Raccolta di informazioni di audit. Principali disposizioni legislative

Oggi tutti conoscono quasi una frase sacra secondo cui chi possiede le informazioni possiede il mondo. Ecco perché nel nostro tempo tutti cercano di rubare. A questo proposito, si stanno adottando misure senza precedenti per introdurre mezzi di protezione contro possibili attacchi. Tuttavia, a volte può essere necessario controllare l'impresa. Che cos'è e perché tutto questo è necessario, ora cercheremo di capirlo.

Che cos'è un audit di sicurezza delle informazioni in termini generali?

Ora non toccheremo astrusi termini scientifici, ma cercheremo di definire noi stessi i concetti base, descrivendoli nel linguaggio più semplice (nelle persone questo potrebbe chiamarsi audit per "manichini").

Il nome di questa serie di eventi parla da sé. Un audit sulla sicurezza delle informazioni è una verifica indipendente o una garanzia di sicurezza di un sistema informativo (SI) di un'impresa, istituzione o organizzazione sulla base di criteri e indicatori appositamente sviluppati.

In parole povere, ad esempio, un audit di sicurezza delle informazioni di una banca si riduce a valutare il livello di protezione delle banche dati dei clienti, le operazioni bancarie in corso, la sicurezza della moneta elettronica, la sicurezza del segreto bancario, ecc. in caso di interferenza in le attività dell'ente da parte di soggetti non autorizzati che utilizzano mezzi elettronici e informatici.

Sicuramente, tra i lettori ci sarà almeno una persona che ha ricevuto una chiamata a casa o al cellulare con un'offerta per richiedere un prestito o un deposito, inoltre, da una banca con la quale non è in alcun modo collegato. Lo stesso vale per le offerte di acquisto di alcuni negozi. Da dove viene il tuo numero?

Tutto è semplice. Se una persona in precedenza ha preso un prestito o ha investito denaro in un conto di deposito, naturalmente, i suoi dati sono stati archiviati in uno solo Quando chiama da un'altra banca o negozio, si può trarre l'unica conclusione: le informazioni su di lui sono cadute illegalmente in terze mani. Come? Nel caso generale si possono distinguere due opzioni: o è stato rubato, oppure è stato deliberatamente ceduto a terzi da dipendenti della banca. Per evitare che accadano cose del genere, è necessario condurre per tempo un controllo sulla sicurezza delle informazioni della banca, e ciò vale non solo per gli strumenti di sicurezza informatica o "ferro", ma per tutto il personale dell'istituto bancario.

Principali aree di audit sulla sicurezza delle informazioni

Per quanto riguarda l'ambito di tale audit, di norma, si distinguono per diversi:

• piena verifica degli oggetti coinvolti nei processi di informatizzazione (sistemi automatizzati informatici, mezzi di comunicazione, ricezione, trasmissione ed elaborazione di dati informativi, mezzi tecnici, locali per riunioni riservate, sistemi di sorveglianza, ecc.);
• verifica dell'affidabilità della protezione delle informazioni riservate ad accesso limitato (determinazione di possibili canali di fuga e potenziali buchi di sicurezza che ne consentano l'accesso dall'esterno con modalità standard e non standard);
• controllare tutti i mezzi tecnici elettronici e i sistemi informatici locali per l'esposizione alle radiazioni elettromagnetiche e ai pickup, consentendone lo spegnimento o la messa inutilizzabile;
• parte di progettazione, che include il lavoro sulla creazione di un concetto di sicurezza e sulla sua applicazione pratica (protezione di sistemi informatici, locali, comunicazioni, ecc.).

Quando è necessario un audit?

Per non parlare delle situazioni critiche in cui la protezione è già stata violata, in altri casi può essere effettuato un audit di sicurezza delle informazioni in un'organizzazione.

Di norma, ciò include l'espansione dell'azienda, fusioni, acquisizioni, acquisizioni da parte di altre imprese, un cambiamento nel concetto di business o di gestione, cambiamenti nella legislazione internazionale o negli atti giuridici all'interno di un singolo paese, cambiamenti piuttosto gravi nell'infrastruttura dell'informazione .

Tipi di audit

Oggi la classificazione stessa di questo tipo di audit, secondo molti analisti ed esperti, non è ben definita. Pertanto, la divisione in classi in alcuni casi può essere molto condizionale. Tuttavia, nel caso generale, l'audit sulla sicurezza delle informazioni può essere suddiviso in esterno e interno.

Un audit esterno, condotto da esperti indipendenti che hanno il diritto di farlo, è solitamente un audit una tantum che può essere avviato dalla direzione dell'impresa, dagli azionisti, dalle forze dell'ordine, ecc. Si ritiene che un audit esterno sulla sicurezza delle informazioni sia raccomandato (piuttosto che obbligatorio) da effettuare regolarmente in un determinato periodo di tempo. Ma per alcune organizzazioni e imprese, secondo la legge, è obbligatorio (ad esempio, istituzioni e organizzazioni finanziarie, società per azioni, ecc.).

La sicurezza delle informazioni è un processo continuo. Si basa su un apposito “Regolamento in materia di controllo interno”. Cos'è? Si tratta infatti di attività di attestazione svolte nell'organizzazione, nei tempi approvati dalla direzione. Lo svolgimento di un audit sulla sicurezza delle informazioni è fornito da speciali suddivisioni strutturali dell'impresa.

Classificazione alternativa dei tipi di audit

Oltre alla suddetta suddivisione in classi nel caso generale, ci sono molte altre componenti accettate nella classificazione internazionale:

• verifica esperta dello stato di sicurezza delle informazioni e dei sistemi informativi sulla base dell'esperienza personale degli esperti che la conducono;
• certificazione dei sistemi e delle misure di sicurezza per il rispetto degli standard internazionali (ISO 17799) e dei documenti legali statali che regolano questo settore di attività;
• analisi della sicurezza dei sistemi informativi mediante mezzi tecnici, finalizzata all'individuazione di potenziali vulnerabilità nel complesso software e hardware.

A volte può essere utilizzato anche il cosiddetto audit complesso, che include tutte le tipologie di cui sopra. A proposito, è lui che dà i risultati più oggettivi.

Fissare obiettivi e obiettivi

Qualsiasi verifica, interna o esterna, inizia con la definizione di obiettivi e obiettivi. Per dirla semplicemente, è necessario determinare perché, cosa e come verrà controllato. Questo predeterminerà l'ulteriore metodologia per l'intero processo.

