Kiểm toán hệ thống thông tin. Đe dọa bảo mật thông tin. Công nghệ thông tin

Kiểm toán hệ thống thông tin cung cấp dữ liệu liên quan và chính xác về cách thức hoạt động của IP. Dựa trên dữ liệu thu được, có thể lập kế hoạch hoạt động để nâng cao hiệu quả của doanh nghiệp. Việc thực hiện kiểm toán một hệ thống thông tin là so sánh tiêu chuẩn, tình hình thực tế. Họ nghiên cứu các tiêu chuẩn, tiêu chuẩn, quy định và thực hành áp dụng trong các công ty khác. Khi tiến hành kiểm toán, một doanh nhân có ý tưởng về cách công ty của mình khác với một công ty thành công bình thường trong một lĩnh vực tương tự.

Tổng quan

Công nghệ thông tin trong thế giới hiện đại vô cùng phát triển. Thật khó tưởng tượng một doanh nghiệp không có hệ thống thông tin phục vụ:

• toàn cầu;
• địa phương.

Thông qua IP, một công ty có thể hoạt động bình thường và theo kịp thời đại. Phương pháp như vậy là cần thiết để trao đổi thông tin nhanh chóng và đầy đủ với môi trường, cho phép công ty thích ứng với những thay đổi trong cơ sở hạ tầng và yêu cầu thị trường. Hệ thống thông tin phải đáp ứng một số yêu cầu thay đổi theo thời gian (phát triển mới, tiêu chuẩn được giới thiệu, thuật toán cập nhật được áp dụng). Trong mọi trường hợp, công nghệ thông tin cho phép bạn truy cập tài nguyên nhanh chóng và vấn đề này được giải quyết thông qua IP. Ngoài ra, các hệ thống hiện đại:

• khả năng mở rộng
• linh hoạt;
• đáng tin cậy;
• an toàn

Nhiệm vụ chính của kiểm toán hệ thống thông tin là xác định xem IP được triển khai có đáp ứng các tham số đã chỉ định hay không.

Kiểm toán: các loại

Rất thường được sử dụng là cái gọi là kiểm toán quá trình của hệ thống thông tin. Ví dụ: các chuyên gia bên ngoài phân tích các hệ thống được thực hiện cho sự khác biệt từ các tiêu chuẩn, bao gồm nghiên cứu quy trình sản xuất, đầu ra của phần mềm.

Việc kiểm toán có thể được tiến hành nhằm xác định chính xác hệ thống thông tin được sử dụng như thế nào trong công việc. Thực tiễn của doanh nghiệp được so sánh với các tiêu chuẩn của nhà sản xuất và các ví dụ nổi tiếng của các tập đoàn quốc tế.

Một cuộc kiểm toán của một hệ thống bảo mật thông tin doanh nghiệp có ảnh hưởng đến cơ cấu tổ chức. Mục đích của một sự kiện như vậy là tìm ra những điểm mỏng trong đội ngũ nhân viên của bộ phận CNTT và xác định các vấn đề, cũng như đưa ra các khuyến nghị cho giải pháp của họ.

Cuối cùng, việc kiểm toán hệ thống bảo mật thông tin là nhằm mục đích kiểm soát chất lượng. Sau đó, các chuyên gia được mời đánh giá trạng thái của các quy trình trong doanh nghiệp, kiểm tra hệ thống thông tin đã thực hiện và rút ra một số kết luận về thông tin nhận được. Thông thường, mô hình TMMI được sử dụng.

Mục tiêu kiểm toán

Một cuộc kiểm toán chiến lược về tình trạng của các hệ thống thông tin cho phép bạn xác định các điểm yếu trong IP được triển khai và xác định nơi sử dụng công nghệ không hiệu quả. Ở đầu ra của một quá trình như vậy, khách hàng sẽ có các khuyến nghị để loại bỏ những thiếu sót.

Việc kiểm toán cho phép bạn đánh giá mức độ tốn kém khi thực hiện các thay đổi đối với cấu trúc hiện tại và thời gian sẽ mất bao lâu. Các chuyên gia nghiên cứu cấu trúc thông tin hiện tại của công ty sẽ giúp bạn chọn các công cụ để thực hiện chương trình cải tiến, có tính đến các đặc điểm của công ty. Dựa trên kết quả, bạn cũng có thể đưa ra đánh giá chính xác về lượng công ty cần.Họ sẽ được phân tích trí tuệ, tiền tệ, sản xuất.

