Virsraksti
...

Informācijas sistēmu audits. Informācijas drošības draudi. Informācijas tehnoloģija

Informācijas sistēmu audits sniedz atbilstošus un precīzus datus par to, kā darbojas IP. Balstoties uz iegūtajiem datiem, ir iespējams plānot darbības, lai uzlabotu uzņēmuma efektivitāti. Informācijas sistēmas audita veikšanas prakse ir standarta, reālās situācijas salīdzināšana. Viņi pēta normas, standartus, noteikumus un praksi, ko piemēro citās firmās. Veicot auditu, uzņēmējs iegūst priekšstatu par to, kā viņa uzņēmums atšķiras no normāla veiksmīga uzņēmuma līdzīgā jomā.

Vispārējs skats

Informācijas tehnoloģija mūsdienu pasaulē ir ārkārtīgi attīstīta. Grūti iedomāties uzņēmumu, kurā nedarbojas informācijas sistēmas:

  • globāls;
  • vietējie.

Tieši caur IP uzņēmums var normāli darboties un sekot līdzi laikam. Šādas metodoloģijas ir nepieciešamas ātrai un pilnīgai informācijas apmaiņai ar vidi, kas uzņēmumam ļauj pielāgoties izmaiņām infrastruktūrā un tirgus prasībās. Informācijas sistēmām ir jāatbilst vairākām prasībām, kas laika gaitā mainās (tiek ieviesti jauni sasniegumi, standarti, tiek izmantoti atjaunināti algoritmi). Jebkurā gadījumā informācijas tehnoloģija ļauj ātri piekļūt resursiem, un šī problēma tiek atrisināta, izmantojot IP. Turklāt mūsdienu sistēmas:

  • mērogojams
  • elastīgs;
  • uzticams;
  • droši.

Informācijas sistēmu audita galvenie uzdevumi ir identificēt, vai ieviestais IP atbilst noteiktajiem parametriem.

informācijas sistēmu audits

Revīzija: veidi

Ļoti bieži tiek izmantota informācijas sistēmas tā saucamā procesa revīzija. Piemērs: ārējie eksperti analizē ieviestās sistēmas atšķirībām no standartiem, ieskaitot ražošanas procesa izpēti, kura izeja ir programmatūra.

Var veikt auditu, kura mērķis ir noskaidrot, cik pareizi informācijas sistēma tiek izmantota darbā. Uzņēmuma prakse tiek salīdzināta ar ražotāja standartiem un plaši pazīstamiem starptautisko korporāciju piemēriem.

Uzņēmuma informācijas drošības sistēmas audits ietekmē organizācijas struktūru. Šāda pasākuma mērķis ir atrast sīkas vietas IT nodaļas personālā un identificēt problēmas, kā arī sniegt ieteikumus to risināšanai.

Visbeidzot, informācijas drošības sistēmas audita mērķis ir kvalitātes kontrole. Tad pieaicinātie eksperti novērtē procesu stāvokli uzņēmumā, testē ieviesto informācijas sistēmu un izdara dažus secinājumus par saņemto informāciju. Parasti tiek izmantots TMMI modelis.

Revīzijas mērķi

Informācijas sistēmu stāvokļa stratēģiskais audits ļauj noteikt nepilnības ieviestajā IP un noteikt, kur tehnoloģiju izmantošana ir bijusi neefektīva. Pēc šāda procesa iznākuma klientam būs ieteikumi trūkumu novēršanai.

Revīzija ļauj novērtēt, cik dārgi būs veikt izmaiņas pašreizējā struktūrā un cik ilgs laiks būs vajadzīgs. Speciālisti, kas pēta uzņēmuma pašreizējo informācijas struktūru, palīdzēs izvēlēties rīkus uzlabošanas programmas ieviešanai, ņemot vērā uzņēmuma īpašības. Balstoties uz rezultātiem, varat arī sniegt precīzu novērtējumu par to, cik daudz resursu uzņēmumam nepieciešami.Tie tiks analizēti intelektuālā, monetārā, ražošanu.

