Categorieën
...

Audit van bedrijfsinformatiebeveiliging: concept, normen, voorbeeld

Veel zakenmensen proberen hun bedrijf geheim te houden. Aangezien de eeuw het tijdperk van geavanceerde technologie is, is het vrij moeilijk om te doen. Bijna iedereen probeert zichzelf te beschermen tegen het lekken van bedrijfs- en persoonlijke informatie, maar het is geen geheim dat het voor een professional niet moeilijk zal zijn om de benodigde gegevens te achterhalen. Op dit moment zijn er veel methoden die beschermen tegen dergelijke aanvallen. Maar om de effectiviteit van een dergelijk beveiligingssysteem te verifiëren, is het noodzakelijk om een ​​audit voor informatiebeveiliging uit te voeren.

audit van enterprise informatiebeveiliging

Wat is een audit?

Volgens de federale wet "On Auditing" omvat een audit verschillende methoden en methoden, evenals de praktische uitvoering van inspecties. Wat betreft de informatiebeveiliging van de onderneming, het is een onafhankelijke beoordeling van de staat van het systeem en het niveau van naleving van de vastgestelde vereisten. Er worden onderzoeken uitgevoerd met betrekking tot boekhouding en belastingrapportage, economische ondersteuning en financiële en economische activiteiten.

Waarom is een dergelijke controle noodzakelijk?

Sommigen beschouwen een dergelijke activiteit als verspilling van geld. Door problemen in deze sector tijdig te identificeren, kunnen echter nog grotere economische verliezen worden voorkomen. De doelstellingen van een informatiebeveiligingsaudit zijn:

  • bepaling van het beschermingsniveau en het op het noodzakelijke niveau brengen;
  • financiële afwikkeling in termen van het waarborgen van de vertrouwelijkheid van de organisatie;
  • demonstratie van de haalbaarheid van investeringen in deze sector;
  • Haal het maximale uit uw beveiligingskosten
  • bevestiging van de effectiviteit van interne krachten, controlemiddelen en hun reflectie op de bedrijfsvoering.

Hoe wordt informatiebeveiliging bij een onderneming gecontroleerd?

Een uitgebreide audit van informatiebeveiliging vindt plaats in verschillende fasen. Het proces is verdeeld in organisatorisch en instrumenteel. In het kader van beide delen van het complex wordt een onderzoek uitgevoerd naar de beveiliging van het bedrijfsinformatiesysteem van de klant en vervolgens wordt vastgesteld of aan de vastgestelde normen en eisen wordt voldaan. Een informatiebeveiligingsaudit is onderverdeeld in de volgende fasen:

  1. Bepaling van klantvereisten en werkomvang.
  2. De nodige materialen bestuderen en conclusies trekken.
  3. Analyse van mogelijke risico's.
  4. Mening van deskundigen over het verrichte werk en de juiste uitspraak.

informatiebeveiligingsauditWat zit er in de eerste fase van een audit voor informatiebeveiliging?

Het auditprogramma voor informatiebeveiliging begint precies met het verduidelijken van de hoeveelheid werk die de klant vereist. De cliënt drukt zijn mening en doel uit en streeft daarbij naar een expertbeoordeling.

In dit stadium begint de verificatie van de algemene gegevens die de klant verstrekt al. Hij wordt beschreven welke methoden zullen worden gebruikt, en de geplande reeks maatregelen.

De belangrijkste taak in dit stadium is om een ​​specifiek doel te stellen. De klant en de organisatie die de audit uitvoert, moeten elkaar begrijpen en overeenstemming bereiken over een gemeenschappelijk oordeel. Nadat de commissie is gevormd, wordt de samenstelling geselecteerd door de juiste specialisten. De vereiste technische specificaties worden ook afzonderlijk met de klant overeengekomen.

