ഒരു ഇൻഫർമേഷൻ സിസ്റ്റം ഓഡിറ്റ് വിവര സംവിധാനം എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിനെക്കുറിച്ചുള്ള കാലികവും കൃത്യവുമായ ഡാറ്റ നൽകുന്നു. ലഭിച്ച ഡാറ്റയെ അടിസ്ഥാനമാക്കി, എന്റർപ്രൈസസിന്റെ കാര്യക്ഷമത മെച്ചപ്പെടുത്തുന്നതിനുള്ള പ്രവർത്തനങ്ങൾ നിങ്ങൾക്ക് ആസൂത്രണം ചെയ്യാൻ കഴിയും. ഒരു വിവര സംവിധാനം ഓഡിറ്റ് ചെയ്യുന്ന രീതി - സ്റ്റാൻഡേർഡുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ, യഥാർത്ഥ സാഹചര്യം. മറ്റ് കമ്പനികളിൽ ബാധകമായ മാനദണ്ഡങ്ങൾ, മാനദണ്ഡങ്ങൾ, നിയന്ത്രണങ്ങൾ, സമ്പ്രദായങ്ങൾ എന്നിവ പഠിക്കുക. ഒരു ഓഡിറ്റ് നടത്തുമ്പോൾ, ഒരു സംരംഭകന് തന്റെ കമ്പനി സമാനമായ ഒരു മേഖലയിലെ ഒരു സാധാരണ വിജയകരമായ കമ്പനിയിൽ നിന്ന് എങ്ങനെ വ്യത്യാസപ്പെട്ടിരിക്കുന്നു എന്നതിനെക്കുറിച്ച് ഒരു ആശയം ലഭിക്കും.

പൊതുവായ അവലോകനം

ആധുനിക ലോകത്ത് വിവരസാങ്കേതികവിദ്യ വളരെ വികസിതമാണ്. സേവനത്തിൽ വിവര സംവിധാനങ്ങൾ ഇല്ലാത്ത ഒരു എന്റർപ്രൈസ് സങ്കൽപ്പിക്കാൻ പ്രയാസമാണ്:

• ആഗോള;
• പ്രാദേശികമായ.

ഒരു കമ്പനിക്ക് സാധാരണഗതിയിൽ പ്രവർത്തിക്കാനും സമയവുമായി പൊരുത്തപ്പെടാനും കഴിയുന്നത് ഐപിക്ക് നന്ദി. പരിസ്ഥിതിയുമായുള്ള വിവരങ്ങൾ വേഗത്തിലും സമ്പൂർണ്ണമായും കൈമാറ്റം ചെയ്യുന്നതിന് അത്തരം രീതിശാസ്ത്രങ്ങൾ ആവശ്യമാണ്, ഇത് അടിസ്ഥാന സൗകര്യങ്ങളിലെയും വിപണിയിലെ ആവശ്യങ്ങളിലെയും മാറ്റങ്ങളുമായി പൊരുത്തപ്പെടാൻ കമ്പനിയെ അനുവദിക്കുന്നു. വിവര സംവിധാനങ്ങൾ കാലക്രമേണ മാറുന്ന നിരവധി ആവശ്യകതകൾ നിറവേറ്റണം (പുതിയ സംഭവവികാസങ്ങൾ, മാനദണ്ഡങ്ങൾ അവതരിപ്പിച്ചു, പരിഷ്കരിച്ച അൽഗോരിതങ്ങൾ ഉപയോഗിക്കുന്നു). ഏത് സാഹചര്യത്തിലും, വിവരസാങ്കേതികവിദ്യകൾ വിഭവങ്ങളിലേക്ക് വേഗത്തിൽ പ്രവേശനം സാധ്യമാക്കുന്നു, ഈ ടാസ്ക് ഐഎസ് വഴി പരിഹരിക്കപ്പെടുന്നു. കൂടാതെ, ആധുനിക സംവിധാനങ്ങൾ:

• അളക്കാവുന്ന;
• വഴങ്ങുന്ന;
• വിശ്വസനീയമായ;
• സുരക്ഷിതം.

ഒരു ഇൻഫർമേഷൻ സിസ്റ്റം ഓഡിറ്റിന്റെ പ്രധാന ലക്ഷ്യങ്ങൾ നടപ്പിലാക്കിയ വിവര സംവിധാനം നിർദ്ദിഷ്ട പാരാമീറ്ററുകൾ പാലിക്കുന്നുണ്ടോ എന്ന് നിർണ്ണയിക്കുക എന്നതാണ്.

ഓഡിറ്റ്: തരങ്ങൾ

ഒരു ഇൻഫർമേഷൻ സിസ്റ്റത്തിന്റെ പ്രോസസ്സ് ഓഡിറ്റ് എന്ന് വിളിക്കപ്പെടുന്നവ പലപ്പോഴും ഉപയോഗിക്കാറുണ്ട്. ഉദാഹരണം: ഉൽപ്പാദന പ്രക്രിയ പഠിക്കുന്നത് ഉൾപ്പെടെയുള്ള മാനദണ്ഡങ്ങളിൽ നിന്നുള്ള വ്യത്യാസങ്ങൾക്കായി നടപ്പിലാക്കിയ സിസ്റ്റങ്ങളെ ബാഹ്യ വിദഗ്ധർ വിശകലനം ചെയ്യുന്നു, ഇതിന്റെ ഔട്ട്പുട്ട് സോഫ്റ്റ്വെയറാണ്.

വിവരസംവിധാനം എത്രത്തോളം ശരിയായി ഉപയോഗിക്കുന്നു എന്ന് നിർണ്ണയിക്കാൻ ഒരു ഓഡിറ്റ് നടത്താം. കമ്പനിയുടെ രീതികൾ നിർമ്മാതാവിന്റെ മാനദണ്ഡങ്ങളും അന്താരാഷ്ട്ര കോർപ്പറേഷനുകളുടെ അറിയപ്പെടുന്ന ഉദാഹരണങ്ങളുമായി താരതമ്യം ചെയ്യുന്നു.

ഒരു എന്റർപ്രൈസസിന്റെ വിവര സുരക്ഷാ സംവിധാനത്തിന്റെ ഓഡിറ്റ് സംഘടനാ ഘടനയെ ബാധിക്കുന്നു. ഐടി ഡിപ്പാർട്ട്‌മെന്റ് സ്റ്റാഫിലെ ദുർബലമായ സ്ഥലങ്ങൾ കണ്ടെത്തുകയും പ്രശ്നങ്ങൾ കണ്ടെത്തുകയും അവ പരിഹരിക്കുന്നതിനുള്ള ശുപാർശകൾ രൂപപ്പെടുത്തുകയും ചെയ്യുക എന്നതാണ് ഇത്തരമൊരു പരിപാടിയുടെ ലക്ഷ്യം.

അവസാനമായി, ഒരു വിവര സുരക്ഷാ സിസ്റ്റം ഓഡിറ്റ് ഗുണനിലവാര നിയന്ത്രണം ലക്ഷ്യമിടുന്നു. തുടർന്ന് ക്ഷണിക്കപ്പെട്ട വിദഗ്ധർ എന്റർപ്രൈസിനുള്ളിലെ പ്രക്രിയകളുടെ അവസ്ഥ വിലയിരുത്തുകയും നടപ്പിലാക്കിയ വിവര സംവിധാനം പരിശോധിക്കുകയും ലഭിച്ച വിവരങ്ങളുടെ അടിസ്ഥാനത്തിൽ ചില നിഗമനങ്ങളിൽ എത്തിച്ചേരുകയും ചെയ്യുന്നു. സാധാരണ TMMI മോഡൽ ആണ് ഉപയോഗിക്കുന്നത്.

ഓഡിറ്റ് ലക്ഷ്യങ്ങൾ

വിവര സംവിധാനങ്ങളുടെ അവസ്ഥയെക്കുറിച്ചുള്ള ഒരു തന്ത്രപരമായ ഓഡിറ്റ്, നടപ്പിലാക്കിയ വിവര സിസ്റ്റത്തിലെ ബലഹീനതകൾ തിരിച്ചറിയാനും സാങ്കേതികവിദ്യകളുടെ ഉപയോഗം എവിടെയാണ് ഫലപ്രദമല്ലാത്തതെന്ന് തിരിച്ചറിയാനും നിങ്ങളെ അനുവദിക്കുന്നു. അത്തരമൊരു പ്രക്രിയയുടെ അവസാനം, ഉപഭോക്താവിന് പോരായ്മകൾ ഇല്ലാതാക്കുന്നതിനുള്ള ശുപാർശകൾ ഉണ്ടാകും.

നിലവിലെ ഘടനയിൽ മാറ്റങ്ങൾ വരുത്തുന്നത് എത്ര ചെലവേറിയതാണെന്നും അതിന് എത്ര സമയമെടുക്കുമെന്നും കണക്കാക്കാൻ ഒരു ഓഡിറ്റ് നിങ്ങളെ അനുവദിക്കുന്നു. കമ്പനിയുടെ നിലവിലെ വിവര ഘടന പഠിക്കുന്ന സ്പെഷ്യലിസ്റ്റുകൾ കമ്പനിയുടെ സവിശേഷതകൾ കണക്കിലെടുത്ത് ഒരു മെച്ചപ്പെടുത്തൽ പ്രോഗ്രാം നടപ്പിലാക്കുന്നതിനുള്ള ഉപകരണങ്ങൾ തിരഞ്ഞെടുക്കാൻ നിങ്ങളെ സഹായിക്കും. ഫലങ്ങളെ അടിസ്ഥാനമാക്കി, കമ്പനിക്ക് എത്ര വിഭവങ്ങൾ ആവശ്യമാണ് എന്നതിന്റെ കൃത്യമായ കണക്കും നിങ്ങൾക്ക് നൽകാം. ബൗദ്ധികവും പണവും ഉൽപ്പാദനവും വിശകലനം ചെയ്യും.

ഇവന്റുകൾ

വിവര സംവിധാനങ്ങളുടെ ആന്തരിക ഓഡിറ്റിൽ ഇനിപ്പറയുന്ന പ്രവർത്തനങ്ങൾ ഉൾപ്പെടുന്നു:

• ഐടി ഇൻവെന്ററി;
• വിവര ഘടനകളിലെ ലോഡ് തിരിച്ചറിയൽ;
• സ്ഥിതിവിവരക്കണക്കുകളുടെ വിലയിരുത്തൽ, ഇൻവെന്ററി സമയത്ത് ലഭിച്ച ഡാറ്റ;
• നടപ്പിലാക്കിയ ഐഎസിന്റെ ബിസിനസ് ആവശ്യകതകളും കഴിവുകളും പാലിക്കുന്നുണ്ടോ എന്ന് നിർണ്ണയിക്കുന്നു;
• ഒരു റിപ്പോർട്ട് സൃഷ്ടിക്കുന്നു;
• ശുപാർശകളുടെ വികസനം;
• NSI ഫണ്ടിന്റെ ഔപചാരികവൽക്കരണം.

ഓഡിറ്റ് ഫലം

വിവര സംവിധാനങ്ങളുടെ അവസ്ഥയെക്കുറിച്ചുള്ള ഒരു തന്ത്രപരമായ ഓഡിറ്റ് ഒരു നടപടിക്രമമാണ്: നടപ്പിലാക്കിയ വിവര സംവിധാനത്തിന്റെ കാര്യക്ഷമതയുടെ അഭാവത്തിന്റെ കാരണങ്ങൾ തിരിച്ചറിയാൻ നിങ്ങളെ അനുവദിക്കുന്നു; വിവര ഫ്ലോകൾ ക്രമീകരിക്കുമ്പോൾ വിവര സിസ്റ്റത്തിന്റെ സ്വഭാവം പ്രവചിക്കുക (ഉപയോക്താക്കളുടെ എണ്ണം, ഡാറ്റയുടെ അളവ്); ഉൽപ്പാദനക്ഷമത വർദ്ധിപ്പിക്കാൻ സഹായിക്കുന്നതിന് അറിവുള്ള തീരുമാനങ്ങൾ നൽകുക (ഉപകരണങ്ങൾ വാങ്ങൽ, നടപ്പിലാക്കിയ സംവിധാനത്തിന്റെ മെച്ചപ്പെടുത്തൽ, മാറ്റിസ്ഥാപിക്കൽ); കമ്പനി വകുപ്പുകളുടെ ഉൽപ്പാദനക്ഷമത വർദ്ധിപ്പിക്കുന്നതിനും സാങ്കേതികവിദ്യയിൽ നിക്ഷേപം ഒപ്റ്റിമൈസ് ചെയ്യുന്നതിനും ലക്ഷ്യമിട്ടുള്ള ശുപാർശകൾ നൽകുക. കൂടാതെ വിവര സംവിധാന സേവനത്തിന്റെ ഗുണനിലവാരം മെച്ചപ്പെടുത്തുന്ന നടപടികളും വികസിപ്പിക്കുക.

അതു പ്രധാനമാണ്!

ഏതൊരു എന്റർപ്രൈസസിനും അനുയോജ്യമായ സാർവത്രിക ഐപി ഒന്നുമില്ല. ഒരു നിർദ്ദിഷ്ട എന്റർപ്രൈസസിന്റെ ആവശ്യകതകൾക്ക് അനുസൃതമായി നിങ്ങൾക്ക് ഒരു അദ്വിതീയ സിസ്റ്റം സൃഷ്ടിക്കാൻ കഴിയുന്ന രണ്ട് പൊതു അടിസ്ഥാനങ്ങളുണ്ട്:

• ഒറാക്കിൾ.

എന്നാൽ ഇത് അടിസ്ഥാനം മാത്രമാണെന്ന് ഓർമ്മിക്കുക, അതിൽ കൂടുതലൊന്നുമില്ല. ഒരു ബിസിനസ് കാര്യക്ഷമമാക്കുന്ന എല്ലാ മെച്ചപ്പെടുത്തലുകളും ഒരു പ്രത്യേക എന്റർപ്രൈസസിന്റെ സവിശേഷതകൾ കണക്കിലെടുത്ത് പ്രോഗ്രാം ചെയ്തിരിക്കണം. നിങ്ങൾ മുമ്പ് നഷ്‌ടമായ ഫംഗ്‌ഷനുകൾ അവതരിപ്പിക്കുകയും അടിസ്ഥാന അസംബ്ലി നൽകിയവ അപ്രാപ്‌തമാക്കുകയും വേണം. ബാങ്കിംഗ് ഇൻഫർമേഷൻ സിസ്റ്റങ്ങൾ ഓഡിറ്റ് ചെയ്യുന്നതിനുള്ള ആധുനിക സാങ്കേതികവിദ്യ, ഒരു ഇൻഫർമേഷൻ സിസ്റ്റത്തിന് എന്തെല്ലാം സവിശേഷതകളാണ് ഉണ്ടായിരിക്കേണ്ടതെന്നും എന്താണ് ഒഴിവാക്കേണ്ടതെന്നും കൃത്യമായി മനസ്സിലാക്കാൻ സഹായിക്കുന്നു, അങ്ങനെ കോർപ്പറേറ്റ് സിസ്റ്റം ഒപ്റ്റിമലും ഫലപ്രദവും എന്നാൽ വളരെ "ഭാരമുള്ളതും" അല്ല.

വിവര സുരക്ഷാ ഓഡിറ്റ്

വിവര സുരക്ഷാ ഭീഷണികൾ തിരിച്ചറിയുന്നതിനുള്ള വിശകലനം രണ്ട് തരത്തിലാണ് വരുന്നത്:

• ബാഹ്യ;
• ഇന്റീരിയർ.

ആദ്യത്തേത് ഒറ്റത്തവണ നടപടിക്രമം ഉൾക്കൊള്ളുന്നു. കമ്പനിയുടെ തലവനാണ് ഇത് സംഘടിപ്പിക്കുന്നത്. സാഹചര്യം നിയന്ത്രണവിധേയമാക്കാൻ ഈ നടപടി പതിവായി പരിശീലിക്കാൻ ശുപാർശ ചെയ്യുന്നു. നിരവധി ജോയിന്റ്-സ്റ്റോക്ക് കമ്പനികളും സാമ്പത്തിക സംഘടനകളും ഐടി സുരക്ഷയുടെ ഒരു ബാഹ്യ ഓഡിറ്റ് നിർബന്ധമാക്കേണ്ടതിന്റെ ആവശ്യകത അവതരിപ്പിച്ചു.

ആന്തരികം - പ്രാദേശിക നിയന്ത്രണ നിയമം "ആന്തരിക ഓഡിറ്റിലെ നിയന്ത്രണങ്ങൾ" നിയന്ത്രിക്കുന്ന ഇവന്റുകൾ പതിവായി നടക്കുന്നവയാണ്. ഇത് നടപ്പിലാക്കുന്നതിനായി, ഒരു വാർഷിക പദ്ധതി രൂപീകരിക്കുന്നു (ഇത് ഓഡിറ്റിന്റെ ഉത്തരവാദിത്തമുള്ള വകുപ്പാണ് തയ്യാറാക്കിയത്), ജനറൽ ഡയറക്ടർ, മറ്റൊരു മാനേജർ അംഗീകരിച്ചു. ഐടി ഓഡിറ്റ് - നിരവധി തരം പ്രവർത്തനങ്ങൾ; സുരക്ഷാ ഓഡിറ്റ് ഏറ്റവും പ്രധാനമല്ല.

ലക്ഷ്യങ്ങൾ

സുരക്ഷാ വീക്ഷണകോണിൽ നിന്നുള്ള ഒരു ഇൻഫർമേഷൻ സിസ്റ്റം ഓഡിറ്റിന്റെ പ്രധാന ലക്ഷ്യം സുരക്ഷാ ഭീഷണികളുമായി ബന്ധപ്പെട്ട IS-മായി ബന്ധപ്പെട്ട അപകടസാധ്യതകൾ തിരിച്ചറിയുക എന്നതാണ്. കൂടാതെ, പ്രവർത്തനങ്ങൾ തിരിച്ചറിയാൻ സഹായിക്കുന്നു:

• നിലവിലെ സിസ്റ്റത്തിന്റെ ബലഹീനതകൾ;
• വിവര സുരക്ഷാ മാനദണ്ഡങ്ങളുമായി സിസ്റ്റത്തിന്റെ അനുസരണം;
• നിലവിലെ സുരക്ഷാ നില.

ഒരു സുരക്ഷാ ഓഡിറ്റിന്റെ ഫലമായി, നിലവിലുള്ള പരിഹാരങ്ങൾ മെച്ചപ്പെടുത്തുന്നതിനും പുതിയവ അവതരിപ്പിക്കുന്നതിനുമുള്ള ശുപാർശകൾ രൂപപ്പെടുത്തും, അതുവഴി നിലവിലുള്ള വിവര സംവിധാനത്തെ സുരക്ഷിതമാക്കുകയും വിവിധ ഭീഷണികളിൽ നിന്ന് സംരക്ഷിക്കുകയും ചെയ്യും.

വിവര സുരക്ഷയ്ക്കുള്ള ഭീഷണികൾ തിരിച്ചറിയാൻ ഒരു ആന്തരിക ഓഡിറ്റ് നടത്തുകയാണെങ്കിൽ, ഇനിപ്പറയുന്നവ അധികമായി പരിഗണിക്കും:

• സുരക്ഷാ നയം, ഡാറ്റ പരിരക്ഷിക്കുന്നതിനും കോർപ്പറേഷന്റെ ഉൽപ്പാദന പ്രക്രിയയിൽ അവയുടെ ഉപയോഗം ലളിതമാക്കുന്നതിനുമായി പുതിയതൊന്ന് വികസിപ്പിക്കുന്നതിനുള്ള സാധ്യതയും മറ്റ് രേഖകളും;
• ഐടി വകുപ്പ് ജീവനക്കാർക്കുള്ള സുരക്ഷാ ചുമതലകളുടെ രൂപീകരണം;
• ലംഘനങ്ങൾ ഉൾപ്പെടുന്ന സാഹചര്യങ്ങളുടെ വിശകലനം;
• കോർപ്പറേറ്റ് സിസ്റ്റത്തിന്റെ ഉപയോക്താക്കൾക്കും സുരക്ഷയുടെ പൊതുവായ വശങ്ങളിൽ മെയിന്റനൻസ് ഉദ്യോഗസ്ഥർക്കും പരിശീലനം നൽകുന്നു.

ആന്തരിക ഓഡിറ്റ്: സവിശേഷതകൾ

ഇൻഫർമേഷൻ സിസ്റ്റങ്ങളുടെ ആന്തരിക ഓഡിറ്റ് നടത്തുമ്പോൾ ജീവനക്കാർക്കായി സജ്ജീകരിച്ചിരിക്കുന്ന ലിസ്റ്റുചെയ്ത ജോലികൾ, ചുരുക്കത്തിൽ, ഒരു ഓഡിറ്റ് അല്ല. സൈദ്ധാന്തികമായി, ഒരു വിദഗ്ധൻ എന്ന നിലയിൽ ഇവന്റ് നടത്തുന്ന വ്യക്തി സിസ്റ്റം സുരക്ഷിതമായ സംവിധാനങ്ങളെ വിലയിരുത്തുന്നു. ചുമതലയിൽ ഏർപ്പെട്ടിരിക്കുന്ന വ്യക്തി ഈ പ്രക്രിയയിൽ സജീവ പങ്കാളിയാകുകയും സ്വാതന്ത്ര്യം നഷ്ടപ്പെടുകയും ചെയ്യുന്നു, കൂടാതെ സാഹചര്യത്തെ വസ്തുനിഷ്ഠമായി വിലയിരുത്താനും നിയന്ത്രിക്കാനും കഴിയില്ല.

മറുവശത്ത്, പ്രായോഗികമായി, ആന്തരിക ഓഡിറ്റ് സമയത്ത്, സൈഡ്ലൈനിൽ തുടരുന്നത് മിക്കവാറും അസാധ്യമാണ്. സമാനമായ പ്രദേശത്ത് മറ്റ് ജോലികളിൽ തിരക്കുള്ള ഒരു കമ്പനി സ്പെഷ്യലിസ്റ്റിനെ ജോലി നിർവഹിക്കാൻ നിയമിക്കുന്നു എന്നതാണ് വസ്തുത. ഇതിനർത്ഥം മുമ്പ് സൂചിപ്പിച്ച ജോലികൾ പരിഹരിക്കാനുള്ള കഴിവുള്ള അതേ ജീവനക്കാരനാണ് ഓഡിറ്റർ എന്നാണ്. അതിനാൽ, ഞങ്ങൾ ഒരു വിട്ടുവീഴ്ച ചെയ്യേണ്ടതുണ്ട്: വസ്തുനിഷ്ഠതയുടെ ചെലവിൽ, മാന്യമായ ഫലം ലഭിക്കുന്നതിന് ജീവനക്കാരനെ പ്രായോഗികമായി ഉൾപ്പെടുത്തുക.

സുരക്ഷാ ഓഡിറ്റ്: ഘട്ടങ്ങൾ

ഇവ ഒരു പൊതു ഐടി ഓഡിറ്റിന്റെ ഘട്ടങ്ങളുമായി സാമ്യമുള്ളതാണ്. ഹൈലൈറ്റ്:

• സംഭവങ്ങളുടെ തുടക്കം;
• വിശകലനത്തിനായി ഒരു അടിസ്ഥാനം ശേഖരിക്കുന്നു;
• വിശകലനം;
• നിഗമനങ്ങൾ വരയ്ക്കുക;
• റിപ്പോർട്ടിംഗ്.

നടപടിക്രമം ആരംഭിക്കുന്നു

എന്റർപ്രൈസസിന്റെ ഫലപ്രദമായ ഓഡിറ്റിംഗിൽ കൂടുതൽ താൽപ്പര്യമുള്ള ആളുകളാണ് മേലധികാരികൾ എന്നതിനാൽ, കമ്പനിയുടെ തലവൻ മുന്നോട്ട് പോകുമ്പോൾ സുരക്ഷയുടെ കാര്യത്തിൽ വിവര സംവിധാനങ്ങളുടെ ഒരു ഓഡിറ്റ് ആരംഭിക്കുന്നു. മാനേജ്മെന്റ് നടപടിക്രമത്തെ പിന്തുണയ്ക്കുന്നില്ലെങ്കിൽ ഒരു ഓഡിറ്റ് നടത്താൻ കഴിയില്ല.

ഇൻഫർമേഷൻ സിസ്റ്റം ഓഡിറ്റ് സാധാരണയായി സമഗ്രമാണ്. ഇതിൽ ഓഡിറ്ററും കമ്പനിയുടെ വിവിധ വകുപ്പുകളെ പ്രതിനിധീകരിക്കുന്ന നിരവധി ആളുകളും ഉൾപ്പെടുന്നു. എല്ലാ പരിശോധന പങ്കാളികളുടെയും സംയുക്ത പ്രവർത്തനം പ്രധാനമാണ്. ഒരു ഓഡിറ്റ് ആരംഭിക്കുമ്പോൾ, ഇനിപ്പറയുന്ന പോയിന്റുകളിൽ ശ്രദ്ധ ചെലുത്തേണ്ടത് പ്രധാനമാണ്:

• ഓഡിറ്ററുടെ ഉത്തരവാദിത്തങ്ങളുടെയും അവകാശങ്ങളുടെയും ഡോക്യുമെന്ററി റെക്കോർഡിംഗ്;
• ഓഡിറ്റ് പ്ലാൻ തയ്യാറാക്കലും അംഗീകാരവും;
• ഓഡിറ്റർക്ക് സാധ്യമായ എല്ലാ സഹായവും നൽകാനും അദ്ദേഹം ആവശ്യപ്പെട്ട എല്ലാ ഡാറ്റയും നൽകാനും ജീവനക്കാർ ബാധ്യസ്ഥരാണെന്ന വസ്തുത രേഖപ്പെടുത്തുന്നു.

