การตรวจสอบระบบสารสนเทศจะให้ข้อมูลที่ทันสมัยและถูกต้องเกี่ยวกับวิธีการทำงานของระบบสารสนเทศ จากข้อมูลที่ได้รับ คุณสามารถวางแผนกิจกรรมเพื่อปรับปรุงประสิทธิภาพขององค์กรได้ การปฏิบัติงานตรวจสอบระบบสารสนเทศ - เปรียบเทียบมาตรฐานกับสถานการณ์จริง ศึกษาบรรทัดฐาน มาตรฐาน กฎระเบียบ และแนวปฏิบัติที่ใช้บังคับในบริษัทอื่น เมื่อดำเนินการตรวจสอบ ผู้ประกอบการจะเข้าใจว่าบริษัทของเขาแตกต่างจากบริษัทที่ประสบความสำเร็จทั่วไปในสาขาที่คล้ายคลึงกันอย่างไร

ภาพรวมทั่วไป

เทคโนโลยีสารสนเทศในโลกสมัยใหม่ได้รับการพัฒนาอย่างมาก เป็นการยากที่จะจินตนาการถึงองค์กรที่ไม่มีระบบข้อมูลในการให้บริการ:

• ทั่วโลก;
• ท้องถิ่น.

ต้องขอบคุณ IP ที่ทำให้บริษัทสามารถทำงานได้ตามปกติและทันเวลา วิธีการดังกล่าวมีความจำเป็นสำหรับการแลกเปลี่ยนข้อมูลกับสิ่งแวดล้อมอย่างรวดเร็วและสมบูรณ์ ซึ่งช่วยให้บริษัทสามารถปรับตัวให้เข้ากับการเปลี่ยนแปลงในโครงสร้างพื้นฐานและความต้องการของตลาด ระบบสารสนเทศต้องเป็นไปตามข้อกำหนดจำนวนหนึ่งที่เปลี่ยนแปลงไปตามกาลเวลา (การพัฒนาใหม่, การแนะนำมาตรฐาน, การใช้อัลกอริธึมที่อัปเดต) ไม่ว่าในกรณีใด เทคโนโลยีสารสนเทศทำให้สามารถเข้าถึงทรัพยากรได้อย่างรวดเร็ว และงานนี้แก้ไขได้ผ่าน IS นอกจากนี้ระบบที่ทันสมัย:

• ปรับขนาดได้;
• ยืดหยุ่นได้;
• เชื่อถือได้;
• ปลอดภัย.

วัตถุประสงค์หลักของการตรวจสอบระบบสารสนเทศคือการพิจารณาว่าระบบข้อมูลที่นำไปใช้นั้นสอดคล้องกับพารามิเตอร์ที่ระบุหรือไม่

การตรวจสอบ: ประเภท

การตรวจสอบกระบวนการที่เรียกว่าระบบสารสนเทศมักถูกใช้บ่อยมาก ตัวอย่าง: ผู้เชี่ยวชาญภายนอกวิเคราะห์ระบบที่นำไปใช้เพื่อหาความแตกต่างจากมาตรฐาน รวมถึงศึกษากระบวนการผลิตซึ่งผลลัพธ์เป็นซอฟต์แวร์

การตรวจสอบอาจมีจุดมุ่งหมายเพื่อระบุว่าระบบข้อมูลถูกใช้ในการทำงานอย่างถูกต้องเพียงใด แนวทางปฏิบัติของบริษัทจะถูกเปรียบเทียบกับมาตรฐานของผู้ผลิตและตัวอย่างของบริษัทต่างประเทศที่มีชื่อเสียง

การตรวจสอบระบบรักษาความปลอดภัยข้อมูลขององค์กรส่งผลต่อโครงสร้างองค์กร วัตถุประสงค์ของเหตุการณ์นี้คือการค้นหาจุดอ่อนของเจ้าหน้าที่แผนกไอทีและระบุปัญหาพร้อมทั้งกำหนดคำแนะนำในการแก้ไข

สุดท้ายนี้ การตรวจสอบระบบความปลอดภัยของข้อมูลมีวัตถุประสงค์เพื่อการควบคุมคุณภาพ จากนั้นผู้เชี่ยวชาญที่ได้รับเชิญจะประเมินสถานะของกระบวนการภายในองค์กร ทดสอบระบบข้อมูลที่นำไปใช้และสรุปผลตามข้อมูลที่ได้รับ โดยทั่วไปจะใช้โมเดล TMMI

วัตถุประสงค์การตรวจสอบ

การตรวจสอบเชิงกลยุทธ์ของสถานะของระบบข้อมูลช่วยให้คุณสามารถระบุจุดอ่อนในระบบข้อมูลที่นำมาใช้และระบุจุดที่การใช้เทคโนโลยีไม่ได้ผล เมื่อสิ้นสุดกระบวนการดังกล่าว ลูกค้าจะได้รับคำแนะนำเพื่อขจัดข้อบกพร่อง

การตรวจสอบช่วยให้คุณประเมินได้ว่าการเปลี่ยนแปลงโครงสร้างปัจจุบันจะมีราคาแพงเพียงใดและจะใช้เวลานานเท่าใด ผู้เชี่ยวชาญที่ศึกษาโครงสร้างข้อมูลปัจจุบันของบริษัทจะช่วยคุณเลือกเครื่องมือสำหรับการดำเนินโครงการปรับปรุง โดยคำนึงถึงคุณลักษณะของบริษัท จากผลลัพธ์ คุณยังสามารถประมาณการปริมาณทรัพยากรที่บริษัทต้องการได้อย่างแม่นยำ จะวิเคราะห์ทางปัญญา การเงิน การผลิต

กิจกรรม

การตรวจสอบระบบสารสนเทศภายในรวมถึงกิจกรรมต่าง ๆ เช่น:

• สินค้าคงคลังด้านไอที
• การระบุภาระในโครงสร้างข้อมูล
• การประเมินสถิติข้อมูลที่ได้รับระหว่างสินค้าคงคลัง
• พิจารณาว่าข้อกำหนดทางธุรกิจและความสามารถของ IS ที่นำไปใช้นั้นเป็นไปตามหรือไม่
• การสร้างรายงาน
• การพัฒนาข้อเสนอแนะ
• การจัดกองทุน NSI อย่างเป็นทางการ

ผลการตรวจสอบ

การตรวจสอบเชิงกลยุทธ์ของสถานะของระบบสารสนเทศเป็นขั้นตอนที่: ช่วยให้คุณสามารถระบุสาเหตุของการขาดประสิทธิภาพของระบบข้อมูลที่นำมาใช้ ทำนายพฤติกรรมของระบบสารสนเทศเมื่อปรับการไหลของข้อมูล (จำนวนผู้ใช้, ปริมาณข้อมูล) ให้การตัดสินใจอย่างรอบรู้เพื่อช่วยเพิ่มผลผลิต (การซื้ออุปกรณ์ การปรับปรุงระบบที่นำไปใช้ การเปลี่ยนทดแทน) ให้คำแนะนำที่มุ่งเพิ่มประสิทธิภาพการทำงานของแผนกต่างๆ ของบริษัท และเพิ่มประสิทธิภาพการลงทุนด้านเทคโนโลยี และยังพัฒนามาตรการที่ปรับปรุงระดับคุณภาพของการบริการระบบสารสนเทศ

นี่เป็นสิ่งสำคัญ!

ไม่มี IP สากลที่เหมาะกับองค์กรใดๆ มีสองฐานทั่วไปที่คุณสามารถสร้างระบบเฉพาะที่ปรับให้เหมาะกับความต้องการขององค์กรเฉพาะ:

• ออราเคิล

แต่จำไว้ว่านี่เป็นเพียงพื้นฐานเท่านั้น ไม่มีอะไรเพิ่มเติม การปรับปรุงทั้งหมดที่ทำให้ธุรกิจมีประสิทธิภาพจะต้องได้รับการตั้งโปรแกรมโดยคำนึงถึงคุณลักษณะขององค์กรนั้นๆ คุณอาจต้องแนะนำฟังก์ชันที่ขาดหายไปก่อนหน้านี้และปิดการใช้งานฟังก์ชันที่ได้รับจากแอสเซมบลีพื้นฐาน เทคโนโลยีสมัยใหม่ในการตรวจสอบระบบข้อมูลการธนาคารช่วยให้เข้าใจได้อย่างชัดเจนว่าระบบข้อมูลควรมีคุณลักษณะใดบ้าง และสิ่งใดที่ต้องยกเว้น เพื่อให้ระบบขององค์กรมีความเหมาะสม มีประสิทธิภาพ แต่ไม่ "หนักเกินไป"

การตรวจสอบความปลอดภัยของข้อมูล

การวิเคราะห์เพื่อระบุภัยคุกคามความปลอดภัยของข้อมูลมีสองประเภท:

• ภายนอก;
• ภายใน

ขั้นแรกเกี่ยวข้องกับขั้นตอนแบบครั้งเดียว จัดโดยหัวหน้าบริษัท ขอแนะนำให้ปฏิบัติตามมาตรการนี้เป็นประจำเพื่อควบคุมสถานการณ์ บริษัทร่วมหุ้นและองค์กรทางการเงินหลายแห่งได้บังคับใช้ข้อกำหนดสำหรับการตรวจสอบความปลอดภัยด้านไอทีจากภายนอก

ภายใน - เป็นกิจกรรมที่จัดขึ้นเป็นประจำซึ่งควบคุมโดยพระราชบัญญัติกำกับดูแลท้องถิ่น "กฎระเบียบเกี่ยวกับการตรวจสอบภายใน" ในการดำเนินการดังกล่าวจะมีการจัดทำแผนประจำปี (จัดทำโดยแผนกที่รับผิดชอบในการตรวจสอบ) ซึ่งได้รับอนุมัติจากผู้อำนวยการทั่วไปผู้จัดการอีกคน การตรวจสอบด้านไอที - กิจกรรมหลายประเภท การตรวจสอบความปลอดภัยไม่ใช่สิ่งที่สำคัญน้อยที่สุด

เป้าหมาย

เป้าหมายหลักของการตรวจสอบระบบสารสนเทศจากมุมมองด้านความปลอดภัยคือการระบุความเสี่ยงที่เกี่ยวข้องกับ IS ที่เกี่ยวข้องกับภัยคุกคามด้านความปลอดภัย นอกจากนี้ กิจกรรมยังช่วยระบุ:

• จุดอ่อนของระบบปัจจุบัน
• การปฏิบัติตามระบบด้วยมาตรฐานความปลอดภัยของข้อมูล
• ระดับความปลอดภัย ณ เวลาปัจจุบัน

จากการตรวจสอบความปลอดภัย จะมีการกำหนดคำแนะนำเพื่อปรับปรุงโซลูชันปัจจุบันและแนะนำโซลูชันใหม่ ซึ่งจะทำให้ระบบข้อมูลที่มีอยู่ปลอดภัยยิ่งขึ้นและได้รับการปกป้องจากภัยคุกคามต่างๆ

หากมีการดำเนินการตรวจสอบภายในเพื่อระบุภัยคุกคามต่อความปลอดภัยของข้อมูล จะมีการพิจารณาสิ่งต่อไปนี้เพิ่มเติม:

• นโยบายความปลอดภัย ความเป็นไปได้ในการพัฒนานโยบายใหม่ตลอดจนเอกสารอื่น ๆ เพื่อปกป้องข้อมูลและลดความซับซ้อนในการใช้งานในกระบวนการผลิตของบริษัท
• การสร้างวัตถุประสงค์ด้านความปลอดภัยสำหรับพนักงานแผนกไอที
• การวิเคราะห์สถานการณ์ที่เกี่ยวข้องกับการละเมิด
• ฝึกอบรมผู้ใช้ระบบองค์กรและบุคลากรบำรุงรักษาด้านความปลอดภัยทั่วไป

การตรวจสอบภายใน: คุณสมบัติ

งานที่ระบุไว้ซึ่งกำหนดไว้สำหรับพนักงานเมื่อมีการดำเนินการตรวจสอบภายในของระบบข้อมูลนั้นไม่ใช่การตรวจสอบโดยพื้นฐานแล้ว ตามทฤษฎีแล้ว บุคคลที่ดำเนินกิจกรรมในฐานะผู้เชี่ยวชาญเท่านั้นจะประเมินกลไกที่ทำให้ระบบมีความปลอดภัย บุคคลที่เกี่ยวข้องในงานกลายเป็นผู้มีส่วนร่วมในกระบวนการและสูญเสียความเป็นอิสระ และไม่สามารถประเมินสถานการณ์และควบคุมสถานการณ์อย่างเป็นกลางได้อีกต่อไป

ในทางกลับกัน ในทางปฏิบัติ ในระหว่างการตรวจสอบภายใน แทบจะเป็นไปไม่ได้เลยที่จะถูกเพิกเฉย ความจริงก็คือมีการจ้างผู้เชี่ยวชาญของบริษัทซึ่งยุ่งอยู่กับงานอื่นในพื้นที่ใกล้เคียงกันเพื่อดำเนินงานดังกล่าว ซึ่งหมายความว่าผู้ตรวจสอบบัญชีเป็นพนักงานคนเดียวกับที่มีความสามารถในการแก้ไขปัญหาที่กล่าวมาข้างต้น ดังนั้นเราจึงต้องประนีประนอม: โดยต้องเสียค่าใช้จ่ายของความเป็นกลาง ให้พนักงานมีส่วนร่วมในทางปฏิบัติเพื่อให้ได้ผลลัพธ์ที่ดี

