Die Prüfung von Informationssystemen liefert relevante und genaue Daten zur Funktionsweise von IP. Basierend auf den erhaltenen Daten ist es möglich, Aktivitäten zur Verbesserung der Effizienz des Unternehmens zu planen. Die Praxis der Prüfung eines Informationssystems besteht darin, den Standard mit der tatsächlichen Situation zu vergleichen. Sie untersuchen die in anderen Unternehmen geltenden Normen, Standards, Vorschriften und Praktiken. Bei der Durchführung eines Audits bekommt ein Unternehmer eine Vorstellung davon, wie sich sein Unternehmen von einem normalen erfolgreichen Unternehmen in einem ähnlichen Bereich unterscheidet.
Gesamtansicht
Die Informationstechnologie in der modernen Welt ist extrem entwickelt. Es ist schwer vorstellbar, dass ein Unternehmen keine Informationssysteme in Betrieb hat:
- global;
- lokal.
Durch IP kann ein Unternehmen normal arbeiten und mit der Zeit Schritt halten. Solche Methoden sind für einen schnellen und vollständigen Informationsaustausch mit der Umwelt erforderlich, der es dem Unternehmen ermöglicht, sich an veränderte Infrastruktur- und Marktanforderungen anzupassen. Informationssysteme müssen eine Reihe von Anforderungen erfüllen, die sich im Laufe der Zeit ändern (neue Entwicklungen, Einführung von Standards, Anwendung aktualisierter Algorithmen). In jedem Fall können Sie mithilfe der Informationstechnologie schnell auf Ressourcen zugreifen, und dieses Problem wird durch IP gelöst. Darüber hinaus bieten moderne Systeme:
- skalierbar
- flexibel;
- zuverlässig;
- sicher.
Die Hauptaufgabe der Prüfung von Informationssystemen besteht darin, festzustellen, ob das implementierte IP die angegebenen Parameter erfüllt.
Audit: Typen
Sehr häufig wird das sogenannte Prozessaudit des Informationssystems eingesetzt. Beispiel: Externe Experten analysieren implementierte Systeme auf Unterschiede zu Standards, einschließlich der Untersuchung des Produktionsprozesses, dessen Ergebnis Software ist.
Es kann ein Audit durchgeführt werden, um festzustellen, wie korrekt das Informationssystem in der Arbeit verwendet wird. Die Praxis des Unternehmens wird mit den Standards des Herstellers und bekannten Beispielen internationaler Konzerne verglichen.
Eine Prüfung des Informationssicherheitssystems eines Unternehmens wirkt sich auf die Organisationsstruktur aus. Der Zweck einer solchen Veranstaltung ist es, dünne Stellen in den Mitarbeitern der IT-Abteilung zu finden und Probleme zu identifizieren sowie Empfehlungen für deren Lösung zu formulieren.
Schließlich zielt die Prüfung des Informationssicherheitssystems auf die Qualitätskontrolle ab. Anschließend bewerten die eingeladenen Experten den Status der Prozesse im Unternehmen, testen das implementierte Informationssystem und ziehen daraus Schlussfolgerungen. In der Regel wird das TMMI-Modell verwendet.
Prüfungsziele
Eine strategische Prüfung des Zustands von Informationssystemen ermöglicht es Ihnen, Schwachstellen im implementierten IP zu identifizieren und festzustellen, wo der Einsatz von Technologie ineffektiv war. Am Ende eines solchen Prozesses wird der Kunde Empfehlungen zur Beseitigung der Mängel erhalten.
Mithilfe eines Audits können Sie bewerten, wie teuer Änderungen an der aktuellen Struktur sind und wie lange dies dauern wird. Spezialisten, die die aktuelle Informationsstruktur des Unternehmens studieren, helfen Ihnen bei der Auswahl der Tools zur Implementierung des Verbesserungsprogramms unter Berücksichtigung der Merkmale des Unternehmens. Anhand der Ergebnisse können Sie auch genau einschätzen, wie viel Ressourcen das Unternehmen benötigt.Sie werden geistig, monetär, produktiv analysiert.