Sự kiện

Kiểm toán nội bộ hệ thống thông tin bao gồm việc thực hiện các hoạt động như:

• Kiểm kê CNTT;
• xác định tải trọng trên các cấu trúc thông tin;
• đánh giá số liệu thống kê, dữ liệu thu được trong quá trình kiểm kê;
• Xác định xem các yêu cầu của doanh nghiệp và khả năng của IP được thực hiện
• tạo báo cáo;
• xây dựng các khuyến nghị;
• chính thức hóa quỹ NSI.

Kết quả kiểm toán

Kiểm toán chiến lược về tình trạng của hệ thống thông tin là một thủ tục: cho phép bạn xác định lý do cho sự thiếu hiệu quả của hệ thống thông tin được triển khai; để dự đoán hành vi của IP khi điều chỉnh luồng thông tin (số lượng người dùng, khối lượng dữ liệu); cung cấp các giải pháp thông tin giúp tăng năng suất (mua thiết bị, cải thiện hệ thống đã thực hiện, thay thế); đưa ra các khuyến nghị nhằm cải thiện năng suất của các bộ phận công ty, tối ưu hóa các khoản đầu tư vào công nghệ. Và cũng để phát triển các biện pháp cải thiện mức độ chất lượng dịch vụ của hệ thống thông tin.

Điều này rất quan trọng!

Không có IP phổ quát như vậy sẽ phù hợp với bất kỳ doanh nghiệp. Có hai cơ sở phổ biến trên cơ sở bạn có thể tạo một hệ thống duy nhất cho các yêu cầu của một doanh nghiệp cụ thể:

• 1C.
• Oracle

Nhưng hãy nhớ rằng đây chỉ là cơ sở, không hơn. Tất cả các cải tiến để làm cho một doanh nghiệp hiệu quả, bạn cần lập trình, có tính đến các đặc điểm của một doanh nghiệp cụ thể. Chắc chắn bạn sẽ phải nhập các chức năng bị thiếu trước đó và vô hiệu hóa các chức năng được cung cấp cho lắp ráp cơ bản. Công nghệ hiện đại để kiểm toán hệ thống thông tin ngân hàng giúp hiểu chính xác những tính năng nào của IP nên có và những gì cần phải loại trừ để hệ thống của công ty là tối ưu, hiệu quả, nhưng không quá nặng nề.

Kiểm toán bảo mật thông tin

Một phân tích để xác định các mối đe dọa đối với bảo mật thông tin có thể có hai loại:

• bên ngoài;
• nội bộ.

Việc đầu tiên liên quan đến thủ tục một lần. Được tổ chức bởi người đứng đầu của công ty. Nên thường xuyên thực hành một biện pháp như vậy để giữ cho tình hình được kiểm soát. Một số công ty cổ phần và tổ chức tài chính đã đưa ra yêu cầu kiểm toán bên ngoài về bảo mật CNTT sẽ được thực hiện.

Nội bộ - đây là những hoạt động được tiến hành thường xuyên theo quy định của Đạo luật điều chỉnh tại địa phương Quy định về Kiểm toán nội bộ. Một kế hoạch hàng năm được hình thành cho cuộc họp (nó được chuẩn bị bởi bộ phận chịu trách nhiệm kiểm toán), giám đốc điều hành, một người quản lý khác nói. Kiểm toán CNTT - một số loại sự kiện, kiểm toán bảo mật không phải là vấn đề quan trọng cuối cùng.

Mục tiêu

Mục tiêu chính của kiểm toán hệ thống thông tin về mặt bảo mật là xác định các rủi ro liên quan đến IP liên quan đến các mối đe dọa bảo mật. Ngoài ra, các sự kiện giúp xác định:

• điểm yếu của hệ thống hiện tại;
• tuân thủ hệ thống với các tiêu chuẩn bảo mật thông tin;
• mức độ bảo mật tại thời điểm hiện tại.

Khi tiến hành kiểm toán bảo mật, các khuyến nghị sẽ được đưa ra nhằm cải thiện các giải pháp hiện tại và giới thiệu các giải pháp mới, từ đó làm cho IP hiện tại an toàn hơn và được bảo vệ khỏi các mối đe dọa khác nhau.

Nếu một cuộc kiểm toán nội bộ được thực hiện để xác định các mối đe dọa đối với bảo mật thông tin, thì nó sẽ được xem xét bổ sung:

• chính sách bảo mật, khả năng phát triển mới, cũng như các tài liệu khác bảo vệ dữ liệu và đơn giản hóa ứng dụng của chúng trong quy trình sản xuất của tập đoàn;
• sự hình thành các nhiệm vụ bảo mật cho nhân viên của bộ phận CNTT;
• phân tích các tình huống liên quan đến vi phạm;
• đào tạo người dùng hệ thống doanh nghiệp, nhân viên bảo trì về các khía cạnh chung của an ninh.

Kiểm toán nội bộ: Tính năng

Các nhiệm vụ được liệt kê được thiết lập cho nhân viên khi thực hiện kiểm toán nội bộ hệ thống thông tin, về bản chất, không phải là kiểm toán. Về mặt lý thuyết chỉ tiến hành các sự kiện như một chuyên gia đánh giá các cơ chế mà hệ thống được bảo mật. Người tham gia vào nhiệm vụ trở thành người tham gia tích cực vào quá trình và mất độc lập, không còn có thể đánh giá khách quan tình hình và kiểm soát nó.

Mặt khác, trong thực tế, trong một cuộc kiểm toán nội bộ, gần như không thể tránh xa. Thực tế là để thực hiện công việc, một chuyên gia của công ty có liên quan, đôi khi tham gia vào các nhiệm vụ khác trong một lĩnh vực tương tự. Điều này có nghĩa là kiểm toán viên là cùng một nhân viên có khả năng giải quyết các nhiệm vụ nêu trên. Do đó, bạn phải thỏa hiệp: gây bất lợi cho khách quan, lôi kéo nhân viên vào thực tế để có được kết quả xứng đáng.

Kiểm toán bảo mật: Các bước

Đây là nhiều cách tương tự như các bước của kiểm toán CNTT nói chung. Phân bổ:

• bắt đầu các sự kiện;
• thu thập một cơ sở để phân tích;
• phân tích;
• hình thành kết luận;
• báo cáo.

Bắt đầu một thủ tục

Một cuộc kiểm toán các hệ thống thông tin về mặt bảo mật bắt đầu khi người đứng đầu công ty đi trước, vì các ông chủ là những người quan tâm nhất đến việc kiểm toán doanh nghiệp hiệu quả. Kiểm toán là không thể nếu quản lý không hỗ trợ thủ tục.

Kiểm toán hệ thống thông tin thường phức tạp. Nó liên quan đến kiểm toán viên và một số cá nhân đại diện cho các bộ phận khác nhau của công ty. Sự hợp tác của tất cả những người tham gia kiểm toán là rất quan trọng. Khi bắt đầu kiểm toán, điều quan trọng là phải chú ý đến các điểm sau:

• nhiệm vụ tài liệu, quyền của kiểm toán viên;
• chuẩn bị, phê duyệt kế hoạch kiểm toán;
• ghi lại thực tế rằng nhân viên có nghĩa vụ cung cấp tất cả các hỗ trợ có thể cho kiểm toán viên và cung cấp tất cả các dữ liệu do anh ta yêu cầu.

Đã tại thời điểm bắt đầu kiểm toán, điều quan trọng là phải thiết lập mức độ mà việc kiểm toán các hệ thống thông tin được thực hiện. Mặc dù một số hệ thống con IP rất quan trọng và đòi hỏi sự chú ý đặc biệt, những hệ thống khác thì không và khá không quan trọng, do đó, việc loại trừ chúng được cho phép. Chắc chắn sẽ có các hệ thống con như vậy, việc xác minh sẽ là không thể, vì tất cả các thông tin được lưu trữ ở đó là bí mật.

Kế hoạch và biên giới

Trước khi bắt đầu công việc, một danh sách các tài nguyên được hình thành được cho là sẽ được kiểm tra. Nó có thể là:

• thông tin;
• phần mềm;
• kỹ thuật.

Họ xác định các trang web nào được thực hiện kiểm toán, trên đó đe dọa hệ thống được kiểm tra. Có các ranh giới tổ chức của sự kiện, các khía cạnh bảo mật là bắt buộc để xem xét trong quá trình kiểm toán. Một đánh giá ưu tiên được hình thành chỉ ra phạm vi kiểm toán. Các ranh giới đó, cũng như kế hoạch hành động, được Tổng Giám đốc phê duyệt, nhưng được đệ trình sơ bộ theo chủ đề của cuộc họp làm việc chung, nơi có trưởng phòng, một kiểm toán viên và quản lý công ty có mặt.

