای رقابتیبا اعتماد بیشتر مشتریان و شرکا همراه است.

استفاده از استانداردها به دستیابی به پنج هدف زیر کمک می کند.

در مرحله اول، اهداف تضمین امنیت اطلاعات سیستم های کامپیوتری کاملاً تعریف شده است. ثانیاً ایجاد می کند سیستم کارآمدمدیریت امنیت اطلاعات ثالثاً، محاسبه مجموعه‌ای از شاخص‌های جزئی، نه تنها کیفی، بلکه کمی را برای ارزیابی انطباق امنیت اطلاعات با اهداف اعلام شده فراهم می‌کند. رابعاً شرایط برای استفاده از ابزار (نرم افزار) موجود برای تضمین امنیت اطلاعات و ارزیابی آن ایجاد می شود. وضعیت فعلی. پنجم، امکان استفاده از تکنیک های مدیریت امنیتی را با یک سیستم مستدل از معیارها و اقدامات برای اطمینان از توسعه دهندگان سیستم اطلاعاتی باز می کند.

از اوایل دهه 80 ده ها استاندارد بین المللی و ملی در زمینه امنیت اطلاعات ایجاد شده است که تا حدی مکمل یکدیگر هستند. در زیر مشهورترین استانداردها را با توجه به گاهشماری ایجاد آنها در نظر خواهیم گرفت:

)معیار ارزیابی قابلیت اطمینان سیستم های کامپیوتری "Orange Book" (ایالات متحده آمریکا)؛

)معیارهای هماهنگ کشورهای اروپایی؛

)توصیه های X.800;

)استاندارد آلمانی BSI;

)استاندارد بریتانیا BS 7799;

)استاندارد ISO 17799;

)استاندارد "معیارهای عمومی" ISO 15408;

)استاندارد COBIT

این استانداردها را می توان به دو نوع تقسیم کرد:

· استانداردهای ارزیابی با هدف طبقه بندی سیستم های اطلاعاتی و اقدامات امنیتی بر اساس الزامات امنیتی؛

· مشخصات فنی تنظیم کننده جنبه های مختلف اجرای اقدامات امنیتی.

توجه به این نکته ضروری است که هیچ دیوار خالی بین این نوع مقررات وجود ندارد. استانداردهای ارزیابی مهمترین جنبه های امنیت اطلاعات را از نقطه نظر امنیت اطلاعات برجسته می کنند و نقش مشخصات معماری را ایفا می کنند. دیگر مشخصات فنینحوه ساخت یک IS از یک معماری تجویز شده را تعیین کنید.

2 استاندارد "معیارهای ارزیابی قابلیت اطمینان سیستم های کامپیوتری" (کتاب نارنجی)

از نظر تاریخی، اولین استاندارد ارزیابی که فراگیر شد و تأثیر زیادی بر پایه استانداردسازی امنیت اطلاعات در بسیاری از کشورها داشت، استاندارد وزارت دفاع ایالات متحده "معیارهای ارزیابی برای سیستم های کامپیوتری مورد اعتماد" بود.

این اثر که اغلب با رنگ جلد آن «کتاب نارنجی» نامیده می‌شود، اولین بار در اوت 1983 منتشر شد. نام آن به تنهایی نیاز به اظهار نظر دارد. این در مورد استنه در مورد امن، بلکه در مورد سیستم های قابل اعتماد، یعنی سیستم هایی که می توان درجه خاصی از اعتماد به آنها داد.

کتاب نارنجی مفهوم یک سیستم امن را توضیح می‌دهد که «با ابزارهای مناسب، دسترسی به اطلاعات را کنترل می‌کند، به طوری که فقط افراد مجاز یا فرآیندهایی که از طرف آنها عمل می‌کنند مجاز به خواندن، نوشتن، ایجاد و حذف اطلاعات هستند.»

با این حال واضح است که کاملاً سیستم های امنوجود ندارد، یک انتزاع است. منطقی است که فقط میزان اعتمادی را که می توان در یک سیستم خاص قرار داد ارزیابی کرد.

کتاب نارنجی سیستم قابل اعتماد را اینگونه تعریف می کند: «سیستمی که از سخت افزار و نرم افزار کافی برای پردازش همزمان اطلاعات با درجات مختلف حساسیت توسط گروهی از کاربران بدون نقض حقوق دسترسی استفاده می کند.»

لازم به ذکر است که در معیارهای مورد بررسی، هم امنیت و هم اعتماد صرفاً از نقطه نظر کنترل دسترسی به داده ها که یکی از ابزارهای اطمینان از محرمانه بودن و یکپارچگی اطلاعات است، ارزیابی می شود. با این حال، کتاب نارنجی به مسائل دسترسی نمی پردازد.

درجه اعتماد بر اساس دو معیار اصلی ارزیابی می شود.

.خط مشی امنیتی مجموعه ای از قوانین، قواعد و آیین نامه های رفتاری است که نحوه پردازش، حفاظت و انتشار اطلاعات را توسط سازمان تعریف می کند. به طور خاص، قوانین تعیین می کنند که کاربر در چه مواردی می تواند کار کند مجموعه های خاصداده ها. هر چه میزان اعتماد به سیستم بالاتر باشد، سیاست امنیتی باید سخت‌گیرانه‌تر و متنوع‌تر باشد. بسته به خط مشی تدوین شده، مکانیسم های امنیتی خاصی را می توان انتخاب کرد. سیاست امنیتی یک جنبه فعال حفاظت از جمله تجزیه و تحلیل تهدیدات احتمالی و انتخاب اقدامات متقابل است.

.سطح اطمینان معیاری از اعتماد است که می تواند در معماری و پیاده سازی یک IS اعمال شود. اطمینان امنیتی می تواند هم از تجزیه و تحلیل نتایج آزمایش و هم از تأیید (رسمی یا غیر رسمی) طراحی و اجرای کلی سیستم به عنوان یک کل و اجزای جداگانه آن ناشی شود. سطح اطمینان نشان می دهد که مکانیسم های مسئول اجرای سیاست امنیتی تا چه اندازه درست هستند. این جنبه انفعالی حفاظت است.

ابزار اصلی تضمین امنیت با مکانیسم پاسخگویی (logging) تعیین می شود. سیستم مورد اعتمادباید تمام رویدادهای مرتبط با امنیت را ثبت کند. نگهداری سوابق باید با ممیزی، یعنی تجزیه و تحلیل اطلاعات ثبت تکمیل شود. مفهوم یک پایگاه محاسباتی قابل اعتماد برای ارزیابی درجه اعتماد امنیتی مرکزی است. یک پایگاه محاسباتی قابل اعتماد مجموعه ای از مکانیسم های امنیتی IS (شامل سخت افزار و نرم افزار) است که مسئول اجرای خط مشی امنیتی است. کیفیت پایه محاسباتی صرفاً با اجرای آن و صحت داده های اولیه وارد شده توسط مدیر سیستم تعیین می شود.

ممکن است اجزای مورد نظر خارج از پایگاه محاسباتی قابل اعتماد نباشند، اما این نباید بر امنیت سیستم به عنوان یک کل تأثیر بگذارد. در نتیجه، برای ارزیابی اطمینان امنیتی یک سیستم اطلاعاتی، نویسندگان استاندارد توصیه می کنند که فقط پایه محاسباتی آن را در نظر بگیرید.

هدف اصلی یک پایگاه محاسباتی قابل اعتماد، انجام عملکردهای یک مانیتور تماس است، یعنی کنترل پذیرفتن افراد (کاربران) که عملیات خاصی را بر روی اشیا (موجودات غیرفعال) انجام می دهند. مانیتور دسترسی هر کاربر به برنامه ها یا داده ها را برای سازگاری با مجموعه اقدامات مجاز برای کاربر بررسی می کند.

یک مانیتور تماس باید سه ویژگی داشته باشد:

انزوا. لازم است از نظارت بر مانیتور جلوگیری شود.

کامل بودن. مانیتور باید در هر تماسی فراخوانی شود، نباید راهی برای دور زدن آن وجود داشته باشد.

اثباتپذیری. مانیتور باید جمع و جور باشد تا بتوان آن را با اطمینان از کامل شدن آزمایش آنالیز و آزمایش کرد.

پیاده سازی یک مانیتور ضربه ای، هسته امنیتی نامیده می شود. هسته امنیتی پایه ای است که تمام مکانیسم های امنیتی بر روی آن ساخته شده است. علاوه بر ویژگی های مانیتور دسترسی ذکر شده در بالا، هسته باید تغییر ناپذیری خود را تضمین کند.

مرز یک پایگاه محاسباتی قابل اعتماد، محیط امنیتی نامیده می شود. همانطور که قبلاً گفته شد، اجزای خارج از محیط امنیتی ممکن است به طور کلی قابل اعتماد نباشند. با توسعه سیستم های توزیع شده، مفهوم "محیط امنیتی" به طور فزاینده ای معنای متفاوتی پیدا می کند که به معنای مرز دارایی یک سازمان خاص است. آنچه در داخل مال است امانت دار تلقی می شود، اما آنچه در خارج است مورد اعتماد نیست.

