Аудит информационной безопасности транспортного предприятия

Понятие и этапы проведения аудита. Определение уязвимостей информационной системы. Анализ угроз и нарушителей. Выбора средств защиты. Расчет экономического эффекта от внедрения вычислительной сети. Методы управления рисками транспортного предприятия.

Рубрика Бухгалтерский учет и аудит
Вид курсовая работа
Язык русский
Дата добавления 17.03.2015
Размер файла 63,4 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://allbest.ru

Содержание

1. Предпроектное обследование

1.1 Общие положения

1.2 Виды аудита

1.3 Этапы проведения аудита

2. Порядок определения уязвимостей технических средств ИС

2.1 Порядок анализа угроз и нарушителей

2.2 Порядок анализа риска ИС

2.3 Порядок выбора средств защиты

2.4 Порядок анализа организационной составляющей ИС

2.5 Порядок подготовки отчетных документов

3. Анализ рисков

3.1 Понятие риска. Виды рисков и методы управления ими

3.2 Анализ рисков, характерных для транспортного предприятия

4. Экономический расчет стоимости объекта

4.1 Расчет затрат на создание проекта ЛВС

4.2 Расчет материальных затрат

4.3 Расчет технологической себестоимости ЛВС

4.4 Затраты при эксплуатации ЛВС

4.5 Расчет экономического эффекта на создание и эксплуатацию ЛВС

Список литературы

Приложение. Перечень сокращений и обозначений

1. Предпроектное обследование

1.1 Общие положения

Основным из видов проверки уровня ИБ в организациях РФ является аудит ИБ. Мировой опыт в области обеспечения ИБ определяет аудит ИБ как важнейший процесс в непрерывном цикле процессов менеджмента ИБ организации. Аудит информационной безопасности позволяет реализовать принцип обязательности контроля и представляет собой систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью:

· оценки степени достижения стратегических целей в области ИБ

· оценки соответствия процедур управления ИБ и применяемых мер ИБ внутренним и внешним требованиям (Требования законодательства, требования основополагающих документов и отраслевых стандартов, требования внутренних нормативно-методических документов Корпорации и ее предприятий/организаций);

· выявления уязвимостей ИБ и потенциальных областей риска;

· оценки эффективности имеющихся мер обеспечения ИБ и процессов управления ИБ;

· выявления случаев нарушения информационной безопасности;

· поиска возможностей для улучшения и повышения эффективности процессов обеспечения ИБ.

Внутренние аудиты проводятся в Корпорации и ее предприятиях/организациях в соответствии с годовым планом аудитов. План аудитов ИБ формируется на ежегодной основе, согласовывается с его непосредственными участниками (как с проверяющими так и с проверяемыми) и утверждается Комитетом по информационной безопасности Корпорации.

Организацию и проведение внутренних аудитов осуществляют Внутренние аудиторы, которые назначаются из состава сотрудников Департамента внутреннего контроля и аудита Корпорации, Департамента защиты конфиденциальной информации Корпорации либо, из Менеджеров ИБ или сотрудников служб ИБ предприятий/организаций. При выборе этом должен соблюдаться принцип независимости Аудиторов.

С целью повышения эффективности Аудита ИБ отдельных случаях возможно проведение внеплановых проверок. Внеплановая проверка может быть инициирована Департаментом внутреннего контроля и аудита Корпорации, либо Департаментом защиты коммерческой тайны по согласованию с Департаментом внутреннего контроля и аудита.

Областью аудита является исследование ИС транспортного предприятия РФ соответствия требованиям безопасности.

Основной целью аудита информационной безопасности является:

-Оценка текущего состояния ИБ компании, а также адекватность поставленным целям и задачам бизнеса для увеличения эффективности и рентабельности экономической деятельности компании

-Анализ текущего уровня ИБ

-Анализ соответствия выбранных средств ЗИ поставленным целям и задачам бизнеса

-Анализ экономической эффективности системы ЗИ

-Оценка и прогноз рисков ИБ

-Формирование единого взгляда на проблемы безопасности среди специалистов разного профиля

1.2 Виды аудита

Различают внешний и внутренний аудит.

Внешний аудит -- это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно.

Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название “Положение о внутреннем аудите“, и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ--аудита.

Возможны два варианта аудита информационной безопасности: аудит компании в целом и аудит только информационной системы.

В первом случае компания должна подготовить для проверки:

-документы, подтверждающие внедрение в организации выработанной политики информационной безопасности и, в частности, наличие документированного подхода к оцениванию рисков и управлению ими в рамках всей компании;

-описание организационной инфраструктуры информационной безопасности на местах - распределение обязанностей сотрудников по обеспечению безопасности;

-обоснование выбора средств защиты для рассматриваемой системы;

-документацию на процессы обслуживания и администрирования информационной системы;

-документацию с описанием подходов к оцениванию рисков и управлению ими;

-документацию по подготовке периодических проверок, касающихся оценивания рисков, и управлению ими;

-описание процедуры принятия уровня остаточного риска с документированным выводом о реализации необходимых средств обеспечения информационной безопасности, степени их тестирования и корректности работы с ними;

-документацию по системе управления информационной безопасностью и реестр средств управления безопасностью в ведомости соответствия;

-результаты оценивания рисков по информационной системе;

-описание мер для противодействия выявленным рискам.

Все перечисленные проверки выполняются в соответствии с принятыми в компании подходами к оценке рисков и управлению ими.

В случае аудита только информационной системы компания должна подготовить для проверки:

-описание политики информационной безопасности, документацию по системе управления информационной безопасностью и ведомость соответствия, отражающую реальное состояние оцениваемой системы;

-документацию по проведенному оцениванию рисков;

-документацию по средствам управления информационной безопасностью;

-доказательства эффективности принятых контрмер и результаты их тестирования.

1.3 Этапы проведения аудита

1. Планирование и организация работы.

Назначаются ответственные лица со стороны предприятия и аудиторской компании устанавливаются рамки проведения аудита.

2. Сбор информации о системе.

3. Выработка рекомендаций. Полученные в результате проведенного анализа рекомендации после предварительного согласования с руководством компании следует обязательно проверить на выполнимость и актуальность с учетом рисков внедрения.

4. Контроль за выполнением рекомендаций. Подразумевает постоянное отслеживание аудиторской фирмой выполнения компанией рекомендаций.

2. Порядок определения уязвимостей технических средств ИС

Оценка уязвимости технических средств ИС (далее - оценка уязвимости) проводится в целях определения степени защищенности ИС от потенциальных угроз совершения актов незаконного вмешательства в деятельность объектов информационной системы.

