Kako podesiti pametne telefone i računare. Informativni portal

Prikupljanje revizorskih informacija. Glavne zakonske odredbe

19.06.2019 televizori (Smart TV)

Danas svi znaju gotovo svetu frazu da onaj ko posjeduje informacije posjeduje svijet. Zato u naše vrijeme svi pokušavaju da kradu. S tim u vezi, preduzimaju se neviđeni koraci na uvođenju sredstava zaštite od mogućih napada. Međutim, ponekad može biti potrebno izvršiti reviziju preduzeća. Šta je to i zašto je sve ovo potrebno, sada ćemo pokušati da shvatimo.

Šta je uopšte revizija bezbednosti informacija?

Sada se nećemo doticati nejasnih naučnih pojmova, već ćemo pokušati sami definisati osnovne pojmove, opisujući ih najjednostavnijim jezikom (u narodu bi se to moglo nazvati revizijom za "luke").

Naziv ovog skupa događaja govori sam za sebe. Revizija sigurnosti informacija je nezavisna verifikacija ili osiguranje sigurnosti informacionog sistema (IS) preduzeća, institucije ili organizacije na osnovu posebno razvijenih kriterijuma i indikatora.

Jednostavnije rečeno, na primjer, revizija informacione sigurnosti banke svodi se na procjenu nivoa zaštite baze podataka klijenata, tekućih bankarskih operacija, sigurnosti elektronskog novca, sigurnosti bankarske tajne itd. u slučaju miješanja u rad ustanove od strane neovlašćenih lica elektronskim i kompjuterskim sredstvima.

Sigurno će se među čitaocima naći barem jedna osoba koja je dobila poziv kod kuće ili na mobilni telefon s ponudom da se prijavi za kredit ili depozit, štaviše, od banke s kojom nije ni na koji način povezan. Isto vrijedi i za ponude kupovine u nekim trgovinama. Odakle ti broj?

Sve je jednostavno. Ako je osoba ranije uzela kredit ili uložila novac na depozitni račun, naravno, njegovi podaci su pohranjeni na jednom, a prilikom poziva iz druge banke ili radnje može se izvući jedini zaključak: podaci o njemu su nezakonito dospjeli u treće ruke. Kako? U opštem slučaju, mogu se razlikovati dvije opcije: ili je ukraden, ili su ga zaposlenici banke namjerno prenijeli trećim licima. Da se ovakve stvari ne bi dešavale, potrebno je na vrijeme izvršiti reviziju informacione sigurnosti banke, a to se ne odnosi samo na kompjuterske ili „gvozdene“ sigurnosne alate, već na sve zaposlene u bankarskoj instituciji.

Glavna područja revizije sigurnosti informacija

Što se tiče opsega takve revizije, u pravilu se razlikuju po nekoliko:

  • potpuna verifikacija objekata uključenih u procese informatizacije (računarski automatizovani sistemi, sredstva komunikacije, prijem, prenos i obrada informacijskih podataka, tehnička sredstva, prostorije za održavanje poverljivih sastanaka, sistemi nadzora i dr.);
  • provjera pouzdanosti zaštite povjerljivih informacija sa ograničenim pristupom (utvrđivanje mogućih kanala curenja i potencijalnih sigurnosnih rupa koje omogućavaju pristup njima izvana standardnim i nestandardnim metodama);
  • provjeravanje svih elektronskih tehničkih sredstava i lokalnih kompjuterskih sistema na izloženost elektromagnetnom zračenju i prijemnicima, omogućavajući njihovo isključivanje ili neupotrebljivost;
  • projektantski dio, koji uključuje rad na kreiranju sigurnosnog koncepta i njegovu primjenu u praksi (zaštita računarskih sistema, prostorija, komunikacija i sl.).

Kada je potrebna revizija?

Da ne govorimo o kritičnim situacijama kada je zaštita već narušena, revizija informacione sigurnosti u organizaciji može se izvršiti u nekim drugim slučajevima.

To po pravilu uključuje širenje kompanije, spajanja, preuzimanja, preuzimanja od strane drugih preduzeća, promjenu koncepta poslovanja ili upravljanja, promjene međunarodnog zakonodavstva ili pravnih akata unutar jedne zemlje, prilično ozbiljne promjene u informacionoj infrastrukturi. .

Vrste revizije

Danas sama klasifikacija ove vrste revizije, prema mišljenju mnogih analitičara i stručnjaka, nije dobro utvrđena. Stoga podjela na klase u nekim slučajevima može biti vrlo uslovna. Ipak, u opštem slučaju, revizija informacione bezbednosti se može podeliti na eksternu i internu.

Eksterna revizija, koju sprovode nezavisni stručnjaci koji na to imaju pravo, obično je jednokratna revizija koju mogu inicirati menadžment preduzeća, dioničari, agencije za provođenje zakona itd. Smatra se da se eksterna revizija bezbednosti informacija preporučuje (a ne obavezna) da se sprovodi redovno tokom određenog vremenskog perioda. Ali za neke organizacije i preduzeća, prema zakonu, to je obavezno (na primjer, finansijske institucije i organizacije, akcionarska društva itd.).

Sigurnost informacija je stalan proces. Zasnovan je na posebnom "Pravilniku o internoj reviziji". Šta je to? U stvari, radi se o poslovima atestiranja koji se sprovode u organizaciji, u rokovima odobrenim od strane menadžmenta. Sprovođenje revizije sigurnosti informacija obezbjeđuju posebne strukturne jedinice preduzeća.

Alternativna klasifikacija vrsta revizije

Pored gore opisane podjele na klase u opštem slučaju, postoji još nekoliko komponenti prihvaćenih u međunarodnoj klasifikaciji:

  • stručna provjera stanja sigurnosti informacija i informacionih sistema na osnovu ličnog iskustva stručnjaka koji je sprovode;
  • certificiranje sigurnosnih sistema i mjera za usklađenost sa međunarodnim standardima (ISO 17799) i državnim pravnim dokumentima koji regulišu ovu oblast djelovanja;
  • bezbednosna analiza informacionih sistema korišćenjem tehničkih sredstava, sa ciljem da se identifikuju potencijalne ranjivosti softversko-hardverskog kompleksa.

Ponekad se može koristiti i takozvana složena revizija, koja uključuje sve gore navedene vrste. Inače, on je taj koji daje najobjektivnije rezultate.

Postavljanje ciljeva i zadataka

Svaka verifikacija, bilo interna ili eksterna, počinje postavljanjem ciljeva i zadataka. Pojednostavljeno, morate odrediti zašto, šta i kako će se provjeravati. To će predodrediti dalju metodologiju cijelog procesa.

