Ücretsiz yazılım kullanarak bilgi güvenliği denetimi yapıyoruz. Bilgi güvenliği denetimi: hedefler, yöntemler ve araçlar, örnek. Banka bilgi güvenliği denetimi

Günümüzde bilgi teknolojisi, çeşitli ticari şirketlerin iş süreçlerinin verimli bir şekilde yürütülmesini sağlamada kilit bir rol oynamaktadır. Aynı zamanda, şirketlerin faaliyetlerinde bilgi teknolojisinin yaygın olarak kullanılması, veri koruma ile ilgili sorunların alaka düzeyinin artmasına neden olmaktadır. Son birkaç yılda hem Rusya'da hem de yabancı ülkelerde otomatik sistemlere yönelik saldırıların sayısında artış yaşanmış ve önemli maddi ve manevi kayıplara yol açmıştır. Otomatik sistemlerin mevcut güvenlik seviyesinin nesnel bir değerlendirmesi için, bu makalede tartışılacak olan bir güvenlik denetimi kullanılır.

Şu anda uzmanlar tarafından kullanılan birkaç denetim tanımı vardır, ancak aşağıdakiler en yaygın olarak kullanılanlardır: bilgi güvenliği denetimi- belirli kriterlere ve güvenlik göstergelerine göre şirketin mevcut bilgi güvenliği durumunun nesnel niteliksel ve niceliksel değerlendirmelerini elde etme süreci.

Bilgi güvenliği denetimi türleri

Aşağıdaki ana bilgi güvenliği denetimi türleri ayırt edilebilir:

Araçsal güvenlik analizi otomatik sistem. Bu denetim türü, sistemin yazılım ve donanımındaki güvenlik açıklarını belirlemeyi ve ortadan kaldırmayı amaçlar.

Enstrümantal analiz, bilgi güvenliği uzmanları tarafından incelenen otomatik sisteme yönelik saldırıların gerçekleştirilmesini içerir. Bu durumda, saldırganların kullanabileceği herhangi bir yazılım ve donanım aracı kullanılabilir. Enstrümantal analizin temel amacı, yeni güvenlik açıklarını belirlemek için periyodik kontrollerdir. Ayrıca, bu tür denetim, tekrarlanan sızıntıları önlemek için kısıtlı bilgilerin sızdığı gerçeğini tespit ederken kullanılabilir.

Genel olarak, enstrümantal analiz iki bölümden oluşur:

1) uzaktan saldırılara karşı otomatik bir sistemin güvenliğinin araştırılması - müşterinin ağındaki mevcut ana bilgisayarlar taranır, korunan bilgilere veya idari kaynaklara yetkisiz erişim elde etmek için ağ saldırıları gerçekleştirilir.

2) şirket çalışanlarından veya ofise giren davetsiz misafirlerden kaynaklanan bilgi güvenliği tehditlerinin belirlenmesi - şirket çalışanları için kimlik doğrulama yöntemlerinin analizi, erişim haklarının paylaşılması için mekanizmalar gerçekleştirilir, yerel ağ üzerinden aktarım sırasında bilgilerin güvenliği belirlenir.

Enstrümantal analiz sırasında, kurumsal güvenlik politikasındaki önemli kusurlar tespit edilebilmesine rağmen, yazılım ürünlerinin güncel olmayan sürümleri ve bunların yanlış konfigürasyonları ile ilişkili güvenlik açıkları esas olarak belirlenir.

Otomatik sistemlerin değerlendirilmesi uluslararası standartların tavsiyelerine ve FSTEC yönergelerinin, GOST'lerin, endüstri standartlarının gerekliliklerine uygunluk için.

Bu tür denetim, resmi belgelerin gereksinimlerine uygunluk için bilgi güvenliği sisteminin bir çalışmasıdır, örneğin, Rusça - “Gizli bilgilerin teknik korunması için özel gereksinimler ve öneriler” (STR-K), “Bilgi teknolojisi güvenliği. Bilgi teknolojisinin güvenliğini değerlendirme kriterleri "(GOST R ISO / IEC 15408-2002) veya yabancı -" Bilgi teknolojisi. Bilgi Güvenliği Yönetimi "- ISO / IEC 17799, WebTrust ve diğerleri.

Standartlara uygunluk denetiminin bir özelliği, başka bir hizmet - belgelendirme ile bağlantısıdır. Denetimin başarılı bir şekilde tamamlanması durumunda şirket, bilgi güvenliği sistemine uygunluk belgesi alacaktır. Ve bu, özellikle yabancı ortaklarla çalışanlar olmak üzere, herhangi bir kamu kuruluşunun imajına ciddi bir artıdır. Unutulmamalıdır ki, devlet sırrı oluşturan bilgilerle çalışan devlet kuruluşlarında bilgi koruma sisteminin belgelendirilmesi zorunludur. Standartlara uygunluk denetiminin bir diğer özelliği de, yalnızca bu tür faaliyetleri yürütmek için gerekli lisanslara sahip olan veya uzmanlaşmış belgelendirme merkezleri olan kuruluşların belge verme hakkına sahip olmasıdır.

Bu tür bir denetime ilişkin bir rapor genellikle aşağıdaki bilgileri içerir: denetlenen otomatik sistemin seçilen standartlara uygunluk derecesi, alınan tutarsızlıkların ve yorumların sayısı ve kategorileri, onu getirecek bilgi güvenliği sisteminin oluşturulması veya değiştirilmesi için öneriler. incelenen standartlar doğrultusunda.

Sonuçlar, bilgi güvenliği sisteminin müşteri yönetiminin dahili gereksinimlerine uygunluk derecesi ile de desteklenebilir.

Uzman denetimi otomatik sistemin güvenliği. Bu tür bir denetimin gerçekleştirilme sürecinde, anket prosedürüne katılan uzmanların deneyimlerine dayanarak bilgi güvenliği sistemindeki eksiklikler tespit edilmelidir.

Bir uzman denetimi, müşterinin otomatik sisteminin koruma sisteminin ayrıntılı bir çalışmasından ve bilgi güvenliğini sağlamak için bazı ideal modelle karşılaştırmadan oluşur. Ayrıca, her özel durumda ideal model, müşterinin gereksinimlerine ve denetçi şirketin kendi deneyimine bağlı olarak değişebilir.

Uzman çalışmasının sonucu, koruma sisteminde bulunan güvenlik açıkları ve organizasyonel ve idari belgeler paketindeki eksiklikler hakkında bilgi ve bunların giderilmesine yönelik önerileri içeren bir raporun hazırlanması ve müşterilere sunulmasıdır. Ayrıca uzmanlar, bilgi güvenliği sistemlerinin ve diğer ek özel teknik araçların seçimi ve uygulanması konusunda tavsiyelerde bulunabilirler.

Yukarıdaki denetim türlerinin her biri, kuruluşta çözülmesi gereken görevlere bağlı olarak ayrı ayrı veya birlikte gerçekleştirilebilir. Denetim nesnesi, hem bir bütün olarak şirketin otomatik sistemi hem de kısıtlı bilgilerin işlenmesinin gerçekleştirildiği bireysel bölümleri olabilir.

Bilgi güvenliği denetim kapsamı

Genel olarak, bir güvenlik denetimi, uygulama biçiminden bağımsız olarak dört ana aşamadan oluşur:

1. Denetim düzenlemelerinin geliştirilmesi
2. Ham verilerin toplanması
3. Alınan verilerin analizi
4. Otomatikleştirilmiş bir sistemin koruma düzeyini artırmak için önerilerin geliştirilmesi

İlk aşamada müşteri ile birlikte, işin yapılması için kompozisyon ve prosedürü belirleyen bir düzenleme geliştirilir. Yönetmeliğin temel görevi, anketin gerçekleştirileceği sınırları belirlemektir. Yönetmelik, tarafların sorumluluklarını açıkça tanımladığı için denetim sonunda karşılıklı iddialardan kaçınan belgedir.

ikinci aşamada mutabık kalınan prosedüre uygun olarak, ilk bilgilerin toplanması gerçekleştirilir. Bilgi toplama yöntemleri, müşterinin çalışanlarıyla görüşmeyi, sağlanan organizasyonel, idari ve teknik belgeleri analiz etmeyi ve özel araçlar kullanarak içerir. Bu aşamada, aşağıdaki türlerdeki bilgiler toplanır:

• Bilgi güvenliği konularına ilişkin organizasyonel ve idari belgeler (şirketin bilgi güvenliği politikası, kılavuzlar, bilgi kaynaklarına sahip kullanıcıların çalışmaları için düzenlemeler)
• Ana bilgisayarların donanımı hakkında bilgi (sunucuların listesi, iş istasyonları, otomatik sistemin anahtarlama ekipmanı; sunucuların donanım yapılandırması hakkında bilgi, çevresel ekipman hakkında veriler)
• Genel sistem yazılımı hakkında bilgiler (incelenen sistemde kullanılan işletim sistemleri ve VTYS hakkında bilgiler)
• Uygulama yazılımı hakkında bilgi (genel ve özel amaçlı uygulama yazılımlarının listesi; uygulama yazılımı tarafından çözülen işlevsel görevlerin tanımı)
• Otomatik sistemde kurulu koruyucu ekipman hakkında bilgi (koruyucu ekipmanın üreticisi hakkında bilgi, koruyucu ekipmanın konfigürasyonu hakkında bilgi, koruyucu ekipmanın kurulum şeması)
• Otomatikleştirilmiş sistemin topolojisi hakkında bilgiler (yerel ağ topolojisi, otomatik sistemde kullanılan iletişim kanalları ve ağ protokollerinin türleri hakkında bilgiler, bilgi akış şeması)

Üçüncü aşama iş, müşterinin otomatik sisteminin mevcut güvenlik seviyesini değerlendirmek için toplanan bilgilerin analiz edilmesini içerir.

Analiz, şirketin maruz kalabileceği bilgi güvenliği risklerini tanımlar.

Aslında risk, mevcut güvenlik araçlarının bilgi teknolojisini kullanarak saldırılara ne kadar etkili bir şekilde direnebildiğinin bütünleşik bir değerlendirmesidir.

Denetim türüne bağlı olarak, güvenlik risklerini hesaplamak için iki ana yöntem grubu kullanılır. İlk yöntem grubu, belirli bir dizi bilgi güvenliği gereksinimine uygunluk derecesini değerlendirerek risk düzeyini belirlemenize olanak tanır.

Bu tür gereksinimlerin kaynakları şunlar olabilir:

• İşletmenin bilgi güvenliği konularına ilişkin düzenleyici yasal belgeleri;
• Mevcut Rus mevzuatının gereklilikleri, FSTEC (Devlet Teknik Komisyonu), STR-K, Rusya Federasyonu Federal Güvenlik Hizmetinin gereklilikleri, GOST'lerin vb. Yönergeleridir;
• Uluslararası standartların önerileri - ISO 17799, OCTAVE, CoBIT, vb.;
• Yazılım ve donanım şirketlerinden öneriler - Microsoft, Oracle, Cisco, vb.

Bu yöntem grubu, otomatik sistemlerin standartlara ve yönergelere uygunluğu değerlendirilirken kullanılır.

Bilgi güvenliği risklerini değerlendirmeye yönelik ikinci grup yöntem, güvenliğin araçsal analizinde kullanılır ve saldırı olasılığının yanı sıra hasar düzeylerinin belirlenmesine dayanır. Bu durumda risk değeri her bir saldırı için ayrı ayrı hesaplanır ve genel durumda bir saldırının gerçekleştirilme olasılığının bu saldırıdan kaynaklanabilecek hasar miktarı ile çarpımı olarak sunulur. Hasarın değeri, bilgi kaynağının sahibi tarafından belirlenir ve bir saldırı olasılığı, denetim prosedürünü yürüten bir grup uzman tarafından hesaplanır.

Birinci ve ikinci grupların yöntemleri, bilgi güvenliği riskinin büyüklüğünü belirlemek için nicel veya nitel ölçekler kullanabilir. İlk durumda, risk ve tüm parametreleri sayısal değerlerle ifade edilir. Yani örneğin nicel ölçekler kullanılırken, bir saldırının olasılığı belirli bir aralıkta bir sayı olarak ifade edilebilir ve bir saldırının verdiği zarar, bir organizasyonun maruz kalabileceği maddi kayıpların parasal eşdeğeri şeklinde ayarlanabilir. Başarılı bir saldırı durumunda.

Kalite ölçekleri kullanılırken sayısal değerler eşdeğer kavramsal düzeyleriyle değiştirilir. Bu durumda, her bir kavramsal seviye, nicel değerlendirme ölçeğinin belirli bir aralığına karşılık gelecektir.

Bir saldırı olasılığının yanı sıra olası hasar seviyesinin değerlerini hesaplarken, istatistiksel yöntemler, uzman değerlendirme yöntemleri veya karar verme teorisi unsurları kullanılabilir.

Analiz sonuçlarına göre dördüncü aşamada bilgi güvenliği tehditlerine karşı otomatikleştirilmiş sistemin güvenlik düzeyini iyileştirmek için öneriler geliştirilmektedir.

