Colectarea informațiilor de audit. Principalele prevederi legislative

Astăzi toată lumea știe fraza aproape sacră că cel care deține informațiile deține lumea. De aceea, în timpul nostru, toată lumea încearcă să fure. În acest sens, se fac măsuri fără precedent pentru a introduce protecție împotriva posibilelor atacuri. Cu toate acestea, uneori poate fi necesar să se efectueze un audit al întreprinderii. Ce este asta și de ce este nevoie de toate acestea? Să încercăm să ne dăm seama acum.

Ce este un audit de securitate a informațiilor în definiție generală?

Acum nu vom atinge termeni științifici abstruși, ci vom încerca să definim conceptele de bază pentru noi înșine, descriindu-le în cel mai simplu limbaj (în mod popular, acesta ar putea fi numit un audit pentru „manichi”).

Numele acestui set de evenimente vorbește de la sine. Un audit de securitate a informațiilor este o verificare sau asigurare independentă a securității sistemului informațional (IS) al oricărei întreprinderi, instituții sau organizații pe baza unor criterii și indicatori special dezvoltați.

În termeni simpli, de exemplu, un audit al securității informațiilor unei bănci se rezumă la evaluarea nivelului de protecție a bazelor de date cu clienți, a operațiunilor bancare în desfășurare, a siguranței fondurilor electronice, a siguranței secretului bancar etc. în cazul intervenției în activitățile instituției de către persoane neautorizate din exterior folosind mijloace electronice și informatice.

Cu siguranță, printre cititori va fi cel puțin o persoană care a primit un apel acasă sau pe telefonul mobil cu o ofertă de a solicita un împrumut sau un depozit, și de la o bancă cu care nu are nicio legătură. Același lucru este valabil și pentru ofertele de achiziții din unele magazine. De unde a venit numarul tau?

E simplu. Dacă o persoană a contractat anterior un împrumut sau a depus bani într-un cont de depozit, desigur, datele sale au fost salvate într-un singur. Când suna de la o altă bancă sau magazin, se poate trage singura concluzie: informațiile despre el au căzut ilegal în mâinile terțe . Cum? În general, se pot distinge două opțiuni: fie a fost furat, fie angajații băncii l-au transferat cu bună știință unor terți. Pentru a preveni astfel de lucruri, este necesar să se efectueze un audit în timp util al securității informațiilor băncii, iar acest lucru se aplică nu numai măsurilor de securitate informatică sau „hardware”, ci și întregului personal al instituției bancare.

Direcții principale de audit al securității informațiilor

În ceea ce privește domeniul de aplicare al unui astfel de audit, de regulă, există mai multe distincții:

• inspecția completă a obiectelor implicate în procesele de informatizare (sisteme informatice automatizate, mijloace de comunicare, recepție, transmitere și prelucrare a datelor informaționale, mijloace tehnice, spații pentru întâlniri confidențiale, sisteme de supraveghere etc.);
• verificarea fiabilității protecției informațiilor confidențiale cu acces limitat (identificarea posibilelor canale de scurgere și a potențialelor găuri în sistemul de securitate care permit accesul la acestea din exterior folosind metode standard și nestandard);
• verificarea tuturor echipamentelor tehnice electronice și a sistemelor informatice locale pentru expunerea la radiații electromagnetice și interferențe, permițându-le să fie dezactivate sau inutilizabile;
• partea de proiectare, care include lucrări de creare a unui concept de securitate și aplicarea acestuia în practică (protecția sistemelor informatice, a spațiilor, a comunicațiilor etc.).

Când devine necesară efectuarea unui audit?

Ca să nu mai vorbim de situațiile critice în care protecția a fost deja încălcată, un audit de securitate a informațiilor într-o organizație poate fi efectuat în alte cazuri.

De regulă, acestea includ extinderea companiei, fuziuni, achiziții, încorporare de către alte întreprinderi, modificări ale conceptului de curs sau management al afacerii, modificări ale legislației internaționale sau ale actelor juridice dintr-o anumită țară și schimbări destul de grave în infrastructura informațională.

Tipuri de audit

Astăzi, însăși clasificarea acestui tip de audit, potrivit multor analiști și experți, nu este stabilită. Prin urmare, împărțirea în clase în unele cazuri poate fi foarte condiționată. Cu toate acestea, în general, auditurile de securitate a informațiilor pot fi împărțite în externe și interne.

Un audit extern, efectuat de experți independenți care au dreptul să facă acest lucru, este de obicei o inspecție unică care poate fi inițiată de conducerea întreprinderii, acționari, agenții de aplicare a legii etc. Se consideră că un audit extern de securitate a informațiilor se recomandă (nu este obligatoriu) să fie efectuat cu regularitate pe o perioadă de timp specificată. Dar pentru unele organizații și întreprinderi, conform legii, este obligatoriu (de exemplu, instituții și organizații financiare, societăți pe acțiuni etc.).

Securitatea informațiilor este un proces continuu. Se bazează pe un „Regulament special privind auditul intern”. Ce este? În esență, acestea sunt evenimente de certificare desfășurate în organizație într-un interval de timp aprobat de conducere. Auditurile de securitate a informațiilor sunt efectuate de unități structurale speciale ale întreprinderii.

Clasificare alternativă a tipurilor de audit

Pe lângă împărțirea în clase descrisă mai sus în cazul general, putem distinge mai multe componente adoptate în clasificarea internațională:

• verificarea de către experți a stării de securitate a informațiilor și a sistemelor informaționale pe baza experienței personale a experților care o desfășoară;
• certificarea sistemelor și măsurilor de securitate pentru conformitatea cu standardele internaționale (ISO 17799) și documentele legale guvernamentale care reglementează acest domeniu de activitate;
• analiza securității sistemelor informaționale folosind mijloace tehnice, care vizează identificarea potențialelor vulnerabilități în complexul hardware și software.

Uneori poate fi folosit un așa-numit audit cuprinzător, care include toate tipurile de mai sus. Apropo, el este cel care dă cele mai obiective rezultate.

Stabilirea scopurilor si obiectivelor

Orice audit, fie intern sau extern, începe cu stabilirea scopurilor și obiectivelor. Pentru a spune simplu, trebuie să determinați de ce, ce și cum va fi verificat. Aceasta va predetermina metodologia ulterioară pentru realizarea întregului proces.

