• +90 212 702 00 00
  • +90 532 281 01 42
  • I info@muayene.co
trarbgzh-TWenfrkadefaru

Одит на сигурността

Одити за техническа поддръжка
Контролът на информационните технологии обхваща основно следните предмети: • Системи за управление на бази данни (Oracle, Microsoft SQL сървър, Sybase и DB2) • Мрежови системи (защитни стени), локални мрежи (LAN), рутери (рутери, комутатори), IDS / IPS управление и безжични мрежи) • Операционни системи (Microsoft Windows, Linux (Red Hat Enterprise и подобни), UNIX (Sun Solaris, HP-UX, IBM AIX и др.) • Приложения (разработени за бизнес нужди, счетоводство, корпоративен софтуер като планиране на ресурси , финансови отчети и управление на инвентара) Одитите на техническата поддръжка се фокусират върху първите три теми по-горе. Основните услуги, предоставяни в обхвата на услугите за техническа поддръжка, са следните: • Управление на защитна стена (защитните стени са най-важната защитна линия на компютърните мрежи) • IPS ./ IDS управление (IDS означава система за откриване на проникване. По този начин се разбира, че е извършена атака срещу системата и източникът, който е извършил тази атака, е предотвратен от повторно достигане до системата. IPS означава система за предотвратяване на проникване. Целта му е да предотврати злонамерена мрежова дейност). • Управление на VPN (VPN, което означава виртуална частна мрежа, ви позволява да се свържете с интернет през друг IP адрес. Това приложение защитава интернет връзката и гарантира, че паролите и идентификационните данни не могат да бъдат намерени при свързване към която и да е мрежа). • DLP управление (DLP, система за предотвратяване на загуба и изтичане на данни, е приложение за защита на данните, което се използва все по-често в областта на интернет сигурността. По този начин може да се предотврати напускането на нежелана информация от системата). • Филтриране на нежелана поща (приложение за предпазване на нежеланата поща от входящата поща и в отделна папка). • Работа по инвентаризация (това е проучване за инвентаризация на целия софтуер и хардуер, който е свързан към определена мрежа или работи самостоятелно). • MDM решения (MDM решенията, което означава управление на мобилни устройства, се появиха с идеята, че ако всичко, направено на персонален компютър, може да се направи на мобилни устройства, работата, извършена в офиса, може да бъде преместена на мобилни устройства. Като такива, управлението на мобилни устройства придоби сериозно измерение). • Решения за управление на привилегировани пароли (разпространението на приложения също увеличи нуждите от криптиране по отношение на сигурността). Нашата организация предоставя услуги за одит на техническа поддръжка в рамките на обхвата на одиторските услуги. В тези проучвания нашата организация работи в съответствие със съответните правни разпоредби, стандарти, публикувани от местни и чуждестранни организации и общоприети методи за одит.

Проверки за контрол на приложенията

Най-общо казано, контролът на приложенията представлява съвкупност от контроли на обхвата на приложните системи за регулиране на данните, разделяне, съгласуване и балансиране на бизнес процесите и отчитане на грешки. С други думи, контролът на прилагането се извършва, за да се гарантира, че:

  • Въведената в системата информация е точна, пълна, точна и е създадена само от упълномощени лица.
  • Информацията се въвежда в системата в приемливо време и по целенасочен начин.
  • Информацията в системата е пълна и точна
  • Изходите от системата са пълни и точни
  • Въвеждане на информация в системата, съхраняване и отпечатване в системата

Има много методи, използвани за извършване на контрол на приложенията. Например, контролът на входа се извършва, за да се провери целостта на информацията, въведена в системата и как е замърсена. Тази информация може да бъде въведена директно в системата от служители или от отдалечен партньор, или може да бъде въведена чрез интернет. Контролът за обработка на данните се извършва, за да се гарантира, че въведената в системата информация е пълна, точна и разрешена. Контролите на изхода се извършват, за да се определи как се използва информацията, получена от системата. Проверките за почтеност се извършват, за да се гарантира, че информацията е последователна и пълна. Контролът на управленските следи се извършва с цел проследяване на историческата следа от заявления за въвеждане, обработка и отпечатване на информация.