Postavljenih zadataka, u zavisnosti od specifičnosti strukture samog preduzeća, organizacije, institucije i njegovih delatnosti, može biti dosta. Međutim, između svega toga izdvajaju se jedinstveni ciljevi revizije sigurnosti informacija:

  • procjena stanja sigurnosti informacija i informacionih sistema;
  • analiza mogućih rizika povezanih sa prijetnjom prodora u IP izvana, te mogući načini za implementaciju takvog ometanja;
  • lokalizacija rupa i praznina u sigurnosnom sistemu;
  • analiza usklađenosti nivoa sigurnosti informacionih sistema sa važećim standardima i regulatornim pravnim aktima;
  • razvoj i izdavanje preporuka za otklanjanje postojećih problema, kao i unapređenje postojećih sredstava zaštite i uvođenje novih razvoja.

Metodologija i način provođenja revizije

Sada nekoliko riječi o tome kako se provjera provodi i koje faze i sredstva uključuje.

Provođenje revizije sigurnosti informacija sastoji se od nekoliko glavnih faza:

  • pokretanje postupka revizije (jasno definisanje prava i obaveza revizora, priprema revizorskog plana revizije i njegova koordinacija sa menadžmentom, rješavanje pitanja granica studije, nametanje zaposlenima u organizaciji obaveza pomoći i blagovremenog pružanja potrebnih informacija);
  • prikupljanje početnih podataka (struktura sigurnosnog sistema, distribucija sigurnosnih alata, nivoi rada sigurnosnog sistema, analiza metoda za dobijanje i davanje informacija, određivanje komunikacionih kanala i interakcija IS-a sa drugim strukturama, hijerarhija korisnika računarske mreže , definicija protokola, itd.);
  • sprovođenje sveobuhvatne ili djelimične revizije;
  • analiza primljenih podataka (analiza rizika bilo koje vrste i usklađenost sa standardima);
  • izdavanje preporuka za otklanjanje mogućih problema;
  • kreiranje izvještajne dokumentacije.

Prva faza je najjednostavnija, jer se o njoj odlučuje isključivo između menadžmenta preduzeća i revizora. Granice analize mogu se razmatrati na skupštini zaposlenih ili dioničara. Sve se to više odnosi na pravnu oblast.

Druga faza inicijalnog prikupljanja podataka, bilo da se radi o internoj reviziji sigurnosti informacija ili eksternoj nezavisnoj certifikaciji, je najzahtjevnija. To je zbog činjenice da je u ovoj fazi potrebno ne samo proučiti tehničku dokumentaciju koja se odnosi na cjelokupni softversko-hardverski kompleks, već i provesti usko fokusirane intervjue zaposlenika kompanije, au većini slučajeva čak i uz popunjavanje posebnih upitnika. ili upitnike.

Što se tiče tehničke dokumentacije, važno je pribaviti podatke o strukturi IP i prioritetnim nivoima prava pristupa za zaposlene na njemu, utvrditi opšti sistemski i aplikativni softver (korišćeni operativni sistemi, aplikacije za poslovanje, vođenje i računovodstvo) , kao i instalirani alati za zaštitu softvera i nesoftverski tip (antivirusi, firewall, itd.). Osim toga, ovo uključuje kompletnu provjeru mreža i provajdera koji pružaju komunikacijske usluge (organizacija mreže, protokoli koji se koriste za povezivanje, vrste komunikacijskih kanala, načini prijenosa i primanja tokova informacija i još mnogo toga). Kao što vidite, za ovo je potrebno dosta vremena.

Sljedeći korak je definiranje metoda revizije sigurnosti informacija. Odlikuju se po tri:

  • analiza rizika (najsloženija tehnika, zasnovana na revizorskom utvrđivanju mogućnosti prodora u IS i narušavanja njegovog integriteta korišćenjem svih mogućih metoda i sredstava);
  • ocjenjivanje usklađenosti sa standardima i zakonskim aktima (najjednostavniji i najpraktičniji metod zasnovan na poređenju trenutnog stanja i zahtjeva međunarodnih standarda i domaćih dokumenata iz oblasti informacione sigurnosti);
  • kombinovana metoda koja kombinuje prva dva.

Nakon prijema rezultata ispitivanja, počinje njihova analiza. Alati revizije sigurnosti informacija koji se koriste za analizu mogu biti prilično raznoliki. Sve zavisi od specifičnosti preduzeća, vrste informacija, softvera koji se koristi, sigurnosnih alata itd. Međutim, kao što vidite iz prve metode, revizor će se uglavnom morati osloniti na sopstveno iskustvo.

A to samo znači da mora imati odgovarajuće kvalifikacije iz oblasti informacionih tehnologija i zaštite podataka. Na osnovu ove analize revizor izračunava moguće rizike.

Imajte na umu da mora razumjeti ne samo operativne sisteme ili programe koji se koriste, na primjer, za poslovanje ili računovodstvo, već i jasno razumjeti kako napadač može prodrijeti u informacioni sistem kako bi ukrao, pokvario i uništio podatke, stvorio preduslove za kršenje rad računara, širenje virusa ili zlonamjernog softvera.

Na osnovu analize, stručnjak donosi zaključak o stanju zaštite i daje preporuke za otklanjanje postojećih ili potencijalnih problema, nadogradnju sistema sigurnosti i sl. Istovremeno, preporuke treba da budu ne samo objektivne, već i jasno vezane za realnost specifičnosti preduzeća. Drugim riječima, savjeti o nadogradnji konfiguracije računara ili softvera nisu prihvaćeni. To se podjednako odnosi i na savjete o otpuštanju "nepouzdanih" službenika, ugradnju novih sistema za praćenje bez posebne naznake njihove namjene, mjesta ugradnje i svrsishodnosti.

Na osnovu analize, po pravilu se izdvaja nekoliko grupa rizika. Istovremeno, za sastavljanje sažetog izvještaja koriste se dva glavna indikatora: vjerovatnoća napada i šteta nanesena kompaniji kao rezultat (gubitak imovine, gubitak reputacije, gubitak imidža itd.). Međutim, rezultati za grupe se ne poklapaju. Tako, na primjer, niska ocjena za vjerovatnoću napada je najbolja. Za štetu je obrnuto.

Tek nakon toga se sastavlja izvještaj u kojem se detaljno opisuju sve faze, metode i sredstva sprovedenog istraživanja. Dogovara se sa menadžmentom i potpisuju ga dvije strane - preduzeće i revizor. Ako je revizija interna, rukovodilac odgovarajuće strukturne jedinice sastavlja takav izvještaj, nakon čega ga, opet, potpisuje rukovodilac.

Revizija sigurnosti informacija: primjer

Konačno, razmotrite najjednostavniji primjer situacije koja se već dogodila. Usput, mnogima može izgledati vrlo poznato.

