Kategoriler
...

Bilgi sistemlerinin denetimi. Bilgi güvenliğine yönelik tehditler. Bilgi teknolojisi

Bilgi sistemlerinin denetimi, IP'nin nasıl çalıştığıyla ilgili ve doğru veriler sağlar. Elde edilen verilere dayanarak, işletmenin verimliliğini artıracak faaliyetlerin planlanması mümkündür. Bir bilgi sisteminin denetimini yürütme uygulaması, standart olan gerçek durumu karşılaştırmaktadır. Diğer firmalarda geçerli olan normları, standartları, yönetmelikleri ve uygulamaları incelerler. Bir denetim yaparken girişimci, benzer bir alanda başarılı ve başarılı bir şirketten nasıl bir şirket ayrıldığına dair bir fikir edinir.

Genel görünüm

Modern dünyada bilgi teknolojisi son derece gelişmiştir. Hizmetinde bilgi sistemleri bulunmayan bir işletmeyi hayal etmek zor:

  • küresel;
  • Yerel.

Bir şirketin normal şekilde çalışabilmesi ve zamana ayak uydurabilmesi IP aracılığıyla gerçekleşir. Bu tür metodolojiler, şirketin altyapı ve pazar gereksinimlerindeki değişikliklere uyum sağlamasına olanak sağlayan, çevreyle hızlı ve eksiksiz bilgi alışverişi için gereklidir. Bilgi sistemleri zaman içinde değişen bir takım gereksinimleri karşılamalıdır (yeni gelişmeler, standartlar getirilmiş, güncellenmiş algoritmalar uygulanmıştır). Her durumda, bilgi teknolojisi kaynaklara hızlı bir şekilde erişmenizi sağlar ve bu sorun IP üzerinden çözülür. Ayrıca, modern sistemler:

  • ölçeklenebilir;
  • esnek;
  • güvenilir;
  • Güvenli.

Bilgi sistemlerinin denetiminin temel görevleri, uygulanan IP'nin belirtilen parametreleri karşılayıp karşılamadığını belirlemektir.

bilgi sistemlerinin denetimi

Denetim: türleri

Çok sık kullanılan, bilgi sisteminin sözde süreç denetimidir. Örnek: Dış uzmanlar, çıktıları yazılım olan üretim sürecini incelemek dahil standartlardan farklılıklara yönelik uygulanan sistemleri analiz eder.

Çalışmada bilgi sisteminin ne kadar doğru kullanıldığını belirlemeye yönelik bir denetim yapılabilir. İşletmenin uygulaması, üreticinin standartları ve tanınmış uluslararası şirket örnekleri ile karşılaştırılır.

Bir işletmenin bilgi güvenliği sisteminin denetimi, organizasyon yapısını etkiler. Böyle bir etkinliğin amacı, BT departmanı personelinde ince noktalar bulmak ve sorunları tanımlamak ve çözüm önerileri oluşturmaktır.

Son olarak, bilgi güvenliği sisteminin denetimi kalite kontrolüne yöneliktir. Daha sonra davet edilen uzmanlar işletme içindeki süreçlerin durumunu değerlendirir, uygulanan bilgi sistemini test eder ve elde edilen bilgiler hakkında bazı sonuçlar çıkarır. Tipik olarak, TMMI modeli kullanılır.

Denetim hedefleri

Bilgi sistemlerinin durumunun stratejik olarak denetlenmesi, uygulanan IP’deki zayıf yönleri ve teknolojinin kullanımının nerede etkili olmadığını tespit etmenizi sağlar. Böyle bir işlemin çıktısında, müşteri eksiklikleri gidermek için önerilerde bulunacaktır.

Denetim, mevcut yapı üzerinde değişiklik yapmanın ne kadar pahalı olacağını ve ne kadar süreceğini değerlendirmenize olanak sağlar. Şirketin mevcut bilgi yapısını inceleyen uzmanlar, şirketin özelliklerini dikkate alarak geliştirme programını uygulamak için araçları seçmenize yardımcı olacaktır. Sonuçlara dayanarak, şirketin ihtiyaç duyduğu kaynak miktarının doğru bir değerlendirmesini de yapabilirsiniz.Entelektüel, parasal, üretim analiz edilir.

