Загрози та засоби безпеки комп'ютерних інформаційних систем підприємства при проведенні аудиту презентация

Содержание

План лекції: 1. Особливості роботи аудитора при застосуванні КІСП 2. Загрози функціонування КІСП 3. Інформаційні ресурси та загрози їх безпеці 4. Засоби забезпечення безпеки КІСП 5. Взаємодія суб’єктів у

Слайд 1ТЕМА 2 ЗАГРОЗИ ТА ЗАСОБИ БЕЗПЕКИ КОМП'ЮТЕРНИХ ІНФОРМАЦІЙНИХ СИСТЕМ ПІДПРИЄМСТВА ПРИ

ПРОВЕДЕННІ АУДИТУ

Слайд 2План лекції:
1. Особливості роботи аудитора при застосуванні КІСП
2. Загрози функціонування

КІСП
3. Інформаційні ресурси та загрози їх безпеці
4. Засоби забезпечення безпеки КІСП
5. Взаємодія суб’єктів у полі КІСП
6. Відповідальність за незаконність використання інформаційних систем

Слайд 4

Проведення аудиту в умовах КІСП регламентується МСА
№ 401 «Аудит у

середовищі комп'ютерних інформаційних систем».

Слайд 6
Аудитор зобов'язаний мати уявлення про:

значимість і склад-
ність процесів функціонування КІСП


доступність

даних для використання в аудиті




Слайд 7
Аудитор зобов'язаний:
1) мати уявлення про технічний, програмний, математичний та інші

види забезпечення КІСП

2) володіти термінологією в галузі комп'ютеризації

3) мати практичний досвід роботи з різними системами бухгалтерського обліку, аналізу, з правовими і довідковими системами, із спеціальними інформаційними системами аудиту

4) мати додаткові знання в галузі систем обробки економічної інформації


Слайд 8Вимоги до програмного забезпечення
— забезпечення безперервного і безпо-милкового виконання перед-бачених функцій

(збір даних, обробка, автоматичне обчислення показників, надання даних користувачу).

ІІ


Слайд 9Згідно з Законом України «Про захист інформації в автоматизованих системах»: “порушення

роботи КІСП” — дії або обставини, які призводять до спотворення процесу збирання, обробки, зберігання та надання інформації.

Слайд 10Виходячи з визначення, існують такі такі загрози функціонуванню інформаційної системи:




Збирання інформації

1

Помилкова інформація

Неправдива інформація



Слайд 11




Обробка інформації
2
Помилки в алгоритмах
Навмисне викривлення алгоритмів


Слайд 12Помилки в
програмних
алгоритмах


При неправильному складанні програ-містом алгоритму часто повторюваних розрахунків

підви-щується ймовірність системних помилок і
неточностей

Слайд 13




Зберігання інформації
3
Навмисне знищення

Ненавмисне знищення
Перепади живлення


Слайд 14Порушення
цілісності


При поданні інформації у формі великої бази даних існує ризик

втрати фрагментів (а іноді — і всього обсягу) цієї інформації, необ-хідності її термінового відновлення

Слайд 15




Надання інформації
4
Порушення каналу зв'язку
Перехоплення повідомлення


Слайд 16Порушення
конфіден-
ційності


Можливий витік або несанкціонована зміна інформації
(в т.ч. конфіденційної)


Слайд 17Вимоги до інформації:
конфіденційність — забезпечення надання доступу до інформації тільки уповноваженим

на це користувачам;

цілісність — гарантування точності та повноти інформації та методів обробки;

доступність — забезпечення того, що уповноважені користувачі на вимогу отримують доступ до інформації.

ІІІ


Слайд 18ЗАГРОЗИ, що призводять до порушення вимог щодо інформації:
1. Витік інформації
результат дій

порушника, внаслідок яких інформація стає відомою суб'єктам, що не мають права доступу до неї.

2. Втрата інформації

дії, внаслідок яких інформація перестає існувати для осіб, які мають право власності на неї в повному чи обмеженому обсязі.


Слайд 193. Підробка інформації
навмисні дії, що призводять до перекручення інформації, яка повинна

оброблятися або зберігатися в автоматизованій системі.

