Categorieën
...

Audit van informatiesystemen. Bedreigingen voor informatiebeveiliging. Informatietechnologie

Audit van informatiesystemen levert relevante en accurate gegevens over hoe IP werkt. Op basis van de verkregen gegevens is het mogelijk om activiteiten te plannen om de efficiëntie van de onderneming te verbeteren. De praktijk van het uitvoeren van een audit van een informatiesysteem is het vergelijken van de norm, de werkelijke situatie. Ze bestuderen de normen, normen, voorschriften en praktijken die van toepassing zijn in andere bedrijven. Bij het uitvoeren van een audit krijgt een ondernemer een idee van hoe zijn bedrijf verschilt van een normaal succesvol bedrijf in een vergelijkbaar gebied.

Algemeen beeld

Informatietechnologie in de moderne wereld is extreem ontwikkeld. Het is moeilijk een onderneming voor te stellen die geen informatiesystemen in dienst heeft:

  • global;
  • lokaal.

Via IP kan een bedrijf normaal functioneren en de tijd bijhouden. Dergelijke methoden zijn noodzakelijk voor een snelle en volledige uitwisseling van informatie met de omgeving, waardoor het bedrijf zich kan aanpassen aan veranderingen in infrastructuur en marktvereisten. Informatiesystemen moeten voldoen aan een aantal eisen die in de loop van de tijd veranderen (nieuwe ontwikkelingen, normen worden geïntroduceerd, bijgewerkte algoritmen worden toegepast). In ieder geval kunt u met informatietechnologie snel toegang krijgen tot bronnen, en dit probleem wordt opgelost via IP. Bovendien, moderne systemen:

  • schaalbaar;
  • flexibel;
  • betrouwbaar;
  • safe.

De belangrijkste taken van de audit van informatiesystemen zijn om vast te stellen of het geïmplementeerde IP voldoet aan de opgegeven parameters.

audit van informatiesystemen

Audit: typen

Heel vaak wordt de zogenaamde procesaudit van het informatiesysteem gebruikt. Voorbeeld: externe experts analyseren geïmplementeerde systemen op verschillen met standaarden, waaronder het bestuderen van het productieproces, waarvan de output software is.

Een audit kan worden uitgevoerd om vast te stellen hoe correct het informatiesysteem in het werk wordt gebruikt. De praktijk van de onderneming wordt vergeleken met de normen van de fabrikant en bekende voorbeelden van internationale bedrijven.

Een audit van het informatiebeveiligingssysteem van een onderneming beïnvloedt de organisatiestructuur. Het doel van een dergelijk evenement is om dunne plekken in het personeel van de IT-afdeling te vinden en problemen te identificeren, en aanbevelingen te formuleren voor hun oplossing.

Ten slotte is de audit van het informatiebeveiligingssysteem gericht op kwaliteitscontrole. Vervolgens evalueren de uitgenodigde experts de status van de processen binnen de onderneming, testen ze het geïmplementeerde informatiesysteem en trekken ze enkele conclusies over de ontvangen informatie. Het meest gebruikte model is TMMI.

Audit doelstellingen

Met een strategische audit van de status van informatiesystemen kunt u zwakke punten in het geïmplementeerde IP-adres identificeren en vaststellen waar het gebruik van technologie niet effectief was. Bij de output van een dergelijk proces krijgt de klant aanbevelingen om de tekortkomingen te verhelpen.

