Axborot tizimlarida audit tekshiruvlarini o‘tkazish Reja: 1. Auditning umumiy tushunchasi.
2. Tashqi va ichki audit.
Tayanch iboralar: audit, tashqi audit, ichki audit.
1. Axborot tizimi yoki axborot texnologiyasining auditi deganda tizimning, texnologiyaning joriy holati, unda kechuvchi texnologiyalar va hodisalar xususidagi obyektiv ma’lumotlarni olish va baholashning, ularning ma’lum mezonga moslik darajasini о‘rnatish va natijalarni buyurtmachiga taqdim etishning tizimli jarayoni tushuniladi.
Audit о‘tkazilishi axborot texnologiyasining joriy xavfsizligini baholashga, xavf-xatarlarni baholash va boshqarishga, ularning tashkilot biznes jarayonlariga ta’sirini boshqarishga, tashkilot axborot aktivlarining xavfsizligini ta’minlash masalasiga tо‘g‘ri va asoslangan yondashishga imkon beradi.
Tashkilotning asosiy aktivlari quyidagilar:
g‘oyalar;
bilimlar;
loyihalar;
ichki tekshirish natijalari.
Auditning umumiy tushunchasi. 1844 yili Angliyada aksioner shirkatlar xususida qonun qabul qilingan. Ushbu qonunga binoan shirkat boshqarmasi har yili aksionerlar oldida hisob berishi lozim. Buning ustiga hisobot maxsus kishi - mustaqil auditor tomonidan tekshirilishi va tasdiqlanishi shart. Ushbu yil auditning tug‘ilgan yili hisoblanadi.
Hozirda audit о‘z rivojining bir necha bosqichlarini о‘tib davlatlar xо‘jalik hayotining qismiga aylandi. Aksionerlik shirkatining buxgalteriya hisoblarini alohida professional auditorlar tekshirishidan boshlab audit, tarkibida professional auditorlar va auditorlik firmalar kо‘rsatuvchi qator xizmatlar (buxgalteriya hisobotini tekshirish, moliyaviy tahlil, maslaxat berish) bо‘lgan, kompleks tushunchagacha rivojlandi. Bunday firmalarning orasida о‘nlab xodimlari bо‘lgan katta bо‘lmaganlari va minglab xodimlari bо‘lgan juda kattalari mavjud.
Audit turlari. Axborot tizimi xavfsizligining auditini, odatda, tashqi va ichkilariga ajratishadi.
2.Tashqi audit asosan tashkilotdan tashqarida va odatda axborot xavfsizligi auditi bilan shug‘ullanuvchi ixtisoslashgan tashkilotlar tomonidan о‘tkaziladi. Bunda tashqi hujumlar natijasidagi xavf-xatar о‘lchamlari tahlillanadi (hatto tashkilot tarmoqlararo ekranlar bilan himoyalangan bо‘lsa ham). Tashqi auditni о‘tkazishda portlarni skanerlash, tarmoq va tatbiqiy dasturiy ta’minot zaifliklarini qidirish amalga oshiriladi. Web – serverlari, pochta va fayl serverlari bilan о‘zaro bog‘lanishga urinishlar, tashkilot lokal tarmog‘iga kirishga urinishlar amalga oshiriladi. Tashkilot rahbariyatining xohishi bilan tashqi auditning maxsus turi - Ethical Hacking о‘tkazilishi mumkin. Bunda maxsus tashkilot (bunday tashkilot maxsus Tiger Team nomiga ega) tashkilot serverlariga, saytlariga va hostlariga tanlab olingan hujumlarni amalga oshiradi. Bunday hujumlar tashkilot axborot tizimining zaifliklarini namoyish etishi mumkin.
3.Ichki audit, odatda, tashkilot xodimlaridan tashkil topgan maxsus komanda tomonidan о‘tkaziladi. Ichki auditning vazifasi mavjud axborot tizimi texnologiyasidan foydalanishdagi xavf-xatarni baholash hisoblanadi. Auditning bu turi qandaydir standartni amalga oshiruvchi auditni avtomatlashtirish vositasini jalb qilish orqali bajariladi. Ichki audit tashkilotning tarmoqlararo ekran bilan chegaralangan tarmoq muhitining ichida о‘tkaziladi. Tashkilotning ichki host portlarini va zaifliklarini skanerlash ham uning vazifasi hisoblanadi. Undan tashqari, tashkilotda о‘rnatilgan xavfsizlik siyosatining bajarilishi, resurslardan foydalanishning nazorati va boshqarilishi, tashkilot xodimining parol siyosati va uning bajarilishi tahlillanadi. Auditning bu turi audit о‘tkazishning standart usulini tarmoq zaifliklarini mukammal kо‘rib chiqish bilan tо‘ldiradi.
Nazorat savollari Axborot tizimi auditi nima?
Axborot xavfsizligi auditini о‘tkazishda tashkilotning qanday aktivlari kо‘riladi?