kategorier
...

Revision af informationssystemer. Trusler mod informationssikkerhed. Informationsteknologi

Revision af informationssystemer giver relevante og nøjagtige data om, hvordan IP fungerer. Baseret på de opnåede data er det muligt at planlægge aktiviteter for at forbedre effektiviteten af ​​virksomheden. Praksisen med at udføre en revision af et informationssystem er at sammenligne standarden, den reelle situation. De studerer de normer, standarder, forskrifter og praksis, der gælder i andre virksomheder. Når der foretages en revision, får en iværksætter en idé om, hvordan hans virksomhed adskiller sig fra en normal succesrig virksomhed på et lignende område.

Generelt overblik

Informationsteknologi i den moderne verden er ekstremt udviklet. Det er vanskeligt at forestille sig en virksomhed, der ikke har informationssystemer i tjeneste:

  • globalt;
  • lokal.

Det er gennem IP, at en virksomhed kan fungere normalt og følge med i tiden. Sådanne metoder er nødvendige for en hurtig og komplet udveksling af oplysninger med miljøet, hvilket giver virksomheden mulighed for at tilpasse sig ændringer i infrastruktur og markedskrav. Informationssystemer skal tilfredsstille et antal krav, der ændrer sig over tid (ny udvikling, standarder introduceres, opdaterede algoritmer anvendes). Under alle omstændigheder giver informationsteknologi dig hurtig adgang til ressourcerne, og dette problem løses via IP. Derudover moderne systemer:

  • skalerbar;
  • fleksible;
  • pålidelige;
  • sikker.

Hovedopgaverne ved revisionen af ​​informationssystemer er at identificere, om den implementerede IP opfylder de specificerede parametre.

revision af informationssystemer

Revision: typer

Meget ofte brugt er den såkaldte procesrevision af informationssystemet. Eksempel: eksterne eksperter analyserer implementerede systemer for forskelle fra standarder, herunder undersøgelse af produktionsprocessen, hvis output er software.

Der kan udføres en revision med det formål at identificere, hvor korrekt informationssystemet bruges i arbejdet. Virksomhedens praksis sammenlignes med fabrikantens standarder og velkendte eksempler på internationale virksomheder.

En revision af en virksomheds informationssikkerhedssystem påvirker organisationsstrukturen. Formålet med en sådan begivenhed er at finde tynde pletter i personalet på IT-afdelingen og identificere problemer samt at udforme anbefalinger til deres løsning.

Endelig er revisionen af ​​informationssikkerhedssystemet rettet mod kvalitetskontrol. Derefter evaluerer de inviterede eksperter status for processerne i virksomheden, tester det implementerede informationssystem og drager nogle konklusioner om den modtagne information. Typisk bruges TMMI-modellen.

Revisionsmål

En strategisk revision af informationssystemers tilstand giver dig mulighed for at identificere svagheder i den implementerede IP og identificere, hvor brugen af ​​teknologi har været ineffektiv. Ved udgangen af ​​en sådan proces vil kunden have anbefalinger til at eliminere manglerne.

En revision giver dig mulighed for at evaluere, hvor dyrt det vil være at foretage ændringer i den nuværende struktur, og hvor lang tid det vil tage. Specialister, der studerer virksomhedens nuværende informationsstruktur, hjælper dig med at vælge værktøjerne til implementering af forbedringsprogrammet under hensyntagen til virksomhedens egenskaber. Baseret på resultaterne kan du også give en nøjagtig vurdering af, hvor mange ressourcer virksomheden har brug for.De vil blive analyseret intellektuel, monetær produktion.

foranstaltninger

Intern revision af informationssystemer inkluderer implementering af aktiviteter såsom:

  • IT-opgørelse;
  • identifikation af belastningen på informationsstrukturer;
  • vurdering af statistikker, data indhentet under opgørelsen
  • Bestemmelse af om kravene til virksomheden og kapaciteterne i den implementerede IP
  • rapportgenerering;
  • udvikling af anbefalinger;
  • formalisering af NSI-fonden.

Revisionsresultat

En strategisk revision af informationssystemers tilstand er en procedure, der: giver dig mulighed for at identificere årsagerne til manglen på effektivitet af det implementerede informationssystem; at forudsige opførsel af IP ved justering af informationsstrømme (antal brugere, datavolumen); levere informerede løsninger, der hjælper med at øge produktiviteten (anskaffelse af udstyr, forbedring af det implementerede system, udskiftning); give anbefalinger med det formål at forbedre produktiviteten i virksomhedsafdelinger og optimere investeringerne i teknologi. Og også for at udvikle foranstaltninger, der forbedrer kvalitetsniveauet for informationssystemer.