Notikumi

Informācijas sistēmu iekšējais audits ietver tādu darbību īstenošanu kā:

  • IT inventārs;
  • informācijas struktūru slodzes identificēšana;
  • statistikas, inventarizācijas laikā iegūto datu novērtēšana;
  • noteikt, vai biznesa prasības un ieviestā IP iespējas ir saskanīgas;
  • ziņojumu ģenerēšana;
  • ieteikumu izstrāde;
  • NSI fonda formalizēšana.

Revīzijas rezultāts

Informācijas sistēmu stāvokļa stratēģiskais audits ir procedūra, kas: ļauj identificēt ieviestās informācijas sistēmas efektivitātes trūkuma iemeslus; prognozēt IP uzvedību, pielāgojot informācijas plūsmas (lietotāju skaits, datu apjoms); nodrošināt informētus risinājumus, kas palīdz palielināt produktivitāti (aprīkojuma iegāde, ieviestās sistēmas uzlabošana, nomaiņa); sniegt ieteikumus, kuru mērķis ir uzlabot uzņēmuma nodaļu produktivitāti, optimizēt ieguldījumus tehnoloģijās. Un arī izstrādāt pasākumus, kas uzlabo informācijas sistēmu apkalpošanas kvalitāti.

Tas ir svarīgi!

Nav tāda universāla IP, kas būtu piemērots jebkuram uzņēmumam. Ir divas kopīgas bāzes, uz kuru pamata jūs varat izveidot unikālu sistēmu konkrēta uzņēmuma prasībām:

  • 1C.
  • Orākuls

Bet atcerieties, ka tas ir tikai pamats, ne vairāk. Visi uzlabojumi, lai bizness būtu efektīvs, jums jāprogrammē, ņemot vērā konkrētā uzņēmuma īpašības. Protams, jums būs jāievada iepriekš trūkstošās funkcijas un jāatspējo tās, kuras nodrošina pamata montāža. Mūsdienu tehnoloģija banku informācijas sistēmu auditam palīdz precīzi saprast, kādām īpašībām vajadzētu būt IP un kuras jāizslēdz, lai korporatīvā sistēma būtu optimāla, efektīva, bet ne pārāk “smaga”.

informācijas sistēmu stāvokļa stratēģiskais audits

Informācijas drošības audits

Informācijas drošības draudu identificēšanai var būt divu veidu analīze:

  • ārējs;
  • iekšējais.

Pirmais ir saistīts ar vienreizēju procedūru. Organizē tās vadītājs. Šādu pasākumu ieteicams regulāri praktizēt, lai situāciju kontrolētu. Vairākas akciju sabiedrības un finanšu organizācijas ir ieviesušas prasību par IT drošības ārējo auditu.

Iekšējais - tās ir regulāri veiktas darbības, kuras reglamentē vietējais normatīvais akts “Iekšējā audita noteikumi”. Sanāksmei tiek sastādīts gada plāns (to sagatavo departaments, kas atbild par revīziju), saka izpilddirektors, cits vadītājs. IT audits - vairākas notikumu kategorijas, drošības audits nav pēdējais svarīgums.

Mērķi

Galvenais informācijas sistēmu audita mērķis drošības jomā ir identificēt ar IP saistītos riskus, kas saistīti ar drošības draudiem. Turklāt notikumi palīdz identificēt:

  • pašreizējās sistēmas nepilnības;
  • sistēmas atbilstība informācijas drošības standartiem;
  • drošības līmenis pašreizējā laikā.