Tako je, na primjer, određeni zaposlenik kompanije koja se bavi nabavkom u Sjedinjenim Državama instalirao ICQ messenger na svoj računar (ime zaposlenika i naziv kompanije nisu navedeni iz očiglednih razloga). Pregovori su vođeni kroz ovaj program. Ali "ICQ" je prilično ranjiv u smislu sigurnosti. Sam zaposlenik prilikom registracije broja u tom trenutku ili nije imao adresu e-pošte, ili jednostavno nije želio da je da. Umjesto toga, ukazao je na nešto što je izgledalo kao e-mail, čak i sa nepostojećim domenom.

Šta bi napadač uradio? Kako je pokazala revizija informacione sigurnosti, on bi registrovao potpuno isti domen i kreirao još jedan terminal za registraciju u njemu, nakon čega bi mogao poslati poruku kompaniji Mirabilis, koja je vlasnik ICQ servisa, sa zahtjevom da povrati lozinku zbog svoje gubitak (što bi bilo učinjeno). Pošto server primaoca nije bio mail server, na njemu je omogućeno preusmjeravanje - preusmjeravanje na postojeću poštu napadača.

Kao rezultat, on dobija pristup prepisci sa navedenim ICQ brojem i obavještava dobavljača o promjeni adrese primatelja robe u određenoj zemlji. Dakle, teret se šalje ne zna gde. A ovo je najbezazleniji primjer. Da, sitno maltretiranje. A šta je sa ozbiljnijim hakerima koji su sposobni za mnogo više...

Zaključak

To je sve ukratko o reviziji IP sigurnosti. Naravno, ovdje nisu obuhvaćeni svi aspekti toga. Razlog je samo to što mnogo faktora utiče na postavljanje zadataka i načina njegove realizacije, pa je pristup u svakom konkretnom slučaju strogo individualan. Osim toga, metode i sredstva revizije informacione sigurnosti mogu se razlikovati za različite IS. Međutim, čini se da će opći principi ovakvih provjera mnogima postati jasni barem na početnom nivou.

Revizija je nezavisno ispitivanje određenih oblasti funkcionisanja organizacije. Razlikovati eksternu i internu reviziju. Eksterna revizija je, po pravilu, jednokratni događaj koji se sprovodi na inicijativu menadžmenta ili akcionara organizacije. Preporučuje se redovno obavljanje eksterne revizije, a, na primjer, za mnoge finansijske institucije i akcionarska društva to je obavezan zahtjev od strane njihovih osnivača i dioničara. Interna revizija je kontinuirana aktivnost koja se obavlja na osnovu „Pravilnika o internoj reviziji“ iu skladu sa planom, čiju izradu sprovode jedinice službe obezbjeđenja, a odobrava rukovodstvo organizacije.

Ciljevi sigurnosne revizije su:

analiza rizika povezanih s mogućnošću sigurnosnih prijetnji resursima;

Procjena trenutnog nivoa zaštite IP-a;

Lokalizacija uskih grla u sistemu zaštite IP;

Procjena usklađenosti IP sa postojećim standardima u oblasti informacione sigurnosti;

Reviziju sigurnosti preduzeća (kompanije, organizacije) treba smatrati povjerljivim alatom upravljanja koji isključuje, u svrhu tajnosti, mogućnost davanja informacija o rezultatima njegovih aktivnosti trećim licima i organizacijama.

Za sprovođenje revizije bezbednosti preduzeća, može se preporučiti sledeći redosled radnji.

1. Priprema za sigurnosnu reviziju:

izbor objekta revizije (preduzeće, pojedinačne zgrade i prostorije, pojedinačni sistemi ili njihove komponente);

Formiranje tima revizora-eksperata;

Određivanje obima i obima revizije i određivanje konkretnih rokova za rad.

2. Sprovođenje revizije:

opšta analiza bezbednosnog statusa objekta revizije;

Registracija, prikupljanje i verifikacija statističkih podataka i rezultata instrumentalnih mjerenja opasnosti i prijetnji;

Procjena rezultata revizije;

Izrada izvještaja o rezultatima provjere za pojedine komponente.

3. Završetak revizije:

priprema završnog izvještaja;

Izrada akcionog plana za otklanjanje uskih grla i nedostataka u osiguranju sigurnosti kompanije.

Da biste uspješno obavili sigurnosnu reviziju, morate:

Aktivno učešće menadžmenta kompanije u njegovoj implementaciji;

Objektivnost i nezavisnost revizora (eksperata), njihova kompetentnost i visok profesionalizam;

Jasno strukturiran postupak verifikacije;

Aktivna implementacija predloženih mjera za osiguranje i unapređenje sigurnosti.

Sigurnosna revizija je, zauzvrat, efikasan alat za procjenu sigurnosti i upravljanje rizicima. Sprečavanje sigurnosnih prijetnji znači i zaštitu ekonomskih, društvenih i informacionih interesa preduzeća.

Iz ovoga možemo zaključiti da revizija sigurnosti postaje sredstvo ekonomskog upravljanja.

U zavisnosti od obima analiziranih objekata preduzeća, određuje se obim revizije:

Sigurnosna revizija cjelokupnog preduzeća u kompleksu;

Sigurnosna revizija pojedinačnih zgrada i prostorija (namjenski prostori);

Revizija opreme i tehničkih sredstava pojedinih vrsta i tipova;

Revizija pojedinih vrsta i oblasti delatnosti: ekonomske, ekološke, informacione, finansijske itd.

Treba naglasiti da se revizija ne vrši na inicijativu revizora, već na inicijativu rukovodstva preduzeća, koje je u ovom pitanju glavna zainteresovana strana. Podrška menadžmenta preduzeća je neophodan uslov za reviziju.

Revizija je skup aktivnosti u koje su, pored samog revizora, uključeni i predstavnici većine strukturnih odjela kompanije. Postupci svih učesnika u ovom procesu moraju biti koordinirani. Dakle, u fazi pokretanja postupka revizije treba riješiti sljedeća organizaciona pitanja:

Prava i obaveze revizora moraju biti jasno definisane i dokumentovane u opisu njegovih poslova, kao iu propisu o internoj (eksternoj) reviziji;

Revizor treba da pripremi i dogovori sa menadžmentom plan revizije;

Odredbom o internoj reviziji treba posebno da se predvidi da su zaposleni u preduzeću dužni da pomognu revizoru i pruže sve informacije potrebne za reviziju.

U fazi pokretanja postupka revizije treba odrediti granice istraživanja. Ukoliko neki informacioni podsistemi preduzeća nisu dovoljno kritični, mogu se isključiti iz granica istraživanja.

Drugi podsistemi možda neće biti podložni reviziji zbog zabrinutosti za privatnost.

Granice istraživanja definirane su u sljedećim kategorijama:

1. Spisak ispitanih fizičkih, softverskih i informacionih resursa.

2. Lokacije (prostorije) koje spadaju u granice istraživanja.

3. Glavne vrste sigurnosnih prijetnji koje se razmatraju tokom revizije.

4. Organizacioni (zakonodavni, administrativni i proceduralni), fizički, softverski i hardverski i drugi aspekti bezbednosti koje je potrebno uzeti u obzir tokom istraživanja i njihovi prioriteti (u kojoj meri ih treba uzeti u obzir).

Plan i granice revizije razmatraju se na radnom sastanku, kojem prisustvuju revizori, menadžment kompanije i rukovodioci strukturnih odjeljenja.

Da bi se revizija IS-a shvatila kao složen sistem, može se koristiti njen konceptualni model, prikazan na sl. 1.1. Evo glavnih komponenti procesa:

Objekt revizije:

Svrha revizije:

Rice. 1.1.

zahtjevi;

Korištene metode;

Skala:

Izvođači;

Red ponašanja.

Sa stanovišta organizacije rada tokom revizije IS-a, postoje tri osnovne faze:

1. prikupljanje informacija;

Ovi koraci su detaljnije razmotreni u nastavku.

Faza prikupljanja revizorskih informacija je najkompleksnija i najduža. Ovo je zbog nedostatka potrebne dokumentacije za informacioni sistem i potrebe za bliskom interakcijom između revizora i mnogih službenika organizacije.

Kompetentne zaključke o stanju u preduzeću sa informacionom bezbednošću revizor može doneti samo ako su dostupni svi potrebni početni podaci za analizu. Dobijanje informacija o organizaciji, funkcionisanju i trenutnom stanju IS-a vrši revizor u okviru posebno organizovanih razgovora sa odgovornim licima kompanije, proučavanjem tehničke i organizacione i administrativne dokumentacije, kao i proučavanjem IS-a. korišćenjem specijalizovanih softverskih alata. Hajde da se zadržimo na tome koje su informacije revizoru potrebne za analizu.

Osiguravanje informacione sigurnosti organizacije je složen proces koji zahtijeva jasnu organizaciju i disciplinu. Trebalo bi početi sa definisanjem uloga i raspodjelom odgovornosti među službenicima uključenim u informacionu sigurnost. Dakle, prva tačka revizorskog istraživanja počinje dobijanjem informacija o organizacionoj strukturi korisnika IS i uslužnih jedinica. S tim u vezi, revizoru je potrebna sljedeća dokumentacija:

· Šema organizacione strukture korisnika;

· Šema organizacione strukture uslužnih jedinica.

Obično, tokom intervjua, revizor postavlja ispitanicima sljedeća pitanja:

· Ko je vlasnik informacija?

· Ko je korisnik (potrošač) informacija?

· Ko je provajder usluga?

Svrha i principi funkcionisanja IS-a u velikoj meri određuju postojeće rizike i bezbednosne zahteve sistema. Stoga, u sljedećoj fazi, revizora zanimaju informacije o svrsi i funkcionisanju IS-a. Revizor ispitanicima postavlja sljedeća pitanja:



Koje se usluge pružaju krajnjim korisnicima i kako?

· Koje su glavne vrste aplikacija koje rade u IS-u?

· Broj i tipovi korisnika koji koriste ove aplikacije?

Također će mu trebati sljedeća dokumentacija, naravno, ako je uopće dostupna (što se, općenito govoreći, događa rijetko):

· Funkcionalni dijagrami;

· Opis automatizovanih funkcija;

· Opis glavnih tehničkih rješenja;

· Ostala projektna i radna dokumentacija za informacioni sistem.

Nadalje, revizoru su potrebne detaljnije informacije o strukturi IP. To će omogućiti razumijevanje načina na koji se vrši raspodjela sigurnosnih mehanizama prema strukturnim elementima i nivoima funkcionisanja IS-a. Tipična pitanja o kojima se raspravlja u vezi s tim tokom intervjua uključuju:

Od kojih komponenti (podsistema) se sastoji IS?

· Funkcionalnost pojedinih komponenti?

Gdje su granice sistema?

Koje su ulazne tačke?

Kako IS komunicira sa drugim sistemima?

· Koji se komunikacijski kanali koriste za interakciju s drugim IS?

· Koji se komunikacijski kanali koriste za interakciju između komponenti sistema?

Koji se protokoli koriste za interakciju?

Koje softverske i hardverske platforme se koriste za izgradnju sistema?

U ovoj fazi, revizor treba da nabavi sljedeću dokumentaciju:

· Strukturni dijagram IP;

· Šema tokova informacija;

· Opis strukture kompleksa tehničkih sredstava informacionog sistema;

· Opis strukture softvera;

· Opis strukture informacione podrške;

· Postavljanje komponenti informacionog sistema.

Priprema značajnog dijela IP dokumentacije se obično vrši već u toku revizije. Kada su svi potrebni podaci o IP-u, uključujući i dokumentaciju, pripremljeni, možete pristupiti njihovoj analizi.

Analiza revizorskih podataka

Metode analize podataka koje koriste revizori određene su odabranim pristupima revizije, koji se mogu značajno razlikovati.

Prvi pristup, najsloženiji, zasniva se na analizi rizika. Na osnovu metoda analize rizika, revizor za ispitivani IS utvrđuje individualni skup sigurnosnih zahtjeva koji najbolje uzima u obzir karakteristike ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u ovom okruženju. Ovaj pristup oduzima najviše vremena i zahtijeva najvišu kvalifikaciju revizora. Na kvalitet rezultata revizije, u ovom slučaju, snažno utiču korištena metodologija analize i upravljanja rizikom i njena primjenjivost na ovu vrstu IP.

Drugi pristup, najpraktičniji, oslanja se na korištenje standarda sigurnosti informacija. Standardi definišu osnovni skup bezbednosnih zahteva za široku klasu IS-a, koji je formiran kao rezultat generalizacije svetske prakse. Standardi mogu definisati različite skupove bezbednosnih zahteva, u zavisnosti od nivoa IP bezbednosti koji se zahteva da se obezbedi, njegovog vlasništva (komercijalna organizacija ili vladina agencija) i svrhe (finansije, industrija, komunikacije, itd.). U ovom slučaju, od revizora se traži da ispravno odredi skup standardnih zahtjeva koji moraju biti ispunjeni za ovaj IS. Takođe je potrebna metodologija za procjenu ove korespondencije. Zbog svoje jednostavnosti (standardni skup zahtjeva za provođenje revizije već je unaprijed određen standardom) i pouzdanosti (standard je standard i niko neće pokušati da ospori njegove zahtjeve), opisani pristup je najčešći u praksi (posebno prilikom obavljanja eksterne revizije). Omogućava, uz minimalnu cijenu resursa, da se izvuku razumni zaključci o stanju IS-a.

