جمع آوری اطلاعات حسابرسی مقررات اصلی قانونگذاری

امروزه همه تقریباً یک عبارت مقدس را می دانند که صاحب اطلاعات صاحب جهان است. به همین دلیل است که امروزه همه و همه در صدد دزدی هستند. در این راستا اقدامات بی سابقه ای برای اجرای حفاظت در برابر حملات احتمالی در حال انجام است. با این حال، گاهی اوقات ممکن است نیاز به انجام حسابرسی از شرکت باشد. چیست و چرا این همه مورد نیاز است، اکنون بیایید سعی کنیم آن را بفهمیم.

ممیزی امنیت اطلاعات به طور کلی چیست؟

اکنون ما به اصطلاحات علمی مبهم دست نمی زنیم، اما سعی می کنیم مفاهیم اساسی را برای خود تعریف کنیم و آنها را به ساده ترین زبان توصیف کنیم (معمولاً این را می توان ممیزی برای "دومکی ها" نامید).

نام این مجموعه از رویدادها برای خود صحبت می کند. ممیزی امنیت اطلاعات یک بررسی مستقل یا تضمین امنیت یک سیستم اطلاعاتی (IS) یک شرکت، مؤسسه یا سازمان بر اساس معیارها و شاخص های ویژه توسعه یافته است.

به عبارت ساده، به عنوان مثال، حسابرسی امنیت اطلاعات یک بانک به ارزیابی سطح حفاظت از پایگاه های اطلاعاتی مشتریان، عملیات بانکی، ایمنی وجوه الکترونیکی، ایمنی اسرار بانکی و غیره امکانات الکترونیکی و رایانه ای خلاصه می شود.

مطمئناً در بین خوانندگان حداقل یک نفر خواهد بود که در خانه یا با تلفن همراه با پیشنهاد وام یا سپرده و از بانکی که به هیچ وجه با آن در ارتباط نیست تماس گرفته شده است. همین امر در مورد پیشنهادات خرید از برخی فروشگاه ها نیز صدق می کند. شماره شما از کجا آمده است؟

ساده است. اگر شخصی قبلاً وام گرفته باشد یا به یک حساب سپرده پول واریز کرده باشد، البته اطلاعات او در یک حساب ذخیره می شود. هنگام تماس از بانک یا فروشگاه دیگر، تنها نتیجه می توان گرفت: اطلاعات مربوط به او به طور غیرقانونی در رتبه سوم قرار گرفت. دست ها. چگونه؟ به طور کلی، دو گزینه قابل تشخیص است: یا به سرقت رفته یا عمداً توسط کارمندان بانک به اشخاص ثالث منتقل شده است. برای اینکه چنین اتفاقاتی رخ ندهد، باید به موقع حسابرسی امنیت اطلاعات بانک انجام شود و این نه تنها در مورد رایانه یا ابزارهای حفاظتی «سخت‌افزاری»، بلکه برای کل پرسنل یک مؤسسه بانکی صدق می‌کند.

جهات اصلی ممیزی امنیت اطلاعات

در مورد دامنه چنین ممیزی، به عنوان یک قاعده، آنها با چندین مورد متمایز می شوند:

• بررسی کامل اشیاء درگیر در فرآیندهای اطلاعاتی (سیستم های کامپیوتری خودکار، وسایل ارتباطی، دریافت، انتقال و پردازش داده های اطلاعاتی، وسایل فنی، محل برگزاری جلسات محرمانه، سیستم های نظارت و غیره).
• بررسی قابلیت اطمینان حفاظت از اطلاعات محرمانه با دسترسی محدود (شناسایی کانال های نشت احتمالی و حفره های احتمالی در سیستم امنیتی، امکان دسترسی به آن از خارج با استفاده از روش های استاندارد و غیر استاندارد).
• بررسی تمام وسایل فنی الکترونیکی و سیستم های کامپیوتری محلی برای قرار گرفتن در معرض تشعشعات الکترومغناطیسی و تداخل، اجازه خاموش شدن یا غیرقابل استفاده شدن آنها.
• بخش طراحی که شامل کار بر روی ایجاد یک مفهوم امنیتی و کاربرد آن در اجرای عملی (حفاظت از سیستم های کامپیوتری، اماکن، امکانات ارتباطی و غیره) است.

چه زمانی نیاز به حسابرسی ایجاد می شود؟

جدای از شرایط بحرانی، زمانی که حفاظت قبلاً نقض شده باشد، در برخی موارد دیگر می توان ممیزی امنیت اطلاعات در یک سازمان را انجام داد.

به عنوان یک قاعده، این شامل گسترش شرکت، ادغام، تملک، تملک توسط شرکت های دیگر، تغییر در مفهوم دوره کسب و کار یا مدیریت، تغییر در قوانین بین المللی یا اقدامات قانونی در یک کشور خاص، تغییرات نسبتا جدی در زیرساخت اطلاعات

انواع حسابرسی

امروزه طبقه بندی این نوع حسابرسی، به گفته بسیاری از تحلیلگران و کارشناسان، به خوبی تثبیت نشده است. بنابراین، تقسیم به کلاس ها در برخی موارد می تواند بسیار مشروط باشد. با این وجود، در حالت کلی، ممیزی امنیت اطلاعات را می توان به خارجی و داخلی تقسیم کرد.

حسابرسی خارجی که توسط کارشناسان مستقل مجاز انجام می شود معمولاً یک حسابرسی یکباره است که می تواند توسط مدیریت شرکت، سهامداران، سازمان های مجری قانون و غیره آغاز شود. اعتقاد بر این است که ممیزی امنیت اطلاعات خارجی توصیه می شود (به جای نیاز) به طور منظم در یک دوره زمانی مشخص انجام شود. اما برای برخی از سازمان ها و بنگاه ها طبق قانون اجباری است (مثلا موسسات و سازمان های مالی، شرکت های سهامی و ...).

امنیت اطلاعات یک فرآیند مداوم است. این بر اساس "مقررات حسابرسی داخلی" ویژه است. چیست؟ در واقع اینها فعالیت های گواهی است که در سازمان و در چارچوب زمانی مورد تایید مدیریت انجام می شود. ممیزی امنیت اطلاعات توسط بخش های ساختاری ویژه شرکت ارائه می شود.

طبقه بندی جایگزین انواع حسابرسی

علاوه بر تقسیم بندی فوق به طبقات در حالت کلی، چندین مؤلفه دیگر نیز در طبقه بندی بین المللی پذیرفته شده است:

• بررسی تخصصی وضعیت امنیت اطلاعات و سیستم های اطلاعاتی بر اساس تجربه شخصی کارشناسان انجام آن؛
• صدور گواهینامه سیستم ها و اقدامات امنیتی برای انطباق با استانداردهای بین المللی (ISO 17799) و اسناد قانونی دولتی تنظیم کننده این حوزه فعالیت.
• تجزیه و تحلیل امنیتی سیستم های اطلاعاتی با استفاده از ابزارهای فنی با هدف شناسایی آسیب پذیری های احتمالی در مجموعه نرم افزاری و سخت افزاری.

گاهی اوقات می توان به اصطلاح حسابرسی جامع را نیز اعمال کرد که شامل همه انواع فوق می شود. به هر حال، این اوست که عینی ترین نتایج را می دهد.

اهداف و مقاصد بیانیه

هر بررسی، چه داخلی و چه خارجی، با تعیین اهداف و مقاصد آغاز می شود. به بیان ساده، باید مشخص کنید که چرا، چه چیزی و چگونه بررسی می شود. این روش شناسی بعدی را برای انجام کل فرآیند از پیش تعیین می کند.

وظایف تعیین شده، بسته به ویژگی های ساختار خود شرکت، سازمان، موسسه و فعالیت های آن، می تواند بسیار زیاد باشد. با این حال، در میان همه اینها، اهداف واحدی از ممیزی امنیت اطلاعات وجود دارد:

• ارزیابی وضعیت امنیت اطلاعات و سیستم های اطلاعاتی؛
• تجزیه و تحلیل خطرات احتمالی مرتبط با تهدید نفوذ به IS از خارج و روش های ممکن برای اجرای چنین مداخله ای.
• محلی سازی سوراخ ها و سوراخ ها در سیستم امنیتی؛
• تجزیه و تحلیل انطباق سطح امنیتی سیستم های اطلاعاتی با استانداردهای قابل اجرا و قوانین قانونی نظارتی؛
• تدوین و صدور توصیه هایی مبنی بر رفع مشکلات موجود و همچنین بهبود وسایل حفاظتی موجود و ارائه پیشرفت های جدید.

