CC BY
5АЦПАРАТТЬЩ ЖYЙЕШЦ АЦПАРАТТЫЦ ЦАУ1ПС1ЗД1ГШ ТЕКСЕРУ
ЭД1СТЕМЕС1
ЦАЙРАТ ДИНАРА ЦАЙРАТЦЫЗЫ
Л.Н.Гумилев атындагы Еуразия ¥лттык Университетшщ 2-курс магистранты
АБДУРАИМОВА Б.К.
Еылыми жетекшiсi -т.г.к. Астана, ^азакстан
Ацдатпа: Цазгргг уацытта ацпараттыц цаутЫздж аудитг ацпараттыц ЖYйе цауШздтн толыц жэне объективт1 багалауга MYMKindlK беред1. Ацпараттыц цау1пс1зд1кт1 басцару жвнiндегi тиiстi ic-шаралар кешетн жэне ацпараттыц цауiпсiздiктi цамтамасыз ету ЖYйесiн цуру кезтде цорганыс шараларымен цатар, ацпараттыц цаутЫздттщ жагдайы туралы бацылау жэне тексеру процесстерi мацызды. Мацалада, тексеру процестщ ягни аудиттщ мацыздылыгы, тужырымдамасы, аудит ЖYргiзу процес царастырылады. Аудиттщ кезецдерiне жэне эрбiр кезецдегi w-шараларга, сонымен цатар аудит нэтижесiндегi жалпылама усыныстарга назар аударылады.
Клт свздер: ацпараттыц цаутЫздщ ацпараттыц цауiпсiздiктi бацылау кешет, ацпараттыц цауiпсiздiктi цамтамасыз ету ЖYйесi, аудит, ацпараттыц цаутаздт аудитi
1. Kipicne
ХХ1 гасырда акпараттык технологиялар адам ем1ршщ барлык салаларында орын алады. Олар кептеген ез кызметш эр тYрлi салаларда аткарып жYрген заманауи компанияларда мацызды ресурс болып табылады. Алайда, акпараттык технологиялардьщ каркынды дамуымен катар, акпараттыц каушаздшне тенетш кауштер саны да едэуiр арту Yстiнде. Бул кептеген компаниялардыц бизнесте дамуына керi эсерiн типзедь Осыган байланысты, уйымдардыц акпараттык каушаздшн камтамасыз ету жYЙесiн куру мацызды рел аткарады.
Акпараттык каушаздш-бул акпараттыц купиялылыгын, тутастыгын жэне кол жетсмдшшн камтамасыз ететiн корганыс механизмi. Акпараттык каушаздшн камтамасыз ету жYЙесi корганыс шараларын iске асыру, персоналды окыту, кауiпсiздiк саясатын енгiзу, багдарламалык жасактама кызметтерiн пайдалану жэне т.б. процесстермен катар, акпараттык каушаздш жагдайын бакылау жэне тексеру процесстерi негiзiнде курылады. ЖYЙеде А^ бакылау жэне тексеру процес ерекше позицияны алады жэне ол А^ аудитi деп аталады, оныц негiзгi максаты уйымныц А^ жагдайын тэуелсiз багалауды калыптастыру жэне усыныстар беру болып табылады.
2. Heri3ri бвлiм
2.1. Акпараттык кауiпсiздiк аудитшщ аныктамасы.
^азiрri уакытта акпараттык каушаздште аудиттiц бекiтiлген аныктамасы жок. ЭртYрлi дереккездерде эртYрлi аныктамаларды табуга болады. Олардыц кейбiреуiн айтып кетсек:
Аудит-уйым кызметiнiц кандай да бiр багытын тэуелсiз, бейтарап бакылау нысаны [1].
Аудит-бершген талаптардыц орындалу дэрежесiн белгшеу максатында жазбаларды алудыц, фактiлердi немесе баска да тшсп акпаратты тсркеудщ жэне оларды объективтi багалаудыц жYЙелi, тэуелсiз жэне кужатталган процесi [4].
Ацпараттыц ЖYйелер аудит/'-компания пайдаланатын акпараттык жYЙелердi, кауiпсiздiк жYЙелерiн, сырткы ортамен байланыс жYЙелерiн, корпоративт1к желiнi олардыц компанияда болып жаткан бизнес-процестерге сэйкестш, сондай-ак олардыц жумыс iстеуiндегi iркiлiс тэуекелдерiн кейiннен багалай отырып, халыкаралык стандарттарга сэйкестiгi тургысынан тексеру [5].
