Категории
...

Одитиране на информационни системи. Заплахи за информационната сигурност. Информационни технологии

Одитът на информационните системи предоставя подходящи и точни данни за това как работи IP. Въз основа на получените данни е възможно да се планират дейности за подобряване на ефективността на предприятието. Практиката на провеждане на одит на информационна система е в сравняване на стандартната и реалната ситуация. Те изучават нормите, стандартите, регламентите и практиките, приложими в други фирми. При извършване на одит предприемач получава представа за това как неговата компания се различава от нормално успешна компания в подобна област.

Общ изглед

Информационните технологии в съвременния свят са изключително развити. Трудно е да си представим предприятие, което няма обслужвани информационни системи:

  • глобален;
  • местно.

Чрез ИС една компания може да функционира нормално и да е в крак с времето. Такива методологии са необходими за бърз и пълен обмен на информация с околната среда, което позволява на компанията да се адаптира към промените в инфраструктурата и изискванията на пазара. Информационните системи трябва да отговарят на редица изисквания, които се променят с течение на времето (въвеждат се нови разработки, стандарти, прилагат се актуализирани алгоритми). Във всеки случай информационните технологии ви позволяват да направите бърз достъп до ресурси и този проблем се решава чрез IP. В допълнение, съвременните системи:

  • мащабируема;
  • гъвкав;
  • надежден;
  • сейф.

Основните задачи на одита на информационните системи са да идентифицира дали реализираният IP отговаря на зададените параметри.

одит на информационни системи

Одит: видове

Много често се използва така нареченият одит на процеса на информационната система. Пример: външни експерти анализират внедрените системи за разлики от стандартите, включително изучаване на производствения процес, чиято продукция е софтуер.

Може да се извърши одит, целящ да идентифицира колко правилно се използва информационната система в работата. Практиката на предприятието се сравнява със стандартите на производителя и добре познати примери на международни корпорации.

Одитът на системата за информационна сигурност на предприятието засяга организационната структура. Целта на такова събитие е да се намерят тънки петна в персонала на ИТ отдела и да се идентифицират проблемите, както и да се формулират препоръки за тяхното разрешаване.

И накрая, одитът на системата за информационна сигурност е насочен към контрол на качеството. След това поканените експерти оценяват състоянието на процесите в предприятието, тестват внедрената информационна система и правят някои изводи за получената информация. Обикновено се използва модел TMMI.

Цели на одита

Стратегическият одит на състоянието на информационните системи ви позволява да идентифицирате слабостите в реализирания ПР и да определите къде използването на технологиите е било неефективно. При изхода на такъв процес клиентът ще има препоръки за отстраняване на недостатъците.

Одитът ви позволява да оцените колко скъпо ще бъде извършването на промени в текущата структура и колко време ще отнеме. Специалистите, изучаващи настоящата информационна структура на компанията, ще ви помогнат да изберете инструментите за изпълнение на програмата за подобряване, като вземете предвид характеристиките на компанията. Въз основа на резултатите можете също така да дадете точна оценка от колко ресурси се нуждае компанията.Ще бъдат анализирани интелектуални, парични, производствени.

мерки

Вътрешният одит на информационните системи включва изпълнението на дейности като:

  • ИТ инвентар;
  • идентификация на натоварването на информационните структури;
  • оценка на статистиката, данните, получени по време на инвентаризацията;
  • определяне дали изискванията на бизнеса и възможностите на внедрения ПР са съгласувани;
  • генериране на отчети;
  • разработване на препоръки;
  • формализиране на фонда на НСИ.

Резултат от одита

Стратегическият одит на състоянието на информационните системи е процедура, която: ви позволява да идентифицирате причините за липсата на ефективност на внедрената информационна система; да прогнозира поведението на IP при коригиране на информационни потоци (брой потребители, обем данни); осигуряват информирани решения, които спомагат за повишаване на производителността (придобиване на оборудване, подобряване на внедрената система, подмяна); дават препоръки, насочени към подобряване на производителността на фирмените отдели, оптимизиране на инвестициите в технологии. И също така да се разработят мерки, които подобряват нивото на качество на обслужване на информационните системи.