I compiti stabiliti, a seconda delle specifiche della struttura dell'impresa stessa, dell'organizzazione, dell'istituzione e delle sue attività, possono essere piuttosto numerosi. Tuttavia, tra tutto ciò, si distinguono gli obiettivi unificati dell'audit di sicurezza delle informazioni:

• valutazione dello stato di sicurezza delle informazioni e dei sistemi informativi;
• analisi dei possibili rischi associati alla minaccia di penetrazione nell'IP dall'esterno e possibili metodi per implementare tale interferenza;
• localizzazione di buchi e lacune nel sistema di sicurezza;
• analisi della conformità del livello di sicurezza dei sistemi informativi alle norme vigenti e agli atti normativi normativi;
• sviluppo ed emissione di raccomandazioni che comportino l'eliminazione dei problemi esistenti, nonché il miglioramento dei mezzi di protezione esistenti e l'introduzione di nuovi sviluppi.

Metodologia e mezzi per condurre un audit

Ora qualche parola su come viene effettuato il controllo e quali fasi e mezzi include.

La conduzione di un audit di sicurezza delle informazioni consiste in diverse fasi principali:

• avvio della procedura di audit (definizione chiara dei diritti e degli obblighi dell'auditor, preparazione da parte dell'auditor del piano di audit e suo coordinamento con la direzione, risoluzione della questione dei confini dello studio, imposizione ai dipendenti dell'organizzazione di un obbligo di aiutare e fornire le informazioni necessarie in modo tempestivo);
• raccolta dei dati iniziali (struttura del sistema di sicurezza, distribuzione degli strumenti di sicurezza, livelli di funzionamento del sistema di sicurezza, analisi dei metodi per ottenere e fornire informazioni, determinazione dei canali di comunicazione e interazione dell'IS con altre strutture, gerarchia degli utenti della rete informatica , definizione di protocolli, ecc.);
• condurre un audit completo o parziale;
• analisi dei dati ricevuti (analisi dei rischi di qualsiasi tipo e rispetto delle norme);
• formulare raccomandazioni per eliminare possibili problemi;
• creazione della documentazione di rendicontazione.

La prima fase è la più semplice, poiché la sua decisione viene presa esclusivamente tra la direzione dell'impresa e il revisore dei conti. I limiti dell'analisi possono essere considerati in un'assemblea generale di dipendenti o azionisti. Tutto questo è più legato al campo legale.

La seconda fase della raccolta dei dati iniziali, che si tratti di un audit interno sulla sicurezza delle informazioni o di una certificazione esterna indipendente, è la più dispendiosa in termini di risorse. Ciò è dovuto al fatto che in questa fase è necessario non solo studiare la documentazione tecnica relativa all'intero complesso software e hardware, ma anche condurre interviste mirate ai dipendenti dell'azienda, e nella maggior parte dei casi anche compilando appositi questionari o questionari.

Per quanto riguarda la documentazione tecnica, è importante ottenere dati sulla struttura dell'IP e sui livelli di priorità dei diritti di accesso per i dipendenti ad essa, per determinare il sistema generale e il software applicativo (sistemi operativi utilizzati, applicazioni per fare affari, gestirlo e contabilità) , nonché gli strumenti di protezione software installati e di tipo non software (antivirus, firewall, ecc.). Ciò include inoltre un controllo completo delle reti e dei fornitori che forniscono servizi di comunicazione (organizzazione della rete, protocolli utilizzati per la connessione, tipi di canali di comunicazione, modalità di trasmissione e ricezione dei flussi informativi e molto altro). Come puoi vedere, questo richiede molto tempo.

Il passaggio successivo consiste nel definire i metodi di controllo della sicurezza delle informazioni. Si distinguono in tre:

• analisi del rischio (la tecnica più complessa basata sulla determinazione da parte del revisore della possibilità di penetrazione nell'IS e di violazione della sua integrità utilizzando tutti i metodi ei mezzi possibili);
• valutazione del rispetto delle norme e degli atti legislativi (il metodo più semplice e pratico basato sul confronto tra lo stato attuale delle cose e i requisiti delle norme internazionali e dei documenti nazionali nel campo della sicurezza delle informazioni);
• un metodo combinato che combina i primi due.

Dopo aver ricevuto i risultati del test, inizia la loro analisi. Gli strumenti di controllo della sicurezza delle informazioni utilizzati per l'analisi possono essere molto diversi. Tutto dipende dalle specificità dell'impresa, dal tipo di informazioni, dal software utilizzato, dagli strumenti di sicurezza, ecc. Tuttavia, come si può vedere dal primo metodo, l'auditor dovrà fare affidamento principalmente sulla propria esperienza.

E questo significa solo che deve possedere le qualifiche adeguate nel campo della tecnologia dell'informazione e della protezione dei dati. Sulla base di tale analisi, il revisore calcola i possibili rischi.

Si noti che deve comprendere non solo i sistemi operativi o i programmi utilizzati, ad esempio, per svolgere attività commerciali o contabili, ma anche comprendere chiaramente come un utente malintenzionato può penetrare in un sistema informativo per rubare, corrompere e distruggere dati, creare prerequisiti per violazioni nel funzionamento dei computer, diffusione di virus o malware.

Sulla base dell'analisi, l'esperto trae una conclusione sullo stato di protezione ed emette raccomandazioni per eliminare problemi esistenti o potenziali, aggiornare il sistema di sicurezza, ecc. Allo stesso tempo, le raccomandazioni dovrebbero essere non solo oggettive, ma anche chiaramente legate alle realtà delle specificità dell'impresa. In altre parole, non vengono accettati consigli sull'aggiornamento della configurazione di computer o software. Ciò vale anche per i consigli sul licenziamento di dipendenti "inaffidabili", l'installazione di nuovi sistemi di localizzazione senza una specifica indicazione del loro scopo, il luogo di installazione e l'opportunità.

Sulla base dell'analisi, di norma, si distinguono diversi gruppi di rischi. Allo stesso tempo, due indicatori principali vengono utilizzati per compilare un report di sintesi: la probabilità di un attacco e il danno che ne consegue all'azienda (perdita di beni, perdita di reputazione, perdita di immagine, ecc.). Tuttavia, i punteggi per i gruppi non corrispondono. Quindi, ad esempio, un punteggio basso per la probabilità di attacco è il migliore. Per i danni, è il contrario.

Solo successivamente si redige una relazione, nella quale sono descritte nel dettaglio tutte le fasi, le modalità ei mezzi della ricerca svolta. È concordato con la direzione e firmato da due parti: l'impresa e il revisore dei conti. Se l'audit è interno, il responsabile dell'unità strutturale competente redige tale relazione, dopo di che, ancora una volta, viene firmata dal responsabile.

Audit di sicurezza delle informazioni: un esempio

Infine, considera l'esempio più semplice di una situazione che è già accaduta. A molti, tra l'altro, può sembrare molto familiare.