Ereignisse
Die interne Revision von Informationssystemen umfasst die Durchführung von Aktivitäten wie:
- IT-Inventar;
- Identifizierung der Belastung von Informationsstrukturen;
- Auswertung von Statistiken, während der Bestandsaufnahme gewonnene Daten;
- Bestimmen, ob die Anforderungen des Geschäfts und die Fähigkeiten des implementierten IP konsistent sind;
- Berichterstellung;
- Entwicklung von Empfehlungen;
- Formalisierung des NSI-Fonds.
Prüfungsergebnis
Eine strategische Prüfung des Zustands von Informationssystemen ist ein Verfahren, mit dem Sie: die Gründe für die mangelnde Wirksamkeit des implementierten Informationssystems ermitteln können; Vorhersage des IP-Verhaltens bei der Anpassung des Informationsflusses (Anzahl der Benutzer, Datenvolumen); Bereitstellung fundierter Lösungen zur Steigerung der Produktivität (Gerätebeschaffung, Verbesserung des implementierten Systems, Austausch); Empfehlungen zur Verbesserung der Produktivität der Unternehmensabteilungen und zur Optimierung der Technologieinvestitionen geben. Und auch Maßnahmen zu entwickeln, die die Servicequalität von Informationssystemen verbessern.
Es ist wichtig!
Es gibt keine solche universelle IP, die für jedes Unternehmen geeignet wäre. Es gibt zwei gemeinsame Grundlagen, auf deren Grundlage Sie ein eindeutiges System für die Anforderungen eines bestimmten Unternehmens erstellen können:
- 1C.
- Oracle
Aber denken Sie daran, dass dies nur die Basis ist, nicht mehr. Alle Verbesserungen, die ein Unternehmen effektiv machen, müssen unter Berücksichtigung der Merkmale eines bestimmten Unternehmens programmiert werden. Sicherlich müssen Sie zuvor fehlende Funktionen eingeben und diejenigen deaktivieren, die in der Basisbaugruppe vorgesehen sind. Moderne Technologien zur Prüfung von Bankinformationssystemen helfen dabei, genau zu verstehen, welche Merkmale ein IP haben sollte und welche ausgeschlossen werden müssen, damit das Unternehmenssystem optimal, effizient, aber nicht zu „schwer“ ist.
Audit der Informationssicherheit
Es gibt zwei Arten von Analysen zur Identifizierung von Bedrohungen für die Informationssicherheit:
- extern;
- intern.
Das erste Verfahren ist einmalig. Organisiert von seinem Firmenchef. Es wird empfohlen, eine solche Maßnahme regelmäßig durchzuführen, um die Situation unter Kontrolle zu halten. Eine Reihe von Aktiengesellschaften und Finanzorganisationen haben die Anforderung eingeführt, dass eine externe Prüfung der IT-Sicherheit durchgeführt werden muss.
Intern - dies sind regelmäßig durchgeführte Aktivitäten, die durch das lokale Gesetz „Regulation on Internal Audit“ geregelt sind. Für die Sitzung wird ein Jahresplan erstellt (er wird von der für die Prüfung zuständigen Abteilung erstellt), so der CEO, ein weiterer Manager. IT-Prüfung - Mehrere Kategorien von Ereignissen, Sicherheitsüberprüfung ist nicht die letzte von Bedeutung.
Ziele
Das Hauptziel der Prüfung von Informationssystemen im Hinblick auf die Sicherheit besteht darin, IP-bezogene Risiken zu identifizieren, die mit Sicherheitsbedrohungen verbunden sind. Darüber hinaus helfen Ereignisse bei der Identifizierung von:
- Schwächen des derzeitigen Systems;
- Übereinstimmung des Systems mit den Standards für Informationssicherheit;
- Sicherheitsniveau zum aktuellen Zeitpunkt.
Bei der Durchführung eines Sicherheitsaudits werden Empfehlungen formuliert, mit denen die aktuellen Lösungen verbessert und neue eingeführt werden, wodurch das aktuelle IP sicherer und vor verschiedenen Bedrohungen geschützt wird.
