242 Shares 2604 views

Audit sécurité de l'information: objectifs, méthodes et outils, par exemple. Audit de sécurité de l'information de la banque

Aujourd'hui, tout le monde connaît l'expression presque sacrée qui possède l'information, possède le monde. Voilà pourquoi dans notre temps de voler des informations confidentielles tentent de tout le monde. À cet égard, pris des mesures sans précédent et la mise en œuvre des moyens de protection contre les attaques possibles. Cependant, vous pouvez parfois besoin de procéder à une vérification de sécurité de l'information d'entreprise. Qu'est-ce et pourquoi est-il tout maintenant, et essayer de comprendre.

Qu'est-ce qu'une vérification de la sécurité de l'information dans la définition générale?

Qui n'affectera pas les termes scientifiques abstruses et essayer de déterminer eux-mêmes les concepts de base, les décrivant dans la langue la plus simple (le peuple pourrait être appelé l'audit pour les « mannequins »).

Le nom des événements complexes parle pour lui-même. vérification de la sécurité de l' information est une vérification indépendante ou examen par les pairs pour assurer la sécurité des systèmes d'information (SI) de toute entreprise, institution ou organisation sur la base de critères et d' indicateurs spécialement développés.

En termes simples, par exemple, vérifier la sécurité de l'information de la banque se résume à, pour évaluer le niveau de protection des bases de données clients détenus par les opérations bancaires, la sécurité de la monnaie électronique, la préservation du secret bancaire, et ainsi de suite. D. Dans le cas d'ingérence dans les activités de l'institution des personnes non autorisées de l'extérieur, en utilisant installations électroniques et informatiques.

Certes, parmi les lecteurs il y a au moins une personne qui a appelé la maison ou un téléphone mobile avec une proposition de traitement du prêt ou un dépôt, la banque avec laquelle elle n'a rien à voir. Cela vaut également pour les achats et les offres de certains magasins. D'où est venu votre chambre?

Il est simple. Si une personne a déjà prêts ou investi dans un compte de dépôt, bien sûr, ses données sont stockées dans une commune base de clients. Lorsque vous appelez d'une autre banque ou un magasin peut être qu'une seule conclusion: les informations à ce sujet est venu illégalement à des tiers. Comment? En général, il y a deux options: soit il a été volé ou transféré aux employés de la banque à des tiers consciemment. Pour que ces choses ne se produisent pas, et vous avez besoin de temps pour procéder à une vérification de sécurité de l'information de la banque, et cela vaut non seulement à l'ordinateur ou des moyens de protection « de fer », mais l'ensemble du personnel de l'institution.

Les principales directions de l'audit de sécurité de l'information

En ce qui concerne la portée de l'audit, en règle générale, ils sont plusieurs:

  • vérification complète des objets impliqués dans les processus d'information (système automatisé informatique, des moyens de communication, réception, transmission et traitement de l'information, les installations, les locaux pour les réunions confidentielles, les systèmes de surveillance, etc.);
  • vérifier la fiabilité de la protection des informations confidentielles avec un accès limité (détermination de la fuite possible et des trous de sécurité potentiels canaux permettant l'accès de l'extérieur avec l'utilisation de méthodes standard et non standard);
  • vérification de tous les matériels électroniques et les systèmes informatiques locaux d'exposition à un rayonnement électromagnétique et d'interférence, ce qui leur permet de désactiver ou mettre en mauvais état;
  • partie projet, qui comprend des travaux sur la création et l'application du concept de sécurité dans sa mise en œuvre pratique (protection des systèmes informatiques, des installations, des équipements de communication, etc.).

En ce qui concerne l'audit?

Sans oublier les situations critiques où la défense était déjà cassé, la vérification de la sécurité de l'information dans une organisation peut être réalisée, et dans certains autres cas.

En règle générale, ceux-ci comprennent l'expansion de la société, fusion, acquisition, reprise par d'autres entreprises, changer le cours des concepts d'affaires ou des lignes directrices, des changements dans le droit international ou dans la législation d'un pays, des changements assez sérieux dans l'infrastructure d'information.

types de vérification

Aujourd'hui, la classification même de ce type d'audit, selon de nombreux analystes et experts n'est pas établie. Par conséquent, la division en classes dans certains cas, peut être tout à fait arbitraire. Néanmoins, en général, la vérification de la sécurité de l'information peut être divisée en interne et externe.

