• +90 212 702 00 00
  • +90 532 281 01 42
  • მე info@muayene.co
trarbgzh-TWenfrkadefaru

უსაფრთხოების აუდიტი

ტექნიკური დახმარების აუდიტი
საინფორმაციო ტექნოლოგიების კონტროლი ძირითადად მოიცავს შემდეგ საგნებს: • მონაცემთა ბაზის მართვის სისტემებს (Oracle, Microsoft SQL სერვერი, Sybase და DB2) • ქსელის სისტემები (firewalls), ლოკალური ქსელები (LAN), მარშრუტიზატორები (როუტერები, სვიჩები), IDS/IPS მენეჯმენტი და უკაბელო ქსელები) • ოპერაციული სისტემები (Microsoft Windows, Linux (Red Hat Enterprise და მსგავსი), UNIX (Sun Solaris, HP-UX, IBM AIX და ა.შ.) • აპლიკაციები (განვითარებული ბიზნეს საჭიროებებისთვის, ბუღალტრული აღრიცხვისთვის, კორპორატიული პროგრამული უზრუნველყოფისთვის, როგორიცაა რესურსების დაგეგმვა , ფინანსური ანგარიშები და ინვენტარის მენეჯმენტი) ტექნიკური მხარდაჭერის აუდიტი ფოკუსირებულია ზემოთ პირველ სამ თემაზე. ტექნიკური მხარდაჭერის სერვისების ფარგლებში მოწოდებული ძირითადი სერვისები შემდეგია: • Firewall-ის მართვა (firewall არის კომპიუტერული ქსელების ყველაზე მნიშვნელოვანი თავდაცვის ხაზი) ​​• IPS . / IDS მენეჯმენტი (IDS ნიშნავს შეჭრის აღმოჩენის სისტემას. ამ გზით, გასაგებია, რომ სისტემაზე განხორციელდა თავდასხმა და ამ თავდასხმის წყაროს თავიდან აცილება სისტემაში ხელახლა მისვლაში. IPS ნიშნავს შეჭრის პრევენციის სისტემას. მისი მიზანია თავიდან აიცილოს მავნე ქსელის აქტივობა). • VPN მენეჯმენტი (VPN, რაც ნიშნავს ვირტუალურ კერძო ქსელს, საშუალებას გაძლევთ დაუკავშირდეთ ინტერნეტს სხვა IP მისამართის საშუალებით. ეს აპლიკაცია იცავს ინტერნეტ კავშირს და უზრუნველყოფს, რომ პაროლები და რწმუნებათა სიგელები ვერ მოიძებნოს რომელიმე ქსელთან დაკავშირებისას). • DLP მართვა (DLP, მონაცემთა დაკარგვისა და გაჟონვის პრევენციის სისტემა, არის მონაცემთა დაცვის აპლიკაცია, რომელიც სულ უფრო ხშირად გამოიყენება ინტერნეტის უსაფრთხოების სფეროში. ამ გზით შესაძლებელია არასასურველი ინფორმაციის სისტემიდან გასვლის თავიდან აცილება). • ანტისპამის ფილტრაცია (აპლიკაცია, რომელიც იცავს სპამს ელფოსტის შემოსულებში და ცალკე საქაღალდეში). • ინვენტარიზაციის სამუშაო (ეს არის კვლევა ყველა პროგრამული უზრუნველყოფისა და აპარატურის ინვენტარიზაციისთვის, რომელიც დაკავშირებულია კონკრეტულ ქსელთან ან მუშაობს მარტო). • MDM გადაწყვეტილებები (MDM გადაწყვეტილებები, რაც ნიშნავს მობილური მოწყობილობების მართვას, გაჩნდა იმ იდეით, რომ თუ პერსონალურ კომპიუტერზე შესრულებული ყველაფერი შეიძლება გაკეთდეს მობილურ მოწყობილობებზე, ოფისში შესრულებული სამუშაო შეიძლება გადავიდეს მობილურ მოწყობილობებზე. როგორც ასეთი, მობილური მოწყობილობების მართვამ სერიოზული განზომილება მიიღო). • პაროლის მართვის პრივილეგირებული გადაწყვეტილებები (აპლიკაციების გამრავლებამ ასევე გაზარდა დაშიფვრის საჭიროებები უსაფრთხოების თვალსაზრისით). ჩვენი ორგანიზაცია უზრუნველყოფს ტექნიკური მხარდაჭერის აუდიტის მომსახურებას აუდიტორული მომსახურების ფარგლებში. ამ კვლევებში ჩვენი ორგანიზაცია მუშაობს შესაბამისი სამართლებრივი რეგულაციების, ადგილობრივი და უცხოური ორგანიზაციების მიერ გამოქვეყნებული სტანდარტებისა და ზოგადად მიღებული აუდიტის მეთოდების შესაბამისად.