Sarcinile atribuite, în funcție de structura specifică a întreprinderii în sine, organizație, instituție și activitățile acesteia, pot fi destul de numeroase. Totuși, printre toate acestea, se disting obiectivele unificate ale unui audit de securitate a informațiilor:

• evaluarea stării de securitate a informațiilor și a sistemelor informaționale;
• analiza posibilelor riscuri asociate cu amenințarea pătrunderii în IP din exterior și a posibilelor metode de efectuare a unor astfel de interferențe;
• localizarea găurilor și golurilor în sistemul de securitate;
• analiza conformității nivelului de securitate al sistemelor informaționale cu standardele și reglementările în vigoare;
• elaborarea și emiterea de recomandări care implică eliminarea problemelor existente, precum și îmbunătățirea mijloacelor de protecție existente și introducerea de noi dezvoltări.

Metodologia și mijloacele de realizare a unui audit

Acum câteva cuvinte despre modul în care are loc verificarea și ce etape și mijloacele include.

Efectuarea unui audit de securitate a informațiilor constă în mai multe etape principale:

• inițierea unei proceduri de audit (definirea în mod clar a drepturilor și responsabilităților auditorului, pregătirea unui plan de audit de către auditor și convenirea cu conducerea, rezolvarea problemei limitelor studiului, impunerea unei obligații angajaților organizației de a asista și de a furniza în timp util informatie necesara);
• colectarea datelor inițiale (structura sistemului de securitate, distribuția mijloacelor de securitate, nivelurile de funcționare a sistemului de securitate, analiza metodelor de obținere și furnizare a informațiilor, determinarea canalelor de comunicare și interacțiunea SI cu alte structuri, ierarhia utilizatorilor rețelei de calculatoare, definirea protocoalelor etc.);
• efectuarea unei inspecții complete sau parțiale;
• analiza datelor primite (analiza riscurilor de orice tip și respectarea standardelor);
• emiterea de recomandări pentru eliminarea eventualelor probleme;
• crearea documentației de raportare.

Prima etapă este cea mai simplă, deoarece decizia sa se ia exclusiv între conducerea întreprinderii și auditor. Sfera analizei poate fi discutată în cadrul unei adunări generale a angajaților sau a acționarilor. Toate acestea se referă într-o măsură mai mare la domeniul juridic.

A doua etapă de colectare a datelor inițiale, indiferent dacă se efectuează un audit intern de securitate a informațiilor sau o certificare externă independentă, este cea mai consumatoare de resurse. Acest lucru se datorează faptului că în această etapă este necesar nu numai să se studieze documentația tehnică referitoare la întregul complex software și hardware, ci și să se efectueze interviuri strict concentrate cu angajații companiei și, în majoritatea cazurilor, chiar și cu completarea chestionarelor speciale. sau chestionare.

În ceea ce privește documentația tehnică, este important să se obțină date privind structura IP și nivelurile de prioritate ale drepturilor de acces pentru angajați, pentru a determina software-ul la nivel de sistem și aplicații (sisteme de operare utilizate, aplicații pentru afaceri, management și contabilitate), precum precum și instrumente de protecție software instalate și de tip non-software (antivirusuri, firewall-uri etc.). În plus, aceasta include o verificare completă a rețelelor și a furnizorilor care furnizează servicii de comunicații (organizarea rețelei, protocoalele utilizate pentru conectare, tipurile de canale de comunicație, metodele de transmitere și recepție a fluxurilor de informații și multe altele). După cum este deja clar, acest lucru necesită destul de mult timp.

În etapa următoare, sunt determinate metodele de audit al securității informațiilor. Sunt trei dintre ele:

• analiza riscului (tehnica cea mai complexă bazată pe determinarea de către auditor a posibilității de pătrundere în PI și încălcarea integrității acestuia folosind toate metodele și mijloacele posibile);
• evaluarea conformității cu standardele și legislația (cea mai simplă și mai practică metodă, bazată pe o comparație între starea actuală și cerințele standardelor internaționale și documentelor interne în domeniul securității informațiilor);
• o metodă combinată care combină primele două.

După primirea rezultatelor testului, începe analiza acestora. Instrumentele de audit al securității informațiilor care sunt utilizate pentru analiză pot fi destul de diverse. Totul depinde de specificul activităților întreprinderii, tipul de informații, software-ul utilizat, instrumentele de securitate etc. Totuși, așa cum se poate observa din prima metodă, auditorul va trebui să se bazeze în principal pe propria experiență.

Aceasta înseamnă doar că trebuie să aibă calificări adecvate în domeniul tehnologiei informației și al protecției datelor. Pe baza acestei analize, auditorul calculează posibilele riscuri.

Vă rugăm să rețineți că el trebuie să înțeleagă nu numai sistemele de operare sau programele utilizate, de exemplu, pentru a face afaceri sau contabilitate, ci și să înțeleagă clar modul în care un atacator poate pătrunde într-un sistem informațional cu scopul de a fura, deteriora și distruge date, creând condiții prealabile pentru încălcări. în funcționarea computerelor, răspândirea virușilor sau a programelor malware.

Pe baza analizei, expertul face o concluzie despre starea de protectie si face recomandari pentru eliminarea problemelor existente sau posibile, modernizarea sistemului de securitate etc. În același timp, recomandările nu trebuie să fie doar obiective, ci și clar legate de realitățile specifice ale întreprinderii. Cu alte cuvinte, sfaturi privind actualizarea configurațiilor computerului sau a software-ului nu vor fi acceptate. Acest lucru este valabil și pentru sfaturile privind concedierea angajaților „nesiguri”, instalarea de noi sisteme de urmărire fără a indica în mod specific scopul, locația instalării și fezabilitatea acestora.

Pe baza analizei, de regulă, se disting mai multe grupuri de riscuri. În acest caz, doi indicatori principali sunt utilizați pentru alcătuirea unui raport de sinteză: probabilitatea unui atac și prejudiciul cauzat companiei ca urmare (pierderea de active, scăderea reputației, pierderea imaginii etc.). Cu toate acestea, indicatorii pentru grupuri nu sunt aceiași. Deci, de exemplu, un indicator de nivel scăzut pentru probabilitatea de atac este cel mai bun. Pentru daune este invers.

Abia după aceasta se întocmește un proces-verbal, care detaliază toate etapele, metodele și mijloacele cercetării efectuate. Este convenit cu conducerea și semnat de două părți - întreprinderea și auditorul. Dacă auditul este intern, un astfel de raport este întocmit de șeful unității structurale relevante, după care acesta, din nou, este semnat de șeful.

Auditul securității informațiilor: exemplu

În cele din urmă, să ne uităm la cel mai simplu exemplu de situație care sa întâmplat deja. Apropo, poate părea foarte familiar pentru mulți.