Un audit externe effectué par des experts indépendants qui ont le droit de le faire, est généralement un chèque unique, qui peut être exigée par la direction, les actionnaires, les organismes d'application de la loi, etc. On croit qu'une vérification externe de sécurité de l'information est recommandé (mais pas obligatoire) d'effectuer régulièrement pendant une période de temps définie. Mais pour certaines organisations et entreprises, conformément à la loi, il est obligatoire (par exemple, les institutions financières et les organisations, sociétés anonymes, et d'autres.).

sécurité de l'information d'audit interne est un processus constant. Il est basé sur un « Règlement sur la vérification interne » spéciales. Qu'est-ce? En fait, ces activités de certification menées dans l'organisation, en termes approuvés par la direction. Un audit de sécurité de l'information par subdivision structurelle particulière de l'entreprise.

classification alternative de vérification

En plus de la division décrite ci-dessus en classes dans le cas général, on peut distinguer plusieurs composants fabriqués dans la classification internationale:

  • Expert vérifier l'état de la sécurité de l'information et des systèmes d'information sur la base de l'expérience personnelle d'experts, son conducteur;
  • systèmes de certification et des mesures de sécurité pour le respect des normes internationales (ISO 17799) et les instruments juridiques nationaux régissant ce domaine d'activité;
  • analyse de la sécurité des systèmes d'information avec l'utilisation de moyens techniques visant à identifier les vulnérabilités potentielles dans le complexe logiciel et matériel.

Parfois, il peut être appliqué et la vérification complète que l'on appelle, qui comprend tous les types ci-dessus. Soit dit en passant, il donne des résultats les plus objectifs.

buts et objectifs étagés

Toute vérification, que ce soit interne ou externe, commence par fixer des objectifs et des objectifs. Autrement dit, vous devez déterminer pourquoi, comment et ce qui sera testé. Cela permettra de déterminer la procédure supplémentaire de réalisation de l'ensemble du processus.

Tâches, en fonction de la structure spécifique de l'entreprise, organisation, institution et ses activités peuvent être beaucoup. Cependant, au milieu de tout ce communiqué, l'objectif unifié de l'audit de sécurité de l'information:

  • évaluation de l'état de sécurité de l'information et des systèmes d'information;
  • analyse des risques possibles associés au risque de pénétration dans IP externe et les modalités possibles de telles interférences;
  • localisation des trous et des lacunes dans le système de sécurité;
  • analyse du niveau approprié de sécurité des systèmes d'information aux normes en vigueur et les actes réglementaires et juridiques;
  • le développement et la livraison des recommandations concernant la suppression des problèmes existants, ainsi que l'amélioration des voies de recours existantes et l'introduction de nouveaux développements.

Outils méthodologiques et d'audit

Maintenant, quelques mots sur la façon dont le contrôle et les mesures et les moyens qu'elle implique.

Un audit de sécurité de l'information se compose de plusieurs étapes:

  • initier des procédures de vérification (définition claire des droits et responsabilités de l'auditeur, l'auditeur vérifie la préparation du plan et de sa coordination avec la direction, la question des limites de l'étude, l'imposition aux membres de l'engagement de l'organisation aux soins et à fournir en temps voulu des informations pertinentes);
  • la collecte des données initiales (structure de sécurité, la répartition des fonctions de sécurité, les niveaux de sécurité des méthodes d'analyse des performances du système pour obtenir et fournir des informations, la détermination des canaux de communication et d'interaction IP avec d'autres structures, une hiérarchie des utilisateurs de réseaux informatiques, les protocoles de détermination, etc.);
  • procéder à une inspection complète ou partielle;
  • l'analyse des données (analyse des risques de tout type et de la conformité);
  • d'émettre des recommandations pour résoudre les problèmes potentiels;
  • la génération de rapports.

La première étape est la plus simple, parce que sa décision est prise uniquement entre la direction de l'entreprise et l'auditeur. Les limites de l'analyse peuvent être examinées à l'assemblée générale des employés ou actionnaires. Tout cela et plus lié au domaine juridique.

La deuxième étape de la collecte de données de base, que ce soit une vérification interne de sécurité de l'information ou de certification externe indépendant est le plus gourmand en ressources. Cela est dû au fait que, à ce stade, vous devez non seulement examiner la documentation technique relative à l'ensemble du matériel et des logiciels, mais aussi à interviewer restreindre les employés de l'entreprise, et dans la plupart des cas, même à remplir des questionnaires ou des enquêtes spéciales.

En ce qui concerne la documentation technique, il est important d'obtenir des données sur la structure IC et les niveaux de priorité des droits d'accès à ses employés, afin d'identifier l'ensemble du système et des logiciels d'application (le système d'exploitation pour les applications d'entreprise, la gestion et la comptabilité), ainsi que la protection établie du logiciel et le type non-programme (logiciel antivirus, pare-feu, etc.). De plus, cela inclut la vérification complète des réseaux et fournisseurs de services de télécommunications (organisation du réseau, les protocoles utilisés pour la connexion, les types de canaux de communication, la transmission et les méthodes de réception des flux d'information, etc.). Comme il est clair, il faut beaucoup de temps.

Dans l'étape suivante, les méthodes d'audit de sécurité de l'information. Ils sont trois:

  • l'analyse des risques (technique la plus difficile, basée sur la détermination du commissaire à la pénétration de la violation IP et son intégrité en utilisant toutes les méthodes et les outils possibles);
  • évaluation de la conformité aux normes et la législation (la méthode la plus simple et la plus pratique basée sur une comparaison de l'état actuel des choses et les exigences des normes internationales et des documents nationaux dans le domaine de la sécurité de l'information);
  • le procédé combiné qui combine les deux premières.

