Tietoturvatarkastus

Tietoturva-auditointi  on systemaattinen prosessi, jossa saadaan objektiivisia laadullisia ja kvantitatiivisia arvioita automatisoidun järjestelmän tietoturvan nykytilasta tiettyjen kriteerien ja turvallisuusindikaattoreiden mukaisesti.

Tietoturva [1]  on tietoresurssien säilymisen tila sekä yksilön ja yhteiskunnan laillisten oikeuksien suojaaminen tietosfäärissä .

Tarkastuksen avulla voit arvioida tietojärjestelmän toiminnan tämänhetkistä turvallisuutta , arvioida ja ennakoida riskejä, hallita niiden vaikutusta yrityksen liiketoimintaprosesseihin , lähestyä oikein ja järkevästi sen tietovarojen turvallisuuden varmistamista, strategista kehitystä. suunnitelmat, markkinointiohjelmat, talous- ja kirjanpitoselvitykset, yritystietokantojen sisältö. Loppujen lopuksi hyvin tehty tietojärjestelmän turvatarkastus maksimoi yrityksen turvajärjestelmän rakentamiseen ja ylläpitoon sijoitetun pääoman tuoton.

Päätoiminnot tietoturva-auditoinnin alalla

Tietoturvaauditoinnin pääsuuntaukset on kuvattu seuraavasti: todistus; Tietoturvan valvonta; suojatun mallin teknisten välineiden ja esineiden suunnittelun erityistutkimukset [2] .

1. Informatisointiobjektien sertifiointi tietoturvavaatimusten mukaisesti:
   • automaattisten järjestelmien, viestintävälineiden, tietojen käsittelyn ja siirron sertifiointi ;
   • luottamuksellisten neuvottelujen käymiseen tarkoitettujen tilojen sertifiointi;
   • osoitettuihin tiloihin asennettujen teknisten välineiden sertifiointi.
2. Rajoitettujen tietojen suojaushallinta:
   • tietovuodon teknisten kanavien ja luvattoman pääsyn menetelmien tunnistaminen ;
   • käytettävien tietosuojatyökalujen tehokkuuden seuranta.
3. Erikoistutkimukset teknisistä keinoista harhaanjohtavan sähkömagneettisen säteilyn ja poimimien (PEMIN) esiintymiseksi:
   • henkilökohtaiset tietokoneet, viestintä- ja tietojenkäsittelyvälineet;
   • paikalliset tietokonejärjestelmät;
   • tutkimustulosten rekisteröinti FSB:n ja FSTEC:n vaatimusten mukaisesti.
4. Objektien suunnittelu turvallisessa suunnittelussa:
   • tietoturvakäsitteen kehittäminen;
   • automatisoitujen järjestelmien, viestintävälineiden suunnittelu, tietojen käsittely ja siirto suojatussa suunnittelussa;
   • luottamuksellisten neuvottelujen käymiseen tarkoitettujen tilojen suunnittelu.

Tarkastuksen tyypit ja tarkoitukset

Tee ero ulkoisen ja sisäisen tarkastuksen välillä.

Ulkoinen tarkastus on pääsääntöisesti kertaluonteinen tapahtuma, joka toteutetaan organisaation johdon tai osakkeenomistajien aloitteesta. Ulkoinen tarkastus on suositeltavaa (ja vaaditaan useilta rahoituslaitoksilta ja osakeyhtiöiltä) säännöllisesti.

Sisäinen tarkastus on jatkuvaa toimintaa, joka toteutetaan asiakirjan, jota yleensä kutsutaan nimellä ”Sisäisen tarkastuksen määräykset”, pohjalta ja suunnitelman mukaisesti, jonka valmistelun suorittaa sisäisen tarkastuksen yksikkö ja jonka hyväksyy sisäisen tarkastuksen yksikkö. organisaation hallinta. Tietojärjestelmien turvatarkastus on yksi IT-auditoinnin komponenteista.

Tietoturvatarkastuksen tavoitteet ovat: — Objektiivisen näytön hankkiminen, IP-resursseihin kohdistuvien turvallisuusuhkien toteuttamisen mahdollisuuteen liittyvien riskien analysointi; — tietojärjestelmien tietoturvan nykyisen tason arviointi; — IP-suojajärjestelmän pullonkaulojen paikallistaminen; - IS:n yhteensopivuuden arviointi tietoturva-alan olemassa olevien standardien kanssa; — suositusten laatiminen uusien tietojärjestelmien turvamekanismien käyttöön ottamiseksi ja olemassa olevien tietojärjestelmien tehokkuuden parantamiseksi.