Lấy dữ liệu

Khi tiến hành kiểm toán bảo mật, các tiêu chuẩn cho hệ thống thông tin kiểm toán sao cho giai đoạn thu thập thông tin là dài nhất và tốn nhiều công sức nhất. Theo quy định, IP không có tài liệu cho nó và kiểm toán viên buộc phải hợp tác chặt chẽ với nhiều đồng nghiệp.

Để các kết luận được đưa ra có thẩm quyền, kiểm toán viên phải nhận được dữ liệu tối đa. Kiểm toán viên tìm hiểu về cách tổ chức hệ thống thông tin, cách thức hoạt động và trong tình trạng của nó từ tài liệu tổ chức, hành chính, kỹ thuật, trong quá trình nghiên cứu độc lập và ứng dụng phần mềm chuyên dụng.

Tài liệu cần thiết trong công việc của kiểm toán viên:

• cơ cấu tổ chức các phòng ban phục vụ IP;
• cơ cấu tổ chức của tất cả người dùng.

Kiểm toán viên phỏng vấn nhân viên, xác định:

• Nhà cung cấp
• chủ sở hữu dữ liệu;
• dữ liệu người dùng.

Để làm điều này, bạn cần biết:

• các loại ứng dụng IP chính;
• số lượng, loại người dùng;
• dịch vụ cung cấp cho người dùng.

Nếu công ty có tài liệu về IP từ danh sách dưới đây, cần phải cung cấp chúng cho kiểm toán viên:

• mô tả các phương pháp kỹ thuật;
• Mô tả các phương pháp để tự động hóa các chức năng;
• sơ đồ chức năng;
• làm việc, tài liệu dự án.

Xác định cấu trúc của IP

Để có kết luận chính xác, kiểm toán viên cần có sự hiểu biết đầy đủ nhất về các tính năng của hệ thống thông tin được triển khai tại doanh nghiệp. Bạn cần biết các cơ chế bảo mật là gì, chúng được phân phối trong hệ thống theo cấp độ như thế nào. Để làm điều này, tìm hiểu:

• sự hiện diện và tính năng của các thành phần của hệ thống được sử dụng;
• chức năng thành phần;
• đồ họa;
• đầu vào
• tương tác với các đối tượng khác nhau (bên ngoài, bên trong) và các giao thức, kênh cho việc này;
• nền tảng áp dụng cho hệ thống.

Lợi ích sẽ mang lại các chương trình:

• kết cấu;
• luồng dữ liệu.

Cấu trúc:

• cơ sở kỹ thuật;
• Phần mềm
• hỗ trợ thông tin;
• thành phần cấu trúc.

Trong thực tế, nhiều tài liệu được chuẩn bị trực tiếp trong quá trình kiểm toán. Thông tin chỉ có thể được phân tích khi thu thập lượng thông tin tối đa.

Kiểm toán bảo mật IP: Phân tích

Có một số kỹ thuật được sử dụng để phân tích dữ liệu thu được. Sự lựa chọn có lợi cho một người cụ thể dựa trên sở thích cá nhân của kiểm toán viên và chi tiết cụ thể của một nhiệm vụ cụ thể.

Cách tiếp cận phức tạp nhất liên quan đến phân tích rủi ro. Đối với hệ thống thông tin, các yêu cầu bảo mật được hình thành. Chúng dựa trên các tính năng của một hệ thống cụ thể và môi trường của nó, cũng như các mối đe dọa vốn có trong môi trường này. Các nhà phân tích đồng ý rằng phương pháp này đòi hỏi chi phí lao động lớn nhất và trình độ chuyên môn cao nhất của kiểm toán viên. Kết quả sẽ được xác định tốt như thế nào bởi phương pháp phân tích thông tin và khả năng áp dụng của các tùy chọn đã chọn đối với loại IP.

Một lựa chọn thiết thực hơn là sử dụng các tiêu chuẩn bảo mật cho dữ liệu. Đây là một tập hợp các yêu cầu. Điều này phù hợp với các IP khác nhau, vì phương pháp này được phát triển trên cơ sở các công ty lớn nhất từ ​​các quốc gia khác nhau.

Từ các tiêu chuẩn, nó tuân theo các yêu cầu bảo mật là gì, tùy thuộc vào mức độ bảo vệ của hệ thống và liên kết của nó với một tổ chức cụ thể. Phần lớn phụ thuộc vào mục đích của IP. Nhiệm vụ chính của kiểm toán viên là xác định chính xác tập hợp các yêu cầu bảo mật nào có liên quan trong một trường hợp cụ thể. Chọn một kỹ thuật mà theo đó họ đánh giá xem các tham số hệ thống hiện có có tuân thủ các tiêu chuẩn hay không. Công nghệ này khá đơn giản, đáng tin cậy và do đó phổ biến rộng rãi. Với các khoản đầu tư nhỏ, kết quả có thể là kết luận chính xác.

Bỏ bê là không thể chấp nhận!

Thực tiễn cho thấy nhiều nhà quản lý, đặc biệt là các công ty nhỏ, cũng như những công ty đã hoạt động trong một thời gian dài và không tìm cách làm chủ tất cả các công nghệ mới nhất, khá bất cẩn về kiểm toán hệ thống thông tin vì đơn giản là họ không nhận ra tầm quan trọng của biện pháp này. Thông thường, chỉ thiệt hại cho doanh nghiệp kích thích các cơ quan chức năng thực hiện các biện pháp để xác minh, xác định rủi ro và bảo vệ doanh nghiệp. Những người khác phải đối mặt với thực tế là họ ăn cắp thông tin của khách hàng, những người khác bị rò rỉ từ cơ sở dữ liệu của các đối tác hoặc để lại thông tin về những lợi thế chính của một thực thể nhất định. Người tiêu dùng không còn tin tưởng vào công ty ngay khi vụ việc được công khai, và công ty chịu nhiều thiệt hại hơn là chỉ mất dữ liệu.

Nếu có cơ hội rò rỉ thông tin, không thể xây dựng một doanh nghiệp hiệu quả có cơ hội tốt ngay bây giờ và trong tương lai. Bất kỳ công ty nào cũng có dữ liệu có giá trị đối với bên thứ ba và họ cần được bảo vệ. Để bảo vệ ở mức cao nhất, cần phải có kiểm toán để xác định điểm yếu. Nó phải tính đến các tiêu chuẩn quốc tế, phương pháp luận, những phát triển mới nhất.

Tại cuộc kiểm toán:

• đánh giá mức độ bảo vệ;
• phân tích công nghệ ứng dụng;
• điều chỉnh tài liệu bảo mật;
• mô phỏng các tình huống rủi ro trong đó có thể rò rỉ dữ liệu;
• đề nghị thực hiện các giải pháp để loại bỏ các lỗ hổng.

Tiến hành các sự kiện này theo một trong ba cách:

• chủ động;
• chuyên gia;
• tiết lộ tuân thủ các tiêu chuẩn.

Hình thức kiểm toán

Kiểm toán hoạt động liên quan đến việc đánh giá hệ thống mà một hacker tiềm năng đang xem xét. Theo quan điểm của ông, các kiểm toán viên dùng thử trên chính bản thân họ - họ nghiên cứu bảo vệ mạng, họ sử dụng phần mềm chuyên dụng và các kỹ thuật độc đáo. Kiểm toán nội bộ cũng được yêu cầu, cũng được thực hiện từ quan điểm của người bị cáo buộc phạm tội muốn đánh cắp dữ liệu hoặc phá vỡ hệ thống.

Một kiểm toán chuyên gia kiểm tra xem hệ thống thực hiện là lý tưởng. Khi xác định sự tuân thủ với các tiêu chuẩn, một mô tả trừu tượng về các tiêu chuẩn mà đối tượng hiện có được so sánh được lấy làm cơ sở.

Kết luận

Kiểm toán được tiến hành chính xác và định tính cho phép bạn nhận được các kết quả sau:

• giảm thiểu khả năng một cuộc tấn công của hacker thành công, thiệt hại từ nó;
• ngoại lệ của một cuộc tấn công dựa trên sự thay đổi trong kiến ​​trúc hệ thống và luồng thông tin;
• bảo hiểm như một phương tiện để giảm thiểu rủi ro;
• giảm thiểu rủi ro đến mức mà người ta có thể bỏ qua hoàn toàn.