ДИПЛОМНІ КУРСОВІ РЕФЕРАТИ


ИЦ OSVITA-PLAZA

Реферати статті публікації

Пошук по сайту

 

Пошук по сайту

Головна » Реферати та статті » Аудит » Комп’ютерний аудит

Етапи убезпечення інформаційної системи
Аналіз ризиків, пов'язаних з безпекою інформаційної системи, передбачає чотири етапи .
ідентифікацію засобів захисту на визначеній ділянці
інформаційної системи;
оцінку надійності засобів захисту на цій ділянці;
оцінку ймовірності, що акт порушення безпеки буде
успішний, з огляду на набір засобів захисту на цій ділянці інформаційної системи і їхньої надійності;
оцінку втрат, що понесе підприємство, якщо акт по
рушення безпеки обійде засоби захисту в цьому місці інформаційної системи.
Розглянемо перший етап: ідентифікація засобів захисту на визначеній ділянці інформаційної системи. Напевне, найлегший спосіб це зробити — використати анкетні опитування, розроблені, щоб оцінити безпеку. Вони містять детальні переліки запитань щодо засобів захисту, які аудитори можуть використовувати, щоб систематично визначати, чи працює певний засіб. Аудитори можуть використовувати інтерв'ю, спостереження, і документацію, щоб одержати інформацію про засоби захисту на визначеній ділянці інформаційної системи.
Для оцінки надійності цих засобів захисту, аудитор повинен їх тестувати. У деяких випадках тести є безпосередніми. Наприклад, звичайно легко визначити, чи запобігають замкнені двері неправомірному доступу в приміщення, де розташовані комп'ютери.
Деякі типи засобів захисту, однак, складно перевірити. Наприклад, щоб перевірити, чи працює система пожежогасіння, потрібно було б розпалити пожежу, а потім запустити систему пожежогасіння, щоб оцінити її ефективність. У деяких ситуаціях, пов'язаних з підвищеним ризиком, аудитори можуть періодично моделювати займання у комп'ютерній кімнаті, щоб визначити, чи гасить система вогонь. Зазвичай, однак, аудитори покладаються на звіти технічного обслуговування і гарантії виробника, що система буде працювати ефективно.
Коли всі чотири етапи аналізу ризиків, пов'язаних з безпекою інформаційної системи, пройдені, можуть бути визначені слабкі місця, пов'язані з інформаційною функцією систем. Ризик, пов'язаний з безпекою, — це очікуваний розмір втрат за визначений період, з огляду на надійність засобів захисту. Слабкі місця виникають, тому що немає ніякого засобу, щоб запобігти акту порушення безпеки, або є імовірність, що засіб забезпечення безпеки на визначеній ділянці інформаційної системи не спрацює проти специфічного інциденту, що відбудеться.
Запобігти ризикам та забезпечити вимоги до безпеки інформації покликані засоби інформаційної безпеки КІСП. Аудитор зобов'язаний виявити слабкі місця внутрішніх засобів контролю КІСП — розглянути як апаратні, так і програмні засоби контролю, а також організаційні заходи, які становлять на підприємстві процес управління захистом КІСП (рис. 6.2).
Щоб оцінити ймовірність того, що акт порушення безпеки обійде засоби захисту, аудитор:
розглядає кожний з активів або кожну з груп активів, визначених на другому етапі аналізу ризиків, пов'язаних з безпекою;
розглядає кожну з можливих загроз, ідентифікованих протягом четвертого етапу аналізу;
визначає, чи існує засіб захисту, щоб запобігти акту порушення безпеки;
якщо так, оцінює ймовірність ефективної роботи засобу захисту та ймовірність усунення або пом'якшення ефекту від акту злому.