Dette er vigtigt!

Der er ingen sådan universel IP, der passer til enhver virksomhed. Der er to fælles baser, på grundlag af hvilke du kan oprette et unikt system til kravene i en bestemt virksomhed:

  • 1C.
  • Oracle.

Men husk, at dette kun er grundlaget, ikke mere. Alle forbedringer for at gøre en virksomhed effektiv, skal du programmere under hensyntagen til en bestemt virksomheds egenskaber. Sikkert, du bliver nødt til at indtaste tidligere manglende funktioner og deaktivere dem, der er omhandlet af basisenheden. Moderne teknologi til revision af bankinformationssystemer hjælper med at forstå nøjagtigt, hvilke funktioner en IP skal have, og hvad der skal udelukkes, så virksomhedssystemet er optimalt, effektivt, men ikke for "tungt".

strategisk revision af informationssystemers tilstand

Informationssikkerhedsrevision

En analyse til at identificere trusler mod informationssikkerhed kan være af to typer:

  • udseende;
  • internt.

Den første involverer en engangsprocedure. Organiseret af selskabets leder. Det anbefales at regelmæssigt praktisere en sådan foranstaltning for at holde situationen under kontrol. En række aktieselskaber og finansielle organisationer har indført et krav om, at der skal gennemføres en ekstern revision af it-sikkerhed.

Internt - disse udføres regelmæssigt aktiviteter, der er reguleret af den lokale lovgivningsmæssige lov "Forordning om intern revision". Der udarbejdes en årlig plan for mødet (den udarbejdes af den afdeling, der er ansvarlig for revisionen), siger administrerende direktør, en anden leder. IT-revision - flere kategorier af begivenheder, sikkerhedsrevision er ikke den sidste vigtige.

mål

Hovedmålet med revisionen af ​​informationssystemer med hensyn til sikkerhed er at identificere IP-relaterede risici forbundet med sikkerhedstrusler. Derudover hjælper begivenheder med at identificere:

  • svagheder ved det nuværende system;
  • overholdelse af systemet med informationssikkerhedsstandarder;
  • sikkerhedsniveau på det aktuelle tidspunkt.

Når der udføres en sikkerhedsrevision, vil der blive formuleret anbefalinger, der forbedrer de nuværende løsninger og introducerer nye, hvilket gør den eksisterende IP sikrere og beskyttet mod forskellige trusler.

sikkerhedstrusler

Hvis der foretages en intern revision for at identificere trusler mod informationssikkerhed, overvejes den yderligere:

  • sikkerhedspolitik, evnen til at udvikle nye såvel som andre dokumenter, der beskytter data og forenkler deres anvendelse i virksomhedens produktionsproces;
  • dannelse af sikkerhedsopgaver for ansatte i IT-afdelingen;
  • analyse af situationer, der involverer krænkelser;
  • uddannelse af brugere af virksomhedssystemet, vedligeholdelsespersonale i generelle aspekter af sikkerhed.

Intern revision: Funktioner

De anførte opgaver, der er indstillet til medarbejdere, når de udfører en intern revision af informationssystemer, er i det væsentlige ikke revisioner. Teoretisk gennemførelse af begivenheder kun som en ekspert evaluerer de mekanismer, som systemet er sikkert med. Den person, der er involveret i opgaven, bliver en aktiv deltager i processen og mister uafhængighed, kan ikke længere objektivt vurdere situationen og kontrollere den.

På den anden side er det i praksis i en intern revision næsten umuligt at holde sig væk. Faktum er, at for at udføre arbejdet er en specialist i virksomheden involveret, andre gange beskæftiget med andre opgaver på et lignende felt. Dette betyder, at revisoren er den samme medarbejder, der har kompetencen til at løse ovennævnte opgaver. Derfor er du nødt til at gå på kompromis: til skade for objektivitet, involver medarbejderen i praksis for at få et værdigt resultat.

Sikkerhedsrevision: trin

Disse ligner på mange måder trinnene i en generel IT-revision. skelnes:

  • begivenhed begivenheder;
  • indsamling af en base til analyse;
  • analyse;
  • dannelse af konklusioner;
  • udsagn.