ഇതിനകം തന്നെ ഓഡിറ്റ് ആരംഭിക്കുന്ന നിമിഷത്തിൽ, വിവര സംവിധാനങ്ങളുടെ ഓഡിറ്റ് ഏത് അതിരുകൾക്കുള്ളിലാണ് നടത്തുന്നത് എന്ന് സ്ഥാപിക്കേണ്ടത് പ്രധാനമാണ്. ചില IS ഉപസിസ്റ്റങ്ങൾ നിർണായകവും പ്രത്യേക ശ്രദ്ധ ആവശ്യമുള്ളതും ആണെങ്കിലും, മറ്റുള്ളവ അല്ല, അവയുടെ ഒഴിവാക്കൽ സ്വീകാര്യമാണെന്നത് അത്ര അപ്രധാനവുമാണ്. അവിടെ സംഭരിച്ചിരിക്കുന്ന എല്ലാ വിവരങ്ങളും രഹസ്യമായതിനാൽ, സ്ഥിരീകരിക്കാൻ കഴിയാത്ത ഉപസിസ്റ്റങ്ങൾ ഉണ്ടായിരിക്കും.

പദ്ധതിയും അതിരുകളും

ജോലി ആരംഭിക്കുന്നതിന് മുമ്പ്, പരിശോധിക്കേണ്ട വിഭവങ്ങളുടെ ഒരു ലിസ്റ്റ് സൃഷ്ടിക്കുന്നു. അത് ആവാം:

• വിവരദായകമായ;
• സോഫ്റ്റ്വെയർ;
• സാങ്കേതികമായ.

ഏതൊക്കെ സൈറ്റുകളാണ് ഓഡിറ്റ് ചെയ്യുന്നതെന്നും എന്ത് ഭീഷണികൾക്കാണ് സിസ്റ്റം പരിശോധിക്കുന്നതെന്നും അവർ തിരിച്ചറിയുന്നു. ഓഡിറ്റ് സമയത്ത് കണക്കിലെടുക്കേണ്ട ഇവന്റിന്റെ ഓർഗനൈസേഷണൽ അതിരുകളും സുരക്ഷാ വശങ്ങളും ഉണ്ട്. പരിശോധനയുടെ വ്യാപ്തി സൂചിപ്പിക്കുന്ന ഒരു മുൻഗണനാ റേറ്റിംഗ് സൃഷ്ടിക്കപ്പെടുന്നു. അത്തരം അതിരുകളും പ്രവർത്തന പദ്ധതിയും ജനറൽ ഡയറക്ടർ അംഗീകരിക്കുന്നു, പക്ഷേ ആദ്യം തീരുമാനിക്കുന്നത് പൊതു വർക്കിംഗ് മീറ്റിംഗിന്റെ വിഷയമാണ്, അവിടെ ഡിപ്പാർട്ട്മെന്റ് തലവൻമാരും ഓഡിറ്ററും കമ്പനി എക്സിക്യൂട്ടീവുകളും പങ്കെടുക്കുന്നു.

ഡാറ്റ സ്വീകരിക്കുന്നു

ഒരു സുരക്ഷാ ഓഡിറ്റ് നടത്തുമ്പോൾ, വിവര ശേഖരണ ഘട്ടം ഏറ്റവും ദൈർഘ്യമേറിയതും അധ്വാനിക്കുന്നതുമായതായി മാറുന്ന തരത്തിലാണ് വിവര സംവിധാനങ്ങളുടെ ഓഡിറ്റിംഗ് മാനദണ്ഡങ്ങൾ. ചട്ടം പോലെ, വിവര സംവിധാനത്തിന് അതിനുള്ള ഡോക്യുമെന്റേഷൻ ഇല്ല, കൂടാതെ നിരവധി സഹപ്രവർത്തകരുമായി അടുത്ത് പ്രവർത്തിക്കാൻ ഓഡിറ്റർ നിർബന്ധിതനാകുന്നു.

വരച്ച നിഗമനങ്ങൾ കാര്യക്ഷമമാകണമെങ്കിൽ, ഓഡിറ്റർ കഴിയുന്നത്ര ഡാറ്റ നേടണം. ഓഡിറ്റർ സ്വതന്ത്ര ഗവേഷണ വേളയിലും പ്രത്യേക സോഫ്‌റ്റ്‌വെയറിന്റെ ഉപയോഗത്തിലും, ഓർഗനൈസേഷണൽ, അഡ്‌മിനിസ്‌ട്രേറ്റീവ്, ടെക്‌നിക്കൽ ഡോക്യുമെന്റേഷനിൽ നിന്ന് വിവരസംവിധാനം എങ്ങനെ ക്രമീകരിച്ചിരിക്കുന്നു, അത് എങ്ങനെ പ്രവർത്തിക്കുന്നു, ഏത് അവസ്ഥയിലാണെന്ന് മനസ്സിലാക്കുന്നു.

ഒരു ഓഡിറ്ററുടെ ജോലിക്ക് ആവശ്യമായ രേഖകൾ:

• IS സേവിക്കുന്ന വകുപ്പുകളുടെ സംഘടനാ ഘടന;
• എല്ലാ ഉപയോക്താക്കളുടെയും സംഘടനാ ഘടന.

ഓഡിറ്റർ ജീവനക്കാരെ അഭിമുഖം നടത്തുന്നു, തിരിച്ചറിയുന്നു:

• ദാതാവ്;
• ഡാറ്റ ഉടമ;
• ഡാറ്റ ഉപയോക്താവ്.

ഇത് ചെയ്യുന്നതിന്, നിങ്ങൾ അറിയേണ്ടതുണ്ട്:

• IS ആപ്ലിക്കേഷനുകളുടെ പ്രധാന തരങ്ങൾ;
• എണ്ണം, ഉപയോക്താക്കളുടെ തരങ്ങൾ;
• ഉപയോക്താക്കൾക്ക് നൽകുന്ന സേവനങ്ങൾ.

കമ്പനിക്ക് താഴെയുള്ള പട്ടികയിൽ നിന്ന് ഐപി ഡോക്യുമെന്റുകൾ ഉണ്ടെങ്കിൽ, അവ ഓഡിറ്റർക്ക് നൽകേണ്ടത് അത്യാവശ്യമാണ്:

• സാങ്കേതിക രീതികളുടെ വിവരണം;
• ഫംഗ്ഷനുകൾ ഓട്ടോമേറ്റ് ചെയ്യുന്നതിനുള്ള രീതികളുടെ വിവരണം;
• ഫങ്ഷണൽ ഡയഗ്രമുകൾ;
• ജോലി, ഡിസൈൻ പ്രമാണങ്ങൾ.

ഐപി ഘടനയുടെ തിരിച്ചറിയൽ

ശരിയായ നിഗമനങ്ങളിൽ എത്തിച്ചേരുന്നതിന്, എന്റർപ്രൈസസിൽ നടപ്പിലാക്കിയ വിവര സംവിധാനത്തിന്റെ സവിശേഷതകളെ കുറിച്ച് ഓഡിറ്റർക്ക് ഏറ്റവും പൂർണ്ണമായ ധാരണ ഉണ്ടായിരിക്കണം. സെക്യൂരിറ്റി മെക്കാനിസങ്ങൾ എന്തൊക്കെയാണെന്നും സിസ്റ്റത്തിലെ ലെവലുകളിലുടനീളം അവ എങ്ങനെ വിതരണം ചെയ്യപ്പെടുന്നുവെന്നും നിങ്ങൾ അറിയേണ്ടതുണ്ട്. ഇത് ചെയ്യുന്നതിന്, കണ്ടെത്തുക:

• ഉപയോഗിച്ച സിസ്റ്റത്തിന്റെ ഘടകങ്ങളുടെ ലഭ്യതയും സവിശേഷതകളും;
• ഘടക പ്രവർത്തനങ്ങൾ;
• ഗ്രാഫിക്;
• പ്രവേശന കവാടങ്ങൾ;
• വിവിധ വസ്തുക്കളുമായുള്ള ഇടപെടൽ (ബാഹ്യ, ആന്തരിക) പ്രോട്ടോക്കോളുകൾ, ഇതിനുള്ള ചാനലുകൾ;
• സിസ്റ്റത്തിനായി ഉപയോഗിക്കുന്ന പ്ലാറ്റ്ഫോമുകൾ.

ഇനിപ്പറയുന്ന സ്കീമുകൾ ഉപയോഗപ്രദമാകും:

• ഘടനാപരമായ;
• ഡാറ്റ സ്ട്രീമുകൾ.

ഘടനകൾ:

• സാങ്കേതിക മാർഗങ്ങൾ;
• വിവര പിന്തുണ;
• ഘടനാപരമായ ഘടകങ്ങൾ.

പ്രായോഗികമായി, പല രേഖകളും പരിശോധനയ്ക്കിടെ നേരിട്ട് തയ്യാറാക്കപ്പെടുന്നു. പരമാവധി വിവരങ്ങൾ ശേഖരിക്കുമ്പോൾ മാത്രമേ വിവരങ്ങൾ വിശകലനം ചെയ്യാൻ കഴിയൂ.

ഐപി സുരക്ഷാ ഓഡിറ്റ്: വിശകലനം

ലഭിച്ച ഡാറ്റ വിശകലനം ചെയ്യാൻ നിരവധി സാങ്കേതിക വിദ്യകൾ ഉപയോഗിക്കുന്നു. ഒരു നിർദ്ദിഷ്ട വ്യക്തിക്ക് അനുകൂലമായ തിരഞ്ഞെടുപ്പ് ഓഡിറ്ററുടെ വ്യക്തിഗത മുൻഗണനകളെയും നിർദ്ദിഷ്ട ചുമതലയുടെ പ്രത്യേകതകളെയും അടിസ്ഥാനമാക്കിയുള്ളതാണ്.

അപകടസാധ്യതകൾ വിശകലനം ചെയ്യുന്നതാണ് ഏറ്റവും സങ്കീർണ്ണമായ സമീപനം. വിവര സംവിധാനത്തിനുള്ള സുരക്ഷാ ആവശ്യകതകൾ രൂപീകരിക്കുന്നു. അവ ഒരു നിർദ്ദിഷ്ട സിസ്റ്റത്തിന്റെയും അതിന്റെ പ്രവർത്തന പരിതസ്ഥിതിയുടെയും സവിശേഷതകളെയും ഈ പരിതസ്ഥിതിയിൽ അന്തർലീനമായ ഭീഷണികളെയും അടിസ്ഥാനമാക്കിയുള്ളതാണ്. ഈ സമീപനത്തിന് ഓഡിറ്ററുടെ ഏറ്റവും അധ്വാനവും പരമാവധി യോഗ്യതയും ആവശ്യമാണെന്ന് വിശകലന വിദഗ്ധർ സമ്മതിക്കുന്നു. ഫലം എത്ര നല്ലതായിരിക്കുമെന്ന് നിർണ്ണയിക്കുന്നത് വിവര വിശകലനത്തിന്റെ രീതിശാസ്ത്രവും വിവര സംവിധാനത്തിന്റെ തരത്തിന് തിരഞ്ഞെടുത്ത ഓപ്ഷനുകളുടെ പ്രയോഗക്ഷമതയുമാണ്.

കൂടുതൽ പ്രായോഗികമായ ഓപ്ഷനിൽ ഡാറ്റ സുരക്ഷാ മാനദണ്ഡങ്ങളിലേക്ക് തിരിയുന്നത് ഉൾപ്പെടുന്നു. ഇവ ഒരു കൂട്ടം ആവശ്യകതകളെ നിർവചിക്കുന്നു. വിവിധ രാജ്യങ്ങളിൽ നിന്നുള്ള ഏറ്റവും വലിയ കമ്പനികളുടെ അടിസ്ഥാനത്തിലാണ് ഈ രീതി വികസിപ്പിച്ചെടുത്തത് എന്നതിനാൽ ഇത് വിവിധ ഐപികൾക്ക് അനുയോജ്യമാണ്.

സിസ്റ്റത്തിന്റെ സംരക്ഷണ നിലവാരത്തെയും ഒരു പ്രത്യേക സ്ഥാപനവുമായുള്ള അതിന്റെ അഫിലിയേഷനെയും ആശ്രയിച്ച്, സുരക്ഷാ ആവശ്യകതകൾ എന്താണെന്ന് മാനദണ്ഡങ്ങളിൽ നിന്ന് ഇത് പിന്തുടരുന്നു. ഐപിയുടെ ഉദ്ദേശ്യത്തെ ആശ്രയിച്ചിരിക്കുന്നു. ഒരു പ്രത്യേക സാഹചര്യത്തിൽ ഏത് സെറ്റ് സുരക്ഷാ ആവശ്യകതകൾ പ്രസക്തമാണെന്ന് കൃത്യമായി നിർണ്ണയിക്കുക എന്നതാണ് ഓഡിറ്ററുടെ പ്രധാന ചുമതല. നിലവിലുള്ള സിസ്റ്റം പാരാമീറ്ററുകൾ മാനദണ്ഡങ്ങൾ പാലിക്കുന്നുണ്ടോ എന്ന് അവർ വിലയിരുത്തുന്ന ഒരു രീതി തിരഞ്ഞെടുക്കുന്നു. സാങ്കേതികവിദ്യ വളരെ ലളിതവും വിശ്വസനീയവും അതിനാൽ വ്യാപകവുമാണ്. ഒരു ചെറിയ നിക്ഷേപത്തിലൂടെ, ഫലം കൃത്യമായ നിഗമനങ്ങളായിരിക്കും.

അവഗണന അസ്വീകാര്യമാണ്!

പല മാനേജർമാരും, പ്രത്യേകിച്ച് ചെറുകിട കമ്പനികളും, വളരെക്കാലമായി പ്രവർത്തിക്കുന്ന കമ്പനികളും ഏറ്റവും പുതിയ എല്ലാ സാങ്കേതികവിദ്യകളും പഠിക്കാൻ ശ്രമിക്കാത്തവരും, വിവര സംവിധാനങ്ങൾ ഓഡിറ്റുചെയ്യുന്നതിൽ അശ്രദ്ധരാണെന്ന് പ്രാക്ടീസ് കാണിക്കുന്നു, കാരണം അവർക്ക് മനസ്സിലാകുന്നില്ല. ഈ അളവിന്റെ പ്രാധാന്യം. സാധാരണയായി, ബിസിനസ്സിന് കേടുപാടുകൾ മാത്രമേ പരിശോധിക്കാനും അപകടസാധ്യതകൾ തിരിച്ചറിയാനും എന്റർപ്രൈസ് പരിരക്ഷിക്കാനും നടപടികൾ കൈക്കൊള്ളാൻ മാനേജ്മെന്റിനെ പ്രേരിപ്പിക്കുന്നു. മറ്റുള്ളവർക്ക് അവരുടെ ഇടപാടുകാരെക്കുറിച്ചുള്ള ഡാറ്റ അവരിൽ നിന്ന് മോഷ്ടിക്കപ്പെട്ടുവെന്ന വസ്തുത അഭിമുഖീകരിക്കുന്നു; മറ്റുള്ളവർക്ക്, കോൺട്രാക്ടർമാരുടെ ഡാറ്റാബേസുകളിൽ നിന്ന് ചോർച്ച സംഭവിക്കുന്നു അല്ലെങ്കിൽ ഒരു പ്രത്യേക സ്ഥാപനത്തിന്റെ പ്രധാന നേട്ടങ്ങളെക്കുറിച്ചുള്ള വിവരങ്ങൾ നഷ്ടപ്പെടുന്നു. സംഭവം പരസ്യമാക്കിയാലുടൻ ഉപഭോക്താക്കൾ കമ്പനിയെ വിശ്വസിക്കുന്നത് നിർത്തുന്നു, മാത്രമല്ല ഡാറ്റാ നഷ്‌ടത്തേക്കാൾ വലിയ നാശനഷ്ടമാണ് കമ്പനിക്ക് സംഭവിക്കുന്നത്.

വിവരങ്ങൾ ചോരാനുള്ള സാധ്യതയുണ്ടെങ്കിൽ, ഇപ്പോളും ഭാവിയിലും നല്ല അവസരങ്ങളുള്ള ഒരു ഫലപ്രദമായ ബിസിനസ്സ് കെട്ടിപ്പടുക്കുക അസാധ്യമാണ്. ഏതൊരു കമ്പനിക്കും മൂന്നാം കക്ഷികൾക്ക് മൂല്യവത്തായ ഡാറ്റയുണ്ട്, അത് പരിരക്ഷിക്കേണ്ടതുണ്ട്. സംരക്ഷണം ഏറ്റവും ഉയർന്ന തലത്തിൽ ആയിരിക്കണമെങ്കിൽ, ബലഹീനതകൾ തിരിച്ചറിയാൻ ഒരു ഓഡിറ്റ് ആവശ്യമാണ്. ഇതിന് അന്താരാഷ്ട്ര മാനദണ്ഡങ്ങൾ, രീതികൾ, ഏറ്റവും പുതിയ സംഭവവികാസങ്ങൾ എന്നിവ കണക്കിലെടുക്കേണ്ടതുണ്ട്.

ഒരു ഓഡിറ്റ് സമയത്ത്:

• സംരക്ഷണ നിലവാരം വിലയിരുത്തുക;
• ഉപയോഗിച്ച സാങ്കേതികവിദ്യകൾ വിശകലനം ചെയ്യുക;
• സുരക്ഷാ രേഖകൾ ക്രമീകരിക്കുക;
• ഡാറ്റ ചോർച്ച സാധ്യമാകുന്ന അപകട സാഹചര്യങ്ങൾ അനുകരിക്കുക;
• കേടുപാടുകൾ ഇല്ലാതാക്കുന്നതിനുള്ള പരിഹാരങ്ങൾ നടപ്പിലാക്കാൻ ശുപാർശ ചെയ്യുന്നു.

ഈ ഇവന്റുകൾ മൂന്ന് വഴികളിൽ ഒന്നിൽ നടപ്പിലാക്കുന്നു:

• സജീവം;
• വിദഗ്ധൻ;
• മാനദണ്ഡങ്ങൾ പാലിക്കുന്നത് തിരിച്ചറിയുന്നു.

ഓഡിറ്റ് ഫോമുകൾ

ഒരു ഹാക്കർ നോക്കുന്ന സിസ്റ്റം വിലയിരുത്തുന്നത് സജീവമായ ഓഡിറ്റിൽ ഉൾപ്പെടുന്നു. ഓഡിറ്റർമാർ "ശ്രമിക്കുക" എന്നത് അദ്ദേഹത്തിന്റെ കാഴ്ചപ്പാടാണ് - അവർ നെറ്റ്‌വർക്ക് പരിരക്ഷയെക്കുറിച്ച് പഠിക്കുന്നു, ഇതിനായി അവർ പ്രത്യേക സോഫ്റ്റ്വെയറും അതുല്യമായ സാങ്കേതികതകളും ഉപയോഗിക്കുന്നു. ഒരു ഇന്റേണൽ ഓഡിറ്റും ആവശ്യമാണ്, ഡാറ്റ മോഷ്ടിക്കാനോ സിസ്റ്റത്തിന്റെ പ്രവർത്തനത്തെ തടസ്സപ്പെടുത്താനോ ആഗ്രഹിക്കുന്ന കുറ്റവാളിയുടെ വീക്ഷണകോണിൽ നിന്നും ഇത് നടത്തുന്നു.

ഒരു വിദഗ്‌ധ ഓഡിറ്റിനിടെ, നടപ്പിലാക്കിയ സംവിധാനം അനുയോജ്യമായ ഒന്നുമായി എത്രത്തോളം പൊരുത്തപ്പെടുന്നുവെന്ന് അവർ പരിശോധിക്കുന്നു. മാനദണ്ഡങ്ങൾ പാലിക്കുന്നത് തിരിച്ചറിയുമ്പോൾ, നിലവിലുള്ള ഒബ്ജക്റ്റ് താരതമ്യപ്പെടുത്തുന്ന മാനദണ്ഡങ്ങളുടെ ഒരു അമൂർത്ത വിവരണം അടിസ്ഥാനമായി എടുക്കുന്നു.

ഉപസംഹാരം

കൃത്യമായും കാര്യക്ഷമമായും നടത്തിയ ഓഡിറ്റ് ഇനിപ്പറയുന്ന ഫലങ്ങൾ നേടാൻ നിങ്ങളെ അനുവദിക്കുന്നു:

• വിജയകരമായ ഹാക്കർ ആക്രമണത്തിന്റെ സാധ്യതയും അതിൽ നിന്നുള്ള കേടുപാടുകളും കുറയ്ക്കുക;
• സിസ്റ്റം ആർക്കിടെക്ചറിലും വിവര പ്രവാഹത്തിലുമുള്ള മാറ്റങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ള ആക്രമണങ്ങൾ ഇല്ലാതാക്കുക;
• അപകടസാധ്യതകൾ കുറയ്ക്കുന്നതിനുള്ള മാർഗമായി ഇൻഷുറൻസ്;
• പൂർണ്ണമായും അവഗണിക്കാൻ കഴിയുന്ന ഒരു തലത്തിലേക്ക് അപകടസാധ്യത കുറയ്ക്കുന്നു.

ഇന്ന്, വാണിജ്യ, സർക്കാർ സംരംഭങ്ങളുടെ ബിസിനസ് പ്രക്രിയകളുടെ കാര്യക്ഷമമായ നിർവ്വഹണം ഉറപ്പാക്കുന്നതിൽ ഓട്ടോമേറ്റഡ് സിസ്റ്റങ്ങൾ (AS) ഒരു പ്രധാന പങ്ക് വഹിക്കുന്നു. അതേസമയം, വിവരങ്ങൾ സംഭരിക്കുന്നതിനും പ്രോസസ്സ് ചെയ്യുന്നതിനും കൈമാറ്റം ചെയ്യുന്നതിനുമായി ഓട്ടോമേറ്റഡ് സിസ്റ്റങ്ങളുടെ വ്യാപകമായ ഉപയോഗം അവയുടെ സംരക്ഷണവുമായി ബന്ധപ്പെട്ട പ്രശ്നങ്ങളുടെ അടിയന്തിരത വർദ്ധിപ്പിക്കുന്നതിലേക്ക് നയിക്കുന്നു. കഴിഞ്ഞ കുറച്ച് വർഷങ്ങളായി, റഷ്യയിലും പ്രമുഖ വിദേശ രാജ്യങ്ങളിലും, വിവര ആക്രമണങ്ങളുടെ എണ്ണം വർദ്ധിപ്പിക്കുന്ന പ്രവണതയുണ്ട്, ഇത് കാര്യമായ സാമ്പത്തികവും ഭൗതികവുമായ നഷ്ടത്തിലേക്ക് നയിക്കുന്നു എന്ന വസ്തുത ഇത് സ്ഥിരീകരിക്കുന്നു. നുഴഞ്ഞുകയറ്റക്കാരുടെ വിവര ആക്രമണങ്ങളിൽ നിന്ന് ഫലപ്രദമായ സംരക്ഷണം ഉറപ്പുനൽകുന്നതിന്, കമ്പനികൾക്ക് AS സുരക്ഷയുടെ നിലവിലെ നിലവാരത്തെക്കുറിച്ച് ഒരു വസ്തുനിഷ്ഠമായ വിലയിരുത്തൽ ആവശ്യമാണ്. ഈ ആവശ്യങ്ങൾക്കാണ് ഒരു സുരക്ഷാ ഓഡിറ്റ് ഉപയോഗിക്കുന്നത്, ഈ ലേഖനത്തിന്റെ ചട്ടക്കൂടിനുള്ളിൽ അതിന്റെ വിവിധ വശങ്ങൾ ചർച്ചചെയ്യുന്നു.

1. എന്താണ് സുരക്ഷാ ഓഡിറ്റ്?

