Mbledhja e informacionit të auditimit. Dispozitat kryesore legjislative

Sot të gjithë e dinë pothuajse një frazë të shenjtë që pronari i informacionit zotëron botën. Prandaj në ditët e sotme të gjithë dhe të gjithë përpiqen të vjedhin. Në këtë drejtim, po ndërmerren hapa të paprecedentë për zbatimin e mbrojtjes nga sulmet e mundshme. Megjithatë, ndonjëherë mund të jetë e nevojshme të kryhet një auditim i ndërmarrjes. Çfarë është dhe pse është e nevojshme e gjithë kjo, tani le të përpiqemi ta kuptojmë.

Çfarë është auditimi i sigurisë së informacionit në terma të përgjithshëm?

Tani ne nuk do të prekim terma shkencorë abstruktivë, por do të përpiqemi të përcaktojmë vetë konceptet bazë, duke i përshkruar ato në gjuhën më të thjeshtë (popullorisht kjo mund të quhet një auditim për "bedelet").

Emri i këtij grupi ngjarjesh flet vetë. Auditimi i sigurisë së informacionit është një kontroll i pavarur ose sigurimi i sigurisë së një sistemi informacioni (IS) të një ndërmarrje, institucioni ose organizate bazuar në kritere dhe tregues të zhvilluar posaçërisht.

Me fjalë të thjeshta, për shembull, një auditim i sigurisë së informacionit të një banke zbret në vlerësimin e nivelit të mbrojtjes së bazave të të dhënave të klientëve, operacioneve bankare, sigurisë së fondeve elektronike, sigurisë së sekreteve bankare, etj. në rast të ndërhyrjes në aktivitetet e një institucion nga të huajt duke përdorur pajisje elektronike dhe kompjuterike.

Me siguri, mes lexuesve do të ketë të paktën një person që është thirrur në shtëpi ose në celular me propozim për një kredi apo depozitë dhe nga një bankë me të cilën nuk është i lidhur në asnjë mënyrë. E njëjta gjë vlen edhe për ofertat e blerjeve nga disa dyqane. Nga ka ardhur numri juaj?

Është e thjeshtë. Nëse një person ka marrë më parë një kredi ose ka depozituar para në një llogari depozite, sigurisht, të dhënat e tij janë ruajtur në një të vetme. Kur telefonon nga një bankë ose dyqan tjetër, mund të nxirret përfundimi i vetëm: informacioni për të ra në mënyrë të paligjshme në të tretën duart. Si? Në përgjithësi, mund të dallohen dy opsione: ose është vjedhur ose është transferuar qëllimisht nga punonjësit e bankës te palët e treta. Që të mos ndodhin gjëra të tilla, është e nevojshme që në kohë të bëhet një auditim i sigurisë së informacionit të bankës dhe kjo vlen jo vetëm për mjetet kompjuterike apo "hardware" të mbrojtjes, por për të gjithë personelin e institucionit bankar.

Drejtimet kryesore të kontrollit të sigurisë së informacionit

Sa i përket fushës së një auditimi të tillë, si rregull, ato dallohen nga disa:

• kontroll i plotë i objekteve të përfshira në proceset e informatizimit (sistemet e automatizuara kompjuterike, mjetet e komunikimit, marrja, transmetimi dhe përpunimi i të dhënave të informacionit, mjetet teknike, ambientet për mbajtjen e takimeve konfidenciale, sistemet e vëzhgimit, etj.);
• verifikimi i besueshmërisë së mbrojtjes së informacionit konfidencial me akses të kufizuar (identifikimi i kanaleve të mundshme të rrjedhjes dhe vrimave të mundshme në sistemin e sigurisë, duke lejuar hyrjen në të nga jashtë duke përdorur metoda standarde dhe jo standarde);
• kontrollimin e të gjitha mjeteve teknike elektronike dhe sistemeve kompjuterike lokale për ekspozim ndaj rrezatimit elektromagnetik dhe ndërhyrjeve, duke i lejuar ato të fiken ose të bëhen të papërdorshme;
• pjesa e projektimit, e cila përfshin punën për krijimin e një koncepti sigurie dhe zbatimin e tij në zbatimin praktik (mbrojtja e sistemeve kompjuterike, ambienteve, objekteve të komunikimit etj.).

Kur lind nevoja për një auditim?

Përveç situatave kritike, kur mbrojtja tashmë është shkelur, auditimi i sigurisë së informacionit në një organizatë mund të kryhet në disa raste të tjera.

Si rregull, kjo përfshin zgjerimin e kompanisë, bashkimet, blerjet, blerjet nga ndërmarrje të tjera, një ndryshim në konceptin e rrjedhës së biznesit ose menaxhimit, ndryshimet në legjislacionin ndërkombëtar ose aktet ligjore brenda një vendi të caktuar, ndryshime mjaft serioze në infrastrukturën e informacionit.

Llojet e auditimit

Sot, vetë klasifikimi i këtij lloji të auditimit, sipas shumë analistëve dhe ekspertëve, nuk është i vërtetuar mirë. Prandaj, ndarja në klasa në disa raste mund të jetë shumë e kushtëzuar. Sidoqoftë, në rastin e përgjithshëm, auditimi i sigurisë së informacionit mund të ndahet në të jashtëm dhe të brendshëm.

Një auditim i jashtëm i kryer nga ekspertë të pavarur të autorizuar zakonisht është një auditim një herë që mund të inicohet nga menaxhmenti i kompanisë, aksionarët, agjencitë e zbatimit të ligjit, etj. Besohet se një auditim i jashtëm i sigurisë së informacionit rekomandohet (në vend që të kërkohet) të kryhet rregullisht për një periudhë të caktuar kohore. Por për disa organizata dhe ndërmarrje, sipas ligjit, është e detyrueshme (për shembull, institucionet dhe organizatat financiare, shoqëritë aksionare, etj.).

Siguria e informacionit është një proces i vazhdueshëm. Ai bazohet në një “Rregullor të veçantë për Auditimin e Brendshëm”. Cfare eshte? Në fakt, këto janë aktivitete vërtetimi që kryhen në organizatë, brenda afatit kohor të miratuar nga menaxhmenti. Auditimi i sigurisë së informacionit sigurohet nga njësitë e veçanta strukturore të ndërmarrjes.

Klasifikimi alternativ i llojeve të auditimit

Përveç ndarjes së përshkruar më sipër në klasa në rastin e përgjithshëm, ka disa komponentë të tjerë të miratuar në klasifikimin ndërkombëtar:

• verifikimi ekspert i gjendjes së sigurisë së informacionit dhe sistemeve të informacionit bazuar në përvojën personale të ekspertëve që e kryejnë atë;
• certifikimin e sistemeve dhe masave të sigurisë për përputhjen me standardet ndërkombëtare (ISO 17799) dhe dokumentet ligjore shtetërore që rregullojnë këtë fushë të veprimtarisë;
• analiza e sigurisë së sistemeve të informacionit duke përdorur mjete teknike që synojnë identifikimin e dobësive të mundshme në kompleksin softuer dhe harduer.

Ndonjëherë mund të aplikohet edhe i ashtuquajturi auditim gjithëpërfshirës, ​​i cili përfshin të gjitha llojet e mësipërme. Nga rruga, është ai që jep rezultatet më objektive.

Qëllimet dhe objektivat e deklaratës

Çdo kontroll, qoftë i brendshëm apo i jashtëm, fillon me përcaktimin e qëllimeve dhe objektivave. Për ta thënë thjesht, ju duhet të përcaktoni pse, çfarë dhe si do të kontrollohet. Kjo do të paracaktojë metodologjinë e mëtejshme për kryerjen e të gjithë procesit.