De exemplu, un anumit angajat al unei companii angajate în achiziții în SUA a instalat messengerul ICQ pe computerul său (numele angajatului și numele companiei nu sunt menționate din motive evidente). Negocierile au fost purtate tocmai prin acest program. Dar ICQ este destul de vulnerabil din punct de vedere al securității. La înregistrarea numărului, angajatul fie nu avea o adresă de e-mail la acel moment, fie pur și simplu nu a vrut să o dea. În schimb, a indicat ceva asemănător cu un e-mail, chiar și cu un domeniu inexistent.

Ce ar face un atacator? După cum a arătat un audit de securitate a informațiilor, acesta ar fi înregistrat exact același domeniu și ar fi creat un alt terminal de înregistrare în el, după care ar fi putut trimite un mesaj companiei Mirabilis, care deține serviciul ICQ, cu o cerere de restabilire a parolei datorate. la pierderea acesteia (ceea ce s-ar fi făcut). Deoarece serverul destinatarului nu era un server de e-mail, a fost activată o redirecționare pe acesta - redirecționarea către e-mail-ul existent al atacatorului.

Ca urmare, el are acces la corespondența cu numărul ICQ specificat și informează furnizorul despre o schimbare a adresei destinatarului mărfurilor într-o anumită țară. Astfel, marfa este trimisă către o destinație necunoscută. Și acesta este cel mai inofensiv exemplu. Da, huliganism mărunt. Ce putem spune despre hackeri mai serioși care sunt capabili de mult mai mult...

Concluzie

Pe scurt, asta este tot ceea ce înseamnă auditurile de securitate IP. Desigur, nu toate aspectele sale sunt atinse aici. Singurul motiv este că stabilirea sarcinilor și metodele de implementare a acesteia sunt influențate de mulți factori, astfel încât abordarea în fiecare caz specific este strict individuală. În plus, metodele și mijloacele de auditare a securității informațiilor pot fi diferite pentru diferite sisteme de informații. Cu toate acestea, se pare că principiile generale ale unor astfel de verificări vor deveni clare pentru mulți, cel puțin la nivelul inițial.

Un audit este o examinare independentă a anumitor domenii de funcționare a organizației. Există audituri externe și interne. Un audit extern este, de regulă, un eveniment unic, realizat la inițiativa conducerii organizației sau a acționarilor. Se recomandă efectuarea de audituri externe în mod regulat și, de exemplu, pentru multe organizații financiare și societăți pe acțiuni, aceasta este o cerință obligatorie din partea fondatorilor și acționarilor lor. Auditul intern este o activitate continuă care se desfășoară pe baza „Regulamentului privind auditul intern” și în conformitate cu planul, a cărui pregătire se realizează de către unitățile de servicii de securitate și se aprobă de conducerea organizației.

Obiectivele unui audit de securitate sunt:

analiza riscurilor asociate cu posibilitatea amenințărilor de securitate în raport cu resursele;

Evaluarea nivelului actual de securitate IP;

Localizarea blocajelor în sistemul de protecție IP;

Evaluarea conformității IP cu standardele existente în domeniul securității informațiilor;

Un audit de securitate al unei întreprinderi (firmă, organizație) ar trebui considerat ca un instrument de management confidențial care exclude, în scopuri de conspirație, posibilitatea de a furniza informații despre rezultatele activităților sale către terți și organizații.

Pentru a efectua un audit de securitate al întreprinderii, se poate recomanda următoarea secvență de acțiuni.

1. Pregătirea pentru un audit de securitate:

selectarea obiectului de audit (firma, clădiri și spații individuale, sisteme individuale sau componente ale acestora);

Formarea unei echipe de auditori experți;

Determinarea domeniului și domeniului auditului și stabilirea unor intervale de timp specifice pentru lucru.

2. Efectuarea unui audit:

analiza generală a stării de securitate a obiectului auditat;

Înregistrarea, colectarea și verificarea datelor statistice și a rezultatelor măsurătorilor instrumentale ale pericolelor și amenințărilor;

Evaluarea rezultatelor inspecției;

Întocmirea unui raport privind rezultatele inspecției pentru componente individuale.

3. Finalizarea auditului:

intocmirea raportului final;

Elaborarea unui plan de acțiune pentru eliminarea blocajelor și deficiențelor în asigurarea securității companiei.

Pentru a efectua cu succes un audit de securitate trebuie să:

Participarea activa a conducerii companiei la implementarea acesteia;

Obiectivitatea și independența auditorilor (experților), competența și profesionalismul înalt a acestora;

Procedura de verificare clar structurata;

Implementarea activă a măsurilor propuse pentru asigurarea și sporirea securității.

Auditul de securitate, la rândul său, este un instrument eficient pentru evaluarea securității și managementul riscurilor. Prevenirea amenințărilor de securitate înseamnă și protejarea intereselor economice, sociale și informaționale ale întreprinderii.

De aici putem concluziona că auditul de securitate devine un instrument de management economic.

În funcție de volumul obiectelor întreprinderii analizate, sfera auditului este determinată:

Audit de securitate al intregii intreprinderi;

Audit de securitate al clădirilor și spațiilor individuale (spații dedicate);

Auditul echipamentelor și mijloacelor tehnice de tipuri și tipuri specifice;

Auditul anumitor tipuri și domenii de activitate: economic, de mediu, informațional, financiar etc.

Trebuie subliniat faptul că auditul se realizează nu din inițiativa auditorului, ci din inițiativa conducerii întreprinderii, care este principala parte interesată în această problemă. Sprijinul conducerii firmei este o conditie necesara pentru efectuarea unui audit.

Un audit este un ansamblu de activități în care, pe lângă auditorul însuși, sunt implicați reprezentanți ai majorității diviziilor structurale ale companiei. Acțiunile tuturor participanților la acest proces trebuie coordonate. Prin urmare, în etapa de inițiere a procedurii de audit, trebuie rezolvate următoarele probleme organizatorice:

Drepturile și responsabilitățile auditorului trebuie să fie clar definite și documentate în fișele posturilor sale, precum și în reglementările privind auditul intern (extern);

Auditorul trebuie să pregătească și să convină cu conducerea asupra unui plan de audit;

Reglementările privind auditul intern ar trebui să prevadă, în special, că angajații întreprinderii sunt obligați să asiste auditorul și să furnizeze toate informațiile necesare auditului.

La etapa de inițiere a procedurii de audit trebuie stabilite limitele anchetei. Dacă unele subsisteme informaționale ale întreprinderii nu sunt suficient de critice, ele pot fi excluse din sfera anchetei.

Este posibil ca alte subsisteme să nu fie auditabile din cauza problemelor de confidențialitate.

