Mga heading
...

Pag-audit ng mga sistema ng impormasyon. Banta sa seguridad ng impormasyon. Teknolohiya ng impormasyon

Ang audit ng mga sistema ng impormasyon ay nagbibigay ng nauugnay at tumpak na data sa kung paano gumagana ang IP. Batay sa data na nakuha, posible na magplano ng mga aktibidad upang mapabuti ang kahusayan ng negosyo. Ang kasanayan ng pagsasagawa ng isang pag-audit ng isang sistema ng impormasyon ay sa paghahambing ng pamantayan, ang tunay na sitwasyon. Pinag-aaralan nila ang mga pamantayan, pamantayan, regulasyon at kasanayan na naaangkop sa iba pang mga kumpanya. Kapag nagsasagawa ng isang pag-audit, ang isang negosyante ay nakakakuha ng isang ideya kung paano naiiba ang kanyang kumpanya mula sa isang normal na matagumpay na kumpanya sa isang katulad na lugar.

Pangkalahatang pagtingin

Ang teknolohiya ng impormasyon sa modernong mundo ay lubos na binuo. Mahirap isipin ang isang negosyo na walang mga sistema ng impormasyon sa serbisyo:

  • pandaigdigan;
  • lokal.

Sa pamamagitan ng IP na ang isang kumpanya ay maaaring gumana nang normal at makasabay sa mga oras. Ang ganitong mga pamamaraan ay kinakailangan para sa isang mabilis at kumpletong pagpapalitan ng impormasyon sa kapaligiran, na nagpapahintulot sa kumpanya na umangkop sa mga pagbabago sa mga kinakailangan sa imprastruktura at merkado. Ang mga sistema ng impormasyon ay dapat masiyahan ang isang bilang ng mga kinakailangan na magbabago sa paglipas ng panahon (ang mga bagong pag-unlad, ipinakilala ang mga pamantayan, inilapat ang mga na-update na algorithm). Sa anumang kaso, pinapayagan ka ng teknolohiya ng impormasyon na mabilis mong mai-access ang mga mapagkukunan, at ang problemang ito ay nalulutas sa pamamagitan ng IP. Bilang karagdagan, ang mga modernong sistema:

  • nasusukat
  • nababaluktot;
  • maaasahan;
  • ligtas.

Ang mga pangunahing gawain ng pag-audit ng mga sistema ng impormasyon ay upang matukoy kung ang ipinatupad na IP ay nakakatugon sa tinukoy na mga parameter.

pag-audit ng mga sistema ng impormasyon

Audit: uri

Ang madalas na ginagamit ay ang tinatawag na proseso ng pag-audit ng sistema ng impormasyon. Halimbawa: sinuri ng mga eksperto sa labas ang mga ipinatupad na mga system para sa pagkakaiba-iba mula sa mga pamantayan, kabilang ang pag-aaral ng proseso ng paggawa, ang output kung saan ay software.

Ang isang pag-audit ay maaaring isagawa na naglalayong makilala ang tama nang wasto ang sistema ng impormasyon sa gawain. Ang kasanayan ng negosyo ay inihambing sa mga pamantayan ng tagagawa at kilalang mga halimbawa ng mga internasyonal na korporasyon.

Ang isang pag-audit ng sistema ng seguridad ng impormasyon ng isang kumpanya ay nakakaapekto sa istraktura ng organisasyon. Ang layunin ng naturang kaganapan ay upang makahanap ng mga manipis na lugar sa kawani ng IT department at makilala ang mga problema, pati na rin ang mga rekomendasyon ng form para sa kanilang solusyon.

Sa wakas, ang pag-audit ng sistema ng seguridad ng impormasyon ay naglalayong kontrol sa kalidad. Pagkatapos ang mga inimbitahang eksperto ay suriin ang estado ng mga proseso sa loob ng negosyo, subukan ang ipinatupad na sistema ng impormasyon at gumuhit ng ilang mga konklusyon sa natanggap na impormasyon. Karaniwan, ginagamit ang modelo ng TMMI.