การตรวจสอบความปลอดภัย: ขั้นตอน

สิ่งเหล่านี้ส่วนใหญ่จะคล้ายกับขั้นตอนการตรวจสอบด้านไอทีทั่วไป ไฮไลท์:

• จุดเริ่มต้นของกิจกรรม
• การรวบรวมฐานสำหรับการวิเคราะห์
• การวิเคราะห์;
• การหาข้อสรุป
• การรายงาน

การเริ่มขั้นตอน

การตรวจสอบระบบข้อมูลในแง่ของความปลอดภัยเริ่มต้นขึ้นเมื่อหัวหน้าของบริษัทให้การดำเนินการต่อไป เนื่องจากผู้บังคับบัญชาคือผู้ที่สนใจในการตรวจสอบที่มีประสิทธิผลขององค์กรมากที่สุด ไม่สามารถดำเนินการตรวจสอบได้หากฝ่ายบริหารไม่สนับสนุนขั้นตอนดังกล่าว

การตรวจสอบระบบสารสนเทศมักจะครอบคลุม โดยเกี่ยวข้องกับผู้ตรวจสอบบัญชีและบุคคลหลายคนที่เป็นตัวแทนของแผนกต่างๆ ของบริษัท การทำงานร่วมกันของผู้เข้าร่วมการตรวจสอบทุกคนเป็นสิ่งสำคัญ เมื่อเริ่มการตรวจสอบ สิ่งสำคัญคือต้องคำนึงถึงประเด็นต่อไปนี้:

• การบันทึกเอกสารความรับผิดชอบและสิทธิของผู้สอบบัญชี
• การจัดทำและการอนุมัติแผนการตรวจสอบ
• บันทึกข้อเท็จจริงที่ว่าพนักงานมีหน้าที่ต้องให้ความช่วยเหลือที่เป็นไปได้ทั้งหมดแก่ผู้สอบบัญชีและให้ข้อมูลทั้งหมดที่เขาร้องขอ

เมื่อถึงเวลาเริ่มต้นการตรวจสอบ สิ่งสำคัญคือต้องกำหนดขอบเขตที่การตรวจสอบระบบสารสนเทศกำลังดำเนินการอยู่ แม้ว่าระบบย่อย IS บางระบบมีความสำคัญและต้องการการดูแลเป็นพิเศษ แต่ระบบย่อยอื่นๆ ก็ไม่สำคัญและเพียงพอที่จะยอมรับการยกเว้นได้ อาจจะมีระบบย่อยที่ไม่สามารถตรวจสอบได้ เนื่องจากข้อมูลทั้งหมดที่เก็บไว้เป็นความลับ

แผนและขอบเขต

ก่อนเริ่มทำงาน รายการทรัพยากรที่ควรได้รับการตรวจสอบจะถูกสร้างขึ้น สิ่งเหล่านี้อาจเป็น:

• ข้อมูล;
• ซอฟต์แวร์;
• เทคนิค

พวกเขาระบุว่าไซต์ใดที่กำลังได้รับการตรวจสอบและภัยคุกคามใดที่ระบบกำลังตรวจสอบ มีขอบเขตขององค์กรของเหตุการณ์และด้านความปลอดภัยที่ต้องนำมาพิจารณาในระหว่างการตรวจสอบ การจัดลำดับความสำคัญจะถูกสร้างขึ้นโดยระบุขอบเขตของการตรวจสอบ ขอบเขตดังกล่าวตลอดจนแผนปฏิบัติการได้รับการอนุมัติจากผู้อำนวยการทั่วไป แต่ในขั้นแรกจะถูกตัดสินใจโดยหัวข้อการประชุมการทำงานทั่วไปซึ่งมีหัวหน้าแผนก ผู้ตรวจสอบบัญชี และผู้บริหารของบริษัทอยู่ด้วย

กำลังรับข้อมูล

เมื่อดำเนินการตรวจสอบความปลอดภัย มาตรฐานสำหรับการตรวจสอบระบบข้อมูลนั้นทำให้ขั้นตอนการรวบรวมข้อมูลกลายเป็นขั้นตอนที่ยาวที่สุดและใช้แรงงานเข้มข้นที่สุด ตามกฎแล้วระบบข้อมูลไม่มีเอกสารประกอบและผู้ตรวจสอบถูกบังคับให้ทำงานอย่างใกล้ชิดกับเพื่อนร่วมงานจำนวนมาก

เพื่อให้สรุปผลได้อย่างมีประสิทธิภาพ ผู้ตรวจสอบบัญชีจะต้องได้รับข้อมูลให้มากที่สุดเท่าที่จะเป็นไปได้ ผู้ตรวจสอบจะเรียนรู้เกี่ยวกับวิธีการจัดระเบียบระบบข้อมูล วิธีการทำงานของระบบ และเงื่อนไขจากเอกสารขององค์กร การบริหาร และทางเทคนิค ในระหว่างการวิจัยอิสระและการใช้ซอฟต์แวร์เฉพาะทาง

เอกสารที่จำเป็นสำหรับการทำงานของผู้ตรวจสอบบัญชี:

• โครงสร้างองค์กรของหน่วยงานที่ให้บริการ IS
• โครงสร้างองค์กรของผู้ใช้ทั้งหมด

ผู้ตรวจสอบบัญชีสัมภาษณ์พนักงาน โดยระบุ:

• ผู้ให้บริการ;
• เจ้าของข้อมูล
• ผู้ใช้ข้อมูล

ในการทำเช่นนี้คุณจำเป็นต้องรู้:

• แอปพลิเคชัน IS ประเภทหลัก
• จำนวน ประเภทผู้ใช้
• บริการที่มอบให้แก่ผู้ใช้

หากบริษัทมีเอกสารทรัพย์สินทางปัญญาจากรายการด้านล่าง จำเป็นต้องจัดเตรียมเอกสารดังกล่าวให้กับผู้ตรวจสอบบัญชี:

• คำอธิบายวิธีการทางเทคนิค
• คำอธิบายวิธีการสำหรับฟังก์ชันอัตโนมัติ
• แผนภาพการทำงาน
• ทำงานออกแบบเอกสาร

การระบุโครงสร้าง IP

เพื่อให้ข้อสรุปที่ถูกต้อง ผู้ตรวจสอบจะต้องมีความเข้าใจที่สมบูรณ์ที่สุดเกี่ยวกับคุณลักษณะของระบบข้อมูลที่นำมาใช้ในองค์กร คุณจำเป็นต้องรู้ว่ากลไกการรักษาความปลอดภัยคืออะไร และกลไกการรักษาความปลอดภัยมีการกระจายไปตามระดับต่างๆ ในระบบอย่างไร หากต้องการทำสิ่งนี้ ให้ค้นหา:

• ความพร้อมใช้งานและคุณสมบัติของส่วนประกอบของระบบที่ใช้
• ฟังก์ชันส่วนประกอบ
• กราฟิก;
• ทางเข้า;
• การโต้ตอบกับวัตถุต่าง ๆ (ภายนอกภายใน) และโปรโตคอลช่องทางสำหรับสิ่งนี้
• แพลตฟอร์มที่ใช้กับระบบ

โครงร่างต่อไปนี้จะมีประโยชน์:

• โครงสร้าง;
• กระแสข้อมูล

โครงสร้าง:

• วิธีการทางเทคนิค
• การสนับสนุนข้อมูล
• ส่วนประกอบโครงสร้าง

ในทางปฏิบัติ เอกสารจำนวนมากจะถูกจัดเตรียมโดยตรงในระหว่างการตรวจสอบ สามารถวิเคราะห์ข้อมูลได้เฉพาะเมื่อรวบรวมข้อมูลจำนวนสูงสุดเท่านั้น

การตรวจสอบความปลอดภัย IP: การวิเคราะห์

มีหลายเทคนิคที่ใช้ในการวิเคราะห์ข้อมูลที่ได้รับ การเลือกรายการใดรายการหนึ่งนั้นขึ้นอยู่กับความชอบส่วนตัวของผู้ตรวจสอบบัญชีและลักษณะเฉพาะของงานเฉพาะ

แนวทางที่ซับซ้อนที่สุดเกี่ยวข้องกับการวิเคราะห์ความเสี่ยง ข้อกำหนดด้านความปลอดภัยถูกสร้างขึ้นสำหรับระบบสารสนเทศ สิ่งเหล่านี้จะขึ้นอยู่กับคุณลักษณะของระบบเฉพาะและสภาพแวดล้อมการทำงานของระบบ ตลอดจนภัยคุกคามที่มีอยู่ในสภาพแวดล้อมนี้ นักวิเคราะห์ยอมรับว่าแนวทางนี้ต้องใช้แรงงานและคุณสมบัติสูงสุดของผู้ตรวจสอบบัญชี ผลลัพธ์จะดีแค่ไหนนั้นขึ้นอยู่กับวิธีการวิเคราะห์ข้อมูลและการบังคับใช้ตัวเลือกที่เลือกกับประเภทของระบบข้อมูล

ตัวเลือกที่ใช้งานได้จริงมากขึ้นเกี่ยวข้องกับการเปลี่ยนมาใช้มาตรฐานความปลอดภัยของข้อมูล สิ่งเหล่านี้กำหนดชุดของข้อกำหนด ซึ่งเหมาะสำหรับ IP ต่างๆ เนื่องจากวิธีการได้รับการพัฒนาบนพื้นฐานของบริษัทที่ใหญ่ที่สุดจากประเทศต่างๆ

เป็นไปตามมาตรฐานว่าข้อกำหนดด้านความปลอดภัยคืออะไร ขึ้นอยู่กับระดับการป้องกันของระบบและความเกี่ยวข้องกับสถาบันเฉพาะ มากขึ้นอยู่กับวัตถุประสงค์ของ IP ภารกิจหลักของผู้ตรวจสอบคือการกำหนดข้อกำหนดด้านความปลอดภัยชุดใดที่เกี่ยวข้องอย่างถูกต้องในกรณีที่กำหนด พวกเขาเลือกวิธีการประเมินว่าพารามิเตอร์ระบบที่มีอยู่ตรงตามมาตรฐานหรือไม่ เทคโนโลยีนี้ค่อนข้างเรียบง่าย เชื่อถือได้ และแพร่หลาย ด้วยการลงทุนเพียงเล็กน้อยก็สามารถสรุปผลได้อย่างแม่นยำ

การละเลยเป็นสิ่งที่ยอมรับไม่ได้!

การปฏิบัติแสดงให้เห็นว่าผู้จัดการจำนวนมากโดยเฉพาะอย่างยิ่งของบริษัทขนาดเล็ก เช่นเดียวกับผู้ที่บริษัทดำเนินกิจการมาเป็นเวลานานและไม่มุ่งมั่นที่จะเชี่ยวชาญเทคโนโลยีล่าสุดทั้งหมด ปฏิบัติต่อการตรวจสอบระบบข้อมูลค่อนข้างประมาท เนื่องจากพวกเขาไม่ได้ ตระหนักถึงความสำคัญของมาตรการนี้ โดยปกติแล้วความเสียหายต่อธุรกิจเท่านั้นที่กระตุ้นให้ฝ่ายบริหารต้องใช้มาตรการเพื่อตรวจสอบ ระบุความเสี่ยง และปกป้ององค์กร ผู้อื่นต้องเผชิญกับความจริงที่ว่าข้อมูลเกี่ยวกับลูกค้าของตนถูกขโมยไปจากพวกเขา สำหรับผู้อื่น การรั่วไหลเกิดขึ้นจากฐานข้อมูลของผู้รับเหมาหรือข้อมูลเกี่ยวกับข้อได้เปรียบที่สำคัญขององค์กรบางแห่งสูญหาย ผู้บริโภคหยุดไว้วางใจบริษัททันทีที่เหตุการณ์ดังกล่าวถูกเปิดเผยสู่สาธารณะ และบริษัทได้รับความเสียหายมากกว่าการสูญเสียข้อมูล

หากมีโอกาสที่ข้อมูลรั่วไหล ย่อมเป็นไปไม่ได้ที่จะสร้างธุรกิจที่มีประสิทธิภาพและมีโอกาสที่ดีทั้งในปัจจุบันและอนาคต บริษัทใดๆ มีข้อมูลที่มีค่าต่อบุคคลที่สาม และจำเป็นต้องได้รับการปกป้อง เพื่อให้การป้องกันอยู่ในระดับสูงสุด จำเป็นต้องมีการตรวจสอบเพื่อระบุจุดอ่อน โดยจะต้องคำนึงถึงมาตรฐานสากล วิธีการ และการพัฒนาล่าสุด

ระหว่างการตรวจสอบ:

• ประเมินระดับการป้องกัน
• วิเคราะห์เทคโนโลยีที่ใช้
• ปรับเอกสารความปลอดภัย
• จำลองสถานการณ์ความเสี่ยงที่อาจเกิดการรั่วไหลของข้อมูล
• แนะนำให้ใช้งานโซลูชั่นเพื่อกำจัดช่องโหว่

