Аудит інформаційних систем. Загрози інформаційної безпеки. Інформаційні технології

План і межі

Перед початком робіт формується список ресурсів, які передбачається перевірити. Це можуть бути:

• інформаційні;
• програмні;
• технічні.

Виділяють, на яких майданчиках проводять аудит, на які загрози перевіряють систему. Існують організаційні межі заходу, аспекти забезпечення безпеки, обов’язкові для врахування при перевірці. Формується рейтинг пріоритетності із зазначенням обсягу перевірки. Такі кордону, а також план заходу затверджуються генеральним директором, але попередньо виносяться темою спільного робочого зборів, де присутні начальники відділів, аудитор і керівники компанії.

Отримання даних

При проведенні перевірки безпеки стандарти аудиту інформаційних систем такі, що етап збору інформації виявляється найбільш тривалим, трудомістким. Як правило, ІС не має документації до неї, а аудитор змушений щільно працювати з численними колегами.

Щоб зроблені висновки виявилися компетентними, аудитор повинен отримати максимум даних. Про те, як організована інформаційна система, як вона функціонує і в якому стані знаходиться, аудитор дізнається з організаційної, розпорядчої, технічної документації, в ході самостійного дослідження і застосування спеціалізованого ПЗ.

Документи, необхідні в роботі аудитора:

• організаційна структура відділів, що обслуговують ІС;
• організаційна структура всіх користувачів.

Аудитор інтерв’ює працівників, виявляючи:

• провайдера;
• власника даних;
• користувача даних.

Для цього потрібно знати:

• основні види додатків ІВ;
• кількість, види користувачів;
• послуги, що надаються користувачам.

Якщо у фірмі є документи на ІС з перерахованого нижче списку, обов’язково потрібно надати їх аудитору:

• опис технічних методологій;
• опис методик автоматизації функцій;
• функціональні схеми;
• робітники, проектні документи.