Veicot drošības auditu, tiks formulēti ieteikumi, kas uzlabos pašreizējos risinājumus un ieviesīs jaunus, tādējādi padarot pašreizējo IP drošāku un aizsargātu no dažādiem draudiem.

drošības draudi

Ja tiek veikts iekšējais audits, lai identificētu draudus informācijas drošībai, tad to papildus apsver:

  • drošības politika, spēja izstrādāt jaunus, kā arī citus dokumentus, kas aizsargā datus un vienkāršo to pielietošanu korporācijas ražošanas procesā;
  • drošības uzdevumu veidošana IT nodaļas darbiniekiem;
  • ar pārkāpumiem saistītu situāciju analīze;
  • apmācīt korporatīvās sistēmas lietotājus, apkalpojošo personālu vispārīgos drošības aspektos.

Iekšējais audits: funkcijas

Uzskaitītie uzdevumi, kas tiek izvirzīti darbiniekiem, veicot informācijas sistēmu iekšējo auditu, būtībā nav audits. Notikumu teorētiska vadīšana tikai kā ekspertam novērtē mehānismus, ar kuru palīdzību sistēma ir droša. Uzdevumā iesaistītā persona kļūst par aktīvu procesa dalībnieku un zaudē neatkarību, vairs nevar objektīvi novērtēt situāciju un kontrolēt to.

No otras puses, praksē iekšējā auditā ir gandrīz neiespējami palikt prom. Fakts ir tāds, ka darba veikšanai tiek piesaistīts uzņēmuma speciālists, kurš citreiz nodarbojas ar citiem līdzīgas jomas uzdevumiem. Tas nozīmē, ka revidents ir tas pats darbinieks, kura kompetencē ir iepriekšminēto uzdevumu risināšana. Tāpēc jums ir jāmeklē kompromiss: kaitējot objektivitātei, iesaistiet darbinieku praksē, lai iegūtu cienīgu rezultātu.

Drošības audits: soļi

Tie daudzējādā ziņā ir līdzīgi vispārējā IT audita posmiem. Piešķirt:

  • notikumu sākums;
  • analīzes bāzes vākšana;
  • analīze;
  • secinājumu veidošana;
  • ziņošana.

Procedūras uzsākšana

Informācijas sistēmu audits drošības jomā sākas tad, kad uzņēmuma vadītājs dod priekšnoteikumu, jo priekšnieki ir tie cilvēki, kurus visvairāk interesē efektīva uzņēmuma revīzija. Revīzija nav iespējama, ja vadība neatbalsta procedūru.

Informācijas sistēmu audits parasti ir sarežģīts. Tajā ir iesaistīts revidents un vairākas personas, kas pārstāv dažādas uzņēmuma nodaļas. Svarīga ir visu audita dalībnieku sadarbība. Uzsākot auditu, ir svarīgi pievērst uzmanību šādiem punktiem:

  • dokumentēt revidenta pienākumus un tiesības;
  • audita plāna sagatavošana, apstiprināšana;
  • dokumentējot faktu, ka darbiniekiem ir pienākums sniegt visu iespējamo palīdzību revidentam un sniegt visus viņa pieprasītos datus.

Jau audita uzsākšanas laikā ir svarīgi noteikt, kādā mērā tiek veikts informācijas sistēmu audits. Kaut arī dažas IP apakšsistēmas ir kritiskas un tām nepieciešama īpaša uzmanība, citas nav un ir diezgan nesvarīgas, tāpēc to izslēgšana ir atļauta. Noteikti būs tādas apakšsistēmas, kuru pārbaude nebūs iespējama, jo visa tur glabātā informācija ir konfidenciāla.

Plāns un robežas

Pirms darba uzsākšanas tiek izveidots resursu saraksts, kas ir jāpārbauda. Tas var būt:

  • informatīvs;
  • programmatūra;
  • tehniskā.

Viņi identificē, kurās vietnēs tiek veikts audits, kādos draudos sistēma tiek pārbaudīta. Ir notikuma organizatoriskās robežas, drošības aspekti, kas obligāti jāņem vērā audita laikā. Tiek izveidots prioritātes vērtējums, kas norāda uz audita jomu. Šādas robežas, kā arī rīcības plānu apstiprina ģenerāldirektors, bet tos provizoriski iesniedz kopsapulces tēma, kurā piedalās nodaļu vadītāji, revidents un uzņēmuma vadītāji.