กิจกรรมเหล่านี้ดำเนินการด้วยวิธีใดวิธีหนึ่งจากสามวิธี:

• คล่องแคล่ว;
• ผู้เชี่ยวชาญ;
• การระบุการปฏิบัติตามมาตรฐาน

แบบฟอร์มการตรวจสอบ

การตรวจสอบเชิงรุกเกี่ยวข้องกับการประเมินระบบที่แฮ็กเกอร์กำลังมองหาอยู่ เป็นมุมมองของเขาที่ผู้ตรวจสอบบัญชี "ลอง" - พวกเขาศึกษาการป้องกันเครือข่ายซึ่งพวกเขาใช้ซอฟต์แวร์พิเศษและเทคนิคเฉพาะ จำเป็นต้องมีการตรวจสอบภายในซึ่งดำเนินการจากมุมมองของผู้ต้องหาทางอาญาที่ต้องการขโมยข้อมูลหรือขัดขวางการทำงานของระบบ

ในระหว่างการตรวจสอบโดยผู้เชี่ยวชาญ พวกเขาจะตรวจสอบว่าระบบที่นำไปใช้นั้นสอดคล้องกับระบบในอุดมคติได้ดีเพียงใด เมื่อระบุการปฏิบัติตามมาตรฐาน จะใช้คำอธิบายเชิงนามธรรมของมาตรฐานที่ใช้เปรียบเทียบวัตถุที่มีอยู่เป็นพื้นฐาน

บทสรุป

การตรวจสอบที่ดำเนินการอย่างถูกต้องและมีประสิทธิภาพช่วยให้คุณได้รับผลลัพธ์ดังต่อไปนี้:

• ลดโอกาสที่แฮ็กเกอร์จะประสบความสำเร็จในการโจมตีและความเสียหาย
• กำจัดการโจมตีตามการเปลี่ยนแปลงสถาปัตยกรรมระบบและกระแสข้อมูล
• การประกันภัยเป็นวิธีการลดความเสี่ยง
• ลดความเสี่ยงให้อยู่ในระดับที่สามารถละเลยได้อย่างสมบูรณ์

ปัจจุบัน ระบบสารสนเทศ (IS) มีบทบาทสำคัญในการรับรองประสิทธิภาพขององค์กรการค้าและภาครัฐ การใช้ระบบข้อมูลอย่างแพร่หลายในการจัดเก็บ ประมวลผล และส่งข้อมูลทำให้ปัญหาในการปกป้องเป็นเรื่องเร่งด่วน โดยเฉพาะอย่างยิ่งเมื่อพิจารณาจากแนวโน้มทั่วโลกที่มีการโจมตีข้อมูลเพิ่มขึ้น ซึ่งนำไปสู่การสูญเสียทางการเงินและวัสดุอย่างมีนัยสำคัญ เพื่อป้องกันการโจมตีอย่างมีประสิทธิผล บริษัทต่างๆ จำเป็นต้องมีการประเมินระดับความปลอดภัยของ IP อย่างเป็นกลาง โดยจะใช้การตรวจสอบความปลอดภัยเพื่อวัตถุประสงค์เหล่านี้

การตรวจสอบความปลอดภัยคืออะไร

ยังไม่มีการกำหนดคำจำกัดความของการตรวจสอบความปลอดภัย แต่โดยทั่วไปสามารถอธิบายได้ว่าเป็นกระบวนการรวบรวมและวิเคราะห์ข้อมูลเกี่ยวกับระบบสารสนเทศเพื่อประเมินระดับความปลอดภัยจากการโจมตีของผู้บุกรุกในเชิงคุณภาพหรือเชิงปริมาณ มีหลายกรณีที่เหมาะสมที่จะดำเนินการตรวจสอบความปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อจัดทำข้อกำหนดทางเทคนิคสำหรับการออกแบบและพัฒนาระบบความปลอดภัยของข้อมูลและหลังจากใช้ระบบรักษาความปลอดภัยเพื่อประเมินระดับประสิทธิผล การตรวจสอบที่มุ่งเป้าไปที่การนำระบบรักษาความปลอดภัยในปัจจุบันให้สอดคล้องกับข้อกำหนดของกฎหมายรัสเซียหรือกฎหมายระหว่างประเทศนั้นเป็นไปได้ การตรวจสอบอาจมีจุดประสงค์เพื่อจัดระบบและปรับปรุงมาตรการรักษาความปลอดภัยข้อมูลที่มีอยู่ หรือเพื่อตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับการละเมิดความปลอดภัยของข้อมูล

ตามกฎแล้ว บริษัทภายนอกที่ให้บริการคำปรึกษาด้านการรักษาความปลอดภัยข้อมูลจะได้รับการว่าจ้างให้ดำเนินการตรวจสอบ ผู้ริเริ่มขั้นตอนการตรวจสอบอาจเป็นฝ่ายจัดการขององค์กร บริการอัตโนมัติ หรือบริการรักษาความปลอดภัยข้อมูล ในบางกรณี การตรวจสอบจะดำเนินการตามคำร้องขอของบริษัทประกันภัยหรือหน่วยงานกำกับดูแล การตรวจสอบความปลอดภัยดำเนินการโดยกลุ่มผู้เชี่ยวชาญ จำนวนและองค์ประกอบจะขึ้นอยู่กับเป้าหมายและวัตถุประสงค์ของการสำรวจ รวมถึงความซับซ้อนของวัตถุที่กำลังประเมิน

ประเภทของการตรวจสอบความปลอดภัย

การตรวจสอบความปลอดภัยของข้อมูลประเภทหลักต่อไปนี้สามารถแยกแยะได้:

• การตรวจสอบความปลอดภัยของผู้เชี่ยวชาญในระหว่างที่มีการระบุข้อบกพร่องในระบบมาตรการรักษาความปลอดภัยข้อมูลตามประสบการณ์ของผู้เชี่ยวชาญที่เข้าร่วมในขั้นตอนการตรวจสอบ
• การประเมินการปฏิบัติตามคำแนะนำของมาตรฐานสากล ISO 17799 รวมถึงข้อกำหนดของเอกสารกำกับดูแลของ FSTEC (คณะกรรมการเทคนิคแห่งรัฐ)
• การวิเคราะห์เชิงเครื่องมือของการรักษาความปลอดภัย IP มุ่งเป้าไปที่การระบุและกำจัดช่องโหว่ของซอฟต์แวร์ระบบและฮาร์ดแวร์
• การตรวจสอบที่ครอบคลุม ซึ่งรวมถึงแบบฟอร์มการสำรวจข้างต้นทั้งหมด

การตรวจสอบประเภทใด ๆ ที่ระบุไว้สามารถดำเนินการแยกกันหรือรวมกันได้ ขึ้นอยู่กับงานที่องค์กรแก้ไข วัตถุประสงค์ของการตรวจสอบอาจเป็นได้ทั้ง IP ของบริษัทโดยรวมและแต่ละกลุ่มซึ่งมีการประมวลผลข้อมูลที่อยู่ภายใต้การคุ้มครอง

การดำเนินการตรวจสอบความปลอดภัย

โดยทั่วไป การตรวจสอบความปลอดภัย โดยไม่คำนึงถึงรูปแบบของการดำเนินการ จะประกอบด้วยสี่ขั้นตอนหลัก โดยแต่ละขั้นตอนจะมีการปฏิบัติงานในช่วงที่กำหนด (ดูรูป)

ในขั้นตอนแรกร่วมกับลูกค้าจะมีการพัฒนากฎระเบียบที่กำหนดองค์ประกอบและขั้นตอนในการดำเนินงาน หน้าที่หลักของกฎระเบียบคือการกำหนดขอบเขตที่จะดำเนินการสำรวจ กฎระเบียบดังกล่าวช่วยหลีกเลี่ยงการเรียกร้องร่วมกันเมื่อการตรวจสอบเสร็จสิ้น เนื่องจากมีการกำหนดความรับผิดชอบของทุกฝ่ายไว้อย่างชัดเจน ตามกฎแล้ว ข้อบังคับประกอบด้วยข้อมูลพื้นฐานดังต่อไปนี้:

• องค์ประกอบของคณะทำงานจากผู้รับเหมาและลูกค้าในการดำเนินการตรวจสอบ
• รายชื่อและที่ตั้งของสิ่งอำนวยความสะดวกของลูกค้าภายใต้การตรวจสอบ
• รายการข้อมูลที่จะมอบให้กับผู้รับเหมา
• รายการทรัพยากรที่ถือเป็นวัตถุในการป้องกัน (ข้อมูล ซอฟต์แวร์ ทรัพยากรทางกายภาพ ฯลฯ )
• รูปแบบภัยคุกคามความปลอดภัยของข้อมูลบนพื้นฐานของการตรวจสอบ
• หมวดหมู่ของผู้ใช้ที่ถือว่าเป็นผู้ละเมิด;
• ขั้นตอนและเวลาในการดำเนินการตรวจสอบทรัพย์สินทางปัญญาของลูกค้า

ในขั้นตอนที่สองตามข้อบังคับที่ตกลงกันจะมีการรวบรวมข้อมูลเบื้องต้น วิธีการรวบรวมข้อมูล ได้แก่ การสัมภาษณ์พนักงานลูกค้า การกรอกแบบสอบถาม การวิเคราะห์เอกสารขององค์กร การบริหาร และทางเทคนิคที่ให้มา และการใช้เครื่องมือพิเศษ

ขั้นตอนที่สามของงานเกี่ยวข้องกับการวิเคราะห์ข้อมูลที่รวบรวมเพื่อประเมินระดับความปลอดภัยในปัจจุบันของ IP ขององค์กร จากผลการวิเคราะห์ในขั้นตอนที่ 4 คำแนะนำได้รับการพัฒนาเพื่อเพิ่มระดับการป้องกัน IS จากภัยคุกคามความปลอดภัยของข้อมูล

ด้านล่างนี้เราจะดูขั้นตอนการตรวจสอบที่เกี่ยวข้องกับการรวบรวมข้อมูลการวิเคราะห์และการพัฒนาคำแนะนำเพื่อเพิ่มระดับการป้องกันทรัพย์สินทางปัญญาอย่างละเอียดยิ่งขึ้น

การรวบรวมข้อมูลเบื้องต้น

คุณภาพของการตรวจสอบความปลอดภัยส่วนใหญ่ขึ้นอยู่กับความสมบูรณ์และความถูกต้องของข้อมูลที่ได้รับระหว่างกระบวนการรวบรวมข้อมูลเบื้องต้น ดังนั้นจึงจำเป็นต้องมีสิ่งต่อไปนี้: เอกสารขององค์กรและการบริหารที่เกี่ยวข้องกับปัญหาความปลอดภัยของข้อมูล ข้อมูลเกี่ยวกับซอฟต์แวร์และฮาร์ดแวร์ IS ข้อมูลเกี่ยวกับมาตรการรักษาความปลอดภัยที่ติดตั้งใน IS เป็นต้น รายการข้อมูลต้นฉบับโดยละเอียดเพิ่มเติมจะแสดงอยู่ใน โต๊ะ. 1.

ตารางที่ 1. รายการข้อมูลเริ่มต้นที่จำเป็นสำหรับการตรวจสอบความปลอดภัย

ตามที่ระบุไว้ข้างต้น วิธีการต่อไปนี้ใช้ในการรวบรวมข้อมูลเริ่มต้น

สัมภาษณ์พนักงานลูกค้าพร้อมข้อมูลที่จำเป็น

โดยปกติจะมีการสัมภาษณ์ทั้งผู้เชี่ยวชาญทางเทคนิคและตัวแทนฝ่ายบริหารของบริษัท รายการคำถามที่วางแผนจะพูดคุยในระหว่างการสัมภาษณ์จะต้องได้รับการตกลงล่วงหน้าจัดให้มีแบบสอบถาม

ในหัวข้อเฉพาะซึ่งพนักงานของลูกค้ากรอกอย่างอิสระ ในกรณีที่เอกสารที่ส่งมาไม่สามารถตอบคำถามที่จำเป็นได้ครบถ้วน จะมีการสัมภาษณ์เพิ่มเติมการวิเคราะห์เอกสารขององค์กรและทางเทคนิค

ลูกค้าใช้การใช้ซอฟต์แวร์พิเศษ

ซึ่งช่วยให้คุณได้รับข้อมูลที่จำเป็นเกี่ยวกับองค์ประกอบและการตั้งค่าของซอฟต์แวร์และฮาร์ดแวร์ IS ระดับองค์กร

หลังจากรวบรวมข้อมูลที่จำเป็นแล้ว จะมีการวิเคราะห์เพื่อประเมินระดับความปลอดภัยของระบบในปัจจุบัน ในกระบวนการวิเคราะห์ดังกล่าว ความเสี่ยงด้านความปลอดภัยของข้อมูลที่บริษัทจะถูกเปิดเผยจะถูกกำหนด ในความเป็นจริง ความเสี่ยงคือการประเมินที่สำคัญว่ามาตรการรักษาความปลอดภัยที่มีอยู่สามารถต้านทานการโจมตีข้อมูลได้อย่างมีประสิทธิภาพเพียงใด