Quindi, ad esempio, un determinato dipendente di un'azienda impegnata negli appalti negli Stati Uniti ha installato il messenger ICQ sul suo computer (il nome del dipendente e il nome dell'azienda non sono nominati per ovvi motivi). I negoziati sono stati condotti attraverso questo programma. Ma "ICQ" è piuttosto vulnerabile in termini di sicurezza. Il dipendente stesso, al momento della registrazione del numero in quel momento, non aveva un indirizzo e-mail o semplicemente non voleva darlo. Invece, ha indicato qualcosa che sembrava un'e-mail, anche con un dominio inesistente.

Cosa farebbe un attaccante? Come ha mostrato l'audit di sicurezza delle informazioni, registrava esattamente lo stesso dominio e vi creava un altro terminale di registrazione, dopodiché poteva inviare un messaggio alla società Mirabilis, proprietaria del servizio ICQ, con la richiesta di recuperare la password a causa della sua perdita (cosa che sarebbe fatta). Poiché il server del destinatario non era un server di posta, su di esso è stato abilitato un reindirizzamento, reindirizzamento alla posta esistente dell'attaccante.

Di conseguenza, ottiene l'accesso alla corrispondenza con il numero ICQ specificato e informa il fornitore della modifica dell'indirizzo del destinatario della merce in un determinato paese. Pertanto, il carico viene inviato a nessuno sa dove. E questo è l'esempio più innocuo. Sì, piccolo bullismo. E che dire degli hacker più seri che sono capaci di molto di più ...

Conclusione

Questo è tutto in poche parole sul controllo della sicurezza IP. Naturalmente, non tutti gli aspetti sono trattati qui. Il motivo è solo che molti fattori influenzano l'impostazione dei compiti e dei metodi della sua attuazione, quindi l'approccio in ogni caso è strettamente individuale. Inoltre, i metodi e i mezzi di controllo della sicurezza delle informazioni possono essere diversi per IS diversi. Tuttavia, sembra che i principi generali di tali controlli diventeranno chiari a molti almeno a livello iniziale.

Un audit è un esame indipendente di alcune aree del funzionamento dell'organizzazione. Distinguere tra audit esterno e interno. Un audit esterno è, di norma, un evento occasionale svolto su iniziativa della direzione dell'organizzazione o degli azionisti. Si raccomanda di condurre regolarmente una revisione esterna e, ad esempio, per molti istituti finanziari e società per azioni questo è un requisito obbligatorio da parte dei loro fondatori e azionisti. L'internal audit è un'attività continuativa che viene svolta sulla base del “Regolamento in materia di controllo interno” e secondo il piano, la cui predisposizione è curata dalle unità dei servizi di sicurezza ed approvata dalla direzione dell'organizzazione.

Gli obiettivi di un audit di sicurezza sono:

analisi dei rischi associati alla possibilità di minacce alla sicurezza delle risorse;

Valutazione dell'attuale livello di sicurezza IP;

Localizzazione dei colli di bottiglia nel sistema di protezione IP;

Valutazione della conformità della PI agli standard esistenti nel campo della sicurezza delle informazioni;

L'audit di sicurezza di un'impresa (azienda, organizzazione) deve essere considerato uno strumento di gestione riservato che esclude, ai fini della segretezza, la possibilità di fornire informazioni sui risultati delle sue attività a terzi e organizzazioni.

Per condurre un audit di sicurezza aziendale, è possibile consigliare la seguente sequenza di azioni.

1. Preparazione per un audit di sicurezza:

selezione dell'oggetto dell'audit (azienda, singoli edifici e locali, singoli impianti o loro componenti);

Formazione di un team di revisori esperti;

Determinazione della portata e della portata dell'audit e definizione di scadenze specifiche per il lavoro.

2. Conduzione di un audit:

analisi generale dello stato di sicurezza dell'oggetto controllato;

Registrazione, raccolta e verifica di dati statistici e risultati di misurazioni strumentali di pericoli e minacce;

Valutazione dei risultati dell'audit;

Stesura di una relazione sui risultati del controllo per i singoli componenti.

3. Completamento dell'audit:

redazione della relazione finale;

Sviluppo di un piano d'azione per eliminare i colli di bottiglia e le carenze nel garantire la sicurezza dell'azienda.

Per condurre con successo un audit di sicurezza, è necessario:

Partecipazione attiva del management della società alla sua attuazione;

L'obiettività e l'indipendenza dei revisori (esperti), la loro competenza ed elevata professionalità;

Procedura di verifica chiaramente strutturata;

Attuazione attiva delle misure proposte per garantire e rafforzare la sicurezza.

L'audit di sicurezza, a sua volta, è uno strumento efficace per valutare la sicurezza e gestire i rischi. Prevenire le minacce alla sicurezza significa anche proteggere gli interessi economici, sociali e informativi dell'impresa.

Da ciò possiamo concludere che l'audit di sicurezza sta diventando uno strumento di gestione economica.

A seconda del volume degli oggetti analizzati dell'impresa, l'ambito dell'audit è determinato:

Audit di sicurezza dell'intera impresa nel complesso;

Audit di sicurezza di singoli edifici e locali (locali dedicati);

Audit di apparecchiature e mezzi tecnici di specifici tipi e tipologie;

Audit di determinati tipi e aree di attività: economica, ambientale, informativa, finanziaria, ecc.

Va sottolineato che l'audit non viene svolto su iniziativa del revisore dei conti, ma su iniziativa della direzione dell'impresa, che in questa materia è la principale parte interessata. Il supporto della direzione dell'impresa è una condizione necessaria per l'audit.

Un audit è un insieme di attività in cui, oltre al revisore stesso, sono coinvolti rappresentanti della maggior parte delle divisioni strutturali dell'azienda. Le azioni di tutti i partecipanti a questo processo devono essere coordinate. Pertanto, nella fase di avvio della procedura di audit, dovrebbero essere risolte le seguenti problematiche organizzative:

I diritti e gli obblighi del revisore devono essere chiaramente definiti e documentati nelle sue mansioni, nonché nel regolamento sulla revisione interna (esterna);

L'auditor dovrebbe preparare e concordare con la direzione un piano di audit;

La disposizione sull'audit interno dovrebbe stabilire, in particolare, che i dipendenti dell'impresa sono obbligati ad assistere il revisore ea fornire tutte le informazioni necessarie per l'audit.

Nella fase di avvio della procedura di audit, dovrebbero essere determinati i confini dell'indagine. Se alcuni sottosistemi informativi dell'impresa non sono sufficientemente critici, possono essere esclusi dai confini dell'indagine.

Altri sottosistemi potrebbero non essere verificabili a causa di problemi di privacy.