നിലവിൽ ഒരു സുരക്ഷാ ഓഡിറ്റിന് സ്ഥാപിത നിർവചനം ഇല്ലെന്ന വസ്തുത ഉണ്ടായിരുന്നിട്ടും, നുഴഞ്ഞുകയറ്റക്കാരുടെ ആക്രമണങ്ങളിൽ നിന്നുള്ള സംരക്ഷണ നിലവാരത്തിന്റെ തുടർന്നുള്ള ഗുണപരമോ അളവ്പരമോ ആയ വിലയിരുത്തലിന് ആവശ്യമായ എഎസിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ ശേഖരിക്കുന്നതിനും വിശകലനം ചെയ്യുന്നതിനുമുള്ള ഒരു പ്രക്രിയയായി ഇത് പ്രതിനിധീകരിക്കാം. സുരക്ഷാ ഓഡിറ്റ് നടത്തുന്നത് ഉചിതമായ നിരവധി കേസുകളുണ്ട്. അവയിൽ ചിലത് മാത്രം ഇതാ:

• ഒരു ഇൻഫർമേഷൻ സെക്യൂരിറ്റി സിസ്റ്റത്തിന്റെ രൂപകൽപ്പനയ്ക്കും വികസനത്തിനുമായി സാങ്കേതിക സവിശേഷതകൾ തയ്യാറാക്കുന്നതിനായി AS-ന്റെ ഓഡിറ്റ്;
• സുരക്ഷാ സംവിധാനം നടപ്പിലാക്കിയ ശേഷം പ്ലാന്റിന്റെ ഓഡിറ്റ് അതിന്റെ ഫലപ്രാപ്തിയുടെ നിലവാരം വിലയിരുത്തുക;
• റഷ്യൻ അല്ലെങ്കിൽ അന്താരാഷ്ട്ര നിയമനിർമ്മാണത്തിന്റെ ആവശ്യകതകൾക്ക് അനുസൃതമായി നിലവിലെ സുരക്ഷാ സംവിധാനം കൊണ്ടുവരാൻ ലക്ഷ്യമിട്ടുള്ള ഒരു ഓഡിറ്റ്;
• നിലവിലുള്ള വിവര സുരക്ഷാ നടപടികൾ ചിട്ടപ്പെടുത്തുന്നതിനും കാര്യക്ഷമമാക്കുന്നതിനും രൂപകൽപ്പന ചെയ്ത ഓഡിറ്റ്;
• വിവര സുരക്ഷാ ലംഘനം ഉൾപ്പെട്ട ഒരു സംഭവം അന്വേഷിക്കാൻ ഓഡിറ്റ്.

ചട്ടം പോലെ, വിവര സുരക്ഷാ മേഖലയിൽ കൺസൾട്ടിംഗ് സേവനങ്ങൾ നൽകുന്ന ബാഹ്യ കമ്പനികളെ ഓഡിറ്റ് നടത്താൻ നിയമിക്കുന്നു. ഓഡിറ്റ് നടപടിക്രമത്തിന്റെ തുടക്കക്കാരൻ എന്റർപ്രൈസ്, ഓട്ടോമേഷൻ സേവനം അല്ലെങ്കിൽ ഇൻഫർമേഷൻ സെക്യൂരിറ്റി സേവനത്തിന്റെ മാനേജ്മെന്റ് ആയിരിക്കാം. ചില സന്ദർഭങ്ങളിൽ, ഇൻഷുറൻസ് കമ്പനികളുടെയോ റെഗുലേറ്ററി അധികാരികളുടെയോ അഭ്യർത്ഥന പ്രകാരം ഓഡിറ്റുകൾ നടത്താം. ഒരു സെക്യൂരിറ്റി ഓഡിറ്റ് നടത്തുന്നത് ഒരു കൂട്ടം വിദഗ്ധരാണ്, ഇതിന്റെ എണ്ണവും ഘടനയും സർവേയുടെ ലക്ഷ്യങ്ങളെയും ലക്ഷ്യങ്ങളെയും ആശ്രയിച്ചിരിക്കുന്നു, അതുപോലെ തന്നെ വിലയിരുത്തപ്പെടുന്ന വസ്തുവിന്റെ സങ്കീർണ്ണതയെയും ആശ്രയിച്ചിരിക്കുന്നു.

2. സുരക്ഷാ ഓഡിറ്റിന്റെ തരങ്ങൾ

നിലവിൽ, ഇനിപ്പറയുന്ന പ്രധാന വിവര സുരക്ഷാ ഓഡിറ്റുകളെ വേർതിരിച്ചറിയാൻ കഴിയും:

• വിദഗ്ദ്ധ സുരക്ഷാ ഓഡിറ്റ്, പരീക്ഷാ നടപടിക്രമങ്ങളിൽ പങ്കെടുക്കുന്ന വിദഗ്ധരുടെ നിലവിലുള്ള അനുഭവത്തെ അടിസ്ഥാനമാക്കി വിവര സുരക്ഷാ നടപടികളുടെ സിസ്റ്റത്തിലെ പോരായ്മകൾ തിരിച്ചറിയുന്നു;
• ഇന്റർനാഷണൽ സ്റ്റാൻഡേർഡ് ISO 17799 ന്റെ ശുപാർശകൾ പാലിക്കുന്നതിന്റെ വിലയിരുത്തൽ, അതുപോലെ തന്നെ FSTEC (സ്റ്റേറ്റ് ടെക്നിക്കൽ കമ്മീഷൻ) യുടെ ഭരണ രേഖകളുടെ ആവശ്യകതകൾ;
• സിസ്റ്റം സോഫ്റ്റ്‌വെയർ, ഹാർഡ്‌വെയർ കേടുപാടുകൾ തിരിച്ചറിയുന്നതിനും ഇല്ലാതാക്കുന്നതിനും ലക്ഷ്യമിട്ടുള്ള AS സുരക്ഷയുടെ ഉപകരണ വിശകലനം;
• മേൽപ്പറഞ്ഞ എല്ലാ സർവേ രൂപങ്ങളും ഉൾപ്പെടുന്ന ഒരു സമഗ്ര ഓഡിറ്റ്.

എന്റർപ്രൈസ് പരിഹരിക്കേണ്ട ചുമതലകളെ ആശ്രയിച്ച് മുകളിലുള്ള ഓരോ തരം ഓഡിറ്റും വെവ്വേറെയോ സംയോജിതമോ നടത്താം. ഓഡിറ്റിന്റെ ലക്ഷ്യം കമ്പനിയുടെ മൊത്തത്തിലുള്ള ഓട്ടോമേറ്റഡ് സിസ്റ്റവും പരിരക്ഷയ്ക്ക് വിധേയമായ വിവരങ്ങളുടെ പ്രോസസ്സിംഗ് നടത്തുന്ന അതിന്റെ വ്യക്തിഗത സെഗ്‌മെന്റുകളും ആകാം.

3. ഒരു സുരക്ഷാ ഓഡിറ്റ് നടത്തുന്നതിനുള്ള ജോലിയുടെ വ്യാപ്തി

പൊതുവേ, ഒരു സുരക്ഷാ ഓഡിറ്റ്, അതിന്റെ നിർവ്വഹണത്തിന്റെ രൂപം പരിഗണിക്കാതെ, നാല് പ്രധാന ഘട്ടങ്ങൾ ഉൾക്കൊള്ളുന്നു, അവയിൽ ഓരോന്നിനും ഒരു നിശ്ചിത ശ്രേണിയിലുള്ള ജോലികൾ നടപ്പിലാക്കുന്നത് ഉൾപ്പെടുന്നു (ചിത്രം 1).

ചിത്രം 1: ഒരു സുരക്ഷാ ഓഡിറ്റ് നടത്തുമ്പോൾ ജോലിയുടെ പ്രധാന ഘട്ടങ്ങൾ

ആദ്യ ഘട്ടത്തിൽ, ഉപഭോക്താവിനൊപ്പം, ജോലി നിർവഹിക്കുന്നതിനുള്ള ഘടനയും നടപടിക്രമവും സ്ഥാപിക്കുന്ന നിയന്ത്രണങ്ങൾ വികസിപ്പിച്ചെടുക്കുന്നു. സർവേ നടത്തപ്പെടുന്ന അതിരുകൾ നിർണ്ണയിക്കുക എന്നതാണ് നിയന്ത്രണങ്ങളുടെ പ്രധാന ദൌത്യം. ഓഡിറ്റ് പൂർത്തിയാകുമ്പോൾ പരസ്പര ക്ലെയിമുകൾ ഒഴിവാക്കാൻ നിങ്ങളെ അനുവദിക്കുന്ന രേഖയാണ് നിയന്ത്രണങ്ങൾ, കാരണം ഇത് പാർട്ടികളുടെ ഉത്തരവാദിത്തങ്ങൾ വ്യക്തമായി നിർവചിക്കുന്നു. ചട്ടം പോലെ, നിയന്ത്രണങ്ങളിൽ ഇനിപ്പറയുന്ന അടിസ്ഥാന വിവരങ്ങൾ അടങ്ങിയിരിക്കുന്നു:

• കരാറുകാരനിൽ നിന്നും ഓഡിറ്റ് പ്രക്രിയയിൽ പങ്കെടുക്കുന്ന ഉപഭോക്താവിൽ നിന്നുമുള്ള വർക്കിംഗ് ഗ്രൂപ്പുകളുടെ ഘടന;
• ഓഡിറ്റിനായി കരാറുകാരന് നൽകുന്ന വിവരങ്ങളുടെ പട്ടിക;
• ഓഡിറ്റിന് വിധേയമായി ഉപഭോക്താവിന്റെ സൗകര്യങ്ങളുടെ ലിസ്റ്റും സ്ഥാനവും;
• സംരക്ഷണ വസ്തുക്കളായി കണക്കാക്കുന്ന വിഭവങ്ങളുടെ പട്ടിക (വിവര ഉറവിടങ്ങൾ, സോഫ്റ്റ്വെയർ ഉറവിടങ്ങൾ, ഭൗതിക വിഭവങ്ങൾ മുതലായവ);
• ഓഡിറ്റ് നടത്തിയതിന്റെ അടിസ്ഥാനത്തിൽ ഒരു വിവര സുരക്ഷാ ഭീഷണി മോഡൽ;
• സാധ്യതയുള്ള ലംഘനക്കാരായി കണക്കാക്കപ്പെടുന്ന ഉപയോക്താക്കളുടെ വിഭാഗങ്ങൾ;
• ഉപഭോക്താവിന്റെ ഓട്ടോമേറ്റഡ് സിസ്റ്റത്തിന്റെ ഉപകരണ പരിശോധന നടത്തുന്നതിനുള്ള നടപടിക്രമവും സമയവും.

രണ്ടാം ഘട്ടത്തിൽ, അംഗീകരിച്ച ചട്ടങ്ങൾക്ക് അനുസൃതമായി, പ്രാഥമിക വിവരങ്ങൾ ശേഖരിക്കുന്നു. ഉപഭോക്താവിന്റെ ജീവനക്കാരെ അഭിമുഖം നടത്തുക, ചോദ്യാവലി പൂരിപ്പിക്കുക, നൽകിയിരിക്കുന്ന ഓർഗനൈസേഷണൽ, അഡ്മിനിസ്ട്രേറ്റീവ്, ടെക്നിക്കൽ ഡോക്യുമെന്റേഷൻ വിശകലനം ചെയ്യുക, പ്രത്യേക ഉപകരണങ്ങൾ ഉപയോഗിച്ച് വിവരങ്ങൾ ശേഖരിക്കുന്നതിനുള്ള രീതികൾ ഉൾപ്പെടുന്നു.

ഉപഭോക്താവിന്റെ എഎസ് സുരക്ഷയുടെ നിലവിലെ നിലവാരം വിലയിരുത്തുന്നതിനായി ശേഖരിച്ച വിവരങ്ങൾ വിശകലനം ചെയ്യുന്നത് മൂന്നാം ഘട്ട പ്രവർത്തനത്തിൽ ഉൾപ്പെടുന്നു. വിശകലനത്തിന്റെ ഫലങ്ങളെ അടിസ്ഥാനമാക്കി, നാലാം ഘട്ടത്തിൽ, വിവര സുരക്ഷാ ഭീഷണികളിൽ നിന്ന് AS ന്റെ സംരക്ഷണ നിലവാരം വർദ്ധിപ്പിക്കുന്നതിനുള്ള ശുപാർശകൾ വികസിപ്പിക്കുന്നു.

ചുവടെ, കൂടുതൽ വിശദമായി, വിവരശേഖരണം, അതിന്റെ വിശകലനം, പ്ലാന്റിന്റെ സംരക്ഷണ നിലവാരം വർദ്ധിപ്പിക്കുന്നതിനുള്ള ശുപാർശകളുടെ വികസനം എന്നിവയുമായി ബന്ധപ്പെട്ട ഓഡിറ്റിന്റെ ഘട്ടങ്ങൾ ഞങ്ങൾ പരിഗണിക്കുന്നു.

4. ഓഡിറ്റിന് വേണ്ടിയുള്ള പ്രാരംഭ ഡാറ്റയുടെ ശേഖരണം

നിർവഹിച്ച സുരക്ഷാ ഓഡിറ്റിന്റെ ഗുണനിലവാരം പ്രാഥമിക ഡാറ്റയുടെ ശേഖരണ സമയത്ത് ലഭിച്ച വിവരങ്ങളുടെ പൂർണ്ണതയെയും കൃത്യതയെയും ആശ്രയിച്ചിരിക്കുന്നു. അതിനാൽ, വിവരങ്ങളിൽ ഇവ ഉൾപ്പെടണം: വിവര സുരക്ഷാ പ്രശ്‌നങ്ങളുമായി ബന്ധപ്പെട്ട നിലവിലുള്ള ഓർഗനൈസേഷണൽ, അഡ്മിനിസ്ട്രേറ്റീവ് ഡോക്യുമെന്റേഷൻ, AS-ന്റെ സോഫ്റ്റ്‌വെയർ, ഹാർഡ്‌വെയർ എന്നിവയെക്കുറിച്ചുള്ള വിവരങ്ങൾ, AS-ൽ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള സുരക്ഷാ നടപടികളെക്കുറിച്ചുള്ള വിവരങ്ങൾ മുതലായവ. ഉറവിട ഡാറ്റയുടെ കൂടുതൽ വിശദമായ ലിസ്റ്റ് പട്ടിക 1 ൽ അവതരിപ്പിച്ചിരിക്കുന്നു.

പട്ടിക 1: ഒരു സുരക്ഷാ ഓഡിറ്റ് നടത്താൻ ആവശ്യമായ പ്രാരംഭ ഡാറ്റയുടെ ലിസ്റ്റ്

മുകളിൽ സൂചിപ്പിച്ചതുപോലെ, ഇനിപ്പറയുന്ന രീതികൾ ഉപയോഗിച്ച് പ്രാരംഭ ഡാറ്റ ശേഖരണം നടത്താം:

• ആവശ്യമായ വിവരങ്ങളുള്ള കസ്റ്റമർ ജീവനക്കാരെ അഭിമുഖം നടത്തുന്നു. ഈ സാഹചര്യത്തിൽ, സാങ്കേതിക വിദഗ്ധരുമായും കമ്പനിയുടെ മാനേജ്മെന്റിന്റെ പ്രതിനിധികളുമായും അഭിമുഖങ്ങൾ സാധാരണയായി നടത്തപ്പെടുന്നു. അഭിമുഖത്തിൽ ചർച്ച ചെയ്യാൻ ഉദ്ദേശിക്കുന്ന ചോദ്യങ്ങളുടെ ലിസ്റ്റ് മുൻകൂട്ടി സമ്മതിച്ചതാണ്;
• ഉപഭോക്താവിന്റെ ജീവനക്കാർ സ്വതന്ത്രമായി പൂരിപ്പിച്ച ചില വിഷയങ്ങളിൽ ചോദ്യാവലി നൽകൽ. അവതരിപ്പിച്ച മെറ്റീരിയലുകൾ ആവശ്യമായ ചോദ്യങ്ങൾക്ക് പൂർണ്ണമായി ഉത്തരം നൽകാത്ത സന്ദർഭങ്ങളിൽ, അധിക അഭിമുഖങ്ങൾ നടത്തുന്നു;
• ഉപഭോക്താവ് ഉപയോഗിക്കുന്ന നിലവിലുള്ള സംഘടനാ, സാങ്കേതിക ഡോക്യുമെന്റേഷന്റെ വിശകലനം;
• ഉപഭോക്താവിന്റെ ഓട്ടോമേറ്റഡ് സിസ്റ്റത്തിന്റെ സോഫ്റ്റ്‌വെയറിന്റെയും ഹാർഡ്‌വെയറിന്റെയും ഘടനയെയും ക്രമീകരണങ്ങളെയും കുറിച്ച് ആവശ്യമായ വിവരങ്ങൾ നേടാൻ നിങ്ങളെ അനുവദിക്കുന്ന പ്രത്യേക സോഫ്റ്റ്‌വെയറിന്റെ ഉപയോഗം. ഉദാഹരണത്തിന്, ഓഡിറ്റ് പ്രക്രിയയിൽ, സുരക്ഷാ വിശകലന സംവിധാനങ്ങൾ (സെക്യൂരിറ്റി സ്കാനറുകൾ) ഉപയോഗിക്കാം, ഇത് ലഭ്യമായ നെറ്റ്‌വർക്ക് ഉറവിടങ്ങളുടെ ഒരു ഇൻവെന്ററി എടുക്കാനും അവയിലെ കേടുപാടുകൾ തിരിച്ചറിയാനും നിങ്ങളെ അനുവദിക്കുന്നു. ഇന്റർനെറ്റ് സ്കാനർ (ISS കമ്പനി), XSpider (Positive Technologies കമ്പനി) എന്നിവയാണ് ഇത്തരം സംവിധാനങ്ങളുടെ ഉദാഹരണങ്ങൾ.

5. NPP സുരക്ഷാ നിലയുടെ വിലയിരുത്തൽ

ആവശ്യമായ വിവരങ്ങൾ ശേഖരിച്ച ശേഷം, സിസ്റ്റം സുരക്ഷയുടെ നിലവിലെ നിലവാരം വിലയിരുത്തുന്നതിന് അത് വിശകലനം ചെയ്യുന്നു. അത്തരം വിശകലന പ്രക്രിയയിൽ, കമ്പനി വെളിപ്പെടുത്തിയേക്കാവുന്ന വിവര സുരക്ഷാ അപകടസാധ്യതകൾ നിർണ്ണയിക്കപ്പെടുന്നു. യഥാർത്ഥത്തിൽ, നിലവിലുള്ള സുരക്ഷാ നടപടികൾ എത്രത്തോളം ഫലപ്രദമായി വിവര ആക്രമണങ്ങളെ ചെറുക്കാൻ കഴിയും എന്നതിന്റെ സമഗ്രമായ വിലയിരുത്തലാണ് അപകടസാധ്യത.

സുരക്ഷാ അപകടസാധ്യതകൾ കണക്കാക്കുന്നതിന് സാധാരണയായി രണ്ട് പ്രധാന ഗ്രൂപ്പുകളുണ്ട്. ഒരു നിശ്ചിത സെറ്റ് വിവര സുരക്ഷാ ആവശ്യകതകൾ പാലിക്കുന്നതിന്റെ അളവ് വിലയിരുത്തി അപകടസാധ്യതയുടെ തോത് സ്ഥാപിക്കാൻ ആദ്യ ഗ്രൂപ്പ് നിങ്ങളെ അനുവദിക്കുന്നു. അത്തരം ആവശ്യകതകളുടെ ഉറവിടങ്ങൾ ഇവയാകാം (ചിത്രം 2):

• വിവര സുരക്ഷാ പ്രശ്നങ്ങളുമായി ബന്ധപ്പെട്ട എന്റർപ്രൈസസിന്റെ റെഗുലേറ്ററി രേഖകൾ;
• നിലവിലെ റഷ്യൻ നിയമനിർമ്മാണത്തിന്റെ ആവശ്യകതകൾ - FSTEC (സ്റ്റേറ്റ് ടെക്നിക്കൽ കമ്മീഷൻ), STR-K യുടെ മാർഗ്ഗനിർദ്ദേശങ്ങൾ, റഷ്യൻ ഫെഡറേഷന്റെ FSB യുടെ ആവശ്യകതകൾ, GOST-കൾ മുതലായവ.
• അന്താരാഷ്ട്ര മാനദണ്ഡങ്ങളുടെ ശുപാർശകൾ - ISO 17799, OCTAVE, CoBIT മുതലായവ;
• സോഫ്റ്റ്‌വെയർ, ഹാർഡ്‌വെയർ നിർമ്മാണ കമ്പനികളിൽ നിന്നുള്ള ശുപാർശകൾ - Microsoft, Oracle, Cisco മുതലായവ.

ചിത്രം 2: റിസ്ക് വിലയിരുത്തൽ നടത്താവുന്നതിന്റെ അടിസ്ഥാനത്തിൽ വിവര സുരക്ഷാ ആവശ്യകതകളുടെ ഉറവിടങ്ങൾ

വിവര സുരക്ഷാ അപകടസാധ്യതകൾ വിലയിരുത്തുന്നതിനുള്ള രണ്ടാമത്തെ ഗ്രൂപ്പ് രീതികൾ ആക്രമണങ്ങൾ ഉണ്ടാകാനുള്ള സാധ്യതയും അവയുടെ നാശത്തിന്റെ അളവും നിർണ്ണയിക്കുന്നതിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്. ഈ സാഹചര്യത്തിൽ, അപകടസാധ്യത മൂല്യം ഓരോ ആക്രമണത്തിനും വെവ്വേറെ കണക്കാക്കുന്നു, ഇത് സാധാരണയായി ഒരു ആക്രമണത്തിന്റെ സാധ്യതയുടെയും ഈ ആക്രമണത്തിൽ നിന്നുള്ള നാശത്തിന്റെ അളവിന്റെയും ഉൽപ്പന്നമായി അവതരിപ്പിക്കുന്നു. നാശനഷ്ടത്തിന്റെ മൂല്യം നിർണ്ണയിക്കുന്നത് വിവര വിഭവത്തിന്റെ ഉടമയാണ്, കൂടാതെ ഓഡിറ്റ് നടപടിക്രമം നടത്തുന്ന ഒരു കൂട്ടം വിദഗ്ധരാണ് ആക്രമണത്തിന്റെ സാധ്യത കണക്കാക്കുന്നത്.

ആദ്യത്തെയും രണ്ടാമത്തെയും ഗ്രൂപ്പുകളുടെ രീതികൾക്ക് വിവര സുരക്ഷാ അപകടസാധ്യതയുടെ അളവ് നിർണ്ണയിക്കാൻ അളവ് അല്ലെങ്കിൽ ഗുണപരമായ സ്കെയിലുകൾ ഉപയോഗിക്കാം. ആദ്യ സന്ദർഭത്തിൽ, അപകടസാധ്യതയും അതിന്റെ എല്ലാ പാരാമീറ്ററുകളും സംഖ്യാ മൂല്യങ്ങളിൽ പ്രകടിപ്പിക്കുന്നു. അതിനാൽ, ഉദാഹരണത്തിന്, ക്വാണ്ടിറ്റേറ്റീവ് സ്കെയിലുകൾ ഉപയോഗിക്കുമ്പോൾ, ആക്രമണത്തിന്റെ സംഭാവ്യത ഇടവേളയിൽ ഒരു സംഖ്യയായി പ്രകടിപ്പിക്കാം, ആക്രമണത്തിന്റെ നാശനഷ്ടം, ആക്രമണം ഉണ്ടായാൽ സംഘടന അനുഭവിച്ചേക്കാവുന്ന ഭൗതിക നഷ്ടങ്ങളുടെ പണത്തിന് തുല്യമായി സൂചിപ്പിക്കാം. വിജയിച്ചു. ഗുണപരമായ സ്കെയിലുകൾ ഉപയോഗിക്കുമ്പോൾ, സംഖ്യാ മൂല്യങ്ങൾ തുല്യമായ ആശയ തലങ്ങളാൽ മാറ്റിസ്ഥാപിക്കുന്നു. ഈ സാഹചര്യത്തിൽ, ഓരോ ആശയ തലവും ക്വാണ്ടിറ്റേറ്റീവ് റേറ്റിംഗ് സ്കെയിലിന്റെ ഒരു നിശ്ചിത ഇടവേളയുമായി പൊരുത്തപ്പെടും. ഉപയോഗിക്കുന്ന അപകടസാധ്യത വിലയിരുത്തൽ സാങ്കേതികതകളെ ആശ്രയിച്ച് ലെവലുകളുടെ എണ്ണം വ്യത്യാസപ്പെടാം. 2-ഉം 3-ഉം പട്ടികകൾ ഗുണപരമായ വിവര സുരക്ഷാ അപകട വിലയിരുത്തൽ സ്കെയിലുകളുടെ ഉദാഹരണങ്ങൾ നൽകുന്നു, ഇത് അഞ്ച് ആശയപരമായ തലങ്ങൾ ഉപയോഗിച്ച് നാശനഷ്ടങ്ങളുടെ തോതും ആക്രമണത്തിന്റെ സാധ്യതയും വിലയിരുത്തുന്നു.