Met een audit kunt u evalueren hoe duur het is om wijzigingen aan te brengen in de huidige structuur en hoe lang het zal duren. Specialisten die de huidige informatiestructuur van het bedrijf bestuderen, helpen u bij het kiezen van de tools om het verbeteringsprogramma te implementeren, rekening houdend met de kenmerken van het bedrijf. Op basis van de resultaten kunt u ook een nauwkeurige beoordeling geven van de middelen die het bedrijf nodig heeft.Ze zullen worden geanalyseerd intellectuele, monetaire, productie.

maatregelen

Interne audit van informatiesystemen omvat de implementatie van activiteiten zoals:

  • IT inventaris;
  • identificatie van de belasting op informatiestructuren;
  • beoordeling van statistieken, gegevens verkregen tijdens de inventaris;
  • bepalen of de vereisten van het bedrijf en de mogelijkheden van de geïmplementeerde IP consistent zijn;
  • rapport generatie;
  • ontwikkeling van aanbevelingen;
  • formalisering van het NSI-fonds.

Auditresultaat

Een strategische audit van de status van informatiesystemen is een procedure waarmee: u de redenen kunt identificeren voor het gebrek aan effectiviteit van het geïmplementeerde informatiesysteem; het gedrag van IP voorspellen bij het aanpassen van informatiestromen (aantal gebruikers, datavolume); bieden geïnformeerde oplossingen die de productiviteit helpen verhogen (apparatuurverwerving, verbetering van het geïmplementeerde systeem, vervanging); aanbevelingen doen om de productiviteit van bedrijfsafdelingen te verbeteren en investeringen in technologie te optimaliseren. En ook om maatregelen te ontwikkelen die het kwaliteitsniveau van de dienstverlening van informatiesystemen verbeteren.

Dit is belangrijk!

Er is niet zo'n universeel IP dat bij elke onderneming past. Er zijn twee gemeenschappelijke basissen op basis waarvan u een uniek systeem kunt maken voor de vereisten van een bepaalde onderneming:

  • 1C.
  • Oracle.

Maar onthoud dat dit slechts de basis is, niet meer. Alle verbeteringen om een ​​bedrijf effectief te maken, moet u programmeren, rekening houdend met de kenmerken van een bepaalde onderneming. U moet zeker eerder ontbrekende functies invoeren en de functies uitschakelen die door de basisassemblage zijn voorzien. Moderne technologie voor het controleren van bankinformatiesystemen helpt om precies te begrijpen welke functies een IP moet hebben en wat moet worden uitgesloten, zodat het bedrijfssysteem optimaal, efficiënt, maar niet te "zwaar" is.

strategische audit van de staat van informatiesystemen

Informatiebeveiligingsaudit

Een analyse om bedreigingen voor informatiebeveiliging te identificeren kan van twee soorten zijn:

  • verschijning;
  • intern.

De eerste betreft een eenmalige procedure. Georganiseerd door het hoofd van het bedrijf. Het wordt aanbevolen om regelmatig een dergelijke maatregel te oefenen om de situatie onder controle te houden. Een aantal naamloze vennootschappen en financiële organisaties hebben de eis ingevoerd dat een externe audit van IT-beveiliging moet worden uitgevoerd.

Intern - dit zijn regelmatig uitgevoerde activiteiten die worden gereguleerd door de lokale regelgevingshandeling "Verordening inzake interne audit". Voor de vergadering wordt een jaarplan opgesteld (dit wordt opgesteld door de afdeling die verantwoordelijk is voor de audit), zegt de CEO, een andere manager. IT-audit - verschillende categorieën evenementen, beveiligingsaudit is niet de laatste in belang.

doelen

Het hoofddoel van de audit van informatiesystemen op het gebied van beveiliging is het identificeren van IP-gerelateerde risico's in verband met beveiligingsbedreigingen. Bovendien helpen evenementen bij het identificeren van:

  • zwakke punten van het huidige systeem;
  • naleving van het systeem met informatiebeveiligingsnormen;
  • beveiligingsniveau op dit moment.