Tarkastajalle toimitettavien SIS-tapahtumien raporttien tulee sisältää dokumentaatio ns. "heikot kohdat" NIB.

Sisäisen tarkastajan lisätehtäviin voi kuulua ulkoisten tarkastajien avustamisen lisäksi myös: - turvallisuuspolitiikan ja muiden organisatoristen ja hallinnollisten asiakirjojen kehittäminen tiedon suojaamiseksi ja osallistuminen niiden toteuttamiseen organisaation työhön; - Tietosuojan varmistamiseen liittyvien tehtävien asettaminen IT -henkilöstölle; — osallistuminen IS-käyttäjien ja huoltohenkilöstön koulutukseen tietoturvakysymyksistä; — osallistuminen tietoturvaloukkauksiin liittyvien tapahtumien analysointiin; - muut tehtävät.

Tietoturvatarkastuksen tärkeimmät vaiheet

IP-tietoturvaauditointityö sisältää useita peräkkäisiä vaiheita, jotka yleensä vastaavat automatisoidun järjestelmän kattavan IT -auditoinnin vaiheita, jotka sisältävät:

• tarkastusmenettelyn aloittaminen;
• tarkastustietojen kerääminen;
• tarkastustietojen analysointi ;
• suositusten antaminen;
• tilintarkastuskertomuksen laatiminen.

Tarkastusmenettelyn aloitusvaiheessa tulee ratkaista seuraavat organisatoriset asiat:

1. tilintarkastajan oikeudet ja velvollisuudet tulee määritellä selkeästi ja dokumentoida hänen toimenkuvissaan sekä sisäisen (ulkoisen) tarkastuksen asetuksessa;
2. tilintarkastajan tulee laatia tarkastussuunnitelma ja sopia siitä johdon kanssa;
3. Sisäistä tarkastusta koskevassa määräyksessä tulee erityisesti säätää, että yhtiön henkilöstö on velvollinen avustamaan tilintarkastajaa ja antamaan kaikki tarkastuksen suorittamiseen tarvittavat tiedot.

Tarkastusmenettelyn aloitusvaiheessa on määritettävä tutkimuksen rajat. Tarkastuksen suunnitelmasta ja rajoista keskustellaan työkokouksessa, johon osallistuvat tilintarkastajat, yhtiön johto ja rakennetoimialojen johtajat.

Tarkastustietojen keräämisvaihe on monimutkaisin ja pisin. Tämä johtuu pääosin tietojärjestelmän tarvittavan dokumentaation puutteesta ja tiiviin vuorovaikutuksen tarpeesta tarkastajan ja monien organisaation virkamiesten välillä.

Tarkastaja voi tehdä päteviä johtopäätöksiä tietoturvallisen yrityksen tilanteesta vain, jos kaikki analyysiin tarvittavat lähtötiedot ovat saatavilla. Auditointikyselyn ensimmäinen kohta alkaa tiedon saamisesta IS-käyttäjien ja palveluyksiköiden organisaatiorakenteesta. IS:n tarkoitus ja toimintaperiaatteet määräävät pitkälti järjestelmän olemassa olevat riskit ja turvallisuusvaatimukset. Lisäksi tilintarkastaja tarvitsee tarkempaa tietoa IP:n rakenteesta. Näin on mahdollista ymmärtää, miten turvamekanismien jakelu tapahtuu IS:n rakenteellisten elementtien ja toimintatasojen mukaan.

Tilintarkastajien käyttämät tiedon analysointimenetelmät määräytyvät valittujen tarkastusmenetelmien mukaan, jotka voivat vaihdella merkittävästi.

Ensimmäinen lähestymistapa , monimutkaisin, perustuu riskianalyysiin. Tarkastaja määrittelee riskianalyysimenetelmien perusteella tutkittavalle IS:lle yksilöllisen turvallisuusvaatimusjoukon, joka ottaa parhaiten huomioon tämän IS:n ominaisuudet, sen toimintaympäristön ja ympäristössä esiintyvät turvallisuusuhat.