• bir saldırı olasılığını azaltmayı veya olası hasarı azaltmayı mümkün kılan ek organizasyonel ve teknik koruma araçlarının kullanılması nedeniyle riskin azaltılması. Örneğin, otomatikleştirilmiş sistemin İnternet'e bağlanma noktasında güvenlik duvarlarının kurulması, sistemin Web sunucuları, posta sunucuları vb. gibi genel bilgi kaynaklarına başarılı bir saldırı olasılığını önemli ölçüde azaltabilir;
• otomatikleştirilmiş sistemin mimarisini veya bilgi akış şemasını değiştirerek riskten kaçınmak, bu da bir veya başka bir saldırı gerçekleştirme olasılığını dışlamayı mümkün kılar. Bu nedenle, örneğin, otomatik sistemin gizli bilgilerin işlendiği bölümünün İnternet'ten fiziksel olarak ayrılması, gizli bilgilere yönelik saldırıları bu ağdan hariç tutmayı mümkün kılar;
• sigorta önlemlerinin alınması sonucunda riskin niteliğindeki değişiklikler. Riskin niteliğindeki böyle bir değişikliğe örnek olarak, otomatik bir sistemin ekipmanının yangına karşı sigortalanması veya bilgi kaynaklarının olası bir gizlilik, bütünlük veya kullanılabilirlik ihlaline karşı sigortalanması gösterilebilir;
• otomatik sistem için tehdit oluşturmayacak düzeye indirilmesi durumunda riskin kabulü.

Kural olarak, geliştirilen tavsiyeler, tanımlanan tüm riskleri tamamen ortadan kaldırmayı değil, yalnızca onları kabul edilebilir bir kalıntı düzeyine indirmeyi amaçlamaktadır. Otomatik bir sistemin koruma seviyesini artırmak için önlemler seçerken, temel bir sınırlama dikkate alınır - bunların uygulanmasının maliyeti, korunan bilgi kaynaklarının maliyetini geçmemelidir.

Denetim prosedürünün sonunda, sonuçları müşteriye sağlanan bir raporlama belgesi şeklinde resmileştirilir. Genel olarak, bu belge aşağıdaki ana bölümlerden oluşur:

• güvenlik denetiminin gerçekleştirildiği sınırların tanımı;
• müşterinin otomatik sisteminin yapısının tanımı;
• denetim sürecinde kullanılan yöntem ve araçlar;
• risk seviyeleri de dahil olmak üzere, tanımlanan güvenlik açıkları ve eksikliklerin tanımı;
• entegre bilgi güvenliği sisteminin iyileştirilmesine yönelik öneriler;
• Belirlenen riskleri en aza indirmeyi amaçlayan öncelikli önlemlerin uygulanması için bir plan önerileri.

Çözüm

Bilgi güvenliği denetimi, günümüzde bilgi güvenliği tehditlerine karşı mevcut kurumsal güvenlik düzeyinin bağımsız ve nesnel bir değerlendirmesini elde etmek için en etkili araçlardan biridir. Ek olarak, denetim sonuçları, bir kuruluşun bilgi güvenliği sisteminin geliştirilmesi için bir strateji formüle etmek için kullanılır. Güvenlik denetiminin tek seferlik bir prosedür olmadığı, düzenli olarak yapılması gerektiği unutulmamalıdır. Ancak bu durumda denetim gerçek faydalar sağlayacak ve şirketin bilgi güvenliği düzeyinin artmasına yardımcı olacaktır.

• 14.12.2017
  Ağda bir saldırgan bulmanın beş yolu

  Saldırıların nihayetinde bastırıldığını hepimiz biliyoruz, geriye kalan tek soru onları nasıl hızlı bir şekilde bulacağımız! İyi haber şu ki, saldırı ilk aşamalarında çok aktiftir.Saldırganı tespit etmenize yardımcı olacak bazı kilit noktaların neye benzediğini biliyorsanız, bir saldırgan belirlenebilir ve durdurulabilir.

· Denetim bilgilerinin toplanması;

· Denetim verilerinin analizi;

Denetim, denetçinin inisiyatifiyle değil, bu konuda ana paydaş olan şirket yönetiminin inisiyatifiyle gerçekleştirilir. Şirket yönetiminin desteği denetim için bir ön koşuldur.

Denetim prosedürünü başlatma aşamasında, anketin kapsamı tanımlanmalıdır. Şirketin bilgi alt sistemlerinden bazıları yeterince kritik değildir ve anket kapsamından çıkarılabilir. Diğer alt sistemler gizlilik nedeniyle denetlenemeyebilir.

Denetim bilgilerinin toplanması

· Fonksiyonel diyagramlar;

· Hangi giriş noktaları var?

· IS'nin yapısal şeması;

Denetim verilerinin analizi

En pratik olan ikinci yaklaşım, standartların kullanımına dayanır.

Standartlar, dünya uygulamalarının genelleştirilmesinin bir sonucu olarak oluşan geniş bir IP sınıfı için temel gereksinimleri tanımlar. Standartlar, sağlanması gereken IP güvenliği düzeyine, bağlantısına (ticari kuruluş veya devlet kurumu) ve amacına (finans, endüstri, iletişim vb.) bağlı olarak farklı gereksinimler tanımlayabilir. Bu durumda denetçinin, bu IS için uygunluğun sağlanması gereken standardın gerekliliklerini doğru bir şekilde belirlemesi gerekir. Bu uygunluğu değerlendirmek için bir metodolojiye de ihtiyaç vardır. Basitliği (denetim için standart gereksinimler grubu zaten standart tarafından belirlenir) ve güvenilirliği (standart bir standarttır ve hiç kimse gereksinimlerine meydan okumaya çalışmaz) nedeniyle, açıklanan yaklaşım uygulamada en yaygın olanıdır (özellikle dış denetim yapmak).

Minimum kaynak tüketimi ile IS'nin durumu hakkında makul sonuçlar çıkarmanıza olanak tanır.

En etkili olan üçüncü yaklaşım, ilk ikisini birleştirmeyi içerir. IP için temel gereksinimler, standart tarafından belirlenir. Bu IS'nin işleyişinin özelliklerini mümkün olan en üst düzeyde dikkate alan ek gereksinimler, risk analizi temelinde oluşturulur. Bu yaklaşım ilkinden çok daha basittir, çünkü gereksinimlerin çoğu zaten standart tarafından tanımlanmıştır ve aynı zamanda, ikinci yaklaşımın dezavantajına sahip değildir, yani standart gereksinimleri, denetlenen IP'nin özelliklerini dikkate almayabilir.

Benzer bilgiler:

Sitede arayın:

Mevcut

Bilgi teknolojisi denetimi

Üniversiteler için ders kitabı

Grekul V.I.

2015 G.

Dolaşım 500 kopyadır.

Eğitim sürümü

Format 60x90 / 16 (145 × 215 mm)

Yürütme: ciltsiz

ben SBN 978-5-9912-0528-3

BBK 32.973

UDC 004.05

Dipnot

BT'yi organize etmek ve desteklemek için şirketlerde kullanılan uygulamalar ve teknolojiler hakkında temel bilgiler sağlar, bilgi teknolojilerinin uygulanmasına ilişkin araştırma ve analiz prosedürlerini ve bunların kuruluşun faaliyetleri üzerindeki etkilerini gözden geçirir. Çeşitli BT denetimi türlerinin, ilgili amaç ve hedeflerinin, denetçilerin mesleki eğitimi için gereksinimlerin ve denetim yürütme yöntemlerinin bir açıklaması verilmektedir. Kitap, yazarın National Research University Higher School of Economics'te verdiği derslere dayanmaktadır.

"İşletme Bilişimi" yönünde eğitim gören üniversite öğrencileri için bilgi sistemleri yönetimi ve iş süreçleri mühendisliği alanında uzmanlar, sistem analistleri, iş analistleri ve bilgi teknolojisi danışmanları için faydalı olacaktır.

Tanıtım

1. Bir bilgi teknolojisi denetim projesinin organizasyonu
1.1. BT denetim projelerinin genel özellikleri
1.2. Proje planlaması
1.2.1. Proje tanımlama
1.2.2. Risk analizi
1.2.3. Müşteri iç yönetim prosedürleri
1.2.4. Denetim planı
1.3. Denetim projesinin yürütülmesi
1.3.1. Denetim planının açıklanması
1.3.2. Denetim için veri toplama prosedürleri
1.3.3. Yönetim prosedürlerinin varlığının kontrol edilmesi
1.3.4. Yönetim prosedürlerinin etkinliğinin kontrol edilmesi
1.3.5. Kendi Kendine Test Sonuçlarını Kullanma
1.3.6. Özel durumların analizi
1.3.7. Sonuçların oluşumu
1.3.8. Denetim projesi belgeleri
1.3.9. Nihai denetim raporunun hazırlanması
1.4. Bilginin kendi kendini kontrol etmesi için sorular

2. Bilgi teknolojisi yönetişimi organizasyonunun değerlendirilmesi
2.1. Denetim hedefleri
2.2. BT Liderlik Teknikleri ve Uygulamaları
2.2.1. BT liderliğinin organizasyonu
2.2.2. BT stratejisi
2.2.3. Politikalar, prosedürler ve standartlar
2.2.4. Risklerin yönetimi
2.2.5. Bilişim Teknolojisi Yönetimi
2.2.6. BT hizmetinin organizasyon yapısı
2.3. Bilginin kendi kendini kontrol etmesi için sorular

3. BT yaşam döngüsü yönetiminin değerlendirilmesi
3.1. Denetim hedefleri
3.2. BT Yaşam Döngüsü Yönetimi Teknikleri ve Uygulamaları
3.2.1. Program ve portföy yönetimi
3.2.2. Proje Yönetimi
3.2.3. BT projelerinin maliyet ve zamanlamasının tahmini
3.2.4. Yazılım ürünleri ve bilgi sistemlerinin yaşam döngüsü yönetimi
3.2.5. Altyapı yönetimi
3.2.6. İş süreci yaşam döngüsü yönetimi
3.3. Bilginin kendi kendini kontrol etmesi için sorular

4. BT hizmet yönetiminin değerlendirilmesi
4.1. Denetim hedefleri
4.2. BT Hizmet Yönetim Teknikleri ve Uygulamaları
4.2.1. Bilgi sistemlerinin operasyon organizasyonu
4.2.2. BT Hizmet Yönetimi
4.2.3. Altyapı işleyişinin organizasyonu
4.3. Bilginin kendi kendini kontrol etmesi için sorular

5. Bilgi kaynaklarının güvenliğinin değerlendirilmesi
5.1.

Denetim hedefleri
5.2. Bilgi kaynaklarının güvenliğini sağlamaya yönelik yöntem ve uygulamalar
5.2.1. Bilgi güvenliğinin temel ilkeleri
5.2.2. Bilgi güvenliğinin sağlanmasında roller ve sorumlulukların dağılımı
5.2.3. Varlıkların envanteri ve sınıflandırılması
5.2.4. Giriş kontrolu
5.2.5. Erişim noktaları ve oturum açma yöntemleri
5.2.6. Depolardaki bilgilerin korunması
5.2.7. Yama yönetimi
5.2.8. Varlıkların fiziki güvenliğinin sağlanması
5.3. Bilginin kendi kendini kontrol etmesi için sorular

6. İş sürekliliği ve felaket kurtarma değerlendirmesi
6.1. Denetim hedefleri
6.2. İş Sürekliliği ve Kurtarma Teknikleri ve Uygulamaları
6.2.1. Kaza türleri ve afetler
6.2.2. İş Sürekliliği Süreçleri
6.2.3. Süreçlerin ve sistemlerin kurtarılmasına ilişkin temel göstergeler
6.2.4. Bir kurtarma stratejisi geliştirmek
6.2.5. Sistem kurtarma teknolojileri
6.2.6. İş Sürekliliği ve İyileştirme Planlaması
6.3. Bilginin kendi kendini kontrol etmesi için sorular

7. Anahtar tablo: kendi kendine test sorularına verilen doğru cevapların sayısı

Edebiyat

BÖLÜM 2. İŞLETME BİLGİ SİSTEMLERİNİN DENETİMİNİN YAPILMASINA İLİŞKİN ÇALIŞMALAR AŞAMASI

Kurumsal bilgi sistemlerinin denetiminin ana aşamaları

IP denetimi çalışması, genellikle bir AU'nun kapsamlı BT denetiminin aşamalarına karşılık gelen ve aşağıdakileri içeren bir dizi ardışık aşamayı içerir:

· Denetim prosedürünün başlatılması;

· Denetim bilgilerinin toplanması;

· Denetim verilerinin analizi;

· Denetim raporunun hazırlanması;

· Denetim prosedürünün başlatılması.

Denetim, denetçinin inisiyatifiyle değil, bu konuda ana paydaş olan şirket yönetiminin inisiyatifiyle gerçekleştirilir.

Şirket yönetiminin desteği denetim için bir ön koşuldur.

Denetim, denetçinin kendisine ek olarak, şirketin yapısal bölümlerinin çoğunun temsilcilerinin dahil olduğu bir dizi faaliyettir. Bu süreçteki tüm katılımcıların eylemleri koordine edilmelidir. Bu nedenle, denetim prosedürünün başlatılması aşamasında aşağıdaki organizasyonel sorunlar çözülmelidir:

Ø denetçinin hak ve yükümlülükleri, görev tanımlarında ve iç (dış) denetim yönetmeliğinde açıkça tanımlanmalı ve belgelenmelidir;

Ø Denetçi, denetim planının yönetimini hazırlamalı ve kabul etmelidir;

Ø İç denetim yönetmeliği, özellikle şirket çalışanlarının denetçiye yardımcı olmak ve denetim için gerekli tüm bilgileri sağlamakla yükümlü olduğunu düzenlemelidir.

