માહિતી સુરક્ષાની ઑડિટ: ધ્યેયો, પદ્ધતિઓ અને સાધનો, ઉદાહરણ. બેંકની માહિતી સુરક્ષાની ઑડિટ

આજે, દરેકને એક પવિત્ર શબ્દસમૂહ જાણે છે કે માહિતી માલિક માલિકી ધરાવે છે. એટલા માટે અમારા સમયમાં, દરેક વ્યક્તિ ખાનગી માહિતી ચોરી કરવાનો પ્રયાસ કરી રહી છે. આ જોડાણમાં, સંભવિત હુમલાઓ સામે રક્ષણના માધ્યમોને રજૂ કરવા માટે અભૂતપૂર્વ પગલાં લેવામાં આવે છે. જો કે, કેટલીકવાર એન્ટરપ્રાઇઝની માહિતી સુરક્ષાની ઑડિટ કરવી જરૂરી બની શકે છે. તે શું છે અને શા માટે તે બધા જરૂરી છે, હવે અને તેને આકૃતિ કરવાનો પ્રયાસ કરો

સામાન્ય વ્યાખ્યામાં માહિતી સુરક્ષા ઓડિટ શું છે?

હવે અમે અસ્પષ્ટ વૈજ્ઞાનિક શરતોને સ્પર્શી શકતા નથી, પરંતુ અમે તેમને માટે મૂળ વિભાવનાઓને વ્યાખ્યાયિત કરવાનો પ્રયાસ કરીશું, જે તેમને સરળ ભાષામાં વર્ણવશે (લોકોમાં તે "ડમીઝ" માટે ઓડિટ તરીકે ઓળખાય છે).

આ જટિલ ઘટનાઓનું નામ પોતાને માટે બોલે છે. માહિતી સુરક્ષા ઑડિટ એ વિશિષ્ટ રીતે વિકસિત માપદંડો અને સૂચકાંકોના આધારે એન્ટરપ્રાઇઝ, સંસ્થા અથવા સંસ્થાના માહિતી પ્રણાલી (આઈએસ) ની સલામતીની સ્વતંત્ર ચકાસણી અથવા નિષ્ણાત આકારણી છે.

સરળ શબ્દોમાં, દાખલા તરીકે, બહારના લોકો દ્વારા સંસ્થાના પ્રવૃત્તિઓમાં દખલગીરીના કિસ્સામાં ગ્રાહક ડેટાબેઝના રક્ષણ, લેવડદેવડ હાથ ધરવામાં, ઇલેક્ટ્રોનિક ભંડોળનું રક્ષણ, બેંકની ગુપ્તતાની સલામતી વગેરેના સ્તરનું મૂલ્યાંકન કરવા માટે બેંકની માહિતી સુરક્ષાના ઑડિટમાં ઘટાડો થાય છે. ઇલેક્ટ્રોનિક અને કમ્પ્યુટર સવલતો

ખાતરી માટે, વાચકોમાં ઓછામાં ઓછા એક વ્યક્તિ હશે જેને હોમ અથવા મોબાઇલ ફોન પર લોન અથવા ડિપોઝિટની દરખાસ્ત સાથે અને તે બેંકથી જોડાયેલ ન હોય તેમાંથી આ જ કેટલાક સ્ટોર્સમાંથી ખરીદીઓની ઓફર પર લાગુ થાય છે. તમારો નંબર ક્યાં આવ્યો?

તે સરળ છે જો કોઈ વ્યક્તિ અગાઉ પૈસા ઉછીના લીધા હોય અથવા ડિપોઝિટ ખાતામાં નાણાંનું રોકાણ કર્યું હોય તો કુદરતી રીતે, તેના ડેટાને સિંગલ ક્લાયન્ટ બેઝમાં સાચવવામાં આવ્યો હતો . જ્યારે અન્ય બેંક અથવા સ્ટોરમાંથી ફોન કરો છો, ત્યારે તમે એક નિષ્કર્ષ દોરી શકો છો: તેમના વિશેની માહિતી ગેરકાયદેસર રીતે ત્રીજા હાથમાં આવી છે. કેવી રીતે? સામાન્ય રીતે, અમે બે વિકલ્પોને અલગ કરી શકીએ છીએ: કાં તો તે ચોરાઇ જાય છે, અથવા બેંકના કર્મચારીઓ દ્વારા તૃતીય પક્ષોને સભાનપણે સોંપી દેવામાં આવે છે. એવી વસ્તુઓ ન થાય તે માટે, અને તમારે સમયસર બેંકની માહિતી સુરક્ષાની ઑડિટ કરવાની જરૂર છે, અને આ ફક્ત કમ્પ્યુટર અથવા "લોખંડ" રક્ષણના સાધન પર જ લાગુ થતી નથી, પરંતુ બેન્કિંગ સંસ્થાના સમગ્ર કર્મચારીઓ

