Luokat
...

Tietojärjestelmien tarkastus. Uhat tietoturvalle. Tietotekniikka

Tietojärjestelmien tarkastus tarjoaa olennaista ja tarkkaa tietoa IP: n toiminnasta. Saatujen tietojen perusteella on mahdollista suunnitella toimintoja yrityksen tehokkuuden parantamiseksi. Tietojärjestelmän tarkastuksen suorittamisessa verrataan standardia, todellista tilannetta. Opiskelija tutkii muissa yrityksissä sovellettavia normeja, standardeja, määräyksiä ja käytäntöjä. Tilintarkastusta suorittaessaan yrittäjä saa kuvan siitä, miten hänen yrityksensä eroaa normaalisti menestyvästä yrityksestä samankaltaisella alueella.

Yleinen näkymä

Tietotekniikka on nykymaailmassa erittäin kehittynyttä. On vaikea kuvitella yritystä, jolla ei ole palveluksessa olevia tietojärjestelmiä:

  • maailmanlaajuinen;
  • paikallinen.

IP: n kautta yritys voi toimia normaalisti ja pysyä ajan mukana. Tällaiset menetelmät ovat välttämättömiä nopeaan ja täydelliseen tiedonvaihtoon ympäristön kanssa, mikä antaa yritykselle mahdollisuuden mukautua muutoksiin infrastruktuurin ja markkinoiden vaatimuksissa. Tietojärjestelmien on täytettävä joukko vaatimuksia, jotka muuttuvat ajan myötä (uusi kehitys, standardit otetaan käyttöön, päivitettyjä algoritmeja käytetään). Joka tapauksessa tietotekniikan avulla voit käyttää resursseja nopeasti, ja tämä ongelma ratkaistaan ​​IP: n kautta. Lisäksi modernit järjestelmät:

  • skaalautuva;
  • joustava;
  • luotettavia;
  • turvallisia.

Tietojärjestelmien tarkastuksen päätehtävänä on tunnistaa, täyttääkö toteutettu IP määritellyt parametrit.

tietojärjestelmien tarkastus

Auditointi: tyypit

Hyvin usein käytetään tietojärjestelmän ns. Prosessitarkastuksia. Esimerkki: Ulkopuoliset asiantuntijat analysoivat toteutettuja järjestelmiä erojen suhteen standardeista, mukaan lukien tutkitaan tuotantoprosessia, jonka tulos on ohjelmisto.

Auditointi voidaan suorittaa sen selvittämiseksi, kuinka tietojärjestelmää käytetään oikein työssä. Yrityksen käytäntöä verrataan valmistajan standardeihin ja tunnettuihin esimerkkeihin kansainvälisistä yrityksistä.

Yrityksen tietoturvajärjestelmän tarkastus vaikuttaa organisaation rakenteeseen. Tällaisen tapahtuman tarkoituksena on löytää ohuita kohtia IT-osaston henkilöstöstä ja tunnistaa ongelmat sekä laatia suosituksia niiden ratkaisemiseksi.

Lopuksi tietoturvajärjestelmän auditoinnilla pyritään laadunvalvontaan. Sitten kutsutut asiantuntijat arvioivat prosessien tilaa yrityksessä, testaavat toteutettua tietojärjestelmää ja tekevät johtopäätöksiä saadusta tiedosta. Tyypillisesti käytetään TMMI-mallia.

Tarkastuksen tavoitteet

Tietojärjestelmien tilan strateginen tarkastus antaa sinun tunnistaa toteutetun IP-järjestelmän heikkoudet ja tunnistaa, missä tekniikan käyttö on ollut tehotonta. Tällaisen prosessin tuloksena asiakkaalla on suosituksia puutteiden poistamiseksi.

Auditoinnin avulla voit arvioida, kuinka kallista on muuttaa nykyiseen rakenteeseen ja kuinka kauan se vie. Yrityksen nykyistä tietorakennetta opiskelevat asiantuntijat auttavat sinua valitsemaan työkalut parannusohjelman toteuttamiseksi ottaen huomioon yrityksen ominaispiirteet. Tulosten perusteella voit myös antaa tarkan arvion siitä, kuinka paljon resursseja yritys tarvitsee.Niitä analysoidaan henkinen, rahallinen, tuotanto.

toimenpide

Tietojärjestelmien sisäinen tarkastus sisältää muun muassa seuraavien toimien toteuttamisen:

  • IT-luettelo;
  • tietorakenteiden kuormituksen tunnistaminen;
  • arviointi tilastoista, kartoituksen aikana saaduista tiedoista;
  • määritetään, ovatko liiketoiminnan vaatimukset ja toteutetun IP: n ominaisuudet yhdenmukaiset;
  • raportin luominen;
  • suositusten kehittäminen;
  • NSI-rahaston virallistaminen.