önlemler

Bilgi sistemlerinin iç denetimi aşağıdaki gibi faaliyetlerin uygulanmasını içerir:

  • BT envanteri;
  • bilgi yapıları üzerindeki yükün tanımlanması;
  • istatistiklerin değerlendirilmesi; envanter sırasında elde edilen veriler;
  • İşletmenin gereksinimlerinin ve uygulanan IP'nin yeteneklerinin olup olmadığının belirlenmesi
  • rapor oluşturma;
  • önerilerin geliştirilmesi;
  • NSI fonunun resmileştirilmesi.

Denetim sonucu

Bilgi sistemlerinin durumunun stratejik olarak denetlenmesi, aşağıdakileri içeren bir prosedürdür: Uygulanan bilgi sisteminin etkin olmama nedenlerini belirlemenizi sağlar; bilgi akışını ayarlarken IP'nin davranışını tahmin etmek (kullanıcı sayısı, veri hacmi); Verimliliği artırmaya yardımcı olan bilinçli çözümler sunmak (ekipman alımı, uygulanan sistemin iyileştirilmesi, değiştirilmesi); Şirket departmanlarının verimliliğini artırmaya, teknolojiye yatırımları optimize etmeye yönelik önerilerde bulunmak. Ayrıca bilgi sistemlerinin hizmet kalitesini yükseltecek önlemler geliştirmek.

Bu önemli!

Herhangi bir işletmeye uygun bir evrensel IP yoktur. Belirli bir işletmenin gereksinimleri için benzersiz bir sistem oluşturabileceğiniz temelinde iki ortak temel vardır:

  • 1C.
  • Oracle.

Ama bunun sadece temel olduğunu unutmayın, artık değil. Bir işletmeyi etkin kılmak için yapılan tüm iyileştirmeler, belirli bir işletmenin özelliklerini dikkate alarak programlamanız gerekir. Elbette daha önce eksik olan fonksiyonları girmeniz ve temel montaj tarafından sağlananları devre dışı bırakmanız gerekir. Bankacılık bilgi sistemlerini denetlemeye yönelik modern teknoloji, bir IP'nin tam olarak hangi özelliklere sahip olması gerektiğini ve neyin dışlanması gerektiğini, böylece kurumsal sistemin optimal, verimli, ancak “ağır” olmadığını anlamaya yardımcı olur.

bilgi sistemlerinin durumunun stratejik denetimi

Bilgi Güvenliği Denetimi

Bilgi güvenliğine yönelik tehditleri belirlemeye yönelik bir analiz iki tür olabilir:

  • görünüm;
  • İç.

Birincisi, bir defalık bir prosedür içerir. Şirket başkanı tarafından organize edilmiştir. Durumu kontrol altında tutmak için düzenli olarak böyle bir önlem alınması önerilir. Bazı anonim şirketler ve finansal kuruluşlar, IT güvenliğinin dış denetiminin uygulanması için bir zorunluluk getirmiştir.

İç - bunlar düzenli olarak yerel iç düzenleme yasası "İç Denetim Yönetmeliği" tarafından düzenlenen faaliyetlerdir. Bir başka yönetici olan CEO için toplantı için yıllık bir plan oluşturulur (denetimden sorumlu departman tarafından hazırlanır). BT denetimi - birkaç olay kategorisinde güvenlik denetimi önem arz etmez.

hedefleri

Güvenlik açısından bilgi sistemlerinin denetiminin temel amacı, güvenlik tehditleriyle ilişkili IP ile ilgili riskleri belirlemektir. Ek olarak, olaylar şunları tanımlamaya yardımcı olur:

  • mevcut sistemin zayıf yönleri;
  • sistemin bilgi güvenliği standartlarına uygunluğu;
  • şu andaki güvenlik düzeyi.

Bir güvenlik denetimi yaparken, mevcut çözümleri iyileştirecek ve yenilerini tanıtacak, böylece mevcut IP'yi daha güvenli ve çeşitli tehditlere karşı koruyacak öneriler hazırlanacaktır.

güvenlik tehditleri

Bilgi güvenliğine yönelik tehditleri belirlemek için bir iç denetim gerçekleştirilirse, ek olarak göz önünde bulundurulur:

  • güvenlik politikası, verileri geliştirme ve kurumun üretim sürecinde uygulamalarını basitleştiren diğer belgelerin yanı sıra yeni geliştirme yeteneği;
  • IT departmanı çalışanları için güvenlik görevlerinin oluşturulması;
  • ihlalleri içeren durumların analizi;
  • kurumsal sistem kullanıcılarının, güvenlik personelinin genel güvenlik yönünden eğitilmesi.

İç Denetim: Özellikler

Bilgi sistemlerinin iç denetimini yaparken, çalışanlar için belirlenen listelenen görevler özünde denetim değildir. Teorik olarak olayları yalnızca bir uzman olarak yürütmek, sistemin güvenli olduğu mekanizmaları değerlendirir. Göreve dahil olan kişi süreçte aktif bir katılımcı haline gelir ve bağımsızlığını kaybeder, artık nesnel olarak durumu değerlendiremez ve kontrol edemez.

Öte yandan, uygulamada, bir iç denetimde, uzak durmak neredeyse imkansızdır. Gerçek şu ki, işin yürütülmesi için, bir şirketin uzmanı, diğer zamanlarda da benzer bir alanda başka görevlerde bulunuyorlar. Bu, denetçinin yukarıda belirtilen görevleri çözme yetkinliğine sahip aynı çalışan olduğu anlamına gelir. Bu nedenle, taviz vermek zorundasın: tarafsızlığın zararına, değerli bir sonuç elde etmek için çalışanı pratikte dahil et.

Güvenlik Denetimi: Adımlar

Bunlar, genel bir BT denetiminin adımlarına benzer birçok yöndendir. ayırt edici:

  • olayların başlangıcı;
  • analiz için bir taban toplamak;
  • analiz;
  • sonuçların oluşumu;
  • ifadeleri.

Bir prosedür başlatmak

Güvenlik açısından bilgi sistemlerinin denetimi, şirket başkanı ön plana çıktığında başlar, çünkü patronlar işletmenin etkin bir şekilde doğrulanmasıyla ilgilenen kişilerdir. Yönetim prosedürü desteklemiyorsa denetim yapılamaz.

Bilgi sistemlerinin denetimi genellikle karmaşıktır. Denetçiyi ve şirketin farklı bölümlerini temsil eden birkaç kişiyi içerir. Denetimde tüm katılımcıların işbirliği önemlidir. Bir denetim başlatırken, aşağıdaki noktalara dikkat etmek önemlidir:

  • görevlerin belgelenmesi, denetçinin hakları;
  • denetim planının hazırlanması, onaylanması;
  • Çalışanların denetçiye mümkün olan her türlü yardımı sağlamak ve talep ettiği tüm verileri sağlamakla yükümlü olduğunu belgelemek.

Zaten denetimin başlangıcında, bilgi sistemlerinin ne ölçüde denetlendiğini belirlemek önemlidir. Bazı IP alt sistemleri kritik öneme sahip ve özel dikkat gerektirse de, diğerleri önemsiz değil ve bu nedenle dışlanmalarına izin veriliyor. Kuşkusuz, orada saklanan tüm bilgiler gizli olduğundan, doğrulanması imkansız olan bu tür alt sistemler olacaktır.

Plan ve sınırlar

Çalışmaya başlamadan önce kontrol edilmesi gereken kaynakların bir listesi oluşturulur. Olabilir:

  • bilgi;
  • yazılım;
  • teknik.

Denetimin hangi bölgelerde yapıldığını, sistemin hangi tehditlere karşı kontrol edildiğini belirlerler. Etkinliğin örgütsel sınırları, denetim sırasında göz önünde bulundurulması zorunlu olan güvenlik hususları vardır. Denetimin kapsamını gösteren bir öncelik notu oluşturulmuştur. Bu sınırlar, eylem planının yanı sıra Genel Müdür tarafından da onaylanır, ancak ön çalışma bölümünün, bir denetçinin ve şirket yöneticisinin bulunduğu genel çalışma toplantısı konusu tarafından sunulur.