Denetim prosedürünün başlatılması

Denetim prosedürünü başlatma aşamasında, anketin kapsamı tanımlanmalıdır. Şirketin bilgi alt sistemlerinden bazıları yeterince kritik değildir ve anket kapsamından çıkarılabilir.

Diğer alt sistemler gizlilik nedeniyle denetlenemeyebilir.

Anketin kapsamı aşağıdaki terimlerle tanımlanmıştır:

· İncelenen fiziksel, yazılım ve bilgi kaynaklarının listesi;

· Anketin sınırları içinde kalan siteler (tesisler);

· Denetim sırasında dikkate alınan başlıca güvenlik tehdidi türleri;

Anket sırasında dikkate alınması gereken kurumsal (yasal, idari ve prosedürel), fiziksel, yazılım-teknik ve güvenliğin diğer yönleri ve bunların öncelikleri (ne ölçüde dikkate alınması gerektiği).

Denetim planı ve sınırları, denetçiler, şirket yönetimi ve yapısal bölüm başkanlarının katıldığı bir çalışma toplantısında tartışılır.

Denetim bilgilerinin toplanması

Denetim bilgilerini toplama aşaması en zor ve zaman alıcıdır. Bunun nedeni, bilgi sistemi için gerekli belgelerin bulunmaması ve denetçinin kuruluşun birçok yetkilisi ile yakın etkileşime girme ihtiyacıdır.

Şirketteki işlerin durumuna ilişkin yetkin sonuçlar, ancak analiz için gerekli tüm ilk veriler mevcutsa denetçi tarafından yapılabilir. IP'nin organizasyonu, işleyişi ve mevcut durumu hakkında bilgi edinme, denetçi tarafından şirketin sorumlu kişileriyle özel olarak düzenlenen görüşmeler sırasında, teknik ve organizasyonel ve idari belgeleri inceleyerek ve ayrıca özel yazılım kullanarak IP'yi araştırarak gerçekleştirilir. aletler. Denetçinin analiz için hangi bilgilere ihtiyaç duyduğu üzerinde duralım.

Denetim araştırmasının ilk noktası, IP kullanıcılarının ve hizmet birimlerinin organizasyon yapısı hakkında bilgi edinmekle başlar. Bu bağlamda denetçi aşağıdaki belgeleri talep eder:

· Kullanıcıların organizasyon yapısının şeması;

· Hizmet birimlerinin organizasyon yapısının şeması.

Bir sonraki aşamada denetçi, IP'nin amacı ve işleyişi hakkında bilgi ile ilgilenir. Denetçi, katılımcılara yaklaşık olarak aşağıdaki soruları sorar:

· Son kullanıcılara hangi hizmetler ve nasıl sağlanmaktadır?

· IS'de çalışan ana uygulama türleri nelerdir?

· Bu uygulamaları kullanan kullanıcı sayısı ve türleri?

Elbette, eğer mevcutsa, aşağıdaki belgelere de ihtiyacı olacaktır (genel olarak konuşursak, sık sık olmaz):

· Fonksiyonel diyagramlar;

· Otomatik fonksiyonların tanımı;

· Ana teknik çözümlerin tanımı;

· Bilgi sistemi için diğer tasarım ve çalışma belgeleri.

Ayrıca denetçinin IP yapısı hakkında daha ayrıntılı bilgiye ihtiyacı vardır. Bu, mekanizmaların dağılımının İD'nin yapısal unsurları ve işleyiş seviyeleri tarafından nasıl gerçekleştirildiğini anlamayı mümkün kılacaktır. Görüşme sırasında bu konuda tartışılan tipik sorular şunlardır:

· IS hangi bileşenlerden (alt sistemler) oluşur?

· Bireysel bileşenlerin işlevselliği?

· Sistem sınırları nerede?

· Hangi giriş noktaları var?

· IP diğer sistemlerle nasıl etkileşime girer?

· Diğer IS'lerle etkileşim kurmak için hangi iletişim kanalları kullanılıyor?

· Sistem bileşenleri arasındaki iletişim için hangi iletişim kanalları kullanılıyor?

· Etkileşim için hangi protokoller kullanılıyor?

· Sistemi oluşturmak için hangi yazılım ve donanım platformları kullanılıyor?

Bu aşamada denetçinin aşağıdaki belgeleri stoklaması gerekir:

· IS'nin yapısal şeması;

· Bilgi akışlarının şeması;

· Bilgi sisteminin teknik araçlarının kompleksinin yapısının tanımı;

· Yazılımın yapısının tanımı;

· Bilgi desteği yapısının tanımı;

· Bilgi sistemi bileşenlerinin yerleştirilmesi.

Fikri mülkiyet belgelerinin önemli bir bölümünün hazırlanması genellikle denetim sırasında gerçekleştirilir. Belgeler de dahil olmak üzere gerekli tüm IP verileri hazırlandığında, analizlerine devam edebilirsiniz.

Denetim verilerinin analizi

Denetçilerin verileri analiz etmek için kullandıkları yöntemler, önemli ölçüde değişebilen seçilen denetim yaklaşımına göre belirlenir.

En karmaşık olan ilk yaklaşım, risk analizine dayanmaktadır. Denetçi, risk analizi yöntemlerine dayanarak, denetlenen IS için, bu IS'nin özelliklerini, işleyişinin ortamını büyük ölçüde dikkate alan bireysel bir gereksinimler dizisi tanımlar. Bu yaklaşım en çok zaman alan ve bir denetçinin en yüksek niteliklerini gerektiren yaklaşımdır. Bu durumda denetim sonuçlarının kalitesi, kullanılan risk analizi ve yönetimi metodolojisinden ve bu tür IP'ye uygulanabilirliğinden güçlü bir şekilde etkilenir.

En pratik olan ikinci yaklaşım, standartların kullanımına dayanır. Standartlar, dünya uygulamalarının genelleştirilmesinin bir sonucu olarak oluşan geniş bir IP sınıfı için temel gereksinimleri tanımlar. Standartlar, sağlanması gereken IP güvenliği düzeyine, bağlantısına (ticari kuruluş veya devlet kurumu) ve amacına (finans, endüstri, iletişim vb.) bağlı olarak farklı gereksinimler tanımlayabilir.

Bu durumda denetçinin, bu IS için uygunluğun sağlanması gereken standardın gerekliliklerini doğru bir şekilde belirlemesi gerekir. Bu uygunluğu değerlendirmek için bir metodolojiye de ihtiyaç vardır. Basitliği (denetim için standart gereksinimler grubu zaten standart tarafından belirlenir) ve güvenilirliği (standart bir standarttır ve hiç kimse gereksinimlerine meydan okumaya çalışmaz) nedeniyle, açıklanan yaklaşım uygulamada en yaygın olanıdır (özellikle dış denetim yapmak). Minimum kaynak tüketimi ile IS'nin durumu hakkında makul sonuçlar çıkarmanıza olanak tanır.

En etkili olan üçüncü yaklaşım, ilk ikisini birleştirmeyi içerir. IP için temel gereksinimler, standart tarafından belirlenir. Bu IS'nin işleyişinin özelliklerini mümkün olan en üst düzeyde dikkate alan ek gereksinimler, risk analizi temelinde oluşturulur. Bu yaklaşım ilkinden çok daha basittir, çünkü

gereksinimlerin çoğu zaten standart tarafından tanımlanmıştır ve aynı zamanda, ikinci yaklaşımın dezavantajına sahip değildir, yani standart gereksinimleri, denetlenen IP'nin özelliklerini dikkate almayabilir.

İşletme bir bilgi güvenliği denetimi yapmalıdır. Ne için olduğunu ve nasıl kontrol edileceğini düşünelim. Kuruluşların hemen hemen tüm faaliyetleri, bilgilerin bilgisayarla işlenmesi ile ilgilidir.

Bilgisayarlı bir bilgi sisteminin kapsamlı kullanımını gerektiren operasyonların sayısı ve hacmi büyüyor.
Hata varsa sistem bloke olabilir.

Zincirleme reaksiyon tetiklenebilir, bunun sonucunda şirketlerin karlılığı azalır ve itibarları kaybolur. Bu nedenle bilgi güvenliği denetimine özellikle dikkat etmekte fayda var.

Ne bilmek istiyorsun

Bir BS denetiminin yürütülmesi, belirli hedeflerin takip edildiği ve bir dizi görevin gerçekleştirildiği önemli bir prosedürdür.

gerekli şartlar

Bilgi güvenliği, bir işletmenin mevcut bilgi güvenliği durumunun nesnel niteliksel ve niceliksel değerlendirmelerinin elde edildiği sistemik bir prosedür olarak adlandırılır.

Aynı zamanda belirli kriterlere ve güvenlik göstergelerine bağlı kalırlar. Bilgi güvenliği, bilgi endüstrisinde bilgi kaynaklarının güvenliği ve bireyin ve toplumun yasal haklarının korunması olarak anlaşılmaktadır.

Bu neden gerekli?

Bir denetim yardımıyla, bilgi sisteminin mevcut güvenliğini değerlendirebilir, riskleri değerlendirebilir ve tahmin edebilir, iş süreci üzerindeki etkilerini yönetebilirsiniz.

Yetkili bir denetimle, şirketin güvenlik sisteminin oluşturulmasına ve bakımına yatırılan maksimum fon getirisi mümkündür.

Denetim prosedürünün amacı:

• risk analizi;
• bilgi sisteminin mevcut güvenlik seviyelerinin değerlendirilmesi;
• savunma sistemindeki bir darboğazın lokalizasyonu;
• bilgi sistemi güvenlik mekanizmasının nasıl uygulanacağı ve etkinliğinin nasıl iyileştirileceği konusunda önerilerde bulunur.

Görev:

• veri koruması için bir güvenlik politikası geliştirmek;
• BT çalışanları için görevler belirleyin;
• Bilgi güvenliği ihlalleriyle ilgili olayları sıralayın.

Yasal düzenleme

Ana yasal hükümler:

1. Metodik belgeler.

Kurumsal bilgi güvenliği denetimi

Bilgi güvenliği denetiminin ana yönü:

Tasdik	otomatik sistemler, iletişim tesisleri, veri işleme ve iletimi sertifikalandırılmıştır; müzakerelerde kullanılan tesisler sertifikalandırılmıştır; özel bir odaya kurulan teknik araçlar sertifikalıdır
Korunan verilerin kontrolü	veri sızıntısının teknik kanalları ortaya çıkar; kullanılan veri koruma araçlarının etkinliği izlenir
Teknik araçların özel çalışması	bir bilgisayar, bir iletişim ve veri işleme aracı araştırılıyor; yerel bilgi işlem sistemi; çalışmanın sonuçları Devlet Teknik Komisyonu standartlarına uygun olarak hazırlanmıştır.
Nesneler korumalı sürümlerde tasarlanmıştır	bilgi güvenliği konsepti geliştiriliyor; otomatik sistemler tasarlanır, güvenli tasarımlarda veri işleme; Müzakerelerin uygulanması için gerekli olan tesisler tasarlanır

Uygulanan teknikler

Tekniği kullanmak mümkündür:

Bilgi sisteminin bu bileşeninin koruma derecesinin değerlendirildiği uzman denetimi	Birkaç aşamadan oluşur: bilgi sistemlerinin analizi; önemli varlıklar analiz edilir; tehdit modelleri, ihlal edenler oluşturulur; veri ortamının güvenliği için gereksinimler analiz edilir; mevcut durum değerlendirilir; eksikliklerin giderilmesine yönelik öneriler geliştirilmektedir; raporlanabilir bir öneri oluşturulur
Aktif denetim	Test sırasında, bilgi sistemlerinin güvenliğini değerlendirmek, zayıflıkları tespit etmek, sistemleri yasa dışı eylemlerden korumak için mevcut mekanizmanın güvenilirliğini kontrol etmek mümkündür. Şirket, analiz sonuçlarıyla birlikte ayrıntılı raporlar alır.Penetrasyon testinin amacı harici bir sunucu, ağ ekipmanı, ayrı bir hizmettir. Birkaç test türü vardır: Kara kutu yöntemi. Test, test edilen nesnenin bilgisi olmadan gerçekleştirilir. Bilgiler halka açık bir kaynaktan toplanır. Beyaz kutu yöntemi. Nesneler daha ayrıntılı olarak incelenir. Ek belgeler, kaynak kodu, nesnelere erişim talep edebilir. Test, veri sızıntılarıyla mümkün olan bir durumu simüle eder. Gri kutu yöntemi. Bilinen verileri yok sayın ve yukarıdaki yöntemleri birleştirin. Testlerdeki çalışmaların aşamaları şunları içerir: mevcut bilgilerin analizi; özel araçlar kullanıldığında enstrümantal taramanın uygulanması; manuel detaylı analiz; eksikliklerin analizi ve değerlendirilmesi
Web uygulamalarını kontrol etme	Güvenlik açıklarını tespit etmek ve tanımlamak için gereklidir. mutlaka: otomatik tarama; siyah beyaz kutu yöntemini kullanarak; risk değerlendirmesi; tavsiyelerin hazırlanması; tavsiyelerin uygulanması
Kapsamlı denetim	Bilgi güvenliğine yönelik tehditleri sistematik hale getirmek ve eksiklikleri gidermeye yönelik öneriler sunmak mümkündür. Ağların teknik doğrulaması yapılır, sızma testi yapılır, vb.
Uygunluk denetimi	Bilgi güvenliği risk yönetim sistemi, mevzuat politikası, varlık ve çalışan yönetimi ilkeleri analiz edilerek değerlendirilir.

