План лекції:
Вимоги до програмного забезпечення
Згідно з Законом України «Про захист інформації в автоматизованих системах»: “порушення роботи КІСП” — дії або обставини, які
Виходячи з визначення, існують такі такі загрози функціонуванню інформаційної системи:
Вимоги до інформації:
ЗАСОБИ забезпечення безпеки КІСП
Профілактичні
Моніторингові
Коригувальні
Політика безпеки — це набір правил і норм, які визначають, як підприємство обробляє та захищає інформацію.
До політики безпеки входять:
Дякую за увагу !!!
1.39M
Category: financefinance
Similar presentations:
Методи та оцінка ризику при проведені комп’ютерного аудиту
Методи та оцінка ризику при проведені комп’ютерного аудиту
Концептуальні основи комп'ютерних інформаційних систем в аудиті
Концептуальні основи комп'ютерних інформаційних систем в аудиті
Дослідженя методів та засобів захисту внутрішньодержавних банківських платіжних систем
Дослідженя методів та засобів захисту внутрішньодержавних банківських платіжних систем
Аудит установчих документів, облікової політики та власного капіталу підприємства
Аудит установчих документів, облікової політики та власного капіталу підприємства
Оцінка системи внутрішнього контролю та внутрішнього аудиту банку. (Тема 1.4)
Оцінка системи внутрішнього контролю та внутрішнього аудиту банку. (Тема 1.4)
Особливості комп'ютерної системи бухгалтерського обліку
Особливості комп'ютерної системи бухгалтерського обліку
Фінансова санація підприємств. Економічний зміст та порядок проведення. (Тема 1)
Фінансова санація підприємств. Економічний зміст та порядок проведення. (Тема 1)
Цінова політика підприємства та ціноутворення в системі міжнародного маркетингу
Цінова політика підприємства та ціноутворення в системі міжнародного маркетингу
Аудиторські докази. (Тема 2.1)
Аудиторські докази. (Тема 2.1)
Сутність та предмет аудиту. Головні історичні віхи виникнення та розвитку аудиту
Сутність та предмет аудиту. Головні історичні віхи виникнення та розвитку аудиту

Загрози та засоби безпеки комп'ютерних інформаційних систем підприємства при проведенні аудиту

1.

ТЕМА 2
ЗАГРОЗИ ТА ЗАСОБИ
БЕЗПЕКИ КОМП'ЮТЕРНИХ
ІНФОРМАЦІЙНИХ СИСТЕМ
ПІДПРИЄМСТВА ПРИ
ПРОВЕДЕННІ АУДИТУ
1

2. План лекції:

1. Особливості роботи аудитора при
застосуванні КІСП
2. Загрози функціонування КІСП
3. Інформаційні ресурси та загрози їх
безпеці
4. Засоби забезпечення безпеки КІСП
5. Взаємодія суб’єктів у полі КІСП
6. Відповідальність за незаконність
використання інформаційних систем
2

3.

І
Інформаційна
система - це
система, що
збирає, зберігає,
обробляє і надає
користувачам
потрібну

4.

Проведення аудиту в
умовах КІСП
регламентується МСА
№ 401 «Аудит у
середовищі
комп'ютерних
інформаційних
систем».

5.

6.

Аудитор
зобов'язаний мати
уявлення про:
значимість і
складність процесів
функціонування
доступність даних
КІСП
для використання
в аудиті

7.

Аудитор
зобов'язаний:
1) мати уявлення про технічний, програмний,
математичний та інші види забезпечення КІСП
2)
володіти
термінологією
в
галузі
комп'ютеризації
3) мати практичний досвід роботи з різними
системами бухгалтерського обліку, аналізу, з
правовими
і
довідковими
системами,
із
спеціальними інформаційними системами аудиту
4) мати додаткові знання в
обробки економічної інформації
галузі
систем

8. Вимоги до програмного забезпечення

ІІ Вимоги до програмного
забезпечення
— забезпечення
безперервного і безпомилкового виконання
перед-бачених функцій
(збір даних, обробка,
автоматичне обчислення
показників, надання даних
користувачу).
8

9. Згідно з Законом України «Про захист інформації в автоматизованих системах»: “порушення роботи КІСП” — дії або обставини, які

призводять до спотворення
процесу збирання, обробки,
зберігання та надання
інформації.
9

10. Виходячи з визначення, існують такі такі загрози функціонуванню інформаційної системи:

Помилкова інформація
1
Збирання інформації
Неправдива інформація

11.