Het lijkt erop dat deze gebeurtenis alleen de status van het systeem moet beschrijven dat beschermt tegen informatie-aanvallen. Maar de uiteindelijke resultaten van de test kunnen verschillen.Sommigen zijn geïnteresseerd in volledige informatie over het werk van beschermingsmiddelen van het bedrijf van de klant, terwijl anderen alleen geïnteresseerd zijn in de efficiëntie van individuele informatietechnologielijnen. De keuze van methoden en beoordelingsmiddelen is afhankelijk van de vereisten. Het stellen van doelen is ook van invloed op het verdere werk van de commissie van deskundigen.

audit van informatiebeveiliging van organisaties

De werkgroep bestaat trouwens uit specialisten van twee organisaties - het bedrijf dat de audit uitvoert en de medewerkers van de gecontroleerde organisatie. Deze laatste kennen immers als geen ander de ingewikkeldheden van hun instelling en kunnen alle informatie verstrekken die nodig is voor een uitgebreide beoordeling. Ze voeren ook een soort controle uit over het werk van werknemers van het uitvoerende bedrijf. Met hun oordeel wordt rekening gehouden bij de publicatie van de resultaten van de controle.

De experts van het bedrijf die een audit van de informatiebeveiliging van de onderneming uitvoeren, houden zich bezig met het bestuderen van vakgebieden. Met een passend kwalificatieniveau en een onafhankelijke en onbevooroordeelde mening kunnen ze de werkstatus van beschermingsmiddelen nauwkeuriger beoordelen. Experts voeren hun activiteiten uit in overeenstemming met het geplande werkplan en de doelstellingen. Ze ontwikkelen technische processen en coördineren de resultaten met elkaar.

Het referentiekader legt duidelijk de doelen van de auditor vast, bepaalt de methoden voor de implementatie ervan. Het geeft ook de timing van de audit weer, het is zelfs mogelijk dat elke fase zijn eigen periode heeft.

In dit stadium wordt contact gelegd met de beveiligingsdienst van de gecontroleerde instelling. De auditor verplicht zich om de resultaten van de controle niet openbaar te maken.

Hoe verloopt de uitvoering van de tweede fase?

Een audit van de informatiebeveiliging van een onderneming in de tweede fase is een gedetailleerde verzameling informatie die nodig is om deze te evalueren. Om te beginnen overwegen we een algemene reeks maatregelen die gericht zijn op de implementatie van een privacybeleid.

Aangezien de meeste gegevens nu in elektronische vorm worden gedupliceerd of het bedrijf zijn activiteiten over het algemeen alleen met behulp van informatietechnologie uitvoert, valt ook software onder de test. Fysieke beveiliging wordt ook geanalyseerd.

In dit stadium zijn specialisten toegewijd aan het evalueren en evalueren van hoe informatiebeveiliging wordt gewaarborgd en gecontroleerd binnen de instelling. Hiertoe leent de organisatie van het beveiligingssysteem, evenals de technische mogelijkheden en voorwaarden voor de voorziening ervan, zich voor analyse. Aan het laatste punt wordt speciale aandacht besteed, omdat fraudeurs meestal beveiligingslekken vinden juist door het technische gedeelte. Om deze reden worden de volgende punten afzonderlijk beschouwd:

  • software structuur;
  • configuratie van servers en netwerkapparaten;
  • privacy mechanismen.

Een audit van de informatiebeveiliging van de onderneming eindigt in dit stadium met een debriefing en uitdrukking van de resultaten van het werk dat is verricht in de vorm van een rapport. Het zijn de gedocumenteerde conclusies die de basis vormen voor de uitvoering van de volgende fasen van de controle.

Hoe worden mogelijke risico's geanalyseerd?

Er wordt ook een informatiebeveiligingsaudit van organisaties uitgevoerd om echte bedreigingen en de gevolgen daarvan te identificeren. Aan het einde van deze fase moet een lijst met maatregelen worden opgesteld die de mogelijkheid van informatie-aanvallen vermijden of op zijn minst minimaliseren.

waarborgen en controleren van informatiebeveiliging

Om privacyschendingen te voorkomen, moet u het aan het einde van de vorige stap ontvangen rapport analyseren. Dankzij dit is het mogelijk om te bepalen of een echte indringing in de ruimte van het bedrijf mogelijk is. Er wordt een uitspraak gedaan over de betrouwbaarheid en prestaties van bestaande technische beschermingsmiddelen.

Aangezien alle organisaties verschillende werkgebieden hebben, kan de lijst met beveiligingsvereisten niet identiek zijn.Voor de gecontroleerde instelling wordt een lijst individueel ontwikkeld.

Zwakheden worden ook in dit stadium geïdentificeerd en de client krijgt informatie over potentiële aanvallers en dreigende bedreigingen. Dit laatste is nodig om te weten aan welke kant je moet wachten en hier meer aandacht aan te schenken.

Het is ook belangrijk voor de klant om te weten hoe effectief de innovaties en resultaten van de expertcommissie zullen zijn.

De analyse van mogelijke risico's heeft de volgende doelstellingen:

  • classificatie van informatiebronnen;
  • identificatie van kwetsbaarheden in de workflow;
  • prototype van een mogelijke oplichter.

Met analyse en audit kunt u bepalen hoe mogelijk het succes van informatie-aanvallen. Hiertoe wordt de kriticiteit van zwakke punten en manieren om deze voor illegale doeleinden te gebruiken, geëvalueerd.

Wat is de laatste fase van de audit?

De laatste fase wordt gekenmerkt door het schrijven van de resultaten van het werk. Het document dat uitkomt, wordt een auditrapport genoemd. Het consolideert de conclusie over het algemene beveiligingsniveau van het gecontroleerde bedrijf. Los daarvan is er een beschrijving van de effectiviteit van het informatietechnologiesysteem met betrekking tot beveiliging. Het rapport biedt richtlijnen voor mogelijke bedreigingen en beschrijft een model van een mogelijke aanvaller. Het beschrijft ook de mogelijkheid van ongeoorloofde inbraak door interne en externe factoren.

Auditstandaarden voor informatiebeveiliging bieden niet alleen een beoordeling van de status, maar ook aanbevelingen door een commissie van deskundigen over de noodzakelijke activiteiten. Het zijn de experts die het uitgebreide werk hebben uitgevoerd, de informatie-infrastructuur hebben geanalyseerd, die kunnen zeggen wat er moet gebeuren om zichzelf te beschermen tegen diefstal van informatie. Ze geven de plaatsen aan die moeten worden versterkt. Experts bieden ook richtlijnen voor technologische ondersteuning, dat wil zeggen apparatuur, servers en firewalls.

interne audit van informatiebeveiliging

Aanbevelingen zijn die wijzigingen die moeten worden aangebracht in de configuratie van netwerkapparaten en servers. Misschien hebben de instructies rechtstreeks betrekking op geselecteerde veiligheidsmethoden. Indien nodig zullen deskundigen een reeks maatregelen voorschrijven die gericht zijn op het verder versterken van de mechanismen die bescherming bieden.

Het bedrijf moet ook speciale voorlichtingsactiviteiten uitvoeren en een beleid ontwikkelen dat gericht is op vertrouwelijkheid. Misschien moeten veiligheidshervormingen worden doorgevoerd. Een belangrijk punt is de wettelijke en technische basis, die verplicht is om de bepalingen over de veiligheid van het bedrijf te consolideren. Het team moet correct worden geïnstrueerd. Invloedssferen en toegewezen verantwoordelijkheid worden onder alle medewerkers gedeeld. Als dit geschikt is, is het beter om een ​​cursus te volgen om de opleiding van het team met betrekking tot informatiebeveiliging te verbeteren.

Welke soorten audit bestaan ​​er?

Audit van informatiebeveiliging van een onderneming kan van twee soorten zijn. Afhankelijk van de bron van dit proces kunnen de volgende typen worden onderscheiden:

  1. Externe vorm. Het verschilt in die zin dat het wegwerpbaar is. De tweede functie is dat het wordt geproduceerd door onafhankelijke en onpartijdige experts. Als het van aanbeveling is, wordt het besteld door de eigenaar van de instelling. In sommige gevallen is een externe audit vereist. Dit kan te wijten zijn aan het type organisatie en aan buitengewone omstandigheden. In het laatste geval zijn de initiatiefnemers van een dergelijke controle in de regel wetshandhavingsinstanties.
  2. Innerlijke vorm. Het is gebaseerd op een gespecialiseerde bepaling die auditgedrag voorschrijft. Een interne audit van informatiebeveiliging is noodzakelijk om het systeem constant te controleren en kwetsbaarheden te identificeren.Het is een lijst met gebeurtenissen die plaatsvinden in een bepaalde periode. Voor dit werk wordt meestal een speciale afdeling of een geautoriseerde medewerker opgericht. Hij diagnosticeert de staat van beschermingsmiddelen.

Hoe wordt een actieve audit uitgevoerd?

Afhankelijk van wat de klant nastreeft, worden ook de methoden voor audit van informatiebeveiliging gekozen. Een van de meest voorkomende manieren om het beveiligingsniveau te bestuderen, is een actieve audit. Het is een verklaring van een echte hackeraanval.

auditnormen voor informatiebeveiliging

Het voordeel van deze methode is dat deze de meest realistische simulatie van de mogelijkheid van een bedreiging mogelijk maakt. Dankzij een actieve audit kunt u begrijpen hoe een vergelijkbare situatie zich in het leven zal ontwikkelen. Deze methode wordt ook instrumentele beveiligingsanalyse genoemd.

De essentie van een actieve audit is de implementatie (met speciale software) van een poging tot ongeoorloofde toegang tot een informatiesysteem. Tegelijkertijd moet de beschermende uitrusting volledig gereed zijn. Dankzij dit is het mogelijk om hun werk in een dergelijk geval te evalueren. Een persoon die een kunstmatige hackeraanval uitvoert, krijgt een minimum aan informatie. Dit is nodig om de meest realistische omstandigheden opnieuw te creëren.

Ze proberen het systeem aan zoveel mogelijk aanvallen bloot te stellen. Met behulp van verschillende methoden kunt u de hackmethoden evalueren waaraan het systeem het meest wordt blootgesteld. Dit hangt natuurlijk af van de kwalificaties van de specialist die dit werk uitvoert. Maar zijn acties mogen niet van destructieve aard zijn.

Uiteindelijk genereert de expert een rapport over de zwakke punten van het systeem en de informatie die het meest toegankelijk is. Het biedt ook aanbevelingen voor mogelijke upgrades, die een verhoogde beveiliging op het juiste niveau moeten garanderen.

Wat is een expert audit?

Om te bepalen of het bedrijf voldoet aan de vastgestelde eisen, wordt ook een audit voor informatiebeveiliging uitgevoerd. Een voorbeeld van een dergelijke taak is te zien in de expertmethode. Het bestaat uit een vergelijkende beoordeling met de brongegevens.

Dat zeer ideale beveiligingswerk kan op verschillende bronnen zijn gebaseerd. De klant kan zelf eisen stellen en doelen stellen. Het hoofd van het bedrijf wil misschien weten hoe ver het beveiligingsniveau van zijn organisatie is van wat hij wil.

Het prototype waartegen een vergelijkende beoordeling zal worden uitgevoerd, kunnen algemeen erkende internationale normen zijn.

Volgens de federale wet "inzake controle" heeft de uitvoerende onderneming voldoende bevoegdheden om relevante informatie te verzamelen en te concluderen dat de bestaande maatregelen om de informatiebeveiliging te waarborgen voldoende zijn. De consistentie van wettelijke documenten en de acties van werknemers met betrekking tot de werking van beschermingsmiddelen wordt ook geëvalueerd.

Wat is de controle op de naleving van normen?

Deze soort lijkt erg op de vorige, omdat de essentie ook een vergelijkende beoordeling is. Maar alleen in dit geval is het ideale prototype geen abstract concept, maar de duidelijke eisen die zijn vastgelegd in de wettelijke en technische documentatie en normen. Het bepaalt echter ook de mate van naleving van het niveau dat is vastgelegd in het privacybeleid van het bedrijf. Zonder naleving van dit moment kunnen we niet praten over verder werk.

informatiebeveiligingsaudit voorbeeld

Meestal is dit type audit noodzakelijk voor certificering van het bestaande beveiligingssysteem bij de onderneming. Dit vereist het advies van een onafhankelijke deskundige. Hier is niet alleen het beschermingsniveau belangrijk, maar ook de tevredenheid over erkende kwaliteitsnormen.

We kunnen dus concluderen dat om dit soort procedures uit te voeren, u een beslissing moet nemen over de uitvoerder en ook de reeks doelen en doelstellingen moet markeren op basis van uw eigen behoeften en mogelijkheden.


Voeg een reactie toe
×
×
Weet je zeker dat je de reactie wilt verwijderen?
Verwijder
×
Reden voor klacht

bedrijf

Succesverhalen

uitrusting