По същество контролът на прилагането се извършва в две направления: превантивни контроли и контроли за откриване. И двата вида контрол на приложенията са предназначени за предотвратяване на грешки в приложението. Въпреки това се извършват превантивни проверки, за да се гарантира, че въведената информация е в съответствие с логиката на софтуера. В този случай в системата могат да се въвеждат само правилните данни. Неправилната информация се предотвратява по време на въвеждането. В определителните контроли впоследствие се проверява дали въведената в системата информация е подходяща от гледна точка на логиката на софтуера.

Контролите на приложенията са специфични за конкретно приложение. Общият контрол на информационните технологии обаче е специфичен за пълнотата, точността и пълнотата на всички записи в системата.

нашата организация предоставя услуги за контрол на приложенията в рамките на одитните услуги. В тези проучвания, работи в съответствие със съответните законови разпоредби, стандарти, публикувани от местни и чуждестранни организации и общоприети методи за одит.

 

 

Частни одити за сигурност

Одитът на информационните технологии се извършва с цел да се гарантира, че очакваните ползи се получават от инфраструктурата и процесите. Тези ползи могат да бъдат изброени, както следва:

  • До каква степен инфраструктурата и процесите са в състояние да отговорят на нуждите на бизнеса? (Ефикасност)
  • Колко ефективни са използваните ресурси? (Ефективност)
  • До каква степен е осигурена защитата на поверителността, целостта и непрекъснатостта на информационните активи? (Безопасност)
  • И накрая, колко правни регламенти се следват по тези въпроси?

Одитът на информационните технологии, който трябва да се извърши, е отделна област на експертиза. Въпреки това той не трябва да бъде напълно отделен от общите принципи и критерии за одит; В това отношение, одити на ИТ сигурността изискват и базиран на риска и обективен процес, основан на доказателства.

Организационният, процесният и техническият контрол формират основата на одитите на информационните технологии. Освен това не следва да се пренебрегват физическите контроли, които подпомагат защитата на информационните технологични инфраструктури срещу пропуски в сигурността.

В допълнение към тези общи принципи е възможно извършването на специални одити по сигурността в зависимост от сферата на дейност и условията на обслужване на предприятията. При тези проверки могат да се използват много различни методи. Всеки метод обаче сам по себе си има различни критерии за въздействие. Някои критични контролируеми зони могат да имат различни характеристики в зависимост от дейностите на Крум. Някои области също могат да придобият значение в определени периоди в зависимост от диференциацията на бизнес целите. Важно е да се реализират тези приоритети и да се даде приоритет на тези различия при планирането на одита.

При одитите на информационните технологии могат да се прилагат различни приложения и стандарти. Например,

·         COBIT (цели за контрол на информацията и свързаните с тях технологии)

·         TS ISO / IEC 27001 Информационни технологии - Методи за сигурност - Системи за управление на информационната сигурност - Изисквания

·         TS ISO / IEC 27002 Информационни технологии - Техники за сигурност - Принципи на приложение за контрол на информационната сигурност

·         PRINCE (Проекти в контролирани среди)

·         CMMI (Интеграция на модела за зрялост на капацитета, интеграция на зрелостния модел на капацитета)

·         ITIL (Библиотека за инфраструктура за информационни технологии)

 

нашата организация в обхвата на одиторските услуги. В тези проучвания, работи в съответствие със съответните законови разпоредби, стандарти, публикувани от местни и чуждестранни организации и общоприети методи за одит.

Общи одити за контрол на ИТ

Ръчното провеждане на бизнес процеси в предприятието води до изготвяне на неправилни финансови отчети, по-голям брой служители, по-големи оперативни рискове всеки ден и възможни злонамерени действия. Ето защо е изключително важно да има солидна инфраструктура за информационни технологии и да се създаде силна контролна среда, за да се увеличи силата на предприятията.

Като цяло, общият контрол на информационните технологии в предприятията е важен в различни аспекти. По този начин се поддържат системен контрол и бизнес процеси и се свеждат до минимум финансовите и операционните рискове. Освен това ефикасността на контролите и процесите, свързани със системата, е увеличена и най-важното е, че им е предоставена увереност. В допълнение, целостта на информацията, пълнотата и точността са гарантирани.

