kategorije
...

Revizija informacijskih sustava. Prijetnje informacijskoj sigurnosti. Informacijska tehnologija

Revizija informacijskih sustava daje relevantne i točne podatke o tome kako IP funkcionira. Na temelju dobivenih podataka moguće je planirati aktivnosti za poboljšanje učinkovitosti poduzeća. Praksa provođenja revizije informacijskog sustava je u uspoređivanju standardne, stvarne situacije. Oni proučavaju norme, standarde, propise i prakse primjenjive u drugim firmama. Prilikom provođenja revizije, poduzetnik dobiva ideju o tome kako se njegova tvrtka razlikuje od normalno uspješne tvrtke u sličnom području.

Opći prikaz

Informacijska tehnologija u suvremenom svijetu izuzetno je razvijena. Teško je zamisliti poduzeće koje nema na raspolaganju informacijske sustave:

  • globalni;
  • lokalna.

Putem IP-a tvrtka može normalno funkcionirati i ići ukorak s vremenom. Takve su metodologije neophodne za brzu i cjelovitu razmjenu informacija s okolinom, što omogućava tvrtki da se prilagodi promjenama u infrastrukturnim i tržišnim zahtjevima. Informacijski sustavi moraju zadovoljiti brojne zahtjeve koji se vremenom mijenjaju (uvode se novi razvoj, standardi, primjenjuju se ažurirani algoritmi). U svakom slučaju, informacijska tehnologija omogućuje vam brz pristup izvorima, a problem se rješava putem IP-a. Pored toga, suvremeni sustavi:

  • skalabilan;
  • fleksibilan;
  • pouzdan;
  • sigurna.

Glavni zadaci revizije informacijskih sustava su identificirati ispunjava li IP zadani parametri.

revizija informacijskih sustava

Revizija: vrste

Vrlo često se koristi takozvana revizija procesa informacijskog sustava. Primjer: vanjski stručnjaci analiziraju implementirane sustave radi razlike u standardima, uključujući proučavanje proizvodnog procesa, čiji je proizvod softver.

Revizija se može provesti s ciljem utvrđivanja kako se ispravno koristi informacijski sustav u radu. Praksa poduzeća uspoređuje se sa standardima proizvođača i poznatim primjerima međunarodnih korporacija.

Revizija informacijskog sustava sigurnosti poduzeća utječe na organizacijsku strukturu. Svrha takvog događaja je pronaći tanke mrlje u osoblju IT odjela i identificirati probleme, kao i oblikovati preporuke za njihovo rješenje.

Konačno, revizija sustava informacijske sigurnosti usmjerena je na kontrolu kvalitete. Potom pozvani stručnjaci procjenjuju stanje procesa unutar poduzeća, testiraju implementirani informacijski sustav i izvode neke zaključke o primljenim informacijama. Obično se koristi model TMMI.

Ciljevi revizije

Strateška revizija stanja informacijskih sustava omogućuje vam da prepoznate slabosti u provedenom IP-u i utvrdite gdje uporaba tehnologije nije bila učinkovita. Na ishodu takvog postupka kupac će imati preporuke za otklanjanje nedostataka.

Revizija vam omogućuje da procijenite koliko će biti skupo vršiti izmjene u trenutnoj strukturi i koliko će trajati. Stručnjaci koji proučavaju trenutnu informacijsku strukturu tvrtke pomoći će vam odabrati alate za provođenje programa poboljšanja, uzimajući u obzir karakteristike tvrtke. Na temelju rezultata možete dati i točnu procjenu koliko resursa tvrtki treba.Analizirat će se intelektualna, monetarna, proizvodna.

mjere

Unutarnja revizija informacijskih sustava uključuje provedbu aktivnosti kao što su:

  • IT inventar;
  • identifikacija opterećenja na informacijskim strukturama;
  • procjena statistika, podataka dobivenih tijekom popisa;
  • utvrđivanje da li su zahtjevi poslovanja i mogućnosti implementiranog IP-a dosljedni;
  • izrada izvještaja;
  • izrada preporuka;
  • formalizacija fonda NSI.

Rezultat revizije

Strateška revizija stanja u informacijskim sustavima postupak je koji vam omogućuje prepoznavanje razloga neučinkovitosti implementiranog informacijskog sustava; predvidjeti ponašanje IP-a prilikom prilagođavanja protoka informacija (broj korisnika, količina podataka); pružiti informirana rješenja koja pomažu u povećanju produktivnosti (nabavka opreme, poboljšanje primijenjenog sustava, zamjena); daju preporuke usmjerene na poboljšanje produktivnosti odjela poduzeća, optimiziranje ulaganja u tehnologiju. A također i razviti mjere koje će poboljšati razinu kvalitete informacijskih sustava.

Ovo je važno!

Ne postoji univerzalni IP koji bi odgovarao bilo kojem poduzeću. Postoje dvije zajedničke baze na temelju kojih možete stvoriti jedinstveni sustav za potrebe određenog poduzeća:

  • 1C.
  • Oracle.

Ali zapamtite da je to samo osnova, ne više. Sva poboljšanja kako bi poslovanje bilo učinkovito, morate programirati, uzimajući u obzir karakteristike određenog poduzeća. Sigurno ćete morati unijeti prethodno nedostajuće funkcije i onemogućiti one koje predviđa osnovni sklop. Suvremena tehnologija revizije bankarskih informacijskih sustava pomaže razumjeti što točno treba imati IP i što treba isključiti kako bi korporativni sustav bio optimalan, učinkovit, ali ne previše "težak".

strateška revizija stanja informacijskih sustava

Revizija informacijske sigurnosti

Analiza za prepoznavanje prijetnji informacijskoj sigurnosti može biti dvije vrste:

  • izgled;
  • unutarnje.

Prva uključuje jednokratni postupak. U organizaciji šefa tvrtke. Preporučuje se redovito provođenje takve mjere kako bi se situacija držala pod kontrolom. Brojna dionička društva i financijske organizacije uvele su zahtjev da se provede vanjska revizija informatičke sigurnosti.

Interni - to se redovito provode aktivnosti regulirane lokalnim regulatornim aktom „Uredba o unutarnjoj reviziji“. Za sastanak se sastavlja godišnji plan (priprema ga odjel zadužen za reviziju), kaže izvršni direktor, drugi menadžer. IT revizija - nekoliko kategorija događaja, sigurnosna revizija nije posljednja u važnosti.

ciljevi

Glavni cilj revizije informacijskih sustava u pogledu sigurnosti je identificiranje rizika povezanih s IP-om povezanih sa sigurnosnim prijetnjama. Pored toga, događaji pomažu identificirati:

  • slabosti postojećeg sustava;
  • usklađenost sustava sa standardima informacijske sigurnosti;
  • razina sigurnosti u trenutačnom vremenu.

Prilikom provođenja revizije sigurnosti formulirat će se preporuke koje će poboljšati trenutna rješenja i uvesti nova, čineći na taj način IP sigurnijim i zaštićenim od različitih prijetnji.

sigurnosne prijetnje

Ako se provodi interna revizija radi utvrđivanja prijetnji informacijskoj sigurnosti, tada se dodatno razmatra:

  • sigurnosna politika, mogućnost razvoja novih, kao i drugih dokumenata koji štite podatke i pojednostavljuju njihovu primjenu u proizvodnom procesu korporacije;
  • formiranje sigurnosnih zadataka za zaposlenike IT odjela;
  • analiza situacija koje uključuju kršenja;
  • osposobljavanje korisnika korporacijskog sustava, osoblja za održavanje općim aspektima sigurnosti.

Interna revizija: Značajke

Navedeni zadaci koji su postavljeni zaposlenicima tijekom provođenja interne revizije informacijskih sustava, u osnovi, nisu revizije. Teoretski provodeći događaje samo kao stručnjak procjenjuje mehanizme pomoću kojih je sustav siguran. Osoba uključena u zadatak postaje aktivni sudionik u procesu i gubi neovisnost, ne može više objektivno procijeniti situaciju i kontrolirati je.

S druge strane, u praksi unutarnje revizije gotovo je nemoguće ostati podalje. Činjenica je da je za obavljanje poslova uključen specijalist tvrtke, koji se u drugim slučajevima bavi drugim poslovima na sličnom području. To znači da je revizor isti zaposlenik koji ima sposobnost rješavanja gore spomenutih zadataka. Stoga morate praviti kompromise: na štetu objektivnosti, uključiti zaposlenika u praksu kako biste postigli vrijedan rezultat.

Revizija sigurnosti: Koraci

Na mnoge su načine slični koracima opće IT revizije. razlikuju se:

  • početak događaja;
  • prikupljanje baze za analizu;
  • analiza;
  • formiranje zaključaka;
  • izjave.

