Cov ntaub ntawv Security Audit: Objectives, txoj kev thiab cov cuab yeej, piv txwv li. Cov ntaub ntawv kev ruaj ntseg tshawb ntawm lub tsev txhab nyiaj

Niaj hnub no, txhua leej txhua tus paub yuav luag dawb ceev kab lus hais tias yus tus kheej cov ntaub ntawv, yus tus kheej li lub ntiaj teb no. Uas yog vim li cas nyob rau hauv peb lub sij hawm mus nyiag ntaub ntawv yog ua kom tag nrho thiab sundry. Nyob rau hauv no hais txog, coj unprecedented cov kauj ruam thiab kev siv ntawm txhais tau tias kev tiv thaiv tiv thaiv tau tawm tsam. Txawm li cas los, tej zaum koj yuav tau los xyaum ua ib tshawb ntawm enterprise ntaub ntawv kev ruaj ntseg. Yuav ua li cas yog nws thiab yog vim li cas yog nws tag nrho tam sim no, thiab sim kom to taub.

Yuav ua li cas yog ib tug tshawb ntawm cov ntaub ntawv kev ruaj ntseg nyob rau hauv cov kev txhais?

Leej twg yuav tsis muaj kev cuam tshuam cov abstruse scientific ntsiab lus uas, thiab sim los mus txiav txim rau lawv tus kheej lub tswv yim, piav tias lawv nyob rau hauv lub feem ntau yooj yim cov lus (cov neeg nws yuav tsum tau hu ua lub tshawb rau lub "dummies").

Lub npe ntawm lub complex cov txheej xwm hais lus rau nws tus kheej. Cov ntaub ntawv kev ruaj ntseg tshawb ib qho kev ywj pov thawj los yog cov neeg ib phaum saib xyuas los xyuas kom meej qhov kev ruaj ntseg ntawm cov ntaub ntawv systems (YOG) ntawm tej lub tuam txhab, lub tsev kawm ntawv los yog lub koom haum rau lub hauv paus ntawm qhia tshwj xeeb uas tsim nyog thiab ntsuas.

Nyob rau hauv tej yam yooj yim cov ntsiab lus, piv txwv li, tshawb lub bank cov ntaub ntawv kev ruaj ntseg boils down rau, mus ntsuam xyuas cov theem ntawm kev tiv thaiv ntawm cov neeg databases nyob rau ntawm lub tuamtxhab ua hauj lwm, cov kev nyab xeeb ntawm cov tshuab hluav taws xob nyiaj, preservation ntawm lub tuamtxhab secrecy, thiab hais txog. D. Nyob rau hauv cov ntaub ntawv ntawm cuam nyob rau hauv cov kev ua ub ntawm lub tsev tsis tau tso cai cov neeg los ntawm sab nraum, siv hluav taws xob thiab computer chaw.

Yeej, ntawm cov txawj nyeem ntawv muaj tsawg kawg yog ib tug neeg uas hu ua lub tsev los yog lub xov tooj txawb nrog ib lub tswv yim ntawm cov zauv cov nyiaj txais los yog tso nyiaj, cov txhab nyiaj uas nws muaj tsis muaj dab tsi ua li cas. Tib yam siv rau cov kev yuav khoom thiab muaj los ntawm ib co khw muag khoom noj. Qhov twg tuaj koj chav?

Nws yog qhov yooj yim. Yog hais tias ib tug neeg yav tas los coj nyiaj los ua lag luam nyob rau hauv ib tug deposit account, ntawm chav kawm, nws cov ntaub ntawv yog muab cia rau hauv ib qho cov neeg puag. Thaum koj hu xov tooj los ntawm lwm lub tsev txhab nyiaj los yog lub khw yuav ua tau tsuas yog ib tug hais tias: cov lus qhia txog nws tuaj illegally rau peb ob tog. Yuav ua li cas? Nyob rau hauv kev, muaj ob qho kev xaiv: yog nws twb muaj neeg nyiag, los yog pauv mus rau neeg ua hauj lwm ntawm lub tsev txhab nyiaj rau peb ob tog consciously. Nyob rau hauv kev txiav txim rau tej yam tsis tshwm sim, thiab koj siv sij hawm los xyaum ua ib tus tshawb ntawm cov ntaub ntawv kev ruaj ntseg ntawm lub tsev txhab nyiaj, thiab qhov no siv tsis tau tsuas yog mus rau lub computer los yog "hlau" txhais tau tias kev tiv thaiv, tab sis rau tag nrho cov neeg ua hauj lwm ntawm lub tsev.