Рис. 6.2. Процес управління захистом КІСП
Оскільки можливість різних зловживань здебільшого створюється браком необхідних програмних засобів контролю, а система автоматизованого контролю має бути передбачена в проекті автоматизації обліку, то аудитор за будь-якого рівня автоматизації бухгалтерського обліку повинен перевіряти проектну документацію на створення такої підсистеми. Документація перевіряється на наявність
в проекті засобів автоматизованого контролю — як для забезпечення достовірності інформації, що обробляється на основних етапах облікового процесу, так і для виявлення різного роду зловживань. У результаті такої перевірки можуть бути виявлені "слабкі" місця (з контрольних позицій) в програмі, що не перешкоджають здійсненню порушень, зловживань, наприклад, відсутність програмного контролю внутрішнього переміщення матеріальних цінностей і грошових коштів тощо.
Також аудитору слід проаналізувати систему контролю підготовки облікових даних, перевірити, які заходи вжиті в клієнта для запобігання помилкам і фальсифікаціям. Слід зазначити способи організації контролю повноти і правильності введення первинної інформації в інформаційну базу, контролю обробки і висновку даних, дати оцінку їх достатності й ефективності. У багато користувацьких мережевих системах об'єктом уваги має бути контроль передачі даних.
Якщо внутрішні засоби контролю можуть відмовити з певною ймовірністю, аудиторська оцінка цілісності даних має бути сформульована у термінах ймовірнісного розподілу виникнення помилки.
Завжди, якщо можливо, аудитори повинні використовувати аналітичні моделі для підтримки у підготовці аудиторського висновку. Це справедливо, коли проводиться не тільки аудит фінансової звітності, а й спеціалізований аудит інформаційної безпеки. За допомогою аналітичних моделей аудитори, як правило, можуть оцінити значення залежних змінних, які їх цікавлять, з невеликими витратами в широкому діапазоні значень і структури моделі. Наприклад, детерміновані моделі та імовірнісні моделі здебільшого можуть бути розроблені досить швидко й дешево.
Іноді, однак, аналітичні моделі не можна використати при підготовці висновку щодо інформаційної безпеки. Для початку, аудитор може вирішити, що припущення, які лежать в основі моделей, занадто вузькі і не відображають
дійсність досить добре. Крім того, іноді аналітичні моделі не дозволяють математичні перетворення, тому що відповідні рівняння, використані для моделювання системи, виражені не в явному вигляді, або не мають рішення. У цих випадках аудитор для підтримки складання аудиторського висновку може використати симуляційні моделі.
Коли аудитор формулює висновок, він прагне визначити вплив сильних і слабких сторін окремих внутрішніх засобів контролю на загальну надійність системи. Він робить висновок наприкінці попередньої оцінки внутрішньої системи управління і після того, як закінчені тести засобів контролю і тестування по суті.
Оцінку системи внутрішніх засобів контролю потрібно розглядати в межах структури рентабельності. Аудитор має оцінити потік прибутків і витрат, пов'язаних з розробкою, впровадженням, функціонуванням і обслуговуванням внутрішньої системи захисту. Він повинен також оцінити дисконтну ставку, яку буде використовувати для цього потоку прибутку і витрат. На закінчення аудитор може обчислити чисту приведену вартість системи (net present value), щоб визначити, чи варто робити в неї інвестиції.
Найбільшій кількості загроз, і, відповідно, найбільшому ризику виникнення помилок, піддається інформація під час її зберігання. Таким чином, одним із завдань аудитора є оцінка цілісності інформації та збереженості інформаційних активів у системі.
Інформаційні активи системи, які необхідно захистити, можуть бути класифіковані таким чином:
фізичні активи — включають персонал, апаратні засоби (у тому числі носії даних і периферію), засоби обслуговування, постачання, і документацію;
логічні активи — включають дані та програмне забезпечення.
Для того, щоб оцінити, наскільки добре захищені активи та забезпечена цілісність даних, аудитору потрібна певна шкала. Захищеність активів і забезпечення цілісності даних не належать до показників типу "так — ні", а натомість можуть мати різні ступені захищеності та забезпеченості. Аудитор повинен мати змогу кількісно оцінити ці показники.
З метою визначення втрат, що будуть понесені від актів порушення безпеки, які не змогли бути попереджені засобами захисту, необхідно спочатку визначити наслідки цього акту: чи був актив втрачений, пошкоджений, наданий третім особам, вилучений, зруйнований або використаний у неправомірних цілях? Потім ці наслідки необхідно оцінити в грошовому еквіваленті.
Як показник захищеності активів можна використовувати очікувані збитки, які підприємство понесе у випадку знищення, викрадення активу або його використання у неправомірних цілях. Аудитор може призначити різні ймовірності різним видам втрат, які можуть виникнути.
Аудитор повинен визначити, будуть збитки повною чи лише частковою втратою майна. Для всіх активів і видів ризику очікувані збитки можна підрахувати за формулою43:
EL = pt, xpfxL,
де EL — очікувані збитки, пов'язані з активами;
pt — ймовірність виникнення інциденту;
Pf — ймовірність помилки засобу контролю;
L — підсумкові збитки.
Наприклад, якщо ймовірність виникнення пожежі (pt) в комп'ютерній кімнаті корпорації становить 0,001, ймовірність невиявлення вогню засобами контролю (рЛ — 0,1, а збитки L, що виникнуть, дорівнюватимуть 4 млн грн, щорічні очікувані збитки EL становитимуть 400 грн:
EL = 0,001 х 0,1 х 4 000 000. Ризик, звідси, становитиме 400 грн.
Показник цілісності даних, який аудитор використовує протягом перевірки, залежить від цілей аудиту та від характеру даних, на яких він зосереджений. Зазвичай, аудитора найбільше турбує міра, на яку система припускає виникнення помилки. Увага зовнішнього аудитора прикута до того, чи є суттєві помилки, які стосуються грошових коштів, у фінансових документах. Показником цілісності даних буде розмір грошової помилки, яка, за оцінкою зовнішнього аудитора, наявна в бухгалтерському обліку як результат слабкості внутрішніх процедур. Внутрішній аудитор також зазвичай приділяє головну увагу грошовим помилкам, які вже могли виникнути або можуть виникнути у майбутньому через певний час. Крім того, вони мають турбуватися про існування, можливий розмір і можливе число кількісних помилок, однак настільки, наскільки вони пов'язані з грошовими помилками в бухгалтерському обліку.
Конфіденційність інформації забезпечується засобами, які Р. Вебер називає засобами контролю перетину границь (boundary controls). Ці засоби забезпечують інтерфейс між потенційним користувачем системи т власне інформаційною системою. Часто використовуються для цього firewall-комп'ютери, їх визначення можна знайти в Міжнародних стандартах аудиту. Firewall — це комбінація технічних засобів і програмного забезпечення, яке захищає глобальну, локальну мережу або персональний комп'ютер від несанкціонованого доступу через Інтернет і від введення несанкціонованого або шкідливого програмного забезпечення даних або іншого матеріалу в електронній формі.

Ви переглядаєте статтю (реферат): «Етапи убезпечення інформаційної системи» з дисципліни «Комп’ютерний аудит»

Заказать диплом курсовую реферат
Реферати та публікації на інші теми: Аудиторські процедури: зміст і послідовність проведення
Вартість власного капіталу
Торговля фиктивными товарами
ЗАКОН ГРОШОВОГО ОБІГУ
Аудит Звіту про рух грошових коштів


Категорія: Комп’ютерний аудит | Додав: koljan (05.03.2012)
Переглядів: 1797 | Рейтинг: 0.0/0
Всього коментарів: 0
Додавати коментарі можуть лише зареєстровані користувачі.
[ Реєстрація | Вхід ]

Онлайн замовлення

Заказать диплом курсовую реферат

Інші проекти




Діяльність здійснюється на основі свідоцтва про держреєстрацію ФОП