ПРОВЕДЕННІ АУДИТУ
- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Загрози та засоби безпеки комп'ютерних інформаційних систем підприємства при проведенні аудиту презентация
Содержание
- 1. Загрози та засоби безпеки комп'ютерних інформаційних систем підприємства при проведенні аудиту
- 2. План лекції: 1. Особливості роботи аудитора при
- 3. І
- 4. Проведення аудиту в умовах КІСП
- 6. Аудитор зобов'язаний мати уявлення про:
- 7. Аудитор зобов'язаний: 1) мати уявлення
- 8. Вимоги до програмного забезпечення — забезпечення безперервного
- 9. Згідно з Законом України «Про захист інформації
- 10. Виходячи з визначення, існують такі такі загрози
- 12. Помилки в програмних алгоритмах
- 14. Порушення цілісності При поданні
- 16. Порушення конфіден- ційності
- 17. Вимоги до інформації: конфіденційність — забезпечення надання
- 18. ЗАГРОЗИ, що призводять до порушення вимог щодо
- 19. 3. Підробка інформації навмисні дії, що призводять
- 21. Класи загроз безпеці інформації: Ненавмисні Навмисні
- 22. некваліфіковані дії працівників неуважність користувачів або адміністрації
- 23. АКТИВНІ Навмисні ПАСИВНІ мають на меті завдання збитку користувачам інформаційної системи.
- 24. АКТИВНІ - порушення нормального процесу функціонування
- 25. ПАСИВНІ - спрямовані на несанкціоно-ване використання
- 26. ЗАСОБИ забезпечення безпеки КІСП Засоби попередження порушень
- 27. Профілактичні Апаратне забезпечення Програмне забезпечення Інформація
- 28. Шифрування — процес, в результаті якого
- 29. Ідентифікація дає змогу впізнати користувача системи
- 30. Підходи до аутентифікації: Використання чогось,
- 31. Моніторингові Апаратне забезпечення Програмне забезпечення Інформація
- 32. Коригувальні Апаратне забезпечення Програмне забезпечення Інформація
- 34. Політика безпеки — це набір правил
- 35. До політики безпеки входять: планування
- 36. V П-ство Аудиторські фірми Спільноти
- 37. Головний суб'єкт – підприємство. Інтерес, що
- 38. Хакери. Вчений М. Кілджер розробив
- 39. Хакери завдають пряму шкоду (злам
- 40. Спільноти фахівців із захисту інформації 1)
- 41. Аудиторські фірми 1) оцінюють ризики злому системи; 2) тестують інформаційну безпеку підприємства.
- 42. Держава представлена: Орг-ції І типу
- 43. Орг-ції І типу науково-дослідні
- 44. Орг-ції ІІ типу спеціальні
- 45. Департамент спеціальних телекомунікаційних систем та
- 46. 1) визначає порядок та вимоги
- 47. VІ Нормативно-правове регулювання інформаційної
- 48. Про технічний захист інформації Положення
- 49. Розділ XVI Кримінального кодексу «Злочини
- 50. Незаконне втручання в роботу ЕОМ (комп'ютерів)
- 51. Відповідальність Наслідки перекручення чи знищення комп'ютерної
- 52. Відповідальність Наслідки штраф
- 53. Відповідальність Наслідки Необережність, що призвела до
- 54. Дякую за увагу !!!
Слайд 2План лекції:
1. Особливості роботи аудитора при застосуванні КІСП
2. Загрози функціонування
КІСП
3. Інформаційні ресурси та загрози їх безпеці
4. Засоби забезпечення безпеки КІСП
5. Взаємодія суб’єктів у полі КІСП
6. Відповідальність за незаконність використання інформаційних систем
3. Інформаційні ресурси та загрози їх безпеці
4. Засоби забезпечення безпеки КІСП
5. Взаємодія суб’єктів у полі КІСП
6. Відповідальність за незаконність використання інформаційних систем
Слайд 4
Проведення аудиту в умовах КІСП регламентується МСА
№ 401 «Аудит у
середовищі комп'ютерних інформаційних систем».
Слайд 6
Аудитор зобов'язаний мати уявлення про:
значимість і склад-
ність процесів функціонування КІСП
доступність
даних для використання в аудиті
Слайд 7
Аудитор зобов'язаний:
1) мати уявлення про технічний, програмний, математичний та інші
види забезпечення КІСП
2) володіти термінологією в галузі комп'ютеризації
3) мати практичний досвід роботи з різними системами бухгалтерського обліку, аналізу, з правовими і довідковими системами, із спеціальними інформаційними системами аудиту
4) мати додаткові знання в галузі систем обробки економічної інформації
Слайд 8Вимоги до програмного забезпечення
— забезпечення безперервного і безпо-милкового виконання перед-бачених функцій
(збір даних, обробка, автоматичне обчислення показників, надання даних користувачу).
ІІ
Слайд 9Згідно з Законом України «Про захист інформації в автоматизованих системах»: “порушення
роботи КІСП” — дії або обставини, які призводять до спотворення процесу збирання, обробки, зберігання та надання інформації.
