Prikupljanje revizijskih informacija. Glavne zakonske odredbe

Danas svi znaju gotovo svetu rečenicu da onaj tko posjeduje informacije posjeduje svijet. Zato u naše vrijeme svi pokušavaju ukrasti. U tom smislu poduzimaju se dosad neviđeni koraci za uvođenje zaštite od mogućih napada. Međutim, ponekad može biti potrebno provesti reviziju poduzeća. Što je to i zašto je sve to potrebno? Pokušajmo sada shvatiti.

Što je revizija informacijske sigurnosti u općoj definiciji?

Sada se nećemo doticati nejasnih znanstvenih pojmova, već ćemo pokušati sami definirati osnovne pojmove, opisujući ih najjednostavnijim jezikom (popularno bi se to moglo nazvati revizijom za "lutke").

Naziv ovog skupa događaja govori sam za sebe. Revizija informacijske sigurnosti je neovisna provjera ili osiguranje sigurnosti informacijskog sustava (IS) bilo kojeg poduzeća, ustanove ili organizacije na temelju posebno razvijenih kriterija i pokazatelja.

Jednostavnim rječnikom, primjerice, revizija informacijske sigurnosti banke svodi se na procjenu razine zaštite baza podataka klijenata, tekućih bankovnih operacija, sigurnosti elektroničkih sredstava, sigurnosti bankovne tajne itd. u slučaju uplitanja u aktivnosti ustanove od strane neovlaštenih osoba izvana korištenjem elektroničkih i računalnih sredstava.

Zasigurno će se među čitateljima naći barem netko tko je dobio poziv na kućnu adresu ili na mobitel s ponudom da zatraži kredit ili depozit, i to iz banke s kojom nije ni na koji način povezan. Isto vrijedi i za ponude kupnje iz nekih trgovina. Odakle ti broj?

Jednostavno je. Ako je osoba prethodno podigla kredit ili položila novac na depozitni račun, njegovi su podaci, naravno, bili spremljeni na jednom.Kada zovete iz druge banke ili trgovine, može se izvući jedini zaključak: podaci o njemu nezakonito su dospjeli u treće ruke . Kako? Općenito, mogu se razlikovati dvije mogućnosti: ili je ukraden ili su ga zaposlenici banke svjesno prenijeli trećim osobama. Da se takve stvari ne bi događale, potrebno je pravovremeno provesti reviziju informacijske sigurnosti banke, a to se ne odnosi samo na računalne ili “hardverske” sigurnosne mjere, već na cjelokupno osoblje bankarske institucije.

Glavni pravci revizije informacijske sigurnosti

Što se tiče opsega primjene takve revizije, u pravilu postoji nekoliko razlika:

• potpuni pregled objekata uključenih u procese informatizacije (računalni automatizirani sustavi, sredstva komunikacije, prijema, prijenosa i obrade informacijskih podataka, tehnička sredstva, prostorije za povjerljive sastanke, sustavi nadzora i dr.);
• provjera pouzdanosti zaštite povjerljivih informacija s ograničenim pristupom (utvrđivanje mogućih kanala curenja i potencijalnih rupa u sigurnosnom sustavu koje omogućuju pristup istima izvana standardnim i nestandardnim metodama);
• provjeru sve elektroničke tehničke opreme i lokalnih računalnih sustava na izloženost elektromagnetskom zračenju i smetnjama, dopuštajući njihovo onesposobljavanje ili onesposobljavanje;
• projektantski dio koji uključuje rad na izradi sigurnosnog koncepta i njegovoj primjeni u praksi (zaštita računalnih sustava, prostora, komunikacija i sl.).

Kada je potrebno provesti reviziju?

Da ne govorimo o kritičnim situacijama kada je zaštita već narušena, revizija informacijske sigurnosti u organizaciji može se provesti iu nekim drugim slučajevima.

U pravilu to uključuje širenje poduzeća, spajanja, akvizicije, osnivanje od strane drugih poduzeća, promjene u konceptu poslovanja ili upravljanja, promjene međunarodnog zakonodavstva ili pravnih akata unutar određene zemlje, te prilično ozbiljne promjene u informacijskoj infrastrukturi.

Vrste revizije

Danas sama klasifikacija ove vrste revizije, prema mnogim analitičarima i stručnjacima, nije ustaljena. Stoga podjela na klase u nekim slučajevima može biti vrlo uvjetna. Međutim, općenito, revizije informacijske sigurnosti mogu se podijeliti na vanjske i unutarnje.

Vanjska revizija, koju provode neovisni stručnjaci koji na to imaju pravo, obično je jednokratna inspekcija koju mogu pokrenuti uprava poduzeća, dioničari, tijela za provedbu zakona itd. Smatra se da je vanjsku reviziju informacijske sigurnosti preporučljivo (nije potrebno) provoditi redovito u određenom vremenskom razdoblju. Ali za neke organizacije i poduzeća, prema zakonu, to je obavezno (na primjer, financijske institucije i organizacije, dionička društva itd.).

Informacijska sigurnost je stalan proces. Temelji se na posebnom “Pravilniku o unutarnjoj reviziji”. Što je? U biti, to su događaji certifikacije koji se provode u organizaciji unutar vremenskog okvira koji je odobrila uprava. Revizije informacijske sigurnosti provode posebne strukturne jedinice poduzeća.

Alternativna klasifikacija vrsta revizije

Osim gore opisane podjele na klase u općem slučaju, možemo razlikovati još nekoliko komponenti usvojenih u međunarodnoj klasifikaciji:

• stručna provjera stanja sigurnosti informacija i informacijskih sustava na temelju osobnog iskustva stručnjaka koji je provode;
• certificiranje sustava i sigurnosnih mjera za usklađenost s međunarodnim standardima (ISO 17799) i državnim pravnim dokumentima koji reguliraju ovo područje djelatnosti;
• analiza sigurnosti informacijskih sustava korištenjem tehničkih sredstava, usmjerena na identifikaciju potencijalnih ranjivosti u sklopu hardvera i softvera.

Ponekad se može koristiti takozvana sveobuhvatna revizija koja uključuje sve gore navedene vrste. Usput, on je taj koji daje najobjektivnije rezultate.

Postavljanje ciljeva i zadataka

Svaka revizija, interna ili eksterna, počinje postavljanjem ciljeva. Pojednostavljeno rečeno, treba odrediti zašto, što i kako će se provjeravati. To će unaprijed odrediti daljnju metodologiju provođenja cijelog procesa.

