Загрози та засоби безпеки комп'ютерних інформаційних систем підприємства при проведенні аудиту

Содержание

Слайд 2

План лекції: 1. Особливості роботи аудитора при застосуванні КІСП 2. Загрози

План лекції:

1. Особливості роботи аудитора при застосуванні КІСП
2. Загрози функціонування

КІСП
3. Інформаційні ресурси та загрози їх безпеці
4. Засоби забезпечення безпеки КІСП
5. Взаємодія суб’єктів у полі КІСП
6. Відповідальність за незаконність використання інформаційних систем
Слайд 3

І

І

Слайд 4

Проведення аудиту в умовах КІСП регламентується МСА № 401 «Аудит у середовищі комп'ютерних інформаційних систем».

Проведення аудиту в умовах КІСП регламентується МСА
№ 401 «Аудит у

середовищі комп'ютерних інформаційних систем».
Слайд 5

Слайд 6

Аудитор зобов'язаний мати уявлення про: значимість і склад- ність процесів функціонування

Аудитор зобов'язаний мати уявлення про:

значимість і склад-
ність процесів функціонування КІСП
доступність

даних для використання в аудиті
Слайд 7

Аудитор зобов'язаний: 1) мати уявлення про технічний, програмний, математичний та інші

Аудитор зобов'язаний:

1) мати уявлення про технічний, програмний, математичний та інші

види забезпечення КІСП

2) володіти термінологією в галузі комп'ютеризації

3) мати практичний досвід роботи з різними системами бухгалтерського обліку, аналізу, з правовими і довідковими системами, із спеціальними інформаційними системами аудиту

4) мати додаткові знання в галузі систем обробки економічної інформації

Слайд 8

Вимоги до програмного забезпечення — забезпечення безперервного і безпо-милкового виконання перед-бачених

Вимоги до програмного забезпечення

— забезпечення безперервного і безпо-милкового виконання перед-бачених функцій

(збір даних, обробка, автоматичне обчислення показників, надання даних користувачу).

ІІ

Слайд 9

Згідно з Законом України «Про захист інформації в автоматизованих системах»: “порушення

Згідно з Законом України «Про захист інформації в автоматизованих системах»: “порушення

роботи КІСП” — дії або обставини, які призводять до спотворення процесу збирання, обробки, зберігання та надання інформації.
Слайд 10

Виходячи з визначення, існують такі такі загрози функціонуванню інформаційної системи: Збирання

Виходячи з визначення, існують такі такі загрози функціонуванню інформаційної системи:

Збирання інформації

1

Помилкова

інформація

Неправдива інформація

Слайд 11

Обробка інформації 2 Помилки в алгоритмах Навмисне викривлення алгоритмів


Обробка інформації

2

Помилки в алгоритмах

Навмисне викривлення алгоритмів

Слайд 12

Помилки в програмних алгоритмах При неправильному складанні програ-містом алгоритму часто повторюваних

Помилки в
програмних
алгоритмах

При неправильному складанні програ-містом алгоритму часто повторюваних розрахунків

підви-щується ймовірність системних помилок і
неточностей
Слайд 13

Зберігання інформації 3 Навмисне знищення Ненавмисне знищення Перепади живлення


Зберігання інформації

3

Навмисне знищення

Ненавмисне знищення

Перепади живлення

Слайд 14

Порушення цілісності При поданні інформації у формі великої бази даних існує

Порушення
цілісності

При поданні інформації у формі великої бази даних існує ризик

втрати фрагментів (а іноді — і всього обсягу) цієї інформації, необ-хідності її термінового відновлення
Слайд 15

Надання інформації 4 Порушення каналу зв'язку Перехоплення повідомлення


Надання інформації

4

Порушення каналу зв'язку

Перехоплення повідомлення

Слайд 16

Порушення конфіден- ційності Можливий витік або несанкціонована зміна інформації (в т.ч. конфіденційної)

Порушення
конфіден-
ційності

Можливий витік або несанкціонована зміна інформації
(в т.ч. конфіденційної)

Слайд 17

Вимоги до інформації: конфіденційність — забезпечення надання доступу до інформації тільки

Вимоги до інформації:

конфіденційність — забезпечення надання доступу до інформації тільки уповноваженим

на це користувачам;

цілісність — гарантування точності та повноти інформації та методів обробки;

доступність — забезпечення того, що уповноважені користувачі на вимогу отримують доступ до інформації.

ІІІ

Слайд 18

ЗАГРОЗИ, що призводять до порушення вимог щодо інформації: 1. Витік інформації

ЗАГРОЗИ, що призводять до порушення вимог щодо інформації:

1. Витік інформації

результат дій

порушника, внаслідок яких інформація стає відомою суб'єктам, що не мають права доступу до неї.

