Antraštės
...

Informacinių sistemų auditas. Grėsmės informacijos saugumui. Informacinės technologijos

Informacinių sistemų auditas pateikia svarbius ir tikslius duomenis apie tai, kaip veikia IP. Remiantis gautais duomenimis, galima planuoti veiklą, siekiant pagerinti įmonės efektyvumą. Informacinės sistemos audito atlikimo praktika yra lyginant standartą, tikrąją situaciją. Jie studijuoja kitose įmonėse taikomas normas, standartus, reglamentus ir praktiką. Vykdydamas auditą verslininkas gauna idėją, kuo jo įmonė skiriasi nuo įprastos sėkmingos įmonės panašioje srityje.

Bendras vaizdas

Informacinės technologijos šiuolaikiniame pasaulyje yra nepaprastai išvystytos. Sunku įsivaizduoti įmonę, kurioje neveikia informacinės sistemos:

  • globalus
  • vietiniai.

Būtent per IP įmonė gali normaliai veikti ir neatsilikti nuo laiko. Tokios metodikos yra reikalingos greitam ir visapusiškam keitimuisi informacija su aplinka, o tai leidžia įmonei prisitaikyti prie pokyčių infrastruktūroje ir rinkos reikalavimų. Informacinės sistemos turi atitikti daugelį reikalavimų, kurie keičiasi laikui bėgant (diegiami nauji pokyčiai, standartai, taikomi atnaujinti algoritmai). Bet kokiu atveju, informacinės technologijos leidžia greitai pasiekti prieigą prie išteklių, o ši problema išspręsta naudojant IP. Be to, modernios sistemos:

  • mastelio
  • lankstus;
  • patikimas;
  • saugu.

Pagrindinės informacinių sistemų audito užduotys yra nustatyti, ar įgyvendintas IP atitinka nurodytus parametrus.

informacinių sistemų auditas

Auditas: tipai

Labai dažnai naudojamas vadinamasis informacinės sistemos proceso auditas. Pavyzdys: išorės ekspertai išanalizuoja įdiegtas sistemas, siekdami skirtumų nuo standartų, įskaitant gamybos proceso, kurio išvestis yra programinė įranga, tyrimą.

Gali būti atliekamas auditas, kurio tikslas - išsiaiškinti, kaip darbe informacinė sistema naudojama tinkamai. Įmonės praktika lyginama su gamintojo standartais ir žinomais tarptautinių korporacijų pavyzdžiais.

Įmonės informacijos apsaugos sistemos auditas turi įtakos organizacijos struktūrai. Tokio renginio tikslas yra surasti IT skyriaus darbuotojus ir pastebėti problemas bei suformuluoti jų sprendimo rekomendacijas.

Galiausiai, informacijos saugumo sistemos auditu siekiama kokybės kontrolės. Tada pakviesti ekspertai įvertina procesų būklę įmonėje, išbando įdiegtą informacinę sistemą ir padaro keletą išvadų dėl gautos informacijos. Paprastai naudojamas TMMI modelis.

Audito tikslai

Strateginis informacinių sistemų būklės auditas leidžia nustatyti įgyvendinto intelektinės nuosavybės silpnybes ir nustatyti, kur technologijos buvo neveiksmingos. Tokio proceso metu klientas turės rekomendacijų, kaip pašalinti trūkumus.

Auditas leidžia įvertinti, kiek brangiai kainuos dabartinės struktūros pakeitimai ir kiek laiko tai užtruks. Specialistai, tiriantys esamą įmonės informacijos struktūrą, padės pasirinkti įrankius tobulinimo programai įgyvendinti, atsižvelgiant į įmonės ypatybes. Remdamiesi rezultatais, taip pat galite tiksliai įvertinti, kiek išteklių reikia įmonei.Jie bus analizuojami intelekto, pinigų, gamybos.

Renginiai

Informacijos sistemų vidaus auditas apima tokios veiklos įgyvendinimą kaip:

  • IT inventorius;
  • informacijos struktūrų apkrovos identifikavimas;
  • statistikos, inventorizacijos metu gautų duomenų įvertinimas;
  • Verslo reikalavimų ir įgyvendinto IP galimybių nustatymas
  • ataskaitų generavimas;
  • rekomendacijų rengimas;
  • NSI fondo įforminimas.

Audito rezultatas

Informacinių sistemų būklės strateginis auditas yra procedūra, kuri: leidžia nustatyti įgytos informacinės sistemos neveiksmingumo priežastis; numatyti IP elgesį koreguojant informacijos srautus (vartotojų skaičius, duomenų apimtis); pateikti pagrįstus sprendimus, kurie padėtų padidinti produktyvumą (įrangos įsigijimas, įdiegtos sistemos tobulinimas, keitimas); duoti rekomendacijas, kurių tikslas - pagerinti įmonės padalinių produktyvumą, optimizuoti investicijas į technologijas. Taip pat sukurti priemones, gerinančias informacinių sistemų aptarnavimo kokybę.