Dodijeljeni zadaci, ovisno o specifičnoj strukturi samog poduzeća, organizacije, institucije i njezinih djelatnosti, mogu biti brojni. Međutim, u svemu tome izdvajaju se jedinstveni ciljevi revizije informacijske sigurnosti:

• procjena stanja sigurnosti informacija i informacijskih sustava;
• analizu mogućih rizika povezanih s prijetnjom prodora u IP izvana, te moguće metode za provođenje takvog ometanja;
• lokalizacija rupa i praznina u sigurnosnom sustavu;
• analiza usklađenosti razine sigurnosti informacijskih sustava s važećim standardima i propisima;
• izrada i izdavanje preporuka koje uključuju otklanjanje postojećih problema, kao i poboljšanje postojećih sredstava zaštite i uvođenje novih dostignuća.

Metodologija i sredstva provođenja revizije

Sada nekoliko riječi o tome kako se provjera odvija te koje faze i sredstva uključuje.

Provođenje revizije informacijske sigurnosti sastoji se od nekoliko glavnih faza:

• pokretanje postupka revizije (jasno definiranje prava i odgovornosti revizora, izrada plana revizije od strane revizora i dogovor s menadžmentom, rješavanje pitanja granica studije, nametanje obveze zaposlenicima organizacije da pomognu i pravovremeno pruže potrebne informacije);
• prikupljanje inicijalnih podataka (struktura sigurnosnog sustava, raspodjela sigurnosnih sredstava, razine djelovanja sigurnosnog sustava, analiza načina dobivanja i pružanja informacija, određivanje komunikacijskih kanala i interakcija IS-a s drugim strukturama, hijerarhija korisnika računalne mreže, hijerarhija korisnika računalne mreže). definicija protokola, itd.);
• provođenje cjelovitog ili djelomičnog inspekcijskog nadzora;
• analiza primljenih podataka (analiza rizika bilo koje vrste i usklađenost sa standardima);
• izdavanje preporuka za otklanjanje mogućih problema;
• izrada izvještajne dokumentacije.

Prva faza je najjednostavnija, jer se odluka o njoj donosi isključivo između uprave poduzeća i revizora. O opsegu analize može se raspravljati na glavnoj skupštini zaposlenika ili dioničara. Sve se to u većoj mjeri odnosi na pravno područje.

Druga faza prikupljanja početnih podataka, bilo da se radi o internoj reviziji informacijske sigurnosti ili eksternoj neovisnoj certifikaciji, resursno je najintenzivnija. To je zbog činjenice da je u ovoj fazi potrebno ne samo proučiti tehničku dokumentaciju koja se odnosi na cijeli softverski i hardverski kompleks, već i provesti usko usmjerene intervjue zaposlenika tvrtke, au većini slučajeva čak i uz ispunjavanje posebnih upitnika. odnosno upitnike.

Što se tiče tehničke dokumentacije, važno je pribaviti podatke o strukturi IP-a i razinama prioriteta prava pristupa za zaposlenike, odrediti sistemski i aplikativni softver (operacijski sustavi koji se koriste, aplikacije za poslovanje, upravljanje i računovodstvo), kao kao i instalirani alati za zaštitu softvera i nesoftverske vrste (antivirusi, vatrozidi, itd.). Osim toga, to uključuje potpunu provjeru mreža i pružatelja komunikacijskih usluga (organizacija mreže, protokoli koji se koriste za povezivanje, vrste komunikacijskih kanala, načini prijenosa i primanja tokova informacija i još mnogo toga). Kao što je već jasno, za to je potrebno dosta vremena.

U sljedećoj fazi utvrđuju se metode revizije informacijske sigurnosti. Ima ih tri:

• analiza rizika (najsloženija tehnika koja se temelji na tome da revizor utvrđuje mogućnost prodora u IP i narušavanja njegovog integriteta koristeći sve moguće metode i sredstva);
• procjena usklađenosti sa standardima i zakonodavstvom (najjednostavnija i najpraktičnija metoda, temeljena na usporedbi postojećeg stanja i zahtjeva međunarodnih normi i domaćih dokumenata iz područja informacijske sigurnosti);
• kombinirana metoda koja kombinira prve dvije.

Nakon primitka rezultata ispitivanja počinje njihova analiza. Alati revizije informacijske sigurnosti koji se koriste za analizu mogu biti vrlo raznoliki. Sve ovisi o specifičnostima aktivnosti poduzeća, vrsti informacija, korištenom softveru, sigurnosnim alatima itd. Međutim, kao što se može vidjeti iz prve metode, revizor će se uglavnom morati osloniti na vlastito iskustvo.

To samo znači da mora imati odgovarajuće kvalifikacije u području informacijske tehnologije i zaštite podataka. Na temelju te analize revizor izračunava moguće rizike.

Imajte na umu da mora razumjeti ne samo operacijske sustave ili programe koji se koriste, primjerice, za poslovanje ili računovodstvo, već i jasno razumjeti kako napadač može prodrijeti u informacijski sustav s ciljem krađe, oštećenja i uništavanja podataka, stvarajući preduvjete za kršenja u radu računala, širenju virusa ili malwarea.

Na temelju analize stručnjak donosi zaključak o stanju zaštite te daje preporuke za otklanjanje postojećih ili mogućih problema, nadogradnju sigurnosnog sustava i sl. U isto vrijeme, preporuke ne bi trebale biti samo objektivne, već i jasno vezane uz specifične stvarnosti poduzeća. Drugim riječima, savjeti o nadogradnji računalnih konfiguracija ili softvera neće biti prihvaćeni. To se podjednako odnosi i na savjete o otpuštanju “nepouzdanih” zaposlenika, ugradnji novih sustava za praćenje bez posebnog navođenja njihove namjene, mjesta ugradnje i izvedivosti.

Na temelju analize u pravilu se razlikuje nekoliko skupina rizika. U ovom slučaju, za sastavljanje sažetog izvješća koriste se dva glavna pokazatelja: vjerojatnost napada i šteta koja je kao rezultat nastala tvrtki (gubitak imovine, pad ugleda, gubitak imidža itd.). Međutim, pokazatelji za skupine nisu isti. Tako je, na primjer, indikator niske razine za vjerojatnost napada najbolji. Za štetu je obrnuto.

Tek nakon toga se sastavlja izvješće u kojem se detaljno navode sve faze, metode i sredstva provedenog istraživanja. Dogovara se s upravom i potpisuju dvije strane - poduzeće i revizor. Ako je revizija unutarnja, takvo izvješće sastavlja voditelj odgovarajuće strukturne jedinice, nakon čega ga, opet, potpisuje voditelj.

Revizija informacijske sigurnosti: primjer

Na kraju, pogledajmo najjednostavniji primjer situacije koja se već dogodila. Usput, mnogima se može činiti vrlo poznatim.

