Axborot xavfsizligi auditi korxonalarni samarali himoya qilish uchun asosdir. Sinovlar ustida ishlash bosqichlari taqdim etadi. auditni kompaniyamizga ishonib topshirish uchun sabablar

Windows 10

Ko'plab ishbilarmonlar o'z kompaniyalarini sir tutishga harakat qilishadi. Bu yuqori texnologiyalar asri bo'lgani uchun buni amalga oshirish juda qiyin. Deyarli har bir kishi o'zlarini korporativ va shaxsiy ma'lumotlarning tarqalishidan himoya qilishga harakat qilmoqda, ammo sir emaski, mutaxassisga kerakli ma'lumotlarni topish qiyin bo'lmaydi. Ayni paytda bunday hujumlardan himoya qilishning juda oz usullari mavjud. Ammo bunday xavfsizlik tizimining samaradorligini tekshirish uchun axborot xavfsizligi auditini o'tkazish kerak.

Audit nima?

"Auditorlik faoliyati to'g'risida" Federal qonunga muvofiq, auditorlik tekshiruvi o'z ichiga oladi turli xil usullar va usullar, shuningdek tekshiruvlarni amaliy amalga oshirish. Korxonaning axborot xavfsizligiga kelsak, bu tizimning holatini, shuningdek uning belgilangan talablarga muvofiqligi darajasini mustaqil baholashdir. Imtihonlar buxgalteriya hisobi va soliq hisoboti, iqtisodiy qo'llab-quvvatlash va moliyaviy-xo'jalik faoliyati bo'yicha o'tkaziladi.

Bunday chek nima uchun kerak?

Ba'zilar bunday tadbirlarni pulni behuda sarflash deb hisoblashadi. Biroq, ushbu sohadagi muammolarni o'z vaqtida aniqlash orqali, bundan ham ko'proq iqtisodiy yo'qotishlarning oldini olish mumkin. Axborot xavfsizligi auditining maqsadlari quyidagilardan iborat:

  • himoya darajasini aniqlash va uni kerakli darajaga etkazish;
  • tashkilotning maxfiyligini ta'minlash nuqtai nazaridan moliyaviy masalani hal qilish;
  • ushbu sohaga investitsiyalar kiritish maqsadga muvofiqligini namoyish etish;
  • xavfsizlik xarajatlaridan maksimal foyda olish;
  • ichki kuchlar, nazorat vositalari samaradorligini tasdiqlash va ularning biznes yuritishda aks etishi.

Korxonada axborot xavfsizligi qanday tekshiriladi?

Axborot xavfsizligini kompleks tekshiruvi bir necha bosqichda amalga oshiriladi. Jarayon tashkiliy va instrumental bo'linadi. Kompleksning ikkala qismi doirasida mijozning korporativ axborot tizimining xavfsizligini o'rganish, so'ngra - belgilangan me'yor va talablarga muvofiqligini aniqlash amalga oshiriladi. Axborot xavfsizligi auditi quyidagi bosqichlarga bo'linadi:

  1. Mijozlarning talablarini va bajariladigan ishlar hajmini aniqlash.
  2. O'qish zarur materiallar va xulosalar chiqarish.
  3. Mumkin bo'lgan xatarlarni tahlil qilish.
  4. Amalga oshirilgan ishlar bo'yicha ekspert xulosasi va tegishli hukmni chiqarish.


Axborot xavfsizligi auditining birinchi bosqichiga nimalar kiradi?

Axborot xavfsizligini tekshirish dasturi mijoz tomonidan talab qilinadigan ish hajmini belgilash bilan aniq boshlanadi. Mijoz o'zining fikri va maqsadini bildiradi, u ekspert baholash uchun murojaat qilgan.

Ushbu bosqichda mijoz tomonidan taqdim etilgan umumiy ma'lumotlarni tekshirish boshlanadi. Ular qo'llaniladigan usullarni va rejalashtirilgan tadbirlar majmuasini tavsiflaydi.

Ushbu bosqichdagi asosiy vazifa - aniq maqsadni belgilash. Mijoz va auditorlik tekshiruvini o'tkazuvchi tashkilot bir-birini tushunishi, umumiy fikrda kelishishi kerak. Shundan so'ng komissiya tuziladi, uning tarkibiga tegishli mutaxassislar tanlanadi. Kerakli texnik topshiriq, shuningdek mijoz bilan alohida kelishilgan.

Ko'rinishidan, ushbu tadbir faqat axborot xurujlaridan himoya qiluvchi tizimning holatini aks ettirishi kerak. Ammo tekshiruvning yakuniy natijalari turlicha bo'lishi mumkin. Ba'zilar mijozning kompaniyasining himoya vositalari haqida to'liq ma'lumotga qiziqish bildirsa, boshqalari faqat individual axborot texnologiyalari liniyalarining samaradorligi bilan qiziqishadi. Baholash usullari va vositalarini tanlash talablarga bog'liq. Maqsadni belgilash ekspert komissiyasining keyingi faoliyatiga ham ta'sir qiladi.

Aytmoqchi, ishchi guruh tarkibiga ikkita tashkilot - auditorlik tekshiruvini olib boruvchi firma va tekshirilayotgan tashkilot xodimlaridan iborat. Darhaqiqat, boshqa hech kimga o'xshamagan ikkinchisi, o'z muassasasining nozik tomonlarini biladi va har tomonlama baholash uchun zarur bo'lgan barcha ma'lumotlarni taqdim etishi mumkin. Shuningdek, ular ijro etuvchi kompaniya xodimlarining ishi ustidan nazoratni amalga oshiradilar. Tekshirish natijalarini taqdim etishda ularning fikri ham hisobga olinadi.

Korxonaning axborot xavfsizligi bo'yicha auditorlik tadqiqotlarini olib boradigan firma mutaxassislari mavzular... Ular tegishli malaka darajasiga, shuningdek mustaqil va xolis fikrga ega bo'lib, himoya vositalari ishining holatini aniqroq baholay olishadi. Mutaxassislar o'z faoliyatini rejalashtirilgan ish rejasi va belgilangan vazifalarga muvofiq ravishda olib boradilar. Ular texnik jarayonlarni rivojlantiradi va olingan natijalar bo'yicha kelishib oladi.

Texnik topshiriqlar auditor ishining maqsadlarini aniq belgilaydi, uni amalga oshirish usullarini belgilaydi Shuningdek, tekshiruv vaqtini ham aniqlab beradi, hattoki har bir bosqichning o'z davri bo'lishi mumkin.

Ushbu bosqichda tekshirilayotgan muassasaning xavfsizlik xizmati bilan ham aloqa o'rnatiladi. Auditorlik firmasi audit natijalarini oshkor qilmaslikka va'da beradi.

Ikkinchi bosqich qanday amalga oshiriladi?

Ikkinchi bosqichda korxonaning axborot xavfsizligi auditi bu baholash uchun zarur bo'lgan batafsil ma'lumot to'plamidir. Dastlab, maxfiylik siyosatini amalga oshirishga qaratilgan umumiy tadbirlar majmuasi ko'rib chiqiladi.

Ma'lumotlarning aksariyati elektron shaklda takrorlanadi yoki umuman olganda kompaniya o'z faoliyatini faqat axborot texnologiyalari, keyin ham dasturiy ta'minot... Jismoniy xavfsizlik ham tahlil qilinmoqda.

Ushbu bosqichda mutaxassislar muassasa ichida axborot xavfsizligi qanday saqlanishi va tekshirilishini ko'rib chiqish va baholash bilan shug'ullanadilar. Buning uchun himoya tizimining ishlashini tashkil etish, shuningdek, uni ta'minlash uchun texnik imkoniyatlar va shartlar tahlil qilishga imkon beradi. Oxirgi nuqtaga alohida e'tibor qaratiladi, chunki firibgarlar ko'pincha texnik qism orqali himoya teshiklarini topadilar. Shu sababli, quyidagi fikrlar alohida ko'rib chiqiladi:

Ushbu bosqichda korxonaning axborot xavfsizligi auditi xulosa qilish va bajarilgan ishlar bo'yicha natijalarni hisobot shaklida ifodalash bilan yakunlanadi. Auditning keyingi bosqichlarini amalga oshirish uchun asos bo'lgan hujjatlashtirilgan xulosalar.

Mumkin bo'lgan xatarlar qanday tahlil qilinadi?

Haqiqiy tahdidlar va ularning oqibatlarini aniqlash maqsadida tashkilotlarning axborot xavfsizligi auditi ham amalga oshiriladi. Ushbu bosqich oxirida axborot xurujlaridan qochish yoki hech bo'lmaganda minimallashtirishga imkon beradigan chora-tadbirlar ro'yxati shakllantirilishi kerak.