Mga layunin sa pag-audit

Ang isang madiskarteng pag-audit ng estado ng mga sistema ng impormasyon ay nagbibigay-daan sa iyo upang makilala ang mga kahinaan sa ipinatupad na IP at tukuyin kung saan hindi epektibo ang paggamit ng teknolohiya. Sa output ng tulad ng isang proseso, ang customer ay magkakaroon ng mga rekomendasyon upang maalis ang mga pagkukulang.

Pinapayagan ka ng isang pag-audit na suriin kung gaano kahusay na gumawa ng mga pagbabago sa kasalukuyang istraktura at kung gaano katagal aabutin. Ang mga espesyalista na nag-aaral ng kasalukuyang istraktura ng impormasyon ng kumpanya ay makakatulong sa iyo na piliin ang mga tool upang maipatupad ang programa sa pagpapabuti, isinasaalang-alang ang mga katangian ng kumpanya. Batay sa mga resulta, maaari ka ring magbigay ng tumpak na pagtatasa kung gaano karaming mga mapagkukunan ang kailangan ng kumpanya.Susuriin sila sa intelektwal, pananalapi, paggawa.

Mga Kaganapan

Ang panloob na pag-audit ng mga sistema ng impormasyon ay may kasamang pagpapatupad ng mga aktibidad tulad ng:

  • Imbentaryo ng IT;
  • pagkilala sa pagkarga sa mga istruktura ng impormasyon;
  • pagtatasa ng mga istatistika, data na nakuha sa imbentaryo;
  • pagtukoy kung ang mga kinakailangan ng negosyo at mga kakayahan ng ipinatupad na IP ay pare-pareho;
  • ulat ng henerasyon;
  • pag-unlad ng mga rekomendasyon;
  • pormalisasyon ng pondo ng NSI.

Resulta ng pag-audit

Ang isang madiskarteng pag-audit ng estado ng mga sistema ng impormasyon ay isang pamamaraan na: nagbibigay-daan sa iyo upang makilala ang mga dahilan ng kakulangan ng pagiging epektibo ng ipinatupad na sistema ng impormasyon; upang mahulaan ang pag-uugali ng IP kapag inaayos ang daloy ng impormasyon (bilang ng mga gumagamit, dami ng data); magbigay ng mga impormasyong solusyon na makakatulong sa pagtaas ng produktibo (kagamitan acquisition, pagpapabuti ng ipinatupad na sistema, kapalit); magbigay ng mga rekomendasyon na naglalayong mapabuti ang pagiging produktibo ng mga kagawaran ng kumpanya, na-optimize ang pamumuhunan sa teknolohiya. At din upang makabuo ng mga hakbang na nagpapabuti sa kalidad ng antas ng serbisyo ng mga sistema ng impormasyon.

Mahalaga ito!

Walang ganoong unibersal na IP na angkop sa anumang negosyo. Mayroong dalawang karaniwang mga batayan sa batayan kung saan maaari kang lumikha ng isang natatanging sistema para sa mga kinakailangan ng isang partikular na negosyo:

  • 1C.
  • Oracle

Ngunit tandaan na ito ay lamang ang batayan, hindi na. Ang lahat ng mga pagpapabuti upang maging epektibo ang isang negosyo, kailangan mong i-program, isinasaalang-alang ang mga katangian ng isang partikular na negosyo. Tiyak na kailangan mong magpasok ng mga nakaraang nawawalang mga pag-andar at huwag paganahin ang mga ibinibigay ng pangunahing pagpupulong. Ang modernong teknolohiya para sa pag-awdit ng mga sistema ng impormasyon sa pagbabangko ay makakatulong upang maunawaan kung ano mismo ang mga tampok ng isang IP at kung ano ang kailangang ibukod upang ang corporate system ay optimal, mahusay, ngunit hindi masyadong "mabigat".

estratehikong pag-audit ng estado ng mga sistema ng impormasyon

Impormasyon sa Seguridad ng Seguridad

Ang isang pagsusuri upang matukoy ang mga banta sa seguridad ng impormasyon ay maaaring ng dalawang uri:

  • panlabas;
  • panloob.