Na primjer, određeni zaposlenik tvrtke koja se bavi nabavom u SAD-u instalirao je ICQ messenger na svoje računalo (ime zaposlenika i naziv tvrtke nisu navedeni iz očiglednih razloga). Pregovori su vođeni upravo kroz ovaj program. Ali ICQ je prilično ranjiv u smislu sigurnosti. Prilikom registracije broja, djelatnik u tom trenutku ili nije imao e-mail adresu, ili je jednostavno nije htio dati. Umjesto toga, naznačio je nešto slično e-mailu, čak i s nepostojećom domenom.

Što bi napadač učinio? Kako je pokazala revizija informacijske sigurnosti, on bi registrirao potpuno istu domenu i u njoj napravio još jedan terminal za registraciju, nakon čega bi mogao poslati poruku tvrtki Mirabilis, koja je vlasnik usluge ICQ, sa zahtjevom za vraćanje lozinke do na njegov gubitak (što bi bilo učinjeno). Budući da poslužitelj primatelja nije bio mail server, na njemu je bio omogućen redirect - preusmjeravanje na postojeću poštu napadača.

Kao rezultat toga, dobiva pristup korespondenciji s navedenim ICQ brojem i obavještava dobavljača o promjeni adrese primatelja robe u određenoj zemlji. Tako se teret šalje na nepoznato odredište. A ovo je najbezazleniji primjer. Da, sitni huliganizam. Što tek reći za ozbiljnije hakere koji su sposobni puno više...

Zaključak

To je ukratko sve što se tiče revizija IP sigurnosti. Naravno, ovdje se ne dotiču svi njegovi aspekti. Jedini razlog je taj što na postavljanje zadataka i metode njegove provedbe utječu mnogi čimbenici, pa je pristup u svakom konkretnom slučaju strogo individualan. Osim toga, metode i sredstva revizije informacijske sigurnosti mogu se razlikovati za različite informacijske sustave. No, čini se da će opći principi takvih provjera mnogima postati jasni barem na početnoj razini.

Audit je neovisno ispitivanje određenih područja funkcioniranja organizacije. Postoje eksterne i interne revizije. Eksterna revizija je u pravilu jednokratni događaj koji se provodi na inicijativu uprave ili dioničara organizacije. Preporuča se redovito provođenje vanjskih revizija, a npr. za mnoge financijske organizacije i dionička društva to je obavezan zahtjev od strane njihovih osnivača i dioničara. Unutarnja revizija je kontinuirana aktivnost koja se provodi na temelju “Pravilnika o unutarnjoj reviziji” iu skladu s planom čiju izradu provode jedinice zaštitarske službe, a odobrava uprava organizacije.

Ciljevi sigurnosne revizije su:

analiza rizika povezanih s mogućnošću sigurnosnih prijetnji u odnosu na resurse;

Procjena trenutne razine IP sigurnosti;

Lokalizacija uskih grla u sustavu IP zaštite;

Procjena usklađenosti IP-a s postojećim standardima u području informacijske sigurnosti;

Reviziju sigurnosti poduzeća (tvrtke, organizacije) treba smatrati povjerljivim alatom za upravljanje koji isključuje, u svrhu zavjere, mogućnost davanja informacija o rezultatima svojih aktivnosti trećim stranama i organizacijama.

Za provođenje revizije sigurnosti poduzeća može se preporučiti sljedeći slijed radnji.

1. Priprema za reviziju sigurnosti:

izbor predmeta revizije (tvrtka, pojedinačne zgrade i prostori, pojedinačni sustavi ili njihove komponente);

Formiranje tima stručnih revizora;

Određivanje opsega i djelokruga revizije i utvrđivanje konkretnih vremenskih okvira za rad.

2. Provođenje revizije:

opća analiza stanja sigurnosti revidiranog objekta;

Registracija, prikupljanje i verifikacija statističkih podataka i rezultata instrumentalnih mjerenja opasnosti i prijetnji;

Ocjenjivanje rezultata inspekcije;

Izrada zapisnika o rezultatima pregleda za pojedine komponente.

3. Završetak revizije:

izrada završnog izvješća;

Izrada akcijskog plana za otklanjanje uskih grla i nedostataka u osiguravanju sigurnosti poduzeća.

Za uspješno provođenje sigurnosne revizije morate:

Aktivno sudjelovanje uprave poduzeća u njegovoj provedbi;

Objektivnost i neovisnost revizora (vještaka), njihova kompetentnost i visoka profesionalnost;

Jasno strukturiran postupak provjere;

Aktivna provedba predloženih mjera za osiguranje i jačanje sigurnosti.

Revizija sigurnosti je pak učinkovit alat za procjenu sigurnosti i upravljanje rizicima. Sprječavanje sigurnosnih prijetnji također znači zaštitu ekonomskih, društvenih i informacijskih interesa poduzeća.

Iz ovoga možemo zaključiti da revizija sigurnosti postaje alat gospodarskog upravljanja.

Ovisno o količini analiziranih objekata poduzeća, određuje se opseg revizije:

Sigurnosna revizija cjelokupnog poduzeća;

Revizija sigurnosti pojedinačnih objekata i prostora (namjenski prostori);

Revizija opreme i tehničkih sredstava pojedinih vrsta i vrsta;

Revizija pojedinih vrsta i područja djelatnosti: ekonomske, okolišne, informacijske, financijske itd.

Treba naglasiti da se revizija ne provodi na inicijativu revizora, već na inicijativu uprave poduzeća, koja je glavna zainteresirana strana u ovom pitanju. Podrška menadžmenta poduzeća nužan je uvjet za provođenje revizije.

Revizija je skup aktivnosti u kojima su, osim samog revizora, uključeni predstavnici većine strukturnih odjela poduzeća. Radnje svih sudionika u ovom procesu moraju biti usklađene. Stoga se u fazi pokretanja postupka revizije moraju riješiti sljedeća organizacijska pitanja:

Prava i odgovornosti revizora moraju biti jasno definirana i dokumentirana u opisu njegovih poslova, kao iu propisima o unutarnjoj (vanjskoj) reviziji;

Revizor mora pripremiti i dogovoriti s upravom plan revizije;

Propisima o unutarnjoj reviziji posebno treba propisati da su zaposlenici poduzeća dužni pomagati revizoru i pružiti sve podatke potrebne za reviziju.

U fazi pokretanja postupka revizije moraju se odrediti granice istraživanja. Ako neki informacijski podsustavi poduzeća nisu dovoljno kritični, mogu se isključiti iz opsega istraživanja.

Drugi podsustavi možda neće biti podložni reviziji zbog zabrinutosti u vezi s povjerljivošću.

Granice istraživanja određene su u sljedećim kategorijama:

1. Popis pregledanih fizičkih, programskih i informacijskih izvora.

2. Mjesta (prostorije) koja ulaze u granice istraživanja.

3. Glavne vrste sigurnosnih prijetnji koje se razmatraju tijekom revizije.

4. Organizacijski (zakonodavni, administrativni i proceduralni), fizički, softverski, hardverski i drugi aspekti sigurnosti koje je potrebno uzeti u obzir tijekom istraživanja te njihove prioritete (u kojoj mjeri ih treba uzeti u obzir).