માહિતી સુરક્ષા ઓડિટના મુખ્ય દિશા

આવા ઓડિટના અવકાશ માટે, એક નિયમ તરીકે, તેઓ ઘણી દ્વારા અલગ પડે છે:

• માહિતીની પ્રક્રિયાઓ (કમ્પ્યુટર સ્વયંચાલિત પ્રણાલીઓ, સંદેશાવ્યવહાર, રિસેપ્શન, પ્રસારણ અને માહિતીની માહિતી, સગવડો, ગુપ્ત બેઠકો માટેનું સ્થળ, સર્વેલન્સ સિસ્ટમ્સ વગેરે) માં સામેલ પદાર્થોની સંપૂર્ણ તપાસ;
• મર્યાદિત ઍક્સેસ (સંભવિત લિકેજ ચેનલોની ઓળખ અને સંભવિત સુરક્ષા છિદ્રો કે જે પ્રમાણભૂત અને બિન-માનક પદ્ધતિઓનો ઉપયોગ કરીને બહારથી તેને ઍક્સેસ કરવાની મંજૂરી આપે છે) સાથેની ગુપ્ત માહિતીની સુરક્ષાની વિશ્વસનીયતાનું પ્રમાણપત્ર;
• ઇલેકટ્રોમેગ્નેટિક રેડિયેશન અને તેમના પરના પિકઅપ્સની અસર માટે તમામ ઇલેક્ટ્રોનિક તકનીકી માધ્યમો અને સ્થાનિક કમ્પ્યુટર સિસ્ટમ્સની ચકાસણી, જે તેમને ડિસ્કનેક્ટ કરવું અથવા તેમને બિનઉપયોગી કરવાનું શક્ય બનાવે છે;
• પ્રોજેક્ટ ભાગ, જેમાં વ્યવહારુ અમલીકરણ (કોમ્પ્યુટર સિસ્ટમ્સ, સવલતો, સંચાર વગેરે) ની સુરક્ષામાં તેની રચનાની રચના અને તેના ઉપયોગની રચનાનો સમાવેશ થાય છે.

ઑડિટ કરવા માટે તે ક્યારે જરૂરી બને છે?

જટિલ પરિસ્થિતિઓનો ઉલ્લેખ ન કરવો, જ્યારે રક્ષણ પહેલાથી જ ભંગ થયું હોય, સંસ્થામાં માહિતી સુરક્ષાની ઑડિટ અન્ય કેટલાક કિસ્સાઓમાં હાથ ધરવામાં આવી શકે છે.

ખાસ કરીને, તેમાં કંપનીના વિસ્તરણ, મર્જર, હસ્તાંતરણ, અન્ય સાહસો સાથે જોડાણો, વ્યાપાર અથવા સંચાલનના અભ્યાસક્રમના ખ્યાલને બદલવો, આંતરરાષ્ટ્રીય કાયદામાં બદલાવ કરવો અથવા એક જ દેશમાં કાનૂની કાર્યવાહીઓમાં સમાવેશ થાય છે, આ ઉપરાંત માહિતી ઈન્ફ્રાસ્ટ્રક્ચરમાં ગંભીર ફેરફારો પણ થાય છે.

ઓડિટના પ્રકાર

આજે ઘણા પ્રકારના વિશ્લેષકો અને નિષ્ણાતોના મતે આ પ્રકારનાં ઓડિટનો વર્ગીકરણ થતો નથી. તેથી, કેટલાક કિસ્સાઓમાં વર્ગોમાં વિભાજન ખૂબ જ શરતી હોઈ શકે છે. તેમ છતાં, સામાન્ય કિસ્સામાં, માહિતી સુરક્ષાના ઑડિટને બાહ્ય અને આંતરિકમાં વિભાજિત કરી શકાય છે.