Pokretanje postupka

Revizija informacijskih sustava u pogledu sigurnosti započinje kada šef tvrtke daje napredak, budući da su šefovi ljudi koji su najviše zainteresirani za učinkovitu provjeru poduzeća. Revizija nije moguća ako uprava ne podrži postupak.

Revizija informacijskih sustava obično je složena. Uključuje revizora i nekoliko pojedinaca koji predstavljaju različite odjele tvrtke. Važna je suradnja svih sudionika u reviziji. Prilikom pokretanja revizije važno je obratiti pozornost na sljedeće točke:

  • dužnosti dokumentiranja, prava revizora;
  • priprema, odobravanje plana revizije;
  • dokumentirajući činjenicu da su zaposleni dužni pružiti svu moguću pomoć revizoru i pružiti sve podatke koje on traži.

Već u vrijeme pokretanja revizije važno je utvrditi u kojoj se mjeri revidiraju informacijski sustavi. Dok su neki IP podsustavi kritični i zahtijevaju posebnu pozornost, drugi nisu i nisu toliko važni, pa je njihovo isključenje dopušteno. Sigurno će postojati takvi podsustavi, čija verifikacija neće biti moguća, jer su svi tamo pohranjeni podaci povjerljivi.

Plan i granice

Prije početka rada formira se popis resursa koji treba provjeriti. Može biti:

  • Podaci;
  • softver;
  • tehnički.

Oni identificiraju na kojim se mjestima provodi revizija i na kojim se prijetnjama sustav provjerava. Postoje organizacijske granice događaja, sigurnosni aspekti koje je potrebno uzeti u obzir tijekom revizije. Formira se ocjena prioriteta koji pokazuje opseg revizije. Takve granice, kao i akcijski plan, odobrava generalni direktor, ali se prethodno podnose temom općeg radnog sastanka, na kojem su prisutni šefovi odjela, revizor i rukovoditelji tvrtki.

Dohvaćanje podataka

Prilikom provođenja sigurnosne revizije standardi za reviziju informacijskih sustava su takvi da je faza prikupljanja informacija najduža i naporna. IP u pravilu nema dokumentaciju za to, a revizor je prisiljen blisko surađivati ​​s brojnim kolegama.

Da bi zaključci bili kompetentni, revizor bi trebao dobiti najviše podataka. Revizor upoznaje kako je informacijski sustav organiziran, kako funkcionira i u kakvom je stanju iz organizacijske, administrativne, tehničke dokumentacije, tijekom neovisnog istraživanja i primjene specijaliziranog softvera.

Dokumenti potrebni za rad revizora:

  • organizacijska struktura odjela koji služe IP;
  • organizacijska struktura svih korisnika.

Revizor razgovara s zaposlenicima identificirajući:

  • usluga;
  • vlasnik podataka;
  • korisnički podaci.

svrha revizije informacijskih sustava

Da biste to učinili, morate znati:

  • glavne vrste IP aplikacija;
  • broj, vrste korisnika;
  • usluge koje se pružaju korisnicima.

Ako tvrtka ima dokumente o IP-u s donjeg popisa, potrebno ih je dostaviti revizoru:

  • opis tehničkih metodologija;
  • Opis metoda za automatizaciju funkcija;
  • funkcionalni dijagrami;
  • radni, projektni dokumenti.

Identifikacija strukture IP-a

Za ispravne zaključke, revizor treba u potpunosti razumjeti značajke informacijskog sustava implementiranog u poduzeću. Trebate znati koji su sigurnosni mehanizmi, kako se oni raspodjeljuju u sustavu po razinama. Da biste to učinili, saznajte:

  • prisutnost i značajke komponenti korištenog sustava;
  • komponentne funkcije;
  • grafički kvalitete;
  • ulaza;
  • interakcija s raznim objektima (vanjskim, unutarnjim) i protokolima, kanalima za to;
  • platforme primijenjene na sustav.

Prednosti će donijeti sheme:

  • strukturne;
  • protoci podataka.

strukture:

  • tehnička postrojenja;
  • softver;
  • informacijska podrška;
  • strukturne komponente.

U praksi se mnogi dokumenti pripremaju izravno tijekom revizije. Informacije se mogu analizirati samo kad se prikupi maksimalna količina informacija.