Plan i granice revizije razmatraju se na radnom sastanku na kojem sudjeluju revizori, uprava društva i voditelji strukturnih odjela.

Za razumijevanje revizije informacijske sigurnosti kao složenog sustava, njen konceptualni model prikazan na Sl. 1.1. Ovdje su istaknute glavne komponente procesa:

Objekt revizije:

Svrha revizije:

Riža. 1.1.

zahtjevi;

Korištene metode;

Skala:

Izvođači;

Red ponašanja.

Sa stajališta organizacije rada pri provođenju revizije informacijske sigurnosti postoje tri temeljne faze:

1. prikupljanje informacija;

O ovim se koracima detaljnije govori u nastavku.

Faza prikupljanja podataka o reviziji je najteža i najdugotrajnija. To je zbog nedostatka potrebne dokumentacije za informacijski sustav i potrebe za bliskom interakcijom između revizora i mnogih službenika organizacije.

Kompetentne zaključke o stanju u poduzeću s informacijskom sigurnošću revizor može donijeti samo ako su dostupni svi potrebni početni podaci za analizu. Pribavljanje informacija o organizaciji, funkcioniranju i trenutnom stanju IS-a revizor provodi tijekom posebno organiziranih razgovora s odgovornim osobama društva, proučavanjem tehničke i organizacijske i administrativne dokumentacije, kao i istraživanjem IS-a korištenjem specijaliziranih programskih alata. Zadržimo se na tome koje su informacije revizoru potrebne za analizu.

Osiguranje informacijske sigurnosti organizacije složen je proces koji zahtijeva jasnu organizaciju i disciplinu. Treba započeti s definiranjem uloga i odgovornosti službenika za informacijsku sigurnost. Stoga prva točka revizije započinje dobivanjem informacija o organizacijskoj strukturi korisnika IS-a i uslužnih jedinica. U tom smislu, revizor zahtijeva sljedeću dokumentaciju:

· Shema organizacijske strukture korisnika;

· Shema organizacijske strukture uslužnih odjela.

Obično, tijekom intervjua, revizor postavlja intervjuiranima sljedeća pitanja:

· Tko je vlasnik informacija?

· Tko je korisnik (konzument) informacija?

· Tko je pružatelj usluga?

Svrha i principi rada IS-a uvelike određuju postojeće rizike i sigurnosne zahtjeve za sustav. Stoga je u sljedećoj fazi revizor zainteresiran za informacije o namjeni i funkcioniranju IS-a. Revizor ispitanicima postavlja približno sljedeća pitanja:

· Koje se usluge pružaju krajnjim korisnicima i kako?

· Koje su glavne vrste aplikacija kojima se upravlja u IS-u?

· Broj i vrste korisnika koji koriste ove aplikacije?

Trebat će mu i sljedeća dokumentacija, naravno, ako je uopće ima (što se, općenito govoreći, ne događa često):

· Funkcionalni dijagrami;

· Opis automatiziranih funkcija;

· Opis glavnih tehničkih rješenja;

· Ostala projektna i radna dokumentacija informacijskog sustava.

Nadalje, revizor zahtijeva detaljnije informacije o strukturi IP-a. To će omogućiti razumijevanje kako se raspodjela sigurnosnih mehanizama provodi po strukturnim elementima i razinama rada IS-a. Tipična pitanja o kojima se u tom smislu raspravlja tijekom intervjua uključuju:

· Od kojih se komponenti (podsustava) sastoji IS?

· Funkcionalnost pojedinih komponenti?

· Gdje su granice sustava?

· Koje ulazne točke postoje?

· Kako IS komunicira s drugim sustavima?

· Koji se komunikacijski kanali koriste za interakciju s drugim informacijskim sustavima?

· Koji se komunikacijski kanali koriste za interakciju između komponenti sustava?

· Koji se protokoli koriste za komunikaciju?

· Koje softverske i hardverske platforme se koriste za izgradnju sustava?

U ovoj fazi, revizor treba prikupiti sljedeću dokumentaciju:

· IS blok dijagram;

· Shema protoka informacija;

· Opis strukture kompleksa tehničkih sredstava informacijskog sustava;

· Opis strukture softvera;

· Opis strukture informacijske potpore;

· Smještaj komponenti informacijskog sustava.

Priprema značajnog dijela IP dokumentacije obično se provodi tijekom postupka revizije. Kada su svi potrebni IP podaci, uključujući i dokumentaciju, pripremljeni, možete pristupiti njihovoj analizi.

Analiza podataka revizije

Metode analize podataka koje koriste revizori određene su odabranim revizijskim pristupima, koji mogu značajno varirati.

Prvi pristup, najsloženiji, temelji se na analizi rizika. Na temelju metoda analize rizika, revizor za ispitivani IS utvrđuje pojedinačni skup sigurnosnih zahtjeva, koji u najvećoj mjeri uzima u obzir karakteristike ovog IS-a, njegovo radno okruženje i sigurnosne prijetnje koje postoje u tom okruženju. Ovaj pristup je najzahtjevniji i zahtijeva najviše kvalifikacije revizora. Na kvalitetu rezultata revizije, u ovom slučaju, snažno utječe metodologija koja se koristi za analizu i upravljanje rizicima te njezina primjenjivost na ovu vrstu IS-a.

Drugi pristup, najpraktičniji, oslanja se na korištenje standarda informacijske sigurnosti. Norme definiraju osnovni skup sigurnosnih zahtjeva za široku klasu IP-a, koja je nastala kao rezultat generalizacije svjetske prakse. Standardi mogu definirati različite skupove sigurnosnih zahtjeva, ovisno o razini IP sigurnosti koju je potrebno osigurati, njegovoj pripadnosti (komercijalna organizacija ili državna agencija) i namjeni (financije, industrija, komunikacije itd.). U ovom slučaju, revizor je dužan ispravno odrediti skup standardnih zahtjeva koji moraju biti ispunjeni za ovaj IS. Potrebna je i metodologija za procjenu ove usklađenosti. Zbog svoje jednostavnosti (standardni skup zahtjeva za provođenje revizije standard je već unaprijed određen) i pouzdanosti (standard je standard i nitko neće pokušati osporiti njegove zahtjeve), opisani pristup je najčešći u praksi (osobito prilikom provođenja eksterne revizije). Omogućuje, uz minimalan utrošak resursa, izvlačenje informiranih zaključaka o stanju IP-a.

Treći pristup, najučinkovitiji, uključuje kombiniranje prva dva. Osnovni skup sigurnosnih zahtjeva za IP određen je standardom. Dodatni zahtjevi, uvažavajući u najvećoj mjeri specifičnosti funkcioniranja ovog informacijskog sustava, formiraju se na temelju analize rizika. Ovaj pristup je puno jednostavniji od prvog, jer Većina sigurnosnih zahtjeva je već definirana standardom, au isto vrijeme nema nedostatak drugog pristupa, a to je da zahtjevi standarda možda neće uzeti u obzir specifičnosti IP-a koji se ispituje. .

Revizija informacijskog sustava daje ažurne i točne podatke o tome kako informacijski sustav funkcionira. Na temelju dobivenih podataka možete planirati aktivnosti za poboljšanje učinkovitosti poduzeća. Praksa revizije informacijskog sustava - usporedba standarda, realnog stanja. Proučite norme, standarde, propise i prakse primjenjive u drugim tvrtkama. Provođenjem revizije poduzetnik dobiva predodžbu o tome po čemu se njegova tvrtka razlikuje od normalne uspješne tvrtke u sličnom području.

Opći pregled

Informacijska tehnologija u suvremenom svijetu iznimno je razvijena. Teško je zamisliti poduzeće koje nema informacijske sustave u službi:

• globalno;
• lokalni.

Zahvaljujući IP-u tvrtka može normalno funkcionirati i ići u korak s vremenom. Takve metodologije nužne su za brzu i cjelovitu razmjenu informacija s okolinom, što omogućava poduzeću prilagodbu promjenama u infrastrukturi i zahtjevima tržišta. Informacijski sustavi moraju zadovoljiti niz zahtjeva koji se mijenjaju tijekom vremena (novi razvoji, uvode se standardi, koriste se ažurirani algoritmi). U svakom slučaju, informacijske tehnologije omogućuju brz pristup resursima, a taj zadatak rješava IS. Osim toga, moderni sustavi:

• skalabilan;
• fleksibilno;
• pouzdan;
• sef.

Glavni ciljevi revizije informacijskog sustava su utvrditi je li implementirani informacijski sustav u skladu sa zadanim parametrima.

Revizija: vrste

Vrlo često se koristi tzv. procesna revizija informacijskog sustava. Primjer: vanjski stručnjaci analiziraju implementirane sustave na razlike od standarda, uključujući proučavanje proizvodnog procesa, čiji je izlaz softver.

Može se provesti revizija s ciljem utvrđivanja ispravnosti korištenja informacijskog sustava u radu. Prakse tvrtke uspoređuju se sa standardima proizvođača i poznatim primjerima međunarodnih korporacija.

Revizija sustava informacijske sigurnosti poduzeća utječe na organizacijsku strukturu. Svrha ovakvog događaja je pronaći slabe točke u osoblju IT odjela i identificirati probleme, kao i formulirati preporuke za njihovo rješavanje.

Konačno, revizija sustava informacijske sigurnosti usmjerena je na kontrolu kvalitete. Potom pozvani stručnjaci procjenjuju stanje procesa unutar poduzeća, testiraju implementirani informacijski sustav i donose zaključke na temelju dobivenih informacija. Obično se koristi TMMI model.

Ciljevi revizije

Strateška revizija stanja informacijskih sustava omogućuje prepoznavanje slabosti u implementiranom informacijskom sustavu i prepoznavanje gdje je korištenje tehnologija bilo neučinkovito. Na kraju takvog procesa kupac će imati preporuke za uklanjanje nedostataka.

Revizija vam omogućuje da procijenite koliko će biti skupo napraviti promjene u trenutnoj strukturi i koliko će to trajati. Stručnjaci koji proučavaju trenutnu informacijsku strukturu tvrtke pomoći će vam odabrati alate za provedbu programa poboljšanja, uzimajući u obzir karakteristike tvrtke. Na temelju rezultata možete dati i točnu procjenu koliko resursa tvrtka treba. Analizirat će se intelektualna, monetarna, proizvodna.

Događaji

Interna revizija informacijskih sustava uključuje aktivnosti kao što su:

• IT inventar;
• identificiranje opterećenja informacijskih struktura;
• procjena statistike, podaci dobiveni tijekom inventure;
• utvrđivanje zadovoljavaju li poslovni zahtjevi i mogućnosti implementiranog IS-a;
• generiranje izvješća;
• razvoj preporuka;
• formalizacija NSI fonda.

Rezultat revizije

Strateška revizija stanja informacijskih sustava je postupak koji: omogućuje prepoznavanje razloga neučinkovitosti implementiranog informacijskog sustava; predvidjeti ponašanje informacijskog sustava pri prilagodbi informacijskih tokova (broj korisnika, količina podataka); donošenje informiranih odluka za povećanje produktivnosti (kupnja opreme, poboljšanje implementiranog sustava, zamjena); dati preporuke usmjerene na povećanje produktivnosti odjela tvrtke i optimizaciju ulaganja u tehnologiju. Također razvijati mjere koje poboljšavaju razinu kvalitete usluga informacijskih sustava.

To je važno!

Ne postoji takav univerzalni IP koji bi odgovarao svakom poduzeću. Postoje dvije uobičajene osnove na kojima možete stvoriti jedinstveni sustav prilagođen zahtjevima određenog poduzeća:

• Oracle.

Ali zapamtite da je ovo samo osnova, ništa više. Sva poboljšanja koja čine poslovanje učinkovitim moraju se programirati, uzimajući u obzir karakteristike pojedinog poduzeća. Vjerojatno ćete morati uvesti prethodno nedostajuće funkcije i onemogućiti one koje nudi osnovni sklop. Suvremena tehnologija za reviziju bankovnih informacijskih sustava pomaže razumjeti koje bi točno značajke informacijski sustav trebao imati, a što treba isključiti kako bi korporativni sustav bio optimalan, učinkovit, ali ne pretežak.

Revizija informacijske sigurnosti

Analiza za prepoznavanje prijetnji informacijskoj sigurnosti postoji u dvije vrste:

• vanjski;
• interijer.

Prvi uključuje jednokratni postupak. Organizira ga voditelj poduzeća. Preporuča se redovito provoditi ovu mjeru kako bi se situacija držala pod kontrolom. Brojna dionička društva i financijske organizacije uvele su obvezu eksterne revizije IT sigurnosti.

Interno - ovo su redovito održavani događaji regulirani lokalnim regulatornim aktom „Pravilnik o unutarnjoj reviziji“. Za njegovu provedbu izrađuje se godišnji plan (izrađuje ga odjel nadležan za reviziju), a odobrava ga generalni direktor, drugi rukovoditelj. Informatička revizija - nekoliko kategorija djelatnosti, a sigurnosna revizija nije najmanje važna.

Ciljevi

Glavni cilj revizije informacijskih sustava iz sigurnosne perspektive je identificirati rizike vezane uz IS povezane sa sigurnosnim prijetnjama. Osim toga, aktivnosti pomažu identificirati:

• slabosti postojećeg sustava;
• usklađenost sustava sa standardima informacijske sigurnosti;
• razinu sigurnosti u trenutnom trenutku.

Kao rezultat sigurnosne revizije formulirat će se preporuke za poboljšanje postojećih rješenja i uvođenje novih, čime će se postojeći informacijski sustav učiniti sigurnijim i zaštićenijim od raznih prijetnji.

Ako se unutarnja revizija provodi radi utvrđivanja prijetnji informacijskoj sigurnosti, dodatno se razmatra sljedeće:

• sigurnosnu politiku, mogućnost izrade nove, kao i drugih dokumenata, radi zaštite podataka i pojednostavljenja njihove uporabe u proizvodnom procesu korporacije;
• formiranje sigurnosnih zadataka za zaposlenike IT odjela;
• analiza situacija koje uključuju prekršaje;
• osposobljavanje korisnika korporativnog sustava i osoblja za održavanje u općim aspektima sigurnosti.

Interna revizija: značajke

Navedeni zadaci koji se postavljaju zaposlenicima prilikom provođenja interne revizije informacijskih sustava u biti nisu revizija. Teoretski, osoba koja vodi događaj samo kao stručnjak procjenjuje mehanizme kojima je sustav siguran. Osoba uključena u zadatak postaje aktivni sudionik procesa i gubi samostalnost te više ne može objektivno procijeniti situaciju i kontrolirati je.

S druge strane, u praksi je tijekom interne revizije gotovo nemoguće ostati po strani. Činjenica je da se za izvođenje radova angažira stručnjak tvrtke koji je inače zauzet drugim poslovima u sličnom području. To znači da je revizor isti zaposlenik koji je kompetentan rješavati prethodno navedene zadatke. Stoga moramo napraviti kompromis: na uštrb objektivnosti, uključiti zaposlenika u praksu kako bismo dobili pristojan rezultat.

Sigurnosni audit: faze

Oni su u velikoj mjeri slični koracima opće IT revizije. Istakni:

• početak događaja;
• prikupljanje baze za analizu;
• analiza;
• izvođenje zaključaka;
• izvještavanje.

Pokretanje postupka

Revizija informacijskih sustava u smislu sigurnosti počinje kada čelni čovjek tvrtke da zeleno svjetlo, jer su upravo šefovi ti koji su najviše zainteresirani za učinkovitu reviziju poduzeća. Revizija se ne može provesti ako menadžment ne podržava postupak.

Revizija informacijskih sustava obično je sveobuhvatna. Uključuje revizora i nekoliko ljudi koji predstavljaju različite odjele tvrtke. Važan je zajednički rad svih sudionika inspekcije. Prilikom pokretanja revizije važno je obratiti pozornost na sljedeće točke:

• dokumentirano evidentiranje odgovornosti i prava revizora;
• priprema i odobravanje plana revizije;
• dokumentiranje činjenice da su zaposlenici dužni revizoru pružiti svu moguću pomoć i dati sve podatke koje on traži.

Već pri pokretanju revizije važno je utvrditi u kojim se granicama provodi revizija informacijskih sustava. Dok su neki podsustavi IS kritični i zahtijevaju posebnu pozornost, drugi nisu i dovoljno su nevažni da je njihovo isključivanje prihvatljivo. Vjerojatno će postojati podsustavi koji se ne mogu provjeriti, budući da su sve tamo pohranjene informacije povjerljive.

Plan i granice

Prije početka rada generira se popis resursa koje je potrebno provjeriti. To može biti:

• informativni;
• softver;
• tehničkog.

Oni identificiraju koja se mjesta nadziru i na koje prijetnje se sustav provjerava. Postoje organizacijske granice događaja i sigurnosni aspekti koji se moraju uzeti u obzir tijekom revizije. Generira se ocjena prioriteta koja označava opseg inspekcije. Takve granice, kao i akcijski plan, odobrava generalni direktor, ali se prvo odlučuje o temi glavnog radnog sastanka, na kojem su prisutni voditelji odjela, revizor i rukovoditelji tvrtke.

Primanje podataka

Kod provođenja sigurnosne revizije, standardi za reviziju informacijskih sustava su takvi da se faza prikupljanja informacija pokazuje kao najduža i radno najintenzivnija. Informacijski sustav u pravilu nema dokumentaciju za to, te je revizor prisiljen blisko surađivati ​​s brojnim kolegama.

Kako bi doneseni zaključci bili kompetentni, revizor mora prikupiti što više podataka. O tome kako je organiziran informacijski sustav, kako funkcionira iu kakvom je stanju, auditor upoznaje iz organizacijske, administrativne i tehničke dokumentacije, tijekom samostalnog istraživanja i korištenja specijaliziranog softvera.

Dokumenti potrebni za rad revizora:

• organizacijska struktura odjela koji opslužuju IS;
• organizacijska struktura svih korisnika.

Revizor intervjuira zaposlenike, identificirajući:

• pružatelj usluga;
• vlasnik podataka;
• korisnik podataka.

Da biste to učinili, morate znati:

• glavne vrste aplikacija IS-a;
• broj, vrste korisnika;
• usluge koje se pružaju korisnicima.

Ako tvrtka ima dokumente o intelektualnoj svojini s popisa u nastavku, obavezno ih je dostaviti revizoru:

• opis tehničkih metodologija;
• opis metoda za automatizaciju funkcija;
• funkcionalni dijagrami;
• radna, projektna dokumentacija.

Identifikacija IP strukture

Da bi donio ispravne zaključke, revizor mora imati najpotpunije razumijevanje značajki informacijskog sustava implementiranog u poduzeću. Morate znati koji su sigurnosni mehanizmi i kako su raspoređeni po razinama u sustavu. Da biste to učinili, saznajte:

• dostupnost i karakteristike korištenih komponenti sustava;
• funkcije komponenti;
• grafički;
• ulazi;
• interakcija s različitim objektima (vanjski, unutarnji) i protokoli, kanali za to;
• platforme koje se koriste za sustav.

Sljedeće sheme će biti korisne:

• strukturalni;
• tokovi podataka.

Strukture:

• tehnička sredstva;
• informacijska podrška;
• strukturne komponente.

U praksi se mnogi dokumenti pripremaju izravno tijekom inspekcije. Informaciju je moguće analizirati samo kada se prikupi maksimalna količina informacija.

Revizija IP sigurnosti: analiza

Postoji nekoliko tehnika koje se koriste za analizu dobivenih podataka. Odabir u korist određenog temelji se na osobnim preferencijama revizora i specifičnostima konkretnog zadatka.