Tai svarbu!

Nėra tokio universalaus IP, kuris tiktų bet kuriai įmonei. Yra du bendrieji pagrindai, kuriais remdamiesi galite sukurti unikalią konkrečios įmonės reikalavimų sistemą:

  • 1C.
  • Orakulas

Bet atsiminkite, kad tai tik pagrindas, ne daugiau. Visus patobulinimus, kad verslas būtų efektyvus, reikia programuoti, atsižvelgiant į konkrečios įmonės ypatybes. Tikrai turėsite įvesti anksčiau trūkstamas funkcijas ir išjungti tas, kurias numato pagrindinis mazgas. Šiuolaikinės bankininkystės informacinių sistemų audito technologijos padeda tiksliai suprasti, kokias savybes turi turėti intelektualinis turtas ir ko reikia atsisakyti, kad įmonės sistema būtų optimali, efektyvi, bet ne per „sunki“.

informacinių sistemų būklės strateginis auditas

Informacijos saugumo auditas

Informacijos saugumui kylančių grėsmių analizė gali būti dviejų tipų:

  • išorinis;
  • vidinis.

Pirmasis apima vienkartinę procedūrą. Organizuoja jos vadovas. Norint išlaikyti situacijos kontrolę, rekomenduojama reguliariai mankštintis tokia priemone. Daugybė akcinių bendrovių ir finansų organizacijų nustatė reikalavimą atlikti IT saugumo išorės auditą.

Vidaus - tai reguliariai vykdoma veikla, kurią reglamentuoja vietinis norminis aktas „Vidaus audito reglamentas“. Susitikimo metu sudaromas metinis planas (jį rengia už auditą atsakingas skyrius), - sako generalinis direktorius, kitas vadovas. IT auditas - kelios įvykių kategorijos, saugumo auditas nėra paskutinis.

Tikslai

Pagrindinis informacinių sistemų audito tikslas saugumo srityje yra nustatyti su IP susijusią riziką, susijusią su saugumo grėsmėmis. Be to, įvykiai padeda nustatyti:

  • dabartinės sistemos trūkumai;
  • sistemos atitikimas informacijos saugumo standartams;
  • saugumo lygis šiuo metu.

Atliekant saugumo auditą, bus suformuluotos rekomendacijos, kurios patobulins dabartinius sprendimus ir įves naujus, padarydamos esamą IP saugesnį ir apsaugotą nuo įvairių grėsmių.

grėsmės saugumui

Jei vidinis auditas atliekamas siekiant nustatyti grėsmes informacijos saugumui, tai papildomai svarstoma:

  • saugumo politika, galimybė kurti naujus, taip pat kitus dokumentus, kurie apsaugo duomenis ir supaprastina jų pritaikymą korporacijos gamybos procese;
  • IT skyriaus darbuotojų saugos užduočių formavimas;
  • pažeidimų situacijų analizė;
  • mokyti įmonės sistemos vartotojus, techninės priežiūros personalą bendrais saugumo aspektais.

Vidaus auditas: savybės

Išvardytos užduotys, kurios yra keliamos darbuotojams atliekant informacinių sistemų vidaus auditą, iš esmės nėra auditas. Teoriškai renginių vedimas tik kaip ekspertas įvertina mechanizmus, kuriais sistema yra saugi. Užduotyje dalyvaujantis asmuo tampa aktyviu proceso dalyviu ir praranda savarankiškumą, nebegali objektyviai įvertinti situacijos ir jos kontroliuoti.

Kita vertus, praktiškai atliekant vidaus auditą beveik neįmanoma atsiriboti. Faktas yra tas, kad atlikti darbą yra įtrauktas įmonės specialistas, kuris kitu metu užsiima kitomis užduotimis panašioje srityje. Tai reiškia, kad auditorius yra tas pats darbuotojas, turintis kompetenciją spręsti aukščiau paminėtas užduotis. Todėl jūs turite daryti kompromisą: pakenkdami objektyvumui, įtraukite darbuotoją į praktiką, kad gautumėte vertą rezultatą.

Apsaugos auditas: žingsniai

Tai daugeliu atžvilgių panašūs į bendro IT audito veiksmus. Paskirstyti:

  • renginių pradžia;
  • duomenų bazės rinkimas;
  • analizė;
  • išvadų formavimas;
  • ataskaitų teikimas.

Procedūros inicijavimas

Informacinių sistemų auditas, susijęs su saugumu, prasideda tada, kai įmonės vadovas duoda nurodymą, nes viršininkai yra tie žmonės, kuriuos labiausiai domina efektyvus įmonės auditas. Auditas neįmanomas, jei vadovybė nepalaiko šios procedūros.