Detyrat e vendosura, në varësi të specifikave të strukturës së vetë ndërmarrjes, organizatës, institucionit dhe aktiviteteve të saj, mund të jenë mjaft. Megjithatë, ndër të gjitha këto, ekzistojnë objektiva të unifikuara të auditimit të sigurisë së informacionit:

• vlerësimi i gjendjes së sigurisë së informacionit dhe sistemeve të informacionit;
• analiza e rreziqeve të mundshme që lidhen me kërcënimin e depërtimit në IS nga jashtë, dhe metodat e mundshme të zbatimit të një ndërhyrjeje të tillë;
• lokalizimi i vrimave dhe vrimave në sistemin e sigurisë;
• analiza e përputhshmërisë së nivelit të sigurisë së sistemeve të informacionit me standardet dhe aktet ligjore rregullatore në fuqi;
• zhvillimi dhe nxjerrja e rekomandimeve që sugjerojnë eliminimin e problemeve ekzistuese, si dhe përmirësimin e mjeteve ekzistuese mbrojtëse dhe futjen e zhvillimeve të reja.

Metodologjia dhe mjetet e kryerjes së një auditimi

Tani disa fjalë për mënyrën se si po shkon kontrolli dhe cilat faza dhe mjete përfshin.

Auditimi i sigurisë së informacionit përbëhet nga disa faza kryesore:

• fillimi i procedurës së verifikimit (përcaktimi i qartë i të drejtave dhe përgjegjësive të auditorit, përgatitja e planit të auditimit nga auditori dhe marrëveshja e tij me menaxhmentin, zgjidhja e çështjes së fushës së studimit, vendosja e një detyrimi për punonjësit e organizatës. të ndihmojë dhe të sigurojë informacionin e nevojshëm në kohën e duhur);
• grumbullimi i të dhënave fillestare (struktura e sistemit të sigurisë, shpërndarja e mjeteve të sigurisë, nivelet e funksionimit të sistemit të sigurisë, analiza e metodave për marrjen dhe sigurimin e informacionit, përcaktimi i kanaleve të komunikimit dhe ndërveprimi i IS me strukturat e tjera, hierarkia e përdoruesve të rrjetit kompjuterik. , përcaktimi i protokolleve, etj.);
• kryerja e një kontrolli të plotë ose të pjesshëm;
• analiza e të dhënave të marra (analiza e rreziqeve të çdo lloji dhe pajtueshmëria me standardet);
• nxjerrjen e rekomandimeve për eliminimin e problemeve të mundshme;
• krijimi i dokumentacionit raportues.

Faza e parë është më e thjeshta, pasi vendimi i saj merret ekskluzivisht midis menaxhmentit të ndërmarrjes dhe auditorit. Objekti i analizës mund të rishikohet në një mbledhje të përgjithshme të punonjësve ose aksionarëve. E gjithë kjo lidhet më shumë me fushën juridike.

Faza e dytë e mbledhjes së të dhënave bazë, pavarësisht nëse është një auditim i brendshëm i sigurisë së informacionit apo një vërtetim i jashtëm i pavarur, është më intensivi me burime. Kjo për faktin se në këtë fazë është e nevojshme jo vetëm të studiohet dokumentacioni teknik në lidhje me të gjithë kompleksin softuer dhe harduer, por edhe të kryhen intervista të fokusuara ngushtë me punonjësit e kompanisë, dhe në shumicën e rasteve edhe me plotësimin e pyetësorëve të veçantë. ose pyetësorë.

Sa i përket dokumentacionit teknik, është e rëndësishme të merren të dhëna për strukturën e IP dhe nivelet prioritare të të drejtave të aksesit në të për punonjësit, për të përcaktuar softuerin në të gjithë sistemin dhe të aplikuar (sistemet operative të përdorura, aplikacionet për të bërë biznes, menaxhimi i tij dhe kontabiliteti), si dhe mjetet e instaluara për mbrojtjen e llojeve të softuerit dhe josoftuerëve (antiviruse, mure zjarri, etj.). Për më tepër, kjo përfshin një kontroll të plotë të rrjeteve dhe ofruesve që ofrojnë shërbime komunikimi (organizimi i rrjetit, protokollet e përdorura për lidhje, llojet e kanaleve të komunikimit, metodat e transmetimit dhe marrjes së rrjedhave të informacionit dhe shumë më tepër). Siç është tashmë e qartë, kjo kërkon shumë kohë.

Në fazën tjetër, përcaktohen metodat e kontrollit të sigurisë së informacionit. Ato dallohen nga tre:

• analiza e rrezikut (teknika më komplekse e bazuar në përcaktimin e auditorit për mundësinë e depërtimit në SI dhe shkeljes së integritetit të tij duke përdorur të gjitha metodat dhe mjetet e mundshme);
• vlerësimi i përputhshmërisë me standardet dhe aktet legjislative (metoda më e thjeshtë dhe praktike e bazuar në krahasimin e gjendjes aktuale dhe kërkesat e standardeve ndërkombëtare dhe dokumenteve vendase në fushën e sigurisë së informacionit);
• një metodë e kombinuar që kombinon dy të parat.

Pas marrjes së rezultateve të testit, fillon analiza e tyre. Mjetet e kontrollit të sigurisë së informacionit që përdoren për analiza mund të jenë mjaft të ndryshme. Gjithçka varet nga specifikat e ndërmarrjes, lloji i informacionit, softueri i përdorur, mjetet e sigurisë, etj. Megjithatë, siç mund ta shihni nga metoda e parë, auditori do të duhet të mbështetet kryesisht në përvojën e tij.

Dhe kjo do të thotë vetëm se ai duhet të ketë kualifikimet e duhura në fushën e teknologjisë së informacionit dhe mbrojtjes së të dhënave. Bazuar në këtë analizë, auditori llogarit rreziqet e mundshme.

Vini re se ai duhet të kuptojë jo vetëm sistemet operative ose programet e përdorura, për shembull, për biznes ose kontabilitet, por gjithashtu të kuptojë qartë se si një sulmues mund të hyjë në një sistem informacioni për të vjedhur, dëmtuar dhe shkatërruar të dhënat, për të krijuar parakushte për shkelje në punë e kompjuterëve, përhapja e viruseve ose malware.

Në bazë të analizave të kryera, eksperti nxjerr një përfundim për gjendjen e mbrojtjes dhe jep rekomandime për eliminimin e problemeve ekzistuese apo të mundshme, përmirësimin e sistemit të sigurisë etj. Në të njëjtën kohë, rekomandimet duhet të jenë jo vetëm objektive, por edhe të lidhura qartë me realitetet e specifikave të ndërmarrjes. Me fjalë të tjera, këshillat për përmirësimin e konfigurimit të kompjuterëve ose softuerit nuk pranohen. Njëlloj, kjo vlen për këshillat për largimin nga puna të punonjësve "jo të besueshëm", instalimin e sistemeve të reja të gjurmimit pa specifikuar qëllimin, vendndodhjen dhe fizibilitetin e tyre.

Bazuar në analizën e kryer, si rregull, dallohen disa grupe rreziqesh. Në të njëjtën kohë, dy tregues kryesorë përdoren për të përpiluar një raport përmbledhës: gjasat e një sulmi dhe dëmi i shkaktuar kompanisë si rezultat (humbja e aseteve, humbja e reputacionit, humbja e imazhit, etj.). Megjithatë, treguesit për grupet nuk përputhen. Kështu, për shembull, një tregues i nivelit të ulët për probabilitetin e një sulmi është më i miri. Për dëmtimin, e kundërta është e vërtetë.

Vetëm pas kësaj përpilohet një raport, në të cilin përshkruhen në detaje të gjitha fazat, metodat dhe mjetet e hulumtimit të kryer. Është rënë dakord me menaxhmentin dhe nënshkruhet nga dy palë - ndërmarrja dhe auditori. Nëse auditimi është i brendshëm, titullari i njësisë strukturore përkatëse harton një raport të tillë, pas së cilës ai nënshkruhet sërish nga titullari.

Auditimi i sigurisë së informacionit: një shembull

Më në fund, merrni parasysh shembullin më të thjeshtë të një situate që tashmë ka ndodhur. Nga rruga, mund të duket shumë e njohur për shumë njerëz.

