kategórie
...

Audit informačných systémov. Hrozby pre bezpečnosť informácií. Informačné technológie

Audit informačných systémov poskytuje relevantné a presné údaje o tom, ako IP funguje. Na základe získaných údajov je možné naplánovať činnosti na zlepšenie efektívnosti podniku. Prax vykonávania auditu informačného systému spočíva v porovnaní štandardu so skutočnou situáciou. Študujú normy, normy, nariadenia a postupy platné v iných firmách. Pri vykonávaní auditu získa podnikateľ predstavu o tom, ako sa jeho spoločnosť líši od normálnej úspešnej spoločnosti v podobnej oblasti.

Celkový pohľad

Informačné technológie v modernom svete sú mimoriadne rozvinuté. Je ťažké si predstaviť podnik, ktorý nemá informačné systémy v prevádzke:

  • globálne;
  • local.

Prostredníctvom IP môže spoločnosť fungovať normálne a držať krok s dobami. Tieto metodiky sú potrebné na rýchlu a úplnú výmenu informácií s prostredím, čo spoločnosti umožňuje prispôsobiť sa zmenám v infraštruktúre a požiadavkám trhu. Informačné systémy musia spĺňať množstvo požiadaviek, ktoré sa v priebehu času menia (zavádzajú sa nové trendy, zavádzajú sa normy, uplatňujú sa aktualizované algoritmy). V každom prípade vám informačná technológia umožňuje rýchly prístup k zdrojom a tento problém je vyriešený prostredníctvom IP. Okrem toho moderné systémy:

  • škálovateľný;
  • flexibilné;
  • spoľahlivé;
  • bezpečné.

Hlavnými úlohami auditu informačných systémov je zistiť, či implementovaná IP spĺňa stanovené parametre.

audit informačných systémov

Audit: typy

Často sa používa tzv. Procesný audit informačného systému. Príklad: externí odborníci analyzujú implementované systémy z hľadiska rozdielov oproti štandardom vrátane štúdia výrobného procesu, ktorého výstupom je softvér.

Môže sa vykonať audit zameraný na zistenie toho, ako sa informačný systém v práci používa správne. Prax podniku sa porovnáva so štandardmi výrobcu a známymi príkladmi medzinárodných korporácií.

Audit podnikového informačného bezpečnostného systému ovplyvňuje organizačnú štruktúru. Účelom takejto udalosti je nájsť slabé miesta u zamestnancov IT oddelenia a identifikovať problémy, ako aj odporučiť ich riešenia.

Nakoniec sa audit systému informačnej bezpečnosti zameriava na kontrolu kvality. Pozvaní odborníci následne vyhodnotia stav procesov v podniku, otestujú implementovaný informačný systém a vyvodia niektoré závery z prijatých informácií. Typicky sa používa model TMMI.

Ciele auditu

Strategický audit stavu informačných systémov vám umožňuje identifikovať nedostatky v implementovanej IP a zistiť, kde bolo používanie technológie neefektívne. Na výstupe takéhoto procesu bude mať zákazník odporúčania na odstránenie nedostatkov.

Audit vám umožňuje vyhodnotiť, aké nákladné bude vykonanie zmien v súčasnej štruktúre a ako dlho to bude trvať. Špecialisti, ktorí študujú súčasnú informačnú štruktúru spoločnosti, vám pomôžu pri výbere nástrojov na implementáciu programu zlepšovania, berúc do úvahy charakteristiky spoločnosti. Na základe výsledkov môžete tiež presne vyhodnotiť, koľko zdrojov spoločnosť potrebuje.Budú analyzované intelektuálne, peňažné, výroba.

opatrenia

Interný audit informačných systémov zahŕňa vykonávanie takých činností, ako sú:

  • IT inventár;
  • identifikácia zaťaženia informačných štruktúr;
  • hodnotenie štatistík, údajov získaných počas inventarizácie;
  • určenie, či sú požiadavky podnikania a schopnosti implementovaného IP konzistentné;
  • generovanie správ;
  • vypracovanie odporúčaní;
  • formalizácia fondu NSI.

Výsledok auditu

Strategický audit stavu informačných systémov je postup, ktorý: umožňuje identifikovať dôvody nedostatočnej účinnosti implementovaného informačného systému; predpovedať správanie IP pri úprave informačných tokov (počet používateľov, objem údajov); poskytovať informované riešenia, ktoré pomáhajú zvyšovať produktivitu (nákup vybavenia, zlepšenie implementovaného systému, výmena); poskytuje odporúčania zamerané na zvýšenie produktivity oddelení spoločnosti, optimalizáciu investícií do technológií. A tiež vyvinúť opatrenia na zlepšenie úrovne kvality služieb informačných systémov.