പട്ടിക 2: നാശത്തിന്റെ തോത് വിലയിരുത്തുന്നതിനുള്ള ഗുണപരമായ സ്കെയിൽ

പട്ടിക 3: ആക്രമണത്തിന്റെ സാധ്യത വിലയിരുത്തുന്നതിനുള്ള ഗുണപരമായ സ്കെയിൽ

അപകടസാധ്യതയുടെ അളവ് കണക്കാക്കാൻ ഗുണപരമായ സ്കെയിലുകൾ ഉപയോഗിക്കുമ്പോൾ, പ്രത്യേക പട്ടികകൾ ഉപയോഗിക്കുന്നു, അതിൽ നാശത്തിന്റെ ആശയപരമായ തലങ്ങൾ ആദ്യ നിരയിൽ വ്യക്തമാക്കിയിരിക്കുന്നു, ആക്രമണത്തിന്റെ സംഭാവ്യത ലെവലുകൾ ആദ്യ വരിയിൽ വ്യക്തമാക്കിയിരിക്കുന്നു. ആദ്യ വരിയുടെയും നിരയുടെയും കവലയിൽ സ്ഥിതി ചെയ്യുന്ന പട്ടിക സെല്ലുകളിൽ സുരക്ഷാ അപകട നില അടങ്ങിയിരിക്കുന്നു. പട്ടികയുടെ അളവ് ആക്രമണ സാധ്യതയുടെയും കേടുപാടുകളുടെയും ആശയപരമായ തലങ്ങളുടെ എണ്ണത്തെ ആശ്രയിച്ചിരിക്കുന്നു. റിസ്ക് ലെവൽ നിർണ്ണയിക്കാൻ കഴിയുന്ന ഒരു പട്ടികയുടെ ഒരു ഉദാഹരണം ചുവടെ നൽകിയിരിക്കുന്നു.

പട്ടിക 4: വിവര സുരക്ഷാ അപകടസാധ്യതയുടെ തോത് നിർണ്ണയിക്കുന്നതിനുള്ള ഒരു പട്ടികയുടെ ഉദാഹരണം

ഒരു ആക്രമണത്തിന്റെ സംഭാവ്യത കണക്കാക്കുമ്പോൾ, അതുപോലെ തന്നെ സാധ്യമായ നാശത്തിന്റെ തോത്, സ്ഥിതിവിവരക്കണക്ക് രീതികൾ, വിദഗ്ദ്ധ വിലയിരുത്തൽ രീതികൾ അല്ലെങ്കിൽ തീരുമാന സിദ്ധാന്തത്തിന്റെ ഘടകങ്ങൾ എന്നിവ ഉപയോഗിക്കാം. വിവര സുരക്ഷാ ലംഘനങ്ങളുമായി ബന്ധപ്പെട്ട യഥാർത്ഥ സംഭവങ്ങളിൽ ഇതിനകം ശേഖരിച്ച ഡാറ്റയുടെ വിശകലനം സ്റ്റാറ്റിസ്റ്റിക്കൽ രീതികളിൽ ഉൾപ്പെടുന്നു. ഈ വിശകലനത്തിന്റെ ഫലങ്ങളെ അടിസ്ഥാനമാക്കി, ആക്രമണങ്ങളുടെ സാധ്യതയെക്കുറിച്ചും മറ്റ് സിസ്റ്റങ്ങളിൽ അവയിൽ നിന്നുള്ള നാശത്തിന്റെ അളവുകളെക്കുറിച്ചും അനുമാനങ്ങൾ നിർമ്മിക്കപ്പെടുന്നു. എന്നിരുന്നാലും, AS-ന്റെ വിവര ഉറവിടങ്ങളിൽ മുമ്പ് നടത്തിയ ആക്രമണങ്ങളെക്കുറിച്ചുള്ള പൂർണ്ണമായ സ്ഥിതിവിവരക്കണക്കുകളുടെ അഭാവം കാരണം സ്ഥിതിവിവരക്കണക്ക് രീതികളുടെ ഉപയോഗം എല്ലായ്പ്പോഴും സാധ്യമല്ല.

വിദഗ്ദ്ധ വിലയിരുത്തലുകളുടെ ഉപകരണം ഉപയോഗിക്കുമ്പോൾ, വിവര സുരക്ഷാ മേഖലയിൽ കഴിവുള്ള ഒരു കൂട്ടം വിദഗ്ധരുടെ പ്രവർത്തനത്തിന്റെ ഫലങ്ങൾ വിശകലനം ചെയ്യുന്നു, അവർ അവരുടെ അനുഭവത്തെ അടിസ്ഥാനമാക്കി, അപകടസാധ്യതയുടെ അളവ് അല്ലെങ്കിൽ ഗുണപരമായ തലങ്ങൾ നിർണ്ണയിക്കുന്നു. സെക്യൂരിറ്റി റിസ്ക് മൂല്യം കണക്കാക്കാൻ ഒരു കൂട്ടം വിദഗ്ധരുടെ ഫലങ്ങൾ പ്രോസസ്സ് ചെയ്യുന്നതിന് കൂടുതൽ സങ്കീർണ്ണമായ അൽഗോരിതങ്ങൾ ഉപയോഗിക്കുന്നത് തീരുമാന സിദ്ധാന്തത്തിന്റെ ഘടകങ്ങൾ സാധ്യമാക്കുന്നു.

ഒരു സുരക്ഷാ ഓഡിറ്റ് നടത്തുന്ന പ്രക്രിയയിൽ, ഉറവിട ഡാറ്റ വിശകലനം ചെയ്യുന്നതിനും അപകടസാധ്യത മൂല്യങ്ങൾ കണക്കാക്കുന്നതിനുമുള്ള പ്രക്രിയ ഓട്ടോമേറ്റ് ചെയ്യുന്നതിന് പ്രത്യേക സോഫ്റ്റ്വെയർ സംവിധാനങ്ങൾ ഉപയോഗിക്കാം. അത്തരം സമുച്ചയങ്ങളുടെ ഉദാഹരണങ്ങൾ "ഗ്രിഫ്", "കോണ്ടർ" (ഡിജിറ്റൽ സെക്യൂരിറ്റി കമ്പനികൾ), അതുപോലെ "അവൻഗാർഡ്" (റഷ്യൻ അക്കാദമി ഓഫ് സയൻസസിന്റെ ഇൻസ്റ്റിറ്റ്യൂട്ട് ഓഫ് സിസ്റ്റം അനാലിസിസ്) എന്നിവയാണ്.

6. സുരക്ഷാ ഓഡിറ്റ് ഫലങ്ങൾ

വിവര സുരക്ഷാ ഓഡിറ്റിന്റെ അവസാന ഘട്ടത്തിൽ, എന്റർപ്രൈസസിന്റെ ഓർഗനൈസേഷണലും സാങ്കേതികവുമായ പിന്തുണ മെച്ചപ്പെടുത്തുന്നതിനുള്ള ശുപാർശകൾ വികസിപ്പിച്ചെടുക്കുന്നു. തിരിച്ചറിഞ്ഞ അപകടസാധ്യതകൾ കുറയ്ക്കുന്നതിന് ലക്ഷ്യമിട്ടുള്ള ഇനിപ്പറയുന്ന തരത്തിലുള്ള പ്രവർത്തനങ്ങൾ അത്തരം ശുപാർശകളിൽ ഉൾപ്പെട്ടേക്കാം:

• ഒരു ആക്രമണത്തിന്റെ സാധ്യത കുറയ്ക്കുന്നതിനോ അതിൽ നിന്നുള്ള നാശനഷ്ടങ്ങൾ കുറയ്ക്കുന്നതിനോ അധിക സംഘടനാപരവും സാങ്കേതികവുമായ സംരക്ഷണ മാർഗ്ഗങ്ങൾ ഉപയോഗിക്കുന്നതിലൂടെ അപകടസാധ്യത കുറയ്ക്കൽ. ഉദാഹരണത്തിന്, സിസ്റ്റം ഇന്റർനെറ്റുമായി ബന്ധിപ്പിക്കുന്ന സ്ഥലത്ത് ഫയർവാളുകൾ ഇൻസ്റ്റാൾ ചെയ്യുന്നത്, വെബ് സെർവറുകൾ, മെയിൽ സെർവറുകൾ മുതലായവ പോലുള്ള സിസ്റ്റത്തിന്റെ പൊതു വിവര ഉറവിടങ്ങളിൽ വിജയകരമായ ആക്രമണത്തിന്റെ സാധ്യത ഗണ്യമായി കുറയ്ക്കും.
• ഒരു പ്രത്യേക ആക്രമണം നടത്താനുള്ള സാധ്യത ഇല്ലാതാക്കുന്ന AS-ന്റെ വാസ്തുവിദ്യ അല്ലെങ്കിൽ വിവര ഫ്ലോകളുടെ സ്കീം മാറ്റുന്നതിലൂടെ അപകടസാധ്യത ഒഴിവാക്കുന്നു. ഉദാഹരണത്തിന്, ഇൻറർനെറ്റിൽ നിന്ന് രഹസ്യസ്വഭാവമുള്ള വിവരങ്ങൾ പ്രോസസ്സ് ചെയ്യുന്ന AS സെഗ്‌മെന്റ് ശാരീരികമായി വിച്ഛേദിക്കുന്നത് ഈ നെറ്റ്‌വർക്കിൽ നിന്നുള്ള രഹസ്യാത്മക വിവരങ്ങളുടെ ആക്രമണങ്ങൾ ഇല്ലാതാക്കുന്നത് സാധ്യമാക്കുന്നു;
• ഇൻഷുറൻസ് നടപടികൾ സ്വീകരിക്കുന്നതിന്റെ ഫലമായി അപകടസാധ്യതയുടെ സ്വഭാവത്തിലുള്ള മാറ്റം. അപകടത്തിന്റെ സ്വഭാവത്തിലുള്ള അത്തരം മാറ്റത്തിന്റെ ഉദാഹരണങ്ങളിൽ NPP ഉപകരണങ്ങൾ അഗ്നിബാധയ്‌ക്കെതിരെ ഇൻഷ്വർ ചെയ്യുകയോ വിവര ഉറവിടങ്ങൾ അവയുടെ രഹസ്യാത്മകത, സമഗ്രത അല്ലെങ്കിൽ ലഭ്യത എന്നിവയുടെ ലംഘനത്തിനെതിരെ ഇൻഷ്വർ ചെയ്യുകയോ ഉൾപ്പെടുന്നു. നിലവിൽ, റഷ്യൻ കമ്പനികൾ ഇതിനകം ഇൻഫർമേഷൻ റിസ്ക് ഇൻഷുറൻസ് സേവനങ്ങൾ വാഗ്ദാനം ചെയ്യുന്നു;
• പ്ലാന്റിന് അപകടമുണ്ടാക്കാത്ത തലത്തിലേക്ക് അത് കുറച്ചാൽ അപകടസാധ്യത അംഗീകരിക്കൽ.

ചട്ടം പോലെ, വികസിപ്പിച്ച ശുപാർശകൾ തിരിച്ചറിഞ്ഞ എല്ലാ അപകടസാധ്യതകളും പൂർണ്ണമായും ഇല്ലാതാക്കാൻ ലക്ഷ്യമിടുന്നില്ല, പക്ഷേ അവ സ്വീകാര്യമായ ശേഷിക്കുന്ന തലത്തിലേക്ക് കുറയ്ക്കുക മാത്രമാണ്. AS പരിരക്ഷയുടെ നില വർദ്ധിപ്പിക്കുന്നതിനുള്ള നടപടികൾ തിരഞ്ഞെടുക്കുമ്പോൾ, ഒരു അടിസ്ഥാന പരിമിതി കണക്കിലെടുക്കുന്നു - അവ നടപ്പിലാക്കുന്നതിനുള്ള ചെലവ് സംരക്ഷിത വിവര വിഭവങ്ങളുടെ വിലയേക്കാൾ കൂടുതലാകരുത്.

ഓഡിറ്റ് നടപടിക്രമത്തിന്റെ അവസാനം, അതിന്റെ ഫലങ്ങൾ ഒരു റിപ്പോർട്ടിംഗ് ഡോക്യുമെന്റിന്റെ രൂപത്തിൽ ഔപചാരികമാക്കുന്നു, അത് ഉപഭോക്താവിന് നൽകുന്നു. പൊതുവേ, ഈ പ്രമാണത്തിൽ ഇനിപ്പറയുന്ന പ്രധാന വിഭാഗങ്ങൾ അടങ്ങിയിരിക്കുന്നു:

• സുരക്ഷാ ഓഡിറ്റ് നടത്തിയ അതിരുകളുടെ ഒരു വിവരണം;
• ഉപഭോക്താവിന്റെ AS ഘടനയുടെ വിവരണം;
• ഓഡിറ്റ് പ്രക്രിയയിൽ ഉപയോഗിച്ച രീതികളും ഉപകരണങ്ങളും;
• തിരിച്ചറിഞ്ഞ അപകടസാധ്യതകൾ ഉൾപ്പെടെയുള്ള പോരായ്മകളുടെ വിവരണം;
• സമഗ്രമായ വിവര സുരക്ഷാ സംവിധാനം മെച്ചപ്പെടുത്തുന്നതിനുള്ള ശുപാർശകൾ;
• തിരിച്ചറിഞ്ഞ അപകടസാധ്യതകൾ കുറയ്ക്കുന്നതിന് ലക്ഷ്യമിട്ടുള്ള മുൻഗണനാ നടപടികൾ നടപ്പിലാക്കുന്നതിനുള്ള ഒരു പദ്ധതിക്കായുള്ള നിർദ്ദേശങ്ങൾ.

7. ഉപസംഹാരം

വിവര സുരക്ഷാ ഭീഷണികളിൽ നിന്ന് ഒരു എന്റർപ്രൈസസിന്റെ നിലവിലെ സംരക്ഷണ നിലവാരത്തെക്കുറിച്ച് സ്വതന്ത്രവും വസ്തുനിഷ്ഠവുമായ വിലയിരുത്തൽ നേടുന്നതിനുള്ള ഏറ്റവും ഫലപ്രദമായ ഉപകരണങ്ങളിലൊന്നാണ് ഇന്ന് വിവര സുരക്ഷാ ഓഡിറ്റ്. കൂടാതെ, ഓഡിറ്റ് ഫലങ്ങൾ ഓർഗനൈസേഷന്റെ വിവര സുരക്ഷാ സംവിധാനത്തിന്റെ വികസനത്തിന് ഒരു തന്ത്രം രൂപീകരിക്കുന്നതിനുള്ള അടിസ്ഥാനമാണ്.

എന്നിരുന്നാലും, ഒരു സുരക്ഷാ ഓഡിറ്റ് ഒറ്റത്തവണ നടപടിക്രമമല്ല, മറിച്ച് പതിവായി നടത്തേണ്ടതുണ്ടെന്ന് മനസ്സിലാക്കണം. ഈ സാഹചര്യത്തിൽ മാത്രമേ ഓഡിറ്റ് യഥാർത്ഥ നേട്ടങ്ങൾ കൊണ്ടുവരികയും കമ്പനിയുടെ വിവര സുരക്ഷയുടെ നിലവാരം മെച്ചപ്പെടുത്താൻ സഹായിക്കുകയും ചെയ്യും.

8. റഫറൻസുകൾ

1. Vikhorev S.V., Kobtsev R.Yu., ആക്രമണം എവിടെ നിന്നാണ് വരുന്നതെന്ന് എങ്ങനെ കണ്ടെത്താം അല്ലെങ്കിൽ വിവര സുരക്ഷയ്ക്ക് ഭീഷണി എവിടെ നിന്നാണ് വരുന്നത് // ആത്മവിശ്വാസം, നമ്പർ 2, 2001.
2. സിമോനോവ് എസ്. റിസ്ക് വിശകലനം, റിസ്ക് മാനേജ്മെന്റ് // ജെറ്റ് ഇൻഫോ ന്യൂസ് ലെറ്റർ നമ്പർ 1(68). 1999. പി. 1-28.
3. ISO/IEC 17799, ഇൻഫർമേഷൻ ടെക്നോളജി - ഇൻഫർമേഷൻ സെക്യൂരിറ്റി മാനേജ്മെന്റിനുള്ള പ്രാക്ടീസ് കോഡ്, 2000
4. പ്രവർത്തനപരമായി ഗുരുതരമായ ഭീഷണി, അസറ്റ്, ദുർബലത വിലയിരുത്തൽ (OCTAVE) - സുരക്ഷാ അപകടസാധ്യത വിലയിരുത്തൽ - www.cert.org/octave.
5. ഇൻഫർമേഷൻ ടെക്നോളജി സിസ്റ്റങ്ങൾക്കുള്ള റിസ്ക് മാനേജ്മെന്റ് ഗൈഡ്, NIST, പ്രത്യേക പ്രസിദ്ധീകരണം 800-30.

ഡിസംബർ 30, 2008 ലെ ഫെഡറൽ നിയമം 307-FZ "ഓൺ ഓഡിറ്റിംഗ് പ്രവർത്തനങ്ങളിൽ" അനുസരിച്ച്, ഒരു ഓഡിറ്റ് എന്നത് "ഓഡിറ്റ് ചെയ്ത എന്റിറ്റിയുടെ അക്കൌണ്ടിംഗ് (സാമ്പത്തിക) പ്രസ്താവനകളുടെ ഒരു സ്വതന്ത്ര സ്ഥിരീകരണമാണ്. പ്രസ്താവനകൾ." ഈ നിയമത്തിൽ പരാമർശിച്ചിരിക്കുന്ന ഈ പദത്തിന് വിവര സുരക്ഷയുമായി യാതൊരു ബന്ധവുമില്ല. എന്നിരുന്നാലും, വിവര സുരക്ഷാ സ്പെഷ്യലിസ്റ്റുകൾ അവരുടെ സംഭാഷണത്തിൽ ഇത് വളരെ സജീവമായി ഉപയോഗിക്കുന്നു. ഈ സാഹചര്യത്തിൽ, ഓഡിറ്റ് എന്നത് ഒരു ഓർഗനൈസേഷൻ, സിസ്റ്റം, പ്രോസസ്സ്, പ്രോജക്റ്റ് അല്ലെങ്കിൽ ഉൽപ്പന്നത്തിന്റെ പ്രവർത്തനങ്ങളുടെ സ്വതന്ത്രമായ വിലയിരുത്തൽ പ്രക്രിയയെ സൂചിപ്പിക്കുന്നു. അതേസമയം, വിവിധ ആഭ്യന്തര ചട്ടങ്ങളിൽ "വിവര സുരക്ഷാ ഓഡിറ്റ്" എന്ന പദം എല്ലായ്പ്പോഴും ഉപയോഗിക്കാറില്ലെന്ന് ഒരാൾ മനസ്സിലാക്കണം - ഇത് പലപ്പോഴും "അനുരൂപീകരണ വിലയിരുത്തൽ" അല്ലെങ്കിൽ അല്പം കാലഹരണപ്പെട്ടതും എന്നാൽ ഇപ്പോഴും ഉപയോഗിക്കുന്ന "സർട്ടിഫിക്കേഷൻ" എന്ന പദവും ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കപ്പെടുന്നു. ചിലപ്പോൾ "സർട്ടിഫിക്കേഷൻ" എന്ന പദം ഉപയോഗിക്കാറുണ്ട്, എന്നാൽ അന്താരാഷ്ട്ര വിദേശ നിയന്ത്രണങ്ങളുമായി ബന്ധപ്പെട്ട്.

നിയന്ത്രണങ്ങൾ പാലിക്കുന്നുണ്ടോയെന്ന് പരിശോധിക്കുന്നതിനോ ഉപയോഗിക്കുന്ന പരിഹാരങ്ങളുടെ സാധുതയും സുരക്ഷയും പരിശോധിക്കുന്നതിനോ ഒരു വിവര സുരക്ഷാ ഓഡിറ്റ് നടത്തുന്നു.

എന്നാൽ ഏത് പദം ഉപയോഗിച്ചാലും, സാരാംശത്തിൽ, നിയന്ത്രണങ്ങൾ പാലിക്കുന്നുണ്ടോയെന്ന് പരിശോധിക്കുന്നതിനോ അല്ലെങ്കിൽ ഉപയോഗിച്ച പരിഹാരങ്ങളുടെ സാധുതയും സുരക്ഷിതത്വവും പരിശോധിക്കുന്നതിനോ ഒരു വിവര സുരക്ഷാ ഓഡിറ്റ് നടത്തുന്നു. രണ്ടാമത്തെ കേസിൽ, ഓഡിറ്റ് സ്വമേധയാ ഉള്ളതാണ്, അത് നടത്താനുള്ള തീരുമാനം സംഘടന തന്നെ എടുക്കുന്നു. ആദ്യ സന്ദർഭത്തിൽ, ഒരു ഓഡിറ്റ് നടത്താൻ വിസമ്മതിക്കുന്നത് അസാധ്യമാണ്, കാരണം ഇത് ചട്ടങ്ങൾ സ്ഥാപിച്ച ആവശ്യകതകളുടെ ലംഘനമാണ്, ഇത് പിഴ, പ്രവർത്തനങ്ങൾ താൽക്കാലികമായി നിർത്തിവയ്ക്കൽ അല്ലെങ്കിൽ മറ്റ് തരത്തിലുള്ള ശിക്ഷകളുടെ രൂപത്തിൽ ശിക്ഷയിലേക്ക് നയിക്കുന്നു.
ഒരു ഓഡിറ്റ് നിർബന്ധമാണെങ്കിൽ, അത് ഓർഗനൈസേഷന് തന്നെ നടപ്പിലാക്കാൻ കഴിയും, ഉദാഹരണത്തിന്, സ്വയം വിലയിരുത്തലിന്റെ രൂപത്തിൽ (എന്നിരുന്നാലും, ഈ സാഹചര്യത്തിൽ "സ്വാതന്ത്ര്യം" എന്നതിനെക്കുറിച്ച് സംസാരിക്കുന്നില്ല, കൂടാതെ "ഓഡിറ്റ്" എന്ന പദം പൂർണ്ണമായും അല്ല. ഇവിടെ ഉപയോഗിക്കുന്നത് ശരിയാണ്), അല്ലെങ്കിൽ ബാഹ്യ സ്വതന്ത്ര സംഘടനകൾ - ഓഡിറ്റർമാർ. നിർബന്ധിത ഓഡിറ്റ് നടത്തുന്നതിനുള്ള മൂന്നാമത്തെ ഓപ്ഷൻ പ്രസക്തമായ മേൽനോട്ട പ്രവർത്തനങ്ങൾ നടത്താൻ അധികാരമുള്ള റെഗുലേറ്ററി ബോഡികളുടെ നിയന്ത്രണമാണ്. ഈ ഓപ്ഷനെ ഓഡിറ്റ് എന്നതിലുപരി ഒരു പരിശോധന എന്ന് വിളിക്കുന്നു.
ഏതെങ്കിലും കാരണത്താൽ ഒരു സ്വമേധയാ ഓഡിറ്റ് നടത്താമെന്നതിനാൽ (വിദൂര ബാങ്കിംഗ് സംവിധാനത്തിന്റെ സുരക്ഷ പരിശോധിക്കാൻ, ഏറ്റെടുക്കുന്ന ബാങ്കിന്റെ ആസ്തികൾ നിയന്ത്രിക്കാൻ, പുതുതായി തുറന്ന ബ്രാഞ്ച് പരിശോധിക്കാൻ മുതലായവ), ഞങ്ങൾ ഈ ഓപ്ഷൻ പരിഗണിക്കില്ല. ഈ സാഹചര്യത്തിൽ, അതിന്റെ അതിരുകൾ വ്യക്തമായി രൂപപ്പെടുത്തുകയോ അതിന്റെ റിപ്പോർട്ടിംഗിന്റെ രൂപങ്ങൾ വിവരിക്കുകയോ സ്ഥിരതയെക്കുറിച്ച് സംസാരിക്കുകയോ ചെയ്യുന്നത് അസാധ്യമാണ് - ഇതെല്ലാം ഓഡിറ്ററും ഓഡിറ്റ് ചെയ്ത ഓർഗനൈസേഷനും തമ്മിലുള്ള ഒരു കരാറാണ് തീരുമാനിക്കുന്നത്. അതിനാൽ, ബാങ്കുകൾക്ക് മാത്രമുള്ള നിർബന്ധിത ഓഡിറ്റിന്റെ രൂപങ്ങൾ മാത്രമേ ഞങ്ങൾ പരിഗണിക്കൂ.

അന്താരാഷ്ട്ര നിലവാരമുള്ള ISO 27001

അന്താരാഷ്ട്ര നിലവാരമുള്ള “ISO/IEC 27001:2005” (അതിന്റെ പൂർണ്ണ റഷ്യൻ തത്തുല്യമായത് “GOST R ISO/IEC 27001-2006 - വിവര സാങ്കേതിക വിദ്യ - രീതികളും മാർഗങ്ങളും സുരക്ഷ ഉറപ്പാക്കുന്നതിനുള്ള മാനേജ്മെന്റ് സിസ്റ്റങ്ങളുടെ വിവര സുരക്ഷ - ആവശ്യകതകൾ"). ചുരുക്കത്തിൽ, ഈ മാനദണ്ഡം വലിയ ഓർഗനൈസേഷനുകളിലെ വിവര സുരക്ഷാ മാനേജുമെന്റിനുള്ള മികച്ച പ്രവർത്തനങ്ങളുടെ ഒരു കൂട്ടമാണ് (ബാങ്കുകൾ ഉൾപ്പെടെയുള്ള ചെറിയ ഓർഗനൈസേഷനുകൾക്ക് എല്ലായ്പ്പോഴും ഈ മാനദണ്ഡത്തിന്റെ ആവശ്യകതകൾ പൂർണ്ണമായി പാലിക്കാൻ കഴിയില്ല).
റഷ്യയിലെ ഏതൊരു സ്റ്റാൻഡേർഡും പോലെ, ISO 27001 പൂർണ്ണമായും സ്വമേധയാ ഉള്ള ഒരു രേഖയാണ്, അത് ഓരോ ബാങ്കും സ്വതന്ത്രമായി സ്വീകരിക്കണോ വേണ്ടയോ എന്ന് തീരുമാനിക്കുന്നു. എന്നാൽ ISO 27001 എന്നത് ലോകമെമ്പാടുമുള്ള ഒരു യഥാർത്ഥ മാനദണ്ഡമാണ്, കൂടാതെ പല രാജ്യങ്ങളിലെയും വിദഗ്ധർ അവരുടെ വിവര സുരക്ഷാ ശ്രമങ്ങളെ നയിക്കാൻ ഒരു തരം സാർവത്രിക ഭാഷയായി ഈ മാനദണ്ഡം ഉപയോഗിക്കുന്നു.

