情報セキュリティ監査：目的、手法やツール、例。 銀行の情報セキュリティ監査

今日は、誰もが世界を所有している、情報を所有しているほとんどの神聖なフレーズを知っています。 盗むために私たちの時間に理由がある機密情報をすべて雑貨しようとしています。 この点で、前例のないステップと攻撃の可能性に対する保護の手段の実施を取ら。 しかし、時にはあなたは、企業の情報セキュリティの監査を実施する必要があるかもしれません。 それは何であり、なぜ今それがすべてである、と理解してみてください。

一般的な定義で情報セキュリティの監査とは何ですか？

誰が難解な科学用語に影響を与え、そして自分自身のための基本的な概念を決定しようとすると、（これは「ダミー」の監査人と呼ばれることができる）、最も簡単な言語でそれらを説明しません。

複雑なイベントの名前は、自身のために語っています。 情報セキュリティ監査は、独立した検証またはである ピアレビュー 特別に開発された基準と指標に基づいてどのような企業、団体や組織の情報システム（IS）のセキュリティを確保します。

簡単に言えば、例えば、外部からの機関の不正者の活動への干渉の場合には、電子マネーの安全性、銀行の秘密の保全など。D.は、使用して銀行業務が保有する顧客データベースの保護のレベルを評価するために、つまるところ、銀行の情報セキュリティ監査電子およびコンピュータ施設。

確かに、読者の間で融資や預金、それは何の関係も持たないで、銀行の処理の提案を自宅や携帯電話と呼ばれる、少なくとも1人があります。 同じことが、購入に適用され、いくつかの店から提供しています。 そこには、あなたの部屋を思いつきましたか？

それは簡単です。 人は、以前に融資をしたか、預金口座に投資した場合は、もちろん、そのデータが共通に格納された 顧客基盤。 それについての情報が第三者に不法に来た：あなたは別の銀行や店から呼び出すときに一つだけの結論することができます。 どうやって？ 一般的には、2つのオプションがあります。どちらかそれが盗まれた、または意識的に第三者への銀行の従業員に移しました。 ためにはそのようなことは起こらなかった、とあなたは、銀行の情報セキュリティの監査を実施するための時間が必要で、これだけでなく、コンピュータや保護の「鉄」の手段が、施設のスタッフ全員に適用されるため。

情報セキュリティ監査の主な方向性

監査の範囲については、原則として、彼らはいくつかあります。

• 完全な情報の処理に関与するオブジェクトの検査（コンピュータ自動化システム、通信手段、受信、情報伝送及び処理、設備、秘匿会議用施設、監視システム、等）。
• 制限されたアクセス（標準および非標準的な方法を用いて、外部からのアクセスを許可することが可能漏れ及び潜在的なセキュリティホールチャネルの決意）と機密情報の保護の信頼性をチェックします。
• それらをオフにするか、荒廃に持参することができ、電磁放射及び干渉露光用のすべての電子ハードウェアおよびローカルコンピュータシステムの確認。
• その実用化（コンピュータシステム、施設、通信施設などの保護）におけるセキュリティの概念の作成と適用上の作業が含まれ、プロジェクトの一部で、。

それは、監査に来るとき？

防衛はすでに壊れていた、組織内の情報セキュリティの監査は、および他のいくつかの例で実施することができる危険な状況を言うまでもありません。

通常、これらは、会社の拡大、合併、買収、他企業の買収、事業コンセプトやガイドラインのコースを変更する、国内で国際法や法律の変更、情報インフラではなく、重大な変化が含まれます。

監査の種類

今日では、多くのアナリストや専門家によると、監査のこのタイプの非常に分類は、確立されていません。 したがって、いくつかの場合にはクラスに分割は非常に任意であることができます。 それにもかかわらず、一般的に、情報セキュリティの監査は、外部と内部とに分けることができます。

行う権利を持って独立した専門家が実施した外部監査は、通常、管理、株主、法執行機関などによって開始されるワンタイム・チェックであり、 一定期間、定期的に実行するために、情報セキュリティの外部監査を推奨します（必須ではありません）されると考えられています。 しかし、いくつかの団体や企業のために、法律によると、それは必須である（例えば、金融機関や組織、合資会社、その他。）。