Toinen lähestymistapa , käytännöllisin, perustuu tietoturvastandardien käyttöön. Standardit määrittelevät turvallisuuden perusvaatimukset laajalle IS-luokalle, joka muodostuu maailmanlaajuisen käytännön yleistymisen seurauksena. Standardit voivat määrittää erilaisia ​​suojausvaatimuksia riippuen vaadittavasta IP-suojaustasosta, sen omistajuudesta (kaupallinen organisaatio tai valtion virasto) ja tarkoituksesta (rahoitus, teollisuus, viestintä jne.). Tarkastajan on tässä tapauksessa määritettävä oikein standardin vaatimukset, joiden noudattaminen on varmistettava.

Kolmas lähestymistapa , tehokkain, sisältää kahden ensimmäisen yhdistelmän. IS:n perusturvallisuusvaatimukset on määritelty standardissa. Riskianalyysin perusteella muodostuu lisävaatimuksia, jotka ottavat mahdollisimman suuressa määrin huomioon tämän IS:n toiminnan erityispiirteet.

Tilintarkastajan IP-tilan analyysin tulosten perusteella antamat suositukset määräytyvät käytetyn lähestymistavan, tarkasteltavan IP:n ominaisuuksien, tietoturvan tilan ja tarkastuksessa käytetyn yksityiskohtaisuuden mukaan. Joka tapauksessa tarkastajan suositusten tulee olla täsmällisiä ja soveltuvia tähän tietojärjestelmään, taloudellisesti perusteltuja, perusteltuja (analyysin tulosten tukemia) ja tärkeysjärjestyksen mukaan lajiteltuja. Samalla organisaatiotason suojan varmistavat toimenpiteet menevät lähes aina tiettyihin ohjelmisto- ja laitteistosuojausmenetelmiin nähden. Samalla on naiivia odottaa tarkastajalta tarkastuksen tuloksena tietoturvaosajärjestelmän teknisen projektin laatimista tai yksityiskohtaisia ​​suosituksia tiettyjen ohjelmistojen ja laitteistojen tiedonsuojaustyökalujen käyttöönotosta. Tämä edellyttää tarkempaa tutkimusta suojelun järjestämiseen liittyvistä erityiskysymyksistä, vaikka sisäiset tarkastajat voivat osallistua aktiivisesti näihin töihin.

Tarkastuskertomus on tarkastuksen tärkein tulos. Sen laatu luonnehtii tilintarkastajan työn laatua. Sen tulee sisältää ainakin kuvaus tarkastuksen tavoitteista, kuvaus tutkittavasta tietojärjestelmästä, maininta tarkastuksen rajoista ja käytetyistä menetelmistä, tarkastustietojen analyysin tulokset, näistä tuloksista yhteenveto päätelmät ja joka sisältää arvion AU:n turvallisuustasosta tai sen noudattamisesta standardien vaatimusten kanssa, ja tietysti tarkastajan suosituksia olemassa olevien puutteiden poistamiseksi ja suojajärjestelmän parantamiseksi.

Muistiinpanot

1. ↑ Turvallisuus: teoria, paradigma, käsite, kulttuuri. Sanakirjaviittaus  (pääsemätön linkki)  (pääsemätön linkki 14-06-2016 [2329 päivää]) / Author-comp. Professori V. F. Pilipenko. 2. painos, lisä. ja työstetty uudelleen. — M.: PER SE-Press, 2005.
2. ↑ Yarochkin V.I. Tietoturva: oppikirja opiskelijoille - M .: Akateeminen projekti; Gaudeamus, 2. painos, - 2004. - 544 s.

Kirjallisuus

• Baarimikko Scott . Tietoturvasääntöjen kehittäminen. M.: Williams, 2002. - 208 s. — ISBN 5-8459-0323-8 , ISBN 1-57870-264-X .
• Semenenko V. A. Tietoturva: Oppikirja. — M.: MGIU, 2004—215 s. — ISBN 5-8459-0323-8 , ISBN 1-57870-264-X .

Linkit

• Venäjän federaation liittovaltion laki, annettu 27. heinäkuuta 2006, N 149-FZ tiedoista, tietoteknologioista ja tietosuojasta
• Venäjän keskuspankin standardi: "Venäjän federaation pankkijärjestelmän organisaatioiden tietoturvan varmistaminen. Tietoturvatarkastus STO BR IBBS-1.1-2007"