Lub ntsiab qhia ntawm cov ntaub ntawv kev ruaj ntseg tshawb

Raws li hais tus uas duav txhua yam ntawm tus tshawb, raws li ib tug txoj cai, lawv yog ob peb:

• tag nrho daim tshev ntawm cov khoom muab kev koom tes nyob rau hauv cov txheej txheem ntawm cov ntaub ntawv (computer cia li system, txhais tau tias kev sib txuas lus, kev txais tos, ntaub ntawv kis tau tus mob thiab ua, chaw, thaj chaw rau pub leej twg paub cov rooj sib tham, xyuas systems, thiab lwm yam);
• xyuas cov kev ntseeg ntawm cov kev tiv thaiv ntawm ntaub ntawv uas tsis muaj kev nkag tau mus (txiav txim uas tau to thiab tej zaum kev ruaj ntseg qhov raws lub hom phiaj rau kev nkag tau mus rau nws los ntawm sab nraum uas siv cov txheej txheem thiab cov uas tsis yog-tus qauv txoj kev);
• xyuas ntawm tag nrho cov hluav taws xob kho vajtse thiab lub zos computer systems rau raug electromagnetic tawg thiab cuam, tso lawv mus tua los yog coj mus rau hauv disrepair;
• project ib feem, uas muaj xws li ua hauj lwm rau lub creation thiab daim ntawv thov ntawm lub tswvyim ntawm kev ruaj ntseg nyob rau hauv nws cov tswv yim siv (tiv thaiv ntawm computer systems, cov vaj tse, kev sib txuas lus chaw, thiab lwm yam).

Thaum nws los txog rau lub tshawb?

Tsis hais lub tseem ceeb heev rau tej qhov chaw tus tiv thaiv twb tawg, tshawb ntawm cov ntaub ntawv kev ruaj ntseg nyob rau hauv ib lub koom haum yuav nqa tawm, thiab nyob rau hauv ib co lwm tus neeg mob.

Feem ntau, cov muaj xws li lub expansion ntawm lub tuam txhab, merger, nrhiav tau, takeover los ntawm lwm cov tuam txhab uas muag, hloov cov chav kawm ntawm ua lag ua luam tswv yim los yog cov lus qhia, cov kev hloov nyob rau hauv lub thoob ntiaj teb txoj cai los yog nyob rau hauv kev tsim nyob rau hauv ib lub teb chaws, es loj hloov nyob rau hauv cov ntaub ntawv infrastructure.

hom tshawb

Niaj hnub no, cov heev kev faib ntawm no hom ntawm kev tshawb, raws li muaj ntau yam tshuaj ntsuam thiab cov kws txawj yog tsis tsim. Yog li ntawd, lub division rau hauv cov chav kawm ntawv nyob rau hauv tej rooj plaub yuav ua tau heev arbitrary. Cuaj kaum, nyob rau hauv Feem ntau, cov tshawb ntawm cov ntaub ntawv kev ruaj ntseg yuav tsum tau muab faib mus rau hauv sab nraud thiab sab hauv.

Ib sab nraud tshawb xyuas los ntawm cov neeg sab nraud cov kws txawj uas muaj txoj cai ua, yog feem ntau ib tug ib-lub sij hawm kos, uas tej zaum yuav pib los ntawm kev tswj, shareholders, tub ceev xwm cov koom haum, thiab lwm yam Nws yog ntseeg hais tias ib tug sab nraud tshawb ntawm cov ntaub ntawv kev ruaj ntseg yog pom zoo (tab sis tsis yuav tsum tau) ua tsis tu ncua rau ib lub teeb lub sij hawm ntawm lub sij hawm. Tab sis rau ib txhia koom haum thiab Enterprises, raws li kev cai lij choj, nws yog yuav tsum tau (piv txwv li, nyiaj txiag hauv tsev thiab cov koom haum, ob leeg Tshuag tuam txhab uas muag, thiab lwm tus neeg.).

