انفارمیشن سیکورٹی آڈٹ: مقاصد، طریقہ کار اور آلات، مثال. بینک کی معلومات سیکورٹی آڈٹ

آج، سب کو، معلومات کا مالک ہے کہ تقریبا مقدس جملہ جانتا ہے دنیا کا مالک ہے. یہی وجہ ہے کہ چوری کرنے ہمارے وقت میں کیوں خفیہ معلومات اور متفرق کرنے کی کوشش کر رہے ہیں. اس سلسلے میں، بے مثال اقدامات اور ممکنہ حملوں کے خلاف تحفظ کے اسباب کے نفاذ لیا. تاہم، کبھی کبھی آپ انٹرپرائز انفارمیشن سیکورٹی کا آڈٹ کرنے کے لئے کی ضرورت ہو سکتی ہے. یہ کیا ہے اور کیوں اب یہ سب ہے، اور سمجھنے کی کوشش کریں.

عام تعریف میں اطلاعاتی سلامتی کا آڈٹ کیا ہے؟

کون دقیق سائنسی اصطلاحات کو متاثر، اور ( "Dummies کے" کے لئے لوگوں کو یہ آڈٹ کہا جا سکتا ہے) سب سے زیادہ سادہ زبان میں ان کے بیان، خود کے لئے بنیادی تصورات کا تعین کرنے کی کوشش نہیں کرے گا.

پیچیدہ واقعات کا نام ہی کے لئے بولتا ہے. انفارمیشن سیکورٹی آڈٹ ایک آزاد توثیق یا ہے ہم مرتبہ کا جائزہ لینے کے خاص طور پر تیار نہ ڈھونڈ سکی اور اشارے کی بنیاد پر کسی بھی کمپنی، ادارہ یا تنظیم کی معلومات کے نظام (ہے) کی حفاظت کو یقینی بنانے کے لئے.

عام الفاظ میں، مثال کے طور پر، الیکٹرانک پیسے کی حفاظت، بینکنگ رازداری کا تحفظ، اور باہر سے ادارے غیر مجاز افراد کی سرگرمیوں میں مداخلت کی صورت میں اسی طرح کی. D. کا استعمال کرتے ہوئے بینکاری کی کارروائیوں کی طرف سے منعقد کسٹمر ڈیٹا بیس کے تحفظ کی سطح کا اندازہ کرنے کے فوڑے آڈٹ بینک کی معلومات سیکورٹی، الیکٹرانک اور کمپیوٹر سہولیات.

یقینی طور پر، قارئین کے درمیان قرض یا جمع، بینک جو کوئی تعلق نہیں ہے جس کے ساتھ پروسیسنگ کی ایک تجویز کے ساتھ گھر یا موبائل فون کو کہا جاتا ہے جو کم از کم ایک شخص نہیں ہے. اسی خریدیراریوں پر لاگو ہوتا ہے اور بعض دکانوں سے پیش کرتا ہے. کہاں اپنے کمرے تک پہنچا ہے؟

یہ آسان ہے. ایک شخص نے پہلے قرض لیا یا ایک ڈپازٹ اکاؤنٹ میں سرمایہ کاری کی ہے، تو ظاہر ہے، اس کا ڈیٹا ایک عام میں محفوظ کیا جاتا ہے کسٹمر بیس. آپ کو ایک اور بینک یا اسٹور سے فون کرتے ہیں تو صرف ایک ہی نتیجے پر ہو سکتا ہے: اس کے بارے میں معلومات کسی تیسری پارٹی کو غیر قانونی طور پر آئے تھے. کس طرح؟ عام طور پر، دو اختیارات ہیں: یا تو یہ چوری کیا گیا تھا، یا جان بوجھ کر تیسری پارٹی کو بینک کے ملازمین کو منتقل کیا. واسطے کے لئے اس طرح کی چیزیں ہوتی نہیں تھی، اور آپ کے بینک کی معلومات سیکورٹی کا آڈٹ کرنے کے لئے وقت کی ضرورت ہے، اور یہ نہ صرف کمپیوٹر یا تحفظ کی "لوہا" کا مطلب ہے، لیکن ادارے کے تمام ملازمین پر لاگو ہوتا ہے.

انفارمیشن سیکورٹی آڈٹ کے اہم ہدایات

آڈٹ کے دائرہ کار کا تعلق ہے، ایک اصول کے طور پر، وہ کئی ہیں:

• معلومات کے عمل میں ملوث اشیاء سے بھرا چیک (کمپیوٹر خود کار نظام، مواصلات، استقبالیہ، معلومات منتقل کرنے اور پروسیسنگ، سہولیات، رازدارانہ میٹنگوں کے احاطے، نگرانی کے نظام، وغیرہ کے مطلب ہے)؛
• محدود رسائی کے ساتھ خفیہ معلومات کے تحفظ کی وشوسنییتا کی جانچ پڑتال (ممکن رساو اور ممکنہ سیکورٹی سوراخ معیاری اور غیر معیاری طریقوں کے استعمال کے ساتھ باہر سے اس تک رسائی حاصل کی اجازت دی چینلز کا تعین)؛
• ان کو بند کردیں یا disrepair میں لانے کی اجازت دی ہے، برقناطیسی تابکاری اور مداخلت کے لئے کی نمائش کے لئے تمام الیکٹرانک ہارڈ ویئر اور مقامی کمپیوٹر کے نظام کی جانچ پڑتال؛
• منصوبے حصہ ہے، جس سے اس کے عملی نفاذ میں تخلیق اور سیکورٹی کے تصور کی درخواست پر کام بھی شامل ہے (کمپیوٹر سسٹمز، سہولیات، مواصلات کی سہولیات، وغیرہ کے تحفظ).

یہ آڈٹ کے لئے آتا ہے؟

نازک حالات دفاع نے پہلے ہی ٹوٹ گیا تھا جہاں، کسی تنظیم میں انفارمیشن سیکورٹی کے آڈٹ کئے جا سکتے ہیں، اور کچھ دیگر مقدمات میں ذکر کرنا.

عام طور پر، ان کی کمپنی کی توسیع، انضمام، حصول، قبضے دیگر کمپنیوں کی طرف سے شامل ہیں، کاروبار کے تصورات یا ہدایات، بین الاقوامی قانون میں یا ایک ملک کے اندر قانون سازی میں تبدیلی، معلومات کے بنیادی ڈھانچے میں بلکہ سنگین تبدیلیوں کے دوران تبدیل.

آڈٹ کی اقسام

آج، آڈٹ کی اس قسم کی بہت کی درجہ بندی، بہت سے تجزیہ کاروں اور ماہرین کے مطابق قائم نہیں ہے. لہذا، بعض صورتوں میں طبقاتی تقسیم کافی صوابدیدی ہو سکتا ہے. اس کے باوجود عام طور پر، معلومات سیکورٹی کے آڈٹ اندرونی اور بیرونی حصوں میں تقسیم کیا جا سکتا ہے.

آزاد ماہرین کو ایسا کرنے کا حق ہے جنہوں طرف سے کئے گئے ایک بیرونی آڈٹ، عام طور پر ایک ایک وقت چیک، مینجمنٹ، حصص یافتگان، قانون نافذ کرنے والے اداروں، وغیرہ کی طرف سے شروع کیا جا سکتا ہے جس میں ہے یہ خیال کیا جاتا ہے کہ انفارمیشن سیکورٹی کے ایک بیرونی آڈٹ سفارش کی جاتی ہے (لیکن ضروری نہیں) وقت کی ایک سیٹ کی مدت کے لئے باقاعدگی سے انجام دینے کے لئے. لیکن بعض تنظیموں اور کاروباری اداروں کے لئے، قانون کے مطابق یہ لازمی ہے (مثال، مالیاتی اداروں اور تنظیموں، مشترکہ اسٹاک کمپنیوں، اور دوسروں کے لئے.).

اندرونی آڈیٹ کی معلومات سیکورٹی ایک مسلسل عمل ہے. یہ ایک خصوصی "اندرونی آڈٹ کے بارے میں قواعد" پر مبنی ہے. یہ کیا ہے؟ اصل میں، یہ تصدیق کی سرگرمیوں کو تنظیم میں، شرائط کے انتظام کی طرف سے منظوری دے دی میں کئے گئے. انٹرپرائز کی خصوصی ساخت ذیلی تقسیم طرف سے کسی انفارمیشن سیکورٹی آڈٹ.

آڈٹ کے متبادل کی درجہ بندی

عام کیس میں کلاسوں میں مندرجہ بیان ڈویژن کے علاوہ، ہم بین الاقوامی درجہ بندی میں کی جانے والی کئی اجزاء کی تمیز کر سکتے ہیں:

• ماہر ماہرین کا ذاتی تجربہ ہے، اس کے انعقاد کی بنیاد پر معلومات کی حفاظت اور معلوماتی نظام کی حیثیت کی جانچ پڑتال؛
• بین الاقوامی معیار (ISO 17799) اور سرگرمی کے اس میدان کے ریگولیٹری قومی قانونی دستاویزات کے ساتھ تعمیل کے لئے سرٹیفیکیشن نظام اور سیکورٹی اقدامات؛
• سافٹ ویئر اور ہارڈ ویئر کے احاطے میں ممکنہ خطرات کی نشاندہی کا مقصد تکنیکی ذرائع کے استعمال کے ساتھ معلومات کے نظام کی سلامتی کے تجزیہ.

کبھی کبھی یہ درخواست دی اور نام نہاد جامع آڈٹ، اوپر کی اقسام میں سے سب کو شامل ہے جس کی جاسکتی ہے. ویسے، وہ سب سے زیادہ مقصد کے نتائج فراہم کرتا ہے.

مرحلہ وار اہداف اور مقاصد

کوئی تصدیق، اندرونی یا بیرونی، چاہے اہداف اور مقاصد کی ترتیب کے ساتھ شروع ہوتا ہے. سادہ لفظوں میں، آپ کیوں، جانچا جائے گا کہ کس طرح اور اس بات کا تعین کرنے کی ضرورت ہے. یہ پورے عمل کو لے کر کے مزید طریقہ کار کا تعین کرے گا.

ٹاسکس، انٹرپرائز، تنظیم، ادارے اور اس کی سرگرمیوں کی مخصوص ساخت کے لحاظ سے کافی ہو سکتا ہے. تاہم، یہ سب رہائی کے درمیان، معلومات سیکورٹی آڈٹ کا متحد مقصد:

• انفارمیشن سیکورٹی اور معلوماتی نظام کی حالت کا اندازہ؛
• خارجی IP اور مثلا مداخلت کے ممکنہ طریقوں میں دخول کے خطرے کے ساتھ منسلک ممکنہ خطرات کا تجزیہ؛
• سیکورٹی کے نظام میں سوراخ اور فرق کی لوکلائزیشن؛
• موجودہ معیار اور ریگولیٹری اور قانونی کارروائیوں کو معلومات کے نظام کی سیکورٹی کے مناسب سطح کا تجزیہ؛
• ترقی اور موجودہ مسائل کی برطرفی، کے ساتھ ساتھ بہتری موجودہ علاج میں سے ہے اور نئے ترقی کے تعارف شامل سفارشات کی ترسیل.

طریقہ کار اور آڈٹ کے اوزار

ابھی کیسے چیک اور کیا اقدامات اور اس کا مطلب یہ شامل ہے کے بارے میں چند الفاظ.

کسی انفارمیشن سیکورٹی آڈٹ کئی مراحل پر مشتمل ہوتا ہے:

• توثیق کے طریقہ کار کی شروعات (آڈیٹر کے حقوق اور ذمہ داریوں کی واضح تعریف، آڈیٹر منصوبہ بندی کی تیاری اور انتظام کے ساتھ اس کی ہم آہنگی چیک کرتا ہے، مطالعہ کی حدود کا سوال، تنظیم عزم کے ارکان پر نفاذ دیکھ بھال کرنے اور متعلقہ معلومات کی بروقت فراہمی)؛
• ابتدائی اعداد و شمار کے (سیکورٹی ڈھانچہ، سیکورٹی خصوصیات کی تقسیم، حاصل کرنے اور مواصلاتی چینلز اور دیگر ڈھانچے کے ساتھ آئی پی کی بات چیت، کمپیوٹر نیٹ ورک کے صارفین کے تنظیمی ڈھانچے، عزم پروٹوکول، وغیرہ کے بارے میں معلومات، عزم فراہم کرنے کے لئے نظام کی کارکردگی کا تجزیہ کرنے کے طریقوں کی سیکورٹی کی سطح) جمع.
• ایک جامع یا جزوی معائنہ کرانے؛
• ڈیٹا انیلیسیز کی (کسی بھی قسم کی اور تعمیل کے خطرات کا تجزیہ)؛
• سفارشات جاری کرنے ممکنہ مسائل سے نمٹنے کے لئے؛
• رپورٹ نسل.

کیونکہ اس کے فیصلے کمپنی کی انتظامیہ اور آڈیٹر کے درمیان مکمل طور پر بنایا گیا ہے پہلے مرحلے، سب سے زیادہ آسان ہے. تجزیہ کی حدود ملازمین یا حصص یافتگان کے عام اجلاس میں غور کیا جا سکتا ہے. یہ سب اور اس سے زیادہ قانونی میدان سے متعلق.

بنیادی ڈیٹا کی وصولی کا دوسرا مرحلہ، یہ معلومات سیکورٹی یا بیرونی آزاد سرٹیفکیشن کا اندرونی آڈٹ ہے چاہے سب سے زیادہ وسائل انتہائی ہے. یہ اس مرحلے پر آپ کو نہ صرف ہارڈ ویئر اور سافٹ ویئر سے متعلق تکنیکی دستاویزات کی جانچ پڑتال کرنے کی ضرورت ہے، لیکن یہ بھی تنگ انٹرویو کرنے کی کمپنی کے ملازمین کو اس حقیقت کی وجہ سے ہے، اور یہاں تک کہ خصوصی سوالنامے یا سروے کو بھرنے کے ساتھ زیادہ تر مقدمات میں.

تکنیکی دستاویزات کے طور پر، یہ سافٹ ویئر کے قائم تحفظ کے طور پر، اس کے ملازمین کے لئے اور رسائی کے حقوق کی ترجیح سطح آایسی ساخت پر ڈیٹا حاصل نظام گیر اور ایپلیکیشن سافٹ ویئر (کاروبار ایپلی کیشنز کے لیے آپریٹنگ سسٹم، ان کی انتظامیہ اور اکاؤنٹنگ) کی شناخت کے لئے، کے ساتھ ساتھ کے لئے اہم ہے اور غیر پروگرام قسم (اینٹی وائرس سافٹ ویئر، firewalls کے، وغیرہ). (معلومات کے بہاؤ کی نیٹ ورک کی تنظیم، کنکشن کے لئے استعمال پروٹوکول، مواصلاتی چینلز کے اقسام، ٹرانسمیشن اور استقبالیے کے طریقوں، اور مزید) کے علاوہ، اس نیٹ ورک اور ٹیلی کمیونیکیشن کی خدمات کے فراہم کرنے والے کے مکمل تصدیقی بھی شامل ہے. واضح ہے کے طور پر، یہ وقت کی ایک بہت لیتا ہے.

اگلے مرحلے میں، انفارمیشن سیکورٹی آڈٹ کے طریقوں. وہ تین یہ ہیں:

• خطرے کے تجزیہ (مشکل ترین تکنیک، IP خلاف ورزی کے دخول اور تمام ممکنہ طریقوں اور آلات کا استعمال کرتے ہوئے اپنی سالمیت کو آڈیٹر کے تعین کی بنیاد پر)؛
• معیار اور قانون سازی (آسان ترین اور سب سے زیادہ عملی طریقہ کار کے معاملات کی موجودہ حالت کا موازنہ اور بین الاقوامی معیار اور انفارمیشن سیکورٹی کے میدان میں گھریلو دستاویزات کی ضروریات کی بنیاد پر) کے ساتھ تعمیل کی تشخیص؛
• مشترکہ طریقہ کار پہلے دو یکجا.

ان کے تجزیہ کی تصدیق کے نتائج حاصل کرنے کے بعد. فنڈ آڈٹ انفارمیشن سیکورٹی کے تجزیہ کے لئے استعمال کیا جاتا ہے، جس سے بہت مختلف ہو سکتا ہے. یہ سب انٹرپرائز، معلومات کی قسم، آپ کو استعمال کے سافٹ ویئر، تحفظ اور اسی طرح کی. تاہم، پہلا طریقہ پر دیکھا جا سکتا ہے کے طور پر، آڈیٹر بنیادی طور پر ان کے اپنے تجربے پر انحصار کرنے کی ضرورت کی تفصیلات پر منحصر ہے.

اور یہ صرف کا مطلب ہے کہ یہ انفارمیشن ٹیکنالوجی اور ڈیٹا کے تحفظ کے میدان میں پوری طرح سے اہل ہونا چاہیے. اور اس کا تجزیہ، آڈیٹر کی بنیاد پر ممکنہ خطرات کا حساب لگاتا ہے.

نوٹ یہ کاروبار یا اکاؤنٹنگ کے لئے، آپریٹنگ سسٹم یا مثال کے طور پر استعمال کیا پروگرام میں نہ صرف نمٹنے چاہئے بلکہ ایک حملہ آور کی چوری، نقصان اور ڈیٹا کی تباہی، خلاف ورزیوں کے لئے پیشگی شرائط کی تخلیق کے مقصد کے لئے معلومات کے نظام میں گھسنا کر سکتے ہیں کہ کس طرح واضح طور پر سمجھنے کے لئے کمپیوٹرز میں وائرس یا مالویئر کے پھیلاؤ.

آڈٹ کے نتائج اور مسائل کو حل کرنے کی سفارشات کی تشخیص

تجزیہ کی بنیاد پر ماہر تحفظ حیثیت کے بارے میں اختتام پذیر اور موجودہ یا ممکنہ مسائل سے نمٹنے کے لیے سفارشات، سیکورٹی اپ گریڈ، وغیرہ دیتا ہے سفارشات صرف منصفانہ نہیں ہونا چاہئے، بلکہ واضح طور پر انٹرپرائز تفصیلات کے حقائق سے منسلک. دوسرے الفاظ میں، کمپیوٹر یا سافٹ ویئر کی ترتیب کی اپ گریڈنگ کے بارے میں تجاویز کو قبول نہیں کر رہے ہیں. یہ بھی اتنا ہی ان کی منزل، مقام اور مناسبت کی وضاحت کے بغیر "ناقابل بھروسہ 'اہلکاروں، نئے باخبر رہنے کے نظام کو نصب کی برخاستگی کے مشورے پر لاگو ہوتا ہے.

تجزیہ کی بنیاد پر، ایک اصول کے طور پر، کئی خطرے گروپ موجود ہیں. اس صورت میں، ایک خلاصہ رپورٹ دو اہم اشارے استعمال کرتا مرتب کرنے کے لئے: (. اثاثوں کے نقصان، ساکھ کی کمی، اسی تصویر کے نقصان اور) ایک حملے کے امکانات اور اس کے نتیجے کے طور پر کمپنی کی وجہ سے نقصان. تاہم، گروپوں کی کارکردگی پر ایک ہی نہیں ہیں. مثال کے طور پر حملے کے امکانات کو کم سطح کے اشارے سے بہتر ہے. برعکس - نقصانات کے لئے.

