|
O’zbekiston Respublikasi Axborot Texnologiyalari va Kommunikatsiyalarini Rivojlantirish Vazirligi
Muxammad Al-Xorazmiy nomidagi
Toshkent Axborot Texnologiyalari Universiteti
« Kiber Xavsizlik asoslari » fanidan
Mustaqil ish
Mavzu: Axborot tizimlaring auditi va monitoringgi
Bajardi: 213-20 gurux talabasi Mamajonov Fayzullo
Reja:
Axborot tizimlari xavfsizligining auditi.
Axborot tizimlari xavfsizligining monitoringi
Xulosa
Axborot tizimlari xavfsizligining auditi. Audit-korxonaning alohida sohalarini mustaqil ekspertizasi. Korxona auditining tashkil etuvchilaridan biri uning axborot tizimi auditi hisoblanadi. Axborot tizimlarining auditi — axborot tizimining himoyalanishining joriy holati, undagi harakatlar va xodisalar xususidagi ob’ektiv ma’lumotlarni olish va baholash, ular sathining belgilangan mezonga mosligini aniqlovchi tizimli jarayondir. Audit o‘tkazilishi axborot tizimining joriy xavfsizligini baholashga, xavf-xatarni baholashga, ularning tashkilot biznes-jarayonlariga ta’sirini bashoratlashga va boshqarishga, tashkilot axborot resurslari xavfsizligini ta’minlash masalasiga asosli yondashishga imkon beradi.
Axborot tizimlari xavfsizligining auditi quyidagi bosqichlarni o‘z ichiga oladi:
- audit muolajasining boshlanishi;
- audit axborotini yig‘ish;
- audit ma’lumotlarini taxlillash;
- tavsiyalar ishlab chiqish;
-hisobot tayyorlash.
Audit bosqichlarining bajarilish ketma-ketligi 6.1- rasmda keltirilgan.
Audit muolajasining boshlanishi. Audit, bu masalada manfaatdor hisoblanuvchi, kompaniya rahbariyati tashabbusi bilan o‘tkaziladi. Audit tadbirlarning kompleksi bo‘lib, unda auditor bilan birga kompaniyaning aksariyat tuzilmaviy bo‘linmalarining vakillari qatnashadi. Bu jarayonda ishtirok etuvchilarining harakatlari aniq muvofiqlashtirilishi shart. Shu sababli, audit muolajasining boshlanishi bosqichida audit o‘tkazish rejasini tayyorlash va tasdiqlash, auditor xuquqi va majburiyatini belgilash bilan bog‘liq tashkiliy masalalar echilishi lozim.
Audit muolajasining boshlanishi bosqichida tekshirish doirasi aniqlanishi lozim. Kompaniyaning axborot qismi tizimining birini konfidensiallik nuqtai nazaridan auditga tortib bo‘lmasa, ikkinchisini, etarlicha jiddiy bo‘lmaganligi sababli, audit doirasidan chiqarish mumkin.
Axborotlarni yig’ish
Audit ma’lumotlarini tahlilash
Tavsiyalarni ishlab chiqish
Hisobatni ishlab chiqish
1– rasm. Audit bosqichlarining bajarilish ketma-ketligi.
Audit axborotini yig‘ish. Bu bosqich eng murakkab va uzoq davom etadi. Bunga sabab, axborot tizimga kerakli xujjatlarning yo‘qligi va auditorning tashkilotning ko‘pgina lavozimli shaxslari bilan bevosita o‘zaro muloqotda bo‘lishi zaruriyati. Auditor tashkilot, axborot tizimining ishlashi va joriy holati xususidagi axborotni kompaniyaning javobgar shaxslari bilan maxsus tashkil etilgan suxbat orqali, texnikaviy va tashkiliy-boshqarish xujjatlarni o‘rganish yo‘li bilan, hamda ixtisoslashtirilgan dasturiy vositalar yordamida axborot tizimini tadqiqlash orqali oladi.
Audit ma’lumotlarini taxlillash. Taxlillash axborot tizimlarining auditida eng ma’suliyatli bosqich hisoblanadi. Taxlillashda noaniq, eskirgan ma’lumotlardan foydalanish nojoizdir, shu sababli ma’lumotlarga aniqlik kiritilishi va axborotlar jiddiy yig‘ilishi mumkin. Audit ma’lumotlarini taxlillashda quyidagi uchta yondashishdan foydalaniladi.
Birinchi yondashish xavf-xatarlarni taxlillashga asoslanadi. Xavf-xatarlarni taxlillashdan maqsad mavjud xavf-xatarlarni aniqlash va ular kattaligini baholash (ularga sifatiy va miqdoriy baho berish). Ushbu yondashish juda murakkab bo‘lib, ko‘p mehnat sarf etiladi va auditorning eng yuqori malakasini talab qiladi.
Ikkinchi yondashish axborot xavfsizligi standartlaridan foydalanishga asoslangan. Standartlar axborot tizimlarining keng sinfi uchun dunyo amaliyotini umumlashtirish natijasida shakllangan xavfsizlik talablarining bazaviy to‘plamini belgilaydi. Bu holda auditordan, berilgan axborot tizimi uchun standart talablari to‘plamini to‘g‘ri tanlash talab etiladi. Soddaligi va ishonchliligi tufayli bu yondashish amalda keng qo‘llaniladi. U resurslarning minimal sarfida axborot tizimi xususida asoslangan xulosalar qilishga imkon beradi.
Uchinchi yondashish oldingi ikala yondoshishni kombinatsiyalashni ko‘zda tutadi. Axborot tizimiga quyiladigan xavfsizlikning bazaviy talablari standart orqali aniqlansa, berilgan axborot tizimi ishlashining xususiyatlarini hisobga oluvchi qo‘shimcha talablar xavf-xatarlarni taxlillash asosida shakllantiriladi.
Tavsiyalar ishlab chiqish. Taxlillash natijalari tavsiyalar ishlab chiqish uchun asos bo‘ladi. Auditor tavsiyalari muayyan va berilgan axborot tizimiga qo‘llaniladigan, iqtisodiy asoslangan, isbotlangan (taxlillash natijalari bilan quvvatlangan), va muhimlik darajasi bo‘yicha rutbalangan bo‘lishi shart. Auditning muntazam o‘tkazilishi axborot tizimining barqaror ishlashini kafolatlaydi. Shuning uchun professional audit natijalaridan biri keyingi tekshirishlarini o‘tkazish reja-grafigini shakllantirishdan iborat.
Hisobot tayyorlash. Auditor hisoboti audit o‘tkazishning asosiy xujjati hisoblanadi va uning sifati auditor ishining sifatini xarakterlaydi.
Hisobot tarkibida audit o‘tkazish maqsadining tavsifi, tekshiriluvchi axborot tizimining xarakteristikasi, audit o‘tkazish doirasi va ishlatiluvchi usullar bo‘yicha ko‘rsatma, audit-ma’lumotlari taxlilining natijasi, bu natijalarni umumlashtiruvchi va axborot tizimi himoyalanish sathining standart talablarga javob berishi bo‘yicha xulosalar va albatta, mavjud kamchiliklarni bartaraf etish va himoya tizimini takomillashtirish bo‘yicha tavsiyalar bo‘lishi lozim.
2- rasm. SQL Serverda audit uchun rollarni ko‘rib chiqish
Do'stlaringiz bilan baham: | 