Planlama

Bilgi güvenliği denetimi yapılırken iş planı ve hedef tanımı yapılır. Müşteriler ve yükleniciler, denetimden etkilenen şirketin kapsamı ve yapısı üzerinde anlaşmalıdır.

Her bir tarafın sorumluluklarını belirlerler. Plan şunları yansıtmalıdır:

• kontrolün amacı;
• kriterler;
• denetlenecek olan organizasyonel ve fonksiyonel birim ve sürecin tanımlanması dikkate alınarak doğrulamanın kapsamı;
• denetimin tarihi ve yeri;
• kontrolün süresi;
• Denetim ekibi üyelerinin ve eşlik eden kişilerin rol ve sorumlulukları.

Şunları da dahil etmek mümkündür:

• denetim ekibi için destek hizmetleri sağlayacak denetlenen şirketin temsilcilerinin bir listesi;
• raporun bölümleri;
• teknik Destek;
• gizlilik konularının ele alınması;
• Bir sonraki bilgi güvenliği denetiminin zamanlaması ve hedefleri.

Plan, denetim yapılmadan önce incelenir ve denetlenene sunulur. Gözden geçirilmiş belge, denetime devam etmeden önce ilgili tarafça kabul edilir.

İç denetim

Denetim aşağıdaki eylemleri içerir:

• süreç başlatılır (denetçinin hak ve yükümlülükleri tanımlanır ve dokümantasyonda yer alır, bir denetim planı hazırlanır);
• veriler toplanır;
• bilgi analiz edilir;
• öneriler geliştirilir;
• bir rapor hazırlanıyor.

Denetimin uygulanması için, düzenleyici belgelere yansıtılan kriterler belirlenir. İlk olarak, kontrolü organize ederler, belgeleri analiz ederler ve uygulama yerinde BS denetimine hazırlanırlar.

Denetim ekiplerinin liderliğini atadığınızdan, denetimin amaçlarını ve kapsamını, fırsatları belirlediğinizden, denetlenen kuruluşla ilk temasları kurduğunuzdan emin olun.

Küçük işletme nüansları

Küçük bir işletmede bilgi güvenliğine büyük firmalardaki kadar önem verilmemektedir.

Teknik durum öyle olsa da bilgi güvenliği koruması sadece küçük şirketler için gereklidir. Bu tür işletmeler, tüm ekipmanı ve yazılımı satın almalarına izin verecek küçük bir BT bütçesine sahiptir.

Bu nedenle denetim, aşağıdakileri kontrol ederek güvenlik açıklarının zamanında belirlenmesine olanak tanır:

• bilgi güvenliğini sağlamak için bir güvenlik duvarının nasıl kullanıldığı;
• e-posta koruması sağlanıp sağlanmadığı (gerekli antivirüsler var mı);
• antivirüs koruması sağlanıp sağlanmadığı;
• 1C kuruluşunda işin nasıl organize edildiği;
• kullanıcıların bilgisayarlarının nasıl yapılandırıldığı;
• proxy sunucusunun nasıl kullanıldığı;
• Şirketin bilgi ortamının korunması sağlanıyor mu?

Bankadaki işlem sırasında

• PC'yi kontrol etmek;
• PC kullanarak doğrulama.

Kontrol genel ve uygulamalı olabilir. İşlemler, bir bilgisayar sisteminin sürekliliğine güven sağlamak için yaygın olarak kabul edilir.

Aşağıdaki kontrol türleri gerçekleştirilir:

• organizasyonel;
• bilgisayarların kontrolü;
• işletim sistemleri;
• giriş kontrolu;
• teknik nesnelerle binaların kontrolü;
• sistemlerin işleyişinin geliştirilmesi ve sürdürülmesi.

Uygulama kontrolü, belirli uygulama yazılımı ve manuel süreçlerin programlanmış sürecini ifade eder.

Bilgilerin otomatik olarak işlenmesinin eksiksiz, doğru ve doğru olduğuna dair makul güvence sağlamak gereklidir.

Tarafından sunulan:

• girdi kontrolü (bu bilgi sistemlerindeki en zayıf noktadır);
• tedaviler;
• para çekme.

Bankacılık kurumlarının bilgi sisteminin denetim programı şunları içerir:

İç denetçilerin katılımı	Sistemler ve uygulama yazılım paketi geliştirirken
İnceleme ve onay	Yazılım değişikliklerinin doğrulayıcısı
İç kontrol denetimi	Ve tutarlılık ve tutarlılık ile testler
Bilgisayar yazılımı belgelerinin kontrol edilmesi	Belgeler var mı, güncel mi, gerçek durumu yansıtıyorlar mı?
Yazılım kontrollerinin yapılması	Yetkisiz değişiklik olmaması, bilgilerin eksiksiz olup olmadığı konusunda
Satın alınan yazılımın değerlendirilmesi	Hazırlanan sistemlerin tanımına uygunluk için
Eylem planının üç ayda bir gözden geçirilmesi ve yenilenmesi	Mücbir sebep ve kritik bir durumda

Gelecekte istenmeyen izinsiz girişleri ve saldırıları önlemek için buna değer:

Denetçi aşağıdaki işleri yapabilir:

Devlet bilgi sistemleri organizasyonu

Bir okul örneğini düşünün. Denetim 3 aşamadan oluşur. Kurum öncelikle gerekli tüm belgeleri sunmalıdır.

Çekin amacını, görevlerini, makyajını belirleyin. Denetim ekibinin bir parçası olacak kişileri belirleyin. Doğrulama programları oluşturun.

Denetimin kendisi, okul liderliği ile geliştirilen ve üzerinde anlaşmaya varılan denetim programına uygun olarak gerçekleştirilir.

Düzenleyici belgelerin kalitesi, veri koruma için etkili teknik önlemler ve ayrıca çalışanların eylemleri kontrol edilir ve değerlendirilir. Düzenlemek:

• ISPD doğru sınıflandırılmış mı;
• sağlanan bilgilerin yeterli olup olmadığı;
• bilgi güvenliği gereksinimlerinin karşılanıp karşılanmadığı.

Teknik kontrol yapılırken uzman, uzman-belgesel, enstrümantal yöntemler kullanılır. Denetim sonuçlarına göre eksikliklerin dile getirildiği ve giderilmesine yönelik tavsiyelerin verildiği yerleri hazırlarlar.

Yönetim sistemleri sertifikası

Standartlara uygunluğun doğrulanması ve belgelendirilmesi, kurumsal yönetimin iyileştirilmesini ve güven inşa edilmesini amaçlar.

Uluslararası standartlar oluşturulmuş olmasına rağmen, şu anda ISO 17799'a uygunluk belgelendirmesi yapılmamaktadır, çünkü bunun İngiliz standartlarına BS 7799 uygunluk belgelendirmesini açıklayan bir 2. bölümü bulunmamaktadır.

İngiliz standartlarına uygunluk sertifikasına sahiptirler. Standartlara uygunluğun doğrulanması UKAS üyesi denetim/danışmanlık firmaları tarafından yapılmaktadır.

BS 7799-2 sertifikaları, bina bilgi güvenliği yönetim sistemlerinin kalitesini etkiler. Bir dizi teknik sorun ele alınmaktadır.

Sistem yönetimi için devlet standartları kabul edilmemiştir, bu da bir analog olduğu anlamına gelir - Rusya Devlet Teknik Komisyonunun teknik planının bilgilerinin korunması için özel gereksinimler ve öneriler.

Sonuçların sunumu

Denetimin sonunda, müşterilere aktarılan bir raporlama belgesi düzenlenir. Rapor aşağıdaki bilgileri içermelidir:

• denetim prosedürünün çerçevesi;
• kurumsal bilgi sisteminin yapısı;
• denetimde kullanılan yöntemler ve araçlar;
• risk seviyeleri dikkate alınarak tespit edilen güvenlik açıkları ve eksikliklerin açıklamaları;
• karmaşık bilgi güvenliği sistemlerinin iyileştirilmesi için öneriler;
• Belirlenen riskleri en aza indirmesi gereken olayın uygulanması için plan önerileri.

Rapor, bilgilerin güvenlik kontrolüne ilişkin eksiksiz, açık ve doğru bilgileri yansıtmalıdır. Denetimin nerede yapıldığı, müşteri ve yüklenicinin kim olduğu, denetimin amacının ne olduğu belirtilir.

Raporlar aşağıdaki verileri içerebilir:

• muayene planı;
• eşlik eden denetçilerin listesi;
• denetim sonuçlarına dayalı olarak sonucun güvenilirliğini etkileyebilecek belirsizlik unsurlarını ve sorunları dikkate alarak prosedürün kısa bir özü;
• denetim kapsamına girmeyen herhangi bir endüstri, vb.

Bilgi güvenliği denetimi, bir dizi tehdide karşı mevcut koruma aşamasının bağımsız ve nesnel bir değerlendirmesini elde etmenizi sağlayan etkili bir araçtır.

Kontrolün sonucu, şirketin bilgi güvenliğini sağlamak için sistemlerin geliştirilmesine yönelik stratejilerin oluşturulması için temel sağlayacaktır.
Ancak bir güvenlik denetiminin tek seferlik bir prosedür olmadığını hatırlamakta fayda var.

Davranışı sürekli olarak zorunludur. Ancak bu durumda gerçek bir geri dönüş olacak ve bilgi güvenliğini artırma fırsatı olacaktır.

8.1. Bilgi güvenliği denetim konsepti

Bilgi güvenliği (IS) denetimi, CS güvenliği alanında en acil ve dinamik olarak gelişen stratejik ve operasyonel yönetim alanlarından biridir ve uzmanların sürekli ilgisini çeker. Ana görevi, kuruluşun bilgi güvenliğinin mevcut durumunu ve ayrıca işletmenin belirlenen amaç ve hedeflerine yeterliliğini objektif olarak değerlendirmektir.

BS denetimi, güvenlik güvencesinin tüm ana seviyelerinde belirli kriterlere ve göstergelere uygun olarak bir kuruluşun IS'sinin mevcut durumunun nesnel niteliksel ve niceliksel değerlendirmelerini elde etmek için sistematik bir süreçtir: düzenleyici ve metodolojik, organizasyonel ve yönetsel, prosedürel ve yazılım ve donanım .

Bir kuruluşun profesyonel olarak gerçekleştirilen bir BS denetiminin sonuçları, bir dizi teknik araç olan verimlilik ve maliyetler açısından optimal bir bilgi güvenliği sisteminin (ISS) ve ayrıca prosedürel, organizasyonel ve yasal önlemlerden oluşan bir bilgi güvenliği sisteminin (ISS) kurulmasını mümkün kılar. , bir IS yönetim modeli temelinde birleştirilmiştir.

Denetim sonucunda hem nitel hem de nicel tahminler elde edilebilir. Niteliksel bir değerlendirme için, örneğin, yazılım ve donanımdaki güvenlik açıklarının bir listesi, üç seviyeli bir tehlike ölçeğine göre sınıflandırılarak verilebilir: yüksek, orta ve düşük. Nicel değerlendirmeler en yaygın olarak bir kuruluşun varlıklarına yönelik güvenlik tehditlerinden kaynaklanan riski değerlendirmek için kullanılır. Nicel tahminler, örneğin, riskin fiyatı, risk olasılığı, risk miktarı vb. olabilir.

Denetimin nesnelliği, özellikle, bilgi güvenliği durumunun değerlendirilmesinin, bilgi güvenliği sisteminin tüm bileşenlerini nesnel olarak analiz etmeyi mümkün kılan belirli bir metodoloji temelinde uzmanlar tarafından yapılmasıyla sağlanır.

Bilgi güvenliği denetimi, uzmanlaşmış firmalar tarafından sunulan bir hizmet olabilir, ancak bir kuruluş, örneğin güvenlik yöneticileri tarafından gerçekleştirilen bir iç bilgi güvenliği denetimi gerçekleştirmelidir.

Geleneksel olarak, analiz edilen BGYS bileşenleri ve elde edilen sonuçlar açısından farklılık gösteren üç tür BS denetimi vardır:

- aktif denetim;

− uzman denetimi;

− IS standartlarına uygunluk denetimi.

8.1.1. Aktif denetim

Aktif denetim, yazılım ve donanım düzeyiyle ilgili belirli bilgi güvenliği alt sistemlerinin (ISS) güvenlik durumuna ilişkin bir ankettir. Örneğin, bir Penetrasyon testi adı verilen bir aktif denetim çeşidi, ağ iletişim koruma alt sisteminin incelenmesini içerir. Aktif denetim şunları içerir:

− PIB elemanlarının mevcut mimarisinin ve ayarlarının analizi;

− sorumlu ve ilgili kişilerle görüşme;

− belirli konuları kapsayan araçsal kontrollerin yapılması

PIB öğelerinin mimarisinin ve ayarlarının analizi, sunulan belirli alt sistemler hakkında bilgi sahibi uzmanlar tarafından gerçekleştirilir.

v incelenmekte olan sistem (örneğin, Cisco'dan veya Microsoft ailesinin işletim sisteminden aktif ağ ekipmanı uzmanlarına ve ayrıca alt sistemlerin organizasyonundaki olası kusurları belirleyen sistem analistlerine ihtiyaç duyabilir). Bu analizin sonucu bir dizi anket ve enstrümantal testtir.

Anketler, AIS'nin sübjektif özelliklerini elde etmek, alınan ilk verileri netleştirmek ve ISS içinde uygulanan bazı önlemleri belirlemek için AIS'nin yönetiminden sorumlu kişilerle görüşme sürecinde kullanılır. Örneğin anketler, parolaları değiştirme ve atama politikası, AIS'nin yaşam döngüsü ve AIS için bireysel alt sistemlerinin kritiklik derecesi ve bir bütün olarak organizasyonun iş süreçleri ile ilgili soruları içerebilir.

Görüşmeye paralel olarak, aşağıdaki faaliyetleri içerebilecek araçsal kontroller (testler) gerçekleştirilir:

− binaların görsel muayenesi, tesislere erişim kontrol sisteminin muayenesi;

− cihazların ve yazılımların konfigürasyonlarını ve versiyonlarını elde etmek;

− sağlanan ilk verilerle gerçek konfigürasyonların uyumluluğunun doğrulanması;

− özel yazılımla bir ağ haritası elde etmek;

− güvenlik tarayıcılarının kullanımı (hem evrensel hem de özel);

− sistem güvenlik açıklarından yararlanan modelleme saldırıları;

− saldırıları tespit etmek ve bunlara yanıt vermek için mekanizmalar tarafından tespit edilen eylemlere bir tepkinin varlığının kontrol edilmesi.

Denetçi, incelenen AIS (bilgi modeli) hakkındaki bilgisinin derecesini açıklayan aşağıdaki modellerden yola çıkabilir:

− “kara kutu” modeli - denetçi, incelenen AIS hakkında ön bilgiye sahip değildir. Örneğin, harici bir varlık yürütürken

denetim (yani, incelenen ağ dışındaki bir saldırganın eylemlerinin simüle edildiği bir durumda), denetçi yalnızca web sunucusunun adını veya IP adresini bilerek korumasındaki güvenlik açıklarını bulmaya çalışabilir;

− “beyaz kutu” modeli - denetçi, incelenen ağın yapısı hakkında tam bilgiye sahiptir. Örneğin denetçi, incelenmekte olan ağ bölümlerinin haritalarına ve şemalarına, işletim sistemleri ve uygulamaların listelerine sahip olabilir. Bu modelin kullanımı, bir saldırganın gerçek eylemlerini tam olarak simüle etmez, ancak yine de, saldırganın ağ hakkında tam bilgiye sahip olduğu durumlarda "en kötü" bir senaryo sunmasına izin verir. Ayrıca, araçsal testlerin AIS için minimum sonuçları olacak ve normal işleyişini bozmayacak şekilde aktif bir denetim senaryosu oluşturmanıza olanak tanır;

− "gri kutu" veya "kristal kutu" modeli - denetçi, belirli bir yetki düzeyine sahip bir ağ erişim hesabına sahip dahili bir AIS kullanıcısının eylemlerini simüle eder. Bu model, örneğin güvenilmez şirket çalışanlarından kaynaklanan dahili tehditlerle ilişkili riskleri değerlendirmenize olanak tanır.

Denetçiler, her test, testte kullanılan bilgi modeli ve testin olası olumsuz sonuçları üzerinde AIS'nin sürekli çalışmasıyla ilgilenen kişilerle (yöneticiler, sistem yöneticileri vb.) anlaşmalıdır.

Enstrümantal kontrolün sonuçlarına dayanarak, ön analizin sonuçları revize edilir ve muhtemelen ek bir inceleme düzenlenir (Şekil 8.1).

Araçsal doğrulama

Pirinç. 8.1. Aktif bir BS denetimi yürütme planı

Aktif bir denetimin sonuçlarına dayanarak, BGYS'nin teknik bölümünün mevcut durumunun bir tanımını, kritiklik dereceleri ile bulunan AIS güvenlik açıklarının bir listesini ve basitleştirilmiş bir riskin sonuçlarını içeren bir analitik rapor oluşturulur. davetsiz misafir modeli ve bir tehdit modeli de dahil olmak üzere değerlendirme.

Ek olarak, BGYS'nin teknik kısmının modernizasyonu için, risk tedavisi için bir tavsiyeler listesinden oluşan bir çalışma planı geliştirilebilir.

8.1.2. Uzman denetimi

Uzman denetimi, düzenleyici, metodolojik, organizasyonel, yönetimsel ve prosedürel düzeylerde bilgi güvenliğinin mevcut durumunu değerlendirmek için tasarlanmıştır. Uzman denetimi esas olarak dış denetçiler tarafından gerçekleştirilir, sistem yönetimi uzmanlarının güçleri tarafından gerçekleştirilir. Denetçi kuruluşun çalışanları, müşteri temsilcileriyle birlikte aşağıdaki iş türlerini gerçekleştirir:

− AIS, işlevleri ve özellikleri, otomatik işleme ve bilgi aktarımı için kullanılan teknolojiler hakkında ilk verilerin toplanması (en yakın gelişme beklentilerini dikkate alarak);

− mevcut hakkında bilgi toplama bilgi güvenliği ve analizleri için organizasyonel ve idari belgeler;

− BGYS'nin korunan varlıklarını, rollerini ve süreçlerini tanımlama.

Meslektaş incelemesi için en önemli araç, teknik uzmanlar ve müşteri yönetimi ile yapılan görüşmeler yoluyla AIS verilerinin toplanmasıdır.

Kuruluşun yönetim kadrosuyla görüşmenin ana hedefleri:

− sağlamak için yönetim için bir politika ve strateji belirlemek

− BGYS için belirlenen hedeflerin belirlenmesi;

− BGYS için geçerli olan gereksinimlerin açıklığa kavuşturulması;

− belirli bilgi işleme alt sistemlerinin kritikliğine ilişkin tahminlerin elde edilmesi, belirli olaylar durumunda mali kayıplara ilişkin tahminler.

Teknisyenlerle görüşmenin ana hedefleri şunlardır:

− AIS'nin işleyişi hakkında bilgi toplanması;

− AIS'de bilgi akışlarının bir diyagramını elde etmek;

− BGYS'nin teknik kısmı hakkında bilgi edinme;

− IS Bakım Sisteminin etkinliğinin değerlendirilmesi.

V uzman denetimi çerçevesinde, güvenlik politikası, koruma planı, çeşitli düzenlemeler ve talimatlar gibi organizasyonel ve idari belgelerin analizi yapılır. Organizasyonel belgeler, beyan edilen bilgi güvenliği hedefleri ve önlemleri ile yeterlilik ve tutarlılığın yanı sıra bilgi güvenliği konularında stratejik yönetim politikasına uygunluk açısından değerlendirilir.

Uzman denetiminin sonuçları, BGYS'nin düzenleyici, metodolojik, organizasyonel, yönetimsel ve prosedürel bileşenlerinin iyileştirilmesine yönelik tavsiyeler içerebilir.

Birçok iş adamı şirketlerini gizli tutmaya çalışır. Çağımız yüksek teknoloji çağı olduğu için bunu yapmak oldukça zordur. Hemen hemen herkes, kurumsal ve kişisel bilgilerin sızdırılmasından kendini korumaya çalışıyor, ancak bir profesyonelin gerekli verileri bulmasının zor olmayacağı bir sır değil. Şu anda, bu tür saldırılara karşı koruma sağlayan birkaç yöntem var. Ancak böyle bir güvenlik sisteminin etkinliğini kontrol etmek için bir bilgi güvenliği denetimi yapmak gerekir.

Denetim nedir?

Federal "Denetim Üzerine" Yasasına göre, denetim, çeşitli yöntem ve tekniklerin yanı sıra kontrollerin pratik uygulamasını içerir. Bir işletmenin bilgi güvenliği ile ilgili olarak, sistemin durumunun ve belirlenen gereksinimlere uygunluk düzeyinin bağımsız bir değerlendirmesidir. Muhasebe ve vergi raporlaması, ekonomik destek ve mali ve ekonomik faaliyetler üzerinde incelemeler yapılır.

Böyle bir çek ne için?

Bazıları bu tür faaliyetleri para kaybı olarak görüyor. Ancak bu sektördeki sorunların zamanında tespit edilmesiyle daha da büyük ekonomik kayıpların önüne geçilebilir. Bilgi güvenliği denetiminin amaçları aşağıdaki gibidir:

• koruma seviyesinin belirlenmesi ve gerekli seviyeye getirilmesi;
• kuruluşun gizliliğinin sağlanması açısından mali sorunun çözümü;
• bu sektöre yatırım yapmanın fizibilitesinin gösterilmesi;
• güvenlik maliyetlerinden maksimum faydayı elde etmek;
• iç güçlerin etkinliğinin, kontrol araçlarının ve işlerin yürütülmesine yansımalarının teyidi.

Bir işletmede bilgi güvenliği nasıl denetlenir?

Kapsamlı bir bilgi güvenliği denetimi birkaç aşamada gerçekleşir. Süreç örgütsel ve araçsal olarak ayrılmıştır. Kompleksin her iki bölümü çerçevesinde, müşterinin kurumsal bilgi sisteminin güvenliği üzerine bir çalışma yapılır ve ardından - yerleşik norm ve gereksinimlere uygunluğun belirlenmesi. Bilgi güvenliği denetimi aşağıdaki aşamalara ayrılır:

1. Müşteri gereksinimlerinin ve yapılacak işin kapsamının belirlenmesi.
2. Gerekli malzemelerin incelenmesi ve sonuçların çıkarılması.
3. Olası risklerin analizi.
4. Yapılan iş hakkında uzman görüşü ve uygun bir karar verilmesi.

Bilgi güvenliği denetiminin ilk aşamasına neler dahildir?

Bir bilgi güvenliği denetim programı, müşterinin ihtiyaç duyduğu iş kapsamını tam olarak belirlemekle başlar. Müşteri, uzman değerlendirmesi için başvurduğu fikrini ve amacını ifade eder.

Bu aşamada, müşteri tarafından sağlanan genel verilerin doğrulanması zaten başlamaktadır. Kullanılacak yöntemler ve planlanan faaliyetler dizisi kendisine açıklanır.

Bu aşamadaki ana görev, belirli bir hedef belirlemektir. Müşteri ve denetimi yürüten kuruluş birbirini anlamalı, ortak bir görüşte anlaşmalıdır. Bundan sonra, uygun uzmanların seçildiği bir komisyon oluşturulur. Gerekli teknik görev ayrıca müşteri ile ayrıca kararlaştırılır.

Bu olayın yalnızca bilgi saldırılarına karşı koruma sağlayan sistemin durumunu özetlemesi gerektiği anlaşılıyor. Ancak kontrolün nihai sonuçları değişebilir. Bazıları müşterinin şirketinin koruyucu ekipmanının çalışması hakkında eksiksiz bilgi ile ilgilenirken, diğerleri yalnızca bireysel bilgi teknolojisi hatlarının çalışmalarının verimliliği ile ilgilenmektedir. Yöntem ve değerlendirme araçlarının seçimi gereksinimlere bağlıdır. Hedef belirleme aynı zamanda uzman komisyonunun çalışmalarının daha sonraki seyrini de etkiler.

Bu arada, çalışma grubu iki kuruluştan uzmanlardan oluşur - denetimi yapan firma ve denetlenen kuruluşun çalışanları. Sonuçta, kurumlarının inceliklerini bilen ve kapsamlı bir değerlendirme için gerekli tüm bilgileri sağlayabilen, hiç kimse gibi, ikincisidir. Ayrıca, yürütücü şirketin çalışanlarının çalışmaları üzerinde bir tür kontrol gerçekleştirirler. Kontrol sonuçları sunulurken onların görüşleri de dikkate alınır.

İşletmenin bilgi güvenliğinin denetimini yapan firmanın uzmanları konu alanlarının araştırılması ile uğraşmaktadır. Uygun bir yeterlilik seviyesine ve bağımsız ve tarafsız bir görüşe sahip olan kişiler, koruyucu ekipmanın çalışma durumunu daha doğru bir şekilde değerlendirebilirler. Uzmanlar faaliyetlerini planlanan iş planına ve verilen görevlere uygun olarak yürütürler. Teknik süreçler geliştirirler ve elde edilen sonuçlar üzerinde anlaşırlar.

Görev tanımı, denetçinin çalışmasının hedeflerini açıkça belirler, uygulama yöntemlerini belirler. Ayrıca denetimin zamanlamasını da belirtir, her aşamanın kendi dönemi olması bile mümkündür.

Bu aşamada denetlenen kurumun güvenlik servisi ile de irtibat kurulur. Denetçi firma, denetim sonuçlarını açıklamayacağını taahhüt eder.

İkinci aşama nasıl uygulanır?

İkinci aşamada bir işletmenin bilgi güvenliğinin denetimi, değerlendirme için gerekli olan bilgilerin detaylı bir şekilde toplanmasıdır. Başlangıç ​​olarak, gizlilik politikasını uygulamaya yönelik bir dizi genel önlem düşünülmektedir.

Artık verilerin çoğu elektronik ortamda çoğaltıldığından veya genel olarak şirket faaliyetlerini yalnızca bilgi teknolojileri yardımıyla yürüttüğünden, yazılım araçları da doğrulamaya tabidir. Fiziksel güvenliğin sağlanması da analiz edilmektedir.