โดยทั่วไปแล้ว มีวิธีการคำนวณความเสี่ยงด้านความปลอดภัยอยู่สองกลุ่มหลัก กลุ่มแรกช่วยให้คุณกำหนดระดับความเสี่ยงโดยการประเมินระดับการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูลบางชุด แหล่งที่มาของข้อกำหนดดังกล่าวอาจรวมถึง:

• เอกสารกำกับดูแลขององค์กรที่เกี่ยวข้องกับปัญหาความปลอดภัยของข้อมูล (นโยบายความปลอดภัย ข้อบังคับ คำสั่ง คำแนะนำ)
• ข้อกำหนดของกฎหมายรัสเซียปัจจุบัน - เอกสารควบคุมของ FSTEC (คณะกรรมการเทคนิคแห่งรัฐ), STR-K, ข้อกำหนดของ FSB ของสหพันธรัฐรัสเซีย, GOSTs ฯลฯ ;
• คำแนะนำของมาตรฐานสากล - ISO 17799, OCTAVE, CoBIT, BS 7799-2 ฯลฯ
• คำแนะนำจากบริษัทผู้ผลิตซอฟต์แวร์และฮาร์ดแวร์ เช่น Microsoft, Oracle, Cisco ฯลฯ

วิธีกลุ่มที่สองในการประเมินความเสี่ยงด้านความปลอดภัยของข้อมูลจะขึ้นอยู่กับการพิจารณาแนวโน้มของการโจมตี รวมถึงระดับของความเสียหาย ค่าความเสี่ยงจะคำนวณแยกกันสำหรับการโจมตีแต่ละครั้ง และโดยทั่วไปจะแสดงเป็นผลคูณของความน่าจะเป็นของการโจมตี a และจำนวนความเสียหายที่เป็นไปได้จากการโจมตีครั้งนี้ - ความเสี่ยง (a) = P(a) ความเสียหาย (ก) มูลค่าของความเสียหายถูกกำหนดโดยเจ้าของแหล่งข้อมูล และความน่าจะเป็นของการโจมตีจะถูกคำนวณโดยกลุ่มผู้เชี่ยวชาญที่ดำเนินการตามขั้นตอนการตรวจสอบ ความน่าจะเป็นในกรณีนี้ถือเป็นมาตรการที่ผู้โจมตีบรรลุเป้าหมายและสร้างความเสียหายให้กับบริษัทจากการโจมตี

วิธีการของทั้งสองกลุ่มอาจใช้มาตราส่วนเชิงปริมาณหรือเชิงคุณภาพเพื่อกำหนดขนาดของความเสี่ยงด้านความปลอดภัยของข้อมูล ในกรณีแรก จะใช้นิพจน์ตัวเลขสำหรับความเสี่ยงและพารามิเตอร์ทั้งหมด ตัวอย่างเช่น เมื่อใช้มาตราส่วนเชิงปริมาณ ความน่าจะเป็นของการโจมตี P(a) สามารถแสดงเป็นตัวเลขในช่วงเวลา และความเสียหายจากการโจมตีสามารถระบุเป็นจำนวนเงินที่เทียบเท่ากับการสูญเสียวัสดุที่องค์กรอาจประสบ เหตุการณ์การโจมตีสำเร็จ เมื่อใช้มาตราส่วนเชิงคุณภาพ ค่าตัวเลขจะถูกแทนที่ด้วยระดับแนวความคิดที่เทียบเท่ากัน ในกรณีนี้ ระดับแนวคิดแต่ละระดับจะสอดคล้องกับช่วงระยะเวลาหนึ่งของระดับคะแนนเชิงปริมาณ จำนวนระดับอาจแตกต่างกันไปขึ้นอยู่กับเทคนิคการประเมินความเสี่ยงที่ใช้ ในตาราง หัวข้อที่ 2 และ 3 เป็นตัวอย่างระดับเชิงคุณภาพสำหรับการประเมินความเสี่ยงด้านความปลอดภัยของข้อมูล โดยจะใช้ระดับแนวคิด 5 ระดับเพื่อประเมินระดับความเสียหายและความน่าจะเป็นของการโจมตี

ตารางที่ 2. ระดับคุณภาพสำหรับการประเมินระดับความเสียหาย

ตารางที่ 3. ระดับเชิงคุณภาพสำหรับการประเมินความเป็นไปได้ของการโจมตี

ในการคำนวณระดับความเสี่ยงในระดับคุณภาพ จะใช้ตารางพิเศษซึ่งระบุระดับแนวความคิดของความเสียหายในคอลัมน์แรก และระดับความน่าจะเป็นของการโจมตีจะถูกระบุในบรรทัดแรก เซลล์ตารางที่ตั้งอยู่ที่จุดตัดของแถวและคอลัมน์ที่เกี่ยวข้องมีระดับความเสี่ยงด้านความปลอดภัย (ตารางที่ 4) ขนาดของตารางขึ้นอยู่กับจำนวนระดับแนวคิดของความน่าจะเป็นในการโจมตีและความเสียหาย

ตารางที่ 4. การกำหนดระดับความเสี่ยงด้านความปลอดภัยของข้อมูลในระดับคุณภาพ

เมื่อคำนวณความน่าจะเป็นของการโจมตีตลอดจนระดับของความเสียหายที่เป็นไปได้ จะใช้วิธีการทางสถิติ การประเมินโดยผู้เชี่ยวชาญ หรือองค์ประกอบของทฤษฎีการตัดสินใจ

วิธีการทางสถิติเกี่ยวข้องกับการวิเคราะห์ข้อมูลที่สะสมไว้แล้วเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจริงที่เกี่ยวข้องกับการละเมิดความปลอดภัยของข้อมูล จากผลการวิเคราะห์นี้ มีการตั้งสมมติฐานเกี่ยวกับแนวโน้มของการโจมตีและระดับความเสียหายจากการโจมตีในระบบข้อมูลอื่นๆ อย่างไรก็ตาม วิธีการทางสถิติไม่สามารถนำไปใช้ได้เสมอไป เนื่องจากขาดข้อมูลทางสถิติเกี่ยวกับการโจมตีทรัพยากร IP ที่ดำเนินการก่อนหน้านี้ ซึ่งคล้ายกับวิธีที่ใช้เป็นเป้าหมายของการประเมิน

เมื่อใช้เครื่องมือการประเมินโดยผู้เชี่ยวชาญ จะมีการวิเคราะห์ผลลัพธ์ของการทำงานของกลุ่มผู้เชี่ยวชาญที่มีความสามารถในด้านความปลอดภัยของข้อมูล ซึ่งตามประสบการณ์ของพวกเขาจะกำหนดระดับความเสี่ยงในเชิงปริมาณหรือเชิงคุณภาพ องค์ประกอบของทฤษฎีการตัดสินใจทำให้สามารถใช้อัลกอริธึมที่ซับซ้อนมากขึ้นในการประมวลผลผลลัพธ์ของกลุ่มผู้เชี่ยวชาญเพื่อคำนวณมูลค่าความเสี่ยงด้านความปลอดภัย

มีแพ็คเกจซอฟต์แวร์พิเศษที่ช่วยให้คุณดำเนินการวิเคราะห์ข้อมูลต้นฉบับและคำนวณค่าความเสี่ยงระหว่างการตรวจสอบความปลอดภัยได้โดยอัตโนมัติ ตัวอย่างของคอมเพล็กซ์ดังกล่าว ได้แก่ "Grif" และ "Condor" จาก Digital Security รวมถึง "AvanGard" ที่พัฒนาขึ้นที่สถาบันการวิเคราะห์ระบบของ Russian Academy of Sciences

ผลการตรวจสอบความปลอดภัย

ในขั้นตอนสุดท้ายของการตรวจสอบความปลอดภัยของข้อมูล คำแนะนำจะได้รับการพัฒนาเพื่อปรับปรุงการสนับสนุนองค์กรและทางเทคนิคเพื่อความปลอดภัยในองค์กร คำแนะนำดังกล่าวอาจรวมถึงการดำเนินการประเภทต่างๆ ที่มุ่งลดความเสี่ยงที่ระบุให้เหลือน้อยที่สุดการลดความเสี่ยง

ผ่านวิธีการป้องกันเชิงองค์กรและทางเทคนิคเพิ่มเติม ช่วยลดโอกาสที่จะเกิดการโจมตีหรือลดความเสียหายที่อาจเกิดขึ้น ดังนั้น การติดตั้งไฟร์วอลล์ ณ จุดที่ระบบข้อมูลเชื่อมต่อกับอินเทอร์เน็ตจะช่วยลดโอกาสการโจมตีแหล่งข้อมูลสาธารณะของระบบข้อมูลได้อย่างมาก เช่น เว็บเซิร์ฟเวอร์ เมลเซิร์ฟเวอร์ เป็นต้นการหลีกเลี่ยงความเสี่ยง

โดยการเปลี่ยนสถาปัตยกรรมหรือโครงร่างการไหลของข้อมูลของ IS ซึ่งทำให้สามารถแยกการโจมตีอย่างใดอย่างหนึ่งได้ ตัวอย่างเช่น การตัดการเชื่อมต่อส่วน IS ทางกายภาพซึ่งมีการประมวลผลข้อมูลที่เป็นความลับจากอินเทอร์เน็ต ทำให้สามารถหลีกเลี่ยงการโจมตีข้อมูลที่เป็นความลับจากภายนอกได้อันเป็นผลมาจากการใช้มาตรการประกันภัย

ตัวอย่างของการเปลี่ยนแปลงในลักษณะของความเสี่ยง ได้แก่ การประกันอุปกรณ์ IS จากอัคคีภัย หรือการประกันทรัพยากรสารสนเทศจากการละเมิดการรักษาความลับ ความสมบูรณ์ หรือความพร้อมที่อาจเกิดขึ้นได้ ปัจจุบัน บริษัทรัสเซียจำนวนหนึ่งได้เสนอบริการประกันภัยความเสี่ยงด้านข้อมูลแล้วกล้าเสี่ยง

หากลดลงถึงระดับที่ไม่ก่อให้เกิดภัยคุกคามต่อ IP อีกต่อไป

โดยทั่วไปแล้ว คำแนะนำไม่ได้มุ่งเป้าไปที่การขจัดความเสี่ยงที่ระบุทั้งหมด แต่จะลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้เท่านั้น เมื่อเลือกมาตรการเพื่อเพิ่มระดับการป้องกัน IP จะต้องคำนึงถึงข้อ จำกัด พื้นฐานประการหนึ่ง - ค่าใช้จ่ายในการดำเนินการตามมาตรการเหล่านี้ไม่ควรเกินต้นทุนของทรัพยากรข้อมูลที่ได้รับการคุ้มครองตลอดจนความสูญเสียของ บริษัท จากการละเมิดการรักษาความลับที่อาจเกิดขึ้น ความสมบูรณ์หรือความพร้อมของข้อมูล

• เมื่อสิ้นสุดขั้นตอนการตรวจสอบ ผลลัพธ์จะถูกจัดทำอย่างเป็นทางการในรูปแบบของเอกสารการรายงานซึ่งมอบให้กับลูกค้า โดยทั่วไป เอกสารนี้ประกอบด้วยส่วนหลักๆ ดังต่อไปนี้:
• คำอธิบายของขอบเขตที่ดำเนินการตรวจสอบความปลอดภัย
• คำอธิบายโครงสร้าง IP ของลูกค้า
• วิธีการและเครื่องมือที่ใช้ในกระบวนการตรวจสอบ
• คำอธิบายของจุดอ่อนและข้อบกพร่องที่ระบุ รวมถึงระดับความเสี่ยง
• คำแนะนำในการปรับปรุงระบบรักษาความปลอดภัยข้อมูลอย่างครอบคลุม

บทสรุป

ข้อเสนอสำหรับแผนการดำเนินการตามมาตรการจัดลำดับความสำคัญเพื่อลดความเสี่ยงที่ระบุ

การตรวจสอบความปลอดภัยของข้อมูลเป็นหนึ่งในเครื่องมือที่มีประสิทธิภาพมากที่สุดในปัจจุบันสำหรับการประเมินระดับความปลอดภัยขององค์กรในปัจจุบันอย่างเป็นอิสระและเป็นกลางจากภัยคุกคามด้านความปลอดภัยของข้อมูล นอกจากนี้ผลการตรวจสอบยังเป็นพื้นฐานสำหรับการกำหนดกลยุทธ์ในการพัฒนาระบบรักษาความปลอดภัยข้อมูลขององค์กร อย่างไรก็ตาม มีความจำเป็นต้องเข้าใจว่าการตรวจสอบความปลอดภัยไม่ใช่ขั้นตอนที่ทำเพียงครั้งเดียว แต่จะต้องดำเนินการเป็นประจำ เฉพาะในกรณีนี้การตรวจสอบจะนำมาซึ่งประโยชน์ที่แท้จริงและช่วยปรับปรุงระดับความปลอดภัยของข้อมูลของบริษัท

ในกิจกรรมด้านต่างๆ ข้อมูลส่วนบุคคลมักหมายถึงชุดข้อมูลที่แตกต่างกัน ข้อมูลส่วนบุคคลได้รับการกำหนดไว้ในกฎหมายของรัฐบาลกลางต่างๆ และขอบเขตของข้อมูลมีการกำหนดไว้แตกต่างกัน

