Ukaguzi wa usalama wa habari: malengo, mbinu na zana, mfano. Ukaguzi wa usalama wa habari wa benki

Leo, kila mtu anajua maneno karibu takatifu ambayo inamiliki habari, anamiliki dunia. Hii ndiyo sababu katika wakati wetu wa kuiba habari za siri ni kujaribu wote na sundry. Kwa hali hiyo, imechukua hatua mno na utekelezaji wa njia ya kinga dhidi ya mashambulizi iwezekanavyo. Hata hivyo, wakati mwingine unaweza haja ya kufanya ukaguzi wa usalama wa biashara ya habari. Ni nini na kwa nini ni yote sasa, na kujaribu kuelewa.

ni ukaguzi wa usalama wa habari katika ufafanuzi wa kijumla nini?

Nani hakutaathiri abstruse suala kisayansi, na kujaribu kuamua kwa wenyewe dhana ya msingi, kuelezea yao katika lugha rahisi zaidi (watu inaweza kuitwa ukaguzi wa "vinyago").

jina la matukio tata anaongea kwa yenyewe. Usalama wa maelezo ya ukaguzi ni huru ya ukaguzi au rika mapitio ya kuhakikisha usalama wa mifumo ya habari (NI) ya kampuni yoyote, taasisi au shirika kwa misingi ya vigezo na viashiria maalum ya maendeleo.

Kwa maneno rahisi, kwa mfano, kukagua benki hiyo la usalama la majipu chini, kutathmini kiwango cha ulinzi wa database ya wateja uliofanyika kwa shughuli ya benki, usalama wa fedha za elektroniki, utunzaji wa usiri benki, na kadhalika. D. Katika kesi ya kuingiliwa katika shughuli za taasisi watu bila ruhusa kutoka nje, kwa kutumia umeme na kompyuta vifaa.

Hakika, miongoni mwa wasomaji kuna mtu mmoja ambaye hujulikana nyumbani au simu ya mkononi na pendekezo la usindikaji mkopo au amana, benki na ambayo ina kitu cha kufanya. hiyo inatumika kwa manunuzi na inatoa kutoka kwa baadhi maduka. Walikotoka hadi chumba yako?

Ni rahisi. Kama mtu hapo awali alichukua mikopo au imewekeza katika akaunti ya amana, bila shaka, data yake imehifadhiwa kwa pamoja wateja. Wakati wewe piga kutoka benki nyingine au kuhifadhi inaweza kuwa hitimisho moja tu: taarifa kuhusu hilo alikuja kinyume cha sheria kwa upande wa tatu. Vipi? Kwa ujumla, kuna chaguzi mbili: ama ni kuibiwa, au kuhamishwa kwa wafanyakazi wa benki kwa upande wa tatu kwa uangalifu. Ili kwa ajili ya mambo kama hayo si kutokea, na unahitaji muda wa kufanya ukaguzi wa usalama wa maelezo ya benki, na hii inatumika si tu kwa kompyuta au "chuma" njia ya ulinzi, lakini wafanyakazi wote wa taasisi hiyo.

maelekezo kuu ya ukaguzi ya usalama wa habari

Kwa upande wa mawanda ya ukaguzi, kama sheria, ni mbalimbali:

• kuangalia kamili ya vitu kushiriki katika mchakato wa habari (kompyuta automatiska mfumo, njia ya mawasiliano, mapokezi, taarifa usambazaji na usindikaji, huduma, majengo ya mikutano ya siri, ufuatiliaji mifumo, nk);
• kuangalia kuegemea ya ulinzi wa habari za siri kwa kiasi fulani (uamuzi wa kuvuja iwezekanavyo na hatari za usalama mashimo njia inaruhusu upatikanaji kutoka nje kwa matumizi ya mbinu ya kiwango na yasiyo ya kiwango);
• kuangalia kabisa umeme vifaa na mitaa mifumo ya kompyuta kwa ajili ya yatokanayo na mionzi ya umeme na kuingiliwa, kuruhusu kwao kwa kuzima au kuleta katika mbaya;
• mradi sehemu, ambayo ni pamoja na kazi ya viumbe na matumizi ya dhana ya usalama katika utekelezaji wake kwa vitendo (ulinzi wa mifumo ya kompyuta, vifaa, vifaa vya mawasiliano, nk).

Linapokuja suala la ukaguzi?

Bila kutaja hali mbaya ambapo utetezi alikuwa tayari kuvunjwa, ukaguzi wa usalama wa maelezo katika shirika unaweza kutekelezwa, na katika baadhi ya kesi nyingine.

Kwa kawaida, hizi ni pamoja na upanuzi wa kampuni, muungano, upatikanaji, kununuliwa na makampuni mengine, mabadiliko ya kweli ya dhana ya biashara au miongozo, mabadiliko katika sheria za kimataifa au katika sheria ndani ya nchi, mabadiliko badala kubwa katika miundombinu ya habari.

aina ya ukaguzi

Leo, sana uainishaji wa aina hii ya ukaguzi, kwa mujibu wa wachambuzi wengi na wataalamu ni haifahamiki. Kwa hiyo, mgawanyiko katika makundi wakati mwingine inaweza kuwa holela kabisa. Hata hivyo, kwa ujumla, ukaguzi wa usalama wa maelezo inaweza kugawanywa katika nje na ndani.

ukaguzi wa nje uliofanywa na wataalamu wa kujitegemea ambao wana haki ya kufanya, ni kawaida ya wakati mmoja hundi, ambayo inaweza kuwa ulioanzishwa na usimamizi, wanahisa, vyombo vya sheria, nk Inaaminika kwamba ukaguzi wa nje wa usalama la inapendekezwa (lakini si required) kufanya mara kwa mara kwa kipindi cha kuweka muda. Lakini kwa baadhi ya mashirika na makampuni, kwa mujibu wa sheria, ni lazima (kwa mfano, taasisi za fedha na mashirika, makampuni ya pamoja hisa, na wengine.).

Ndani ya habari ya ukaguzi wa usalama ni mchakato mara kwa mara. Ni kutokana na maalum "Kanuni juu ya Ukaguzi wa Ndani." Ni kitu gani? Kwa kweli, hii vyeti shughuli kufanyika katika shirika, kwa maneno kupitishwa na usimamizi. ukaguzi habari usalama kwa maalum miundo ugawaji wa biashara.

Uainishaji Mbadala ya ukaguzi

Mbali na hilo mgawanyiko juu-ilivyoelezwa katika madarasa katika kesi ya jumla, tunaweza kutofautisha vipengele kadhaa kufanywa kwa uainishaji wa kimataifa:

• Expert kuangalia hali ya usalama wa habari na mifumo ya habari kwa misingi ya uzoefu binafsi ya wataalamu, kufanya yake;
• vyeti mifumo na hatua za usalama kwa kuambatana na viwango vya kimataifa (ISO 17799) na vyombo ya taifa kisheria regulating uwanja huu ya shughuli,
• uchambuzi wa mifumo ya usalama wa habari na matumizi ya njia ya kiufundi kwa lengo la kubaini udhaifu uwezo katika programu na vifaa tata.

Wakati mwingine inaweza kutumika na kile kinachoitwa ukaguzi wa kina, ambayo ni pamoja na kila aina ya hapo juu. Kwa njia, yeye huleta matokeo lengo zaidi.

malengo kwa hatua na malengo

uhakiki yoyote, iwe ya ndani au ya nje, huanza na kuweka malengo na madhumuni. Kwa kifupi, unahitaji kuamua nini, jinsi gani itakuwa kipimo. Hii kuamua utaratibu zaidi wa kufanya mchakato mzima.

Kazi, kulingana na muundo maalum ya biashara, shirika, taasisi na shughuli zake inaweza kabisa mengi. Hata hivyo, katikati ya kutolewa hii yote, umoja lengo la ukaguzi habari usalama:

• tathmini ya hali ya usalama wa habari na mifumo ya habari,
• uchambuzi wa hatari zinazohusiana na hatari ya kupenya ndani ya IP ya nje na mbinu uwezekano wa kuingiliwa kama hiyo;
• ujanibishaji wa mashimo na mapengo katika mfumo wa usalama;
• uchambuzi wa kiwango sahihi cha usalama wa mifumo ya taarifa na viwango ya sasa na vitendo kanuni na sheria;
• maendeleo na utoaji wa mapendekezo yanayohusiana kuondolewa kwa matatizo yaliyopo, na pia uboreshaji wa tiba zilizopo na kuanzishwa kwa maendeleo mapya.

Mbinu na ukaguzi zana

Sasa maneno machache kuhusu jinsi ya kuangalia na nini hatua na maana inahusisha.

ukaguzi habari usalama lina hatua kadhaa:

• kuanzisha utaratibu wa kuthibitisha (ufafanuzi wa wazi wa haki na majukumu ya mkaguzi, mkaguzi hundi maandalizi ya mpango na uratibu wake na usimamizi, suala la mipaka ya utafiti, kuanzishwa kwa wanachama wa kujitolea shirika huduma na utoaji kwa wakati wa taarifa muhimu);
• kukusanya data awali (usalama muundo, mgawanyo wa vipengele vya usalama, viwango usalama wa uchambuzi mfumo wa utendaji mbinu kwa ajili ya kupata na kutoa habari, uamuzi wa njia za mawasiliano na mwingiliano IP na miundo mingine, uongozi ya watumiaji wa mitandao ya kompyuta, uamuzi itifaki, nk);
• kufanya ukaguzi wa kina au sehemu,
• uchambuzi data (uchambuzi wa hatari ya aina yoyote na kufuata);
• kutoa mapendekezo ya kushughulikia matatizo ya uwezo;
• ripoti.

Hatua ya kwanza ni rahisi zaidi, kwa sababu uamuzi wake imeundwa tu kati ya uongozi wa kampuni na Mkaguzi. mipaka ya uchambuzi inaweza kuchukuliwa katika mkutano mkuu wa wafanyakazi au wanahisa. Na hii yote zaidi kuhusiana na uwanja wa kisheria.

hatua ya pili ya ukusanyaji wa takwimu za msingi, kama ni mkaguzi wa ndani wa usalama habari au nje kujitegemea vyeti ni zaidi ya rasilimali kubwa. Hii ni kutokana na ukweli kwamba katika hatua hii unahitaji si tu kuchunguza nyaraka za kiufundi kuhusiana na vifaa wote na programu, lakini pia kupunguza-kuhoji wafanyakazi wa kampuni hiyo, na katika hali nyingi hata kwa kujaza dodoso maalum au tafiti.

Kama kwa hati za kiufundi, ni muhimu ili kupata data juu ya muundo IC na ngazi kipaumbele cha haki za kufikia wafanyakazi wake, kwa kutambua mfumo mzima na maombi ya programu (mfumo wa uendeshaji kwa programu ya biashara, usimamizi wa zao na uhasibu), pamoja na ulinzi imara wa programu na yasiyo ya mpango aina (programu ya antivirus, ngome, nk). Aidha, hii ni pamoja na uhakiki kamili ya mitandao na watoa huduma ya mawasiliano ya simu (ya mtandao shirika, itifaki kutumika kwa ajili ya uhusiano, aina ya njia za mawasiliano, usambazaji na mbinu mapokezi ya taarifa mtiririko, na zaidi). Kama ilivyo wazi, inachukua muda mwingi.

Katika hatua ya pili, mbinu ya ukaguzi usalama wa habari. Wao ni tatu:

• uchambuzi hatari (mbinu mgumu sana, kwa kuzingatia uamuzi wa mkaguzi kupenya ya IP ukiukwaji na uadilifu wake kwa kutumia njia zote iwezekanavyo na zana);
• tathmini ya kufuata na viwango na sheria (rahisi na ya vitendo mbinu kulingana na kulinganisha hali ya mambo ilivyo na mahitaji ya viwango vya kimataifa na nyaraka za ndani katika uwanja wa usalama la);
• njia ya pamoja ambayo inaunganisha kwanza mbili.

Baada ya kupokea matokeo ya ukaguzi wa uchambuzi wao. Fedha ya Ukaguzi wa usalama wa habari, ambayo hutumiwa kwa ajili ya uchambuzi, inaweza kabisa mbalimbali. Yote inategemea specifics ya biashara, aina ya habari, programu ya kutumia, ulinzi na kadhalika. Hata hivyo, kama inaweza kuonekana kwenye njia ya kwanza, mkaguzi hasa kuwategemea uzoefu wao.

Na hiyo ina maana tu kwamba ni lazima awe ni stadi katika uwanja wa teknolojia ya habari na ulinzi wa data. Juu ya msingi wa uchambuzi huu, mkaguzi na mahesabu ya hatari iwezekanavyo.

Kumbuka kuwa ni lazima kukabiliana si tu katika mfumo wa uendeshaji au mpango kutumika, kwa mfano, kwa ajili ya biashara au uhasibu, lakini pia ufahamu wazi wa jinsi mshambulizi anaweza kupenya katika mfumo maelezo kwa madhumuni ya wizi, uharibifu na uharibifu wa data, kuundwa kwa masharti kwa ajili ya ukiukwaji katika kompyuta, kuenea kwa virusi au zisizo.

Tathmini ya matokeo ya ukaguzi na mapendekezo ya kushughulikia matatizo

Kulingana na uchambuzi wa mtaalam anahitimisha kuhusu hali ya ulinzi na inatoa mapendekezo ya kushughulikia matatizo zilizopo au uwezo, matoleo mapya ya usalama, nk mapendekezo lazima si tu kuwa haki, lakini pia ni wazi amefungwa kwa hali halisi ya specifics ya biashara. Kwa maneno mengine, vidokezo juu ya kuboresha Configuration ya kompyuta au programu haikubaliwi. Hii inatumika kwa usawa ushauri wa kuachishwa kazi kwa wafanyakazi "uhakika", kufunga mifumo ya kufuatilia mpya bila kubainisha marudio yao, mahali na kufaa.

Kulingana na uchambuzi, kama sheria, kuna makundi kadhaa ya hatari. Katika hali hii, kuandika ripoti ya muhtasari anatumia mbili viashiria muhimu: (. Kupoteza mali, kupunguza sifa, kupoteza sura na kadhalika) uwezekano wa mashambulizi na uharibifu unaosababishwa na kampuni kama matokeo. Hata hivyo, utendaji wa makundi si sawa. Kwa mfano, kiwango cha chini cha kiashiria uwezekano wa mashambulizi ni bora. Uharibifu - kinyume chake.

kisha tu compiled ripoti kwamba maelezo rangi hatua zote, njia na mbinu za utafiti. Alikubali na uongozi na kutiwa saini na pande mbili - kampuni na Mkaguzi. Kama mkaguzi wa ndani, ni ripoti mkuu wa kitengo cha miundo husika, baada ya yeye, tena, saini na kichwa.

Usalama wa maelezo ya ukaguzi: Mfano

Hatimaye, tunaona mfano rahisi ya hali ambayo tayari kilichotokea. Wengi, kwa njia, inaweza kuonekana familiar sana.

Kwa mfano, kampuni ya manunuzi wafanyakazi nchini Marekani, ilianzishwa mwaka ICQ papo mjumbe kompyuta (jina la mfanyakazi na jina la kampuni si jina lake kwa sababu za wazi). Mazungumzo zilifanyika kwa usahihi kupitia mpango huu. Lakini "ICQ" ni hatari kabisa katika suala la usalama. Self mwajiriwa katika namba za usajili kwa wakati au hakuwa na barua pepe, au tu hakutaka kuwapa. Badala yake, alisema kwa kitu kama barua pepe, na hata haupo kikoa.

ingekuwa mshambulizi nini? Kama inavyoonekana kwa ukaguzi wa usalama wa habari, itakuwa kusajiliwa hasa kikoa sawa na kuanzisha itakuwa ndani yake, mwingine terminal usajili, na kisha inaweza kutuma ujumbe kwa mirabilis kampuni hiyo inamiliki huduma ICQ, kuomba kurejesha nenosiri kutokana na upungufu wake (ambayo itafanyika ). Kama mpokeaji wa server mail hakuwa, ilikuwa ni pamoja na kuelekeza - kuelekeza zilizopo intruder pepe.

Matokeo yake, anapata huduma ya mawasiliano na kutokana na idadi ICQ na hutoa taarifa wasambazaji kubadilisha anwani ya mpokeaji wa bidhaa katika nchi fulani. Hivyo, bidhaa kupelekwa kusikojulikana. Na mfano wa madhara. Hivyo, kufanya wavivu. Na nini kuhusu walaghai mbaya zaidi ambao wanaweza mengi zaidi ...

hitimisho

Hapa ni mafupi na yote inahusiana na IP usalama ukaguzi. Bila shaka, ni si walioathirika na mambo yote. Sababu ni tu kwamba katika uundaji wa matatizo na njia za maadili yake huathiri mengi ya mambo, hivyo mbinu katika kila kesi ni madhubuti ya mtu binafsi. Aidha, mbinu na mbinu za usalama wa habari za ukaguzi inaweza kuwa tofauti kwa ICS tofauti. Hata hivyo, nadhani, kanuni za jumla ya vipimo vile kwa wengi kuwa wazi hata katika ngazi ya msingi.