Treći pristup, najefikasniji, uključuje kombinaciju prva dva. Osnovni skup sigurnosnih zahtjeva za IS definiran je standardom. Dodatni zahtjevi koji u najvećoj mjeri uzimaju u obzir posebnosti funkcionisanja ovog IS-a formiraju se na osnovu analize rizika. Ovaj pristup je mnogo jednostavniji od prvog, jer većina sigurnosnih zahtjeva je već definirana standardom, a istovremeno nema nedostatak drugog pristupa, koji se sastoji u činjenici da zahtjevi standarda možda neće uzeti u obzir specifičnosti standarda. pregledao IS.

Revizija informacionih sistema daje ažurne i tačne podatke o tome kako IS funkcioniše. Na osnovu dobijenih podataka možete planirati aktivnosti za poboljšanje efikasnosti preduzeća. Praksa revizije informacionog sistema - u poređenju sa standardom, realno stanje. Proučite propise, standarde, propise i praksu koja se primjenjuje u drugim firmama. Provodeći reviziju, poduzetnik dobija ideju po čemu se njegova kompanija razlikuje od uobičajene uspješne kompanije u sličnoj oblasti.

Opšti pogled

Informaciona tehnologija u savremenom svijetu je visoko razvijena. Teško je zamisliti preduzeće koje nema u službi informacioni sistem:

  • globalno;
  • lokalni.

Zahvaljujući IP-u, kompanija može normalno funkcionirati i držati korak s vremenom. Takve metodologije su neophodne za brzu i potpunu razmjenu informacija sa okruženjem, što omogućava kompaniji da se prilagodi promjenjivim zahtjevima infrastrukture i tržišta. Informacioni sistemi moraju ispuniti niz zahtjeva koji se vremenom mijenjaju (novi razvoj, uvode se standardi, koriste se ažurirani algoritmi). U svakom slučaju, informaciona tehnologija omogućava brz pristup resursima, a ovaj problem se rješava kroz IS. Pored toga, moderni sistemi:

  • skalabilan;
  • fleksibilan;
  • pouzdan;
  • sigurno.

Glavni zadaci revizije informacionih sistema su da se utvrdi da li implementirani IS ispunjava navedene parametre.

Revizija: vrste

Vrlo često se koristi tzv. procesna revizija informacionog sistema. Primjer: eksterni stručnjaci analiziraju implementirane sisteme na odstupanja od standarda, uključujući proučavanje procesa proizvodnje čiji je izlaz softver.

Može se izvršiti revizija kako bi se utvrdilo koliko se dobro koristi informacioni sistem. Praksa preduzeća se poredi sa standardima proizvođača i poznatim primerima međunarodnih korporacija.

Revizija sistema informacione bezbednosti preduzeća utiče na organizacionu strukturu. Svrha ovakvog događaja je pronalaženje slabih mjesta u kadru IT odjela i identifikovanje problema, kao i formiranje preporuka za njihovo rješavanje.

Konačno, revizija sistema informacione sigurnosti ima za cilj kontrolu kvaliteta. Zatim pozvani stručnjaci procjenjuju stanje procesa u preduzeću, testiraju implementirani informacioni sistem i na osnovu dobijenih informacija donose zaključke. Obično se koristi TMMI model.

Zadaci revizije

Strateška revizija stanja informacionih sistema omogućava vam da identifikujete slabosti u implementiranom IS-u i da identifikujete gde se upotreba tehnologija pokazala neefikasnom. Na kraju takvog procesa kupac će imati preporuke za otklanjanje nedostataka.

Revizija vam omogućava da procijenite koliko će koštati izmjena trenutne strukture i koliko dugo će to trajati. Stručnjaci koji proučavaju trenutnu informacijsku strukturu kompanije pomoći će vam da odaberete alate za implementaciju programa poboljšanja, uzimajući u obzir karakteristike kompanije. Rezultati također mogu dati tačnu procjenu koliko je resursa potrebno firmi. Analiziraće se intelektualna, monetarna, proizvodna.

Događaji

Interna revizija informacionih sistema uključuje aktivnosti kao što su:

  • IT inventar;
  • identifikacija opterećenja informacionih struktura;
  • procjena statistike, podaci dobijeni tokom inventarizacije;
  • utvrđivanje da li se poslovni zahtjevi i mogućnosti implementiranog IS-a podudaraju;
  • generiranje izvještaja;
  • razvoj preporuka;
  • formalizacija fonda NSI.

Rezultat revizije

Strateška revizija stanja informacionih sistema je postupak koji: omogućava da se identifikuju razlozi za nedovoljnu efikasnost implementiranog informacionog sistema; predvidjeti ponašanje IS-a pri prilagođavanju tokova informacija (broj korisnika, količina podataka); obezbediti kvalitetna rešenja koja pomažu u povećanju produktivnosti (nabavka opreme, unapređenje implementiranog sistema, zamena); dati preporuke u cilju povećanja produktivnosti odjela kompanije, optimizacije ulaganja u tehnologiju. I takođe razviti mjere koje poboljšavaju nivo kvaliteta usluge informacionih sistema.

Važno je!

Ne postoji takav univerzalni IP koji bi odgovarao bilo kom preduzeću. Postoje dvije uobičajene osnove na osnovu kojih možete kreirati jedinstven sistem za potrebe određenog preduzeća:

  • Oracle.

Ali zapamtite da su ovo samo osnove, ništa više. Sva poboljšanja koja čine poslovanje efikasnim potrebno je programirati, uzimajući u obzir karakteristike određenog preduzeća. Vjerovatno ćete morati uvesti funkcije koje su prethodno nedostajale i onemogućiti one koje pruža osnovni sklop. Savremena tehnologija revizije bankarskih informacionih sistema pomaže da se tačno razume koje karakteristike IS treba da ima, a šta treba isključiti kako bi korporativni sistem bio optimalan, efikasan, ali ne previše „težak“.

Revizija sigurnosti informacija

Analiza koja vam omogućava da identifikujete prijetnje po sigurnost informacija je dva tipa:

  • eksterno;
  • enterijer.

Prvi uključuje jednokratnu proceduru. Organizuje ga šef kompanije. Preporučuje se redovno prakticiranje ovakve mjere kako bi se situacija držala pod kontrolom. Jedan broj DD i finansijskih organizacija uveo je obavezu da eksterna revizija IT bezbednosti bude obavezna.

Interni – ovo su redovno održavani događaji regulisani lokalnim regulatornim aktom „Pravilnik o internoj reviziji“. Za realizaciju se formira godišnji plan (izrađuje ga odeljenje nadležno za reviziju), koji odobrava generalni direktor, drugi rukovodilac. IT revizija - nekoliko kategorija aktivnosti, revizija sigurnosti nije zadnja po važnosti.

Ciljevi

Osnovna svrha revizije informacionih sistema u smislu bezbednosti je identifikacija rizika vezanih za IP koji su povezani sa bezbednosnim pretnjama. Osim toga, aktivnosti pomažu u prepoznavanju:

  • slabosti postojećeg sistema;
  • usklađenost sistema sa standardima informacione sigurnosti;
  • trenutni nivo sigurnosti.

Prilikom revizije sigurnosti, kao rezultat toga, biće formulisane preporuke za poboljšanje postojećih rješenja i uvođenje novih, čime će postojeći IS biti sigurniji i zaštićen od raznih prijetnji.

Ako se interna revizija provodi radi utvrđivanja prijetnji po sigurnost informacija, onda se dodatno razmatra sljedeće:

  • sigurnosna politika, mogućnost izrade nove, kao i drugi dokumenti koji vam omogućavaju da zaštitite podatke i pojednostavite njihovu upotrebu u proizvodnom procesu korporacije;
  • formiranje sigurnosnih zadataka za zaposlene u IT odjelu;
  • analiza situacija povezanih sa prekršajima;
  • obuka korisnika korporativnog sistema, uslužnog osoblja o opštim aspektima bezbednosti.

Interna revizija: karakteristike

Navedeni zadaci koji se postavljaju zaposlenima prilikom obavljanja interne revizije informacionih sistema, u suštini, nisu revizija. Teoretski, osoba koja obavlja aktivnosti samo kao stručnjak ocjenjuje mehanizme kojima je sistem siguran. Osoba uključena u zadatak postaje aktivni učesnik u procesu i gubi samostalnost, više ne može objektivno procijeniti situaciju i kontrolirati je.

S druge strane, u praksi je gotovo nemoguće ostati podalje od interne revizije. Činjenica je da je za obavljanje posla privučen stručnjak kompanije, u drugim slučajevima zauzet drugim zadacima u sličnoj oblasti. To znači da je revizor isti onaj zaposlenik koji je kompetentan za rješavanje prethodno navedenih zadataka. Stoga moramo napraviti kompromis: na uštrb objektivnosti uključiti zaposlenog u praksu kako bi se dobio pristojan rezultat.

Sigurnosna revizija: faze

Oni su na mnogo načina slični koracima opće IT revizije. dodijeliti:

  • početak događaja;
  • prikupljanje baze za analizu;
  • analiza;
  • formiranje zaključaka;
  • izvještavanje.

Pokretanje procedure

Revizija informacionih sistema u pogledu bezbednosti počinje kada šef kompanije da zeleno svetlo, jer su gazde najzainteresovanije za efektivnu reviziju preduzeća. Revizija nije moguća ako menadžment ne podržava proceduru.

Revizija informacionih sistema je obično složena. Uključuje revizora i nekoliko osoba koje predstavljaju različite odjele kompanije. Važan je zajednički rad svih učesnika u reviziji. Prilikom pokretanja revizije važno je obratiti pažnju na sljedeće tačke:

  • dokumentarna fiksacija dužnosti, prava revizora;
  • priprema, odobravanje plana revizije;
  • dokumentovanje činjenice da su zaposleni dužni revizoru pružiti svu moguću pomoć i dati sve podatke koje on traži.

Već u trenutku pokretanja revizije važno je utvrditi granice unutar kojih se vrši revizija informacionih sistema. Dok su neki IS podsistemi kritični i zahtijevaju posebnu pažnju, drugi nisu i dovoljno su nevažni da bi bili isključeni. Sigurno postoje i takvi podsistemi, čija će provjera biti nemoguća, jer su sve informacije koje se tamo čuvaju povjerljive.

Plan i granice

Prije početka rada formira se lista resursa koji se trebaju provjeriti. To može biti:

  • informativni;
  • softver;
  • tehnički.

Odredite na kojim lokacijama se vrši revizija, za koje prijetnje se provjerava sistem. Postoje organizacijske granice događaja, sigurnosni aspekti koji se moraju uzeti u obzir prilikom provjere. Formira se rejting prioriteta koji označava obim provjere. Takve granice, kao i akcioni plan, odobrava generalni direktor, ali ih prethodno dostavlja tema generalnog radnog sastanka na kojem su prisutni rukovodioci odjeljenja, revizor i rukovodioci kompanije.

Dobivanje podataka

Prilikom obavljanja sigurnosne revizije standardi revizije informacionih sistema su takvi da se faza prikupljanja informacija ispostavlja najdužom i najzahtjevnijim. IS po pravilu nema dokumentaciju za to, a revizor je primoran blisko sarađivati ​​sa brojnim kolegama.

Da bi doneseni zaključci bili kompetentni, revizor mora pribaviti što više podataka. O tome kako je informacioni sistem organizovan, kako funkcioniše i u kakvom je stanju, revizor saznaje iz organizacione, administrativne, tehničke dokumentacije, tokom samostalnog istraživanja i korišćenja specijalizovanog softvera.

Dokumenti potrebni u radu revizora:

  • organizaciona struktura odjela koji opslužuju IS;
  • organizacionu strukturu svih korisnika.

Revizor intervjuiše zaposlene i identifikuje:

  • provajdera
  • vlasnik podataka;
  • korisnik podataka.

Za ovo morate znati:

  • glavne vrste IP aplikacija;
  • broj, vrste korisnika;
  • usluge koje se pružaju korisnicima.

Ukoliko kompanija ima dokumente za IP sa liste ispod, neophodno je da ih dostavi revizoru:

  • opis tehničkih metodologija;
  • opis metoda za automatizaciju funkcija;
  • funkcionalni dijagrami;
  • radna, projektna dokumentacija.

Identifikacija strukture IP-a

Za ispravne zaključke, revizor mora imati najpotpuniju sliku o karakteristikama informacionog sistema koji se implementira u preduzeću. Morate znati koji su sigurnosni mehanizmi, kako su raspoređeni u sistemu po nivoima. Da biste to učinili, saznajte:

  • prisutnost i karakteristike komponenti korištenog sistema;
  • funkcije komponenti;
  • grafički;
  • ulazi;
  • interakcija sa raznim objektima (eksternim, internim) i protokolima, kanalima za to;
  • platforme primenjene na sistem.

Šeme će biti korisne:

  • strukturalni;
  • tokovi podataka.

Strukture:

  • tehnička sredstva;
  • informatička podrška;
  • strukturne komponente.

U praksi se mnogi dokumenti pripremaju direktno tokom revizije. Informacije je moguće analizirati samo kada se prikupi maksimalna količina informacija.

Revizija IP sigurnosti: analiza

Za analizu dobijenih podataka koristi se nekoliko tehnika. Izbor u korist određenog zasniva se na ličnim preferencijama revizora i specifičnostima određenog zadatka.

Najsofisticiraniji pristup uključuje analizu rizika. Formirani su sigurnosni zahtjevi za informacioni sistem. Oni se zasnivaju na karakteristikama određenog sistema i njegovog okruženja, kao i na pretnjama svojstvenim ovom okruženju. Analitičari se slažu da ovaj pristup zahtijeva najviše rada i maksimalne kvalifikacije revizora. Koliko će rezultat biti dobar određuje metodologija analize informacija i primjenjivost odabranih opcija na tip IP.

Praktičnija opcija uključuje upućivanje na standarde sigurnosti podataka. Oni definiraju skup zahtjeva. Ovo je pogodno za različite IS, budući da je metodologija razvijena na osnovu najvećih firmi iz različitih zemalja.

Iz standarda proizilazi koji su sigurnosni zahtjevi, u zavisnosti od stepena zaštite sistema i njegove pripadnosti jednoj ili drugoj instituciji. Mnogo zavisi od svrhe IS-a. Glavni zadatak revizora je da ispravno utvrdi koji je skup sigurnosnih zahtjeva relevantan u datom slučaju. Odabire se metod kojim se ocjenjuje da li raspoloživi sistemski parametri zadovoljavaju standarde. Tehnologija je prilično jednostavna, pouzdana i stoga široko rasprostranjena. Uz mala ulaganja, mogu se dobiti tačni zaključci.

Neprihvatljivo je zanemariti!

Praksa pokazuje da se mnogi menadžeri, posebno mala preduzeća, kao i oni čije kompanije posluju dugo i ne teže da ovladaju svim najnovijim tehnologijama, prilično nemarno odnose prema reviziji informacionih sistema, jer jednostavno ne shvataju važnosti ove mjere. Obično samo šteta za poslovanje provocira nadležne da preduzmu mjere za provjeru, identifikaciju rizika i zaštitu preduzeća. Drugi se suočavaju s činjenicom da im se kradu podaci o klijentima, trećima dolazi do curenja podataka iz baza podataka o ugovornim stranama ili se gube informacije o ključnim prednostima određenog subjekta. Potrošači nemaju povjerenja u kompaniju kada se slučaj objavi, a kompanija trpi veću štetu nego samo gubitak podataka.

Ako postoji mogućnost curenja informacija, nemoguće je izgraditi efikasan posao koji ima dobre mogućnosti sada i u budućnosti. Bilo koja kompanija ima podatke koji su vrijedni trećim licima i treba ih zaštititi. Da bi zaštita bila na najvišem nivou potrebna je revizija da bi se identifikovale slabosti. Mora uzeti u obzir međunarodne standarde, metode i najnovija dostignuća.

Prilikom revizije:

  • ocijeniti nivo zaštite;
  • analizirati primijenjene tehnologije;
  • ispravna dokumenta o sigurnosti;
  • simulirati rizične situacije u kojima je moguće curenje podataka;
  • preporučiti implementaciju rješenja za rješavanje ranjivosti.

Ove aktivnosti se provode na jedan od tri načina:

  • aktivan;
  • stručnjak;
  • utvrđivanje usklađenosti sa standardima.

Oblici revizije

Aktivna revizija uključuje procjenu sistema koji potencijalni haker gleda. Njegovo je gledište koje revizori "isprobaju" sami - proučavaju zaštitu mreže, za što koriste specijalizirani softver i jedinstvene tehnike. Potrebna je i interna revizija, takođe sa stanovišta navodnog kriminalca koji želi da ukrade podatke ili poremeti sistem.

Prilikom stručne revizije provjeravaju koliko implementirani sistem odgovara idealnom. Prilikom utvrđivanja usklađenosti sa standardima, kao osnova se uzima apstraktni opis standarda sa kojim se upoređuje postojeći objekat.

Zaključak

Ispravno i kvalitetno obavljena revizija omogućava vam da dobijete sljedeće rezultate:

  • minimiziranje vjerovatnoće uspješnog hakerskog napada, šteta od njega;
  • isključenje napada zasnovanog na promjeni arhitekture sistema i tokova informacija;
  • osiguranje kao sredstvo za smanjenje rizika;
  • minimiziranje rizika na nivo na kojem se može potpuno zanemariti.

Sveta fraza - "posedovanje informacija - posedovanje sveta" je relevantnija nego ikad. Stoga je danas "krađa informacija" svojstvena većini napadača. To se može izbjeći uvođenjem niza zaštite od napada, kao i pravovremenim revizijama sigurnosti informacija. Revizija informacione bezbednosti je novi koncept, koji podrazumeva aktuelni i dinamični razvojni pravac operativnog i strateškog upravljanja, koji se tiče bezbednosti informacionog sistema.

Revizija informacija - teorijske osnove

Obim informacija u savremenom svijetu ubrzano raste, jer u svijetu postoji trend globalizacije upotrebe kompjuterske tehnologije u svim sektorima ljudskog društva. U životu običnog čovjeka, informacijska tehnologija je glavna komponenta.

To se izražava u korišćenju interneta, kako u poslovne svrhe, tako iu svrhu igre i zabave. Paralelno sa razvojem informacionih tehnologija raste i monetizacija usluga, a samim tim i količina vremena koja se troši na različite platne transakcije pomoću plastičnih kartica. To uključuje bezgotovinska plaćanja za različite potrošene robe i usluge, transakcije u sistemu plaćanja putem interneta bankarstva, mjenjačnice i druge platne transakcije. Sve to utiče na prostor na World Wide Webu, čineći ga većim.

Tu je i više informacija o vlasnicima kartica. To je osnova za širenje polja djelovanja prevaranata, koji danas uspijevaju izvršiti ogromnu masu napada, uključujući napade od strane pružatelja usluga i krajnjeg korisnika. U potonjem slučaju moguće je spriječiti napad korištenjem odgovarajućeg softvera, ali ako se radi o dobavljaču, potrebno je primijeniti niz mjera koje minimiziraju prekide u radu, curenje podataka i hakove servisa. To se radi putem pravovremenih revizija sigurnosti informacija.

Zadatak koji obavlja informaciona revizija je u blagovremenoj i tačnoj proceni stanja informacione bezbednosti u trenutnom trenutku određenog poslovnog subjekta, kao i usklađenosti sa postavljenim ciljem i zadatkom obavljanja delatnosti, uz pomoć kojima treba povećati profitabilnost i efikasnost privredne aktivnosti.

Drugim riječima, revizija sigurnosti informacija je provjera resursa za njegovu sposobnost da izdrži potencijalne ili stvarne prijetnje.

  • Revizija sigurnosti informacija ima sljedeće ciljeve:
  • Procijeniti stanje informacionog informacionog sistema za sigurnost.
  • Analitička identifikacija potencijalnih rizika povezanih sa eksternim prodorom u informacionu mrežu.
  • Identifikacija lokalizacije praznina u sigurnosnom sistemu.
  • Analitička identifikacija korespondencije između nivoa sigurnosti i važećih standarda zakonodavnog okvira.
  • Pokretanje novih metoda zaštite, njihova primena u praksi, kao i kreiranje preporuka uz pomoć kojih će se poboljšati problemi zaštitnih sredstava, kao i traganje za novim razvojem u ovom pravcu.

Revizija se koristi za:

  • Potpuna verifikacija objekta koji je uključen u proces informacija. Konkretno, riječ je o računarskim sistemima, komunikacionim sistemima, prilikom prijema, prenosa, kao i obrade podataka određene količine informacija, tehničkih sredstava, sistema nadzora itd.
  • Kompletna provera elektronskih tehničkih sredstava, kao i kompjuterskih sistema na dejstvo zračenja i smetnji, što će doprineti njihovom gašenju.
  • Prilikom provjere projektnog dijela koji uključuje rad na kreiranju sigurnosnih strategija, kao i njihovu praktičnu implementaciju.
  • Potpuna provjera pouzdanosti zaštite povjerljivih informacija kojima je pristup ograničen, kao i definicija „rupa“ kroz koje se ove informacije objavljuju standardnim i nestandardnim mjerama.

Kada je potrebna revizija?

Važno je napomenuti da se potreba za provođenjem revizije informacija javlja kada se naruši zaštita podataka. Takođe, testiranje se preporučuje za:

  • Spajanje kompanija.
  • Proširenje poslovanja.
  • Akvizicija ili akvizicija.
  • Promjena rukovodstva.

Vrste revizije informacionih sistema

Danas postoji eksterna i interna informaciona revizija.

Eksternu reviziju karakteriše uključivanje vanjskih osoba, nezavisnih stručnjaka koji imaju pravo da obavljaju takve aktivnosti. Po pravilu, ova vrsta provjere je jednokratne prirode i iniciraju je rukovodilac preduzeća, dioničar ili organi za provođenje zakona. Sprovođenje eksterne revizije nije obavezno, najvjerovatnije se preporučuje. Međutim, postoje nijanse sadržane u zakonima, u kojima je eksterna revizija informacione sigurnosti obavezna. Na primjer, finansijske institucije, akcionarska društva, kao i finansijske organizacije potpadaju pod zakon.

Interna revizija sigurnosti tokova informacija je stalan proces, čije je sprovođenje regulisano relevantnim dokumentom „Pravilnik o obavljanju interne revizije“. Ovaj događaj, u okviru preduzeća, ima atestacijski karakter, čije je sprovođenje regulisano relevantnom naredbom za preduzeće. Zbog interne revizije, kompaniju obezbjeđuje posebna jedinica u kompaniji.

Revizija se takođe klasifikuje kao:

  • Ekspert.
  • Certifikat.
  • Analitički.

Ekspert uključuje provjeru stanja zaštite informacionih tokova i sistema, koji se zasnivaju na iskustvu stručnjaka i onih koji ovu provjeru sprovode.

Vrsta revizije se odnosi na sisteme, kao i mjere sigurnosti, posebno njihovu usklađenost sa prihvaćenim standardima u međunarodnom društvu, kao i sa relevantnim državnim dokumentima koji regulišu pravni osnov ove djelatnosti.

Analitička vrsta revizije se odnosi na sprovođenje dubinske analize informacionog sistema, korišćenjem tehničkih sredstava. Ove akcije treba da imaju za cilj identifikaciju ranjivosti softverskog i hardverskog kompleksa.

Metode i alati za reviziju u praksi

Revizija se provodi u fazama i uključuje:

Prva faza se smatra najlakšom. Definiše prava i obaveze revizora, izradu akcionog plana korak po korak i koordinaciju sa menadžmentom. Istovremeno, na sastanku zaposlenih utvrđuju se granice analize.

U drugoj fazi se primjenjuju velike količine potrošnje resursa. To se opravdava činjenicom da se proučava sva tehnička dokumentacija vezana za softversko-hardverski kompleks.

Treća faza se izvodi pomoću jedne od tri metode, i to:

  • Analiza rizika.
  • Analiza usklađenosti sa standardima i zakonskom regulativom.
  • Kombinacije analize rizika i usklađenosti sa zakonima.

Četvrta faza vam omogućava da sistematizirate dobijene podatke i izvršite duboku analizu. Istovremeno, inspektor mora biti kompetentan za ovu materiju.

Kako proći da ne bude problema? Zašto je takva provjera neophodna? Naš članak će vam reći o tome.

Šta je revizija i koje vrste revizije postoje? Pisano je o tome.

Naučićete šta je poreska revizija i za koje svrhe je potrebna.

Nakon revizije, mora se donijeti zaključak, koji se odražava u odgovarajućem izvještajnom dokumentu. Izvještaj obično sadrži sljedeće informacije:

  1. Pravilnik o sprovedenoj reviziji.
  2. Struktura sistema tokova informacija u preduzeću.
  3. Kojim metodama i sredstvima je izvršena verifikacija
  4. Tačan opis ranjivosti i nedostataka, uzimajući u obzir rizik i nivo nedostataka.
  5. Preporučene radnje za uklanjanje opasnih mjesta, kao i poboljšanje kompleksa cijelog sistema.
    Pravi praktični saveti, uz pomoć kojih treba sprovesti mere, imaju za cilj minimiziranje rizika koji su identifikovani tokom revizije.

Revizija informacione sigurnosti u praksi

U praksi, prilično čest bezazlen primjer je situacija u kojoj je zaposlenik A, angažiran na kupovini komercijalne opreme, pregovarao korištenjem određenog programa "B".

Istovremeno, sam program je ranjiv, a prilikom registracije zaposlenik nije naveo ni email adresu ni broj, već je koristio alternativnu apstraktnu email adresu sa nepostojećim domenom.

Kao rezultat toga, napadač može registrirati sličnu domenu i kreirati terminal za registraciju. To će mu omogućiti da šalje poruke kompaniji koja posjeduje program "B" servis, tražeći od njega da pošalje izgubljenu lozinku. U tom slučaju, server će poslati poštu na postojeću adresu prevaranta, jer preusmeravanje radi za njega. Kao rezultat ove operacije, prevarant ima pristup prepisci, otkriva druge informacije dobavljaču i kontroliše pravac tereta u nepoznatom pravcu za zaposlenog.

Relevantnost informatičke revizije u savremenom svijetu postaje sve traženija, s obzirom na porast broja korisnika, kako na World Wide Web prostoru, tako i na korištenje različitih metoda monetizacije u različitim servisima. Tako podaci svakog korisnika postaju dostupni uljezima. Možete ih zaštititi tako što ćete identifikovati izvor problema – slabe tačke protoka informacija.

U kontaktu sa

Top Related Articles

Profesija menadžer sadržaja: ko je on i čime se bavi
Profesija menadžer sadržaja: ko je on i čime se bavi
Kako preuzeti plaćene igre i aplikacije za besplatni Play market za preuzimanje igara
Kako preuzeti plaćene igre i aplikacije za besplatni Play market za preuzimanje igara
Primjer čina odmašćivanja kisikovih manometara
Primjer čina odmašćivanja kisikovih manometara
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.