Maxfiylik buzilishini oldini olish uchun avvalgi qadam oxirida olingan hisobotni tahlil qilishingiz kerak. Buning yordamida firma makoniga haqiqiy bosqin qilish mumkinmi yoki yo'qligini aniqlash mumkin. Mavjud texnik himoya vositalarining ishonchliligi va ishlashi to'g'risida hukm chiqarildi.

Barcha tashkilotlarning ish yo'nalishlari har xil bo'lgani uchun, xavfsizlik talablari ro'yxati bir xil bo'lishi mumkin emas. Tekshirilayotgan muassasa uchun individual ravishda ro'yxat tuziladi.

Ushbu bosqichda zaif tomonlar ham aniqlanadi, mijozga potentsial tajovuzkorlar va yaqinlashib kelayotgan tahdidlar to'g'risidagi ma'lumotlar taqdim etiladi. Ikkinchisi ovni qaysi tomondan kutish kerakligini bilish va bunga ko'proq e'tibor berish uchun kerak.

Shuningdek, mijoz uchun ekspert komissiyasining ish olib borgan yangiliklari va natijalari qanchalik samarali bo'lishini bilish muhimdir.

Mumkin bo'lgan xatarlarni tahlil qilish quyidagi maqsadlarga ega:

  • axborot manbalarining tasnifi;
  • ish jarayonidagi zaif tomonlarni aniqlash;
  • mumkin bo'lgan firibgarning prototipini tuzish.

Tahlil va audit sizga axborot hujumlari qanchalik muvaffaqiyatli ekanligini aniqlashga imkon beradi. Buning uchun zaif tomonlarning tanqidiyligi va ulardan noqonuniy maqsadlarda foydalanish usullari baholanadi.

Tekshiruvning yakuniy bosqichi qanday?

Yakuniy bosqich ish natijalarini yozish bilan tavsiflanadi. Olingan hujjat auditorlik xulosasi deb nomlanadi. Bu tekshirilayotgan shaxsning xavfsizligining umumiy darajasi to'g'risida xulosani kuchaytiradi. Shuningdek, axborot texnologiyalari tizimining xavfsizlik bilan bog'liq samaradorligi tavsifi mavjud. Shuningdek, hisobotda yuzaga kelishi mumkin bo'lgan tahdidlar to'g'risida ko'rsatma berilgan va ehtimoliy tajovuzkorning modeli tasvirlangan. Shuningdek, u ichki va tashqi omillar tufayli ruxsatsiz kirib kelish imkoniyatini belgilaydi.

Axborot xavfsizligi auditi standartlari nafaqat davlatni baholashni, balki zarur choralar bo'yicha ekspert komissiyasiga tavsiyalar berishni ham ta'minlaydi. Aynan mutaxassislar kompleks ishlarni amalga oshirdilar, axborot infratuzilmasini tahlil qildilar va axborot o'g'irlanishidan himoya qilish uchun nima qilish kerakligini ayta oladilar. Ular kuchaytirilishi kerak bo'lgan joylarni ko'rsatib beradi. Shuningdek, mutaxassislar texnologik qo'llab-quvvatlash, ya'ni uskunalar, serverlar va xavfsizlik devorlari bo'yicha ko'rsatmalar berishadi.

Tavsiyalar tarmoq qurilmalari va serverlari konfiguratsiyasiga kiritilishi kerak bo'lgan o'zgarishlarni anglatadi. Ehtimol, ko'rsatmalar to'g'ridan-to'g'ri tanlangan xavfsizlik usullari bilan bog'liq bo'lishi mumkin. Agar kerak bo'lsa, mutaxassislar himoya qilishni ta'minlaydigan mexanizmlarni yanada kuchaytirishga qaratilgan chora-tadbirlar majmuini belgilaydilar.

Shuningdek, kompaniya maxsus tushuntirish ishlarini olib borishi, maxfiylikka qaratilgan siyosat ishlab chiqishi kerak. Ehtimol, xavfsizlik xizmatida islohotlar bo'lishi kerak. Muhim nuqta - bu kompaniyaning xavfsizligi to'g'risidagi qoidalarni birlashtirishga majbur bo'lgan normativ-texnik bazadir. Jamoaga to'g'ri ko'rsatma berilishi kerak. Ta'sir va mas'uliyat sohalari barcha xodimlar o'rtasida taqsimlanadi. Agar kerak bo'lsa, jamoaning ma'lumot xavfsizligini ta'minlash bo'yicha ma'lumotlarini yaxshilash kursini o'tkazish yaxshiroqdir.

Auditning qanday turlari mavjud?

Korxonaning axborot xavfsizligi auditi ikki xil bo'lishi mumkin. Amalga oshirish manbasiga qarab bu jarayon quyidagi turlarni ajratish mumkin:

  1. Tashqi shakl. U bir martalik bo'lishi bilan farq qiladi. Uning ikkinchi xususiyati shundaki, u mustaqil va xolis mutaxassislar tomonidan ishlab chiqariladi. Agar u tavsiya xarakteriga ega bo'lsa, u muassasa egasining buyrug'i bilan amalga oshiriladi. Ba'zi hollarda tashqi audit majburiydir. Bu tashkilot turi va favqulodda holatlar bilan bog'liq bo'lishi mumkin. Ikkinchi holatda, bunday tekshiruv tashabbuskorlari, qoida tariqasida, huquqni muhofaza qilish idoralari.
  2. Ichki shakl. U auditorlik tekshiruvini tayinlaydigan ixtisoslashtirilgan qoidalarga asoslanadi. Axborot xavfsizligining ichki auditi tizimni doimiy ravishda kuzatib borish va zaif tomonlarni aniqlash uchun zarur. Bu belgilangan vaqt ichida sodir bo'lgan voqealar ro'yxati. Ushbu ish uchun ko'pincha maxsus bo'lim yoki vakolatli xodim tashkil etiladi. U himoya vositalarining holatini aniqlaydi.

Faol audit qanday amalga oshiriladi?

Axborot xavfsizligini tekshirish usullari ham mijozning maqsadiga qarab tanlanadi. Xavfsizlik darajasini o'rganishning eng keng tarqalgan usullaridan biri bu faol audit. Bu haqiqiy xakerlik hujumini uyushtirishni anglatadi.

Ushbu usulning afzalligi shundaki, u tahdidni iloji boricha realistik ravishda simulyatsiya qilishga imkon beradi. Faol audit orqali shunga o'xshash vaziyat hayotda qanday rivojlanishini tushunishingiz mumkin. Ushbu usul shuningdek xavfsizlikni instrumental tahlil qilish deb ham ataladi.

Faol auditning mohiyati axborot tizimiga ruxsatsiz kirib borishga urinish (maxsus dasturiy ta'minot yordamida) hisoblanadi. Bunday holda, himoya vositalari to'liq tayyor holatda bo'lishi kerak. Bu ularning ishlarini baholashga imkon beradi shunga o'xshash ish... Sun'iy xakerlik hujumini amalga oshirgan odam minimal ma'lumot bilan ta'minlanadi. Bu eng real sharoitlarni yaratish uchun kerak.

Ular tizimni iloji boricha ko'proq hujumlarga duchor qilishga urinmoqdalar. Turli xil usullardan foydalangan holda siz tizim eng sezgir bo'lgan xakerlik usullarini baholashingiz mumkin. Bu, albatta, o'tkazuvchi mutaxassisning malakasiga bog'liq bu ish... Ammo uning harakatlari hech qanday halokatli xarakterga ega bo'lmasligi kerak.

Oxir oqibat, mutaxassis tizimning zaif tomonlari va eng ko'p mavjud bo'lgan ma'lumotlar to'g'risida hisobot ishlab chiqaradi. Shuningdek, xavfsizlikni tegishli darajaga ko'tarilishini ta'minlash uchun mumkin bo'lgan yangilanishlar bo'yicha tavsiyalar berilgan.

Ekspert tekshiruvi nima?

Axborot xavfsizligi auditi, shuningdek, firmaning belgilangan talablarga muvofiqligini aniqlash uchun o'tkaziladi. Bunday topshiriqning namunasini ekspert usulida ko'rish mumkin. U dastlabki ma'lumotlar bilan qiyosiy baholashdan iborat.

Himoya vositalarining bir xil ideal ishi turli xil manbalarga asoslangan bo'lishi mumkin. Mijozning o'zi talablar qo'yishi va vazifalarni belgilashi mumkin. Firma rahbari o'z tashkilotining xavfsizlik darajasi u istagan narsadan qanchalik uzoqligini bilmoqchi bo'lishi mumkin.

Qiyosiy baholash amalga oshiriladigan prototip umumiy tan olingan jahon standartlari bo'lishi mumkin.

"Auditorlik to'g'risida" Federal qonunga muvofiq, ijro etuvchi kompaniya tegishli ma'lumotlarni to'plash va axborot xavfsizligini ta'minlash bo'yicha mavjud choralar etarli degan xulosaga kelish uchun etarli vakolatga ega. Himoya vositalarining ishlashiga nisbatan me'yoriy hujjatlar va xodimlarning harakatlarining izchilligi ham baholanadi.