ISO 27001 മായി ബന്ധപ്പെട്ട് അത്ര വ്യക്തമല്ലാത്തതും പലപ്പോഴും പരാമർശിക്കാത്തതുമായ നിരവധി പോയിന്റുകളും ഉണ്ട്.

എന്നിരുന്നാലും, ISO 27001-ൽ വ്യക്തമല്ലാത്തതും പതിവായി പരാമർശിക്കാത്തതുമായ നിരവധി പോയിന്റുകളും ഉൾപ്പെടുന്നു. ഒന്നാമതായി, ഈ മാനദണ്ഡമനുസരിച്ച് ബാങ്കിന്റെ മുഴുവൻ വിവര സുരക്ഷാ സംവിധാനവും ഓഡിറ്റിന് വിധേയമല്ല, മറിച്ച് അതിന്റെ ഒന്നോ അതിലധികമോ ഘടകങ്ങൾ മാത്രമാണ്. ഉദാഹരണത്തിന്, ഒരു റിമോട്ട് ബാങ്കിംഗ് സെക്യൂരിറ്റി സിസ്റ്റം, ഒരു ബാങ്ക് ഹെഡ് ഓഫീസ് സെക്യൂരിറ്റി സിസ്റ്റം അല്ലെങ്കിൽ ഒരു പേഴ്സണൽ മാനേജ്മെന്റ് പ്രൊസസ് സെക്യൂരിറ്റി സിസ്റ്റം. മറ്റൊരു വിധത്തിൽ പറഞ്ഞാൽ, ഓഡിറ്റിന്റെ ഭാഗമായി വിലയിരുത്തിയ പ്രക്രിയകളിലൊന്നിന് അനുരൂപതയുടെ സർട്ടിഫിക്കറ്റ് ലഭിക്കുന്നത്, ശേഷിക്കുന്ന പ്രക്രിയകൾ അനുയോജ്യമായ അവസ്ഥയ്ക്ക് സമാനമാണെന്ന് ഉറപ്പുനൽകുന്നില്ല. രണ്ടാമത്തെ പോയിന്റ് ISO 27001 ഒരു സാർവത്രിക മാനദണ്ഡമാണ്, അതായത്, ഏത് ഓർഗനൈസേഷനും ബാധകമാണ്, അതിനാൽ ഒരു പ്രത്യേക വ്യവസായത്തിന്റെ പ്രത്യേകതകൾ കണക്കിലെടുക്കുന്നില്ല. സ്റ്റാൻഡേർഡൈസേഷൻ ഐ‌എസ്‌ഒയ്ക്കുള്ള അന്താരാഷ്ട്ര ഓർഗനൈസേഷന്റെ ചട്ടക്കൂടിനുള്ളിൽ, സാമ്പത്തിക വ്യവസായത്തിനുള്ള ഐഎസ്ഒ 27001/27002 ന്റെ വിവർത്തനമായ ഐഎസ്ഒ 27015 സ്റ്റാൻഡേർഡ് സൃഷ്ടിക്കുന്നതിനെക്കുറിച്ച് വളരെക്കാലമായി ചർച്ചകൾ നടക്കുന്നു. ഈ മാനദണ്ഡത്തിന്റെ വികസനത്തിൽ ബാങ്ക് ഓഫ് റഷ്യയും സജീവമായി പങ്കെടുക്കുന്നു. എന്നിരുന്നാലും, വിസയും മാസ്റ്റർകാർഡും ഇതിനകം വികസിപ്പിച്ചെടുത്ത ഈ മാനദണ്ഡത്തിന്റെ കരടിന് എതിരാണ്. സാമ്പത്തിക വ്യവസായത്തിന് ആവശ്യമായ വളരെ കുറച്ച് വിവരങ്ങൾ മാത്രമേ ഡ്രാഫ്റ്റ് സ്റ്റാൻഡേർഡിൽ അടങ്ങിയിട്ടുള്ളൂ എന്ന് ആദ്യത്തേത് വിശ്വസിക്കുന്നു (ഉദാഹരണത്തിന്, പേയ്‌മെന്റ് സിസ്റ്റങ്ങളിൽ), അത് അവിടെ ചേർത്തിട്ടുണ്ടെങ്കിൽ, സ്റ്റാൻഡേർഡ് മറ്റൊരു ഐഎസ്ഒ കമ്മിറ്റിയിലേക്ക് മാറ്റണം. ISO 27015 വികസിപ്പിക്കുന്നത് നിർത്താനും മാസ്റ്റർകാർഡ് നിർദ്ദേശിക്കുന്നു, പക്ഷേ പ്രചോദനം വ്യത്യസ്തമാണ് - അവർ പറയുന്നു, സാമ്പത്തിക വ്യവസായം ഇതിനകം വിവര സുരക്ഷയുടെ വിഷയം നിയന്ത്രിക്കുന്ന രേഖകളാൽ നിറഞ്ഞിരിക്കുന്നു. മൂന്നാമതായി, റഷ്യൻ വിപണിയിൽ കാണപ്പെടുന്ന പല നിർദ്ദേശങ്ങളും ഒരു കംപ്ലയിൻസ് ഓഡിറ്റിനെക്കുറിച്ചല്ല, മറിച്ച് ഒരു ഓഡിറ്റിന് തയ്യാറെടുക്കുന്നതിനെക്കുറിച്ചാണ് പറയുന്നത് എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്. ISO 27001 ആവശ്യകതകൾ പാലിക്കുന്നുണ്ടെന്ന് സാക്ഷ്യപ്പെടുത്താനുള്ള അവകാശം ലോകത്തിലെ ചില ഓർഗനൈസേഷനുകൾക്ക് മാത്രമേ ഉള്ളൂ എന്നതാണ് വസ്തുത. സ്റ്റാൻഡേർഡിന്റെ ആവശ്യകതകൾ നിറവേറ്റാൻ മാത്രം കമ്പനികളെ ഇന്റഗ്രേറ്റർമാർ സഹായിക്കുന്നു, അത് ഔദ്യോഗിക ഓഡിറ്റർമാരാൽ പരിശോധിക്കപ്പെടും (അവരെ രജിസ്ട്രാർ, സർട്ടിഫിക്കേഷൻ ബോഡികൾ മുതലായവ എന്നും വിളിക്കുന്നു).
ബാങ്കുകൾ ISO 27001 നടപ്പിലാക്കണമോ വേണ്ടയോ എന്നതിനെക്കുറിച്ചുള്ള ചർച്ചകൾ തുടരുമ്പോൾ, ചില ധീരരായ ആത്മാക്കൾ അതിനായി പോകുകയും 3 ഘട്ടങ്ങൾ പാലിക്കൽ ഓഡിറ്റിന് വിധേയമാവുകയും ചെയ്യുന്നു:

• പ്രധാന രേഖകളുടെ ഓഡിറ്ററുടെ പ്രാഥമിക അനൗപചാരിക പരിശോധന (ഓഡിറ്റ് ക്ലയന്റിന്റെ സൈറ്റിലും പുറത്തും).
• നടപ്പിലാക്കിയ സംരക്ഷണ നടപടികളുടെ ഔപചാരികവും കൂടുതൽ ആഴത്തിലുള്ളതുമായ ഓഡിറ്റ്, അവയുടെ ഫലപ്രാപ്തി വിലയിരുത്തൽ, വികസിപ്പിച്ച ആവശ്യമായ രേഖകളുടെ പഠനം. ഈ ഘട്ടം സാധാരണയായി പാലിക്കൽ സ്ഥിരീകരണത്തോടെ അവസാനിക്കുന്നു, കൂടാതെ ഓഡിറ്റർ ലോകമെമ്പാടും അംഗീകരിക്കപ്പെട്ട അനുബന്ധ സർട്ടിഫിക്കറ്റ് നൽകുന്നു.
• മുമ്പ് ലഭിച്ച അനുരൂപതയുടെ സർട്ടിഫിക്കറ്റ് സ്ഥിരീകരിക്കുന്നതിന് വാർഷിക പരിശോധന ഓഡിറ്റ് നടത്തുന്നു.

റഷ്യയിൽ ആർക്കാണ് ISO 27001 വേണ്ടത്? ഈ മാനദണ്ഡം ഒരു ഓഡിറ്റിന് വിധേയമാകാതെ നടപ്പിലാക്കാൻ കഴിയുന്ന മികച്ച സമ്പ്രദായങ്ങളുടെ ഒരു കൂട്ടം മാത്രമല്ല, അന്താരാഷ്ട്ര അംഗീകാരമുള്ള സുരക്ഷാ ആവശ്യകതകളോട് ബാങ്കിന്റെ അനുസരണത്തെ സ്ഥിരീകരിക്കുന്ന ഒരു സർട്ടിഫിക്കേഷൻ പ്രക്രിയയായും ഞങ്ങൾ പരിഗണിക്കുകയാണെങ്കിൽ, ISO 27001 നടപ്പിലാക്കുന്നതിൽ അർത്ഥമുണ്ട്. ISO 27001 സ്റ്റാൻഡേർഡ് ആയ അന്താരാഷ്ട്ര ബാങ്കിംഗ് ഗ്രൂപ്പുകളിൽ അംഗങ്ങളായ ബാങ്കുകൾ അല്ലെങ്കിൽ അന്താരാഷ്ട്ര രംഗത്തേക്ക് പ്രവേശിക്കാൻ ഉദ്ദേശിക്കുന്ന ബാങ്കുകൾ. മറ്റ് സന്ദർഭങ്ങളിൽ, ISO 27001-നുള്ള ഓഡിറ്റിംഗ് പാലിക്കലും ഒരു സർട്ടിഫിക്കറ്റ് നേടലും ആവശ്യമില്ല, എന്റെ അഭിപ്രായത്തിൽ. എന്നാൽ ബാങ്കിനും റഷ്യയിലും മാത്രം. ISO 27001 അടിസ്ഥാനമാക്കിയുള്ള ഞങ്ങളുടെ സ്വന്തം മാനദണ്ഡങ്ങൾ ഉള്ളതിനാൽ എല്ലാം.

യഥാർത്ഥത്തിൽ, STO BR IBBS ന്റെ ആവശ്യകതകൾക്ക് അനുസൃതമായി അടുത്തിടെ വരെ ബാങ്ക് ഓഫ് റഷ്യയുടെ പരിശോധന പരിശോധനകൾ നടത്തിയിരുന്നു.

ബാങ്ക് ഓഫ് റഷ്യ STO BR IBBS ന്റെ പ്രമാണങ്ങളുടെ ഒരു കൂട്ടം

റഷ്യൻ നിയമനിർമ്മാണത്തിന്റെ ആവശ്യകതകൾ കണക്കിലെടുത്ത് ബാങ്കിംഗ് ഓർഗനൈസേഷനുകൾക്കായി ഒരു വിവര സുരക്ഷാ സംവിധാനം നിർമ്മിക്കുന്നതിനുള്ള ഏകീകൃത സമീപനത്തെ വിവരിക്കുന്ന ബാങ്ക് ഓഫ് റഷ്യയിൽ നിന്നുള്ള ഒരു കൂട്ടം പ്രമാണങ്ങളാണ് അത്തരമൊരു മാനദണ്ഡം അല്ലെങ്കിൽ ഒരു കൂട്ടം മാനദണ്ഡങ്ങൾ. മൂന്ന് സ്റ്റാൻഡേർഡുകളും സ്റ്റാൻഡേർഡൈസേഷനായി അഞ്ച് ശുപാർശകളും അടങ്ങുന്ന ഈ സെറ്റ് ഡോക്യുമെന്റുകൾ (ഇനിമുതൽ STO BR IBBS) ISO 27001-നെയും ഇൻഫർമേഷൻ ടെക്നോളജി മാനേജ്മെന്റിനും ഇൻഫർമേഷൻ സെക്യൂരിറ്റിക്കും വേണ്ടിയുള്ള മറ്റ് നിരവധി അന്താരാഷ്ട്ര മാനദണ്ഡങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്.
ISO 27001-നെ സംബന്ധിച്ചിടത്തോളം, സ്റ്റാൻഡേർഡിന്റെ ആവശ്യകതകൾ പാലിക്കുന്നുണ്ടെന്ന് ഓഡിറ്റുചെയ്യുന്നതിനും വിലയിരുത്തുന്നതിനുമുള്ള പ്രശ്നങ്ങൾ പ്രത്യേക പ്രമാണങ്ങളിൽ പറഞ്ഞിരിക്കുന്നു - “STO BR IBBS-1.1-2007. വിവര സുരക്ഷാ ഓഡിറ്റ്", "STO BR IBBS-1.2-2010. STO BR IBBS-1.0-2010", "RS BR IBBS-2.1-2007 എന്നിവയുടെ ആവശ്യകതകളോടെ റഷ്യൻ ഫെഡറേഷന്റെ ബാങ്കിംഗ് സിസ്റ്റത്തിന്റെ ഓർഗനൈസേഷനുകളുടെ വിവര സുരക്ഷയുടെ അനുരൂപത വിലയിരുത്തുന്നതിനുള്ള രീതിശാസ്ത്രം. STO BR IBBS-1.0 ന്റെ ആവശ്യകതകൾക്കൊപ്പം റഷ്യൻ ഫെഡറേഷന്റെ ബാങ്കിംഗ് സിസ്റ്റത്തിന്റെ ഓർഗനൈസേഷനുകളുടെ വിവര സുരക്ഷയുടെ സ്വയം വിലയിരുത്തലിനുള്ള മാർഗ്ഗനിർദ്ദേശങ്ങൾ.
STO BR IBBS അനുസരിച്ച് പാലിക്കൽ വിലയിരുത്തൽ സമയത്ത്, 34 ഗ്രൂപ്പ് സൂചകങ്ങളായി ഗ്രൂപ്പുചെയ്‌ത 423 സ്വകാര്യ വിവര സുരക്ഷാ സൂചകങ്ങൾ നടപ്പിലാക്കുന്നത് പരിശോധിക്കുന്നു. വിലയിരുത്തലിന്റെ ഫലം അന്തിമ സൂചകമാണ്, അത് ബാങ്ക് ഓഫ് റഷ്യ സ്ഥാപിച്ച അഞ്ച് പോയിന്റ് സ്കെയിലിൽ 4 അല്ലെങ്കിൽ 5 ലെവലിലായിരിക്കണം. ഇത് വഴി, STO BR IBBS പ്രകാരമുള്ള ഒരു ഓഡിറ്റിനെ വിവര സുരക്ഷാ മേഖലയിലെ മറ്റ് നിയന്ത്രണങ്ങൾക്കനുസൃതമായി ഒരു ഓഡിറ്റിൽ നിന്ന് വളരെ വേർതിരിക്കുന്നു. STO BR IBBS-ൽ പൊരുത്തക്കേടുകളൊന്നുമില്ല, പാലിക്കുന്നതിന്റെ നിലവാരം വ്യത്യസ്തമായിരിക്കും: പൂജ്യം മുതൽ അഞ്ച് വരെ. 4-ന് മുകളിലുള്ള ലെവലുകൾ മാത്രമേ പോസിറ്റീവ് ആയി കണക്കാക്കൂ.
2011 അവസാനത്തോടെ, ഏകദേശം 70-75% ബാങ്കുകളും ഈ മാനദണ്ഡങ്ങൾ നടപ്പിലാക്കുകയോ നടപ്പിലാക്കുന്ന പ്രക്രിയയിലോ ആണ്. എല്ലാം ഉണ്ടായിരുന്നിട്ടും, അവ സ്വഭാവത്തിൽ ജൂറി ഉപദേശകമാണ്, എന്നാൽ STO BR IBBS ന്റെ ആവശ്യകതകൾക്ക് അനുസൃതമായി അടുത്തിടെ വരെ ബാങ്ക് ഓഫ് റഷ്യയുടെ യഥാർത്ഥ പരിശോധനകൾ നടത്തിയിരുന്നു (ഇത് എവിടെയും വ്യക്തമായി പറഞ്ഞിട്ടില്ലെങ്കിലും).
"ദേശീയ പേയ്‌മെന്റ് സിസ്റ്റത്തിൽ" എന്ന നിയമവും റഷ്യൻ ഗവൺമെന്റിന്റെയും ബാങ്ക് ഓഫ് റഷ്യയുടെയും റെഗുലേറ്ററി ഡോക്യുമെന്റുകളും അത് നടപ്പിലാക്കുന്നതിനായി വികസിപ്പിച്ചെടുത്ത 2012 ജൂലൈ 1 മുതൽ സ്ഥിതി മാറി. ഈ നിമിഷം മുതൽ, STO BR IBBS ന്റെ ആവശ്യകതകൾ പാലിക്കുന്നതിന്റെ ഒരു ഓഡിറ്റ് നടത്തേണ്ടതിന്റെ ആവശ്യകത വീണ്ടും അജണ്ടയിൽ പ്രത്യക്ഷപ്പെട്ടു. ദേശീയ പേയ്‌മെന്റ് സിസ്റ്റത്തെ (NPS) സംബന്ധിച്ച നിയമനിർമ്മാണത്തിന്റെ ചട്ടക്കൂടിനുള്ളിൽ നിർദ്ദേശിച്ചിട്ടുള്ള, പാലിക്കൽ വിലയിരുത്തുന്നതിനുള്ള രീതിശാസ്ത്രവും, STO BR IBBS- ന്റെ അനുസരണം വിലയിരുത്തുന്നതിനുള്ള രീതിശാസ്ത്രവും അന്തിമ മൂല്യങ്ങളിൽ വളരെയധികം വ്യത്യാസപ്പെട്ടേക്കാം എന്നതാണ് വസ്തുത. അതേ സമയം, ആദ്യ രീതി (NPS-ന്) ഉപയോഗിച്ചുള്ള മൂല്യനിർണ്ണയം നിർബന്ധമാണ്, അതേസമയം STO BR IBBS ഉപയോഗിച്ചുള്ള മൂല്യനിർണ്ണയം ഇപ്പോഴും ഒരു ശുപാർശ സ്വഭാവമുള്ളതാണ്. എഴുതുമ്പോൾ, ഈ വിലയിരുത്തലിന്റെ ഭാവി വിധിയെക്കുറിച്ച് ബാങ്ക് ഓഫ് റഷ്യ തന്നെ ഇതുവരെ തീരുമാനമെടുത്തിട്ടില്ല. മുമ്പ് എല്ലാ ത്രെഡുകളും ബാങ്ക് ഓഫ് റഷ്യയുടെ (GUBZI) മെയിൻ ഡയറക്ടറേറ്റ് ഓഫ് സെക്യൂരിറ്റി ആൻഡ് ഇൻഫർമേഷൻ പ്രൊട്ടക്ഷനിൽ ഒത്തുചേർന്നിരുന്നുവെങ്കിൽ, GUBZI യും ഡിപ്പാർട്ട്‌മെന്റ് ഫോർ റെഗുലേഷൻ ഓഫ് സെറ്റിൽമെന്റ് (LHH) യും തമ്മിലുള്ള അധികാര വിഭജനം ഇപ്പോഴും തുറന്ന ചോദ്യമാണ്.

എൻ‌പി‌എസിലെ നിയമനിർമ്മാണ പ്രവർത്തനങ്ങൾക്ക് നിർബന്ധിത അനുരൂപീകരണ വിലയിരുത്തൽ ആവശ്യമാണെന്ന് ഇതിനകം വ്യക്തമാണ്, അതായത്, ഒരു ഓഡിറ്റ്