Limitele anchetei sunt determinate în următoarele categorii:

1. Lista resurselor fizice, software și informaționale analizate.

2. Situri (localuri) care se încadrează în limitele anchetei.

3. Principalele tipuri de amenințări de securitate luate în considerare în timpul auditului.

4. Aspecte organizaționale (legislative, administrative și procedurale), fizice, software, hardware și alte aspecte ale securității care trebuie luate în considerare în timpul sondajului și prioritățile acestora (în ce măsură ar trebui luate în considerare).

Planul și limitele auditului sunt discutate în cadrul unei ședințe de lucru, la care participă auditori, conducerea companiei și șefii diviziilor structurale.

Pentru a înțelege auditul de securitate a informațiilor ca un sistem complex, modelul său conceptual prezentat în Fig. 1.1. Componentele principale ale procesului sunt evidențiate aici:

Obiect de audit:

Scopul auditului:

Orez. 1.1.

cerințe;

Metode utilizate;

Scară:

Interpreți;

Ordinea de conduită.

Din punctul de vedere al organizării muncii la efectuarea unui audit de securitate a informațiilor, există trei etape fundamentale:

1. culegerea de informații;

Acești pași sunt discutați mai detaliat mai jos.

Etapa de colectare a informațiilor de audit este cea mai dificilă și cea mai consumatoare de timp. Acest lucru se datorează lipsei documentației necesare pentru sistemul informațional și necesității unei interacțiuni strânse între auditor și mulți oficiali ai organizației.

Concluzii competente privind starea de fapt in societatea cu securitatea informatiei pot fi facute de auditor numai daca sunt disponibile toate datele initiale necesare pentru analiza. Obținerea informațiilor despre organizarea, funcționarea și starea actuală a SI se realizează de către auditor în cadrul unor interviuri special organizate cu persoanele responsabile ale companiei, prin studierea documentației tehnice și organizatorice și administrative, precum și cercetarea SI folosind instrumente software specializate. Să ne oprim asupra informațiilor de care are nevoie auditorul pentru analiză.

Asigurarea securității informațiilor unei organizații este un proces complex care necesită organizare și disciplină clare. Ar trebui să înceapă cu definirea rolurilor și responsabilităților oficialilor de securitate a informațiilor. Prin urmare, primul punct al auditului începe cu obținerea de informații despre structura organizatorică a utilizatorilor SI și a unităților de servicii. În acest sens, auditorul solicită următoarele documente:

· Schema structurii organizatorice a utilizatorilor;

· Schema structurii organizatorice a departamentelor de servicii.

De obicei, în timpul unui interviu, auditorul le adresează persoanelor intervievate următoarele întrebări:

· Cine este proprietarul informațiilor?

· Cine este utilizatorul (consumatorul) de informații?

· Cine este furnizorul de servicii?

Scopul și principiile de funcționare ale SI determină în mare măsură riscurile existente și cerințele de securitate pentru sistem. Prin urmare, în etapa următoare, auditorul este interesat de informații despre scopul și funcționarea SI. Auditorul adresează respondenților aproximativ următoarele întrebări:

· Ce servicii sunt furnizate utilizatorilor finali și cum?

· Care sunt principalele tipuri de aplicații operate în IS?

· Numărul și tipurile de utilizatori care folosesc aceste aplicații?

De asemenea, va avea nevoie de următoarea documentație, desigur, dacă este disponibilă deloc (ceea ce, în general, nu se întâmplă des):

· Diagrame funcționale;

· Descrierea funcțiilor automate;

· Descrierea principalelor solutii tehnice;

· Alte documentaţii de proiectare şi de lucru pentru sistemul informaţional.

În plus, auditorul solicită informații mai detaliate despre structura IP. Acest lucru va face posibilă înțelegerea modului în care se realizează distribuția mecanismelor de securitate între elementele structurale și nivelurile de funcționare ale SI. Întrebările tipice care sunt discutate în acest sens în timpul unui interviu includ:

· Din ce componente (subsisteme) constă SI?

· Funcționalitatea componentelor individuale?

· Unde sunt limitele sistemului?

· Ce puncte de intrare există?

· Cum interacționează SI cu alte sisteme?

· Ce canale de comunicare sunt folosite pentru a interacționa cu alte sisteme informaționale?

· Ce canale de comunicare sunt folosite pentru interacțiunea dintre componentele sistemului?

· Ce protocoale sunt folosite pentru a comunica?

· Ce platforme software și hardware sunt folosite pentru a construi sistemul?

În această etapă, auditorul trebuie să se aprovizioneze cu următoarea documentație:

· Schema bloc IS;

· Schema fluxurilor informative;

· Descrierea structurii complexului de mijloace tehnice ale sistemului informatic;

· Descrierea structurii software;

· Descrierea structurii suportului informaţional;

· Amplasarea componentelor sistemului informatic.

Pregătirea unei părți semnificative a documentației IP este de obicei efectuată în timpul procesului de audit. Când toate datele IP necesare, inclusiv documentația, au fost pregătite, puteți trece la analiza lor.

Analiza datelor de audit

Metodele de analiză a datelor utilizate de auditori sunt determinate de abordările de audit alese, care pot varia semnificativ.

Prima abordare, cea mai complexă, se bazează pe analiza riscului. Pe baza metodelor de analiză a riscurilor, auditorul determină pentru SI examinat un set individual de cerințe de securitate, care ia în considerare în cea mai mare măsură caracteristicile acestui SI, mediul său de operare și amenințările de securitate existente în acest mediu. Această abordare este cea mai intensivă în muncă și necesită cele mai înalte calificări ale auditorului. Calitatea rezultatelor auditului, în acest caz, este puternic influențată de metodologia utilizată pentru analiză și managementul riscului și de aplicabilitatea acesteia la acest tip de SI.

A doua abordare, cea mai practică, se bazează pe utilizarea standardelor de securitate a informațiilor. Standardele definesc un set de bază de cerințe de securitate pentru o clasă largă de IP, care se formează ca urmare a unei generalizări a practicii mondiale. Standardele pot defini seturi diferite de cerințe de securitate, în funcție de nivelul de securitate IP care trebuie asigurat, afilierea acestuia (organizație comercială sau agenție guvernamentală) și scop (finanțe, industrie, comunicații etc.). În acest caz, auditorului i se cere să determine corect setul de cerințe standard care trebuie îndeplinite pentru acest IS. De asemenea, este necesară o metodologie pentru a evalua această conformitate. Datorită simplității sale (un set standard de cerințe pentru efectuarea unui audit este deja predeterminat de standard) și fiabilității (un standard este un standard și nimeni nu va încerca să-i conteste cerințele), abordarea descrisă este cea mai comună în practică (în special la efectuarea unui audit extern). Acesta permite, cu cheltuieli minime de resurse, să se tragă concluzii informate despre starea PA.