Това е важно!

Няма такъв универсален IP, който да отговаря на всяко предприятие. Има две общи бази, въз основа на които можете да създадете уникална система за изискванията на конкретно предприятие:

  • 1C.
  • Oracle.

Но не забравяйте, че това е само основата, не повече. Всички подобрения, за да направите бизнес ефективен, трябва да програмирате, като вземете предвид характеристиките на конкретно предприятие. Със сигурност ще трябва да въведете по-рано липсващи функции и да деактивирате тези, които са предвидени от основния монтаж. Съвременната технология за одит на банковите информационни системи помага да се разбере какви точно функции трябва да има и какво трябва да се изключи, така че корпоративната система да бъде оптимална, ефективна, но не прекалено „тежка“.

стратегически одит на състоянието на информационните системи

Одит на сигурността на информацията

Анализът за идентифициране на заплахите за информационната сигурност може да бъде от два вида:

  • външен вид;
  • вътрешен.

Първият включва еднократна процедура. Организира се от нейния ръководител на компанията. Препоръчва се редовно да се прилага такава мярка, за да се поддържа ситуацията под контрол. Редица акционерни дружества и финансови организации въведоха изискване за въвеждане на външен одит на информационната сигурност.

Вътрешни - това са редовно провеждани дейности, регулирани от местния регулаторен акт „Наредба за вътрешния одит“. За срещата се формира годишен план (подготвя се от отдела, отговорен за одита), казва изпълнителният директор, друг ръководител. ИТ одит - няколко категории събития, одитът за сигурност не е последният по важност.

цели

Основната цел на одита на информационните системи по отношение на сигурността е да се идентифицират рисковете, свързани с IP, свързани със заплахи за сигурността. В допълнение, събитията помагат да се идентифицират:

  • слабости на сегашната система;
  • съответствие на системата със стандартите за информационна сигурност;
  • ниво на сигурност в текущото време.

При провеждането на одит на сигурността ще бъдат формулирани препоръки, които ще подобрят настоящите решения и ще въведат нови, правейки съществуващия IP по-безопасен и защитен от различни заплахи.

заплахи за сигурността

Ако се провежда вътрешен одит за идентифициране на заплахи за сигурността на информацията, тогава се разглежда допълнително:

  • политика за сигурност, възможност за разработване на нови, както и други документи, които защитават данните и опростяват тяхното приложение в производствения процес на корпорацията;
  • формирането на задачи за сигурност за ИТ служителите;
  • анализ на ситуации, свързани с нарушения;
  • обучение на потребители на корпоративната система, обслужващ персонал в общи аспекти на сигурността.

Вътрешен одит: функции

Изброените задачи, които са зададени на служителите при извършване на вътрешен одит на информационните системи, по същество не са одити. Теоретично провеждането на събития само като експерт оценява механизмите, чрез които системата е защитена. Лицето, участващо в задачата, става активен участник в процеса и губи независимост, не може вече обективно да оцени ситуацията и да я контролира.

От друга страна, на практика при вътрешен одит е почти невъзможно да останете настрана. Факт е, че за извършване на работата се включва специалист на компанията, друг път се занимава с други задачи в подобна област. Това означава, че одиторът е същият служител, който има компетентността да решава задачите, посочени по-горе. Затова трябва да направите компромис: в ущърб на обективността, включете служителя на практика, за да получите достоен резултат.

Одит за сигурност: Стъпки

Те в много отношения са подобни на стъпките на общ ИТ одит. отличава:

  • начало на събитията;
  • събиране на база за анализ;
  • анализ;
  • формиране на заключения;
  • отчети.