طبق کتاب نارنجی، یک سیاست امنیتی باید الزاماً شامل عناصر زیر باشد:

· کنترل دسترسی تصادفی؛

· ایمنی استفاده مجدد از شی

· برچسب های امنیتی؛

· کنترل دسترسی اجباری

کنترل دسترسی تصادفی روشی است برای محدود کردن دسترسی به اشیا، بر اساس در نظر گرفتن هویت موضوع یا گروهی که موضوع به آن تعلق دارد. خودسری کنترل این است که شخص معینی (معمولاً صاحب یک شیء) می تواند به تشخیص خود حق دسترسی به آن شی را به سایر افراد واگذار کند یا از آنها سلب کند.

امنیت استفاده مجدد از اشیاء یک افزودنی مهم برای کنترل های دسترسی است که از حذف تصادفی یا عمدی اطلاعات حساس از زباله ها جلوگیری می کند. امنیت استفاده مجدد باید برای مناطق رم (به ویژه برای بافرهایی با تصاویر صفحه، رمزهای رمزگشایی شده و غیره)، برای بلوک های دیسک و رسانه های مغناطیسی به طور کلی تضمین شود.

3 استاندارد BSI آلمان

در سال 1998، "راهنمای امنیت فناوری اطلاعات سطح پایه" در آلمان منتشر شد. دفترچه راهنما یک ابرمتن تقریباً 4 مگابایتی (فرمت HTML) است. بعداً به عنوان استاندارد BSI آلمان رسمیت یافت. بر اساس متدولوژی و اجزای کلی مدیریت امنیت اطلاعات است:

· روش کلی مدیریت امنیت اطلاعات (سازمان مدیریت در حوزه امنیت اطلاعات، روش استفاده از کتابچه راهنمای کاربر).

· توضیحات اجزای فناوری اطلاعات نوین.

· اجزای اصلی (سطح سازمانی امنیت اطلاعات، سطح رویه ای، سازمان حفاظت از داده ها، برنامه ریزی اضطراری).

· زیرساخت ها (ساختمان ها، اماکن، شبکه های کابلی، سازمان دسترسی از راه دور).

· اجزای کلاینت از انواع مختلف (DOS، Windows، UNIX، اجزای موبایل، انواع دیگر).

· انواع شبکه ها (اتصالات نقطه به نقطه، شبکه های Novell NetWare، شبکه های دارای OC ONIX و Windows، شبکه های ناهمگن).

· عناصر سیستم های انتقال داده (ایمیل، مودم، فایروال و غیره).

· مخابرات (فکس، منشی تلفنی، سیستم های یکپارچه مبتنی بر ISDN، سایر سیستم های مخابراتی).

· نرم افزار استاندارد

· پایگاه داده.

· توضیحات اجزای اصلی سازماندهی یک رژیم امنیت اطلاعات (سطوح سازمانی و فنی حفاظت از داده ها، برنامه ریزی اضطراری، پشتیبانی تداوم کسب و کار).

· ویژگی های اشیاء اطلاعاتی (ساختمان ها، محل ها، شبکه های کابلی، مناطق کنترل شده).

· ویژگی‌های دارایی‌های اطلاعاتی اصلی شرکت (شامل سخت‌افزار و نرم‌افزار، مانند ایستگاه‌های کاری و سرورهای دارای سیستم‌عامل‌های DOS، Windows و UNIX).

· ویژگی های شبکه های کامپیوتری مبتنی بر فناوری های مختلف شبکه مانند شبکه های Novell Net Ware، شبکه های یونیکس و ویندوز).

· ویژگی های تجهیزات مخابراتی فعال و غیرفعال از فروشندگان پیشرو، برای مثال سیسکو سیستم.

· کاتالوگ های دقیق تهدیدات امنیتی و اقدامات کنترلی (بیش از 600 مورد در هر کاتالوگ).

انواع تهدیدات در استاندارد BSI به کلاس های زیر تقسیم می شوند:

· شرایط فورس ماژور

· معایب اقدامات سازمانی.

· اشتباهات انسانی

· مسائل فنی

· اقدامات عمدی

اقدامات متقابل به طور مشابه طبقه بندی می شوند:

· بهبود زیرساخت ها؛

· اقدامات متقابل اداری؛

· اقدامات متقابل رویه ای؛

· اقدامات متقابل نرم افزاری و سخت افزاری؛

· کاهش آسیب پذیری ارتباطات؛ برنامه ریزی اضطراری

تمامی اجزاء بر اساس طرح زیر در نظر گرفته و شرح داده می شوند:

)توضیحات کلی؛

)سناریوهای احتمالیتهدیدات امنیتی (تهدیدهای مربوط به این مؤلفه از فهرست تهدیدهای امنیتی فهرست شده است)؛

)اقدامات متقابل احتمالی (تهدیدهای مربوط به این مؤلفه از فهرست تهدیدهای امنیتی فهرست شده است)؛

4 استاندارد بریتانیا BS 7799

شرکت باید یک ممیزی امنیت اطلاعات انجام دهد. بیایید بررسی کنیم که چرا این مورد نیاز است و چگونه بررسی کنیم. تقریباً تمام فعالیت های سازمان ها مربوط به پردازش کامپیوتریاطلاعات

تعداد و حجم عملیاتی که نیاز به استفاده گسترده از یک سیستم اطلاعاتی کامپیوتری دارند در حال افزایش است.
در صورت وجود خطا، ممکن است سیستم مسدود شود.

یک واکنش زنجیره ای می تواند ایجاد شود که در نتیجه سودآوری شرکت ها کاهش می یابد و شهرت آنها از بین می رود. به همین دلیل است که ارزش پرداخت را دارد توجه ویژهحسابرسی IS

چه چیزی میخواهید بدانید

انجام ممیزی IS - رویه مهم، که در آن مورد آزار و اذیت قرار می گیرند اهداف خاصو تعدادی کار انجام می شود.

شرایط مورد نیاز

امنیت اطلاعات یک رویه سیستمی است که در آن ارزیابی های کیفی و کمی عینی از وضعیت فعلی امنیت اطلاعات یک شرکت به دست می آید.

در عین حال، معیارها و شاخص های ایمنی خاصی رعایت می شود. امنیت اطلاعات به ایمنی منابع اطلاعاتی و حمایت از حقوق قانونی فرد و جامعه در صنعت اطلاعات اشاره دارد.

چرا این لازم است؟

با کمک ممیزی می توانید امنیت فعلی سیستم اطلاعاتی را ارزیابی کنید، ریسک ها را ارزیابی و پیش بینی کنید و تاثیر آنها را بر فرآیند کسب و کار مدیریت کنید.

اگر ممیزی به درستی انجام شود، حداکثر بازده سرمایه گذاری شده در ایجاد و نگهداری سیستم امنیتی شرکت امکان پذیر است.

هدف روش حسابرسی:

• تحلیل ریسک؛
• ارزیابی سطوح فعلی امنیت سیستم اطلاعات؛
• محلی سازی گلوگاه در سیستم حفاظتی؛
• توصیه هایی در مورد نحوه پیاده سازی و بهبود کارایی مکانیزم امنیتی سیستم اطلاعات ارائه می دهد.

وظیفه:

• توسعه یک سیاست امنیتی برای حفاظت از داده ها؛
• تعیین وظایف برای کارکنان فناوری اطلاعات؛
• بررسی حوادث مربوط به نقض امنیت اطلاعات.

تنظیم حقوقی

مقررات اصلی قانونگذاری:

1. مستندات روش شناختی

ممیزی امنیت اطلاعات سازمانی

جهت اصلی ممیزی امنیت اطلاعات:

گواهینامه	سیستم های خودکار، وسایل ارتباطی، پردازش و انتقال داده ها تایید شده اند. اماکن مورد استفاده برای مذاکرات دارای گواهی هستند. تجهیزات فنی که در یک اتاق اختصاصی نصب شده است دارای گواهینامه می باشد
کنترل داده های محافظت شده	آشکار می شوند کانال های فنینشت داده ها؛ اثربخشی اقدامات امنیتی داده مورد استفاده نظارت می شود
مطالعه ویژه وسایل فنی	کامپیوتر، وسیله ای برای ارتباط و پردازش داده ها، مورد مطالعه قرار می گیرد. سیستم محاسبات محلی؛ نتایج تحقیق مطابق با استانداردهای کمیسیون فنی دولتی تدوین شده است
اشیاء در نسخه های محافظت شده طراحی شده اند	مفهوم امنیت اطلاعات در حال توسعه است. سیستم های خودکار برای پردازش داده ها در نسخه های امن طراحی شده اند. فضاهایی طراحی شده است که برای مذاکره ضروری است

روش های مورد استفاده

امکان استفاده از روش زیر وجود دارد:

ممیزی خبره، که درجه حفاظت از آن جزء از سیستم اطلاعاتی را ارزیابی می کند	شامل چند مرحله است: تجزیه و تحلیل سیستم های اطلاعاتی؛ دارایی های مهم تجزیه و تحلیل می شوند. الگوهای تهدید و متخلفان شکل می گیرد. الزامات امنیتی برای محیط داده تجزیه و تحلیل می شود. وضعیت فعلی ارزیابی می شود. توصیه هایی برای رفع کمبودها ایجاد می شود. یک توصیه گزارش ایجاد می شود
حسابرسی فعال	هنگام انجام آزمایش، می توان امنیت سیستم های اطلاعاتی را ارزیابی کرد، نقاط ضعف را شناسایی کرد و قابلیت اطمینان مکانیسم موجود برای محافظت از سیستم ها را در برابر اقدامات غیرقانونی بررسی کرد. این شرکت گزارش های دقیق با نتایج تجزیه و تحلیل دریافت می کند. هدف آزمایش نفوذ یک سرور خارجی، تجهیزات شبکه، یک سرویس جداگانه است. چندین نوع آزمایش وجود دارد: روش "جعبه سیاه". آزمایش بدون اطلاع از شی مورد آزمایش انجام می شود. اطلاعات با استفاده از یک منبع مشترک در دسترس جمع آوری می شود. روش جعبه سفید. اشیاء با جزئیات بیشتری بررسی می شوند. ممکن است اسناد اضافی درخواست شود، منبع,دسترسی به اشیا این تست وضعیتی را شبیه سازی می کند که با نشت داده ها امکان پذیر است. روش جعبه خاکستری. آنها داده های شناخته شده را نادیده می گیرند و روش های ذکر شده در بالا را ترکیب می کنند. مراحل تست شامل: تجزیه و تحلیل اطلاعات موجود؛ انجام اسکن ابزاری هنگام استفاده از ابزارهای تخصصی؛ انجام تجزیه و تحلیل دقیق به صورت دستی؛ انجام تجزیه و تحلیل و ارزیابی کاستی ها
بررسی برنامه های وب	برای شناسایی و شناسایی آسیب پذیری ها مورد نیاز است. لزوما: انجام اسکن خودکار؛ با استفاده از روش جعبه سیاه و سفید؛ ارزیابی ریسک؛ تهیه توصیه ها؛ اجرای توصیه ها
ممیزی جامع	می توان تهدیدات امنیت اطلاعات را سیستماتیک کرد و پیشنهاداتی برای رفع نواقص ارائه کرد. بازرسی فنی شبکه ها، تست نفوذ و غیره انجام می شود.
ممیزی انطباق	سیستم مدیریت ریسک امنیت اطلاعات، سیاست های نظارتی، اصول مدیریت دارایی و کارکنان تجزیه و تحلیل و ارزیابی می شود

برنامه ریزی

هنگام انجام ممیزی امنیت اطلاعات، برنامه کاری و تعریف هدف تهیه می شود. مشتریان و پیمانکاران باید در مورد منطقه و ساختار شرکتی که تحت تأثیر بازرسی قرار می گیرد توافق کنند.

مسئولیت هر یک از طرفین مشخص شده است. این طرح باید منعکس کننده موارد زیر باشد:

• هدف از بازرسی؛
• شاخص؛
• حوزه های بازرسی با در نظر گرفتن شناسایی واحد سازمانی و عملکردی و فرآیندی که موضوع ممیزی است.
• تاریخ و مکان حسابرسی؛
• مدت زمان چک؛
• نقش ها و مسئولیت های اعضای تیم حسابرسی و افراد همراه.

همچنین ممکن است شامل موارد زیر باشد:

• فهرستی از نمایندگان شرکت حسابرسی شده که خدمات پشتیبانی را به تیم حسابرسی ارائه خواهند کرد.
• بخش های گزارش؛
• پشتیبانی فنی؛
• پرداختن به مسائل حریم خصوصی؛
• زمان و اهداف ممیزی امنیت اطلاعات بعدی

این طرح قبل از انجام حسابرسی بررسی و به حسابرسی شونده ارائه می شود. سند اصلاح شده قبل از ادامه ممیزی توسط طرف های درگیر توافق می شود.

انجام ممیزی داخلی

حسابرسی شامل اقدامات زیر است:

• فرآیند آغاز می شود (حقوق و تعهدات حسابرس در اسناد تعیین و مستند می شود، یک برنامه حسابرسی تهیه می شود).
• داده ها جمع آوری می شود؛
• اطلاعات تجزیه و تحلیل می شود؛
• توصیه ها ایجاد می شود؛
• گزارشی در حال تهیه است.

برای انجام ممیزی، معیارهایی تعیین می شود که در اسناد نظارتی منعکس شده است. ابتدا آنها یک بازرسی را سازماندهی می کنند، اسناد را تجزیه و تحلیل می کنند و برای ممیزی امنیت اطلاعات در محل اجرای آن آماده می شوند.

مطمئن شوید که رهبری تیم های حسابرسی را تعیین کنید، اهداف و دامنه حسابرسی، فرصت ها را تعیین کنید و تماس های اولیه را با شرکت حسابرسی شده برقرار کنید.

تفاوت های ظریف برای یک کسب و کار کوچک

در یک شرکت کوچک به امنیت اطلاعات به اندازه شرکت های بزرگ توجه نمی شود.

اگرچه وضعیت فنی به گونه ای است که حفاظت از امنیت اطلاعات به طور خاص برای شرکت های کوچک ضروری است. چنین شرکت هایی بودجه کمی برای فناوری اطلاعات دارند که به آنها امکان می دهد تمام تجهیزات و نرم افزارها را خریداری کنند.

به همین دلیل است که ممیزی با بررسی موارد زیر امکان شناسایی به موقع آسیب پذیری ها را فراهم می کند:

• چگونه از فایروال برای تضمین امنیت اطلاعات استفاده می شود.
• آیا حفاظت از ایمیل ارائه شده است (آیا آنتی ویروس های لازم وجود دارد).
• حفاظت ضد ویروس ارائه شده است.
• نحوه سازماندهی کار در شرکت 1C؛
• چگونه کامپیوتر کاربر پیکربندی شده است.
• نحوه استفاده از سرور پروکسی؛
• آیا محیط اطلاعاتی شرکت محافظت می شود؟

در طول عمل در بانک

• اطراف کامپیوتر را بررسی کنید.
• چک کردن با استفاده از کامپیوتر

کنترل می تواند عمومی و کاربردی باشد. عملیات عمومی برای ایجاد اطمینان در تداوم سیستم کامپیوتری در نظر گرفته می شود.

انواع کنترل زیر انجام می شود:

• سازمانی؛
• کنترل کامپیوتر؛
• سیستم های عامل؛
• کنترل دسترسی؛
• کنترل محل با اشیاء فنی؛
• توسعه و نگهداری سیستم ها

کنترل برنامه به فرآیند برنامه ریزی شده نرم افزارهای کاربردی خاص و فرآیندهای دستی اشاره دارد.

ارائه اطمینان معقول از کامل، دقیق و صحیح بودن پردازش خودکار اطلاعات ضروری است.

ارائه شده توسط:

• کنترل ورودی (این بیشتر است ضعفدر سیستم های اطلاعاتی)؛
• در حال پردازش؛
• خروجی

برنامه حسابرسی سیستم اطلاعاتی موسسات بانکی شامل موارد زیر است:

مشارکت حسابرسان داخلی	هنگام توسعه سیستم ها و بسته های نرم افزار کاربردی
بررسی و تایید	بررسی کننده تغییرات نرم افزار
انجام ممیزی کنترل داخلی	و آزمون هایی با قوام و سازگاری
بررسی اسناد نرم افزار کامپیوتر	آیا اسناد وجود دارد، آیا به روز می شوند، آیا آنها وضعیت واقعی را منعکس می کنند؟
انجام بررسی های نرم افزاری	این واقعیت است که هیچ تغییر غیر مجاز وجود ندارد، خواه اطلاعات کامل باشد
انجام ارزیابی نرم افزار خریداری شده	انطباق با توضیحات سیستم های آماده شده
بررسی سه ماهه و تجدید برنامه اقدام	در صورت فورس ماژور و شرایط بحرانی

برای جلوگیری از نفوذ و حملات ناخواسته در آینده، باید:

حسابرس می تواند کارهای زیر را انجام دهد:

سازمان سیستم های اطلاعات دولتی

بیایید به مثال یک مدرسه نگاه کنیم. حسابرسی شامل 3 مرحله است. ابتدا موسسه باید تمامی مدارک لازم را ارائه کند.

تعیین هدف و اهداف حسابرسی، تشکیل. آنچه بخشی از تیم حسابرسی خواهد بود را تعیین کنید. برنامه های تأیید را ترسیم کنید.

ممیزی خود مطابق با برنامه ممیزی که با مدیریت مدرسه تهیه و توافق شده است انجام می شود.

کیفیت اسناد نظارتی، اثربخشی اقدامات حفاظت از داده های فنی، و اقدامات کارکنان بررسی و ارزیابی می شود. نصب:

• آیا ISPDn به درستی طبقه بندی شده است.
• آیا اطلاعات ارائه شده کافی است؟
• آیا الزامات برای اطمینان از امنیت اطلاعات برآورده شده است.

هنگام انجام بازرسی فنی از روش های کارشناسی، کارشناسی-اسنادی و ابزاری استفاده می شود. بر اساس نتایج بازرسی، سندی تهیه می شود که در آن کاستی ها ذکر شده و توصیه هایی برای رفع آنها ارائه می شود.

گواهینامه سیستم های مدیریت

تأیید و تأیید انطباق با استانداردها با هدف بهبود مدیریت شرکت و تقویت اعتماد انجام می شود.

اگرچه استانداردهای بین المللی ایجاد شده است، اما گواهی انطباق با ISO 17799 در حال حاضر انجام نمی شود، زیرا هیچ بخش 2 از آن برای توصیف گواهی انطباق با استانداردهای بریتانیا BS 7799 وجود ندارد.

دارای گواهی برای مطابقت با استانداردهای بریتانیا. تایید انطباق با استانداردها توسط شرکت های حسابرسی/مشاوره ای که عضو UKAS هستند انجام می شود.

گواهینامه های مطابق با BS 7799-2 بر کیفیت سیستم های مدیریت امنیت اطلاعات ساختمان تأثیر می گذارد. تعدادی از مشکلات فنی در حال حل شدن است.

هیچ استاندارد دولتی برای مدیریت سیستم وجود ندارد، به این معنی که یک آنالوگ وجود دارد - الزامات و توصیه های ویژه برای حفاظت از داده ها طرح فنیکمیسیون فنی دولتی روسیه

ثبت نتایج

پس از اتمام حسابرسی، یک سند گزارشی تنظیم و به مشتریان منتقل می شود. گزارش باید حاوی اطلاعات زیر باشد:

• چارچوب مقررات حسابرسی؛
• ساختار سیستم اطلاعات سازمانی؛
• روشها و ابزارهایی که در حین حسابرسی استفاده می شود.
• شرح آسیب‌پذیری‌ها و کاستی‌های شناسایی‌شده با در نظر گرفتن سطح ریسک آن‌ها؛
• توصیه هایی برای بهبود سیستم های پیچیده امنیت اطلاعات؛
• پیشنهادهایی برای برنامه های اجرایی اجرایی که باید ریسک های شناسایی شده را به حداقل برسانند.

گزارش باید منعکس کننده اطلاعات کامل، واضح و دقیق در مورد بررسی امنیت اطلاعات باشد. مشخص می شود که ممیزی در کجا انجام شده است، مشتری و پیمانکار چه کسانی هستند و هدف از حسابرسی چیست.

گزارش ها همچنین ممکن است شامل داده های زیر باشد:

• طرح بازرسی؛
• فهرست افراد همراه حسابرسان؛
• خلاصه ای از روش با در نظر گرفتن عنصر عدم قطعیت و مشکلاتی که ممکن است بر قابلیت اطمینان نتیجه گیری بر اساس نتایج حسابرسی تأثیر بگذارد.
• صنایعی که مشمول بازرسی نمی شوند و غیره.

ممیزی امنیت اطلاعات ابزار موثری است که به شما امکان می دهد ارزیابی مستقل و عینی از مرحله کنونی امنیت در برابر تعدادی از تهدیدات به دست آورید.

نتیجه ممیزی زمینه را برای شکل‌گیری استراتژی‌هایی برای توسعه سیستم‌هایی برای تضمین امنیت اطلاعات شرکت فراهم می‌کند.
اما شایان ذکر است که ممیزی امنیتی یک روش یکبار مصرف نیست.

باید به صورت مستمر انجام شود. تنها در این صورت است که بازگشت واقعی وجود خواهد داشت و فرصتی برای بهبود امنیت اطلاعات وجود خواهد داشت.

امروزه سیستم‌های خودکار (AS) نقش کلیدی در تضمین اجرای کارآمد فرآیندهای تجاری شرکت‌های تجاری و دولتی دارند. در عین حال، استفاده گسترده از سیستم های خودکار برای ذخیره سازی، پردازش و انتقال اطلاعات منجر به افزایش فوریت مشکلات مرتبط با حفاظت از آنها می شود. این امر با این واقعیت تأیید می شود که طی چند سال گذشته، هم در روسیه و هم در کشورهای پیشرو خارجی، تمایل به افزایش تعداد حملات اطلاعاتی وجود داشته است که منجر به خسارات مالی و مادی قابل توجهی شده است. به منظور تضمین حفاظت موثر در برابر حملات اطلاعاتی توسط متجاوزان، شرکت ها نیاز به ارزیابی عینی از سطح فعلی امنیت AS دارند. برای این اهداف است که از ممیزی امنیتی استفاده می شود که جنبه های مختلف آن در چارچوب این مقاله مورد بحث قرار می گیرد.

1. ممیزی امنیتی چیست؟

علیرغم این واقعیت که در حال حاضر هیچ تعریف ثابتی از ممیزی امنیتی وجود ندارد، به طور کلی می توان آن را به عنوان فرآیند جمع آوری و تجزیه و تحلیل اطلاعات در مورد AS لازم برای ارزیابی کیفی یا کمی بعدی سطح حفاظت در برابر حملات متجاوزان نشان داد. موارد زیادی وجود دارد که انجام ممیزی امنیتی مناسب است. اینجا تنها تعداد کمی از آنها هستند:

• ممیزی کارخانه به منظور آماده سازی شرایط مرجعبرای طراحی و توسعه یک سیستم امنیت اطلاعات؛
• ممیزی کارخانه پس از اجرای سیستم ایمنی برای ارزیابی سطح اثربخشی آن؛
• ممیزی با هدف تطبیق سیستم امنیتی فعلی با الزامات قوانین روسیه یا بین المللی؛
• ممیزی طراحی شده برای نظام‌بندی و ساده‌سازی اقدامات موجود امنیت اطلاعات؛
• ممیزی برای بررسی یک حادثه مربوط به نقض امنیت اطلاعات.

به عنوان یک قاعده، شرکت های خارجی که خدمات مشاوره ای در زمینه امنیت اطلاعات ارائه می دهند، برای انجام حسابرسی استخدام می شوند. آغازگر روش حسابرسی ممکن است مدیریت شرکت، خدمات اتوماسیون یا سرویس امنیت اطلاعات باشد. در برخی موارد، حسابرسی ممکن است به درخواست شرکت های بیمه یا مقامات نظارتی نیز انجام شود. ممیزی امنیتی توسط گروهی از کارشناسان انجام می شود که تعداد و ترکیب آنها به اهداف و اهداف بررسی و همچنین پیچیدگی شی مورد ارزیابی بستگی دارد.

2. انواع ممیزی امنیتی

در حال حاضر، انواع اصلی ممیزی امنیت اطلاعات زیر قابل تشخیص است:

• ممیزی امنیتی متخصص، که طی آن کاستی ها در سیستم اقدامات امنیت اطلاعات بر اساس تجربه موجود کارشناسان شرکت کننده در روند بررسی شناسایی می شوند.
• ارزیابی انطباق با توصیه های استاندارد بین المللی ISO 17799 و همچنین الزامات اسناد حاکم FSTEC (کمیسیون فنی دولتی)؛
• تجزیه و تحلیل ابزاری امنیت AS با هدف شناسایی و حذف آسیب پذیری های نرم افزار سخت افزارسیستم های؛
• یک ممیزی جامع که شامل تمام اشکال بررسی فوق می باشد.

هر یک از انواع ممیزی فوق می تواند به طور جداگانه یا ترکیبی انجام شود، بسته به وظایفی که شرکت باید حل کند. هدف حسابرسی می تواند هم سیستم خودکار شرکت به عنوان یک کل و هم بخش های جداگانه آن باشد که در آن پردازش اطلاعات مشمول حفاظت انجام می شود.

3. محدوده کار برای انجام ممیزی امنیتی

به طور کلی، ممیزی امنیتی، صرف نظر از شکل اجرای آن، از چهار مرحله اصلی تشکیل شده است که هر یک شامل اجرای طیف خاصی از وظایف است (شکل 1).

شکل 1: مراحل اصلی کار هنگام انجام ممیزی امنیتی

در مرحله اول، همراه با مشتری، مقرراتی تدوین می شود که ترکیب و روش انجام کار را تعیین می کند. وظیفه اصلی آیین نامه تعیین حدودی است که در آن بررسی انجام می شود. مقررات سندی است که به شما امکان می دهد پس از اتمام حسابرسی از ادعاهای متقابل اجتناب کنید، زیرا به وضوح مسئولیت های طرفین را مشخص می کند. به عنوان یک قاعده، مقررات حاوی اطلاعات اساسی زیر است:

• ترکیب گروه های کاری از پیمانکار و مشتری شرکت کننده در فرآیند حسابرسی؛
• فهرست اطلاعاتی که برای ممیزی در اختیار پیمانکار قرار خواهد گرفت.
• فهرست و مکان امکانات مشتری مشمول ممیزی؛
• فهرست منابعی که به عنوان اهداف حفاظتی در نظر گرفته می شوند (منابع اطلاعاتی، منابع نرم افزاری، منابع فیزیکی و غیره)؛
• یک مدل تهدید امنیت اطلاعات که ممیزی بر اساس آن انجام می شود.
• دسته بندی کاربرانی که متخلفان بالقوه در نظر گرفته می شوند.
• روش و زمان انجام بررسی ابزاری سیستم خودکار مشتری.

در مرحله دوم، طبق مقررات توافق شده، اطلاعات اولیه جمع آوری می شود. روش های جمع آوری اطلاعات شامل مصاحبه با کارکنان مشتری، تکمیل پرسشنامه، تجزیه و تحلیل اسناد سازمانی، اداری و فنی ارائه شده و استفاده از ابزارهای تخصصی می باشد.

مرحله سوم کار شامل تجزیه و تحلیل اطلاعات جمع آوری شده به منظور ارزیابی سطح فعلی امنیت AS مشتری است. بر اساس نتایج تجزیه و تحلیل، در مرحله چهارم، توصیه هایی برای افزایش سطح حفاظت از AS در برابر تهدیدات امنیت اطلاعات در حال توسعه است.

در ادامه در ادامه مطلب نسخه دقیقمراحل ممیزی مربوط به جمع آوری اطلاعات، تجزیه و تحلیل آن و تدوین توصیه هایی برای افزایش سطح حفاظت NPP در نظر گرفته شده است.

4. جمع آوری داده های اولیه برای حسابرسی

کیفیت ممیزی امنیتی انجام شده تا حد زیادی به کامل بودن و صحت اطلاعاتی که در طول جمع آوری داده های اولیه به دست آمده است بستگی دارد. بنابراین، اطلاعات باید شامل: اسناد سازمانی و اداری موجود مرتبط با مسائل امنیت اطلاعات، اطلاعات مربوط به نرم افزار و سخت افزار AS، اطلاعات مربوط به اقدامات امنیتی نصب شده در AS و غیره باشد. بیشتر لیست دقیقداده های اولیه در جدول 1 ارائه شده است.

جدول 1: فهرست داده های اولیه مورد نیاز برای انجام ممیزی امنیتی

№ نوع اطلاعات شرح ترکیب داده های منبع 1 اسناد سازمانی و اداری در مورد مسائل امنیت اطلاعات 1. سیاست امنیت اطلاعات AS; 2. اسناد حاکم (دستورها، دستورالعمل ها، دستورالعمل ها) در مورد مسائل مربوط به ذخیره سازی، دسترسی و انتقال اطلاعات. 3. مقررات کار کاربران با منابع اطلاعاتی AS. 2 اطلاعات سخت افزاری میزبان 1. لیست سرورها، ایستگاه های کاری و تجهیزات ارتباطی نصب شده در AS. 2. اطلاعات در مورد پیکربندی سخت افزار سرورها و ایستگاه های کاری. 3. اطلاعات در مورد تجهیزات جانبی نصب شده در بلندگو. 3 اطلاعاتی در مورد نرم افزارهای سراسر سیستم 1. اطلاعات در مورد سیستم های عاملنصب شده بر روی ایستگاه های کاری و سرورهای AS؛ 2. داده های مربوط به DBMS نصب شده در AS. 4 اطلاعات نرم افزار کاربردی 1. لیست نرم افزارهای کاربردی عمومی و ویژه نصب شده در سیستم. 2. توضیحات وظایف عملکردی، با استفاده از نرم افزار کاربردی نصب شده در سیستم بلندگو حل شد. 5 اطلاعاتی در مورد تجهیزات حفاظتی نصب شده در بلندگوها 1. اطلاعات مربوط به سازنده تجهیزات حفاظتی؛ 2. تنظیمات پیکربندی ابزار امنیتی. 3. نمودار نصب تجهیزات حفاظتی. 6 اطلاعاتی در مورد توپولوژی بلندگو 1. نقشه محلی شبکه کامپیوتری، از جمله طرحی برای توزیع سرورها و ایستگاه های کاری در بخش های شبکه؛ 2. اطلاعات در مورد انواع کانال های ارتباطی مورد استفاده در AS. 3. اطلاعات در مورد پروتکل های شبکه مورد استفاده در AS. 4. نمودار جریان اطلاعات AS.

همانطور که در بالا ذکر شد، جمع آوری داده های اولیه می تواند با استفاده از روش های زیر انجام شود:

• مصاحبه با کارمندان مشتری که اطلاعات لازم را دارند. در این حالت معمولاً مصاحبه با هر دو انجام می شود متخصصان فنیو با نمایندگان مدیریت شرکت. لیست سوالاتی که قرار است در طول مصاحبه مورد بحث قرار گیرند، از قبل توافق شده است.
• ارائه پرسشنامه در مورد موضوعات خاص که به طور مستقل توسط کارمندان مشتری پر می شود. در مواردی که مطالب ارائه شده به طور کامل به سؤالات لازم پاسخ نمی دهد، مصاحبه های تکمیلی انجام می شود.
• تجزیه و تحلیل اسناد سازمانی و فنی موجود مورد استفاده توسط مشتری؛
• استفاده از نرم افزار تخصصی که به شما امکان می دهد اطلاعات لازم را در مورد ترکیب و تنظیمات نرم افزار و سخت افزار سیستم خودکار مشتری به دست آورید. به عنوان مثال، در طول فرآیند ممیزی، می توان از سیستم های تجزیه و تحلیل امنیتی (Security Scanners) استفاده کرد که به شما امکان می دهد موجودی منابع شبکه موجود را تهیه کرده و آسیب پذیری های موجود در آنها را شناسایی کنید. نمونه هایی از این سیستم ها عبارتند از اسکنر اینترنت (شرکت ISS) و XSpider (شرکت فناوری های مثبت).

5. ارزیابی سطح ایمنی NPP

پس از جمع آوری اطلاعات لازمتجزیه و تحلیل آن به منظور ارزیابی سطح فعلی امنیت سیستم انجام می شود. در فرآیند چنین تحلیلی، خطرات امنیت اطلاعات که ممکن است شرکت در معرض آن قرار گیرد، تعیین می شود. در واقع، ریسک ارزیابی یکپارچه از چگونگی مقاومت موثر اقدامات امنیتی موجود در برابر حملات اطلاعاتی است.

معمولاً دو گروه اصلی از روش ها برای محاسبه ریسک های امنیتی وجود دارد. گروه اول به شما امکان می دهد با ارزیابی میزان انطباق با مجموعه خاصی از الزامات امنیت اطلاعات، سطح ریسک را تعیین کنید. منابع چنین الزاماتی می تواند باشد (شکل 2):

• اسناد نظارتی شرکت مربوط به مسائل امنیت اطلاعات؛
• الزامات قانون فعلی روسیه - دستورالعمل های FSTEC (کمیسیون فنی دولتی)، STR-K، الزامات FSB فدراسیون روسیه، GOST ها و غیره؛
• توصیه های استانداردهای بین المللی - ISO 17799، OCTAVE، CoBIT، و غیره؛
• توصیه هایی از شرکت های تولید کننده نرم افزار و سخت افزار - مایکروسافت، اوراکل، سیسکو و غیره.

شکل 2: منابع الزامات امنیت اطلاعات که بر اساس آنها می توان ارزیابی ریسک را انجام داد

گروه دوم روش‌ها برای ارزیابی ریسک‌های امنیت اطلاعات مبتنی بر تعیین احتمال وقوع حملات و همچنین میزان آسیب آنها است. در این حالت، ارزش ریسک به صورت جداگانه برای هر حمله محاسبه می شود و به طور کلی حاصل ضرب احتمال حمله و میزان خسارت احتمالی این حمله ارائه می شود. ارزش خسارت توسط صاحب منبع اطلاعاتی تعیین می شود و احتمال حمله توسط گروهی از کارشناسان که روش حسابرسی را انجام می دهند محاسبه می شود.

روش‌های گروه اول و دوم می‌توانند از مقیاس‌های کمی یا کیفی برای تعیین میزان ریسک امنیت اطلاعات استفاده کنند. در حالت اول، ریسک و تمام پارامترهای آن در مقادیر عددی بیان می شود. به عنوان مثال، هنگام استفاده از مقیاس های کمی، احتمال حمله را می توان به صورت عددی در بازه بیان کرد و خسارت حمله را می توان معادل پولی خسارات مادی که ممکن است در صورت حمله متحمل شود، مشخص کرد. موفق است. هنگام استفاده از ترازوی با کیفیت مقادیر عددیبا سطوح مفهومی معادل جایگزین می شوند. در این حالت، هر سطح مفهومی با فاصله معینی از مقیاس رتبه بندی کمی مطابقت دارد. تعداد سطوح ممکن است بسته به تکنیک های ارزیابی ریسک مورد استفاده متفاوت باشد. جداول 2 و 3 نمونه هایی از مقیاس های ارزیابی ریسک امنیت اطلاعات کیفی را ارائه می دهند که از پنج سطح مفهومی برای ارزیابی سطوح آسیب و احتمال حمله استفاده می کنند.

جدول 2: مقیاس کیفی برای ارزیابی سطح خسارت

№ سطح آسیب شرح 1 آسیب جزئی منجر به زیان های جزئی دارایی های مشهود می شود که به سرعت بازیابی می شوند یا تأثیر جزئی بر شهرت شرکت دارند. 2 آسیب متوسط باعث از دست دادن قابل توجه دارایی های مشهود یا تأثیر متوسطی بر شهرت شرکت می شود. 3 آسیب متوسط منجر به زیان قابل توجهی از دارایی های مشهود یا آسیب قابل توجهی به شهرت شرکت می شود 4 خسارت بزرگ باعث زیان های زیادی از دارایی های مشهود می شود و به اعتبار شرکت آسیب زیادی وارد می کند 5 آسیب جدی منجر به از دست دادن حیاتی دارایی های مادی یا از بین رفتن کامل شهرت شرکت در بازار می شود که فعالیت های بعدی سازمان را غیرممکن می کند.

جدول 3: مقیاس کیفی برای ارزیابی احتمال حمله

№ سطح احتمال حمله شرح 1 خیلی کم حمله تقریباً هرگز انجام نخواهد شد. سطح مربوط به فاصله احتمال عددی است 5 خیلی بالا حمله تقریباً به طور قطع انجام خواهد شد. سطح مربوط به فاصله احتمال عددی است (0.75، 1]

هنگام استفاده از مقیاس های کیفی برای محاسبه سطح ریسک، جداول خاصی استفاده می شود که در ستون اول سطوح مفهومی آسیب و در خط اول سطوح احتمال حمله مشخص شده است. سلول های جدول واقع در تقاطع سطر و ستون اول حاوی سطح خطر امنیتی هستند. ابعاد جدول به تعداد سطوح مفهومی احتمال حمله و آسیب بستگی دارد. نمونه ای از جدولی که بر اساس آن می توان سطح ریسک را تعیین کرد در زیر آورده شده است.

جدول 4: نمونه ای از جدول برای تعیین سطح ریسک امنیت اطلاعات

احتمال حمله خیلی کم کم میانگین بالا خیلی بالا خسارت کم اهمیت خسارت ریسک کم ریسک کم ریسک کم ریسک متوسط ریسک متوسط در حد متوسط خسارت ریسک کم ریسک کم ریسک متوسط ریسک متوسط ریسک بالا آسیب متوسط ریسک کم ریسک متوسط ریسک متوسط ریسک متوسط ریسک بالا بزرگ خسارت ریسک متوسط ریسک متوسط ریسک متوسط ریسک متوسط ریسک بالا بحرانی خسارت ریسک متوسط ریسک بالا ریسک بالا ریسک بالا ریسک بالا

هنگام محاسبه احتمال حمله و همچنین میزان آسیب احتمالی، می توان از روش های آماری، روش های ارزیابی تخصصی یا عناصر تئوری تصمیم استفاده کرد. روش های آماری شامل تجزیه و تحلیل داده های انباشته شده در مورد حوادث واقعی مربوط به نقض امنیت اطلاعات است. بر اساس نتایج این تجزیه و تحلیل، مفروضاتی در مورد احتمال حملات و سطوح آسیب ناشی از آنها در سیستم های دیگر مطرح می شود. با این حال، استفاده از روش های آماری به دلیل عدم وجود داده های آماری کامل در مورد حملات قبلی انجام شده به منابع اطلاعاتی یک AS مشابه آنچه در حال ارزیابی است، همیشه امکان پذیر نیست.

هنگام استفاده از دستگاه ارزیابی کارشناسان، نتایج کار گروهی از کارشناسان متخصص در زمینه امنیت اطلاعات تجزیه و تحلیل می شود که بر اساس تجربه خود، سطوح کمی یا کیفی ریسک را تعیین می کنند. عناصر تئوری تصمیم گیری استفاده از الگوریتم های پیچیده تری را برای پردازش نتایج گروهی از متخصصان برای محاسبه ارزش ریسک امنیتی ممکن می سازد.

در فرآیند انجام ممیزی امنیتی، می توان از سیستم های نرم افزاری تخصصی برای خودکارسازی فرآیند تجزیه و تحلیل داده های منبع و محاسبه مقادیر ریسک استفاده کرد. نمونه‌هایی از این مجموعه‌ها عبارتند از: «گریف» و «کاندور» (شرکت‌های امنیت دیجیتال) و «آوانگارد» (موسسه) تحلیل سیستم RAS).

6. نتایج ممیزی امنیتی

در آخرین مرحله ممیزی امنیت اطلاعات، توصیه هایی برای بهبود پشتیبانی سازمانی و فنی شرکت ایجاد می شود. چنین توصیه هایی ممکن است شامل انواع اقدامات زیر با هدف به حداقل رساندن خطرات شناسایی شده باشد:

• کاهش خطر از طریق استفاده از ابزارهای حفاظتی سازمانی و فنی اضافی برای کاهش احتمال حمله یا کاهش آسیب احتمالی ناشی از آن. بنابراین، برای مثال، تنظیم فایروال هادر نقطه اتصال AS به اینترنت، می تواند به طور قابل توجهی احتمال حمله موفقیت آمیز به منابع اطلاعات عمومی AS مانند سرورهای وب، سرورهای پست الکترونیکی و غیره را کاهش دهد.
• اجتناب از خطر با تغییر معماری یا طرح جریان اطلاعات AS، که امکان انجام یک حمله خاص را از بین می برد. به عنوان مثال، قطع فیزیکی بخش AS که در آن اطلاعات محرمانه از اینترنت پردازش می شود، حذف حملات به اطلاعات محرمانه از این شبکه را ممکن می سازد.
• تغییر در ماهیت ریسک در نتیجه اقدامات بیمه ای. نمونه هایی از چنین تغییری در ماهیت خطر شامل بیمه تجهیزات NPP در برابر آتش سوزی یا بیمه کردن منابع اطلاعاتی در برابر نقض احتمالی محرمانه بودن، یکپارچگی یا در دسترس بودن آنها است. در حال حاضر، شرکت های روسی در حال حاضر خدمات بیمه ریسک اطلاعات را ارائه می دهند.
• پذیرش ریسک در صورتی که به حدی کاهش یابد که خطری برای گیاه نداشته باشد.

به عنوان یک قاعده، توصیه های توسعه یافته با هدف حذف کامل همه خطرات شناسایی شده نیست، بلکه فقط در جهت کاهش آنها به سطح باقیمانده قابل قبول است. هنگام انتخاب اقدامات برای افزایش سطح حفاظت AS، یک محدودیت اساسی در نظر گرفته می شود - هزینه اجرای آنها نباید از هزینه منابع اطلاعات محافظت شده تجاوز کند.

در پایان روش حسابرسی، نتایج آن در قالب یک سند گزارشگری رسمی می شود که در اختیار مشتری قرار می گیرد. به طور کلی، این سند شامل بخش های اصلی زیر است:

• شرح مرزهایی که ممیزی امنیتی در آن انجام شده است.
• شرح ساختار AS مشتری؛
• روشها و ابزارهایی که در فرآیند حسابرسی مورد استفاده قرار گرفت.
• شرحی از آسیب‌پذیری‌ها و کاستی‌های شناسایی‌شده، از جمله سطح ریسک آن‌ها؛
• توصیه هایی برای بهبود سیستم جامع امنیت اطلاعات؛
• پیشنهادهایی برای طرحی برای اجرای اقدامات اولویت دار با هدف به حداقل رساندن خطرات شناسایی شده.

7. نتیجه گیری

ممیزی امنیت اطلاعات امروزه یکی از مؤثرترین ابزارها برای به دست آوردن ارزیابی مستقل و عینی از سطح فعلی حفاظت از یک شرکت در برابر تهدیدات امنیت اطلاعات است. علاوه بر این، نتایج ممیزی مبنایی برای تشکیل استراتژی برای توسعه سیستم امنیت اطلاعات سازمان است.

با این حال، باید درک کرد که ممیزی امنیتی یک رویه یک بار نیست، بلکه باید به طور منظم انجام شود. تنها در این صورت حسابرسی مزایای واقعی را به همراه خواهد داشت و به بهبود سطح امنیت اطلاعات شرکت کمک می کند.

8. مراجع

1. Vikhorev S.V.، Kobtsev R.Yu.، چگونه بفهمیم حمله از کجا می آید یا تهدید امنیت اطلاعات از کجا می آید // Confident، شماره 2، 2001.
2. Simonov S. تجزیه و تحلیل ریسک، مدیریت ریسک // خبرنامه جت اطلاعات شماره 1 (68). 1999. ص. 1-28.
3. ISO/IEC 17799، فناوری اطلاعات – آیین نامه عملکرد مدیریت امنیت اطلاعات، 2000
4. ارزیابی عملیاتی حیاتی تهدید، دارایی و آسیب پذیری (OCTAVE) – ارزیابی ریسک امنیتی – www.cert.org/octave.
5. راهنمای مدیریت ریسک برای سیستم‌های فناوری اطلاعات، NIST، انتشارات ویژه 800-30.

امروزه همه این عبارت تقریبا مقدس را می دانند که صاحب اطلاعات صاحب جهان است. به همین دلیل است که در زمان ما همه در صدد دزدی هستند. در این راستا اقدامات بی سابقه ای برای معرفی حفاظت در برابر حملات احتمالی در حال انجام است. با این حال، گاهی اوقات ممکن است نیاز به انجام حسابرسی از شرکت باشد. این چیست و چرا این همه مورد نیاز است؟ بیایید سعی کنیم اکنون آن را بفهمیم.

ممیزی امنیت اطلاعات در تعریف کلی چیست؟

اکنون ما به اصطلاحات علمی مبهم دست نخواهیم داد، بلکه سعی خواهیم کرد مفاهیم اساسی را برای خود تعریف کنیم و آنها را به ساده ترین زبان توصیف کنیم (معمولاً این را می توان ممیزی برای "قلمک ها" نامید).

نام این مجموعه از رویدادها برای خود صحبت می کند. ممیزی امنیت اطلاعات یک تأیید یا تضمین مستقل از امنیت سیستم اطلاعاتی (IS) هر شرکت، مؤسسه یا سازمانی بر اساس معیارها و شاخص های ویژه توسعه یافته است.

به عبارت ساده، به عنوان مثال، حسابرسی امنیت اطلاعات یک بانک به ارزیابی سطح حفاظت از پایگاه‌های اطلاعاتی مشتریان، عملیات بانکی در حال انجام، ایمنی وجوه الکترونیکی، ایمنی رازداری بانکی و غیره در صورت تداخل در فعالیت مؤسسه توسط افراد غیرمجاز از خارج با استفاده از وسایل الکترونیکی و رایانه ای.

مطمئناً در بین خوانندگان حداقل یک نفر وجود خواهد داشت که در خانه یا در خانه تماس گرفته است تلفن همراهبا پیشنهاد صدور وام یا سپرده و از بانکی که به هیچ وجه با آن ارتباط ندارد. همین امر در مورد پیشنهادهای خرید از برخی فروشگاه ها نیز صدق می کند. شماره شما از کجا آمده است؟

ساده است. اگر شخصی قبلاً وام گرفته یا به حساب سپرده ای واریز کرده باشد، طبیعتاً داده های او در یک حساب ذخیره می شود. هنگام تماس از بانک یا فروشگاه دیگر، تنها نتیجه می توان گرفت: اطلاعات مربوط به او به طور غیرقانونی به دست ثالث افتاد. . چگونه؟ به طور کلی، دو گزینه قابل تشخیص است: یا به سرقت رفته است، یا کارکنان بانک آگاهانه آن را به اشخاص ثالث منتقل کرده اند. برای جلوگیری از وقوع چنین مواردی، لازم است حسابرسی به موقع از امنیت اطلاعات بانک انجام شود و این نه تنها در مورد اقدامات امنیتی رایانه ای یا "سخت افزاری"، بلکه برای کل کارکنان موسسه بانکی اعمال می شود.

جهات اصلی ممیزی امنیت اطلاعات

در مورد دامنه کاربرد چنین حسابرسی، به عنوان یک قاعده، چندین تمایز وجود دارد:

• بازرسی کامل از اشیاء درگیر در فرآیندهای اطلاعاتی (سیستم های کامپیوتری خودکار، وسایل ارتباطی، دریافت، انتقال و پردازش داده های اطلاعاتی، وسایل فنی، محل جلسات محرمانه، سیستم های نظارت و غیره).
• بررسی قابلیت اطمینان حفاظت از اطلاعات محرمانه با دسترسی محدود (تعریف کانال های ممکننشت و حفره های احتمالی در سیستم امنیتی که امکان دسترسی به آن را از خارج با استفاده از روش های استاندارد و غیر استاندارد فراهم می کند.
• بررسی تمام سخت افزارهای الکترونیکی و سیستم های کامپیوتری محلی برای تأثیر بر آنها تابش الکترومغناطیسیو نکاتی که به شما امکان می دهد آنها را خاموش یا غیرقابل استفاده کنید.
• بخش طراحی، که شامل کار بر روی ایجاد یک مفهوم امنیتی و به کارگیری آن در عمل است (حفاظت از سیستم های کامپیوتری، اماکن، ارتباطات و غیره).

چه زمانی انجام ممیزی ضروری می شود؟

ناگفته نماند موقعیت های بحرانیهنگامی که حفاظت قبلاً نقض شده باشد، ممیزی امنیت اطلاعات در سازمان می تواند در برخی موارد دیگر انجام شود.

به عنوان یک قاعده، این شامل گسترش شرکت، ادغام، تملک، ادغام توسط سایر شرکت ها، تغییر در مفهوم دوره تجاری یا مدیریت، تغییر در قوانین بین المللی یا اقدامات قانونی در یک کشور خاص، و تغییرات نسبتاً جدی در زیرساخت اطلاعات است.

انواع حسابرسی

امروزه طبقه بندی این نوع حسابرسی به گفته بسیاری از تحلیلگران و کارشناسان ثابت نشده است. بنابراین، تقسیم به کلاس ها در برخی موارد می تواند بسیار مشروط باشد. با این حال، به طور کلی، ممیزی امنیت اطلاعات را می توان به خارجی و داخلی تقسیم کرد.

ممیزی خارجی، که توسط کارشناسان مستقلی که حق انجام آن را دارند، انجام می شود، معمولاً یک بازرسی یکباره است که می تواند توسط مدیریت شرکت، سهامداران، سازمان های اجرای قانون و غیره آغاز شود. در نظر گرفته می شود که ممیزی امنیت اطلاعات خارجی توصیه می شود (لازم نیست) به طور منظم در یک دوره زمانی مشخص انجام شود. اما برای برخی از سازمان ها و بنگاه ها طبق قانون اجباری است (مثلاً مؤسسات و سازمان های مالی، شرکت های سهامی و ...).

امنیت اطلاعات یک فرآیند مداوم است. این بر اساس "آیین نامه ویژه حسابرسی داخلی" است. آن چیست؟ در اصل، اینها رویدادهای صدور گواهینامه هستند که در یک چارچوب زمانی مورد تایید مدیریت در سازمان انجام می شوند. ممیزی امنیت اطلاعات توسط واحدهای ساختاری ویژه شرکت انجام می شود.

طبقه بندی جایگزین انواع حسابرسی

علاوه بر تقسیم بندی فوق به طبقات در حالت کلی، می توان چندین مؤلفه دیگر را که در طبقه بندی بین المللی پذیرفته شده است متمایز کرد:

• بررسی تخصصی وضعیت امنیتی اطلاعات و سیستم های اطلاعاتی بر اساس تجربه شخصی کارشناسان انجام دهنده آن؛
• صدور گواهینامه سیستم ها و اقدامات امنیتی برای انطباق با استانداردهای بین المللی (ISO 17799) و اسناد قانونی دولتی که این حوزه فعالیت را تنظیم می کند.
• تجزیه و تحلیل امنیت سیستم های اطلاعاتی با استفاده از ابزارهای فنی، با هدف شناسایی آسیب پذیری های احتمالی در مجموعه سخت افزاری و نرم افزاری.

گاهی اوقات می توان از یک حسابرسی به اصطلاح جامع استفاده کرد که شامل تمام انواع فوق می شود. به هر حال، این اوست که عینی ترین نتایج را می دهد.

تعیین اهداف و مقاصد

هر حسابرسی، چه داخلی و چه خارجی، با تعیین اهداف و مقاصد آغاز می شود. به بیان ساده، باید مشخص کنید که چرا، چه چیزی و چگونه بررسی می شود. این روش‌شناسی بعدی را برای انجام کل فرآیند از پیش تعیین می‌کند.

وظایف محول شده بسته به ساختار خاص خود شرکت، سازمان، موسسه و فعالیت های آن می تواند بسیار زیاد باشد. با این حال، در میان همه اینها، اهداف یکپارچه ممیزی امنیت اطلاعات متمایز می شوند:

• ارزیابی وضعیت امنیتی اطلاعات و سیستم های اطلاعاتی؛
• تجزیه و تحلیل خطرات احتمالی مرتبط با تهدید نفوذ به IP از خارج، و روش های ممکنانجام چنین مداخله ای؛
• محلی سازی سوراخ ها و شکاف ها در سیستم امنیتی؛
• تجزیه و تحلیل انطباق سطح امنیتی سیستم های اطلاعاتی با استانداردها و مقررات جاری؛
• توسعه و صدور توصیه هایی شامل رفع مشکلات موجود و همچنین بهبود وسایل حفاظتی موجود و معرفی پیشرفت های جدید.

روش و ابزار انجام حسابرسی

حال چند کلمه در مورد نحوه انجام چک و شامل چه مراحل و وسایلی می باشد.

انجام ممیزی امنیت اطلاعات شامل چندین مرحله اصلی است:

• شروع یک روش حسابرسی (تعریف واضح حقوق و مسئولیت های حسابرس، تهیه برنامه حسابرسی توسط حسابرس و توافق با مدیریت، حل مسئله حدود مطالعه، تحمیل تعهد به کارکنان سازمان برای کمک و ارائه به موقع اطلاعات لازم)؛
• جمع آوری داده های اولیه (ساختار سیستم امنیتی، توزیع وسایل امنیتی، سطوح عملکرد سیستم امنیتی، تجزیه و تحلیل روش های به دست آوردن و ارائه اطلاعات، تعیین کانال های ارتباطی و تعامل IS با سایر ساختارها، سلسله مراتب کاربران شبکه های کامپیوتری، تعریف پروتکل ها و غیره)؛
• انجام بازرسی جامع یا جزئی؛
• تجزیه و تحلیل داده های دریافتی (تجزیه و تحلیل خطرات از هر نوع و مطابقت با استانداردها)؛
• ارائه توصیه هایی برای حذف مشکلات احتمالی;
• ایجاد اسناد گزارشگری

مرحله اول ساده ترین است، زیرا تصمیم گیری آن منحصراً بین مدیریت شرکت و حسابرس اتخاذ می شود. دامنه تجزیه و تحلیل ممکن است در مجمع عمومی کارکنان یا سهامداران مورد بحث قرار گیرد. همه اینها تا حد زیادی به حوزه حقوقی مربوط می شود.

مرحله دوم جمع‌آوری داده‌های اولیه، خواه انجام ممیزی امنیت اطلاعات داخلی یا صدور گواهینامه مستقل خارجی، بیشترین منابع را دارد. این امر به این دلیل است که در این مرحله نه تنها مطالعه مستندات فنی مربوط به کل مجموعه نرم افزاری و سخت افزاری، بلکه انجام مصاحبه های متمرکز با کارکنان شرکت و در بیشتر موارد حتی با پر کردن پرسشنامه های خاص ضروری است. یا پرسشنامه ها

در مورد مستندات فنی، به دست آوردن اطلاعات در مورد ساختار IP و سطوح اولویت حقوق دسترسی برای کارکنان، تعیین نرم افزارهای کاربردی و گسترده سیستم (سیستم عامل های مورد استفاده، برنامه های کاربردی برای انجام تجارت، مدیریت آن و حسابداری) مهم است. ، همچنین وسیله تاسیس شدهحفاظت نرم افزاری و غیر نرم افزاری (آنتی ویروس ها، فایروال ها و غیره). علاوه بر این، این شامل بررسی کامل شبکه‌ها و ارائه دهندگان ارائه خدمات ارتباطی (سازمان شبکه، پروتکل‌های مورد استفاده برای اتصال، انواع کانال‌های ارتباطی، روش‌های انتقال و دریافت جریان اطلاعات و موارد دیگر) می‌شود. همانطور که قبلاً مشخص است، این کار زمان زیادی می برد.

در مرحله بعد روش های ممیزی امنیت اطلاعات مشخص می شود. سه تا از آنها موجود است:

• تجزیه و تحلیل ریسک (پیچیده ترین تکنیک مبتنی بر تعیین امکان نفوذ به IP و نقض یکپارچگی آن توسط حسابرس با استفاده از تمام روش ها و ابزارهای ممکن).
• ارزیابی انطباق با استانداردها و قوانین (ساده ترین و کاربردی ترین روش، بر اساس مقایسه وضعیت فعلی و الزامات استانداردهای بین المللی و اسناد داخلی در زمینه امنیت اطلاعات)؛
• یک روش ترکیبی که دو روش اول را ترکیب می کند.

پس از دریافت نتایج آزمایش، تجزیه و تحلیل آنها آغاز می شود. ابزارهای ممیزی امنیت اطلاعات که برای تجزیه و تحلیل استفاده می شوند می توانند بسیار متنوع باشند. همه چیز به ویژگی‌های فعالیت شرکت، نوع اطلاعات، نرم‌افزار مورد استفاده، ابزارهای امنیتی و غیره بستگی دارد. با این حال، همانطور که از روش اول مشاهده می‌شود، حسابرس عمدتاً باید به تجربه خود تکیه کند.

این تنها به این معنی است که او باید دارای صلاحیت های مناسب در زمینه فناوری اطلاعات و حفاظت از داده ها باشد. بر اساس این تحلیل، حسابرس محاسبه می کند خطرات احتمالی.

لطفاً توجه داشته باشید که او نه تنها باید سیستم‌های عامل یا برنامه‌هایی را که به عنوان مثال برای انجام امور تجاری یا حسابداری استفاده می‌شوند، درک کند، بلکه باید به وضوح درک کند که چگونه یک مهاجم می‌تواند با هدف سرقت، آسیب رساندن و از بین بردن داده‌ها به یک سیستم اطلاعاتی نفوذ کند و پیش‌شرط‌هایی برای تخلف ایجاد کند. در عملکرد رایانه ها، انتشار ویروس ها یا بدافزارها.

بر اساس تجزیه و تحلیل، کارشناس در مورد وضعیت حفاظت نتیجه گیری می کند و توصیه هایی را برای رفع مشکلات موجود یا احتمالی، ارتقاء سیستم امنیتی و غیره ارائه می دهد. در عین حال، توصیه ها نه تنها باید عینی باشند، بلکه باید به وضوح با واقعیت های خاص شرکت مرتبط باشند. به عبارت دیگر مشاوره در خصوص ارتقاء تنظیمات یا نرم افزارهای کامپیوتری پذیرفته نخواهد شد. این به همان اندازه در مورد توصیه هایی در مورد اخراج کارکنان "غیر قابل اعتماد"، نصب سیستم های ردیابی جدید بدون اشاره به هدف، محل نصب و امکان سنجی آنها صدق می کند.

بر اساس تجزیه و تحلیل، به عنوان یک قاعده، چندین گروه از خطرات متمایز می شوند. در این مورد از دو شاخص اصلی برای تهیه گزارش خلاصه استفاده می شود: احتمال حمله و آسیب وارد شده به شرکت در نتیجه (از دست دادن دارایی، کاهش شهرت، از دست دادن تصویر و ...). با این حال، شاخص ها برای گروه ها یکسان نیست. بنابراین، برای مثال، یک شاخص سطح پایین برای احتمال حمله بهترین است. برای آسیب برعکس است.

تنها پس از این گزارشی تهیه می شود که تمام مراحل، روش ها و ابزارهای تحقیق انجام شده را به تفصیل بیان می کند. با مدیریت توافق شده و توسط دو طرف - شرکت و حسابرس امضا می شود. در صورتی که حسابرسی داخلی باشد، این گزارش توسط رئیس واحد ساختاری مربوط تهیه و پس از آن مجدداً به امضای رئیس می رسد.

ممیزی امنیت اطلاعات: مثال

در نهایت، بیایید ساده ترین مثال از موقعیتی را که قبلاً اتفاق افتاده است، بررسی کنیم. به هر حال، ممکن است برای بسیاری بسیار آشنا به نظر برسد.

به عنوان مثال، یک کارمند خاص از یک شرکت درگیر خرید در ایالات متحده آمریکا روی رایانه خود نصب کرده است پیام رسان ICQ(نام کارمند و نام شرکت به دلایل واضح ذکر نشده است). مذاکرات دقیقاً از طریق این برنامه انجام شد. اما ICQ از نظر امنیت کاملاً آسیب پذیر است. هنگام ثبت شماره، کارمند یا آدرس ایمیلی در آن زمان نداشت یا به سادگی نمی خواست آن را بدهد. در عوض، او چیزی شبیه به ایمیل را نشان داد، حتی با دامنه‌ای که وجود ندارد.

مهاجم چه خواهد کرد؟ همانطور که ممیزی امنیت اطلاعات نشان داد، او دقیقاً همان دامنه را ثبت می کرد و ترمینال ثبت دیگری را در آن ایجاد می کرد و پس از آن می توانست با درخواست بازگردانی رمز عبور به شرکت Mirabilis که دارای سرویس ICQ است پیامی ارسال کند. به ضرر آن (که انجام می شد). از آنجایی که سرور گیرنده یک سرور ایمیل نبود، یک تغییر مسیر در آن فعال شد - هدایت مجدد به ایمیل موجود مهاجم.

در نتیجه، او به مکاتبات با شماره ICQ مشخص شده دسترسی پیدا می کند و عرضه کننده را از تغییر آدرس گیرنده کالا در یک کشور خاص مطلع می کند. بنابراین، محموله به مقصد نامعلومی ارسال می شود. و این بی ضررترین مثال است. بله، هولیگانیسم کوچک. در مورد هکرهای جدی تری که قادر به کارهای بسیار بیشتری هستند چه می توانیم بگوییم...

نتیجه

این تمام چیزی است که به طور خلاصه در مورد ممیزی امنیت IP وجود دارد. البته در اینجا به تمام جنبه های آن پرداخته نمی شود. تنها دلیل این است که تعیین وظایف و روش های اجرای آن تحت تأثیر عوامل بسیاری است، بنابراین رویکرد در هر مورد خاص کاملاً فردی است. علاوه بر این، روش ها و ابزارهای ممیزی امنیت اطلاعات ممکن است برای سیستم های اطلاعاتی مختلف متفاوت باشد. با این حال، به نظر می رسد که اصول کلی چنین چک هایی حداقل در سطح اولیه برای بسیاری روشن شود.