Datu izguve

Veicot drošības auditu, informācijas sistēmu audita standarti ir tādi, ka informācijas vākšanas posms ir visilgākais un darbietilpīgākais. Parasti IP tam nav dokumentācijas, un revidents ir spiests cieši sadarboties ar daudziem kolēģiem.

Lai izdarītie secinājumi būtu kompetenti, revidentam jāsaņem maksimālais datu apjoms. Revidents uzzina, kā informācijas sistēma tiek organizēta, kā tā darbojas un kādā stāvoklī tā ir no organizatoriskās, administratīvās, tehniskās dokumentācijas, veicot neatkarīgus pētījumus un izmantojot specializētu programmatūru.

Revidenta darbā nepieciešamie dokumenti:

  • IP apkalpojošo dienestu organizatoriskā struktūra;
  • visu lietotāju organizatoriskā struktūra.

Revidents intervē darbiniekus, identificējot:

  • Sniedzējs
  • datu īpašnieks;
  • lietotāja dati.

informācijas sistēmu audita mērķis

Lai to izdarītu, jums jāzina:

  • galvenie IP lietojumu veidi;
  • lietotāju skaits, veidi;
  • pakalpojumi, kas tiek sniegti lietotājiem.

Ja uzņēmumam ir dokumenti IP no zemāk esošā saraksta, tie ir jāsniedz revidentam:

  • tehnisko metodiku apraksts;
  • Funkciju automatizācijas metožu apraksts;
  • funkcionālās diagrammas;
  • darba, projekta dokumenti.

IP struktūras identificēšana

Lai izdarītu pareizus secinājumus, revidentam jābūt pilnīgai izpratnei par uzņēmumā ieviestās informācijas sistēmas iezīmēm. Jums jāzina, kas ir drošības mehānismi, kā tie tiek sadalīti sistēmā pa līmeņiem. Lai to izdarītu, uzziniet:

  • izmantotās sistēmas sastāvdaļu klātbūtne un īpašības;
  • komponentu funkcijas;
  • grafika;
  • ieejas
  • mijiedarbība ar dažādiem objektiem (ārējiem, iekšējiem) un protokoliem, kanāliem tam;
  • sistēmai piemērotās platformas.

Pabalsti sniegs shēmas:

  • strukturāls;
  • datu plūsmas.

Konstrukcijas:

  • tehniskās iespējas;
  • Programmatūra
  • informācijas atbalsts;
  • strukturālās sastāvdaļas.

Praksē daudzi dokumenti tiek sagatavoti tieši revīzijas laikā. Informāciju var analizēt tikai tad, ja tiek savākts maksimālais informācijas daudzums.

IP drošības audits: analīze

Iegūto datu analīzei tiek izmantotas vairākas metodes. Izvēle par labu konkrētam ir pamatota ar revidenta personīgajām vēlmēm un konkrētā uzdevuma specifiku.

informācijas sistēmu audita standarti

Sarežģītākā pieeja ietver risku analīzi. Informācijas sistēmai tiek veidotas drošības prasības. Tie ir balstīti uz konkrētas sistēmas un tās vides iezīmēm, kā arī uz draudiem, kas raksturīgi šai videi. Analītiķi ir vienisprātis, ka šī pieeja prasa vislielākās darbaspēka izmaksas un maksimālu revidenta kvalifikāciju. To, cik labs būs rezultāts, nosaka informācijas analīzes metodika un izvēlēto iespēju piemērojamība IP veidam.

Praktiskāka iespēja ir izmantot datu drošības standartus. Tās ir prasību kopums. Tas ir piemērots dažādiem IP, jo metodika ir izstrādāta, balstoties uz lielākajiem uzņēmumiem no dažādām valstīm.