Start en procedure

En revision af informationssystemer med hensyn til sikkerhed begynder, når lederen af ​​virksomheden går foran, da cheferne er de mennesker, der er mest interesseret i en effektiv revision af virksomheden. En revision er ikke mulig, hvis ledelsen ikke understøtter proceduren.

Revision af informationssystemer er normalt kompleks. Det involverer revisor og flere personer, der repræsenterer forskellige afdelinger i virksomheden. Samarbejde mellem alle deltagere i revisionen er vigtigt. Når du indleder en revision, er det vigtigt at være opmærksom på følgende punkter:

  • dokumentation af pligter, revisors rettigheder;
  • udarbejdelse, godkendelse af revisionsplanen;
  • der dokumenterer, at medarbejderne er forpligtet til at yde al mulig hjælp til revisoren og give alle de data, han har anmodet om.

Allerede på tidspunktet for indledningen af ​​revisionen er det vigtigt at fastlægge, i hvilket omfang revisionen af ​​informationssystemer udføres. Mens nogle IP-delsystemer er kritiske og kræver særlig opmærksomhed, er andre ikke og er ganske uvæsentlige, derfor er deres udelukkelse tilladt. Der vil bestemt være sådanne delsystemer, hvis verifikation vil være umulig, da alle de oplysninger, der er gemt der, er fortrolige.

Plan og grænser

Inden arbejdet påbegyndes, dannes en liste over ressourcer, der skal kontrolleres. Det kan være:

  • oplysninger;
  • software;
  • teknisk.

De identificerer på hvilke steder revisionen udføres, på hvilke trusler systemet kontrolleres. Der er organisatoriske grænser for begivenheden, sikkerhedsaspekter, der er obligatoriske til behandling under revisionen. Der dannes en prioriteret bedømmelse, der angiver revisionens omfang. Sådanne grænser såvel som handlingsplanen godkendes af generaldirektøren, men forelægges foreløbigt af emnet for det generelle arbejdsmøde, hvor afdelingsledere, en revisor og virksomhedsledere er til stede.

Dataindhentning

Når der udføres en sikkerhedsrevision, er standarderne for revision af informationssystemer sådan, at indsamlingen af ​​information er den længste og mest besværlige. Som regel har IP ikke dokumentation til det, og revisor er tvunget til at arbejde tæt sammen med mange kolleger.

For at konklusionerne skal være kompetente, bør revisor modtage et maksimum af data. Revisoren lærer om, hvordan informationssystemet er organiseret, hvordan det fungerer, og i hvilken tilstand det er fra organisatorisk, administrativ, teknisk dokumentation i løbet af uafhængig forskning og anvendelse af specialiseret software.

Dokumenter, der kræves i revisors arbejde:

  • organisationsstruktur for afdelinger, der betjener IP;
  • organisation af alle brugere.

Revisoren interviewer medarbejdere og identificerer:

  • udbyder;
  • dataejer;
  • brugerdata.

Formålet med revision af informationssystemer

For at gøre dette skal du vide:

  • hovedtyper af IP-applikationer;
  • antal brugertyper;
  • tjenester leveret til brugere.

Hvis virksomheden har dokumenter på IP fra listen nedenfor, er det nødvendigt at give dem til revisor:

  • beskrivelse af tekniske metoder;
  • Beskrivelse af metoder til automatisering af funktioner;
  • funktionelle diagrammer;
  • arbejde, projektdokumenter.

Identifikation af IP-strukturen

For korrekte konklusioner skal revisor have den fulde forståelse af funktionerne i det informationssystem, der er implementeret i virksomheden. Du skal vide, hvad der er sikkerhedsmekanismerne, hvordan de er fordelt i systemet efter niveauer. For at gøre dette, find ud af:

  • tilstedeværelsen og funktionerne i komponenterne i det anvendte system;
  • komponentfunktioner;
  • grafisk kvalitet;
  • indgange;
  • interaktion med forskellige objekter (eksterne, interne) og protokoller, kanaler til dette;
  • platforme anvendt til systemet.

Fordele medfører ordninger:

  • strukturelle;
  • datastrømme.

strukturer:

  • tekniske faciliteter;
  • software;
  • informationssupport;
  • strukturelle komponenter.

I praksis forberedes mange af dokumenterne direkte under revisionen. Oplysninger kan kun analyseres, når den maksimale mængde information indsamles.