Bu aşamada uzmanlar, kurum içinde bilgi güvenliğinin nasıl sağlandığını ve denetlendiğini gözden geçirmek ve değerlendirmekle meşgul olur. Bunun için, koruma sistemi operasyonunun organizasyonu ve bunun sağlanması için teknik yetenekler ve koşullar, analize açıktır. Son noktaya özellikle dikkat edilir, çünkü dolandırıcılar çoğu zaman tam olarak teknik kısım aracılığıyla korumada delikler bulurlar. Bu nedenle aşağıdaki hususlar ayrı ayrı değerlendirilir:

• yazılım yapısı;
• sunucuların ve ağ cihazlarının konfigürasyonu;
• gizlilik mekanizmaları

İşletmenin bilgi güvenliğinin bu aşamadaki denetimi, yapılan çalışmaların bir rapor halinde özetlenmesi ve sonuçlarının ifade edilmesi ile sona erer. Denetimin sonraki aşamalarının uygulanması için temel oluşturan belgelenmiş sonuçlardır.

Olası riskler nasıl analiz edilir?

Gerçek tehditleri ve bunların sonuçlarını tespit etmek için kuruluşların bilgi güvenliği denetimi de yapılır. Bu aşamanın sonunda, bilgi saldırıları olasılığını önleyecek veya en azından en aza indirecek bir önlem listesi oluşturulmalıdır.

Gizlilik ihlallerini önlemek için bir önceki adımın sonunda alınan raporun incelenmesi gerekmektedir. Bu sayede, firmanın alanına gerçek bir işgalin mümkün olup olmadığını belirlemek mümkündür. Mevcut teknik koruyucu ekipmanın güvenilirliği ve performansı hakkında bir karar verilir.

Tüm kuruluşların farklı çalışma alanları olduğundan, güvenlik gereksinimleri listesi aynı olamaz. Denetlenen kurum için ayrı ayrı bir liste oluşturulur.

Bu aşamada, zayıflıklar da belirlenir ve müşteriye potansiyel saldırganlar ve yaklaşan tehditler hakkında veriler sağlanır. İkincisi, hangi taraftan bir yakalama bekleyeceğinizi bilmek ve buna daha fazla dikkat etmek için gereklidir.

Ekspertiz komisyonunun yaptığı çalışmaların sonuçlarının ve yeniliklerin ne kadar etkili olacağını müşterinin bilmesi de önemlidir.

Olası risklerin analizi aşağıdaki hedefleri takip eder:

• bilgi kaynaklarının sınıflandırılması;
• iş akışındaki güvenlik açıklarının belirlenmesi;
• olası bir dolandırıcının prototipini hazırlamak.

Analiz ve denetim, bilgi saldırılarının ne kadar başarılı olduğunu belirlemenizi sağlar. Bunun için zayıf noktaların kritikliği ve bunların hukuka aykırı amaçlarla kullanım yolları değerlendirilir.

Denetimin son aşaması nedir?

Son aşama, çalışmanın sonuçlarının yazılması ile karakterize edilir. Ortaya çıkan belgeye denetim raporu denir. Denetlenenin genel güvenlik düzeyi hakkındaki sonucu pekiştirir. Ayrı olarak, bilgi teknolojisi sisteminin güvenlikle ilgili etkinliğinin bir açıklaması vardır. Rapor ayrıca olası tehditler hakkında göstergeler sağlar ve olası bir saldırganın modelini açıklar. Ayrıca, iç ve dış etkenler nedeniyle yetkisiz izinsiz giriş olasılığını da belirtir.

Bilgi güvenliği denetim standartları, sadece durumun değerlendirilmesini değil, aynı zamanda gerekli önlemler konusunda uzman komisyona önerilerde bulunmayı da sağlar. Karmaşık işi yapan, bilgi altyapısını analiz eden ve bilgi hırsızlığına karşı korunmak için yapılması gerekenleri söyleyebilen uzmanlardır. Güçlendirilmesi gereken yerleri gösterecekler. Uzmanlar ayrıca teknolojik destek, yani ekipman, sunucular ve güvenlik duvarları konusunda rehberlik sağlar.

Öneriler, ağ cihazlarının ve sunucuların yapılandırmasında yapılması gereken değişiklikleri temsil eder. Belki de talimatlar doğrudan seçilen güvenlik yöntemleriyle ilgili olacaktır. Gerekirse uzmanlar, koruma sağlayan mekanizmaları daha da güçlendirmeyi amaçlayan bir dizi önlem önerecektir.

Şirket ayrıca özel açıklayıcı çalışmalar yapmalı, gizliliğe yönelik bir politika geliştirmelidir. Belki de güvenlik hizmetinde reformlar yapılmalıdır. Önemli bir nokta, şirketin güvenliğine ilişkin hükümleri pekiştirmekle yükümlü olan düzenleyici ve teknik temeldir. Takım uygun şekilde eğitilmelidir. Etki alanları ve sorumluluklar tüm çalışanlar arasında paylaşılır. Uygunsa, ekibin bilgi güvenliği ile ilgili eğitimini geliştirmek için bir kurs düzenlemek daha iyidir.

Ne tür denetimler var?

Kurumsal bilgi güvenliği denetimi iki tür olabilir. Bu sürecin kaynağına bağlı olarak, aşağıdaki türler ayırt edilebilir:

1. Dış biçim. Tek kullanımlık olması ile farklılık gösterir. İkinci özelliği ise bağımsız ve tarafsız uzmanlar tarafından üretilmiş olmasıdır. Tavsiye niteliğindeyse, kurum sahibinin emriyle yapılır. Bazı durumlarda, dış denetim zorunludur. Bu, organizasyonun türünden olabileceği gibi olağanüstü durumlardan da kaynaklanabilir. İkinci durumda, böyle bir kontrolün başlatıcıları, kural olarak, kolluk kuvvetleridir.
2. Dahili form. Denetimi öngören özel bir düzenlemeye dayanmaktadır. Sistemin sürekli izlenmesi ve zafiyetlerin tespit edilebilmesi için bilgi güvenliğinin iç denetimi gereklidir. Belirli bir zaman diliminde gerçekleşen olayların bir listesidir. Bu iş için çoğunlukla özel bir departman veya yetkili bir çalışan kurulur. Koruyucu ekipmanın durumunu teşhis eder.

Aktif denetim nasıl yapılır?

Bilgi güvenliği denetim yöntemleri de müşterinin amacına göre seçilmektedir. Güvenlik düzeyini araştırmanın en yaygın yollarından biri aktif denetimdir. Gerçek bir hacker saldırısının sahnelenmesini temsil eder.

Bu yöntemin avantajı, bir tehdit olasılığını olabildiğince gerçekçi bir şekilde simüle etmenize izin vermesidir. Aktif denetim sayesinde benzer bir durumun hayatta nasıl gelişeceğini anlayabilirsiniz. Bu yönteme araçsal güvenlik analizi de denir.

Aktif bir denetimin özü, (özel bir yazılım yardımıyla) bilgi sistemine yetkisiz izinsiz giriş girişiminin uygulanmasıdır. Bu durumda koruyucu ekipman tam olarak hazır durumda olmalıdır. Bu sayede çalışmalarını böyle bir durumda değerlendirmek mümkündür. Yapay bir hacker saldırısı gerçekleştiren bir kişiye minimum bilgi sağlanır. Bu, en gerçekçi koşulları yeniden yaratmak için gereklidir.

Sistemi mümkün olduğu kadar çok saldırıya maruz bırakmaya çalışıyorlar. Farklı yöntemler kullanarak sistemin en duyarlı olduğu hack yöntemlerini değerlendirebilirsiniz. Bu, elbette, işi yapan kişinin niteliklerine bağlıdır. Ancak eylemleri yıkıcı nitelikte olmamalıdır.

Nihayetinde uzman, sistemin zayıf noktaları ve en erişilebilir olan bilgiler hakkında bir rapor oluşturur. Ayrıca, güvenliğin uygun düzeye yükseltilmesini sağlamak için olası yükseltmeler için öneriler sunar.

Uzman denetimi nedir?

Firmanın belirlenen şartlara uygunluğunu belirlemek için bilgi güvenliği denetimleri de yapılır. Böyle bir görevin bir örneği, uzman yönteminde görülebilir. İlk verilerle karşılaştırmalı bir değerlendirmeden oluşur.

Çözümlerin aynı ideal performansı çeşitli kaynaklara dayandırılabilir. Müşterinin kendisi talepte bulunabilir ve görevler belirleyebilir. Firmanın başı, organizasyonunun güvenlik seviyesinin arzu ettiğinden ne kadar uzakta olduğunu bilmek isteyebilir.

Karşılaştırmalı değerlendirmenin gerçekleştirileceği prototip, genel olarak dünya standartları olarak kabul edilebilir.

"Denetleme Üzerine" Federal Yasasına göre, yürütücü şirket, ilgili bilgileri toplama ve bilgi güvenliğini sağlamak için mevcut önlemlerin yeterliliği hakkında bir sonuç çıkarma yetkisine sahiptir. Koruyucu ekipmanların çalıştırılmasıyla ilgili olarak düzenleyici belgelerin ve çalışanların eylemlerinin tutarlılığı da değerlendirilir.

Standartlara uygunluğun doğrulanması nedir?

Bu tür, bir öncekine çok benzer, çünkü özü de karşılaştırmalı bir değerlendirmedir. Ancak yalnızca bu durumda, ideal prototip soyut bir kavram değil, düzenleyici ve teknik belgeler ve standartlarda yer alan açık gereksinimlerdir. Bununla birlikte, şirketin gizlilik politikası tarafından belirlenen seviyeye uygunluk derecesini de belirler. Bu noktaya uymadan, daha fazla çalışmadan söz edilemez.

Çoğu zaman, bu tür bir denetim, işletmede çalışan güvenlik sistemini belgelemek için gereklidir. Bunun için bağımsız bir uzmanın görüşü gerekir. Önemli olan sadece koruma seviyesi değil, aynı zamanda tanınmış kalite standartlarından memnuniyet duymasıdır.

Bu nedenle, bu tür bir prosedürü gerçekleştirmek için, icracıya karar vermeniz ve kendi ihtiyaçlarınıza ve yeteneklerinize göre amaç ve hedefler yelpazesini vurgulamanız gerektiği sonucuna varabiliriz.

Bilgi güvenliği denetimi, bankaya yalnızca belirli türdeki faaliyetleri yürütme hakkı vermekle kalmaz, aynı zamanda banka sistemlerindeki zayıflıkları da gösterir. Bu nedenle, denetimin yürütülmesine ve biçiminin seçilmesine ilişkin karara dengeli bir yaklaşım getirmek gerekir.

30.12.2008 tarihli ve 307-FZ sayılı "Denetim Faaliyetleri Üzerine" Federal Yasasına göre, denetim, "denetlenen kuruluşun muhasebe (finansal) beyanlarının, bu tür beyanların güvenilirliği hakkında bir görüş bildirmek için bağımsız olarak kontrol edilmesidir. " Bu kanunda geçen bu ifadenin bilgi güvenliği ile ilgisi yoktur. Ancak öyle oldu ki bilgi güvenliği uzmanları bunu konuşmalarında aktif olarak kullanıyor. Bu durumda denetim, bir organizasyonun, sistemin, sürecin, projenin veya ürünün faaliyetlerinin bağımsız olarak değerlendirilmesi süreci olarak anlaşılır. Aynı zamanda, çeşitli yerel düzenlemelerde "bilgi güvenliği denetimi" teriminin her zaman kullanılmadığı - genellikle "uygunluk değerlendirmesi" terimi veya biraz modası geçmiş, ancak yine de kullanılan "onay" terimi ile değiştirildiği anlaşılmalıdır. . Bazen "sertifika" terimi hala kullanılmaktadır, ancak uluslararası yabancı düzenlemelerle ilgili olarak. Mevzuata uygunluğu doğrulamak veya uygulanan çözümlerin geçerliliğini ve güvenliğini doğrulamak için bir bilgi güvenliği denetimi yapılır. Ancak hangi terim kullanılırsa kullanılsın, aslında ya yönetmeliklere uygunluğu doğrulamak ya da uygulanan çözümlerin geçerliliğini ve güvenliğini doğrulamak için bir bilgi güvenliği denetimi yapılır. İkinci durumda, denetim gönüllüdür ve yürütme kararı kuruluşun kendisi tarafından verilir. İlk durumda, bir denetim yapmayı reddetmek imkansızdır, çünkü bu, düzenleyici düzenlemeler tarafından belirlenen gerekliliklerin ihlal edilmesini gerektirir ve bu da para cezası, faaliyetlerin askıya alınması veya diğer ceza biçimleri şeklinde cezaya yol açar. Zorunlu bir denetim durumunda, hem kuruluşun kendisi tarafından, örneğin bir öz değerlendirme şeklinde gerçekleştirilebilir (bu durumda artık bir “bağımsızlık” sorunu ve “denetim” terimi olmamasına rağmen ” burada kullanmak tamamen doğru değil) veya harici bağımsız kuruluşlar - denetçiler. Yasal bir denetim yürütmek için üçüncü seçenek, uygun denetim faaliyetlerini yürütme yetkisine sahip düzenleyici kurumlar tarafından kontrol edilmesidir. Bu seçeneğe daha çok denetim değil, denetim denetimi denir. Gönüllü denetim herhangi bir nedenle (RBS sisteminin güvenliğini kontrol etmek, satın alınan bir bankanın varlıklarını kontrol etmek, yeni açılan bir şubeyi kontrol etmek vb. için) kesinlikle yapılabileceğinden, bu seçeneği dikkate almayacağız. Bu durumda, sınırlarını açıkça belirtmek veya raporlama biçimlerini tanımlamak veya düzenlilik hakkında konuşmak imkansızdır - tüm bunlara denetçi ve denetlenen kuruluş arasındaki bir anlaşma ile karar verilir. Bu nedenle, yalnızca özellikle bankalara özgü yasal denetim biçimlerini ele alacağız.