No standartiem izriet, kādas ir drošības prasības, atkarībā no sistēmas aizsardzības līmeņa un tās piederības noteiktai institūcijai. Daudz kas ir atkarīgs no IP mērķa. Revidenta galvenais uzdevums ir pareizi noteikt, kurš drošības prasību kopums ir būtisks konkrētajā gadījumā. Izvēlieties paņēmienu, pēc kura viņi novērtē, vai esošie sistēmas parametri atbilst standartiem. Tehnoloģija ir diezgan vienkārša, uzticama un tāpēc plaši izplatīta. Ar nelielām investīcijām rezultāts var būt precīzi.

Nolaidība ir nepieņemama!

Prakse rāda, ka daudzi vadītāji, it īpaši mazie uzņēmumi, kā arī tie, kuru uzņēmumi darbojas jau ilgu laiku un necenšas apgūt visas jaunākās tehnoloģijas, ir diezgan neuzmanīgi attiecībā uz informācijas sistēmu auditu, jo viņi vienkārši neapzinās šī pasākuma nozīmi. Parasti tikai kaitējums biznesam liek iestādēm veikt pasākumus, lai pārbaudītu, identificētu riskus un aizsargātu uzņēmumu. Citi saskaras ar faktu, ka viņi zog informāciju par klientiem, citi noplūst no darījuma partneru datu bāzēm vai atstāj informāciju par noteiktas vienības galvenajām priekšrocībām. Tiklīdz lieta tiek publiskota, patērētāji vairs neuzticas uzņēmumam, un uzņēmumam ir nodarīts lielāks kaitējums nekā tikai datu zaudēšana.

informācijas tehnoloģijas

Ja pastāv informācijas noplūdes iespēja, nav iespējams izveidot efektīvu biznesu, kam ir labas iespējas tagad un nākotnē. Jebkuram uzņēmumam ir dati, kas ir vērtīgi trešajām personām, un tie ir jāaizsargā. Lai aizsardzība būtu visaugstākajā līmenī, ir nepieciešams audits, lai identificētu trūkumus. Tajā jāņem vērā starptautiskie standarti, metodika, jaunākie sasniegumi.

Revīzijā:

  • novērtēt aizsardzības līmeni;
  • analizēt izmantotās tehnoloģijas;
  • pielāgot drošības dokumentus;
  • imitē riska situācijas, kurās iespējama datu noplūde;
  • ieteikt ieviest risinājumus, lai novērstu ievainojamības.

Vada šos pasākumus vienā no trim veidiem:

  • aktīvs;
  • eksperts;
  • Atbilst.

Revīzijas formas

Aktīvā revīzija ietver potenciālās hakeru apskatītās sistēmas novērtēšanu. Pēc viņa domām, auditori “izmēģina sevi” - viņi pēta tīkla aizsardzību, kurai viņi izmanto specializētu programmatūru un unikālas tehnikas. Nepieciešams arī iekšējais audits, ko veic arī no iespējamā likumpārkāpēja viedokļa, kurš vēlas nozagt datus vai izjaukt sistēmu.

banku informācijas sistēmu audita tehnoloģija

Ekspertu audits pārbauda, ​​vai ieviestā sistēma ir ideāla. Nosakot atbilstību standartiem, par pamatu ņem abstraktu to standartu aprakstu, ar kuriem tiek salīdzināts esošais objekts.

Secinājums

Pareizi un kvalitatīvi veikts audits ļauj iegūt šādus rezultātus:

  • samazinot veiksmīga hakeru uzbrukuma iespējamību, no tā sabojāšanu;
  • izņēmums ir uzbrukums, kura pamatā ir izmaiņas sistēmas arhitektūrā un informācijas plūsmās;
  • apdrošināšanu kā risku samazināšanas līdzekli;
  • riska samazināšana līdz līmenim, kurā to var pilnībā ignorēt.


Pievienojiet komentāru
×
×
Vai tiešām vēlaties dzēst komentāru?
Dzēst
×
Sūdzības iemesls

Meitene mēnesi centās netērēt naudu. Eksperiments atstāja viņas jauktās sajūtas

Bizness

Veiksmes stāsti

Iekārtas