Bij het uitvoeren van een beveiligingsaudit zullen aanbevelingen worden geformuleerd die de huidige oplossingen zullen verbeteren en nieuwe zullen introduceren, waardoor het huidige IP veiliger wordt en beschermd tegen verschillende bedreigingen.

beveiligingsbedreigingen

Als een interne audit wordt uitgevoerd om bedreigingen voor informatiebeveiliging te identificeren, wordt deze bovendien overwogen:

  • beveiligingsbeleid, de mogelijkheid om nieuwe te ontwikkelen, evenals andere documenten die gegevens beschermen en hun toepassing in het productieproces van de onderneming vereenvoudigen;
  • de vorming van beveiligingstaken voor medewerkers van de IT-afdeling;
  • analyse van situaties met betrekking tot schendingen;
  • training van gebruikers van het bedrijfssysteem, onderhoudspersoneel in algemene aspecten van beveiliging.

Interne audit: functies

De vermelde taken die zijn ingesteld voor werknemers bij het uitvoeren van een interne audit van informatiesystemen, zijn in wezen geen audits. Theoretisch gebeurtenissen alleen uitvoeren als een expert evalueert de mechanismen waarmee het systeem veilig is. De persoon die betrokken is bij de taak wordt een actieve deelnemer in het proces en verliest onafhankelijkheid, kan de situatie niet langer objectief beoordelen en beheersen.

Anderzijds is het in de praktijk bij een interne audit bijna onmogelijk om weg te blijven. Het feit is dat voor het uitvoeren van het werk een specialist van het bedrijf betrokken is, op andere momenten bezig is met andere taken in een vergelijkbaar veld. Dit betekent dat de auditor dezelfde medewerker is die de competentie heeft om de bovengenoemde taken op te lossen. Daarom moet u een compromis sluiten: ten koste van objectiviteit, de werknemer in de praktijk betrekken om een ​​waardig resultaat te krijgen.

Beveiligingsaudit: stappen

Deze zijn in veel opzichten vergelijkbaar met de stappen van een algemene IT-audit. onderscheiden:

  • start van evenementen;
  • verzamelen van een basis voor analyse;
  • analyse;
  • vorming van conclusies;
  • statements.

Een procedure starten

Een audit van informatiesystemen op het gebied van beveiliging begint wanneer het hoofd van het bedrijf groen licht geeft, omdat de bazen die mensen zijn die het meest geïnteresseerd zijn in een effectieve audit van de onderneming. Een audit is niet mogelijk als het management de procedure niet ondersteunt.

Audit van informatiesystemen is meestal complex. Het omvat de auditor en verschillende personen die verschillende afdelingen van het bedrijf vertegenwoordigen. Samenwerking van alle deelnemers aan de audit is belangrijk. Bij het initiëren van een audit is het belangrijk om op de volgende punten te letten:

  • documenterende taken, rechten van de auditor;
  • voorbereiding, goedkeuring van het auditplan;
  • documenteren van het feit dat werknemers verplicht zijn alle mogelijke assistentie aan de auditor te verlenen en alle door hem gevraagde gegevens te verstrekken.

Al bij het begin van de audit is het van belang vast te stellen in hoeverre de audit van informatiesystemen wordt uitgevoerd. Hoewel sommige IP-subsystemen kritisch zijn en speciale aandacht vereisen, zijn andere niet en zeer onbelangrijk, daarom is hun uitsluiting toegestaan. Er zullen zeker dergelijke subsystemen zijn, waarvan de verificatie onmogelijk zal zijn, omdat alle informatie die daar is opgeslagen vertrouwelijk is.

Plan en grenzen

Voordat met het werk wordt begonnen, wordt een lijst met bronnen gevormd die moet worden gecontroleerd. Het kan zijn:

  • informatie;
  • software;
  • technisch.

Ze identificeren op welke sites de audit wordt uitgevoerd, op welke bedreigingen het systeem wordt gecontroleerd. Er zijn organisatorische grenzen van het evenement, veiligheidsaspecten die tijdens de audit moeten worden overwogen. Er wordt een prioriteitsbeoordeling gevormd die de reikwijdte van de audit aangeeft. Dergelijke grenzen, evenals het actieplan, worden goedgekeurd door de algemeen directeur, maar worden voorlopig ingediend door het onderwerp van de algemene werkvergadering, waar afdelingshoofden, een auditor en bedrijfsmanagers aanwezig zijn.

Gegevens ophalen

Bij het uitvoeren van een beveiligingsaudit zijn de normen voor het controleren van informatiesystemen zodanig dat de fase van het verzamelen van informatie de langste en meest bewerkelijke is. IP heeft er in de regel geen documentatie voor en de auditor is gedwongen nauw samen te werken met tal van collega's.

Om de gemaakte conclusies competent te maken, moet de auditor een maximum aan gegevens ontvangen. De auditor leert over hoe het informatiesysteem is georganiseerd, hoe het functioneert en in welke staat het is uit organisatorische, administratieve, technische documentatie, in de loop van onafhankelijk onderzoek en toepassing van gespecialiseerde software.

Vereiste documenten in het werk van de auditor:

  • organisatiestructuur van afdelingen die IP bedienen;
  • organisatiestructuur van alle gebruikers.

De auditor interviewt werknemers en identificeert:

  • provider;
  • data eigenaar;
  • gebruikersgegevens.

doel van het controleren van informatiesystemen

Om dit te doen, moet u weten:

  • belangrijkste soorten IP-applicaties;
  • aantal, soorten gebruikers;
  • diensten geleverd aan gebruikers.

Als het bedrijf documenten over IP uit de onderstaande lijst heeft, is het noodzakelijk om deze aan de auditor te verstrekken:

  • beschrijving van technische methoden;
  • Beschrijving van methoden voor het automatiseren van functies;
  • functionele diagrammen;
  • werken, ontwerpdocumenten.

Identificatie van de structuur van IP

Voor correcte conclusies moet de auditor volledig inzicht hebben in de kenmerken van het informatiesysteem dat bij de onderneming is geïmplementeerd. U moet weten wat de beveiligingsmechanismen zijn, hoe deze per niveau in het systeem worden verdeeld. Om dit te doen, ontdek:

  • de aanwezigheid en kenmerken van de gebruikte componenten van het systeem;
  • component functies;
  • grafische kwaliteit;
  • input;
  • interactie met verschillende objecten (extern, intern) en protocollen, kanalen hiervoor;
  • platforms toegepast op het systeem.

Voordelen zullen regelingen opleveren:

  • structurele;
  • gegevensstromen.

structuren:

  • technische voorzieningen;
  • software;
  • informatie ondersteuning;
  • structurele componenten.

In de praktijk worden veel van de documenten direct tijdens de audit opgesteld. Informatie kan alleen worden geanalyseerd bij het verzamelen van de maximale hoeveelheid informatie.

IP-beveiligingsaudit: analyse

Er zijn verschillende technieken om de verkregen gegevens te analyseren. De keuze voor een specifieke is gebaseerd op de persoonlijke voorkeuren van de auditor en de specifieke kenmerken van een bepaalde taak.

auditnormen voor informatiesystemen

De meest complexe aanpak omvat het analyseren van risico's. Voor het informatiesysteem worden beveiligingseisen gesteld. Ze zijn gebaseerd op de kenmerken van een bepaald systeem en zijn omgeving, evenals de bedreigingen die inherent zijn aan deze omgeving. Analisten zijn het erover eens dat deze aanpak de grootste arbeidskosten en de maximale kwalificatie van de auditor vereist. Hoe goed het resultaat zal zijn, wordt bepaald door de methodiek voor het analyseren van de informatie en de toepasbaarheid van de geselecteerde opties op het type IP.

Een meer praktische optie is om toevlucht te nemen tot beveiligingsstandaarden voor gegevens. Dit zijn een aantal vereisten. Dit is geschikt voor verschillende IP's, omdat de methodiek is ontwikkeld op basis van de grootste bedrijven uit verschillende landen.

Uit de normen volgt wat de beveiligingsvereisten zijn, afhankelijk van het beschermingsniveau van het systeem en de aansluiting bij een bepaalde instelling. Veel hangt af van het doel van het IP. De hoofdtaak van de auditor is om correct te bepalen welke set beveiligingsvereisten relevant is in een bepaald geval. Kies een techniek waarmee ze evalueren of de bestaande systeemparameters aan de normen voldoen. De technologie is vrij eenvoudig, betrouwbaar en daarom wijdverbreid. Met kleine investeringen kan het resultaat nauwkeurige conclusies zijn.

Verwaarlozing is onaanvaardbaar!

De praktijk leert dat veel managers, met name kleine bedrijven, en degenen wier bedrijven al lang actief zijn en niet proberen de nieuwste technologieën onder de knie te krijgen, nogal nonchalant zijn over de audit van informatiesystemen, omdat ze zich simpelweg het belang van deze maatregel niet realiseren. Meestal daagt alleen schade aan het bedrijf de autoriteiten uit om maatregelen te nemen om te verifiëren, risico's te identificeren en de onderneming te beschermen. Anderen worden geconfronteerd met het feit dat ze klantinformatie stelen, anderen lekken uit de databases van tegenpartijen of laten informatie achter over de belangrijkste voordelen van een bepaalde entiteit. Consumenten vertrouwen het bedrijf niet meer zodra de zaak openbaar wordt gemaakt en het bedrijf lijdt meer schade dan alleen gegevensverlies.

informatietechnologie

Als er een kans is op informatielekken, is het onmogelijk om een ​​effectief bedrijf op te bouwen dat nu en in de toekomst goede kansen biedt. Elk bedrijf heeft gegevens die waardevol zijn voor derden en die moeten worden beschermd. Voor bescherming op het hoogste niveau is een audit vereist om zwakke punten te identificeren. Er moet rekening worden gehouden met internationale normen, methoden en de nieuwste ontwikkelingen.

Bij de audit:

  • het beschermingsniveau evalueren;
  • toegepaste technologieën analyseren;
  • beveiligingsdocumenten aanpassen;
  • simuleren van risicosituaties waarin datalekken mogelijk is;
  • de implementatie van oplossingen aanbevelen om kwetsbaarheden te elimineren.

Voer deze evenementen op een van de volgende drie manieren uit:

  • actief;
  • expert;
  • onthulling van naleving van normen.

Audit formulieren

Actieve audit omvat het evalueren van het systeem waar een potentiële hacker naar kijkt. Het is zijn standpunt dat auditors zichzelf 'proberen' - ze bestuderen netwerkbeveiliging, waarvoor ze gespecialiseerde software en unieke technieken gebruiken. Een interne audit is ook vereist, ook uitgevoerd vanuit het oogpunt van de vermeende dader die gegevens wil stelen of het systeem wil verstoren.

technologie voor het controleren van bankinformatiesystemen

Een expert audit controleert of het geïmplementeerde systeem ideaal is. Bij het vaststellen van de naleving van normen wordt een abstracte beschrijving van de normen waarmee het bestaande object wordt vergeleken als basis genomen.

conclusie

Correct en kwalitatief uitgevoerde audit stelt u in staat om de volgende resultaten te krijgen:

  • het minimaliseren van de kans op een succesvolle hackeraanval, schade daarvan;
  • de uitzondering van een aanval op basis van een verandering in systeemarchitectuur en informatiestromen;
  • verzekering als middel om risico's te verminderen;
  • minimalisering van risico tot een niveau waarop men volledig kan worden genegeerd.


Voeg een reactie toe
×
×
Weet je zeker dat je de reactie wilt verwijderen?
Verwijder
×
Reden voor klacht

Het meisje probeerde een maand lang geen geld uit te geven. Het experiment liet haar gemengde gevoelens achter

bedrijf

Succesverhalen

uitrusting