روش و ابزار انجام حسابرسی

حال چند کلمه در مورد نحوه انجام چک و چه مراحل و ابزاری را شامل می شود.

ممیزی امنیت اطلاعات شامل چند مرحله اصلی است:

• شروع روش راستی آزمایی (تعریف روشن حقوق و مسئولیت های حسابرس، تهیه برنامه حسابرسی توسط حسابرس و موافقت آن با مدیریت، حل موضوع محدوده مطالعه، تحمیل تعهد به کارکنان سازمان. کمک و ارائه به موقع اطلاعات لازم)؛
• جمع آوری داده های اولیه (ساختار سیستم امنیتی، توزیع ابزارهای امنیتی، سطوح عملکرد سیستم امنیتی، تجزیه و تحلیل روش های کسب و ارائه اطلاعات، تعیین کانال های ارتباطی و تعامل IS با سایر ساختارها، سلسله مراتب کاربران شبکه های کامپیوتری). ، تعریف پروتکل ها و غیره)؛
• انجام یک بررسی جامع یا جزئی؛
• تجزیه و تحلیل داده های به دست آمده (تجزیه و تحلیل خطرات از هر نوع و مطابقت با استانداردها)؛
• ارائه توصیه هایی برای رفع مشکلات احتمالی؛
• ایجاد اسناد گزارشگری

مرحله اول ساده ترین است، زیرا تصمیم گیری آن منحصراً بین مدیریت شرکت و حسابرس اتخاذ می شود. دامنه تجزیه و تحلیل را می توان در مجمع عمومی کارکنان یا سهامداران بررسی کرد. همه اینها بیشتر به حوزه حقوقی مربوط می شود.

مرحله دوم جمع‌آوری داده‌های پایه، خواه ممیزی امنیت اطلاعات داخلی باشد یا یک گواهی مستقل خارجی، بیشترین منابع را به خود اختصاص می‌دهد. این امر به این دلیل است که در این مرحله نه تنها مطالعه مستندات فنی مربوط به کل مجموعه نرم افزاری و سخت افزاری، بلکه انجام مصاحبه های متمرکز با کارکنان شرکت و در بیشتر موارد حتی با پر کردن پرسشنامه های خاص ضروری است. یا پرسشنامه ها

در مورد اسناد فنی، به دست آوردن داده هایی در مورد ساختار IP و سطوح اولویت حقوق دسترسی به آن برای کارمندان، تعیین نرم افزار گسترده و کاربردی (سیستم عامل های مورد استفاده، برنامه های کاربردی برای انجام تجارت، مدیریت آن) مهم است. و حسابداری) و همچنین وسایل نصب شده برای محافظت از نرم افزار و انواع غیر نرم افزاری (آنتی ویروس ها، فایروال ها و غیره). علاوه بر این، این شامل بررسی کامل شبکه‌ها و ارائه دهندگانی است که خدمات ارتباطی را ارائه می‌کنند (سازمان شبکه، پروتکل‌های مورد استفاده برای اتصال، انواع کانال‌های ارتباطی، روش‌های انتقال و دریافت جریان‌های اطلاعات و موارد دیگر). همانطور که قبلا مشخص است، این کار زمان زیادی می برد.

در مرحله بعد روش های ممیزی امنیت اطلاعات مشخص می شود. آنها با سه متمایز می شوند:

• تجزیه و تحلیل ریسک (پیچیده ترین تکنیک مبتنی بر تعیین حسابرس از امکان نفوذ به سیستم اطلاعاتی و نقض یکپارچگی آن با استفاده از تمام روش ها و ابزارهای ممکن).
• ارزیابی انطباق با استانداردها و قوانین قانونی (ساده ترین و کاربردی ترین روش مبتنی بر مقایسه وضعیت فعلی و الزامات استانداردهای بین المللی و اسناد داخلی در زمینه امنیت اطلاعات).
• یک روش ترکیبی که دو روش اول را با هم ترکیب می کند.

پس از دریافت نتایج آزمایش، تجزیه و تحلیل آنها آغاز می شود. ابزارهای ممیزی امنیت اطلاعات که برای تجزیه و تحلیل استفاده می شوند می توانند بسیار متنوع باشند. همه چیز به مشخصات شرکت، نوع اطلاعات، نرم افزار مورد استفاده، ابزارهای امنیتی و غیره بستگی دارد. با این حال، همانطور که از روش اول می بینید، حسابرس عمدتاً باید به تجربه خود تکیه کند.

و این تنها به این معنی است که او باید دارای صلاحیت های مناسب در زمینه فناوری اطلاعات و حفاظت از داده ها باشد. بر اساس این تحلیل، حسابرس ریسک های احتمالی را محاسبه می کند.

توجه داشته باشید که او نه تنها باید سیستم‌های عامل یا برنامه‌هایی را که به عنوان مثال برای کسب و کار یا حسابداری استفاده می‌شوند، درک کند، بلکه باید به وضوح درک کند که چگونه یک مهاجم می‌تواند به یک سیستم اطلاعاتی وارد شود تا داده‌ها را بدزدد، آسیب برساند و از بین ببرد، پیش نیازهایی برای تخلف در کار ایجاد کند. کامپیوترها، انتشار ویروس ها یا بدافزارها.

بر اساس تجزیه و تحلیل انجام شده، کارشناس در مورد وضعیت حفاظت نتیجه گیری می کند و توصیه هایی را برای رفع مشکلات موجود یا احتمالی، ارتقاء سیستم امنیتی و غیره ارائه می دهد. در عین حال، توصیه ها باید نه تنها عینی باشند، بلکه باید به وضوح با واقعیت های ویژگی های شرکت مرتبط باشند. به عبارت دیگر، مشاوره در مورد ارتقاء پیکربندی رایانه یا نرم افزار پذیرفته نمی شود. به همین ترتیب، این امر در مورد مشاوره در مورد اخراج کارکنان "غیر قابل اعتماد"، نصب سیستم های ردیابی جدید بدون تعیین هدف، مکان و امکان سنجی آنها صدق می کند.

بر اساس تجزیه و تحلیل انجام شده، به عنوان یک قاعده، چندین گروه از خطرات متمایز می شوند. در عین حال، از دو شاخص اصلی برای تهیه گزارش خلاصه استفاده می شود: احتمال حمله و آسیب وارد شده به شرکت در نتیجه (از دست دادن دارایی، از دست دادن شهرت، از دست دادن تصویر و غیره). با این حال، شاخص ها برای گروه ها مطابقت ندارند. بنابراین، برای مثال، یک شاخص سطح پایین برای احتمال حمله بهترین است. در مورد آسیب، برعکس است.

تنها پس از آن گزارشی تهیه می شود که در آن تمام مراحل، روش ها و ابزار تحقیق انجام شده به تفصیل شرح داده شده است. با مدیریت توافق شده و توسط دو طرف - شرکت و حسابرس - امضا می شود. در صورتی که حسابرسی داخلی باشد، رئیس واحد ساختاری مربوطه چنین گزارشی را تنظیم و پس از آن مجدداً به امضای رئیس می رسد.

ممیزی امنیت اطلاعات: یک مثال

در نهایت، ساده ترین مثال از موقعیتی را که قبلاً اتفاق افتاده است در نظر بگیرید. به هر حال، ممکن است برای بسیاری بسیار آشنا به نظر برسد.

به عنوان مثال، کارمند خاصی از یک شرکت خرید در ایالات متحده، پیام رسان ICQ را روی رایانه خود نصب کرده است (نام کارمند و نام شرکت به دلایل واضح ذکر نشده است). مذاکرات دقیقاً از طریق این برنامه انجام شد. اما ICQ از نظر امنیت کاملاً آسیب پذیر است. خود کارمند هنگام ثبت شماره در آن زمان یا آدرس ایمیل نداشت یا به سادگی نمی خواست آن را بدهد. در عوض، او چیزی شبیه به ایمیل را نشان داد، حتی با دامنه‌ای که وجود ندارد.