Internal tshawb ntaub ntawv kev ruaj ntseg yog ib qhov txheej txheem. Nws yog raws li nyob rau hauv ib tug tshwj xeeb "kev cai rau Internal Audit". Yuav ua li cas yog nws? Nyob rau hauv qhov tseeb, qhov no daim ntawv kev ua ub no nqa tawm nyob rau hauv lub koom haum, nyob rau hauv cov nqe lus pom zoo los ntawm kev tswj. Ib cov lus qhia kev ruaj ntseg tshawb los ntawm tshwj xeeb ntxwv cai ntawm lub enterprise.

Lwm faib ntawm tshawb

Dhau li ntawm tus saum toj no-piav division rau hauv cov chav kawm ntawv nyob rau hauv cov kev cov ntaub ntawv, peb yuav paub qhov txawv ob peb yam ua nyob rau hauv lub thoob ntiaj teb kev faib:

• Kws muaj txuj xyuas tus txheej xwm ntawm cov ntaub ntawv kev ruaj ntseg thiab cov ntaub ntawv systems nyob rau hauv lub hauv paus ntawm tus kheej kev ntawm cov kws txawj, nws kev;
• ntawv pov thawj tshuab thiab kev ruaj ntseg ntsuas raws kev cai nrog thoob ntiaj teb cov qauv (ISO 17799) thiab lub teb chaws raws li txoj cai seev regulating no teb ntawm kev ua si;
• tsom xam ntawm cov kev ruaj ntseg ntawm cov ntaub ntawv systems uas siv cov kev txhais tau tias tswj paub tej zaum vulnerabilities nyob rau hauv lub software thiab kho vajtse complex.

Tej zaum nws yuav tau mus thov thiab lub thiaj li hu ua kev tshawb, uas muaj xws li tag nrho cov saum toj no hom. Los ntawm txoj kev, nws muab lub feem ntau cov hom phiaj tau.

Staged cov hom phiaj thiab cov hom phiaj

Tej pov thawj, seb sab hauv los yog sab nraud, pib nrog cuab hom phiaj thiab cov hom phiaj. Cias muab, koj yuav tau xyuas seb yog vim li cas, yuav ua li cas thiab zoo li cas yuav tau soj ntsuam kuaj. Qhov no yuav txiav txim seb qhov ntxiv txoj kev nqa tawm ntawm tag nrho cov txheej txheem.

Paub tab, nyob ntawm seb cov kev qauv ntawm cov enterprise, lub koom haum, lub tsev kawm ntawv thiab cov kev ua ub yuav ua tau ib tug heev heev. Txawm li cas los, noj thaum muaj tag nrho cov no tso tawm, koom hom phiaj ntawm cov ntaub ntawv kev ruaj ntseg tshawb:

• kev soj ntsuam ntawm lub xeev ntawm cov ntaub ntawv kev ruaj ntseg thiab cov ntaub ntawv systems;
• tsom xam ntawm tus tau txaus ntshai txuam nrog txoj kev pheej hmoo ntawm allergic rau hauv lwm IP thiab tau modalities ntawm xws cuam;
• localization ntawm qhov thiab kev ncua hauv kev ruaj ntseg system;
• tsom xam ntawm qhov kev tsim nyog theem ntawm kev ruaj ntseg ntawm cov ntaub ntawv systems rau tam sim no cov txheej txheem thiab ntxawg thiab kev cai lij choj ua;
• txoj kev loj hlob thiab tus me nyuam ntawm cov tswv yim uas qhov kev tshem tawm ntawm cov uas twb muaj teeb meem, raws li tau zoo raws li txoj kev txhim kho ntawm tus uas twb muaj kev thiab cov kev taw qhia tshiab uas.

Vib this thiab tshawb cov cuab yeej

Tam sim no ib ob peb lo lus hais txog yuav ua li cas ntawm daim tshev thiab dab tsi cov kauj ruam thiab txhais tau tias nws yuav.

Ib cov lus qhia kev ruaj ntseg tshawb muaj ob peb theem:

• pib pov thawj cov txheej txheem (kom meej txhais cov cai thiab cov luag num ntawm cov auditor, lub auditor cov tshev mis rau hauv kev npaj ntawm qhov kev npaj thiab nws cov kev sib koom tes nrog cov kev tswj, cov lus nug ntawm ib thaj tsam ntawm txoj kev tshawb no, lub imposition ntawm cov tswv cuab ntawm lub koom haum kev cog lus rau tu thiab raws sij hawm kev yam ntaub ntawv);
• sau thawj zaug cov ntaub ntawv (kev ruaj ntseg qauv, rau hauv lub tsev ntawm kev ruaj ntseg nta, kev ruaj ntseg theem ntawm system kawm cov kev tau txais thiab muab cov ntaub ntawv, kev txiav txim ntawm kev sib txuas lus raws thiab IP sis raug zoo nrog lwm cov lug, ib tug hierarchy ntawm cov neeg siv ntawm computer tes hauj lwm, qhov kev txiav txim twg, thiab lwm yam);
• kev qhia ntawv los yog ib nrab soj ntsuam;
• cov ntaub ntawv tsom xam (tsom xam ntawm kev txaus ntshai ntawm txhua yam thiab ua raws li);
• muab tswv yim pom zoo mus rau qhov chaw tej zaum teeb meem;
• daim ntawv qhia txog tiam.

Tus thawj theem yog lub feem ntau yooj yim, vim hais tias nws txiav txim siab thiaj tau tuaj ntawm lub tuam txhab kev tswj thiab lub auditor. Ib thaj tsam ntawm lub tsom xam yuav suav hais tias ntawm cov kev sib tham ntawm cov neeg ua haujlwm los yog shareholders. Tag nrho cov no thiab ntau hais txog kev cai lij choj teb.

Qhov thib ob theem ntawm tus sau los ntawm lub hauv paus cov ntaub ntawv, seb nws yog ib tug nrog tshawb ntawm cov ntaub ntawv kev ruaj ntseg los yog lwm cov neeg sab nraud muab ntawv pov thawj yog qhov tseem resource-intensive. Qhov no yog vim lub fact tias nyob rau hauv no theem uas koj yuav tsum tsis tau tsuas yog tshuaj xyuas cov kev cov ntaub ntawv hais txog tag nrho cov hardware thiab software, tab sis kuj yuav nqaim-nug lub tuam txhab ua hauj lwm, thiab nyob rau hauv Feem ntau txawm nrog sau tshwj xeeb questionnaires los yog kev tshawb fawb.

Raws li rau cov kev cov ntaub ntawv, nws yog ib qho tseem ceeb kom tau cov ntaub ntawv nyob rau hauv lub IC qauv thiab qhov muaj feem thib theem ntawm kev nkag tau txoj cai rau nws cov neeg ua hauj lwm, kom paub tias lawv-dav thiab daim ntawv thov software (lub operating system rau cov lag luam kev siv, lawv tswj thiab accounting), raws li zoo raws li lub tsim kev tiv thaiv ntawm cov software thiab uas tsis yog-kev pab cuam hom (antivirus software, firewalls, etc.). Nyob rau hauv tas li ntawd, qhov no muaj xws li tag nrho cov pov thawj ntawm tes hauj lwm thiab muab kev pab ntawm telecommunications cov kev pab cuam (network lub koom haum, cov kev cai siv rau kev twb kev txuas, hom kev sib txuas lus raws, cov kis tau tus mob thiab txais tos txoj kev ntawm cov ntaub ntawv ntws, thiab ntau yam ntxiv). Raws li yog qhov tseeb, nws yuav siv sij hawm ib tug ntau lub sij hawm.