Informacinių sistemų auditas paprastai yra sudėtingas. Jame dalyvauja auditorius ir keli asmenys, atstovaujantys skirtingiems įmonės padaliniams. Svarbus visų audito dalyvių bendradarbiavimas. Inicijuodami auditą svarbu atkreipti dėmesį į šiuos dalykus:

  • dokumentuoti auditoriaus pareigas ir teises;
  • audito plano parengimas, tvirtinimas;
  • dokumentuojantį faktą, kad darbuotojai privalo teikti auditoriui visą įmanomą pagalbą ir pateikti visus jo prašomus duomenis.

Jau pradedant auditą svarbu nustatyti, kokiu mastu atliekamas informacinių sistemų auditas. Kai kurie IP posistemiai yra kritiški ir reikalauja ypatingo dėmesio, kiti nėra ir yra gana nesvarbūs, todėl juos išskirti leidžiama. Tikrai bus tokių posistemių, kurių patikrinti bus neįmanoma, nes visa ten saugoma informacija yra konfidenciali.

Planas ir sienos

Prieš pradedant darbą, sudaromas išteklių sąrašas, kurį reikia patikrinti. Tai gali būti:

  • informacinis;
  • programinė įranga;
  • techninis.

Jie nustato, kuriose vietose atliekamas auditas, kuriose grėsmėse sistema yra tikrinama. Egzistuoja organizacinės renginio ribos, saugumo aspektai, į kuriuos privaloma atsižvelgti audito metu. Sudaromas prioriteto reitingas, nurodantis audito apimtį. Tokias ribas, taip pat ir veiksmų planą, tvirtina generalinis direktorius, tačiau jas preliminariai pateikia visuotinio darbo susirinkimo tema, kurioje dalyvauja skyrių vadovai, auditorius ir įmonės vadovai.

Duomenų gavimas

Atliekant saugumo auditą, informacinių sistemų audito standartai yra tokie, kad informacijos rinkimo etapas yra ilgiausias ir sunkiausias. Paprastai IP neturi tam reikalingų dokumentų, o auditorius yra priverstas glaudžiai bendradarbiauti su daugybe kolegų.

Kad išvados būtų kompetentingos, auditorius turėtų gauti kuo daugiau duomenų. Atlikdamas savarankiškus tyrimus ir taikydamas specializuotą programinę įrangą, auditorius sužino, kaip informacinė sistema sutvarkyta, kaip ji veikia ir kokia jos būklė.

Revizoriaus darbe reikalingi dokumentai:

  • IP aptarnaujančių padalinių organizacinė struktūra;
  • visų vartotojų organizacinė struktūra.

Auditorius apklausia darbuotojus, nustatydamas:

  • Teikėjas
  • duomenų savininkas;
  • vartotojo duomenys.

informacinių sistemų audito tikslas

Norėdami tai padaryti, turite žinoti:

  • pagrindiniai IP programų tipai;
  • vartotojų skaičius, tipai;
  • vartotojams teikiamos paslaugos.

Jei įmonė turi IP dokumentus iš toliau pateikto sąrašo, būtina juos pateikti auditoriui:

  • techninių metodikų aprašymas;
  • Funkcijų automatizavimo metodų aprašymas;
  • funkcinės schemos;
  • darbo, projekto dokumentai.

IP struktūros identifikavimas

Norėdami padaryti teisingas išvadas, auditorius turėtų kuo geriau suprasti įmonėje įdiegtos informacinės sistemos ypatybes. Jūs turite žinoti, kas yra apsaugos mechanizmai, kaip jie paskirstomi sistemoje pagal lygius. Norėdami tai padaryti, sužinokite:

  • naudojamos sistemos komponentų buvimas ir ypatybės;
  • komponentų funkcijos;
  • grafika;
  • įėjimai
  • sąveika su įvairiais objektais (išoriniais, vidiniais) ir protokolais, kanalais tam;
  • sistemai pritaikytos platformos.

Nauda atneš schemas:

  • struktūrinis;
  • duomenų srautus.

Konstrukcijos:

  • techninės priemonės;
  • Programinė įranga
  • informacijos palaikymas;
  • struktūriniai komponentai.

Praktiškai daugelis dokumentų yra paruošiami tiesiogiai audito metu. Informacija gali būti analizuojama tik renkant maksimalų informacijos kiekį.