Uluslararası standart ISO 27001

Bazen, "ISO / IEC 27001: 2005" uluslararası standardının gerekliliklerine uygunluk denetiminden geçen bir bankayı duyabilirsiniz (tam Rus analogu "GOST R ISO / IEC 27001-2006 - Bilgi teknolojisi - Yöntemler ve araçlardır). güvenliğin sağlanması. Yönetim sistemleri bilgi güvenliği - Gereksinimler "). Aslında bu standart, büyük kuruluşlarda bilgi güvenliği yönetimi için bir dizi en iyi uygulamadır (bankalar dahil küçük kuruluşlar her zaman bu standardın gereksinimlerine tam olarak uyamayabilir). Rusya'daki herhangi bir standart gibi, ISO 27001 de her bankanın kabul edip etmemeye karar verdiği tamamen gönüllü bir belgedir. Ancak ISO 27001, dünya çapında fiili standarttır ve birçok ülkedeki uzmanlar bu standardı, bilgi güvenliği ile uğraşırken yönlendirilmesi gereken bir tür evrensel dil olarak kullanır. ISO 27001 ile ilgili çok açık olmayan ve sıklıkla bahsedilen birkaç nokta vardır. Ancak, ISO 27001 ile ilgili olarak çok açık olmayan ve sıklıkla bahsedilen birkaç sorun vardır. İlk olarak, bankanın bilgi güvenliği sisteminin tamamı bu standarda göre değil, sadece bir veya birkaç kurucu parçası denetime tabidir. Örneğin, bir RBS koruma sistemi, bir banka merkez ofisi koruma sistemi veya bir personel yönetimi süreci koruma sistemi. Diğer bir deyişle, denetim çerçevesinde değerlendirilen süreçlerden biri için uygunluk belgesi alınması, geri kalan süreçlerin aynı ideale yakın durumda olduğunu garanti etmez. İkinci nokta, ISO 27001'in evrensel bir standart olduğu, yani herhangi bir kuruluş için geçerli olduğu, yani belirli bir endüstrinin özelliklerini dikkate almadığı gerçeğiyle ilgilidir. Bu, uluslararası standardizasyon organizasyonu içinde, ISO'nun, finans endüstrisi için ISO 27001/27002'nin bir aktarımı olan ISO 27015 standardının oluşturulması hakkında uzun süredir konuşmasına yol açmıştır. Rusya Merkez Bankası da bu standardın geliştirilmesinde aktif olarak yer almaktadır. Ancak Visa ve MasterCard, halihazırda geliştirilmiş olan bu standardın taslağına aykırıdır. İlki, taslak standardın finans sektörü için (örneğin, ödeme sistemleri hakkında) çok az bilgi içerdiğine ve oraya eklenirse standardın başka bir ISO komitesine devredilmesi gerektiğine inanıyor. MasterCard ayrıca ISO 27015'in geliştirilmesini durdurmayı teklif ediyor, ancak motivasyon farklı - diyorlar ki, finans endüstrisinde ve bilgi güvenliği belgeleri konusunu tamamen düzenliyorlar. Üçüncüsü, Rusya pazarında bulunan birçok teklifin uygunluk denetimi hakkında değil, denetime hazırlık hakkında konuştuğuna dikkat etmek gerekir. Gerçek şu ki, dünyada sadece birkaç kuruluş, ISO 27001 gerekliliklerine uygunluk belgelendirmesi yapma hakkına sahiptir. Entegratörler ise, şirketlerin yalnızca daha sonra resmi denetçiler tarafından doğrulanacak olan standardın gereksinimlerini karşılamalarına yardımcı olur (bunlara aynı zamanda kayıt şirketleri, belgelendirme kuruluşları vb. denir). Bankaların ISO 27001'i uygulaması gerekip gerekmediği konusundaki tartışmalar sürerken, bazı cüretkarlar buna yöneliyor ve 3 aşamadan uygunluk denetiminden geçiyor:

• Denetçi tarafından ana belgelerin resmi olmayan ön incelemesi (hem denetim müşterisinin ülkesinde hem de dışında).
• Uygulanan koruyucu önlemlerin resmi ve derinlemesine denetimi, bunların etkinliğinin değerlendirilmesi ve geliştirilen gerekli belgelerin incelenmesi. Bu aşama genellikle uygunluğun teyidi ile sona erer ve denetçi, dünya çapında tanınan ilgili bir sertifika verir.
• Daha önce alınan uygunluk belgesini doğrulamak için yıllık muayene denetimi.

Rusya'da kimin ISO 27001'e ihtiyacı var? Bu standardı yalnızca bir denetimden geçmeden uygulanabilecek bir dizi en iyi uygulama olarak değil, aynı zamanda bankanın uluslararası kabul görmüş güvenlik gereksinimlerine uygunluğunun teyidini gösteren bir sertifikasyon süreci olarak düşünürsek, ISO'yu uygulamak mantıklı olur. 27001, ISO 27001'in standart olduğu uluslararası bankacılık gruplarına ait bankalar tarafından veya uluslararası arenaya girmeyi planlayan bankalar için. Diğer durumlarda, bence ISO 27001'e uygunluk denetimi ve sertifika alınması gerekli değildir. Ama sadece banka için ve sadece Rusya'da. Ve hepsi, ISO 27001'e dayanan kendi standartlarımıza sahip olduğumuz için. Rusya Merkez Bankası'nın fiili denetimleri, yakın zamana kadar STO BR IBBS gerekliliklerine uygun olarak gerçekleştiriliyordu.

Rusya Merkez Bankası STO BR IBBS belge seti

Böyle bir standart veya daha doğrusu bir dizi standart, Rus mevzuatının gerekliliklerini dikkate alarak bankacılık kuruluşları için bilgi güvenliği sağlamak için bir sistem oluşturmaya yönelik birleşik bir yaklaşımı tanımlayan Rusya Bankası'nın bir dizi belgesidir. Standardizasyon için üç standart ve beş tavsiye içeren bu belge seti (bundan sonra STO BR IBBS olarak anılacaktır), ISO 27001'e ve bilgi teknolojisi yönetimi ve bilgi güvenliği için bir dizi başka uluslararası standarda dayanmaktadır. Standardın gerekliliklerine ve ayrıca ISO 27001'e uygunluğun denetimi ve değerlendirilmesi konuları ayrı belgelerde belirtilmiştir - “STO BR IBBS-1.1-2007. Bilgi güvenliği denetimi ”,“ STO BR IBBS-1.2-2010. Rusya Federasyonu bankacılık sistemi kuruluşlarının bilgi güvenliğinin STO BR IBBS-1.0-2010 "ve" RS BR IBBS-2.1-2007 gerekliliklerine uygunluğunu değerlendirme metodolojisi. Rusya Federasyonu bankacılık sistemi kuruluşlarının bilgi güvenliğinin STO BR IBBS-1.0 gerekliliklerine uygunluğunu kendi kendine değerlendirme yönergeleri ”. STO BR IBBS'ye göre uygunluk değerlendirmesi sırasında, 34 grup göstergede gruplandırılmış 423 özel bilgi güvenliği göstergesinin yerine getirilip getirilmediği kontrol edilir. Değerlendirmenin sonucu, Rusya Merkez Bankası tarafından oluşturulan beş puanlık ölçekte 4. veya 5. seviyede olması gereken nihai göstergedir. Bu arada, bu, STO BR IBBS'ye göre denetimi, bilgi güvenliği alanındaki diğer normatif eylemlere göre denetimden büyük ölçüde ayırır. STO BR IBBS'de tutarsızlık yoktur, yalnızca uyumluluk düzeyi farklı olabilir: sıfırdan beşe. Ve sadece 4. seviyenin üzerindeki seviyeler pozitif olarak kabul edilir. 2011 yılı sonu itibariyle, bankaların yaklaşık %70-75'i bu standartlar setini uygulamış veya uygulama sürecindedir. Her şeye rağmen, bunlar tavsiye niteliğindedir, ancak Rusya Merkez Bankası'nın fiili denetimleri yakın zamana kadar STO BR IBBS'nin gerekliliklerine uygun olarak gerçekleştirildi (bunun hiçbir yerde açıkça duyulmamasına rağmen). Durum, 1 Temmuz 2012'den bu yana, “Ulusal ödeme sistemi hakkında” yasasının ve Rusya Hükümeti ve Rusya Bankası'nın düzenleyici belgelerinin uygulanması için geliştirilen tam olarak yürürlüğe girmesiyle değişti. O andan itibaren, STO BR IBBS gerekliliklerine uygunluğun denetiminin gerekliliği konusu yeniden gündeme geldi. Gerçek şu ki, ulusal ödeme sistemi (NPS) mevzuatı çerçevesinde önerilen uygunluk değerlendirme metodolojisi ve STO BR IBBS'nin uygunluk değerlendirme metodolojisi nihai değerlerde büyük farklılıklar gösterebilir. Aynı zamanda, ilk yönteme göre (NPS için) değerlendirme zorunlu hale gelirken, STO BR IBBS'ye göre değerlendirme hala hukuki olarak tavsiye niteliğindedir. Ve bu yazının yazıldığı sırada, Rusya Merkez Bankası'nın kendisi bu değerlendirmenin geleceği hakkında henüz bir karar vermemişti. Daha önce tüm konular Rusya Merkez Bankası Güvenlik ve Bilgi Koruma Ana Müdürlüğü'nde (GUBZI) birleştiyse, o zaman GUBZI ile Uzlaşma Düzenleme Dairesi (LHH) arasındaki yetki dağılımı ile soru açık kalır. NPS ile ilgili yasal düzenlemelerin zorunlu bir uygunluk değerlendirmesi, yani bir denetim gerektirdiği zaten açıktır.

Ulusal ödeme sistemine ilişkin mevzuat

NPS ile ilgili mevzuat henüz oluşum aşamasında ve bilgi güvenliği de dahil olmak üzere birçok yeni belge bizi bekliyor. Ancak, 9 Haziran 2012'de yayınlanan ve onaylanan 382-P Yönetmeliğinin “Para Transferi Yaparken Bilgi Güvenliğinin Sağlanmasına İlişkin Gereksinimler” ve »2.15. maddede zorunlu bir uygunluk değerlendirmesi, yani bir denetim gerektirdiği açıktır. Böyle bir değerlendirme, bağımsız olarak veya üçüncü taraf kuruluşların katılımıyla gerçekleştirilir. Yukarıda daha önce bahsedildiği gibi, 382-P çerçevesinde gerçekleştirilen uygunluk değerlendirmesi özünde STO BR IBBS'nin uygunluk değerlendirme metodolojisinde açıklanana benzer, ancak özel ürünlerin tanıtımıyla ilişkili olarak tamamen farklı sonuçlar verir. farklı sonuçları belirleyen düzeltme faktörleri. 382-P Yönetmeliği, denetime dahil olan kuruluşlar için, 13 Haziran 2012 tarihli ve 584 sayılı "Ödeme sistemindeki bilgilerin korunmasına ilişkin" Hükümet Kararnamesi ile çelişen herhangi bir özel gereklilik belirlememektedir. 2 yılda bir bilgilerin korunması gerekliliklerine uygunluğun kontrolü ve değerlendirilmesi. Ancak, FSTEC tarafından geliştirilen Hükümet Kararnamesi, bir dış denetimin yalnızca gizli bilgilerin teknik korumasını sağlamak için lisanslı kuruluşlar tarafından yapılmasını gerektirir. Denetim biçimlerinden birine atfedilmesi zor olan ancak bankalara yeni sorumluluklar getiren ek gereklilikler, Yönetmelik 382-P'nin 2.16 bölümünde listelenmiştir. Bu gerekliliklere göre, ödeme sistemi operatörü geliştirmekle yükümlüdür ve bu ödeme sistemine katılan bankalar, ödeme sistemi operatörünü bankadaki çeşitli bilgi güvenliği sorunları hakkında düzenli olarak bilgilendirme gerekliliklerine uymak zorundadır: bilgi koruma gerekliliklerine uygunluk, tanımlanmış, olaylar, öz değerlendirmeler, tespit edilen tehditler ve güvenlik açıkları hakkında. Sözleşmeye dayalı olarak yürütülen denetime ek olarak, NPS'deki FZ-161 ayrıca, Rusya Federasyonu Hükümeti tarafından 584 sayılı Kararda ve Rusya Bankası tarafından 382 sayılı Yönetmelikte belirlenen gerekliliklerin yerine getirilmesine ilişkin kontrol ve gözetimin gerçekleştirildiğini de belirler. sırasıyla FSB FSTEC ve Rusya Merkez Bankası tarafından. ... Bu yazının yazıldığı tarihte, 31 Mayıs 2012 tarihli ve 380-P sayılı “Ulusal Ödemeyi Denetleme Prosedürü Hakkında Yönetmelik” yayınlayan Rusya Bankası'nın aksine, ne FSTEC ne de FSB, bu tür bir denetimi yürütmek için gelişmiş bir prosedüre sahip değildi. Sistem" (kredi kuruluşları için) ve 9 Haziran 2012 tarihli ve 381-P sayılı Yönetmelik "Ödeme sistemi operatörlerinin, ödeme altyapısı hizmetleri operatörlerinin 27 Haziran 2011 tarihli Federal Yasanın gerekliliklerine uygunluğunu denetleme prosedürü hakkında No. 161-FZ" Ulusal ödeme sisteminde, "Rusya Merkez Bankası düzenlemelerine uygun olarak kabul edilmiştir ”. Ulusal ödeme sistemindeki bilgi koruma alanındaki normatif eylemler, ayrıntılı ayrıntılandırmalarının henüz başındadır. 1 Temmuz 2012'de, Rusya Merkez Bankası onları test etmeye ve kanun uygulama uygulamaları hakkında gerçekleri toplamaya başladı. Bu nedenle bugün bu düzenlemelerin nasıl uygulanacağı, 380-P'nin nasıl denetleneceği, 2 yılda bir yapılan ve İş Bankası'na gönderilen öz değerlendirme sonuçlarına göre ne gibi sonuçlar çıkarılacağı hakkında konuşmak için erken. Rusya.