ദേശീയ പേയ്‌മെന്റ് സംവിധാനത്തെക്കുറിച്ചുള്ള നിയമനിർമ്മാണം

എൻ‌പി‌എസിനെക്കുറിച്ചുള്ള നിയമനിർമ്മാണം അതിന്റെ രൂപീകരണത്തിന്റെ തുടക്കത്തിൽ മാത്രമാണ്, കൂടാതെ വിവര സുരക്ഷ ഉറപ്പാക്കുന്ന വിഷയങ്ങൾ ഉൾപ്പെടെ നിരവധി പുതിയ രേഖകൾ ഞങ്ങളെ കാത്തിരിക്കുന്നു. 2012 ജൂൺ 9 ന് പുറപ്പെടുവിച്ചതും അംഗീകരിച്ചതുമായ 382-പി റെഗുലേഷൻ ഇതിനകം വ്യക്തമാണ്, “പണ കൈമാറ്റം ചെയ്യുമ്പോൾ വിവരങ്ങളുടെ സംരക്ഷണം ഉറപ്പാക്കുന്നതിനുള്ള ആവശ്യകതകളെക്കുറിച്ചും ബാങ്ക് ഓഫ് റഷ്യയുടെ ആവശ്യകതകൾ പാലിക്കുന്നത് നിരീക്ഷിക്കുന്നതിനുള്ള നടപടിക്രമത്തെക്കുറിച്ചും. പണം കൈമാറ്റം ചെയ്യുമ്പോൾ വിവരങ്ങളുടെ സംരക്ഷണം ഉറപ്പാക്കുന്നു" » ഖണ്ഡിക 2.15-ൽ ഒരു നിർബന്ധിത അനുരൂപീകരണ വിലയിരുത്തൽ, അതായത് ഒരു ഓഡിറ്റ് ആവശ്യമാണ്. അത്തരമൊരു വിലയിരുത്തൽ സ്വതന്ത്രമായി അല്ലെങ്കിൽ മൂന്നാം കക്ഷികളുടെ പങ്കാളിത്തത്തോടെയാണ് നടത്തുന്നത്. മുകളിൽ സൂചിപ്പിച്ചതുപോലെ, 382-P യുടെ ചട്ടക്കൂടിനുള്ളിൽ നടത്തിയ അനുരൂപീകരണ വിലയിരുത്തൽ STO BR IBBS അനുരൂപീകരണ മൂല്യനിർണ്ണയ രീതിശാസ്ത്രത്തിൽ വിവരിച്ചതിന് സമാനമാണ്, എന്നാൽ ഇത് തികച്ചും വ്യത്യസ്തമായ ഫലങ്ങൾ നൽകുന്നു, ഇത് പ്രത്യേക തിരുത്തൽ ഘടകങ്ങളുടെ ആമുഖവുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു, വ്യത്യസ്ത ഫലങ്ങൾ നിർണ്ണയിക്കുന്നത്.
ഓഡിറ്റിംഗിൽ ഏർപ്പെട്ടിരിക്കുന്ന ഓർഗനൈസേഷനുകൾക്കായി റെഗുലേഷൻ 382-P പ്രത്യേക ആവശ്യകതകളൊന്നും സ്ഥാപിക്കുന്നില്ല, ഇത് 2012 ജൂൺ 13 ലെ സർക്കാർ ഡിക്രി നമ്പർ 584 "പേയ്‌മെന്റ് സിസ്റ്റത്തിലെ വിവരങ്ങളുടെ പരിരക്ഷയിൽ" ചില വൈരുദ്ധ്യങ്ങളുണ്ടാക്കുന്നു, ഇതിന് ഓർഗനൈസേഷനും ആവശ്യമാണ്. ഓരോ 2 വർഷത്തിലും ഒരിക്കൽ വിവര സംരക്ഷണത്തിനുള്ള ആവശ്യകതകൾ പാലിക്കുന്നതിന്റെ നിരീക്ഷണവും വിലയിരുത്തലും നടത്തുക. എന്നിരുന്നാലും, FSTEC വികസിപ്പിച്ച സർക്കാർ ഡിക്രി, രഹസ്യ വിവരങ്ങളുടെ സാങ്കേതിക പരിരക്ഷയിൽ പ്രവർത്തിക്കാൻ ലൈസൻസുള്ള ഓർഗനൈസേഷനുകൾ മാത്രമേ ബാഹ്യ ഓഡിറ്റുകൾ നടത്താവൂ എന്ന് ആവശ്യപ്പെടുന്നു.
ഓഡിറ്റിന്റെ ഒരു രൂപമായി വർഗ്ഗീകരിക്കാൻ ബുദ്ധിമുട്ടുള്ളതും എന്നാൽ ബാങ്കുകളിൽ പുതിയ ഉത്തരവാദിത്തങ്ങൾ അടിച്ചേൽപ്പിക്കുന്നതുമായ അധിക ആവശ്യകതകൾ, റെഗുലേഷൻ 382-P യുടെ സെക്ഷൻ 2.16 ൽ ലിസ്റ്റ് ചെയ്തിരിക്കുന്നു. ഈ ആവശ്യകതകൾ അനുസരിച്ച്, പേയ്‌മെന്റ് സിസ്റ്റം ഓപ്പറേറ്റർ വികസിപ്പിക്കാൻ ബാധ്യസ്ഥനാണ്, കൂടാതെ ഈ പേയ്‌മെന്റ് സിസ്റ്റത്തിൽ ചേർന്ന ബാങ്കുകൾ നിറവേറ്റാൻ ബാധ്യസ്ഥരാണ്, ബാങ്കിലെ വിവിധ വിവര സുരക്ഷാ പ്രശ്‌നങ്ങളെക്കുറിച്ച് പേയ്‌മെന്റ് സിസ്റ്റം ഓപ്പറേറ്ററെ പതിവായി അറിയിക്കുന്നതിനുള്ള ആവശ്യകതകൾ: വിവര സുരക്ഷാ ആവശ്യകതകൾ പാലിക്കുന്നതിനെക്കുറിച്ച് , തിരിച്ചറിഞ്ഞ സംഭവങ്ങളെ കുറിച്ച്, സ്വയം വിലയിരുത്തലുകളെ കുറിച്ച്, തിരിച്ചറിഞ്ഞ ഭീഷണികളെയും പരാധീനതകളെയും കുറിച്ച്.
കരാർ അടിസ്ഥാനത്തിൽ നടത്തിയ ഓഡിറ്റിന് പുറമേ, NPS-ലെ ഫെഡറൽ നിയമം നമ്പർ 161, റഷ്യൻ ഫെഡറേഷന്റെ പ്രമേയം 584-ൽ റഷ്യൻ ഫെഡറേഷന്റെ ഗവൺമെന്റ് സ്ഥാപിച്ച ആവശ്യകതകൾ പാലിക്കുന്നതിന്റെ നിയന്ത്രണവും മേൽനോട്ടവും, റെഗുലേഷൻ 382-ൽ ബാങ്ക് ഓഫ് റഷ്യയും നടപ്പിലാക്കുന്നു. FSB FSTEC, ബാങ്ക് ഓഫ് റഷ്യ എന്നിവ യഥാക്രമം പുറത്ത്. എഴുതുമ്പോൾ, എഫ്എസ്‌ടിഇസിക്കോ എഫ്‌എസ്‌ബിക്കോ അത്തരം മേൽനോട്ടം നടത്തുന്നതിനുള്ള ഒരു വികസിത നടപടിക്രമം ഉണ്ടായിരുന്നില്ല, ബാങ്ക് ഓഫ് റഷ്യയിൽ നിന്ന് വ്യത്യസ്തമായി, ഇത് മെയ് 31, 2012 തീയതിയിൽ “ദേശീയ പേയ്‌മെന്റ് സിസ്റ്റം നിരീക്ഷിക്കുന്നതിനുള്ള നടപടിക്രമത്തിൽ” റെഗുലേഷൻ നമ്പർ 380-പി പുറപ്പെടുവിച്ചു. (ക്രെഡിറ്റ് സ്ഥാപനങ്ങൾക്കായി) ജൂൺ 9, 2012 നമ്പർ 381-P തീയതിയിലെ നിയന്ത്രണങ്ങൾ, ജൂൺ 27, 2011 ലെ ഫെഡറൽ നിയമത്തിന്റെ ആവശ്യകതകളോടെ ക്രെഡിറ്റ് സ്ഥാപനങ്ങൾ അല്ലാത്ത പേയ്‌മെന്റ് സിസ്റ്റം ഓപ്പറേറ്റർമാരുടെയും പേയ്‌മെന്റ് ഇൻഫ്രാസ്ട്രക്ചർ സർവീസ് ഓപ്പറേറ്റർമാരുടെയും പാലിക്കൽ മേൽനോട്ടം വഹിക്കുന്നതിനുള്ള നടപടിക്രമത്തിൽ നമ്പർ 161-FZ "നാഷണൽ പേയ്‌മെന്റ് സിസ്റ്റത്തിൽ" ബാങ്ക് ഓഫ് റഷ്യയുടെ നിയന്ത്രണങ്ങൾ അനുസരിച്ച് സ്വീകരിച്ചു."
ദേശീയ പേയ്‌മെന്റ് സിസ്റ്റത്തിലെ വിവര സംരക്ഷണ മേഖലയിലെ റെഗുലേറ്ററി പ്രവർത്തനങ്ങൾ വിശദമായ വികസനത്തിന്റെ തുടക്കത്തിൽ മാത്രമാണ്. 2012 ജൂലൈ 1 ന്, ബാങ്ക് ഓഫ് റഷ്യ അവരെ പരീക്ഷിക്കുകയും നിയമ നിർവ്വഹണ പരിശീലനത്തെക്കുറിച്ചുള്ള വസ്തുതകൾ ശേഖരിക്കുകയും ചെയ്തു. അതിനാൽ, ഈ നിയന്ത്രണങ്ങൾ എങ്ങനെ പ്രയോഗിക്കും, 380-P യുടെ മേൽനോട്ടം എങ്ങനെ നിർവഹിക്കും, ഓരോ 2 വർഷത്തിലും നടത്തുന്ന സ്വയം വിലയിരുത്തലിന്റെ ഫലത്തെ അടിസ്ഥാനമാക്കി എന്ത് നിഗമനങ്ങളിൽ എത്തിച്ചേരും, ബാങ്കിലേക്ക് അയയ്ക്കും എന്നിവയെക്കുറിച്ച് സംസാരിക്കുന്നത് ഇന്ന് അകാലമാണ്. റഷ്യയുടെ.

പിസിഐ ഡിഎസ്എസ് പേയ്മെന്റ് കാർഡ് സുരക്ഷാ മാനദണ്ഡം

പേയ്‌മെന്റ് കാർഡ് ഇൻഡസ്ട്രി സെക്യൂരിറ്റി സ്റ്റാൻഡേർഡ് കൗൺസിൽ (പിസിഐ എസ്എസ്‌സി) വികസിപ്പിച്ചെടുത്ത പേയ്‌മെന്റ് കാർഡ് ഡാറ്റ സെക്യൂരിറ്റി സ്റ്റാൻഡേർഡ് ആണ് പേയ്‌മെന്റ് കാർഡ് ഇൻഡസ്ട്രി ഡാറ്റ സെക്യൂരിറ്റി സ്റ്റാൻഡേർഡ് (പിസിഐ ഡിഎസ്എസ്), ഇത് വിസ, മാസ്റ്റർകാർഡ്, അമേരിക്കൻ എക്‌സ്‌പ്രസ്, ജെസിബി, ഡിസ്‌കവർ എന്നീ അന്താരാഷ്ട്ര പേയ്‌മെന്റ് സംവിധാനങ്ങൾ സ്ഥാപിച്ചതാണ്. പിസിഐ ഡിഎസ്എസ് സ്റ്റാൻഡേർഡ് എന്നത് ഓർഗനൈസേഷന്റെ വിവര സംവിധാനങ്ങളിൽ കൈമാറ്റം ചെയ്യപ്പെടുകയും സംഭരിക്കുകയും പ്രോസസ്സ് ചെയ്യുകയും ചെയ്യുന്ന പേയ്‌മെന്റ് കാർഡ് ഉടമകളെക്കുറിച്ചുള്ള ഡാറ്റയുടെ സുരക്ഷ ഉറപ്പാക്കുന്നതിനുള്ള 12 ഉയർന്ന തലത്തിലുള്ളതും 200-ലധികം വിശദമായതുമായ ആവശ്യകതകളുടെ ഒരു കൂട്ടമാണ്.

അന്താരാഷ്ട്ര പേയ്‌മെന്റ് സംവിധാനങ്ങളായ വിസ, മാസ്റ്റർകാർഡ് എന്നിവയിൽ പ്രവർത്തിക്കുന്ന എല്ലാ കമ്പനികൾക്കും സ്റ്റാൻഡേർഡിന്റെ ആവശ്യകതകൾ ബാധകമാണ്. പ്രോസസ്സ് ചെയ്ത ഇടപാടുകളുടെ എണ്ണത്തെ ആശ്രയിച്ച്, ഓരോ കമ്പനിക്കും ഈ കമ്പനികൾ പാലിക്കേണ്ട ആവശ്യകതകളുടെ ഒരു നിശ്ചിത തലം നൽകിയിരിക്കുന്നു. പേയ്‌മെന്റ് സിസ്റ്റത്തെ ആശ്രയിച്ച് ഈ ലെവലുകൾ വ്യത്യാസപ്പെടുന്നു.

ഒരു ഓഡിറ്റ് വിജയകരമായി പൂർത്തിയാക്കുന്നത് ബാങ്കിലെ സുരക്ഷയിൽ എല്ലാം ശരിയാണെന്ന് അർത്ഥമാക്കുന്നില്ല - ഓഡിറ്റ് ചെയ്ത ഓർഗനൈസേഷനെ അതിന്റെ സുരക്ഷാ സംവിധാനത്തിലെ ചില പോരായ്മകൾ മറയ്ക്കാൻ അനുവദിക്കുന്ന നിരവധി തന്ത്രങ്ങളുണ്ട്.

പി‌സി‌ഐ ഡി‌എസ്‌എസ് സ്റ്റാൻഡേർഡിന്റെ ആവശ്യകതകൾ പാലിക്കുന്നുണ്ടോയെന്ന് പരിശോധിക്കുന്നത് ഇതിന്റെ ചട്ടക്കൂടിനുള്ളിലാണ് നിർബന്ധമാണ്സർട്ടിഫിക്കേഷൻ, പരിശോധിക്കപ്പെടുന്ന കമ്പനിയുടെ തരം അനുസരിച്ച് വ്യത്യാസമുള്ള ആവശ്യകതകൾ - ചരക്കുകൾക്കും സേവനങ്ങൾക്കുമായി പേയ്‌മെന്റ് കാർഡുകൾ സ്വീകരിക്കുന്ന ഒരു വ്യാപാര സേവന സംരംഭം, അല്ലെങ്കിൽ വ്യാപാര-സേവന സംരംഭങ്ങൾക്ക് സേവനങ്ങൾ നൽകുന്ന ഒരു സേവന ദാതാവ്, ബാങ്കുകൾ, ഇഷ്യു ചെയ്യുന്നവർ, തുടങ്ങിയവ. (പ്രോസസ്സിംഗ് സെന്ററുകൾ, പേയ്‌മെന്റ് ഗേറ്റ്‌വേകൾ മുതലായവ). ഈ വിലയിരുത്തലിന് വ്യത്യസ്ത രൂപങ്ങൾ എടുക്കാം:

• ക്വാളിഫൈഡ് സെക്യൂരിറ്റി അസെസ്സേഴ്സ് (ക്യുഎസ്എ) പദവിയുള്ള അംഗീകൃത കമ്പനികളുടെ വാർഷിക ഓഡിറ്റുകൾ;
• വാർഷിക സ്വയം വിലയിരുത്തൽ;
• അംഗീകൃത സ്കാനിംഗ് വെണ്ടർ (ASV) സ്റ്റാറ്റസുള്ള അംഗീകൃത സ്ഥാപനങ്ങളുടെ സഹായത്തോടെ ത്രൈമാസ നെറ്റ്‌വർക്ക് സ്കാനിംഗ്.

വ്യക്തിഗത ഡാറ്റയിലെ നിയമനിർമ്മാണം

ഏറ്റവും പുതിയ റെഗുലേറ്ററി ഡോക്യുമെന്റ്, ബാങ്കിംഗ് വ്യവസായവുമായി ബന്ധപ്പെട്ടതും അനുരൂപമായ വിലയിരുത്തലിനുള്ള ആവശ്യകതകൾ സ്ഥാപിക്കുന്നതും ഫെഡറൽ നിയമം "ഓൺ പേഴ്സണൽ ഡാറ്റ" ആണ്. എന്നിരുന്നാലും, അത്തരമൊരു ഓഡിറ്റിന്റെ രൂപമോ അതിന്റെ ആവൃത്തിയോ അത്തരം ഒരു ഓഡിറ്റ് നടത്തുന്ന ഓർഗനൈസേഷന്റെ ആവശ്യകതകളോ ഇതുവരെ സ്ഥാപിച്ചിട്ടില്ല. റഷ്യൻ ഫെഡറേഷൻ, FSTEC, FSB എന്നിവയുടെ ഗവൺമെന്റിൽ നിന്നുള്ള അടുത്ത ബാച്ച് രേഖകൾ പുറത്തിറങ്ങുമ്പോൾ, വ്യക്തിഗത ഡാറ്റ സംരക്ഷണ മേഖലയിൽ പുതിയ മാനദണ്ഡങ്ങൾ അവതരിപ്പിക്കുമ്പോൾ, 2012 അവസാനത്തോടെ ഈ പ്രശ്നം പരിഹരിക്കപ്പെടും. ഇതിനിടയിൽ, ബാങ്കുകൾക്ക് സമാധാനപരമായും സ്വതന്ത്രമായും ഉറങ്ങാൻ കഴിയും, വ്യക്തിഗത ഡാറ്റ സംരക്ഷണ പ്രശ്നങ്ങളുടെ ഓഡിറ്റിന്റെ പ്രത്യേകതകൾ നിർണ്ണയിക്കുക.
152-FZ ന്റെ ആർട്ടിക്കിൾ 19 സ്ഥാപിച്ച വ്യക്തിഗത ഡാറ്റയുടെ സുരക്ഷ ഉറപ്പാക്കുന്നതിനുള്ള സംഘടനാ, സാങ്കേതിക നടപടികൾ നടപ്പിലാക്കുന്നതിനുള്ള നിയന്ത്രണവും മേൽനോട്ടവും FSB, FSTEC എന്നിവയിലൂടെയാണ് നടത്തുന്നത്, എന്നാൽ വ്യക്തിഗത ഡാറ്റയുടെ സംസ്ഥാന വിവര സംവിധാനങ്ങൾക്ക് മാത്രം. നിയമമനുസരിച്ച്, വ്യക്തിഗത ഡാറ്റയുടെ വിവര സുരക്ഷ ഉറപ്പാക്കുന്ന മേഖലയിൽ വാണിജ്യ സ്ഥാപനങ്ങളുടെ മേൽ നിയന്ത്രണം ഏർപ്പെടുത്താൻ ആരുമില്ല. വ്യക്തിഗത ഡാറ്റ വിഷയങ്ങൾ, അതായത്, ക്ലയന്റുകൾ, കൌണ്ടർപാർട്ടികൾ, ബാങ്കിലെ സന്ദർശകർ എന്നിവരുടെ അവകാശങ്ങൾ സംരക്ഷിക്കുന്നതിനുള്ള പ്രശ്നങ്ങളെക്കുറിച്ചും ഇതുതന്നെ പറയാനാവില്ല. ഈ ചുമതല Roskomnadzor ഏറ്റെടുത്തു, അത് അതിന്റെ സൂപ്പർവൈസറി പ്രവർത്തനങ്ങൾ വളരെ സജീവമായി നിർവഹിക്കുകയും വ്യക്തിഗത ഡാറ്റയിലെ ഏറ്റവും മോശമായ നിയമ ലംഘകരിൽ ഒരാളായി ബാങ്കുകളെ കണക്കാക്കുകയും ചെയ്യുന്നു.

അന്തിമ വ്യവസ്ഥകൾ

ക്രെഡിറ്റ് സ്ഥാപനങ്ങളുമായി ബന്ധപ്പെട്ട വിവര സുരക്ഷാ മേഖലയിലെ പ്രധാന നിയന്ത്രണങ്ങൾ മുകളിൽ ചർച്ച ചെയ്തിരിക്കുന്നു. ഈ നിയന്ത്രണങ്ങളിൽ പലതും ഉണ്ട്, അവ ഓരോന്നും ഒരു തരത്തിലല്ലെങ്കിൽ മറ്റൊന്നിൽ അനുരൂപീകരണ വിലയിരുത്തൽ നടത്തുന്നതിന് അതിന്റേതായ ആവശ്യകതകൾ സ്ഥാപിക്കുന്നു - ചോദ്യാവലി പൂരിപ്പിക്കുന്ന രൂപത്തിൽ (പിസിഐ ഡിഎസ്എസ്) സ്വയം വിലയിരുത്തൽ മുതൽ രണ്ട് വർഷത്തിലൊരിക്കൽ നിർബന്ധിത ഓഡിറ്റ് പാസാക്കുന്നത് വരെ ( 382-P) അല്ലെങ്കിൽ വർഷത്തിൽ ഒരിക്കൽ (ISO 27001). കംപ്ലയൻസ് അസസ്‌മെന്റിന്റെ ഈ ഏറ്റവും സാധാരണമായ രൂപങ്ങൾക്കിടയിൽ, മറ്റുള്ളവയുണ്ട് - പേയ്‌മെന്റ് സിസ്റ്റം ഓപ്പറേറ്റർ അറിയിപ്പുകൾ, ത്രൈമാസ സ്കാനുകൾ മുതലായവ.

ഓർഗനൈസേഷനുകളുടെയും വിവരസാങ്കേതിക സംവിധാനങ്ങളുടെയും വിവര സുരക്ഷാ ഓഡിറ്റ് പ്രക്രിയകളുടെ സംസ്ഥാന നിയന്ത്രണത്തിൽ മാത്രമല്ല, പൊതുവെ വിവര സുരക്ഷാ ഓഡിറ്റിംഗ് വിഷയത്തിലും രാജ്യത്തിന് ഇപ്പോഴും ഒരു ഏകീകൃത വീക്ഷണം ഇല്ലെന്നതും ഓർമിക്കേണ്ടതാണ്. റഷ്യൻ ഫെഡറേഷനിൽ, വിവര സുരക്ഷയ്ക്ക് ഉത്തരവാദികളായ നിരവധി വകുപ്പുകളും സംഘടനകളും (FSTEC, FSB, ബാങ്ക് ഓഫ് റഷ്യ, Roskomnadzor, PCI SSC മുതലായവ) ഉണ്ട്. അവയെല്ലാം സ്വന്തം നിയന്ത്രണങ്ങളുടെയും മാർഗ്ഗനിർദ്ദേശങ്ങളുടെയും അടിസ്ഥാനത്തിലാണ് പ്രവർത്തിക്കുന്നത്. വ്യത്യസ്ത സമീപനങ്ങൾ, വ്യത്യസ്ത മാനദണ്ഡങ്ങൾ, വ്യത്യസ്ത തലത്തിലുള്ള പക്വത ... ഇതെല്ലാം ഗെയിമിന്റെ പൊതുവായ നിയമങ്ങൾ സ്ഥാപിക്കുന്നത് തടയുന്നു. ലാഭം ലക്ഷ്യമാക്കി, വിവര സുരക്ഷാ ആവശ്യകതകൾ പാലിക്കുന്നുണ്ടെന്ന് വിലയിരുത്തുന്ന മേഖലയിൽ വളരെ കുറഞ്ഞ നിലവാരമുള്ള സേവനങ്ങൾ വാഗ്ദാനം ചെയ്യുന്ന ഫ്ലൈ-ബൈ-നൈറ്റ് കമ്പനികളുടെ ആവിർഭാവവും ചിത്രം നശിപ്പിക്കുന്നു. മാത്രമല്ല സാഹചര്യം മെച്ചമായി മാറാൻ സാധ്യതയില്ല. ആവശ്യമുണ്ടെങ്കിൽ, അത് തൃപ്തിപ്പെടുത്താൻ തയ്യാറുള്ളവരും ഉണ്ടാകും, അതേസമയം എല്ലാവർക്കും മതിയായ യോഗ്യതയുള്ള ഓഡിറ്റർമാരില്ല. അവരുടെ ചെറിയ സംഖ്യയും (പട്ടികയിൽ കാണിച്ചിരിക്കുന്നു) നിരവധി ആഴ്ചകൾ മുതൽ നിരവധി മാസങ്ങൾ വരെയുള്ള ഓഡിറ്റിന്റെ ദൈർഘ്യവും ഉപയോഗിച്ച്, ഓഡിറ്റിംഗിന്റെ ആവശ്യകതകൾ ഓഡിറ്റർമാരുടെ കഴിവുകളെ ഗൗരവമായി കവിയുന്നുവെന്ന് വ്യക്തമാണ്.
എഫ്‌എസ്‌ടിഇസി ഒരിക്കലും സ്വീകരിച്ചിട്ടില്ലാത്ത “വിവര സാങ്കേതിക സംവിധാനങ്ങളുടെയും ഓർഗനൈസേഷനുകളുടെയും വിവര സുരക്ഷ ഓഡിറ്റിംഗ് എന്ന ആശയത്തിൽ” ഇനിപ്പറയുന്ന വാചകം ഉണ്ടായിരുന്നു: “അതേ സമയം, ആവശ്യമായ ദേശീയ റെഗുലേറ്റർമാരുടെ അഭാവത്തിൽ, അത്തരം പ്രവർത്തനങ്ങൾ / അനിയന്ത്രിതമായ ഓഡിറ്റുകൾ സ്വകാര്യ സ്ഥാപനങ്ങൾ / സ്ഥാപനങ്ങൾക്ക് പരിഹരിക്കാനാകാത്ത ദോഷം വരുത്തും. ഉപസംഹാരമായി, ആശയത്തിന്റെ രചയിതാക്കൾ ഓഡിറ്റിംഗിനുള്ള സമീപനങ്ങൾ ഏകീകരിക്കാനും ഓഡിറ്റർമാരുടെ അക്രഡിറ്റേഷനായുള്ള നിയമങ്ങൾ, അവരുടെ യോഗ്യതകൾ, ഓഡിറ്റ് നടപടിക്രമങ്ങൾ മുതലായവ ഉൾപ്പെടെ ഗെയിമിന്റെ നിയമങ്ങൾ നിയമപരമായി സ്ഥാപിക്കാനും നിർദ്ദേശിച്ചു, പക്ഷേ കാര്യങ്ങൾ ഇപ്പോഴും അവിടെയുണ്ട്. എന്നിരുന്നാലും, വിവര സുരക്ഷാ മേഖലയിലെ ആഭ്യന്തര റെഗുലേറ്റർമാർ (ഞങ്ങൾക്ക് അവയിൽ 9 എണ്ണം ഉണ്ട്) വിവര സുരക്ഷാ പ്രശ്‌നങ്ങൾക്ക് (കഴിഞ്ഞ കലണ്ടർ വർഷത്തിൽ മാത്രം, വിവര സുരക്ഷാ പ്രശ്‌നങ്ങളിൽ 52 നിയന്ത്രണങ്ങൾ സ്വീകരിക്കുകയോ വികസിപ്പിക്കുകയോ ചെയ്തു - ആഴ്ചയിൽ ഒരു നിയന്ത്രണം. !), ഈ വിഷയം ഉടൻ പുനഃപരിശോധിക്കുമെന്ന് ഞാൻ തള്ളിക്കളയുന്നില്ല.