આ માટે લાયક સ્વતંત્ર નિષ્ણાતો દ્વારા હાથ ધરાયેલ એક બાહ્ય ઓડિટ સામાન્ય રીતે વન-ટાઇમ ઑડિટ છે, જે કંપનીના મેનેજમેન્ટ, શેરધારકો, કાયદા અમલીકરણ એજન્સીઓ દ્વારા શરૂ થઈ શકે છે. એવું માનવામાં આવે છે કે બાહ્ય માહિતી સુરક્ષા ઑડિટની ભલામણ કરવામાં આવે છે (અને ફરજિયાત નથી) ચોક્કસ સમયગાળા માટે નિયમિત રૂપે કરવા માટે. પરંતુ કેટલાક સંસ્થાઓ અને સાહસો માટે, કાયદા પ્રમાણે, તે ફરજિયાત છે (ઉદાહરણ તરીકે, નાણાકીય સંસ્થાઓ અને સંસ્થાઓ, સંયુક્ત સ્ટોક કંપનીઓ, વગેરે.)

માહિતી સુરક્ષાના આંતરિક ઓડિટ સતત પ્રક્રિયા છે. તે વિશિષ્ટ "આંતરિક ઓડિટમાં નિયમન" પર આધારિત છે. તે શું છે? વાસ્તવમાં, આ વ્યવસ્થાપન દ્વારા મંજૂર કરેલ ટાઇમફ્રેમ્સમાં સંસ્થામાં હાથ ધરવામાં આવતી સર્ટિફિકેટ પ્રવૃત્તિઓ છે. માહિતી સુરક્ષાના ઑડિટ એન્ટરપ્રાઇઝના વિશેષ માળખાકીય પેટા વિભાગો દ્વારા પ્રદાન કરવામાં આવે છે.

ઑડિટ પ્રકારોના વૈકલ્પિક વર્ગીકરણ

સામાન્ય કિસ્સામાં વર્ગોમાં ઉપરોક્ત વર્ણન વિભાગ ઉપરાંત, આંતરરાષ્ટ્રીય વર્ગીકરણમાં અપનાવવામાં આવેલા ઘણા બધા ઘટકોને અલગ પાડવાનું શક્ય છે:

• નિષ્ણાતોના વ્યક્તિગત અનુભવના આધારે માહિતી અને માહિતી સિસ્ટમોની સલામતીની સ્થિતિનું નિષ્ણાત તપાસ;
• આંતરરાષ્ટ્રીય ધોરણો (આઇએસઓ 17799) અને પ્રવૃત્તિના આ ક્ષેત્રને સંચાલિત રાજ્ય કાનૂની દસ્તાવેજોના પાલન માટે સિસ્ટમોની ચકાસણી અને સલામતીનાં પગલાં;
• સૉફ્ટવેર અને હાર્ડવેર સંકુલમાં સંભવિત નબળાઈઓને ઓળખવા માટે, ટેકનીકલ માધ્યમનો ઉપયોગ કરીને માહિતી સિસ્ટમ્સની સુરક્ષાનું વિશ્લેષણ.

ક્યારેક એક કહેવાતા જટિલ ઓડિટ લાગુ કરી શકાય છે, જેમાં ઉપરોક્ત તમામ પ્રકારોનો સમાવેશ થાય છે. માર્ગ દ્વારા, તે તે છે જે સૌથી ઉદ્દેશ પરિણામો આપે છે.

લક્ષ્યો અને ઉદ્દેશો સેટ કરો

કોઈ પણ ચકાસણી, શું આંતરિક અથવા બાહ્ય, ગોલ અને ઉદ્દેશો સેટ કરવાથી શરૂ થાય છે. જો સરળ બોલવું, તો વ્યાખ્યા કરવી જરૂરી છે, તેનું શું કરવું, શું અને કેવી રીતે તેની તપાસ કરવામાં આવશે. આ સમગ્ર પ્રક્રિયાને વહન કરવાની આગળની પદ્ધતિને પૂર્વનિર્ધારિત કરશે.

એન્ટરપ્રાઈઝ, સંસ્થા, સંસ્થા અને તેની પ્રવૃત્તિઓના માળખાના સ્પષ્ટીકરણોના આધારે સેટ કાર્યો, ઘણું બધું હોઈ શકે છે. જો કે, આ બધામાં, માહિતી સુરક્ષાના ઓડિટના એકીકૃત લક્ષ્યોને એકીકૃત કરવામાં આવે છે:

• માહિતી અને માહિતી સિસ્ટમોની સલામતીની સ્થિતિનું મૂલ્યાંકન;
• બહારથી અને આ પ્રકારના હસ્તક્ષેપના અમલીકરણ માટે સંભવિત પદ્ધતિઓમાંથી IP માં પ્રવેશના જોખમ સાથે સંકળાયેલ સંભવિત જોખમોનું વિશ્લેષણ;
• સુરક્ષા સિસ્ટમમાં છિદ્રો અને અવકાશનું સ્થાનીકરણ;
• વર્તમાન ધોરણો અને નિયમો સાથે માહિતી સિસ્ટમોની સુરક્ષાના સ્તરના પાલનનું વિશ્લેષણ;
• પ્રવર્તમાન સમસ્યાઓ દૂર કરવા માટે ભલામણોનો વિકાસ અને રજૂઆત, સાથે સાથે પ્રવર્તમાન ઉપાયો અને નવા વિકાસની શરૂઆત.

ઓડિટ કરવાના પદ્ધતિઓ અને માધ્યમો

હવે પરીક્ષણ કેવી રીતે હાથ ધરવામાં આવે છે તે વિશે થોડાક શબ્દો અને કયા તબક્કા અને તેનો સમાવેશ થાય છે.

માહિતી સુરક્ષાના ઓડિટમાં મુખ્ય પગલાઓનો સમાવેશ થાય છે:

• ચકાસણી પ્રક્રિયા (ઑડિટરના અધિકારો અને જવાબદારીઓની સ્પષ્ટ વ્યાખ્યા, ઑડિટર દ્વારા ઑડિટ પ્લાનની તૈયારી અને મેનેજમેન્ટ સાથે તેની મંજૂરી, સંશોધનની સીમાઓના મુદ્દાના રિઝોલ્યુશન, સંસ્થાના કર્મચારીઓ પર સહાયની જવાબદારી લાદવાની અને જરૂરી માહિતીની સમયસર જોગવાઈ);
• પ્રારંભિક માહિતીનું સંગ્રહ (સુરક્ષા વ્યવસ્થાનું માળખું, સુરક્ષા સાધનનું વિતરણ, સુરક્ષા વ્યવસ્થાના કાર્યનું સ્તર, માહિતી મેળવવા અને મેળવવા માટેની પદ્ધતિઓનું વિશ્લેષણ, સંદેશાવ્યવહારની ચેનલોની ઓળખ અને અન્ય માળખાં સાથે IP ના ક્રિયાપ્રતિક્રિયા, કમ્પ્યુટર નેટવર્કોના વપરાશકર્તાઓની અધિકારો, પ્રોટોકોલની વ્યાખ્યા વગેરે);
• એકીકૃત અથવા આંશિક ચકાસણી હાથ ધરી;
• પ્રાપ્ત ડેટાનું વિશ્લેષણ (ધોરણોના પ્રકાર અને સંવાદિતાના જોખમોનું વિશ્લેષણ);
• સંભવિત સમસ્યાઓ દૂર કરવા માટેની ભલામણો રજૂ કરવી;
• દસ્તાવેજીકરણની રચના કરવી.

પ્રથમ તબક્કો એ સૌથી સરળ છે, કારણ કે તેનો નિર્ણય કંપનીના સંચાલન અને ઓડિટર વચ્ચે જ લેવામાં આવે છે. વિશ્લેષણની સીમાઓ કર્મચારીઓ અથવા શેરધારકોની સામાન્ય સભામાં વિચારણા કરી શકાય છે. આ તમામ કાનૂની ક્ષેત્ર પર વધુ લાગુ પડે છે.

પ્રારંભિક ડેટા એકઠી કરવાના બીજા તબક્કા, પછી ભલે તે માહિતી સુરક્ષા અથવા બાહ્ય સ્વતંત્ર સર્ટિફિકેટનું આંતરિક ઓડિટ છે, તે સૌથી સ્રોત સઘન છે. આ હકીકત એ છે કે આ તબક્કે તે માત્ર સમગ્ર સૉફ્ટવેર અને હાર્ડવેર સંકુલથી સંબંધિત ટેક્નિકલ દસ્તાવેજોની જરુરી નથી, પણ કંપનીના કર્મચારીઓની એક સાંકડી મુલાકાત લેવા માટે પણ જરૂરી છે, અને મોટાભાગના કિસ્સાઓમાં વિશિષ્ટ પ્રશ્નોવાળો અથવા પ્રશ્નાવલિ ભરવામાં પણ.

ટેક્નિકલ દસ્તાવેજો માટે, આઇપીના માળખું અને કર્મચારીઓ માટે એક્સેસ અધિકારોની પ્રાધાન્યતા સ્તર, સિસ્ટમ વ્યાપી અને એપ્લિકેશન સૉફ્ટવેર (ઓપરેટિંગ સિસ્ટમ્સ, વ્યવસાય માટેના કાર્યક્રમો, મેનેજમેન્ટ અને એકાઉન્ટિંગ), તેમજ સોફ્ટવેર સુરક્ષા સાધનોને ઓળખવા પર ડેટા મેળવવાનું મહત્વપૂર્ણ છે. અને બિન-પ્રોગ્રામ પ્રકાર (એન્ટીવાયરસ, ફાયરવૉલ, વગેરે). વધુમાં, તેમાં નેટવર્કો અને પ્રદાતાઓની સંપૂર્ણ ચકાસણીનો સમાવેશ થાય છે જે સંચાર સેવાઓ (નેટવર્કીંગ, કનેક્શન માટે ઉપયોગમાં લેવાતા પ્રોટોકોલ, સંચાર ચેનલોના પ્રકારો, પ્રસારણની રીતો અને માહિતી પ્રવાહોના સ્વાગત અને વધુ) પૂરી પાડે છે. તે પહેલેથી જ સ્પષ્ટ છે, તે ખૂબ સમય લે છે.

આગળના તબક્કે ઓડિટીંગ માહિતી સુરક્ષા માટેની પદ્ધતિઓ વ્યાખ્યાયિત કરવામાં આવે છે. તેઓ ત્રણ દ્વારા અલગ પડે છે:

• રિસ્ક એનાલિસિસ (ઓડિટરના પરાકાષ્ઠાના આઇપીની શક્યતાનું નિર્ધારણ અને તમામ શક્ય પદ્ધતિઓ અને અર્થોનો ઉપયોગ કરીને તેની પ્રામાણિકતાના ભંગ પર આધારિત સૌથી જટિલ પદ્ધતિ);
• ધોરણો અને કાયદાકીય કૃત્યો (હાલની બાબતોની સ્થિતિ અને આંતરરાષ્ટ્રીય ધોરણોની જરૂરિયાત અને માહિતી સુરક્ષાના ક્ષેત્રમાં રાષ્ટ્રીય દસ્તાવેજોની સરખામણીએ, સરળ અને સૌથી પ્રાયોગિક પદ્ધતિ) સાથે પાલનનું મૂલ્યાંકન;
• સંયુક્ત પદ્ધતિ, પ્રથમ બે સંયોજન

નિરીક્ષણના પરિણામ પ્રાપ્ત કર્યા પછી, તેનું વિશ્લેષણ શરૂ થાય છે. વિશ્લેષણ માટે ઉપયોગમાં લેવાતી ઓડિટિંગ માહિતીની સિક્યોરિટીના માધ્યમો, તદ્દન વૈવિધ્ય હોઇ શકે છે. તે તમામ એન્ટરપ્રાઈઝની પ્રવૃત્તિઓના સ્પષ્ટીકરણો પર આધાર રાખે છે, જેમ કે માહિતી, ઉપયોગમાં લેવાયેલ સોફ્ટવેર, રક્ષણના માધ્યમ વગેરે. જો કે, જેમ પ્રથમ પદ્ધતિથી જોઈ શકાય છે, તેમનો ઓડિટર મુખ્યત્વે પોતાના અનુભવ પર આધાર રાખે છે.

અને આનો અર્થ એ છે કે તેની પાસે માહિતી ટેકનોલોજી અને ડેટા રક્ષણના ક્ષેત્રમાં યોગ્ય લાયકાત હોવી જોઈએ. આ વિશ્લેષણના આધારે, ઓડિટર પણ શક્ય જોખમોની ગણતરી કરે છે.

નોંધ કરો કે તે ફક્ત ઑપરેટિંગ સિસ્ટમ્સ અથવા પ્રોગ્રામ્સનો ઉપયોગ કરતું નથી, ઉદાહરણ તરીકે, વ્યવસાય અથવા એકાઉન્ટિંગ હેતુઓ માટે, પણ સ્પષ્ટપણે સમજવું કે ઘુસણખોરી માહિતીના સિસ્ટમમાં કેવી રીતે ચોરી, ભ્રષ્ટ કરી શકે છે અને તેનો નાશ કરી શકે છે, ઉલ્લંઘન માટે પૂર્વજરૂરીયાતો બનાવી શકે છે. કમ્પ્યુટર્સના કામમાં, વાયરસ અથવા માલવેરનો ફેલાવો.

સમસ્યાઓ ઉકેલવા માટે ઑડિટ પરિણામો અને ભલામણોનું મૂલ્યાંકન

વિશ્લેષણના આધારે, નિષ્ણાત રક્ષણની સ્થિતિ અને વર્તમાન અથવા સંભવિત સમસ્યાઓ દૂર કરવા, સલામતી વ્યવસ્થાને સુધારવામાં, વગેરે માટે ભલામણોની ભલામણ કરે છે. આ કિસ્સામાં, ભલામણો માત્ર ઉદ્દેશ ન હોવા જોઈએ, પરંતુ એન્ટરપ્રાઇઝના સ્પષ્ટીકરણોની વાસ્તવિકતા સાથે પણ સ્પષ્ટપણે જોડાયેલા છે. બીજા શબ્દોમાં કહીએ તો, કમ્પ્યુટર્સ અથવા સોફ્ટવેરનું રૂપરેખાંકન સુધારવામાં કોઈ ટીપ્સ નથી. સમાન રીતે, આ "અવિશ્વાસુ" કર્મચારીઓની બરતરફી, તેમના હેતુ, સ્થાન અને સંભવિતતાના વિશિષ્ટ સંકેત વગર નવી ટ્રેકિંગ સિસ્ટમ્સની સ્થાપના અંગેની સલાહ પર લાગુ પડે છે.

વિશ્લેષણના આધારે, એક નિયમ તરીકે, જોખમોના ઘણા જૂથો છે. તે જ સમયે, બે મુખ્ય સંકેતોનો એકીકૃત રિપોર્ટ સંકલન કરવા માટે ઉપયોગ થાય છે: પરિણામે કંપનીના નુકસાન અને સંપત્તિના નુકસાન (સંપત્તિ ગુમાવવાની, પ્રતિષ્ઠા ગુમાવવી, છબીની ખોટ વગેરે) ની શક્યતા છે. જો કે, જૂથો માટેના સૂચકાંકો સુસંગત નથી. ઉદાહરણ તરીકે, હુમલાની સંભાવના માટેનો ઓછા ગુણ શ્રેષ્ઠ છે નુકસાન માટે - તેનાથી વિરુદ્ધ

આ પછી જ, એક અહેવાલ તૈયાર કરવામાં આવે છે, જેમાં તમામ પગલાં, પદ્ધતિઓ અને અભ્યાસના સાધનોની વિગતો આપવામાં આવી છે. તે સંચાલન સાથે સંમત છે અને બે પક્ષો દ્વારા સહી થયેલ છે - એન્ટરપ્રાઇઝ અને ઑડિટર જો ઓડિટ આંતરિક હોય તો, સંબંધિત માળખાકીય એકમનું મુખ્ય આવા અહેવાલ બનાવે છે, ત્યારબાદ તે ફરીથી, વડા દ્વારા સહી કરે છે.

માહિતી સુરક્ષાની ઑડિટ: એક ઉદાહરણ

છેલ્લે, એક પરિસ્થિતિ છે કે જે પહેલાથી થયું છે સરળ ઉદાહરણ ધ્યાનમાં ઘણા, માર્ગ દ્વારા, તે ખૂબ જ પરિચિત લાગે શકે છે

ઉદાહરણ તરીકે, ઉદાહરણ તરીકે, કંપનીના એક ખાસ કર્મચારી, યુનાઈટેડ સ્ટેટમાં પ્રાપ્તિમાં રોકાયેલા, કમ્પ્યુટર પર ICQ મેસેન્જર ઇન્સ્ટોલ કર્યું (કર્મચારીનું નામ અને કંપનીનું નામ સમજી શકાય તેવા કારણો માટે નથી કહેવાતું). વાટાઘાટો આ કાર્યક્રમ દ્વારા હાથ ધરવામાં આવી હતી. પરંતુ સુરક્ષાના સંદર્ભમાં "આઈસીયુક્યુ" એ ખૂબ સંવેદનશીલ છે. કર્મચારી તે સમયે નંબર રજીસ્ટર કરતી વખતે ક્યાં તો ઈ-મેલ સરનામું ન હતું, અથવા તે ફક્ત તેને આપવા માંગતા ન હતાં. તેના બદલે, તેમણે ઈ-મેલ જેવું કંઇક સૂચવ્યું હતું, બિન-અસ્તિત્વ ધરાવતા ડોમેન સાથે પણ.

હુમલાખોર શું કરશે? જેમ જેમ માહિતી સુરક્ષા ઑડિટ દર્શાવે છે, તે ચોક્કસ જ ડોમેનને રજીસ્ટર કરશે અને તેમાં બીજી રજીસ્ટ્રેશન ટર્મિનલ બનાવશે, જે પછી તે મિરાબિલિસને સંદેશ મોકલી શકે છે, જે આઇસીક્યુ સેવાની માલિકી ધરાવે છે, તેના નુકશાનને કારણે પાસવર્ડ પુનઃસ્થાપિત કરવાની વિનંતી સાથે (જે કરવામાં આવ્યું હોત. ). કારણ કે પ્રાપ્તકર્તાનું સર્વર મેઈલ સર્વર ન હતું, તેમાં હુમલાખોરના હાલના મેઈલ પર રીડાયરેક્ટનો સમાવેશ થતો હતો.

પરિણામે, તે ચોક્કસ આઈસીક્યૂ નંબર સાથેના પત્રવ્યવહારમાં પ્રવેશ મેળવે છે અને ચોક્કસ દેશોમાં માલના પ્રાપ્તકર્તાના સરનામાંને બદલવા બદલ સપ્લાયરને જાણ કરે છે. આમ, કાર્ગો મોકલવામાં આવે છે કોઈ એક જાણે છે કે જ્યાં અને આ સૌથી નિરુપદ્રવી ઉદાહરણ છે. તેથી, નાનો ગુંડાગીરી અને વધુ ગંભીર હેકરો વિશે શું વધુ સક્ષમ છે ...

નિષ્કર્ષ

અહીં સંક્ષિપ્તમાં અને આઈપી સિક્યોરિટીના ઑડિટને લગતી તમામ બાબતો. અલબત્ત, અહીં તેના તમામ પાસાંને સ્પર્શ નથી. કારણ એ છે કે ઘણાં પરિબળો તેના અમલીકરણના કાર્યો અને પદ્ધતિઓના નિર્માણ પર અસર કરે છે, તેથી પ્રત્યેક ચોક્કસ કેસમાં અભિગમ કડક વ્યક્તિગત છે. વધુમાં, ઓડિટિંગ માહિતી સુરક્ષા માટેની પદ્ધતિઓ અને સાધનો અલગ અલગ આઇપી માટે અલગ હોઈ શકે છે. જો કે, એવું લાગે છે કે પ્રારંભિક સ્તરે ઘણા લોકો માટે આવા ચેકના સામાન્ય સિદ્ધાંતો સ્પષ્ટ થશે.