内部監査、情報セキュリティは、一定のプロセスです。 それは、特別な「内部監査に関する規則」に基づいています。 それは何ですか？ 実際には、この認証活動は、経営者によって承認された用語で、組織内で行いました。 企業の特殊な構造的細分化による情報セキュリティ監査。

監査の代替分類

一般的な場合にクラスに上記分割に加えて、我々は、国際分類で行わいくつかの構成要素を区別することができます。

• 専門家は、その導電性の個人的な経験に基づき、情報セキュリティと情報システムの状態をチェックする専門家。
• 認証制度と国際標準（ISO 17799）と活動のこの分野を規制する国家の法律文書の遵守のためのセキュリティ対策。
• ソフトウェアとハードウェアの複雑で潜在的な脆弱性を識別を目的とした技術的手段を用いた情報システムのセキュリティの分析。

時にはそれが適用され、上記のタイプのすべてを含むいわゆる包括的監査、することができます。 ちなみに、彼は最も客観的な結果を提供します。

段階的な目標と目的

任意の検証は、内部または外部のかどうか、目標や目的を設定することから始まります。 簡単に言えば、あなたはなぜ、どのように、何がテストされるかを決定する必要があります。 これは、全体のプロセスを実行するのさらなる手順を決定します。

企業、団体、機関及びその活動の具体的な構造に応じたタスクは、非常に多くのことができます。 しかし、すべてこのリリースに囲まれた、情報セキュリティ監査の統一目標：

• 情報セキュリティと情報システムの状態の評価。
• 外部IP及びそのような干渉の可能モダリティへの侵入のリスクに関連した可能性のあるリスクの分析。
• セキュリティシステムの穴や隙間の局在。
• 現在の基準や規制や法的行為への情報システムのセキュリティの適切なレベルの分析;
• 既存の問題の除去だけでなく、既存の救済の改善や新たな開発の導入を伴う勧告の開発と配信。

方法論および監査ツール

今、どのような手順と意味のチェックとは、それが必要とする方法についていくつかの単語。

情報セキュリティ監査は、いくつかの段階で構成されています。

• 検証手順の開始（監査人の権利と責任の明確な定義を、監査人が計画の作成と管理との連携を確認し、研究の境界の問題は、組織コミットメントのメンバーに賦課は気にして、関連する情報をタイムリーに提供するために）。
• 初期データを収集する（セキュリティ構造、セキュリティ機能の分布情報を取得し、提供するためのシステム性能分析方法のセキュリティレベルなどの他の構造、コンピュータ・ネットワークのユーザーの階層、決意プロトコルとの間の通信チャネルの決意とIPとの相互作用）。
• 総合的または部分的に検査を行います。
• データ解析（任意の型やコンプライアンスのリスクの分析）。
• 潜在的な問題に対処するための勧告を発行します。
• レポート生成。

その決定は、会社の管理と監査人との間でのみ行われるため、最初の段階では、最も簡単です。 解析の境界は、従業員や株主総会で検討することができます。 このすべてと、より法的な分野に関連します。

それは、情報セキュリティや外部の独立した認証の内部監査であるか否かを、ベースラインデータの収集の第二段階は、最も資源集約的です。 これは、この段階では、すべてのハードウェアとソフトウェアに関する技術文書を検討するだけでなく、狭面接する会社の従業員を必要とするという事実のために、ほとんどの場合にも、特別なアンケートや調査を埋めるとによるものです。

技術文書については、システム全体とアプリケーションソフトウェア（ビジネスアプリケーション、その管理と会計のためのオペレーティングシステム）だけでなく、ソフトウェアの確立保護を識別するために、ICの構造とその従業員へのアクセス権の優先順位に関するデータを得ることが重要です非プログラムの種類（ウイルス対策ソフトウェア、ファイアウォールなど）。 また、これは通信サービスのネットワークとプロバイダの完全な検証（ネットワーク組織、接続に使用されるプロトコル、通信チャネルのタイプは、情報の送受信方法が流れ、それ以上）を含みます。 明らかなように、それは多くの時間を要します。

次の段階で、情報セキュリティ監査の方法。 彼らは、3とおりです。

• リスク分析（すべての可能な方法とツールを使用してIP侵害の普及とその完全性への監査人の決意に基づいて、最も困難な技術、）;
• （情報セキュリティの分野での現状の比較に基づいて、最もシンプルで実用的な方法と国際基準と国内の文書の要求事項）規格や法令遵守の評価。
• 最初の二つを組み合わせた合成方法。