Revizija sigurnosti IP-a: analiza

Postoji nekoliko tehnika koje se koriste za analizu dobivenih podataka. Izbor u korist određenog temelji se na osobnim preferencijama revizora i specifičnostima određenog zadatka.

standardi revizije informacijskog sustava

Najsloženiji pristup uključuje analizu rizika. Za informacijski sustav formiraju se sigurnosni zahtjevi. Oni se temelje na značajkama određenog sustava i njegovog okruženja, kao i na prijetnjama svojstvenim ovom okruženju. Analitičari se slažu da ovaj pristup zahtijeva najveće troškove rada i maksimalnu kvalifikaciju revizora. Koliko će dobar rezultat biti utvrđen metodologijom za analizu podataka i primjenjivošću odabranih opcija na vrstu IP-a.

Praktičnija opcija je pribjegavanje sigurnosnim standardima za podatke. Ovo su skup zahtjeva. To je pogodno za razne IP-ove, jer se metodologija razvija na temelju najvećih tvrtki iz različitih zemalja.

Iz normi proizlazi koji su sigurnosni zahtjevi, ovisno o razini zaštite sustava i njegovoj pripadnosti određenoj instituciji. Mnogo toga ovisi o svrsi IP-a. Glavni zadatak revizora je točno utvrditi koji je skup sigurnosnih zahtjeva relevantan u određenom slučaju. Odaberite tehniku ​​kojom će procijeniti odgovaraju li postojeći parametri sustava standardima. Tehnologija je prilično jednostavna, pouzdana i stoga široko rasprostranjena. Uz mala ulaganja, rezultat može biti točan zaključak.

Zanemarivanje je neprihvatljivo!

Praksa pokazuje da su mnogi menadžeri, posebno male tvrtke, kao i oni čije tvrtke djeluju već dulje vrijeme i ne nastoje savladati sve najnovije tehnologije, prilično nepažljivi u pogledu revizije informacijskih sustava, jer jednostavno ne shvaćaju važnost ove mjere. Obično samo šteta na poslu izaziva vlasti da poduzmu mjere za provjeru, prepoznavanje rizika i zaštitu poduzeća. Drugi su suočeni s činjenicom da kradu podatke o klijentima, drugi propuštaju iz baza podataka drugih ugovornih strana ili ostavljaju informacije o ključnim prednostima određenog subjekta. Potrošači više ne vjeruju tvrtki čim se slučaj objavi, a tvrtka trpi više štete nego samo gubitak podataka.

informacijska tehnologija

Ako postoji mogućnost istjecanja informacija, nemoguće je izgraditi učinkovit posao koji ima dobre mogućnosti sada i u budućnosti. Svaka tvrtka ima podatke vrijedne za treće strane i moraju ih se zaštititi. Da bi zaštita bila na najvišoj razini, potrebna je revizija kako bi se utvrdile slabosti. Mora uzeti u obzir međunarodne standarde, metodologije i najnovija dostignuća.

Pri reviziji:

  • procijeniti razinu zaštite;
  • analizirati primijenjene tehnologije;
  • prilagoditi sigurnosne dokumente;
  • simulirati rizične situacije u kojima je moguće propuštanje podataka;
  • preporučiti implementaciju rješenja za uklanjanje ranjivosti.

Provedite ove događaje na jedan od tri načina:

  • aktivnog;
  • stručnjak;
  • otkrivajući usklađenost sa standardima.

Obrasci za reviziju

Aktivna revizija uključuje ocjenu sustava koji potencijalni haker gleda. Njegovo je gledište da revizori "probaju" sami - oni proučavaju zaštitu mreže za koju koriste specijalizirani softver i jedinstvene tehnike. Također je potrebna interna revizija, koja se također provodi s gledišta navodnog počinitelja koji želi ukrasti podatke ili poremetiti sustav.

tehnologija za reviziju bankarskih informacijskih sustava

Stručna revizija provjerava je li implementirani sustav idealan. Pri identificiranju usklađenosti sa standardima uzima se apstraktni opis normi s kojima se uspoređuje postojeći objekt.

zaključak

Ispravno i kvalitativno provedena revizija omogućuje vam da dobijete sljedeće rezultate:

  • minimizirajući vjerojatnost uspješnog hakerskog napada, štetu od njega;
  • iznimka napada utemeljenog na promjeni arhitekture sustava i protoka informacija;
  • osiguranje kao sredstvo smanjenja rizika;
  • minimiziranje rizika na razinu gdje se čovjek može u potpunosti zanemariti.


Dodajte komentar
×
×
Jeste li sigurni da želite izbrisati komentar?
izbrisati
×
Razlog za žalbu

Djevojka je pokušavala ne trošiti novac mjesec dana. Eksperiment je ostavio njezine miješane osjećaje

posao

Priče o uspjehu

oprema