4. Блокування інформації

дії, наслідком яких є припинення доступу до інформації.


Слайд 21Класи загроз безпеці інформації:


Ненавмисні
Навмисні


Слайд 22некваліфіковані дії працівників
неуважність користувачів або адміністрації
вихід з ладу апаратних засобів
вихід з

ладу апаратних засобів
(коротке замикання, стихійні лиха, перепади струму)

помилки в програм-
ному забезпеченні

Ненавмисні


Слайд 23АКТИВНІ
Навмисні
ПАСИВНІ
мають на меті завдання збитку користувачам інформаційної системи.


Слайд 24АКТИВНІ -
порушення нормального процесу функціонування КІСП шляхом цілеспрямова-ного впливу на

апаратні, програмні та інформаційні
ресурси.

Крадіжка обладнання

Навмисний злом
системи безпеки
(підбір паролю)

Шкідливі програми
(віруси)


Слайд 25ПАСИВНІ -
спрямовані на несанкціоно-ване використання інформа-ційних ресурсів системи, не порушуючи

при цьому її функціонування.

Використання ресурсів не за призначенням

Несанкціонований
перегляд інформації
(підслуховування,
шпигунство)


Слайд 26ЗАСОБИ забезпечення безпеки КІСП
Засоби попередження порушень безпеки
Засоби виявлення порушень безпеки


Засоби зменшення збитків і відновлення системи після інциденту

ПРОФІЛАКТИЧНІ

МОНІТОРИНГОВІ

КОРИГУВАЛЬНІ


ІV


Слайд 27Профілактичні
Апаратне
забезпечення
Програмне
забезпечення
Інформація
регулярні технічні огляди

2) оновлення апаратних засобів

3) фізичний захист від

крадіжки

4) засоби протидії стихії або перепадам
напруги

1) встановлення останніх онов-лень до опера-ційних систем

2) встановлення і підтримання антивірусних програм

3) підтримка ліцензійної чистоти програмного забезпечення

1) шифрування даних

2) ідентифікація


3) аутентифікація

4) призначення відповідальності за помилки у введених даних та за помилкове знищення даних



Слайд 28
Шифрування — процес, в результаті якого інформація змінюється таким чином, що

може бути розпізнаною тільки відповідними особами. Базується на ключах, без яких неможливо розшифрувати
інформацію

Слайд 29
Ідентифікація дає змогу впізнати користувача системи

Аутентифікація — це процес достовірної

перевірки відповідності когось чи чогось



Слайд 30Підходи до аутентифікації:

Використання чогось, що знає користувач


Використання чогось, що має

користувач




Використання того, ким є користувач



Слайд 31Моніторингові
Апаратне
забезпечення
Програмне
забезпечення
Інформація
ведення журналів роботи обладнання та технічних оглядів

2) автоматизація обробки надзвичайних

ситуацій (виклик системного адміністратора)

1) ведення жур-налів операцій-них систем і прикладних програм

2) регулярна пе-ревірка цілісності програмного забезпечення за допомогою спеціалізованого програмного забезпечення

1) регулярна перевірка цілісності інформації



Слайд 32Коригувальні
Апаратне
забезпечення
Програмне
забезпечення
Інформація
страхування апаратного забезпечення

2) передбачення додаткових потужностей
1) регулярне резервне

копіювання системи

2) детальне документування всіх змін алгоритмів обробки даних

1) регулярна архівація



Слайд 34
Політика безпеки — це набір правил і норм, які визначають, як

підприємство обробляє та захищає інформацію.

Слайд 35До політики безпеки входять:

планування непередбачуваних ситуацій та стихійних лих (ненавмисних

порушень безпеки)


опрацювання інцидентів (навмисних порушень безпеки )


Слайд 36V
П-ство

Аудиторські фірми

Спільноти фахівців із захисту інформації

Фірми, що надають послуги з інф.

безп.


Хакерські спільноти


Державні органи


Слайд 37
Головний суб'єкт – підприємство.
Інтерес, що виявляється до фірми, прямо пропорційний ступеню

її процвітання.
Високі доходи і сильна конкуренція - мотив для порушення інформаційної безпеки п-ства.