Слайд 10Виходячи з визначення, існують такі такі загрози функціонуванню інформаційної системи:
Збирання інформації
1
Помилкова інформація
Неправдива інформація
Слайд 12Помилки в
програмних
алгоритмах
При неправильному складанні програ-містом алгоритму часто повторюваних розрахунків
підви-щується ймовірність системних помилок і
неточностей
неточностей
Слайд 14Порушення
цілісності
При поданні інформації у формі великої бази даних існує ризик
втрати фрагментів (а іноді — і всього обсягу) цієї інформації, необ-хідності її термінового відновлення
Слайд 16Порушення
конфіден-
ційності
Можливий витік або несанкціонована зміна інформації
(в т.ч. конфіденційної)
Слайд 17Вимоги до інформації:
конфіденційність — забезпечення надання доступу до інформації тільки уповноваженим
на це користувачам;
цілісність — гарантування точності та повноти інформації та методів обробки;
доступність — забезпечення того, що уповноважені користувачі на вимогу отримують доступ до інформації.
ІІІ
Слайд 18ЗАГРОЗИ, що призводять до порушення вимог щодо інформації:
1. Витік інформації
результат дій
порушника, внаслідок яких інформація стає відомою суб'єктам, що не мають права доступу до неї.
2. Втрата інформації
дії, внаслідок яких інформація перестає існувати для осіб, які мають право власності на неї в повному чи обмеженому обсязі.
Слайд 193. Підробка інформації
навмисні дії, що призводять до перекручення інформації, яка повинна
оброблятися або зберігатися в автоматизованій системі.
4. Блокування інформації
дії, наслідком яких є припинення доступу до інформації.
Слайд 22некваліфіковані дії працівників
неуважність користувачів або адміністрації
вихід з ладу апаратних засобів
вихід з
ладу апаратних засобів
(коротке замикання, стихійні лиха, перепади струму)
(коротке замикання, стихійні лиха, перепади струму)
помилки в програм-
ному забезпеченні
Ненавмисні
Слайд 24АКТИВНІ -
порушення нормального процесу функціонування КІСП шляхом цілеспрямова-ного впливу на
апаратні, програмні та інформаційні
ресурси.
ресурси.
Крадіжка обладнання
Навмисний злом
системи безпеки
(підбір паролю)
Шкідливі програми
(віруси)
Слайд 25ПАСИВНІ -
спрямовані на несанкціоно-ване використання інформа-ційних ресурсів системи, не порушуючи
при цьому її функціонування.
Використання ресурсів не за призначенням
Несанкціонований
перегляд інформації
(підслуховування,
шпигунство)
Слайд 26ЗАСОБИ забезпечення безпеки КІСП
Засоби попередження порушень безпеки
Засоби виявлення порушень безпеки
Засоби зменшення збитків і відновлення системи після інциденту
ПРОФІЛАКТИЧНІ
МОНІТОРИНГОВІ
КОРИГУВАЛЬНІ
ІV
Слайд 27Профілактичні
Апаратне
забезпечення
Програмне
забезпечення
Інформація
регулярні технічні огляди
2) оновлення апаратних засобів
3) фізичний захист від
крадіжки
4) засоби протидії стихії або перепадам
напруги
4) засоби протидії стихії або перепадам
напруги
1) встановлення останніх онов-лень до опера-ційних систем
2) встановлення і підтримання антивірусних програм
3) підтримка ліцензійної чистоти програмного забезпечення
1) шифрування даних
2) ідентифікація
3) аутентифікація
4) призначення відповідальності за помилки у введених даних та за помилкове знищення даних
Слайд 28
Шифрування — процес, в результаті якого інформація змінюється таким чином, що
може бути розпізнаною тільки відповідними особами. Базується на ключах, без яких неможливо розшифрувати
інформацію
інформацію
Слайд 29
Ідентифікація дає змогу впізнати користувача системи
Аутентифікація — це процес достовірної
перевірки відповідності когось чи чогось
Слайд 30Підходи до аутентифікації:
Використання чогось, що знає користувач
Використання чогось, що має
користувач
Використання того, ким є користувач
Слайд 31Моніторингові
Апаратне
забезпечення
Програмне
забезпечення
Інформація
ведення журналів роботи обладнання та технічних оглядів
2) автоматизація обробки надзвичайних
ситуацій (виклик системного адміністратора)
1) ведення жур-налів операцій-них систем і прикладних програм
2) регулярна пе-ревірка цілісності програмного забезпечення за допомогою спеціалізованого програмного забезпечення
1) регулярна перевірка цілісності інформації
Слайд 32Коригувальні
Апаратне
забезпечення
Програмне
забезпечення
Інформація
страхування апаратного забезпечення
2) передбачення додаткових потужностей
1) регулярне резервне
копіювання системи
2) детальне документування всіх змін алгоритмів обробки даних
2) детальне документування всіх змін алгоритмів обробки даних
1) регулярна архівація
Слайд 34
Політика безпеки — це набір правил і норм, які визначають, як
підприємство обробляє та захищає інформацію.
Слайд 35До політики безпеки входять:
планування непередбачуваних ситуацій та стихійних лих (ненавмисних
порушень безпеки)
опрацювання інцидентів (навмисних порушень безпеки )
Слайд 36V
П-ство
Аудиторські фірми
Спільноти фахівців із захисту інформації
Фірми, що надають послуги з інф.
безп.
Хакерські спільноти
Державні органи
Слайд 37
Головний суб'єкт – підприємство.
Інтерес, що виявляється до фірми, прямо пропорційний ступеню
її процвітання.
Високі доходи і сильна конкуренція - мотив для порушення інформаційної безпеки п-ства.
Високі доходи і сильна конкуренція - мотив для порушення інформаційної безпеки п-ства.
Слайд 38
Хакери.
Вчений М. Кілджер розробив класифікацію мотивацій хакерів, яку назвав МЕЕСЕS:
1) гроші (Money),
2) самоствердження (Ego),
3) справа (Entertainment),
4) розвага (Cause),
5) входження у соціальні групи (Entrance to social groups),
6) статус (Status)
Слайд 39
Хакери завдають
пряму шкоду (злам КІС, порушення їх роботи, викрадення і
знищення інформації)
і непряму шкоду (виявляють слабкі місця операційних систем і програмних продуктів, розробляють спеціальне програмне забезпечення для злому, створюють комп'ютерні віруси)
і непряму шкоду (виявляють слабкі місця операційних систем і програмних продуктів, розробляють спеціальне програмне забезпечення для злому, створюють комп'ютерні віруси)
Слайд 40
Спільноти фахівців із захисту інформації
1) розробляють стандарти інформаційної безпеки для різних
інформаційних систем;
2) пропонують послуги із сертифікації програмних продуктів.
2) пропонують послуги із сертифікації програмних продуктів.
Слайд 41
Аудиторські фірми
1) оцінюють ризики злому системи;
2) тестують інформаційну безпеку підприємства.
Слайд 42
Держава представлена:
Орг-ції І типу
Орг-ції ІІ типу
науково-дослідні установи, які займаються
теорет. і практичними аспектами інфор-маційної безпеки
спеціальні підрозділи силових відомств — міністерств внутрішніх справ, спеціальних служб
Слайд 43
Орг-ції І типу
науково-дослідні установи
Результат роботи - технічні документи рекомен-дації,
довідники, посібники
Слайд 44
Орг-ції ІІ типу
спеціальні підрозділи силових відомств
стежити за дотриманням законодавства
у сфері інформаційної безпеки
Слайд 45
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (2000
р.)
виконує функції:
виконує функції:
Слайд 46
1) визначає порядок та вимоги щодо захисту інформації;
2) здійснення державного контролю
за станом захисту
державних інформаційних ресурсів в мережах передачі
даних.
Слайд 47VІ
Нормативно-правове регулювання інформаційної
безпеки
«Про інформацію»;
«Про захист інформації в автоматизованих системах»;
«Про електронний цифровий підпис»;
«Про електронні документи та електронний документообіг».
Закони України
Слайд 48
Про технічний захист інформації
Положення
Концепція технічного захисту інформації в Україні
визначає основні
загрози безпеці інформації
визначає порядок роботи і повноваження органів, що займаються діяльністю з технічного захисту інформації
Концепція
Слайд 49
Розділ XVI Кримінального кодексу
«Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів),
систем та комп'ютерних мереж і мереж електрозв'язку»
Слайд 50
Незаконне втручання в роботу ЕОМ (комп'ютерів)
Викрадення, привласнення, вимагання інформації або
заволодіння нею шляхом шахрайства чи зловживання службовим становищем
Порушення правил експлуатації електронно-обчислю-вальних систем
Слайд 51Відповідальність
Наслідки
перекручення чи знищення комп'ютерної інформації або носіїв такої інформації, а також
розповсюдження комп'ютерного вірусу
штраф до 70 неоп. мінімумів доходів громадян або виправні роботи на строк до 2 років, або обмеження волі до 2 років
ті самі дії, якщо вони заподіяли істотну шкоду або вчинені повторно чи за попередньою змовою групою осіб
штраф від 100-400 неоп. мінімумів доходів громадян або обмеження (позбавлення) волі від 3 до 5 років
Слайд 52
Відповідальність
Наслідки
штраф від 50 до 200 неоп. мінімумів доходів громадян або виправні
роботи на строк до 2 років
ті самі дії, якщо вони вчинені повторно чи за попередньою змовою групою осіб
штраф від 100-400 неоп. мінімумів доходів грома-дян або обмеження (поз-бавлення) волі до 3 років
ті самі дії, якщо вони заподіяли істотну шкоду
інформація вибуває із правомірного володіння власника і надходить у володіння винної особи
позбавлення волі
від 2 до 5 років
Слайд 53Відповідальність
Наслідки
Необережність, що призвела до незаконного копіювання комп'ютерної інформації
штраф до 50
неоп. мінімумів доходів громадян або позбавлення права обіймати певні посади до 5 років
ті самі дії, якщо вони заподіяли істотну шкоду
штраф до 100 неоп. мінімумів доходів громадян або обмеження волі до 3 років