Ang una ay nagsasangkot ng isang beses na pamamaraan. Inayos ng pinuno ng kumpanya. Inirerekomenda na regular na magsagawa ng gayong panukala upang mapanatili ang kontrol sa sitwasyon. Ang isang bilang ng mga kumpanya ng pinagsamang-stock at mga pampinansyal na organisasyon ay nagpakilala ng isang kinakailangan para sa isang panlabas na pag-audit ng seguridad ng IT na maipatupad.

Panloob - ito ay regular na isinasagawa ang mga aktibidad na kinokontrol ng lokal na batas sa regulasyon na "Regulation sa Internal Audit". Ang isang taunang plano ay nabuo para sa pulong (inihanda ito ng kagawaran na responsable para sa pag-audit), sabi ng CEO, isa pang manager. IT audit - maraming mga kategorya ng mga kaganapan, security audit ay hindi ang huling kahalagahan.

Mga layunin

Ang pangunahing layunin ng pag-audit ng mga sistema ng impormasyon sa mga tuntunin ng seguridad ay upang makilala ang mga panganib na nauugnay sa IP na nauugnay sa mga banta sa seguridad. Bilang karagdagan, ang mga kaganapan ay nakakatulong upang makilala:

  • mga kahinaan ng kasalukuyang sistema;
  • pagsunod sa system na may mga pamantayan sa seguridad ng impormasyon;
  • antas ng seguridad sa kasalukuyang oras.

Kapag nagsasagawa ng isang pag-audit ng seguridad, ang mga rekomendasyon ay isasagawa na magpapabuti sa mga kasalukuyang solusyon at magpapakilala sa mga bago, sa gayon ay gagawing ligtas at protektado ang kasalukuyang IP mula sa iba't ibang mga banta.

banta sa seguridad

Kung ang isang panloob na pag-audit ay isinasagawa upang makilala ang mga banta sa seguridad ng impormasyon, pagkatapos ay isinasaalang-alang din ito:

  • patakaran sa seguridad, ang kakayahang makabuo ng bago, pati na rin ang iba pang mga dokumento na nagpoprotekta sa data at gawing simple ang kanilang aplikasyon sa proseso ng paggawa ng korporasyon;
  • ang pagbuo ng mga gawain sa seguridad para sa mga empleyado ng departamento ng IT;
  • pagsusuri ng mga sitwasyon na kinasasangkutan ng mga paglabag;
  • pagsasanay mga gumagamit ng corporate system, mga tauhan ng pagpapanatili sa pangkalahatang aspeto ng seguridad.

Panloob na Audit: Mga Tampok

Ang nakalista na mga gawain na nakatakda para sa mga empleyado kapag nagsasagawa ng isang panloob na pag-audit ng mga sistema ng impormasyon, sa diwa, ay hindi mga pag-awdit. Ang teoryang nagsasagawa ng mga kaganapan lamang bilang sinusuri ng isang dalubhasa ang mga mekanismo kung saan ligtas ang sistema. Ang taong kasangkot sa gawain ay naging isang aktibong kalahok sa proseso at nawalan ng kalayaan, hindi na masigyang masuri ang sitwasyon at kontrolin ito.

Sa kabilang banda, sa pagsasagawa, sa isang panloob na pag-audit, halos imposible na lumayo. Ang katotohanan ay upang maisagawa ang gawain, ang isang espesyalista ng kumpanya ay kasangkot, sa ibang mga oras na nakikibahagi sa iba pang mga gawain sa isang katulad na larangan. Nangangahulugan ito na ang auditor ay ang parehong empleyado na may kakayahang lutasin ang mga gawain na nabanggit sa itaas. Samakatuwid, kailangan mong ikompromiso: sa pagkasira ng objectivity, isangkot ang empleyado sa pagsasanay upang makakuha ng isang karapat-dapat na resulta.

Security Audit: Mga Hakbang

Ito ay sa maraming mga paraan na katulad ng mga hakbang ng isang pangkalahatang pag-audit sa IT. Ilalaan:

  • pagsisimula ng mga kaganapan;
  • pagkolekta ng isang base para sa pagsusuri;
  • pagsusuri;
  • pagbuo ng mga konklusyon;
  • pag-uulat.

Pagsisimula ng isang pamamaraan

Ang isang pag-audit ng mga sistema ng impormasyon sa mga tuntunin ng seguridad ay nagsisimula kapag ang pinuno ng kumpanya ay nagbibigay ng pasulong, dahil ang mga bosses ay ang mga tao na pinaka-interesado sa epektibong pag-verify ng negosyo. Hindi posible ang isang pag-audit kung hindi suportado ng pamamahala ang pamamaraan.

Karaniwang kumplikado ang audit ng mga system ng impormasyon. Ito ay nagsasangkot sa auditor at ilang mga indibidwal na kumakatawan sa iba't ibang mga kagawaran ng kumpanya. Mahalaga ang pakikipagtulungan ng lahat ng mga kalahok sa pag-audit. Kapag sinimulan ang isang pag-audit, mahalaga na bigyang pansin ang mga sumusunod na puntos:

  • pagdodokumento ng mga obligasyon, karapatan ng auditor;
  • paghahanda, pag-apruba ng plano sa pag-audit;
  • pagtatala ng katotohanan na ang mga empleyado ay obligadong magbigay ng lahat ng posibleng tulong sa auditor at ibigay ang lahat ng mga data na hiniling sa kanya.

Nasa oras ng pagsisimula ng pag-audit, mahalaga na maitaguyod ang lawak kung saan ang mga sistema ng impormasyon ay nasuri. Habang ang ilang mga IP subsystem ay kritikal at nangangailangan ng espesyal na pansin, ang iba ay hindi at medyo hindi mahalaga, samakatuwid, pinahihintulutan ang kanilang pagbubukod. Tiyak na magkakaroon ng naturang mga subsystem, ang pag-verify kung saan imposible, dahil ang lahat ng impormasyon na naka-imbak doon ay lihim.

Plano at hangganan

Bago simulan ang trabaho, nabuo ang isang listahan ng mga mapagkukunan na dapat suriin. Maaari itong:

  • impormasyon;
  • software;
  • teknikal.

Kinikilala nila kung aling mga site ang isinasagawa ang pag-audit, na pinagbantaan ang system na nasuri. May mga hangganan sa organisasyon ng kaganapan, mga aspeto ng seguridad na ipinag-uutos para sa pagsasaalang-alang sa panahon ng pag-audit. Nabuo ang isang priority rating na nagpapahiwatig ng saklaw ng pag-audit. Ang nasabing mga hangganan, pati na rin ang plano ng pagkilos, ay inaprubahan ng Pangkalahatang Direktor, ngunit paunang naisumite ng paksa ng pangkalahatang pulong ng pagtatrabaho, kung saan ang mga pinuno ng departamento, isang auditor at mga executive ng kumpanya ay naroroon.

Pagkuha ng data

Kapag nagsasagawa ng isang pag-audit ng seguridad, ang mga pamantayan para sa mga sistema ng impormasyon sa pag-awdit ay tulad na ang yugto ng pagkolekta ng impormasyon ay ang pinakamahaba at pinaka matrabaho. Bilang isang patakaran, ang IP ay walang dokumentasyon para dito, at ang auditor ay pinilit na gumana nang malapit sa maraming mga kasamahan.

Upang ang mga konklusyon na ginawa upang maging karampatang, ang auditor ay dapat makatanggap ng isang maximum na data. Natutunan ng auditor ang tungkol sa kung paano inayos ang sistema ng impormasyon, kung paano ito gumana at kung anong kondisyon ito mula sa organisasyon, administratibo, teknikal na dokumentasyon, sa kurso ng malayang pananaliksik at aplikasyon ng dalubhasang software.

Mga dokumento na kinakailangan sa gawain ng auditor:

  • istraktura ng organisasyon ng mga kagawaran na naghahatid ng IP;
  • istraktura ng organisasyon ng lahat ng mga gumagamit.

Ang mga empleyado ng auditor ay nakikipanayam, na nagpapakilala:

  • Tagabigay
  • may-ari ng data;
  • data ng gumagamit.

layunin ng mga sistema ng impormasyon sa pag-awdit

Upang gawin ito, kailangan mong malaman:

  • pangunahing uri ng mga aplikasyon ng IP;
  • bilang, mga uri ng mga gumagamit;
  • mga serbisyong ibinigay sa mga gumagamit.

Kung ang kumpanya ay may mga dokumento sa IP mula sa listahan sa ibaba, kinakailangan upang maibigay ang mga ito sa auditor:

  • paglalarawan ng mga teknikal na pamamaraan;
  • Paglalarawan ng mga pamamaraan para sa pag-andar ng automating;
  • functional diagram;
  • nagtatrabaho, mga dokumento ng proyekto.

Pagkilala sa istraktura ng IP

Para sa mga tamang konklusyon, ang auditor ay dapat magkaroon ng lubos na pag-unawa sa mga tampok ng sistema ng impormasyon na ipinatupad sa kumpanya. Kailangan mong malaman kung ano ang mga mekanismo ng seguridad, kung paano ito ipinamamahagi sa system sa pamamagitan ng mga antas. Upang gawin ito, alamin:

  • ang pagkakaroon at mga tampok ng mga sangkap ng system na ginamit;
  • mga function ng sangkap;
  • graphics;
  • mga input
  • pakikipag-ugnay sa iba't ibang mga bagay (panlabas, panloob) at mga protocol, mga channel para dito;
  • inilapat ang mga platform sa system.

Ang mga benepisyo ay magdadala ng mga scheme:

  • istruktura;
  • mga daloy ng data.

Mga istruktura:

  • mga teknikal na pasilidad;
  • Software
  • suporta sa impormasyon;
  • mga sangkap na istruktura.

Sa pagsasagawa, marami sa mga dokumento ay handa nang direkta sa panahon ng pag-audit. Maaaring masuri lamang ang impormasyon kapag kinokolekta ang maximum na dami ng impormasyon.

IP Security Security: Pagtatasa

Mayroong maraming mga pamamaraan na ginamit upang pag-aralan ang mga datos na nakuha. Ang pagpili sa pabor ng isang tukoy ay batay sa mga personal na kagustuhan ng auditor at ang mga detalye ng isang partikular na gawain.

mga pamantayan sa pag-audit ng system ng impormasyon

Ang pinaka kumplikadong diskarte ay nagsasangkot ng pagsusuri sa mga panganib. Para sa sistema ng impormasyon, nabuo ang mga kinakailangan sa seguridad. Ang mga ito ay batay sa mga tampok ng isang partikular na sistema at ang kapaligiran nito, pati na rin ang mga banta na likas sa kalikasan na ito. Sumasang-ayon ang mga analyst na ang pamamaraang ito ay nangangailangan ng pinakamalaking gastos sa paggawa at ang maximum na kwalipikasyon ng auditor. Kung gaano kahusay ang magiging resulta ay natutukoy ng pamamaraan para sa pagsusuri ng impormasyon at ang kakayahang magamit ng mga napiling pagpipilian sa uri ng IP.

Ang isang mas praktikal na pagpipilian ay ang paggamit ng mga pamantayan sa seguridad para sa data. Ito ay isang hanay ng mga kinakailangan. Ito ay angkop para sa iba't ibang mga IP, dahil ang pamamaraan ay binuo sa batayan ng mga pinakamalaking kumpanya mula sa iba't ibang mga bansa.

Mula sa mga pamantayang sumusunod sa kung ano ang mga kinakailangan sa seguridad, depende sa antas ng proteksyon ng system at ang kaugnayan nito sa isang partikular na institusyon. Malaki ang nakasalalay sa layunin ng IP. Ang pangunahing gawain ng auditor ay upang matukoy nang tama kung aling hanay ng mga kinakailangan sa seguridad ang may kaugnayan sa isang naibigay na kaso. Pumili ng isang pamamaraan kung saan sinusuri nila kung ang umiiral na mga parameter ng system ay sumunod sa mga pamantayan. Ang teknolohiya ay medyo simple, maaasahan, at sa gayon laganap. Sa maliit na pamumuhunan, ang resulta ay maaaring tumpak na mga konklusyon.

Ang hindi pagpapabaya ay hindi katanggap-tanggap!

Ipinakita ng kasanayan na maraming mga tagapamahala, lalo na ang mga maliliit na kumpanya, pati na rin ang mga na ang mga kumpanya ay nagpapatakbo ng mahabang panahon at hindi naghahangad na makabisado ang lahat ng mga pinakabagong teknolohiya, sa halip ay walang kamalayan tungkol sa pag-audit ng mga sistema ng impormasyon sapagkat hindi nila alam ang kahalagahan ng panukalang ito. Karaniwan, ang pinsala lamang sa negosyo ang pumupukaw sa mga awtoridad upang gumawa ng mga hakbang upang mapatunayan, makilala ang mga panganib at protektahan ang negosyo. Ang iba ay nahaharap sa katotohanan na nakawin nila ang impormasyon ng kliyente, ang iba ay tumagas mula sa mga database ng mga katapat o nag-iiwan ng impormasyon tungkol sa mga pangunahing pakinabang ng isang tiyak na nilalang. Hindi na pinagkakatiwalaan ng mga mamimili ang kumpanya sa sandaling ang kaso ay ginawang publiko, at ang kumpanya ay naghihirap ng mas maraming pinsala kaysa sa pagkawala ng data.

teknolohiya ng impormasyon

Kung may posibilidad ng pagtagas ng impormasyon, imposibleng magtayo ng isang epektibong negosyo na may magagandang oportunidad ngayon at sa hinaharap. Ang anumang kumpanya ay may data na mahalaga sa mga ikatlong partido, at kailangan nilang protektahan. Para sa proteksyon na maging sa pinakamataas na antas, kinakailangan ang isang pag-audit upang makilala ang mga kahinaan. Dapat itong isaalang-alang ang mga internasyonal na pamantayan, pamamaraan, ang pinakabagong mga pag-unlad.

Sa audit:

  • suriin ang antas ng proteksyon;
  • pag-aralan ang mga teknolohiyang inilalapat;
  • ayusin ang mga dokumento sa seguridad;
  • gayahin ang mga panganib na sitwasyon kung saan posible ang pagtagas ng data;
  • inirerekumenda ang pagpapatupad ng mga solusyon upang maalis ang mga kahinaan.

Isagawa ang mga kaganapang ito sa isa sa tatlong paraan:

  • aktibo;
  • dalubhasa;
  • nagbubunyag ng pagsunod sa mga pamantayan.

Mga form ng audit

Ang aktibong pag-audit ay nagsasangkot ng pagsusuri sa system na tinitingnan ng isang potensyal na hacker. Ito ay ang kanyang punto ng view na "subukan" sa kanilang sarili - pinag-aralan nila ang proteksyon ng network, kung saan gumagamit sila ng dalubhasang software at natatanging pamamaraan. Kinakailangan din ang isang panloob na pag-audit, na isinasagawa mula sa punto ng view ng nagkasala na nais na magnakaw ng data o magulo sa system.

teknolohiya para sa pag-awdit ng mga sistema ng impormasyon sa pagbabangko

Sinusuri ng isang dalubhasa sa pag-audit kung ang ideal na sistema ay perpekto. Kapag nagpapakilala sa pagsunod sa mga pamantayan, ang isang abstract na paglalarawan ng mga pamantayan na kung saan ang umiiral na bagay ay inihambing ay kinukuha bilang batayan.

Konklusyon

Ang tama at husay na isinagawa na pag-audit ay nagbibigay-daan sa iyo upang makuha ang mga sumusunod na resulta:

  • pag-minimize ng posibilidad ng isang matagumpay na pag-atake ng hacker, pinsala mula dito;
  • ang pagbubukod ng isang pag-atake batay sa isang pagbabago sa arkitektura ng system at daloy ng impormasyon;
  • seguro bilang isang paraan ng pagbabawas ng mga panganib;
  • pagbabawas ng panganib sa isang antas kung saan ang isang tao ay maaaring ganap na hindi papansinin.


Magdagdag ng isang puna
×
×
Sigurado ka bang gusto mong tanggalin ang komento?
Tanggalin
×
Dahilan para sa reklamo

Sinubukan ng batang babae na huwag gumastos ng isang buwan. Iniwan ng eksperimento ang kanyang halo-halong mga damdamin

Negosyo

Mga kwentong tagumpay

Kagamitan