Veri alımı

Bir güvenlik denetimi yaparken, bilgi sistemlerini denetleme standartları, bilgi toplama aşamasının en uzun ve en zahmetli olduğu şekildedir. Kural olarak, IP'nin belgeleri yoktur ve denetçi sayısız meslektaşla yakın çalışmak zorundadır.

Sonuçların yeterli olması için denetçinin maksimum veri alması gerekir. Denetçi, bağımsız araştırma ve özel yazılımların uygulanması sırasında, bilgi sisteminin nasıl organize edildiğini, nasıl çalıştığını ve ne durumda olduğunu kurumsal, idari, teknik dokümantasyondan öğrenir.

Denetçinin çalışması için gerekli belgeler:

  • IP hizmet veren bölümlerin organizasyon yapısı;
  • tüm kullanıcıların organizasyon yapısı.

Denetçi, aşağıdakileri belirterek çalışanlarla görüşür:

  • sağlayıcı;
  • veri sahibi;
  • kullanıcı verisi.

bilgi sistemlerinin denetlenmesinin amacı

Bunu yapmak için, bilmeniz gerekenler:

  • ana IP uygulama tipleri;
  • sayı, kullanıcı tipleri;
  • kullanıcılara sunulan hizmetler.

Şirketin aşağıdaki listeden IP ile ilgili belgeleri varsa, denetçiye vermeleri gerekir:

  • teknik metodolojilerin tanımı;
  • İşlevlerin otomatikleştirilmesi için kullanılan yöntemlerin açıklaması;
  • fonksiyonel diyagramlar;
  • çalışma, proje belgeleri.

IP yapısının tanımlanması

Doğru sonuçlar için denetçinin, işletmede uygulanan bilgi sisteminin özelliklerini tam olarak anlaması gerekir. Güvenlik mekanizmalarının ne olduğunu, sistemde seviyelere göre nasıl dağıldığını bilmeniz gerekir. Bunu yapmak için şunu bulun:

  • kullanılan sistem bileşenlerinin varlığı ve özellikleri;
  • bileşen fonksiyonları;
  • grafik kalitesi;
  • girişleri;
  • çeşitli nesnelerle etkileşim (dış, iç) ve protokoller, bunun için kanallar;
  • sisteme uygulanan platformlar.

Avantajlar programları getirecektir:

  • yapısal;
  • veri akışları

yapılar:

  • teknik tesisler;
  • yazılım;
  • bilgi desteği;
  • yapısal bileşenler

Uygulamada, belgelerin çoğu denetim sırasında doğrudan hazırlanmaktadır. Bilgi, yalnızca azami miktarda bilgi toplanırken analiz edilebilir.

IP Güvenlik Denetimi: Analiz

Elde edilen verileri analiz etmek için kullanılan birkaç teknik vardır. Belirli birinin lehine olan seçim, denetçinin kişisel tercihlerine ve belirli bir görevin özelliklerine dayanır.

bilgi sistemi denetim standartları

En karmaşık yaklaşım, risklerin analiz edilmesini içerir. Bilgi sistemi için güvenlik gereksinimleri oluşturulmuştur. Belirli bir sistemin ve çevresinin özelliklerine ve bu çevrede bulunan tehditlere dayanır. Analistler bu yaklaşımın en yüksek işgücü maliyetlerini ve denetçinin azami niteliklerini gerektirdiği konusunda hemfikirdirler. Sonucun ne kadar iyi olacağı, bilgilerin analizinde kullanılan metodoloji ve seçilen seçeneklerin IP tipine uygulanabilirliği ile belirlenir.

Daha pratik bir seçenek, veriler için güvenlik standartlarına başvurmaktır. Bunlar bir takım gereksinimlerdir. Metodoloji farklı ülkelerdeki en büyük şirketler bazında geliştirildiği için bu, çeşitli IP'ler için uygundur.

Standartlardan, sistemin korunma düzeyine ve belirli bir kuruma bağlılığına bağlı olarak güvenlik gereksinimleri nelerdir. Çoğu IP'nin amacına bağlıdır. Denetçinin asıl görevi, belirli bir durumda hangi güvenlik gereksinimleri kümesinin uygun olduğunu tespit etmektir. Mevcut sistem parametrelerinin standartlara uygun olup olmadığını değerlendirecekleri bir teknik seçin. Teknoloji oldukça basit, güvenilir ve bu nedenle yaygın. Küçük yatırımlarla sonuç doğru sonuçlar olabilir.

İhmal etmek kabul edilemez!

Uygulama, pek çok yöneticinin, özellikle küçük firmaların yanı sıra şirketleri uzun süredir faaliyet gösteren ve en son teknolojilerin hepsine hakim olmak istemeyenlerin, bu önlemin önemini anlamadıklarından, bilgi sistemlerinin denetimi konusunda oldukça dikkatsiz olduklarını göstermektedir. Genellikle, yalnızca işletmeye zarar vermek, yetkilileri riskleri doğrulamak, riskleri belirlemek ve işletmeyi korumak için önlemler almaya teşvik eder. Diğerleri, müşteri bilgilerini çalmaları, diğerlerinin diğerlerinin veritabanlarından sızması ya da belirli bir işletmenin önemli avantajları hakkında bilgi bırakmaları gerçeğiyle karşı karşıyadır. Tüketiciler, dava halka açılır açılmaz şirkete artık güvenmiyor ve şirket sadece veri kaybından daha fazla zarar görüyor.

bilgi teknolojisi

Bilgi sızıntısı olasılığı varsa, şimdi ve gelecekte iyi fırsatları olan etkili bir işletme kurmak mümkün değildir. Herhangi bir şirketin üçüncü taraflar için değerli verileri vardır ve korunmaları gerekir. Korumanın en üst düzeyde olması için, zayıf yönlerin belirlenmesi için bir denetim gereklidir. Uluslararası standartları, metodolojileri, en son gelişmeleri dikkate almalıdır.

Denetimde:

  • koruma seviyesini değerlendirmek;
  • uygulamalı teknolojileri analiz etmek;
  • güvenlik belgelerini ayarlamak;
  • veri kaçağının mümkün olduğu risk durumlarını simüle etmek;
  • güvenlik açıklarını gidermek için çözümlerin uygulanmasını tavsiye eder.

Bu olayları üç yoldan biriyle yürütün:

  • aktif madde;
  • uzman;
  • standartlara uygunluğu ortaya koymak.

Denetim formları

Aktif denetim, potansiyel bir hacker'ın aradığı sistemi değerlendirmeyi içerir. Denetçilerin kendilerini “denedikleri” düşüncesi - özel yazılımlar ve benzersiz teknikler kullandıkları ağ koruması araştırıyorlar. Ayrıca, verileri çalmak veya sistemi bozmak isteyen iddia edilen suçlunun bakış açısından da bir iç denetim gereklidir.

bankacılık bilgi sistemlerini denetleme teknolojisi

Uzman denetimi, uygulanan sistemin ideal olup olmadığını kontrol eder. Standartlara uygunluğu belirlerken mevcut nesnenin karşılaştırıldığı standartların soyut bir açıklaması esas alınır.

Sonuç

Doğru ve niteliksel olarak yürütülen denetim aşağıdaki sonuçları almanıza izin verir:

  • başarılı bir hacker saldırısı olasılığını en aza indirgemek, bundan zarar vermek;
  • sistem mimarisindeki değişime ve bilgi akışına dayanan bir saldırının istisnası;
  • riskleri azaltma aracı olarak sigorta;
  • riskin tamamen göz ardı edilebileceği bir seviyeye indirilmesi.


Yorum ekle
×
×
Yorumu silmek istediğinize emin misiniz?
silmek
×
Şikayet nedeni

Kız bir ay boyunca para harcamaya çalıştı. Deney onun karışık duygularını bıraktı

Başarı hikayeleri

ekipman