Започване на процедура

Одитът на информационните системи по отношение на сигурността започва, когато ръководителят на компанията даде предимство, тъй като шефовете са хората, които са най-заинтересовани от ефективната проверка на предприятието. Одитът не е възможен, ако ръководството не подкрепи процедурата.

Одитът на информационните системи обикновено е сложен. В него участват одиторът и няколко лица, представляващи различни отдели на компанията. Важно е сътрудничеството на всички участници в одита. При започване на одит е важно да се обърне внимание на следните точки:

  • документиране на задължения, права на одитора;
  • подготовка, одобряване на плана за одит;
  • документиране на факта, че служителите са длъжни да оказват цялата възможна помощ на одитора и да предоставят всички поискани от него данни.

Още в момента на започване на одита е важно да се установи доколко информационните системи се одитират. Докато някои IP подсистеми са критични и изискват специално внимание, други не са и са много маловажни, следователно тяхното изключване е позволено. Със сигурност ще има такива подсистеми, проверката на които ще е невъзможна, тъй като цялата информация, съхранявана там, е поверителна.

План и граници

Преди започване на работа се формира списък с ресурси, който трябва да бъде проверен. Тя може да бъде:

  • информация;
  • софтуер;
  • технически.

Те идентифицират на кои сайтове се провежда одита, на кои заплахи се проверява системата. Има организационни граници на събитието, аспекти на сигурността, които са задължителни за разглеждане по време на одита. Формира се приоритетен рейтинг, указващ обхвата на одита. Такива граници, както и планът за действие се одобряват от генералния директор, но предварително се представят по темата на общото работно събрание, където присъстват ръководители на отдели, одитор и ръководители на дружества.

Извличане на данни

При провеждането на одит на сигурността стандартите за одит на информационните системи са такива, че етапът на събиране на информация е най-дълъг и трудоемък. По правило IP не разполага с документация за това и одиторът е принуден да работи в тясно сътрудничество с многобройни колеги.

За да бъдат направени заключенията компетентни, одиторът следва да получи максимум данни. Одиторът научава за това как е организирана информационната система, как функционира и в какво състояние е от организационна, административна, техническа документация, в хода на независими изследвания и прилагане на специализиран софтуер.

Документи, необходими за работата на одитора:

  • организационна структура на отделите, обслужващи IP;
  • организационна структура на всички потребители.

Одиторът интервюира служители, установявайки:

  • доставчик;
  • собственик на данни;
  • потребителски данни.

цел на одита на информационните системи

За да направите това, трябва да знаете:

  • основни видове IP приложения;
  • брой, видове потребители;
  • услуги, предоставяни на потребителите.

Ако компанията има документи за IP от списъка по-долу, е необходимо да ги предостави на одитора:

  • описание на техническите методологии;
  • Описание на методите за автоматизиране на функции;
  • функционални диаграми;
  • работни, проектни документи.

Идентифициране на структурата на IP

За правилни заключения одиторът трябва да има най-пълно разбиране на характеристиките на информационната система, внедрена в предприятието. Трябва да знаете какви са механизмите за сигурност, как се разпределят в системата по нива. За целта разберете:

  • наличието и характеристиките на използваните компоненти на използваната система;
  • компонентни функции;
  • графичен качество;
  • входове;
  • взаимодействие с различни обекти (външни, вътрешни) и протоколи, канали за това;
  • платформи, приложени към системата.

Ползи ще донесат схеми:

  • структурен;
  • потоци от данни.

конструкции:

  • технически съоръжения;
  • софтуер;
  • информационна поддръжка;
  • структурни компоненти.

На практика много от документите се подготвят директно по време на одита. Информацията може да се анализира само при събиране на максимално количество информация.

Одит за сигурност на IP: анализ

Има няколко техники, използвани за анализ на получените данни. Изборът в полза на конкретен се основава на личните предпочитания на одитора и спецификата на определена задача.

