Tilsyn med informasjonssystemer gir relevante og nøyaktige data om hvordan IP fungerer. Basert på innhentede data er det mulig å planlegge aktiviteter for å forbedre effektiviteten til bedriften. Praksisen med å gjennomføre en revisjon av et informasjonssystem er å sammenligne standarden, den reelle situasjonen. De studerer normer, standarder, forskrifter og praksis som gjelder i andre firmaer. Når en gründer foretar en revisjon, får en gründer en ide om hvordan selskapet hans skiller seg fra et normalt vellykket selskap på et lignende område.
Generelt syn
Informasjonsteknologi i den moderne verden er ekstremt utviklet. Det er vanskelig å forestille seg et foretak som ikke har informasjonssystemer i tjeneste:
- globalt;
- lokale.
Det er gjennom IP at et selskap kan fungere normalt og følge med på tidene. Slike metoder er nødvendige for en rask og fullstendig utveksling av informasjon med miljøet, noe som gjør at selskapet kan tilpasse seg endringer i infrastruktur og markedskrav. Informasjonssystemer må tilfredsstille en rekke krav som endrer seg over tid (nyutvikling, standarder innføres, oppdaterte algoritmer brukes). I alle fall lar informasjonsteknologi deg rask tilgang til ressurser, og dette problemet løses gjennom IP. I tillegg moderne systemer:
- skalerbar;
- fleksibel;
- pålitelig;
- trygge.
Hovedoppgavene for tilsynet med informasjonssystemer er å identifisere om den implementerte IP-en oppfyller de spesifiserte parametrene.
Tilsyn: typer
Svært ofte brukt er den såkalte prosessrevisjonen av informasjonssystemet. Eksempel: eksterne eksperter analyserer implementerte systemer for forskjeller fra standarder, inkludert studier av produksjonsprosessen, hvis utdata er programvare.
En tilsyn kan utføres for å identifisere hvor korrekt informasjonssystemet brukes i arbeidet. Virksomhetens praksis blir sammenlignet med standardene fra produsenten og kjente eksempler på internasjonale selskaper.
En revisjon av et virksomhets informasjonssikkerhetssystem påvirker organisasjonsstrukturen. Hensikten med en slik hendelse er å finne tynne flekker i personalet på IT-avdelingen og identifisere problemer, samt å forme anbefalinger for deres løsning.
Endelig er tilsynet med informasjonssikkerhetssystemet rettet mot kvalitetskontroll. Deretter evaluerer de inviterte ekspertene tilstanden til prosessene i bedriften, tester det implementerte informasjonssystemet og trekker noen konklusjoner om den mottatte informasjonen. Vanligvis brukes TMMI-modellen.
Revisjonsmål
En strategisk revisjon av informasjonssystemers tilstand lar deg identifisere svakheter i implementert IP og identifisere hvor bruken av teknologi har vært ineffektiv. Ved utgangen av en slik prosess vil kunden ha anbefalinger for å eliminere manglene.
En revisjon lar deg vurdere hvor dyrt det vil være å gjøre endringer i dagens struktur og hvor lang tid det vil ta. Spesialister som studerer den nåværende informasjonsstrukturen i selskapet vil hjelpe deg med å velge verktøyene for å implementere forbedringsprogrammet, med hensyn til selskapets egenskaper. Basert på resultatene kan du også gi en nøyaktig vurdering av hvor mye ressurser selskapet trenger.De vil bli analysert intellektuell, monetær, produksjon.
tiltak
Internrevisjon av informasjonssystemer inkluderer implementering av aktiviteter som:
- IT-inventar;
- identifisering av belastningen på informasjonsstrukturer;
- vurdering av statistikk, data innhentet under inventaret;
- bestemme om kravene til virksomheten og funksjonene til den implementerte IP-en er konsistente;
- rapport generasjon;
- utvikling av anbefalinger;
- formalisering av NSI-fondet.
Tilsynsresultat
En strategisk revisjon av informasjonssystemers tilstand er en prosedyre som: lar deg identifisere årsakene til mangelen på effektivitet av det implementerte informasjonssystemet; å forutsi atferden til IP når du justerer informasjonsstrømmer (antall brukere, datavolum); tilby informerte løsninger som bidrar til å øke produktiviteten (anskaffelse av utstyr, forbedring av det implementerte systemet, utskifting); gi anbefalinger som tar sikte på å forbedre produktiviteten til selskapets avdelinger, optimalisere investeringene i teknologi. Og også for å utvikle tiltak som forbedrer kvalitetsnivået på tjenestene til informasjonssystemer.