IP saugumo auditas: analizė

Gautiems duomenims analizuoti naudojami keli būdai. Konkretaus pasirinkimo pasirinkimas grindžiamas auditoriaus asmeninėmis nuostatomis ir konkrečios užduoties specifika.

informacinių sistemų audito standartai

Sudėtingiausias metodas apima rizikos analizę. Informacinei sistemai suformuojami saugumo reikalavimai. Jie grindžiami tam tikros sistemos ir jos aplinkos ypatybėmis, taip pat šios aplinkos būdingomis grėsmėmis. Analitikai sutinka, kad toks požiūris reikalauja didžiausių darbo sąnaudų ir maksimalios auditoriaus kvalifikacijos. Ar geras bus rezultatas, lemia informacijos analizės metodika ir pasirinktų variantų pritaikomumas IP tipui.

Praktiškesnis pasirinkimas yra duomenų saugumo standartų taikymas. Tai yra reikalavimų rinkinys. Tai tinka įvairiems IP, nes metodika yra sukurta remiantis didžiausiomis įmonėmis iš skirtingų šalių.

Iš standartų išplaukia, kokie yra saugumo reikalavimai, atsižvelgiant į sistemos apsaugos lygį ir jos priklausymą tam tikrai institucijai. Daug kas priklauso nuo intelektinės nuosavybės tikslo. Pagrindinis auditoriaus uždavinys yra teisingai nustatyti, kurie saugumo reikalavimai yra svarbūs konkrečiu atveju. Pasirinkite metodą, pagal kurį jie įvertina, ar esami sistemos parametrai atitinka standartus. Technologija yra gana paprasta, patikima ir todėl plačiai paplitusi. Dėl nedidelių investicijų rezultatas gali būti tikslus.

Nepaisymas yra nepriimtinas!

Praktika rodo, kad daugelis vadovų, ypač mažų firmų, taip pat tie, kurių įmonės ilgą laiką dirba ir nesiekia įsisavinti visų naujausių technologijų, gana neatsargiai vertina informacinių sistemų auditą, nes tiesiog nesuvokia šios priemonės svarbos. Paprastai tik žala verslui išprovokuoja valdžios institucijas patvirtinti, nustatyti riziką ir apsaugoti įmonę. Kiti susiduria su tuo, kad vagia informaciją apie klientus, kiti nutekina iš sandorio šalių duomenų bazių arba palieka informaciją apie pagrindinius tam tikro subjekto pranašumus. Kai tik paviešinamas atvejis, vartotojai nebepasitiki įmone ir įmonė patiria daugiau žalos, o ne tik praranda duomenis.

informacinės technologijos

Jei yra informacijos nutekėjimo tikimybė, neįmanoma sukurti veiksmingo verslo, turinčio gerų galimybių dabar ir ateityje. Bet kuri įmonė turi duomenų, kurie yra vertingi trečiosioms šalims, ir jie turi būti apsaugoti. Norint, kad apsauga būtų aukščiausio lygio, reikalingas auditas, siekiant nustatyti trūkumus. Turi būti atsižvelgiama į tarptautinius standartus, metodikas, naujausius pokyčius.

Audito metu:

  • įvertinti apsaugos lygį;
  • analizuoti taikomas technologijas;
  • pakoreguoti saugos dokumentus;
  • imituoti rizikos situacijas, kai galimas duomenų nutekėjimas;
  • rekomenduoti diegti pažeidžiamumų šalinimo sprendimus.

Vykdykite šiuos renginius vienu iš trijų būdų:

  • aktyvus;
  • ekspertas;
  • atskleisti atitiktį standartams.

Audito formos

Aktyvus auditas apima sistemos, į kurią žvelgia potencialus įsilaužėlis, vertinimą. Jo nuomone, auditoriai „išbando“ save - jie tiria tinklo apsaugą, kuriai jie naudoja specializuotą programinę įrangą ir unikalias technikas. Taip pat reikalingas vidaus auditas, taip pat atliekamas tariamo pažeidėjo, norinčio pavogti duomenis ar sugadinti sistemą, požiūriu.

bankų informacinių sistemų audito technologija

Ekspertų auditas patikrina, ar įdiegta sistema yra ideali. Nustatant atitiktį standartams, remiamasi abstrakčiu standartų, su kuriais lyginamas esamas objektas, aprašymu.

Išvada

Teisingai ir kokybiškai atliktas auditas leidžia gauti šiuos rezultatus:

  • iki minimumo sumažinant sėkmingo įsilaužėlio išpuolio tikimybę, jo žalą;
  • išpuolis, pagrįstas sistemos architektūros ir informacijos srautų pasikeitimu;
  • draudimas kaip priemonė sumažinti riziką;
  • rizikos sumažinimas iki tokio lygio, kai to galima visiškai nepaisyti.


Pridėti komentarą
×
×
Ar tikrai norite ištrinti komentarą?
Ištrinti
×
Skundo priežastis

Mergina mėnesį stengėsi neišleisti pinigų. Eksperimentas paliko jai įvairius jausmus

Verslas

Sėkmės istorijos

Įranga