Като цяло общият контрол на информационните технологии се концентрира в три етапа. Проверката на тези зони е да се идентифицират контролните точки и да се провери доколко тези контролни точки са ефективни. Тези полета са:

  • Достъпът до данни (информационна сигурност, оторизация, физически достъп, управление на достъпа и процеси на наблюдение се контролират в тази област)
  • Разработване на програми и приложения (методи за разработка на приложения, трансформация на данни, разработване, тестване, одобрение и процеси на приложение)
  • В тази област се контролират софтуерни промени (разработване на софтуер, тестване и одобрение, прехвърляне на софтуер към производствена среда, конфигуриране и спешни процеси на промяна)
  • В тази област се контролират операциите на информационните технологии (операции по проследяване, операции по архивиране и връщане и процеси за управление на проблеми)

Общият контрол на извършваните информационни технологии оказва положително въздействие върху бизнес процесите. Днес тези контроли са основата на бизнес процесите. Ако тези общи проверки не станат силни, е трудно да се разчита на системен контрол и процеси под надзора на всеки бизнес процес. Общите контроли осигуряват целостта, точността и пълнотата на данните, съхранявани в системите. Следователно всички бизнес процеси, използващи системата, са засегнати от общия контрол на информационните технологии.

нашата организация В обхвата на одиторските услуги се осигурява общ контрол на информационните технологии. В тези проучвания, работи в съответствие със съответните законови разпоредби, стандарти, публикувани от местни и чуждестранни организации и общоприети методи за одит.

 

 

Одити на Cobit

COBIT означава Контролни цели за информация и свързани с тях технологии на английски език и означава Контролни цели за информация и свързани технологии. Компаниите, работещи в областта на информационните технологии, разработват модел за управление на информационните технологии и се опитват да защитят активите на своя бизнес. COBIT обаче не е само инструмент за контрол, а по-скоро инструмент за управление. Въпреки това той се фокусира повече върху надзора. По този начин тя има за цел да осигури ползи за съществуването и успеха на предприятието от управленския персонал на предприятията до служителите в областта на информационните технологии.

Значението на COBIT, особено във финансовия сектор у нас, е признато и се наблюдава в много области през последните години. COBIT определя целите, които трябва да бъдат постигнати при управлението на информационните технологии. COBIT предлага рамка, обхващаща всички функции на информационните технологии. COBIT включва четири групи процеси и процеси 34, които обхващат цялото управление на ИТ. Всъщност COBIT се фокусира върху управлението на информационните технологии, а не върху процесите в информационните технологии. За първи път е издаден в COBIT 1996.

За първи път в нашата страна някои банки са били подложени на специален одит, базиран на COBIT от BRSA. Този вид одит беше разширен до всички банки в 2006 и беше задължителен. Сега се повтаря веднъж на всеки две години. Въпреки че в миналото имаше някои проблеми, днес банките управляват процесите си в информационните технологии в съответствие с този стандарт и управляват процесите си по-ефективно и по-ефективно.

Всъщност, дори преди да се предвиди BRSA, някои банки управляваха своите процеси за информационни технологии в съответствие с COBIT. Банката обаче не е единствената област, в която се прилага COBIT. Много компании от финансовия и производствения сектор използват COBIT за управление на процесите.

Одитът на процесите в информационните технологии вече не е сфера на инженеринг, базирана на информационните технологии и включва счетоводство и отчитане в рамките на бизнес наука. Независимият одит, който трябва да се извърши във връзка с одита на информационните технологии, става по-важен, особено когато търговският живот стане по-надежден и се вземат под внимание развитието на банковия сектор.

 

нашата организация COBIT одити в обхвата на одиторските услуги. В тези проучвания, работи в съответствие със съответните законови разпоредби, стандарти, публикувани от местни и чуждестранни организации и общоприети методи за одит.

Още статии ...

  1. PCI DSS одити и сертифициране
  2. Тестове за проникване

Сертификационни услуги