стандарти за одит на информационна система

Най-сложният подход включва анализ на рисковете. За информационната система се формират изисквания за сигурност. Те се основават на особеностите на определена система и нейната среда, както и на заплахите, присъщи на тази среда. Анализаторите са съгласни, че този подход изисква най-големи разходи за труд и максимална квалификация на одитора. Колко добър ще бъде резултатът се определя от методологията за анализ на информацията и приложимостта на избраните опции към типа IP.

По-практичен вариант е да се прибегне до стандартите за сигурност на данните. Това са набор от изисквания. Това е подходящо за различни ПР, тъй като методологията е разработена на базата на най-големите компании от различни страни.

От стандартите следва, какви са изискванията за сигурност, в зависимост от степента на защита на системата и нейната принадлежност към определена институция. Много зависи от целта на ПР. Основната задача на одитора е да определи правилно кой набор от изисквания за сигурност е релевантен в даден случай. Изберете техника, чрез която те оценяват дали съществуващите системни параметри отговарят на стандартите. Технологията е доста проста, надеждна и затова широко разпространена. При малки инвестиции резултатът може да бъде точни изводи.

Пренебрегването е неприемливо!

Практиката показва, че много мениджъри, особено малки фирми, както и тези, чиито компании работят отдавна и не се стремят да овладеят всички най-нови технологии, са доста небрежни към одита на информационните системи, тъй като те просто не осъзнават важността на тази мярка. Обикновено само вредите за бизнеса провокират властите да предприемат мерки за проверка, идентифициране на рисковете и защита на предприятието. Други се сблъскват с факта, че открадват клиентска информация, трети изтичат от базите данни на контрагентите или оставят информация за ключовите предимства на дадено образувание. Потребителите вече не се доверяват на компанията, веднага щом случаят е публикуван и компанията претърпя повече щети, отколкото просто загуба на данни.

информационни технологии

Ако има вероятност от изтичане на информация, е невъзможно да се изгради ефективен бизнес, който има добри възможности сега и в бъдеще. Всяка компания има данни, които са ценни за трети страни, и те трябва да бъдат защитени. За да бъде защитата на най-високо ниво, е необходим одит за установяване на слабостите. Той трябва да отчита международните стандарти, методологии, най-новите разработки.

При одита:

  • оценява нивото на защита;
  • анализирайте приложните технологии;
  • коригира документи за сигурност;
  • симулират рискови ситуации, при които е възможно изтичане на данни;
  • препоръчайте внедряването на решения за премахване на уязвимостите.

Провеждайте тези събития по един от трите начина:

  • активно вещество;
  • експерт;
  • разкриване на спазването на стандартите.

Форми за одит

Активният одит включва оценка на системата, която потенциалният хакер разглежда. Неговата гледна точка е, че одиторите „се опитват“ сами - те изучават мрежовата защита, за която използват специализиран софтуер и уникални техники. Изисква се и вътрешен одит, който също се провежда от гледна точка на предполагаемия нарушител, който иска да открадне данни или да наруши системата.

технология за одит на банкови информационни системи

Експертен одит проверява дали внедрената система е идеална. Когато се идентифицира спазването на стандартите, за основа се взема абстрактно описание на стандартите, с които съществуващият обект се сравнява.

заключение

Правилно и качествено проведеният одит ви позволява да получите следните резултати:

  • минимизиране на вероятността от успешна хакерска атака, щети от нея;
  • изключение на атака, основана на промяна в системната архитектура и информационни потоци;
  • застраховането като средство за намаляване на рисковете;
  • минимизиране на риска до ниво, при което човек може да бъде напълно игнориран.


Добавете коментар
×
×
Сигурни ли сте, че искате да изтриете коментара?
изтривам
×
Причина за оплакване

Момичето се опита да не харчи пари за месец. Експериментът остави смесените й чувства

бизнес

Истории за успеха

оборудване