Kategóriák
...

Az információs rendszerek ellenőrzése. Az információbiztonság fenyegetése. Információs technológia

Az információs rendszerek ellenőrzése releváns és pontos adatokat szolgáltat az IP működéséről. A kapott adatok alapján tevékenységeket lehet megtervezni a vállalkozás hatékonyságának javítása érdekében. Az információs rendszer ellenőrzésének gyakorlata a szabvány, a valós helyzet összehasonlítása. Tanulmányozzák a más cégekben alkalmazandó normákat, szabványokat, rendeleteket és gyakorlatokat. Az ellenőrzés elvégzésekor a vállalkozó képet kap arról, hogyan különbözik vállalkozása a hasonló területen működő szokásos sikeres vállalkozástól.

Általános nézet

Az információs technológia a modern világban rendkívül fejlett. Nehéz elképzelni egy vállalkozást, amely nem működik információs rendszerekkel:

  • globális szinten;
  • helyi.

A társaság az IP-n keresztül képes normálisan működni és lépést tartani az idővel. Az ilyen módszerekre szükség van a környezettel történő gyors és teljes információcseréhez, amely lehetővé teszi a társaság számára, hogy alkalmazkodjon az infrastruktúra és a piaci követelmények változásaihoz. Az információs rendszereknek meg kell felelniük számos, az idővel változó követelménynek (új fejlesztéseket, szabványokat vezetnek be, frissített algoritmusokat alkalmaznak). Mindenesetre az információs technológia lehetővé teszi az erőforrásokhoz való gyors hozzáférést, és ezt a problémát IP-n keresztül oldják meg. Ezen felül, modern rendszerek:

  • skálázható
  • rugalmas;
  • megbízható;
  • biztonságos.

Az információs rendszerek ellenőrzésének fő feladata annak azonosítása, hogy a megvalósított IP megfelel-e a megadott paramétereknek.

információs rendszerek ellenőrzése

Audit: típusok

Nagyon gyakran használják az információs rendszer úgynevezett folyamat-ellenőrzését. Példa: külső szakértők elemezik a megvalósított rendszereket a szabványoktól való eltérésekkel, ideértve a gyártási folyamat tanulmányozását is, amelynek kimenete szoftver.

Audit elvégezhető annak meghatározására, hogy az információs rendszert hogyan használják helyesen a munkában. A vállalkozás gyakorlatát összehasonlítják a gyártó szabványaival és a nemzetközi vállalatok jól ismert példáival.

A vállalkozás információbiztonsági rendszerének ellenőrzése befolyásolja a szervezeti felépítést. Egy ilyen esemény célja az IT-osztály munkatársainak vékony foltok felkutatása, a problémák azonosítása, valamint azok megoldására vonatkozó ajánlások megfogalmazása.

Végül az információbiztonsági rendszer ellenőrzésének célja a minőség-ellenőrzés. Ezután a meghívott szakértők értékelik a vállalkozáson belüli folyamatok állapotát, tesztelik a megvalósított információs rendszert, és következtetéseket vonnak le a kapott információkról. Általában a TMMI modellt alkalmazzák.

Az ellenőrzési célok

Az információs rendszerek állapotának stratégiai ellenőrzése lehetővé teszi a végrehajtott IP hiányosságainak felismerését és annak meghatározását, ahol a technológia használata nem volt hatékony. Egy ilyen folyamat kimenetelénél az ügyfél ajánlásokat fog adni a hiányosságok kiküszöbölésére.

Az ellenőrzés lehetővé teszi annak felmérését, hogy mennyire költséges lesz a jelenlegi szerkezet módosítása, és mennyi ideig tart. A vállalat jelenlegi információs szerkezetét tanulmányozó szakemberek segítenek kiválasztani az eszközöket a fejlesztési program végrehajtásához, figyelembe véve a vállalat jellemzőit. Az eredmények alapján pontos értékelést adhat arról is, hogy mennyi erőforrásra van szüksége a vállalatnak.Elemezzük a szellemi, monetáris és termelési kérdéseket.

intézkedések

Az információs rendszerek belső ellenőrzése magában foglalja a következő tevékenységek végrehajtását:

  • IT leltár;
  • az információs struktúrák terhelésének azonosítása;
  • a statisztikák, a leltár során kapott adatok értékelése;
  • annak meghatározása, hogy az üzleti követelmények és a megvalósított IP képességei összhangban vannak-e;
  • jelentés generálása;
  • ajánlások kidolgozása;
  • az NSI alap formalizálása.

Az ellenőrzés eredménye

Az információs rendszerek állapotának stratégiai ellenőrzése olyan eljárás, amely: lehetővé teszi a bevezetett információs rendszer hatékonyságának okainak azonosítását; megjósolni az IP viselkedését az információáramlás kiigazításakor (felhasználók száma, adatmennyiség); tájékozott megoldásokat nyújt, amelyek elősegítik a termelékenységet (berendezések beszerzése, a megvalósított rendszer fejlesztése, cseréje); ajánlásokat ad a vállalati osztályok termelékenységének javítására, a technológiai beruházások optimalizálására. Ezenkívül olyan intézkedéseket kell kidolgozni, amelyek javítják az információs rendszerek szolgáltatási színvonalát.

Ez nagyon fontos!

Nincs olyan univerzális IP, amely bármely vállalkozásnak megfelelne. Két közös alap létezik, amelyek alapján egyedi rendszert hozhat létre egy adott vállalkozás igényeihez:

  • 1C.
  • Oracle.

De ne feledje, hogy ez csak az alap, nem több. Az üzleti fejlesztéshez szükséges összes fejlesztésnek programoznia kell, figyelembe véve egy adott vállalkozás jellemzőit. Bizonyára be kell írnia a korábban hiányzó funkciókat, és le kell tiltania azokat, amelyeket az alapszerelés biztosít. A banki információs rendszerek ellenőrzésére szolgáló korszerű technológia segít megérteni, hogy pontosan milyen tulajdonságokkal kell rendelkeznie az IP-nél, és melyeket ki kell zárni annak érdekében, hogy a vállalati rendszer optimális, hatékony, de ne legyen túl „nehéz”.

az információs rendszerek állapotának stratégiai ellenőrzése

Információbiztonsági ellenőrzés

Az információbiztonságot fenyegető veszélyek azonosítására szolgáló elemzés kétféle lehet:

  • megjelenés;
  • belső.

Az első egy egyszeri eljárást foglal magában. A társaság vezetője szervezi. Javasoljuk, hogy rendszeresen gyakoroljon egy ilyen intézkedést a helyzet ellenőrzése érdekében. Számos részvénytársaság és pénzügyi szervezet bevezette az informatikai biztonság külső ellenőrzésének követelményét.

Belső - ezeket rendszeresen folytatott tevékenységekre a „Belső Ellenőrzési Szabályzat” helyi szabályozási törvény szabályozza. Az ülésről éves terv készül (az ellenőrzésért felelős osztály készíti el) - mondja az ügyvezető igazgató, egy másik menedzser. IT-audit - események több kategóriája, a biztonsági ellenőrzés nem utolsó sorban fontos.

célok

Az információs rendszerek biztonságának ellenőrzésének fő célja a biztonsági fenyegetésekkel kapcsolatos szellemi tulajdonhoz kapcsolódó kockázatok azonosítása. Ezenkívül az események segítik a következők azonosítását:

  • a jelenlegi rendszer gyengeségei;
  • a rendszer megfelelése az információbiztonsági előírásoknak;
  • a jelenlegi biztonsági szint.

A biztonsági ellenőrzés elvégzésekor olyan ajánlásokat fogalmaznak meg, amelyek javítják a jelenlegi megoldásokat és bevezetnek újakat, ezáltal biztonságosabbá teszik a jelenlegi IP-t és védik a különféle veszélyeket.

biztonsági fenyegetések

Ha belső ellenőrzést hajtanak végre az információbiztonságot fenyegető veszélyek azonosítása céljából, akkor ez további szempont:

  • biztonsági politika, az új és más dokumentumok kidolgozásának képessége, amelyek védelmet nyújtanak az adatok védelmére és egyszerűsítik azok alkalmazását a vállalat termelési folyamatában;
  • biztonsági feladatok kialakítása az informatikai osztály alkalmazottai számára;
  • a jogsértéseket érintő helyzetek elemzése;
  • a vállalati rendszer felhasználói, karbantartó személyzet képzése a biztonság általános szempontjain.

Belső ellenőrzés: Jellemzők

A felsorolt ​​feladatok, amelyeket az alkalmazottak számára az információs rendszerek belső ellenőrzésének elvégzésekor alapvetően nem auditok. Az események elméleti lefolytatása csak szakértőként értékeli azokat a mechanizmusokat, amelyekkel a rendszer biztonságos. A feladatban részt vevő személy aktív résztvevővé válik a folyamatban, elveszíti függetlenségét, már nem képes objektíven értékelni a helyzetet és ellenőrizni azt.

Másrészt a gyakorlatban a belső ellenőrzés során szinte lehetetlen távol maradni. A munka elvégzéséhez a cég szakembere van bevonva, máskor hasonló területen más feladatokat végez. Ez azt jelenti, hogy a könyvvizsgáló ugyanaz a munkavállaló, aki kompetens a fent említett feladatok megoldására. Ezért kompromisszumot kell tennie: az objektivitás kárára vonja be a munkavállalót a gyakorlatba, hogy méltó eredményt érjen el.

Biztonsági ellenőrzés: lépések

Ezek sok szempontból hasonlóak az általános informatikai ellenőrzés lépéseihez. különböztetünk meg:

  • események kezdete;
  • az elemzéshez egy alap összegyűjtése;
  • elemzés;
  • következtetések kialakítása;
  • nyilatkozatokat.

Az eljárás megindítása

Az információs rendszerek biztonsági ellenőrzése akkor kezdődik, amikor a vállalat vezetője megadja a javaslatot, mivel a főnökök azok, akiket a leginkább érdekel a vállalkozás hatékony ellenőrzése. Az ellenőrzés nem lehetséges, ha a vezetőség nem támogatja az eljárást.

Az információs rendszerek ellenőrzése általában összetett. Bevonja a könyvvizsgálót és a társaság különböző részlegeit képviselő több egyént. Fontos az ellenőrzés valamennyi résztvevőjének együttműködése. Az ellenőrzés megindításakor fontos figyelni a következőkre:

  • a könyvvizsgáló kötelezettségeinek és jogainak dokumentálása;
  • az ellenőrzési terv elkészítése, jóváhagyása;
  • annak a ténynek a dokumentálása, hogy a munkavállalók minden lehetséges segítséget nyújtanak a könyvvizsgálónak, és megadják az általa kért összes adatot.

Már az ellenőrzés megindításakor is fontos meghatározni, hogy az információs rendszerek ellenőrzését milyen mértékben hajtják végre. Míg egyes IP-alrendszerek kritikusak és különös figyelmet igényelnek, mások nem, és elég jelentéktelenek, ezért kizárásuk megengedett. Bizonyára lesznek olyan alrendszerek, amelyek ellenőrzése lehetetlen, mivel az ott tárolt összes információ bizalmas.

Terv és határok

A munka megkezdése előtt létrejön az erőforrások listája, amelyeket ellenőrizni kell. Ez lehet:

  • információkat;
  • szoftver;
  • műszaki.

Meghatározzák, hogy mely helyeken történik az ellenőrzés, mely veszélyekkel ellenőrzik a rendszert. Vannak az esemény szervezeti határai, biztonsági szempontjai, amelyeket kötelező figyelembe venni az ellenőrzés során. Az ellenőrzés körét jelző prioritási besorolás alakul ki. Az ilyen határokat, valamint a cselekvési tervet a főigazgató jóváhagyja, de előzetesen a közgyűlés témája nyújtja be, ahol az osztályvezetők, a könyvvizsgáló és a vállalati vezetők jelen vannak.

Az adatok visszakeresése

A biztonsági ellenőrzés elvégzésekor az információs rendszerek ellenőrzésének szabványai olyanok, hogy az információgyűjtés a leghosszabb és fáradságosabb. Általános szabály, hogy az IP-nek nincs erre vonatkozó dokumentációja, és az auditornak kénytelen szorosan együttműködni számos kollégával.

Annak érdekében, hogy a levont következtetések megalapozottak legyenek, a könyvvizsgálónak maximális mennyiségű adatot kell megkapnia. A könyvvizsgáló megismerheti az információs rendszer felépítését, működését és állapotát a szervezeti, adminisztratív, műszaki dokumentációból, a független kutatás és a speciális szoftver alkalmazása során.

A könyvvizsgáló munkájában megkövetelt dokumentumok:

  • az IP-t kiszolgáló osztályok szervezeti felépítése;
  • valamennyi felhasználó szervezeti felépítése.

A könyvvizsgáló megkérdezi a munkavállalókat, azonosítva:

  • szolgáltató;
  • adattulajdonos;
  • felhasználói adatok.

az információs rendszerek ellenőrzésének célja

Ehhez tudnia kell:

  • az IP-alkalmazások fő típusai;
  • a felhasználók száma, típusai;
  • a felhasználók számára nyújtott szolgáltatások.

Ha a társaságnak az alábbiakban felsorolt ​​dokumentumai vannak IP-n, akkor azokat be kell nyújtania az auditornak:

  • a műszaki módszertan leírása;
  • A funkciók automatizálására szolgáló módszerek leírása;
  • funkcionális diagramok;
  • munka, tervezési dokumentumok.

Az IP szerkezetének azonosítása

A helyes következtetések érdekében a könyvvizsgálónak teljes mértékben meg kell értenie a vállalkozásnál alkalmazott információs rendszer jellemzőit. Tudnia kell, hogy mi a biztonsági mechanizmus, hogyan oszlik el a rendszerben szintek szerint. Ehhez megtudja:

  • a használt rendszer összetevőinek jelenléte és jellemzői;
  • komponens funkciók;
  • grafikai minőség
  • bemenet;
  • interakció különféle objektumokkal (külső, belső) és protokollokkal, csatornákkal ehhez;
  • a rendszerre alkalmazott platformokat.

Az előnyök rendszereket hoznak:

  • strukturális;
  • adatfolyamok.

szerkezetek:

  • műszaki eszközök;
  • szoftver;
  • információs támogatás;
  • szerkezeti elemek.

A gyakorlatban sok dokumentum közvetlenül az ellenőrzés során készül el. Az információkat csak akkor lehet elemezni, ha a maximális mennyiségű információt gyűjtik.

IP biztonsági ellenőrzés: elemzés

A kapott adatok elemzéséhez számos módszer létezik. Az adott választás alapja a könyvvizsgáló személyes preferenciája és az adott feladat sajátosságai.

információs rendszer ellenőrzési standardjai

A legbonyolultabb megközelítés magában foglalja a kockázatok elemzését. Az információs rendszer számára biztonsági követelményeket alakítanak ki. Ezek egy adott rendszer és környezetének sajátosságain, valamint az ehhez a környezethez kapcsolódó veszélyekre épülnek. Az elemzők egyetértenek abban, hogy ez a megközelítés a legnagyobb munkaköltségeket és a könyvvizsgáló maximális képesítését igényli. Az eredmény eredményességét az információk elemzésének módszertana és a kiválasztott lehetőségek az IP típusára való alkalmazhatósága határozza meg.

Gyakorlatibb lehetőség az adatok biztonsági előírásainak igénybevétele. Ezek egy sor követelmény. Ez különféle IP-k számára alkalmas, mivel a módszertant a különféle országok legnagyobb vállalatainak alapján fejlesztették ki.

A szabványokból következik, hogy mi a biztonsági követelmény, a rendszer védettségi szintjétől és az adott intézményhez való kapcsolódásától függően. Nagyon függ az IP céljától. A könyvvizsgáló fő feladata annak meghatározása, hogy mely biztonsági követelmények relevánsak egy adott esetben. Válasszon egy technikát, amellyel kiértékeli, hogy a meglévő rendszerparaméterek megfelelnek-e a szabványoknak. A technológia meglehetősen egyszerű, megbízható, és ezért széles körben elterjedt. Kis beruházások esetén az eredmény pontos következtetések lehet.

Elhanyagolás elfogadhatatlan!

A gyakorlat azt mutatja, hogy sok vezetõ, különösen a kis cégek, valamint azok, akiknek cége már régóta müködik, és nem törekszik a legújabb technológiák elsajátítására, meglehetõsen gondatlan az információs rendszerek ellenõrzésén, mivel egyszerűen nem veszik észre ezen intézkedés fontosságát. Általában csak az üzleti vállalkozás káros hatása miatt provokálják a hatóságokat az ellenőrzés, a kockázatok azonosítása és a vállalkozás védelme érdekében. Mások szembesülnek azzal, hogy ellopják az ügyfelek adatait, mások kiszivárognak az ügyfelek adatbázisaiból, vagy elhagynak információkat egy adott szervezet legfontosabb előnyeiről. A fogyasztók már nem bíznak a társaságban, mihelyt az ügyet nyilvánosságra hozzák, és a vállalat több károkat szenved, mint csupán az adatvesztés.

információs technológia

Ha fennáll az információszivárgás esélye, lehetetlen olyan hatékony vállalkozást felépíteni, amelynek most és a jövőben is jó esélyei vannak. Minden társaság rendelkezik olyan adatokkal, amelyek értékesek a harmadik felek számára, és ezeket meg kell védeni. A legmagasabb szintű védelem érdekében ellenőrzésre van szükség a gyengeségek azonosításához. Figyelembe kell vennie a nemzetközi szabványokat, módszertant, a legújabb fejleményeket.

Az ellenőrzésen:

  • értékelje a védelem szintjét;
  • elemzi az alkalmazott technológiákat;
  • a biztonsági dokumentumok kiigazítása;
  • szimulálja azokat a kockázati helyzeteket, amelyekben lehetséges az adatok szivárgása;
  • javasolja a biztonsági rések kiküszöbölésére szolgáló megoldások végrehajtását.

Vezesse ezeket az eseményeket a három módszer egyikével:

  • aktív;
  • szakértő;
  • Határozza vonatkozó szabványoknak.

Ellenőrzési űrlapok

Az aktív ellenőrzés magában foglalja a potenciális hackerek által vizsgált rendszer értékelését. Véleménye szerint az auditorok „kipróbálják” magukat - tanulmányozzák a hálózatvédelmet, amelyre speciális szoftvereket és egyedi technikákat használnak. Belső ellenőrzésre is szükség van, amelyet az állítólagos elkövető szemszögéből is végeznek, aki adatokat ellopni vagy a rendszert megzavarni akar.

banki információs rendszerek ellenőrzési technológiája

Szakértői ellenőrzés ellenőrzi, hogy a megvalósított rendszer ideális-e. A szabványoknak való megfelelés azonosításakor a szabványok elvont leírását veszik alapul, amelyekkel összehasonlítják a meglévő objektumot.

következtetés

A helyes és minőségileg elvégzett ellenőrzés lehetővé teszi a következő eredmények elérését:

  • minimalizálva a hackerek sikeres támadásának valószínűségét, az abból származó károkat;
  • kivéve a támadást, amely a rendszer architektúrájának és az információáramlás változásán alapul;
  • a biztosítás a kockázatok csökkentésének eszközeként;
  • a kockázat minimalizálása olyan szintre, amelyen teljesen figyelmen kívül lehet hagyni.


Adj hozzá egy megjegyzést
×
×
Biztosan törli a megjegyzést?
töröl
×
A panasz oka

A lány megpróbálta nem költeni pénzt egy hónapig. A kísérlet kevert érzéseit hagyta el

üzleti

Sikertörténetek

felszerelés