A treia abordare, cea mai eficientă, presupune combinarea primelor două. Setul de bază de cerințe de securitate pentru IP este determinat de standard. Cerințele suplimentare, ținând cont de caracteristicile specifice funcționării acestui sistem informatic în măsura maximă, se formează pe baza unei analize de risc. Această abordare este mult mai simplă decât prima, deoarece Majoritatea cerințelor de securitate sunt deja definite de standard și, în același timp, nu prezintă dezavantajul celei de-a doua abordări, și anume că cerințele standardului pot să nu țină cont de specificul IP-ului examinat. .

Un audit al sistemelor informatice oferă date actualizate și precise despre modul în care funcționează sistemul informatic. Pe baza datelor obținute, puteți planifica activități pentru îmbunătățirea eficienței întreprinderii. Practica auditării unui sistem informațional - în comparație cu standardul, situația reală. Studiați normele, standardele, reglementările și practicile aplicabile în alte companii. Atunci când efectuează un audit, un antreprenor își face o idee despre modul în care compania sa diferă de o companie normală de succes într-un domeniu similar.

Privire de ansamblu

Tehnologia informației în lumea modernă este extrem de dezvoltată. Este greu de imaginat o întreprindere care nu are sisteme informatice în funcțiune:

• global;
• local.

Datorită IP-ului, o companie poate funcționa normal și poate ține pasul cu vremurile. Astfel de metodologii sunt necesare pentru schimbul rapid și complet de informații cu mediul, ceea ce permite companiei să se adapteze la schimbările de infrastructură și cerințele pieței. Sistemele informaționale trebuie să satisfacă o serie de cerințe care se modifică în timp (noi dezvoltări, sunt introduse standarde, sunt utilizați algoritmi actualizați). În orice caz, tehnologiile informaționale permit accesul rapid la resurse, iar această sarcină este rezolvată prin IS. În plus, sistemele moderne:

• scalabil;
• flexibil;
• de încredere;
• sigur.

Principalele obiective ale unui audit de sisteme informatice sunt de a determina daca sistemul informatic implementat respecta parametrii specificati.

Audit: tipuri

Așa-numitul audit de proces al unui sistem informațional este foarte des utilizat. Exemplu: specialiștii externi analizează sistemele implementate pentru diferențele față de standarde, inclusiv studierea procesului de producție, al cărui rezultat este software.

Un audit poate fi efectuat pentru a determina cât de corect este utilizat sistemul informațional. Practicile companiei sunt comparate cu standardele producătorului și cu exemple binecunoscute de corporații internaționale.

Un audit al sistemului de securitate a informațiilor unei întreprinderi afectează structura organizațională. Scopul unui astfel de eveniment este găsirea punctelor slabe în personalul departamentului IT și identificarea problemelor, precum și formularea de recomandări pentru rezolvarea acestora.

În sfârșit, un audit al sistemului de securitate a informațiilor vizează controlul calității. Apoi experții invitați evaluează starea proceselor din cadrul întreprinderii, testează sistemul informațional implementat și trag câteva concluzii pe baza informațiilor primite. În mod obișnuit, este utilizat modelul TMMI.

Obiectivele auditului

Un audit strategic al stării sistemelor informaționale vă permite să identificați punctele slabe ale sistemului informațional implementat și să identificați unde utilizarea tehnologiilor a fost ineficientă. La finalul unui astfel de proces, clientul va avea recomandări pentru a elimina neajunsurile.

Un audit vă permite să estimați cât de costisitor va fi să faceți modificări la structura actuală și cât va dura. Specialistii care studiaza structura informatica actuala a companiei te vor ajuta sa selectezi instrumente pentru implementarea unui program de imbunatatire, tinand cont de caracteristicile companiei. Pe baza rezultatelor, puteți oferi și o estimare precisă a resurselor necesare companiei. Intelectuala, monetara, productia va fi analizata.

Evenimente

Auditul intern al sistemelor informatice include activități precum:

• inventar IT;
• identificarea sarcinii asupra structurilor informaționale;
• evaluarea statisticilor, a datelor obținute în timpul inventarierii;
• stabilirea dacă cerințele și capacitățile de afaceri ale SI implementate îndeplinesc;
• generarea unui raport;
• elaborarea de recomandări;
• formalizarea fondului INS.

Rezultatul auditului

Un audit strategic al stării sistemelor informaționale este o procedură care: vă permite să identificați motivele lipsei de eficiență a sistemului informațional implementat; preziceți comportamentul sistemului informațional la ajustarea fluxurilor de informații (număr de utilizatori, volum de date); să ofere decizii informate care să ajute la creșterea productivității (achiziționarea de echipamente, îmbunătățirea sistemului implementat, înlocuire); da recomandari care vizeaza cresterea productivitatii departamentelor companiei si optimizarea investitiilor in tehnologie. Și, de asemenea, să dezvolte măsuri care să îmbunătățească nivelul de calitate al serviciilor de sisteme informatice.

Este important!

Nu există un astfel de IP universal care să se potrivească oricărei întreprinderi. Există două baze comune pe care puteți crea un sistem unic, adaptat cerințelor unei anumite întreprinderi:

• Oracol.

Dar amintiți-vă că aceasta este doar baza, nimic mai mult. Toate îmbunătățirile care fac o afacere eficientă trebuie programate, ținând cont de caracteristicile unei anumite întreprinderi. Probabil va trebui să introduceți funcții care lipseau anterior și să le dezactivați pe cele furnizate de ansamblul de bază. Tehnologia modernă de auditare a sistemelor informaționale bancare ajută la înțelegerea exactă ce caracteristici ar trebui să aibă un sistem informatic și ce trebuie excluse, astfel încât sistemul corporativ să fie optim, eficient, dar nu prea „greu”.

Auditul securității informațiilor

Analiza pentru identificarea amenințărilor la securitatea informațiilor este de două tipuri:

• extern;
• interior.

Prima implică o procedură unică. Este organizat de șeful companiei. Este recomandat să practicați regulat această măsură pentru a ține situația sub control. O serie de societăți pe acțiuni și organizații financiare au introdus cerința ca un audit extern al securității IT să fie obligatoriu.

Intern - acestea sunt evenimente desfășurate în mod regulat reglementate de actul de reglementare local „Regulamentul privind auditul intern”. Pentru realizarea acestuia se formează un plan anual (este întocmit de departamentul responsabil cu auditul), aprobat de directorul general, un alt manager. Audit IT - mai multe categorii de activități; auditul de securitate nu este cel mai puțin important.

Goluri

Scopul principal al unui audit al sistemelor informatice din perspectiva securității este identificarea riscurilor legate de IS asociate amenințărilor de securitate. În plus, activitățile ajută la identificarea:

• punctele slabe ale sistemului actual;
• conformitatea sistemului cu standardele de securitate a informațiilor;
• nivelul de securitate la momentul actual.

În urma unui audit de securitate, vor fi formulate recomandări pentru îmbunătățirea soluțiilor actuale și introducerea altora noi, făcând astfel sistemul informațional existent mai sigur și protejat de diverse amenințări.

Dacă se efectuează un audit intern pentru a identifica amenințările la adresa securității informațiilor, atunci se iau în considerare în plus următoarele:

• politica de securitate, posibilitatea dezvoltării unuia nou, precum și a altor documente, pentru a proteja datele și a simplifica utilizarea acestora în procesul de producție al corporației;
• formarea sarcinilor de securitate pentru angajații departamentului IT;
• analiza situațiilor care implică încălcări;
• instruirea utilizatorilor sistemului corporativ și a personalului de întreținere în aspectele generale ale securității.

Audit intern: caracteristici

Sarcinile enumerate care sunt stabilite pentru angajați atunci când se efectuează un audit intern al sistemelor informaționale nu sunt, în esență, un audit. Teoretic, persoana care conduce evenimentul doar ca expert evaluează mecanismele prin care sistemul este securizat. Persoana implicată în sarcină devine un participant activ în proces și își pierde independența și nu mai poate evalua în mod obiectiv situația și controla.

Pe de altă parte, în practică, în timpul auditului intern, este aproape imposibil să rămânem pe margine. Faptul este că un specialist al companiei care de altfel este ocupat cu alte sarcini dintr-o zonă similară este angajat pentru a efectua lucrarea. Aceasta înseamnă că auditorul este același angajat care are competența de a rezolva sarcinile menționate anterior. Prin urmare, trebuie să facem un compromis: în detrimentul obiectivității, implicați angajatul în practică pentru a obține un rezultat decent.

Audit de securitate: etape

Acestea sunt în mare măsură similare cu pașii unui audit IT general. A evidentia:

• începerea evenimentelor;
• colectarea unei baze de analiză;
• analiză;
• tragerea de concluzii;
• raportare.

Initierea procedurii

Un audit al sistemelor informatice din punct de vedere al securității începe atunci când șeful companiei dă voie, deoarece șefii sunt cei mai interesați de auditul eficient al întreprinderii. Un audit nu poate fi efectuat dacă conducerea nu sprijină procedura.

Auditul sistemelor informatice este de obicei cuprinzător. Acesta implică auditorul și mai multe persoane care reprezintă diferite departamente ale companiei. Munca comună a tuturor participanților la inspecție este importantă. La inițierea unui audit, este important să acordați atenție următoarelor puncte:

• înregistrarea documentară a responsabilităților și drepturilor auditorului;
• pregătirea și aprobarea planului de audit;
• documentând faptul că angajații sunt obligați să acorde auditorului toată asistența posibilă și să furnizeze toate datele solicitate de acesta.

Deja la momentul inițierii auditului, este important să se stabilească în ce limite se realizează auditul sistemelor informaționale. În timp ce unele subsisteme IS sunt critice și necesită o atenție specială, altele nu sunt și sunt suficient de neimportante încât excluderea lor să fie acceptabilă. Probabil că vor exista subsisteme care nu pot fi verificate, deoarece toate informațiile stocate acolo sunt confidențiale.

Plan și limite

Înainte de a începe lucrul, este generată o listă de resurse care ar trebui să fie verificate. Poate fi:

• informativ;
• software;
• tehnic.

Ei identifică ce site-uri sunt auditate și pentru ce amenințări este verificat sistemul. Există limite organizaționale ale evenimentului și aspecte de siguranță care trebuie luate în considerare în timpul auditului. Se generează un rating de prioritate care indică domeniul de aplicare al inspecției. Astfel de limite, precum și planul de acțiune, sunt aprobate de directorul general, dar sunt stabilite mai întâi de subiectul adunării generale de lucru, la care sunt prezenți șefii de departament, auditorul și directorii companiei.

Primirea datelor

Atunci când se efectuează un audit de securitate, standardele de auditare a sistemelor informaționale sunt de așa natură încât etapa de colectare a informațiilor se dovedește a fi cea mai lungă și mai laborioasă. De regulă, sistemul informațional nu are documentație pentru acesta, iar auditorul este obligat să lucreze îndeaproape cu numeroși colegi.

Pentru ca concluziile trase să fie competente, auditorul trebuie să obțină cât mai multe date. Auditorul învață despre cum este organizat sistemul informațional, cum funcționează și în ce stare se află din documentația organizatorică, administrativă și tehnică, în timpul cercetării independente și a utilizării software-ului specializat.

Documente necesare pentru activitatea unui auditor:

• structura organizatorică a departamentelor care deservesc SI;
• structura organizatorica a tuturor utilizatorilor.

Auditorul intervievează angajații, identificând:

• furnizorul;
• proprietarul datelor;
• utilizator de date.

Pentru a face acest lucru trebuie să știți:

• principalele tipuri de aplicații IS;
• numărul, tipurile de utilizatori;
• servicii furnizate utilizatorilor.

În cazul în care compania are documente IP din lista de mai jos, este imperativ să le furnizați auditorului:

• descrierea metodologiilor tehnice;
• descrierea metodelor de automatizare a funcțiilor;
• diagrame funcționale;
• documente de lucru, proiectare.

Identificarea structurii IP

Pentru a face concluzii corecte, auditorul trebuie să aibă cea mai completă înțelegere a caracteristicilor sistemului informațional implementat la întreprindere. Trebuie să știți care sunt mecanismele de securitate și cum sunt distribuite pe nivelurile sistemului. Pentru a face acest lucru, aflați:

• disponibilitatea și caracteristicile componentelor sistemului utilizat;
• funcții componente;
• grafic;
• intrări;
• interacțiunea cu diverse obiecte (externe, interne) și protocoale, canale pentru aceasta;
• platformele utilizate pentru sistem.

Următoarele scheme vor fi utile:

• structural;
• fluxuri de date.

Structuri:

• mijloace tehnice;
• suport informativ;
• componente structurale.

În practică, multe dintre documente sunt pregătite direct în timpul inspecției. Este posibil să se analizeze informații numai atunci când se colectează cantitatea maximă de informații.

Audit de securitate IP: analiză

Există mai multe tehnici folosite pentru a analiza datele obținute. Alegerea în favoarea unuia anume se bazează pe preferințele personale ale auditorului și pe specificul sarcinii specifice.

Cea mai complexă abordare presupune analiza riscurilor. Se formează cerințe de securitate pentru sistemul informațional. Acestea se bazează pe caracteristicile unui sistem specific și ale mediului de operare al acestuia, precum și pe amenințările inerente acestui mediu. Analiştii sunt de acord că această abordare necesită cea mai mare forţă de muncă şi calificări maxime ale auditorului. Cât de bun va fi rezultatul este determinat de metodologia de analiză a informațiilor și de aplicabilitatea opțiunilor selectate la tipul de sistem informațional.

O opțiune mai practică implică apelarea la standardele de securitate a datelor. Acestea definesc un set de cerințe. Acest lucru este potrivit pentru diferite IP-uri, deoarece metodologia a fost dezvoltată pe baza celor mai mari companii din diferite țări.

Din standarde rezultă care sunt cerințele de securitate, în funcție de nivelul de protecție a sistemului și de afilierea acestuia la o anumită instituție. Depinde mult de scopul IP-ului. Sarcina principală a auditorului este să determine corect ce set de cerințe de securitate este relevant într-un caz dat. Ei selectează o metodă prin care evaluează dacă parametrii sistemului existenți respectă standardele. Tehnologia este destul de simplă, fiabilă și, prin urmare, răspândită. Cu o investiție mică, rezultatul poate fi concluzii exacte.

Neglijarea este inacceptabilă!

Practica arată că mulți manageri, în special ai companiilor mici, precum și cei ale căror companii funcționează de destul de mult timp și nu se străduiesc să stăpânească toate cele mai noi tehnologii, sunt destul de neglijenți în ceea ce privește auditarea sistemelor informaționale, deoarece pur și simplu nu își dau seama. importanța acestei măsuri. De obicei, doar daunele aduse afacerii determină conducerea să ia măsuri pentru a verifica, identifica riscurile și protejează întreprinderea. Alții se confruntă cu faptul că le sunt furate date despre clientela lor; pentru alții apar scurgeri din bazele de date ale contractorilor sau se pierd informații despre avantajele cheie ale unei anumite entități. Consumatorii nu mai au încredere în companie de îndată ce incidentul este făcut public, iar compania suferă chiar mai multe daune decât doar pierderea de date.

Dacă există posibilitatea unei scurgeri de informații, este imposibil să construiești o afacere eficientă, care să aibă oportunități bune acum și în viitor. Orice companie are date care sunt valoroase pentru terți și trebuie protejate. Pentru ca protecția să fie la cel mai înalt nivel, este necesar un audit pentru a identifica punctele slabe. Trebuie să ia în considerare standardele internaționale, metodele și cele mai recente evoluții.

În timpul unui audit:

• evaluarea nivelului de protecție;
• analiza tehnologiilor utilizate;
• ajustarea documentelor de siguranță;
• simulează situații de risc în care este posibilă scurgerea de date;
• recomandă implementarea de soluții pentru eliminarea vulnerabilităților.

Aceste evenimente se desfășoară într-unul din trei moduri:

• activ;
• expert;
• identificarea conformității cu standardele.

Formulare de audit

Un audit activ implică evaluarea sistemului la care se uită un potențial hacker. Este punctul său de vedere pe care auditorii „încearcă” - studiază protecția rețelei, pentru care folosesc software specializat și tehnici unice. De asemenea, este necesar un audit intern, realizat tot din punctul de vedere al unui presupus infractor care dorește să fure date sau să perturbe funcționarea sistemului.

În timpul unui audit de experți, aceștia verifică cât de bine corespunde sistemul implementat cu cel ideal. La identificarea conformității cu standardele, se ia ca bază o descriere abstractă a standardelor cu care este comparat obiectul existent.

Concluzie

Un audit efectuat corect și eficient vă permite să obțineți următoarele rezultate:

• reducerea la minimum a probabilității unui atac de hacker de succes și a daunelor cauzate de acesta;
• eliminarea atacurilor bazate pe modificări ale arhitecturii sistemului și ale fluxurilor de informații;
• asigurarea ca mijloc de reducere a riscurilor;
• minimizând riscul la un nivel în care poate fi complet ignorat.

Expresia sacră „a deține informații înseamnă a deține lumea” este mai relevantă ca niciodată. Prin urmare, astăzi „furtul de informații” este inerent majorității atacatorilor. Acest lucru poate fi evitat prin introducerea unui număr de protecții împotriva atacurilor, precum și prin audituri de securitate a informațiilor în timp util. Auditul securității informațiilor este un concept nou, care presupune o direcție actuală și dinamică a managementului operațional și strategic, care privește securitatea sistemului informațional.

Auditul informaţional - fundamente teoretice

Volumul de informații în lumea modernă crește rapid, deoarece în întreaga lume există o tendință de globalizare a utilizării tehnologiei computerului în toate straturile societății umane. În viața unui om obișnuit, tehnologia informației este o componentă majoră.

Acest lucru se exprimă în utilizarea Internetului, atât în ​​scop de muncă, cât și în scop de joacă și divertisment. În paralel cu dezvoltarea tehnologiei informației, monetizarea serviciilor este în creștere și, prin urmare, timpul petrecut pe diferite tranzacții de plată folosind carduri de plastic. Acestea includ plăți fără numerar pentru diverse bunuri și servicii consumate, tranzacții în sistemul de plată online banking, schimb valutar și alte tranzacții de plată. Toate acestea afectează spațiul de pe World Wide Web, făcându-l mai mare.

Există, de asemenea, mai multe informații despre deținătorii de carduri. Aceasta este baza extinderii domeniului de activitate al fraudelor, care astăzi reușesc să efectueze o masă colosală de atacuri, inclusiv atacuri la adresa furnizorului de servicii și a utilizatorului final. În acest ultim caz, atacul poate fi prevenit prin utilizarea unui software adecvat, dar dacă acest lucru îl privește pe vânzător, este necesar să se utilizeze un set de măsuri care să minimizeze întreruperile, scurgerile de date și hackurile de servicii. Acest lucru se realizează prin audituri de securitate a informațiilor în timp util.

Sarcina urmărită de un audit informațional constă în evaluarea în timp util și precisă a stării securității informațiilor la momentul actual a unei anumite entități de afaceri, precum și în conformitate cu scopul și obiectivele stabilite de desfășurare a activităților, cu ajutorul cărora rentabilitatea și eficiența activității economice ar trebui crescute.

Cu alte cuvinte, un audit de securitate a informațiilor este o verificare a capacității unei anumite resurse de a face față amenințărilor potențiale sau reale.

• Auditul securității informațiilor are următoarele obiective:
• Evaluează starea sistemului informațional pentru securitate.
• Identificarea analitică a riscurilor potențiale asociate cu pătrunderea externă în rețeaua informațională.
• Identificarea locației golurilor în sistemul de securitate.
• Identificarea analitică a conformității între nivelul de securitate și standardele actuale ale cadrului legislativ.
• Initierea unor noi metode de protectie, implementarea lor in practica, precum si crearea de recomandari cu ajutorul carora se vor imbunatati problemele mijloacelor de protectie, precum si cautarea de noi dezvoltari in aceasta directie.

Auditul este utilizat atunci când:

• Verificarea completă a unui obiect care este implicat în procesul de informare. În special, vorbim de sisteme informatice, de sisteme de comunicații, la recepționarea, transmiterea și prelucrarea datelor unei anumite cantități de informații, mijloace tehnice, sisteme de supraveghere etc.
• O verificare completă a echipamentelor tehnice electronice, precum și a sistemelor informatice, pentru efectele radiațiilor și interferențelor care vor contribui la oprirea acestora.
• La verificarea părții de proiectare, care include munca la crearea strategiilor de securitate, precum și implementarea lor practică.
• O verificare completă a fiabilității protecției informațiilor confidențiale, accesul la care este limitat, precum și identificarea „găurilor” prin care aceste informații sunt făcute publice folosind măsuri standard și nestandard.

Când devine necesară efectuarea unui audit?

Este important de menționat că necesitatea de a efectua un audit al informațiilor apare atunci când protecția datelor este încălcată. De asemenea, testarea este recomandată pentru:

• Fuziunea companiei.
• Expansiunea afacerii.
• Absorbție sau anexare.
• Schimbarea conducerii.

Tipuri de audit al sistemelor informatice

Astăzi, există audituri de informații externe și interne.

Un audit extern se caracterizează prin implicarea unor experți externi, independenți, care au dreptul să desfășoare astfel de activități. De regulă, acest tip de inspecție are un caracter unic și este inițiat de șeful întreprinderii, acționar sau autoritățile de aplicare a legii. Efectuarea unui audit extern nu este obligatorie, dar este cel mai probabil recomandată. Există însă nuanțe stabilite de lege în care un audit extern al securității informațiilor este obligatoriu. De exemplu, instituțiile financiare, societățile pe acțiuni și organizațiile financiare intră sub incidența legii.

Auditul intern al securității fluxurilor de informații este un proces în desfășurare, a cărui implementare este reglementată de documentul relevant „Regulamentul privind auditul intern”. Acest eveniment, în cadrul companiei, este de natură de certificare, a cărui implementare este reglementată de ordinul relevant pentru întreprindere. Prin efectuarea auditului intern, compania este asigurată printr-o unitate specială din cadrul companiei.

Auditul este, de asemenea, clasificat ca:

• Expert.
• Atestare.
• Analitic.

Expert presupune verificarea stării de securitate a fluxurilor și sistemelor de informații, care se bazează pe experiența experților și a celor care efectuează această verificare.

Tipul de auditare de certificare se referă la sisteme și măsuri de securitate, în special conformitatea acestora cu standardele acceptate în societatea internațională, precum și documentele guvernamentale relevante care reglementează temeiul legal al acestei activități.

Auditul de tip analitic se referă la o analiză aprofundată a unui sistem informatic care utilizează dispozitive tehnice. Aceste acțiuni ar trebui să vizeze identificarea vulnerabilităților complexului software și hardware.

Metodologie și instrumente pentru efectuarea auditurilor în practică

Auditul se desfășoară în etape și include:

Prima etapă este considerată cea mai simplă. Acesta definește drepturile și responsabilitățile executantului de audit, dezvoltarea unui plan de acțiune pas cu pas și coordonarea cu managementul. În același timp, limitele analizei sunt determinate în cadrul unei ședințe de personal.

A doua etapă implică cantități mari de consum de resurse. Acest lucru este justificat de faptul că toată documentația tehnică care se referă la complexul software și hardware este studiată.

A treia etapă se desfășoară folosind una dintre cele trei metode, și anume:

• Analiza de risc.
• Analiza conformității cu standardele și legislația.
• Combinații de analiză de risc și conformitate cu legislația.

A patra etapă vă permite să sistematizați datele obținute și să efectuați o analiză aprofundată. În acest caz, inspectorul trebuie să fie competent în această problemă.

Cum să treci astfel încât să nu fie probleme? De ce este nevoie de o astfel de verificare? Articolul nostru vă va spune despre asta.

Ce este un audit și ce tipuri de audituri există? S-a scris despre asta.

Veți afla ce este un control fiscal și în ce scopuri este necesar.

După inspecție, trebuie să se întocmească o concluzie, care se reflectă în documentul de raportare corespunzător. Raportul reflectă de obicei următoarele informații:

1. Reglementări pentru auditul efectuat.
2. Structura sistemului de flux de informații la întreprindere.
3. Ce metode și mijloace au fost folosite pentru a verifica
4. Descrierea corectă a vulnerabilităților și a punctelor slabe, ținând cont de riscul și nivelul punctelor slabe.
5. Acțiuni recomandate pentru eliminarea locurilor periculoase, precum și îmbunătățirea complexului întregului sistem.
   Sfaturile practice reale cu ajutorul cărora măsurile ar trebui implementate au ca scop reducerea la minimum a riscurilor care au fost identificate în timpul auditului.

Auditul securității informațiilor în practică

În practică, un exemplu inofensiv destul de comun este o situație în care angajatul A, care este implicat în achiziționarea de echipamente comerciale, a negociat folosind un anumit program „B”.

În același timp, programul în sine este vulnerabil, iar în timpul înregistrării, angajatul nu a indicat nici o adresă de e-mail, nici un număr, ci a folosit o adresă alternativă de e-mail abstractă cu un domeniu inexistent.

Drept urmare, un atacator poate înregistra un domeniu similar și poate crea un terminal de înregistrare. Acest lucru îi va permite să trimită mesaje către compania care deține serviciul program „B”, solicitând parola pierdută. În acest caz, serverul va trimite e-mail la adresa existentă a escrocului, deoarece acesta are o redirecționare în funcțiune. Ca urmare a acestei operațiuni, fraudatorul are acces la corespondență, dezvăluie alte informații furnizorului și controlează direcția încărcăturii într-o direcție necunoscută de angajat.

Relevanța auditului informațional în lumea modernă devine din ce în ce mai solicitată, datorită numărului tot mai mare de utilizatori atât a spațiului World Wide Web, cât și a utilizării diferitelor metode de monetizare în diverse servicii. Astfel, datele fiecărui utilizator devin disponibile atacatorilor. Ele pot fi protejate prin identificarea sursei problemei - punctele slabe ale fluxurilor de informații.

In contact cu