یک مهاجم چه می کند؟ همانطور که ممیزی امنیت اطلاعات نشان داد، او دقیقاً همان دامنه را ثبت می کرد و ترمینال ثبت دیگری را در آن ایجاد می کرد و پس از آن می توانست برای شرکت Mirabilis که دارای سرویس ICQ است، پیامی با درخواست بازیابی رمز عبور به دلیل وجود آن ارسال کند. ضرر (که انجام می شد). از آنجایی که سرور گیرنده یک سرور ایمیل نبود، یک تغییر مسیر در آن فعال شد - هدایت به ایمیل موجود مهاجم.

در نتیجه، او به مکاتبات با شماره ICQ مشخص شده دسترسی پیدا می کند و تغییر آدرس گیرنده کالا در یک کشور خاص را به تامین کننده اطلاع می دهد. بنابراین محموله به مقصد نامعلومی ارسال می شود. و این بی ضررترین مثال است. بنابراین، هولیگانیسم کوچک. و در مورد هکرهای جدی تری که قادر به کارهای بسیار بیشتری هستند چه می شود ...

نتیجه

یعنی به طور خلاصه همه چیز مربوط به ممیزی امنیت IP است. البته در اینجا به تمام جنبه های آن پرداخته نمی شود. دلیل آن فقط در این واقعیت نهفته است که عوامل زیادی بر تنظیم وظایف و روش های اجرای آن تأثیر می گذارد ، بنابراین رویکرد در هر مورد کاملاً فردی است. علاوه بر این، روش ها و ابزارهای ممیزی امنیت اطلاعات ممکن است برای IS های مختلف متفاوت باشد. با این حال، به نظر می رسد اصول کلی چنین چک هایی حداقل در سطح اولیه برای بسیاری روشن شود.

حسابرسی یک بررسی مستقل از حوزه های خاص عملکرد سازمان است. تمایز بین حسابرسی خارجی و داخلی حسابرسی خارجی معمولاً یک رویداد یکباره است که توسط مدیریت یا سهامداران سازمان آغاز می شود. انجام ممیزی های خارجی به صورت منظم توصیه می شود و به عنوان مثال برای بسیاری از سازمان های مالی و شرکت های سهامی این یک الزام اجباری از سوی موسسین و سهامداران آنهاست. ممیزی داخلی فعالیت مستمری است که بر اساس «آیین نامه حسابرسی داخلی» و بر اساس برنامه ریزی انجام می شود که تهیه آن توسط ادارات حراست و به تأیید مدیریت سازمان می رسد.

اهداف ممیزی امنیتی عبارتند از:

تجزیه و تحلیل خطرات مرتبط با امکان اجرای تهدیدات امنیتی در رابطه با منابع؛

ارزیابی سطح فعلی امنیت IP؛

بومی سازی تنگناها در سیستم حفاظت IP؛

ارزیابی انطباق IS با استانداردهای موجود در زمینه امنیت اطلاعات.

ممیزی امنیتی یک شرکت (شرکت، سازمان) باید به عنوان یک ابزار مدیریتی محرمانه در نظر گرفته شود و امکان ارائه اطلاعات در مورد نتایج فعالیت های آن به اشخاص ثالث و سازمان ها به منظور محرمانه بودن را حذف کند.

توالی اقدامات زیر را می توان برای انجام ممیزی امنیتی سازمانی توصیه کرد.

1. آماده شدن برای ممیزی امنیتی:

انتخاب موضوع حسابرسی (شرکت، ساختمان ها و اماکن فردی، سیستم های فردی یا اجزای آنها).

ایجاد تیمی از حسابرسان خبره؛

تعیین محدوده و محدوده حسابرسی و تعیین مهلت های مشخص.

2. انجام ممیزی:

تجزیه و تحلیل کلی از وضعیت امنیتی شی ممیزی شده؛

ثبت، جمع آوری و تأیید داده های آماری و نتایج اندازه گیری های ابزاری خطرات و تهدیدها.

ارزیابی نتایج آزمون؛

تهیه گزارش از نتایج بررسی به تفکیک اجزا.

3. تکمیل حسابرسی:

تهیه گزارش نهایی؛

تدوین برنامه عملیاتی برای رفع تنگناها و کاستی ها در تامین امنیت شرکت.

برای انجام موفقیت آمیز ممیزی امنیتی، باید:

مشارکت فعال مدیریت شرکت در انجام آن؛

عینیت و استقلال حسابرسان (کارشناسان)، شایستگی و حرفه ای بودن آنها.

روش راستی‌آزمایی ساختار یافته به وضوح؛

اجرای فعال اقدامات پیشنهادی برای تضمین و افزایش امنیت.

ممیزی امنیتی به نوبه خود ابزاری موثر برای ارزیابی امنیت و مدیریت ریسک است. جلوگیری از تهدیدات امنیتی همچنین به معنای حفاظت از منافع اقتصادی، اجتماعی و اطلاعاتی یک شرکت است.

از این رو، می توان نتیجه گرفت که حسابرسی امنیتی در حال تبدیل شدن به ابزاری برای مدیریت اقتصادی است.

بسته به حجم اشیاء تجزیه و تحلیل شده شرکت، دامنه حسابرسی تعیین می شود:

ممیزی امنیتی کل شرکت به عنوان یک کل؛

ممیزی امنیتی ساختمان ها و اماکن فردی (مکان های اختصاصی)؛

ممیزی تجهیزات و وسایل فنی انواع و اقسام خاص؛

ممیزی انواع و زمینه های خاص فعالیت: اقتصادی، زیست محیطی، اطلاعاتی، مالی و غیره.

لازم به تاکید است که حسابرسی به ابتکار حسابرس انجام نمی شود، بلکه به ابتکار مدیریت شرکت که در این موضوع ذینفع اصلی است، انجام می شود. حمایت مدیریت شرکت پیش نیاز حسابرسی است.

حسابرسی مجموعه ای از فعالیت هاست که علاوه بر خود حسابرس، نمایندگان اکثر بخش های ساختاری شرکت در آن مشارکت دارند. اقدامات همه شرکت کنندگان در این فرآیند باید هماهنگ باشد. بنابراین، در مرحله شروع روش حسابرسی، مسائل سازمانی زیر باید حل شود:

حقوق و تعهدات حسابرس باید به وضوح در شرح وظایف وی و همچنین در مقررات مربوط به حسابرسی داخلی (خارجی) تعریف و مستند شود.

حسابرس باید برنامه حسابرسی را تهیه و با مدیریت آن موافقت کند.

مقررات مربوط به حسابرسی داخلی باید به ویژه تصریح کند که کارکنان مؤسسه موظفند به حسابرس کمک کنند و کلیه اطلاعات لازم برای حسابرسی را ارائه دهند.

در مرحله شروع روش حسابرسی، محدوده بررسی باید تعریف شود. اگر برخی از زیرسیستم های اطلاعاتی شرکت به اندازه کافی حیاتی نباشند، می توان آنها را از محدوده بررسی حذف کرد.

سایر زیرسیستم ها به دلایل محرمانه بودن ممکن است قابل حسابرسی نباشند.

محدوده نظرسنجی در دسته بندی های زیر تعریف می شود:

1. فهرست منابع فیزیکی، نرم افزاری و اطلاعاتی بررسی شده.

2. سایت هایی (محل) که در محدوده بررسی قرار می گیرند.

3. انواع اصلی تهدیدات امنیتی در نظر گرفته شده در طول ممیزی.

4. جنبه های امنیتی سازمانی (قانونی، اداری و رویه ای)، فیزیکی، نرم افزاری-فنی و سایر جنبه های امنیتی که باید در حین بررسی مورد توجه قرار گیرد و اولویت های آنها (تا چه اندازه باید در نظر گرفته شود).

طرح حسابرسی و حدود در یک جلسه کاری که با حضور حسابرسان، مدیریت شرکت و روسای بخش‌های ساختاری برگزار می‌شود، مورد بحث قرار می‌گیرد.

برای درک ممیزی IS به عنوان یک سیستم پیچیده، مدل مفهومی آن، نشان داده شده در شکل. 1.1. اجزای اصلی فرآیند در اینجا برجسته شده است:

موضوع حسابرسی:

هدف از حسابرسی:

برنج. 1.1.

الزاماتی که باید برآورده شوند؛

روش های مورد استفاده؛

مقیاس:

مجریان؛

ترتیب رفتار

از نقطه نظر سازماندهی کار در طول ممیزی IS، سه مرحله اساسی وجود دارد:

1. جمع آوری اطلاعات.

این مراحل در زیر با جزئیات بیشتر مورد بحث قرار گرفته است.

مرحله جمع آوری اطلاعات حسابرسی سخت ترین و زمان برترین مرحله است. این امر به دلیل عدم وجود مستندات لازم برای سیستم اطلاعاتی و نیاز به تعامل نزدیک حسابرس با بسیاری از مسئولان سازمان است.

حسابرس تنها در صورتی می تواند نتیجه گیری شایسته در مورد وضعیت امور مربوط به امنیت اطلاعات در شرکت انجام دهد که تمام داده های اولیه لازم برای تجزیه و تحلیل موجود باشد. کسب اطلاعات در مورد سازمان، عملکرد و وضعیت فعلی IP توسط حسابرس طی مصاحبه های سازماندهی شده ویژه با افراد مسئول شرکت و با مطالعه مستندات فنی و سازمانی و اداری و همچنین با تحقیق در مورد IP با استفاده از نرم افزارهای تخصصی انجام می شود. ابزار. اجازه دهید در مورد اطلاعاتی که حسابرس برای تجزیه و تحلیل نیاز دارد صحبت کنیم.

تضمین امنیت اطلاعات یک سازمان فرآیند پیچیده ای است که نیازمند سازماندهی و نظم و انضباط روشن است. باید با تعریف نقش ها و تعیین مسئولیت ها بین مقامات امنیت اطلاعات شروع شود. بنابراین، اولین نکته بررسی حسابرسی با کسب اطلاعات در مورد ساختار سازمانی کاربران IP و واحدهای خدماتی آغاز می شود. در این راستا، حسابرس به مدارک زیر نیاز دارد:

· نمودار ساختار سازمانی کاربران.

· نمودار ساختار سازمانی واحدهای خدماتی.

معمولاً در طول مصاحبه، حسابرس سؤالات زیر را از پاسخ دهندگان می پرسد:

· صاحب اطلاعات کیست؟

· کاربر (مصرف کننده) اطلاعات کیست؟

ارائه دهنده خدمات کیست؟

هدف و اصول عملکرد IS تا حد زیادی خطرات و الزامات امنیتی موجود را برای سیستم تعیین می کند. بنابراین، در مرحله بعدی، حسابرس به اطلاعاتی در مورد هدف و عملکرد IS علاقه مند است. حسابرس در مورد سوالات زیر از پاسخ دهندگان می پرسد:

· چه خدماتی و چگونه به کاربران نهایی ارائه می شود؟

· انواع اصلی برنامه های کاربردی که در IS کار می کنند چیست؟

· تعداد و انواع کاربرانی که از این اپلیکیشن ها استفاده می کنند؟

او همچنین به اسناد زیر نیاز دارد، البته، اگر اصلاً در دسترس باشد (که، به طور کلی، اغلب اتفاق نمی افتد):

· نمودارهای عملکردی.

· شرح توابع خودکار.

· شرح راه حل های فنی اصلی.

· سایر اسناد طراحی و کاری برای سیستم اطلاعاتی.

علاوه بر این، حسابرس به اطلاعات دقیق تری در مورد ساختار IP نیاز دارد. این امر درک چگونگی توزیع مکانیسم‌های امنیتی توسط عناصر ساختاری و سطوح عملکرد IS را ممکن می‌سازد. سوالات معمولی که در این رابطه در طول مصاحبه مورد بحث قرار می گیرند عبارتند از:

IS از چه اجزایی (زیر سیستم ها) تشکیل شده است؟

· قابلیت تک تک اجزا؟

· مرزهای سیستم کجاست؟

· چه نقاط ورودي وجود دارد؟

· چگونه IP با سیستم های دیگر تعامل دارد؟

· چه کانال های ارتباطی برای تعامل با سایر IS ها استفاده می شود؟

· برای ارتباط بین اجزای سیستم از چه کانال های ارتباطی استفاده می شود؟

· چه پروتکل هایی برای تعامل استفاده می شود؟

· برای ساخت سیستم از چه پلتفرم های نرم افزاری و سخت افزاری استفاده می شود؟

در این مرحله، حسابرس باید مدارک زیر را تهیه کند:

· طرح ساختاری IS.

· طرح جریان اطلاعات.

· شرح ساختار مجموعه ابزارهای فنی سیستم اطلاعات.

· شرح ساختار نرم افزار.

· شرح ساختار پشتیبانی اطلاعات.

· قرار دادن اجزای سیستم اطلاعاتی.

تهیه بخش قابل توجهی از اسناد IS معمولاً در جریان حسابرسی انجام می شود. هنگامی که تمام داده های IP لازم، از جمله مستندات، آماده شد، می توانید به تجزیه و تحلیل آنها بروید.

تجزیه و تحلیل داده های حسابرسی

روش های تجزیه و تحلیل داده های مورد استفاده حسابرسان با رویکرد حسابرسی انتخاب شده تعیین می شود که می تواند به طور قابل توجهی متفاوت باشد.

اولین رویکرد، پیچیده ترین، مبتنی بر تحلیل ریسک است. بر اساس روش های تجزیه و تحلیل ریسک، حسابرس برای IS مورد بررسی مجموعه ای فردی از الزامات امنیتی را تعیین می کند که تا حد زیادی ویژگی های این IS، محیط عملیاتی آن و تهدیدات امنیتی موجود در این محیط را در نظر می گیرد. این رویکرد زمان‌برترین است و به بالاترین صلاحیت حسابرس نیاز دارد. کیفیت نتایج حسابرسی، در این مورد، به شدت تحت تأثیر روش مورد استفاده برای تجزیه و تحلیل و مدیریت ریسک و کاربرد آن در این نوع IP است.

رویکرد دوم، کاربردی ترین، بر استفاده از استانداردهای امنیت اطلاعات متکی است. استانداردها مجموعه اساسی الزامات امنیتی را برای یک کلاس گسترده از IS تعریف می کنند که در نتیجه تعمیم رویه جهانی شکل می گیرد. استانداردها بسته به سطح امنیت IS که باید ارائه شود، وابستگی آن (سازمان تجاری یا سازمان دولتی)، و همچنین هدف (مالی، صنعتی، ارتباطات و غیره) مجموعه های مختلفی از الزامات امنیتی را تعریف می کنند. در این حالت، حسابرس موظف است مجموعه الزامات استاندارد را به درستی تعیین کند که رعایت آنها برای این IS باید تضمین شود. یک روش نیز برای ارزیابی این انطباق مورد نیاز است. به دلیل سادگی (مجموعه الزامات استاندارد برای حسابرسی قبلاً توسط استاندارد از پیش تعیین شده است) و قابلیت اطمینان (استاندارد یک استاندارد است و هیچ کس سعی نمی کند الزامات آن را به چالش بکشد)، رویکرد توصیف شده رایج ترین روش در عمل است (به ویژه زمانی که انجام ممیزی خارجی). این به شما امکان می دهد تا با حداقل هزینه منابع، نتایج معقولی در مورد وضعیت IS بگیرید.

سومین رویکرد، مؤثرترین، شامل ترکیب دو مورد اول است. مجموعه اولیه الزامات امنیتی برای آی سی ها توسط استاندارد تعیین می شود. الزامات اضافی، با در نظر گرفتن ویژگی های عملکرد این IS تا حد ممکن، بر اساس تجزیه و تحلیل ریسک شکل می گیرد. این رویکرد بسیار ساده تر از روش اول است، زیرا بیشتر الزامات امنیتی قبلاً توسط استاندارد تعریف شده است، و در عین حال، نقطه ضعف رویکرد دوم را ندارد، یعنی اینکه الزامات استاندارد ممکن است ویژگی های IS بررسی شده را در نظر نگیرد.

ممیزی سیستم های اطلاعاتی داده های به روز و دقیقی را در مورد نحوه عملکرد IP ارائه می دهد. بر اساس داده های به دست آمده، می توانید فعالیت هایی را برای بهبود کارایی شرکت برنامه ریزی کنید. تمرین حسابرسی سیستم اطلاعاتی - در مقایسه با استاندارد، وضعیت واقعی. قوانین، استانداردها، مقررات و شیوه هایی که در سایر شرکت ها اعمال می شود را بیاموزید. هنگام انجام ممیزی، یک کارآفرین ایده ای از تفاوت شرکت او با یک شرکت موفق معمولی در زمینه مشابه پیدا می کند.

ایده ی کلی

فناوری اطلاعات در دنیای مدرن بسیار توسعه یافته است. تصور شرکتی که مجهز به سیستم های اطلاعاتی نباشد دشوار است:

• جهانی؛
• محلی

از طریق IP است که یک شرکت می تواند به طور عادی کار کند و همگام با زمان باشد. چنین روش‌هایی برای تبادل سریع و کامل اطلاعات با محیط ضروری هستند، که به شرکت اجازه می‌دهد تا با زیرساخت‌های در حال تغییر و نیازهای بازار سازگار شود. سیستم‌های اطلاعاتی باید تعدادی از الزامات را برآورده کنند که در طول زمان تغییر می‌کنند (توسعه‌های جدید، معرفی استانداردها، استفاده از الگوریتم‌های به‌روز شده). در هر صورت فناوری اطلاعات امکان دسترسی سریع به منابع را فراهم می کند و این کار از طریق IS حل می شود. علاوه بر این، سیستم های مدرن:

• مقیاس پذیر؛
• قابل انعطاف؛
• قابل اعتماد؛
• بی خطر.

وظایف اصلی ممیزی سیستم های اطلاعاتی شناسایی این است که آیا IS پیاده سازی شده با پارامترهای مشخص شده مطابقت دارد یا خیر.

حسابرسی: انواع

به اصطلاح ممیزی فرآیند یک سیستم اطلاعاتی اغلب استفاده می شود. به عنوان مثال: متخصصان خارجی سیستم های اجرا شده را از نظر تفاوت با استانداردها تجزیه و تحلیل می کنند، از جمله مطالعه فرآیند تولید که خروجی آن نرم افزار است.

ممیزی می تواند برای تعیین میزان صحیح استفاده از سیستم اطلاعاتی در کار انجام شود. عملکرد شرکت با استانداردهای سازنده و نمونه های شناخته شده شرکت های بین المللی مقایسه می شود.

ممیزی سیستم امنیت اطلاعات سازمانی بر ساختار سازمانی تأثیر می گذارد. هدف از برگزاری چنین رویدادی یافتن گلوگاه ها در کارکنان بخش فناوری اطلاعات و شناسایی مشکلات و همچنین ارائه توصیه هایی برای حل آنها است.

در نهایت، ممیزی سیستم امنیت اطلاعات با هدف کنترل کیفیت انجام می شود. سپس کارشناسان دعوت شده وضعیت فرآیندهای درون سازمانی را ارزیابی می کنند، سیستم اطلاعاتی پیاده سازی شده را آزمایش می کنند و بر اساس اطلاعات دریافتی نتیجه گیری می کنند. به طور معمول از مدل TMMI استفاده می شود.

اهداف حسابرسی

ممیزی استراتژیک از وضعیت سیستم های اطلاعاتی به شما امکان می دهد نقاط ضعف را در IS پیاده سازی شده شناسایی کنید و شناسایی کنید که در آن استفاده از فناوری ها بی اثر بوده است. در پایان چنین فرآیندی، مشتری توصیه هایی برای رفع نواقص خواهد داشت.

ممیزی به شما امکان می دهد تخمین بزنید که ایجاد تغییرات در ساختار موجود چقدر هزینه دارد و چقدر طول می کشد. کارشناسانی که ساختار اطلاعات فعلی شرکت را مطالعه می کنند به شما در انتخاب ابزارهای اجرای برنامه بهبود با در نظر گرفتن ویژگی های شرکت کمک می کنند. بر اساس نتایج، شما همچنین می توانید برآورد دقیقی از مقدار منابع مورد نیاز شرکت ارائه دهید. تجزیه و تحلیل خواهد شد فکری، پول، تولید.

فعالیت

ممیزی داخلی سیستم های اطلاعاتی شامل انجام فعالیت هایی مانند:

• موجودی فناوری اطلاعات؛
• شناسایی بار روی ساختارهای اطلاعاتی؛
• ارزیابی آمار، داده های به دست آمده در طول موجودی؛
• تعیین اینکه آیا الزامات تجاری و قابلیت های IP تعبیه شده مناسب هستند یا خیر.
• تهیه گزارش؛
• توسعه توصیه ها؛
• رسمی شدن صندوق NSI

نتیجه حسابرسی

ممیزی استراتژیک وضعیت سیستم های اطلاعاتی رویه ای است که: امکان شناسایی دلایل کارایی ناکافی سیستم اطلاعاتی اجرا شده را فراهم می کند. برای پیش بینی رفتار IS هنگام تنظیم جریان اطلاعات (تعداد کاربران، مقدار داده)؛ ارائه راه حل های آگاهانه ای که به افزایش بهره وری کمک می کند (خرید تجهیزات، بهبود سیستم اجرا شده، جایگزینی). ارائه توصیه هایی با هدف افزایش بهره وری بخش های شرکت، بهینه سازی سرمایه گذاری در فناوری. و همچنین توسعه اقداماتی که سطح کیفی خدمات سیستم های اطلاعاتی را بهبود می بخشد.

مهم است!

هیچ IP جهانی که مناسب هر شرکتی باشد وجود ندارد. دو پایگاه داده رایج وجود دارد که بر اساس آنها می توانید یک سیستم منحصر به فرد برای نیازهای یک شرکت خاص ایجاد کنید:

• اوراکل.

اما به یاد داشته باشید که این فقط اساس است، نه چیز بیشتر. همه پیشرفت‌ها برای مؤثرتر کردن کسب‌وکار باید با در نظر گرفتن ویژگی‌های یک شرکت خاص برنامه‌ریزی شوند. مطمئناً باید عملکردهایی را که قبلاً گم شده بودند معرفی کنید و موارد ارائه شده توسط مجموعه پایه را غیرفعال کنید. فن‌آوری مدرن برای حسابرسی سیستم‌های اطلاعات بانکی به درک دقیق ویژگی‌هایی که IS باید داشته باشد و چه چیزهایی باید حذف شوند کمک می‌کند تا سیستم شرکتی بهینه، کارآمد، اما نه خیلی «سنگین» باشد.

ممیزی امنیت اطلاعات

دو نوع تحلیل برای شناسایی تهدیدات امنیت اطلاعات وجود دارد:

• خارجی؛
• داخلی.

اولین مورد شامل یک روش یک بار مصرف است. توسط رئیس شرکت سازماندهی می شود. توصیه می شود به طور منظم چنین اقدامی را برای تحت کنترل نگه داشتن وضعیت انجام دهید. تعدادی از شرکت های سهامی و سازمان های مالی الزام حسابرسی خارجی امنیت فناوری اطلاعات را اجباری معرفی کرده اند.

داخلی - اینها رویدادهایی هستند که به طور مرتب برگزار می شوند که توسط قانون هنجاری محلی "مقررات حسابرسی داخلی" تنظیم می شوند. برای اجرا، یک برنامه سالانه تشکیل می شود (توسط بخش مسئول حسابرسی تهیه می شود)، که توسط مدیر عامل، مدیر دیگری تأیید می شود. حسابرسی فناوری اطلاعات - چندین دسته از فعالیت ها، ممیزی امنیتی کم اهمیت ترین نیست.

اهداف

هدف اصلی ممیزی سیستم اطلاعاتی از منظر امنیتی، شناسایی خطرات IP مرتبط با تهدیدات امنیتی است. علاوه بر این، فعالیت ها به شناسایی موارد زیر کمک می کنند:

• نقاط ضعف سیستم فعلی؛
• انطباق سیستم با استانداردهای امنیت اطلاعات؛
• سطح امنیت در زمان فعلی

در طول ممیزی امنیتی، در نتیجه، توصیه‌هایی برای بهبود راه‌حل‌های فعلی و اجرای راه‌حل‌های جدید تدوین می‌شود، در نتیجه سیستم اطلاعات فعلی امن‌تر و در برابر تهدیدات مختلف محافظت می‌شود.

اگر یک ممیزی داخلی برای شناسایی تهدیدات امنیت اطلاعات انجام شود، موارد زیر نیز در نظر گرفته می شود:

• سیاست امنیتی، امکان توسعه یک مورد جدید، و همچنین سایر اسناد برای محافظت از داده ها و ساده سازی کاربرد آنها در فرآیند تولید شرکت.
• تشکیل وظایف امنیتی برای کارکنان بخش فناوری اطلاعات؛
• تجزیه و تحلیل موقعیت های مربوط به نقض؛
• آموزش کاربران سیستم شرکتی، پرسنل خدماتی در جنبه های کلی امنیت.

ممیزی داخلی: ویژگی ها

وظایف فهرست شده ای که هنگام انجام ممیزی داخلی سیستم های اطلاعاتی برای کارکنان مطرح می شود، در اصل حسابرسی نیست. در تئوری، برگزار کننده رویداد تنها به عنوان یک متخصص، مکانیسم هایی را که به لطف آن سیستم امن است، ارزیابی می کند. فرد درگیر در کار به یک شرکت کننده فعال در فرآیند تبدیل می شود و استقلال خود را از دست می دهد، دیگر نمی تواند به طور عینی موقعیت را ارزیابی کرده و آن را کنترل کند.

از سوی دیگر، در عمل، کنار گذاشتن در حسابرسی داخلی تقریبا غیرممکن است. واقعیت این است که برای انجام کار، متخصصی از شرکت درگیر است که در مواقع دیگر مشغول کارهای دیگر در یک منطقه مشابه است. این بدان معناست که حسابرس همان کارمندی است که صلاحیت حل وظایفی که قبلا ذکر شد را دارد. بنابراین، باید مصالحه کرد: به ضرر عینیت، کارمند را در عمل مشارکت دهید تا به نتیجه مناسبی برسید.

ممیزی امنیتی: مراحل

اینها از بسیاری جهات شبیه مراحل یک ممیزی عمومی IT هستند. اختصاص دهید:

• شروع رویدادها؛
• مجموعه ای از یک پایگاه برای تجزیه و تحلیل؛
• تحلیل و بررسی؛
• شکل گیری نتیجه گیری؛
• گزارش نویسی.

شروع رویه

ممیزی سیستم های اطلاعاتی در بعد امنیت زمانی آغاز می شود که رئیس شرکت مجوز آن را بدهد، زیرا این روسای هستند که بیشتر علاقه مند به حسابرسی مؤثر شرکت هستند. اگر مدیریت از این روش پشتیبانی نکند، ممیزی امکان پذیر نیست.

ممیزی سیستم های اطلاعاتی معمولاً پیچیده است. در آن یک حسابرس و چند نفر به نمایندگی از بخش های مختلف شرکت حضور دارند. همکاری همه شرکت کنندگان در حسابرسی مهم است. هنگام شروع حسابرسی، توجه به نکات زیر ضروری است:

• تثبیت اسنادی وظایف، حقوق حسابرس؛
• تهیه، تصویب برنامه حسابرسی؛
• مستندسازی این واقعیت که کارمندان موظف هستند تمام کمک های ممکن را به حسابرس ارائه کنند و تمام داده های درخواستی وی را ارائه دهند.

در حال حاضر در لحظه شروع حسابرسی، تعیین مرزهای حسابرسی سیستم های اطلاعاتی مهم است. در حالی که برخی از زیرسیستم های IS حیاتی هستند و نیاز به توجه ویژه دارند، برخی دیگر به اندازه کافی مهم نیستند و نمی توانند حذف شوند. مطمئناً چنین زیرسیستم هایی وجود خواهند داشت که تأیید آنها غیرممکن خواهد بود زیرا تمام اطلاعات ذخیره شده در آنجا محرمانه است.

طرح و مرزها

قبل از شروع کار، فهرستی از منابعی که قرار است بررسی شوند، تشکیل می شود. میتونه باشه:

• اطلاعاتی
• نرم افزار؛
• فنی.

آنها مشخص می کنند که ممیزی در کدام سایت ها انجام می شود و سیستم برای کدام تهدیدات بررسی می شود. مرزهای سازمانی رویداد، جنبه های امنیتی وجود دارد که باید در طول ممیزی در نظر گرفته شود. رتبه بندی اولویت با نشان دادن دامنه چک تشکیل می شود. این محدوده ها و همچنین طرح رویداد توسط مدیر کل تأیید می شود، اما ابتدا با موضوع جلسه کاری عمومی که در آن روسای بخش ها، حسابرس و روسای شرکت حضور دارند، مشخص می شود. .

بازیابی داده ها

هنگام انجام ممیزی امنیتی، استانداردهای حسابرسی سیستم های اطلاعاتی به گونه ای است که مرحله جمع آوری اطلاعات زمان برترین و پر زحمت ترین مرحله می شود. به عنوان یک قاعده، IS اسنادی برای آن ندارد و حسابرس مجبور است از نزدیک با همکاران متعددی کار کند.

برای اینکه نتیجه‌گیری‌های به‌دست‌آمده شایسته باشند، حسابرس باید تا حد امکان داده‌ها را به دست آورد. حسابرس در جریان تحقیقات مستقل و به کارگیری نرم افزارهای تخصصی، نحوه سازماندهی سیستم اطلاعاتی، نحوه عملکرد و وضعیت آن را از مستندات سازمانی، اداری، فنی می آموزد.

مدارک مورد نیاز برای کار حسابرس:

• ساختار سازمانی بخش هایی که در خدمت IS هستند.
• ساختار سازمانی همه کاربران

حسابرس با کارمندان مصاحبه می کند و تشخیص می دهد:

• تامین کننده؛
• صاحب داده؛
• داده های کاربر

برای این کار باید بدانید:

• انواع اصلی برنامه های IP؛
• تعداد، انواع کاربران؛
• خدمات ارائه شده به کاربران

اگر شرکت دارای اسناد IP از لیست زیر است، حتما آنها را در اختیار حسابرس قرار دهید:

• شرح روش های فنی؛
• شرح روشهای خودکارسازی توابع؛
• نمودارهای عملکردی؛
• کار، اسناد پروژه

افشای ساختار IP

برای نتیجه گیری صحیح، حسابرس باید کامل ترین درک را از ویژگی های سیستم اطلاعاتی پیاده سازی شده در شرکت داشته باشد. شما باید بدانید که مکانیسم های امنیتی چیست، چگونه آنها در سیستم بر اساس سطوح توزیع می شوند. برای انجام این کار، بدانید:

• وجود و ویژگی های اجزای سیستم مورد استفاده؛
• توابع اجزاء؛
• کیفیت گرافیکی؛
• ورودی ها
• تعامل با اشیاء مختلف (خارجی، داخلی) و پروتکل ها، کانال ها برای این.
• پلتفرم های مورد استفاده برای سیستم

طرح ها مزایایی را به همراه خواهند داشت:

• ساختاری؛
• جریان های داده

سازه های:

• وسایل فنی؛
• پشتیبانی اطلاعات؛
• اجزای ساختاری

در عمل، بسیاری از اسناد به طور مستقیم در طول ممیزی تهیه می شوند. تجزیه و تحلیل اطلاعات تنها زمانی امکان پذیر است که حداکثر مقدار اطلاعات را جمع آوری کنید.

حسابرسی امنیت IP: تجزیه و تحلیل

چندین تکنیک برای تجزیه و تحلیل داده های به دست آمده استفاده می شود. انتخاب به نفع یک مورد خاص بر اساس ترجیحات شخصی حسابرس و ویژگی های یک کار خاص است.

پیچیده ترین رویکرد شامل تجزیه و تحلیل خطرات است. الزامات امنیتی برای سیستم اطلاعاتی شکل می گیرد. آنها بر اساس ویژگی های یک سیستم خاص و محیط آن و همچنین تهدیدات ذاتی در این محیط هستند. تحلیلگران توافق دارند که این رویکرد به بیشترین نیروی کار و حداکثر صلاحیت حسابرس نیاز دارد. اینکه نتیجه چقدر خوب خواهد بود با روش تجزیه و تحلیل اطلاعات و کاربرد گزینه های انتخاب شده برای نوع IP تعیین می شود.

یک گزینه کاربردی تر مراجعه به استانداردهای امنیت داده است. اینها مجموعه ای از الزامات را تعریف می کنند. این برای IP های مختلف مناسب است، زیرا این روش بر اساس بزرگترین شرکت ها از کشورهای مختلف توسعه یافته است.

از استانداردها، بسته به سطح حفاظت از سیستم و تعلق آن به یک یا مؤسسه دیگر، الزامات امنیتی چیست. خیلی به هدف IP بستگی دارد. وظیفه اصلی حسابرس این است که به درستی تعیین کند که کدام مجموعه از الزامات امنیتی مربوط به یک مورد خاص است. روشی انتخاب می شود که به وسیله آن ارزیابی می شود که آیا پارامترهای موجود سیستم مطابق با استانداردها هستند یا خیر. این فناوری بسیار ساده، قابل اعتماد و در نتیجه گسترده است. با یک سرمایه گذاری کوچک، می توانید نتیجه گیری دقیق را در نتیجه بدست آورید.

غفلت غیر قابل قبول است!

عمل نشان می دهد که بسیاری از مدیران، به ویژه شرکت های کوچک، و همچنین کسانی که شرکت های آنها برای مدت طولانی فعالیت می کنند و به دنبال تسلط بر آخرین فن آوری ها نیستند، در حسابرسی سیستم های اطلاعاتی نسبتاً سهل انگاری می کنند، زیرا آنها به سادگی این کار را نمی کنند. به اهمیت این اقدام پی ببرید. معمولاً فقط خسارت وارده به کسب و کار مقامات را وادار می کند تا اقداماتی را برای تأیید، شناسایی خطرات و محافظت از شرکت انجام دهند. برخی دیگر با این واقعیت روبرو هستند که داده‌های مشتریان را می‌دزدند، برخی دیگر از پایگاه‌های اطلاعاتی طرف‌های مقابل درز می‌کنند یا اطلاعاتی در مورد مزایای کلیدی یک موضوع خاص در حال ترک است. مصرف کنندگان به محض اینکه یک پرونده عمومی می شود، اعتماد خود را به یک شرکت از دست می دهند و شرکت آسیب بیشتری از از دست دادن داده ها متحمل می شود.

اگر احتمال نشت اطلاعات وجود داشته باشد، ساختن یک کسب و کار موثر که فرصت های خوبی در حال حاضر و آینده داشته باشد غیرممکن است. هر شرکتی داده هایی دارد که برای اشخاص ثالث ارزشمند است و باید از آن محافظت شود. برای اینکه حفاظت در بالاترین سطح باشد، ممیزی برای شناسایی نقاط ضعف ضروری است. باید استانداردهای بین المللی، روش ها، آخرین پیشرفت ها را در نظر بگیرد.

هنگام ممیزی:

• ارزیابی سطح حفاظت؛
• تجزیه و تحلیل فن آوری های کاربردی؛
• تنظیم اسناد امنیتی؛
• شبیه سازی موقعیت های خطر که در آن نشت داده ها امکان پذیر است.
• پیشنهاد اجرای راهکارهایی برای رفع آسیب پذیری ها.

این رویدادها به یکی از سه روش زیر انجام می شود:

• فعال؛
• کارشناس؛
• شناسایی انطباق با استانداردها

فرم های حسابرسی

حسابرسی فعال شامل ارزیابی سیستمی است که یک هکر بالقوه به آن نگاه می کند. از دیدگاه او این است که حسابرسان خود را "آزمایش" می کنند - آنها حفاظت از شبکه را مطالعه می کنند که برای آن از نرم افزار تخصصی و روش های منحصر به فرد استفاده می کنند. ممیزی داخلی نیز مورد نیاز است، همچنین از نقطه نظر مجرم ادعایی که می‌خواهد داده‌ها را بدزدد یا عملکرد سیستم را مختل کند، انجام شود.

در طی یک ممیزی متخصص، بررسی می کنند که چگونه سیستم پیاده سازی شده با سیستم ایده آل مطابقت دارد. هنگام شناسایی انطباق با استانداردها، شرح انتزاعی از استانداردهایی که شی موجود با آن مقایسه می شود به عنوان مبنا در نظر گرفته می شود.

نتیجه

ممیزی صحیح و کارآمد به شما امکان می دهد تا نتایج زیر را به دست آورید:

• به حداقل رساندن احتمال حمله هکر موفق، آسیب ناشی از آن؛
• حذف حملات بر اساس تغییرات در معماری سیستم و جریان اطلاعات.
• بیمه به عنوان وسیله ای برای کاهش خطرات؛
• به حداقل رساندن ریسک تا حدی که اصلاً نمی توان آن را در نظر گرفت.

عبارت مقدس - "در اختیار داشتن اطلاعات - در اختیار داشتن جهان" بی سابقه است. بنابراین امروزه «سرقت اطلاعات» در ذات اکثر بدخواهان وجود دارد. با معرفی طیف وسیعی از محافظت در برابر حملات و همچنین انجام ممیزی امنیت اطلاعات به موقع می توان از این امر جلوگیری کرد. ممیزی امنیت اطلاعات یک مفهوم جدید است که حاکی از یک حوزه در حال توسعه فوری و پویا از مدیریت عملیاتی و استراتژیک است که به امنیت یک سیستم اطلاعاتی مربوط می شود.

حسابرسی اطلاعات - مبانی نظری

حجم اطلاعات در دنیای مدرن به سرعت در حال رشد است، زیرا تمایل به جهانی شدن استفاده از فناوری رایانه در سراسر جهان در همه اقشار جامعه بشری وجود دارد. در زندگی یک فرد عادی، فناوری اطلاعات جزء اصلی است.

این در استفاده از اینترنت، هم برای اهداف کاری و هم برای بازی و سرگرمی بیان می شود. به موازات توسعه فناوری اطلاعات، درآمدزایی خدمات نیز در حال رشد است و از این رو میزان زمان صرف شده برای انجام تراکنش های مختلف پرداخت با استفاده از کارت های پلاستیکی است. این موارد شامل پرداخت های بدون نقد برای کالاها و خدمات مختلف مصرف شده، تراکنش در سیستم پرداخت آنلاین بانکی، مبادله ارز و سایر تراکنش های پرداخت می شود. همه اینها بر فضای وب جهانی تأثیر می گذارد و آن را بزرگتر می کند.

همچنین اطلاعات بیشتری در مورد دارندگان کارت وجود دارد. این مبنایی برای گسترش حوزه فعالیت کلاهبردارانی است که امروزه موفق به انجام انبوهی از حملات می شوند که از جمله آنها می توان به حملات ارائه دهنده خدمات و کاربر نهایی اشاره کرد. در حالت دوم، با استفاده از نرم افزار مناسب می توان از حمله جلوگیری کرد، اما اگر مربوط به فروشنده باشد، باید از مجموعه اقداماتی استفاده کرد که وقفه در کار، نشت داده ها، هک سرویس را به حداقل برساند. این کار از طریق انجام به موقع ممیزی امنیت اطلاعات انجام می شود.

وظیفه ای که توسط حسابرسی اطلاعات دنبال می شود ارزیابی به موقع و دقیق وضعیت امنیت اطلاعات در لحظه فعلی یک واحد تجاری خاص و همچنین انطباق با هدف و اهداف تعیین شده از انجام فعالیت ها است که به کمک آنها سودآوری حاصل می شود. و بهره وری فعالیت های اقتصادی باید افزایش یابد.

به عبارت دیگر، ممیزی امنیت اطلاعات، بررسی یک منبع خاص برای توانایی آن در مقاومت در برابر تهدیدات بالقوه یا واقعی است.

• ممیزی امنیت اطلاعات دارای اهداف زیر است:
• ارزیابی وضعیت سیستم اطلاعات اطلاعات برای امنیت.
• شناسایی تحلیلی خطرات بالقوه مرتبط با نفوذ خارجی به شبکه اطلاعات.
• شناسایی محلی سازی حفره های امنیتی
• شناسایی تحلیلی انطباق بین سطح امنیتی و استانداردهای فعلی چارچوب قانونی.
• راه اندازی روش های جدید حفاظت، اجرای آنها در عمل و همچنین ایجاد توصیه هایی که با کمک آنها مشکلات وسایل حفاظتی بهبود می یابد و همچنین جستجو برای پیشرفت های جدید در این راستا.

ممیزی زمانی اعمال می شود که:

• بررسی کامل شیئی که در فرآیند اطلاعات دخیل است. به طور خاص، ما در مورد سیستم های کامپیوتری، سیستم های ارتباطی، هنگام دریافت، انتقال، و همچنین پردازش داده های مقدار معینی از اطلاعات، وسایل فنی، سیستم های نظارت و غیره صحبت می کنیم.
• بررسی کامل وسایل فنی الکترونیکی و همچنین سیستم های کامپیوتری برای تأثیرات تشعشعات و تداخل، که به خاموش شدن آنها کمک می کند.
• هنگام بررسی بخش طراحی، که شامل کار بر روی ایجاد استراتژی های ایمنی و همچنین اجرای عملی آنها می شود.
• بررسی کامل قابلیت اطمینان حفاظت از اطلاعات محرمانه که دسترسی به آنها محدود است و همچنین شناسایی "حفره هایی" که از طریق آنها این اطلاعات با استفاده از اقدامات استاندارد و غیر استاندارد عمومی می شود.

چه زمانی نیاز به حسابرسی ایجاد می شود؟

توجه به این نکته ضروری است که نیاز به انجام ممیزی اطلاعات در صورت نقض حفاظت از داده ها به وجود می آید. همچنین چک برای موارد زیر توصیه می شود:

• ادغام شرکت.
• گسترش کسب و کار.
• تصاحب یا وابستگی.
• تغییر رهبری.

انواع حسابرسی سیستم های اطلاعاتی

امروزه ممیزی اطلاعات خارجی و داخلی وجود دارد.

حسابرسی خارجی با دخالت کارشناسان مستقل خارجی که حق انجام چنین فعالیت هایی را دارند مشخص می شود. قاعدتاً این نوع چک ماهیت یکباره دارد و توسط رئیس مؤسسه، سهامدار یا نیروی انتظامی آغاز می شود. ممیزی خارجی اختیاری است و به احتمال زیاد توصیه می شود. با این حال، نکات ظریفی وجود دارد که در قانون ذکر شده است، که در آن ممیزی خارجی امنیت اطلاعات اجباری است. مثلاً مؤسسات مالی، شرکتهای سهامی و مؤسسات مالی مشمول قانون هستند.

ممیزی امنیت داخلی جریان های اطلاعاتی یک فرآیند مداوم است که اجرای آن توسط سند مربوطه "مقررات مربوط به انجام ممیزی داخلی" تنظیم می شود. این رویداد، در چارچوب شرکت، دارای ویژگی گواهی است که انجام آن توسط دستور مربوطه برای شرکت تنظیم می شود. از طریق حسابرسی داخلی، واحد ویژه ای در شرکت در اختیار شرکت قرار می گیرد.

حسابرسی نیز به صورت زیر طبقه بندی می شود:

• کارشناس.
• گواهینامه.
• تحلیلی.

کارشناس شامل بررسی وضعیت حفاظت از جریان ها و سیستم های اطلاعاتی است که بر اساس تجربه کارشناسان و کسانی که این بررسی را انجام می دهند می باشد.

نوع گواهی ممیزی مربوط به سیستم ها و همچنین اقدامات امنیتی است، به ویژه مطابقت آنها با استانداردهای پذیرفته شده در جامعه بین المللی، و همچنین اسناد دولتی مربوطه که مبنای قانونی این فعالیت را تنظیم می کند.

نوع تحلیلی حسابرسی مربوط به انجام تجزیه و تحلیل عمیق سیستم اطلاعاتی با استفاده از دستگاه های فنی است. این اقدامات باید با هدف شناسایی آسیب پذیری ها در مجموعه سخت افزاری و نرم افزاری انجام شود.

روش‌شناسی و ابزارهای حسابرسی در عمل

حسابرسی به صورت مرحله ای انجام می شود و شامل موارد زیر است:

مرحله اول ساده ترین در نظر گرفته می شود. حقوق و مسئولیت های حسابرس، تدوین برنامه اقدام گام به گام و هماهنگی با مدیریت را تعریف می کند. در همان زمان، در جلسه کارکنان، مرزهای تجزیه و تحلیل مشخص می شود.

در مرحله دوم، حجم زیادی از مصرف منابع اعمال می شود. این با این واقعیت توجیه می شود که تمام اسناد فنی مربوط به مجموعه سخت افزاری و نرم افزاری در حال مطالعه است.

مرحله سوم با استفاده از یکی از سه روش انجام می شود:

• تحلیل ریسک.
• تجزیه و تحلیل انطباق با استانداردها و قوانین.
• ترکیبی از تجزیه و تحلیل ریسک و انطباق قانونی.

مرحله چهارم به شما امکان می دهد داده های به دست آمده را سیستماتیک کنید و تجزیه و تحلیل عمیق انجام دهید. در این صورت بازرس باید در این مورد صلاحیت داشته باشد.

چگونه می توان از آن عبور کرد تا مشکلی پیش نیاید؟ چنین چکی برای چیست؟ مقاله ما در این مورد به شما خواهد گفت.

حسابرسی چیست و چه نوع حسابرسی وجود دارد؟ در این باره نوشته شده است.

شما یاد خواهید گرفت که ممیزی مالیاتی چیست و برای چه اهدافی لازم است.

پس از بازرسی، باید نتیجه گیری شود که در سند گزارش مربوطه منعکس شده است. گزارش، به عنوان یک قاعده، منعکس کننده اطلاعات زیر است:

1. قوانین حسابرسی
2. ساختار سیستم جریان اطلاعات در شرکت.
3. از چه روش ها و وسایلی برای بررسی استفاده شده است
4. تشریح دقیق آسیب پذیری ها و نقاط ضعف با در نظر گرفتن ریسک و سطح ضعف.
5. اقدامات توصیه شده برای از بین بردن مکان های خطرناک و همچنین بهبود مجموعه کل سیستم.
   توصیه های عملی واقعی، که با کمک آنها اقدامات باید اجرا شود، با هدف به حداقل رساندن خطراتی است که در طول حسابرسی شناسایی شده است.

ممیزی امنیت اطلاعات در عمل

در عمل، یک مثال بی ضرر نسبتاً رایج وضعیتی است که در آن کارمند A که درگیر تهیه تجهیزات تجاری است، با استفاده از یک برنامه خاص "B" مذاکره می کند.

در عین حال ، خود برنامه آسیب پذیر است و در هنگام ثبت نام ، کارمند آدرس ایمیل یا شماره ای را نشان نداده است ، اما از یک آدرس پست الکترونیکی انتزاعی جایگزین با دامنه غیر موجود استفاده می کند.

در نتیجه، مهاجم می تواند دامنه مشابهی را ثبت کند و یک پایانه ثبتی ایجاد کند. این به او اجازه می دهد تا با درخواست ارسال رمز عبور گم شده، پیام هایی را به شرکت صاحب سرویس برنامه "B" ارسال کند. در این مورد، سرور ایمیل را به آدرس موجود کلاهبردار ارسال می کند، زیرا دارای تغییر مسیر است. در نتیجه این عملیات، کلاهبردار به مکاتبات دسترسی دارد، سایر اطلاعات اطلاعاتی را برای تامین کننده فاش می کند و جهت محموله را در جهت نامعلومی برای کارمند مدیریت می کند.

ارتباط حسابرسی اطلاعات در دنیای مدرن با توجه به افزایش تعداد کاربران، هم از فضای وب جهانی و هم استفاده از روش های مختلف کسب درآمد در خدمات مختلف، روز به روز بیشتر مورد تقاضا قرار می گیرد. بنابراین، داده های هر کاربر در دسترس نفوذگران قرار می گیرد. آنها را می توان با شناسایی منبع مشکل - نقاط ضعف جریان اطلاعات - محافظت کرد.

در تماس با