Dette er viktig!
Det er ingen slik universell IP som vil passe enhver bedrift. Det er to vanlige baser som du kan lage et unikt system for kravene til en bestemt bedrift:
- 1C.
- Oracle.
Men husk at dette bare er grunnlaget, ikke mer. Alle forbedringer for å gjøre en virksomhet effektiv, må du programmere under hensyn til egenskapene til en bestemt bedrift. Sikkert, du må angi funksjoner som mangler tidligere og deaktivere de som er gitt av basisenheten. Moderne teknologi for revisjon av bankinformasjonssystemer er med på å forstå nøyaktig hvilke funksjoner en IP bør ha og hva som må utelukkes slik at bedriftssystemet er optimalt, effektivt, men ikke for "tungt".
Informasjonssikkerhetsrevisjon
En analyse for å identifisere trusler mot informasjonssikkerhet kan være av to typer:
- utseende;
- interne.
Den første innebærer en engangsprosedyre. Organisert av lederen av selskapet. Det anbefales å øve regelmessig på et slikt tiltak for å holde situasjonen under kontroll. En rekke aksjeselskaper og finansielle organisasjoner har innført et krav om at det skal gjennomføres en ekstern revisjon av IT-sikkerhet.
Intern - disse utføres regelmessig aktiviteter regulert av den lokale forskriftsloven "Forskrift om intern revisjon". Det blir dannet en årlig plan for møtet (den er utarbeidet av avdelingen som er ansvarlig for tilsynet), sier administrerende direktør, en annen leder. IT-revisjon - flere kategorier av hendelser, sikkerhetsrevisjon er ikke den siste i viktighet.
mål
Hovedmålet med revisjonen av informasjonssystemer når det gjelder sikkerhet er å identifisere IP-relaterte risikoer forbundet med sikkerhetstrusler. I tillegg hjelper hendelser til å identifisere:
- svakheter ved det nåværende systemet;
- samsvar med systemet med informasjonssikkerhetsstandarder;
- sikkerhetsnivå på det nåværende tidspunktet.
Når du utfører en sikkerhetsrevisjon, vil det bli formulert anbefalinger som vil forbedre dagens løsninger og introdusere nye, og derved gjøre dagens IP sikrere og beskyttet mot forskjellige trusler.
Hvis det foretas en internrevisjon for å identifisere trusler mot informasjonssikkerhet, vurderes den i tillegg:
- sikkerhetspolitikk, muligheten til å utvikle nye, så vel som andre dokumenter som beskytter data og forenkler deres søknad i produksjonsprosessen til selskapet;
- dannelse av sikkerhetsoppgaver for ansatte ved IT-avdelingen;
- analyse av situasjoner som involverer brudd;
- opplæring av brukere av bedriftssystemet, vedlikeholdspersonell i generelle aspekter av sikkerhet.
Internrevisjon: Funksjoner
De oppgitte oppgavene som er satt for ansatte når de utfører en internrevisjon av informasjonssystemer, er i hovedsak ikke tilsyn. Teoretisk gjennomføring av hendelser bare som en ekspert evaluerer mekanismene som systemet er sikkert med. Personen som er involvert i oppgaven blir en aktiv deltaker i prosessen og mister uavhengighet, kan ikke lenger objektivt vurdere situasjonen og kontrollere den.
På en annen side er det i praksis i en internrevisjon nesten umulig å holde seg unna. Faktum er at for å utføre arbeidet er en spesialist i selskapet involvert, andre ganger engasjert i andre oppgaver på et lignende felt. Dette betyr at revisor er den samme ansatte som har kompetanse til å løse oppgavene nevnt over. Derfor må du inngå kompromisser: til skade for objektiviteten, involver den ansatte i praksis for å få et verdig resultat.
Sikkerhetsrevisjon: trinn
Disse ligner på mange måter trinnene i en generell IT-revisjon. fornem:
- begivenhet;
- samle et grunnlag for analyse;
- analyse;
- dannelse av konklusjoner;
- uttalelser.
Starte en prosedyre
En revisjon av informasjonssystemer når det gjelder sikkerhet begynner når sjefen for selskapet gir klarsignal, siden sjefene er de menneskene som er mest interessert i effektiv verifisering av bedriften. En revisjon er ikke mulig hvis ledelsen ikke støtter prosedyren.
Tilsyn med informasjonssystemer er vanligvis sammensatt. Det involverer revisor og flere individer som representerer forskjellige avdelinger i selskapet. Samarbeid av alle deltakere i tilsynet er viktig. Når du starter en revisjon, er det viktig å være oppmerksom på følgende punkter:
- dokumentere plikter, revisors rettigheter;
- utarbeidelse, godkjenning av revisjonsplanen;
- dokumentere det faktum at ansatte er forpliktet til å yte all mulig assistanse til revisor og gi alle dataene som er forespurt av ham.
Allerede på begynnelsen av tilsynet er det viktig å fastslå i hvilken grad informasjonssystemer blir revidert. Mens noen IP-delsystemer er kritiske og krever spesiell oppmerksomhet, er andre ikke og er ganske uviktige, derfor er deres utelukkelse tillatt. Det vil sikkert være slike delsystemer, verifiseringen av disse vil være umulig, siden all informasjonen som er lagret der er konfidensiell.
Plan og grenser
Før du starter arbeidet, dannes det en liste over ressurser som skal sjekkes. Det kan være:
- informasjon;
- programvare;
- teknisk.
De identifiserer på hvilke nettsteder tilsynet blir utført, på hvilke trusler systemet blir sjekket. Det er organisatoriske grenser for arrangementet, sikkerhetsaspekter som er obligatoriske for vurdering under tilsynet. Det dannes en prioritering som indikerer omfanget av tilsynet. Slike grenser, så vel som handlingsplanen, er godkjent av daglig leder, men blir foreløpig forelagt av emnet for det generelle arbeidsmøtet, der avdelingsledere, en revisor og selskapsledere er til stede.
Innhenting av data
Når du utfører en sikkerhetsrevisjon, er standardene for revisjon av informasjonssystemer slik at stadiet for innsamling av informasjon er det lengste og mest arbeidskrevende. Som hovedregel har IP ikke dokumentasjon for det, og revisor er tvunget til å samarbeide tett med mange kolleger.
For at konklusjonene som skal gjøres skal være kompetente, bør revisor få maksimalt data. Revisor lærer om hvordan informasjonssystemet er organisert, hvordan det fungerer og i hvilken tilstand det er fra organisatorisk, administrativ, teknisk dokumentasjon, i løpet av uavhengig forskning og anvendelse av spesialisert programvare.
Dokumenter som kreves i revisors arbeid:
- organisasjonsstruktur for avdelinger som betjener IP;
- organisasjonsstruktur for alle brukere.
Revisor intervjuer ansatte og identifiserer:
- leverandør;
- dataeier;
- brukerdata.
For å gjøre dette, må du vite:
- hovedtyper av IP-applikasjoner;
- antall brukere;
- tjenester som tilbys brukere.
Hvis selskapet har dokumenter på IP fra listen nedenfor, er det nødvendig å gi dem til revisor:
- beskrivelse av tekniske metodologier;
- Beskrivelse av metoder for automatisering av funksjoner;
- funksjonelle diagrammer;
- arbeider, prosjektdokumenter.
Identifisering av strukturen til IP
For korrekte konklusjoner, skal revisor ha den fulle forståelse av funksjonene i informasjonssystemet implementert i bedriften. Du må vite hva som er sikkerhetsmekanismene, hvordan de er fordelt i systemet etter nivåer. For å gjøre dette, finn ut:
- tilstedeværelsen og funksjonene til komponentene i systemet som brukes;
- komponentfunksjoner;
- grafisk kvalitet;
- innganger;
- samhandling med forskjellige objekter (eksterne, interne) og protokoller, kanaler for dette;
- plattformer som brukes på systemet.
Fordeler vil bringe ordninger:
- strukturelle;
- datastrømmer.
strukturer:
- tekniske fasiliteter;
- programvare;
- informasjonsstøtte;
- strukturelle komponenter.
I praksis er mange av dokumentene utarbeidet direkte under tilsynet. Informasjon kan analyseres bare når du samler inn maksimal mengde informasjon.
IP-sikkerhetsrevisjon: analyse
Det er flere teknikker som brukes til å analysere innhentede data. Valget til fordel for en bestemt er basert på revisorens personlige preferanser og detaljene for en bestemt oppgave.
Den mest komplekse tilnærmingen innebærer analyse av risiko. For informasjonssystemet dannes sikkerhetskrav. De er basert på funksjonene i et bestemt system og dets miljø, så vel som truslene som ligger i dette miljøet. Analytikere er enige om at denne tilnærmingen krever de største arbeidskraftskostnadene og den maksimale kvalifiseringen til revisor. Hvor bra resultatet blir blir bestemt av metodikken for å analysere informasjonen og anvendbarheten til de valgte alternativene på typen IP.
Et mer praktisk alternativ er å ty til sikkerhetsstandarder for data. Dette er et sett med krav. Dette er egnet for forskjellige IP-er, siden metodikken er utviklet på grunnlag av de største selskapene fra forskjellige land.
Av standardene følger det hva som er sikkerhetskravene, avhengig av beskyttelsesnivået til systemet og dets tilknytning til en bestemt institusjon. Mye avhenger av formålet med IP-en. Revisors hovedoppgave er å bestemme riktig hvilket sett sikkerhetskrav som er relevant i en gitt sak. Velg en teknikk som de vurderer om de eksisterende systemparametrene er i samsvar med standardene. Teknologien er ganske enkel, pålitelig og derfor utbredt. Med små investeringer kan resultatet være nøyaktige konklusjoner.
Forsømmelse er uakseptabelt!
Praksis viser at mange ledere, spesielt små firmaer, så vel som de hvis selskaper har drevet i lang tid og ikke prøver å mestre alle de nyeste teknologiene, er ganske uforsiktige med revisjonen av informasjonssystemer, da de rett og slett ikke innser viktigheten av dette tiltaket. Vanligvis er det bare skader på virksomheten som provoserer myndighetene til å iverksette tiltak for å verifisere, identifisere risiko og beskytte bedriften. Andre blir møtt med det faktum at de stjeler kundedata, andre lekker fra databasene til motparter eller legger igjen informasjon om de viktigste fordelene ved en viss enhet. Forbrukere stoler ikke lenger på selskapet så snart saken offentliggjøres, og selskapet lider mer skade enn bare tap av data.
Hvis det er en sjanse for informasjonslekkasje, er det umulig å bygge en effektiv virksomhet som har gode muligheter nå og i fremtiden. Ethvert selskap har data som er verdifulle for tredjepart, og de må beskyttes. For at beskyttelsen skal være på høyeste nivå, kreves det en revisjon for å identifisere svakheter. Det må ta hensyn til internasjonale standarder, metoder, den siste utviklingen.
Ved tilsynet:
- evaluere beskyttelsesnivået
- analysere anvendte teknologier;
- justere sikkerhetsdokumenter;
- simulere risikosituasjoner der datalekkasje er mulig;
- anbefaler implementering av løsninger for å eliminere sårbarheter.
Gjennomfør disse hendelsene på en av tre måter:
- aktiv;
- ekspert,
- avslører samsvar med standarder.
Tilsynsskjemaer
Aktiv revisjon innebærer å evaluere systemet som en potensiell hacker ser på. Det er hans synspunkt at revisorer “prøver på” seg selv - de studerer nettverksbeskyttelse, som de bruker spesialisert programvare og unike teknikker for. Det kreves også en internrevisjon, også utført fra synspunktet til den påståtte lovbryteren som ønsker å stjele data eller forstyrre systemet.
En ekspertrevisjon sjekker om det implementerte systemet er ideelt. Når man identifiserer samsvar med standarder, tas en abstrakt beskrivelse av standardene som det eksisterende objektet blir sammenlignet med.
konklusjon
Korrekt og kvalitativt gjennomført revisjon lar deg få følgende resultater:
- minimere sannsynligheten for et vellykket hackerangrep, skade fra det;
- unntak av et angrep basert på en endring i systemarkitektur og informasjonsstrømmer;
- forsikring som et middel for å redusere risiko;
- minimering av risiko til et nivå der man kan ignoreres fullstendig.