აპლიკაცია აკონტროლებს კონტროლს

ზოგადი თვალსაზრისით, აპლიკაციების კონტროლი არის მონაცემთა კონტროლის, მონაცემთა გაცვლის, საქმიანი პროცესების შესატყვისი და დაბალანსება და შეცდომების გაშუქების კონტროლის მექანიზმების გამოყენების კონტროლი. სხვა სიტყვებით რომ ვთქვათ, განაცხადის კონტროლი ხორციელდება იმის უზრუნველსაყოფად, რომ:

  • სისტემაში შესული ინფორმაცია ზუსტი, სრულყოფილი, ზუსტი და მხოლოდ ავტორიზებული პირების მიერ შეიქმნა.
  • ინფორმაცია შევიდა სისტემაში მისაღები დროით და მიზანმიმართულად.
  • სისტემაში ჩატარებული ინფორმაცია სრული და ზუსტია
  • სისტემური შედეგები გამოირჩევა სრული და ზუსტი
  • სისტემაში სისტემაში შესვლის, შენახვისა და ბეჭდვის პროცესის სისტემაში შესვლა

არსებობს მრავალი მეთოდი, რომელიც გამოიყენება განაცხადის კონტროლისთვის. მაგალითად, შეყვანის კონტროლი ხორციელდება სისტემაში შესული ინფორმაციის მთლიანობის შესამოწმებლად და როგორ ხდება დაბინძურებული. ეს ინფორმაცია შეიძლება შევიდნენ პირდაპირ სისტემაში დასაქმებულთა ან დისტანციური პარტნიორის მიერ, ან შეიძლება ინტერნეტში შევიდნენ. მონაცემთა დამუშავების კონტროლი ხორციელდება იმის უზრუნველსაყოფად, რომ სისტემაში შესული ინფორმაცია არის სრულყოფილი, ზუსტი და უფლებამოსილი. გამომავალი კონტროლი ხორციელდება იმის დასადგენად, თუ როგორ გამოიყენება სისტემაში მიღებული ინფორმაცია. ინტეგრირებული შემოწმებები ხორციელდება იმისათვის, რომ ინფორმაცია იყოს თანმიმდევრული და სრული. მენეჯმენტის ბილიკების კონტროლი ხორციელდება ინფორმაციის შეტანის, დამუშავებისა და ბეჭდვისათვის განაცხადების ისტორიული კვალირების თვალსაზრისით.

არსებითად, განაცხადის კონტროლი ხორციელდება ორ მიმართულებით: პრევენციული კონტროლი და გამოვლენის კონტროლი. განაცხადის გამოყენების ორივე ტიპი განკუთვნილია განაცხადში შეცდომების აღსაკვეთად. თუმცა, პრევენციული შემოწმებები ხორციელდება იმის უზრუნველსაყოფად, რომ შეყვანილი ინფორმაცია შეესაბამება პროგრამული უზრუნველყოფის ლოგიკას. ამ შემთხვევაში, მხოლოდ სწორი მონაცემები შეიძლება შეიყვანოთ სისტემაში. არასწორი ინფორმაცია შესვლის დროს შეუშალა. განმსაზღვრელი კონტროლის შედეგად, შემდგომში შემოწმებულია თუ არა სისტემაში შესული ინფორმაცია შესაბამისი პროგრამული უზრუნველყოფის ლოგიკის თვალსაზრისით.

განაცხადის კონტროლი კონკრეტული განაცხადის სპეციფიკურია. თუმცა, ინფორმაციული ტექნოლოგიების ზოგადი კონტროლი სპეციფიკურია სისტემის ყველა ჩანაწერის სისრული, სიზუსტე და სისრულე.

ჩვენი ორგანიზაცია უზრუნველყოფს აუდიტის მომსახურების ფარგლებში მომსახურების კონტროლს. ამ კვლევებში, მოქმედებს შესაბამისი სამართლებრივი რეგლამენტით, შიდა და უცხოური ორგანიზაციების მიერ გამოქვეყნებული სტანდარტები და ზოგადად მიღებული აუდიტის მეთოდები.

 

 

კორპორატიული უსაფრთხოების აუდიტი

ინფორმაციული ტექნოლოგიების აუდიტი ტარდება მიზნად იმისა, თუ რამდენად მოსალოდნელია სარგებელი ინფრასტრუქტურისა და პროცესებისგან. ეს შეღავათები შეიძლება ჩამოყალიბდეს შემდეგნაირად:

  • რამდენად შეესაბამება ინფრასტრუქტურა და პროცესები, რომლებსაც შეუძლიათ ბიზნესის საჭიროებების დაკმაყოფილება? (ეფექტურობა)
  • რამდენად ეფექტურია რესურსები? (ეფექტურობა)
  • რამდენად უზრუნველყოფილია კონფიდენციალურობის, ინფორმირებულობისა და ინფორმაციის აქტივების უწყვეტობა? (უსაფრთხოება)
  • და ბოლოს, რამდენი სამართლებრივი რეგლამენტი მიმდინარეობს ამ საკითხებზე?

ინფორმაციული ტექნოლოგიების აუდიტის ჩატარება არის ექსპერტიზის ცალკეული სფერო. თუმცა, არ უნდა იყოს მთლიანად გამოყოფილი საერთო აუდიტის პრინციპებიდან და კრიტერიუმებიდან; ამ თვალსაზრისით, IT უსაფრთხოების აუდიტის ასევე მოითხოვს რისკის დაფუძნებული და ობიექტური მტკიცებულებებზე დაფუძნებული აუდიტის პროცესი.

ორგანიზაციული, პროცესი და ტექნიკური კონტროლი წარმოადგენს საინფორმაციო ტექნოლოგიების აუდიტის საფუძველს. გარდა ამისა, არ უნდა იყოს იგნორირებული ფიზიკური კონტროლის მექანიზმები, რომლებიც უზრუნველყოფენ ინფორმაციული ტექნოლოგიების ინფრასტრუქტურის დაცვას უსაფრთხოების ხარვეზებზე.

ამ ზოგადი პრინციპების გარდა, შესაძლებელია განახორციელოს სპეციალური უსაფრთხოების აუდიტი, რომელიც დამოკიდებულია საწარმოთა საქმიანობაზე და მომსახურების პირობებზე. ამ ინსპექციებში შეიძლება გამოყენებულ იქნას სხვადასხვა მეთოდი. თუმცა, თითოეული მეთოდი სხვადასხვა ეფექტი კრიტერიუმია. ზოგიერთი კრიტიკული კონტროლირებადი სფერო შეიძლება ჰქონდეს განსხვავებული მახასიათებლები კრუმს საქმიანობის მიხედვით. ზოგიერთ სფეროს შეუძლია გარკვეული პერიოდის მნიშვნელობა მოიპოვოს ბიზნესის მიზნების დიფერენციაციაზე. მნიშვნელოვანია ის, რომ ეს პრიორიტეტების გააზრებაა და პრიორიტეტულია ამ განსხვავებები აუდიტის დაგეგმვაში.

ინფორმაციული ტექნოლოგიების აუდიტებში შეიძლება გამოყენებულ იქნას სხვადასხვა პროგრამები და სტანდარტები. მაგალითად,

·         COBIT (ინფორმაციისა და მასთან დაკავშირებული ტექნოლოგიების კონტროლის მიზნები)

·         TS ISO / IEC 27001 საინფორმაციო ტექნოლოგიები - უსაფრთხოების ტექნიკა - ინფორმაციული უსაფრთხოების მართვის სისტემები - მოთხოვნები

·         TS ISO / IEC 27002 საინფორმაციო ტექნოლოგიები - უსაფრთხოების ტექნიკა - საინფორმაციო უსაფრთხოების კონტროლის მექანიზმების გამოყენების პრინციპები

·         PRINCE (პროექტები კონტროლირებად გარემოში)

·         CMMI (შესაძლებლობების სიმწიფის მოდელის ინტეგრაცია, შესაძლებლობების მაქსიმალური მოდელის ინტეგრაცია)

·         ITIL (საინფორმაციო ტექნოლოგიების ინფრასტრუქტურის ბიბლიოთეკა)

 

ჩვენი ორგანიზაცია აუდიტორული მომსახურების ფარგლებში. ამ კვლევებში, მოქმედებს შესაბამისი სამართლებრივი რეგლამენტით, შიდა და უცხოური ორგანიზაციების მიერ გამოქვეყნებული სტანდარტები და ზოგადად მიღებული აუდიტის მეთოდები.

IT აკონტროლებს ზოგად კონტროლს

საწარმოში ბიზნეს პროცესების ხელით ჩატარება იწვევს არასწორი ფინანსური ანგარიშგების მომზადებას, თანამშრომლების უფრო მაღალ რაოდენობას, ყოველ დღე უფრო დიდ რისკებს და შესაძლო მუქარის ქცევას. აქედან გამომდინარე, ძალზედ მნიშვნელოვანია მყარი ინფორმაციული ტექნოლოგიების ინფრასტრუქტურა და საწარმოების ძალაუფლების გაზრდისთვის ძლიერი კონტროლის გარემოს შექმნა.

ზოგადად, საწარმოებში საინფორმაციო ტექნოლოგიების ზოგადი კონტროლი მნიშვნელოვანია სხვადასხვა ასპექტში. ამგვარად, სისტემაზე დაფუძნებული კონტროლისა და ბიზნეს პროცესების მხარდაჭერა და ფინანსური და საოპერაციო რისკები მინიმიზირებულია. გარდა ამისა, გაიზარდა სისტემებთან დაკავშირებული კონტროლისა და პროცესების ეფექტურობა და, რაც მთავარია, მათთვის უზრუნველყოფილი იყო უზრუნველყოფილი. გარდა ამისა, დარწმუნებულია ინფორმაციის მთლიანობა, სისრულე და სიზუსტე.

ზოგადად, ინფორმაციული ტექნოლოგიების ზოგადი კონტროლი სამი ეტაპად არის კონცენტრირებული. ამ ტერიტორიების ინსპექტირებაა კონტროლის მექანიზმების იდენტიფიცირება და რამდენად ეფექტურია ამ კონტროლის რაოდენობა. ეს სფეროებია:

  • მონაცემთა ხელმისაწვდომობა (ინფორმაციული უსაფრთხოება, ავტორიზაცია, ფიზიკური ხელმისაწვდომობა, წვდომის მენეჯმენტი და მონიტორინგის პროცესები ამ ტერიტორიაზე კონტროლდება)
  • პროგრამა და აპლიკაციების განვითარება (განაცხადის განვითარების მეთოდები, მონაცემთა ტრანსფორმაცია, განვითარება, ტესტირება, დამტკიცება და აპლიკაციის პროცესები აკონტროლებს ამ სფეროში)
  • პროგრამული უზრუნველყოფის ცვლილებები (პროგრამული უზრუნველყოფის დამუშავება, ტესტირება და დამტკიცება, პროგრამული უზრუნველყოფის წარმოება გარემოს, კონფიგურაციის და გადაუდებელი ცვლილებების პროცესში)
  • საინფორმაციო ტექნოლოგიების ოპერაციები (ოპერაციების შემდგომი, სარეზერვო და დაბრუნების ოპერაციები და პრობლემების მართვის პროცესები აკონტროლებს ამ სფეროში)

შესრულებული საინფორმაციო ტექნოლოგიების ზოგადი კონტროლი ბიზნეს პროცესებზე დადებითი ეფექტია. დღესდღეობით, ეს კონტროლი ბიზნეს პროცესების მთავარი თემაა. თუ ეს ზოგადი კონტროლი არ არის ძლიერი, ძნელია დაეყრდნოს სისტემაზე დაფუძნებული კონტროლი და პროცესი ზედამხედველობით ნებისმიერი ბიზნეს პროცესის დროს. ზოგადი კონტროლი სისტემებში გამართული მონაცემების მთლიანობას, სიზუსტეს და სისრულეს უზრუნველყოფს. აქედან გამომდინარე, სისტემის ყველა ბიზნეს პროცესის გამოყენება დაზარალდება ინფორმაციული ტექნოლოგიების ზოგად კონტროლზე.

ჩვენი ორგანიზაცია აუდიტის მომსახურების ფარგლებში უზრუნველყოფს საინფორმაციო ტექნოლოგიების ზოგადი კონტროლი. ამ კვლევებში, მოქმედებს შესაბამისი სამართლებრივი რეგლამენტით, შიდა და უცხოური ორგანიზაციების მიერ გამოქვეყნებული სტანდარტები და ზოგადად მიღებული აუდიტის მეთოდები.

 

 

Cobit კონტროლი

COBIT ითვალისწინებს ინფორმაციისა და მასთან დაკავშირებული ტექნოლოგიების კონტროლის მიზნებს ინგლისურ ენაზე და წარმოადგენს ინფორმაციისა და მასთან დაკავშირებული ტექნოლოგიების კონტროლის მიზნებს. ინფორმაციული ტექნოლოგიების სფეროში მოქმედი კომპანიები საინფორმაციო ტექნოლოგიების მართვის მოდელს ქმნიან და ცდილობენ საკუთარი ბიზნესის აქტივების დაცვა. თუმცა, COBIT არ არის მხოლოდ კონტროლის ინსტრუმენტი, არამედ მართვის ინსტრუმენტი. მიუხედავად ამისა, იგი ყურადღებას ამახვილებს ზედამხედველობაზე. ამ გზით, მიზნად ისახავს საწარმოების მართვის თანამშრომლებისათვის საწარმოების არსებობისა და წარმატების მიღწევის უზრუნველსაყოფად საინფორმაციო ტექნოლოგიების სფეროში თანამშრომლებისათვის.

COBIT- ის მნიშვნელობა, განსაკუთრებით ჩვენი ქვეყნის ფინანსურ სექტორში, აღიარებულია და ბოლო წლებში ბევრ სფეროში იქნა ნანახი. COBIT ითვალისწინებს ინფორმაციული ტექნოლოგიების მენეჯმენტში მიღწეული მიზნების მიღწევას. COBIT გთავაზობთ საინფორმაციო ტექნოლოგიების ფუნქციების დაფარვას. COBIT მოიცავს პროცესების სფეროების ოთხ ჯგუფს და 34 პროცესებს, რაც მოიცავს მთელ IT მენეჯმენტს. სინამდვილეში, COBIT ყურადღებას ამახვილებს საინფორმაციო ტექნოლოგიების მენეჯმენტზე და არა საინფორმაციო ტექნოლოგიების პროცესებზე. იგი პირველად გამოიცა COBIT 1996- ში.

პირველად ჩვენს ქვეყანაში, ზოგიერთი ბანკის ექვემდებარება COBIT დაფუძნებული სპეციალური აუდიტის BRSA. ამ ტიპის აუდიტი მთელი ბანკებში გაგრძელდა 2006 და სავალდებულო იყო. ახლა ისევ ორ წელიწადში ერთხელ არის განმეორებული. მიუხედავად იმისა, რომ წარსულში გარკვეული პრობლემები არსებობდა, დღესდღეობით ბანკები ატარებენ თავიანთ საინფორმაციო ტექნოლოგიების პროცესებს ამ სტანდარტის შესაბამისად და უფრო ეფექტურად და ეფექტურად ახორციელებენ პროცესებს.

სინამდვილეში, BRSA- ს განსახორციელებამდე, ზოგიერთმა ბანკმა მოახერხა საინფორმაციო ტექნოლოგიების პროცესები COBIT- ის შესაბამისად. თუმცა, საბანკო საქმე არ არის ერთადერთი ტერიტორია, სადაც გამოიყენება COBIT. ფინანსთა და საწარმოო სექტორში ბევრი კომპანია იყენებს COBIT პროცესის მართვის პროცესს.

ინფორმაციული ტექნოლოგიების პროცესების აუდიტი აღარ არის საინჟინრო სფეროს ინფორმაციული ტექნოლოგიების საფუძველზე და მოიცავს საბუღალტრო და ანგარიშგებას ბიზნესში. ინფორმაციული ტექნოლოგიების აუდიტის ჩატარებასთან დაკავშირებული დამოუკიდებელი აუდიტი უფრო მნიშვნელოვანი ხდება, განსაკუთრებით მაშინ, როდესაც კომერციული ცხოვრება უფრო საიმედო ხდება და საბანკო სექტორში განვითარებული მოვლენები გათვალისწინებულია.

 

ჩვენი ორგანიზაცია კორპორატიული აუდიტი აუდიტის მომსახურების ფარგლებში. ამ კვლევებში, მოქმედებს შესაბამისი სამართლებრივი რეგლამენტით, შიდა და უცხოური ორგანიზაციების მიერ გამოქვეყნებული სტანდარტები და ზოგადად მიღებული აუდიტის მეთოდები.

სხვა სტატიები ...

  1. PCI DSS აუდიტი და სერტიფიკაცია
  2. შეღწევადობის ტესტები

სერტიფიკაციის მომსახურება