彼らの分析の検証結果を受け取った後。 ファンドの監査 情報セキュリティの 分析に使用されている、非常に変化させることができます。 それはすべての企業、情報の種類、使用するソフトウェア、保護、第一の方法で見ることができますように。しかし、監査人は主に自分自身の経験に依存する必要がありの仕様に依存します。

そして、それは、それが情報技術とデータ保護の分野では、完全修飾でなければならないことを意味しています。 この分析に基づき、監査役およびリスクの可能性を計算します。

それは、オペレーティングシステムまたは使用したプログラムでは、例えば、ビジネスや会計のためだけではなく、対処する必要があることに注意してください、だけでなく、攻撃者は、データの盗難、破損や破壊を目的として情報システムに侵入できるか明確に理解し、違反に対する前提条件の作成コンピューターで、ウイルスやマルウェアの蔓延。

監査結果や問題に対処するための推奨事項の評価

分析に基づいて、専門家は、保護状況についての結論および既存または潜在的な問題に対処するための推奨事項を示し、セキュリティのアップグレードなど 勧告は公平ではなく、明確に、エンタープライズ仕様の現実に縛られてはいけません。 つまり、コンピュータやソフトウェアの構成をアップグレードするためのヒントは受け付けておりません。 これは、同じように「信頼できない」職員の解雇のアドバイスに適用される、彼らの目的地、場所や妥当性を指定せずに新しいトラッキングシステムをインストールします。

分析に基づき、原則として、いくつかのリスクグループがあります。 この場合、サマリーレポートをコンパイルするためには、2つの主要な指標を使用しています：攻撃や損傷の確率は、結果として会社に生じた（ように資産の損失、評判の削減、画像の損失と。）。 しかし、グループのパフォーマンスは同じではありません。 例えば、攻撃の可能性のための低レベルのインジケータがベストです。 逆に - 損害について。

だけにして塗装すべての段階、方法及び研究の手段を詳細に報告書をまとめました。 会社と監査役 - 彼は、リーダーシップと双方が署名したと合意しました。 場合は、監査、内部、報告書は、彼が、再び、ヘッドによって署名された後、それぞれの構造単位のヘッドです。

情報セキュリティ監査：例

最後に、我々はすでに起こっている状況の最も単純な例を考えてみましょう。 多くは、方法によって、それは非常に身近な見えるかもしれません。

例えば、ICQのインスタントメッセンジャーのコンピュータに設立され、米国における同社の調達スタッフ、（従業員と会社名の名前が明白な理由のために命名されていません）。 交渉は、このプログラムによって正確に行われました。 しかし、「ICQ」は、セキュリティの面では非常に脆弱です。 一度登録番号のセルフ従業員または電子メールアドレスを持っていなかった、またはそれを与えたくありませんでした。 代わりに、彼は、電子メール、さらには存在しないドメインのようなものを指摘しました。

どのような攻撃のでしょうか？ 情報セキュリティの監査によって示されているように、それはまったく同じドメインを登録して作成されるだろう、それで別の登録端末となり、その後、その損失にパスワードの回復を要求し、ICQサービスを所有しているミラビリス会社にメッセージを送ることができる（つまりが行われることになります）。 既存の侵入者のメールにリダイレクトする - メールサーバの受信者がいなかったとして、それがリダイレクト含まれていました。

その結果、彼は与えられたICQ番号との対応へのアクセスを取得し、特定の国で商品の受取人のアドレスを変更するには、サプライヤーに通知します。 このように、商品は未知の宛先に送信されます。 そして、それはほとんど無害な例です。 だから、 無秩序行為。 そして、はるかにすることができ、より深刻なハッカーについての何...

結論

ここでは、IPセキュリティ監査に関連する簡単な、すべてがあります。 もちろん、それはそれのすべての側面に影響されません。 その理由は、その行為の問題と方法の策定に多くの要因が影響するため、それぞれの場合のアプローチは、厳密に個人であることだけです。 また、情報セキュリティ監査の方法および手段は、異なるICの異なるものとすることができます。 しかし、私は、多くのこのようなテストの一般原則も主レベルで明らかになると思います。