kategorier
...

Granskning av informationssystem. Hot mot informationssäkerhet. Informationsteknik

Granskning av informationssystem ger relevant och korrekt information om hur IP fungerar. Baserat på erhållna data är det möjligt att planera aktiviteter för att förbättra företagets effektivitet. Övningen av att granska ett informationssystem är att jämföra standarden, den verkliga situationen. De studerar normer, standarder, regler och praxis som är tillämpliga i andra företag. Vid en revision får en entreprenör en uppfattning om hur hans företag skiljer sig från ett normalt framgångsrikt företag inom ett liknande område.

Allmän vy

Informationsteknologi i den moderna världen är extremt utvecklad. Det är svårt att föreställa sig ett företag som inte har informationssystem i tjänst:

  • global;
  • lokal.

Det är genom IP som ett företag kan fungera normalt och hålla jämna steg med tiderna. Sådana metoder är nödvändiga för ett snabbt och komplett informationsutbyte med miljön, vilket gör det möjligt för företaget att anpassa sig till förändringar i infrastruktur och marknadskrav. Informationssystem måste uppfylla ett antal krav som förändras över tid (ny utveckling, standarder införs, uppdaterade algoritmer tillämpas). I alla fall låter informationsteknologi snabbt få tillgång till resurser, och problemet löses via IP. Dessutom moderna system:

  • skalbar;
  • flexibel;
  • tillförlitlig;
  • säker.

Huvuduppgifterna för revisionen av informationssystem är att identifiera om den implementerade IP: n uppfyller de angivna parametrarna.

granskning av informationssystem

Revision: typer

Mycket ofta används den så kallade processrevisionen av informationssystemet. Exempel: externa experter analyserar implementerade system för skillnader från standarder, inklusive att studera produktionsprocessen, vars utgång är mjukvara.

En revision kan göras för att identifiera hur korrekt informationssystemet används i arbetet. Företagets praxis jämförs med tillverkarens standarder och välkända exempel på internationella företag.

En granskning av ett företags informationssäkerhetssystem påverkar organisationsstrukturen. Syftet med en sådan händelse är att hitta tunna fläckar i personalen på IT-avdelningen och identifiera problem, samt formulera rekommendationer för deras lösning.

Slutligen syftar revisionen av informationssäkerhetssystemet till kvalitetskontroll. Därefter utvärderar de inbjudna experterna läget för processerna inom företaget, testar det implementerade informationssystemet och drar några slutsatser om den mottagna informationen. Vanligtvis används TMMI-modellen.

Revisionsmål

En strategisk granskning av informationssystemens tillstånd gör att du kan identifiera svagheter i den implementerade IP och identifiera var användningen av teknik har varit ineffektiv. Vid utgången av en sådan process kommer kunden att ha rekommendationer för att eliminera bristerna.

En granskning gör det möjligt för dig att utvärdera hur dyrt det blir att göra ändringar i den nuvarande strukturen och hur lång tid det kommer att ta. Specialister som studerar företagets nuvarande informationsstruktur hjälper dig att välja verktygen för att genomföra förbättringsprogrammet, med hänsyn till företagets egenskaper. Baserat på resultaten kan du också ge en exakt bedömning av hur mycket resurser företaget behöver.De kommer att analyseras intellektuell, monetär produktion.

åtgärder

Internrevision av informationssystem inkluderar implementering av aktiviteter som:

  • IT-lager;
  • identifiering av belastningen på informationsstrukturer;
  • bedömning av statistik, data erhållna under inventeringen;
  • fastställa om verksamhetens krav och kapaciteten för den implementerade IP-enheten är konsekvent;
  • rapportgenerering;
  • utveckling av rekommendationer;
  • formalisering av NSI-fonden.

Revisionsresultat

En strategisk granskning av informationssystemens tillstånd är ett förfarande som: låter dig identifiera orsakerna till bristen på effektivitet i det implementerade informationssystemet; att förutsäga IP: s beteende vid justering av informationsflöden (antal användare, datavolym); tillhandahålla informerade lösningar som hjälper till att öka produktiviteten (förvärv av utrustning, förbättring av det implementerade systemet, utbyte); ge rekommendationer som syftar till att förbättra produktiviteten i företagets avdelningar, optimera investeringar i teknik. Och också för att utveckla åtgärder som förbättrar kvalitetsnivån för informationssystem.

Detta är viktigt!

Det finns ingen sådan universell IP som passar alla företag. Det finns två vanliga baser på vilka du kan skapa ett unikt system för kraven i ett visst företag:

  • 1C.
  • Oracle.

Men kom ihåg att detta bara är grunden, inte mer. Alla förbättringar för att göra ett företag effektivt måste du programmera med hänsyn till egenskaperna hos ett visst företag. Visst måste du ange tidigare saknade funktioner och inaktivera de som tillhandahålls av basenheten. Modern teknik för revision av bankinformationssystem hjälper till att förstå exakt vilka funktioner en IP ska ha och vad som måste uteslutas så att företagssystemet är optimalt, effektivt, men inte för "tungt".

strategisk granskning av informationssystemens tillstånd

Revisions för informationssäkerhet

En analys för att identifiera hot mot informationssäkerhet kan vara av två typer:

  • utseende;
  • inre.

Den första innebär en engångsprocedur. Organiserad av företagets chef. Det rekommenderas att regelbundet öva en sådan åtgärd för att hålla situationen under kontroll. Ett antal aktiebolag och finansiella organisationer har infört ett krav på att en extern revision av IT-säkerhet ska genomföras.

Internt - dessa bedrivs regelbundet verksamheter som regleras av den lokala lagstiftningen ”Förordningen om internrevision”. En årlig plan utformas för mötet (den utarbetas av den avdelning som ansvarar för revisionen), säger VD, en annan chef. IT-revision - flera kategorier av händelser, säkerhetsrevision är inte den sista i betydelse.

mål

Huvudsyftet med granskningen av informationssystem när det gäller säkerhet är att identifiera IP-relaterade risker förknippade med säkerhetshot. Dessutom hjälper händelser att identifiera:

  • svagheter i det nuvarande systemet;
  • efterlevnad av systemet med informationssäkerhetsstandarder;
  • säkerhetsnivå för närvarande.

Vid genomförande av en säkerhetsrevision kommer rekommendationer att formuleras som förbättrar nuvarande lösningar och introducerar nya och därmed gör den nuvarande IP-adressen säkrare och skyddade från olika hot.

säkerhetshot

Om en internrevision genomförs för att identifiera hot mot informationssäkerhet övervägs den dessutom:

  • säkerhetspolicy, förmågan att utveckla nya såväl som andra dokument som skyddar data och förenklar deras tillämpning i företagets produktionsprocess;
  • bildandet av säkerhetsuppgifter för anställda vid IT-avdelningen;
  • analys av situationer med brott;
  • utbildning av användare av företagssystemet, underhållspersonal i allmänna säkerhetsaspekter.

Internrevision: Funktioner

De listade uppgifterna som ställs in för anställda vid en internrevision av informationssystem är i huvudsak inte granskningar. Teoretiskt genomförande av händelser endast som en expert utvärderar de mekanismer som systemet är säkert med. Den som är involverad i uppgiften blir en aktiv deltagare i processen och förlorar självständighet, kan inte längre objektivt bedöma situationen och kontrollera den.

Å andra sidan är det i praktiken i en internrevision nästan omöjligt att hålla sig borta. Faktum är att för att utföra arbetet är en specialist i företaget involverad, vid andra tillfällen engagerad i andra uppgifter inom ett liknande område. Detta innebär att revisoren är samma anställd som har kompetens att lösa ovan nämnda uppgifter. Därför måste du kompromissa: till nackdel för objektivitet, involvera medarbetaren i praktiken för att få ett värdigt resultat.

Säkerhetsrevision: steg

Dessa liknar på många sätt stegen i en allmän IT-revision. urskiljas:

  • evenemangens början;
  • insamling av en bas för analys;
  • analys;
  • bildande av slutsatser;
  • uttalanden.

Starta ett förfarande

En granskning av informationssystem i fråga om säkerhet börjar när företagets chef ger klarsignaler, eftersom cheferna är de människor som är mest intresserade av en effektiv granskning av företaget. En revision är inte möjlig om ledningen inte stöder förfarandet.

Granskning av informationssystem är vanligtvis komplex. Det involverar revisor och flera personer som representerar olika avdelningar i företaget. Samarbete mellan alla deltagare i revisionen är viktigt. När du inleder en revision är det viktigt att uppmärksamma följande punkter:

  • dokumentera uppgifter, revisorns rättigheter;
  • utarbetande, godkännande av revisionsplanen;
  • dokumentera det faktum att anställda är skyldiga att tillhandahålla all möjlig hjälp till revisoren och tillhandahålla alla de uppgifter som honom begär.

Redan vid inledningen av revisionen är det viktigt att fastställa i vilken utsträckning revisionen av informationssystem genomförs. Medan vissa IP-delsystem är kritiska och kräver särskild uppmärksamhet, är andra inte och är ganska obetydliga, därför är deras uteslutning tillåtet. Visst kommer det att finnas sådana delsystem, vars verifiering är omöjlig, eftersom all information som lagras där är konfidentiell.

Planera och gränser

Innan arbetet påbörjas bildas en lista med resurser som ska kontrolleras. Det kan vara:

  • information;
  • programvara;
  • tekniskt.

De identifierar på vilka webbplatser revisionen genomförs, på vilka hot systemet kontrolleras. Det finns organisatoriska gränser för evenemanget, säkerhetsaspekter som är obligatoriska att överväga under revisionen. Ett prioriterat betyg bildas som indikerar omfattningen av revisionen. Sådana gränser, såväl som handlingsplanen, godkänns av generaldirektören, men lämnas in preliminärt av ämnet för det allmänna arbetsmötet, där avdelningschefer, en revisor och företagsledare är närvarande.

Datainsamling

Vid genomförande av en säkerhetsrevision är standarderna för revision av informationssystem sådana att informationssamlingen är den längsta och mest ansträngande. Som regel har IP inte dokumentation för det, och revisor tvingas arbeta nära med många kollegor.

För att slutsatserna ska vara behöriga bör revisorn få de maximala uppgifterna. Revisorn lär sig hur informationssystemet är organiserat, hur det fungerar och i vilket skick det är från organisatorisk, administrativ, teknisk dokumentation, i samband med oberoende forskning och tillämpning av specialiserad programvara.

Dokument som krävs i revisorns arbete:

  • organisationsstruktur för avdelningar som tjänar IP;
  • organisationens struktur för alla användare.

Revisorn intervjuar anställda och identifierar:

  • leverantören;
  • dataägare;
  • användardata.

syfte att granska informationssystem

För att göra detta måste du veta:

  • huvudtyper av IP-applikationer;
  • antal, användartyper;
  • tjänster som tillhandahålls för användare.

Om företaget har dokument på IP från listan nedan är det nödvändigt att lämna dem till revisoren:

  • beskrivning av tekniska metoder;
  • Beskrivning av metoder för automatisering av funktioner;
  • funktionella diagram;
  • arbetar, projektdokument.

Identifiering av IP: s struktur

För korrekta slutsatser bör revisor ha fullständig förståelse för funktionerna i det informationssystem som implementerats i företaget. Du måste veta vad som är säkerhetsmekanismerna, hur de fördelas i systemet efter nivåer. För att göra detta, ta reda på:

  • närvaro och funktioner hos komponenterna i det använda systemet;
  • komponentfunktioner;
  • grafisk kvalitet;
  • ingångar;
  • interaktion med olika objekt (externa, interna) och protokoll, kanaler för detta;
  • plattformar som tillämpas på systemet.

Fördelar kommer att ge system:

  • strukturell;
  • dataströmmar.

strukturer:

  • tekniska anläggningar;
  • programvara;
  • informationsstöd;
  • strukturella komponenter.

I praktiken förbereds många av dokumenten direkt under revisionen. Information kan endast analyseras när den maximala mängden information samlas in.

IP-säkerhetsrevision: Analys

Det finns flera tekniker som används för att analysera erhållna data. Valet till förmån för en specifik är baserad på revisorernas personliga preferenser och specificiteten för en viss uppgift.

standarder för revisionssystem för informationssystem

Den mest komplexa metoden innebär analys av risker. För informationssystemet skapas säkerhetskrav. De är baserade på funktionerna i ett visst system och dess miljö, såväl som de hot som finns i denna miljö. Analytiker håller med om att detta tillvägagångssätt kräver de största arbetskraftskostnaderna och revisorns högsta kvalifikation. Hur bra resultatet kommer att bestämmas bestäms av metodiken för att analysera informationen och tillämpningen av de valda alternativen för typen av IP.

Ett mer praktiskt alternativ är att ta till säkerhetsstandarder för data. Dessa är en uppsättning krav. Detta är lämpligt för olika IP-adresser, eftersom metodiken utvecklas på grundval av de största företagen från olika länder.

Av standarderna följer vad som är säkerhetskraven, beroende på skyddsnivån för systemet och dess anslutning till en viss institution. Mycket beror på IP: s syfte. Revisorns huvuduppgift är att bestämma korrekt vilken uppsättning säkerhetskrav som är relevant i ett visst fall. Välj en teknik genom vilken de utvärderar om de befintliga systemparametrarna överensstämmer med standarderna. Tekniken är ganska enkel, pålitlig och därför utbredd. Med små investeringar kan resultatet vara exakta slutsatser.

Att försumma är oacceptabelt!

Övningen visar att många chefer, särskilt små företag, liksom de vars företag har varit verksamma länge och inte försöker behärska all den senaste tekniken, är ganska slarvig när det gäller granskning av informationssystem, eftersom de helt enkelt inte inser vikten av denna åtgärd. Vanligtvis väcker endast skador på verksamheten myndigheterna att vidta åtgärder för att verifiera, identifiera risker och skydda företaget. Andra står inför det faktum att de stjäl kundinformation, andra läcker från motparternas databaser eller lämnar information om de viktigaste fördelarna med en viss enhet. Konsumenter litar inte längre på företaget så snart fallet offentliggörs och företaget lider mer skada än bara dataförlust.

informationsteknologi

Om det finns en risk för informationsläckage är det omöjligt att bygga en effektiv verksamhet som har goda möjligheter nu och i framtiden. Alla företag har data som är värdefulla för tredje parter och de måste skyddas. För att skyddet ska vara på högsta nivå krävs en revision för att identifiera svagheter. Den måste ta hänsyn till internationella standarder, metoder, den senaste utvecklingen.

Vid revisionen:

  • utvärdera skyddsnivån;
  • analysera tillämpad teknik;
  • justera säkerhetsdokument;
  • simulera risksituationer där dataläckage är möjligt;
  • rekommenderar implementering av lösningar för att eliminera sårbarheter.

Genomföra dessa händelser på ett av tre sätt:

  • aktiv;
  • expert;
  • avslöjande av överensstämmelse med standarder.

Revisionsformulär

Aktiv revision innebär att utvärdera systemet som en potentiell hackare tittar på. Det är hans uppfattning att revisorer "försöker" sig själva - de studerar nätverksskydd, för vilka de använder specialiserad mjukvara och unika tekniker. Det krävs också en internrevision, också genomförd med tanke på den påstådda gärningsmannen som vill stjäla data eller störa systemet.

teknik för revision av bankinformationssystem

En expertrevision kontrollerar om det implementerade systemet är idealiskt. Vid identifiering av överensstämmelse med standarder tas en abstrakt beskrivning av de standarder som det befintliga objektet jämförs med.

slutsats

Genom korrekt och kvalitativt genomförd revision kan du få följande resultat:

  • minimera sannolikheten för en framgångsrik hackerattack, skador från den;
  • undantag för en attack baserad på en förändring i systemarkitektur och informationsflöden;
  • försäkring som ett sätt att minska riskerna;
  • minimering av risker till en nivå där man kan ignoreras helt.


Lägg till en kommentar
×
×
Är du säker på att du vill ta bort kommentaren?
Radera
×
Anledning till klagomål

Flickan försökte att inte spendera pengar på en månad. Experimentet lämnade hennes blandade känslor

Affärs

Framgångshistorier

utrustning