ഇൻഫർമേഷൻ സെക്യൂരിറ്റി ഓഡിറ്റ് സ്റ്റാൻഡേർഡുകൾ

അത്തരം സാഹചര്യങ്ങളിൽ, നിർഭാഗ്യവശാൽ, ഒരു ബാങ്കിന്റെ വിവര സുരക്ഷാ ഓഡിറ്റിന്റെ പ്രധാന ലക്ഷ്യം - അതിന്റെ പ്രവർത്തനങ്ങളിൽ ആത്മവിശ്വാസം വർദ്ധിപ്പിക്കുക - റഷ്യയിൽ അപ്രാപ്യമാണെന്ന് ഞങ്ങൾ സമ്മതിക്കണം. ഞങ്ങളുടെ ബാങ്ക് ക്ലയന്റുകളിൽ കുറച്ചുപേർ അതിന്റെ സുരക്ഷയുടെ നിലവാരത്തിലോ ബാങ്കിൽ നടത്തിയ ഓഡിറ്റിന്റെ ഫലങ്ങളിലോ ശ്രദ്ധിക്കുന്നു. ബാങ്കിന് (അല്ലെങ്കിൽ അതിന്റെ ഷെയർഹോൾഡർമാർക്കും ഉടമകൾക്കും) ഗുരുതരമായ നാശനഷ്ടങ്ങൾക്ക് ഇടയാക്കിയ വളരെ ഗുരുതരമായ ഒരു സംഭവം തിരിച്ചറിയുന്ന സാഹചര്യത്തിലോ അല്ലെങ്കിൽ മുകളിൽ കാണിച്ചിരിക്കുന്നതുപോലെ, നിയമനിർമ്മാണ ആവശ്യകതകളുടെ കാര്യത്തിലോ ഞങ്ങൾ ഒരു ഓഡിറ്റിലേക്ക് തിരിയുന്നു. പലതും. അടുത്ത ആറ് മാസത്തേക്ക്, ഒരു സുരക്ഷാ ഓഡിറ്റിന് ശ്രദ്ധ നൽകേണ്ട ആവശ്യകത നമ്പർ 1, ബാങ്ക് ഓഫ് റഷ്യ റെഗുലേഷൻ 382-P ആണ്. ബാങ്കുകളുടെ സുരക്ഷാ നിലവാരത്തെക്കുറിച്ചും 382-P യുടെ ആവശ്യകതകൾ പാലിക്കുന്നതിനെക്കുറിച്ചും ഉള്ള വിവരങ്ങൾക്കായി സെൻട്രൽ ബാങ്കിന്റെ പ്രദേശിക വകുപ്പുകളിൽ നിന്നുള്ള അഭ്യർത്ഥനകളുടെ ആദ്യ മാതൃകകൾ ഇതിനകം തന്നെ ഉണ്ട്, കൂടാതെ ഈ വിവരങ്ങൾ ഒരു ബാഹ്യ ഓഡിറ്റിന്റെ അല്ലെങ്കിൽ സ്വയം ഫലമായി കൃത്യമായി ലഭിക്കുന്നു. - വിലയിരുത്തൽ. രണ്ടാം സ്ഥാനത്ത് "വ്യക്തിഗത ഡാറ്റയിൽ" നിയമത്തിന്റെ ആവശ്യകതകൾ പാലിക്കുന്നതിന്റെ ഓഡിറ്റ് ഞാൻ ഇടും. എന്നാൽ FSTEC ഉം FSB ഉം വാഗ്ദാനം ചെയ്ത എല്ലാ രേഖകളും പുറത്തുവിടുകയും STO BR IBBS ന്റെ വിധി വ്യക്തമാകുകയും ചെയ്യുമ്പോൾ വസന്തകാലത്തിന് മുമ്പായി അത്തരമൊരു ഓഡിറ്റ് നടത്തരുത്. അപ്പോൾ STO BR IBBS ന്റെ ആവശ്യകതകൾ പാലിക്കുന്നതിനുള്ള ഒരു ഓഡിറ്റ് നടത്തുന്നതിനുള്ള പ്രശ്നം ഉന്നയിക്കാൻ കഴിയും. ബാങ്ക് ഓഫ് റഷ്യ രേഖകളുടെ സമുച്ചയത്തിന്റെ ഭാവി മാത്രമല്ല, സമാനമായതും എന്നാൽ ഇപ്പോഴും വ്യത്യസ്തവുമായ 382-പിയുമായി ബന്ധപ്പെട്ട് അതിന്റെ നിലയും വ്യക്തിഗത ഡാറ്റാ പരിരക്ഷയുടെ പ്രശ്നങ്ങൾ STO BR IBBS തുടർന്നും ഉൾക്കൊള്ളുമോ എന്നതും വ്യക്തമാകും. .
ഒരു ഓഡിറ്റ് വിജയകരമായി പൂർത്തിയാക്കുന്നത്, ബാങ്കിലെ സുരക്ഷയിൽ എല്ലാം ശരിയാണെന്ന് അർത്ഥമാക്കുന്നില്ല - ഓഡിറ്റ് ചെയ്ത ഓർഗനൈസേഷനെ അതിന്റെ സുരക്ഷാ സംവിധാനത്തിലെ ചില പോരായ്മകൾ മറയ്ക്കാൻ അനുവദിക്കുന്ന നിരവധി തന്ത്രങ്ങളുണ്ട്. ഓഡിറ്റർമാരുടെ യോഗ്യതകളെയും സ്വാതന്ത്ര്യത്തെയും ആശ്രയിച്ചിരിക്കുന്നു. പിസിഐ ഡിഎസ്എസ്, ഐഎസ്ഒ 27001 അല്ലെങ്കിൽ എസ്ടിഒ ബിആർ ഐബിബിഎസ് മാനദണ്ഡങ്ങൾ പാലിക്കുന്നതിന്റെ ഓഡിറ്റ് വിജയകരമായി പാസായ സ്ഥാപനങ്ങളിൽ പോലും സംഭവങ്ങളും ഗുരുതരമായ സംഭവങ്ങളും ഉണ്ടെന്ന് കഴിഞ്ഞ വർഷത്തെ അനുഭവം കാണിക്കുന്നു.

പല ബിസിനസുകാരും തങ്ങളുടെ കമ്പനി രഹസ്യമായി സൂക്ഷിക്കാൻ ശ്രമിക്കുന്നു. ഇത് ഉയർന്ന സാങ്കേതികവിദ്യയുടെ കാലഘട്ടമായതിനാൽ, ഇത് ചെയ്യാൻ വളരെ ബുദ്ധിമുട്ടാണ്. കോർപ്പറേറ്റ്, വ്യക്തിഗത വിവരങ്ങളുടെ ചോർച്ചയിൽ നിന്ന് സ്വയം പരിരക്ഷിക്കാൻ മിക്കവാറും എല്ലാവരും ശ്രമിക്കുന്നു, പക്ഷേ ഒരു പ്രൊഫഷണലിന് ആവശ്യമായ ഡാറ്റ കണ്ടെത്തുന്നത് ബുദ്ധിമുട്ടുള്ള കാര്യമല്ല എന്നത് രഹസ്യമല്ല. ഇപ്പോൾ, അത്തരം ആക്രമണങ്ങളിൽ നിന്ന് സംരക്ഷിക്കുന്ന ധാരാളം രീതികൾ ഉണ്ട്. എന്നാൽ അത്തരമൊരു സുരക്ഷാ സംവിധാനത്തിന്റെ ഫലപ്രാപ്തി പരിശോധിക്കുന്നതിന്, ഒരു വിവര സുരക്ഷാ ഓഡിറ്റ് നടത്തേണ്ടത് ആവശ്യമാണ്.

എന്താണ് ഒരു ഓഡിറ്റ്?

ഫെഡറൽ നിയമം "ഓൺ ഓഡിറ്റിംഗ് ആക്റ്റിവിറ്റീസ്" അനുസരിച്ച്, ഓഡിറ്റിംഗിൽ വിവിധ രീതികളും സാങ്കേതികതകളും ഉൾപ്പെടുന്നു, അതുപോലെ തന്നെ ഓഡിറ്റുകളുടെ പ്രായോഗിക നടപ്പാക്കലും. എന്റർപ്രൈസ് വിവര സുരക്ഷയുമായി ബന്ധപ്പെട്ട്, ഇത് സിസ്റ്റത്തിന്റെ അവസ്ഥയുടെ ഒരു സ്വതന്ത്ര വിലയിരുത്തലിനെയും അതുപോലെ തന്നെ സ്ഥാപിത ആവശ്യകതകളോട് പൊരുത്തപ്പെടുന്നതിന്റെ നിലവാരത്തെയും പ്രതിനിധീകരിക്കുന്നു. അക്കൌണ്ടിംഗ്, ടാക്സ് റിപ്പോർട്ടിംഗ്, സാമ്പത്തിക പിന്തുണ, സാമ്പത്തിക, സാമ്പത്തിക പ്രവർത്തനങ്ങൾ എന്നിവ സംബന്ധിച്ച് വൈദഗ്ദ്ധ്യം നടത്തുന്നു.

എന്തുകൊണ്ടാണ് അത്തരമൊരു പരിശോധന ആവശ്യമായി വരുന്നത്?

ചിലർ അത്തരം പ്രവർത്തനങ്ങൾ പണം പാഴാക്കുന്നതായി കണക്കാക്കുന്നു. എന്നിരുന്നാലും, ഈ മേഖലയിലെ പ്രശ്നങ്ങൾ ഉടനടി തിരിച്ചറിയുന്നതിലൂടെ, ഇതിലും വലിയ സാമ്പത്തിക നഷ്ടം തടയാൻ കഴിയും. വിവര സുരക്ഷാ ഓഡിറ്റിന്റെ ലക്ഷ്യങ്ങൾ ഇവയാണ്:

• സംരക്ഷണത്തിന്റെ നിലവാരം നിർണ്ണയിക്കുകയും ആവശ്യമായ തലത്തിലേക്ക് കൊണ്ടുവരികയും ചെയ്യുക;
• ഓർഗനൈസേഷന്റെ രഹസ്യസ്വഭാവം ഉറപ്പാക്കുന്നതിന് സാമ്പത്തിക പ്രശ്നം പരിഹരിക്കൽ;
• ഈ മേഖലയിൽ നിക്ഷേപം നടത്താനുള്ള സാധ്യത തെളിയിക്കുന്നു;
• സുരക്ഷാ ചെലവുകളിൽ നിന്ന് പരമാവധി പ്രയോജനം നേടുക;
• ആന്തരിക ശക്തികളുടെ ഫലപ്രാപ്തിയുടെ സ്ഥിരീകരണം, നിയന്ത്രണങ്ങൾ, ബിസിനസ്സ് പ്രവർത്തനങ്ങളുടെ പെരുമാറ്റത്തെക്കുറിച്ചുള്ള അവയുടെ പ്രതിഫലനം.

ഒരു എന്റർപ്രൈസസിൽ വിവര സുരക്ഷ എങ്ങനെയാണ് പരിശോധിക്കുന്നത്?

ഒരു സമഗ്ര വിവര സുരക്ഷാ ഓഡിറ്റ് പല ഘട്ടങ്ങളിലായി നടക്കുന്നു. പ്രക്രിയയെ സംഘടനാപരമായും ഉപകരണമായും തിരിച്ചിരിക്കുന്നു. സമുച്ചയത്തിന്റെ രണ്ട് ഭാഗങ്ങളിലും, ഉപഭോക്താവിന്റെ കോർപ്പറേറ്റ് വിവര സംവിധാനത്തിന്റെ സുരക്ഷ പരിശോധിക്കപ്പെടുന്നു, തുടർന്ന് സ്ഥാപിത മാനദണ്ഡങ്ങളും ആവശ്യകതകളും പാലിക്കുന്നത് നിർണ്ണയിക്കപ്പെടുന്നു. വിവര സുരക്ഷാ ഓഡിറ്റ് ഇനിപ്പറയുന്ന ഘട്ടങ്ങളായി തിരിച്ചിരിക്കുന്നു:

1. ഉപഭോക്തൃ ആവശ്യകതകളും നിർവഹിക്കേണ്ട ജോലിയുടെ വ്യാപ്തിയും നിർണ്ണയിക്കുന്നു.
2. ആവശ്യമായ മെറ്റീരിയലുകൾ പഠിക്കുകയും നിഗമനങ്ങളിൽ എത്തിച്ചേരുകയും ചെയ്യുന്നു.
3. സാധ്യമായ അപകടസാധ്യതകളുടെ വിശകലനം.
4. ചെയ്ത ജോലിയെക്കുറിച്ചും ഉചിതമായ വിധി പുറപ്പെടുവിക്കുന്നതിനെക്കുറിച്ചും വിദഗ്ധ അഭിപ്രായം.

വിവര സുരക്ഷാ ഓഡിറ്റിന്റെ ആദ്യ ഘട്ടത്തിൽ എന്താണ് ഉൾപ്പെടുത്തിയിരിക്കുന്നത്?

ഉപഭോക്താവിന് ആവശ്യമായ ജോലിയുടെ വ്യാപ്തി വ്യക്തമാക്കിക്കൊണ്ട് വിവര സുരക്ഷാ ഓഡിറ്റ് പ്രോഗ്രാം ആരംഭിക്കുന്നു. ക്ലയന്റ് തന്റെ അഭിപ്രായവും ലക്ഷ്യവും പ്രകടിപ്പിക്കുന്നു, അതിനായി അദ്ദേഹം ഒരു വിദഗ്ദ്ധ വിലയിരുത്തലിനായി അപേക്ഷിച്ചു.

ഈ ഘട്ടത്തിൽ, ഉപഭോക്താവ് നൽകുന്ന പൊതുവായ ഡാറ്റയുടെ പരിശോധന ആരംഭിക്കുന്നു. അവലംബിക്കുന്ന രീതികളും ആസൂത്രിതമായ പ്രവർത്തനങ്ങളും അദ്ദേഹത്തോട് വിവരിക്കുന്നു.

ഈ ഘട്ടത്തിലെ പ്രധാന ദൌത്യം ഒരു നിർദ്ദിഷ്ട ലക്ഷ്യം സജ്ജീകരിക്കുക എന്നതാണ്. ഓഡിറ്റ് നടത്തുന്ന ക്ലയന്റും ഓർഗനൈസേഷനും പരസ്പരം മനസ്സിലാക്കുകയും ഒരു പൊതു അഭിപ്രായത്തിൽ എത്തുകയും വേണം. അതിനുശേഷം, ഒരു കമ്മീഷൻ രൂപീകരിക്കുന്നു, അതിൽ ഉചിതമായ സ്പെഷ്യലിസ്റ്റുകളെ തിരഞ്ഞെടുക്കുന്നു. ആവശ്യമായ സാങ്കേതിക സവിശേഷതകളും ഉപഭോക്താവുമായി പ്രത്യേകം സമ്മതിച്ചിട്ടുണ്ട്.

വിവര ആക്രമണങ്ങളിൽ നിന്ന് പരിരക്ഷിക്കുന്ന സിസ്റ്റത്തിന്റെ അവസ്ഥയെ മാത്രമേ ഈ ഇവന്റ് രൂപപ്പെടുത്തൂ എന്ന് തോന്നുന്നു. എന്നാൽ പരീക്ഷയുടെ അന്തിമ ഫലങ്ങൾ വ്യത്യസ്തമായിരിക്കാം. ഉപഭോക്താവിന്റെ കമ്പനിയുടെ സംരക്ഷണ ഉപകരണങ്ങളുടെ പ്രവർത്തനത്തെക്കുറിച്ചുള്ള പൂർണ്ണമായ വിവരങ്ങളിൽ ചിലർക്ക് താൽപ്പര്യമുണ്ട്, മറ്റുള്ളവർ വ്യക്തിഗത വിവര സാങ്കേതിക ലൈനുകളുടെ കാര്യക്ഷമതയിൽ മാത്രം താൽപ്പര്യമുള്ളവരാണ്. മൂല്യനിർണ്ണയ രീതികളുടെയും ഉപകരണങ്ങളുടെയും തിരഞ്ഞെടുപ്പ് ആവശ്യകതകളെ ആശ്രയിച്ചിരിക്കുന്നു. ഒരു ലക്ഷ്യം സജ്ജീകരിക്കുന്നത് വിദഗ്ധ കമ്മീഷന്റെ പ്രവർത്തനത്തിന്റെ കൂടുതൽ പുരോഗതിയെ സ്വാധീനിക്കുന്നു.

വഴിയിൽ, വർക്കിംഗ് ഗ്രൂപ്പിൽ രണ്ട് ഓർഗനൈസേഷനുകളിൽ നിന്നുള്ള സ്പെഷ്യലിസ്റ്റുകൾ ഉൾപ്പെടുന്നു - ഓഡിറ്റ് നടത്തുന്ന കമ്പനി, ഓഡിറ്റ് ചെയ്ത ഓർഗനൈസേഷന്റെ ജീവനക്കാർ. എല്ലാത്തിനുമുപരി, മറ്റാരെയും പോലെ, അവരുടെ സ്ഥാപനത്തിന്റെ സങ്കീർണതകൾ അറിയാവുന്നതും സമഗ്രമായ വിലയിരുത്തലിന് ആവശ്യമായ എല്ലാ വിവരങ്ങളും നൽകാൻ കഴിയുന്നതും രണ്ടാമത്തേതാണ്. പ്രകടനം നടത്തുന്ന കമ്പനിയുടെ ജീവനക്കാരുടെ ജോലിയിൽ അവർ ഒരുതരം നിയന്ത്രണവും നടത്തുന്നു. പരിശോധനയുടെ ഫലങ്ങൾ നിർണ്ണയിക്കുമ്പോൾ അവരുടെ അഭിപ്രായവും കണക്കിലെടുക്കുന്നു.

ഒരു എന്റർപ്രൈസ് ഇൻഫർമേഷൻ സെക്യൂരിറ്റി ഓഡിറ്റ് നടത്തുന്ന ഒരു കമ്പനിയിൽ നിന്നുള്ള വിദഗ്ധർ വിഷയ മേഖലകളിൽ ഗവേഷണം നടത്തുന്നു. അവർക്ക് ഉചിതമായ യോഗ്യതാ നിലവാരവും സ്വതന്ത്രവും നിഷ്പക്ഷവുമായ അഭിപ്രായവും ഉള്ളതിനാൽ, സംരക്ഷണ ഉപകരണങ്ങളുടെ പ്രവർത്തന നില കൂടുതൽ കൃത്യമായി വിലയിരുത്താൻ കഴിയും. ആസൂത്രിതമായ വർക്ക് പ്ലാനും നിയുക്ത ചുമതലകളും അനുസരിച്ച് വിദഗ്ധർ അവരുടെ പ്രവർത്തനങ്ങൾ നടത്തുന്നു. അവർ സാങ്കേതിക പ്രക്രിയകൾ വികസിപ്പിക്കുകയും പരസ്പരം ലഭിച്ച ഫലങ്ങൾ ഏകോപിപ്പിക്കുകയും ചെയ്യുന്നു.

ഓഡിറ്റ് കമ്പനിയുടെ പ്രവർത്തനത്തിന്റെ ലക്ഷ്യങ്ങൾ റഫറൻസ് നിബന്ധനകൾ വ്യക്തമായി പ്രസ്താവിക്കുകയും അത് നടപ്പിലാക്കുന്നതിനുള്ള രീതികൾ നിർണ്ണയിക്കുകയും ചെയ്യുന്നു. ഇത് പരിശോധനയുടെ സമയവും വ്യവസ്ഥ ചെയ്യുന്നു; ഓരോ ഘട്ടത്തിനും അതിന്റേതായ കാലയളവ് ഉണ്ടായിരിക്കാൻ പോലും സാധ്യതയുണ്ട്.

ഈ ഘട്ടത്തിൽ, പരിശോധിച്ച സ്ഥാപനത്തിന്റെ സുരക്ഷാ സേവനവുമായി സമ്പർക്കം സ്ഥാപിക്കുന്നു. ഓഡിറ്റിന്റെ ഫലങ്ങൾ വെളിപ്പെടുത്തരുതെന്ന് ഓഡിറ്റർ സ്ഥാപനം ഏറ്റെടുക്കുന്നു.

രണ്ടാം ഘട്ടം എങ്ങനെയാണ് നടപ്പിലാക്കുന്നത്?

ഒരു എന്റർപ്രൈസ് ഇൻഫർമേഷൻ സെക്യൂരിറ്റി ഓഡിറ്റ് ആണ് രണ്ടാം ഘട്ടത്തിൽ വിലയിരുത്തലിന് ആവശ്യമായ വിവരങ്ങളുടെ വിശദമായ ശേഖരണം. ആരംഭിക്കുന്നതിന്, സ്വകാര്യതാ നയം നടപ്പിലാക്കാൻ ലക്ഷ്യമിട്ടുള്ള പൊതു നടപടികളുടെ കൂട്ടം ഞങ്ങൾ പരിഗണിക്കുന്നു.

ഇപ്പോൾ മിക്ക ഡാറ്റയും ഇലക്ട്രോണിക് രൂപത്തിൽ തനിപ്പകർപ്പായിരിക്കുന്നതിനാൽ അല്ലെങ്കിൽ പൊതുവേ, കമ്പനി അതിന്റെ പ്രവർത്തനങ്ങൾ വിവരസാങ്കേതികവിദ്യയുടെ സഹായത്തോടെ മാത്രമാണ് നടത്തുന്നത് എന്നതിനാൽ, സോഫ്റ്റ്വെയറും സ്ഥിരീകരണത്തിന് വിധേയമാണ്. ശാരീരിക സുരക്ഷ ഉറപ്പാക്കുന്നതും വിശകലനം ചെയ്യുന്നു.

ഈ ഘട്ടത്തിൽ, സ്ഥാപനത്തിനുള്ളിൽ വിവര സുരക്ഷ ഉറപ്പാക്കുകയും ഓഡിറ്റ് ചെയ്യുകയും ചെയ്യുന്നതെങ്ങനെയെന്ന് അവലോകനം ചെയ്യുന്നതിലും വിലയിരുത്തുന്നതിലും സ്പെഷ്യലിസ്റ്റുകൾ ഏർപ്പെട്ടിരിക്കുന്നു. ഇത് ചെയ്യുന്നതിന്, സംരക്ഷണ സംവിധാനത്തിന്റെ പ്രവർത്തനത്തിന്റെ ഓർഗനൈസേഷനും അതിന്റെ വ്യവസ്ഥയ്ക്കുള്ള സാങ്കേതിക കഴിവുകളും വ്യവസ്ഥകളും വിശകലനം ചെയ്യാൻ കഴിയും. അവസാന പോയിന്റിന് പ്രത്യേക ശ്രദ്ധ നൽകുന്നു, കാരണം അഴിമതിക്കാർ മിക്കപ്പോഴും പ്രതിരോധത്തിൽ ദ്വാരങ്ങൾ കൃത്യമായി സാങ്കേതിക ഭാഗത്തിലൂടെ കണ്ടെത്തുന്നു. ഇക്കാരണത്താൽ, ഇനിപ്പറയുന്ന പോയിന്റുകൾ പ്രത്യേകം പരിഗണിക്കുന്നു:

• സോഫ്റ്റ്വെയർ ഘടന;
• സെർവറുകളുടെയും നെറ്റ്‌വർക്ക് ഉപകരണങ്ങളുടെയും കോൺഫിഗറേഷൻ;
• രഹസ്യാത്മക സംവിധാനങ്ങൾ.

ഈ ഘട്ടത്തിലെ എന്റർപ്രൈസ് ഇൻഫർമേഷൻ സെക്യൂരിറ്റി ഓഡിറ്റ് ഒരു റിപ്പോർട്ടിന്റെ രൂപത്തിൽ ചെയ്ത ജോലിയുടെ ഫലങ്ങൾ സംഗ്രഹിച്ച് പ്രകടിപ്പിക്കുന്നതിലൂടെ അവസാനിക്കുന്നു. ഓഡിറ്റിന്റെ അടുത്ത ഘട്ടങ്ങൾ നടപ്പിലാക്കുന്നതിനുള്ള അടിസ്ഥാനം രേഖാമൂലമുള്ള നിഗമനങ്ങളാണ്.

സാധ്യമായ അപകടസാധ്യതകൾ എങ്ങനെയാണ് വിശകലനം ചെയ്യുന്നത്?

യഥാർത്ഥ ഭീഷണികളും അവയുടെ അനന്തരഫലങ്ങളും തിരിച്ചറിയുന്നതിന് ഓർഗനൈസേഷനുകളുടെ വിവര സുരക്ഷയുടെ ഒരു ഓഡിറ്റും നടത്തുന്നു. ഈ ഘട്ടത്തിന്റെ അവസാനം, വിവര ആക്രമണങ്ങളുടെ സാധ്യത ഒഴിവാക്കുന്നതോ കുറയ്ക്കുന്നതോ ആയ നടപടികളുടെ ഒരു ലിസ്റ്റ് രൂപീകരിക്കണം.

സ്വകാര്യതാ ലംഘനങ്ങൾ തടയുന്നതിന്, മുമ്പത്തെ ഘട്ടത്തിന്റെ അവസാനം ലഭിച്ച റിപ്പോർട്ട് വിശകലനം ചെയ്യേണ്ടത് ആവശ്യമാണ്. ഇതിന് നന്ദി, കമ്പനിയുടെ സ്ഥലത്ത് ഒരു യഥാർത്ഥ അധിനിവേശം സാധ്യമാണോ എന്ന് നിർണ്ണയിക്കാൻ കഴിയും. നിലവിലുള്ള സാങ്കേതിക സംരക്ഷണ ഉപകരണങ്ങളുടെ വിശ്വാസ്യതയും പ്രകടനവും സംബന്ധിച്ച് ഒരു വിധി പുറപ്പെടുവിക്കുന്നു.

എല്ലാ ഓർഗനൈസേഷനുകൾക്കും വ്യത്യസ്‌ത പ്രവർത്തന മേഖലകളുള്ളതിനാൽ, സുരക്ഷാ ആവശ്യകതകളുടെ ലിസ്റ്റ് ഒരുപോലെ ആയിരിക്കരുത്. പരിശോധിക്കുന്ന സ്ഥാപനത്തിനായി വ്യക്തിഗതമായി ഒരു ലിസ്റ്റ് വികസിപ്പിച്ചെടുക്കുന്നു.

ഈ ഘട്ടത്തിൽ, ബലഹീനതകളും തിരിച്ചറിയപ്പെടുന്നു, കൂടാതെ ആക്രമണകാരികളെയും വരാനിരിക്കുന്ന ഭീഷണികളെയും കുറിച്ചുള്ള ഡാറ്റ ക്ലയന്റിന് നൽകുന്നു. ഏത് ഭാഗത്ത് നിന്നാണ് തന്ത്രം പ്രതീക്ഷിക്കേണ്ടതെന്ന് അറിയാനും ഇതിൽ കൂടുതൽ ശ്രദ്ധ ചെലുത്താനും രണ്ടാമത്തേത് ആവശ്യമാണ്.

വിദഗ്ധ കമ്മീഷന്റെ നൂതനത്വങ്ങളും പ്രവർത്തന ഫലങ്ങളും എത്രത്തോളം ഫലപ്രദമാകുമെന്ന് ഉപഭോക്താവ് അറിയേണ്ടതും പ്രധാനമാണ്.