PCI DSS Ödeme Kartı Güvenlik Standardı

Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), uluslararası ödeme sistemleri Visa, MasterCard, American Express, JCB ve Discover tarafından kurulan Ödeme Kartı Sektörü Güvenlik Standartları Konseyi (PCI SSC) tarafından geliştirilmiş bir ödeme kartı veri güvenliği standardıdır. PCI DSS standardı, kuruluşların bilgi sistemlerinde iletilen, saklanan ve işlenen ödeme kartı sahiplerine ilişkin verilerin güvenliğini sağlamak için 12 üst düzey ve 200'ün üzerinde ayrıntılı gereksinimden oluşan bir dizidir. Standardın gereklilikleri, uluslararası ödeme sistemleri Visa ve MasterCard ile çalışan tüm şirketler için geçerlidir. İşlenen işlem sayısına bağlı olarak, her şirkete, bu şirketlerin yerine getirmesi gereken bir dizi gereklilik ile belirli bir seviye atanır. Bu seviyeler ödeme sistemine göre farklılık göstermektedir. Denetimin başarıyla tamamlanması, bankadaki güvenlikle ilgili her şeyin yolunda olduğu anlamına gelmez - denetlenenin güvenlik sistemlerindeki bazı kusurları gizlemesine izin veren birçok hile vardır. PCI DSS standardına uygunluğun doğrulanması, gereksinimleri denetlenen şirketin türüne göre farklılık gösteren zorunlu sertifikalandırma çerçevesinde gerçekleştirilir - mal ve hizmetler için ödeme kartlarını kabul eden bir tüccar veya bir hizmet sağlayıcı. tüccarlara, alıcı bankalara, ihraççılara vb. hizmetler sunar. (işlem merkezleri, ödeme ağ geçitleri vb.). Böyle bir değerlendirme farklı şekillerde gerçekleştirilebilir:

• Nitelikli Güvenlik Değerlendiricileri (QSA) statüsüne sahip akredite şirketlerin yardımıyla yıllık denetimler;
• yıllık öz değerlendirme;
• Onaylı Tarama Satıcısı (ASV) statüsüne sahip yetkili kuruluşlar tarafından ağları üç ayda bir tarama.

Kişisel veri mevzuatı

Bankacılık sektörüyle de ilgili olan ve uygunluk değerlendirmesi için gereklilikleri belirleyen en son düzenleyici belge, “Kişisel Veriler Üzerine” Federal Yasadır. Ancak, böyle bir denetimin ne şekli, ne sıklığı, ne de böyle bir denetimi yürüten kuruluş için gereklilikler henüz belirlenmemiştir. Belki de bu sorun, kişisel verilerin korunması alanında yeni standartlar getiren Rusya Federasyonu Hükümeti, FSTEC ve FSB'nin belgelerinin bir sonraki bölümünün yayınlanacağı 2012 sonbaharında kaldırılacaktır. Bu arada bankalar, kişisel verilerin korunması hususlarında denetimin özelliklerini bağımsız ve huzur içinde uyuyabilir. 19. Madde 152-FZ tarafından kurulan kişisel verilerin güvenliğini sağlamak için kurumsal ve teknik önlemlerin uygulanmasına ilişkin kontrol ve denetim, FSB ve FSTEC tarafından, ancak yalnızca kişisel verilerin devlet bilgi sistemleri için gerçekleştirilir. Kanuna göre kişisel verilerin bilgi güvenliğinin sağlanması alanında ticari kuruluşları kontrol edecek kimse bulunmamaktadır. Kişisel verilerin konularının, yani müşterilerin, karşı tarafların ve sadece bankaya gelen ziyaretçilerin haklarının korunması konularında aynı şey söylenemez. Bu görevi, denetim fonksiyonlarında oldukça aktif olan ve bankaları kişisel verilerle ilgili kanunu en kötü ihlal edenlerden biri olarak gören Roskomnadzor üstlenmiştir.

Nihai hükümler

Yukarıda, kredi kuruluşlarına ilişkin bilgi güvenliği alanındaki başlıca düzenleyici işlemleri inceledik. Bu düzenlemelerin birçoğu vardır ve her biri, anket doldurma (PCI DSS) şeklindeki öz değerlendirmeden iki yılda bir yasal denetimden geçmeye kadar, şu veya bu şekilde uygunluk değerlendirmesi yapmak için kendi gerekliliklerini belirler ( 382-P) veya yılda bir (ISO 27001). Bu en yaygın uygunluk değerlendirme biçimleri arasında başkaları da vardır - ödeme sistemi operatörü bildirimleri, üç aylık taramalar vb. Ülkenin, yalnızca kuruluşlar ve bilgi teknolojisi sistemleri için bilgi güvenliği denetim süreçlerinin devlet tarafından düzenlenmesi konusunda değil, aynı zamanda genel olarak bilgi güvenliği denetimi konusunda da birleşik bir görüş sistemine sahip olmadığını hatırlamakta ve anlamakta fayda var. Rusya Federasyonu'nda bilgi güvenliğinden sorumlu bir dizi departman ve kuruluş (FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC, vb.) bulunmaktadır. Ve hepsi kendi düzenlemeleri ve yönergeleri temelinde çalışır. Farklı yaklaşımlar, farklı standartlar, farklı olgunluk seviyeleri... Bütün bunlar oyunun tek tip kurallarının oluşturulmasını engelliyor. Resim ayrıca, kâr peşinde koşan, bilgi güvenliği gereksinimlerine uygunluğun değerlendirilmesi alanında çok düşük kaliteli hizmetler sunan gece uçuş şirketlerinin ortaya çıkmasıyla da bozuluyor. Ve durumun daha iyiye doğru değişmesi pek olası değil. Bir ihtiyaç olduğu için, onu karşılamak isteyenler olacaktır, ancak herkese yetecek kadar nitelikli denetçi olmayacaktır. Az sayıda (tabloda gösterilmiştir) ve birkaç haftadan birkaç aya kadar olan denetim süresi ile, denetim ihtiyaçlarının denetçilerin yeteneklerini önemli ölçüde aştığı açıktır. FSTEC tarafından henüz benimsenmemiş olan “Bilgi teknolojisi sistemleri ve kuruluşlarının bilgi güvenliği denetimi kavramı” şu ifadeyi içeriyordu: “aynı zamanda, gerekli ulusal düzenleyicilerin yokluğunda, bu tür faaliyetler / düzensiz denetim hakkında özel firmalar tarafından / kuruluşlara onarılamaz zararlar verebilir”. Sonuç olarak, Konsept'in yazarları, denetim yaklaşımlarını birleştirmeyi ve denetçilerin akreditasyonu için kurallar, nitelikleri için gereklilikler, denetim yapma prosedürü vb. dahil olmak üzere oyunun kurallarını yasal olarak oluşturmayı önerdiler, ancak bazı şeyler hala oradalar. Bilgi güvenliği alanındaki yerel düzenleyicilerin (ve bunlardan 9 tanesine sahibiz) bilgi güvenliği konularına ödeme yaptığı dikkate alındığında (yalnızca geçtiğimiz takvim yılında, bilgi güvenliği konularında 52 düzenleyici eylem kabul edildi veya geliştirildi - bir düzenleyici eylem haftada! ), yakında bu konuya döneceklerini dışlamıyorum.

BİLGİ GÜVENLİĞİ DENETİM STANDARTLARI

Bu gibi durumlarda, ne yazık ki, bir bankanın bilgi güvenliğinin denetlenmesinin temel amacının - faaliyetlerine olan güveni artırmak - Rusya'da elde edilemez olduğunu kabul etmek zorundayız. Ülkemizde banka müşterilerinin çok azı bankanın güvenlik düzeyine veya bankada yapılan denetim sonuçlarına dikkat etmektedir. Bankaya (veya hissedarlarına ve sahiplerine) ciddi maddi zarara yol açan çok ciddi bir olay olması durumunda veya yukarıda gösterildiği gibi yasal gerekliliklerin olması durumunda tarafımıza bir denetim uygulanır. , bizde çok var. Ve önümüzdeki altı ay için, bir güvenlik denetimine dikkat etmeye değer olan 1 No'lu gereksinim, Rusya Merkez Bankası 382-P yönetmeliğidir. Bankanın güvenlik düzeyi ve 382-P gerekliliklerine uygunluk konusunda Merkez Bankası'nın bölgesel birimlerinden gelen bir talebin ilk emsalleri zaten mevcut ve bu bilgiler bir dış denetim veya kendi kendine yapılan denetim sonucunda elde ediliyor. değerlendirme. İkinci sıraya “Kişisel Veriler Hakkında” kanunun gereklerine uygunluk denetimini koyardım. Ancak böyle bir denetim, FSTEC ve FSB tarafından vaat edilen tüm belgelerin yayınlanacağı ve STO BR IBBS'nin kaderinin netleştiği ilkbahardan önce yapılmamalıdır. Ardından, STO BR IBBS gerekliliklerine uygunluk denetimi yapma konusunu gündeme getirmek mümkün olacaktır. Sadece Rusya Merkez Bankası'nın belge setinin geleceği değil, aynı zamanda benzer, ancak yine de mükemmel 382-P ile ilgili durumu ve STO BR IBBS'nin hala sorunları kapsayıp kapsamadığı zaten netleşecek. kişisel verilerin korunması. Denetimin başarıyla tamamlanması, bankadaki güvenlikle ilgili her şeyin yolunda olduğu anlamına gelmez - denetlenenin güvenlik sistemlerindeki bazı kusurları gizlemesine izin veren birçok hile vardır. Ve çoğu, denetçilerin niteliklerine ve bağımsızlığına bağlıdır. Geçmiş yılların deneyimi, PCI DSS, ISO 27001 veya STO BR IBBS standartlarına uygunluk denetimini başarıyla geçen kuruluşlarda bile vakalar ve ciddi vakalar olduğunu göstermektedir.

UZMAN GÖRÜŞÜ

Dmitry Markin, Denetim ve Danışmanlık Departmanı Başkanı, AMT-GROUP:

Yakın zamana kadar, Rus mevzuatı çerçevesinde kredi kuruluşlarının bilgi güvenliği durumunun zorunlu denetimini geçirme konuları, güvenliği sağlamak için alınan önlemler üzerinde iç kontrol açısından sadece FZ-152 "Kişisel veriler hakkında" ile düzenlenmiştir. kişisel verilerin yanı sıra 242-P sayılı Rusya Federasyonu Merkez Bankası Yönetmeliği ile "Kredi kurumlarında ve bankacılık gruplarında iç kontrol organı hakkında ”. Ayrıca, 242-P sayılı Yönetmelik gereklerine uygun olarak, bilgi güvenliğinin sağlanması için özel gerekliliklere atıfta bulunmaksızın, bilgi güvenliğini izleme prosedürü, kredi kuruluşunun iç belgeleri tarafından bağımsız olarak belirlenir. Ödeme sistemindeki bilgilerin korunması için gereklilikleri tanımlayan FZ-161 "Ulusal Ödeme Sistemi Üzerine" Madde 27'nin yürürlüğe girmesiyle bağlantılı olarak, Rusya Federasyonu Hükümeti'nin 584 Sayılı "Onay Üzerine Kararı" Ödeme Sistemindeki Bilgilerin Korunması Hakkında Yönetmelik” ve 382-P Sayılı Merkez Bankası RF Yönetmeliği. 584 Sayılı Karar ve 382-P Sayılı Yönetmelik gerekliliklerine göre, ödeme sistemindeki bilgilerin korunması, bu düzenleyici kanunların gerekliliklerine ve ödeme sistemi operatörleri tarafından Sözleşmede yer alan gerekliliklere uygun olarak gerçekleştirilmelidir. ödeme sistemleri kuralları. Buradaki kilit nokta, ödeme sistemi operatörlerinin (örneğin Visa ve MasterCard) bağımsız olarak bilgi koruması gerekliliklerini belirleme hakkının ulusal mevzuat düzeyinde konsolidasyonudur. 382-P sayılı Yönetmelik ayrıca, kredi kurumlarının en az 2 yılda bir IS gerekliliklerine uyumu değerlendirme yükümlülüğünü, uygunluğu değerlendirme metodolojisini, denetim kriterlerini ve sonuçlarını belgeleme prosedürünü açıkça tanımlamaktadır. Kanaatimizce, yukarıdaki düzenlemelerin ortaya çıkması, önde gelen uluslararası ödeme sistemleri Visa ve MasterCard'ın katılımıyla geliştirilen PCI DSS 2.0 ödeme kartı endüstrisi veri güvenliği standardının gerekliliklerine uygun olarak sertifikayı geçen kredi kuruluşlarının istatistiklerini artırmalıdır.