Après avoir reçu les résultats de la vérification de leur analyse. Vérification des fonds de sécurité de l' information, qui sont utilisés pour l'analyse, peut être très variée. Tout dépend des spécificités de l'entreprise, le type d'information, le logiciel que vous utilisez, la protection et ainsi de suite. Cependant, comme on peut le voir sur la première méthode, l'auditeur ont principalement compter sur leur propre expérience.

Et cela signifie seulement qu'il doit être pleinement qualifié dans le domaine des technologies de l'information et la protection des données. Sur la base de cette analyse, l'auditeur et calcule les risques possibles.

Notez qu'il ne doit traiter non seulement dans le système d'exploitation ou le programme utilisé, par exemple, pour les affaires ou la comptabilité, mais aussi de comprendre clairement comment un attaquant peut pénétrer dans le système d'information aux fins de vol, les dommages et la destruction des données, la création de conditions pour violations dans les ordinateurs, la propagation des virus ou des logiciels malveillants.

L'évaluation des résultats de l'audit et des recommandations pour résoudre les problèmes

Sur la base de l'analyse de l'expert conclut sur l'état de la protection et donne des recommandations pour résoudre les problèmes existants ou potentiels, les mises à jour de sécurité, etc. Les recommandations ne doivent pas seulement être équitable, mais aussi clairement liée aux réalités des spécificités de l'entreprise. En d'autres termes, des conseils sur la mise à niveau de la configuration des ordinateurs ou des logiciels ne sont pas acceptés. Cela vaut également pour l'avis du licenciement du personnel « peu fiables », installer de nouveaux systèmes de suivi sans préciser leur destination, l'emplacement et la pertinence.

Sur la base de l'analyse, en règle générale, il y a plusieurs groupes à risque. Dans ce cas, d'établir un rapport de synthèse utilise deux indicateurs clés: (. Perte d'actifs, la réduction de la réputation, perte d'image et ainsi de suite) la probabilité d'une attaque et les dommages causés à la société en conséquence. Cependant, les performances des groupes ne sont pas les mêmes. Par exemple, l'indicateur de bas niveau pour la probabilité d'attaque est le meilleur. Pour les dommages – au contraire.

Alors seulement, compilé un rapport détaillant peint toutes les étapes, les méthodes et les moyens de la recherche. Il est d'accord avec la direction et signé par les deux parties – la société et l'auditeur. Si l' audit interne, est un rapport de la tête de l'unité structurelle respective, après quoi il a , à nouveau, signé par la tête.

Audit de sécurité de l'information: Exemple

Enfin, nous considérons l'exemple le plus simple d'une situation qui est déjà arrivé. Beaucoup, d'ailleurs, il peut sembler très familier.

Par exemple, aux États-Unis le personnel d'approvisionnement d'une entreprise, établie dans l'ordinateur de messagerie instantanée ICQ (le nom de l'employé et le nom de l'entreprise n'est pas nommé pour des raisons évidentes). Les négociations ont été menées avec précision au moyen de ce programme. Mais la « ICQ » est très vulnérable en termes de sécurité. employé auto au numéro d'enregistrement au moment ou n'a pas d'adresse e-mail, ou tout simplement ne voulait pas donner. Au lieu de cela, il a quelque chose comme le courrier électronique, et même domaine inexistant.

Que serait l'attaquant? Comme le montre un audit de sécurité de l'information, il serait enregistré exactement le même domaine et créé serait en elle, un autre terminal d'enregistrement, puis peut envoyer un message à la société Mirabilis qui possède un service ICQ, demandant la récupération de mot de passe en raison de sa perte (qui serait fait ). En tant que destinataire du serveur de messagerie n'a pas été, il a été inclus Redirect – rediriger vers un courrier intrus existant.

En conséquence, il obtient l'accès à la correspondance avec le numéro ICQ donné et informe le fournisseur de modifier l'adresse du destinataire des marchandises dans un pays. Ainsi, les marchandises envoyées vers une destination inconnue. Et il est l'exemple le plus inoffensif. Ainsi, la conduite désordonnée. Qu'en est-il des pirates plus graves qui sont capables de bien plus encore …

conclusion

Voici un bref et tout ce qui se rapporte à un audit de sécurité IP. Bien sûr, il est pas affecté par tous les aspects de celui-ci. La raison est juste que dans la formulation des problèmes et des méthodes de son comportement affecte beaucoup de facteurs, de sorte que l'approche dans chaque cas est strictement individuel. En outre, les méthodes et les moyens de vérification de sécurité de l'information peuvent être différents pour différents circuits intégrés. Cependant, je pense, les principes généraux de ces tests pour beaucoup deviennent apparents même au niveau primaire.