Wenn ein internes Audit durchgeführt wird, um Bedrohungen der Informationssicherheit zu ermitteln, wird zusätzlich Folgendes berücksichtigt:
- Sicherheitsrichtlinien, die Fähigkeit, neue sowie andere Dokumente zu entwickeln, die Daten schützen und deren Anwendung im Produktionsprozess des Unternehmens vereinfachen;
- die Bildung von Sicherheitsaufgaben für Mitarbeiter der IT-Abteilung;
- Analyse von Situationen mit Verstößen;
- Schulung der Benutzer des Unternehmenssystems und des Wartungspersonals in allgemeinen Sicherheitsaspekten.
Interne Revision: Funktionen
Die aufgeführten Aufgaben, die für Mitarbeiter bei der Durchführung einer internen Revision von Informationssystemen festgelegt werden, sind im Wesentlichen keine Audits. Theoretisch nur als Experte durchgeführte Ereignisse bewerten die Mechanismen, durch die das System sicher ist. Die an der Aufgabe beteiligte Person wird aktiver Teilnehmer des Prozesses und verliert die Unabhängigkeit, kann die Situation nicht mehr objektiv einschätzen und kontrollieren.
Andererseits ist es in der Praxis bei einer internen Revision fast unmöglich, sich fernzuhalten. Tatsache ist, dass zur Durchführung der Arbeiten ein Spezialist des Unternehmens beteiligt ist, der zu anderen Zeiten andere Aufgaben in einem ähnlichen Bereich wahrnimmt. Dies bedeutet, dass der Abschlussprüfer derselbe Mitarbeiter ist, der über die Kompetenz verfügt, die oben genannten Aufgaben zu lösen. Deshalb müssen Sie Kompromisse eingehen: Beziehen Sie den Mitarbeiter zum Nachteil der Objektivität in die Praxis ein, um ein angemessenes Ergebnis zu erzielen.
Sicherheitsüberprüfung: Schritte
Diese ähneln in vielerlei Hinsicht den Schritten einer allgemeinen IT-Prüfung. Zuweisen:
- Beginn der Veranstaltungen;
- Sammeln einer Basis für die Analyse;
- Analyse;
- Bildung von Schlussfolgerungen;
- Berichterstattung.
Prozedur einleiten
Eine Sicherheitsüberprüfung von Informationssystemen beginnt, wenn der Leiter des Unternehmens die Freigabe erteilt, da die Vorgesetzten die Personen sind, die am meisten an einer wirksamen Überprüfung des Unternehmens interessiert sind. Ein Audit ist nicht möglich, wenn das Management das Verfahren nicht unterstützt.
Die Prüfung von Informationssystemen ist in der Regel komplex. Es besteht aus dem Abschlussprüfer und mehreren Personen, die verschiedene Abteilungen des Unternehmens vertreten. Die Zusammenarbeit aller Teilnehmer am Audit ist wichtig. Bei der Einleitung eines Audits sind folgende Punkte zu beachten:
- Dokumentationspflichten, Rechte des Abschlussprüfers;
- Vorbereitung, Genehmigung des Prüfungsplans;
- Dokumentation der Verpflichtung der Mitarbeiter, dem Abschlussprüfer jede erdenkliche Unterstützung zu gewähren und alle von ihm verlangten Daten zur Verfügung zu stellen.
Es ist wichtig, bereits zu Beginn der Prüfung festzustellen, inwieweit die Prüfung von Informationssystemen durchgeführt wird. Während einige IP-Subsysteme kritisch sind und besondere Aufmerksamkeit erfordern, sind andere nicht und ziemlich unwichtig, weshalb ihr Ausschluss zulässig ist. Sicherlich wird es solche Subsysteme geben, deren Überprüfung unmöglich sein wird, da alle dort gespeicherten Informationen vertraulich sind.
Plan und Grenzen
Vor Arbeitsbeginn wird eine Liste von Ressourcen erstellt, die überprüft werden sollen. Es kann sein:
- informativ;
- Software;
- technisch.
Sie identifizieren, an welchen Standorten das Audit durchgeführt wird, auf welche Bedrohungen das System überprüft wird. Es gibt organisatorische Grenzen der Veranstaltung und Sicherheitsaspekte, die bei der Prüfung berücksichtigt werden müssen. Es wird eine Prioritätsbewertung gebildet, die den Umfang der Prüfung angibt. Solche Grenzen sowie der Aktionsplan werden vom Generaldirektor gebilligt, jedoch vorläufig vom Thema der Hauptversammlung vorgelegt, an der Abteilungsleiter, ein Wirtschaftsprüfer und Führungskräfte des Unternehmens teilnehmen.
Datenabruf
Bei der Durchführung einer Sicherheitsüberprüfung sind die Standards für die Prüfung von Informationssystemen so festgelegt, dass die Phase der Informationserfassung die längste und mühsamste ist. IP verfügt in der Regel über keine Dokumentation und der Prüfer ist gezwungen, eng mit zahlreichen Kollegen zusammenzuarbeiten.
Damit die Schlussfolgerungen kompetent sind, sollte der Prüfer ein Maximum an Daten erhalten. Der Prüfer erfährt aus der organisatorischen, administrativen und technischen Dokumentation im Rahmen einer unabhängigen Recherche und Anwendung von Spezialsoftware, wie das Informationssystem aufgebaut ist, wie es funktioniert und in welchem Zustand es ist.
Für die Arbeit des Abschlussprüfers erforderliche Unterlagen:
- Organisationsstruktur der IP-Abteilungen;
- Organisationsstruktur aller Benutzer.
Der Auditor befragt Mitarbeiter und identifiziert:
- Provider
- Dateneigentümer;
- Benutzerdaten.
Dazu müssen Sie wissen:
- Haupttypen von IP-Anwendungen;
- Anzahl, Nutzertypen;
- Dienstleistungen für Benutzer.
Wenn das Unternehmen über IP-Dokumente aus der folgenden Liste verfügt, müssen diese dem Prüfer zur Verfügung gestellt werden:
- Beschreibung der technischen Methoden;
- Beschreibung von Methoden zur Automatisierung von Funktionen;
- Funktionsdiagramme;
- Arbeits-, Design-Dokumente.
Identifizierung der IP-Struktur
Damit der Prüfer die richtigen Schlussfolgerungen ziehen kann, muss er die Merkmale des im Unternehmen implementierten Informationssystems vollständig verstehen. Sie müssen wissen, welche Sicherheitsmechanismen es gibt und wie sie auf Ebenen im System verteilt sind. Um dies zu tun, finden Sie heraus:
- das Vorhandensein und die Merkmale der Komponenten des verwendeten Systems;
- Komponentenfunktionen;
- Grafik;
- Eingänge
- Interaktion mit verschiedenen Objekten (extern, intern) und Protokollen, Kanäle hierfür;
- Plattformen auf das System angewendet.
Vorteile bringen Systeme:
- strukturell;
- Datenströme.
Strukturen:
- technische Einrichtungen;
- Software
- Informationsunterstützung;
- strukturelle Komponenten.
In der Praxis werden viele Dokumente direkt während des Audits erstellt. Informationen können nur analysiert werden, wenn die maximale Informationsmenge erfasst wurde.
IP-Sicherheitsaudit: Analyse
Es gibt verschiedene Techniken, um die erhaltenen Daten zu analysieren. Die Wahl für eine bestimmte Aufgabe richtet sich nach den persönlichen Vorlieben des Abschlussprüfers und den Besonderheiten einer bestimmten Aufgabe.
Der komplexeste Ansatz besteht in der Analyse von Risiken. Für das Informationssystem werden Sicherheitsanforderungen gebildet. Sie basieren auf den Merkmalen eines bestimmten Systems und seiner Umgebung sowie auf den mit dieser Umgebung verbundenen Bedrohungen. Analysten sind sich einig, dass dieser Ansatz die höchsten Arbeitskosten und die maximale Qualifikation des Auditors erfordert. Wie gut das Ergebnis sein wird, hängt von der Methodik zur Analyse der Informationen und der Anwendbarkeit der ausgewählten Optionen auf den IP-Typ ab.
Eine praktikablere Möglichkeit besteht darin, auf Sicherheitsstandards für Daten zurückzugreifen. Dies sind eine Reihe von Anforderungen. Dies ist für verschiedene IPs geeignet, da die Methodik auf der Basis der größten Unternehmen aus verschiedenen Ländern entwickelt wird.