Nyob rau hauv lub tom ntej no theem, txoj kev ntawm cov ntaub ntawv kev ruaj ntseg tshawb. Lawv yog cov peb:

• uas muaj feem yuav tsom xam (lub feem ntau nyuaj txheej txheem, raws li nyob rau hauv qhov kev txiav txim ntawm lub auditor mus rau lub allergic ntawm tus IP cuam tshuam thiab txoj kev ntseeg siv tag nrho cov tau txoj kev thiab cov cuab yeej);
• kev ntsuam xyuas ntawm kev ua raws cai nrog cov qauv thiab kev tsim (qhov nyuaj thiab cov tswv yim txoj kev raws li nyob rau hauv ib tug sib piv ntawm cov tam sim no lub xeev ntawm affairs thiab cov uas yuav tsum tau ntawm thoob ntiaj teb cov qauv thiab domestic cov ntaub ntawv nyob rau hauv lub teb ntawm cov ntaub ntawv kev ruaj ntseg);
• lub neej coj txoj kev uas combines cov thawj ob tug.

Tom qab tau txais cov pov thawj tau los ntawm lawv cov kev soj ntsuam. Nyiaj Audit ntawm cov ntaub ntawv kev ruaj ntseg, uas yog siv rau lub tsom xam, yuav heev varied. Nws tag nrho cov nyob rau hauv lub meej ntawm lub enterprise, lub hom ntawm cov ntaub ntawv, cov software koj siv, kev tiv thaiv thiab thiaj li nyob. Txawm li cas los, raws li tau pom nyob rau hauv thawj txoj kev, lub auditor mas muaj los cia siab rau lawv tus kheej kev.

Thiab hais tias tsuas txhais tau tias nws yuav tsum yog tag nrho uas tsim nyog nyob rau hauv lub teb ntawm cov ntaub ntawv technology thiab cov ntaub ntawv tiv thaiv. Nyob rau lub hauv paus ntawm no tsom xam, cov auditor thiab laij tau txaus ntshai.

Nco ntsoov tias nws yuav tsum hais tsis tau tsuas yog nyob rau hauv lub operating system los yog qhov kev pab cuam siv, piv txwv li, rau cov lag luam los yog nyiaj txiag, tab sis kuj yuav to taub kom meej meej yuav ua li cas ib tug attacker yuav txeem mus rau hauv cov ntaub ntawv system rau lub hom phiaj ntawm tub sab tub nyiag, kev puas tsuaj thiab kev puas tsuaj ntawm cov ntaub ntawv, creation ntawm preconditions rau kev ua txhaum nyob rau hauv computers, cov kis ntawm cov kab mob los yog malware.

Kev luj xyuas ntawm tshawb tshawb pom thiab cov tswv yim los daws cov teeb meem

Raws li tus tsom xam cov kws muaj txuj xaus txog cov kev tiv thaiv raws li txoj cai thiab muab tswv yim pom zoo mus rau qhov chaw uas twb muaj lawm los yog tej zaum teeb meem, kev ruaj ntseg hloov khoom dua tshiab, thiab lwm yam Lub tswv yim pom zoo yuav tsum tsis tsuas yog yuav ncaj ncees, tab sis kuj kom meej meej khi mus rau lub neej ntawm cov enterprise specifics. Nyob rau hauv lwm yam lus, lub tswv yim rau upgrading lub configuration ntawm computers los yog software yog tsis txais. Qhov no Attendance siv rau lub tswv yim ntawm cov kev tso tawm ntawm "unreliable" cov neeg, nruab tshiab mus txog qhovtwg tshuab tsis specifying lawv lo lus uas peb, cov chaw thiab phim.

Raws li tus tsom xam, raws li ib tug txoj cai, muaj ntau ntau uas yuav muaj pab pawg. Nyob rau hauv cov ntaub ntawv no, mus ua ke ib txoj kev daim ntawv qhia siv ob tug tseem ceeb ntsuas: qhov tshwm sim rau ib tug nres thiab cov kev puas tsuaj tshwm sim los mus rau lub tuam txhab raws li ib tug tshwm sim (tsis ntawm cov cuab tam, yuav txo tau ntawm yus lub qe, tsis tau duab thiab thiaj li nyob.). Txawm li cas los, qhov kev kawm ntawm cov pab pawg tsis yog tib yam. Piv txwv li, tsawg-theem qhia tau rau qhov muaj tseeb ntawm nres yog qhov zoo tshaj plaws. Rau puas tsuaj - nyob rau tsis tooj.

