Наслови
...

Ревизија информационих система. Претње безбедности информација. Информациона технологија

Ревизија информационих система даје релевантне и тачне податке о томе како функционише ИП. На основу добијених података могуће је планирати активности за побољшање ефикасности предузећа. Пракса спровођења ревизије информационог система је у упоређивању стандардне, стварне ситуације. Они проучавају норме, стандарде, прописе и праксе применљиве у другим фирмама. Приликом обављања ревизије, предузетник добија представу о томе како се његова компанија разликује од нормално успешне компаније у сличном подручју.

Општи поглед

Информациона технологија у савременом свету изузетно је развијена. Тешко је замислити предузеће које нема информационе системе у служби:

  • глобално;
  • локални.

Путем ИП-а компанија може нормално да функционише и иде у корак са временом. Такве методологије су неопходне за брзу и потпуну размену информација са околином, што омогућава компанији да се прилагоди променама у инфраструктурним и тржишним захтевима. Информациони системи морају задовољити бројне захтеве који се временом мењају (уводе се нови развој, стандарди, примењују се ажурирани алгоритми). У сваком случају, информациона технологија вам омогућава да брзо приступите ресурсима, а овај проблем се решава путем ИП-а. Поред тога, савремени системи:

  • скалабилан
  • флексибилан;
  • поуздан;
  • сигурно.

Главни задаци ревизије информационих система су идентификовати да ли имплементирани ИП испуњава наведене параметре.

ревизија информационих система

Ревизија: врсте

Често се користи такозвана ревизија процеса информационог система. Пример: спољни стручњаци анализирају имплементиране системе за разлике од стандарда, укључујући проучавање производног процеса, чији је производ софтвер.

Ревизија се може спровести са циљем да се утврди колико се правилно у раду користи информациони систем. Пракса предузећа се упоређује са стандардима произвођача и познатим примерима међународних корпорација.

Ревизија система за сигурност информација предузећа утиче на организациону структуру. Сврха таквог догађаја је пронаћи танке тачке у особљу ИТ одељења и идентификовати проблеме, као и формулисати препоруке за њихово решење.

Коначно, ревизија система информационе сигурности има за циљ контролу квалитета. Затим позвани стручњаци процењују стање процеса у предузећу, тестирају имплементирани информациони систем и изводе неке закључке о примљеним информацијама. Обично се користи модел ТММИ.

Циљеви ревизије

Стратешка ревизија стања информационих система омогућава вам да идентификујете слабости у имплементираном ИП-у и идентификујете где употреба технологије није била ефикасна. На излазу из таквог процеса, купац ће имати препоруке за отклањање недостатака.

Ревизија вам омогућава да процените колико ће коштати уношење промена у тренутну структуру и колико ће трајати. Стручњаци који проучавају тренутну информациону структуру компаније помоћи ће вам да одаберете алате за спровођење програма унапређења, узимајући у обзир карактеристике компаније. На основу резултата можете дати тачну процену колико ресурса компанији треба.Биће анализирани интелектуални, монетарни, производни.

Догађаји

Унутрашња ревизија информационих система укључује спровођење активности као што су:

  • ИТ инвентар;
  • идентификација оптерећења на информационим структурама;
  • процена статистика, података добијених током пописа;
  • утврђивање да ли су захтеви пословања и могућности имплементиране ИП конзистентне;
  • израда извештаја;
  • развој препорука;
  • формализација фонда НСИ.

Резултат ревизије

Стратешка ревизија стања информационих система је поступак који вам омогућава да идентификујете разлоге недостатка ефикасности имплементираног информационог система; предвидјети понашање ИП-а приликом прилагођавања протока информација (број корисника, количина података); пружити информисана решења која помажу у повећању продуктивности (набавка опреме, унапређење имплементираног система, замена); дају препоруке за побољшање продуктивности одељења предузећа, оптимизацију улагања у технологију. А такође и развити мере које побољшавају ниво квалитета услуге информационих система.

Ово је важно!

Не постоји универзални ИП који би одговарао било којем предузећу. Постоје две заједничке базе на основу којих можете креирати јединствени систем за потребе одређеног предузећа:

  • 1Ц.
  • Орацле

Али запамтите да је ово само основа, не више. Сва побољшања да би пословање било ефикасно, морате да програмирате, узимајући у обзир карактеристике одређеног предузећа. Сигурно ћете морати унијети претходно недостајуће функције и онемогућити оне које је предвиђала основна скупштина. Савремена технологија ревизије банкарских информационих система помаже да се тачно схвати које функције треба да имају и шта треба искључити како би корпоративни систем био оптималан, ефикасан, али не превише "тежак".

стратешка ревизија стања информационих система

Ревизија информационе сигурности

Анализа за идентификацију претњи безбедности информација може бити две врсте:

  • спољни;
  • интерни.

Први подразумева једнократни поступак. У организацији шефа компаније. Препоручује се редовно спровођење такве мере како би се ситуација држала под контролом. Бројна акционарска друштва и финансијске организације увеле су захтев да се спроведе екстерна ревизија информатичке сигурности.

Интерно - то су редовно спроведене активности регулисане локалним регулаторним актом „Уредба о унутрашњој ревизији“. Годишњи план се састаје за састанак (припрема га служба одговорна за ревизију), каже извршни директор, други менаџер. ИТ ревизија - неколико категорија догађаја, сигурносна ревизија није задња у важности.

Голови

Главни циљ ревизије информационих система у погледу безбедности је идентификовање ризика везаних за ИП повезане са претњама у безбедност. Поред тога, догађаји помажу у препознавању:

  • слабости постојећег система;
  • усклађеност система са стандардима информационе сигурности;
  • ниво сигурности у тренутном времену.

Приликом спровођења безбедносне ревизије биће формулисане препоруке које ће побољшати тренутна решења и увести нова, чиме ће тренутни ИП бити сигурнији и заштићен од разних претњи.

претње безбедности

Ако се спроводи интерна ревизија ради идентификовања претњи безбедности информација, онда се додатно разматра:

  • сигурносна политика, могућност развоја нових, као и других докумената који штите податке и поједностављују њихову примјену у производном процесу корпорације;
  • формирање сигурносних задатака за запослене у ИТ одељењу;
  • анализа ситуација које укључују кршење;
  • обука корисника корпоративног система, особље за одржавање у општим аспектима сигурности.

Интерна ревизија: Карактеристике

Наведени задаци који су постављени запосленима када врше унутрашњу ревизију информационих система, у суштини, нису ревизије. Теоретски провођење догађаја само као стручњак процјењује механизме помоћу којих је систем сигуран. Особа укључена у задатак постаје активни учесник у процесу и губи независност, више не може објективно да процени ситуацију и да је контролише.

С друге стране, у пракси, у унутрашњој ревизији је готово немогуће остати подаље. Чињеница је да је за обављање послова укључен специјалиста компаније, а други пут се бави другим пословима у сличној области. То значи да је ревизор исти запослени који има надлежност за решавање горе наведених задатака. Стога морате правити компромисе: на штету објективности, укључити запосленог у праксу да бисте постигли вредан резултат.

Ревизија сигурности: Кораци

На много су начина слични корацима опште ИТ ревизије. Додијели:

  • почетак догађаја;
  • прикупљање базе за анализу;
  • анализа;
  • формирање закључака;
  • извештавање

Покретање поступка

Ревизија информационих система у погледу безбедности започиње када шеф компаније да напредак, јер су шефови људи који су највише заинтересовани за ефикасну верификацију предузећа. Ревизија није могућа ако менаџмент не подржи поступак.

Ревизија информационих система је обично сложена. Укључује ревизора и неколико појединаца који представљају различите одељења компаније. Важна је сарадња свих учесника ревизије. Приликом покретања ревизије важно је обратити пажњу на следеће тачке:

  • дужности документовања, права ревизора;
  • припрема, одобравање плана ревизије;
  • документујући чињеницу да су запослени у обавези да пруже сву могућу помоћ ревизору и пруже све податке које он тражи.

Већ у време покретања ревизије, важно је утврдити у којој мери се информациони системи ревидирају. Иако су неки ИП подсистеми критични и захтевају посебну пажњу, други нису и нису толико важни, па је њихово искључење дозвољено. Сигурно ће постојати такви подсистеми, чија верификација неће бити могућа, јер су сви подаци тамо сачувани поверљиви.

План и границе

Пре почетка рада формира се списак ресурса који треба да се провери. Може бити:

  • информативни;
  • софтвер;
  • техничка.

Они идентификују на којим локацијама се врши ревизија и на којим претњама се систем проверава. Постоје организационе границе догађаја, аспекти безбедности који су обавезни да се размотре током ревизије. Формира се оцена приоритета која указује на обим ревизије. Такве границе, као и акциони план, одобрава генерални директор, али се прелиминарно подносе на теми генералног радног састанка, где су присутни шефови одељења, ревизор и руководиоци компанија.

Дохваћање података

Приликом спровођења безбедносне ревизије стандарди ревизије информационих система су такви да је фаза прикупљања информација најдужа и напорна. ИП у правилу нема документацију за то, а ревизор је присиљен да блиско сарађује са бројним колегама.

Да би закључци донети били компетентни, ревизор треба да добије највише података. Ревизор учи о томе како је информациони систем организован, како функционише и у каквом је стању из организационе, административне, техничке документације, током независног истраживања и примене специјализованог софтвера.

Документи потребни за рад ревизора:

  • организациона структура одељења која опслужују ИП;
  • организациона структура свих корисника.

Ревизор интервјуише запослене, идентификујући:

  • Провајдер
  • власник података;
  • кориснички подаци.

сврха ревизије информационих система

Да бисте то учинили, морате знати:

  • главне врсте ИП апликација;
  • број, врсте корисника;
  • услуге које се пружају корисницима.

Ако компанија има документе о ИП-у са доње листе, потребно их је доставити ревизору:

  • опис техничких методологија;
  • Опис метода за аутоматизацију функција;
  • функционални дијаграми;
  • радна, пројектна документација.

Идентификација структуре ИП-а

За тачне закључке, ревизор треба да у потпуности разуме карактеристике информационог система имплементираног у предузећу. Морате знати који су сигурносни механизми и како се они дистрибуирају у систему по нивоима. Да бисте то учинили, сазнајте:

  • присутност и карактеристике компоненти употребљеног система;
  • компонентне функције;
  • графика;
  • улази
  • интеракција са разним објектима (спољним, унутрашњим) и протоколима, каналима за то;
  • платформе примењене на систем.

Предности ће донети шеме:

  • структурални;
  • протоци података.

Структуре:

  • технички објекти;
  • Софтвер
  • информациона подршка;
  • структурне компоненте.

У пракси се многи документи припремају директно током ревизије. Информације се могу анализирати само када се прикупи максимална количина информација.

Ревизија сигурности ИП-а: анализа

Постоји неколико техника које се користе за анализу добијених података. Избор у корист одређеног заснован је на личним преференцијама ревизора и специфичностима одређеног задатка.

стандарди ревизије информационог система

Најсложенији приступ укључује анализу ризика. За информациони систем формирају се сигурносни захтеви. Они се заснивају на карактеристикама одређеног система и његовог окружења, као и на претњама својственим овом окружењу. Аналитичари се слажу да овај приступ захтева највеће трошкове рада и максималну квалификацију ревизора. Колико ће добар резултат бити одређен методологијом за анализу информација и применљивости изабраних опција на врсту ИП-а.

Практичнија опција је прибегавање безбедносним стандардима за податке. Ово је скуп захтева. Ово је погодно за разне ИП-ове, јер је методологија развијена на основу највећих компанија из различитих земаља.

Из стандарда произлази да ли су безбедносни захтеви у зависности од нивоа заштите система и његове припадности одређеној институцији. Много тога зависи од сврхе ИП-а. Главни задатак ревизора је да правилно утврди који сет безбедносних захтева је релевантан у датом случају. Изаберите технику којом ће проценити да ли постојећи системски параметри одговарају стандардима. Технологија је прилично једноставна, поуздана и стога широко распрострањена. Уз мала улагања, резултат може бити тачан закључак.

Занемаривање је неприхватљиво!

Пракса показује да су многи менаџери, посебно мале фирме, као и они чија предузећа послују већ дуже време и не желе да савладају све најновије технологије, прилично неопрезни у погледу ревизије информационих система, јер једноставно не схватају важност ове мере. Обично само оштећење предузећа изазива власти да предузму мере за верификацију, идентификацију ризика и заштиту предузећа. Други су суочени са чињеницом да краду информације о клијентима, други пропуштају из база података других уговорних страна или остављају информације о кључним предностима одређеног ентитета. Потрошачи више не верују компанији чим се случај објави, а компанија трпи више штете него само губитак података.

информациона технологија

Ако постоји могућност цурења информација, немогуће је изградити ефикасно предузеће које има добре могућности сада и у будућности. Свака компанија има податке који су вредни трећим лицима и треба их заштитити. Да би заштита била на највишем нивоу, потребна је ревизија да би се утврдиле слабости. Мора узети у обзир међународне стандарде, методологије, најновија достигнућа.

На ревизији:

  • процијенити ниво заштите;
  • анализирати примењене технологије;
  • прилагодити сигурносне документе;
  • симулирају ризичне ситуације у којима је могуће пропуштање података;
  • препоручити имплементацију решења за уклањање рањивости.

Проведите ове догађаје на један од три начина:

  • активан;
  • стручњак;
  • откривајући усаглашеност са стандардима.

Обрасци ревизије

Активна ревизија укључује процену система који потенцијални хакер гледа. Његово је гледиште да ревизори „пробају“ сами - они проучавају заштиту мреже за коју користе специјализовани софтвер и јединствене технике. Такође је потребна интерна ревизија, такође вршена са становишта наводног преступника који жели да украде податке или поремети систем.

технологија за ревизију банкарских информационих система

Стручна ревизија провјерава да ли је имплементирани систем идеалан. Када се идентификује усклађеност са стандардима, као основу се узима апстрактни опис стандарда са којима се постојећи објекат упоређује.

Закључак

Исправно и квалитативно спроведена ревизија омогућава вам да добијете следеће резултате:

  • минимизирање вероватноће успешног хакерског напада, оштећења од њега;
  • изузетак напада заснован на промени архитектуре система и протока информација;
  • осигурање као средство за смањење ризика;
  • минимизирање ризика до нивоа када се човек може у потпуности игнорисати.


Додајте коментар
×
×
Јесте ли сигурни да желите да избришете коментар?
Избриши
×
Разлог за жалбу

Девојка је покушавала да не троши новац месец дана. Експеримент је оставио њена мешана осећања

Посао

Приче о успеху

Опрема