Аудит информационной безопасности в электронной коммерции
Анализ нарушения безопасности субъектов и объектов в электронной коммерции. Необходимость проведения аудита информационной безопасности в системах электронной коммерции. Варианты заключений, относительно соответствия системы требованиям безопасности.
| Рубрика | Бухгалтерский учет и аудит |
| Вид | статья |
| Язык | русский |
| Дата добавления | 06.05.2018 |
| Размер файла | 193,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Волгоградский государственный университет
Аудит информационной безопасности в электронной коммерции
Оладько В.С.
Кандидат технических наук
Аннотация
безопасность аудит информационный электронный
Рассмотрена проблема нарушения безопасности субъектов и объектов в электронной коммерции. Обоснована необходимость проведения аудита информационной безопасности в системах электронной коммерции. Описан процесс и этапы проведения аудита. Охарактеризованы возможные варианты заключений, относительно соответствия системы требованиям безопасности.
Ключевые слова: риск, защищенность, платежная система, система защиты, интернет, угроза.
Abstract
Oladko V.S.
PhD in Engineering, Volgograd State University
The information security audit in e-commerce
The problem of security breaches subjects and objects in e-commerce is considered in the article. The need for audit of information security in electronic commerce systems proved. It describes the process and stages of the audit. Possible conclusions regarding the compliance of safety requirements are described.
Keywords: risk, security, payment system, security system, internet, threat.
Электронная коммерция (ЭК), на сегодняшний день, является одним из наиболее перспективных и растущих секторов экономики, ее оборот в России, по данным [1], в 2014 году составил 639,7 млрд. рублей. Наиболее активно ЭК применяется в таких отраслях как финансовый сервис, высокотехнологичное производство, туризм, транспорт, оптовая и розничная Интернет-торговля, предоставление государственных услуг и осуществление закупок. Существует множество моделей систем электронной коммерции (СЭК), в рамках которых реализуются основные финансовые операции, транзакции и бизнес-процессы. Основными субъектами в СЭК являются: государство, финансовые организации, продавцы, производители, поставщики и потребители, объектами - персональные данные пользователей, платежные данные и информация о банковских картах и счетах, денежные средства и электронные заместители и другие виды конфиденциальной информации. Вся эта информация подвержена ряду угроз и деструктивных воздействий случайного и преднамеренного характера [2,3], в результате которых может быть нарушена конфиденциальность и целостность информации, доступность данных и сервисов СЭК, а также произойти прерывание бизнес-процессов. Поэтому в соответствии с требованиями регуляторов - ФСТЭК России, ФСБ России и ЦБ России СЭК и ее платежные сервисы должны подлежать защите.
Состав системы защиты, может быть различен для государственных и коммерческих СЭК, и определяется требованиями регуляторов. А для того что бы проверить степень выполнения требований владельцами СЭК необходимо на регулярной основе проводить аудит информационной безопасности, например, для электронных платежных систем по требованиям ЦБ России должен проводиться не реже одного раза в два года.
Аудит информационной безопасности (ИБ) делится на внутренний и внешний, может проводиться сторонними лицензированными организациями и собственным подразделением безопасности организации - собственника СЭК. В рамках аудита, решаются задачи проверки соответствия текущего уровня безопасности СЭК требованиям регуляторов, выявления уязвимостей и потенциальных рисков, а также выдача отчета и рекомендаций относительно дальнейших действий. При этом внешний аудит, как правило, осуществляется либо в рамках аттестационных испытаний и по требованиям нормативно-методической документации регулирующих органов либо по инициативе руководства. В большинстве случаях является обязательным для государственных СЭК (портал государственных услуг, государственные информационные системы электронных торговых площадок и т.п.). Внутренний аудит нужен для регулярного контроля над состоянием безопасности собственной СЭК с целью управления инцидентами ИБ и поддержки приемлемого уровня защищенности системы, также может осуществляться для подготовки к прохождению внешнего аудита или с целью получения сертификата соответствия.