Muvofiqlikni tekshirish nima?

Ushbu tur avvalgisiga juda o'xshash, chunki uning mohiyati ham qiyosiy bahodir. Ammo faqat shu holatda ideal prototip mavhum tushuncha emas, balki me'yoriy va texnik hujjatlar va standartlarda mustahkamlangan aniq talablardir. Shu bilan birga, u kompaniyaning maxfiylik siyosati tomonidan belgilangan darajaga muvofiqlik darajasini ham belgilaydi. Ushbu bandga mos kelmasdan, keyingi ish haqida gapirish mumkin emas.

Ko'pincha, ushbu audit turi korxonada ishlaydigan xavfsizlik tizimini sertifikatlash uchun talab qilinadi. Buning uchun mustaqil ekspertning fikri talab qilinadi. Bu nafaqat himoya darajasi, balki uning tan olingan sifat standartlaridan qoniqishi ham muhimdir.

Shunday qilib, biz shunday xulosaga kelishimiz mumkinki, ushbu tartibni amalga oshirish uchun siz ijrochi to'g'risida qaror qabul qilishingiz kerak, shuningdek o'zingizning ehtiyojlaringiz va imkoniyatlaringiz asosida maqsad va vazifalar doirasini ta'kidlashingiz kerak.

Axborot tizimlari auditi IP-ning ishlashi to'g'risida dolzarb va aniq ma'lumotlarni taqdim etadi. Olingan ma'lumotlarga asoslanib, korxona samaradorligini oshirish bo'yicha tadbirlarni rejalashtirishingiz mumkin. Axborot tizimining auditini o'tkazish amaliyoti - standart bilan taqqoslaganda, haqiqiy vaziyat. Boshqa firmalarda qo'llaniladigan qoidalar, standartlar, qoidalar va amaliyotlarni o'rganing. Tekshiruv davomida tadbirkor o'z kompaniyasining shu kabi sohadagi oddiy muvaffaqiyatli kompaniyadan qanday farq qilishi haqida tasavvurga ega bo'ladi.

Umumiy g'oya

Informatsion texnologiyalar zamonaviy dunyo juda yaxshi rivojlangan. Axborot tizimlari bilan qurollanmagan korxonani tasavvur qilish qiyin:

  • global;
  • mahalliy.

Aynan IP orqali kompaniya normal ishlashi va zamon bilan hamnafas bo'lishi mumkin. Bunday metodologiyalar atrof-muhit bilan tezkor va to'liq ma'lumot almashish uchun muhim bo'lib, kompaniyaning o'zgaruvchan infratuzilma va bozor talablariga moslashishiga imkon beradi. Axborot tizimlari vaqt o'tishi bilan o'zgarib turadigan bir qator talablarga javob berishi kerak (yangi ishlanmalar, standartlar joriy etiladi, yangilangan algoritmlar qo'llaniladi). Har qanday holatda, axborot texnologiyalari resurslarga tezkor kirish imkoniyatini yaratadi va bu vazifa IS orqali hal qilinadi. Bundan tashqari, zamonaviy tizimlar:

  • ölçeklenebilir;
  • egiluvchan;
  • ishonchli;
  • xavfsiz.

Axborot tizimlari auditining asosiy vazifalari - amalga oshirilayotgan ISning belgilangan parametrlarga mos kelishini aniqlash.

Audit: turlari

Axborot tizimining jarayonli auditi deb ataladigan narsa tez-tez ishlatiladi. Misol: tashqi mutaxassislar amalga oshirilgan tizimlarni standartlardan farqini tahlil qiladi, shu jumladan ishlab chiqarish jarayonini o'rganadi, natijasi dasturiy ta'minotdir.

Axborot tizimining ishda qanday to'g'ri qo'llanilishini aniqlash uchun audit o'tkazilishi mumkin. Kompaniyaning amaliyoti ishlab chiqaruvchilarning standartlari va taniqli xalqaro korporatsiyalar misollari bilan taqqoslanadi.

Korxonaning axborot xavfsizligi tizimining auditi tashkiliy tuzilishga ta'sir qiladi. Bunday tadbirning maqsadi - AT bo'limi xodimlarining to'siqlarini topish va muammolarni aniqlash, shuningdek ularni echish bo'yicha tavsiyalarni shakllantirish.

Va nihoyat, axborot xavfsizligi tizimi auditi sifatni nazorat qilishga qaratilgan. Keyin taklif qilingan mutaxassislar korxona ichidagi jarayonlarning holatini baholaydilar, joriy qilingan axborot tizimini sinovdan o'tkazadilar va olingan ma'lumotlarga asoslanib ba'zi xulosalar chiqaradilar. Odatda TMMI modeli ishlatiladi.

Auditning maqsadlari

Axborot tizimlari holatining strategik tekshiruvi amalga oshirilayotgan ISning zaif tomonlarini aniqlashga va texnologiyalardan foydalanish samarasiz bo'lgan joylarni aniqlashga imkon beradi. Bunday jarayon oxirida mijozda kamchiliklarni bartaraf etish bo'yicha tavsiyalar bo'ladi.

Audit mavjud tuzilishga o'zgartirish kiritish qanchalik qimmatga tushishini va qancha vaqt ketishini taxmin qilishga imkon beradi. Hozirgi oqimni o'rganadigan mutaxassislar axborot tarkibi kompaniyalar kompaniyaning xususiyatlarini hisobga olgan holda takomillashtirish dasturini amalga oshirish vositalarini tanlashda sizga yordam beradi. Olingan natijalar asosida siz firmaning qancha resurslarga muhtojligini aniq baholashingiz mumkin. Intellektual, pul, ishlab chiqarish tahlil qilinadi.

Tadbirlar

Axborot tizimlarining ichki auditi quyidagilarni o'z ichiga oladi:

  • aT inventarizatsiyasi;
  • axborot tuzilmalariga yukni aniqlash;
  • statistika, inventarizatsiya paytida olingan ma'lumotlarni baholash;
  • amalga oshirilayotgan IP-ning biznes talablari va imkoniyatlari mosligini aniqlash;
  • hisobot tuzish;
  • tavsiyalar ishlab chiqish;
  • nSI fondini rasmiylashtirish.

Audit natijasi

Axborot tizimlari holatining strategik auditi bu quyidagilarni amalga oshiradi: amalga oshirilayotgan axborot tizimi samaradorligining etarli emasligi sabablarini aniqlashga imkon beradi; axborot oqimlarini (foydalanuvchilar soni, ma'lumotlar hajmi) sozlash paytida IShning xatti-harakatlarini bashorat qilish; mahsuldorlikni oshirishga yordam beradigan xabardor echimlarni taqdim etish (uskunalar sotib olish, joriy qilingan tizimni takomillashtirish, almashtirish); kompaniya bo'limlari ish unumdorligini oshirishga, texnologiyalarga investitsiyalarni optimallashtirishga qaratilgan tavsiyalar berish. Shuningdek, axborot tizimlariga xizmat ko'rsatish sifatini yaxshilash bo'yicha chora-tadbirlar ishlab chiqish.

Bu muhim!

Har qanday korxonaga mos keladigan universal IP yo'q. Siz yaratishingiz mumkin bo'lgan ikkita umumiy asos mavjud noyob tizim ma'lum bir kompaniyaning talablari uchun:

  • Oracle.

Ammo esda tutingki, bu faqat asosdir, boshqa narsa emas. Biznesni samarali qilish uchun barcha yaxshilanishlar ma'lum bir korxonaning o'ziga xos xususiyatlarini hisobga olgan holda dasturlashtirilishi kerak. Shubhasiz siz ilgari bo'lmagan funktsiyalarni kiritishingiz va tayanch majmuasi tomonidan taqdim etilgan funktsiyalarni o'chirib qo'yishingiz kerak bo'ladi. Zamonaviy texnologiyalar bank axborot tizimlarining auditi, ISh qanday xususiyatlarga ega bo'lishi kerakligini va korporativ tizim maqbul, samarali, ammo unchalik "og'ir" bo'lmasligi uchun nimalarni chiqarib tashlash kerakligini tushunishga yordam beradi.

Axborot xavfsizligi auditi

Axborot xavfsizligiga tahdidlarni aniqlash uchun tahlilning ikki turi mavjud:

  • tashqi;
  • ichki makon.

Birinchisi, bir martalik protsedurani o'z ichiga oladi. Uni kompaniya rahbari tashkil qiladi. Vaziyatni nazorat ostida ushlab turish uchun bunday chorani muntazam ravishda qo'llash tavsiya etiladi. Bir qator aksiyadorlik jamiyatlari va moliya tashkilotlari IT xavfsizligini tashqi auditi majburiy bo'lishi talabini kiritdilar.

Ichki - bu muntazam ravishda o'tkaziladigan tadbirlar, "Ichki audit to'g'risidagi nizom" mahalliy normativ hujjati bilan tartibga solinadi. Amalga oshirish uchun yillik reja tuziladi (u auditorlik uchun mas'ul bo'lim tomonidan tayyorlanadi), bosh direktor tomonidan tasdiqlangan, boshqa menejer. IT-audit - tadbirlarning bir nechta toifalari, xavfsizlik auditi eng kam ahamiyatga ega emas.

Maqsadlar

Xavfsizlik nuqtai nazaridan axborot tizimining auditi o'tkazilishining asosiy maqsadi xavfsizlik tahdidlari bilan bog'liq IP xavfini aniqlashdir. Bundan tashqari, tadbirlar quyidagilarni aniqlashga yordam beradi:

  • mavjud tizimning zaif tomonlari;
  • tizimning axborot xavfsizligi standartlariga muvofiqligi;
  • hozirgi vaqtda xavfsizlik darajasi.

Xavfsizlik auditi davomida, natijada joriy echimlarni takomillashtirish va yangilarini joriy qilish bo'yicha tavsiyalar ishlab chiqiladi va shu bilan mavjud IS xavfsiz va turli tahdidlardan himoyalanadi.

Agar axborot xavfsizligiga tahdidlarni aniqlash uchun ichki audit o'tkazilayotgan bo'lsa, unda quyidagilar qo'shimcha ravishda ko'rib chiqiladi:

  • xavfsizlik siyosati, yangisini ishlab chiqish imkoniyati, shuningdek, ma'lumotlarni himoya qilish va ularni korporatsiya ishlab chiqarish jarayonida qo'llashni soddalashtirish uchun boshqa hujjatlar;
  • aT bo'limi xodimlari uchun xavfsizlik vazifalarini shakllantirish;
  • huquqbuzarliklar bilan bog'liq vaziyatlarni tahlil qilish;
  • foydalanuvchilarni o'qitish korporativ tizim, texnik xodimlarning umumiy xavfsizlik jihatlari.

Ichki audit: xususiyatlari

Axborot tizimlarining ichki auditi o'tkazilganda xodimlar uchun qo'yiladigan ro'yxatdagi vazifalar, aslida, bu audit emas. Nazariy jihatdan, tadbir tashkilotchisi faqat mutaxassis sifatida tizim xavfsizligini ta'minlaydigan mexanizmlarni baholaydi. Vazifaga jalb qilingan shaxs jarayonning faol ishtirokchisiga aylanadi va mustaqillikni yo'qotadi, endi vaziyatni xolisona baholay olmaydi va uni boshqara olmaydi.

Boshqa tomondan, amalda ichki auditda chetda turish deyarli mumkin emas. Haqiqat shuki, ishni bajarish uchun kompaniya mutaxassisi jalb qilinadi, boshqa paytlarda shunga o'xshash sohadagi boshqa vazifalar bilan band. Demak, auditor ilgari aytib o'tilgan vazifalarni hal qilish vakolatiga ega bo'lgan bir xil xodimdir. Shuning uchun, biz murosaga kelishimiz kerak: ob'ektivlikka zarar etkazish, munosib natijaga erishish uchun xodimni amaliyotga jalb qilish.

Xavfsizlik auditi: bosqichlari

Ular ko'p jihatdan umumiy AT-audit bosqichlariga o'xshashdir. Ajratish:

  • tadbirlarning boshlanishi;
  • tahlil qilish uchun bazani yig'ish;
  • tahlil;
  • xulosalarni shakllantirish;
  • hisobot berish.

Jarayonni boshlash

Xavfsizlik nuqtai nazaridan axborot tizimlarining auditi kompaniya rahbari unga ruxsat bergandan so'ng boshlanadi, chunki korxona samarali auditorlik tekshiruvidan ko'proq manfaatdor bo'lgan shaxslar. Agar rahbariyat protsedurani qo'llab-quvvatlamasa, auditni o'tkazish mumkin emas.

Axborot tizimlari auditi odatda murakkabdir. Unda auditor va kompaniyaning turli bo'limlari vakili bo'lgan bir necha kishi qatnashadi. Muhim qo'shma ish auditning barcha ishtirokchilari. Auditni boshlashda quyidagi bandlarga e'tibor qaratish lozim:

  • auditorning vazifalari, huquqlarini hujjat bilan tasdiqlash;
  • audit rejasini tayyorlash, tasdiqlash;
  • xodimlar auditorga har tomonlama yordam ko'rsatishga va u so'ragan barcha ma'lumotlarni taqdim etishga majbur bo'lganligi to'g'risida hujjatlashtirish.

Auditorlik tekshiruvi boshlangan paytdan boshlab, axborot tizimlari auditi chegaralarini belgilash juda muhimdir. Ba'zi IS tizimlari juda muhim va alohida e'tibor talab qiladigan bo'lsa, boshqalari chiqarib tashlanadigan darajada muhim emas va muhim emas. Albatta, bunday quyi tizimlar mavjud bo'ladi, ularni tekshirish imkonsiz bo'ladi, chunki u erda saqlanadigan barcha ma'lumotlar maxfiydir.

Reja va chegaralar

Ishni boshlashdan oldin tekshirish uchun resurslar ro'yxati shakllantiriladi. Bu shunday bo'lishi mumkin:

  • axborot;
  • dasturiy ta'minot;
  • texnik.

Audit qaysi saytlarda o'tkazilayotganini, qaysi tahdidlar uchun tizim tekshirilishini aniqlang. Tadbirning tashkiliy chegaralari, auditorlik tekshiruvida e'tiborga olinishi kerak bo'lgan xavfsizlik jihatlari mavjud. Tekshiruv doirasi ko'rsatilgan holda ustuvor reyting tuziladi. Bunday chegaralar, shuningdek tadbir rejasi bosh direktor tomonidan tasdiqlanadi, ammo ular oldindan bo'lim boshliqlari, auditor va kompaniya rahbarlari ishtirok etgan umumiy ishchi yig'ilish mavzusi tomonidan chiqarilgan.

Ma'lumotlarni qabul qilish

Xavfsizlik auditini o'tkazishda axborot tizimlarini auditi uchun standartlar shundayki, axborot yig'ish bosqichi eng ko'p vaqt va mehnat talab qiladi. Odatda ISda uning uchun hujjatlari yo'q va auditor ko'plab hamkasblari bilan yaqindan ishlashga majbur.

Xulosalar malakali bo'lishi uchun auditor iloji boricha ko'proq ma'lumotlarga ega bo'lishi kerak. Auditor axborot tizimining qanday tashkil etilganligi, qanday ishlashi va qanday holatda ekanligi to'g'risida tashkiliy, ma'muriy, texnik hujjatlarda, mustaqil tadqiqot va maxsus dasturiy ta'minotni qo'llash jarayonida bilib oladi.

Auditor ishi uchun zarur bo'lgan hujjatlar:

  • iSga xizmat ko'rsatadigan bo'limlarning tashkiliy tuzilishi;
  • barcha foydalanuvchilarning tashkiliy tuzilishi.

Auditor xodimlar bilan intervyu o'tkazadi, quyidagilarni aniqlaydi:

  • provayder;
  • ma'lumotlar egasi;
  • foydalanuvchi ma'lumotlari.

Buning uchun siz quyidagilarni bilishingiz kerak:

  • iP-dasturlarning asosiy turlari;
  • foydalanuvchilar soni, turlari;
  • foydalanuvchilarga ko'rsatiladigan xizmatlar.

Agar kompaniyada quyidagi ro'yxatdagi IP-hujjatlar mavjud bo'lsa, ularni auditorga taqdim etganingizga ishonch hosil qiling:

  • texnik metodikalarning tavsifi;
  • funktsiyalarni avtomatlashtirish usullarining tavsifi;
  • funktsional diagrammalar;
  • ishchi, loyiha hujjatlari.

IP tuzilishini ochib berish

To'g'ri xulosalar olish uchun auditor korxonada joriy qilingan axborot tizimining xususiyatlarini eng to'liq tushunishi kerak. Xavfsizlik mexanizmlari nima ekanligini, ular tizimda darajalar bo'yicha qanday taqsimlanishini bilishingiz kerak. Buning uchun quyidagilarni bilib oling:

  • ishlatiladigan tizim tarkibiy qismlarining mavjudligi va xususiyatlari;
  • komponentlarning funktsiyalari;
  • grafik sifati;
  • kirishlar;
  • buning uchun turli xil ob'ektlar (tashqi, ichki) va protokollar, kanallar bilan o'zaro aloqalar;
  • tizim uchun ishlatiladigan platformalar.

Sxemalar foyda keltiradi:

  • tizimli;
  • ma'lumotlar oqimlari.

Tuzilmalar:

  • texnik vositalar;
  • axborotni qo'llab-quvvatlash;
  • tarkibiy qismlar.

Amalda ko'plab hujjatlar to'g'ridan-to'g'ri audit paytida tayyorlanadi. Axborotni tahlil qilish faqat maksimal miqdordagi ma'lumot to'planganda mumkin bo'ladi.

IP xavfsizligi tekshiruvi: tahlil

Olingan ma'lumotlarni tahlil qilish uchun bir nechta texnikalar qo'llaniladi. Muayyanning foydasiga tanlov auditorning shaxsiy imtiyozlari va aniq vazifaning o'ziga xos xususiyatlariga asoslanadi.

Eng murakkab yondashuv xatarlarni tahlil qilishni o'z ichiga oladi. Axborot tizimi uchun xavfsizlik talablari shakllantiriladi. Ular ma'lum bir tizim va uning atrof-muhit xususiyatlariga, shuningdek, ushbu muhitga xos bo'lgan tahdidlarga asoslangan. Tahlilchilarning fikriga ko'ra, ushbu yondashuv auditorning eng mehnatkash va maksimal malakasini talab qiladi. Natija qanchalik yaxshi bo'lishini axborotni tahlil qilish metodologiyasi va tanlangan variantlarning IP turiga mosligi bilan belgilanadi.

Ma'lumotlar xavfsizligi standartlarini ko'rib chiqish yanada amaliy variant bo'ladi. Bular bir qator talablarni belgilaydi. Bu turli xil IP-lar uchun javob beradi, chunki metodologiya turli mamlakatlardagi eng yirik firmalar asosida ishlab chiqilgan.

Standartlardan, tizimni himoya qilish darajasiga va u yoki bu muassasaga tegishli bo'lishiga qarab, xavfsizlik talablari qanday ekanligi kelib chiqadi. Ko'p narsa IP-ning maqsadiga bog'liq. Auditorning asosiy vazifasi - xavfsizlik bo'yicha talablarning qaysi to'plamini ushbu holatda dolzarbligini to'g'ri aniqlash. Tizimning mavjud parametrlari standartlarga mos keladimi-yo'qligi baholanadigan usul tanlanadi. Texnologiya juda sodda, ishonchli va shuning uchun keng tarqalgan. Kichik mablag 'sarflab, natijada aniq xulosalar chiqarishingiz mumkin.

E'tiborsizlikka yo'l qo'yilmaydi!

Amaliyot shuni ko'rsatadiki, ko'plab menejerlar, ayniqsa kichik firmalar, shuningdek kompaniyalari uzoq vaqt ishlagan va barchasini o'zlashtirishga intilmaydigan rahbarlar eng yangi texnologiyalar, axborot tizimlarining auditiga beparvolik bilan murojaat qiling, chunki ular ushbu chora muhimligini tushunmaydilar. Odatda, biznesga etkazilgan zarar faqat rasmiylarni korxonani tekshirish, xatarlarni aniqlash va himoya qilish choralarini ko'rishga undaydi. Boshqalar mijozlar to'g'risidagi ma'lumotlarni o'g'irlashlari bilan duch kelishadi, boshqalari kontragentlarning ma'lumotlar bazalaridan yoki ular haqidagi ma'lumotlardan qochib qutulishadi. asosiy afzalliklari ma'lum bir mavzu. Ish ommaviylashishi bilanoq iste'molchilar kompaniyaga bo'lgan ishonchni yo'qotadilar va kompaniya shunchaki ma'lumotlar yo'qotilishidan ko'proq zarar ko'radi.

Agar ma'lumotning tarqalishi ehtimoli bo'lsa, uni qurish mumkin emas samarali bizneshozir va kelajakda yaxshi joylashtirilgan. Har qanday kompaniyada uchinchi shaxslar uchun qimmatli va himoya qilinishi kerak bo'lgan ma'lumotlar mavjud. Himoya yoqilgan bo'lishi uchun eng yuqori daraja, aniqlash uchun tekshirish kerak zaif tomonlar... Bunda xalqaro standartlar, usullar va so'nggi o'zgarishlar hisobga olinishi kerak.

Tekshirishda:

  • himoya darajasini baholash;
  • qo'llaniladigan texnologiyalarni tahlil qilish;
  • xavfsizlik hujjatlarini sozlash;
  • ma'lumotlar oqishi mumkin bo'lgan xavfli vaziyatlarni simulyatsiya qilish;
  • zaifliklarni bartaraf etish bo'yicha echimlarni amalga oshirishni tavsiya eting.

Ushbu tadbirlar uchta usuldan biri bilan amalga oshiriladi:

  • faol;
  • ekspert;
  • standartlarga muvofiqligini aniqlash.

Tekshirish shakllari

Faol audit potentsial xaker ko'rib chiqayotgan tizimni baholashni o'z ichiga oladi. Uning nuqtai nazari, auditorlar o'zlarini "sinab ko'rishadi" - o'rganish tarmoq himoyasi, buning uchun maxsus dasturiy ta'minot va noyob metodlardan foydalaniladi. Ichki audit, shuningdek, ma'lumotlarni o'g'irlashni yoki tizimning ishlashini buzishni istagan da'vo qilingan jinoyatchi nuqtai nazaridan ham majburiydir.

Ekspert tekshiruvi amalga oshirilgan tizimning idealga qanday mos kelishini tekshiradi. Standartlarga muvofiqligini aniqlashda mavjud ob'ekt taqqoslanadigan standartlarning mavhum tavsifi asos bo'lib olinadi.

Xulosa

To'g'ri va samarali o'tkazilgan audit quyidagi natijalarni olish imkonini beradi:

  • muvaffaqiyatli xakerlik hujumi ehtimolini minimallashtirish, undan zarar;
  • tizim arxitekturasidagi o'zgarishlar va axborot oqimlari asosida hujumlarni istisno qilish;
  • sug'urta xatarlarni kamaytirish vositasi sifatida;
  • xavfni butunlay e'tiborsiz qoldiradigan darajaga kamaytirish.

Shaxsiy ma'lumotlarni yig'ish, qayta ishlash, saqlash va ulardan foydalanish jamiyat va davlatning ko'plab sohalarida amalga oshiriladi. Masalan, moliyaviy va soliq sohalarida, pensiya, ijtimoiy va tibbiy sug'urta bilan, operativ-qidiruv faoliyatida, mehnat va boshqa ijtimoiy hayot sohalarida.

Faoliyatning turli sohalarida shaxsiy ma'lumotlar ko'pincha turli xil ma'lumotlar to'plamlarini anglatadi. Shaxsiy ma'lumotlarning ta'riflari har xil federal qonunlar, va ulardagi ma'lumotlar miqdori turli yo'llar bilan aniqlanadi.

Axborot texnologiyalari rivojlanishi bilan hamma narsa katta ahamiyatga ega kompaniyaga o'z mahsulotlarining raqobatbardoshligini saqlab qolish, sheriklar va mijozlar bilan ishlashni tashkil etish va regulyatorlar tomonidan sanktsiyalar xavfini kamaytirishga imkon beradigan tijorat ma'lumotlarini himoya qilishni qo'lga kiritadi.

Kompaniyaning tijorat sirlarini himoya qilish va oshkor qilishda aybdorlarni tijorat sirlari rejimini joriy qilish orqali, ya'ni ma'lumotlarning maxfiyligini himoya qilish bo'yicha huquqiy, tashkiliy va texnik choralarni ko'rish orqali javobgarlikka tortish mumkin.

Bugungi kunda virusli hujumlar xavotirli chastota bilan sodir bo'lmoqda. Eng samarali hujumlar - ochilgan fayllardan foydalanadigan hujumlar an'anaviy dasturlar... Masalan, zararli kod fayllarda bo'lishi mumkin Microsoft Word yoki PDF hujjatlari. Bunday hujum ekspluatatsiya deb ataladi va har doim ham oddiy antivirus dasturi tomonidan aniqlanmaydi.

Palo Alto Network Traps ish stantsiyalarini maqsadli zararli hujumlardan yuqori darajada himoya qiladi, zaifliklardan foydalanishni oldini oladi. operatsion tizim va ilovalar.

RBS tizimlarida ishlashda ma'lumotlarni himoya qilish bo'yicha tavsiyalar

IN so'nggi paytlarda masofali bank tizimlarida (RBS) firibgarliklar, foydalanuvchilarning va tashkilotlarning mablag'larining maxfiy kalitlarini o'g'irlashga qaratilgan holatlar tez-tez uchraydi. Ushbu maqolada biz mablag'larni o'g'irlash ehtimolini kamaytirish uchun zarur bo'lgan amaliy choralarni ko'rib chiqdik va mumkin bo'lgan firibgarlikka javob berish uchun tavsiyalar berdik.

Auditor ishining natijasi bu auditorlik xulosasini tuzishdir. Auditning asosiy yo'nalishlari bo'yicha xulosalar uchun asosga ega bo'lish uchun auditor tegishli dalillarni to'plashi kerak. Auditorlik tekshiruvi davomida yig'ilgan va tahlil qilingan ma'lumotlar auditor xulosalarini qo'llab-quvvatlashga xizmat qiladi va auditorlik dalillari deb ataladi. Auditorlik dalillarini yig'ishda auditor quyidagi usullardan foydalanadi:

1. Haqiqiy nazorat qilish usullari

a) inventarizatsiya;

b) nazorat o'lchovi.

2. Hujjatli nazorat qilish usullari

a) rasmiy tekshirish;

b) arifmetik tekshiruv;

v) hujjatlarni mohiyati bo'yicha tekshirish.

3. Boshqa usullar

a) kuzatish;

v) iqtisodiy tahlil.

Asosiy vositalarni tekshirishda auditorlik dalillarini yig'ish usullarining har biri qanchalik samarali ekanligini ko'rib chiqing.

Inventarizatsiya buxgalteriya hisobi va hisobot ma'lumotlarining ishonchliligini ta'minlash maqsadida amalga oshiriladi. Tashkilotga kelgan zahoti auditor oxirgi inventarizatsiya sanasini aniqlab berishi kerak. Agar asosiy vositalarni inventarizatsiya qilish 2-3 yildan ortiq vaqt davomida olib borilmagan bo'lsa, unda auditor uni o'tkazishni talab qilishi mumkin, bu esa yanada izchil auditorlik tekshiruvini o'tkazish va auditorlik xavfini kamaytirishga imkon beradi. Auditor o'zi inventarizatsiyada qatnashishi yoki uning bajarilishini nazorat qilish bilan cheklanishi mumkin. Sizda eng qimmatbaho buyumlar mavjudligini ta'minlash tavsiya etiladi. Mulkning bir qismi etishmayotgan bo'lishi mumkin, bu holda u qanday hujjatlar, kimga va qachon topshirilganligini tekshirish kerak. Xodimlar har qanday mulkni uyda ishlatganda, ushbu mulkning qiymati (kompyuterlar, printerlar) xodimlarning soliq solinadigan bazasi (daromadi) sifatida qaralishi mumkin. Agar asosiy vositalarni inventarizatsiya qilish paytida tekshirilayotgan xo'jalik yurituvchi sub'ektning do'konlaridan birini boshqa xo'jalik yurituvchi sub'ekt egallaganligi aniqlansa (bu erda bir nechta alomatlar bo'lishi mumkin: boshqa xo'jalik yurituvchi sub'ektning nomi ko'rsatilgan belgi tortiladi; tekshirilayotgan xo'jalik yurituvchi sub'ekt profiliga mos kelmaydigan mahsulotlar ishlab chiqariladi va hokazo). va operatsion bo'lmagan operatsiyalardan olinadigan daromad "ijara daromadi" moddasini o'z ichiga olmaydi, keyin biz "yashirin ijara" va soliq to'lashdan bo'yin tovlash to'g'risida gaplashamiz. Auditor moliyaviy va xo'jalik operatsiyalarini amalga oshirishda mijoz qonunchilikni buzgan degan xulosaga kelishi mumkin. Asosiy vositalarni inventarizatsiya qilish tasdiqlangan "Mol-mulk va moliyaviy majburiyatlarni inventarizatsiya qilish bo'yicha uslubiy ko'rsatmalar" asosida amalga oshiriladi. Rossiya Federatsiyasi Moliya vazirligining 1995 yil 13 iyundagi 49-son buyrug'i.

Nazoratni o'lchash usuli asosiy vositalarni ta'mirlash xarajatlarini tekshirishda samarali bo'ladi. Auditor to'g'ridan-to'g'ri ob'ektlarda amalga oshirilgan ta'mirlash ishlari hajmini nazorat o'lchovini amalga oshirishi mumkin, bu esa haqiqiy ta'mirlash ishlarini ob'ektiv baholashga imkon beradi va asossiz ravishda hisobdan chiqarilgan materiallar miqdorini, shuningdek, noqonuniy to'langan ish haqi miqdorini, agar tashkilotning ayrim xodimlarining kelishuvi bilan bajarilgan ishlarning hajmi oshirib yuborilgan bo'lsa.

Hujjatlarning rasmiy tekshiruvini o'tkazishda auditor asosiy vositalarni hisobga olish bo'yicha dastlabki hujjatlarni, inventarizatsiya kartalarini, buyurtma jurnallarini, hisoblash jadvallarini, 5-sonli shaklni, Bosh kitobni va boshqalarni vizual ravishda tekshiradi. Hujjatlarning standart idoralararo shakllariga muvofiqligini, barcha rekvizitlarni to'ldirish to'g'riligini, aniqlanmagan tuzatishlar mavjudligini tekshirish kerak. , o'chirishlar, matn va raqamlardagi qo'shimchalar, mansabdor shaxslar va moliyaviy javobgar shaxslarning imzolarining haqiqiyligi, yillik moliyaviy hisobotlarning standart shakllarini to'ldirish bo'yicha ko'rsatmalar, mansabdor shaxslarning imzo kartalari.

Arifmetik tekshirish usuli hisob-kitoblarning to'g'riligini, shuningdek buxgalteriya hisobini avtomatlashtirish uchun hisoblash algoritmlarining to'g'riligini, amortizatsiya summalarining hisob-kitoblarini tekshirishni, asosiy vositalarni qayta baholashni, amortizatsiya stavkalari va konvertatsiya omillarining to'g'ri qo'llanilishini ta'minlaydi. Shuningdek, analitik va sintetik schyotlar ma'lumotlari, buyurtma jurnallari, bosh daftar, balans, f ga binoan balansga ariza. № 5.

Hujjatlarni tekshirishda mohiyatan xo’jalik muomalasining qonuniyligi va maqsadga muvofiqligi, hisobvaraqlarga nisbat berish va xarajatlar moddalariga kiritilishining to’g’riligi hisobga olinadi. Asosiy vositalarni yon tomonga sotishda auditor rahbarning yozma ruxsati borligiga ishonch hosil qilishi kerak. Agar tekshirish paytida birlamchi hujjat shubha tug'dirsa, unda ushbu bitim uchun mas'ul bo'lgan shaxslardan yozma tushuntirish olish va qarshi tekshiruvni o'tkazish kerak.

Kuzatish - vizual kuzatish asosida mijozning imkoniyatlari haqida umumiy ma'lumot olish. Auditor asosiy vositalar harakatini qayd etish bo'yicha u yoki bu operatsiya qanday tuzilishini, birlamchi hujjatlar va sintetik buxgalteriya registrlari to'ldirilishini kuzatadi. Biroq, asosiy vositalarni hisobga olish bo'yicha operatsiyalar unchalik xilma-xil va tez-tez uchrab turmaydi, ayniqsa, kichik korxonalarda kuzatuv samarasiz. To'liq ma'lumotni hujjatli tekshirish, xodimlar bilan suhbatlar va iqtisodiy tahlil.

Auditor, asosiy fondlarning holatini aks ettiruvchi moliyaviy hisobotni tekshirishda, qoida tariqasida, iqtisodiy tahlil usulini qo'llaydi (f. No1, f. No5). Auditor tashkilot tomonidan ishlab chiqarish faoliyatining o'ziga xos xususiyatlarini, shuningdek kapital qo'yilmalar samaradorligini hisobga olgan holda asosiy vositalardan foydalanishni vaqt va imkoniyatlar nuqtai nazaridan tahlil qilishi mumkin.

So'rov - mijozdan og'zaki yoki yozma ma'lumot olish. Aktivlarni hisobga olish va hisobot bilan shug'ullanadigan barcha xodimlar bilan so'rov yoki intervyu o'tkazilishi kerak. Suhbat auditor uchun natija berishi uchun, boshqa barcha auditorlik protseduralari singari, puxta rejalashtirilgan bo'lishi kerak. Buning uchun auditor oldindan anketa tayyorlaydi, unda auditor tashkilot xodimlariga bir nechta javoblar bilan berishni rejalashtirgan savollar ro'yxati kiritilgan. So'rovnoma so'ralgan mutaxassislar tarkibiga mos keladigan kerakli nusxada chop etiladi. So'rovnomaning har bir nusxasida suhbat o'tkaziladigan shaxsning lavozimi, familiyasi, ismi va otasining ismi ko'rsatilgan. So'rov natijalariga ko'ra auditor xodimlar tomonidan tanlangan javob variantlariga qarama-qarshi yozuvlarni yozadi va asosiy vositalarni hisobga olishni tashkil qilishda intizom holati to'g'risida xulosa chiqaradi va asosiy vositalarni hisobga olishning to'g'riligini tekshirish uchun auditorlik tavakkalchilik darajasi va keyingi protseduralarning chuqurligini aniqlaydi.

Korxona axborot xavfsizligi auditini o'tkazishi shart. Keling, bu nima uchun va qanday tekshirish kerakligini ko'rib chiqaylik. Tashkilotlarning deyarli barcha faoliyati axborotni kompyuterda qayta ishlash bilan bog'liq.

Amaliyotlar soni va hajmi o'sib bormoqda, bu kompyuterlashtirilgan axborot tizimidan keng foydalanishni talab qiladi.
Agar xatolar bo'lsa, tizim bloklanishi mumkin.

Zanjirli reaktsiyani keltirib chiqarishi mumkin, buning natijasida kompaniyalarning rentabelligi pasayadi va ularning obro'si yo'qoladi. Shuning uchun ham axborot xavfsizligi auditiga alohida e'tibor qaratish lozim.

Siz nimani bilishingiz kerak

IS auditi - bu ma'lum bir maqsadlar ko'zlangan va bir qator vazifalar bajariladigan muhim protsedura.

Kerakli shartlar

Axborot xavfsizligi tizimning protsedurasi deb ataladi, unda korxona axborot xavfsizligining hozirgi holatiga ob'ektiv sifatli va miqdoriy baho beriladi.

Shu bilan birga, ular ma'lum mezonlarga va xavfsizlik ko'rsatkichlariga rioya qilishadi. Axborot xavfsizligi deganda axborot resurslarining xavfsizligi va axborot sohasidagi shaxs va jamiyatning qonuniy huquqlarini himoya qilish tushuniladi.

Bu nima uchun kerak?

Audit yordamida siz axborot tizimining mavjud xavfsizligini baholashingiz, xatarlarni baholashingiz va bashorat qilishingiz, ularning biznes jarayoniga ta'sirini boshqarishingiz mumkin.

Vakolatli auditorlik tekshiruvi bilan mablag'larning maksimal rentabelligi mumkin, bu kompaniyaning xavfsizlik tizimini yaratish va saqlashga sarflanadi.

Auditorlik protsedurasining maqsadi:

  • xatarlarni tahlil qilish;
  • axborot tizimining mavjud xavfsizlik darajasini baholash;
  • mudofaa tizimidagi to'siqni lokalizatsiya qilish;
  • axborot tizimining xavfsizlik mexanizmini amalga oshirish va samaradorligini oshirish bo'yicha tavsiyalar berish.

Vazifa:

  • ma'lumotlarni himoya qilish uchun xavfsizlik siyosatini ishlab chiqish;
  • aT xodimlari uchun vazifalarni belgilash;
  • axborot xavfsizligini buzish bilan bog'liq hodisalarni tartibga solish.

Huquqiy tartibga solish

Asosiy qonunchilik qoidalari:

  1. Uslubiy hujjatlar.

Korxonaning axborot xavfsizligi auditi

Axborot xavfsizligi auditining asosiy yo'nalishi:

Attestatsiya
  • sertifikatlangan avtomatlashtirilgan tizimlar, aloqa, ishlov berish va ma'lumotlarni uzatish vositalari;
  • muzokaralarda foydalaniladigan binolar sertifikatlangan;
  • maxsus xonaga o'rnatilgan texnik vositalar sertifikatlangan
Himoyalangan ma'lumotlarni boshqarish
  • ma'lumotlar tarqalishining texnik kanallari aniqlandi;
  • ishlatilgan ma'lumotlarni himoya qilish vositalarining samaradorligi nazorat qilinadi
Texnik vositalarni maxsus o'rganish
  • kompyuter, aloqa vositalari va ma'lumotlarni qayta ishlash tekshiriladi;
  • mahalliy hisoblash tizimi;
  • tadqiqot natijalari Davlat texnik komissiyasining standartlariga muvofiq tuziladi
Ob'ektlar himoyalangan versiyalarda ishlab chiqilgan
  • axborot xavfsizligi kontseptsiyasi ishlab chiqilmoqda;
  • avtomatlashtirilgan tizimlar ishlab chiqilgan, xavfsiz versiyalarda ma'lumotlarni qayta ishlash;
  • muzokaralar uchun zarur bo'lgan binolar mo'ljallangan

Amaliy texnikalar

Texnikadan foydalanish mumkin:

Axborot tizimining ushbu tarkibiy qismini himoya qilish darajasi baholanadigan ekspert tekshiruvi Bir necha bosqichlardan iborat:
  • axborot tizimlarini tahlil qilish;
  • muhim aktivlar tahlil qilinadi;
  • tahdidlar, buzuvchilarning modellari shakllantirildi;
  • ma'lumotlar muhiti xavfsizligi talablarini tahlil qiladi;
  • hozirgi holat baholanadi;
  • kamchiliklarni bartaraf etish bo'yicha tavsiyalar ishlab chiqildi;
  • hisobot beriladigan tavsiya yaratiladi
Faol audit Sinovni o'tkazishda axborot tizimlarining xavfsizligini baholash, zaif tomonlarini aniqlash, tizimlarni noqonuniy harakatlardan himoya qilish mexanizmining ishonchliligini tekshirish mumkin. Kompaniya tahlil natijalari bilan batafsil hisobotlarni oladi, penetratsiyani sinash ob'ekti tashqi server, tarmoq apparati, alohida xizmat.

Sinovning bir necha turlari mavjud:

  1. Qora quti usuli. Sinov sinovdan o'tkazilayotgan ob'ekt haqida bilmasdan o'tkaziladi. Ma'lumot jamoatchilikka ma'lum bo'lgan manbadan to'planadi.
  2. Oq quti usuli. Ob'ektlar batafsilroq o'rganiladi. Qo'shimcha hujjatlar, manba kodi, ob'ektlarga kirishni talab qilishi mumkin. Sinov ma'lumotlar oqishi bilan mumkin bo'lgan vaziyatni simulyatsiya qiladi.
  3. Kulrang quti usuli. Ma'lum ma'lumotlarga e'tibor bermang va yuqoridagi usullarni birlashtiring.

Sinovlarda ishlash bosqichlari quyidagilarni o'z ichiga oladi:

  • mavjud ma'lumotlarni tahlil qilish;
  • ixtisoslashtirilgan vositalardan foydalanilganda instrumental skanerlashni amalga oshirish;
  • qo'lda batafsil tahlil qilish;
  • kamchiliklarni tahlil qilish va baholash
Veb-ilovalarni tekshirish Bu zaifliklarni aniqlash va aniqlash uchun kerak. Kerakli:
  • avtomatik skanerlash;
  • qora va oq quti usulidan foydalanish;
  • xavf-xatarni baholash;
  • tavsiyalar tayyorlash;
  • tavsiyalarni amalga oshirish
Kompleks audit Axborot xavfsizligiga tahdidni tizimlashtirish va kamchiliklarni bartaraf etish bo'yicha takliflar berish mumkin. Tarmoqlarni texnik tekshirish, penetratsiya sinovlari va h.k.
Muvofiqlik auditi Axborot xavfsizligi xavfini boshqarish tizimi, tartibga solish siyosati, aktivlar va xodimlarni boshqarish tamoyillari tahlil qilinadi va baholanadi

Rejalashtirish

Axborot xavfsizligi auditini o'tkazishda ish rejasi va maqsadli ta'rifi tuziladi. Mijozlar va pudratchilar auditorlik tekshiruvi ta'sir ko'rsatadigan kompaniyaning hajmi va tuzilishi to'g'risida kelishib olishlari kerak.

Har bir tomonning javobgarligini ko'rsating. Rejada quyidagilar aks etishi kerak:

  • chekning maqsadi;
  • mezonlar;
  • audit o'tkazilishi kerak bo'lgan tashkiliy-funktsional birlik va jarayonning identifikatsiyasini hisobga olgan holda tekshirish yo'nalishlari;
  • tekshiruv o'tkaziladigan sana va joy;
  • tekshirish muddati;
  • auditorlik guruhlari a'zolari va ularga hamroh bo'lgan shaxslarning roli va majburiyatlari.

Shuningdek, quyidagilarni kiritish mumkin:

  • auditorlik guruhini qo'llab-quvvatlash xizmatlarini ko'rsatadigan tekshirilayotgan korxona vakillari ro'yxati;
  • hisobot bo'limlari;
  • texnik qo'llab-quvvatlash;
  • maxfiylik masalalarini hal qilish;
  • keyingi axborot xavfsizligi auditining vaqti va vazifalari.

Reja audit o'tkazilishidan oldin tahlil qilinadi va auditorga taqdim etiladi. Qayta ko'rib chiqilgan hujjat auditorlik tekshiruvidan oldin ishtirokchi tomonidan kelishib olinadi.

Ichki audit

Audit quyidagi harakatlarni o'z ichiga oladi:

  • jarayon boshlangan (auditorning huquqlari va majburiyatlari belgilangan va hujjatlarda mustahkamlangan, audit rejasi tuzilgan);
  • ma'lumotlar yig'iladi;
  • ma'lumotlar tahlil qilinadi;
  • tavsiyalar ishlab chiqildi;
  • hisobot tayyorlanmoqda.

Tekshirish uchun me'yorlar belgilanadi, ular me'yoriy hujjatlarda aks ettiriladi. Birinchidan, ular tekshirishni tashkil qiladi, hujjatlarni tahlil qiladi va amalga oshiriladigan joyda IS-ni tekshirishga tayyorlaydi.

Auditorlik guruhlari rahbariyatini tayinlaganingizga ishonch hosil qiling, auditning maqsadi va ko'lamini, imkoniyatlarini aniqlang, tekshirilayotgan korxona bilan dastlabki aloqalarni o'rnating.

Kichik biznesning nuances

Kichik korxonada axborot xavfsizligiga katta firmalardagidek ahamiyat berilmaydi.

Texnik vaziyat shunday bo'lsa-da, axborot xavfsizligini himoya qilish faqat kichik kompaniyalar uchun zarurdir. Bunday korxonalarda barcha texnika va dasturiy ta'minotlarni sotib olishga imkon beradigan kichik IT-byudjet mavjud.

Shuning uchun auditorlik tekshiruv orqali zaif tomonlarni o'z vaqtida aniqlashga imkon beradi:

  • qanday ishlatiladi xavfsizlik devori axborot xavfsizligini ta'minlash;
  • himoya ta'minlanadi elektron pochta (zarur antiviruslar mavjudmi);
  • antivirusdan himoyalanish ta'minlanadimi;
  • 1C korxonasida ish qanday tashkil etilganligi;
  • foydalanuvchilarning shaxsiy kompyuterlari qanday tuzilganligi;
  • proksi-serverdan qanday foydalanish;
  • kompaniyaning axborot muhitini muhofaza qilish ta'minlanganmi?

Bankdagi protsedura paytida

  • kompyuter atrofida tekshirish;
  • kompyuter yordamida tekshirish.

Boshqarish umumiy va amaliy bo'lishi mumkin. Kompyuter tizimining uzluksizligiga ishonchni ta'minlash uchun operatsiyalar umumiy hisoblanadi.

Quyidagi nazorat turlari amalga oshiriladi:

  • tashkiliy;
  • kompyuterlarni boshqarish;
  • operatsion tizimlar;
  • kirishni boshqarish;
  • binolarni texnik ob'ektlar bilan boshqarish;
  • tizimlarni ishlab chiqish va texnik xizmat ko'rsatish.

Ilovani boshqarish ma'lum dasturiy ta'minotning dasturlashtirilgan jarayonini va qo'lda ishlashni anglatadi.

Axborotni avtomatik ravishda qayta ishlash to'liq, aniq va to'g'ri ekanligiga ishonchli ishonchni ta'minlash kerak.

Taqdim etgan:

  • kirishni boshqarish (bu shunday zaiflik axborot tizimlarida);
  • muolajalar;
  • chekinish.

Bank muassasalari axborot tizimining audit dasturi quyidagilarni o'z ichiga oladi:

Ichki auditorlarni jalb qilish Tizimlarni va dasturiy ta'minot to'plamini ishlab chiqishda
Ko'rib chiqish va tasdiqlash Dasturiy ta'minot o'zgarishlarini tasdiqlovchi
Ichki nazorat auditi Va izchillik va izchillik bilan testlar
Kompyuter dasturiy hujjatlarini tekshirish Hujjatlar bormi, ular yangilanadimi, ular haqiqiy vaziyatni aks ettiradimi
Dasturiy ta'minotni tekshirishni o'tkazish Ma'lumot to'liq bo'ladimi-yo'qmi, ruxsatsiz o'zgartirishlar bo'lmaganligi to'g'risida
Xarid qilingan dasturiy ta'minotni baholash Tayyorlangan tizimlarning tavsifiga muvofiqligi uchun
Har chorakda ko'rib chiqish va harakatlar rejasini yangilash Favqulodda vaziyatlar va tanqidiy vaziyat yuzaga kelgan taqdirda

Kelajakda istalmagan tajovuzlar va hujumlarning oldini olish uchun bunga arziydi:

Auditor quyidagi ishlarni bajarishi mumkin:

Hukumat axborot tizimlarini tashkil etish

Maktab misolini ko'rib chiqing. Tekshiruv 3 bosqichni o'z ichiga oladi. Muassasa avval barcha kerakli hujjatlarni topshirishi kerak.

Maqsadni aniqlang, vazifalarni tekshiring, tuzing. Auditorlik guruhiga kimlar kirishini aniqlang. Tasdiqlash dasturlarini tuzing.

Tekshiruvning o'zi maktab rahbariyati bilan tuzilgan va kelishilgan audit dasturiga muvofiq amalga oshiriladi.

Normativ hujjatlar sifati, ma'lumotlarni himoya qilish bo'yicha samarali texnik choralar, shuningdek xodimlarning harakatlari tekshiriladi va baholanadi. O'rnatish:

  • iSPD to'g'ri tasniflanganmi;
  • taqdim etilgan ma'lumotlarning etarli ekanligi;
  • axborot xavfsizligi talablari bajariladimi.

Texnik tekshiruvni o'tkazishda ekspert, ekspert-hujjatli, instrumental usullardan foydalaniladi. Tekshiruv natijalariga ko'ra, ular kamchiliklar aniqlangan joyda tayyorlanadi va ularni bartaraf etish bo'yicha tavsiyalar beriladi.

Menejment tizimlarini sertifikatlash

Standartlarga muvofiqligini tekshirish va sertifikatlash korxona boshqaruvini takomillashtirishga, ishonchni oshirishga qaratilgan.

Xalqaro standartlar o'rnatilgan bo'lsa-da, hozirgi vaqtda ISO 17799 standartlariga muvofiqlik sertifikati o'tkazilmaydi, chunki uning BS 7799 ingliz standartlariga muvofiqligini sertifikatlovchi 2-qism mavjud emas.

Britaniya standartlariga muvofiqligi bo'yicha sertifikatlash o'tkazildi. Standartlarga muvofiqligini tekshirish UKAS a'zosi bo'lgan auditorlik / konsalting firmalari tomonidan amalga oshiriladi

BS 7799-2 sertifikatlari axborot xavfsizligini boshqarish tizimlarini qurish sifatiga ta'sir qiladi. Bir qator texnik masalalar hal qilinmoqda.

Tizimlarni boshqarish bo'yicha davlat standartlari qabul qilinmagan, bu analog mavjudligini anglatadi - Rossiya Davlat texnik komissiyasining texnik rejasi ma'lumotlarini himoya qilish bo'yicha maxsus talablar va tavsiyalar.

Natijalarning taqdimoti

Tekshiruv yakunida mijozlarga topshiriladigan hisobot hujjati tuziladi. Hisobotda quyidagi ma'lumotlar bo'lishi kerak:

  • audit protsedurasi doirasi;
  • korxona axborot tizimining tuzilishi;
  • tekshirishda foydalaniladigan usul va vositalar;
  • ularning xavflilik darajasini hisobga olgan holda aniqlangan zaifliklar va kamchiliklarning tavsiflari;
  • murakkab axborot xavfsizligi tizimlarini takomillashtirish bo'yicha tavsiyalar;
  • aniqlangan xatarlarni minimallashtirishi kerak bo'lgan tadbirni amalga oshirish bo'yicha rejalar bo'yicha takliflar.

Hisobot ma'lumotlarning xavfsizligini tekshirish bo'yicha to'liq, aniq va aniq ma'lumotlarni aks ettirishi kerak. Auditorlik tekshiruvi qaerda o'tkazilganligi, buyurtmachi va pudratchi kim ekanligi, auditorlik tekshiruvining maqsadi nima ekanligi ko'rsatiladi.

Hisobotlar quyidagi ma'lumotlarni o'z ichiga olishi mumkin:

  • tekshirish rejasi;
  • hamrohlik qiladigan auditorlar ro'yxati;
  • noaniqlik elementi va audit natijalari bo'yicha xulosaning ishonchliligiga ta'sir qilishi mumkin bo'lgan muammolarni hisobga olgan holda protseduraning qisqacha mohiyati;
  • audit bilan qamrab olinmagan har qanday tarmoqlar va boshqalar.

Axborot xavfsizligi auditi bir qator tahdidlardan himoya qilishning hozirgi bosqichini mustaqil va xolis baholashga imkon beruvchi samarali vositadir.

Tekshirish natijalari kompaniyaning axborot xavfsizligini ta'minlash tizimlarini rivojlantirish strategiyasini shakllantirishga asos bo'ladi.
Shuni esda tutish kerakki, xavfsizlik auditi bir martalik protsedura emas.

Uning o'tkazilishi doimiy ravishda majburiydir. Faqat bu holatda haqiqiy qaytish bo'ladi va axborot xavfsizligini yaxshilash imkoniyati bo'ladi.

Maqola sizga yoqdimi? Do'stlar bilan bo'lishish uchun:
Siz ham qiziqishingiz mumkin