اس کے بعد ہی تمام مراحل، طریقوں اور تحقیق کے اسباب پینٹ کہ تفصیلات ایک رپورٹ مرتب کی. انہوں نے کہا کہ قیادت سے اتفاق کیا اور دونوں فریقوں نے دستخط - کمپنی اور آڈیٹر. تو آڈٹ اندرونی، ایک رپورٹ کے متعلقہ ساخت یونٹ انہوں نے ایک بار پھر، سر کی طرف سے دستخط کئے گئے جس کے بعد کا سربراہ ہے.

انفارمیشن سیکورٹی آڈٹ: مثال

آخر میں، ہم نے پہلے سے ہی ہوا ہے کہ ایک ایسی صورت حال کا سادہ ترین مثال پر غور کریں. کئی، ویسے، یہ بہت واقف لگ سکتا ہے.

مثال کے طور پر، ریاست ہائے متحدہ امریکہ میں ایک کمپنی کی حصولی کے عملے، ICQ فوری طور پر رسول کے کمپیوٹر میں قائم (ملازم اور کمپنی کے نام کے نام پر واضح وجوہات کے لئے نامزد کیا نہیں ہے). مذاکرات اس پروگرام کے ذریعے واضح طور پر منعقد کئے گئے. لیکن "ICQ" سیکورٹی کے لحاظ سے بہت کمزور ہے. وقت یا رجسٹریشن نمبرز پر خود ملازم کو ایک ای میل ایڈریس کی ضرورت نہیں تھی، یا صرف اسے دینے کے لئے نہیں چاہتے تھے. اس کے بجائے، انہوں نے ای میل، اور یہاں تک کہ غیر موجود ڈومین طرح کچھ کی طرف اشارہ کیا.

کیا حملہ آور گے؟ جیسا کہ انفارمیشن سیکورٹی کا آڈٹ کر دکھایا گیا، اس وجہ سے اس نقصان کو بالکل ایک ہی ڈومین رجسٹرڈ کیا جائے گا اور ایک اور رجسٹریشن ٹرمینل جو میں ہوں گے پیدا، اور پھر، ICQ سروس مالک ہے کہ پاس ورڈ کی بازیابی کی درخواست کی Mirabilis کمپنی کو ایک پیغام بھیج سکتا (کہ کیا کیا جائے گا ). ایک موجودہ گھسپیٹھیا میل پر ری ڈائریکٹ - میل سرور کے وصول کنندہ نہیں تھا کے طور پر، یہ ری ڈائریکٹ شامل کر دی گئی.

نتیجے کے طور پر، انہوں نے دیا ICQ تعداد کے ساتھ خط و کتابت تک رسائی ہو جاتا ہے اور ایک مخصوص ملک میں اشیا کی وصول کنندہ کا ایڈریس تبدیل کرنا سپلائر مطلع. اس طرح، اشیا ایک نامعلوم منزل کے لئے بھیجا. اور یہ سب سے زیادہ بے ضرر مثال ہے. لہذا، فساد پھیلانے. اور زیادہ سنگین ہیکروں جنہوں نے بہت کچھ کرنے کے قابل ہیں کے بارے میں کیا ...

اختتام

یہاں ایک مختصر اور تمام آئی پی سیکورٹی آڈٹ سے متعلق ہے کہ ہے. بالکل، یہ اس کے تمام پہلوؤں سے متاثر نہیں ہے. وجہ کے مسائل اور اس طرز عمل کے طریقوں کی تشکیل میں عوامل کی ایک بہت پر اثر انداز ہوتا صرف یہ ہے کہ، تو ہر صورت میں نقطہ نظر کو سختی انفرادی ہے. اس کے علاوہ، طریقوں اور انفارمیشن سیکورٹی آڈٹ کے اسباب مختلف آئی سی کے لئے مختلف ہو سکتے ہیں. تاہم، مجھے لگتا ہے، کئی کے لئے اس طرح کے ٹیسٹ کے عام اصولوں سے بھی پرائمری سطح پر ظاہر ہو.