信息安全审计：目标，方法和工具，例如。 银行的信息安全审计

今天，大家都知道，拥有该信息的近乎神圣的词，拥有世界。 这就是为什么在我们这个时代，以盗取机密信息正试图向所有人。 在这方面，采取了前所未有的措施及实施防止可能的攻击防护手段。 不过，有时你可能需要进行企业信息的安全性进行了审计。 它是什么和为什么它现在的所有，并尝试了解。

什么是信息安全的一般定义的审核？

谁不会影响深奥的科学术语，并尝试以确定自己的基本概念，描述他们在最简单的语言（它可以被称为审计人的“傻瓜”）。

复杂事件的名称不言自明的。 信息安全审计是一种独立核查或 同行审查 ，以确保专门开发的标准和指标的基础上，任何公司，机构或组织的信息系统（IS）的安全性。

简单地说，例如，审核银行的信息安全归结为，评估，电子货币的安全性，银行保密的保护，等等。D.产生干扰，从外部机构未经授权的人的活动的情况下，使用银行业务持有的客户数据库的保护水平电子和计算机设备。

当然，读者中还有谁与处理贷款或存款，与它无关，银行的提议称为家庭电话或手机至少有一人。 这同样适用于购买和一些商店提供。 从那里来你的房间？

这很简单。 如果一个人以前需要贷款或投资于存款账户，当然，它的数据存储在一个共同的 客户群。 当您从其他银行或店铺call只能得出一个结论：关于它的信息来自非法给第三方。 怎么样？ 在一般情况下，有两种选择：要么被偷了，或者转移到银行自觉第三方雇员。 为了让这样的事情并没有发生，你需要时间来进行银行的信息安全审计，这不仅适用于电脑或保护的“铁”的意思，但该机构的全体工作人员。

信息安全审计的主要方向

至于审计范围，作为一项规则，他们有几个：

• 涉及的信息的处理的对象的全面检查（计算机自动化系统，通信装置，接收信息的传输和处理，设施，处所机密会议，监控系统等）;
• 检查的机密信息有访问限制的保护的可靠性（确定可能的泄漏和潜在的安全漏洞的通道允许与使用的标准和非标准方法从外部访问它的）;
• 检查所有的电子硬件和本地计算机系统暴露于电磁辐射和干扰，使他们能够关闭或将年久失修;
• 计划的一部分，其中包括在其实际执行的创建和安全概念的应用作品（计算机系统，设施，通信设施等的保护）。

当谈到审计？

更何况在防守已经打破，一个组织的信息安全审计可以进行，而在其他一些情况下的紧急情况。

通常，这些包括该公司的其他公司的扩张，兼并，收购，接管，改变经营观念或准则，在国际法律或法规中的一国之内的变化，在信息基础设施，而严重的变化过程。

各类审计

如今，这种类型的审计的非常分类，根据许多分析师和专家是不成立的。 因此，划分在某些情况下，类可以很随意。 不过，在一般情况下，信息安全审计，可分为外部和内部。

由独立的专家谁必须做正确进行的外部审计，通常是一次性的检查，这可以由管理层，股东，执法机构等启动 据信，建议信息安全的外部审计（但不要求）的时间设定的时间定期执行。 但对于一些组织和企业，根据法律规定，它是强制性的（例如，金融机构和组织，股份制公司等）。

内部审计信息安全是一个持续不断的过程。 它是基于一种特殊的“内部审计条例”。 这是什么？ 事实上，这种认证活动的组织进行，管理层批准的条件。 由企业的特殊结构细分的信息安全审计。

审计的另一种分类

除了上述的划分一般情况下类，我们可以区分在国际分类由几部分组成：

• 专家检查信息安全和信息系统的专家的个人经验，它的传导的基础上的地位;
• 认证制度和安全措施符合国际标准（ISO 17799）和调节活性的这一领域的国家法律文书;
• 信息系统与使用的目的是在软件和硬件的复杂确定潜在的安全漏洞的技术手段的安全性分析。

有时候，它可以被应用，所谓的全面审计，其中包括所有上述类型。 顺便说一句，他给出了最客观的结果。

阶段性目标和目的

任何验证，无论是内部还是外部，始于确立目标和任务。 简单地说，你需要找出原因，方式和内容将受到考验。 这将决定执行的整个过程的进一步过程。

任务，根据不同的企业，组织，机构及其活动的具体结构可以是相当多的。 然而，所有之中本次发布，信息安全审计的统一目标：

• 信息安全和信息系统的状况进行评估;
• 与渗透到外部IP和这种干扰的可能模式的风险可能存在的风险分析;
• 在安全系统中的孔和间隙的定位;
• 信息系统的现行标准和监管行为和法律行为的适当的安全水平的分析;
• 发展和涉及现有的救济的去除存在的问题，以及改进和引进新的发展建议交付。