Najsloženiji pristup uključuje analizu rizika. Formirani su sigurnosni zahtjevi za informacijski sustav. Temelje se na karakteristikama određenog sustava i njegovog radnog okruženja, kao i na prijetnjama svojstvenim tom okruženju. Analitičari se slažu da ovaj pristup zahtijeva najviše rada i maksimalne kvalifikacije revizora. Koliko će rezultat biti dobar ovisi o metodologiji analize informacija i primjenjivosti odabranih opcija na tip informacijskog sustava.

Praktičnija opcija uključuje okretanje standardima sigurnosti podataka. Oni definiraju skup zahtjeva. Ovo je prikladno za različite IP-ove, jer je metodologija razvijena na temelju najvećih tvrtki iz različitih zemalja.

Iz standarda proizlazi koji su sigurnosni zahtjevi, ovisno o stupnju zaštite sustava i njegovoj pripadnosti određenoj instituciji. Mnogo ovisi o namjeni IP-a. Glavni zadatak revizora je ispravno odrediti koji je skup sigurnosnih zahtjeva relevantan u određenom slučaju. Odabiru metodu kojom ocjenjuju zadovoljavaju li postojeći parametri sustava norme. Tehnologija je prilično jednostavna, pouzdana i stoga široko rasprostranjena. Uz mala ulaganja, rezultat može biti točan zaključak.

Zanemarivanje je nedopustivo!

Praksa pokazuje da su mnogi menadžeri, posebice malih tvrtki, kao i onih čije tvrtke posluju već duže vrijeme i ne teže ovladavanju svim najnovijim tehnologijama, prilično nemarni prema reviziji informacijskih sustava, jer jednostavno ne shvaćaju važnost ove mjere. Obično samo šteta u poslovanju potiče menadžment da poduzme mjere za provjeru, identifikaciju rizika i zaštitu poduzeća. Drugi su suočeni s činjenicom da im se kradu podaci o njihovoj klijenteli, trećima dolazi do curenja iz baza podataka izvođača ili gubitka informacija o ključnim prednostima određenog subjekta. Potrošači prestaju vjerovati tvrtki čim se incident obznani javnosti, a tvrtka trpi čak i veću štetu od samog gubitka podataka.

Ako postoji mogućnost curenja informacija, nemoguće je izgraditi učinkovito poslovanje koje ima dobre prilike sada iu budućnosti. Svaka tvrtka ima podatke koji su vrijedni trećim stranama i treba ih zaštititi. Kako bi zaštita bila na najvišoj razini potrebna je revizija kojom se utvrđuju slabosti. Treba uzeti u obzir međunarodne standarde, metode i najnovija dostignuća.

Tijekom revizije:

• procijeniti razinu zaštite;
• analizirati korištene tehnologije;
• prilagoditi sigurnosne dokumente;
• simulirati rizične situacije u kojima je moguće curenje podataka;
• preporučiti implementaciju rješenja za uklanjanje ranjivosti.

Ti se događaji provode na jedan od tri načina:

• aktivan;
• stručnjak;
• utvrđivanje usklađenosti sa standardima.

Revizijski obrasci

Aktivna revizija uključuje procjenu sustava koji potencijalni haker promatra. Njegovo je gledište ono što revizori “iskušavaju” - proučavaju zaštitu mreže, za što koriste specijalizirani softver i jedinstvene tehnike. Potrebna je i interna revizija, također provedena sa stajališta navodnog kriminalca koji želi ukrasti podatke ili poremetiti rad sustava.

Stručnim auditom provjeravaju koliko implementirani sustav odgovara idealnom. Prilikom utvrđivanja usklađenosti sa standardima, kao osnova se uzima apstraktni opis normi s kojima se uspoređuje postojeći objekt.

Zaključak

Ispravno i učinkovito provedena revizija omogućuje vam da dobijete sljedeće rezultate:

• minimiziranje vjerojatnosti uspješnog hakerskog napada i štete od njega;
• uklanjanje napada temeljenih na promjenama u arhitekturi sustava i protoku informacija;
• osiguranje kao sredstvo smanjenja rizika;
• minimiziranje rizika do razine na kojoj se može potpuno zanemariti.

Sveta fraza "posjedovati informacije znači posjedovati svijet" relevantnija je nego ikada. Stoga je danas "krađa informacija" svojstvena većini napadača. To se može izbjeći uvođenjem niza zaštita od napada, kao i pravovremenim revizijama informacijske sigurnosti. Revizija informacijske sigurnosti novi je koncept koji podrazumijeva aktualan i dinamično razvijajući smjer operativnog i strateškog upravljanja koji se tiče sigurnosti informacijskog sustava.

Revizija informacija - teorijske osnove

Količina informacija u suvremenom svijetu ubrzano raste, budući da diljem svijeta postoji trend globalizacije uporabe računalne tehnologije u svim slojevima ljudskog društva. U životu običnog čovjeka informacijska tehnologija je glavna komponenta.

To dolazi do izražaja u korištenju interneta, kako u poslovne svrhe, tako iu svrhu igre i zabave. Paralelno s razvojem informatičke tehnologije raste i monetizacija usluga, a samim time i količina vremena utrošenog na razne transakcije plaćanja plastičnim karticama. To uključuje bezgotovinska plaćanja za razne potrošene robe i usluge, transakcije u platnom sustavu internetskog bankarstva, mjenjačke poslove i druge platne transakcije. Sve to utječe na prostor na World Wide Webu, čineći ga većim.

Tu je i više informacija o vlasnicima kartica. To je osnova za širenje polja djelovanja prevaranata, koji danas uspijevaju izvesti kolosalnu masu napada, uključujući napade na pružatelja usluga i krajnjeg korisnika. U potonjem slučaju napad se može spriječiti korištenjem odgovarajućeg softvera, ali ako se radi o dobavljaču, potrebno je koristiti skup mjera koje minimiziraju prekide, curenje podataka i hakiranje servisa. To se postiže pravovremenim revizijama informacijske sigurnosti.

Zadatak informacijske revizije je pravovremena i točna procjena stanja informacijske sigurnosti u trenutnom trenutku konkretnog poslovnog subjekta, kao i usklađenosti s postavljenim ciljem i ciljevima provođenja aktivnosti, uz pomoć kojih se treba povećati profitabilnost i učinkovitost gospodarske aktivnosti.

Drugim riječima, revizija informacijske sigurnosti je provjera sposobnosti određenog resursa da izdrži potencijalne ili stvarne prijetnje.

• Revizija informacijske sigurnosti ima sljedeće ciljeve:
• Procijeniti stanje informacijskog informacijskog sustava za sigurnost.
• Analitička identifikacija potencijalnih rizika povezanih s vanjskim prodorom u informacijsku mrežu.
• Identificiranje mjesta rupa u sigurnosnom sustavu.
• Analitička identifikacija usklađenosti razine sigurnosti s važećim standardima zakonodavnog okvira.
• Iniciranje novih metoda zaštite, njihova implementacija u praksi, kao i izrada preporuka uz pomoć kojih će se poboljšati problemi sredstava zaštite, kao i traženje novih dostignuća u tom smjeru.

Revizija se koristi kada:

• Potpuna provjera objekta koji je uključen u informacijski proces. Konkretno, riječ je o računalnim sustavima, komunikacijskim sustavima, prilikom primanja, prijenosa i obrade podataka određene količine informacija, tehničkim sredstvima, sustavima nadzora i sl.
• Kompletna provjera elektroničke tehničke opreme, kao i računalnih sustava, na izloženost zračenju i smetnjama koje će pridonijeti njihovom gašenju.
• Prilikom provjere dizajnerski dio koji uključuje rad na izradi sigurnosnih strategija, kao i njihovu praktičnu implementaciju.
• Potpuna provjera pouzdanosti zaštite povjerljivih informacija kojima je pristup ograničen, kao i utvrđivanje „rupa“ kroz koje se te informacije objavljuju standardnim i nestandardnim mjerama.

Kada je potrebno provesti reviziju?

Važno je napomenuti da se potreba za provođenjem revizije informacija javlja kada je povrijeđena zaštita podataka. Također, testiranje se preporučuje za:

• Spajanje poduzeća.
• Širenje poslovanja.
• Apsorpcija ili aneksija.
• Promjena vodstva.

Vrste revizije informacijskih sustava

Danas postoje eksterne i interne revizije informacija.

Eksternu reviziju karakterizira uključivanje vanjskih, neovisnih stručnjaka koji imaju pravo obavljati takve aktivnosti. U pravilu, ova vrsta inspekcije je jednokratne prirode i pokreće je čelnik poduzeća, dioničar ili tijela za provođenje zakona. Provođenje eksterne revizije nije obavezno, ali se najvjerojatnije preporučuje. Međutim, postoje nijanse utvrđene zakonom u kojima je obvezna vanjska revizija informacijske sigurnosti. Na primjer, financijske institucije, dionička društva i financijske organizacije potpadaju pod zakon.

Interna revizija sigurnosti protoka informacija je stalan proces čija je provedba regulirana relevantnim dokumentom „Pravilnik o internoj reviziji“. Ovaj događaj unutar tvrtke je certifikacijske prirode, čija je provedba regulirana odgovarajućim nalogom za poduzeće. Provođenjem interne revizije društvo se osigurava kroz posebnu jedinicu u društvu.

Revizija se također klasificira kao:

• Stručnjak.
• Ovjeravanje.
• Analitički.

Ekspert podrazumijeva provjeru sigurnosnog statusa informacijskih tokova i sustava, koja se temelji na iskustvu stručnjaka i onih koji tu provjeru provode.

Certifikacijska vrsta revizije odnosi se na sustave i sigurnosne mjere, posebice njihovu usklađenost s prihvaćenim standardima u međunarodnom društvu, kao i relevantnim državnim dokumentima koji reguliraju zakonsku osnovu za ovu aktivnost.

Analitički tip revizije odnosi se na dubinsku analizu informacijskog sustava pomoću tehničkih uređaja. Te bi radnje trebale biti usmjerene na prepoznavanje ranjivosti softverskog i hardverskog kompleksa.

Metodologija i alati za provođenje revizije u praksi

Revizija se provodi u fazama i uključuje:

Prva faza se smatra najjednostavnijom. Definira prava i odgovornosti provoditelja revizije, razvoj akcijskog plana korak po korak i koordinaciju s menadžmentom. Istodobno, granice analize utvrđuju se na sastanku osoblja.

Druga faza uključuje veliku potrošnju resursa. To je opravdano činjenicom da se proučava sva tehnička dokumentacija koja se odnosi na programski i hardverski kompleks.

Treća faza se provodi pomoću jedne od tri metode, i to:

• Analiza rizika.
• Analiza usklađenosti sa standardima i zakonodavstvom.
• Kombinacija analize rizika i zakonske usklađenosti.

Četvrta faza omogućuje vam sistematizaciju dobivenih podataka i provođenje dubinske analize. U tom slučaju inspektor mora biti nadležan za ovo pitanje.

Kako proći da ne bude problema? Zašto je takva provjera potrebna? O tome će vam reći naš članak.

Što je revizija i koje vrste revizija postoje? Pisano je o ovome.

Naučit ćete što je porezna kontrola i za koje je svrhe potrebna.

Nakon inspekcije mora se sastaviti zaključak koji se odražava u odgovarajućem izvještajnom dokumentu. Izvješće obično odražava sljedeće informacije:

1. Propisi za obavljenu reviziju.
2. Struktura sustava protoka informacija u poduzeću.
3. Koje metode i sredstva su korištena za provjeru
4. Točan opis ranjivosti i slabosti, uzimajući u obzir rizik i razinu slabosti.
5. Preporučene radnje za uklanjanje opasnih mjesta, kao i poboljšanje kompleksa cijelog sustava.
   Pravi praktični savjeti uz pomoć kojih mjera treba provesti usmjereni su na minimiziranje rizika koji su identificirani tijekom revizije.

Revizija informacijske sigurnosti u praksi

U praksi je prilično čest bezazlen primjer situacija u kojoj je zaposlenik A, koji se bavi kupnjom komercijalne opreme, pregovarao pomoću određenog programa „B“.

Istovremeno, sam program je ranjiv, a prilikom registracije zaposlenik nije naveo ni adresu e-pošte ni broj, već je koristio alternativnu apstraktnu adresu e-pošte s nepostojećom domenom.

Kao rezultat toga, napadač može registrirati sličnu domenu i stvoriti registracijski terminal. To će mu omogućiti slanje poruka tvrtki koja posjeduje uslugu programa “B” tražeći izgubljenu lozinku. U ovom slučaju, poslužitelj će poslati poštu na postojeću adresu prevaranta, jer on ima preusmjeravanje koje radi. Kao rezultat ove operacije, prevarant ima pristup korespondenciji, otkriva druge informacije dobavljaču i kontrolira smjer tereta u smjeru nepoznatom zaposleniku.

Relevantnost revizije informacija u suvremenom svijetu postaje sve traženija, zbog sve većeg broja korisnika kako prostora World Wide Weba, tako i korištenja različitih metoda monetizacije u različitim uslugama. Tako podaci svakog korisnika postaju dostupni napadačima. Mogu se zaštititi identificiranjem izvora problema – slabih točaka protoka informacija.

U kontaktu s