IP-sikkerhedsrevision: analyse

Der er flere teknikker, der bruges til at analysere de opnåede data. Valget til fordel for en bestemt er baseret på revisorens personlige præferencer og specifikationerne for en bestemt opgave.

standarder for informationssystemrevision

Den mest komplekse tilgang involverer analyse af risici. For informationssystemet dannes sikkerhedskrav. De er baseret på funktionerne i et bestemt system og dets miljø samt truslerne i dette miljø. Analytikere er enige om, at denne tilgang kræver de største arbejdsomkostninger og den maksimale kvalifikation af revisor. Hvor godt resultatet bliver, bestemmes af metoden til analyse af informationen og anvendelsen af ​​de valgte indstillinger på typen af ​​IP.

En mere praktisk mulighed er at ty til sikkerhedsstandarder for data. Dette er et sæt krav. Dette er velegnet til forskellige IP'er, da metodologien er udviklet på basis af de største virksomheder fra forskellige lande.

Fra standarderne følger det, hvad der er sikkerhedskravene, afhængigt af beskyttelsesniveauet for systemet og dets tilknytning til en bestemt institution. Meget afhænger af IP's formål. Revisors hovedopgave er korrekt at bestemme, hvilket sæt sikkerhedskrav der er relevant i en given sag. Vælg en teknik, hvormed de vurderer, om de eksisterende systemparametre overholder standarderne. Teknologien er ganske enkel, pålidelig og derfor udbredt. Ved små investeringer kan resultatet være nøjagtige konklusioner.

Forsømmelse er uacceptabelt!

Praksis viser, at mange ledere, især små virksomheder såvel som dem, hvis virksomheder har arbejdet i lang tid og ikke søger at mestre alle de nyeste teknologier, er temmelig uforsigtig med revision af informationssystemer, fordi de simpelthen ikke er klar over vigtigheden af ​​denne foranstaltning. Normalt provokerer kun skade på virksomheden myndighederne til at træffe foranstaltninger til at verificere, identificere risici og beskytte virksomheden. Andre står overfor det faktum, at de stjæler klientoplysninger, andre lækker fra modparternes databaser eller efterlader information om de vigtigste fordele ved en bestemt enhed. Forbrugerne har ikke længere tillid til virksomheden, så snart sagen offentliggøres, og virksomheden lider mere skade end blot datatab.

informationsteknologi

Hvis der er en risiko for informationslækage, er det umuligt at opbygge en effektiv virksomhed, der har gode muligheder nu og i fremtiden. Enhver virksomhed har data, der er værdifulde for tredjepart, og de skal beskyttes. For at beskyttelsen skal være på højeste niveau kræves en revision for at identificere svagheder. Den skal tage hensyn til internationale standarder, metoder, den seneste udvikling.

Ved revisionen:

  • evaluere beskyttelsesniveauet
  • analysere anvendte teknologier;
  • justere sikkerhedsdokumenter;
  • simulere risikosituationer, hvor datalækage er mulig;
  • anbefaler implementering af løsninger for at eliminere sårbarheder.

Gør disse begivenheder på en af ​​tre måder:

  • aktiv;
  • ekspert;
  • afslører overholdelse af standarder.

Revisionsformularer

Aktiv revision involverer evaluering af det system, som en potentiel hacker ser på. Det er hans synspunkt, at revisorer ”prøver” sig selv - de studerer netværksbeskyttelse, som de bruger specialiseret software og unikke teknikker til. Der kræves også en intern revision, også udført fra synspunktet om den påståede lovovertræder, der ønsker at stjæle data eller forstyrre systemet.

teknologi til revision af bankinformationssystemer

En ekspertrevision kontrollerer, om det implementerede system er ideelt. Når man identificerer overholdelse af standarder, tages en abstrakt beskrivelse af de standarder, som det eksisterende objekt sammenlignes med, som grundlag.

konklusion

Korrekt og kvalitativt udført revision giver dig mulighed for at få følgende resultater:

  • minimere sandsynligheden for et vellykket hackerangreb, skader deraf;
  • undtagelse af et angreb baseret på en ændring i systemarkitektur og informationsstrømme;
  • forsikring som et middel til at reducere risici;
  • minimering af risiko til et niveau, hvor man kan ignoreres fuldstændigt.


Tilføj en kommentar
×
×
Er du sikker på, at du vil slette kommentaren?
Slet
×
Årsag til klage

Pigen forsøgte ikke at bruge penge i en måned. Eksperimentet efterlod hendes blandede følelser

forretning

Succeshistorier

udstyr