Tsuas yog ces tso ua ke ib daim ntawv qhia hais tias cov ntsiab lus pleev xim rau tag nrho cov theem, txoj kev thiab txhais tau tias ntawm cov kev tshawb fawb. Nws pom zoo nrog cov coj noj coj thiab kos npe los ntawm ob sab - lub tuam txhab thiab cov auditor. Yog hais tias lub tshawb nrog, yog ib daim ntawv qhia lub taub hau ntawm lub duas paub yam ntxwv tsev, tom qab uas nws, dua, kos npe los ntawm lub taub hau.

Cov ntaub ntawv kev ruaj ntseg tshawb: Piv txwv li

Thaum kawg, peb xav txog qhov nyuaj piv txwv ntawm ib qhov teeb meem uas twb tshwm sim. Muaj ntau, los ntawm txoj kev, tej zaum nws yuav zoo heev paub.

Piv txwv li, ib lub tuam txhab ceev cov neeg ua haujlwm nyob rau hauv lub tebchaws United States, tsim nyob rau hauv lub ICQ instant tub txib computer (lub npe ntawm tus neeg ua hauj lwm thiab lub tuam txhab lub npe yog tsis muaj npe rau cuab yog vim li cas). Kev sib khom lus tau ua precisely los ntawm txoj kev pab cuam no. Tab sis lub "ICQ" yog heev lam tau lam ua nyob rau hauv cov nqe lus ntawm kev ruaj ntseg. Self neeg ua hauj lwm nyob rau ntawm lub sau npe tooj thaum lub sij hawm los yog tsis muaj ib tug email chaw nyob, los yog cia li tsis xav kom muab rau nws. Es tsis txhob, nws taw tes rau ib yam dab tsi zoo li e-mail, thiab txawm tsis yog-existent sau.

Yuav ua li cas yuav lub attacker? Raws li qhia los ntawm ib tug tshawb ntawm cov ntaub ntawv kev ruaj ntseg, nws yuav tau sau npe raws nraim tib yam sau thiab tsim yuav nyob rau hauv nws, lwm sau npe davhlau ya nyob twg, thiab ces yuav xa ib cov lus rau Mirabilis lub tuam txhab uas yog tswv rau ICQ kev pab cuam, thov password rov qab vim nws poob (uas yuav ua tau ). Raws li cov neeg tau kev pab ntawm lub mail neeg rau zaub mov yog tsis yog, nws twb muaj redirect - redirect rau ib tug uas twb muaj lawm intruder mail.

Raws li ib tug tshwm sim, nws tau txais kev nkag mus rau lub xov xwm nrog cov muab ICQ tooj thiab qhia cov neeg muag khoom los mus hloov qhov chaw nyob ntawm tus neeg ntawm cov khoom nyob rau hauv ib tug tej yam lub teb chaws. Yog li, cov khoom xa mus rau ib tug tsis paub lo lus uas peb. Thiab nws yog lub feem ntau txawm piv txwv. Yog li ntawd, puas ntsoog coj. Thiab yog dab tsi txog ntau loj hackers uas yog tau ntau npaum li cas ...

xaus

Ntawm no yog ib nyuag thiab tag nrho cov uas koom rau IP kev ruaj ntseg tshawb. Ntawm cov hoob kawm, nws tsis yog cuam tshuam los ntawm tag nrho cov yam ntawm nws. Yog vim li cas yog cia li hais tias nyob rau hauv lub formulation ntawm cov teeb meem thiab cov hau kev ntawm nws tus cwj pwm muaj feem xyuam rau ib tug ntau yam, yog li qhov mus kom ze nyob rau hauv txhua rooj plaub yog nruj me ntsis tus neeg. Nyob rau hauv tas li ntawd, txoj kev thiab txhais tau tias ntawm cov ntaub ntawv kev ruaj ntseg tshawb tau yuav txawv rau txawv ICS. Txawm li cas los, kuv xav hais tias, lub dav dav xws li kev ntsuam xyuas rau ntau ua khees txawm nyob rau hauv thawj theem.