方法论和审计工具

现在关于检查和哪些步骤和手段如何它涉及了几句话。

信息安全审计包括几个阶段：

• 启动验证程序（的核数师的权利和责任明确的界定，审计检查规划的编制及其与管理协调，研究的边界问题，对组织承诺的成员实行照顾和相关信息的及时提供）;
• 收集初始数据（安全结构，安全特征的分布，用于获得并提供的通信信道并与其它结构，计算机网络的用户的层次结构，所述确定协议等IP交互的信息，确定系统性能的分析方法的安全级别）;
• 进行全面或部分检查;
• 数据分析（任何类型和遵守的风险的分析）;
• 发出建议，以解决潜在的问题;
• 报告生成。

第一阶段是最简单的，因为它决定了公司管理层和审计师之间仅取得。 分析的边界可以在员工或股东大会审议。 这和所有更相关的法律领域。

基线数据收集的第二阶段，无论是信息安全或外部独立认证的内部审计是资源最密集的。 这是因为，在这个阶段，你不仅需要审查与所有硬件和软件的技术文档，还能缩小，面试的公司的员工其实在大多数情况下，即使填充特殊问卷调查或调查。

至于技术文件，它获得的IC结构和数据的访问权限的优先级，以它的员工，以确定全系统和应用软件（操作系统为业务应用，管理，会计），以及软件的建立保护是非常重要的和非节目类型（防病毒软件，防火墙等）。 此外，这包括网络和电信服务提供者的充分验证（网络组织，用于连接的协议，该类型的通信信道，发送和接收方法的信息流，和更多）。 由于是明确的，它需要大量的时间。

在下一阶段，信息安全审计的方法。 他们有三个：

• 风险分析（最困难的技术的基础上，审计师的决心知识产权侵权的渗透和利用一切可能的方法和工具的完整性）;
• 符合标准和法规（基于事务的当前状态的比较和国际标准，在信息安全领域的国内文件的要求最简单，最实用的方法）的评估;
• 将合并的方法，结合了前两个。

接收他们的分析的验证结果之后。 资金审核 信息的安全性，的 被用于该分析，可以相当变化。 这一切都依赖于企业的信息类型，您使用的软件，保护等。但是，这些可以在第一个方法可以看出，审计主要还得靠自己的经验的具体细节。

而这仅仅意味着它必须是在信息技术和数据保护领域完全合格。 在这个分析中，审计人员的基础上，计算可能的风险。

需要注意的是，应该在操作系统或使用，例如该方案不仅处理，商务，会计，还要清楚地了解了攻击者如何渗透到信息系统的盗窃，损坏和数据的破坏，创造前提条件对违法行为的目的在计算机的病毒或恶意软件的传播。

审计结果和建议，以解决问题的评价

基于分析的专家得出结论关于保护状态，并给出建议，以解决现有的或潜在的问题，安全升级，等等。 这些建议不仅要公平，但也清楚地绑在企业具体的现实。 换句话说，在升级计算机或软件的配置技巧是不能接受的。 这同样适用于“不可靠”的人员，安装新的跟踪系统解雇的意见不指定目的地，地点和适当性。

根据分析结果，作为一项规则，有几个高危人群。 在这种情况下，编制一份总结报告使用了两个关键指标：（资产流失，降低信誉，形象的损失等）攻击的可能性，并给公司造成的损害结果。 然而，集团的表现也不尽相同。 例如，对于攻击的概率低级别的指标是最好的。 损害 - 相反。

只有这样，编译，详细画所有阶段，方法和研究手段的报告。 他同意领导和双方签署的 - 公司和审计师。 如果审计内部，是报告中的各结构单元，之后，他再次由负责人签署的头。

信息安全审计：例

最后，我们考虑的是已经发生的情况下最简单的例子。 许多人，顺便说一下，它可能看起来很熟悉。

例如，一家公司的采购人员在美国，成立于ICQ即时通讯计算机（员工和公司名称的名称未命名的原因很明显）。 谈判是由这个程序来精确进行。 但“ICQ”是在安全性方面相当脆弱。 在登记号码自员工在时间或没有电子邮件地址，或只是不想给它。 相反，他指出，像电子邮件，甚至是不存在的域名。

会是什么攻击？ 如图所示的信息安全审计，将它准确地注册了相同的域，并创建将是它的另一注册终端，然后可以将消息发送到了Mirabilis公司，拥有ICQ服务，请求密码恢复，由于其亏损（将完成）。 由于邮件服务器的接收者不是，它被列入重定向 - 重定向到一个现有的入侵者邮件。

其结果是，他得到与给定的ICQ号码访问的对应，并通知改变货物的收件人的地址在某个国家的供应商。 因此，货物发送到一个未知的目的地。 它是最无害的例子。 所以， 行为不检。 而关于更严重的黑客谁能够更多的...

结论

这里，涉及到IP安全审计的简要和所有。 当然，它不会受它的所有方面。 其原因就是，在问题和其行为的方法的制定影响的因素有很多，所以在每种情况下的做法是严格个人。 此外，信息安全审计的方法和手段可以为不同的IC不同。 不过，我认为，这种测试的许多的一般原则，即使在小学水平变得明显。