Аудит может проводиться экспертным путем и/или с помощью специализированных инструментальных средств оценки и поддержки принятия решений. Наиболее часто при проведении аудита ИБ используются системы ГРИФ, КОНДОР, CRAMM, RiskWatch.
В аудите ИБ условно выделяют три этапа (см. рис. 1):
· оценка текущего состояния защиты СЭК,
· оценка рисков и общего уровня защищенности СЭК,
· формирование отчета и выдача рекомендаций.
По результатам проведенного исследования аудиторской группой может быть подготовлено четыре типа заключений:
· безусловно положительное;
· условно положительное;
· отрицательное;
· отказ от выражения заключения.
Рис. 1. Схема проведения аудита информационной безопасности в СЭК
В данных заключениях должны быть охвачены вопросы связанные:
· со степенью соответствия проверяемой СЭК критериям аудита ИБ;
· с оценкой состояния и качества системы внутреннего контроля и/или мониторинга ИБ проверяемой СЭК;
· со способностью руководства организации-собственника СЭК обеспечить постоянную пригодность, адекватность, результативность защиты СЭК и ее совершенствование.
Полученные в результате аудита ИБ отчет и рекомендации могут использоваться:
· в случае соответствия требованиям безопасности, для получения специального сертификата безопасности, подтверждающего высокую защищенность СЭК от случайных угроз и атак злоумышленника, что может существенно повысить репутацию и привлекательность СЭК для потенциальных клиентов и пользователей;
· в случае несоответствия, на основании выданных рекомендаций, произвести реконфигурацию и модернизацию текущей системы защиты, устранить недопустимые риски и повысить общую защищенность СЭК.
Литература
1. Ким Б. Показатели рынка электронной коммерции. URL: http://spbit.ru/news/n82562/ (дата обращения 17.11.2015).
2. Оладько В.С. Модель действий злоумышленника в системах электронной коммерции//Международный научно-исследовательский журнал.2015. №7-1(38). С. 83-85. URL: https://research-journal.org/technical/model-dejstvij-zloumyshlennika-v-sistemax-elektronnoj-kommercii/ (дата обращения 17.11.2015).
3. Аткина В.С. Анализ катастрофических воздействий на информационную систему// Актуальные проблемы гуманитарных и естественных наук. 2010.№1.С. 15-19.
Размещено на Allbest.ru
...Подобные документы
Понятие и цели проведения аудита информационной безопасности. Анализ информационных рисков предприятия и методы их оценивания. Критерии оценки надежности компьютерных систем. Виды и содержание стандартов ИБ. Программные средства для проведения аудита ИБ.
дипломная работа [1,7 M], добавлен 24.06.2015Основные направления деятельности в области аудита безопасности информации как проверки соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. Этапы экспертного аудита. Понятие аудита выделенных помещений.
лекция [803,6 K], добавлен 08.10.2013Задачи, которые решаются в ходе аудита защищенности информационной системы. Этапы экспертного аудита. Тест на проникновение (пентест) в информационную систему: объекты, этапы. Цели проведения аудита web–приложений. Аудит на соответствие стандартам.
отчет по практике [26,0 K], добавлен 22.09.2011Доктрина информационной безопасности Российской Федерации. Проверка используемых компанией информационных систем с последующей оценкой рисков сбоев в их функционировании. Закон "О персональных данных". Деление активного аудита на внешний и внутренний.
презентация [14,5 M], добавлен 27.01.2011Особенности применения программно-технических средств контроля выполнения требований политики безопасности организации. Разработка перечня аппаратуры, необходимой для проведения проверки объектов. Создание итоговой документации по результатам аудита.
лабораторная работа [24,1 K], добавлен 10.04.2013Сравнительная характеристика аудиторской деятельности в различных странах (на примере США, Швеции и Германии). Роль международной федерации бухгалтеров в регулировании аудита. Оценка рисков в системе внутреннего контроля при электронной обработке данных.
контрольная работа [318,0 K], добавлен 23.02.2012Характеристика электронной подписи как реквизита электронного документа, предназначенного для его защиты от подделки. Ее преимущества и назначение. Срок действия, надежность и виды, сфера использования. Сертификат ключа проверки электронной подписи.
доклад [146,9 K], добавлен 26.05.2015Сущность аудита. Hеобходимость аудита. Сущность аудита и аудиторской деятельности. Принципы аудита. Виды аудита. Внутренний и внешний аудит. Аудит на соответствие требованиям. Финансовой отчетности и специальный аудит. Значение аудита в системе управления
курсовая работа [25,2 K], добавлен 10.04.2006Организация информационной инфраструктуры. Анализ уровня информатизации образовательных учреждений. Проблемы, цели и методика проведения аудита ИТ-инфраструктуры. Проведение анализа уровня лицензирования программного обеспечения в учреждении образования.
курсовая работа [1,7 M], добавлен 09.08.2012Цели аудита качества. Стадии внутреннего аудита. Обеспечение полноты проведения аудита. Технология проведения аудита системы качества. Классификация несоответствий по их значимости. Совещания по взаимодействию группы. Последующие действия после аудита.
реферат [26,0 K], добавлен 26.03.2014Цели, задачи и содержание банковского аудита. Сущность аудита как экономической категории. Виды аудита банков. Назначение и необходимость внутреннего аудита (системы внутреннего контроля банка). Аудит финансовых результатов и распределения прибыли.
реферат [20,9 K], добавлен 17.12.2013Сущность, теоретические и нормативно-правовые основы организации аудита отчета оказанных услуг. Проверка соответствия бухгалтерской отчетности требованиям законодательства. Аудит внеоборотных активов, производственных запасов, денежных средств и расчетов.
дипломная работа [640,9 K], добавлен 21.10.2014Обоснование понятия "аудит" относительно систем управления качеством. Сущность и основные критерии аудитов первой, второй и третьей стороной. Основные этапы подготовки и проведения аудита системы менеджмента качества, его международные стандарты.
контрольная работа [80,6 K], добавлен 20.11.2012Планирование и реализация аудита эффективности использования государственных ресурсов, его обеспечение и пути совершенствования. Перспективы формирования единого пространства контроля и обеспечения безопасности использования государственных средств.
курсовая работа [103,0 K], добавлен 03.08.2011Характеристика целей, задач и информационной базы аудита материально-производственных запасов. Особенности организации контрольной работы в хозяйстве. План и программа аудита, а также правила проведения проверки учета материально-производственных запасов.
курсовая работа [66,1 K], добавлен 04.11.2010Понятие, необходимость возникновения, функции, основные характеристики и задачи внутреннего аудита. Виды аудитов качества, схема проведения, структура и состав службы внутреннего аудита. Записи по программе аудита, отчеты по корректирующим действиям.
курсовая работа [29,3 K], добавлен 19.04.2010Целью аудита финансовых результатов является определение соответствия применяемой методики учета операций по формированию и использованию финансовых результатов. Основные задачи данного вида аудита. Методики проведения аудита финансовых результатов.
курсовая работа [53,4 K], добавлен 26.11.2010Сущность, виды, цели аудита. Организация, порядок и принципы проведения аудита. Этапы аудиторской проверки. Профессиональная этика аудитора. Составление аудиторских заключений о достоверности годовых балансов, целевом использовании ресурсов и инвестиций.
реферат [29,4 K], добавлен 25.01.2010Цели и задачи аудита бухгалтерской отчетности. Проверка ее соответствия требованиям действующего законодательства. Ответственность сторон в отношении бухгалтерской отчетности. Оформление погашения задолженности по векселю в учете векселедержателя.
контрольная работа [54,2 K], добавлен 01.12.2014Исследование систем управления как вид деятельности, направленный на развитие и совершенствование управления, способы, приемы и необходимость его проведения. Использование аудита для оценки систем управления, этапы проведения, аудит на основе самооценки.
курсовая работа [32,8 K], добавлен 10.09.2010
