Аудит інформаційних систем. Загрози інформаційної безпеки. Інформаційні технології
План і межі
Перед початком робіт формується список ресурсів, які передбачається перевірити. Це можуть бути:
- інформаційні;
- програмні;
- технічні.
Виділяють, на яких майданчиках проводять аудит, на які загрози перевіряють систему. Існують організаційні межі заходу, аспекти забезпечення безпеки, обов’язкові для врахування при перевірці. Формується рейтинг пріоритетності із зазначенням обсягу перевірки. Такі кордону, а також план заходу затверджуються генеральним директором, але попередньо виносяться темою спільного робочого зборів, де присутні начальники відділів, аудитор і керівники компанії.
Отримання даних
При проведенні перевірки безпеки стандарти аудиту інформаційних систем такі, що етап збору інформації виявляється найбільш тривалим, трудомістким. Як правило, ІС не має документації до неї, а аудитор змушений щільно працювати з численними колегами.
Щоб зроблені висновки виявилися компетентними, аудитор повинен отримати максимум даних. Про те, як організована інформаційна система, як вона функціонує і в якому стані знаходиться, аудитор дізнається з організаційної, розпорядчої, технічної документації, в ході самостійного дослідження і застосування спеціалізованого ПЗ.
Документи, необхідні в роботі аудитора:
- організаційна структура відділів, що обслуговують ІС;
- організаційна структура всіх користувачів.
Аудитор інтерв’ює працівників, виявляючи:
- провайдера;
- власника даних;
- користувача даних.
Для цього потрібно знати:
- основні види додатків ІВ;
- кількість, види користувачів;
- послуги, що надаються користувачам.
Якщо у фірмі є документи на ІС з перерахованого нижче списку, обов’язково потрібно надати їх аудитору:
- опис технічних методологій;
- опис методик автоматизації функцій;
- функціональні схеми;
- робітники, проектні документи.