I confini dell'indagine sono definiti nelle seguenti categorie:

1. Elenco delle risorse fisiche, software e informative intervistate.

2. Siti (stanze) che rientrano nei confini dell'indagine.

3. Le principali tipologie di minacce alla sicurezza considerate durante l'audit.

4. Aspetti organizzativi (legislativi, amministrativi e procedurali), fisici, software e hardware e altri aspetti della sicurezza che devono essere presi in considerazione durante l'indagine e le loro priorità (in che misura dovrebbero essere presi in considerazione).

Il piano ei confini dell'audit sono discussi nella riunione di lavoro, alla quale partecipano i revisori dei conti, la direzione aziendale e i capi delle divisioni strutturali.

Per comprendere l'audit IS come un sistema complesso, è possibile utilizzare il suo modello concettuale, mostrato nella Figura 1. 1.1. Ecco le componenti principali del processo:

Oggetto dell'audit:

Scopo dell'audit:

Riso. 1.1.

requisiti;

metodi utilizzati;

Scala:

esecutori;

Ordine di condotta.

Dal punto di vista dell'organizzazione del lavoro durante un audit IS, ci sono tre fasi fondamentali:

1. raccolta di informazioni;

Questi passaggi sono discussi più dettagliatamente di seguito.

La fase di raccolta delle informazioni di audit è la più complessa e lunga. Ciò è dovuto alla mancanza della documentazione necessaria per il sistema informativo e alla necessità di una stretta interazione tra il revisore dei conti e molti funzionari dell'organizzazione.

Il revisore può trarre conclusioni competenti sullo stato delle cose in un'azienda con sicurezza delle informazioni solo se sono disponibili tutti i dati iniziali necessari per l'analisi. L'acquisizione di informazioni sull'organizzazione, il funzionamento e lo stato attuale del SI è effettuata dal revisore nel corso di colloqui appositamente organizzati con i responsabili della società, attraverso lo studio della documentazione tecnica, organizzativa e amministrativa, nonché lo studio del SI utilizzando strumenti software specializzati. Soffermiamoci sulle informazioni di cui l'auditor ha bisogno per l'analisi.

Garantire la sicurezza delle informazioni di un'organizzazione è un processo complesso che richiede un'organizzazione e una disciplina chiare. Dovrebbe iniziare con la definizione dei ruoli e l'assegnazione di responsabilità ai funzionari della sicurezza delle informazioni. Pertanto, il primo punto dell'indagine di audit inizia con l'ottenimento di informazioni sulla struttura organizzativa degli utenti IS e delle unità di servizio. Al riguardo, il revisore richiede la seguente documentazione:

· Schema della struttura organizzativa degli utenti;

· Schema della struttura organizzativa delle unità di servizio.

Solitamente, durante il colloquio, l'auditor pone agli intervistati le seguenti domande:

· Chi possiede le informazioni?

· Chi è l'utente (consumatore) delle informazioni?

· Chi è il fornitore del servizio?

Lo scopo ei principi di funzionamento dell'IS determinano in gran parte i rischi esistenti e i requisiti di sicurezza per il sistema. Pertanto, nella fase successiva, il revisore è interessato alle informazioni sullo scopo e sul funzionamento di IS. Il revisore pone agli intervistati le seguenti domande:

Quali servizi vengono forniti agli utenti finali e come?

· Quali sono i principali tipi di applicazioni che operano nell'IS?

· Numero e tipi di utenti che utilizzano queste applicazioni?

Avrà anche bisogno della seguente documentazione, ovviamente, se disponibile (cosa che, in generale, accade di rado):

· Schemi funzionali;

· Descrizione delle funzioni automatizzate;

· Descrizione delle principali soluzioni tecniche;

· Altra documentazione progettuale e operativa per il sistema informativo.

Inoltre, il revisore ha bisogno di informazioni più dettagliate sulla struttura della PI. Ciò consentirà di comprendere come si realizza la distribuzione dei meccanismi di sicurezza in funzione degli elementi strutturali e dei livelli di funzionamento dell'IS. Le domande tipiche che vengono discusse a questo proposito durante l'intervista includono:

Da quali componenti (sottosistemi) è costituito un IS?

· Funzionalità dei singoli componenti?

Dove sono i confini del sistema?

Quali sono i punti di ingresso?

Come interagisce l'IS con altri sistemi?

· Quali canali di comunicazione vengono utilizzati per interagire con altri IS?

· Quali canali di comunicazione vengono utilizzati per l'interazione tra i componenti del sistema?

Quali protocolli vengono utilizzati per l'interazione?

Quali piattaforme software e hardware vengono utilizzate per costruire il sistema?

In questa fase, il revisore deve fare scorta della seguente documentazione:

· Schema strutturale di IP;

· Schema dei flussi informativi;

· Descrizione della struttura del complesso dei mezzi tecnici del sistema informativo;

· Descrizione della struttura del software;

· Descrizione della struttura di supporto delle informazioni;

· Posizionamento dei componenti del sistema informativo.

La predisposizione di una parte significativa della documentazione di PI viene solitamente effettuata già nel corso dell'audit. Quando tutti i dati necessari sull'IP, compresa la documentazione, sono stati preparati, è possibile procedere alla loro analisi.

Analisi dei dati di audit

I metodi di analisi dei dati utilizzati dai revisori sono determinati dagli approcci di audit scelti, che possono variare in modo significativo.

Il primo approccio, il più complesso, si basa sull'analisi del rischio. Sulla base dei metodi di analisi del rischio, l'auditor determina per l'IS esaminato un insieme individuale di requisiti di sicurezza che tiene conto al meglio delle caratteristiche di tale SI, del suo ambiente operativo e delle minacce alla sicurezza esistenti in tale ambiente. Questo approccio è il più dispendioso in termini di tempo e richiede la più alta qualificazione dell'auditor. La qualità dei risultati dell'audit, in questo caso, è fortemente influenzata dall'analisi del rischio e dalla metodologia di gestione utilizzata e dalla sua applicabilità a questo tipo di PI.

Il secondo approccio, il più pratico, si basa sull'uso di standard di sicurezza delle informazioni. Gli standard definiscono un insieme di base di requisiti di sicurezza per un'ampia classe di IS, che si forma come risultato della generalizzazione della pratica mondiale. Gli standard possono definire diversi insiemi di requisiti di sicurezza, a seconda del livello di sicurezza IP che deve essere fornito, della sua proprietà (organizzazione commerciale o agenzia governativa) e dello scopo (finanza, industria, comunicazioni, ecc.). In questo caso, il revisore è tenuto a determinare correttamente l'insieme dei requisiti standard che devono essere soddisfatti per questo SI. È necessaria anche una metodologia per valutare questa corrispondenza. A causa della sua semplicità (l'insieme standard di requisiti per lo svolgimento di un audit è già predeterminato dalla norma) e affidabilità (lo standard è uno standard e nessuno tenterà di contestarne i requisiti), l'approccio descritto è più comune nella pratica (soprattutto durante lo svolgimento di un audit esterno). Consente, a un costo minimo di risorse, di trarre conclusioni ragionevoli sullo stato dell'IS.