To je dôležité!

Neexistuje taká univerzálna IP, ktorá by vyhovovala každému podniku. Existujú dve spoločné základy, na základe ktorých môžete vytvoriť jedinečný systém pre požiadavky konkrétneho podniku:

  • 1C.
  • Oracle.

Ale nezabudnite, že toto je iba základ, už nie. Všetky vylepšenia, ktoré zefektívnia podnikanie, musíte naprogramovať s ohľadom na vlastnosti konkrétneho podniku. Určite budete musieť zadať predtým chýbajúce funkcie a vypnúť tie, ktoré poskytuje základná zostava. Moderná technológia pre audit bankových informačných systémov pomáha presne pochopiť, aké funkcie má IP a čo treba vylúčiť, aby bol podnikový systém optimálny, efektívny, ale nie príliš „ťažký“.

strategický audit stavu informačných systémov

Audit informačnej bezpečnosti

Analýza na identifikáciu hrozieb pre bezpečnosť informácií môže byť dvoch typov:

  • vzhľadu;
  • interné.

Prvý zahŕňa jednorazový postup. Organizuje jej vedúci spoločnosti. Odporúča sa pravidelne vykonávať takéto opatrenia, aby sa situácia udržala pod kontrolou. Niekoľko akciových spoločností a finančných organizácií zaviedlo požiadavku na vykonanie externého auditu bezpečnosti IT.

Interné - to sú pravidelne vykonávané činnosti upravené miestnym regulačným aktom „Nariadenie o vnútornom audite“. Na stretnutie sa vytvára ročný plán (pripravuje ho oddelenie zodpovedné za audit), hovorí generálny riaditeľ, ďalší manažér. IT audit - niekoľko kategórií udalostí, bezpečnostný audit nie je posledný význam.

ciele

Hlavným cieľom auditu informačných systémov z hľadiska bezpečnosti je identifikovať riziká súvisiace s IP súvisiace s bezpečnostnými hrozbami. Udalosti navyše pomáhajú identifikovať:

  • slabé stránky súčasného systému;
  • súlad systému s normami informačnej bezpečnosti;
  • úroveň bezpečnosti v súčasnom čase.

Pri vykonávaní bezpečnostného auditu sa sformulujú odporúčania, ktoré zlepšia súčasné riešenia a zavedú nové, čím sa súčasná IP stane bezpečnejšou a chránenou pred rôznymi hrozbami.

bezpečnostné hrozby

Ak sa vykonáva vnútorný audit na zistenie hrozieb pre bezpečnosť informácií, potom sa zvažuje aj:

  • bezpečnostná politika, schopnosť vyvíjať nové, ako aj ďalšie dokumenty, ktoré chránia údaje a zjednodušujú ich uplatňovanie vo výrobnom procese spoločnosti;
  • formovanie bezpečnostných úloh pre zamestnancov IT oddelenia;
  • analýza situácií týkajúcich sa porušení;
  • školenie používateľov podnikového systému, personál údržby vo všeobecných aspektoch bezpečnosti.

Interný audit: Funkcie

Uvedené úlohy, ktoré sú stanovené zamestnancom pri vykonávaní vnútorného auditu informačných systémov, v podstate nie sú auditmi. Teoreticky vedúce udalosti iba ako expert hodnotí mechanizmy, pomocou ktorých je systém bezpečný. Osoba zapojená do úlohy sa stáva aktívnym účastníkom procesu a stráca nezávislosť, nemôže už objektívne posudzovať situáciu a kontrolovať ju.

Na druhej strane, v praxi je pri vnútornom audite takmer nemožné zostať ďaleko. Faktom je, že na vykonanie práce je zapojený špecialista spoločnosti, inokedy vykonávajúci iné úlohy v podobnej oblasti. To znamená, že audítor je ten istý zamestnanec, ktorý má právomoc riešiť vyššie uvedené úlohy. Preto musíte robiť kompromisy: na úkor objektívnosti zapojte zamestnanca do praxe, aby ste dosiahli dobrý výsledok.

Bezpečnostný audit: kroky

V mnohých ohľadoch sú podobné krokom všeobecného auditu IT. rozlišujú:

  • začiatok udalostí;
  • zhromažďovanie podkladov pre analýzu;
  • analýza;
  • tvorba záverov;
  • príkazy.

Začatie konania

Audit informačných systémov z hľadiska bezpečnosti sa začína, keď šéf spoločnosti vydá rozhodnutie, pretože šéfovia sú ľudia, ktorí majú najväčší záujem o efektívne overenie podniku. Audit nie je možný, ak ho vedenie nepodporuje.

Audit informačných systémov je zvyčajne zložitý. Zahŕňa audítora a niekoľko jednotlivcov zastupujúcich rôzne oddelenia spoločnosti. Spolupráca všetkých účastníkov auditu je dôležitá. Pri vykonávaní auditu je dôležité venovať pozornosť týmto bodom:

  • dokumentovanie povinností, práva audítora;
  • príprava, schválenie plánu auditu;
  • dokladovanie skutočnosti, že zamestnanci sú povinní poskytnúť audítorovi všetku možnú pomoc a poskytnúť všetky ním požadované údaje.

Už v čase začatia auditu je dôležité stanoviť, do akej miery sa vykonáva audit informačných systémov. Zatiaľ čo niektoré subsystémy IP sú kritické a vyžadujú osobitnú pozornosť, iné nie sú a sú úplne nedôležité, preto je ich vylúčenie povolené. Určite budú také subsystémy, ktorých overenie nebude možné, pretože všetky tu uložené informácie sú dôverné.

Plán a hranice

Pred začatím práce sa vytvorí zoznam zdrojov, ktoré sa majú skontrolovať. Môže to byť:

  • informácií;
  • softvér;
  • Technická.

Určujú, na ktorých stránkach sa audit vykonáva, na ktorých hrozbách sa systém kontroluje. Existujú organizačné hranice udalosti, bezpečnostné aspekty, ktoré sú povinné počas auditu zohľadniť. Hodnotenie priority sa vytvorí s uvedením rozsahu auditu. Tieto hranice, ako aj akčný plán schvaľuje generálny riaditeľ, ale predbežne ich predkladá téma valného zhromaždenia, kde sú prítomní vedúci odborov, audítor a konatelia spoločnosti.

Získavanie údajov

Pri vykonávaní bezpečnostného auditu sú normy pre audit informačných systémov také, že fáza zhromažďovania informácií je najdlhšia a najnáročnejšia. IP spravidla nemá dokumentáciu a audítor je nútený úzko spolupracovať s mnohými kolegami.

Aby boli závery záväzné, audítor by mal dostať maximálne údaje. Audítor sa dozvie, ako je informačný systém organizovaný, ako funguje a v akom stave je z organizačnej, administratívnej, technickej dokumentácie, v priebehu nezávislého výskumu a aplikácie špecializovaného softvéru.

Dokumenty požadované pri práci audítora:

  • organizačná štruktúra oddelení slúžiacich IP;
  • organizačná štruktúra všetkých používateľov.

Audítor vedie pohovory so zamestnancami a zisťuje:

  • poskytovateľom;
  • vlastník údajov;
  • užívateľské dáta.

Účel auditu informačných systémov

Ak to chcete urobiť, musíte vedieť:

  • hlavné typy aplikácií IP;
  • počet, typy používateľov;
  • služby poskytované používateľom.

Ak spoločnosť má doklady o duševnom vlastníctve z nižšie uvedeného zoznamu, je potrebné ich poskytnúť audítorovi:

  • opis technických metodík;
  • Opis metód automatizácie funkcií;
  • funkčné schémy;
  • pracovné, projektové dokumenty.

Identifikácia štruktúry IP

V záujme správnych záverov by mal mať audítor úplné vedomosti o vlastnostiach informačného systému implementovaného v podniku. Musíte vedieť, aké sú bezpečnostné mechanizmy, ako sú distribuované v systéme podľa úrovní. Ak to chcete urobiť, zistite:

  • prítomnosť a vlastnosti komponentov použitého systému;
  • funkcie komponentov;
  • grafický kvalita;
  • vstupy;
  • interakcie s rôznymi objektmi (vonkajšími, vnútornými) a protokolmi, kanálmi na tento účel;
  • platia pre systém.

Výhody prinesú systémy:

  • štrukturálne;
  • dátové toky.

štruktúry:

  • technické vybavenie;
  • softvér;
  • informačná podpora;
  • konštrukčné komponenty.

V praxi sa mnohé dokumenty pripravujú priamo počas auditu. Informácie možno analyzovať iba pri zhromažďovaní maximálneho množstva informácií.

Bezpečnostný audit IP: analýza

Na analýzu získaných údajov sa používa niekoľko techník. Voľba v prospech konkrétnej je založená na osobných preferenciách audítora a špecifikách konkrétnej úlohy.

štandardy auditu informačného systému

Najzložitejší prístup spočíva v analýze rizík. Pre informačný systém sú stanovené bezpečnostné požiadavky. Sú založené na vlastnostiach konkrétneho systému a jeho prostredia, ako aj na hrozbách, ktoré sú s týmto prostredím spojené. Analytici súhlasia s tým, že tento prístup si vyžaduje najvyššie náklady na pracovnú silu a maximálnu kvalifikáciu audítora. O tom, ako dobrý bude výsledok, sa určí metodika analýzy informácií a uplatniteľnosť vybraných možností na druh IP.

Praktickejšou možnosťou je uchýliť sa k bezpečnostným normám pre údaje. Toto je súbor požiadaviek. Je to vhodné pre rôzne IP, pretože metodika sa vyvíja na základe najväčších spoločností z rôznych krajín.

Z noriem vyplýva, aké sú bezpečnostné požiadavky v závislosti od úrovne ochrany systému a jeho príslušnosti k určitej inštitúcii. Veľa záleží na účele IP. Hlavnou úlohou audítora je správne určiť, ktorý súbor bezpečnostných požiadaviek je v danom prípade relevantný. Vyberte techniku, pomocou ktorej vyhodnotia, či existujúce parametre systému zodpovedajú normám. Táto technológia je pomerne jednoduchá, spoľahlivá, a preto rozšírená. Pri malých investíciách môžu byť výsledkom presné závery.

Zanedbávanie je neprijateľné!

Prax ukazuje, že mnoho manažérov, najmä malé firmy, ako aj tých, ktorých spoločnosti pôsobia už dlhú dobu a neusilujú sa o zvládnutie všetkých najnovších technológií, sa o audit informačných systémov nedotýka, pretože si jednoducho neuvedomujú dôležitosť tohto opatrenia. Zvyčajne iba poškodenie podniku vyvoláva orgány, aby prijali opatrenia na overenie, identifikáciu rizík a ochranu podniku. Iní čelia skutočnosti, že kradnú informácie o klientoch, iné unikajú z databáz protistrán alebo poskytujú informácie o kľúčových výhodách určitého subjektu. Hneď ako sa prípad zverejní, spotrebitelia už spoločnosti nedôverujú a spoločnosť utrpí viac škody ako strata údajov.

informačné technológie

Ak existuje možnosť úniku informácií, nie je možné vybudovať efektívny podnik, ktorý má dobré príležitosti dnes aj v budúcnosti. Každá spoločnosť má údaje, ktoré sú cenné pre tretie strany, a je potrebné ich chrániť. Aby bola ochrana na najvyššej úrovni, je potrebné vykonať audit na zistenie nedostatkov. Musí zohľadňovať medzinárodné normy, metodiky, najnovší vývoj.

Pri audite:

  • vyhodnotiť úroveň ochrany;
  • analyzovať aplikované technológie;
  • upravovať bezpečnostné dokumenty;
  • simulovať rizikové situácie, v ktorých je možný únik údajov;
  • odporúčajú implementáciu riešení na odstránenie slabých miest.

Vykonajte tieto udalosti jedným z troch spôsobov:

  • aktívny;
  • expert;
  • odhalenie súladu s normami.

Formuláre auditu

Aktívny audit zahŕňa hodnotenie systému, na ktorý sa potenciálny hacker pozerá. Podľa jeho názoru sa audítori „vyskúšajú“ sami - študujú ochranu siete, na ktorú používajú špecializovaný softvér a jedinečné techniky. Vyžaduje sa aj vnútorný audit, ktorý sa vykonáva aj z hľadiska údajného páchateľa, ktorý chce ukradnúť údaje alebo narušiť systém.

technológia pre audit bankových informačných systémov

Odborný audit kontroluje, či je implementovaný systém ideálny. Pri identifikácii súladu s normami sa za základ považuje abstraktný opis noriem, s ktorými sa porovnáva existujúci objekt.

záver

Správne a kvalitatívne vykonaný audit vám umožňuje získať tieto výsledky:

  • minimalizovanie pravdepodobnosti úspešného útoku hackerov a jeho poškodenia;
  • výnimka útoku založeného na zmene architektúry systému a informačných tokov;
  • poistenie ako prostriedok znižovania rizík;
  • minimalizácia rizika na úroveň, pri ktorej je možné úplne ignorovať.


Pridajte komentár
×
×
Naozaj chcete odstrániť komentár?
vymazať
×
Dôvod sťažnosti

Dievča sa snažilo minúť peniaze mesiac. Experiment zanechal jej zmiešané pocity

obchodné

Príbehy o úspechu

zariadenie