ด้วยการพัฒนาเทคโนโลยีสารสนเทศ การปกป้องข้อมูลเชิงพาณิชย์จึงมีความสำคัญมากขึ้นเรื่อยๆ ช่วยให้บริษัทสามารถรักษาความสามารถในการแข่งขันของผลิตภัณฑ์ จัดระเบียบงานร่วมกับคู่ค้าและลูกค้า และลดความเสี่ยงจากการคว่ำบาตรจากหน่วยงานกำกับดูแล

มีความเป็นไปได้ที่จะปกป้องความลับทางการค้าของบริษัทและนำผู้รับผิดชอบในการเปิดเผยข้อมูลเข้าสู่กระบวนการยุติธรรมโดยการนำระบบการปกครองความลับทางการค้ามาใช้ กล่าวคือ โดยการใช้มาตรการทางกฎหมาย องค์กร และทางเทคนิคเพื่อปกป้องความลับของข้อมูล

ปัจจุบัน การโจมตีของไวรัสยังคงเกิดขึ้นบ่อยครั้งจนน่าตกใจ การโจมตีที่มีประสิทธิภาพมากที่สุดคือการโจมตีโดยใช้ไฟล์ที่เปิดโดยแอปพลิเคชันทั่วไป ตัวอย่างเช่น โค้ดที่เป็นอันตรายอาจมีอยู่ในไฟล์ Microsoft Word หรือเอกสาร PDF การโจมตีดังกล่าวเรียกว่าการหาประโยชน์ และโปรแกรมป้องกันไวรัสทั่วไปไม่ได้ตรวจพบเสมอไป

Palo Alto Networks Traps ให้การป้องกันขั้นสูงสำหรับเวิร์กสเตชันจากการโจมตีที่เป็นอันตรายแบบกำหนดเป้าหมาย และป้องกันการใช้ประโยชน์จากระบบปฏิบัติการและช่องโหว่ของแอปพลิเคชัน

คำแนะนำในการปกป้องข้อมูลเมื่อทำงานในระบบธนาคารทางไกล

เมื่อเร็ว ๆ นี้ กรณีของกิจกรรมการฉ้อโกงในระบบธนาคารทางไกล (RBS) ที่มีจุดมุ่งหมายเพื่อขโมยรหัสลับของผู้ใช้และเงินทุนขององค์กรมีบ่อยขึ้น ในบทความ เราได้ตรวจสอบมาตรการปฏิบัติที่จำเป็นเพื่อลดโอกาสที่จะถูกขโมยเงิน และให้คำแนะนำในการตอบสนองต่อกิจกรรมการฉ้อโกงที่อาจเกิดขึ้น

ตามกฎหมายของรัฐบาลกลางวันที่ 30 ธันวาคม 2551 ฉบับที่ 307-FZ "ในกิจกรรมการตรวจสอบ" การตรวจสอบคือ "การตรวจสอบที่เป็นอิสระของงบการบัญชี (การเงิน) ของกิจการที่ได้รับการตรวจสอบเพื่อแสดงความเห็นเกี่ยวกับความน่าเชื่อถือของดังกล่าว แถลงการณ์” คำที่กล่าวถึงในกฎหมายนี้ไม่เกี่ยวข้องกับความปลอดภัยของข้อมูล อย่างไรก็ตามมันเกิดขึ้นจนผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลใช้มันในการพูดของพวกเขา ในกรณีนี้ การตรวจสอบหมายถึงกระบวนการประเมินกิจกรรมขององค์กร ระบบ กระบวนการ โครงการ หรือผลิตภัณฑ์โดยอิสระ ในเวลาเดียวกัน เราต้องเข้าใจว่าในกฎระเบียบภายในประเทศต่างๆ คำว่า “การตรวจสอบความปลอดภัยของข้อมูล” ไม่ได้ถูกนำมาใช้เสมอไป แต่มักจะถูกแทนที่ด้วยคำว่า “การประเมินความสอดคล้อง” หรือคำว่า “การรับรอง” ที่ล้าสมัยเล็กน้อยแต่ยังคงใช้อยู่ บางครั้งมีการใช้คำว่า "การรับรอง" เช่นกัน แต่เกี่ยวข้องกับกฎระเบียบต่างประเทศระหว่างประเทศ

การตรวจสอบความปลอดภัยของข้อมูลดำเนินการเพื่อตรวจสอบการปฏิบัติตามกฎระเบียบ หรือเพื่อตรวจสอบความถูกต้องและความปลอดภัยของโซลูชันที่ใช้

แต่ไม่ว่าจะใช้คำใดก็ตาม โดยพื้นฐานแล้ว การตรวจสอบความปลอดภัยของข้อมูลจะดำเนินการเพื่อตรวจสอบการปฏิบัติตามกฎระเบียบ หรือเพื่อตรวจสอบความถูกต้องและความปลอดภัยของโซลูชันที่ใช้ ในกรณีที่สอง การตรวจสอบเป็นไปตามความสมัครใจและองค์กรเป็นผู้ตัดสินใจดำเนินการเอง ในกรณีแรกเป็นไปไม่ได้ที่จะปฏิเสธที่จะดำเนินการตรวจสอบเนื่องจากสิ่งนี้ก่อให้เกิดการละเมิดข้อกำหนดที่กำหนดโดยกฎระเบียบซึ่งนำไปสู่การลงโทษในรูปแบบของการปรับการระงับกิจกรรมหรือการลงโทษในรูปแบบอื่น
หากจำเป็นต้องมีการตรวจสอบ ก็สามารถทำได้ทั้งโดยองค์กรเอง เช่น ในรูปแบบของการประเมินตนเอง (แต่ในกรณีนี้จะไม่มีการพูดถึง "ความเป็นอิสระ" และคำว่า "การตรวจสอบ" ไม่ใช่ทั้งหมด ถูกต้องเพื่อใช้ที่นี่) หรือโดยองค์กรอิสระภายนอก - ผู้ตรวจสอบบัญชี ตัวเลือกที่สามสำหรับการดำเนินการตรวจสอบภาคบังคับคือการควบคุมโดยหน่วยงานกำกับดูแลที่ได้รับมอบอำนาจให้ดำเนินกิจกรรมกำกับดูแลที่เกี่ยวข้อง ตัวเลือกนี้มักเรียกว่าการตรวจสอบมากกว่าการตรวจสอบ
เนื่องจากการตรวจสอบโดยสมัครใจสามารถดำเนินการได้ไม่ว่าจะด้วยเหตุผลใดก็ตาม (เพื่อตรวจสอบความปลอดภัยของระบบธนาคารระยะไกล ควบคุมทรัพย์สินของธนาคารที่ได้มา ตรวจสอบสาขาที่เพิ่งเปิดใหม่ ฯลฯ) เราจะไม่พิจารณาตัวเลือกนี้ ในกรณีนี้เป็นไปไม่ได้ที่จะร่างขอบเขตอย่างชัดเจนหรืออธิบายรูปแบบของการรายงานหรือพูดคุยเกี่ยวกับความสม่ำเสมอ - ทั้งหมดนี้ตัดสินใจโดยข้อตกลงระหว่างผู้ตรวจสอบและองค์กรที่ได้รับการตรวจสอบ ดังนั้นเราจะพิจารณาเฉพาะรูปแบบของการตรวจสอบภาคบังคับที่เฉพาะเจาะจงกับธนาคารเท่านั้น

มาตรฐานสากล ISO 27001

บางครั้งคุณอาจได้ยินเกี่ยวกับธนาคารบางแห่งที่อยู่ระหว่างการตรวจสอบการปฏิบัติตามข้อกำหนดของมาตรฐานสากล “ISO/IEC 27001:2005” (เทียบเท่าในรัสเซียเต็มรูปแบบคือ “GOST R ISO/IEC 27001-2006 - เทคโนโลยีสารสนเทศ - วิธีการและวิธีการ ของการรักษาความปลอดภัย ความปลอดภัยของข้อมูลระบบการจัดการ - ข้อกำหนด") โดยพื้นฐานแล้ว มาตรฐานนี้คือชุดแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดการความปลอดภัยของข้อมูลในองค์กรขนาดใหญ่ (องค์กรขนาดเล็ก รวมถึงธนาคาร ไม่สามารถปฏิบัติตามข้อกำหนดของมาตรฐานนี้ได้อย่างสมบูรณ์เสมอไป)
เช่นเดียวกับมาตรฐานใดๆ ในรัสเซีย ISO 27001 นั้นเป็นเอกสารสมัครใจล้วนๆ ซึ่งแต่ละธนาคารตัดสินใจว่าจะยอมรับหรือไม่ยอมรับโดยอิสระ แต่ ISO 27001 ถือเป็นมาตรฐานทั่วไปทั่วโลก และผู้เชี่ยวชาญในหลายประเทศใช้มาตรฐานนี้เป็นภาษาสากลเพื่อเป็นแนวทางในการรักษาความปลอดภัยข้อมูล

นอกจากนี้ยังมีประเด็นที่ไม่ชัดเจนและไม่ค่อยมีการกล่าวถึงหลายประการที่เกี่ยวข้องกับ ISO 27001

อย่างไรก็ตาม ISO 27001 ยังเกี่ยวข้องกับประเด็นที่ชัดเจนน้อยกว่าและมีการกล่าวถึงไม่บ่อยหลายประเด็น ประการแรก ไม่ใช่ว่าระบบรักษาความปลอดภัยข้อมูลของธนาคารทั้งหมดจะต้องได้รับการตรวจสอบตามมาตรฐานนี้ แต่จะมีเพียงองค์ประกอบหนึ่งหรือหลายองค์ประกอบเท่านั้น ตัวอย่างเช่น ระบบรักษาความปลอดภัยธนาคารระยะไกล ระบบรักษาความปลอดภัยสำนักงานใหญ่ของธนาคาร หรือระบบรักษาความปลอดภัยกระบวนการจัดการทรัพยากรบุคคล กล่าวอีกนัยหนึ่ง การได้รับใบรับรองความสอดคล้องสำหรับกระบวนการใดกระบวนการหนึ่งที่ได้รับการประเมินโดยเป็นส่วนหนึ่งของการตรวจสอบไม่ได้รับประกันว่ากระบวนการที่เหลือจะอยู่ในสภาพที่ใกล้เคียงกับสภาวะในอุดมคติเช่นเดียวกัน ประเด็นที่สองเกี่ยวข้องกับข้อเท็จจริงที่ว่า ISO 27001 เป็นมาตรฐานสากลที่สามารถใช้ได้กับองค์กรใดๆ ดังนั้นจึงไม่ได้คำนึงถึงลักษณะเฉพาะของอุตสาหกรรมใดอุตสาหกรรมหนึ่งโดยเฉพาะ สิ่งนี้นำไปสู่ความจริงที่ว่าภายในกรอบขององค์กรระหว่างประเทศเพื่อการมาตรฐาน ISO มีการพูดคุยกันมานานแล้วเกี่ยวกับการสร้างมาตรฐาน ISO 27015 ซึ่งเป็นการแปล ISO 27001/27002 สำหรับอุตสาหกรรมการเงิน ธนาคารแห่งรัสเซียยังมีส่วนร่วมอย่างแข็งขันในการพัฒนามาตรฐานนี้ อย่างไรก็ตาม Visa และ MasterCard ขัดต่อร่างมาตรฐานนี้ซึ่งได้รับการพัฒนาแล้ว คนแรกเชื่อว่าร่างมาตรฐานมีข้อมูลที่จำเป็นสำหรับอุตสาหกรรมการเงินน้อยเกินไป (เช่น เกี่ยวกับระบบการชำระเงิน) และหากมีการเพิ่มมาตรฐานนั้น ควรโอนมาตรฐานไปยังคณะกรรมการ ISO อื่น มาสเตอร์การ์ดยังเสนอให้หยุดพัฒนา ISO 27015 แต่แรงจูงใจนั้นแตกต่างออกไป พวกเขากล่าวว่าอุตสาหกรรมการเงินเต็มไปด้วยเอกสารที่เกี่ยวข้องกับหัวข้อความปลอดภัยของข้อมูลอยู่แล้ว ประการที่สาม มีความจำเป็นต้องให้ความสนใจว่าข้อเสนอจำนวนมากที่พบในตลาดรัสเซียไม่ได้พูดถึงการตรวจสอบการปฏิบัติตามกฎระเบียบ แต่เกี่ยวกับการเตรียมตัวสำหรับการตรวจสอบ ความจริงก็คือ มีองค์กรเพียงไม่กี่แห่งในโลกเท่านั้นที่มีสิทธิ์รับรองการปฏิบัติตามข้อกำหนด ISO 27001 ผู้ประกอบระบบจะช่วยให้บริษัทต่างๆ ปฏิบัติตามข้อกำหนดของมาตรฐานเท่านั้น ซึ่งจากนั้นจะได้รับการตรวจสอบโดยผู้ตรวจสอบอย่างเป็นทางการ (เรียกอีกอย่างว่านายทะเบียน หน่วยรับรอง ฯลฯ)
ในขณะที่การถกเถียงยังคงดำเนินต่อไปเกี่ยวกับว่าธนาคารต่างๆ ควรใช้ ISO 27001 หรือไม่ ผู้ที่มีความกล้าหาญบางคนก็ดำเนินการและผ่านการตรวจสอบการปฏิบัติตามข้อกำหนด 3 ขั้นตอน:

• การตรวจสอบเบื้องต้นอย่างไม่เป็นทางการโดยผู้ตรวจสอบเอกสารหลัก (ทั้งในอาณาเขตของลูกค้างานตรวจสอบและภายนอก)
• การตรวจสอบอย่างเป็นทางการและเชิงลึกมากขึ้นเกี่ยวกับมาตรการป้องกันที่นำไปใช้ การประเมินประสิทธิผล และการศึกษาเอกสารที่จำเป็นที่พัฒนาขึ้น ขั้นตอนนี้มักจะจบลงด้วยการยืนยันการปฏิบัติตามข้อกำหนด และผู้ตรวจสอบจะออกใบรับรองที่เกี่ยวข้องซึ่งเป็นที่ยอมรับทั่วโลก
• ดำเนินการตรวจสอบการตรวจสอบประจำปีเพื่อยืนยันใบรับรองความสอดคล้องที่ได้รับก่อนหน้านี้

ใครต้องการ ISO 27001 ในรัสเซีย? หากเราพิจารณามาตรฐานนี้ไม่เพียงแต่เป็นชุดแนวทางปฏิบัติที่ดีที่สุดที่สามารถนำไปปฏิบัติได้โดยไม่ต้องผ่านการตรวจสอบ แต่ยังเป็นกระบวนการรับรองที่บ่งบอกถึงการยืนยันการปฏิบัติตามข้อกำหนดของธนาคารตามข้อกำหนดด้านความปลอดภัยที่เป็นที่ยอมรับในระดับสากล ISO 27001 ก็เหมาะสมที่จะนำไปใช้เช่นกัน โดยธนาคารที่เป็นสมาชิกของกลุ่มธนาคารระหว่างประเทศ โดยมี ISO 27001 เป็นมาตรฐาน หรือสำหรับธนาคารที่วางแผนจะเข้าสู่เวทีระหว่างประเทศ ในกรณีอื่นๆ ในความคิดของฉัน การตรวจสอบการปฏิบัติตาม ISO 27001 และการได้รับใบรับรองนั้นไม่จำเป็น แต่สำหรับธนาคารและในรัสเซียเท่านั้น และทั้งหมดเป็นเพราะเรามีมาตรฐานของเราเองตาม ISO 27001

โดยพฤตินัย การตรวจสอบการตรวจสอบของธนาคารแห่งรัสเซียได้ดำเนินการจนกระทั่งเมื่อเร็ว ๆ นี้ตามข้อกำหนดของ STO BR IBBS

ชุดเอกสารของธนาคารแห่งรัสเซีย STO BR IBBS

มาตรฐานดังกล่าวหรือชุดมาตรฐานคือชุดเอกสารจากธนาคารแห่งรัสเซียซึ่งอธิบายแนวทางแบบครบวงจรในการสร้างระบบรักษาความปลอดภัยข้อมูลสำหรับองค์กรการธนาคารโดยคำนึงถึงข้อกำหนดของกฎหมายรัสเซีย เอกสารชุดนี้ (ต่อไปนี้จะเรียกว่า STO BR IBBS) ซึ่งประกอบด้วยมาตรฐาน 3 มาตรฐานและคำแนะนำ 5 ข้อสำหรับการมาตรฐาน อิงจาก ISO 27001 และมาตรฐานสากลอื่นๆ อีกจำนวนหนึ่งสำหรับการจัดการเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูล
ปัญหาของการตรวจสอบและประเมินการปฏิบัติตามข้อกำหนดของมาตรฐานสำหรับ ISO 27001 ระบุไว้ในเอกสารแยกต่างหาก - “STO BR IBBS-1.1-2007 การตรวจสอบความปลอดภัยของข้อมูล", "STO BR IBBS-1.2-2010 ระเบียบวิธีในการประเมินการปฏิบัติตามความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซียตามข้อกำหนดของ STO BR IBBS-1.0-2010" และ "RS BR IBBS-2.1-2007 แนวทางการประเมินตนเองในการปฏิบัติตามความปลอดภัยของข้อมูลขององค์กรระบบธนาคารของสหพันธรัฐรัสเซียตามข้อกำหนดของ STO BR IBBS-1.0”
ในระหว่างการประเมินความสอดคล้องตาม STO BR IBBS จะมีการตรวจสอบการดำเนินการตามตัวบ่งชี้ความปลอดภัยของข้อมูลส่วนตัว 423 รายการ ซึ่งแบ่งออกเป็นตัวบ่งชี้กลุ่ม 34 กลุ่ม ผลลัพธ์ของการประเมินเป็นตัวบ่งชี้สุดท้ายซึ่งควรอยู่ในระดับ 4 หรือ 5 ในระดับห้าจุดที่กำหนดโดยธนาคารแห่งรัสเซีย อย่างไรก็ตาม สิ่งนี้ทำให้การตรวจสอบตาม STO BR IBBS แตกต่างจากการตรวจสอบตามข้อบังคับอื่น ๆ ในด้านความปลอดภัยของข้อมูลเป็นอย่างมาก ใน STO BR IBBS ไม่มีความไม่สอดคล้องกัน เพียงระดับของการปฏิบัติตามข้อกำหนดอาจแตกต่างกัน: จากศูนย์ถึงห้า และเฉพาะระดับที่สูงกว่า 4 เท่านั้นที่ถือว่าเป็นบวก
ณ สิ้นปี 2554 ธนาคารประมาณ 70–75% ได้ดำเนินการหรืออยู่ในกระบวนการนำมาตรฐานชุดนี้ไปใช้ แม้จะมีทุกอย่างก็ตาม สิ่งเหล่านี้ถือเป็นคำแนะนำโดยนิตินัย แต่การตรวจสอบโดยพฤตินัยของธนาคารแห่งรัสเซียได้ดำเนินการจนกระทั่งเมื่อเร็ว ๆ นี้เป็นไปตามข้อกำหนดของ STO BR IBBS อย่างแม่นยำ (แม้ว่าจะไม่เคยระบุไว้อย่างชัดเจนที่ใดก็ตาม)
สถานการณ์มีการเปลี่ยนแปลงตั้งแต่วันที่ 1 กรกฎาคม 2555 เมื่อกฎหมาย "ในระบบการชำระเงินแห่งชาติ" และเอกสารกำกับดูแลของรัฐบาลรัสเซียและธนาคารแห่งรัสเซียที่พัฒนาขึ้นเพื่อการดำเนินการมีผลใช้บังคับอย่างเต็มที่ นับจากนี้เป็นต้นไป ประเด็นความจำเป็นในการดำเนินการตรวจสอบการปฏิบัติตามข้อกำหนดของ STO BR IBBS ก็ปรากฏในวาระการประชุมอีกครั้ง ความจริงก็คือวิธีการประเมินการปฏิบัติตามที่เสนอภายในกรอบกฎหมายว่าด้วยระบบการชำระเงินแห่งชาติ (NPS) และวิธีการประเมินการปฏิบัติตาม STO BR IBBS อาจแตกต่างกันอย่างมากในค่าสุดท้าย ในเวลาเดียวกัน การประเมินโดยใช้วิธีแรก (สำหรับ NPS) ได้กลายเป็นข้อบังคับ ในขณะที่การประเมินโดยใช้ STO BR IBBS ยังคงมีลักษณะเป็นการแนะนำ และในขณะที่เขียนนี้ ธนาคารแห่งรัสเซียยังไม่ได้ตัดสินใจเกี่ยวกับชะตากรรมในอนาคตของการประเมินนี้ หากก่อนหน้านี้หัวข้อทั้งหมดมารวมกันใน Main Directorate of Security and Information Protection of Bank of Russia (GUBZI) การแบ่งอำนาจระหว่าง GUBZI และ Department for Regulation of Settlements (LHH) ยังคงเป็นคำถามเปิด

เป็นที่ชัดเจนว่าการดำเนินการทางกฎหมายใน NPS จำเป็นต้องมีการประเมินความสอดคล้องที่จำเป็น นั่นคือ การตรวจสอบ

กฎหมายว่าด้วยระบบการชำระเงินของประเทศ

กฎหมายเกี่ยวกับ NPS เพิ่งเริ่มก่อตัวเท่านั้น และเอกสารใหม่จำนวนมากรอเราอยู่ รวมถึงเอกสารที่เกี่ยวข้องกับการรับรองความปลอดภัยของข้อมูลด้วย แต่เป็นที่ชัดเจนแล้วว่ากฎระเบียบ 382-P ออกและอนุมัติเมื่อวันที่ 9 มิถุนายน 2555 “ ตามข้อกำหนดในการรับรองการปกป้องข้อมูลเมื่อทำการโอนเงินและในขั้นตอนสำหรับธนาคารแห่งรัสเซียในการตรวจสอบการปฏิบัติตามข้อกำหนดสำหรับ การรับรองการปกป้องข้อมูลเมื่อทำการโอนเงิน” » กำหนดให้มีการประเมินความสอดคล้องที่จำเป็นในย่อหน้า 2.15 ซึ่งก็คือการตรวจสอบ การประเมินดังกล่าวดำเนินการโดยอิสระหรือโดยการมีส่วนร่วมของบุคคลที่สาม ตามที่กล่าวไว้ข้างต้น การประเมินความสอดคล้องที่ดำเนินการภายในกรอบการทำงานของ 382-P มีสาระสำคัญคล้ายคลึงกับสิ่งที่อธิบายไว้ในวิธีการประเมินความสอดคล้องของ STO BR IBBS แต่ให้ผลลัพธ์ที่แตกต่างไปจากเดิมอย่างสิ้นเชิง ซึ่งเกี่ยวข้องกับการนำปัจจัยการแก้ไขพิเศษมาใช้ ซึ่งกำหนดผลลัพธ์ที่แตกต่างกัน
กฎระเบียบ 382-P ไม่ได้กำหนดข้อกำหนดพิเศษใด ๆ สำหรับองค์กรที่เกี่ยวข้องกับการตรวจสอบซึ่งขัดแย้งกับพระราชกฤษฎีกาของรัฐบาลหมายเลข 584 เมื่อวันที่ 13 มิถุนายน 2555 "เกี่ยวกับการปกป้องข้อมูลในระบบการชำระเงิน" ซึ่งกำหนดให้องค์กรและ ดำเนินการติดตามและประเมินการปฏิบัติตามข้อกำหนดในการปกป้องข้อมูลทุกๆ 2 ปี อย่างไรก็ตาม พระราชกฤษฎีกาของรัฐบาลที่พัฒนาโดย FSTEC กำหนดให้การตรวจสอบภายนอกดำเนินการโดยองค์กรที่ได้รับอนุญาตให้ดำเนินการในการปกป้องทางเทคนิคของข้อมูลที่เป็นความลับเท่านั้น
ข้อกำหนดเพิ่มเติมที่จัดว่าเป็นรูปแบบการตรวจสอบรูปแบบหนึ่งได้ยาก แต่กำหนดความรับผิดชอบใหม่ให้กับธนาคาร แสดงอยู่ในส่วนที่ 2.16 ของระเบียบ 382-P ตามข้อกำหนดเหล่านี้ ผู้ดำเนินการระบบการชำระเงินมีหน้าที่ต้องพัฒนา และธนาคารที่เข้าร่วมระบบการชำระเงินนี้มีหน้าที่ต้องปฏิบัติตามข้อกำหนดในการแจ้งให้ผู้ดำเนินการระบบการชำระเงินทราบเป็นประจำเกี่ยวกับปัญหาด้านความปลอดภัยของข้อมูลต่างๆ ในธนาคาร: เกี่ยวกับการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูล เกี่ยวกับเหตุการณ์ที่ระบุ เกี่ยวกับการประเมินตนเองที่ดำเนินการ เกี่ยวกับภัยคุกคามและช่องโหว่ที่ระบุ
นอกเหนือจากการตรวจสอบที่ดำเนินการตามสัญญาแล้ว กฎหมายของรัฐบาลกลางฉบับที่ 161 ใน NPS ยังกำหนดการควบคุมและการกำกับดูแลการปฏิบัติตามข้อกำหนดที่กำหนดโดยรัฐบาลสหพันธรัฐรัสเซียในมติ 584 และธนาคารแห่งรัสเซียในข้อบังคับ 382 ออกโดย FSB FSTEC และธนาคารแห่งรัสเซีย ตามลำดับ ในขณะที่เขียนทั้ง FSTEC และ FSB ไม่มีขั้นตอนที่พัฒนาขึ้นสำหรับการดำเนินการกำกับดูแลดังกล่าว ซึ่งแตกต่างจากธนาคารแห่งรัสเซียซึ่งออกข้อบังคับหมายเลข 380-P ลงวันที่ 31 พฤษภาคม 2555 “ในขั้นตอนการตรวจสอบระบบการชำระเงินของประเทศ” (สำหรับสถาบันสินเชื่อ) และข้อบังคับลงวันที่ 9 มิถุนายน 2555 ฉบับที่ 381-P “ในขั้นตอนการกำกับดูแลการปฏิบัติตามโดยผู้ดำเนินการระบบการชำระเงินและผู้ให้บริการโครงสร้างพื้นฐานการชำระเงินที่ไม่ใช่สถาบันสินเชื่อตามข้อกำหนดของกฎหมายของรัฐบาลกลางวันที่ 27 มิถุนายน 2554 หมายเลข 161-FZ “ในระบบการชำระเงินแห่งชาติ” ที่นำมาใช้ตามข้อบังคับของธนาคารแห่งรัสเซีย"
การดำเนินการด้านกฎระเบียบในด้านการปกป้องข้อมูลในระบบการชำระเงินของประเทศเป็นเพียงจุดเริ่มต้นของการพัฒนาโดยละเอียดเท่านั้น เมื่อวันที่ 1 กรกฎาคม 2555 ธนาคารแห่งรัสเซียเริ่มทดสอบและรวบรวมข้อเท็จจริงเกี่ยวกับการบังคับใช้กฎหมาย ดังนั้น วันนี้ยังเร็วเกินไปที่จะพูดคุยถึงวิธีการนำกฎระเบียบเหล่านี้ไปใช้ วิธีการกำกับดูแลภายใต้ 380-P จะดำเนินการอย่างไร ข้อสรุปใดบ้างที่อิงจากผลการประเมินตนเองที่ดำเนินการทุกๆ 2 ปี และส่งไปยังธนาคาร ของรัสเซีย

มาตรฐานความปลอดภัยบัตรชำระเงิน PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) เป็นมาตรฐานความปลอดภัยของข้อมูลบัตรชำระเงินที่พัฒนาโดย Payment Card Industry Security Standards Council (PCI SSC) ซึ่งก่อตั้งโดยระบบการชำระเงินระหว่างประเทศ Visa, MasterCard, American Express, JCB และ Discover มาตรฐาน PCI DSS คือชุดของข้อกำหนดระดับสูง 12 ประการและข้อกำหนดโดยละเอียดมากกว่า 200 รายการเพื่อรับรองความปลอดภัยของข้อมูลเกี่ยวกับผู้ถือบัตรชำระเงินที่ส่ง จัดเก็บ และประมวลผลในระบบข้อมูลขององค์กร

ข้อกำหนดของมาตรฐานนี้ใช้กับทุกบริษัทที่ทำงานกับระบบการชำระเงินระหว่างประเทศ Visa และ MasterCard ขึ้นอยู่กับจำนวนธุรกรรมที่ประมวลผล แต่ละบริษัทจะได้รับมอบหมายระดับหนึ่งพร้อมกับชุดข้อกำหนดที่เกี่ยวข้องซึ่งบริษัทเหล่านี้ต้องปฏิบัติตาม ระดับเหล่านี้แตกต่างกันไปขึ้นอยู่กับระบบการชำระเงิน

การตรวจสอบที่ประสบความสำเร็จไม่ได้หมายความว่าทุกอย่างเรียบร้อยดีด้วยการรักษาความปลอดภัยที่ธนาคาร - มีเคล็ดลับมากมายที่ช่วยให้องค์กรที่ได้รับการตรวจสอบสามารถซ่อนข้อบกพร่องบางประการในระบบความปลอดภัยได้

การตรวจสอบการปฏิบัติตามข้อกำหนดของมาตรฐาน PCI DSS ดำเนินการภายในกรอบของ บังคับการรับรองข้อกำหนดที่แตกต่างกันขึ้นอยู่กับประเภทของ บริษัท ที่ถูกตรวจสอบ - องค์กรการค้าและบริการที่รับบัตรชำระเงินเพื่อชำระค่าสินค้าและบริการหรือผู้ให้บริการที่ให้บริการแก่องค์กรการค้าและบริการธนาคารที่รับบัตรผู้ออก ฯลฯ (ศูนย์ประมวลผล เกตเวย์การชำระเงิน ฯลฯ) การประเมินนี้อาจอยู่ในรูปแบบที่แตกต่างกัน:

• การตรวจสอบประจำปีโดยบริษัทที่ได้รับการรับรองซึ่งมีสถานะ Qualified Security Assessors (QSA)
• การประเมินตนเองประจำปี
• การสแกนเครือข่ายรายไตรมาสด้วยความช่วยเหลือขององค์กรที่ได้รับอนุญาตซึ่งมีสถานะ Approved Scanning Vendor (ASV)

กฎหมายว่าด้วยข้อมูลส่วนบุคคล

เอกสารกำกับดูแลล่าสุดที่เกี่ยวข้องกับอุตสาหกรรมการธนาคารและการกำหนดข้อกำหนดสำหรับการประเมินความสอดคล้องคือกฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" อย่างไรก็ตาม ยังไม่มีการกำหนดรูปแบบของการตรวจสอบ ความถี่ และข้อกำหนดสำหรับองค์กรที่ดำเนินการตรวจสอบดังกล่าว บางทีปัญหานี้จะได้รับการแก้ไขในฤดูใบไม้ร่วงปี 2555 เมื่อมีการเผยแพร่เอกสารชุดถัดไปจากรัฐบาลสหพันธรัฐรัสเซีย FSTEC และ FSB โดยแนะนำมาตรฐานใหม่ในด้านการปกป้องข้อมูลส่วนบุคคล ในระหว่างนี้ ธนาคารสามารถสบายใจและตัดสินใจได้อย่างอิสระเกี่ยวกับการตรวจสอบปัญหาการคุ้มครองข้อมูลส่วนบุคคล
การควบคุมและการกำกับดูแลการดำเนินการตามมาตรการขององค์กรและทางเทคนิคเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่กำหนดโดยมาตรา 19 ของ 152-FZ ดำเนินการโดย FSB และ FSTEC แต่สำหรับระบบข้อมูลข้อมูลส่วนบุคคลของรัฐเท่านั้น ตามกฎหมายแล้ว ไม่มีใครควบคุมองค์กรการค้าในด้านการรับรองความปลอดภัยของข้อมูลส่วนบุคคลได้ สิ่งเดียวกันนี้ไม่สามารถพูดได้เกี่ยวกับประเด็นการปกป้องสิทธิ์ของเจ้าของข้อมูลส่วนบุคคล กล่าวคือ ลูกค้า คู่ค้า และเพียงแค่ผู้เยี่ยมชมธนาคาร งานนี้ดำเนินการโดย Roskomnadzor ซึ่งทำหน้าที่กำกับดูแลอย่างแข็งขันและถือว่าธนาคารเป็นหนึ่งในผู้ฝ่าฝืนกฎหมายข้อมูลส่วนบุคคลที่เลวร้ายที่สุด

บทบัญญัติสุดท้าย

กฎระเบียบหลักในด้านการรักษาความปลอดภัยข้อมูลที่เกี่ยวข้องกับสถาบันสินเชื่อมีการกล่าวถึงข้างต้น มีกฎระเบียบเหล่านี้หลายข้อและแต่ละข้อกำหนดข้อกำหนดของตนเองสำหรับการดำเนินการประเมินความสอดคล้องในรูปแบบใดรูปแบบหนึ่ง - ตั้งแต่การประเมินตนเองในรูปแบบของการกรอกแบบสอบถาม (PCI DSS) ไปจนถึงผ่านการตรวจสอบภาคบังคับทุกๆ สองปี ( 382-P) หรือปีละครั้ง (ISO 27001) ระหว่างรูปแบบการประเมินการปฏิบัติตามข้อกำหนดที่พบบ่อยที่สุดเหล่านี้ ยังมีรูปแบบอื่นๆ อีก เช่น การแจ้งเตือนของผู้ปฏิบัติงานระบบการชำระเงิน การสแกนรายไตรมาส ฯลฯ

นอกจากนี้ยังควรจดจำและเข้าใจว่าประเทศยังขาดระบบมุมมองที่เป็นเอกภาพไม่เพียง แต่ในการควบคุมของรัฐของกระบวนการตรวจสอบความปลอดภัยของข้อมูลขององค์กรและระบบเทคโนโลยีสารสนเทศเท่านั้น แต่ยังรวมถึงหัวข้อการตรวจสอบความปลอดภัยของข้อมูลโดยทั่วไปด้วย ในสหพันธรัฐรัสเซีย มีแผนกและองค์กรหลายแห่ง (FSTEC, FSB, Bank of Russia, Roskomnadzor, PCI SSC ฯลฯ) ที่รับผิดชอบด้านความปลอดภัยของข้อมูล และทั้งหมดดำเนินการตามกฎระเบียบและแนวปฏิบัติของตนเอง วิธีการที่แตกต่างกัน มาตรฐานที่แตกต่างกัน ระดับวุฒิภาวะที่แตกต่างกัน... ทั้งหมดนี้ขัดขวางการสร้างกฎทั่วไปของเกม ภาพนี้ยังเสียหายจากการเกิดขึ้นของบริษัทที่บินกลางคืนซึ่งแสวงหาผลกำไร โดยนำเสนอบริการคุณภาพต่ำมากในด้านการประเมินการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูล และสถานการณ์ไม่น่าจะเปลี่ยนแปลงไปในทางที่ดีขึ้น หากมีความจำเป็น ก็จะมีผู้ที่เต็มใจตอบสนอง ในขณะที่ผู้ตรวจสอบบัญชีที่มีคุณสมบัติไม่เพียงพอสำหรับทุกคน ด้วยจำนวนที่น้อย (แสดงในตาราง) และระยะเวลาของการตรวจสอบตั้งแต่หลายสัปดาห์ไปจนถึงหลายเดือน เห็นได้ชัดว่าความจำเป็นในการตรวจสอบเกินความสามารถของผู้ตรวจสอบอย่างจริงจัง
ใน "แนวคิดการตรวจสอบความปลอดภัยของข้อมูลของระบบเทคโนโลยีสารสนเทศและองค์กร" ซึ่ง FSTEC ไม่เคยนำมาใช้ มีวลีต่อไปนี้: "ในเวลาเดียวกัน ในกรณีที่ไม่มีหน่วยงานกำกับดูแลระดับชาติที่จำเป็น กิจกรรมดังกล่าว / การตรวจสอบที่ไม่ได้รับการควบคุมโดย บริษัทเอกชน/อาจก่อให้เกิดอันตรายต่อองค์กรอย่างไม่อาจแก้ไขได้” โดยสรุป ผู้เขียนแนวคิดเสนอให้รวมแนวทางการตรวจสอบและสร้างกฎของเกมตามกฎหมาย รวมถึงกฎสำหรับการรับรองผู้ตรวจสอบ ข้อกำหนดสำหรับคุณสมบัติ ขั้นตอนการตรวจสอบ ฯลฯ แต่สิ่งต่างๆ ยังคงอยู่ที่นั่น แม้ว่าจะได้รับความสนใจจากหน่วยงานกำกับดูแลในประเทศในด้านความปลอดภัยของข้อมูล (และเรามี 9 แห่งในนั้น) จ่ายให้กับปัญหาด้านความปลอดภัยของข้อมูล (เฉพาะในปีปฏิทินที่ผ่านมาเพียงอย่างเดียว มีการนำหรือพัฒนากฎระเบียบ 52 ข้อเกี่ยวกับปัญหาความปลอดภัยของข้อมูล - หนึ่งข้อบังคับต่อสัปดาห์ !) ฉันไม่ปฏิเสธว่าหัวข้อนี้จะมีการกลับมาดูอีกครั้งเร็วๆ นี้

มาตรฐานการตรวจสอบความปลอดภัยของข้อมูล

ในสถานการณ์เช่นนี้ เราต้องยอมรับว่าเป้าหมายหลักของการตรวจสอบความปลอดภัยของข้อมูลของธนาคาร ซึ่งก็คือการเพิ่มความมั่นใจในกิจกรรมต่างๆ นั้น ไม่สามารถบรรลุได้ในรัสเซีย ลูกค้าธนาคารของเราเพียงไม่กี่รายให้ความสำคัญกับระดับความปลอดภัยหรือผลการตรวจสอบที่ดำเนินการที่ธนาคาร เราหันไปหาการตรวจสอบในกรณีที่ระบุเหตุการณ์ร้ายแรงมากซึ่งนำไปสู่ความเสียหายอย่างร้ายแรงต่อธนาคาร (หรือผู้ถือหุ้นและเจ้าของ) หรือในกรณีของข้อกำหนดทางกฎหมาย ซึ่งดังที่แสดงไว้ข้างต้น เรามี มากมาย. และในอีกหกเดือนข้างหน้า ข้อกำหนดหมายเลข 1 ซึ่งควรค่าแก่การใส่ใจกับการตรวจสอบความปลอดภัย คือกฎระเบียบของธนาคารแห่งรัสเซีย 382-P มีแบบอย่างแรกของคำขอจากหน่วยงานอาณาเขตของธนาคารกลางสำหรับข้อมูลเกี่ยวกับระดับความปลอดภัยของธนาคารและการปฏิบัติตามข้อกำหนดของ 382-P และข้อมูลนี้ได้มาอย่างแม่นยำอันเป็นผลมาจากการตรวจสอบภายนอกหรือด้วยตนเอง -การประเมิน. อันดับที่สอง ฉันจะวางการตรวจสอบการปฏิบัติตามข้อกำหนดของกฎหมาย "เกี่ยวกับข้อมูลส่วนบุคคล" แต่การตรวจสอบดังกล่าวไม่ควรดำเนินการเร็วกว่าฤดูใบไม้ผลิ เมื่อเอกสารทั้งหมดที่สัญญาไว้โดย FSTEC และ FSB จะถูกปล่อยออกมา และเมื่อชะตากรรมของ STO BR IBBS ชัดเจน จากนั้นจะเป็นไปได้ที่จะหยิบยกประเด็นการดำเนินการตรวจสอบการปฏิบัติตามข้อกำหนดของ STO BR IBBS มันจะชัดเจนไม่เพียง แต่อนาคตของเอกสารที่ซับซ้อนของธนาคารแห่งรัสเซียเท่านั้น แต่ยังรวมถึงสถานะที่เกี่ยวข้องกับสิ่งที่คล้ายกัน แต่ยังคงแตกต่างกัน 382-P และด้วยว่า STO BR IBBS จะยังคงครอบคลุมประเด็นการปกป้องข้อมูลส่วนบุคคลต่อไปหรือไม่ .
ความสำเร็จในการตรวจสอบไม่ได้หมายความว่าทุกอย่างเรียบร้อยดีด้วยการรักษาความปลอดภัยที่ธนาคาร - มีเคล็ดลับมากมายที่ช่วยให้องค์กรที่ได้รับการตรวจสอบสามารถซ่อนข้อบกพร่องบางประการในระบบความปลอดภัยได้ และส่วนใหญ่ขึ้นอยู่กับคุณสมบัติและความเป็นอิสระของผู้ตรวจสอบบัญชี ประสบการณ์ในหลายปีที่ผ่านมาแสดงให้เห็นว่าแม้ในองค์กรที่ประสบความสำเร็จผ่านการตรวจสอบการปฏิบัติตามมาตรฐาน PCI DSS, ISO 27001 หรือ STO BR IBBS ก็ยังมีเหตุการณ์และเหตุการณ์ร้ายแรงเกิดขึ้น

ผลงานของผู้สอบบัญชีคือการจัดทำรายงานการตรวจสอบ เพื่อให้มีพื้นฐานในการสรุปประเด็นหลักของการตรวจสอบ ผู้ตรวจสอบบัญชีจะต้องรวบรวมหลักฐานที่เหมาะสม ข้อมูลที่รวบรวมและวิเคราะห์โดยผู้ตรวจสอบบัญชีระหว่างการตรวจสอบทำหน้าที่เป็นพื้นฐานสำหรับข้อสรุปของผู้ตรวจสอบบัญชี และเรียกว่าหลักฐานการตรวจสอบ ในการรวบรวมหลักฐานการตรวจสอบ ผู้ตรวจสอบบัญชีใช้วิธีการดังต่อไปนี้:

1. วิธีการควบคุมจริง

ก) สินค้าคงคลัง;

b) การควบคุมการวัด

2. วิธีการควบคุมเอกสาร

ก) การตรวจสอบอย่างเป็นทางการ

b) การตรวจสอบทางคณิตศาสตร์

c) การตรวจสอบเอกสารเกี่ยวกับคุณธรรม

3. วิธีการอื่นๆ

ก) การสังเกต;

c) การวิเคราะห์ทางเศรษฐศาสตร์

ลองพิจารณาว่าวิธีการรวบรวมหลักฐานการตรวจสอบแต่ละวิธีเหล่านี้มีประสิทธิภาพเพียงใดในการตรวจสอบสินทรัพย์ถาวร

มีการดำเนินการสินค้าคงคลังเพื่อให้มั่นใจในความน่าเชื่อถือของข้อมูลการบัญชีและการรายงาน ทันทีที่มาถึงองค์กรผู้ตรวจสอบจะต้องชี้แจงวันที่ของสินค้าคงคลังครั้งล่าสุด หากไม่ได้ดำเนินการรายการสินทรัพย์ถาวรเป็นเวลานานกว่า 2-3 ปี ผู้ตรวจสอบบัญชีอาจกำหนดให้ต้องดำเนินการ ซึ่งจะช่วยให้มีการตรวจสอบที่ดีขึ้น สม่ำเสมอ และลดความเสี่ยงในการตรวจสอบ ผู้ตรวจสอบบัญชีอาจมีส่วนร่วมในสินค้าคงคลังหรือจำกัดตัวเองให้สังเกตการดำเนินการ ขอแนะนำเพื่อให้แน่ใจว่ามีสินค้าที่แพงที่สุด ทรัพย์สินบางส่วนอาจสูญหายในกรณีนี้จำเป็นต้องตรวจสอบตามเอกสารว่าโอนให้ใครและเมื่อใด เมื่อพนักงานใช้ทรัพย์สินใดๆ ที่บ้าน ต้นทุนของทรัพย์สินนี้ (คอมพิวเตอร์ เครื่องพิมพ์) ถือเป็นฐานภาษี (รายได้) ของพนักงาน ในกรณีที่ในระหว่างการสินค้าคงคลังของสินทรัพย์ถาวรปรากฎว่าหนึ่งในการประชุมเชิงปฏิบัติการของหน่วยงานทางเศรษฐกิจที่ได้รับการตรวจสอบถูกครอบครองโดยหน่วยงานทางเศรษฐกิจอื่น (อาจมีสัญญาณหลายอย่าง: มีป้ายชื่อทางเศรษฐกิจอื่น นิติบุคคล มีการผลิตผลิตภัณฑ์ที่ไม่สอดคล้องกับโปรไฟล์ของหน่วยงานทางเศรษฐกิจที่ได้รับการตรวจสอบ ฯลฯ ) และไม่มีรายการ "รายได้ค่าเช่า" ในรายได้จากการดำเนินงานที่ไม่ได้ดำเนินการ จากนั้นเรากำลังพูดถึง "ที่ซ่อนอยู่ ค่าเช่า” และการหลีกเลี่ยงภาษี ผู้สอบบัญชีสามารถสรุปได้ว่าลูกค้าฝ่าฝืนกฎหมายเมื่อทำธุรกรรมทางการเงินและธุรกิจ สินค้าคงคลังของสินทรัพย์ถาวรดำเนินการบนพื้นฐานของ "แนวทางสำหรับรายการทรัพย์สินและภาระผูกพันทางการเงิน" ที่ได้รับอนุมัติ ตามคำสั่งกระทรวงการคลังของสหพันธรัฐรัสเซียลงวันที่ 13 มิถุนายน 2538 ฉบับที่ 49

วิธีการวัดควบคุมมีประสิทธิภาพในการตรวจสอบต้นทุนการซ่อมแซมสินทรัพย์ถาวร ผู้ตรวจสอบบัญชีสามารถดำเนินการวัดการควบคุมปริมาณงานซ่อมแซมที่ดำเนินการโดยตรงที่โรงงานได้ ซึ่งจะช่วยให้สามารถประเมินงานซ่อมแซมตามความเป็นจริงได้อย่างมีวัตถุประสงค์และกำหนดจำนวนวัสดุที่ตัดจำหน่ายอย่างไม่สมเหตุสมผลตลอดจนจำนวน ของค่าจ้างที่จ่ายอย่างผิดกฎหมาย หากมีการรู้แจ้งของพนักงานบางคนขององค์กร จึงมีการพูดเกินจริงของปริมาณงานที่ทำ

เมื่อดำเนินการตรวจสอบเอกสารอย่างเป็นทางการ ผู้ตรวจสอบจะตรวจสอบเอกสารหลักสำหรับการบัญชีสำหรับสินทรัพย์ถาวร บัตรสินค้าคงคลัง สมุดรายวันการสั่งซื้อ ตารางการคำนวณ แบบฟอร์มหมายเลข 5 บัญชีแยกประเภททั่วไปด้วยสายตา ฯลฯ มีความจำเป็นต้องตรวจสอบการปฏิบัติตามเอกสารด้วย แบบฟอร์มมาตรฐานระหว่างแผนก, ความถูกต้องของการกรอกรายละเอียดทั้งหมด, และการมีอยู่ของการแก้ไขที่ไม่ได้ระบุ, การลบ, การเพิ่มเติมข้อความและตัวเลข, ความถูกต้องของลายเซ็นของเจ้าหน้าที่และผู้รับผิดชอบทางการเงิน, คำแนะนำเกี่ยวกับขั้นตอนการกรอกแบบฟอร์มมาตรฐานทางการเงินประจำปี คำแถลง บัตรลายเซ็นของเจ้าหน้าที่

วิธีการตรวจสอบทางคณิตศาสตร์เกี่ยวข้องกับการตรวจสอบความถูกต้องของการคำนวณตลอดจนความถูกต้องของการวาดอัลกอริธึมการคำนวณเมื่อทำการบัญชีอัตโนมัติการตรวจสอบการคำนวณจำนวนค่าเสื่อมราคาการตีราคาสินทรัพย์ถาวรการใช้อัตราค่าเสื่อมราคาและปัจจัยการแปลงที่ถูกต้อง ข้อมูลจากบัญชีเชิงวิเคราะห์และบัญชีสังเคราะห์ สมุดรายวันใบสั่ง บัญชีแยกประเภททั่วไป งบดุล และภาคผนวกของงบดุลยังได้รับการตรวจสอบด้วยเช่นกัน ลำดับที่ 5.

เมื่อตรวจสอบเอกสารเกี่ยวกับคุณธรรมความถูกต้องตามกฎหมายและความสะดวกของธุรกรรมทางธุรกิจจะพิจารณาความถูกต้องของการรวมในบัญชีและการรวมในรายการต้นทุน เมื่อขายสินทรัพย์ถาวรภายนอก ผู้สอบบัญชีต้องตรวจสอบให้แน่ใจว่าได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้จัดการ หากในระหว่างการตรวจสอบ เอกสารหลักมีข้อสงสัย จำเป็นต้องขอคำอธิบายเป็นลายลักษณ์อักษรจากบุคคลที่รับผิดชอบในการทำธุรกรรมและทำการตรวจสอบโต้กลับ

การสังเกต - การทำความเข้าใจทั่วไปเกี่ยวกับความสามารถของลูกค้าจากการสังเกตด้วยภาพ ผู้ตรวจสอบบัญชีสังเกตว่าการดำเนินการนี้หรือนั้นเพื่อบัญชีสำหรับการเคลื่อนไหวของสินทรัพย์ถาวรนั้นเป็นทางการอย่างไร เอกสารหลัก และทะเบียนการบัญชีสังเคราะห์จะถูกกรอก อย่างไรก็ตาม การดำเนินการบัญชีสำหรับสินทรัพย์ถาวรไม่หลากหลายและบ่อยนัก โดยเฉพาะในองค์กรขนาดเล็ก ดังนั้นการสังเกตเป็นวิธีการตรวจสอบจึงไม่มีประสิทธิภาพ สามารถรับข้อมูลที่ครบถ้วนมากขึ้นได้จากการตรวจสอบเอกสาร การสัมภาษณ์พนักงาน และการวิเคราะห์ทางเศรษฐศาสตร์

ตามกฎแล้วผู้สอบบัญชีใช้วิธีการวิเคราะห์ทางเศรษฐศาสตร์ในการตรวจสอบงบการเงินซึ่งสะท้อนถึงสถานะของสินทรัพย์ถาวร (แบบฟอร์มหมายเลข 1 แบบฟอร์มหมายเลข 5) ผู้ตรวจสอบสามารถวิเคราะห์การใช้สินทรัพย์ถาวรขององค์กรในแง่ของเวลาและกำลังการผลิต โดยคำนึงถึงลักษณะเฉพาะของกิจกรรมการผลิตขององค์กรตลอดจนประสิทธิภาพของการลงทุน

แบบสำรวจ - รับข้อมูลด้วยวาจาหรือลายลักษณ์อักษรจากลูกค้า ควรทำการสำรวจหรือสนทนากับพนักงานทุกคนที่เกี่ยวข้องกับการบัญชีสินทรัพย์ถาวรและการกรอกรายงาน เพื่อให้การสนทนาสร้างผลลัพธ์ให้กับผู้ตรวจสอบบัญชี จะต้องมีการวางแผนอย่างรอบคอบ เช่นเดียวกับขั้นตอนการตรวจสอบอื่นๆ ทั้งหมด ในการทำเช่นนี้ผู้ตรวจสอบจะจัดทำแบบสอบถามล่วงหน้าซึ่งรวมถึงรายการคำถามที่ผู้ตรวจสอบวางแผนที่จะถามพนักงานขององค์กรด้วยคำตอบที่เป็นไปได้ แบบสอบถามจะพิมพ์ตามจำนวนสำเนาที่ต้องการซึ่งสอดคล้องกับองค์ประกอบของผู้เชี่ยวชาญที่กำลังสัมภาษณ์ แบบสอบถามแต่ละชุดประกอบด้วยตำแหน่ง นามสกุล ชื่อจริง และนามสกุลของบุคคลที่จะดำเนินการสนทนาด้วย จากผลการสำรวจผู้ตรวจสอบจะจดบันทึกตรงข้ามตัวเลือกคำตอบที่พนักงานเลือกและสรุปเกี่ยวกับสถานะของระเบียบวินัยในการบัญชีสำหรับสินทรัพย์ถาวรและกำหนดระดับของความเสี่ยงในการตรวจสอบและความลึกของขั้นตอนที่ตามมาเพื่อตรวจสอบ ความถูกต้องของการบัญชีสำหรับสินทรัพย์ถาวร