Помилки в алгоритмах
2
Обробка інформації
Навмисне викривлення алгоритмів

12.

Помилки в
програмних
алгоритмах
При неправильному
складанні програ-містом
алгоритму часто
повторюваних
розрахунків підвищується ймовірність
системних помилок і
неточностей

13.

Ненавмисне знищення
Перепади живлення
3
Зберігання інформації
Навмисне знищення

14.

Порушення
цілісності
При поданні інформації у
формі великої бази даних
існує ризик втрати
фрагментів (а іноді — і
всього обсягу) цієї
інформації, необ-хідності
її термінового
відновлення

15.

Порушення каналу зв'язку
4
Надання інформації
Перехоплення повідомлення

16.

Порушення
конфіденційності
Можливий витік або
несанкціонована
зміна інформації
(в т.ч.
конфіденційної)

17. Вимоги до інформації:

ІІІ
Вимоги до інформації:
конфіденційність — забезпечення
надання доступу до інформації тільки
уповноваженим на це користувачам;
цілісність — гарантування точності
та повноти
обробки;
інформації
та
методів
доступність — забезпечення того,
що уповноважені користувачі на вимогу
отримують доступ до інформації.
17

18.

ЗАГРОЗИ, що призводять до
порушення вимог щодо
інформації:
1. Витік інформації
результат дій порушника, внаслідок
яких
інформація
стає
відомою
суб'єктам, що не мають права
доступу до неї.
2. Втрата інформації
дії,
внаслідок
яких
інформація
перестає існувати для осіб, які
мають право власності на неї в
повному чи обмеженому обсязі.
18

19.

3. Підробка інформації
навмисні дії, що призводять до
перекручення
інформації,
яка
повинна
оброблятися
або
зберігатися
в
автоматизованій
системі.
4. Блокування інформації
дії, наслідком яких є припинення
доступу до інформації.
19

20.

порушує
І загроза
КОНФІДЕНЦІЙНІСТЬ
порушує
ІІ і ІІІ загроза
ЦІЛІСНІСТЬ
порушує
ІV загроза
ДОСТУПНІСТЬ

21.

Класи загроз безпеці інформації:
Ненавмисні
Навмисні

22.

Ненавмисні
вихід з
ладу
апаратних
засобів
(коротке
замикання,
стихійні
лиха,
перепади
струму)
некваліфіковані
дії працівників
неуважність
користувачів або
адміністрації
вихід з ладу
апаратних засобів
помилки в програмному забезпеченні

23.

Навмисні
АКТИВНІ
ПАСИВНІ
мають на меті завдання збитку
користувачам інформаційної
системи.

24.

порушення нормального
процесу функціонування
КІСП
шляхом
АКТИВНІ - цілеспрямова-ного
впливу
на
апаратні,
програмні
та
інформаційні
Крадіжка
ресурси.
Навмисний злом
обладнання
системи безпеки
(підбір паролю)
Шкідливі
програми
(віруси)

25.

спрямовані
на
несанкціоно-ване
інформаПАСИВНІ - використання
ційних ресурсів системи,
не порушуючи при цьому
її функціонування.
Використання
Несанкціонований
ресурсів не за
перегляд
призначенням
інформації
(підслуховування,
шпигунство)

26. ЗАСОБИ забезпечення безпеки КІСП

ІV
ЗАСОБИ забезпечення
безпеки КІСП
Засоби
попередження
порушень безпеки
Засоби виявлення
порушень безпеки
Засоби зменшення
збитків і
відновлення системи
після інциденту
ПРОФІЛАКТИЧНІ
МОНІТОРИНГОВІ
КОРИГУВАЛЬНІ
26