Aus den Standards ergibt sich, wie hoch die Sicherheitsanforderungen sind, abhängig vom Schutzniveau des Systems und seiner Zugehörigkeit zu einer bestimmten Institution. Viel hängt vom Zweck des IP ab. Die Hauptaufgabe des Abschlussprüfers besteht darin, zu bestimmen, welche Sicherheitsanforderungen in einem bestimmten Fall relevant sind. Wählen Sie eine Technik, mit der bewertet wird, ob die vorhandenen Systemparameter den Standards entsprechen. Die Technologie ist recht einfach, zuverlässig und daher weit verbreitet. Mit geringen Investitionen können präzise Schlussfolgerungen gezogen werden.
Vernachlässigung ist inakzeptabel!
Die Praxis zeigt, dass viele Manager, insbesondere kleine Unternehmen, sowie diejenigen, deren Unternehmen schon seit langer Zeit tätig sind und nicht die neuesten Technologien beherrschen, die Prüfung von Informationssystemen eher nachlässig betrachten, da sie die Bedeutung dieser Maßnahme einfach nicht erkennen. In der Regel veranlassen nur Unternehmensschäden die Behörden, Maßnahmen zur Verifizierung, Erkennung von Risiken und zum Schutz des Unternehmens zu ergreifen. Andere sehen sich mit der Tatsache konfrontiert, dass sie Kundeninformationen stehlen, andere aus den Datenbanken von Gegenparteien austreten oder Informationen über die wichtigsten Vorteile einer bestimmten Einheit hinterlassen. Verbraucher vertrauen dem Unternehmen nicht mehr, sobald der Fall veröffentlicht wird, und das Unternehmen erleidet mehr Schaden als nur Datenverlust.
Wenn die Möglichkeit eines Informationsverlusts besteht, ist es unmöglich, ein effektives Unternehmen aufzubauen, das jetzt und in Zukunft gute Chancen bietet. Jedes Unternehmen verfügt über Daten, die für Dritte wertvoll sind und die geschützt werden müssen. Um den Schutz auf höchstem Niveau zu gewährleisten, ist eine Prüfung erforderlich, um Schwachstellen zu ermitteln. Dabei müssen internationale Standards, Methoden und die neuesten Entwicklungen berücksichtigt werden.
Bei der Prüfung:
- das Schutzniveau bewerten;
- angewandte Technologien analysieren;
- Sicherheitsdokumente anpassen;
- Risikosituationen simulieren, in denen ein Datenverlust möglich ist;
- empfehlen die Implementierung von Lösungen zur Beseitigung von Schwachstellen.
Führen Sie diese Veranstaltungen auf drei Arten durch:
- aktiv;
- Experte;
- Offenlegung der Einhaltung von Normen.
Prüfungsformulare
Bei der aktiven Prüfung wird das System bewertet, auf das sich ein potenzieller Hacker konzentriert. Aus seiner Sicht „probieren“ Auditoren sich selbst an - sie untersuchen den Netzwerkschutz, für den sie spezielle Software und einzigartige Techniken verwenden. Außerdem ist eine interne Revision erforderlich, die auch aus Sicht des mutmaßlichen Täters durchgeführt wird, der Daten stehlen oder das System stören möchte.
Ein Expertenaudit prüft, ob das implementierte System ideal ist. Bei der Feststellung der Einhaltung von Normen wird eine abstrakte Beschreibung der Normen zugrunde gelegt, mit denen das vorhandene Objekt verglichen wird.
Fazit
Wenn Sie das Audit korrekt und qualitativ durchführen, erhalten Sie die folgenden Ergebnisse:
- Minimierung der Wahrscheinlichkeit eines erfolgreichen Hackerangriffs und des daraus entstehenden Schadens;
- die Ausnahme eines Angriffs, der auf einer Änderung der Systemarchitektur und des Informationsflusses beruht;
- Versicherung als Mittel zur Risikominderung;
- Minimierung des Risikos auf ein Maß, das völlig ignoriert werden kann.