Ацпараттыц цау1пс1зд1к аудит/'-белгш бiр каутаздш критерийлерi мен керсеткiштерiне сэйкес компанияныц А^ агымдагы жай-кYЙi туралы объективт сапалык жэне сандык багалау алудыц жYЙелiк процесi [5].
ОФ "Международный научно-исследовательский центр "Endless Light in Science"
Ацпараттыц цаугпсгздгк аудит/'-акпараттык жYЙенiц акпараттык каушаздшнщ жай-кYЙiн багалау жэне акпараттык жYЙенiц акпараттык ресурстарын АК катерлершен коргауды камтамасыз етуге багытталган уйымдастырушылык шаралар мен багдарламалык-техникалык куралдар кешенiн колдану бойынша усынымдар эзiрлеу жeнiндегi ю-шаралар [1].
АК аудитi немесе баскаша айтканда, акпаратты коргау жYЙесiнiц каушаздЫн мерзiмдi тексеру акпараттык каушаздшт камтамасыз ету жYЙесiнiц барлык кезецдершде жYзеге асырылатын, мерзiмдi кайталанатын процесс. Бул корганыс жYЙесiн куру кезещнде де, бYкiл жумыс iстеу жолында да элаз жактарды аныктауга, жаца осалдыктарды аныктауга жэне кызметкерлердщ дайындыгына бага беруге, eзiн-eзi жетiлдiру бойынша усыныстар жасауга мYмкiндiк бередi. Жумыстарды жYрriзудiц максаты акпараттандыру объектiсiнде акпараттыц каушаздшн камтамасыз етудщ агымдагы жай-кYЙi туралы объективтi деректер алу болып табылады, бул купиялылыкты, тутастыкты, коргауга жататын акпараттыц колжетсмдшпн бузу нэтижесiнде зиян келтсру ыктималдыгын барынша азайтуга, коргау децгешн арттыруга багытталган шаралар кешенш эзiрлеуге мYмкiндiк бередi. [2]
Акпараттык каушаздш-бул акпараттыц купиялылыгын, тутастыгын жэне кол жепмдшшн камтамасыз ететiн корганыс механизмi. Акпараттык кауiпсiздiкке багдарламалык камтамасыз етудщ саясаттары, эдiстерi, процедуралары, уйымдык курылымдары мен функциялары усынылуы мYмкiн акпараттык кауiпсiздiктi баскару жeнiндегi тшсп iс-шаралар кешенiн iске асыру аркылы кол жеткiзiледi. Аталган iс-шаралар уйымныц акпараттык кауiпсiздiк максаттарына кол жеткiзудi камтамасыз етуi тиiс.
Аудиттi жYргiзу максаттарын бiрнеше тYрге белуге болады:
- алдын алу-кауiптер мен осалдыктарды алдын ала аныктауга жэне АК инциденттершщ алдын алуга багытталган;
- аныктау-АК инциденттерi кезiнде немесе одан кешн корганыс жYЙесiнiц жаца кауiптерi мен осалдыктарыныц ерекшелiктерiн аныктауга немесе нактылауга багытталган;
- тYзету - жацадан аныкталган кауiптер мен осалдыктарды ескере отырып, АК инциденттерiнен кешн колданыстагы коргау жYЙесiнiц тиiмдiлiгiн арттыру шараларыныц кешенiн калыптастыруга багытталган.
2.2. АК аудитiн жYргiзу процесi
АК аудитiн жYргiзу барысын Yш непзп кезецге беле аламыз:
1. Жоспарлау кезец (аудиттi инициализациялау, деректердi жинау, олардыц талдау, акпараттык ресурстарды ж1ктеу, тиiстi акпараттык ресурстарды коргауды реттейтш стандарттар мен нормативтiк кужаттарды аныктау);
2. Модельдеу, нэтижелердi талдау кезецдерi (кауiп кeздерiн, акпараттык кауiпсiздiк катерлерш, осалдыктарды, деструктивтi эрекеттердi модельдеу, койылатын талаптар мен стандарттардыц коргалу жагдайын багалау);
3. ¥сыныстар беру жэне ескертулердi жою кезец (коргалу жагдайы туралы есеп калыптастырылады, усынысдар эзiрленедi, бар бузушылыктар жойылады).
Сондай-ак, АК аудитi келесi негiзгi процедураларды камтиды:
— Аудит инициализациялау;
— Аудит туралы акпарат жинау;
— Аудит деректерш талдау;
— Аудит нэтижесш модельдеу;
— ¥сыныстар эзiрлеу;
— Аудиторлык есептi дайындау.
АК аудитш уйым басшылыгы бастайды. Бул уйымныц бeлiмшелерi катысатын ю-шаралар кешеш. Сондыктан аудит рэсiмiн бастау кезецшде бeлiмшелердiц аудиторлармен жэне eзара eзара iс-кимылыныц уйымдастырушылык мэселелерi шешiлуi тшс. Сондай-ак жYргiзiлетiн аудиттiц шекаралары айкындалады.
Аппарат жинау кезещ А^ аудитi жYргiзiлетiн акпараттык каушаздшт камтамасыз ету жYЙесi туралы барлык кажетп акпаратты жинауды камтиды. ЖYЙе туралы жиналатын акпараттыц мeлшерi А^ аудитшщ терецдшмен аныкталады. Бул кезец уакытты кажет етедi, ейткеш жYЙешц барлык процедуралары мен функциялары егжей-тегжейлi тYсiнiледi.
Аудитор акпаратты; каушаздшт камтамасыз ету жYЙесiшц коргалу жай-^йн талдау нэтижелерi бойынша беретiн усынымдар пайдаланылатын тэсiлмен, зерттелетiн жYЙешц ерекшелiктерiмен, А^ аудитiн жYргiзу кезiнде пайдаланылатын нактылау дэрежесiмен айкындалады. Аудитордыц усыныстары накты жэне берiлген жYЙеге катысты болуы керек, экономикалык тургыдан непзделген, дэлелдi жэне мацыздылык дэрежесi бойынша сурыпталуы керек.
Аудиторлык есеп А^ аудитiн жYрriзудщ негiзгi нэтижесi болып табылады. Оныц сапасы аудитордыц жумысыныц сапасын сипаттайды. Аудиторлык есепте А^ аудитiн жYргiзу максаттарыныц сипаттамасы, зерттелетш жYЙе сипаттамасы, аудит жYргiзу шекаралары мен пайдаланылган эдiстердi керсету, аудит деректерш талдау нэтижелерi, осы нэтижелердi жинактайтын жэне жYЙенiц коргалу децгешн багалауды немесе оныц стандарттар талаптарына сэйкестiгiн камтитын корытындылар, жэне, эрине, бар кемшiлiктердi жою жэне жYЙенi жетiлдiру жeнiндегi усыныстар камтылуга тшс. А^ аудитi алдын ала калыптастырылган формальды сипаттамаларга сэйкес жYргiзiледi.
Процесп баскару - Аудит жург1зу модел1
Kipic jcpcKTcpi
- Аудиттщ максаты мен саласы
- Шектеулер мен ерекшелжтер
- Аудиторлардыц кузыреттшк критерийлер1
I
Шыгу деректер1
- Аудит журпзу нэтижелер1 бойынша есеп
Релдер мен ресурстар
- Аудитке тапсырыс беруш1
- Аудитор
Сур.1 - А^ аудит1н жург1зу процес1
¥сыныстар колданылатын тэсiлмен, тексерiлетiн акпараттык жYЙенiц сипаттамаларымен, компаниядагы акпараттык кауiпсiздiк жагдайымен жэне аудит кезiнде пайдаланылган егжей-тегжейлi децгейiмен аныкталады. Аудиттiц эртYрлi турлерш пайдалану жеке немесе бiрiктiрiлген тYPде жYзеге асырылуы мYмкiн. , бул компанияныц кажеттiлiктерiне байланысты. Акпараттык каушаздш стандарттарыныц мэлiметтердi талдауга кезкарасы непз болатын стандартты немесе косымша стандарттар жиынтыгын тацдаудан басталады. Стандарттар акпараттык каушаздш талаптарыныц негiзгi жиынтыгын аныктайды.
3 50
¥йымдастырушыльщ децгейдеп усыныстар Ti3iMi:
— компания жуйесше 03repicTep енгiзiлген кезде каушаздш саясатын жYЙелi турде карап отыру;
— барлык кызметкерлердщ кызметтiк мшдеттерше акпараттык кауiпсiздiктi камтамасыз ету мшдетш енгiзу;
— компания кызметкерiне коммерциялык купия режимiн сактау туралы келiсiмге кол койганын еске салу;
— компанияныц барлык кызметкерлерiне окигалар мен вирустар туралы акпаратты жYЙелi турде жiберу;
— компанияныц акпараттык каушаздш жYЙесiн куру кезiнде компания кызметкерлершщ мундай мYмкiндiк болган кезде акпаратка руксатсыз кол жеткiзудi жузеге асыру Yшiн жеткiлiктi бiлiмi бар нусканы ескеру кажет;
— катты диск ютен шыккан жагдайда жеткiзушiнiц екшн шакырыцыз жэне жауапты компания екшдершщ катысуымен закымдануды тексерiцiз;
— антивирустык деректер корын кун сайын жацарту;
— компанияныц каушаздшне Yшiншi тараптыц туракты аудитiн, сондай-ак тэуелсiз сарапшылар жYргiзетiн ену сынактарын жYргiзу;
— компанияныц акпараттык жуйесшщ кауiпсiздiгiндегi езгерiстердi бакылау Yшiн осалдык сканерiн Yнемi пайдалану;
— компанияныц акпараттык жуйесшщ кез келген жарияланган кауiпсiздiк стандартына сэйкестiгiн камтамасыз ету;
— компанияда тек сертификатталган жергiлiктi жэне желшк кауiпсiздiк куралдарын пайдалану;
— бакылаушы тулгалардыц катысуынсыз компанияныц кецсесiнде кызмет керсетушi персоналдыц болуын болдырмауга;
— кызметкерлердщ купия акпаратты жария етпеуi бойынша кужаттар мен усыныстардыц тiзiмiн эзiрлеу.
Бул усыныстар кiрiс, шыгыс параметрлерi мен алынган нэтижелерге суйене отырып, аудиторга акпараттык кауiпсiздiктi камтамасыз ету жуйесш жацгырту, кажеттi корганыс шараларын енпзу кажеттiлiгi туралы непзделген шешiм кабылдауга мYмкiндiк бередi.
Цорытынды
^азiрri уакытта барлык компаниялар айтарлыктай келемдегi акпаратты беру, сактау жэне ецдеу ушш акпараттык жYЙелердi кещнен колданып келедi. Кез келген компания ушш акпараттык жуйе калай мацызды болса, сол жуйедеп акпараттыц сакталуы, коргалуы, купия акпараттыц тарап кетпеуi де дэл солай мацызды. Акпараттык каушаздш жYЙесiнiц сапалы жумыс iстеуi Yшiн уйымныц акпараттык кауiпсiздiгiне аудит журпзу кажет. Дурыс уйымдастырылган акпараттык каушаздш жYЙесi бYгiнде уйымныц тиiмдi жумыс iстеуiнiц шешушi факторларыныц бiрiне айналды. Аудиттiц кемегiмен осалдыктар мен кемшшктер аныкталады. Аудит процесi непзшде жасалган усыныстар бойынша жYЙенiц корганыс сапасын арттыруда, сондай-ак купия деректердщ агып кетуiне байланысты окигалардыц санын азайтуда мацызды рел аткарады.
^орытындылай келе, аудит жYргiзу процесi - бул акпаратты жинау жэне талдау, нэтижесшде акпараттык жуйенщ жумысын оцтайландыру бойынша усыныстарды кейiннен калыптастыру.
ПАЙДАЛАНЫЛГАН ЭДЕБИЕТТЕР Т1З1М1:
1. Аверичников В. И., Рытов М. Ю., Кувылкин А. В., Рудановский М. В. Аудит информационной безопасности органов исполнительной власти: учебное пособие. - М.: Флинта, 2011. - 100 с.
2. Андрианов В.В. Обеспечение информационной безопасности бизнеса / Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А//. - Альпина Паблишерз, -2011. - 338с.
3. Макаренко С. И. Аудит информационной безопасности: основные этапы, концептуальные основы, классификация мероприятий // Системы управления, связи и безопасности. 2018. № 1. С. 1-29.
4. Марков А. С., Цирлов В. Л., Барабанов А. В. Методы оценки несоответствия средств защиты информации / под ред. А.С. Маркова. - М.: Радио и связь, 2012. - 192 с.
5. Хомяков В. А. Аудит как метод модернизации системы обеспечения информационной безопасности // Экономический вестник Ярославского университета. 2013. № 29. С. 48-52