Tarkastustulos

Tietojärjestelmien tilan strateginen tarkastus on menettely, jonka avulla: voidaan tunnistaa syyt toteutetun tietojärjestelmän tehottomuuteen; ennustaa IP: n käyttäytymistä tietovirtoja säätäessä (käyttäjien lukumäärä, tietomäärä); tarjota tietoisia ratkaisuja, jotka auttavat lisäämään tuottavuutta (laitteiden hankinta, toteutetun järjestelmän parantaminen, korvaaminen); antaa suosituksia yritysosastojen tuottavuuden parantamiseksi, investointien optimoimiseksi tekniikkaan. Ja kehittää myös toimenpiteitä, jotka parantavat tietojärjestelmien palvelutasoa.

Tämä on tärkeää!

Ei ole sellaista universaalia IP: tä, joka sopisi mille tahansa yritykselle. On olemassa kaksi yhteistä perustaa, joiden perusteella voit luoda ainutlaatuisen järjestelmän tietyn yrityksen vaatimuksia varten:

  • 1C.
  • Oraakkeli.

Mutta muista, että tämä on vain perusta, ei enää. Kaikki parannukset liiketoiminnan tehostamiseksi on ohjelmoitava ottaen huomioon yritys. Varmasti joudut syöttämään aiemmin puuttuvat toiminnot ja poistamaan käytöstä peruskokoonpanon tarjoamat toiminnot. Nykyaikainen tekniikka pankkitietojärjestelmien tarkastamiseen auttaa ymmärtämään tarkalleen, mitkä ominaisuudet IP: llä pitäisi olla ja mitkä on poissuljettava, jotta yritysjärjestelmä olisi optimaalinen, tehokas, mutta ei liian "raskas".

tietojärjestelmien tilan strateginen tarkastus

Tietoturvatarkastus

Tietoturvallisuusuhkien tunnistamiseen tarkoitettu analyysi voi olla kahta tyyppiä:

  • ulkonäkö;
  • sisäinen.

Ensimmäiseen sisältyy kertaluonteinen menettely. Organisaationa on yhtiön päällikkö. On suositeltavaa harjoittaa säännöllisesti tällaista toimenpidettä tilanteen pitämiseksi hallinnassa. Useat osakeyhtiöt ja finanssijärjestöt ovat ottaneet käyttöön vaatimuksen tietoturvan ulkoisen tarkastuksen toteuttamisesta.

Sisäinen - nämä ovat säännöllisesti suoritettavia toimia, joista säädetään paikallisessa säädöksessä ”Sisäisen tarkastuksen asetus”. Kokoukselle laaditaan vuosisuunnitelma (sen laatii tarkastuksesta vastaava osasto), toimitusjohtaja toteaa toisen johtajan. IT-auditointi - useita tapahtumakategorioita, turvallisuustarkastus ei ole viimeisen tärkeä.

tavoitteet

Tietojärjestelmien auditoinnin päätavoite turvallisuuden kannalta on tunnistaa tietoturvauhkiin liittyvät IP-riskit. Lisäksi tapahtumat auttavat tunnistamaan:

  • nykyisen järjestelmän heikkoudet;
  • järjestelmän yhdenmukaisuus tietoturvastandardien kanssa;
  • tietoturvataso nykyisenä ajankohtana.

Turvallisuustarkastusta suoritettaessa muotoillaan suosituksia, jotka parantavat nykyisiä ratkaisuja ja tuovat käyttöön uusia, mikä tekee nykyisestä IP: stä turvallisemman ja suojassa useilta uhkilta.

turvallisuusuhat

Jos sisäinen tarkastus suoritetaan tietoturvalle aiheutuvien uhkien tunnistamiseksi, sitä pidetään lisäksi:

  • turvallisuuspolitiikka, kyky kehittää uusia sekä muita asiakirjoja, jotka suojaavat tietoja ja yksinkertaistavat niiden soveltamista yrityksen tuotantoprosessissa;
  • tietotekniikan osaston työntekijöiden turvallisuustehtävien muodostaminen;
  • rikkomustilanteiden analysointi;
  • koulutetaan yritysjärjestelmän käyttäjiä, huoltohenkilöstöä turvallisuuden yleisistä näkökohdista.