27. Профілактичні

Апаратне
забезпечення
Програмне
забезпечення
1) регулярні
технічні огляди
1) встановлення
останніх оновлень до операційних систем
2) оновлення
апаратних
засобів
3) фізичний
захист від
крадіжки
4) засоби
протидії стихії
або перепадам
напруги
2) встановлення і
підтримання
антивірусних
програм
3) підтримка
ліцензійної
чистоти
програмного
забезпечення
Інформація
1) шифрування
даних
2) ідентифікація
3) аутентифікація
4) призначення
відповідальності
за помилки у
введених даних
та за помилкове
знищення даних27

28.

Шифрування — процес, в
результаті якого інформація
змінюється таким чином, що
може бути розпізнаною тільки
відповідними особами.
Базується на ключах, без яких
неможливо розшифрувати
інформацію

29.

Ідентифікація дає
змогу впізнати
користувача
системи
Аутентифікація —
це процес достовірної
перевірки відповідності
когось чи чогось

30.

Підходи до аутентифікації:
Використання
чогось, що
знає
користувач
Використання
чогось, що
має
користувач
Використання
того, ким є
користувач

31. Моніторингові

Апаратне
забезпечення
Програмне
забезпечення
1)ведення
журналів роботи
обладнання та
технічних оглядів
1) ведення журналів операційних систем і
прикладних
програм
2) автоматизація
обробки
надзвичайних
ситуацій (виклик
системного
адміністратора)
2) регулярна перевірка цілісності
програмного
забезпечення за
допомогою
спеціалізованого
програмного
забезпечення
Інформація
1) регулярна
перевірка
цілісності
інформації
31

32. Коригувальні

Апаратне
забезпечення
Програмне
забезпечення
Інформація
1) страхування
апаратного
забезпечення
1) регулярне
резервне
копіювання
системи
1) регулярна
архівація
2) передбачення
додаткових
потужностей
2) детальне
документування
всіх змін
алгоритмів
обробки даних
32

33.

Заходи щодо захисту інформації
Кадрова робота
1) охорона
приміщення та
документів;
2) обмеження доступу
сторонніх осіб до
інформації, яка є
комерційною
таємницею;
2) забезпечення
суворого нагляду за
діями бухгалтерів;
Технічні заходи
Організаційні заходи
1) застосування
засобів захисту,
що вбудовуються
в програмне
забезпечення
(паролі,
шифрування
даних)
1) служба безпеки
підприємства повинна
стежити за загрозою
прослухування
приміщення бухгалтерії,
відсутністю підслуховуючих пристроїв у
комп'ютерах,
комп'ютерних мережах,
телефонах
33

34. Політика безпеки — це набір правил і норм, які визначають, як підприємство обробляє та захищає інформацію.

34

35. До політики безпеки входять:

планування
непередбачуваних
ситуацій та
стихійних лих
(ненавмисних
порушень безпеки)
опрацювання
інцидентів
(навмисних
порушень
безпеки )
35

36.

V
Фірми, що надають
послуги з інф. безп.
Хакерські
спільноти
Аудиторські
фірми
П-ство
Спільноти фахівців із
захисту інформації
Державні
органи

37.

Головний суб'єкт –
підприємство.
Інтерес, що виявляється до фірми,
прямо пропорційний ступеню її
процвітання.
Високі доходи і сильна конкуренція
- мотив для порушення
інформаційної безпеки п-ства.

38.

Хакери.
Вчений М. Кілджер розробив
класифікацію мотивацій хакерів,
яку назвав МЕЕСЕS:
1) гроші (Money),
2) самоствердження (Ego),
3) справа (Entertainment),
4) розвага (Cause),
5) входження у соціальні групи
(Entrance to social groups),
6) статус (Status)

39.

Хакери завдають
пряму шкоду (злам КІС,
порушення їх роботи, викрадення
і знищення інформації)
і непряму шкоду (виявляють
слабкі місця операційних систем і
програмних продуктів,
розробляють спеціальне
програмне забезпечення для
злому, створюють комп'ютерні
віруси)

40.