Слайд 38
Хакери.
Вчений М. Кілджер розробив класифікацію мотивацій хакерів, яку назвав МЕЕСЕS:


1) гроші (Money),
2) самоствердження (Ego),
3) справа (Entertainment),
4) розвага (Cause),
5) входження у соціальні групи (Entrance to social groups),
6) статус (Status)

Слайд 39
Хакери завдають
пряму шкоду (злам КІС, порушення їх роботи, викрадення і

знищення інформації)
і непряму шкоду (виявляють слабкі місця операційних систем і програмних продуктів, розробляють спеціальне програмне забезпечення для злому, створюють комп'ютерні віруси)

Слайд 40
Спільноти фахівців із захисту інформації
1) розробляють стандарти інформаційної безпеки для різних

інформаційних систем;
2) пропонують послуги із сертифікації програмних продуктів.

Слайд 41
Аудиторські фірми

1) оцінюють ризики злому системи;
2) тестують інформаційну безпеку підприємства.


Слайд 42
Держава представлена:
Орг-ції І типу
Орг-ції ІІ типу

науково-дослідні установи, які займаються

теорет. і практичними аспектами інфор-маційної безпеки



спеціальні підрозділи силових відомств — міністерств внутрішніх справ, спеціальних служб


Слайд 43
Орг-ції І типу

науково-дослідні установи

Результат роботи - технічні документи рекомен-дації,

довідники, посібники

Слайд 44
Орг-ції ІІ типу

спеціальні підрозділи силових відомств

стежити за дотриманням законодавства

у сфері інформаційної безпеки

Слайд 45

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (2000

р.)

виконує функції:

Слайд 46

1) визначає порядок та вимоги щодо захисту інформації;
2) здійснення державного контролю

за станом захисту державних інформаційних ресурсів в мережах передачі даних.

Слайд 47

Нормативно-правове регулювання інформаційної

безпеки


«Про інформацію»;
«Про захист інформації в автоматизованих системах»;
«Про електронний цифровий підпис»;
«Про електронні документи та електронний документообіг».

Закони України


Слайд 48
Про технічний захист інформації
Положення

Концепція технічного захисту інформації в Україні
визначає основні

загрози безпеці інформації

визначає порядок роботи і повноваження органів, що займаються діяльністю з технічного захисту інформації

Концепція


Слайд 49
Розділ XVI Кримінального кодексу
«Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів),

систем та комп'ютерних мереж і мереж електрозв'язку»

Слайд 50
Незаконне втручання в роботу ЕОМ (комп'ютерів)


Викрадення, привласнення, вимагання інформації або

заволодіння нею шляхом шахрайства чи зловживання службовим становищем

Порушення правил експлуатації електронно-обчислю-вальних систем


Слайд 51Відповідальність
Наслідки

перекручення чи знищення комп'ютерної інформації або носіїв такої інформації, а також

розповсюдження комп'ютерного вірусу


штраф до 70 неоп. мінімумів доходів громадян або виправні роботи на строк до 2 років, або обмеження волі до 2 років


ті самі дії, якщо вони заподіяли істотну шкоду або вчинені повторно чи за попередньою змовою групою осіб


штраф від 100-400 неоп. мінімумів доходів громадян або обмеження (позбавлення) волі від 3 до 5 років


Слайд 52

Відповідальність
Наслідки


штраф від 50 до 200 неоп. мінімумів доходів громадян або виправні

роботи на строк до 2 років


ті самі дії, якщо вони вчинені повторно чи за попередньою змовою групою осіб


штраф від 100-400 неоп. мінімумів доходів грома-дян або обмеження (поз-бавлення) волі до 3 років

ті самі дії, якщо вони заподіяли істотну шкоду

інформація вибуває із правомірного володіння власника і надходить у володіння винної особи

позбавлення волі
від 2 до 5 років


Слайд 53Відповідальність
Наслідки

Необережність, що призвела до незаконного копіювання комп'ютерної інформації

штраф до 50

неоп. мінімумів доходів громадян або позбавлення права обіймати певні посади до 5 років


ті самі дії, якщо вони заподіяли істотну шкоду


штраф до 100 неоп. мінімумів доходів громадян або обмеження волі до 3 років


Слайд 54Дякую за увагу !!!


Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика