सूचना सुरक्षा लेखा परीक्षा

सूचना सुरक्षा ऑडिट किसी कंपनी की सूचना प्रणाली सुरक्षा की स्थिति की निगरानी के लिए मुख्य उपकरण है। सेवा को सामान्य आईटी ऑडिट के साथ और एक स्वतंत्र परियोजना के रूप में दोनों के साथ किया जा सकता है।

चुनौतियों का समाधान करने के लिए सुरक्षा लेखा परीक्षा की जाती है:

• सुरक्षा के सूचना प्रणाली स्तर को स्वीकार्य स्तर तक बढ़ाना;
• सूचना सुरक्षा सुनिश्चित करने और निवेशित निधियों से अधिकतम परिणाम प्राप्त करने के लिए लागतों का अनुकूलन और योजना बनाना;
• पुष्टि है कि उपयोग किए गए आंतरिक नियंत्रण संगठन के उद्देश्यों के लिए उपयुक्त हैं और वे दक्षता और व्यावसायिक निरंतरता सुनिश्चित कर सकते हैं;
• सूचना सुरक्षा घटनाओं के बाद (सबसे खराब स्थिति)।

सूचना सुरक्षा लेखा परीक्षा एक ऐसी सेवा है जिसे समय-समय पर आदेशित किया जा सकता है और किया जाना चाहिए। उदाहरण के लिए, वर्ष में एक बार ऐसा ऑडिट करना, आपको यह सुनिश्चित करने की अनुमति देता है कि सूचना सुरक्षा प्रणाली का स्तर समान स्तर पर बना रहे।

सूचना सुरक्षा ऑडिट आपको मौजूदा समस्याओं को स्थानीयकृत करने के लिए सूचना प्रणाली की सुरक्षा का सबसे पूर्ण और उद्देश्यपूर्ण मूल्यांकन प्राप्त करने की अनुमति देता है। संगठनों की सूचना सुरक्षा प्रणाली को सर्वश्रेष्ठ में बदलने के लिए सिफारिशें विकसित करना।

सूचना सुरक्षा ऑडिट स्टाफ (आंतरिक ऑडिट) और स्वतंत्र विशेषज्ञों (बाहरी ऑडिट) दोनों को शामिल करके किया जा सकता है। क्वर्टी नेटवर्क्स से ग्राहकों के लिए सूचना सुरक्षा के बाहरी ऑडिट के लाभ:

• ऑडिट एक स्वतंत्र अध्ययन है जो आपको वस्तुनिष्ठ परिणाम प्राप्त करने की अनुमति देता है।
• ऑडिट करने वाले हमारे विशेषज्ञ संगठन के नियमित कर्मचारियों की तुलना में इस तरह के काम में अधिक योग्य और अधिक अनुभवी हैं।
• किसी विशेष संगठन को ऑडिट का काम सौंपना सस्ता है क्योंकि उनके उच्च-गुणवत्ता वाले प्रदर्शन को अपने दम पर व्यवस्थित करना कहीं अधिक महंगा है।

सूचना सुरक्षा लेखा परीक्षा प्रकार:

व्यापक सिस्टम सुरक्षा ऑडिट - सूचना प्रणाली सुरक्षा का परीक्षण, जिसमें संसाधनों की एक सूची शामिल है, सभी स्तरों (नेटवर्क, ओएस, डीबीएमएस, एप्लिकेशन) पर कमजोरियों के लिए मैन्युअल और स्वचालित खोज, कमजोरियों का फायदा उठाने का प्रयास, विभिन्न साइबर हमलों को लागू करने की संभावना की जांच करना आदि शामिल हैं। इस तरह के परीक्षण का उद्देश्य उनके बाद के उन्मूलन के लिए अधिकतम संख्या में शोषित कमजोरियों की पहचान करना और उनका दस्तावेजीकरण करना है।

सूचना सुरक्षा प्रणाली प्रबंधन लेखा परीक्षा - अंतरराष्ट्रीय मानक आईएसओ 27001: 2005 या रूसी गोस्ट आर 27001: 2006 की आवश्यकताओं के अनुपालन के लिए सूचना सुरक्षा प्रबंधन प्रक्रियाओं का ऑडिट।

हम रूसी कानून (संघीय कानून एन 152-एफजेड ″व्यक्तिगत डेटा पर″, एन 161-एफजेड ″राष्ट्रीय भुगतान प्रणाली पर″, आदि) की आवश्यकताओं के अनुपालन के लिए ऑडिट भी करते हैं।

भेदन परीक्षण एक परीक्षण है जिसमें एक विशेषज्ञ को कुछ डेटा तक पहुंच प्राप्त करने का काम सौंपा जाता है और वह इस लक्ष्य को प्राप्त करने के लिए हैकर टूल के चुनाव में व्यावहारिक रूप से असीमित है। ऑडिट का परिणाम एक सफल पैठ परिदृश्य का वर्णन करने वाली एक रिपोर्ट है जिसमें उपयोग की गई कमजोरियों का विवरण है। परीक्षण के भाग के रूप में, सोशल इंजीनियरिंग विधियों का उपयोग किया जा सकता है, जिसकी सहायता से गोपनीय जानकारी प्राप्त करने के उद्देश्य से कंपनी के कर्मचारियों की भ्रामक और जोड़ तोड़ तकनीकों का विरोध करने की क्षमता का आकलन किया जाता है।

प्रोग्राम कोड सुरक्षा ऑडिट - कोडिंग त्रुटियों से जुड़ी कमजोरियों की पहचान करने के लिए सॉफ़्टवेयर स्रोत कोड का विश्लेषण, सॉफ़्टवेयर बुकमार्क को जानबूझकर सम्मिलित करना, अनिर्दिष्ट सुविधाओं की उपस्थिति आदि।

वेब सुरक्षा ऑडिट - वेबसाइटों के कोड में कमजोरियों की खोज और उन्मूलन, साथ ही हैकर के हमलों से बचाव के लिए निवारक उपायों की शुरूआत।

नेटवर्क सुरक्षा परीक्षण सभी प्रकार के सूचना सुरक्षा ऑडिट के लिए हो रहा है।

नेटवर्क सुरक्षा परीक्षण का सार यह है कि विशेष सॉफ्टवेयर और विधियों (सुरक्षा विश्लेषण प्रणालियों सहित) का उपयोग करके नेटवर्क सुरक्षा प्रणाली की स्थिति के बारे में जानकारी एकत्र की जाती है। नेटवर्क सुरक्षा प्रणाली की स्थिति केवल उन मापदंडों और सेटिंग्स को संदर्भित करती है, जिनके उपयोग से हैकर को नेटवर्क में प्रवेश करने और कंपनी को नुकसान पहुंचाने में मदद मिलती है।

सूचना सुरक्षा प्रणाली पर इस प्रकार का ऑडिट करते समय, जितने संभव हो उतने नेटवर्क हमलों का अनुकरण किया जाता है जो एक हैकर कर सकता है। उसी समय, ऑडिटर को कृत्रिम रूप से ठीक उसी स्थिति में रखा जाता है जिसमें हैकर काम करता है - उसे न्यूनतम जानकारी प्रदान की जाती है, केवल वही जो खुले स्रोतों से प्राप्त की जा सकती है। बेशक हमले केवल नकली होते हैं और सूचना प्रणाली पर कोई विनाशकारी प्रभाव नहीं डालते हैं। उनकी विविधता उपयोग की गई सुरक्षा विश्लेषण प्रणालियों और लेखा परीक्षक की योग्यता पर निर्भर करती है। नेटवर्क सुरक्षा परीक्षण का परिणाम सभी नेटवर्क कमजोरियों, उनकी गंभीरता की डिग्री और उन्मूलन के तरीकों, ग्राहकों के नेटवर्क के व्यापक रूप से उपलब्ध डेटा (किसी भी संभावित घुसपैठिए के लिए उपलब्ध जानकारी) के बारे में जानकारी है।

नेटवर्क सुरक्षा का परीक्षण करते समय हमेशा आयोजित किया जाता है:

• बाहरी नेटवर्क से उपलब्ध ग्राहक के आईपी पते का निर्धारण;
• चल रही सेवाओं और सेवाओं को निर्धारित करने के लिए, स्कैन किए गए मेजबानों के उद्देश्य को निर्धारित करने के लिए आईपी पते की स्कैनिंग;
• स्कैन किए गए होस्ट की सेवाओं और सेवाओं के संस्करणों की परिभाषा;
• ग्राहक के मेजबानों के लिए यातायात के मार्गों का अध्ययन करना;
• खुले स्रोतों से ग्राहक के आईपी के बारे में जानकारी का संग्रह;
• कमजोरियों की पहचान करने के लिए प्राप्त आंकड़ों का विश्लेषण।

नेटवर्क सुरक्षा परीक्षण के अंत में सूचना सुरक्षा प्रणाली के उन्नयन के लिए सिफारिशें जारी की जाती हैं। यह खतरनाक कमजोरियों को समाप्त कर सकता है और इस तरह सूचना सुरक्षा के लिए न्यूनतम लागत के साथ ″बाहरी″ हमलावर के कार्यों से सूचना प्रणाली की सुरक्षा के स्तर को बढ़ा सकता है।

सेवा सूचना सुरक्षा की दिशा के ढांचे के भीतर प्रदान की जाती है।

सहयोग विकल्प