Sisäinen tarkastus: Ominaisuudet

Luettelossa luetellut tehtävät, jotka asetetaan työntekijöille tietojärjestelmien sisäisen tarkastuksen suorittamisessa, eivät pohjimmiltaan ole tarkastuksia. Tapahtumien johtaminen teoreettisesti vain asiantuntijana arvioi mekanismeja, joilla järjestelmä on turvallinen. Tehtävään osallistuvasta henkilöstä tulee aktiivinen osallistuja prosessissa ja hän menettää itsenäisyyden, ei voi enää objektiivisesti arvioida tilannetta ja hallita sitä.

Toisaalta käytännössä sisäisessä tarkastuksessa on melkein mahdotonta pysyä poissa. Tosiasia on, että työn suorittamiseen osallistuu yrityksen asiantuntija, joka toisinaan osallistuu muihin vastaavan alan tehtäviin. Tämä tarkoittaa, että tilintarkastaja on sama työntekijä, jolla on pätevyys ratkaista edellä mainitut tehtävät. Siksi sinun on tehtävä kompromisseja: objektiivisuuden vahingoittamiseksi ota työntekijä mukaan käytännössä arvokkaan tuloksen saamiseksi.

Turvallisuustarkastus: Vaiheet

Nämä ovat monella tapaa samanlaisia ​​kuin yleisen IT-auditoinnin vaiheet. erottaa:

  • tapahtumien alku;
  • kerätään perusta analyyseille;
  • analyysi;
  • päätelmien muodostuminen;
  • lausuntoja.

Menettelyn aloittaminen

Tietojärjestelmien tarkastus turvallisuuden suhteen alkaa, kun yrityksen päällikkö antaa suostumuksen, koska pomot ovat ihmisiä, jotka ovat kiinnostuneimpia yrityksen tehokkaasta todentamisesta. Tarkastus ei ole mahdollista, jos johto ei tue menettelyä.

Tietojärjestelmien tarkastus on yleensä monimutkaista. Siihen osallistuu tilintarkastaja ja useita henkilöitä, jotka edustavat yrityksen eri osastoja. Kaikkien tarkastamiseen osallistujien yhteistyö on tärkeää. Tarkastusta aloitettaessa on tärkeää kiinnittää huomiota seuraaviin seikkoihin:

  • tilintarkastajan velvollisuuksien ja oikeuksien dokumentointi;
  • tarkastussuunnitelman laatiminen ja hyväksyminen;
  • dokumentoidaan tosiasia, että työntekijöiden on tarjottava kaikkensa mahdollista apua tilintarkastajalle ja toimitettava kaikki hänen vaatimat tiedot.

Jo tilintarkastuksen aloittamisen yhteydessä on tärkeää määrittää, missä määrin tietojärjestelmiä auditoidaan. Vaikka jotkut IP-alajärjestelmät ovat kriittisiä ja vaativat erityistä huomiota, toiset eivät ole ja ovat melko merkityksettömiä, joten niiden poissulkeminen on sallittua. Varmasti on sellaisia ​​osajärjestelmiä, joiden tarkistaminen on mahdotonta, koska kaikki niihin tallennetut tiedot ovat luottamuksellisia.

Suunnitelma ja rajat

Ennen työn aloittamista muodostetaan luettelo resursseista, jotka on tarkoitus tarkistaa. Se voi olla:

  • tietoja;
  • ohjelmistot;
  • tekninen.

Ne tunnistavat, millä sivustoilla tarkastus suoritetaan, millä uhkilla järjestelmä tarkistetaan. Tapahtumassa on organisaation rajat, turvallisuusnäkökohdat, jotka on pakollista ottaa huomioon tarkastuksen aikana. Suoritetaan prioriteettiluokitus, joka osoittaa tarkastuksen laajuuden. Tällaiset rajat samoin kuin toimintasuunnitelman hyväksyy pääjohtaja, mutta ne esitetään alustavasti yhtiökokouksen aiheena, jossa läsnä ovat osastonpäälliköt, tilintarkastaja ja yritysjohtajat.

Tietojen haku

Turvatarkastusta suoritettaessa tietojärjestelmien tarkastamisstandardit ovat sellaiset, että tiedonkeruun vaihe on pisin ja työläin. IP: llä ei yleensä ole sitä koskevia asiakirjoja, ja tilintarkastaja pakotetaan työskentelemään tiiviissä yhteistyössä useiden kollegoiden kanssa.

Jotta tehdyt johtopäätökset olisivat päteviä, tilintarkastajan tulisi saada mahdollisimman paljon tietoja. Tilintarkastaja tietää organisaation, hallinnollisen, teknisen dokumentoinnin perusteella, kuinka tietojärjestelmä on järjestetty, miten se toimii ja missä tilassa se on, itsenäisen tutkimuksen ja erikoistuneiden ohjelmistojen soveltamisen aikana.

Tilintarkastajan työssä vaadittavat asiakirjat:

  • IP: tä palvelevien osastojen organisaatiorakenne;
  • kaikkien käyttäjien organisaatiorakenne.

Tilintarkastaja haastattelee työntekijöitä tunnistaakseen:

  • tarjoaja;
  • tietojen omistaja;
  • käyttäjätiedot.

tietojärjestelmien auditoinnin tarkoitus

Tätä varten sinun on tiedettävä:

  • IP-sovellusten päätyypit;
  • käyttäjien lukumäärä, tyypit;
  • käyttäjille tarjotut palvelut.

Jos yrityksellä on IP-asiakirjoja alla olevasta luettelosta, on tarpeen toimittaa ne tilintarkastajalle:

  • kuvaus teknisistä menetelmistä;
  • Kuvaus toimintojen automatisointimenetelmistä;
  • toiminnalliset kaaviot;
  • työskentely-, suunnitteludokumentit.

IP-rakenteen tunnistaminen

Oikeiden päätelmien tekemiseksi tilintarkastajan tulee olla täysin ymmärretty yrityksessä käyttöön otetun tietojärjestelmän ominaisuuksista. Sinun on tiedettävä, mitkä ovat suojausmekanismit, kuinka ne on jaettu järjestelmässä tasoittain. Voit tehdä tämän selvittämällä:

  • käytetyn järjestelmän komponenttien esiintyminen ja ominaisuudet;
  • komponenttitoiminnot;
  • graafinen laatu;
  • tuloa;
  • vuorovaikutus erilaisten esineiden (ulkoisten, sisäisten) ja protokollien, kanavien kanssa tähän;
  • järjestelmään sovelletut alustat.

Edut tuovat järjestelmiä:

  • rakenteellisia;
  • tietovirrat.

rakenteet:

  • tekniset välineet;
  • ohjelmistot;
  • tieto tuki;
  • rakenneosat.

Käytännössä monet asiakirjoista valmistellaan suoraan tarkastuksen aikana. Tietoja voidaan analysoida vain kerättäessä enimmäismäärä tietoa.

IP-suojauksen auditointi: analyysi

Saatujen tietojen analysointiin käytetään useita tekniikoita. Valinta tietyn valitsemiseksi perustuu tilintarkastajan henkilökohtaisiin mieltymyksiin ja tietyn tehtävän erityispiirteisiin.

tietojärjestelmien tarkastusstandardit

Monimutkaisimpaan lähestymistapaan sisältyy riskien analysointi. Tietojärjestelmälle muodostetaan turvallisuusvaatimukset. Ne perustuvat tietyn järjestelmän ja sen ympäristön ominaisuuksiin sekä ympäristölle ominaisiin uhkiin. Analyytikot ovat yhtä mieltä siitä, että tämä lähestymistapa vaatii suurimmat työvoimakustannukset ja tilintarkastajan maksimaalisen pätevyyden. Kuinka hyvä tulos on, määritetään menetelmällä tietojen analysoimiseksi ja valittujen vaihtoehtojen soveltuvuudeksi IP-tyyppiin.

Käytännöllisempi vaihtoehto on turvautua tietojen turvallisuusstandardeihin. Nämä ovat joukko vaatimuksia. Tämä soveltuu erilaisiin IP: iin, koska metodologia on kehitetty eri maiden suurimpien yritysten pohjalta.

Standardien perusteella seuraa, mitkä ovat turvallisuusvaatimukset, järjestelmän suojaustasosta ja sen kuulumisesta tiettyyn instituutioon riippuen. Paljon riippuu IP: n tarkoituksesta. Tilintarkastajan päätehtävänä on määrittää oikein, mitkä turvallisuusvaatimukset ovat merkityksellisiä tietyssä tapauksessa. Valitse tekniikka, jolla he arvioivat, ovatko nykyiset järjestelmäparametrit standardien mukaisia. Teknologia on melko yksinkertainen, luotettava ja siksi laajalle levinnyt. Pienillä investoinneilla tulos voi olla tarkkoja johtopäätöksiä.

Huomiotta jättäminen on mahdotonta!

Käytäntö osoittaa, että monet johtajat, etenkin pienyritykset, samoin kuin sellaiset, joiden yritykset ovat jo pitkään toimineet ja eivät halua hallita kaikkia uusimpia tekniikoita, ovat melko varovaisia ​​tietojärjestelmien tarkastuksessa, koska he eivät vain ymmärrä tämän toimenpiteen merkitystä. Yleensä vain yritykselle aiheutuvat vahingot provosoivat viranomaisia ​​ryhtymään toimenpiteisiin todentaakseen, tunnistamaan riskit ja suojaamaan yritystä. Toiset joutuvat varastamaan asiakastietoja, toiset vuotavat vastapuolien tietokannoista tai jättävät tietoja tietyn yksikön tärkeimmistä eduista. Kuluttajat eivät enää luota yritykseen heti, kun tapaus julkistetaan, ja yritykselle aiheutuu enemmän vahinkoa kuin pelkästään tietojen menetyksiä.

tietotekniikka

Jos tietovuoto on mahdollista, on mahdotonta rakentaa tehokasta yritystä, jolla on hyvät mahdollisuudet nyt ja tulevaisuudessa. Kaikilla yrityksillä on arvokkaita tietoja kolmansille osapuolille, ja ne on suojattava. Jotta suoja olisi korkeimmalla tasolla, tarvitaan tarkastus heikkouksien tunnistamiseksi. Sen on otettava huomioon kansainväliset standardit, menetelmät ja viimeisin kehitys.

Tarkastuksessa:

  • arvioida suojan tasoa;
  • analysoida sovellettua tekniikkaa;
  • säädä turva-asiakirjat;
  • simuloida riskitilanteita, joissa tietojen vuotaminen on mahdollista;
  • suosittele ratkaisujen toteuttamista haavoittuvuuksien poistamiseksi.

Suorita nämä tapahtumat yhdellä kolmella tavalla:

  • aktiivinen;
  • asiantuntija;
  • paljastaa standardien noudattamisen.

Tarkastuslomakkeet

Aktiiviseen tarkastukseen sisältyy sen järjestelmän arviointi, jota potentiaalinen hakkeri etsii. Hänen mielestään auditorit "kokeilevat" itseään - opiskelevat verkkosuojausta, jota varten he käyttävät erikoistuneita ohjelmistoja ja ainutlaatuisia tekniikoita. Tarvitaan myös sisäinen tarkastus, joka tehdään myös väitetyn rikoksentekijän kannalta, joka haluaa varastaa tietoja tai häiritä järjestelmää.

tekniikka pankkitietojärjestelmien tarkastamiseen

Asiantuntijakontrolli tarkistaa onko toteutettu järjestelmä ihanteellinen. Kun tunnistetaan standardien noudattaminen, perustana on abstrakti kuvaus standardeista, joiden kanssa olemassa olevaa kohdetta verrataan.

johtopäätös

Oikein ja laadullisesti suoritettu tarkastus antaa sinulle seuraavat tulokset:

  • minimoidaan onnistuneen hakkerihyökkäyksen todennäköisyys ja siitä aiheutuvat vahingot;
  • lukuun ottamatta hyökkäystä, joka perustuu järjestelmän arkkitehtuurin ja tietovirtojen muutokseen;
  • vakuutus keinona vähentää riskejä;
  • riskin minimointi tasolle, jossa voidaan jättää täysin huomiotta.


Lisää kommentti
×
×
Haluatko varmasti poistaa kommentin?
poistaa
×
Valituksen syy

Tyttö yritti olla käyttämättä rahaa kuukauden ajan. Kokeilu jätti hänen sekalaiset tunteensa

liiketoiminta

Menestystarinoita

laitteet