Il terzo approccio, il più efficace, prevede una combinazione dei primi due. L'insieme di base dei requisiti di sicurezza per IS è definito dallo standard. Sulla base dell'analisi del rischio si formano ulteriori requisiti che tengano conto nella massima misura delle peculiarità del funzionamento di questo IS. Questo approccio è molto più semplice del primo, perché la maggior parte dei requisiti di sicurezza sono già definiti dalla norma e, allo stesso tempo, non presenta lo svantaggio del secondo approccio, che consiste nel fatto che i requisiti della norma possono non tenere conto delle specificità della norma esaminato IS.

Un audit dei sistemi informativi fornisce dati aggiornati e accurati su come funziona IS. Sulla base dei dati ricevuti, è possibile pianificare le attività per migliorare l'efficienza dell'impresa. La pratica dell'auditing di un sistema informativo - rispetto allo standard, la situazione reale. Studiare i regolamenti, gli standard, i regolamenti e le pratiche applicabili in altre aziende. Quando conduce un audit, un imprenditore ha un'idea di come la sua azienda differisca da una normale azienda di successo in un campo simile.

Vista generale

La tecnologia dell'informazione nel mondo moderno è altamente sviluppata. Difficile immaginare un'impresa che non disponga di sistemi informativi in ​​servizio:

• globale;
• Locale.

È grazie all'IP che un'azienda può funzionare normalmente e stare al passo con i tempi. Tali metodologie sono essenziali per uno scambio rapido e completo di informazioni con l'ambiente, che consente all'azienda di adattarsi alle mutevoli esigenze delle infrastrutture e del mercato. I sistemi informativi devono soddisfare una serie di requisiti che cambiano nel tempo (nuovi sviluppi, vengono introdotti standard, vengono utilizzati algoritmi aggiornati). In ogni caso, l'informatica permette di rendere veloce l'accesso alle risorse, e questo problema viene risolto tramite IS. Inoltre, i moderni sistemi:

• scalabile;
• flessibile;
• affidabile;
• sicuro.

I compiti principali dell'audit dei sistemi informativi consistono nell'identificare se l'IS implementato soddisfa i parametri specificati.

Audit: tipi

Molto spesso viene utilizzato il cosiddetto audit di processo di un sistema informativo. Esempio: specialisti esterni analizzano i sistemi implementati per rilevare le differenze rispetto agli standard, compreso lo studio del processo di produzione, il cui output è il software.

Un audit può essere condotto per determinare l'efficacia dell'utilizzo del sistema informativo. La pratica dell'impresa viene confrontata con gli standard del produttore e noti esempi di società internazionali.

Un controllo del sistema di sicurezza delle informazioni di un'impresa influisce sulla struttura organizzativa. Lo scopo di un tale evento è trovare punti deboli nel personale del dipartimento IT e identificare i problemi, nonché formulare raccomandazioni per la loro soluzione.

Infine, l'audit del sistema di sicurezza delle informazioni è finalizzato al controllo della qualità. Quindi gli esperti invitati valutano lo stato dei processi all'interno dell'impresa, testano il sistema informativo implementato e traggono alcune conclusioni sulla base delle informazioni ricevute. Di solito viene utilizzato il modello TMMI.

Compiti di audit

Un audit strategico dello stato dei sistemi informativi consente di identificare i punti deboli nell'IS implementato e identificare dove l'uso delle tecnologie si è rivelato inefficace. Alla fine di tale processo, il cliente avrà consigli per eliminare le carenze.

L'audit consente di valutare quanto costerà apportare modifiche alla struttura attuale e quanto tempo ci vorrà. Gli esperti che studiano l'attuale struttura informativa dell'azienda ti aiuteranno a scegliere gli strumenti per implementare il programma di miglioramento, tenendo conto delle caratteristiche dell'azienda. I risultati possono anche fornire una stima accurata di quante risorse ha bisogno l'azienda. Saranno analizzati intellettuali, monetari, produttivi.

Eventi

L'audit interno dei sistemi informativi comprende attività quali:

• inventario IT;
• identificazione del carico sulle strutture informative;
• valutazione delle statistiche, dati ottenuti durante l'inventario;
• determinare se i requisiti aziendali e le capacità dell'IS implementato corrispondono;
• generazione di report;
• sviluppo di raccomandazioni;
• formalizzazione del fondo NSI.

Risultato dell'audit

L'audit strategico dello stato dei sistemi informativi è una procedura che: consente di individuare le ragioni dell'insufficiente efficacia del sistema informativo implementato; prevedere il comportamento di IS durante la regolazione dei flussi informativi (numero di utenti, quantità di dati); fornire soluzioni valide che aiutino ad aumentare la produttività (acquisizione di apparecchiature, miglioramento del sistema implementato, sostituzione); dare consigli volti ad aumentare la produttività dei reparti aziendali, ottimizzando gli investimenti in tecnologia. E anche per sviluppare misure che migliorino il livello di qualità del servizio dei sistemi informativi.

È importante!

Non esiste un IP universale così adatto a qualsiasi azienda. Esistono due basi comuni sulla base delle quali è possibile creare un sistema unico per i requisiti di una particolare impresa:

• Oracolo.

Ma ricorda che queste sono solo le basi, niente di più. Tutti i miglioramenti che rendono efficiente un'impresa devono essere programmati, tenendo conto delle caratteristiche di una particolare impresa. Probabilmente dovrai introdurre funzioni precedentemente mancanti e disabilitare quelle fornite dall'assembly di base. Le moderne tecnologie di auditing dei sistemi informativi bancari aiutano a capire esattamente quali caratteristiche dovrebbe avere un IS e cosa dovrebbero essere escluse affinché il sistema aziendale sia ottimale, efficiente, ma non troppo “pesante”.

Verifica della sicurezza delle informazioni

L'analisi che consente di identificare le minacce alla sicurezza delle informazioni è di due tipi:

• esterno;
• interno.

Il primo prevede una procedura una tantum. È organizzato dal capo della società. Si raccomanda di praticare regolarmente tale misura per mantenere la situazione sotto controllo. Un certo numero di JSC e organizzazioni finanziarie hanno introdotto l'obbligo di un audit di sicurezza IT esterno.

Interno - si tratta di eventi che si svolgono regolarmente disciplinati dalla legge locale "Regolamento in materia di controllo interno". Per la realizzazione si forma un piano annuale (è predisposto dalla funzione preposta al controllo), approvato dal direttore generale, altro dirigente. Audit IT: diverse categorie di attività, l'audit di sicurezza non è l'ultimo per importanza.