സാധ്യമായ അപകടസാധ്യതകളുടെ വിശകലനത്തിന് ഇനിപ്പറയുന്ന ലക്ഷ്യങ്ങളുണ്ട്:

• വിവര സ്രോതസ്സുകളുടെ വർഗ്ഗീകരണം;
• ജോലി പ്രക്രിയയുടെ ദുർബലമായ നിമിഷങ്ങൾ തിരിച്ചറിയൽ;
• സാധ്യമായ ഒരു വഞ്ചകന്റെ പ്രോട്ടോടൈപ്പ് വരയ്ക്കുന്നു.

വിവര ആക്രമണങ്ങൾ എത്രത്തോളം വിജയകരമാണെന്ന് നിർണ്ണയിക്കാൻ വിശകലനവും ഓഡിറ്റും ഞങ്ങളെ അനുവദിക്കുന്നു. ഇത് ചെയ്യുന്നതിന്, ബലഹീനതകളുടെ വിമർശനവും നിയമവിരുദ്ധമായ ആവശ്യങ്ങൾക്ക് അവ എങ്ങനെ ഉപയോഗിക്കാം എന്നതും വിലയിരുത്തപ്പെടുന്നു.

ഓഡിറ്റിന്റെ അവസാന ഘട്ടം എന്താണ്?

സൃഷ്ടിയുടെ ഫലങ്ങളുടെ രേഖാമൂലമുള്ള ഡോക്യുമെന്റേഷനാണ് അവസാന ഘട്ടത്തിന്റെ സവിശേഷത. തത്ഫലമായുണ്ടാകുന്ന രേഖയെ ഓഡിറ്റ് റിപ്പോർട്ട് എന്ന് വിളിക്കുന്നു. ഓഡിറ്റ് ചെയ്ത കമ്പനിയുടെ മൊത്തത്തിലുള്ള സുരക്ഷയെക്കുറിച്ചുള്ള നിഗമനം ഇത് ഏകീകരിക്കുന്നു. സുരക്ഷയുമായി ബന്ധപ്പെട്ട് വിവര സാങ്കേതിക സംവിധാനത്തിന്റെ ഫലപ്രാപ്തിയെക്കുറിച്ച് ഒരു പ്രത്യേക വിവരണം ഉണ്ട്. സാധ്യതയുള്ള ഭീഷണികളെക്കുറിച്ചുള്ള മാർഗ്ഗനിർദ്ദേശവും റിപ്പോർട്ട് നൽകുകയും ആക്രമണകാരിയുടെ മാതൃക വിവരിക്കുകയും ചെയ്യുന്നു. ആന്തരികവും ബാഹ്യവുമായ ഘടകങ്ങൾ കാരണം അനധികൃതമായ കടന്നുകയറ്റത്തിന്റെ സാധ്യതകളും ഇത് വിശദീകരിക്കുന്നു.

ഇൻഫർമേഷൻ സെക്യൂരിറ്റി ഓഡിറ്റ് മാനദണ്ഡങ്ങൾ സ്റ്റാറ്റസ് വിലയിരുത്തുന്നതിന് മാത്രമല്ല, ആവശ്യമായ പ്രവർത്തനങ്ങൾ നടത്തുന്നതിന് വിദഗ്ധ കമ്മീഷനിലേക്ക് ശുപാർശകൾ നൽകുന്നതിനും നൽകുന്നു. സമഗ്രമായ പ്രവർത്തനങ്ങൾ നടത്തിയതും വിവര ഇൻഫ്രാസ്ട്രക്ചർ വിശകലനം ചെയ്തതും വിവര മോഷണത്തിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിന് എന്താണ് ചെയ്യേണ്ടതെന്ന് പറയാൻ കഴിയുന്നതും സ്പെഷ്യലിസ്റ്റുകളാണ്. ശക്തിപ്പെടുത്തേണ്ട സ്ഥലങ്ങൾ അവർ ചൂണ്ടിക്കാട്ടും. സാങ്കേതിക പിന്തുണ, അതായത് ഉപകരണങ്ങൾ, സെർവറുകൾ, ഫയർവാളുകൾ എന്നിവയെ സംബന്ധിച്ച മാർഗനിർദേശങ്ങളും വിദഗ്ധർ നൽകുന്നു.

നെറ്റ്‌വർക്ക് ഉപകരണങ്ങളുടെയും സെർവറുകളുടെയും കോൺഫിഗറേഷനിൽ വരുത്തേണ്ട മാറ്റങ്ങളെ ശുപാർശകൾ പ്രതിനിധീകരിക്കുന്നു. നിർദ്ദേശങ്ങൾ തിരഞ്ഞെടുത്ത സുരക്ഷാ രീതികളുമായി നേരിട്ട് ബന്ധപ്പെട്ടിരിക്കാൻ സാധ്യതയുണ്ട്. ആവശ്യമെങ്കിൽ, സംരക്ഷണം നൽകുന്ന സംവിധാനങ്ങളെ കൂടുതൽ ശക്തിപ്പെടുത്തുന്നതിന് ലക്ഷ്യമിട്ടുള്ള ഒരു കൂട്ടം നടപടികൾ വിദഗ്ധർ നിർദ്ദേശിക്കും.

കമ്പനി പ്രത്യേക വിശദീകരണ പ്രവർത്തനങ്ങൾ നടത്തുകയും രഹസ്യാത്മകത ലക്ഷ്യമിട്ടുള്ള ഒരു നയം വികസിപ്പിക്കുകയും വേണം. സുരക്ഷാ സേവനങ്ങളിൽ പരിഷ്കാരങ്ങൾ ആവശ്യമായി വന്നേക്കാം. ഒരു പ്രധാന കാര്യം റെഗുലേറ്ററി, ടെക്നിക്കൽ ചട്ടക്കൂടാണ്, അത് കമ്പനിയുടെ സുരക്ഷയെക്കുറിച്ചുള്ള വ്യവസ്ഥകൾ സ്ഥാപിക്കണം. ടീമിന് കൃത്യമായ നിർദ്ദേശം നൽകണം. സ്വാധീന മേഖലകളും നിയുക്ത ചുമതലകളും എല്ലാ ജീവനക്കാർക്കും ഇടയിൽ വിഭജിച്ചിരിക്കുന്നു. ഇത് ഉചിതമാണെങ്കിൽ, വിവര സുരക്ഷ സംബന്ധിച്ച് ടീമിന്റെ വിദ്യാഭ്യാസം മെച്ചപ്പെടുത്തുന്നതിന് ഒരു കോഴ്സ് നടത്തുന്നത് നല്ലതാണ്.

ഏതൊക്കെ തരം ഓഡിറ്റുകളാണ് ഉള്ളത്?

ഒരു എന്റർപ്രൈസ് ഇൻഫർമേഷൻ സെക്യൂരിറ്റി ഓഡിറ്റിന് രണ്ട് തരത്തിലാകാം. ഈ പ്രക്രിയയുടെ ഉറവിടത്തെ ആശ്രയിച്ച്, ഇനിപ്പറയുന്ന തരങ്ങൾ വേർതിരിച്ചറിയാൻ കഴിയും:

1. ബാഹ്യ രൂപം. ഇത് ഡിസ്പോസിബിൾ എന്നതിൽ വ്യത്യാസമുണ്ട്. സ്വതന്ത്രവും നിഷ്പക്ഷവുമായ വിദഗ്ധർ വഴിയാണ് ഇത് നിർമ്മിക്കുന്നത് എന്നതാണ് ഇതിന്റെ രണ്ടാമത്തെ സവിശേഷത. ഇത് ഉപദേശപരമായ സ്വഭാവമാണെങ്കിൽ, അത് സ്ഥാപനത്തിന്റെ ഉടമയുടെ ഉത്തരവനുസരിച്ചാണ് നിർമ്മിക്കുന്നത്. ചില സാഹചര്യങ്ങളിൽ, ഒരു ബാഹ്യ ഓഡിറ്റ് നിർബന്ധമാണ്. ഇത് ഓർഗനൈസേഷന്റെ തരത്തെയും അടിയന്തിര സാഹചര്യങ്ങളെയും ആശ്രയിച്ചിരിക്കും. പിന്നീടുള്ള സാഹചര്യത്തിൽ, അത്തരമൊരു പരിശോധനയുടെ തുടക്കക്കാർ, ചട്ടം പോലെ, നിയമ നിർവ്വഹണ ഏജൻസികളാണ്.
2. ആന്തരിക രൂപം. ഒരു ഓഡിറ്റിന്റെ നടത്തിപ്പ് നിർദ്ദേശിക്കുന്ന ഒരു പ്രത്യേക വ്യവസ്ഥയെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് ഇത്. സിസ്റ്റത്തെ നിരന്തരം നിരീക്ഷിക്കുന്നതിനും കേടുപാടുകൾ തിരിച്ചറിയുന്നതിനും ഒരു ആന്തരിക വിവര സുരക്ഷാ ഓഡിറ്റ് ആവശ്യമാണ്. ഒരു നിശ്ചിത കാലയളവിനുള്ളിൽ നടപ്പിലാക്കുന്ന പ്രവർത്തനങ്ങളുടെ ഒരു പട്ടികയാണിത്. മിക്കപ്പോഴും, ഈ ജോലിക്കായി ഒരു പ്രത്യേക വകുപ്പോ അംഗീകൃത ജീവനക്കാരനോ സ്ഥാപിക്കപ്പെടുന്നു. സംരക്ഷണ ഉപകരണങ്ങളുടെ അവസ്ഥ അദ്ദേഹം നിർണ്ണയിക്കുന്നു.

സജീവ ഓഡിറ്റിംഗ് എങ്ങനെയാണ് നടത്തുന്നത്?

ഉപഭോക്താവ് ഏത് ലക്ഷ്യമാണ് പിന്തുടരുന്നത് എന്നതിനെ ആശ്രയിച്ച്, വിവര സുരക്ഷാ ഓഡിറ്റ് രീതികൾ തിരഞ്ഞെടുക്കുന്നു. സുരക്ഷാ നിലവാരം പഠിക്കുന്നതിനുള്ള ഏറ്റവും സാധാരണമായ മാർഗങ്ങളിലൊന്ന് സജീവമായ ഓഡിറ്റിംഗ് ആണ്. ഇത് ഒരു യഥാർത്ഥ ഹാക്കർ ആക്രമണത്തിന്റെ ഘട്ടമാണ്.

ഈ രീതിയുടെ പ്രയോജനം, ഒരു ഭീഷണിയുടെ സാധ്യതയെ കഴിയുന്നത്ര യാഥാർത്ഥ്യമായി അനുകരിക്കാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു എന്നതാണ്. ഒരു സജീവ ഓഡിറ്റിന് നന്ദി, ജീവിതത്തിൽ സമാനമായ ഒരു സാഹചര്യം എങ്ങനെ വികസിക്കുമെന്ന് നിങ്ങൾക്ക് മനസ്സിലാക്കാൻ കഴിയും. ഈ രീതിയെ ഇൻസ്ട്രുമെന്റൽ സെക്യൂരിറ്റി അനാലിസിസ് എന്നും വിളിക്കുന്നു.

ഒരു വിവര സംവിധാനത്തിലേക്ക് അനധികൃതമായി കടന്നുകയറാനുള്ള ശ്രമം (പ്രത്യേക സോഫ്‌റ്റ്‌വെയറിന്റെ സഹായത്തോടെ) നടത്തുക എന്നതാണ് സജീവമായ ഓഡിറ്റിന്റെ സാരം. ഈ സാഹചര്യത്തിൽ, സംരക്ഷണ ഉപകരണങ്ങൾ പൂർണ്ണ സന്നദ്ധതയിലായിരിക്കണം. ഇതിന് നന്ദി, അത്തരമൊരു സാഹചര്യത്തിൽ അവരുടെ ജോലി വിലയിരുത്തുന്നത് സാധ്യമാണ്. കൃത്രിമ ഹാക്കർ ആക്രമണം നടത്തുന്ന വ്യക്തിക്ക് ഏറ്റവും കുറഞ്ഞ വിവരങ്ങളാണ് നൽകുന്നത്. ഏറ്റവും റിയലിസ്റ്റിക് അവസ്ഥകൾ പുനർനിർമ്മിക്കുന്നതിന് ഇത് ആവശ്യമാണ്.

കഴിയുന്നത്ര ആക്രമണങ്ങൾക്ക് ഈ സംവിധാനത്തെ തുറന്നുകാട്ടാനാണ് അവർ ശ്രമിക്കുന്നത്. വ്യത്യസ്ത രീതികൾ ഉപയോഗിച്ച്, സിസ്റ്റം ഏറ്റവും സാധ്യതയുള്ള ഹാക്കിംഗ് രീതികൾ നിങ്ങൾക്ക് വിലയിരുത്താനാകും. ഇത് തീർച്ചയായും, ഈ ജോലി നിർവഹിക്കുന്ന സ്പെഷ്യലിസ്റ്റിന്റെ യോഗ്യതകളെ ആശ്രയിച്ചിരിക്കുന്നു. എന്നാൽ അവന്റെ പ്രവൃത്തികൾ വിനാശകരമായ സ്വഭാവമുള്ളതായിരിക്കരുത്.

ആത്യന്തികമായി, വിദഗ്ദ്ധൻ സിസ്റ്റത്തിന്റെ ബലഹീനതകളെക്കുറിച്ചും ഏറ്റവും ആക്സസ് ചെയ്യാവുന്ന വിവരങ്ങളെക്കുറിച്ചും ഒരു റിപ്പോർട്ട് സൃഷ്ടിക്കുന്നു. ആവശ്യമായ നിലവാരത്തിലേക്ക് സുരക്ഷ വർദ്ധിപ്പിച്ചിട്ടുണ്ടെന്ന് ഉറപ്പാക്കാൻ സാധ്യമായ നവീകരണങ്ങൾക്കുള്ള ശുപാർശകളും ഇത് നൽകുന്നു.

എന്താണ് ഒരു വിദഗ്ധ ഓഡിറ്റ്?

കമ്പനിയുടെ സ്ഥാപിത ആവശ്യകതകൾ പാലിക്കുന്നുണ്ടോ എന്ന് നിർണ്ണയിക്കാൻ ഒരു വിവര സുരക്ഷാ ഓഡിറ്റും നടത്തുന്നു. അത്തരമൊരു ജോലിയുടെ ഒരു ഉദാഹരണം വിദഗ്ധ രീതിയിൽ കാണാം. യഥാർത്ഥ ഡാറ്റയുമായുള്ള താരതമ്യ വിലയിരുത്തൽ ഇതിൽ അടങ്ങിയിരിക്കുന്നു.

സംരക്ഷണ ഉപകരണങ്ങളുടെ അതേ അനുയോജ്യമായ പ്രവർത്തനം വിവിധ സ്രോതസ്സുകളെ അടിസ്ഥാനമാക്കിയുള്ളതാകാം. ക്ലയന്റ് സ്വയം ആവശ്യങ്ങൾ ഉന്നയിക്കാനും ചുമതലകൾ സജ്ജമാക്കാനും കഴിയും. കമ്പനിയുടെ തലവൻ തന്റെ ഓർഗനൈസേഷന്റെ സുരക്ഷാ നില ആവശ്യമുള്ള തലത്തിൽ നിന്ന് എത്ര ദൂരെയാണെന്ന് അറിയാൻ ആഗ്രഹിച്ചേക്കാം.

ഒരു താരതമ്യ വിലയിരുത്തൽ നടത്തുന്ന പ്രോട്ടോടൈപ്പ് പൊതുവെ അംഗീകരിക്കപ്പെട്ട ലോക നിലവാരമാണ്.

ഫെഡറൽ നിയമം "ഓൺ ഓഡിറ്റിംഗ് ആക്റ്റിവിറ്റീസ്" അനുസരിച്ച്, പ്രസക്തമായ വിവരങ്ങൾ ശേഖരിക്കാനും വിവര സുരക്ഷ ഉറപ്പാക്കുന്നതിന് നിലവിലുള്ള നടപടികളുടെ പര്യാപ്തതയെക്കുറിച്ച് ഒരു നിഗമനത്തിലെത്താനും പ്രകടനം നടത്തുന്ന കമ്പനിക്ക് മതിയായ അധികാരമുണ്ട്. റെഗുലേറ്ററി ഡോക്യുമെന്റുകളുടെ സ്ഥിരതയും സംരക്ഷണ ഉപകരണങ്ങളുടെ പ്രവർത്തനവുമായി ബന്ധപ്പെട്ട ജീവനക്കാരുടെ പ്രവർത്തനങ്ങളും വിലയിരുത്തപ്പെടുന്നു.

എന്താണ് പാലിക്കൽ പരിശോധന?

ഈ തരം മുമ്പത്തേതിന് സമാനമാണ്, കാരണം അതിന്റെ സാരാംശം ഒരു താരതമ്യ വിലയിരുത്തൽ കൂടിയാണ്. എന്നാൽ ഈ സാഹചര്യത്തിൽ മാത്രം, അനുയോജ്യമായ പ്രോട്ടോടൈപ്പ് ഒരു അമൂർത്തമായ ആശയമല്ല, മറിച്ച് റെഗുലേറ്ററി, ടെക്നിക്കൽ ഡോക്യുമെന്റേഷനുകളിലും മാനദണ്ഡങ്ങളിലും വ്യക്തമായ ആവശ്യകതകളാണ്. എന്നിരുന്നാലും, കമ്പനിയുടെ സ്വകാര്യതാ നയം വ്യക്തമാക്കിയ ലെവലുമായി പൊരുത്തപ്പെടുന്നതിന്റെ അളവ് ഇത് നിർണ്ണയിക്കുന്നു. ഈ പോയിന്റ് പാലിക്കാതെ, കൂടുതൽ ജോലിയെക്കുറിച്ച് സംസാരിക്കുന്നത് അസാധ്യമാണ്.

മിക്കപ്പോഴും, എന്റർപ്രൈസിലെ സുരക്ഷാ സംവിധാനം സാക്ഷ്യപ്പെടുത്തുന്നതിന് ഇത്തരത്തിലുള്ള ഓഡിറ്റ് ആവശ്യമാണ്. ഇതിന് ഒരു സ്വതന്ത്ര വിദഗ്ദ്ധന്റെ അഭിപ്രായം ആവശ്യമാണ്. ഇവിടെ പ്രധാനപ്പെട്ടത് സംരക്ഷണ നിലവാരം മാത്രമല്ല, അംഗീകൃത ഗുണനിലവാര മാനദണ്ഡങ്ങളിലുള്ള സംതൃപ്തിയും കൂടിയാണ്.

അതിനാൽ, ഇത്തരത്തിലുള്ള നടപടിക്രമങ്ങൾ നടപ്പിലാക്കുന്നതിന്, നിങ്ങൾ കരാറുകാരനെ തീരുമാനിക്കേണ്ടതുണ്ടെന്ന് ഞങ്ങൾക്ക് നിഗമനം ചെയ്യാം, അതുപോലെ തന്നെ നിങ്ങളുടെ സ്വന്തം ആവശ്യങ്ങളെയും കഴിവുകളെയും അടിസ്ഥാനമാക്കിയുള്ള ലക്ഷ്യങ്ങളുടെയും ലക്ഷ്യങ്ങളുടെയും ശ്രേണി ഹൈലൈറ്റ് ചെയ്യുക.

സമൂഹത്തിന്റെയും സംസ്ഥാനത്തിന്റെയും പ്രവർത്തനത്തിന്റെ പല മേഖലകളിലും വ്യക്തിഗത ഡാറ്റയുടെ ശേഖരണം, സംസ്കരണം, സംഭരണം, ഉപയോഗം എന്നിവ നടത്തപ്പെടുന്നു. ഉദാഹരണത്തിന്, സാമ്പത്തിക, നികുതി മേഖലകളിൽ, പെൻഷൻ, സാമൂഹിക, മെഡിക്കൽ ഇൻഷുറൻസ്, പ്രവർത്തന അന്വേഷണ പ്രവർത്തനങ്ങൾ, തൊഴിൽ, പൊതുജീവിതത്തിന്റെ മറ്റ് മേഖലകൾ എന്നിവയിൽ.

പ്രവർത്തനത്തിന്റെ വിവിധ മേഖലകളിൽ, വ്യക്തിഗത ഡാറ്റ പലപ്പോഴും വ്യത്യസ്ത വിവരങ്ങളുടെ കൂട്ടത്തെ അർത്ഥമാക്കുന്നു. വ്യക്തിഗത ഡാറ്റ വിവിധ ഫെഡറൽ നിയമങ്ങളിൽ നിർവചിച്ചിരിക്കുന്നു, കൂടാതെ വിവരങ്ങളുടെ വ്യാപ്തി അവയിൽ വ്യത്യസ്തമായി നിർവചിച്ചിരിക്കുന്നു.

വിവരസാങ്കേതികവിദ്യയുടെ വികാസത്തോടെ, വാണിജ്യ വിവരങ്ങളുടെ സംരക്ഷണം കൂടുതൽ പ്രാധാന്യമർഹിക്കുന്നു, ഒരു കമ്പനിയെ അതിന്റെ ഉൽപ്പന്നങ്ങളുടെ മത്സരക്ഷമത നിലനിർത്താനും പങ്കാളികളുമായും ക്ലയന്റുകളുമായും ജോലി സംഘടിപ്പിക്കാനും റെഗുലേറ്റർമാരിൽ നിന്നുള്ള ഉപരോധത്തിന്റെ അപകടസാധ്യത കുറയ്ക്കാനും അനുവദിക്കുന്നു.

ഒരു കമ്പനിയുടെ വ്യാപാര രഹസ്യങ്ങൾ സംരക്ഷിക്കാനും, ഒരു വ്യാപാര രഹസ്യ ഭരണകൂടം അവതരിപ്പിക്കുന്നതിലൂടെ, അതായത്, വിവരങ്ങളുടെ രഹസ്യാത്മകത പരിരക്ഷിക്കുന്നതിന് നിയമപരവും സംഘടനാപരവും സാങ്കേതികവുമായ നടപടികൾ കൈക്കൊള്ളുന്നതിലൂടെ വെളിപ്പെടുത്തലിന് ഉത്തരവാദികളായവരെ നിയമത്തിന് മുന്നിൽ കൊണ്ടുവരാനും സാധിക്കും.

ഇന്ന്, വൈറസ് ആക്രമണങ്ങൾ ഇപ്പോഴും ഭയാനകമായ ആവൃത്തിയിലാണ് സംഭവിക്കുന്നത്. സാധാരണ ആപ്ലിക്കേഷനുകൾ തുറന്ന ഫയലുകൾ ഉപയോഗിച്ച് നടത്തുന്ന ആക്രമണങ്ങളാണ് ഏറ്റവും ഫലപ്രദമായ ആക്രമണങ്ങൾ. ഉദാഹരണത്തിന്, Microsoft Word ഫയലുകളിലോ PDF പ്രമാണങ്ങളിലോ ക്ഷുദ്ര കോഡ് അടങ്ങിയിരിക്കാം. അത്തരമൊരു ആക്രമണത്തെ ചൂഷണം എന്ന് വിളിക്കുന്നു, ഇത് എല്ലായ്പ്പോഴും ഒരു സാധാരണ ആന്റിവൈറസ് കണ്ടെത്തില്ല.

പാലോ ആൾട്ടോ നെറ്റ്‌വർക്ക് ട്രാപ്‌സ് ടാർഗെറ്റുചെയ്‌ത ക്ഷുദ്ര ആക്രമണങ്ങൾക്കെതിരെ വർക്ക്‌സ്റ്റേഷനുകൾക്ക് വിപുലമായ പരിരക്ഷ നൽകുന്നു, കൂടാതെ ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിന്റെയും ആപ്ലിക്കേഷൻ കേടുപാടുകളുടെയും ചൂഷണം തടയുന്നു.

റിമോട്ട് ബാങ്കിംഗ് സിസ്റ്റങ്ങളിൽ പ്രവർത്തിക്കുമ്പോൾ വിവരങ്ങൾ പരിരക്ഷിക്കുന്നതിനുള്ള ശുപാർശകൾ

അടുത്തിടെ, ഉപയോക്താക്കളുടെ രഹസ്യ താക്കോലുകളും ഓർഗനൈസേഷനുകളുടെ ഫണ്ടുകളും മോഷ്ടിക്കാൻ ലക്ഷ്യമിട്ടുള്ള റിമോട്ട് ബാങ്കിംഗ് സിസ്റ്റങ്ങളിൽ (RBS) വഞ്ചനാപരമായ പ്രവർത്തനങ്ങളുടെ കേസുകൾ പതിവായി മാറിയിട്ടുണ്ട്. ലേഖനത്തിൽ, പണം മോഷ്ടിക്കാനുള്ള സാധ്യത കുറയ്ക്കുന്നതിന് ആവശ്യമായ പ്രായോഗിക നടപടികൾ ഞങ്ങൾ പരിശോധിക്കുകയും സാധ്യമായ വഞ്ചനാപരമായ പ്രവർത്തനങ്ങളോട് പ്രതികരിക്കുന്നതിനുള്ള ശുപാർശകൾ നൽകുകയും ചെയ്തു.