В ходе проведения оценки уязвимости осуществляется:

· Изучение технических и технологических характеристик объекта ИС и технических средств, а также организации их эксплуатации (функционирования). Результатом является описание технических и технологических характеристик технических средств ИС, а также организации их эксплуатации (функционирования), определение границ зоны безопасности и перечня критических элементов объекта ИС.

· Изучение системы принятых на объекте ИС мер по защите от актов незаконного вмешательства. Результатом является описание системы принятых субъектом ИС мер на объекте ИС по защите от актов незаконного вмешательства, а также оценка ее соответствия требованиям по обеспечению безопасности объектов ИС.

· Изучение способов реализации потенциальных угроз совершения актов незаконного вмешательства в деятельность объекта ИС с использованием совокупности сведений о численности, оснащенности, подготовленности, осведомленности, а также действий потенциальных нарушителей, преследуемых целей при совершении акта незаконного вмешательства в деятельность объекта ИС (далее - модель нарушителя).Результатом является описание способов реализации потенциальных угроз совершения актов незаконного вмешательства в деятельность объекта ИС или технических средств применительно к модели нарушителя.

· Определение рекомендаций субъекту ИС в отношении мер, которые необходимо дополнительно включить в систему мер по обеспечению информационной безопасности объекта ИС и/или технических средств. Результатом является описание дополнительных мер, которые необходимо принять субъекту ИС на объекте ИС и/или технических средствах в соответствии с требованиями по обеспечению информационной безопасности.

Оценка уязвимости проводится организациями, определенными главой 3 статьи 11 Федерального закона от 9 февраля 2007 г. N 16-ФЗ "Об обеспечении информационной безопасности", на основании методик проведения оценки уязвимости с учетом перечня потенциальных угроз совершения актов незаконного вмешательства в деятельность объекта ИС и технических средств и с применением модели нарушителя.

Срок проведения оценки уязвимости не должен превышать одного месяца.

Результаты проведенной оценки уязвимости оформляются организацией в виде текстового документа с графическими план-схемами в трех экземплярах (первый и второй экземпляр на бумажном носителе, третий - на электронном) и направляется в компетентный орган для рассмотрения и принятия решения об утверждении либо об отказе в утверждении.

При оценке уязвимости группы идентичных по своим конструктивным, техническим, технологическим характеристикам технических средств, находящихся в собственности одного юридического (физического) лица или использующихся им на ином законном основании, по его ходатайству результаты оценки уязвимости одного технического средства распространяются на всю группу.

Перечень технических средств, входящих в указанную группу, представляется субъектом информационной системы в компетентный орган перед проведением оценки уязвимости технического средства.

Решение об утверждении результатов проведенной оценки уязвимости либо об отказе в их утверждении принимается компетентным органом в срок, не превышающий 30 дней.

Решение оформляется в виде заключения и утверждается руководителем компетентного органа (либо уполномоченным им лицом).

Первый экземпляр результатов проведенной оценки уязвимости, утвержденный руководителем компетентного органа (либо уполномоченным им лицом) и заверенный гербовой печатью, направляется в организацию, второй и третий экземпляры остаются в компетентном органе, из которых формируются документальная и электронная базы.

Решение об отказе в утверждении результатов проведенной оценки уязвимости направляется в организацию, в письменной форме с указанием причин отказа вместе со вторым экземпляром.

При изменении конструктивных, технических и технологических характеристик объекта информационной системы или технического средства, и/или потенциальных угроз совершения актов незаконного вмешательства в деятельность объектов ИС и технических средств, требований по обеспечению информационной безопасности объектов ИС и технических средств в месячный срок проводится дополнительная оценка уязвимости в части, касающейся произошедших изменений.

2.1 Порядок анализа угроз и нарушителей

Прежде, чем определить угрозы ИС и какие нарушители ИБ могут быть, необходимо получить сведения о системе.

О системе необходимо собрать следующую информацию:

-архитектура ИС;

-используемое аппаратное обеспечение;

-используемое программное обеспечение;

-системные интерфейсы (внутренняя и внешняя связность);

-топология сети;

-присутствующие в системе данные и информация;

-поддерживающий персонал и пользователи;

-миссия системы (то есть процессы, выполняемые ИС);

-критичность системы и данных;

-чувствительность (то есть требуемый уровень защищенности) системы и данных.

Требуется также собрать информацию об эксплуатационном окружении системы:

-функциональные требования к ИС;

-политики безопасности, положения которых затрагивают ИС;

-меры защиты доступности, конфиденциальности и целостности хранимых данных;

-потоки данных, принадлежащих системе, входные и выходные данные;

-существующие программно-технические регуляторы безопасности (то есть встроенные или дополнительные защитные средства, поддерживающие идентификацию и аутентификацию, управление доступом, протоколирование и аудит, защиту остаточной информации, криптографические функции и т.д.);

-существующие регуляторы безопасности административного уровня (политика и программы безопасности, меры планирования безопасности, правила поведения и т.п.);

-существующие регуляторы безопасности процедурного уровня (кадровая безопасность, процедуры управления пользователями, управление разделением обязанностей пользователей, обеспечение бесперебойной работы, резервное копирование, хранение данных вне производственных площадей, восстановление после аварий, сопровождение системы);

-меры физической защиты ИС (физическая защита производственных площадей, контроль доступа в центр обработки данных и т.п.);

-защита ИС от угроз со стороны окружающей среды (средства контроля температуры, влажности, загрязнения, электропитание, водоснабжение и т.д.).

В роли внешних злоумышленников могут выступать хакеры, преступники, террористы и шпионы. У каждой из выделенных категорий свой уровень мотивации (нарастающий от хакеров к шпионам) и вооруженности ресурсами. Внутренними злоумышленниками могут быть как плохо подготовленные, так и обиженные или уволенные сотрудники. Внешний злоумышленник может стать внутренним, если ему удастся взломать систему и начать действовать от имени легального пользователя.

Угрозы первоначально разделить на 2 больших класса: со стороны внешних нарушителей и со стороны внутренних. В то же время угрозы подразделяются на угрозы конфиденциальности, доступности и целостности информации. Данный аудит рассматривает АС для процедуры аутентификации пользователей в системе онлайн банкинга. По этой причине угрозы могут быть направлены на сервер, клиент и среду передачи информации от клиента к серверу. Угрозы необходимо выделить из приложения к германскому стандарту BSI.

Содержит следующие группы угроз:

Т1. Угрозы в связи с форс-мажорными обстоятельствами.

Т2. Угрозы на организационном уровне.

Т3. Угрозы, связанные с ошибками людей.

Т4. Угрозы, связанные с техникой.

Т5. Угрозы, возникающие на предпроектном этапе.

T 1. Угрозы в связи с форс-мажорными обстоятельствами

Т1.2. Отказ информационной системы.

Т1.3. Молния.

Т1.4. Пожар.

Т1.6. Возгорание кабеля.

Т1.7. Недопустимая температура и влажность.

Т1.8. Пыль, загрязнение.

Т1.9. Потеря данных из-за воздействия интенсивных магнитных полей.

Т1.10. Отказ сети на большой территории.

Т1.11. Катастрофы в окружающей среде.

Т1.12. Проблемы, вызванные неординарными общественными событиями.

Т2. Угрозы на организационном уровне

Т2.1. Отсутствие или недостатки регламентирующих документов.

Т2.2. Недостаточное знание требований регламентирующих документов.

Т2.4. Недостатки контроля и измерения уровня безопасности в информационной технологии.

Т2.5. Недостатки в обслуживании.

Т2.6. Несоответствие помещений требованиям в области безопасности.

Т2.7. Превышение полномочий.

Т2.8. Нерегламентированное использование ресурсов.

Т2.9. Недостатки в процедурах отслеживания изменений в информационной технологии.

Т2.10. Несоответствие среды передачи данных предъявляемым требованиям.

Т2.12. Недостатки в документировании коммуникаций.

Т2.13. Недостаточная защищенность от действий дистрибьюторов.

Т2.14. Ухудшение использования информационных технологий из-за плохих условий на рабочих местах.

Т2.16. Несанкционированное (недокументированное) изменение пользователей портативной ЭВМ.

Т2.19. Некорректная система управления криптографическими ключами.

Т2.21. Ненадлежащая организация изменения пользователей.

Т2.22. Отсутствие должной оценки результатов аудита данных.

Т2.24. Несанкционированный доступ к конфиденциальным данным в сети.

Т2.25. Уменьшение скорости обмена, вызванное вспомогательными функциями взаимодействия одноуровневых объектов.

Т2.26. Недостаточное тестирование ПО.

Т2.27. Неправильная документация.

Т2.29. Несанкционированное тестирование программ на этапе эксплуатации ИС.

Т2.31. Некорректная защита систем под управлением ОС Windows NT.

Т2.32. Неподходящая пропускная способность телекоммуникационных линий.

Т2.34. Отсутствие или некорректная настройка механизмов безопасности Novell Netware.

Т2.36. Неправильные ограничения пользовательской среды.

Т2.37. Неконтролируемое использование коммуникационных линий.

Т2.38. Недостаточное или неправильное использование штатных механизмов защиты базы данных.

Т2.40. Сложность доступа к базам данных.

Т2.41. Неверная организация обмена данных пользователей с базой данных.

Т2.44. Несовместимые активные и пассивные сетевые компоненты.

Т2.45. Концептуальные ошибки проектирования сети.

Т2.46. Превышение максимально допустимой длины кабеля.

Т2.47. Передача данных по коммуникациям, не соответствующим требованиям безопасности.

Т2.48. Неадекватное использование информации и документов при работе в домашних условиях.

Т2.49. Недостаточное или неверное обучение телеобработке.

Т2.50. Задержки, вызванные временными сбоями при удаленной работе.

Т2.51. Плохая интеграция удаленных рабочих мест в информационную технологию.

Т2.52. Более длинные временные периоды реакции системы в случае неверного выбора архитектуры системы.

Т2.53. Неполные инструкции относительно замены аппаратно-программных средств на удаленных рабочих местах.

Т2.55. Неконтролируемое использование электронной почты.

Т2.57. Неправильное хранение носителей информации в случае аварий.

Т2.59. Работа с незарегистрированными компонентами.

Т2.60. Недостаточная детализация стратегии сети и системы управления сетевыми ресурсами.

Т2.61. Неразрешенная совокупность личных данных.

Т2.62. Неподходящая обработка инцидентов в области безопасности.

Т2.66. Недостатки или неадекватность системы управления в области безопасности.

Т2.67. Недостатки администрирования прав доступа.

Т3. Угрозы, связанные с ошибками людей

Т3.1. Нарушение конфиденциальности/целостности данных в результате ошибок пользователей.

Т3.2. Разрушение оборудования или данных в результате небрежности.

Т3.3. Несоблюдение правил поддержания режима ИБ.

Т3.4. Несанкционированные подключения кабелей.

Т3.5. Повреждения кабелей из-за небрежности.

Т3.6. Опасности, связанные с увольнением или выведением персонала за штат.

Т3.8. Запрещенные действия в информационной системе.

Т3.9. Запрещенные действия системного администратора.

Т3.12. Потери носителей с данных при их перевозке (перемещении).

Т3.13. Передача неправильных или нежелательных данных.

Т3.15. Неправильное использование автоответчиков.

Т3.16. Неправильное администрирование сайта и прав доступа.

Т3.17. Смена пользователей ПК, не соответствующая внутренним правилам.

Т3.18. Совместное использование информационных ресурсов и оборудования.

Т3.20. Неумышленное предоставление доступа для чтения.

Т3.21. Использование ключей с нарушениями правил.

Т3.22. Модификация системного реестра.

Т3.24. Небрежность манипуляций с данными.

Т3.25. Небрежность при стирании (уничтожении) информации.

Т3.26. Небрежность при совместном использовании файловой системы.

Т3.28. Неправильные конфигурации активных сетевых компонентов.

Т3.29. Недостатки системы сегментации.

Т3.30. Использование удаленных рабочих станций для личных нужд.

Т3.31. Хаотичность в организации данных.

Т3.32. Нарушение законодательства в использовании криптографии.

Т3.33. Неправильное использование криптомодулей.

Т3.34. Неудачная конфигурация системы управления.

Т3.35. Отключение сервера во время работы.

Т3.37. Непродуктивные исследования.

Т3.38. Ошибки в конфигурации и операциях.

Т3.40. Несоответствие используемых процедур аутентификации требованиям, предъявляемым к удаленным рабочим местам.

Т3.41. Неправильное использование сервисов удаленного доступа.

Т3.43. Нарушение инструкций использования паролей.

Т3.44. Небрежности в обработке информации.

Т3.45. Некорректно работающая система идентификации партнеров.

Т4. Угрозы, связанные с техникой

Т4.1. Разрушения системы электроснабжения.

Т4.2. Отказы внутренних сетей электроснабжения.

Т4.3. Недействительность имеющихся гарантий.

Т4.4. Ухудшение состояния линий из-за воздействия окружающей среды.

Т4.5. Перекрестные подключения.

Т4.6. Броски напряжения в системе электроснабжения.

Т4.7. Дефекты кабелей информационных сетей.

Т4.8. Обнаруженные уязвимости ПО.

Т4.9. Разрушение внутренних источников электропитания.

Т4.10. Сложности доступа к сетевым ресурсам.

Т4.12. Недостатки аутентификации между серверами и клиентами.

Т4.13. Потеря хранимых данных.

Т4.14. Отсутствие специальной бумаги для факсов.

Т4.15. Отправка сообщения по факсу неправильному получателю из-за неверной коммутации.

Т4.16. Неполучение сообщения, отправленного по факсу, из-за ошибки передачи.

Т4.17. Дефект факсимильного аппарата.

Т4.18. Разрядка аккумулятора или неправильное электропитание в автоответчиках.

Т4.19. Потери информации из-за старения (ухудшения качества) носителя данных.

Т4.20. Потери данных из-за старения (ухудшения качества) носителя данных.

Т4.21. Неправильное экранирование от транзитных потоков.

Т4.22. Уязвимости ПО или ошибки.

Т4.25. Все еще активные подключения.

Т4.26. Отказ базы данных.

Т4.28. Потери данных в базе данных.

Т4.29. Потери данных в базе данных, вызванные недостатком емкости диска.

Т4.30. Потеря целостности базы данных.

Т4.31. Отказ или сбой компонентов сети.

Т4.32. Отказ при отправке сообщений.

Т4.33. Отсутствие процедуры идентификации или ненадлежащее ее качество.

Т4.34. Отказ криптомодулей.

Т4.35. Некорректность криптоалгоритма.

Т4.36. Ошибки при кодировании данных.

Т4.37. Неполучение (несвоевременная доставка) электронной почты или квитанций.

Т4.38. Отказы компонентов системы управления сетью или информационной системой.

Т4.39. Концептуальные ошибки ПО.

Т4.43. Недокументированные возможности.

Т5. Угрозы, возникающие на предпроектном этапе

Т5.1. Разрушение оборудования или вспомогательной инфраструктуры информационной системы.

Т5.2. Манипуляция данными или ПО.

Т5.3. Нарушения системы контроля доступа в помещениях.

Т5.4. Воровство.

Т5.5. Вандализм.

Т5.6. Нападения.

Т5.7. Перехват в линиях связи.

Т5.8. Манипуляции линиями связи.

Т5.9. Неавторизованное использование информационной системы.

Т5.10. Злоупотребления, связанные с удаленным доступом.

Т5.17. Угрозы, исходящие от посторонних специалистов, привлекаемых для обслуживания элементов информационной системы.

Т5.18. Подбор паролей.

Т5.19. Злоупотребления правами пользователей.

Т5.20. Злоупотребления правами администратора.

Т5.21. Вредоносное ПО. «Троянские» кони.

Т5.22. Воровство мобильных элементов информационной системы.

Т5.23. Враждебные апплеты и вирусы.

Т5.24. Закладки.

Т5.26. Подслушивание и перехват сообщений.

Т5.28. Недоступность сервисов.

Т5.29. Несанкционированное копирование носителей данных.

Т5.31. Несанкционированный просмотр поступающих по факсу сообщений.

Т5.38. Неправильные употребления отдаленного запроса.

Т5.39. Проникновение в информационную систему через системы связи.

Т5.40. Ненадлежащий контроль помещений, в которых установлены компьютеры, оборудованные микрофонами.

Т5.42. Враждебное использование методов социальной инженерии.

Т5.43. Макровирусы.

Т5.44. Злоупотребление доступом к отдаленным портам для получения чужих данных.

Т5.45. Подбор пароля в ОС Windows.

Т5.49. Злоупотребления с маршрутизацией данных.

Т5.50. Злоупотребления с протоколом ICMP.

Т5.51. Злоупотребления с протоколом маршрутизации.

Т5.52. Злоупотребления правами администратора в системах под Windows NT.

Т5.53. Неправильное использование защитных кабинетов.

Т5.54. Преднамеренные действия, приводящие к аварийному завершению.

Т5.55. Вход в обход системы аутентификации.

Т5.56. Ненадлежащий учет пользователей, имеющих свободный доступ к сетевым ресурсам.

Т5.57. Несанкционированный запуск сканеров сети.

Т5.61. Злоупотребления, связанные с удаленным управлением маршрутизатором.

Т5.62. Злоупотребления, связанные с удаленным управлением ресурсами информационной системы.

Т5.64. Манипуляции данными или программным обеспечением базы данных.

Т5.65. Отказ в обслуживании базы данных.

Т5.66. Неразрешенные подключения в ЛВС информационной системы.

Т5.67. Несанкционированное управление сетевыми ресурсами.

Т5.68. Несанкционированный доступ к активному сетевому оборудованию.

Т5.69. Риск воровства на домашнем рабочем месте.

Т5.70. Манипуляции, выполняемые родственниками или посетителями.

Т5.71. Несанкционированный доступ к конфиденциальной информации определенных категорий пользователей.

Т5.75. Перегрузка при получении письма по электронной почте.

Т5.76. Вредоносное ПО в почте.

Т, 5.77. Несанкционированное ознакомление с электронной почтой.

Т5.78. Атака DNS spoofing.

Т5.79. Несанкционированное приобретение прав администратора под Windows NT.

Т5.81. Неразрешенное использование криптомодулей.

Т5.82. Манипуляции криптомодулями.

Т5.83. Компрометация криптографических ключей.

Т5.84. Подделка удостоверений.

Т5.85. Потеря целостности информации, которая должна быть защищена.

Т5.86. Манипуляции параметрами управления.

Т5.87. Атака Web spoofing.

Т5.88. Неправильное использование активного контента.

Т5.89. Захват сетевых подключений.

Т5.90. Манипуляции списками рассылки и адресными книгами.

Т5.94. Неправильное употребление компонентов оборудования.

2.2 Порядок анализа риска ИС

Данный этап состоит из следующих подэтапов:

1. Идентификация рисков

2. Оценивание рисков

3. Измерение рисков

4. Выбор допустимого уровня риска

5. Выбор контрмер и оценка их эффективности

В любой методике необходимо идентифицировать риски, как вариант - их составляющие (угрозы и уязвимости).

При оценивании рисков рекомендуется рассматривать следующие аспекты:

-шкалы и критерии, по которым можно измерять риски;

-оценку вероятностей событий;

-технологии измерения рисков.

«Методика оценки рисков нарушения информационной безопасности» приведена в таблице 1.

Таблица 1- Рекомендуемая шкала соответствия СВР угроз ИБ (РС БР ИББС-2.2-2009)

Величина СВР угроз ИБ

Величина СВРкол угроз ИБ

Нереализуемая

0%

Минимальная

От 1 до 20%

Средняя

От 21 до 50%

Высокая

От 51 до 100%

Модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. В этих методиках под понятиями «угроза» и «уязвимость» понимается следующее.

Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость - слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Pпроисшествия = Ругрозы ? Руязвимости

Соответственно, риск рассчитывается следующим образом:

РИСК = Ругрозы х Руязвимости ? ЦЕНА ПОТЕРИ

Существует два подхода к выбору допустимого уровня рисков.

Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня (антивирусное ПО, МЭ, системы резервного копирования, системы контроля доступа), являются обязательными, их целесообразность не обсуждается. Дополнительные затраты (если такой вопрос будет поставлен по результатам проведения аудита ИБ либо по инициативе службы безопасности) должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.

Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор. В зависимости от уровня зрелости организации и характера основной деятельности обоснование выбора допустимого уровня риска может проводиться разными способами. Наиболее распространенным является анализ по критерию «стоимость-эффективность» различных вариантов защиты.

Приведем примеры постановки задач:

1) стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральных рисков.

2) риски по всем классам не должны превышать очень низкий уровень. Найти вариант контрмер с минимальной стоимостью.

Если ставятся оптимизационные задачи, важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.

Заключительным этапом оценки рисков является выбор контрмер и оценка остаточного риска.

2.3 Порядок выбора средств защиты

Выбор сертифицированных средств защиты информации сводится к выбору между наложенными комплексными средствами ЗИ от НСД и встроенными в системное или прикладное программное обеспечение. Выбор сертифицированных средств ПО основывается на следующих качественных характеристиках:

1. объем обрабатываемых данных;

2. характеристики безопасности ПДн;

3. структуре ИС;

4. наличии подключений ИС к сетям связи общего пользования и/или сетям международного информационного обмена;

5. режиме управления правами доступа пользователей ИС;

Выбор средств защиты основывается на следующих их функциональных качествах:

ь вход в автоматизированную систему пользователей только при предъявлении ими специального идентификатора;

ь избирательное разграничение доступа пользователей к защищаемым ресурсам;

ь разграничение доступа пользователей к информации различных уровней конфиденциальности в соответствии с имеющимися у них допусками;

ь возможность изменения наименований меток конфиденциальности;

ь управление запуском и поддержка мандатного принципа контроля доступа для приложений;

ь управление и настройка механизмов защиты как локально, так и удаленно;

ь упрощенная схема настройки программных средств для работы с защищаемыми ресурсами;

ь регистрация событий безопасности, ведение дополнительных журналов аудита;

ь создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешенных приложений;

ь контроль целостности защищаемых ресурсов, обеспечивающий защиту от несанкционированного внесения изменений в программную среду автоматизированной системы;

ь гарантированная очистка содержимого защищаемых файлов на локальных жестких дисках после их удаления;

ь создание и удаление пользователей, удаление и добавление их в групп;

ь наличие средств тестирования работоспособности СЗИ.

Средства защиты отвечают многоуровневой сетевой структуре:

ь связь между сервером и рабочими станциями операторов

ь связь между контроллерами и терминалом

ь связь между контроллерами и считывателями

ь связь извещателей и цепей управления

Механизмы защиты проверяются по порядкам:

ь выполнения идентификации и аутентификации с гарантированной защитой от НСД;

ь контроля целостность программно-аппаратной среды;

ь контроля чтение данных;

ь контроля доступа ко всем объектам файловой системы;

ь контроля запуска задач;

ь поддержки изолированной среды;

ь безопасности в применении и эксплуатации на отсутствие случайного ввода команд

2.4 Порядок анализа организационной составляющей ИС

Организационная составляющая ИС должна включать перечень сервисов, с которыми система онлайн-банкинга обменивается данными о совершённых транзакциях и перечень дочерних и аффилированных организаций.

Порядок анализа:

1. Анализ ресурсов ИС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы.

2. Анализ групп задач, решаемых системой, и бизнес процессов.

3. Анализ модели ресурсов ИС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия.

4. Оценка критичности информационных ресурсов.

5. Анализ наиболее вероятных угроз безопасности в отношении ресурсов ИС и уязвимостей защиты, делающих возможным осуществление этих угроз.

6. Оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз.

7. Анализ наличия, полноты и актуальности организационно-регламентных и нормативно-технических документов;

8. Разделение зон ответственности ролей персонала по обеспечению информационной безопасности и его корректность;

9. Наличие документированных списков, описывающих полномочия сотрудников по доступу к сетевым устройствам и серверам;

10. Наличие планов по поддержке квалификации персонала, ответственного за обеспечение информационной безопасности;

11. Анализ осведомленности пользователей и персонала, поддерживающего функционирование ИС, о требованиях по обеспечению информационной безопасности;

12. Анализ корректности процедур управления изменениями и установления обновлений;

13. Порядок предоставления доступа к внутренним ресурсам информационных систем.

14. Оценка текущего уровня защищенности информационной системы:

15. Описание и оценка текущего уровня защищенности информационной системы;

16. Анализ конфигурации конфигурационной информации, найденные уязвимости;

17. Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы.

Анализ рисков проводится для оценки реальных угроз нарушения информационной безопасности и разработки рекомендаций, выполнение которых позволит минимизировать эти угрозы.

Исходной информацией для анализа рисков является согласованный с заказчиком отчет о проведенном обследовании. Анализ рисков дает возможность:

* адекватно оценить существующие угрозы;

* идентифицировать критичные ресурсы ИС;

* выработать адекватные требования по защите информации;

* сформировать перечень наиболее опасных уязвимых мест, угроз и потенциальных злоумышленников;

* получить определенный уровень гарантий, основанный на объективном экспертном заключении.

При анализе рисков осуществляется:

* классификация информационных ресурсов;

* анализ уязвимостей;

* составление модели потенциального злоумышленника;

* оценка рисков нарушения информационной безопасности.

В процессе анализа рисков проводится оценка критичности идентифицированных уязвимых мест и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий.

2.5 Порядок подготовки отчетных документов

Рекомендации по результатам аудита информационной безопасности включают предложения и рекомендации:

- по совершенствованию архитектуры и организации построения ИС;

- по изменению конфигурации существующих сетевых устройств и серверов;

- по изменению конфигурации существующих средств защиты;

- по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;

- по использованию дополнительных средств защиты;

- по разработке организационно-распорядительных и нормативно-технических документов;

- по разработке программы осведомленности сотрудников в части информационной безопасности;

- по пересмотру ролевых функций персонала и зон ответственности;

- перечень мероприятий по поддержке и повышению квалификации персонала;

- периодичность и содержание работ по проведению анализа рисков и аудита по информационной безопасности;

Общая структура отчета:

* Оценка текущего уровня защищенности информационной системы;

* Описание и оценка текущего уровня защищенности информационной системы;

* Анализ конфигурации конфигурационной информации, найденные уязвимости;

* Анализ рисков, связанных с возможностью осуществления внутренних и внешних угроз в отношении ресурсов информационной системы.

Рекомендации по технической составляющей ИБ:

* по изменению конфигурации существующих сетевых устройств и серверов; * по изменению конфигурации существующих средств защиты;

* по активации дополнительных штатных механизмов безопасности на уровне системного программного обеспечения;

* по использованию дополнительных средств защиты; Рекомендации по организационной составляющей ИБ:* по разработке политики информационной безопасности;

* по организации службы ИБ;

* по разработке организационно-распорядительных и нормативно-технических документов;

* по пересмотру ролевых функций персонала и зон ответственности;

* по разработке программы осведомленности сотрудников в части информационной безопасности;

* по поддержке и повышению квалификации персонала.

3. Анализ рисков

3.1 Понятие риска. Виды рисков и методы управления ими

Деятельность любого предприятия, начало нового бизнеса неразрывно связаны с понятием «риск». Под риском понимается потенциальная возможность потери. Понятием риска характеризуется неопределенность, связанная с возможностью возникновения в ходе реализации проекта неблагоприятных ситуаций и последствий.

Несмотря на то, что риск несет в себе возможные потери, он также выполняет различные функции:

Инновационная функция проявляется в стимулировании поиска нетрадиционных решений проблем, стоящих перед предпринимателем;

- Защитная функция риска проявляется в том, что предприниматель старается заранее защитить от риска;

- Аналитическая функция риска связана с тем, что наличие риска предполагает необходимость выбора одного из возможных вариантов решений. В связи с этим предприниматель в процессе принятия решения анализирует все возможные альтернативы, выбирая наиболее рентабельные и наименее рисковые.

Сложность классификации рисков заключается в их многообразии. Существуют определенные виды рисков, действию которых подвержены все без исключения организации. Наряду с общими рисками, есть специфические виды риска, характерные для определенных видов деятельности

Выделим некоторые классификации рисков:

По сфере возникновения риски можно подразделить на внешние и внутренние риски.

Внешние риски - риски, возникающие во внешней среде организации. Предприниматель не может оказывать на них влияние, он может только предвидеть и учитывать их в своей деятельности.

Внутренние риски - риски, возникающие во внутриорганизационной среде. Источником внутренних рисков является сама организация. Эти риски возникают в случае неэффективного менеджмента, ошибочной маркетинговой политики

Среди внешних рисков выделяют:

- политические риски: связаны с политической обстановкой в стране и деятельностью органов государственной власти (революция, военные действия и др.);

- законодательные риски: изменение действующих норм с выходом новых законодательных и нормативных актов, например, ухудшающих положение компании (введение новых налогов, отмена налоговых льгот, повышение налоговых ставок и др.);

- природные риски: связаны с возможными стихийными бедствиями и загрязнением окружающей среды (наводнения, пожары, землетрясения и т. п.);

- региональные риски: обусловлены состоянием отдельных регионов, их законодательством и т. д.;

- отраслевые риски: зависят от тенденций развития отрасли;

- макроэкономические риски: обусловлены развитием экономических процессов в стране и в мире в целом. В свою очередь, макроэкономические риски включают инфляционные, валютные, процентные и структурные риски.

Внутренние риски подразделяются на три вида:

- производственные риски: связанны с особенностями технологического процесса на конкретном предприятии, уровнем квалификации работников, организацией поставок сырья и материалов и осуществлением транспортных перевозок;

- инвестиционные риски: несут в себе потенциальную угрозу неполучения запланированного результата;

- коммерческие риски: обычно обусловлены неправильно проведенными маркетинговыми исследованиями, в результате которых компания не может реализовать весь объем произведенной продукции. Также коммерческие риски связаны с недооценкой конкурентов на товарном рынке, ошибочной ценовой политикой и др.

Внешнюю среду организации можно разделить на среды прямого и косвенного воздействия.

В среде прямого воздействия главное - это рынок и законы, его регулирующие.

К среде прямого воздействия относятся:

- поставщики;

- потребители;

- конкуренты;

законы и государственные органы.

К среде косвенного воздействия относятся:

- международные события;

- политические факторы;

- состояние экономики страны;

- социокультурные факторы.

Внутреннюю среду организации составляют все ее элементы, а также связи и отношения между этими элементами в процессе управления организацией.

С точки зрения длительности во времени риски можно разделить на кратковременные и постоянные.

К группе кратковременных рисков относятся те риски, которые угрожают предприятию в течение известного отрезка времени, например, транспортный риск, когда убытки могут возникнуть во время перевозки груза, или риск неплатежа по конкретной сделке.

К постоянным рискам относятся те, которые непрерывно угрожают деятельности организации в данном географическом районе или в определенной отрасли экономики, например, риск неплатежа в стране с несовершенной правовой системой или риск разрушений зданий в районе с повышенной сейсмической опасностью.

По следствиям наступления риска следует выделять допустимый, критический и катастрофический риски.

Допустимый риск - это риск потери прибыли от реализации того или иного проекта или от предпринимательской деятельности в целом. При данном риске предпринимательская деятельность сохраняет свою экономическую целесообразность, т.е. потери имеют место, но они не превышают размер ожидаемой прибыли.

Критический риск - это риск связанный с опасностью потерь в размере произведенных затрат на осуществление данного вида предпринимательской деятельности или отдельной сделки. При этом критический риск первой степени связан с угрозой получения нулевого дохода, но при возмещении произведенных предпринимателем материальных затрат. Критический риск второй степени связан с возможностью потерь в размере полных издержек в результате осуществления данной предпринимательской деятельности. То есть, вероятны потери намеченной выручки и предпринимателю приходится возмещать затраты за свой счет.

Катастрофический риск - риск, при котором возникает неплатежеспособность предприятия. Под катастрофическим риском понимается риск, который характеризуется опасностью, угрозой потерь в размере, равной или превышающей все имущественное состояние предприятия. Катастрофический риск, как правило, приводит к банкротству фирмы, так как в данном случае возможна потеря не только всех вложенных предпринимателем в определенный вид деятельности средств, но и его имущества. Это характерно для ситуации, когда предпринимательская фирма получала внешние займы под ожидаемую прибыль.

В соответствии со сферами предпринимательской деятельности обычно выделяют: производственный, политический, коммерческий, отраслевой и финансовый риски.

Производственный риск связан с производством продукции, товаров и услуг; с осуществлением любых видов производственной деятельности, в процессе которой предприниматели сталкиваются с проблемами неэффективного использования сырья, роста себестоимости, увеличения потерь рабочего времени, использования новых методов производства. К основным причинам производственного риска относятся:

- снижение намеченных объемов производства и реализации продукции вследствие снижения производительности труда, простоя оборудования, потерь рабочего времени, отсутствия необходимого количества исходных материалов, повышенного процента брака производимой продукции;

- снижение цен, по которым планировалось реализовывать продукцию или услугу, в связи с ее недостаточным качеством, неблагоприятным изменением рыночной конъюнктуры, падением спроса;

- увеличение расхода материальных затрат в результате перерасхода материалов, сырья, топлива, энергии, а так же за счет увеличения транспортных расходов, торговых издержек, накладных и других побочных расходов;

- рост фонда оплаты труда за счет превышения намеченной численности либо за счет выплат более высокого, чем запланировано, уровня заработной платы отдельным сотрудникам;

Политический риск - это возможность возникновения убытков или сокращения размеров прибыли организации, являющихся следствием государственной политики.

Таким образом, политический риск связан с возможными изменениями в курсе правительства государства, переменами в приоритетных направлениях его деятельности. Учет данного вида риска особенно важен в странах с неустойчивым законодательством, отсутствием традиций и культуры предпринимательства.

Политический риск с неизбежностью присущ предпринимательской деятельности, от него нельзя уйти, можно лишь верно оценить и учесть в процессе ведения предпринимательства.

Коммерческий риск - это риск, возникающий в процессе реализации товаров и услуг, произведенных или купленных предпринимателем. Основные причины коммерческого риска:

- снижение объемов реализации в результате падения спроса

- повышение закупочной цены товара в процессе осуществления предпринимательского проекта;

- повышение издержек обращения в результате выплаты штрафов, непредвиденных пошлин и отчислений, что приводит к снижению прибыли предпринимательской фирмы.

Коммерческий риск включает в себя:

- риск, связанный с реализацией товара (услуг) на рынке;

- риск, связанный с транспортировкой товара (транспортный риск);

- риск, связанный с платежеспособностью покупателя;

- риск форс-мажорных обстоятельств.

Отраслевой риск - это вероятность потерь в результате изменений в экономическом состоянии отрасли.

Под финансовым риском понимается риск, возникающий при осуществлении финансового предпринимательства или финансовых сделок, исходя из того, что в финансовом предпринимательстве в роли товара выступают либо валюта, либо ценные бумаги, либо денежные средства.

По характеру последствий риски подразделяются на чистые и спекулятивные риски.

Чистые риски (иногда их еще называют простые или статические) характеризуются тем, что они практически всегда несут в себе потери для предпринимательской деятельности.

Причинами чистых рисков могут быть стихийные бедствия, войны, несчастные случаи, преступные действия, недееспособности организации и др. Спекулятивные риски (иногда их еще называют динамическими или коммерческими) характеризуются тем, что могут нести в себе как потери, так и дополнительную прибыль для предпринимателя по отношению к ожидаемому результату. Причинами спекулятивных рисков могут быть изменение конъюнктуры рынка, изменение курсов валют, изменение налогового законодательства и т.д.

Существуют различные стратегии управления рисками:

1. Взять риск на себя: выплачивать убытки из собственной прибыли;

Принятие риска заключается в готовности покрыть возможные убытки за свой счет. Часто этот метод управления сводится к созданию специальных фондов и резервов под потери.

2. Не принимать риски: отказаться от риска, от тех видов бизнеса, которые связаны с риском;

Уклонение или избежание - наиболее простой метод, который заключается в отказе от проведения определенных операций.

Однако для предпринимателя это одновременно означает потерю возможного дохода. Следует отметить, что на практике не всегда можно уклониться от риска.

3. Перенос риска на третьих лиц: страхование. Перенос, или передача риска заключается в перекладывании риска на другие субъекты.

4. Полностью перевести риск на тех, кто заинтересован в бизнесе.

Методами управления рисками являются диверсификация рисков, страхование, самострахование, лимитирование. Методы диверсификации рисков заключаются в распределении общего риска. Страхование рисков - основной прием снижения риска.

Страхование вероятных потерь служит надежной защитой от неудачных решений. Самострахование заключается в создании резервов. Лимитирование основано на определении лимита риска, выше которого предприятие рисковать не будет.

3.2 Анализ рисков, характерных для транспортного предприятия

Предпринимательская деятельность тесно связана с понятием риск. Риск присущ любой сфере человеческой деятельности. Анализ рисков - процедура выявления факторов рисков и оценки их значимости. Анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение целей проекта. Анализ рисков включает оценку рисков и методы снижения рисков и связанных с ними неблагоприятных последствий.

Управление рисками - это процесс, связанный с анализом рисков и принятием решений, которые включают максимизацию положительных и минимизацию отрицательных последствий наступления рисковых событий. Управление рисками основывается на определенных принципах, главными из которых являются:

1. Осознанность принятия рисков. Предприниматель должен сознательно идти на риск, если он надеется получить соответствующий доход от осуществления инвестиционного проекта. Естественно, по отдельным проектам после оценки уровня риска можно принять тактику "избегания риска", однако полностью исключить риск из инвестиционной деятельности предприятия невозможно, т.к. риск - объективное явление, присущее большинству хозяйственных операций.

2. Возможность управления принимаемыми рисками. В состав рисков, которые принимает предприниматель, должны включаться преимущественно те из них, которые поддаются нейтрализации в процессе управления. Только по таким видам рисков предприниматель может использовать весь арсенал внутренних механизмов их нейтрализации, т.е. проявить искусство управления рисками. Риски неуправляемые, например риск форс-мажорной группы, можно только передать внешнему страховщику.

3. Сопоставимость уровня принимаемых рисков с уровнем доходности. Этот принцип является основополагающим в теории финансового менеджмента. Он заключается в том, что предприятие должно принимать в процессе осуществления инвестиционной деятельности только те виды финансовых рисков, уровень которых не превышает соответствующего уровня доходности .

4. Учет временного фактора в управлении рисками. Чем длиннее период осуществления инвестиционного проекта, тем шире диапазон сопутствующих рисков, тем меньше возможностей обеспечивать нейтрализацию их негативных финансовых последствий.

С учетом рассмотренных принципов на предприятии формируется политика управления рисками.

Политика управления рисками представляет собой часть общей финансовой стратегии предприятия, заключающейся в разработке системы мероприятий по нейтрализации возможных негативных последствий рисков, связанных с осуществлением различных аспектов инвестиционной деятельности.

Различают следующие методы управления риском:

- уклонение или избежание;

- предупреждение и контроль возможных потерь;

- принятие риска на себя;

...

Подобные документы

  • Понятие и цели проведения аудита информационной безопасности. Анализ информационных рисков предприятия и методы их оценивания. Критерии оценки надежности компьютерных систем. Виды и содержание стандартов ИБ. Программные средства для проведения аудита ИБ.

    дипломная работа [1,7 M], добавлен 24.06.2015

  • Задачи, которые решаются в ходе аудита защищенности информационной системы. Этапы экспертного аудита. Тест на проникновение (пентест) в информационную систему: объекты, этапы. Цели проведения аудита web–приложений. Аудит на соответствие стандартам.

    отчет по практике [26,0 K], добавлен 22.09.2011

  • Основные направления деятельности в области аудита безопасности информации как проверки соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. Этапы экспертного аудита. Понятие аудита выделенных помещений.

    лекция [803,6 K], добавлен 08.10.2013

  • Теоретические аспекты аудита основных средств. Понятие аудита и порядок его осуществления по основным средствам. Первичные документы лоя проведения проверки основных средств. Примеры аудита и законодательная база. Обзор методик аудита основных средств.

    дипломная работа [58,9 K], добавлен 01.09.2008

  • Доктрина информационной безопасности Российской Федерации. Проверка используемых компанией информационных систем с последующей оценкой рисков сбоев в их функционировании. Закон "О персональных данных". Деление активного аудита на внешний и внутренний.

    презентация [14,5 M], добавлен 27.01.2011

  • Основные принципы аудита денежных средств, процедура его проведения. Особенности аудиторской проверки банковских операций. Анализ учета и движения денежных средств в кассе предприятия. Аудит расчетного и валютного счетов, его документальное оформление.

    курсовая работа [68,3 K], добавлен 01.04.2013

  • Основные этапы проведения внутреннего аудита системы управления. Выбор и назначение руководителя и членов команды, согласование графика проведения. Ознакомление с фактами для формирования выводов; их анализ и оценка. Определение категории несоответствий.

    презентация [87,8 K], добавлен 07.04.2014

  • Нормативно-правовое регулирование бухгалтерского учета и аудита денежных средств. Краткая финансово-экономическая характеристика, особенности организации и проведения аудита денежных средств предприятия. Методы повышения эффективности его деятельности.

    дипломная работа [3,6 M], добавлен 10.11.2017

  • Проверка учредительных документов и формирования уставного капитала при проведении аудита. Аудит эмиссии ценных бумаг. Проверка организации бухгалтерского учета и учетной политики предприятия при проведении аудита. Аудит системы управления предприятий.

    реферат [59,0 K], добавлен 04.07.2010

  • Основные характеристики систем управления. Аудит в исследовании систем управления. Применение аудита в качестве метода исследования систем управления. Создание и внедрение систем распределенной обработки информации в условиях вычислительной сети.

    курсовая работа [39,9 K], добавлен 21.12.2012

  • Необходимость проведения аудита экономического субъекта. Перечень сопутствующих аудиту услуг, которые предоставляются аудируемой организации. Анализ деятельности предприятия и оценка внутреннего контроля. Свод запланированных аудиторских процедур.

    курсовая работа [97,7 K], добавлен 19.03.2012

  • Теоретические основы организации аудита денежных средств предприятия, методика его проведения, цели и задачи. Основные источники информации аудита кассовых операций. Оценка внутрихозяйственного контроля и соблюдения учетной политики на предприятии.

    курсовая работа [96,4 K], добавлен 15.04.2014

  • Понятие, классификация и оценка основных средств. Амортизация и особенности учета арендованных основных средств. Задачи аудита основных средств. Основные законодательные и нормативные документы. Источники информации для проведения проверки предприятия.

    курсовая работа [51,6 K], добавлен 27.05.2009

  • Теоретические аспекты учета, анализа и аудита основных средств. Учет состояния основных производственных фондов на предприятии ОАО "Краспригород". Наличие, структура, движение основных фондов и эффективность их использования. Методика проведения аудита.

    дипломная работа [176,8 K], добавлен 20.11.2010

  • Организация производственно-хозяйственной деятельности и учета предприятия. Характеристика учета денежных средств и расчетных операций. Значение аудита для хозяйствующего субъекта в современных условиях. Методология проведения аудита денежных средств.

    дипломная работа [107,6 K], добавлен 24.11.2010

  • Анализ и теоретическое обоснование учета и аудита, цель, задачи и основные принципы организации учета денежных средств и расчетов на предприятии. Нормативно-правовая база, методика и совершенствование форм проведения аудита денежных средств и расчетов.

    дипломная работа [549,5 K], добавлен 20.08.2010

  • Понятие, виды денежных средств и порядок их учета и аудита. Анализ денежных средств на предприятии, порядок проведения его аудиторской проверки. Разработка рекомендаций по совершенствованию учета и внутреннего контроля на основании проведенного анализа.

    дипломная работа [684,8 K], добавлен 21.05.2015

  • Понятие и виды аудита. Содержание общего плана и программы проведения аудита. Документирование и подготовка общего плана проведения аудиторской проверки. Проверка составления бухгалтерской отчетности. Аудит правильности налоговой политики предприятия.

    курсовая работа [40,8 K], добавлен 04.12.2011

  • Организация, планирование и нормативно-правовая база регулирования аудиторской деятельности. Последовательность проведения аудита и оформление результатов. Методика аудита финансового состояния предприятия. Экспресс-аудит баланса и платежеспособности.

    курсовая работа [39,6 K], добавлен 12.01.2009

  • Основы и функции аудита, классификация основных средств. Первоначальная стоимость основных средств и их аудит. План и программа проведения аудита. Аудит организации учета основных средств. Типичные ошибки в документировании движения основных средств.

    курсовая работа [46,0 K], добавлен 12.03.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.