Obiettivi

Lo scopo principale di un audit dei sistemi informativi in ​​termini di sicurezza è l'identificazione dei rischi relativi alla IP associati alle minacce alla sicurezza. Inoltre, le attività aiutano a identificare:

• debolezze del sistema attuale;
• conformità del sistema agli standard di sicurezza delle informazioni;
• livello di sicurezza attuale.

Durante un audit di sicurezza, di conseguenza, verranno formulate raccomandazioni per migliorare le soluzioni attuali e introdurne di nuove, rendendo così l'attuale IS più sicuro e protetto da varie minacce.

Se viene condotto un audit interno per identificare le minacce alla sicurezza delle informazioni, viene inoltre considerato quanto segue:

• politica di sicurezza, la possibilità di svilupparne una nuova, nonché altri documenti che consentono di proteggere i dati e semplificarne l'utilizzo nel processo produttivo di un'azienda;
• formazione di compiti di sicurezza per i dipendenti del dipartimento IT;
• analisi delle situazioni legate alle violazioni;
• formazione degli utenti del sistema aziendale, personale di servizio sugli aspetti generali della sicurezza.

Audit interno: caratteristiche

I compiti elencati che vengono impostati per i dipendenti quando viene eseguita una revisione interna dei sistemi informativi non sono, in sostanza, una revisione. Teoricamente, la persona che svolge le attività solo in qualità di esperto valuta i meccanismi attraverso i quali il sistema è sicuro. La persona coinvolta nel compito diventa parte attiva del processo e perde indipendenza, non può più valutare oggettivamente la situazione e controllarla.

D'altra parte, in pratica, è quasi impossibile stare lontani dall'audit interno. Il fatto è che uno specialista dell'azienda è attratto da svolgere il lavoro, altre volte impegnato con altri compiti in un'area simile. Ciò significa che il revisore è lo stesso dipendente che ha la competenza per risolvere i compiti menzionati in precedenza. Bisogna quindi fare un compromesso: a scapito dell'obiettività, coinvolgere nella pratica il lavoratore per ottenere un risultato dignitoso.

Audit di sicurezza: fasi

Questi sono per molti versi simili ai passaggi di un audit IT generale. Assegna:

• inizio eventi;
• raccolta di base per analisi;
• analisi;
• formazione di conclusioni;
• segnalazione.

Avvio della procedura

Un audit dei sistemi informativi in ​​termini di sicurezza inizia quando il capo dell'azienda dà il via libera, poiché sono i capi a essere più interessati all'efficace audit dell'impresa. L'audit non è possibile se la direzione non supporta la procedura.

L'audit dei sistemi informativi è generalmente complesso. Coinvolge un revisore dei conti e diverse persone che rappresentano i diversi dipartimenti dell'azienda. Il lavoro congiunto di tutti i partecipanti all'audit è importante. Quando si avvia un audit, è importante prestare attenzione ai seguenti punti:

• fissazione documentale di doveri, diritti del revisore dei conti;
• predisposizione, approvazione del piano di audit;
• documentando il fatto che i dipendenti sono tenuti a fornire al revisore tutta l'assistenza possibile ea fornire tutti i dati da lui richiesti.

Già al momento dell'avvio dell'audit, è importante stabilire i confini entro i quali viene effettuato l'audit dei sistemi informativi. Mentre alcuni sottosistemi IS sono critici e richiedono un'attenzione speciale, altri non lo sono e non sono abbastanza importanti da essere esclusi. Sicuramente esistono anche tali sottosistemi, la cui verifica sarà impossibile, poiché tutte le informazioni ivi memorizzate sono riservate.

Piano e confini

Prima di iniziare il lavoro, viene formato un elenco di risorse che dovrebbero essere controllate. Può essere:

• informativo;
• Software;
• tecnico.

Assegna su quali siti viene effettuato l'audit, per quali minacce viene controllato il sistema. Ci sono confini organizzativi dell'evento, aspetti di sicurezza che devono essere presi in considerazione durante il controllo. Viene formata una valutazione di priorità che indica la portata del controllo. Tali confini, così come il piano d'azione, sono approvati dal direttore generale, ma sono preventivamente presentati dall'argomento dell'assemblea generale di lavoro, dove sono presenti i capi dipartimento, il revisore dei conti e i dirigenti aziendali.

Ottenere dati

Quando si esegue un audit di sicurezza, gli standard per l'audit dei sistemi informativi sono tali che la fase di raccolta delle informazioni risulta essere la più lunga e laboriosa. Di norma, IS non dispone di documentazione a riguardo e l'auditor è costretto a lavorare a stretto contatto con numerosi colleghi.

Affinché le conclusioni tratte siano competenti, il revisore deve ottenere il maggior numero possibile di dati. L'auditor apprende come è organizzato il sistema informativo, come funziona e in che condizioni si trova dalla documentazione organizzativa, amministrativa, tecnica, nel corso di ricerche indipendenti e l'uso di software specializzati.

Documenti richiesti nel lavoro del revisore dei conti:

• struttura organizzativa dei dipartimenti al servizio dell'IS;
• struttura organizzativa di tutti gli utenti.

Il revisore intervista i dipendenti, individuando:

• fornitore
• titolare dei dati;
• utente dei dati.

Per questo devi sapere:

• principali tipi di applicazioni IP;
• numero, tipi di utenti;
• servizi forniti agli utenti.

Se la società dispone di documenti per la PI dall'elenco seguente, è indispensabile fornirli al revisore dei conti:

• descrizione delle metodologie tecniche;
• descrizione dei metodi per automatizzare le funzioni;
• schemi funzionali;
• lavoro, documenti di progetto.

Identificazione della struttura della PI

Per trarre conclusioni corrette, il revisore deve avere il quadro più completo delle caratteristiche del sistema informativo implementato nell'impresa. È necessario sapere quali sono i meccanismi di sicurezza, come sono distribuiti nel sistema per livelli. Per fare questo, scopri:

• la presenza e le caratteristiche dei componenti del sistema utilizzato;
• funzioni dei componenti;
• grafico;
• ingressi;
• interazione con vari oggetti (esterni, interni) e protocolli, canali per questo;
• piattaforme applicate al sistema.

Gli schemi saranno utili:

• strutturale;
• flussi di dati.

Strutture:

• mezzi tecnici;
• supporto informativo;
• componenti strutturali.

In pratica, molti dei documenti vengono preparati direttamente durante l'audit. È possibile analizzare le informazioni solo quando si raccoglie la quantità massima di informazioni.

Audit di sicurezza IP: analisi

Esistono diverse tecniche utilizzate per analizzare i dati ottenuti. La scelta a favore di uno in particolare si basa sulle preferenze personali dell'auditor e sulle specificità di un particolare compito.

L'approccio più sofisticato prevede l'analisi del rischio. I requisiti di sicurezza sono formati per il sistema informativo. Si basano sulle caratteristiche di un particolare sistema e del suo ambiente, nonché sulle minacce inerenti a tale ambiente. Gli analisti concordano sul fatto che questo approccio richiede la maggior parte del lavoro e le massime qualifiche dell'auditor. La qualità del risultato è determinata dalla metodologia di analisi delle informazioni e dall'applicabilità delle opzioni selezionate al tipo di PI.

Un'opzione più pratica consiste nel fare riferimento agli standard di sicurezza dei dati. Questi definiscono una serie di requisiti. Questo è adatto a vari IS, poiché la metodologia è stata sviluppata sulla base delle più grandi aziende di diversi paesi.

Dalle norme risulta quali sono i requisiti di sicurezza, a seconda del livello di protezione del sistema e della sua appartenenza all'una o all'altra istituzione. Molto dipende dallo scopo dell'IS. Il compito principale dell'auditor è determinare correttamente quale insieme di requisiti di sicurezza è rilevante in un determinato caso. Viene scelto un metodo mediante il quale si valuta se i parametri di sistema disponibili soddisfano gli standard. La tecnologia è abbastanza semplice, affidabile e quindi ampiamente distribuita. Con un piccolo investimento si possono ottenere conclusioni accurate.

È inaccettabile trascurare!

La pratica mostra che molti manager, in particolare le piccole imprese, così come quelli le cui aziende operano da molto tempo e non si sforzano di padroneggiare tutte le ultime tecnologie, trattano l'audit dei sistemi informativi in ​​modo piuttosto negligente, perché semplicemente non si rendono conto del importanza di questa misura. Di solito, solo il danno all'impresa induce le autorità ad adottare misure per controllare, identificare i rischi e proteggere l'impresa. Altri si trovano ad affrontare il fatto che i dati dei loro clienti vengono loro rubati, per altri si verificano perdite dai database delle controparti o vengono perse informazioni sui vantaggi chiave di una determinata entità. I consumatori diffidano dell'azienda una volta che il caso viene reso pubblico e l'azienda subisce più danni della semplice perdita di dati.

Se esiste la possibilità di fuga di informazioni, è impossibile costruire un business efficiente che abbia buone opportunità ora e in futuro. Qualsiasi azienda dispone di dati preziosi per terze parti e devono essere protetti. Affinché la protezione sia al massimo livello, è necessario un audit per identificare i punti deboli. Deve tenere conto degli standard internazionali, dei metodi e degli ultimi sviluppi.

Durante l'audit:

• valutare il livello di protezione;
• analizzare le tecnologie applicate;
• documenti corretti sulla sicurezza;
• simulare situazioni di rischio in cui è possibile la fuga di dati;
• consiglia di implementare soluzioni per affrontare le vulnerabilità.

Queste attività vengono svolte in uno dei tre modi seguenti:

• attivo;
• esperto;
• determinare il rispetto delle norme.

Forme di revisione

Un audit attivo implica la valutazione del sistema che un potenziale hacker sta guardando. È il suo punto di vista che gli auditor "provano" da soli: studiano la protezione della rete, per la quale utilizzano software specializzati e tecniche uniche. È necessario anche un audit interno, anche dal punto di vista di un presunto criminale che vuole sottrarre dati o interrompere il sistema.

Durante un audit esperto, controllano come il sistema implementato corrisponda a quello ideale. Nell'identificare la conformità agli standard, viene presa come base una descrizione astratta degli standard, con la quale viene confrontato l'oggetto esistente.

Conclusione

Un audit condotto in modo corretto e qualitativo consente di ottenere i seguenti risultati:

• minimizzazione della probabilità di un attacco hacker riuscito, danni da esso;
• esclusione di un attacco basato su una modifica dell'architettura del sistema e dei flussi informativi;
• l'assicurazione come mezzo per ridurre i rischi;
• riducendo al minimo il rischio a un livello tale da poter essere completamente ignorato.

La frase sacra - "possesso di informazioni - possesso del mondo" è più attuale che mai. Pertanto, oggi il "rubare informazioni" è inerente alla maggior parte degli aggressori. Ciò può essere evitato introducendo una serie di protezioni contro gli attacchi, nonché controlli tempestivi sulla sicurezza delle informazioni. L'audit sulla sicurezza delle informazioni è un concetto nuovo, che implica un'effettiva e dinamica direzione di sviluppo della gestione operativa e strategica, che riguarda la sicurezza di un sistema informativo.

Audit delle informazioni - fondamenti teorici

Il volume di informazioni nel mondo moderno sta crescendo rapidamente, poiché esiste una tendenza mondiale alla globalizzazione dell'uso della tecnologia informatica in tutti i settori della società umana. Nella vita di una persona comune, la tecnologia dell'informazione è la componente principale.

Ciò si esprime nell'uso di Internet, sia per scopi lavorativi che per scopi ludici e di intrattenimento. Parallelamente allo sviluppo delle tecnologie informatiche, cresce la monetizzazione dei servizi e quindi il tempo dedicato alle varie operazioni di pagamento con carte di plastica. Questi includono pagamenti non in contanti per vari beni e servizi consumati, transazioni nel sistema di pagamento bancario online, cambio valuta e altre transazioni di pagamento. Tutto ciò influisce sullo spazio sul World Wide Web, rendendolo più grande.

Ci sono anche ulteriori informazioni sui titolari di carta. Questa è la base per ampliare il campo di attività dei truffatori, che oggi riescono a portare a termine una massa colossale di attacchi, compresi quelli del fornitore del servizio e dell'utente finale. In quest'ultimo caso, è possibile prevenire un attacco utilizzando il software appropriato, ma se riguarda un fornitore, è necessario applicare una serie di misure che riducano al minimo le interruzioni del lavoro, la fuga di dati e gli hack del servizio. Ciò avviene attraverso controlli di sicurezza delle informazioni tempestivi.

Il compito perseguito dall'audit delle informazioni risiede nella valutazione tempestiva e accurata dello stato di sicurezza delle informazioni al momento attuale di una determinata entità aziendale, nonché del rispetto dell'obiettivo prefissato e del compito di svolgere attività, con l'ausilio di cui si dovrebbe aumentare la redditività e l'efficienza dell'attività economica.

In altre parole, un audit di sicurezza delle informazioni è un controllo di una risorsa per la sua capacità di resistere a minacce potenziali o reali.

• Un audit di sicurezza delle informazioni ha i seguenti obiettivi:
• Valutare lo stato del sistema informativo informativo per la sicurezza.
• Identificazione analitica dei potenziali rischi legati alla penetrazione esterna nella rete informativa.
• Individuazione della localizzazione delle lacune nel sistema di sicurezza.
• Individuazione analitica della corrispondenza tra il livello di sicurezza e gli standard attuali del quadro normativo.
• L'avvio di nuovi metodi di protezione, la loro attuazione pratica, nonché la creazione di raccomandazioni con l'aiuto delle quali verranno migliorati i problemi dei mezzi di protezione, nonché la ricerca di nuovi sviluppi in questa direzione.

L'audit viene utilizzato per:

• Verifica completa dell'oggetto coinvolto nel processo informativo. In particolare, si tratta di sistemi informatici, sistemi di comunicazione, ricezione, trasmissione e elaborazione di dati di una certa quantità di informazioni, mezzi tecnici, sistemi di sorveglianza, ecc.
• Un controllo completo dei mezzi tecnici elettronici, nonché dei sistemi informatici per gli effetti delle radiazioni e delle interferenze, che contribuiranno al loro spegnimento.
• Durante il controllo della parte di progettazione, che include il lavoro sulla creazione di strategie di sicurezza, nonché la loro attuazione pratica.
• Verifica completa dell'affidabilità della protezione delle informazioni riservate, il cui accesso è limitato, nonché la definizione di "buchi" attraverso i quali tali informazioni sono rese pubbliche con misure standard e non standard.

Quando è necessario un audit?

È importante notare che la necessità di condurre un audit delle informazioni sorge quando la protezione dei dati viene violata. Inoltre, il test è consigliato per:

• Fusione aziendale.
• Espansione commerciale.
• Acquisizione o acquisizione.
• Cambio di direzione.

Tipi di audit dei sistemi informativi

Oggi c'è un audit delle informazioni esterno e interno.

L'audit esterno è caratterizzato dal coinvolgimento di outsider, esperti indipendenti che hanno il diritto di svolgere tali attività. Di norma, questo tipo di verifica è di natura una tantum e viene avviata dal capo dell'impresa, da un azionista o dalle forze dell'ordine. Lo svolgimento di un audit esterno non è obbligatorio, è molto probabilmente consigliato. Tuttavia, ci sono sfumature sancite dalla legislazione, in cui è obbligatorio un audit esterno della sicurezza delle informazioni. Ad esempio, le istituzioni finanziarie, le società per azioni e le organizzazioni finanziarie sono soggette alla legge.

Il controllo interno sulla sicurezza dei flussi informativi è un processo in itinere, la cui attuazione è regolata dal relativo documento “Regolamento per lo svolgimento del controllo interno”. Tale evento, nell'ambito della società, ha carattere di attestazione, il cui comportamento è regolato dall'ordinanza relativa all'impresa. A causa dell'audit interno, la società è fornita da un'unità speciale all'interno dell'azienda.

L'audit è anche classificato come:

• Esperto.
• Certificazione.
• Analitico.

Expert include la verifica dello stato di protezione dei flussi e dei sistemi informativi, che si basano sull'esperienza degli esperti e di coloro che effettuano tale verifica.

Il tipo di attestazione dell'audit riguarda i sistemi, nonché le misure di sicurezza, in particolare la loro conformità agli standard accettati nella società internazionale, nonché ai documenti statali pertinenti che regolano la base giuridica di questa attività.

L'audit di tipo analitico riguarda lo svolgimento di un'analisi approfondita del sistema informativo, utilizzando dispositivi tecnici. Queste azioni dovrebbero essere finalizzate all'identificazione delle vulnerabilità del complesso software e hardware.

Metodi e strumenti per l'auditing in pratica

L'audit si svolge per fasi e comprende:

La prima fase è considerata la più semplice. Definisce i diritti e gli obblighi del revisore dei conti, lo sviluppo di un piano d'azione graduale e il coordinamento con la direzione. Allo stesso tempo, in una riunione dei dipendenti, vengono determinati i confini dell'analisi.

Nella seconda fase, vengono applicate grandi quantità di consumo di risorse. Ciò è giustificato dal fatto che è allo studio tutta la documentazione tecnica relativa al complesso software e hardware.

La terza fase viene eseguita utilizzando uno dei tre metodi, vale a dire:

• Analisi del rischio.
• Analisi del rispetto delle norme e della legislazione.
• Combinazioni di analisi del rischio e conformità legale.

La quarta fase consente di sistematizzare i dati ottenuti e condurre un'analisi approfondita. Allo stesso tempo, l'ispettore deve essere competente in materia.

Come superare in modo che non ci siano problemi? Perché è necessario un tale controllo? Il nostro articolo te ne parlerà.

Che cos'è un audit e quali tipi di audit esistono? È stato scritto.

Imparerai cos'è una verifica fiscale e per quali scopi è necessaria.

Dopo l'audit, deve essere elaborata una conclusione, che si riflette nel documento di rendicontazione corrispondente. Il rapporto di solito contiene le seguenti informazioni:

1. Regolamento dell'audit condotto.
2. La struttura del sistema dei flussi informativi nell'impresa.
3. Con quali modalità e mezzi è stata effettuata la verifica
4. Descrizione accurata delle vulnerabilità e delle carenze, tenendo conto del rischio e del livello delle carenze.
5. Azioni consigliate per eliminare i luoghi pericolosi e migliorare il complesso dell'intero sistema.
   I veri consigli pratici, con l'aiuto dei quali dovrebbero essere implementate le misure, sono volti a ridurre al minimo i rischi che sono stati identificati durante l'audit.

Verifica della sicurezza delle informazioni in pratica

In pratica, un esempio innocuo abbastanza comune è la situazione in cui il dipendente A, impegnato nell'acquisto di attrezzature commerciali, negoziava utilizzando un determinato programma "B".

Allo stesso tempo, il programma stesso è vulnerabile e, durante la registrazione, il dipendente non ha indicato né un indirizzo e-mail né un numero, ma ha utilizzato un indirizzo e-mail astratto alternativo con un dominio inesistente.

Di conseguenza, un utente malintenzionato può registrare un dominio simile e creare un terminale di registrazione. Ciò gli consentirà di inviare messaggi all'azienda proprietaria del servizio del programma "B", chiedendogli di inviare una password smarrita. In questo caso, il server invierà la posta all'indirizzo esistente del truffatore, poiché il reindirizzamento funziona per esso. Come risultato di questa operazione, il truffatore ha accesso alla corrispondenza, rivela altre informazioni al fornitore e controlla la direzione del carico in una direzione sconosciuta per il dipendente.

L'importanza dell'audit delle informazioni nel mondo moderno sta diventando sempre più richiesta, vista la crescita del numero di utenti, sia dello spazio World Wide Web che dell'uso di vari metodi di monetizzazione nei vari servizi. Pertanto, i dati di ciascun utente diventano disponibili per gli intrusi. Puoi proteggerli identificando la fonte del problema: i punti deboli dei flussi di informazioni.

In contatto con