Аудит інформаційних систем. Загрози інформаційної безпеки. Інформаційні технології

Віктор Кузьмін
1 minute

Виявлення структури ІС

Для коректних висновків аудитор повинен розташовувати максимально повним поданням про особливості впровадженої на підприємстві інформаційної системи. Потрібно знати, які механізми безпеки, як вони розподілені в системі за рівнями. Для цього з’ясовують:

  • наявність і особливості компонентів системи;
  • функції компонентів;
  • графічність;
  • входи;
  • взаємодія з різними об’єктами (зовнішнє, внутрішнє) і протоколи, канали для цього;
  • платформи, застосовані для системи.

Користь принесуть схеми:

  • структурна;
  • потоків даних.

Структури:

  • технічних засобів;
  • ПО;
  • інформаційного забезпечення;
  • структурних компонентів.

На практиці багато з документів готують безпосередньо при проведенні перевірки. Аналізувати інформацію можна лише при зборі максимального обсягу інформації.

Аудит безпеки ІС: аналіз

Є кілька методик, застосовуваних для аналізу отриманих даних. Вибір на користь конкретної ґрунтується на особистих перевагах аудитора і специфіки конкретної задачі.

Найбільш складний підхід передбачає аналізувати ризики. Для інформаційної системи формуються вимоги до безпеки. Вони базуються на особливостях конкретної системи і середовища її роботи, а також загроз, властивих цьому середовищі. Аналітики сходяться на думці, що такий підхід вимагає найбільших затрат праці і максимальної кваліфікації аудитора. Наскільки хорошим буде результат, визначається методологією аналізу інформації і придатність обраних варіантів до типу ІС.

Більш практичний варіант передбачає звернення до стандартів безпеки для даних. Такими визначається набір вимог. Це підходить для різних ІС, так як методика розроблена на основі найбільших фірм з різних країн.

З стандартів слід, які вимоги безпеки, що залежать від рівня захисту системи і приналежності її до того чи іншого закладу. Багато залежить від призначення ІС. Головне завдання аудитора – визначити коректно, який набір вимог з безпеки актуальне в заданому випадку. Вибирають методику, за якою оцінюють, відповідають стандартам наявні параметри системи. Технологія досить проста, надійна, тому поширена широко. При невеликих вкладеннях в результаті можна отримати точні висновки.

1 2 3 4 5 6 7 8 9 10 11