Për shembull, një punonjës i caktuar i një kompanie blerëse në Shtetet e Bashkuara instaloi mesazherin ICQ në kompjuterin e tij (emri i punonjësit dhe emri i kompanisë nuk përmenden për arsye të dukshme). Negociatat u kryen pikërisht përmes këtij programi. Por ICQ është mjaft vulnerabël për sa i përket sigurisë. Vetë punonjësi, gjatë regjistrimit të numrit, në atë kohë ose nuk kishte një adresë e-mail, ose thjesht nuk donte ta jepte. Në vend të kësaj, ai tregoi diçka të ngjashme me një e-mail, madje edhe me një domen që nuk ekziston.

Çfarë do të bënte një sulmues? Siç tregoi kontrolli i sigurisë së informacionit, ai do të regjistronte saktësisht të njëjtin domen dhe do të krijonte një terminal tjetër regjistrimi në të, pas së cilës ai mund t'i dërgonte një mesazh kompanisë Mirabilis, e cila zotëron shërbimin ICQ, me një kërkesë për të rikuperuar fjalëkalimin për shkak të tij. humbje (që do të ishte bërë). Meqenëse serveri i marrësit nuk ishte një server poste, një ridrejtim u aktivizua në të - ridrejtimi në postën ekzistuese të sulmuesit.

Si rezultat, ai merr akses në korrespondencën me numrin e specifikuar ICQ dhe informon furnizuesin për ndryshimin e adresës së marrësit të mallrave në një vend të caktuar. Kështu, ngarkesa dërgohet në një destinacion të panjohur. Dhe ky është shembulli më i padëmshëm. Pra, huliganizëm i vogël. Po për hakerat më seriozë që janë të aftë për shumë më tepër ...

konkluzioni

Kjo është, me pak fjalë, gjithçka që lidhet me auditimin e sigurisë së IP-së. Sigurisht, jo të gjitha aspektet e tij janë prekur këtu. Arsyeja qëndron vetëm në faktin se shumë faktorë ndikojnë në vendosjen e detyrave dhe metodave të zbatimit të tij, prandaj qasja në secilin rast është rreptësisht individuale. Për më tepër, metodat dhe mjetet e kontrollit të sigurisë së informacionit mund të jenë të ndryshme për IS të ndryshëm. Megjithatë, duket se parimet e përgjithshme të kontrolleve të tilla do të bëhen të qarta për shumë të paktën në nivelin fillestar.

Një auditim është një ekzaminim i pavarur i fushave specifike të funksionimit të organizatës. Dalloni ndërmjet auditimit të jashtëm dhe atij të brendshëm. Një auditim i jashtëm është, si rregull, një ngjarje një herë e iniciuar nga menaxhmenti ose aksionarët e organizatës. Rekomandohet kryerja e auditimeve të jashtme në baza të rregullta dhe, për shembull, për shumë organizata financiare dhe shoqëri aksionare, kjo është një kërkesë e detyrueshme nga ana e themeluesve dhe aksionarëve të tyre. Auditimi i brendshëm është një veprimtari e vazhdueshme, e cila kryhet në bazë të “Rregullores për auditimin e brendshëm” dhe në përputhje me planin, përgatitja e të cilit kryhet nga departamentet e sigurisë dhe miratohet nga drejtuesit e organizatës.

Objektivat e një auditimi të sigurisë janë:

analiza e rreziqeve që lidhen me mundësinë e zbatimit të kërcënimeve të sigurisë në lidhje me burimet;

Vlerësimi i nivelit aktual të sigurisë së IP-së;

Lokalizimi i pengesave në sistemin e mbrojtjes së IP;

Vlerësimi i përputhshmërisë së SI me standardet ekzistuese në fushën e sigurisë së informacionit;

Auditimi i sigurisë së një ndërmarrje (firmë, organizatë) duhet të konsiderohet si një mjet konfidencial i menaxhimit, duke përjashtuar mundësinë e dhënies së informacionit për rezultatet e aktiviteteve të saj palëve të treta dhe organizatave për qëllime të fshehtësisë.

Sekuenca e mëposhtme e veprimeve mund të rekomandohet për kryerjen e një auditimi të sigurisë së ndërmarrjes.

1. Përgatitja për një auditim sigurie:

përzgjedhja e objektit të auditimit (kompania, ndërtesat dhe ambientet individuale, sistemet individuale ose përbërësit e tyre);

Krijimi i një ekipi audituesish ekspertë;

Përcaktimi i fushës dhe fushëveprimit të auditimit dhe përcaktimi i afateve specifike.

2. Kryerja e një auditimi:

analiza e përgjithshme e statusit të sigurisë së objektit të audituar;

Regjistrimi, grumbullimi dhe verifikimi i të dhënave statistikore dhe rezultateve të matjeve instrumentale të rreziqeve dhe kërcënimeve;

Vlerësimi i rezultateve të testit;

Hartimi i një raporti mbi rezultatet e kontrollit sipas komponentëve individualë.

3. Përfundimi i auditimit:

hartimi i një raporti përfundimtar;

Hartimi i një plani veprimi për eliminimin e pengesave dhe mangësive në garantimin e sigurisë së kompanisë.

Për të kryer me sukses një auditim sigurie, duhet:

Pjesëmarrja aktive e menaxhmentit të kompanisë në sjelljen e saj;

Objektiviteti dhe pavarësia e auditorëve (ekspertëve), kompetenca e tyre dhe profesionalizmi i lartë;

Procedura e verifikimit e strukturuar qartë;

Zbatimi aktiv i masave të propozuara për të garantuar dhe rritur sigurinë.

Auditimi i sigurisë, nga ana tjetër, është një mjet efektiv për vlerësimin e sigurisë dhe menaxhimin e rrezikut. Parandalimi i kërcënimeve të sigurisë nënkupton gjithashtu mbrojtjen e interesave ekonomike, sociale dhe informative të një ndërmarrjeje.

Kështu, mund të konkludojmë se auditimi i sigurisë po bëhet një instrument i menaxhimit ekonomik.

Në varësi të vëllimit të objekteve të analizuara të ndërmarrjes, qëllimi i auditimit përcaktohet:

Auditimi i sigurisë së të gjithë ndërmarrjes në tërësi;

Auditimi i sigurisë së ndërtesave dhe ambienteve individuale (lokale të dedikuara);

Auditimi i pajisjeve dhe mjeteve teknike të llojeve dhe llojeve të veçanta;

Auditimi i llojeve dhe fushave të caktuara të veprimtarisë: ekonomike, mjedisore, informative, financiare etj.

Duhet theksuar se auditimi nuk kryhet me iniciativën e auditorit, por me iniciativën e menaxhmentit të kompanisë, i cili në këtë çështje është aktori kryesor. Mbështetja e menaxhmentit të kompanisë është një parakusht për auditimin.

Auditimi është një grup aktivitetesh në të cilat, përveç vetë auditorit, janë të përfshirë edhe përfaqësues të shumicës së divizioneve strukturore të kompanisë. Veprimet e të gjithë pjesëmarrësve në këtë proces duhet të jenë të koordinuara. Prandaj, në fazën e fillimit të procedurës së auditimit, duhet të zgjidhen çështjet e mëposhtme organizative:

Të drejtat dhe detyrimet e auditorit duhet të përcaktohen dhe dokumentohen qartë në përshkrimet e punës së tij, si dhe në rregulloren për auditimin e brendshëm (të jashtëm);

Auditori duhet të përgatisë dhe të pajtohet me menaxhimin e planit të auditimit;

Rregullorja për auditimin e brendshëm duhet të përcaktojë, në veçanti, që punonjësit e ndërmarrjes janë të detyruar të ndihmojnë auditorin dhe të japin të gjithë informacionin e nevojshëm për auditimin.

Në fazën e fillimit të procedurës së auditimit, duhet të përcaktohet fusha e anketimit. Nëse disa nënsisteme informacioni të ndërmarrjes nuk janë mjaft kritike, ato mund të përjashtohen nga fusha e anketimit.

Nënsistemet e tjera mund të mos jenë të auditueshme për arsye konfidencialiteti.

Objekti i anketës përcaktohet në kategoritë e mëposhtme:

1. Lista e burimeve fizike, softuerike dhe informacionit të ekzaminuara.

2. Vende (lokale) që bien brenda kufijve të vrojtimit.

3. Llojet kryesore të kërcënimeve të sigurisë të konsideruara gjatë auditimit.

4. Aspektet organizative (legjislative, administrative dhe procedurale), fizike, softuerike-teknike dhe të tjera të sigurisë që duhet të merren parasysh gjatë anketës dhe prioritetet e tyre (në çfarë mase duhet të merren parasysh).

Plani i auditimit dhe kufijtë diskutohen në një takim pune, ku marrin pjesë auditorët, menaxhmenti i kompanisë dhe drejtuesit e divizioneve strukturore.

Për të kuptuar auditimin e SI si një sistem kompleks, modeli i tij konceptual, i paraqitur në Fig. 1.1. Komponentët kryesorë të procesit janë theksuar këtu:

Objekti i auditimit:

Qëllimi i auditimit:

Oriz. 1.1.

kërkesat që duhen plotësuar;

Metodat e përdorura;

Shkalla:

Interpretues;

Rendi i sjelljes.

Nga pikëpamja e organizimit të punës gjatë një auditimi IS, ekzistojnë tre faza themelore:

1. grumbullimi i informacionit;

Këto hapa diskutohen më në detaje më poshtë.

Faza e mbledhjes së informacionit të auditimit është më e vështira dhe kërkon shumë kohë. Kjo për shkak të mungesës së dokumentacionit të nevojshëm për sistemin e informacionit dhe nevojës për ndërveprim të ngushtë të auditorit me shumë zyrtarë të organizatës.

Konkluzionet kompetente në lidhje me gjendjen e punëve në kompaninë me sigurinë e informacionit mund të bëhen nga auditori vetëm nëse janë të disponueshme të gjitha të dhënat fillestare të nevojshme për analizën. Marrja e informacionit për organizimin, funksionimin dhe gjendjen aktuale të IP kryhet nga auditori gjatë intervistave të organizuara posaçërisht me personat përgjegjës të kompanisë, duke studiuar dokumentacionin teknik dhe organizativ dhe administrativ, si dhe duke hulumtuar IP. duke përdorur mjete të specializuara softuerike. Le të ndalemi se çfarë informacioni i nevojitet auditorit për analizë.

Sigurimi i sigurisë së informacionit të një organizate është një proces kompleks që kërkon organizim dhe disiplinë të qartë. Ai duhet të fillojë me përcaktimin e roleve dhe caktimin e përgjegjësive ndërmjet zyrtarëve të sigurisë së informacionit. Prandaj, pika e parë e anketës së auditimit fillon me marrjen e informacionit në lidhje me strukturën organizative të përdoruesve të IP dhe njësive të shërbimit. Në këtë drejtim, audituesi kërkon dokumentacionin e mëposhtëm:

· Diagrami i strukturës organizative të përdoruesve;

· Diagrami i strukturës organizative të njësive të shërbimit.

Zakonisht, gjatë intervistës, auditori u bën të anketuarve pyetjet e mëposhtme:

· Kush është pronari i informacionit?

· Kush është përdoruesi (konsumatori) i informacionit?

· Kush është ofruesi i shërbimit?

Qëllimi dhe parimet e funksionimit të IS përcaktojnë në masë të madhe rreziqet ekzistuese dhe kërkesat e sigurisë për sistemin. Prandaj, në fazën tjetër, auditori është i interesuar për informacion rreth qëllimit dhe funksionimit të SI. Auditori pyet të anketuarit për pyetjet e mëposhtme:

· Çfarë shërbimesh u ofrohen përdoruesve fundorë dhe si?

· Cilat janë llojet kryesore të aplikacioneve që funksionojnë në IS?

· Numri dhe llojet e përdoruesve që përdorin këto aplikacione?

Ai gjithashtu do të ketë nevojë për dokumentacionin e mëposhtëm, natyrisht, nëse ka fare në dispozicion (gjë që, në përgjithësi, nuk ndodh shpesh):

· Diagramet funksionale;

· Përshkrimi i funksioneve të automatizuara;

· Përshkrimi i zgjidhjeve kryesore teknike;

· Dokumentacion tjetër projektues dhe pune për sistemin e informacionit.

Për më tepër, auditorit i duhet informacion më i detajuar rreth strukturës së IP-së. Kjo do të bëjë të mundur të kuptohet se si kryhet shpërndarja e mekanizmave të sigurisë sipas elementëve strukturorë dhe niveleve të funksionimit të IS. Pyetjet tipike që diskutohen në këtë drejtim gjatë intervistës përfshijnë:

Nga cilat komponentë (nënsisteme) përbëhet IS?

· Funksionaliteti i komponentëve individualë?

· Ku janë kufijtë e sistemit?

· Cilat janë pikat e hyrjes?

· Si ndërvepron IP me sistemet e tjera?

· Cilat kanale komunikimi përdoren për të ndërvepruar me IS të tjera?

· Cilat kanale komunikimi përdoren për komunikimin ndërmjet komponentëve të sistemit?

· Cilat protokolle përdoren për ndërveprim?

· Çfarë softuerësh dhe platformash harduerike përdoren për të ndërtuar sistemin?

Në këtë fazë, auditori duhet të grumbullojë dokumentacionin e mëposhtëm:

· Skema strukturore e IS;

· Skema e flukseve të informacionit;

· Përshkrimi i strukturës së kompleksit të mjeteve teknike të sistemit të informacionit;

· Përshkrimi i strukturës së softuerit;

· Përshkrimi i strukturës së mbështetjes së informacionit;

· Vendosja e komponentëve të sistemit të informacionit.

Përgatitja e një pjese të konsiderueshme të dokumentacionit të IS zakonisht kryhet tashmë gjatë auditimit. Kur të përgatiten të gjitha të dhënat e nevojshme IP, përfshirë dokumentacionin, mund të vazhdoni me analizën e tyre.

Analiza e të dhënave të auditimit

Metodat e analizës së të dhënave të përdorura nga auditorët përcaktohen nga qasja e zgjedhur e auditimit, e cila mund të ndryshojë ndjeshëm.

Qasja e parë, më komplekse, bazohet në analizën e rrezikut. Bazuar në metodat e analizës së rrezikut, audituesi përcakton për IS-në e anketuar një grup individual kërkesash sigurie, i cili në masën më të madhe merr parasysh veçoritë e këtij SI, mjedisin e tij operativ dhe kërcënimet e sigurisë që ekzistojnë në këtë mjedis. Kjo qasje kërkon më shumë kohë dhe kërkon kualifikimet më të larta të një auditori. Cilësia e rezultateve të auditimit, në këtë rast, ndikohet fuqishëm nga metodologjia e përdorur për analizën dhe menaxhimin e rrezikut dhe zbatueshmëria e saj në këtë lloj IP.

Qasja e dytë, më praktike, mbështetet në përdorimin e standardeve të sigurisë së informacionit. Standardet përcaktojnë grupin bazë të kërkesave të sigurisë për një klasë të gjerë të IS, e cila është formuar si rezultat i përgjithësimit të praktikës botërore. Standardet mund të përcaktojnë grupe të ndryshme kërkesash sigurie, në varësi të nivelit të sigurisë së IS që duhet të ofrohet, përkatësisë së tij (organizata tregtare ose agjenci qeveritare), si dhe qëllimi (financa, industria, komunikimet, etj.). Në këtë rast, auditorit i kërkohet të përcaktojë saktë grupin e kërkesave të standardit, përputhshmëria me të cilën duhet të sigurohet për këtë SI. Gjithashtu nevojitet një metodologji për të vlerësuar këtë konformitet. Për shkak të thjeshtësisë së tij (grupi standard i kërkesave për auditim është tashmë i paracaktuar nga standardi) dhe besueshmërisë (standardi është një standard dhe askush nuk do të përpiqet të sfidojë kërkesat e tij), qasja e përshkruar është më e zakonshme në praktikë (veçanërisht kur kryerja e një auditimi të jashtëm). Kjo ju lejon të nxirrni përfundime të arsyeshme për gjendjen e IS me një kosto minimale të burimeve.

Qasja e tretë, më efektive, përfshin kombinimin e dy të parave. Grupi bazë i kërkesave të sigurisë për IC-të përcaktohet nga standardi. Kërkesat shtesë, duke marrë parasysh specifikat e funksionimit të këtij SI në masën maksimale të mundshme, formohen në bazë të analizës së rrezikut. Kjo qasje është shumë më e thjeshtë se e para, sepse shumica e kërkesave të sigurisë janë tashmë të përcaktuara nga standardi dhe, në të njëjtën kohë, nuk ka disavantazhin e qasjes së dytë, që është se kërkesat e standardit mund të mos marrin parasysh specifikat e IS të inspektuar.

Auditimet e sistemeve të informacionit ofrojnë të dhëna të përditësuara dhe të sakta se si funksionon IP. Bazuar në të dhënat e marra, ju mund të planifikoni aktivitete për të përmirësuar efikasitetin e ndërmarrjes. Praktika e auditimit të sistemit të informacionit - në krahasim me standardin, situatën reale. Mësoni rregulloret, standardet, rregulloret dhe praktikat që zbatohen në firmat e tjera. Kur kryen një auditim, një sipërmarrës merr një ide se si kompania e tij ndryshon nga një kompani normale e suksesshme në një fushë të ngjashme.

Ide e pergjithshme

Teknologjia e informacionit në botën moderne është jashtëzakonisht e zhvilluar. Është e vështirë të imagjinohet një ndërmarrje që nuk është e armatosur me sisteme informacioni:

• globale;
• lokal.

Është përmes IP-së që një kompani mund të funksionojë normalisht dhe të mbajë ritmin me kohën. Metodologji të tilla janë të nevojshme për shkëmbimin e shpejtë dhe të plotë të informacionit me mjedisin, i cili i lejon kompanisë t'i përshtatet ndryshimeve të infrastrukturës dhe kërkesave të tregut. Sistemet e informacionit duhet të plotësojnë një sërë kërkesash që ndryshojnë me kalimin e kohës (zhvillime të reja, futen standarde, aplikohen algoritme të përditësuara). Në çdo rast, teknologjitë e informacionit bëjnë të mundur që të bëhet aksesi i shpejtë në burime dhe kjo detyrë zgjidhet përmes IS. Përveç kësaj, sistemet moderne:

• i shkallëzuar;
• fleksibël;
• i besueshëm;
• i sigurt.

Detyrat kryesore të auditimit të sistemeve të informacionit janë të identifikojë nëse SI i zbatuar i plotëson parametrat e specifikuar.

Auditimi: llojet

I ashtuquajturi auditimi i procesit të një sistemi informacioni përdoret shumë shpesh. Shembull: specialistë të jashtëm analizojnë sistemet e zbatuara për dallimet nga standardet, duke përfshirë studimin e procesit të prodhimit, prodhimi i të cilit është softueri.

Mund të kryhet një auditim për të përcaktuar se sa saktë është përdorur sistemi i informacionit në punë. Praktika e ndërmarrjes krahasohet me standardet e prodhuesit dhe shembujt e njohur të korporatave ndërkombëtare.

Një auditim i një sistemi të sigurisë së informacionit të ndërmarrjes ndikon në strukturën organizative. Qëllimi i një eventi të tillë është gjetja e pengesave në stafin e departamentit të IT dhe identifikimi i problemeve, si dhe formimi i rekomandimeve për zgjidhjen e tyre.

Së fundi, auditimi i sistemit të sigurisë së informacionit synon kontrollin e cilësisë. Më pas ekspertët e ftuar vlerësojnë gjendjen e proceseve brenda ndërmarrjes, testojnë sistemin informativ të zbatuar dhe nxjerrin disa përfundime bazuar në informacionin e marrë. Zakonisht përdoret modeli TMMI.

Objektivat e auditimit

Një auditim strategjik i gjendjes së sistemeve të informacionit ju lejon të identifikoni dobësitë në IS të zbatuar dhe të identifikoni se ku përdorimi i teknologjive doli të ishte joefektiv. Në përfundim të një procesi të tillë, klienti do të ketë rekomandime për të eliminuar mangësitë.

Një auditim ju lejon të vlerësoni se sa e shtrenjtë do të jetë për të bërë ndryshime në strukturën ekzistuese dhe sa kohë do të marrë. Ekspertët që studiojnë strukturën aktuale të informacionit të kompanisë do t'ju ndihmojnë të zgjidhni mjetet për zbatimin e programit të përmirësimit, duke marrë parasysh specifikat e kompanisë. Bazuar në rezultatet, ju gjithashtu mund të jepni një vlerësim të saktë se sa burime i nevojiten firmës. Analizuar do të jetë intelektuali, paraja, prodhimi.

Ngjarjet

Auditimi i brendshëm i sistemeve të informacionit përfshin aktivitete të tilla si:

• inventari i TI-së;
• identifikimi i ngarkesës në strukturat e informacionit;
• vlerësimi i statistikave, të dhënave të marra gjatë inventarizimit;
• përcaktimi nëse kërkesat dhe aftësitë e biznesit të IP-së së integruar janë të përshtatshme;
• gjenerimi i një raporti;
• zhvillimi i rekomandimeve;
• formalizimi i fondit të SKZH-së.

Rezultati i auditimit

Një auditim strategjik i gjendjes së sistemeve të informacionit është një procedurë që: lejon identifikimin e arsyeve për efikasitetin e pamjaftueshëm të sistemit të informacionit të zbatuar; për të parashikuar sjelljen e IS gjatë rregullimit të rrjedhave të informacionit (numri i përdoruesve, sasia e të dhënave); të ofrojë zgjidhje të informuara që ndihmojnë në rritjen e produktivitetit (blerja e pajisjeve, përmirësimi i sistemit të zbatuar, zëvendësimi); japin rekomandime që synojnë rritjen e produktivitetit të departamenteve të kompanisë, optimizimin e investimeve në teknologji. Dhe gjithashtu për të zhvilluar masa që përmirësojnë nivelin e cilësisë së shërbimit të sistemeve të informacionit.

Është e rëndësishme!

Nuk ka IP universale që i përshtatet çdo ndërmarrje. Ekzistojnë dy baza të të dhënave të zakonshme në bazë të të cilave mund të krijoni një sistem unik për kërkesat e një ndërmarrje të caktuar:

• Orakulli.

Por mbani mend se kjo është vetëm baza, asgjë më shumë. Të gjitha përmirësimet për ta bërë biznesin efektiv duhet të programohen duke marrë parasysh specifikat e një ndërmarrje të caktuar. Me siguri do t'ju duhet të prezantoni funksionet që mungojnë më parë dhe të çaktivizoni ato të ofruara nga asambleja bazë. Teknologjia moderne për auditimin e sistemeve të informacionit bankar ndihmon për të kuptuar saktësisht se cilat veçori duhet të ketë SI dhe çfarë duhet të përjashtohet në mënyrë që sistemi i korporatës të jetë optimal, efikas, por jo shumë "i rëndë".

Auditimi i sigurisë së informacionit

Ekzistojnë dy lloje analizash për të identifikuar kërcënimet ndaj sigurisë së informacionit:

• e jashtme;
• brendshme.

E para përfshin një procedurë një herë. Organizohet nga drejtuesi i kompanisë. Rekomandohet që të praktikohet rregullisht një masë e tillë për të mbajtur situatën nën kontroll. Një sërë shoqërish aksionare dhe organizatash financiare kanë paraqitur kërkesën që një auditim i jashtëm i sigurisë së IT të jetë i detyrueshëm.

E brendshme - këto janë ngjarje të mbajtura rregullisht, të rregulluara me aktin normativ vendor "Rregullorja për auditimin e brendshëm". Për zbatim, formohet një plan vjetor (përgatitet nga departamenti përgjegjës për auditimin), i miratuar nga CEO, një menaxher tjetër. Auditimi i TI - disa kategori aktivitetesh, auditimi i sigurisë nuk është më pak i rëndësishëm.

Golat

Qëllimi kryesor i një auditimi të sistemit të informacionit nga perspektiva e sigurisë është të identifikojë rreziqet e IP-së që lidhen me kërcënimet e sigurisë. Përveç kësaj, aktivitetet ndihmojnë për të identifikuar:

• pikat e dobëta të sistemit aktual;
• pajtueshmëria e sistemit me standardet e sigurisë së informacionit;
• niveli i sigurisë në momentin aktual.

Gjatë auditimit të sigurisë, si rezultat, do të formulohen rekomandime për përmirësimin e zgjidhjeve aktuale dhe zbatimin e të rejave, duke e bërë kështu IS-në aktuale më të sigurt dhe të mbrojtur nga kërcënime të ndryshme.

Nëse një auditim i brendshëm është duke u kryer për të identifikuar kërcënimet ndaj sigurisë së informacionit, atëherë konsiderohen si më poshtë:

• politikën e sigurisë, mundësinë e zhvillimit të një të reje, si dhe dokumente të tjera për të mbrojtur të dhënat dhe për të thjeshtuar aplikimin e tyre në procesin e prodhimit të korporatës;
• formimi i detyrave të sigurisë për punonjësit e departamentit të IT;
• analiza e situatave që përfshijnë shkelje;
• trajnimin e përdoruesve të sistemit të korporatës, personelit të shërbimit në aspektet e përgjithshme të sigurisë.

Auditimi i brendshëm: veçoritë

Detyrat e listuara që u shtrohen punonjësve kur kryhet një auditim i brendshëm i sistemeve të informacionit, në thelb nuk është një auditim. Në teori, organizatori i eventit vetëm si ekspert vlerëson mekanizmat falë të cilëve sistemi është i sigurt. Personi i përfshirë në detyrë bëhet pjesëmarrës aktiv në proces dhe humbet pavarësinë, nuk mund ta vlerësojë më objektivisht situatën dhe ta kontrollojë atë.

Nga ana tjetër, në praktikë, është pothuajse e pamundur të qëndrosh mënjanë në auditimin e brendshëm. Fakti është se për të kryer punën është i përfshirë një specialist i kompanisë, herë të tjera i zënë me detyra të tjera në një zonë të ngjashme. Kjo do të thotë se auditori është i njëjti punonjës që ka kompetencën për të zgjidhur detyrat e përmendura më parë. Prandaj, duhet bërë një kompromis: në dëm të objektivitetit, përfshijeni punonjësin në praktikë për të marrë një rezultat të mirë.

Kontrolli i sigurisë: fazat

Këto janë në shumë mënyra të ngjashme me hapat e një auditimi të përgjithshëm IT. Alokoni:

• fillimi i ngjarjeve;
• mbledhja e një baze për analizë;
• analiza;
• formimi i përfundimeve;
• raportimi.

Fillimi i procedurës

Një auditim i sistemeve të informacionit në aspektin e sigurisë fillon kur drejtuesi i kompanisë jep dritën jeshile për të, pasi janë drejtuesit ata që janë më të interesuarit për një auditim efektiv të ndërmarrjes. Një auditim nuk është i mundur nëse menaxhmenti nuk e mbështet procedurën.

Auditimi i sistemeve të informacionit është zakonisht kompleks. Në të marrin pjesë një auditor dhe disa persona që përfaqësojnë departamente të ndryshme të kompanisë. Bashkëpunimi i të gjithë pjesëmarrësve në auditim është i rëndësishëm. Kur filloni një auditim, është e rëndësishme t'i kushtoni vëmendje pikave të mëposhtme:

• fiksimi dokumentar i detyrave, të drejtave të auditorit;
• përgatitja, miratimi i planit të auditimit;
• duke dokumentuar faktin se punonjësit janë të detyruar t'i ofrojnë auditorit të gjithë ndihmën e mundshme dhe të japin të gjitha të dhënat e kërkuara prej tij.

Tashmë në momentin e fillimit të auditimit, është e rëndësishme të vendosen kufijtë e auditimit të sistemeve të informacionit. Ndërsa disa nënsisteme IS janë kritike dhe kërkojnë vëmendje të veçantë, të tjerët nuk janë dhe nuk janë aq të rëndësishëm sa të përjashtohen. Me siguri do të ketë nënsisteme të tilla, verifikimi i të cilave do të jetë i pamundur, pasi të gjitha informacionet e ruajtura atje janë konfidenciale.

Plani dhe kufijtë

Para fillimit të punës, formohet një listë e burimeve që supozohet të kontrollohen. Ajo mund të jetë:

• informative;
• softuer;
• teknike.

Ato theksojnë se në cilat vende kryhet auditimi, për cilat kërcënime kontrollohet sistemi. Ka kufij organizativë të ngjarjes, aspekte sigurie që duhet të merren parasysh gjatë auditimit. Një vlerësim prioritar formohet me një tregues të fushës së kontrollit. Kufij të tillë, si dhe plani i ngjarjes, miratohen nga drejtori i përgjithshëm, por paraprakisht nxirren nga tema e mbledhjes së përgjithshme të punës, ku janë të pranishëm drejtuesit e departamenteve, auditori dhe drejtuesit e shoqërisë. .

Marrja e të dhënave

Gjatë kryerjes së një auditimi sigurie, standardet për auditimin e sistemeve të informacionit janë të tilla që faza e mbledhjes së informacionit rezulton të jetë më e mundimshme dhe më e mundimshme. Si rregull, IS nuk ka dokumentacion për të dhe auditori detyrohet të punojë ngushtë me kolegë të shumtë.

Në mënyrë që konkluzionet e nxjerra të jenë kompetente, auditori duhet të marrë sa më shumë të dhëna të jetë e mundur. Auditori mëson se si është i organizuar sistemi i informacionit, si funksionon dhe në çfarë gjendje është nga dokumentacioni organizativ, administrativ, teknik, gjatë hulumtimit të pavarur dhe aplikimit të softuerit të specializuar.

Dokumentet e nevojshme për punën e auditorit:

• struktura organizative e departamenteve që i shërbejnë IS;
• struktura organizative e të gjithë përdoruesve.

Auditori interviston punonjësit, duke identifikuar:

• ofruesi;
• pronari i të dhënave;
• të dhënat e përdoruesit.

Për ta bërë këtë, duhet të dini:

• llojet kryesore të aplikacioneve IP;
• numri, llojet e përdoruesve;
• shërbimet e ofruara për përdoruesit.

Nëse kompania ka dokumente IP nga lista e mëposhtme, sigurohuni që t'ia jepni ato auditorit:

• përshkrimi i metodologjive teknike;
• përshkrimi i metodave për automatizimin e funksioneve;
• diagramet funksionale;
• pune, dokumente projekti.

Zbulimi i strukturës së IP-së

Për konkluzione të sakta, auditori duhet të ketë kuptimin më të plotë të veçorive të sistemit të informacionit të zbatuar në ndërmarrje. Duhet të dini se cilët janë mekanizmat e sigurisë, si shpërndahen në sistem sipas niveleve. Për ta bërë këtë, zbuloni:

• prania dhe karakteristikat e komponentëve të sistemit të përdorur;
• funksionet e komponentëve;
• cilësi grafike;
• inputet;
• ndërveprimi me objekte të ndryshme (të jashtme, të brendshme) dhe protokolle, kanale për këtë;
• platformat e përdorura për sistemin.

Skemat do të sjellin përfitime:

• strukturore;
• rrjedhat e të dhënave.

Strukturat:

• mjete teknike;
• mbështetje informative;
• komponentët strukturorë.

Në praktikë, shumë nga dokumentet përgatiten drejtpërdrejt gjatë auditimit. Është e mundur të analizohet informacioni vetëm kur grumbullohet sasia maksimale e informacionit.

Auditimi i Sigurisë IP: Analiza

Ekzistojnë disa teknika që përdoren për të analizuar të dhënat e marra. Zgjedhja në favor të një specifike bazohet në preferencat personale të auditorit dhe specifikat e një detyre specifike.

Qasja më e sofistikuar përfshin analizimin e rreziqeve. Kërkesat e sigurisë janë formuar për sistemin e informacionit. Ato bazohen në karakteristikat e një sistemi të caktuar dhe mjedisin e tij, si dhe në kërcënimet e natyrshme në këtë mjedis. Analistët pajtohen se kjo qasje kërkon më së shumti punë dhe kualifikime maksimale të auditorit. Sa i mirë do të jetë rezultati përcaktohet nga metodologjia e analizës së informacionit dhe zbatueshmëria e opsioneve të zgjedhura për llojin e IP.

Një opsion më praktik do të ishte referimi ndaj standardeve të sigurisë së të dhënave. Këto përcaktojnë një sërë kërkesash. Kjo është e përshtatshme për IP të ndryshme, pasi metodologjia është zhvilluar në bazë të firmave më të mëdha nga vende të ndryshme.

Nga standardet rrjedh se cilat janë kërkesat e sigurisë, në varësi të nivelit të mbrojtjes së sistemit dhe përkatësisë së tij në një ose një institucion tjetër. Shumë varet nga qëllimi i IP-së. Detyra kryesore e auditorit është të përcaktojë saktë se cili grup kërkesash sigurie është i rëndësishëm në një rast të caktuar. Zgjidhet një metodë me të cilën vlerësohet nëse parametrat e disponueshëm të sistemit përmbushin standardet. Teknologjia është mjaft e thjeshtë, e besueshme dhe për këtë arsye e përhapur. Me një investim të vogël, mund të merrni përfundime të sakta si rezultat.

Është e papranueshme të neglizhosh!

Praktika tregon se shumë menaxherë, veçanërisht të firmave të vogla, si dhe ata, kompanitë e të cilëve kanë funksionuar për një kohë të gjatë dhe nuk kërkojnë të zotërojnë të gjitha teknologjitë më të fundit, janë mjaft neglizhentë në auditimin e sistemeve të informacionit, pasi ata thjesht nuk e bëjnë këtë. kuptojnë rëndësinë e kësaj mase. Zakonisht, vetëm dëmtimi i biznesit i shtyn autoritetet të marrin masa për verifikimin, identifikimin e rreziqeve dhe mbrojtjen e ndërmarrjes. Të tjerë përballen me faktin se vjedhin të dhëna për klientelën, të tjerë kanë rrjedhje nga bazat e të dhënave të palëve ose informacione për avantazhet kryesore të një subjekti të caktuar po largohen. Konsumatorët humbasin besimin në një kompani sapo një rast bëhet publik, dhe kompania pëson më shumë dëme sesa thjesht humbje të të dhënave.

Nëse ekziston mundësia e rrjedhjes së informacionit, është e pamundur të ndërtohet një biznes efektiv që ka mundësi të mira tani dhe në të ardhmen. Çdo kompani ka të dhëna që janë të vlefshme për palët e treta dhe ato duhet të mbrohen. Që mbrojtja të jetë në nivelin më të lartë, është i nevojshëm një auditim për të identifikuar dobësitë. Duhet të ketë parasysh standardet ndërkombëtare, metodat, zhvillimet më të fundit.

Gjatë auditimit:

• të vlerësojë nivelin e mbrojtjes;
• analizojnë teknologjitë e aplikuara;
• rregulloni dokumentet e sigurisë;
• simulimi i situatave të rrezikut në të cilat rrjedhja e të dhënave është e mundur;
• rekomandojnë zbatimin e zgjidhjeve për eliminimin e dobësive.

Këto ngjarje kryhen në një nga tre mënyrat:

• aktive;
• ekspert;
• identifikimin e përputhshmërisë me standardet.

Formularët e auditimit

Një auditim aktiv përfshin vlerësimin e sistemit që po shikon një haker i mundshëm. Është pikëpamja e tij që auditorët "provojnë" veten e tyre - ata studiojnë mbrojtjen e rrjetit, për të cilin përdorin softuer të specializuar dhe metoda unike. Kërkohet gjithashtu një audit i brendshëm, i kryer edhe nga këndvështrimi i kriminelit të dyshuar që dëshiron të vjedhë të dhëna ose të prishë funksionimin e sistemit.

Gjatë një auditimi ekspert, ata kontrollojnë se si sistemi i zbatuar korrespondon me atë ideal. Kur identifikohet pajtueshmëria me standardet, merret si bazë një përshkrim abstrakt i standardeve me të cilat krahasohet objekti ekzistues.

konkluzioni

Auditimi i kryer në mënyrë korrekte dhe efikase ju lejon të merrni rezultatet e mëposhtme:

• minimizimi i gjasave të një sulmi të suksesshëm hakeri, dëmtimi prej tij;
• përjashtimi i një sulmi bazuar në ndryshimet në arkitekturën e sistemit dhe rrjedhat e informacionit;
• sigurimi si mjet për reduktimin e rreziqeve;
• minimizimi i rrezikut në një nivel ku nuk mund të merret fare parasysh.

Fraza e shenjtë - "posedim informacioni - zotërim i botës" është e rëndësishme si kurrë më parë. Prandaj, sot "vjedhja e informacionit" është e natyrshme në shumicën e keqbërësve. Kjo mund të shmanget duke futur një sërë mbrojtjesh kundër sulmeve, si dhe duke kryer një auditim të sigurisë së informacionit në kohën e duhur. Auditimi i sigurisë së informacionit është një koncept i ri, i cili nënkupton një fushë zhvillimi urgjente dhe dinamike të menaxhimit operacional dhe strategjik, që ka të bëjë me sigurinë e një sistemi informacioni.

Auditimi i informacionit – bazat teorike

Vëllimi i informacionit në botën moderne po rritet me shpejtësi, pasi ka një tendencë për globalizimin e përdorimit të teknologjisë kompjuterike në të gjithë botën në të gjitha shtresat e shoqërisë njerëzore. Në jetën e një personi të zakonshëm, teknologjia e informacionit është komponenti kryesor.

Kjo shprehet në përdorimin e internetit, si për qëllime pune, ashtu edhe për lojëra dhe argëtim. Paralelisht me zhvillimin e teknologjisë së informacionit, fitimi i parave i shërbimeve po rritet, dhe rrjedhimisht edhe koha e shpenzuar për kryerjen e transaksioneve të ndryshme të pagesave duke përdorur kartat plastike. Këto përfshijnë pagesa pa para për mallra dhe shërbime të ndryshme të konsumuara, transaksione në sistemin e pagesave bankare në internet, këmbim valutor dhe transaksione të tjera pagese. E gjithë kjo ndikon në hapësirën në rrjetin botëror, duke e bërë atë më të madhe.

Ka gjithashtu më shumë informacion për mbajtësit e kartës. Kjo është baza për zgjerimin e fushës së veprimtarisë së mashtruesve të cilët sot arrijnë të kryejnë një masë kolosale sulmesh, ndër të cilat janë sulmet e ofruesit të shërbimit dhe të përdoruesit përfundimtar. Në rastin e fundit, sulmi mund të parandalohet duke përdorur softuerin e duhur, por nëse ka të bëjë me shitësin, është e nevojshme të përdoren një sërë masash që minimizojnë ndërprerjet në punë, rrjedhjen e të dhënave, hakimet e shërbimit. Kjo bëhet nëpërmjet kryerjes në kohë të një auditimi të sigurisë së informacionit.

Detyra e ndjekur nga auditimi i informacionit qëndron në vlerësimin në kohë dhe të saktë të gjendjes së sigurisë së informacionit në momentin aktual të një subjekti të caktuar biznesi, si dhe në përputhjen me qëllimin dhe objektivat e përcaktuara të kryerjes së aktiviteteve, me ndihmën e të cilave fitimi dhe efikasiteti i aktivitetit ekonomik duhet të rritet.

Me fjalë të tjera, një auditim i sigurisë së informacionit është një kontroll i një burimi të veçantë për aftësinë e tij për t'i bërë ballë kërcënimeve të mundshme ose reale.

• Auditimi i sigurisë së informacionit ka objektivat e mëposhtëm:
• Vlerësoni gjendjen e sistemit të informacionit për sigurinë.
• Identifikimi analitik i rreziqeve të mundshme që lidhen me depërtimin e jashtëm në rrjetin e informacionit.
• Identifikimi i lokalizimit të vrimave të sigurisë.
• Identifikimi analitik i përputhshmërisë ndërmjet nivelit të sigurisë dhe standardeve aktuale të kuadrit ligjor.
• Nisja e metodave të reja të mbrojtjes, zbatimi i tyre në praktikë, si dhe krijimi i rekomandimeve me ndihmën e të cilave do të përmirësohen problemet e mjeteve mbrojtëse, si dhe kërkimi i zhvillimeve të reja në këtë drejtim.

Auditimi zbatohet kur:

• Kontroll i plotë i objektit që është i përfshirë në procesin e informacionit. Në veçanti, bëhet fjalë për sistemet kompjuterike, sistemet e komunikimit, gjatë marrjes, transmetimit, si dhe përpunimit të të dhënave të një sasie të caktuar informacioni, mjeteve teknike, sistemeve të mbikëqyrjes etj.
• Një kontroll i plotë i mjeteve teknike elektronike, si dhe i sistemeve kompjuterike për efektet e rrezatimit dhe interferencave, të cilat do të kontribuojnë në mbylljen e tyre.
• Gjatë kontrollit të pjesës së projektimit, e cila përfshin punën për krijimin e strategjive të sigurisë, si dhe zbatimin e tyre praktik.
• Verifikimi i plotë i besueshmërisë së mbrojtjes së informacionit konfidencial, aksesi në të cilin është i kufizuar, si dhe identifikimi i "vrimave" përmes të cilave bëhet publik ky informacion duke përdorur masa standarde dhe jo standarde.

Kur lind nevoja për një auditim?

Është e rëndësishme të theksohet se nevoja për të kryer një auditim informacioni lind në rast të shkeljes së mbrojtjes së të dhënave. Gjithashtu, kontrolli rekomandohet për:

• Bashkimi i shoqërisë.
• Zgjerimi i biznesit.
• Marrja ose përkatësia.
• Ndryshimi i lidershipit.

Llojet e auditimit të sistemeve të informacionit

Sot ka një auditim informacioni të jashtëm dhe të brendshëm.

Auditimi i jashtëm karakterizohet nga përfshirja e ekspertëve të jashtëm, të pavarur, të cilët kanë të drejtë të kryejnë aktivitete të tilla. Si rregull, ky lloj kontrolli është i një natyre një herë dhe inicohet nga drejtuesi i ndërmarrjes, aksionari ose agjencitë ligjzbatuese. Një auditim i jashtëm është fakultativ dhe me shumë mundësi rekomandohet. Megjithatë, ka nuanca, të parashikuara në legjislacion, në të cilat një auditim i jashtëm i sigurisë së informacionit është i detyrueshëm. Për shembull, institucionet financiare, shoqëritë aksionare dhe organizatat financiare i nënshtrohen ligjit.

Auditimi i brendshëm i sigurisë së flukseve të informacionit është një proces i vazhdueshëm, kryerja e të cilit rregullohet nga dokumenti përkatës “Rregullorja për kryerjen e auditimit të brendshëm”. Kjo ngjarje, në kuadër të shoqërisë, ka karakter vërtetues, sjellja e së cilës rregullohet me urdhrin përkatës për ndërmarrjen. Nëpërmjet auditimit të brendshëm, kompania pajiset me një njësi të veçantë në kompani.

Auditimi klasifikohet gjithashtu si:

• Ekspert.
• Certifikimin.
• analitike.

Eksperti përfshin kontrollin e statusit të mbrojtjes së flukseve dhe sistemeve të informacionit, të cilat bazohen në përvojën e ekspertëve dhe atyre që kryejnë këtë kontroll.

Lloji i verifikimit të kontrollit ka të bëjë me sistemet, si dhe masat e sigurisë, veçanërisht përputhshmërinë e tyre me standardet e pranuara në shoqërinë ndërkombëtare, si dhe dokumentet përkatëse shtetërore që rregullojnë bazën ligjore të këtij aktiviteti.

Lloji analitik i auditimit ka të bëjë me kryerjen e një analize të thelluar të sistemit të informacionit, duke përdorur pajisje teknike. Këto veprime duhet të synojnë identifikimin e dobësive në kompleksin e harduerit dhe softuerit.

Metodologjia dhe mjetet e auditimit në praktikë

Auditimi kryhet në faza dhe përfshin:

Faza e parë konsiderohet më e lehta. Ai përcakton të drejtat dhe përgjegjësitë e auditorit, zhvillimin e një plani veprimi hap pas hapi dhe koordinimin me menaxhmentin. Në të njëjtën kohë, në mbledhjen e punonjësve, përcaktohen kufijtë e analizës.

Në fazën e dytë, aplikohen vëllime të mëdha të konsumit të burimeve. Kjo justifikohet me faktin se po studiohet i gjithë dokumentacioni teknik që ka të bëjë me kompleksin e harduerit dhe softuerit.

Faza e tretë kryhet duke përdorur një nga tre metodat, përkatësisht:

• Analiza e riskut.
• Analiza e përputhshmërisë me standardet dhe legjislacionin.
• Kombinimet e analizës së rrezikut dhe pajtueshmërisë ligjore.

Faza e katërt ju lejon të sistemoni të dhënat e marra dhe të bëni analiza të thella. Në këtë rast, inspektori duhet të jetë kompetent për këtë çështje.

Si të kaloni në mënyrë që të mos ketë probleme? Për çfarë shërben një kontroll i tillë? Artikulli ynë do t'ju tregojë për këtë.

Çfarë është një auditim dhe çfarë lloje të auditimit ekzistojnë? Është shkruar për këtë.

Do të mësoni se çfarë është një kontroll tatimor dhe për çfarë qëllimesh nevojitet.

Pas inspektimit, duhet të nxirret një përfundim, i cili pasqyrohet në dokumentin përkatës të raportimit. Raporti, si rregull, pasqyron informacionin e mëposhtëm:

1. Rregullat e auditimit.
2. Struktura e sistemit të rrjedhës së informacionit në ndërmarrje.
3. Cilat metoda dhe mjete janë përdorur për të kontrolluar
4. Një përshkrim i saktë i dobësive dhe dobësive, duke marrë parasysh rrezikun dhe nivelin e dobësisë.
5. Veprimet e rekomanduara për të eliminuar vendet e rrezikshme, si dhe për të përmirësuar kompleksin e të gjithë sistemit.
   Këshillat reale praktike, me ndihmën e të cilave duhet të zbatohen masat, synojnë minimizimin e rreziqeve që janë identifikuar gjatë auditimit.

Auditimi i sigurisë së informacionit në praktikë

Në praktikë, një shembull mjaft i zakonshëm i padëmshëm është një situatë në të cilën punonjësi A, i angazhuar në prokurimin e pajisjeve tregtare, negocioi duke përdorur një program të caktuar "B".

Në të njëjtën kohë, vetë programi është i prekshëm, dhe gjatë regjistrimit, punonjësi nuk tregoi as një adresë emaili dhe as një numër, por përdori një adresë postare abstrakte alternative me një domen joekzistent.

Si rezultat, një sulmues mund të regjistrojë një domen të ngjashëm dhe të krijojë një terminal regjistrimi. Kjo do t'i lejojë atij t'i dërgojë mesazhe kompanisë që zotëron shërbimin e programit "B", me një kërkesë për të dërguar fjalëkalimin e humbur. Në këtë rast, serveri do të dërgojë postë në adresën ekzistuese të mashtruesit, pasi ka një ridrejtim. Si rezultat i këtij operacioni, mashtruesi ka qasje në korrespondencë, zbulon të dhëna të tjera informacioni te furnizuesi dhe menaxhon drejtimin e ngarkesës në një drejtim të panjohur për punonjësin.

Rëndësia e auditimit të informacionit në botën moderne po bëhet gjithnjë e më e kërkuar, në funksion të rritjes së numrit të përdoruesve, si në hapësirën botërore të internetit, ashtu edhe përdorimit të metodave të ndryshme të fitimit të parave në shërbime të ndryshme. Kështu, të dhënat e çdo përdoruesi bëhen të disponueshme për ndërhyrës. Ato mund të mbrohen duke identifikuar burimin e problemit - pikat e dobëta të rrjedhës së informacionit.

Në kontakt me