2. Втрата інформації

дії, внаслідок яких інформація перестає існувати для осіб, які мають право власності на неї в повному чи обмеженому обсязі.

Слайд 19

3. Підробка інформації навмисні дії, що призводять до перекручення інформації, яка

3. Підробка інформації

навмисні дії, що призводять до перекручення інформації, яка повинна

оброблятися або зберігатися в автоматизованій системі.

4. Блокування інформації

дії, наслідком яких є припинення доступу до інформації.

Слайд 20

Слайд 21

Класи загроз безпеці інформації: Ненавмисні Навмисні

Класи загроз безпеці інформації:

Ненавмисні

Навмисні

Слайд 22

некваліфіковані дії працівників неуважність користувачів або адміністрації вихід з ладу апаратних

некваліфіковані дії працівників

неуважність користувачів або адміністрації

вихід з ладу апаратних засобів

вихід з

ладу апаратних засобів
(коротке замикання, стихійні лиха, перепади струму)

помилки в програм-
ному забезпеченні

Ненавмисні

Слайд 23

АКТИВНІ Навмисні ПАСИВНІ мають на меті завдання збитку користувачам інформаційної системи.

АКТИВНІ

Навмисні

ПАСИВНІ

мають на меті завдання збитку користувачам інформаційної системи.

Слайд 24

АКТИВНІ - порушення нормального процесу функціонування КІСП шляхом цілеспрямова-ного впливу на

АКТИВНІ -

порушення нормального процесу функціонування КІСП шляхом цілеспрямова-ного впливу на

апаратні, програмні та інформаційні
ресурси.

Крадіжка обладнання

Навмисний злом
системи безпеки
(підбір паролю)

Шкідливі програми
(віруси)

Слайд 25

ПАСИВНІ - спрямовані на несанкціоно-ване використання інформа-ційних ресурсів системи, не порушуючи

ПАСИВНІ -

спрямовані на несанкціоно-ване використання інформа-ційних ресурсів системи, не порушуючи

при цьому її функціонування.

Використання ресурсів не за призначенням

Несанкціонований
перегляд інформації
(підслуховування,
шпигунство)

Слайд 26

ЗАСОБИ забезпечення безпеки КІСП Засоби попередження порушень безпеки Засоби виявлення порушень

ЗАСОБИ забезпечення безпеки КІСП

Засоби попередження порушень безпеки

Засоби виявлення порушень безпеки


Засоби зменшення збитків і відновлення системи після інциденту

ПРОФІЛАКТИЧНІ

МОНІТОРИНГОВІ

КОРИГУВАЛЬНІ

ІV

Слайд 27

Профілактичні Апаратне забезпечення Програмне забезпечення Інформація регулярні технічні огляди 2) оновлення

Профілактичні

Апаратне
забезпечення

Програмне
забезпечення

Інформація

регулярні технічні огляди
2) оновлення апаратних засобів
3) фізичний захист від

крадіжки
4) засоби протидії стихії або перепадам
напруги

1) встановлення останніх онов-лень до опера-ційних систем
2) встановлення і підтримання антивірусних програм
3) підтримка ліцензійної чистоти програмного забезпечення

1) шифрування даних
2) ідентифікація
3) аутентифікація
4) призначення відповідальності за помилки у введених даних та за помилкове знищення даних

Слайд 28

Шифрування — процес, в результаті якого інформація змінюється таким чином, що

Шифрування — процес, в результаті якого інформація змінюється таким чином, що

може бути розпізнаною тільки відповідними особами. Базується на ключах, без яких неможливо розшифрувати
інформацію
Слайд 29

Ідентифікація дає змогу впізнати користувача системи Аутентифікація — це процес достовірної перевірки відповідності когось чи чогось

Ідентифікація дає змогу впізнати користувача системи

Аутентифікація — це процес достовірної

перевірки відповідності когось чи чогось
Слайд 30

Підходи до аутентифікації: Використання чогось, що знає користувач Використання чогось, що

Підходи до аутентифікації:

Використання чогось, що знає користувач

Використання чогось, що має

користувач
Використання того, ким є користувач
Слайд 31

Моніторингові Апаратне забезпечення Програмне забезпечення Інформація ведення журналів роботи обладнання та

Моніторингові

Апаратне
забезпечення

Програмне
забезпечення

Інформація

ведення журналів роботи обладнання та технічних оглядів
2) автоматизація обробки надзвичайних

ситуацій (виклик системного адміністратора)

1) ведення жур-налів операцій-них систем і прикладних програм
2) регулярна пе-ревірка цілісності програмного забезпечення за допомогою спеціалізованого програмного забезпечення

1) регулярна перевірка цілісності інформації

Слайд 32

Коригувальні Апаратне забезпечення Програмне забезпечення Інформація страхування апаратного забезпечення 2) передбачення

Коригувальні

Апаратне
забезпечення

Програмне
забезпечення

Інформація

страхування апаратного забезпечення
2) передбачення додаткових потужностей

1) регулярне резервне

копіювання системи
2) детальне документування всіх змін алгоритмів обробки даних

1) регулярна архівація

Слайд 33

Слайд 34

Політика безпеки — це набір правил і норм, які визначають, як підприємство обробляє та захищає інформацію.

Політика безпеки — це набір правил і норм, які визначають, як

підприємство обробляє та захищає інформацію.
Слайд 35

До політики безпеки входять: планування непередбачуваних ситуацій та стихійних лих (ненавмисних

До політики безпеки входять:

планування непередбачуваних ситуацій та стихійних лих (ненавмисних

порушень безпеки)

опрацювання інцидентів (навмисних порушень безпеки )

Слайд 36

V П-ство Аудиторські фірми Спільноти фахівців із захисту інформації Фірми, що

V

П-ство

Аудиторські фірми

Спільноти фахівців із захисту інформації

Фірми, що надають послуги з інф.

безп.

Хакерські спільноти

Державні органи

Слайд 37

Головний суб'єкт – підприємство. Інтерес, що виявляється до фірми, прямо пропорційний

Головний суб'єкт – підприємство.
Інтерес, що виявляється до фірми, прямо пропорційний ступеню

її процвітання.
Високі доходи і сильна конкуренція - мотив для порушення інформаційної безпеки п-ства.
Слайд 38

Хакери. Вчений М. Кілджер розробив класифікацію мотивацій хакерів, яку назвав МЕЕСЕS:

Хакери.
Вчений М. Кілджер розробив класифікацію мотивацій хакерів, яку назвав МЕЕСЕS:


1) гроші (Money),
2) самоствердження (Ego),
3) справа (Entertainment),
4) розвага (Cause),
5) входження у соціальні групи (Entrance to social groups),
6) статус (Status)
Слайд 39

Хакери завдають пряму шкоду (злам КІС, порушення їх роботи, викрадення і

Хакери завдають
пряму шкоду (злам КІС, порушення їх роботи, викрадення і

знищення інформації)
і непряму шкоду (виявляють слабкі місця операційних систем і програмних продуктів, розробляють спеціальне програмне забезпечення для злому, створюють комп'ютерні віруси)
Слайд 40

Спільноти фахівців із захисту інформації 1) розробляють стандарти інформаційної безпеки для

Спільноти фахівців із захисту інформації
1) розробляють стандарти інформаційної безпеки для різних

інформаційних систем;
2) пропонують послуги із сертифікації програмних продуктів.
Слайд 41

Аудиторські фірми 1) оцінюють ризики злому системи; 2) тестують інформаційну безпеку підприємства.

Аудиторські фірми

1) оцінюють ризики злому системи;
2) тестують інформаційну безпеку підприємства.

Слайд 42

Держава представлена: Орг-ції І типу Орг-ції ІІ типу науково-дослідні установи, які

Держава представлена:

Орг-ції І типу

Орг-ції ІІ типу

науково-дослідні установи, які займаються теорет. і

практичними аспектами інфор-маційної безпеки
спеціальні підрозділи силових відомств — міністерств внутрішніх справ, спеціальних служб
Слайд 43

Орг-ції І типу науково-дослідні установи Результат роботи - технічні документи рекомен-дації, довідники, посібники

Орг-ції І типу

науково-дослідні установи

Результат роботи - технічні документи рекомен-дації, довідники,

посібники
Слайд 44

Орг-ції ІІ типу спеціальні підрозділи силових відомств стежити за дотриманням законодавства у сфері інформаційної безпеки

Орг-ції ІІ типу

спеціальні підрозділи силових відомств

стежити за дотриманням законодавства у

сфері інформаційної безпеки
Слайд 45

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (2000 р.) виконує функції:

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (2000

р.)
виконує функції:
Слайд 46

1) визначає порядок та вимоги щодо захисту інформації; 2) здійснення державного

1) визначає порядок та вимоги щодо захисту інформації;
2) здійснення державного контролю

за станом захисту державних інформаційних ресурсів в мережах передачі даних.
Слайд 47

VІ Нормативно-правове регулювання інформаційної безпеки «Про інформацію»; «Про захист інформації в


Нормативно-правове регулювання інформаційної
безпеки

«Про інформацію»;
«Про захист інформації в автоматизованих

системах»;
«Про електронний цифровий підпис»;
«Про електронні документи та електронний документообіг».

Закони України

Слайд 48

Про технічний захист інформації Положення Концепція технічного захисту інформації в Україні

Про технічний захист інформації

Положення

Концепція технічного захисту інформації в Україні

визначає основні

загрози безпеці інформації

визначає порядок роботи і повноваження органів, що займаються діяльністю з технічного захисту інформації

Концепція

Слайд 49

Розділ XVI Кримінального кодексу «Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів),

Розділ XVI Кримінального кодексу
«Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів),

систем та комп'ютерних мереж і мереж електрозв'язку»
Слайд 50

Незаконне втручання в роботу ЕОМ (комп'ютерів) Викрадення, привласнення, вимагання інформації або

Незаконне втручання в роботу ЕОМ (комп'ютерів)

Викрадення, привласнення, вимагання інформації або

заволодіння нею шляхом шахрайства чи зловживання службовим становищем

Порушення правил експлуатації електронно-обчислю-вальних систем

Слайд 51

Відповідальність Наслідки перекручення чи знищення комп'ютерної інформації або носіїв такої інформації,

Відповідальність

Наслідки

перекручення чи знищення комп'ютерної інформації або носіїв такої інформації, а також

розповсюдження комп'ютерного вірусу

штраф до 70 неоп. мінімумів доходів громадян або виправні роботи на строк до 2 років, або обмеження волі до 2 років

ті самі дії, якщо вони заподіяли істотну шкоду або вчинені повторно чи за попередньою змовою групою осіб

штраф від 100-400 неоп. мінімумів доходів громадян або обмеження (позбавлення) волі від 3 до 5 років

Слайд 52

Відповідальність Наслідки штраф від 50 до 200 неоп. мінімумів доходів громадян

Відповідальність

Наслідки

штраф від 50 до 200 неоп. мінімумів доходів громадян або виправні

роботи на строк до 2 років

ті самі дії, якщо вони вчинені повторно чи за попередньою змовою групою осіб

штраф від 100-400 неоп. мінімумів доходів грома-дян або обмеження (поз-бавлення) волі до 3 років

ті самі дії, якщо вони заподіяли істотну шкоду

інформація вибуває із правомірного володіння власника і надходить у володіння винної особи

позбавлення волі
від 2 до 5 років

Слайд 53

Відповідальність Наслідки Необережність, що призвела до незаконного копіювання комп'ютерної інформації штраф

Відповідальність

Наслідки

Необережність, що призвела до незаконного копіювання комп'ютерної інформації

штраф до 50

неоп. мінімумів доходів громадян або позбавлення права обіймати певні посади до 5 років

ті самі дії, якщо вони заподіяли істотну шкоду

штраф до 100 неоп. мінімумів доходів громадян або обмеження волі до 3 років

- Предыдущая
Математическое и физическое моделирование. Тепловые испытания в системе комплексного моделирования
Следующая -
Кейс-метод

Похожие презентации

Схема взаимодействия № 1 - Торговая точка партнера
Современное состояние и совершенствование учета готовой продукции, аудит ее ассортимента и качества
Сравнительный подход
Прогнозирование диапазона изменения цен валютных пар в краткосрочном периоде
Инвестиционные программы и продукты SOVA Investment
Правовые основы ведения бухгалтерского учета и составления бухгалтерской отчетности
Система государственных пособий
Бюджетная политика
Годовой производственно-финансовый план деятельности сельскохозяйственного предприятия
Предмет, задачи, базовые понятия финансового менеджмента
Доходы домашнего хозяйства. Семейный бюджет
Світова валютна система
1C:ERP Управление предприятия
Ресурсы коммерческого банка
Финансовое оздоровление предприятия
Основы функционирования банковской системы РФ. Лекция № 11
Оценка и калькуляция
Совершенствование кредитной политики на примере банка ВТБ 24А
Функции денежной единицы
Evaluarea unui bun imobil comercial din orașul Hînceșt
Стимулирование занятости
Проектирование, поставка и монтаж оборудования пешеходного (сухого) фонтана г. Чаплыгин
Муниципальные ценные бумаги, их характеристика
Порядок выдачи cash on card. Требования к клиенту
Налоговая выгода. Статья 54.1 НК РФ
Потребительское поведение. Расходы студентов на литературу
Понятия налоговый вычет и налоговая выгода. Бизнес - справка для доказательства проявления Должной осмотрительности
CardService. Карта лояльности с кредитным лимитом
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть