Audit keselamatan maklumat adalah asas untuk perlindungan perusahaan yang berkesan. Audit keselamatan maklumat: matlamat, kaedah dan cara, contoh. Audit keselamatan maklumat bank

Audit sistem maklumat menyediakan data terkini dan tepat tentang cara sistem maklumat beroperasi. Berdasarkan data yang diperoleh, anda boleh merancang aktiviti untuk meningkatkan kecekapan perusahaan. Amalan mengaudit sistem maklumat - berbanding standard, keadaan sebenar. Kaji norma, piawaian, peraturan dan amalan yang terpakai di syarikat lain. Semasa menjalankan audit, seorang usahawan mendapat gambaran tentang bagaimana syarikatnya berbeza daripada syarikat biasa yang berjaya dalam bidang yang sama.

Tinjauan umum

Teknologi maklumat dalam dunia moden sangat maju. Sukar untuk membayangkan perusahaan yang tidak mempunyai sistem maklumat dalam perkhidmatan:

  • global;
  • tempatan.

Terima kasih kepada IP bahawa syarikat boleh berfungsi secara normal dan mengikuti perkembangan zaman. Metodologi sedemikian diperlukan untuk pertukaran maklumat yang pantas dan lengkap dengan persekitaran, yang membolehkan syarikat menyesuaikan diri dengan perubahan dalam infrastruktur dan permintaan pasaran. Sistem maklumat mesti memenuhi beberapa keperluan yang berubah dari semasa ke semasa (perkembangan baharu, piawaian diperkenalkan, algoritma dikemas kini digunakan). Walau apa pun, teknologi maklumat memungkinkan untuk membuat akses kepada sumber dengan cepat, dan tugas ini diselesaikan melalui IS. Di samping itu, sistem moden:

  • berskala;
  • fleksibel;
  • boleh dipercayai;
  • selamat.

Objektif utama audit sistem maklumat adalah untuk menentukan sama ada sistem maklumat yang dilaksanakan mematuhi parameter yang ditetapkan.

Audit: jenis

Audit proses yang dipanggil sistem maklumat sangat kerap digunakan. Contoh: pakar luar menganalisis sistem yang dilaksanakan untuk perbezaan daripada piawaian, termasuk mengkaji proses pengeluaran, yang mana outputnya adalah perisian.

Audit boleh dijalankan untuk menentukan sejauh mana sistem maklumat digunakan dengan betul. Amalan syarikat dibandingkan dengan piawaian pengilang dan contoh terkenal syarikat antarabangsa.

Pengauditan sistem keselamatan maklumat perusahaan mempengaruhi struktur organisasi. Tujuan acara sedemikian adalah untuk mencari titik lemah dalam kakitangan jabatan IT dan mengenal pasti masalah, serta merumuskan cadangan untuk menyelesaikannya.

Akhir sekali, audit sistem keselamatan maklumat bertujuan untuk kawalan kualiti. Kemudian pakar yang dijemput menilai keadaan proses dalam perusahaan, menguji sistem maklumat yang dilaksanakan dan membuat beberapa kesimpulan berdasarkan maklumat yang diterima. Biasanya model TMMI digunakan.

Objektif Audit

Audit strategik keadaan sistem maklumat membolehkan anda mengenal pasti kelemahan dalam sistem maklumat yang dilaksanakan dan mengenal pasti di mana penggunaan teknologi tidak berkesan. Pada akhir proses sedemikian, pelanggan akan mempunyai cadangan untuk menghapuskan kekurangan.

Audit membolehkan anda menganggarkan betapa mahalnya untuk membuat perubahan pada struktur semasa dan tempoh masa yang diperlukan. Pakar yang mengkaji struktur maklumat semasa syarikat akan membantu anda memilih alat untuk melaksanakan program penambahbaikan, dengan mengambil kira ciri-ciri syarikat. Berdasarkan keputusan, anda juga boleh memberikan anggaran yang tepat tentang jumlah sumber yang diperlukan oleh syarikat. Intelek, kewangan, pengeluaran akan dianalisis.

Peristiwa

Audit dalaman sistem maklumat termasuk aktiviti seperti:

  • inventori IT;
  • mengenal pasti beban pada struktur maklumat;
  • penilaian statistik, data yang diperoleh semasa inventori;
  • menentukan sama ada keperluan dan keupayaan perniagaan IS yang dilaksanakan memenuhi;
  • menghasilkan laporan;
  • pembangunan cadangan;
  • pemformalkan dana NSI.

Keputusan audit

Audit strategik keadaan sistem maklumat ialah prosedur yang: membolehkan anda mengenal pasti sebab kekurangan kecekapan sistem maklumat yang dilaksanakan; meramalkan tingkah laku sistem maklumat apabila melaraskan aliran maklumat (bilangan pengguna, jumlah data); menyediakan keputusan termaklum untuk membantu meningkatkan produktiviti (pembelian peralatan, penambahbaikan sistem yang dilaksanakan, penggantian); memberi cadangan yang bertujuan untuk meningkatkan produktiviti jabatan syarikat dan mengoptimumkan pelaburan dalam teknologi. Dan juga membangunkan langkah-langkah yang meningkatkan tahap kualiti perkhidmatan sistem maklumat.

Ia penting!

Tidak ada IP sejagat yang sesuai dengan mana-mana perusahaan. Terdapat dua asas biasa yang membolehkan anda mencipta sistem unik yang disesuaikan dengan keperluan perusahaan tertentu:

  • Oracle.

Tetapi ingat bahawa ini hanya asas, tidak lebih. Semua penambahbaikan yang menjadikan perniagaan cekap mesti diprogramkan, dengan mengambil kira ciri-ciri perusahaan tertentu. Anda mungkin perlu memperkenalkan fungsi yang hilang sebelum ini dan melumpuhkan fungsi yang disediakan oleh pemasangan asas. Teknologi moden untuk mengaudit sistem maklumat perbankan membantu memahami dengan tepat ciri-ciri yang perlu ada pada sistem maklumat dan perkara yang perlu dikecualikan supaya sistem korporat adalah optimum, berkesan, tetapi tidak terlalu "berat."

Audit keselamatan maklumat

Analisis untuk mengenal pasti ancaman keselamatan maklumat terdapat dalam dua jenis:

  • luaran;
  • dalaman.

Yang pertama melibatkan prosedur sekali sahaja. Ia dianjurkan oleh ketua syarikat. Adalah disyorkan untuk mengamalkan langkah ini dengan kerap untuk memastikan keadaan terkawal. Sebilangan syarikat saham bersama dan organisasi kewangan telah memperkenalkan keperluan untuk audit luaran keselamatan IT sebagai wajib.

Dalaman - ini adalah acara yang kerap diadakan yang dikawal oleh akta kawal selia tempatan "Peraturan Audit Dalaman". Untuk melaksanakannya, rancangan tahunan dibentuk (ia disediakan oleh jabatan yang bertanggungjawab untuk audit), diluluskan oleh pengarah besar, pengurus lain. Audit IT - beberapa kategori aktiviti; audit keselamatan bukanlah yang paling penting.

Matlamat

Matlamat utama audit sistem maklumat dari perspektif keselamatan adalah untuk mengenal pasti risiko berkaitan IS yang dikaitkan dengan ancaman keselamatan. Di samping itu, aktiviti membantu mengenal pasti:

  • kelemahan sistem semasa;
  • pematuhan sistem dengan piawaian keselamatan maklumat;
  • tahap keselamatan pada masa semasa.

Hasil daripada audit keselamatan, cadangan akan dirumuskan untuk menambah baik penyelesaian semasa dan memperkenalkan penyelesaian baharu, sekali gus menjadikan sistem maklumat sedia ada lebih selamat dan dilindungi daripada pelbagai ancaman.

Jika audit dalaman dijalankan untuk mengenal pasti ancaman terhadap keselamatan maklumat, maka perkara berikut juga dipertimbangkan:

  • dasar keselamatan, kemungkinan membangunkan yang baharu, serta dokumen lain, untuk melindungi data dan memudahkan penggunaannya dalam proses pengeluaran perbadanan;
  • pembentukan tugas keselamatan untuk pekerja jabatan IT;
  • analisis situasi yang melibatkan pelanggaran;
  • melatih pengguna sistem korporat dan kakitangan penyelenggaraan dalam aspek keselamatan umum.

Audit dalaman: ciri

Tugas tersenarai yang ditetapkan untuk pekerja apabila audit dalaman sistem maklumat dijalankan, pada dasarnya, bukan audit. Secara teorinya, orang yang menjalankan acara hanya sebagai pakar menilai mekanisme yang sistem itu selamat. Orang yang terlibat dalam tugas menjadi peserta aktif dalam proses dan kehilangan kebebasan, dan tidak lagi boleh menilai keadaan secara objektif dan mengawalnya.

Sebaliknya, dalam amalan, semasa audit dalaman, hampir mustahil untuk kekal di luar. Hakikatnya ialah pakar syarikat yang sebaliknya sibuk dengan tugas lain di kawasan yang sama diupah untuk menjalankan kerja tersebut. Ini bermakna juruaudit adalah pekerja yang sama yang mempunyai kecekapan untuk menyelesaikan tugas-tugas yang dinyatakan sebelum ini. Oleh itu, kita perlu membuat kompromi: dengan mengorbankan objektiviti, libatkan pekerja dalam amalan untuk mendapatkan hasil yang baik.

Audit keselamatan: peringkat

Ini sebahagian besarnya serupa dengan langkah-langkah audit IT am. Serlahkan:

  • permulaan acara;
  • mengumpul asas untuk analisis;
  • analisis;
  • membuat kesimpulan;
  • pelaporan.

Memulakan prosedur

Audit sistem maklumat dari segi keselamatan bermula apabila ketua syarikat memberi kebenaran, kerana bos adalah orang yang paling berminat dalam audit perusahaan yang berkesan. Audit tidak boleh dijalankan jika pengurusan tidak menyokong prosedur.

Audit sistem maklumat biasanya menyeluruh. Ia melibatkan juruaudit dan beberapa orang yang mewakili jabatan berbeza syarikat. Kerjasama semua peserta pemeriksaan adalah penting. Apabila memulakan audit, adalah penting untuk memberi perhatian kepada perkara berikut:

  • rakaman dokumentari tanggungjawab dan hak juruaudit;
  • penyediaan dan kelulusan pelan audit;
  • mendokumentasikan fakta bahawa pekerja diwajibkan untuk memberikan semua bantuan yang mungkin kepada juruaudit dan menyediakan semua data yang diminta olehnya.

Sudah pada masa permulaan audit, adalah penting untuk menetapkan dalam sempadan apa audit sistem maklumat dijalankan. Walaupun sesetengah subsistem IS adalah kritikal dan memerlukan perhatian khusus, yang lain tidak dan cukup tidak penting sehingga pengecualiannya boleh diterima. Mungkin akan ada subsistem yang tidak dapat disahkan, kerana semua maklumat yang disimpan di sana adalah sulit.

Pelan dan sempadan

Sebelum memulakan kerja, senarai sumber yang sepatutnya disemak dijana. Ia boleh menjadi:

  • maklumat;
  • perisian;
  • teknikal.

Mereka mengenal pasti tapak mana yang sedang diaudit dan apakah ancaman sistem sedang diperiksa. Terdapat sempadan organisasi acara dan aspek keselamatan yang mesti diambil kira semasa audit. Penarafan keutamaan dijana menunjukkan skop pemeriksaan. Sempadan sedemikian, serta pelan tindakan, diluluskan oleh pengarah besar, tetapi diputuskan terlebih dahulu oleh topik mesyuarat agung, di mana ketua jabatan, juruaudit dan eksekutif syarikat hadir.

Menerima data

Semasa menjalankan audit keselamatan, piawaian untuk mengaudit sistem maklumat adalah sedemikian rupa sehingga peringkat pengumpulan maklumat ternyata menjadi yang paling panjang dan intensif buruh. Sebagai peraturan, sistem maklumat tidak mempunyai dokumentasi untuknya, dan juruaudit terpaksa bekerja rapat dengan ramai rakan sekerja.

Agar kesimpulan yang dibuat menjadi cekap, juruaudit mesti mendapatkan data sebanyak mungkin. Juruaudit mengetahui tentang cara sistem maklumat disusun, cara ia berfungsi dan keadaannya daripada dokumentasi organisasi, pentadbiran dan teknikal, semasa penyelidikan bebas dan penggunaan perisian khusus.

Dokumen yang diperlukan untuk kerja juruaudit:

  • struktur organisasi jabatan yang berkhidmat dengan IS;
  • struktur organisasi semua pengguna.

Juruaudit menemu bual pekerja, mengenal pasti:

  • pembekal;
  • pemilik data;
  • pengguna data.

Untuk melakukan ini, anda perlu tahu:

  • jenis utama aplikasi IS;
  • bilangan, jenis pengguna;
  • perkhidmatan yang diberikan kepada pengguna.

Jika syarikat mempunyai dokumen IP daripada senarai di bawah, adalah penting untuk memberikannya kepada juruaudit:

  • penerangan metodologi teknikal;
  • penerangan kaedah untuk mengautomasikan fungsi;
  • gambar rajah berfungsi;
  • kerja, reka bentuk dokumen.

Pengenalpastian struktur IP

Untuk membuat kesimpulan yang betul, juruaudit mesti mempunyai pemahaman yang paling lengkap tentang ciri-ciri sistem maklumat yang dilaksanakan di perusahaan. Anda perlu tahu apakah mekanisme keselamatan dan cara ia diedarkan merentas peringkat dalam sistem. Untuk melakukan ini, ketahui:

  • ketersediaan dan ciri komponen sistem yang digunakan;
  • fungsi komponen;
  • grafik;
  • pintu masuk;
  • interaksi dengan pelbagai objek (luaran, dalaman) dan protokol, saluran untuk ini;
  • platform yang digunakan untuk sistem.

Skim berikut akan berguna:

  • struktur;
  • aliran data.

Struktur:

  • cara teknikal;
  • sokongan maklumat;
  • komponen struktur.

Dalam amalan, banyak dokumen disediakan secara langsung semasa pemeriksaan. Adalah mungkin untuk menganalisis maklumat hanya apabila mengumpul jumlah maksimum maklumat.

Audit keselamatan IP: analisis

Terdapat beberapa teknik yang digunakan untuk menganalisis data yang diperolehi. Pilihan yang memihak kepada yang khusus adalah berdasarkan keutamaan peribadi juruaudit dan spesifik tugas khusus.

Pendekatan yang paling kompleks melibatkan menganalisis risiko. Keperluan keselamatan dibentuk untuk sistem maklumat. Ia adalah berdasarkan ciri-ciri sistem tertentu dan persekitaran operasinya, serta ancaman yang wujud dalam persekitaran ini. Penganalisis bersetuju bahawa pendekatan ini memerlukan tenaga yang paling banyak dan kelayakan maksimum juruaudit. Seberapa baik keputusan akan ditentukan oleh metodologi analisis maklumat dan kebolehgunaan pilihan yang dipilih kepada jenis sistem maklumat.

Pilihan yang lebih praktikal melibatkan beralih kepada piawaian keselamatan data. Ini mentakrifkan satu set keperluan. Ini sesuai untuk pelbagai IP, kerana metodologi dibangunkan berdasarkan syarikat terbesar dari negara yang berbeza.

Ia mengikut piawaian apakah keperluan keselamatan, bergantung pada tahap perlindungan sistem dan kaitannya dengan institusi tertentu. Banyak bergantung pada tujuan IP. Tugas utama juruaudit adalah untuk menentukan dengan betul set keperluan keselamatan yang relevan dalam kes tertentu. Mereka memilih kaedah yang mana mereka menilai sama ada parameter sistem sedia ada memenuhi piawaian. Teknologi ini agak mudah, boleh dipercayai, dan oleh itu meluas. Dengan pelaburan yang kecil, hasilnya boleh menjadi kesimpulan yang tepat.

Pengabaian tidak boleh diterima!

Amalan menunjukkan bahawa ramai pengurus, terutamanya syarikat kecil, serta mereka yang syarikatnya telah beroperasi untuk jangka masa yang agak lama dan tidak berusaha untuk menguasai semua teknologi terkini, agak cuai mengenai sistem maklumat pengauditan, kerana mereka tidak menyedarinya. kepentingan langkah ini. Biasanya, hanya kerosakan pada perniagaan yang mencetuskan pihak pengurusan untuk mengambil langkah untuk menyemak, mengenal pasti risiko dan melindungi perusahaan. Orang lain berhadapan dengan fakta bahawa data tentang pelanggan mereka dicuri daripada mereka; bagi yang lain, kebocoran berlaku daripada pangkalan data kontraktor atau maklumat tentang kelebihan utama entiti tertentu hilang. Pengguna berhenti mempercayai syarikat sebaik sahaja kejadian itu didedahkan kepada umum, dan syarikat mengalami lebih banyak kerosakan daripada kehilangan data sahaja.

Sekiranya terdapat kemungkinan kebocoran maklumat, adalah mustahil untuk membina perniagaan yang berkesan yang mempunyai peluang baik sekarang dan akan datang. Mana-mana syarikat mempunyai data yang berharga kepada pihak ketiga, dan ia perlu dilindungi. Untuk memastikan perlindungan berada pada tahap tertinggi, audit diperlukan untuk mengenal pasti kelemahan. Ia perlu mengambil kira piawaian antarabangsa, kaedah, dan perkembangan terkini.

Semasa audit:

  • menilai tahap perlindungan;
  • menganalisis teknologi yang digunakan;
  • laraskan dokumen keselamatan;
  • simulasi situasi risiko di mana kebocoran data mungkin berlaku;
  • mengesyorkan pelaksanaan penyelesaian untuk menghapuskan kelemahan.

Acara ini dijalankan dalam salah satu daripada tiga cara:

  • aktif;
  • pakar;
  • mengenal pasti pematuhan piawaian.

Borang audit

Audit aktif melibatkan penilaian sistem yang sedang dilihat oleh penggodam yang berpotensi. Ia adalah pandangannya bahawa juruaudit "mencuba" - mereka mengkaji perlindungan rangkaian, yang mana mereka menggunakan perisian khusus dan teknik unik. Audit dalaman juga diperlukan, juga dijalankan dari sudut pandangan penjenayah yang didakwa ingin mencuri data atau mengganggu operasi sistem.

Semasa audit pakar, mereka menyemak sejauh mana sistem yang dilaksanakan sepadan dengan yang ideal. Apabila mengenal pasti pematuhan piawaian, penerangan abstrak tentang piawaian yang dibandingkan dengan objek sedia ada diambil sebagai asas.

Kesimpulan

Audit yang dijalankan dengan betul dan cekap membolehkan anda memperoleh keputusan berikut:

  • meminimumkan kemungkinan serangan penggodam yang berjaya dan kerosakan daripadanya;
  • menghapuskan serangan berdasarkan perubahan dalam seni bina sistem dan aliran maklumat;
  • insurans sebagai cara untuk mengurangkan risiko;
  • meminimumkan risiko ke tahap yang boleh diabaikan sepenuhnya.

Hari ini, sistem maklumat (IS) memainkan peranan penting dalam memastikan kecekapan perusahaan komersial dan kerajaan. Penggunaan meluas sistem maklumat untuk menyimpan, memproses dan menghantar maklumat menjadikan masalah perlindungan mereka mendesak, terutamanya memandangkan trend global ke arah peningkatan bilangan serangan maklumat, yang membawa kepada kerugian kewangan dan material yang ketara. Untuk melindungi secara berkesan daripada serangan, syarikat memerlukan penilaian objektif tahap keselamatan IP - untuk tujuan ini audit keselamatan digunakan.

Apakah audit keselamatan

Takrif audit keselamatan masih belum diwujudkan, tetapi secara amnya ia boleh digambarkan sebagai proses mengumpul dan menganalisis maklumat tentang sistem maklumat untuk menilai secara kualitatif atau kuantitatif tahap keselamatannya daripada serangan penceroboh. Terdapat banyak kes yang sesuai untuk menjalankan audit keselamatan. Ini dilakukan, khususnya, apabila menyediakan spesifikasi teknikal untuk reka bentuk dan pembangunan sistem keselamatan maklumat dan selepas melaksanakan sistem keselamatan untuk menilai tahap keberkesanannya. Audit yang bertujuan untuk membawa sistem keselamatan semasa mematuhi keperluan perundangan Rusia atau antarabangsa adalah mungkin. Audit juga mungkin bertujuan untuk mensistematikkan dan menyelaraskan langkah keselamatan maklumat sedia ada atau untuk menyiasat insiden yang melibatkan pelanggaran keselamatan maklumat.

Sebagai peraturan, syarikat luar yang menyediakan perkhidmatan perundingan dalam bidang keselamatan maklumat diupah untuk menjalankan audit. Pemula prosedur audit boleh menjadi pengurusan perusahaan, perkhidmatan automasi atau perkhidmatan keselamatan maklumat. Dalam sesetengah kes, audit juga dijalankan atas permintaan syarikat insurans atau pihak berkuasa kawal selia. Audit keselamatan dilakukan oleh sekumpulan pakar, bilangan dan komposisinya bergantung pada matlamat dan objektif tinjauan, serta kerumitan objek yang dinilai.

Jenis Audit Keselamatan

Jenis utama audit keselamatan maklumat berikut boleh dibezakan:

  • audit keselamatan pakar, di mana kelemahan dalam sistem langkah keselamatan maklumat dikenal pasti berdasarkan pengalaman pakar yang mengambil bahagian dalam prosedur peperiksaan;
  • penilaian pematuhan dengan cadangan piawaian antarabangsa ISO 17799, serta keperluan dokumen pentadbir FSTEC (Suruhanjaya Teknikal Negeri);
  • analisis instrumental keselamatan IP yang bertujuan untuk mengenal pasti dan menghapuskan kelemahan perisian dan perkakasan sistem;
  • audit menyeluruh, yang merangkumi semua bentuk tinjauan di atas.

Mana-mana jenis audit yang disenaraikan boleh dijalankan secara individu atau gabungan, bergantung pada tugas yang diselesaikan oleh perusahaan. Objek audit boleh menjadi IP syarikat secara keseluruhan dan segmen individunya di mana maklumat tertakluk kepada perlindungan diproses.

Menjalankan audit keselamatan

Secara umum, audit keselamatan, tanpa mengira bentuk pelaksanaannya, terdiri daripada empat peringkat utama, di mana setiap satu julat kerja tertentu dilakukan (lihat rajah).

Peringkat utama kerja semasa menjalankan audit keselamatan.

Pada peringkat pertama, bersama-sama dengan pelanggan, peraturan dibangunkan yang menetapkan komposisi dan prosedur untuk menjalankan kerja. Tugas utama peraturan adalah untuk menentukan sempadan dalam mana tinjauan akan dijalankan. Peraturan membantu mengelakkan tuntutan bersama selepas selesai audit, kerana ia mentakrifkan dengan jelas tanggungjawab pihak-pihak. Sebagai peraturan, peraturan mengandungi maklumat asas berikut:

  • komposisi kumpulan kerja daripada kontraktor dan pelanggan untuk menjalankan audit;
  • senarai dan lokasi kemudahan pelanggan yang tertakluk kepada audit;
  • senarai maklumat yang akan diberikan kepada kontraktor;
  • senarai sumber yang dianggap sebagai objek perlindungan (maklumat, perisian, sumber fizikal, dsb.);
  • model ancaman keselamatan maklumat atas dasar audit dijalankan;
  • kategori pengguna yang dianggap berpotensi pelanggar;
  • prosedur dan masa untuk menjalankan pemeriksaan instrumental IP pelanggan.

Pada peringkat kedua, mengikut peraturan yang dipersetujui, maklumat awal dikumpul. Kaedah untuk mengumpul maklumat termasuk menemu bual pekerja pelanggan, mengisi soal selidik, menganalisis dokumentasi organisasi, pentadbiran dan teknikal yang disediakan, dan menggunakan alat khusus.

Peringkat ketiga kerja melibatkan menganalisis maklumat yang dikumpul untuk menilai tahap keselamatan semasa IP perusahaan. Berdasarkan hasil analisis, pada peringkat keempat, cadangan dibangunkan untuk meningkatkan tahap perlindungan IS daripada ancaman keselamatan maklumat.

Di bawah ini kita akan melihat dengan lebih dekat peringkat audit yang berkaitan dengan pengumpulan maklumat, analisisnya dan pembangunan cadangan untuk meningkatkan tahap perlindungan IP.

Pengumpulan data awal

Kualiti audit keselamatan sebahagian besarnya bergantung pada kesempurnaan dan ketepatan maklumat yang diperoleh semasa proses pengumpulan data awal. Oleh itu, adalah perlu untuk memasukkan perkara berikut: dokumentasi organisasi dan pentadbiran yang berkaitan dengan isu keselamatan maklumat, maklumat tentang perisian dan perkakasan IS, maklumat tentang langkah keselamatan yang dipasang dalam IS, dsb. Senarai data sumber yang lebih terperinci dibentangkan dalam Jadual. 1.

Jadual 1. Senarai data awal yang diperlukan untuk audit keselamatan

Jenis maklumat Komposisi data sumber
Dokumentasi organisasi dan pentadbiran mengenai isu keselamatan maklumat
  • Dasar keselamatan maklumat IP;
    dokumen panduan (pesanan, arahan, arahan) mengenai isu penyimpanan, akses dan pemindahan maklumat;
    peraturan untuk kerja pengguna dengan sumber maklumat IP
Maklumat perkakasan hos
  • senarai pelayan, stesen kerja dan peralatan komunikasi yang dipasang dalam IS;
  • konfigurasi perkakasan pelayan dan stesen kerja;
  • maklumat tentang peralatan persisian
Maklumat tentang perisian seluruh sistem
  • maklumat tentang OS yang dipasang pada stesen kerja dan pelayan;
  • maklumat tentang DBMS yang dipasang dalam IS
Maklumat perisian aplikasi
  • senarai perisian aplikasi tujuan umum dan khas yang dipasang dalam IS;
  • penerangan tentang tugas fungsi yang diselesaikan menggunakan perisian aplikasi
Maklumat tentang langkah perlindungan yang dipasang dalam IS
  • pengilang peralatan perlindungan;
  • tetapan konfigurasi alat keselamatan;
  • gambarajah pemasangan peralatan perlindungan
Maklumat Topologi IC
  • peta rangkaian komputer tempatan, termasuk gambar rajah pengedaran pelayan dan stesen kerja antara segmen rangkaian;
  • jenis saluran komunikasi yang digunakan dalam IS;
  • protokol rangkaian yang digunakan dalam IS;
  • rajah aliran maklumat IS

Seperti yang dinyatakan di atas, kaedah berikut digunakan untuk mengumpul data awal.

Menemu bual pekerja pelanggan dengan maklumat yang diperlukan. Temu bual biasanya dijalankan dengan pakar teknikal dan wakil pengurusan syarikat. Senarai soalan yang dirancang untuk dibincangkan semasa temuduga dipersetujui terlebih dahulu.

Menyediakan soal selidik pada topik tertentu, yang diisi oleh pekerja pelanggan secara bebas. Dalam kes di mana bahan yang dikemukakan tidak menjawab sepenuhnya soalan yang diperlukan, temu bual tambahan dijalankan.

Analisis dokumentasi organisasi dan teknikal digunakan oleh pelanggan.

Menggunakan perisian khusus, yang membolehkan anda mendapatkan maklumat yang diperlukan tentang komposisi dan tetapan perisian dan perkakasan IS perusahaan. Contohnya, menggunakan pengimbas keselamatan, anda boleh menginventori sumber rangkaian dan mengenal pasti kelemahan di dalamnya. Contoh sistem sedemikian termasuk Pengimbas Internet dari ISS dan XSpider dari Positive Technologies.

Menilai tahap keselamatan IP

Selepas mengumpul maklumat yang diperlukan, ia dianalisis untuk menilai tahap keselamatan sistem semasa. Dalam proses analisis sedemikian, risiko keselamatan maklumat yang terdedah kepada syarikat ditentukan. Malah, risiko ialah penilaian penting tentang keberkesanan langkah keselamatan sedia ada dapat menentang serangan maklumat.

Biasanya, terdapat dua kumpulan utama kaedah untuk mengira risiko keselamatan. Kumpulan pertama membolehkan anda menetapkan tahap risiko dengan menilai tahap pematuhan dengan set keperluan keselamatan maklumat tertentu. Sumber keperluan tersebut mungkin termasuk:

  • dokumen pengawalseliaan perusahaan yang berkaitan dengan isu keselamatan maklumat (dasar keselamatan, peraturan, perintah, arahan);
  • keperluan undang-undang Rusia semasa - dokumen yang mengawal FSTEC (Suruhanjaya Teknikal Negeri), STR-K, keperluan FSB Persekutuan Rusia, GOST, dll.;
  • pengesyoran piawaian antarabangsa - ISO 17799, OCTAVE, CoBIT, BS 7799-2, dsb.;
  • cadangan daripada syarikat pembuatan perisian dan perkakasan - Microsoft, Oracle, Cisco, dsb.

Kumpulan kedua kaedah untuk menilai risiko keselamatan maklumat adalah berdasarkan penentuan kemungkinan serangan berlaku, serta tahap kerosakannya. Nilai risiko dikira secara berasingan untuk setiap serangan dan secara amnya dibentangkan sebagai hasil daripada kebarangkalian serangan a dan jumlah kerosakan yang mungkin daripada serangan ini - Risiko (a) = P(a) . Kerosakan (a). Nilai kerosakan ditentukan oleh pemilik sumber maklumat, dan kebarangkalian serangan dikira oleh sekumpulan pakar yang menjalankan prosedur audit. Kebarangkalian dalam kes ini dianggap sebagai ukuran bahawa akibat serangan itu, penyerang mencapai matlamat mereka dan menyebabkan kerosakan kepada syarikat.

Kaedah kedua-dua kumpulan mungkin menggunakan skala kuantitatif atau kualitatif untuk menentukan magnitud risiko keselamatan maklumat. Dalam kes pertama, ungkapan berangka diambil untuk risiko dan semua parameternya. Sebagai contoh, apabila menggunakan skala kuantitatif, kebarangkalian serangan P(a) boleh dinyatakan sebagai nombor dalam selang , dan kerosakan daripada serangan itu boleh ditentukan sebagai setara monetari kerugian material yang mungkin dialami oleh organisasi dalam peristiwa serangan yang berjaya. Apabila menggunakan skala kualitatif, nilai berangka digantikan dengan tahap konseptual yang setara. Dalam kes ini, setiap tahap konseptual akan sepadan dengan selang tertentu skala penilaian kuantitatif. Bilangan tahap mungkin berbeza bergantung pada teknik penilaian risiko yang digunakan. Dalam jadual 2 dan 3 memberikan contoh skala kualitatif untuk menilai risiko keselamatan maklumat, di mana lima tahap konsep digunakan untuk menilai tahap kerosakan dan kemungkinan serangan.

Jadual 2. Skala kualitatif untuk menilai tahap kerosakan

Tahap kerosakan Penerangan
1 Kecil Kehilangan kecil aset ketara yang cepat dipulihkan, atau akibat kecil terhadap reputasi syarikat
2 Sederhana Kehilangan ketara aset ketara atau kesan sederhana terhadap reputasi syarikat
3 Sederhana Kehilangan ketara aset ketara atau kerosakan ketara kepada reputasi syarikat
4 Besar Kehilangan besar aset material dan kerosakan besar kepada reputasi syarikat
5 kritikal Kehilangan kritikal aset material atau kehilangan sepenuhnya reputasi syarikat dalam pasaran, yang menjadikan aktiviti selanjutnya mustahil

Jadual 3. Skala kualitatif untuk menilai kemungkinan serangan

Peluang serangan Penerangan
1 Sangat rendah Serangan itu hampir tidak akan dilakukan. Sepadan dengan selang kebarangkalian berangka
5 Sangat tinggi Serangan hampir pasti akan dilakukan. Sepadan dengan selang kebarangkalian berangka (0.75, 1]

Untuk mengira tahap risiko pada skala kualitatif, jadual khas digunakan, di mana tahap kerosakan konsep dinyatakan dalam lajur pertama, dan tahap kebarangkalian serangan dinyatakan dalam baris pertama. Sel jadual yang terletak di persimpangan baris dan lajur yang sepadan mengandungi tahap risiko keselamatan (Jadual 4). Dimensi jadual bergantung pada bilangan tahap konsep kebarangkalian serangan dan kerosakan.

Jadual 4. Penentuan tahap risiko keselamatan maklumat menggunakan skala kualitatif

Peluang serangan
kerosakan sangat rendah rendah purata tinggi sangat tinggi
Kecil Risiko rendah Risiko rendah Risiko rendah Risiko sederhana Risiko sederhana
Sederhana Risiko rendah Risiko rendah Risiko sederhana Risiko sederhana Berisiko tinggi
Sederhana Risiko rendah Risiko sederhana Risiko sederhana Risiko sederhana Berisiko tinggi
Besar Risiko sederhana Risiko sederhana Risiko sederhana Risiko sederhana Berisiko tinggi
kritikal Risiko sederhana Berisiko tinggi Berisiko tinggi Berisiko tinggi Berisiko tinggi

Apabila mengira kebarangkalian serangan, serta tahap kemungkinan kerosakan, kaedah statistik, penilaian pakar atau elemen teori keputusan digunakan. Kaedah statistik melibatkan analisis data yang telah terkumpul mengenai insiden yang sebenarnya berlaku yang berkaitan dengan pelanggaran keselamatan maklumat. Berdasarkan keputusan analisis ini, andaian dibuat tentang kemungkinan serangan dan tahap kerosakan daripadanya dalam sistem maklumat lain. Walau bagaimanapun, kaedah statistik tidak boleh sentiasa digunakan kerana kekurangan data statistik pada serangan yang dilakukan sebelum ini ke atas sumber IP yang serupa dengan yang berfungsi sebagai objek penilaian.

Apabila menggunakan radas penilaian pakar, hasil kerja sekumpulan pakar yang kompeten dalam bidang keselamatan maklumat dianalisis, yang, berdasarkan pengalaman mereka, menentukan tahap risiko kuantitatif atau kualitatif. Elemen teori keputusan memungkinkan untuk menggunakan algoritma yang lebih kompleks untuk memproses keputusan sekumpulan pakar untuk mengira nilai risiko keselamatan.

Terdapat pakej perisian khusus yang membolehkan anda mengautomasikan proses menganalisis data sumber dan mengira nilai risiko semasa audit keselamatan. Contoh kompleks sedemikian ialah "Grif" dan "Condor" dari Keselamatan Digital, serta "AvanGard", yang dibangunkan di Institut Analisis Sistem Akademi Sains Rusia.

Keputusan audit keselamatan

Pada peringkat terakhir audit keselamatan maklumat, cadangan dibangunkan untuk menambah baik sokongan organisasi dan teknikal untuk keselamatan di perusahaan. Cadangan sedemikian mungkin termasuk pelbagai jenis tindakan yang bertujuan untuk meminimumkan risiko yang dikenal pasti.

Pengurangan Risiko melalui cara perlindungan organisasi dan teknikal tambahan, membolehkan untuk mengurangkan kemungkinan serangan atau mengurangkan kemungkinan kerosakan daripadanya. Oleh itu, memasang tembok api pada titik di mana sistem maklumat bersambung ke Internet dengan ketara mengurangkan kemungkinan serangan yang berjaya ke atas sumber maklumat awam sistem maklumat - seperti pelayan Web, pelayan mel, dsb.

Penghindaran risiko dengan menukar seni bina atau skema aliran maklumat IS, yang memungkinkan untuk mengecualikan pengendalian satu atau satu lagi serangan. Sebagai contoh, memutuskan sambungan segmen IS secara fizikal di mana maklumat sulit diproses daripada Internet membolehkan anda mengelakkan serangan luar terhadap maklumat sulit.

Mengubah sifat risiko akibat daripada mengambil langkah insurans. Contoh perubahan dalam sifat risiko termasuk insurans peralatan IS terhadap kebakaran atau insurans sumber maklumat terhadap kemungkinan pelanggaran kerahsiaan, integriti atau ketersediaannya. Pada masa ini, beberapa syarikat Rusia telah menawarkan perkhidmatan insurans risiko maklumat.

Mengambil risiko, jika ia dikurangkan ke tahap di mana ia tidak lagi menimbulkan ancaman kepada IP.

Biasanya, cadangan tidak bertujuan untuk menghapuskan sepenuhnya semua risiko yang dikenal pasti, tetapi hanya untuk mengurangkannya ke tahap yang boleh diterima. Apabila memilih langkah untuk meningkatkan tahap perlindungan IP, satu had asas diambil kira - kos melaksanakan langkah-langkah ini tidak boleh melebihi kos sumber maklumat yang dilindungi, serta kerugian syarikat daripada kemungkinan pelanggaran kerahsiaan, integriti atau ketersediaan maklumat.

Pada akhir prosedur audit, keputusannya diformalkan dalam bentuk dokumen pelaporan, yang diberikan kepada pelanggan. Secara umum, dokumen ini terdiri daripada bahagian utama berikut:

  • penerangan tentang sempadan di mana audit keselamatan dijalankan;
  • perihalan struktur IP pelanggan;
  • kaedah dan alat yang digunakan dalam proses audit;
  • penerangan tentang kelemahan dan kekurangan yang dikenal pasti, termasuk tahap risikonya;
  • cadangan untuk menambah baik sistem keselamatan maklumat yang komprehensif;
  • cadangan untuk rancangan untuk melaksanakan langkah-langkah keutamaan yang bertujuan untuk meminimumkan risiko yang dikenal pasti.

Kesimpulan

Audit keselamatan maklumat ialah salah satu alat yang paling berkesan hari ini untuk mendapatkan penilaian bebas dan objektif tahap semasa keselamatan perusahaan terhadap ancaman keselamatan maklumat. Di samping itu, keputusan audit menyediakan asas untuk merumuskan strategi untuk pembangunan sistem keselamatan maklumat organisasi. Walau bagaimanapun, adalah perlu untuk memahami bahawa audit keselamatan bukanlah prosedur sekali sahaja; ia mesti dijalankan secara tetap. Hanya dalam kes ini audit akan membawa manfaat sebenar dan membantu meningkatkan tahap keselamatan maklumat syarikat.

Pengumpulan, pemprosesan, penyimpanan dan penggunaan data peribadi dijalankan dalam banyak bidang aktiviti masyarakat dan negara. Contohnya, dalam bidang kewangan dan cukai, dengan pencen, insurans sosial dan perubatan, dalam aktiviti penyiasatan operasi, buruh dan bidang kehidupan awam yang lain.

Dalam pelbagai bidang aktiviti, data peribadi selalunya bermaksud set maklumat yang berbeza. Data peribadi ditakrifkan dalam pelbagai undang-undang persekutuan, dan skop maklumat ditakrifkan secara berbeza di dalamnya.

Dengan perkembangan teknologi maklumat, perlindungan maklumat komersial menjadi semakin penting, membolehkan syarikat mengekalkan daya saing produknya, mengatur kerja dengan rakan kongsi dan pelanggan, dan mengurangkan risiko sekatan daripada pengawal selia.

Adalah mungkin untuk melindungi rahsia perdagangan syarikat dan membawa mereka yang bertanggungjawab untuk pendedahan ke muka pengadilan dengan memperkenalkan rejim rahsia perdagangan, iaitu, dengan mengambil langkah undang-undang, organisasi dan teknikal untuk melindungi kerahsiaan maklumat.

Hari ini, serangan virus masih berlaku dengan kekerapan yang membimbangkan. Serangan yang paling berkesan adalah yang dilakukan menggunakan fail yang dibuka oleh aplikasi biasa. Contohnya, kod hasad mungkin terkandung dalam fail Microsoft Word atau dokumen PDF. Serangan sedemikian dipanggil eksploitasi dan tidak selalu dikesan oleh antivirus biasa.

Palo Alto Networks Traps menyediakan perlindungan lanjutan untuk stesen kerja terhadap serangan berniat jahat yang disasarkan dan menghalang eksploitasi sistem pengendalian dan kelemahan aplikasi.

Cadangan untuk melindungi maklumat apabila bekerja dalam sistem perbankan jauh

Baru-baru ini, kes aktiviti penipuan dalam sistem perbankan jauh (RBS) yang bertujuan untuk mencuri kunci rahsia pengguna dan dana organisasi semakin kerap berlaku. Dalam artikel itu, kami meneliti langkah praktikal yang perlu untuk mengurangkan kemungkinan kecurian wang dan memberikan cadangan untuk bertindak balas terhadap kemungkinan aktiviti penipuan.

Menurut Undang-undang Persekutuan 30 Disember 2008 No. 307-FZ "Mengenai Aktiviti Pengauditan," audit ialah "pengesahan bebas penyata perakaunan (kewangan) entiti yang diaudit untuk menyatakan pendapat tentang kebolehpercayaan kenyataan.” Istilah yang disebut dalam undang-undang ini tidak ada kaitan dengan keselamatan maklumat. Walau bagaimanapun, kebetulan pakar keselamatan maklumat agak aktif menggunakannya dalam ucapan mereka. Dalam kes ini, audit merujuk kepada proses penilaian bebas terhadap aktiviti sesebuah organisasi, sistem, proses, projek atau produk. Pada masa yang sama, seseorang mesti memahami bahawa dalam pelbagai peraturan domestik istilah "audit keselamatan maklumat" tidak selalu digunakan - ia sering digantikan dengan sama ada istilah "penilaian pematuhan" atau istilah "pensijilan" yang agak ketinggalan zaman tetapi masih digunakan. Kadangkala istilah "pensijilan" juga digunakan, tetapi berkaitan dengan peraturan asing antarabangsa.

Audit keselamatan maklumat dijalankan sama ada untuk mengesahkan pematuhan terhadap peraturan, atau untuk mengesahkan kesahihan dan keselamatan penyelesaian yang digunakan.

Tetapi tidak kira apa istilah yang digunakan, pada dasarnya, audit keselamatan maklumat dijalankan sama ada untuk mengesahkan pematuhan dengan peraturan, atau untuk mengesahkan kesahihan dan keselamatan penyelesaian yang digunakan. Dalam kes kedua, audit adalah secara sukarela, dan keputusan untuk menjalankannya dibuat oleh organisasi itu sendiri. Dalam kes pertama, adalah mustahil untuk menolak untuk menjalankan audit, kerana ini melibatkan pelanggaran keperluan yang ditetapkan oleh peraturan, yang membawa kepada hukuman dalam bentuk denda, penggantungan aktiviti atau bentuk hukuman lain.
Sekiranya audit adalah mandatori, ia boleh dijalankan oleh organisasi itu sendiri, contohnya, dalam bentuk penilaian kendiri (namun, dalam kes ini tidak ada perbincangan tentang "kemerdekaan" dan istilah "audit" tidak sepenuhnya. betul untuk digunakan di sini), atau oleh organisasi bebas luar - juruaudit. Pilihan ketiga untuk menjalankan audit mandatori ialah kawalan oleh badan kawal selia yang diberi kuasa untuk menjalankan aktiviti penyeliaan yang berkaitan. Pilihan ini sering dipanggil pemeriksaan dan bukannya audit.
Memandangkan audit sukarela boleh dijalankan atas sebarang sebab (untuk memeriksa keselamatan sistem perbankan jauh, mengawal aset bank yang diperoleh, menyemak cawangan yang baru dibuka, dsb.), kami tidak akan mempertimbangkan pilihan ini. Dalam kes ini, adalah mustahil untuk menggariskan sempadannya dengan jelas, atau menerangkan bentuk pelaporannya, atau bercakap tentang keteraturan - semua ini diputuskan oleh perjanjian antara juruaudit dan organisasi yang diaudit. Oleh itu, kami akan mempertimbangkan hanya bentuk audit mandatori yang khusus untuk bank.

Piawaian antarabangsa ISO 27001

Kadangkala anda boleh mendengar tentang bank tertentu yang menjalani audit untuk mematuhi keperluan piawaian antarabangsa "ISO/IEC 27001:2005" (kesetaraan penuh Rusianya ialah "GOST R ISO/IEC 27001-2006 - Teknologi maklumat - Kaedah dan cara memastikan keselamatan. Keselamatan maklumat sistem pengurusan - Keperluan"). Pada dasarnya, piawaian ini ialah satu set amalan terbaik untuk pengurusan keselamatan maklumat dalam organisasi besar (organisasi kecil, termasuk bank, tidak selalu dapat mematuhi sepenuhnya keperluan piawaian ini).
Seperti mana-mana standard di Rusia, ISO 27001 ialah dokumen sukarela semata-mata, yang setiap bank memutuskan untuk menerima atau tidak menerima secara bebas. Tetapi ISO 27001 ialah piawaian de facto di seluruh dunia, dan pakar di banyak negara menggunakan piawaian ini sebagai sejenis bahasa universal untuk membimbing usaha keselamatan maklumat mereka.

Terdapat juga beberapa perkara yang tidak begitu jelas dan tidak sering disebut berkaitan dengan ISO 27001.

Walau bagaimanapun, ISO 27001 juga melibatkan beberapa perkara yang kurang jelas dan kurang kerap disebut. Pertama, bukan keseluruhan sistem keselamatan maklumat bank tertakluk kepada audit mengikut piawaian ini, tetapi hanya satu atau lebih komponennya. Contohnya, sistem keselamatan perbankan jauh, sistem keselamatan ibu pejabat bank atau sistem keselamatan proses pengurusan kakitangan. Dalam erti kata lain, menerima sijil pematuhan untuk salah satu proses yang dinilai sebagai sebahagian daripada audit tidak menjamin bahawa proses yang selebihnya berada dalam keadaan yang hampir sama dengan keadaan ideal. Perkara kedua adalah berkaitan dengan fakta bahawa ISO 27001 adalah piawaian sejagat, iaitu, terpakai kepada mana-mana organisasi, dan oleh itu tidak mengambil kira spesifik industri tertentu. Ini telah membawa kepada fakta bahawa dalam rangka kerja organisasi antarabangsa untuk penyeragaman ISO, telah lama diperkatakan tentang penciptaan standard ISO 27015, yang merupakan terjemahan ISO 27001/27002 untuk industri kewangan. Bank of Russia juga mengambil bahagian aktif dalam pembangunan piawaian ini. Walau bagaimanapun, Visa dan MasterCard menentang draf piawaian ini, yang telah dibangunkan. Yang pertama percaya bahawa draf standard mengandungi terlalu sedikit maklumat yang diperlukan untuk industri kewangan (contohnya, mengenai sistem pembayaran), dan jika ia ditambah di sana, piawaian itu harus dipindahkan ke jawatankuasa ISO yang lain. MasterCard juga bercadang untuk berhenti membangunkan ISO 27015, tetapi motivasinya berbeza - mereka berkata, industri kewangan sudah penuh dengan dokumen yang mengawal selia topik keselamatan maklumat. Ketiga, adalah perlu untuk memberi perhatian bahawa banyak cadangan yang terdapat di pasaran Rusia tidak bercakap tentang audit pematuhan, tetapi mengenai persediaan untuk audit. Hakikatnya ialah hanya beberapa organisasi di dunia yang mempunyai hak untuk mengesahkan pematuhan dengan keperluan ISO 27001. Penyepadu hanya membantu syarikat memenuhi keperluan standard, yang kemudiannya akan disahkan oleh juruaudit rasmi (mereka juga dipanggil pendaftar, badan pensijilan, dll.).
Walaupun perdebatan berterusan mengenai sama ada bank harus melaksanakan ISO 27001 atau tidak, beberapa orang yang berani melakukannya dan menjalani 3 peringkat audit pematuhan:

  • Pemeriksaan awal tidak rasmi oleh juruaudit terhadap dokumen penting (kedua-dua di dalam dan di luar tapak klien audit).
  • Audit formal dan lebih mendalam terhadap langkah perlindungan yang dilaksanakan, penilaian keberkesanannya dan kajian terhadap dokumen yang diperlukan yang dibangunkan. Peringkat ini biasanya berakhir dengan pengesahan pematuhan, dan juruaudit mengeluarkan sijil sepadan yang diiktiraf di seluruh dunia.
  • Menjalankan audit pemeriksaan tahunan untuk mengesahkan perakuan pematuhan yang diperoleh sebelum ini.

Siapa yang memerlukan ISO 27001 di Rusia? Jika kami menganggap piawaian ini bukan sahaja sebagai satu set amalan terbaik yang boleh dilaksanakan tanpa menjalani audit, tetapi juga sebagai proses pensijilan yang menandakan pengesahan pematuhan bank terhadap keperluan keselamatan yang diiktiraf di peringkat antarabangsa, maka ISO 27001 masuk akal untuk dilaksanakan sama ada oleh bank yang menjadi ahli kumpulan perbankan antarabangsa , di mana ISO 27001 adalah standard, atau untuk bank yang merancang untuk memasuki arena antarabangsa. Dalam kes lain, mengaudit pematuhan ISO 27001 dan mendapatkan sijil, pada pendapat saya, tidak perlu. Tetapi hanya untuk bank dan hanya di Rusia. Dan semuanya kerana kami mempunyai piawaian kami sendiri berdasarkan ISO 27001.

Secara de facto, pemeriksaan pemeriksaan Bank of Russia telah dijalankan sehingga baru-baru ini dengan tepat mengikut keperluan STO BR IBBS

Set dokumen Bank of Russia STO BR IBBS

Piawaian sedemikian, atau lebih tepatnya satu set piawaian, adalah satu set dokumen dari Bank of Russia, yang menerangkan pendekatan bersatu untuk membina sistem keselamatan maklumat untuk organisasi perbankan dengan mengambil kira keperluan perundangan Rusia. Set dokumen ini (selepas ini dirujuk sebagai STO BR IBBS), yang mengandungi tiga piawaian dan lima cadangan untuk penyeragaman, adalah berdasarkan ISO 27001 dan beberapa piawaian antarabangsa lain untuk pengurusan teknologi maklumat dan keselamatan maklumat.
Isu pengauditan dan penilaian pematuhan dengan keperluan standard, bagi ISO 27001, dinyatakan dalam dokumen berasingan - “STO BR IBBS-1.1-2007. Audit keselamatan maklumat", "STO BR IBBS-1.2-2010. Metodologi untuk menilai pematuhan keselamatan maklumat organisasi sistem perbankan Persekutuan Rusia dengan keperluan STO BR IBBS-1.0-2010" dan "RS BR IBBS-2.1-2007. Garis panduan untuk penilaian sendiri pematuhan keselamatan maklumat organisasi sistem perbankan Persekutuan Rusia dengan keperluan STO BR IBBS-1.0.
Semasa penilaian pematuhan mengikut STO BR IBBS, pelaksanaan 423 penunjuk keselamatan maklumat peribadi, dikumpulkan kepada 34 penunjuk kumpulan, disemak. Keputusan penilaian adalah penunjuk akhir, yang sepatutnya berada pada tahap ke-4 atau ke-5 pada skala lima mata yang ditetapkan oleh Bank of Russia. Ini, dengan cara ini, sangat membezakan audit mengikut STO BR IBBS daripada audit mengikut peraturan lain dalam bidang keselamatan maklumat. Dalam STO BR IBBS tiada ketidakkonsistenan, cuma tahap pematuhan boleh berbeza: dari sifar hingga lima. Dan hanya tahap di atas 4 dianggap positif.
Sehingga akhir tahun 2011, kira-kira 70–75% daripada bank telah melaksanakan atau sedang dalam proses melaksanakan set piawaian ini. Di sebalik segala-galanya, ia bersifat nasihat secara de jure, tetapi pemeriksaan de facto Bank of Russia telah dijalankan sehingga baru-baru ini dengan tepat mengikut keperluan STO BR IBBS (walaupun ini tidak pernah dinyatakan secara jelas di mana-mana sahaja).
Keadaan telah berubah sejak 1 Julai 2012, apabila undang-undang "Mengenai Sistem Pembayaran Negara" dan dokumen kawal selia Kerajaan Rusia dan Bank Rusia yang dibangunkan untuk pelaksanaannya berkuat kuasa sepenuhnya. Mulai saat ini, isu keperluan untuk menjalankan audit pematuhan terhadap keperluan STO BR IBBS kembali muncul dalam agenda. Hakikatnya ialah metodologi untuk menilai pematuhan, yang dicadangkan dalam rangka perundangan mengenai sistem pembayaran negara (NPS), dan metodologi untuk menilai pematuhan STO BR IBBS boleh sangat berbeza dalam nilai akhir. Pada masa yang sama, penilaian menggunakan kaedah pertama (untuk NPS) telah menjadi wajib, manakala penilaian menggunakan STO BR IBBS masih bersifat de jure yang bersifat cadangan. Dan pada masa penulisan, Bank of Russia sendiri belum membuat keputusan mengenai nasib masa depan penilaian ini. Jika sebelum ini semua rangkaian tertumpu di Direktorat Utama Keselamatan dan Perlindungan Maklumat Bank Rusia (GUBZI), maka pembahagian kuasa antara GUBZI dan Jabatan Pengawalseliaan Penyelesaian (LHH) masih menjadi persoalan terbuka.

Sudah jelas bahawa akta perundangan mengenai NPS memerlukan penilaian pematuhan mandatori, iaitu audit

Perundangan mengenai sistem pembayaran negara

Perundangan mengenai NPS hanya pada awal pembentukannya, dan banyak dokumen baharu menanti kita, termasuk yang berkaitan dengan isu memastikan keselamatan maklumat. Tetapi sudah jelas bahawa Peraturan 382-P, dikeluarkan dan diluluskan pada 9 Jun 2012, "Mengenai keperluan untuk memastikan perlindungan maklumat semasa membuat pemindahan wang dan mengenai prosedur untuk Bank Rusia memantau pematuhan keperluan untuk memastikan perlindungan maklumat semasa membuat pemindahan wang” » menghendaki dalam perenggan 2.15 penilaian pematuhan mandatori, iaitu audit. Penilaian sedemikian dijalankan sama ada secara bebas atau dengan penglibatan pihak ketiga. Seperti yang dinyatakan di atas, penilaian pematuhan yang dijalankan dalam rangka kerja 382-P adalah serupa pada dasarnya dengan apa yang diterangkan dalam metodologi penilaian pematuhan STO BR IBBS, tetapi menghasilkan keputusan yang sama sekali berbeza, yang dikaitkan dengan pengenalan faktor pembetulan khas, yang menentukan keputusan yang berbeza.
Peraturan 382-P tidak menetapkan sebarang keperluan khas untuk organisasi yang terlibat dalam pengauditan, yang bercanggah dengan Dekri Kerajaan No. 584 pada 13 Jun 2012 "Mengenai perlindungan maklumat dalam sistem pembayaran," yang juga memerlukan organisasi dan menjalankan pemantauan dan penilaian pematuhan keperluan kepada perlindungan maklumat setiap 2 tahun sekali. Walau bagaimanapun, Dekri Kerajaan yang dibangunkan oleh FSTEC memerlukan audit luaran hanya dijalankan oleh organisasi yang dilesenkan untuk beroperasi dalam perlindungan teknikal maklumat sulit.
Keperluan tambahan yang sukar diklasifikasikan sebagai satu bentuk audit, tetapi yang mengenakan tanggungjawab baharu ke atas bank, disenaraikan dalam seksyen 2.16 Peraturan 382-P. Mengikut keperluan ini, pengendali sistem pembayaran diwajibkan untuk membangunkan, dan bank-bank yang telah menyertai sistem pembayaran ini diwajibkan untuk memenuhi, keperluan untuk sentiasa memaklumkan pengendali sistem pembayaran tentang pelbagai isu keselamatan maklumat di bank: tentang pematuhan keperluan keselamatan maklumat. , tentang insiden yang dikenal pasti, tentang penilaian kendiri yang dijalankan, tentang ancaman dan kelemahan yang dikenal pasti.
Sebagai tambahan kepada audit yang dijalankan secara kontrak, Undang-undang Persekutuan No. 161 mengenai NPS juga menetapkan bahawa kawalan dan pengawasan pematuhan terhadap keperluan yang ditetapkan oleh Kerajaan Persekutuan Rusia dalam Resolusi 584 dan Bank of Russia dalam Peraturan 382 dijalankan. dikeluarkan oleh FSB FSTEC dan Bank of Russia, masing-masing. . Pada masa penulisan, FSTEC mahupun FSB tidak mempunyai prosedur yang dibangunkan untuk menjalankan penyeliaan sedemikian, tidak seperti Bank of Russia, yang mengeluarkan Peraturan No. 380-P bertarikh 31 Mei 2012 "Mengenai prosedur untuk memantau sistem pembayaran negara" (untuk institusi kredit) dan Peraturan bertarikh 9 Jun 2012 No. 381-P “Mengenai prosedur penyeliaan pematuhan oleh pengendali sistem pembayaran dan pengendali perkhidmatan infrastruktur pembayaran yang bukan institusi kredit dengan keperluan Undang-undang Persekutuan 27 Jun 2011 No. 161-FZ "Mengenai Sistem Pembayaran Nasional" diterima pakai mengikut peraturan Bank of Russia."
Akta kawal selia dalam bidang perlindungan maklumat dalam sistem pembayaran negara hanya pada permulaan pembangunan terperinci. Pada 1 Julai 2012, Bank of Russia mula menguji mereka dan mengumpul fakta mengenai amalan penguatkuasaan undang-undang. Oleh itu, hari ini adalah terlalu awal untuk bercakap tentang bagaimana peraturan ini akan digunakan, bagaimana penyeliaan di bawah 380-P akan dijalankan, apakah kesimpulan yang akan dibuat berdasarkan hasil penilaian kendiri yang dijalankan setiap 2 tahun dan dihantar kepada Bank dari Rusia.

Piawaian keselamatan kad pembayaran PCI DSS

Piawaian Keselamatan Data Industri Kad Pembayaran (PCI DSS) ialah piawaian keselamatan data kad pembayaran yang dibangunkan oleh Majlis Piawaian Keselamatan Industri Kad Pembayaran (PCI SSC), yang ditubuhkan oleh sistem pembayaran antarabangsa Visa, MasterCard, American Express, JCB dan Discover. Piawaian PCI DSS ialah satu set 12 tahap tinggi dan lebih 200 keperluan terperinci untuk memastikan keselamatan data tentang pemegang kad pembayaran yang dihantar, disimpan dan diproses dalam sistem maklumat organisasi.

Keperluan piawaian terpakai kepada semua syarikat yang bekerja dengan sistem pembayaran antarabangsa Visa dan MasterCard. Bergantung pada bilangan urus niaga yang diproses, setiap syarikat diberikan tahap tertentu dengan set keperluan sepadan yang mesti dipenuhi oleh syarikat ini. Tahap ini berbeza bergantung pada sistem pembayaran.

Penyelesaian audit yang berjaya tidak bermakna semuanya baik-baik saja dengan keselamatan di bank - terdapat banyak helah yang membolehkan organisasi yang diaudit menyembunyikan beberapa kelemahan dalam sistem keselamatannya

Pengesahan pematuhan dengan keperluan piawaian PCI DSS dijalankan dalam rangka kerja wajib pensijilan, keperluan yang berbeza bergantung pada jenis syarikat yang diperiksa - perusahaan perdagangan dan perkhidmatan yang menerima kad pembayaran untuk pembayaran barangan dan perkhidmatan, atau penyedia perkhidmatan yang menyediakan perkhidmatan kepada perusahaan perdagangan dan perkhidmatan, memperoleh bank, pengeluar, dan lain-lain. (pusat pemprosesan, gerbang pembayaran, dsb.). Penilaian ini boleh mengambil bentuk yang berbeza:

  • audit tahunan oleh syarikat bertauliah dengan status Qualified Security Assessors (QSA);
  • penilaian kendiri tahunan;
  • pengimbasan rangkaian suku tahunan dengan bantuan organisasi yang diberi kuasa dengan status Vendor Pengimbasan Diluluskan (ASV).

Perundangan mengenai data peribadi

Dokumen kawal selia terkini, juga berkaitan dengan industri perbankan dan mewujudkan keperluan untuk penilaian pematuhan, ialah Undang-undang Persekutuan "Mengenai Data Peribadi". Walau bagaimanapun, sama ada bentuk audit sedemikian, mahupun kekerapannya, mahupun keperluan untuk organisasi yang menjalankan audit sedemikian masih belum ditetapkan. Mungkin isu ini akan diselesaikan pada musim gugur 2012, apabila kumpulan dokumen seterusnya dari Kerajaan Persekutuan Rusia, FSTEC dan FSB dikeluarkan, memperkenalkan piawaian baru dalam bidang perlindungan data peribadi. Sementara itu, bank boleh berehat dengan mudah dan secara bebas menentukan spesifik audit isu perlindungan data peribadi.
Kawalan dan penyeliaan ke atas pelaksanaan langkah-langkah organisasi dan teknikal untuk memastikan keselamatan data peribadi yang ditetapkan oleh Artikel 19 152-FZ dijalankan oleh FSB dan FSTEC, tetapi hanya untuk sistem maklumat data peribadi negeri. Mengikut undang-undang, tidak ada sesiapa yang boleh mengawal organisasi komersial dalam bidang memastikan keselamatan maklumat data peribadi. Perkara yang sama tidak boleh dikatakan mengenai isu melindungi hak subjek data peribadi, iaitu pelanggan, rakan niaga dan hanya pelawat ke bank. Tugas ini telah diambil oleh Roskomnadzor, yang sangat aktif menjalankan fungsi penyeliaannya dan menganggap bank sebagai antara pelanggar undang-undang yang paling teruk mengenai data peribadi.

Peruntukan akhir

Peraturan utama dalam bidang keselamatan maklumat yang berkaitan dengan institusi kredit dibincangkan di atas. Terdapat banyak peraturan ini, dan setiap satu daripadanya menetapkan keperluannya sendiri untuk menjalankan penilaian pematuhan dalam satu bentuk atau yang lain - daripada penilaian kendiri dalam bentuk mengisi soal selidik (PCI DSS) hingga lulus audit mandatori setiap dua tahun ( 382-P) atau sekali setahun (ISO 27001). Di antara bentuk penilaian pematuhan yang paling biasa ini, terdapat yang lain - pemberitahuan pengendali sistem pembayaran, imbasan suku tahunan, dsb.

Perlu diingat dan difahami bahawa negara masih kekurangan sistem pandangan bersatu bukan sahaja mengenai peraturan negeri proses audit keselamatan maklumat organisasi dan sistem teknologi maklumat, tetapi juga mengenai topik pengauditan keselamatan maklumat secara umum. Di Persekutuan Rusia, terdapat beberapa jabatan dan organisasi (FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC, dll.) yang bertanggungjawab untuk keselamatan maklumat. Dan mereka semua beroperasi berdasarkan peraturan dan garis panduan mereka sendiri. Pendekatan yang berbeza, standard yang berbeza, tahap kematangan yang berbeza... Semua ini menghalang penubuhan peraturan umum permainan. Gambaran itu juga dimanjakan oleh kemunculan syarikat terbang demi malam yang, dalam mengejar keuntungan, menawarkan perkhidmatan berkualiti sangat rendah dalam bidang menilai pematuhan keperluan keselamatan maklumat. Dan keadaan tidak mungkin berubah menjadi lebih baik. Jika ada keperluan, akan ada mereka yang bersedia untuk memenuhinya, sementara tiada juruaudit berkelayakan yang mencukupi untuk semua. Dengan bilangan mereka yang kecil (ditunjukkan dalam jadual) dan tempoh audit dari beberapa minggu hingga beberapa bulan, adalah jelas bahawa keperluan untuk pengauditan secara serius melebihi keupayaan juruaudit.
Dalam "Konsep keselamatan maklumat pengauditan sistem dan organisasi teknologi maklumat", yang tidak pernah diterima pakai oleh FSTEC, terdapat frasa berikut: "pada masa yang sama, dalam ketiadaan pengawal selia negara yang diperlukan, aktiviti / audit tidak terkawal sedemikian oleh firma swasta / boleh menyebabkan kemudaratan yang tidak boleh diperbaiki kepada organisasi.” Kesimpulannya, pengarang Konsep mencadangkan untuk menyatukan pendekatan untuk pengauditan dan secara perundangan menetapkan peraturan permainan, termasuk peraturan untuk akreditasi juruaudit, keperluan untuk kelayakan mereka, prosedur audit, dll., tetapi perkara masih ada. Walaupun, memandangkan perhatian bahawa pengawal selia domestik dalam bidang keselamatan maklumat (dan kami mempunyai 9 daripadanya) membayar kepada isu keselamatan maklumat (sepanjang tahun kalendar yang lalu sahaja, 52 peraturan mengenai isu keselamatan maklumat telah diterima pakai atau dibangunkan - satu peraturan setiap minggu !), Saya tidak menolak bahawa topik ini akan dilawati semula tidak lama lagi.

STANDARD AUDIT KESELAMATAN MAKLUMAT

Dalam keadaan sedemikian, malangnya, kita harus mengakui bahawa matlamat utama audit keselamatan maklumat bank - meningkatkan keyakinan dalam aktivitinya - tidak dapat dicapai di Rusia. Beberapa pelanggan bank kami memberi perhatian kepada tahap keselamatannya atau keputusan audit yang dijalankan di bank. Kami beralih kepada audit sama ada sekiranya mengenal pasti insiden yang sangat serius yang telah membawa kepada kerosakan material yang serius kepada bank (atau pemegang saham dan pemiliknya), atau dalam kes keperluan perundangan, yang mana, seperti yang ditunjukkan di atas, kami mempunyai ramai. Dan untuk enam bulan akan datang, keperluan No. 1, yang patut diberi perhatian kepada audit keselamatan, adalah peraturan Bank of Russia 382-P. Sudah ada duluan pertama permintaan daripada jabatan wilayah Bank Negara untuk maklumat tentang tahap keselamatan bank dan pematuhan keperluan 382-P, dan maklumat ini diperolehi dengan tepat hasil daripada audit luaran atau diri sendiri. -penilaian. Di tempat kedua saya akan meletakkan audit pematuhan dengan keperluan Undang-undang "Mengenai Data Peribadi". Tetapi audit sedemikian harus dilakukan tidak lebih awal daripada musim bunga, apabila semua dokumen yang dijanjikan oleh FSTEC dan FSB akan dikeluarkan dan apabila nasib STO BR IBBS menjadi jelas. Kemudian adalah mungkin untuk membangkitkan isu menjalankan audit pematuhan terhadap keperluan STO BR IBBS. Ia akan menjadi jelas bukan sahaja masa depan kompleks dokumen Bank of Russia, tetapi juga statusnya berhubung dengan 382-P yang serupa, tetapi masih berbeza, dan juga sama ada STO BR IBBS akan terus meliputi isu perlindungan data peribadi .
Penyelesaian audit yang berjaya tidak bermakna semuanya baik-baik saja dengan keselamatan di bank - terdapat banyak helah yang membolehkan organisasi yang diaudit menyembunyikan beberapa kelemahan dalam sistem keselamatannya. Dan banyak bergantung kepada kelayakan dan kebebasan juruaudit. Pengalaman tahun lalu menunjukkan bahawa walaupun dalam organisasi yang telah berjaya lulus audit pematuhan terhadap piawaian PCI DSS, ISO 27001 atau STO BR IBBS, terdapat insiden dan insiden serius.

Hasil kerja juruaudit ialah penyediaan laporan audit. Untuk mempunyai asas untuk membuat kesimpulan mengenai bidang utama audit, juruaudit mesti mengumpul bukti yang sesuai. Maklumat yang dikumpul dan dianalisis oleh juruaudit semasa audit berfungsi sebagai asas untuk kesimpulan juruaudit dan dipanggil bukti audit. Semasa mengumpul bukti audit, juruaudit menggunakan kaedah berikut:

1. Kaedah kawalan sebenar

a) inventori;

b) pengukuran kawalan.

2. Kaedah kawalan dokumentari

a) pengesahan rasmi;

b) semakan aritmetik;

c) pengesahan dokumen berdasarkan meritnya.

3. Kaedah lain

a) pemerhatian;

c) analisis ekonomi.

Mari kita pertimbangkan sejauh mana keberkesanan setiap kaedah mengumpul bukti audit ini dalam mengesahkan aset tetap.

Inventori dijalankan bagi memastikan kebolehpercayaan data perakaunan dan pelaporan. Sejurus tiba di organisasi, juruaudit mesti menjelaskan tarikh inventori terakhir. Jika inventori aset tetap tidak dijalankan selama lebih daripada 2-3 tahun, juruaudit mungkin memerlukannya untuk dijalankan, yang akan membolehkan audit yang lebih baik, konsisten dan mengurangkan risiko audit. Juruaudit boleh sendiri mengambil bahagian dalam inventori atau menghadkan dirinya untuk memerhati pelaksanaannya. Adalah disyorkan untuk memastikan bahawa barangan yang paling mahal tersedia. Sebahagian daripada harta itu mungkin hilang, dalam kes ini adalah perlu untuk menyemak mengikut dokumen apa, kepada siapa dan bila ia dipindahkan. Apabila pekerja menggunakan mana-mana harta di rumah, kos hartanah ini (komputer, pencetak) boleh dianggap sebagai asas bercukai (pendapatan) pekerja. Dalam kes apabila, semasa inventori aset tetap, ternyata salah satu bengkel entiti ekonomi yang diperiksa diduduki oleh entiti ekonomi lain (mungkin terdapat beberapa tanda ini: terdapat tanda dengan nama ekonomi yang lain. entiti; produk dihasilkan yang tidak sepadan dengan profil entiti ekonomi yang diperiksa, dsb.) dsb.), dan tiada item "pendapatan sewa" dalam pendapatan daripada operasi bukan operasi, maka kita bercakap tentang "tersembunyi". sewa” dan pengelakan cukai. Juruaudit boleh membuat kesimpulan bahawa pelanggan melanggar undang-undang semasa melakukan transaksi kewangan dan perniagaan. Inventori aset tetap dijalankan berdasarkan "Garis Panduan untuk inventori harta dan obligasi kewangan" yang diluluskan. Dengan Perintah Kementerian Kewangan Persekutuan Rusia bertarikh 13 Jun 1995 No. 49.

Kaedah pengukuran kawalan berkesan dalam menyemak kos pembaikan aset tetap. Juruaudit boleh menjalankan pengukuran kawalan ke atas volum kerja pembaikan yang dilakukan secara langsung di kemudahan, yang akan memungkinkan untuk memberikan penilaian objektif terhadap kerja pembaikan sebenar dan menetapkan jumlah bahan yang dihapuskan secara tidak munasabah, serta jumlah gaji yang dibayar secara tidak sah, jika, dengan persekongkolan pekerja tertentu organisasi, terdapat penyataan berlebihan terhadap jumlah kerja yang dilakukan.

Semasa menjalankan pengesahan rasmi dokumen, juruaudit secara visual memeriksa dokumen utama untuk perakaunan aset tetap, kad inventori, jurnal pesanan, jadual pengiraan, borang No. 5, Lejar Am, dll. Adalah perlu untuk menyemak pematuhan dokumen dengan borang antara jabatan standard, ketepatan mengisi semua butiran, dan kehadiran pembetulan yang tidak ditentukan , pemadaman, penambahan pada teks dan nombor, keaslian tandatangan pegawai dan orang yang bertanggungjawab dari segi kewangan, arahan mengenai prosedur untuk mengisi borang standard kewangan tahunan kenyataan, kad tandatangan pegawai.

Kaedah pengesahan aritmetik melibatkan pemeriksaan ketepatan pengiraan, serta ketepatan merangka algoritma pengiraan semasa mengautomasikan perakaunan, menyemak pengiraan jumlah susut nilai, penilaian semula aset tetap, penggunaan kadar susut nilai dan faktor penukaran yang betul. Data daripada akaun analitikal dan sintetik, jurnal pesanan, lejar am, kunci kira-kira dan tambahan kepada kunci kira-kira juga disahkan. No 5.

Apabila menyemak dokumen mengenai meritnya, kesahihan dan kesesuaian transaksi perniagaan, ketepatan kemasukan dalam akaun dan kemasukan dalam item kos dipertimbangkan. Apabila menjual aset tetap secara luaran, juruaudit mesti memastikan bahawa terdapat kebenaran bertulis daripada pengurus. Jika semasa pengesahan dokumen utama diragui, maka adalah perlu untuk mendapatkan penjelasan bertulis daripada orang yang bertanggungjawab untuk transaksi dan membuat semakan balas.

Pemerhatian - mendapatkan kefahaman umum tentang keupayaan klien berdasarkan pemerhatian visual. Juruaudit memerhati bagaimana operasi ini atau itu untuk merekodkan pergerakan aset tetap diformalkan, dokumen utama dan daftar perakaunan sintetik diisi. Walau bagaimanapun, operasi untuk perakaunan aset tetap tidak begitu pelbagai dan kerap, terutamanya dalam perusahaan kecil, jadi pemerhatian sebagai kaedah audit adalah tidak berkesan. Maklumat yang lebih lengkap boleh diperolehi melalui pengesahan dokumentari, temu bual pekerja dan analisis ekonomi.

Juruaudit menggunakan kaedah analisis ekonomi, sebagai peraturan, apabila menyemak penyata kewangan, yang mencerminkan keadaan aset tetap (borang No. 1, borang No. 5). Juruaudit boleh menganalisis penggunaan aset tetap organisasi dari segi masa dan kapasiti, dengan mengambil kira spesifik aktiviti pengeluaran organisasi, serta kecekapan pelaburan modal.

Tinjauan - mendapatkan maklumat lisan atau bertulis daripada klien. Tinjauan atau perbualan harus dijalankan dengan semua pekerja yang terlibat dalam perakaunan aset tetap dan mengisi laporan. Agar perbualan menghasilkan keputusan untuk juruaudit, ia, seperti semua prosedur audit lain, mesti dirancang dengan teliti. Untuk melakukan ini, juruaudit merangka soal selidik terlebih dahulu, yang merangkumi senarai soalan yang juruaudit merancang untuk bertanya kepada pekerja organisasi dengan kemungkinan jawapan. Soal selidik dicetak dalam bilangan salinan yang diperlukan, sepadan dengan komposisi pakar yang ditemu bual. Setiap salinan soal selidik mengandungi jawatan, nama keluarga, nama pertama dan patronimik orang yang akan bercakap dengannya. Berdasarkan hasil tinjauan, juruaudit membuat nota bertentangan dengan pilihan jawapan yang dipilih oleh pekerja dan membuat kesimpulan tentang keadaan disiplin dalam organisasi perakaunan aset tetap dan menentukan tahap risiko audit dan kedalaman prosedur seterusnya untuk mengesahkan ketepatan perakaunan bagi aset tetap.



ARTIKEL BERKAITAN