Спільноти фахівців із захисту
інформації
1) розробляють стандарти
інформаційної безпеки для різних
інформаційних систем;
2) пропонують послуги із
сертифікації програмних
продуктів.

41.

Аудиторські
фірми
1) оцінюють ризики злому
системи;
2) тестують інформаційну
безпеку підприємства.

42.

Держава представлена:
Орг-ції І типу
науково-дослідні
установи, які
займаються теорет. і
практичними
аспектами інформаційної безпеки
Орг-ції ІІ типу
спеціальні підрозділи
силових відомств —
міністерств
внутрішніх справ,
спеціальних служб

43.

Орг-ції І типу
науководослідні
установи
Результат
роботи технічні
документи
рекомендації,
довідники,
посібники

44.

Орг-ції ІІ типу
спеціальні
підрозділи
силових
відомств
стежити за
дотриманням
законодавства
у сфері
інформаційної
безпеки

45.

Департамент спеціальних
телекомунікаційних систем
та захисту інформації
Служби безпеки України
(2000 р.)
виконує функції:

46.

1) визначає порядок та
вимоги щодо захисту
інформації;
2) здійснення державного
контролю за станом захисту
державних інформаційних
ресурсів в мережах передачі
даних.

47.


Нормативно-правове
регулювання інформаційної
безпеки
Закони України
1)«Про інформацію»;
2) «Про захист інформації в
автоматизованих системах»;
3) «Про електронний цифровий
підпис»;
4) «Про електронні документи та
електронний документообіг».

48.

Положення
Про технічний захист інформації
визначає порядок роботи і повноваження органів,
що займаються діяльністю з технічного захисту
інформації
Концепція
Концепція технічного захисту
інформації в Україні
визначає основні загрози безпеці інформації

49.

Розділ XVI Кримінального
кодексу
«Злочини у сфері
використання електроннообчислювальних машин
(комп'ютерів), систем та
комп'ютерних мереж і
мереж електрозв'язку»

50.

Ст. 361
Ст. 362
Ст. 363
Незаконне втручання
в роботу ЕОМ
(комп'ютерів)
Викрадення, привласнення,
вимагання інформації або
заволодіння нею шляхом
шахрайства чи зловживання
службовим становищем
Порушення правил
експлуатації електроннообчислю-вальних
систем

51.

Ст. 361
Наслідки
перекручення чи знищення
комп'ютерної інформації або
носіїв такої інформації, а
також розповсюдження
комп'ютерного вірусу
ті самі дії, якщо вони
заподіяли істотну шкоду
або вчинені повторно чи за
попередньою змовою
групою осіб
Відповідальність
штраф до 70 неоп.
мінімумів доходів громадян
або виправні роботи на
строк до 2 років, або
обмеження волі до 2 років
штраф від 100-400 неоп.
мінімумів доходів
громадян або обмеження
(позбавлення) волі від 3
до 5 років

52.

Ст. 362
Наслідки
Відповідальність
інформація вибуває із
правомірного володіння
власника і надходить у
володіння винної особи
штраф від 50 до 200 неоп.
мінімумів доходів громадян
або виправні роботи на
строк до 2 років
ті самі дії, якщо вони вчинені
повторно чи за попередньою
змовою групою осіб
штраф від 100-400 неоп.
мінімумів доходів громадян або обмеження (позбавлення) волі до 3 років
ті самі дії, якщо вони
заподіяли істотну шкоду
позбавлення волі
від 2 до 5 років

53.

Ст. 363
Наслідки
Необережність, що призвела
до незаконного копіювання
комп'ютерної інформації
ті самі дії, якщо вони
заподіяли істотну шкоду
Відповідальність
штраф до 50 неоп.
мінімумів доходів громадян
або позбавлення права
обіймати певні посади до 5
років
штраф до 100 неоп.
мінімумів доходів
громадян або обмеження
волі до 3 років

54. Дякую за увагу !!!

54
English     Русский Rules