15 -ma'ruza. Xavfsizlikni amaliy boshqarish reja
Axborot tizimlarining auditi va monitoringi
Yüklə 175,32 Kb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- Axborot tizimlari xavfsizligining auditi.
|
3. Axborot tizimlarining auditi va monitoringi
Axborot xavfsizligi tizimi amalga oshirilganida tarmoq, infratuzilmasini murakkabligi, ma’lumotlar va ilovalarning turli-tumanligi sababli ko‘pgina tahdidlar xavfsizlik ma’murining e’tiboridan chetga qolishi mumkin. Shuning uchun axborot tizimlarining muntazam auditi va doimiy monitoringi amalga oshirilishi zarur. Axborot tizimlari xavfsizligining auditi. Audit-korxonaning alohida sohalarini mustaqil ekspertizasi. Korxona auditining tashkil etuvchilaridan biri uning axborot tizimi auditi hisoblanadi. Axborot tizimlarining auditi - axborot tizimining himoyalanishining joriy holati, undagi harakatlar va hodisalar xususidagi obyektiv ma’lumotlarni olish va baholash, ular sathining belgilangan mezonga mosligini aniqlovchi tizimli jarayondir. Audit o‘tkazilishi axborot tizimining joriy xavfsizligini baholashga, xavf-xatarni baholashga, ularning tashkilot biznes-jarayonlariga ta’sirini bashoratlashga va boshqarishga, tashkilot axborot resurslari xavfsizligini ta’minlash masalasiga asosli yondashishga imkon beradi. Axborot tizimlari xavfsizligining auditi quyidagi bosqichlarni o‘z ichiga oladi: - audit muolajasining boshlanishi; - audit axborotini yig‘ish; - audit ma’lumotlarini tahlillash; - tavsiyalar ishlab chiqish; - hisobot tayyorlash. Audit bosqichlarining bajarilish ketma-ketligi 5-rasmda kelitirilgan. Audit muolajasining boshlanishi. Audit, bu masalada manfaatdor hisoblanuvchi, kompaniya rahbariyati tashabbusi bilan o‘tkaziladi. Audit tadbirlarning kompleksi bo‘lib, unda auditor bilan birga kompaniyaning aksariyat tuzilmaviy bo‘linmalarining vakillari qatnashadi. Bu jarayonda ishtirok etuvchilarining xarakatlari aniq, muvofiqlashtirilishi shart. Shu sababli, audit muolajasining boshlanishi bosqichida audit o‘tkazish rejasini tayyorlash va tasdiqlash, auditor huquqi va majburiyatini belgilash bilan bog‘liq, tashkiliy masalalar yechilishi lozim. Audit muolajasining boshlanishi bosqichida tekshirish doirasi aniqlanishi lozim. Kompaniyaning axborot qismi tizimining birini konfidensiallik nuqtai nazaridan auditga tortib bo‘lmasa, ikkinchisini, yetarlicha jiddiy bo‘lmaganligi sababli, audit doirasidan chiqarish mumkin. 7 5-rasm. Audit bosqichlarining bajarilish ketma-ketligi Audit axborotini yigish. Bu bosqich eng murakkab va uzoq davom etadi. Bunga sabab, axborot tizimga kerakli hujjatlarning yuqligi va auditorning tashkilotning ko‘pgina lavozimli shaxslari bilan bevosita o‘zaro muloqotda bo‘lishi zaruriyati. Auditor tashkilot, axborot tizimining ishlashi va joriy holati xususidagi axborotni kompaniyaning javobgar shaxslari bilan maxsus tashkil etilgan suhbat orqali, texnikaviy va tashkiliy-boshqarish hujjatlarni o‘rganish yuli bilan, hamda ixtisoslashtirilgan dasturiy vositalar yordamida axborot tizimini tasdiqlash orqali oladi. Audit ma’lumotlarini tahlillash. Tahlillash axborot tizimlarining auditida eng ma’suliyatli bosqich hisoblanadi. Tahlillashda noaniq, eskirgan ma’lumotlardan foydalanish nojoizdir, shu sababli ma’lumotlarga aniqlik kiritilishi va axborotlar jiddiy yig‘ilishi mumkin. Audit ma’lumotlarini tahlillashda quyidagi uchta yondashishdan foydalaniladi. Birinchi yondashish xavf-xatarlarni tahlillashga asoslanadi. Xavf-xatarlarni tahlillashdan maqsad mavjud xavf-xatarlarni aniqlash va ular kattaligini baholash (ularga sifatiy va miqdoriy baho berish). Ushbu yondashish juda murakkab bo‘lib, ko‘p mehnat sarf etiladi va auditorning eng yuqori malakasini talab qiladi. Ikkinchi yondashish axborot xavfsizligi standartlaridan foydalanishga asoslangan. Standartlar axborot tizimlarining keng sinfi uchun dunyo amaliyotini umumlashtirish natijasida shakllangan xavfsizlik talablarining bazaviy tuplamini belgilaydi. Bu holda auditordan, berilgan axborot tizimi uchun standart talablari tuplamini to‘gri tanlash talab etiladi. Soddaligi va ishonchliligi tufayli bu yondashish amalda keng qo‘llaniladi. U resurslarning minimal sarfida axborot tizimi xususida asoslangan xulosalar qilishga imkon beradi. Uchinchi yondashish oldingi ikkala yondashishni kombinatsiyalashni kuzda tutadi. Axborot tizimiga quyiladigan xavfsizlikning bazaviy talablari standart orqali aniqlansa, berilgan axborot tizimi ishlashining xususiyatlarini hisobga oluvchi qo‘shimcha talablar xavf-xatarlarni tahlillash asosida shakllantiriladi. Tavsiyalar ishlab chqqish. Tahlillash natijalari tavsiyalar ishlab chiqish uchun asos bo‘ladi. Auditor tavsiyalari muayyan va berilgan axborot tizimiga qo‘llaniladigan, iqtisodiy asoslangan, isbotlangan (tahlillash natijalari bilan quvvatlangan), va muhimlik darajasi bo‘yicha rutbalangan bo‘lishi shart. Auditning muntazam o‘tkazilishi axborot tizimining barqaror ishlashini kafolatlaydi. Shuning uchun professional audit natijalarida n biri keyingi tekshirishlarin o‘tkazish reja-grafigini shakllantirishdan iborat. Hisobot tayyorlash. Auditor hisoboti audit o‘tkazishning asosiy hujjati hisoblanadi va uning sifati auditor ishining sifatini xarakterlaydi. Hisobot tarkibida audit o‘tkazish maqsadining tavsifi, tekshiriluvchi axborot tizimining xarakteristikasi, audit o‘tkazish doirasi va ishlatiluvchi usullar bo‘yicha ko‘rsatma, audit- ma’lumotlari tahlilining natijasi, bu natijalarni umumlashtiruvchi va axborot tizimi himoyalanish sathining standart talablarga javob berishi bo‘yicha xulosalar va albatta, mavjud kamchiliklarni bartaraf etish va himoya tizimini takomillashtirish bo‘yicha tavsiyalar bo‘lishi lozim. Yüklə 175,32 Kb. Dostları ilə paylaş:
|